某公司局域网安全维护方案

司局域网安全维护方案 司是一家规模约 1000 人的中型企业，现有计算机 800 余台。为实现企业信息化，提出如下的局域网解决方案。 1 用户需求分析 司属于中型企业，由四个部分组成，分别是开发部门、业务部门、财务部门和经理室（管理部门）。 总的来说，公司建立局域网的目的主要是加强企业内部管理，各职能部门员工间的沟通与合作，提高管理水平，合理利用 资金和人力资源，以达到公司人、财、物的统一，更好的服务于生产经营，获得更高的效益。 司局域网主要实现以下几点功 能： 1 建立公司内部的 务器、 务器、 务器，实现无纸化办公。 2 对外提供访问公司网站的服务和下载资源的 务。 3 资料、信息和服务的共享。 4 信息交流和邮件服务。 5 资源下载。 6 可以满足公司内部员工的移动网络与公司总网通信。 2 网络搭建及安全维护原则 (1) 网络建设的原则 在网络建设中主要遵循以下原则：其一，在企业领导小组的统一领导下，建立统一的规章制度，进行统一的管理，采用统一的标准。其二，在网络建设中，所有软硬件产品的选择都必须坚持标准化的原则，采用全路统一的硬、软件平台和基本应用软件，进 行统一的软件版本升级管理。其三 ， 网络应具有良好的安全性与保密性。其四，做到资源共享与保护。充分合理地利用现有的资源，最大限度地与原有系统或在建系统互通互联，在尽可能利用已有投资的基础上，解决好经费的补充和配套资金到位问题 。 (2) 网络 安全维护 原则 在设计网络结构时，要考虑其成本、扩充性、安装维护是否方便等。综合这些因素，在以太网与令牌网两种结构类型中，建议选择以太网，这是因为以太网的组成较为简单，便于非专业人员的日常维护。鉴于各工作站独立工作及协同工作的双重要求，工作站微机间的连接采用星形拓扑结构，在主计算机 (工作站间采用总线结，以增强多用户访问时的可靠性，保证一定的传输速率。 目前在局域网上应用较为广泛的网络类型是客户机服务器 (。此种网络至少需要一台服务器来提供网络服务和网络的运行管理。网络中所有的电脑终端均能共享服务器的软、硬件资源。网络运行稳定，有利于信息的统一管理和安全保密 ，并且易于系统的升级。但由于要配置服务器，所以网络投资较大 。 目前的局域网基本上都采用以广播为技术基础的以太网，任何两个节点之间的通信数据包，不仅为这两个节点的网卡 所接收，也同时为处在同一以太网上的任何一个节点的网卡所截取。因此，黑客只要接入以太网上的任一节点进行侦听，就可以捕获发生在这个以太网上的所有数据包，对其进行解包分析，从而窃取关键信息，这就是以太网所固有的安全隐患。事实上， 许多免费的黑客工具都把以太网侦听作为其最基本的手段。 局域网安全 当前，保证局域网安全的解决办法有以下几种： 网络分段通常被认为是控制网络广播风暴的一种基本手段，但其实也是保证网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔 离，从而防止可能的非法侦听，网络分段可分为物理分段和逻辑分段两种方式。 目前，一般的局域网大多采用以交换机为中心、路由器为边界的网络格局，应重点挖掘中心交换机的访问控制功能和三层交换功能，综合应用物理分段与逻辑分段两种方法，来实现对局域网的安全控制。例如：普遍使用的 00 的入侵检测功能，其实就是一种基于 址的访问控制，也就是上述的基于数据链路层的物理分段。 对局域网的中心交换机进行网络分段后，以太网侦听的危险仍然存在。这 是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机，而使用最广泛的分支集线器通常是共享式集线器。这样，当用户与主机进行数据通信时，两台机器之间的数据包 (称为单播包 是会被同一台集线器上的其他用户所侦听。一种很危险的情况是：用户 于 户所键入的每一个字符 (包括用户名、密码等重要信息 )，都将被明文发送，这就给黑客提供了机会。 因此，应该以交换式集线器代替共享式集线器，使单播包仅在两个节点之间传送，从而防止非法 侦听。当然，交换式集线器只能控制单播包而无法控制广播包 (多播包 (所幸的是，广播包和多播包内的关键信息，要远远少于单播包。 划分 为了克服以太网的广播问题，除了上述方法外，还可以运用 拟局域网 )技术，将以太网通信变为点到点通信，防止大部分基于网络侦听的入侵。 目前的 术主要有三种：基于交换机端口的 于节点 基于应用协议的 于端口的 然稍欠灵活，但却 比较成熟，在实际应用中效果显著，广受欢迎。基于 址的 移动计算提供了可能性，但同时也潜藏着遭受 诈攻击的隐患。而基于协议的 论上非常理想，但实际应用却尚不成熟。 在集中式网络环境下，我们通常将中心的所有主机系统集中到一个 这个 不允许有任何用户节点，从而较好地保护敏感的主机资源。在分布式网络环境下，我们可以按机构或部门的设置来划分 部门内部的所有服务器和用户节点都在各自的 ，互不侵扰。 部的连接采用交换实现，而 间的连接则采用路由实现。目前，大多数的交换机 (包括普遍采用的 00)都支持 两种国际标准的路由协议。如果有特殊需要，必须使用其他路由协议 (如 司的 支持 也可以用外接的多以太网口路由器来代替交换机，实现 间的路由功能。当然，这种情况下，路由转发的效率会有所下降。 无论是交换式集线器还是 换机，都是以交换技术为核心，它们在控制广播、防止黑客上相当有效，但同时也给一些基于广播原理的入侵监控技 术和协议分析技术带来了麻烦。因此，如果局域网内存在这样的入侵监控设备或协议分析设备，就必须选用特殊的带有 能的交换机。这种交换机允许系统管理员将全部或某些交换端口的数据包映射到指定的端口上，提供给接在这一端口上的入侵监控设备或协议分析设备。笔者在一次外部网设计中，就选用了 司的具备 能的 列交换机，既得到了交换技术的好处，又使原有的 议分析仪“英雄有用武之地”。 广域网安全 由于广域网大多采用公网来进行 数据传输，信息在广域网上传输时被截取和利用的可能性就比局域网要大得多。如果没有专用的软件对数据进行控制，只要使用 免费下载的“包检测”工具软件，就可以很容易地对通信数据进行截取和破译。 因此，必须采取手段，使得在广域网上发送和接收信息时能够保证： 除了发送方和接收方外，其他人是无法知悉的 (隐私性 )； 传输过程中不被篡改 (真实性 )； 发送方能确知接收方不是假冒的 (非伪装性 )； 发送方不能否认自己的发送行为 (不可抵赖性 )。 为了达到以上安全目的，广域网通常采用以下 安全解决办法： 加密型网络安全技术的基本思想是不依赖于网络中数据通道的安全性来实现网络系统的安全，而是通过对网络数据的加密来保障网络的安全可靠性。数据加密技术可以分为三类，即对称型加密、不对称型加密和不可逆加密。 其中不可逆加密算法不存在密钥保管和分发问题，适用于分布式网络系统，但是其加密计算量相当可观，所以通常用于数据量有限的情形下使用。计算机系统中的口令就是利用不可逆加密算法加密的。近年来，随着计算机系统性能的不断提高，不可逆加密算法的应用逐渐增加，常用的如 司的 美国国家标准局的 一些系统中广泛使用的 由器，有两种口令加密方式： 中， 采用了 可逆加密算法，因而目前尚未发现破解方法 (除非使用字典攻击法 )。而 即简单地将口令与一个常数进行 ，目前至少已有两种破解软件。因此，最好不用 术 拟专网 )技术的核心是采用隧道技术，将企业专网的 数据加密封装后，透过虚拟的公网隧道进行传输，从而防止敏感数据的被窃。 以在 务提供商的 中继或 上建立。企业通过公网建立 如同通过自己的专用网建立内部网一样，享有较高的安全性、优先性、可靠性和可管理性，而其建立周期、投入资金和维护费用却大大降低，同时还为移动计算提供了可能。因此， 术一经推出，便红遍全球。 但应该指出的是，目前 术的许多核心协议，如 ，都还未形成通用标准。这就使得不同的 务提供商之间、 备之间的互操作 性成为问题。因此，企业在 网选型时，一定要慎重选择 务提供商和 备。 对于从外部拨号访问总部内部网的用户，由于使用公共电话网进行数据传输所带来的风险，必须更加严格控制其安全性。一种常见的做法是采用身份认证技术，对拨号用户的身份进行验证并记录完备的登录日志。较常用的身份认证技术，有 司提出的 及业界标准的 者在上文中提到过的那次外部网设计中，就选用了 司的 件进行份认证 。 外部网安全 笔者所说的外部网建设，通常指与 互联及与外部企业用户的互联两种。无论哪一种外部网，都普遍采用基于 P 的 议族。 直接推动了网络技术的迅猛发展。但是，由于在早期网络协议设计上对安全问题的忽视，以及使用和管理上的无政府状态，逐渐使 身的安全受到威胁，黑客事件频频发生。 对外部网安全的威胁主要表现在：非授权访问、冒充合法用户、破坏数据完整性、 干扰系统正常运行、利用网络传播病毒、线路窃听等。 外部网安全解决办法主要依靠防火墙技术、入侵检测技术和网络防病毒技术。在实际的外部网安全设计中，往往采取上述三种技术 (即防火墙、入侵检测、网络防病毒 )相结合的方法。 司最新版本的三宿主自适应动态防火墙防火墙产品集成了 套件，将防火墙技术、入侵检测技术与网络防病 毒技术融为一体，紧密结合，相得益彰，性价比比较高 。 3 网络总体结构 对于已经上了一定规模，在内部已经有了几个部门的企业，如果所有部门的用户无差别地处于对等网中，不仅使许多敏感数据容易被无关人员获取，而且部门内的大量通信也会占用大量的网络资源 ， 使整个网络的效率变低 ， 甚至引起崩溃。为了克服这个缺点，需要将经常进行通信的计算机组成一个子网，使大量的内部数据局限在子网内传播，然后将各个子网连接在一起 形成局域网。 在这个方案中，使用 了 过拨号连接到互联网中。路由器和集线器之间，可以设置一台安装了两 个网卡的服务器 。 分别连接在路由器和集线器上，作为网关，运行防火墙软件等，进行网络管理和安全防范。 在方案中，用 为统一的出口。 避免每台 一个 少了购买费用，并且容易管理；而使用一台服务器加上网络管理的方法，在一定程度上节约了费用，但可能造成系统不稳定，在维护和管理上也比较困难，所以在经费允许的情况下，最好使用路由器作为连接广域网的接口。 在中心使用交换机，以提高整个网络的性能和速度，各个子网中的计算机用集线器连接。对于比较重要、日常数据比较敏感的部门，例如财务部门，可以考虑使用部门服务器，存放重要数据 ， 并运行防火墙程序，屏蔽非法的访问，而普通部门的集线器可以直接与中心的交换机连接。对于打印机、绘图仪等外部设备 ，可以根据需要放置在中心或相应部门，而在内部需要大量数据传输的部门，可以采用交换机替代集线器作为部门的网络节点。 代理服务器是你和互联网之间的另一台计算机 (由你的 制 )，所有进出你计算机的信息必须首先通过代理服务器。虽然听起来不太好，但对每个订户其实相当不错，代理服务器可作为天然防火墙，阻止不怀好意的黑客闯入你的计算机。代理服务器还具有高速缓存经常访问的网页的能力 ，可以过滤掉某些你不喜欢的内容，如广告，不想浏览的网页等。 结构图如下 5. 网络设备及网络安全设备选型和数量 (1)网络连接介质的选择 用户机与集线器 (选用无屏蔽双绞线，每段双绞线的长度不得超过100m 的极限，否则会对数据传输速率造成较大影响。 因为客户对网速要求一般 ， 干线电缆、主计算机与干线电缆的连接、集线器与干线电缆的连接均采用 5基带同轴电缆。 (2)网络适配器（网卡）的选择 路由器（ 防火墙（ 总交换机 C 子网 交换机 网 交换机 子网 交换机 子网 交换机 子网 交换机 C C C C C 印机 打印机 160 台 160 台 160 台 160 台 160 台 绘图仪 200 元左右的兼容网卡已能满足 声 中小型办公网 的要求，选用 3卡即可。另外，选择网卡时应注意与接人电缆类型匹配，每台设备联入总线需一个 T 型接头。 (3) 集线器 选择 在以太网中，集线器是用来将各微机引出的双绞线连接在一起，常用集线器有 8 口和 16口两种，根据所需接人的微机数量进行选用，并为以后网络扩展留下一定空间。 (4) 交换机 和路由器 的选择 本方案采用 列 的介绍如下： 网络标准 为 双工，在 10100000口上 成树协议 传输速率（ 10/100 交换方式 存储 端口类型 为 1000 列全千兆智能弹性交换机是华为 司为设计和构建高弹性和高智能网络需求而推出的新一代以太网交换机产品。系统采用华为司创新的 能弹性架构 )技术，支持高达 96G 的堆叠带宽和高密度千兆端口，支持万兆上行 。特别适合作为需要高带宽、高性能和高扩展性的中小企业网核心、大型企业网络和园区网的汇聚层以及数据中心的服务器接入设备。 648P：采用交、直流双输入电源模块供电，并可通过更换电源模块提供千兆 能。后面板提供两个固定的堆叠接口和一个扩展模块插槽，扩展模块可选配 8 端口千兆 1 端 口万兆 模块 或 2 端口 万兆模 块。 前面 板提供 24/48 个10/100/1000协商以太网端口（ 接器）及 4 个 口。 路由器选用 801，它属于中端路由器，用于实现中小型网络的 集成多业务路由器，带交流电源， 2个接口卡插槽， 2体参数如表 1 所示 表 1 801 缺省 : 128 最大 : 384 小型闪存 缺省 : 64 最大 : 128固定 口 1 接口卡插槽 4 个插槽 ; 2 个插槽支持 或 块 1 个插槽支持 或 块 1 个插槽支持 块 功耗 交流，无 150W (511 功耗 交流，带 仅限系统 150W (511 功耗 交流，带 180W (612 (5) 网络系统的选择 因国内大多用户使用的 是 列产品，为充分发挥用户现有知识的价值，选用 000 较合适 。 6 网络操作系统的安装 下面通过从光盘启动计算机安装一个全新的 000 动安装程序后，就开始将必须得安装文件复制到磁盘中，然后显示出现一系列的对话框，用于设置系统相关的重要信息。 步骤 1： 为 000 择或创建一个分区 在系统复制完安装文件并重新启动后，出现一个对话框要求创建或指定一个用于安装 000 磁盘分区，用户可以在磁盘中未分区的可用空间上创建分区，也可以指定一个现有的分区，还可以删 除一个或几个现有的分区然后创建一个新的分区。由于安装 000 文件需要至少 1 可用磁盘空间，这在系统需求中已说明了，所以建议要创建或指定的分区大小应大于最小需求，分区的大小为 2B 就可以了。之后，选择文件系统。如果用户是升级，则可以使用当前的文件系统；然而，也可以更改为 是推荐的 000 文件系统。 步骤 2 ： 选择区域设置 在 地区设置 对话框中，遵循指导来自定义语言、选择正确的时间区域和辅助功能设置。还可将 000 设置为使用多种语言和地区选项。 步骤 3 ： 设置个人化软件 在 个人化软件 对话框，键入用户的姓名，还可键入单位（可选）。 步骤 4 ： 选择许可协议方式 在 “ 授权模式 ” 对话框，选择客户端的授权模式，可以是 每客户 或 每服务器 方式。对于新的安装，系统要求用户选择客户端的授权模式，如果是升级安装，客户许可协议方式将根据已有设置自动设定。如果用户无法确定授权方式，则选择 每服务器 方式，因为用户可以随时将 “ 每服务器 ” 方式转换为 “ 每客户 ” 方式，但注意只能进行一次转换，且这种转换是不可逆的。 步骤 5： 输入计算机名称 对于大多数语言来说，建议不超过 15 个字符。对于需要更多存储空间的语言，例如中文、日文或韩文，建议不超过 7 个字符。 建议在计算机名中只使用 准的字符。这些标准字符包括数字 0 到 9、 A 到 Z 的大写字母和小写字母以及连字符 (-)。如果网络上使用了 务，那么还可以使用范围更广的字符，包括 符和其他非标准字符，例如 & 符等。使用非标准字符可能会影响与网络上的非 件的互操作性。 计算机名的最大长度为 63 字节。如果名称超过 15 个字节（大多数语言是 15 个字符，有些语言是 7 个字符），安装 000 以前的计算机只靠该名称的前 15 个字符来识别此计算机。此外，对于长于 15 个字节的名称，需要额外的配置步骤。 如果此计算机是某个域的一部分，则选择的计算机名必须不同于域内的其他任何计算机。如果此计算机是某个域的一部分，且包含多个操作系统，那么每个操作系统使用的计算机名必须各不相同。 步骤 6 ： 设置管理员帐户密码 在 管理员密码 对话框中，键入最多不超过 127 个英文字符的密码。为了具有最高的系统安全性，密码至少要 7 个字符（非强制性），并应采用大写字母、小写字母和数字以及其他字符（例如 *、 ? 或 $）的混合形式。 在 确认密码 对话框，再次键入密码。 由于管理员帐户在 000 中的特殊性，出于对系统安全性的考虑，用户要格外重视这个帐户。安装程序在计算机上创建了一个称作 用户帐户，它具有管理计算机全部配置的管理权限。管理这台计算机的人员一般使用此 户。出于安全考虑，建议为 户指定密码。将 管理员密码 设置为空，表明该帐户没有密码。在 确认密码 框内输入的密码必须与 管理员密码 中输入的密码完全一致。一定要谨记并保护好用户的密码。 在安装完成之后，为了获得最好的安全性，要更改 户名（但不能删除它）并始终为该帐户设置一个安全性高的密码。 步骤 7 ： 选择 000 组件 在 000 组件 对话框，选择系统运行所需组件。对于 P 网络用户通常需要的组件包括 选取这些组件，可在安装过程中，在 000 组件 对话框内，选择 网络服务 ，并单击 详细资料 ，然后选择所需的一个或多个组件。 如果在完成安装后，确定还需要其他组件，可以在以后添加这些必要的组件。要这样做，请在运行完安装程序之后，单击 开始 ，指向 设置 ，然后单击控制面板 ，在控制面板上，双击 添加 /删除程序 。在添加 /删除程序中，单击添加 /删除 件 。 步骤 8 ： 设置日期和时间 在 日期和时间设置 对话框中设置正确日期、时间和时区。如果想让系统自动调整夏时制， 请选中 根据夏时制自动调整时钟 复选框 步骤 9 ： 指定工作组名或域名 在此用户需要选择本机是属于工作组还是将本机加入到一个域中，并指定工作组名或域名。 在安装向导完成 000 安装后，计算机重新启动。至此用户已经完成了 000 基本安装。下面进一步配置 000 系统重新启动后，以管理员身份登录，屏幕上将出现配置服务器程序，利用它用户可以轻松地进行进一步的服务器配置。用户也可以通过单击 开始 ，指向程序 ， 再指向 管理工具 ，然后单击 配置服务器 ，启动配置服务器程序。下面介绍以下 配置服务器 所提供的配置选项的详细信息。 设置用户帐户、组帐户及其策略、域、服务器角色、权限，还可以帮助维护系统的安全性、跟踪用户信息。 文件系统 ： 设置和管理共享文件夹及其他共享网络资源。 打印服务器 ： 设置和管理打印机、打印机队列以及其他与打印相关的元素 。 务器 ： 创建管理 企业内部网中的 点、多媒体站点、 点和其他功能。要使用这些服务，必 须在 000 安装相应的组件。 网络 ： 选择、设置网络协议、远程访问和路由选择，包括 务 。 应用程序服务器 ： 对消息队列、组件服务和跨网络的分布式应用程序的相关支持，也包括终端服务。 高级 ： 000 持工具和可选组件，例如远程安装、终端服务器、证书授权及在 基本安装 过程中未安装的组件。 网络防火墙的 安装 企业网络安全问题日益突显，因此防火墙的选择非常重要 。 启用 P 的防火墙，必须进行设置，不设置是不起作用的。 设置过程： （ 1） 打开网络连接文件夹或找到网络连接的图标 . （ 2） 右键点击 to to 享接） 然后再右键点击 性） （ 3） 选择 级） 任务条。 （ 4） 选择 my by or to 用这个计算机限制从入的 问并保护我的计算机和网络 ） 在其下面有一个 接防火墙的检查框，鼠标点击选定。 （ 5） 点击 在 安装 000 注意对共享和通讯协议的设置，通过通讯软件实现各机间 E 传送。 其他设置 防火墙的设置： 步骤： 第一步：添加设备： 两个路由器，两个交换机，四台 第二步：如上图建立连接 第三步：分别为设备设置 址，网关，子网掩码 置如下： 登录用户名 登录口令 设置 址和子网掩码 设置网关 置如下： 登录用户名 登录口令 设置 址和子网掩码 设置网关 置如下： 登录用户名 登录口令 设置 址和子网掩码 设置网关 置如下： ；进入特权模式 ；进入全局配置模式 ；进入 接口 ip ；设置 址和子网掩码 no ；起动接口 ；返回命令 ；进入 接口 ip ；设 置 址和子网掩码 no ；起动接口 4000 ；设置时钟 ；返回命令 置如下： ；进入特 权模式 ；进入全局配置模式 ；进入 接口 ip ；设置 址和子网掩码 no ；起动接口 ；返回命令 ；进入 接口 ip ；设置 址和子网掩码 no ；起动接口 4000 ；设置时钟 ；返回命令 第四步：为路有器设置路由表 为 置路由表 ip ；启动路由 ；启动 由协议。 置路由表 ip ；启动路由 ；启动 由协议。 时可用 令测试 通的 第五步：为路有器设置访问控制列表，即防火墙的软件设置 禁止 ； ip ； 时可用 令测试 不通的， 通的 务器 的安装 一种客户 /服务器结构，因此，它既需要运行于用户计算机上的客户机软件，又需要运行于宿主（服务器） 计算机上的服务器软件。用户启动 过输入用户名和口令，试图与 务器建立连接。一旦成功，在 ，客户机和服务器之间就建立起一条命令链路（控制链路） ，如图2 所示。 客户程序通过它向 务器发送诸如改变目录、显示目录清单等命令，务器则返回每条命令执行后的状态信息。 图 2 路图 本方案选择 件来实现 务 。 6 综合 布线 综合布线基本概念 综合布线是对传统布线方式的彻底变革，经过统一的规划设计，它将所有话音、数据、视频信号与控制设备的配线等综合在一套标准的配线系统中。综合布线系统能够支持多种信息的传输，支持多种传输介质，支持多用户多类型产品的应用。此外，通信设备替换、移动和扩充极为简单、方便。 68 国际综合布线标准 这个标准确定了一个可以支持多品种多厂家的商业建筑的综合布线系统，同时也提供了为商业服务的电信产品的设计方向。即使对随后安装的电信产品不甚了解，该标准可帮您对产品进行设计和安装。在建筑建造和改造过程中进行布线系统的安装比建筑落成后实施要大大节省人力物力财力。 这个标准确定了各种各样布线系统配置的相关元器件的性能和技术标准。为达到一个多功能的布线系统，已对大多数电信业务的性能要求进行了审核。业务的多样化及新业务的不断出现会对所需性能作某些限制。用户为了了解这些限制应知道所需业务的 标准。 准的基本内容 办公环境中的布线 要求 （ 1） 从 座到设备间的连线用双绞线，长度一般不超过 5m。 （ 2） 座须安装在墙壁上或不易碰到的地方，插座距离地面 30上。 （ 3） 插座和插头（与双绞线）按照标准线序接线。 （ 4） 68A 的线序是：绿白、绿、橙白、蓝、蓝白、橙、白棕、棕； 布线 的具体分类 水平布线 水平布线是综合布线结构的一部分，它从工作区的信息插口一直到管理区，内有工作区的管理区，水平电缆的终端跳线架。 完成水平布线的设计后，就要考虑以下的日常业务和系统：语音通信业务 、 室内交换设备 、 数据通信 、 局域网 。 为了满足当今电信的需求水平布线应便于维护和改进适应新的设备和业务变化。水平缆线的类型和设计的选择对于 中型企业