XXX企业网络规划和安全防护设计方案论文

中南大学网络教育学院毕业大作业学习中心：娄底学习中心 专业：计算机应用学生姓名： 杨璜 学号：09111510105001评定成绩： 评阅老师：XXX企业网络规划和安全防护设计方案摘要：随着各中小型企业的飞速发展，越来越多的企业的数据和信息交流使用网络，但很多企业都忽视了对网络的规划和安全，导致各种各样的问题及信息泄露。在这里结合XXX企业的网络实例，浅谈中小企业的网络规划，重点介绍中小企业的网络安全中遇到的问题和解决方法。采用端口汇聚、MAC绑定、DHCP、WINDOWS2003及防火墙ISA2006、VPN及IPSEC加密进行网络的安全防护。关键词：网络规划、安全防护、数据加密、MAC绑定、DHCP、IPSEC网络规划动态、不断演进的数据网络环境来说，更强大的网络连接是不变的需求。无论是企业或公共服务数据中心，都要尽可能保障网络基础设施能够提供可扩展带宽、冗余业务备份、灵活性、安全性并方便移动、增加和变更。为保障服务的可信赖性，数据中心必须使用高密度、方便使用与部署的高品质规划系统。以XXX商场的网络拓扑图为例：如图所示，通过三个主交换机，把公司的网络分成三个主块。一块为收银区域，一块为办公区，办公区内又分楼层办公区和五楼集中办公区。每一个主交换机负责一块区域。区域内的数据交换频繁也不会影响到其它区域的数据交换。收银区域为主交换机二负责，主要的数据交换为收银数据和会员数据的交换流通。非常的时候，要以断开主交换机二和主交换机连接，来保证收银系统的正常。如办公区域发生大范围的中毒情况。此区域内连接了所以收银需要的数据服务器（IBM服务器），会员服务器（CRM）。及需要和其它门店交换数据的线路（由H3C-MSR3016路由器转2M的数字链路到其它门店）。并且每一层由一个楼层交换机控制一层的收银台，在出故障的时候能够很快确认出在哪个楼层哪根线路。办公区域包括各楼层办公室和五楼集中办公区，播音室、总服务台、一个文件服务器（HP服务器）、一个防火墙和一个外网路由器及外网线路，并且用主交换机连接收银区域和五楼集中办公区域。此区域的机器可通过防火墙与外网联接，满足办公区用户对外网交换数据的需求。并且提供一台文件服务器（HP服务器）进行文件共享交换。两个区域的划分，基本上把商场的收银和办公分开，数据各走一边，存在少量的数据查询也可通过主交换机到主交换二的线路，优化网络流量；减少安全隐患。两个区域间加一个防火墙进行数据过滤保护收银区域及服务器区的安全，必要的时候可以完全断开两个区域来排查故障。而两个区域的扩展也根据功能合理分工，明确用途。各设备的型号功能：设备名品牌型号备注主交换机楼层交换机TPLINK24+4G千兆二层全网管交换机TL-SL5428具备网管功能，各交换机之间用千兆线路连接。数据交换大时可以做端口汇聚H3C路由器H3C-MSR3016加光纤模块连接2M光纤数字链路外网路由器TPLINKVPN路由器TL-R400VPNIBM服务器IBMSYSTEMP5小型机收银数据CRM服务器HPHSTNS-5118刀片机会员数据HP服务器HPHSTNS-5118刀片机文件服务器及OA服务器防火墙普通柜式服务器装WINDOWS2003和ISA防火墙软件WIN2003SERVER+ISA2006收银台海信HK300-3100公司自制的收银系统工作电脑联想扬天M4300办公电脑2M数字链路电信光纤与集团公司信息交换二、安全防护安全包括五个基本要素：机密性、完整性、可用性、可控性与可审查性。机密性：确保信息不暴露给未授权的实体或进程。完整性：只有得到允许的人才能修改数据，并且能够判别出数据是否可用性。可控性：可以控制授权范围内的信息流向及行为方式。可审查性：对出现的网络安全问题提供调查的依据和手段。现在计算机面临威胁主要表现在以下几个方面：1.内部窃密和破坏。内部人员可能对网络系统形成下列威胁：内部涉密人员有意或无意泄密、更改记录信息；内部非授权人员有意无意偷窃机密信息、更改网络配置和记录信息；内部人员破坏网络系统。2．非法访问。非法访问指的是未经授使用网络资源或以未授权的方式使用网络资源，它包括非法用户如黑客进入网络或系统进行违法操作，合法用户以未授权的方式进行操作。3．破坏信息的完整性。攻击可能从三个方面破坏信息的完整性：改变信息流的次序、时序，更改信息的内容、形式；删除某个消息或消息的某些部分；在消息中插入一些信息，让收方读不懂或接收错误的信息。4．截收。攻击者可能通过搭线或在电磁波辐射的范围内安装截收装置等方式，截获机密信息，或通过对信息流和流向、通信频度和长度等参数的分析，推出有用信息。它不破坏传输信息的内容，不易被查觉。5．冒充。攻击者可能进行下列冒充：冒充领导发布命令、调阅文件；冒充主机欺骗合法主机及合法用户；冒充网络控制程序套取或修改使用权限、口令、密钥等信息，越权使用网络设备和资源；接管合法用户、欺骗系统、占用合法用户的资源。6．破坏系统的可用性。攻击者可能从下列几个方面破坏网络系统的可用性：使合法用户不能正常访问网络资源；使有严格时间要求的服务不能及时得到响应；摧毁系统。7．重演。重演指的是攻击者截获并录制信息，然后在必要的时候重发或反复发送这些信息。8．抵赖。可能出现下列抵赖行为：发信者事后否认曾经发送过某条消息；发信者事后否认曾经发送过某条消息的内容；发信者事后否认曾经接收过某条消息；发信者事后否认曾经接收过某条消息的内容。9．其它威胁。对网络系统的威胁还包括计算机病毒、电磁泄漏、各种灾害、操作失误等。（一）针对公司内部网安全方案：对于更改网络设置和非法访问，可在服务器、路由器、防火墙绑定所有网络设备及收银台、工作电脑的MAC地址和IP一一对应。并建立DHCP服务，在用户忘记自己网络配置的情况下，可自动获得授权的IP。剩余的空闲IP也进行锁定，防止非授权机器进入网络访问。在访问服务器及防火墙时需要授权的帐号及密码。最重的是要在所有的网管型交换机上配置好每个端口通过的IP及MAC，IP和MAC跟端口不对应也拒绝访问。破坏、截收、冒充、破坏、重演、抵赖。可以防火墙及服务器还有路由器上定义好用户的权限，开启日志记录，记录所有的用户操作和信息数据。并在防火墙的ISA2006防火墙软件中定义具体策略，允许或拒绝用户的某些访问。如下面图1、图2、图3所示图1图2图3经常查看日志可以查出隐患，并排除，因保密原因IP就隐藏了。病毒防治在公司人员混杂，个人的使用水平，U盘等交叉使用，上网查询资料的情况下是非常重要的一环。有条件的企业，可以购买网络版的杀毒软件进行防护，例如金山、瑞星、江民等都有网络版的杀毒软件可以使用，在服务器上统一升级杀毒。没有购买网络杀毒的，也可考虑现在流行的几款免费或收费单机杀毒软件如360、金山等已经免费。对所有的工作人员进行培训，介绍病毒防治的重要性、特征，和预防方法。多查看防火墙日志，了解并防止网络病毒传播。网络风暴及ARP欺骗，则开启网管型交换机里的风暴过滤及绑定MAC和IP对应端口。把风暴和欺骗终止在最底层交换机。外网入侵的防范在于隐藏IP和防火墙。在外网接口处用一路由器代理，外网只能直接访问到外网，路由器开启防止PING，和日志记录，可以有效的防止对方的扫描有效IP，记录攻击的行为和源头，进一步过滤。路由器后安装一个防火墙，用策略封掉不需要使用的端口，如图1所示。过滤访问内网和内网出去的数据，甚至了过滤掉部份后缀名的文件传入传出如图4所示。图4可以有效的防止黑客入侵。养成查看日志的习惯可以提前防止攻击的先兆。打好系统的补丁，防止黑客利用漏洞入侵。对于停电、电磁干扰如打雷、火灾鼠患等防预：对于停电，需要安装在线式UPS，防止停电造成的网络中断及数据丢失。电磁干扰需要安装接地线，接地电阻必须少于4欧。火灾鼠患，线路套防火套管，防止火烧和鼠咬。接电位置安装短路安全开关，重要位置安装火警报警装置和安放消防器材。有条件的地方还可以用OrionNetworkPerformanceMonitor监控线路设备的使用情况，出现紧急情况可以短信第一时间发送到用户手机上。7. 做好服务器及重要数据的备份，有条件的情况下，可以用磁带机或外置硬盘把重 要数据备份。每天进行增量备份，每隔一定时间做一次完整备份，可以通过计 划任务的形式进行定时处理。（二）针对外部线路的安全及加密：在网络高速发展的今天，很多用户需要在外地接入公司网络进行办公，子公司和集团公司的数据交换都需要从外部线路接入企业网络。这就引出来更多的安全问题。数据怎么才不被人截取，如何保证数据的安全性，和公司网络的保密性。在这里可以引用到VPN技术。在企业网络里的ISA2006防火墙里启用VPN拨入，针对公司的用户设定VPN帐号，设定拨入的权限和IP分配。因为VPN是明码发送，为了保证数据的安全，我们需要启用IPSEC加密,保证数据的安全。如图5所示。图5客户端的VPN设置以XP为例，如图6所示：图6在这里输入服务端预定义的共享密钥。或以证书的形式发放密钥。这样，客户端与服务器的连接就是通过IPSEC加密了。XXX公司与集团公司的传输用的是2M数据链路。H3C-MSR3016路由器安装DLC加密模式。通过DLC加密传输数据到集团公司。集团公司的对端通过DLC解密数据包达到交换数据的目的。也可以用WIN2003+ISA2006的远程站点模式，通过IPSEC加密实现VPN局域网对局域网。如图7所示：两边加密模式设置为一样。分别输入对端和本端的IP地址。这样两边的WIN2003+ISA2006就起一个编码转码的作用，实现两个局域网的互通。并且可以在ISA防火墙策略里定义访问规则来加强安全性。注：注意一点的是：IPSEC除了WINDOWS系统的客户端和服务端外。其它系统和设备发出的的IPSEC加密数据包一般不能通过NAT路由器。也就是说VPN服务器前端不能有NAT路由器，不支持IPSEC数据包通过NAT路由器。在这里我使用的是WINDOWS2003+ISA2006做服务端，客户端用XP自带的VPN拨号，所以可以通过NAT路由。如需要用别的设备或系统VPN+IPSEC拨入。需要把VPN服务器前的NAT路由器去掉,把VPN服务端曝露在外网。观点引用文献：利用IPSec武装NAT服务通过端口映射或者地址映射使用软件：FPINGER5.0网络拓扑图软件WINDOWS2003高级服务器版ISA2006防火墙和VPN服务器结束语现在网络安全方面的产品有很多，比如有防火墙、杀毒软件、入侵检测系统，但黑客的非法入侵无孔不入。其根本原因是网络自身的安全隐患无法根除。所以我们不要过份依赖工具和软件，以人为本，加强自身的安全意识，规划好网络环境，对网络安全能起到一个更好的防护作用。.面对不断变化着的病毒和侵入，我们必须时刻提高警惕，不断发展网络安全技术，创造安全通畅的网络环境。在完成本作业的过程中，我积极参与了XXX单位的网络规划设计工作，从其他工程师那里学到了大量实用的技术，将学校学到的理论应用到了实际的工程之中，从中受益匪浅，同时也要感谢娄底电大吴老师的细心指导，考虑到实际网络应用的安全问题，本作业中具体的单位信息没有公开，敬请谅解。名词解释：端口汇聚：TRUNK是端口汇聚的意思，就是通过配置软件的设置，将2个或多个物理端口组合在一起成为一条逻辑的路径从而增加在交换机和网络节点之间的带宽，将属于这几个端口的带宽合并，给端口提供一个几倍于独立端口的独享的高带宽。Trunk是一种封装技术，它是一条点到点的链路，链路的两端可以都是交换机，也可以是交换机和路由器，还可以是主机和交换机或路由器。基于端口汇聚（Trunk）功能，允许交换机与交换机、交换机与路由器、主机与交换机或路由器之间通过两个或多个端口并行连接同时传输以提供更高带宽、更大吞吐量，大幅度提供整个网络能力。（引用百度百科/view/2054029.htm）数字链路：目前，很多企业在构建Intranet时，会更多的选择基于光通信网络传递信息的数字链路技术。数字链路的两种认识：1、广义上：一切以数字信号传输的，并采用时分复用技术提供线路分帧能力的数据传输链路技术。比如，DDN（数字数据网）技术和卫星微波数字通信技术2、狭义上：其实是数字传输链路技术的一种。对一光纤为骨干传输的，采用数字信号传输数据并使用时分复用技术提供线路分帧能力，可以承载多种传输协议并要求在传输时进行协议转换的数据传输链路技术，称为数字链路。连接拓扑：用户设备-----协议转换器-----局端光端机（ISP光传输网络）（引用百度百科/view/4686941.htm）ISA2006：ISA（InternetSecurityAcceleration）目前的版本有ISA2000ISA2004ISA2006ISA2008，是一款微软出品的著名路由级网络防火墙。其主要功能有：1、防火墙（firewall）防火墙可以过滤进出内部网络的流量，可以利用它来控制内部网络与因特网之间的通信，以增加网络的安全性。也可以用它安全地发布（publishing）企业内部的服务器，以便让客户与合作伙伴来分享内部网络的资源，例如电子邮件服务器，网站等。除了一般的数据包筛选功能外，ISA还提供了许多应用程序筛选器，它可以针对应用程序来筛选数据包。2、虚拟专用网（VPN）虚拟专用网（VPN）可以让远程用户与局域网(LAN)之间，或者是分别位于两地的局域网之间，通过因特网来建立一个安全的通道。3、网页缓存（webcache）通过将用户经常访问的网页保存到ISA服务器的硬盘与内存，不但让用户更快的访问网页，同时也提高网络资源的利用，节省网络带宽。（引用百度百科/view/13594.htm）在线式UPS：在市电正常时，市电经由突波吸收滤波电路→交流电转换直流电电路→直流电转换交流电电路→并转换交流电输出供应负载，并同时对电池充电；一旦微处理器控制电路侦测到市电中断，则立即由电池放电→直流电转换交流电电路→并转换交流电输出供应负载使用。如果，微处理器控制电路侦测到UPS故障，此时UPS会借由继电器（RELAY）跳至旁路（BYPASS），由市电供应负载电力，并发出声响警告使用者。（引用百度百科/view/3308310.htm）OrionNetworkPerformanceMonitor是完全的带宽性能和故障管理软件，从路由器、转换器、服务器和其他SNMP设备中监控和收集数据，您可以直接从Web浏览器上观察您网络信息的实时统计表。另外，Orion还能监控CPU负载、内存利用率和可用硬盘空间。OrionNPM高度可升级，能够监控10到10,000个网络节点。VPN：虚拟专用网络(VirtualPrivateNetwork，简称VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，如Internet、ATM(异步传输模式〉、FrameRelay(帧中继)等之上的逻辑网络，用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN主要采用了彩隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。IPSEC：IPSec是安全联网的长期方向。它通过端对端的安全性来提供主动的保护以防止专用网络与Internet的攻击。在通信中，只有发送方和接收方才是唯一必须了解IPSec保护的计算机。在WindowsXP和WindowsServer2003家族中，IPSec提供了一种能力，以保护工作组、局域网计算机、域客户端和服务器、分支机构（物理上为远程机构）、Extranet以及漫游客户端之间的通信。参考文献：利用IPSec武装NAT服务通过端口映射或者地址映射/htmlnews/2009-04-02/92542.htmNAT技术可以通过端口映射或者地址映射，让外部用户能够访问企业内部的应用服务器;也可以把内部计算机隐藏起来，以加强其安全性。无论是哪一种功能，NAT服务器都是通过数据包包头的地址与端口信息来实现的。即当数据包从企业内网通过NAT服务器传到互联网的时候，NAT服务器会改变数据包包头中的信息。会把内网的IP地址信息转变为NAT服务器的公网IP地址。但是，此时如果网络管理员同时想用IPSec技术来加强NAT技术的安全，就会出现问题。因为IPSec机护送会检查数据包的包头信息。如果数据包的包头信息被修改的话，则IPSec会认为这个包被篡改过，而丢弃。也就是说IPSec安全技术是不允许变更数据包的包头。一、利用IPSec武装NAT服务时可能遇到的问题描述IPSec技术主要采用AH(传输模式)或者ESP(隧道模式)两种安全措施。传输模式会将所传送的信息签名。这个信息签名主要用来确认收到的信息没有被篡改，由此接收方可以确认信息确实是由索要通信的计算机发送过来的，从而防止欺骗攻击以及传送过程中信息被非法修改。隧道模式同传输模式一样，也会对所需要传送的信息签名。不过他与隧道模式有一个很大的不同，就是隧道模式会对信息进行加密。但是传输模式却不会对信息进行加密处理。但是无论采用哪种方式，IPSec都不允许在传输过程中对包头信息进行更改。如在传输模式下，IPSec会将整个数据包签名，也就是说在传输过程中若对数据包进行任何的更改，都会影响这个数据包的签名信息。所以如果NAT服务器改变数据包内的IP地址或者端口信息，IPSec服务器就会将认为这个数据包被非法篡改了，而将此数据包视为无效而丢弃掉。如ESP传输或者隧道模式中，虽然ESP传输模式的原始IP包头或者ESP隧道模式的新建隧道模式还是保留原状，并没有被IPSec技术签名或者加密。但是数据包中的端口信息会被加密，因而NAT服务器无法读取。所以虽然在这种情况下，NAT服务器可以改变在传输模式中的客户端IP地址，或者是隧道模式中的端点计算机的IP地址，但是却无法更改被IPSec技术加密过的端口信息。为此NAT服务器在此时也将无用武之地。虽然通讯计算机之间存在的所有路由器或交换机等网络设备都会将加密的数据包转发给它们的目的地。但是，如果这个传输路径中有防火墙、安全路由器或代理服务器，就可能不会转发IPSec技术加密过的数据包。此时必须配置这些设备以允许IPSec协议数据包经过。如果IPSec数据包未加密(即采用AH模式，只签名不加密)，防火墙或安全路由器仍可以检查端口或数据包中的其他内容。如果这些数据包的内容在发出之后被修改，那么接收计算机就会检测出这种修改并丢弃这些数据包。UDP-ESP封装在Windows服务器中，为了解决IPSec无法跨越NAT服务器的问题，专门设计了一套UDP-ESP封装的方案。即支持将ESP模式的IPSec数据包，封装到UDP包头内的功能。由于ESP包头被装到UDP包头内，数据包内的原始包头与UDP包头都没有被加密与签名，为此NAT服务器可以改变这个数据包的IP地址与UDP端口。微软之所以所以使用UDP来封装ESP数据包是因为UDP提供了最小标准的封装，8比特就够了。如果换做TCP封装则需要20比特而且是面向无连接协议。TCP的建链和拆链过程会引入诸如RESET攻击这类影响IPSec性能的负面效果。所以Windows服务器操作系统产品的IPSec技术实现为新的互联网规范提供了支持。该规范允许网络地址转换器(NAT服务器)修改IPSec加密或者签名过数据包。IPSec技术封装安全有效负载(ESP)数据包可以越过允许UDP通信的NAT服务器。相关协议会自动检测NAT服务器是否存在并使用用户数据报协议(UDP-ESP)封装来允许IPSec通信，允许其越过NAT服务器。为此如果要用IPSec技术来武装NAT服务的话，必须同时满足两个条件。一是IPSec通信的双方计算机都必须支持这种UDP-ESP封装的数据包，即能够辨识UDP目的端口为800、后面跟着八个0的这种格式的数据据包。二是IPSec必须采用ESP模式。目前只有ESP模式支持UDP-ESP封装。通常无情况下，NAT服务器上的IPSec功