XX公司网络安全设计方案_第1页
XX公司网络安全设计方案_第2页
XX公司网络安全设计方案_第3页
XX公司网络安全设计方案_第4页
XX公司网络安全设计方案_第5页
已阅读5页,还剩33页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

XX公司网络安全设计方案XX公司网络安全设计方案/NUMPAGES38XX公司网络安全设计方案XX公司网络安全设计方案计算机与信息工程学院《网络安全课程设计》报告(2015/2016学年第二学期)课程设计名称XX公司网络安全管理方案 专业计算机科学与技术班级13计科(信息)学号1306915124姓名薛少伟成绩类别成绩个人考勤(20)实践成绩(40)总结报告(40)总成绩(100)等级制成绩2016年5月10日目录需求分析………………公司目标的需求………公司网络安全需求……………………需求分析………………第二章网络安全的设计………2.1网络设计主要功能……………………2.2网络设计原则…………2.3网络的设计……………………………………………………………………第三章系统安全架构…………3.1系统设计………………3.2系统组建………………第四章数据安全设计…………4.1数据层的架构…………4.2数据安全测试…………第五章安全设备选型…………5.1设备选型………………5.2明细表…………………总结……………致谢……………参考文献………………………需求分析1.1公司目标的需求XX网络有限公司是一家有100名员工的中小型网络公司,主要以手机应用开发为主营项目的软件企业。公司有一个局域网,约100台计算机,服务器的操作系统是WindowsServer2003,客户机的操作系统是WindowsXP,在工作组的模式下一人一机办公。公司对网络的依赖性很强,主要业务都要涉及互联网以及内部网络。随着公司的发展现有的网络安全已经不能满足公司的需要,因此构建健全的网络安全体系是当前的重中之重。1.2公司网络安全需求XX网络有限公司根据业务发展需求,建设一个小型的企业网,有Web、Mail等服务器和办公区客户机。企业分为财务部门和业务部门,需要他们之间相互隔离。同时由于考虑到Inteneter的安全性,以及网络安全等一些因素,如DDoS、ARP等。因此本企业的网络安全构架要求如下:(1)根据公司现有的网络设备组网规划(2)保护网络系统的可用性(3)保护网络系统服务的连续性(4)防范网络资源的非法访问及非授权访问(5)防范入侵者的恶意攻击与破坏(6)保护企业信息通过网上传输过程中的机密性、完整性(7)防范病毒的侵害(8)实现网络的安全管理。1.3需求分析通过了解XX网络公司的需求与现状,为实现XX网络公司的网络安全建设实施网络系统改造,提高企业网络系统运行的稳定性,保证企业各种设计信息的安全性,避免图纸、文档的丢失和外泄。通过软件或安全手段对客户端的计算机加以保护,记录用户对客户端计算机中关键目录和文件的操作,使企业有手段对用户在客户端计算机的使用情况进行追踪,防范外来计算机的侵入而造成破坏。通过网络的改造,使管理者更加便于对网络中的服务器、客户端、登陆用户的权限以及应用软件的安装进行全面的监控和管理。因此需要网络安全的设计2.1网络设计主要功能(1)资源共享功能。网络内的各个桌面用户可共享数据库、共享打印机,实现办公自动化系统中的各项功能。(2)通信服务功能。最终用户通过广域网连接可以收发电子邮件、实现Web应用、接入互联网、进行安全的广域网访问。(3)多媒体功能。支持多媒体组播,具有卓越的服务质量保证功能。远程VPN拨入访问功能。系统支持远程PPTP接入,外地员工可利用INTERNET访问。2.2网络设计原则(1)实用性和经济性。系统建设应始终贯彻面向应用,注重实效的方针,坚持实用、经济的原则,建设企业的网络系统。(2)先进性和成熟性。系统设计既要采用先进的概念、技术和方法,又要注意结构、设备、工具的相对成熟。不但能反映当今的先进水平,而且具有发展潜力,能保证在未来若干年内企业网络仍占领先地位。(3)可靠性和稳定性。在考虑技术先进性和开放性的同时,还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手,确保系统运行的可靠性和稳定性,达到最大的平均无故障时间,TP-LINK网络作为国内知名品牌,网络领导厂商,其产品的可靠性和稳定性是一流的。(4)安全性和保密性。在系统设计中,既考虑信息资源的充分共享,更要注意信息的保护和隔离,因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的措施,包括系统安全机制、数据存取的权限控制等,TP-LINK网络充分考虑安全性,针对小型企业的各种应用,有多种的保护机制,如划分VLAN、MAC地址绑定、802.1x、802.1d等。(5)可扩展性和易维护性。为了适应系统变化的要求,必须充分考虑以最简便的方法、最低的投资,实现系统的扩展和维护,采用可网管产品,降低了人力资源的费用,提高网络的易用性。2.3网络的设计(1)物理位置选择机房应选择在具有防震、防风和防雨等能力的建筑内;机房的承重要求应满足设计要求;机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁;机房场地应当避开强电场、强磁场、强震动源、强噪声源、重度环境污染,易发生火灾、水灾,易遭受雷击的地区。(2)电力供应机房供电应与其他市电供电分开;应设置稳压器和过电压防护设备;应提供短期的备用电力供应(如UPS设备);应建立备用供电系统(如备用发电机),以备常用供电系统停电时启用。(3)电磁防护要求应采用接地方式防止外界电磁干扰和相关服务器寄生耦合干扰;电源线和通信线缆应隔离,避免互相干扰。内部办公自动化网络根据不同用户安全级别或者根据不同部门的安全需求,利用三层交换机来划分虚拟子网(VLAN),在没有配置路的情况下,不同虚拟子网间是不能够互相访问。通过虚拟子网的划分,能够实较粗略的访问控制[2]。1、vlan的划分和地址的分配经理办子网(vlan2

生产子网(vlan3

市场子网(vlan4

财务子网(vlan5

资源子网(vlan6

2、访问权限控制策略(1)经理办VLAN2可以访问其余所有VLAN。(2)财务VLAN5可以访问生产VLAN3、市场VLAN4、资源VLAN6,不可以访问经理办VLAN2。(3)市场VLAN4、生产VLAN3、资源VLAN6都不能访问经理办VLAN2、财务VLAN5。(4)生产VLAN4和销售VLAN3可以互访。数据的机密性与完整性,主要是为了保护在网上传送的涉及企业秘密的信息,经过配备加密设备,使得在网上传送的数据是密文形式,而不是明文。可以选择以下几种方式:(1)链路层加密对于连接各涉密网节点的广域网线路,根据线路种类不同可以采用相应的链路级加密设备,以保证各节点涉密网之间交换的数据都是加密传送,以防止非授权用户读懂、篡改传输的数据,如图3.1所示。

图3.1链路密码机配备示意图链路加密机由于是在链路级,加密机制是采用点对点的加密、解密。即在有相互访问需求并且要求加密传输的各网点的每条外线线路上都得配一台链路加密机。通过两端加密机的协商配合实现加密、解密过程。(2)网络层加密鉴于网络分布较广,网点较多,而且可能采用DDN、FR等多种通讯线路。如果采用多种链路加密设备的设计方案则增加了系统投资费用,同时为系统维护、升级、扩展也带来了相应困难。因此在这种情况下我们建议采用网络层加密设备(VPN),VPN是网络加密机,是实现端至端的加密,即一个网点只需配备一台VPN加密机。根据具体策略,来保护内部敏感信息和企业秘密的机密性、真实性及完整性[3]。IPsec是在TCP/IP体系中实现网络安全服务的重要措施。而VPN设备正是一种符合IPsec标准的IP协议加密设备。它通过利用跨越不安全的公共网络的线路建立IP安全隧道,能够保护子网间传输信息的机密性、完整性和真实性。经过对VPN的配置,可以让网络内的某些主机通过加密隧道,让另一些主机仍以明文方式传输,以达到安全、传输效率的最佳平衡。一般来说,VPN设备可以一对一和一对多地运行,并具有对数据完整性的保证功能,它安装在被保护网络和路由器之间的位置。设备配置见下图。目前全球大部分厂商的网络安全产品都支持IPsec标准。如图3.2所示。

图3.2VPN设备配置示意图由于VPN设备不依赖于底层的具体传输链路,它一方面可以降低网络安全设备的投资;而另一方面,更重要的是它可以为上层的各种应用提供统一的网络层安全基础设施和可选的虚拟专用网服务平台。对政府行业网络系统这样一种大型的网络,VPN设备可以使网络在升级提速时具有很好的扩展性。鉴于VPN设备的突出优点,应根据企业具体需求,在各个网络结点与公共网络相连接的进出口处安装配备VPN设备。由于在网络环境下,计算机病毒有不可估量的威胁性和破坏力。我们都知道,公司网络系统中使用的操作系统一般均为WINDOWS系统,比较容易感染病毒。因此计算机病毒的防范也是网络安全建设中应该考滤的重要的环节之一。反病毒技术包括预防病毒、检测病毒和杀毒三种技术[4]:(1)预防病毒技术预防病毒技术通过自身常驻系统内存,优先获得系统的控制权,监视和判断系统中是否有病毒存在,进而阻止计算机病毒进入计算机系统和对系统进行破坏。这类技术有,加密可执行程序、引导区保护、系统监控与读写控制(如防病毒卡等)。(2)检测病毒技术检测病毒技术是通过对计算机病毒的特征来进行判断的技术(如自身校验、关键字、文件长度的变化等),来确定病毒的类型。(3)杀毒技术杀毒技术通过对计算机病毒代码的分析,开发出具有删除病毒程序并恢复原文件的软件。反病毒技术的具体实现方法包括对网络中服务器及工作站中的文件及电子邮件等进行频繁地扫描和监测。一旦发现与病毒代码库中相匹配的病毒代码,反病毒程序会采取相应处理措施(清除、更名或删除),防止病毒进入网络进行传播扩散。应用安全,顾名思义就是保障应用程序使用过程和结果的安全。简言之,就是针对应用程序或工具在使用过程中可能出现计算、传输数据的泄露和失窃,通过其他安全工具或策略来消除隐患。(1)内部OA系统中资源享严格控制内部员工对网络共享资源的使用。在内部子网中一般不要轻易开放共享目录,否则较容易因为疏忽而在与员工间交换信息时泄漏重要信息。对有经常交换信息需求的用户,在共享时也必须加上必要的口令认证机制,即只有通过口令的认证才允许访问数据。虽然说用户名加口令的机制不是很安全,但对一般用户而言,还是起到一定的安全防护,即使有刻意破解者,只要口令设得复杂些,也得花费相当长的时间。(2)信息存储对有涉及企业秘密信息的用户主机,使用者在应用过程中应该做到尽量少开放一些不常用的网络服务。对数据库服务器中的数据库必须做安全备份。通过网络备份系统,可以对数据库进行远程备份存储。防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。防火墙通过制定严格的安全策略实现内外网络或内部网络不同信任域之间的隔离与访问控制。并且防火墙可以实现单向或双向控制,对一些高层协议实现较细粒的访问控制。XX公司网络中使用的是神州数码的DCFW-1800SUTM,里面包含了防火墙和VPN等功能。由于采用防火墙、VPN技术融为一体的安全设备,并采取网络化的统一管理,因此具有以下几个方面的优点:(1)管理、维护简单、方便;(2)安全性高(可有效降低在安全设备使用上的配置漏洞);(3)硬件成本和维护成本低;(4)网络运行的稳定性更高由于是采用一体化设备,比之传统解决方案中采用防火墙和加密机两个设备而言,其稳定性更高,故障率更低。图2.1公司网络结构由于XXDMZ区域和普通区域。防火墙上做NATDMZ系统安全架构3.1系统设计安全系统设计是在信息系统安全策略的基础上,从安全策略的分析中抽象出安全系统及其服务。安全系统的设计如图1所示。安全系统设计的目标是设计出系统安全防御体系,设计和部署体系中各种安全机制从而形成自动的安全防御、监察和反应体系,忠实地贯彻系统安全策略。3.2系统组建目前市场主流终端架构有独立PC机、无盘工作站和虚拟化终端。从节约成本和简化管理工作量角度来看,PC机的模式基本不予以考虑。综合对比无盘工作站和虚拟化终端无盘工作站要求前端硬件型号及配置一致,扩展性较差。而瘦客户机访问虚拟桌面时采用的是统一架构与协议,与瘦客户机及后端服务器品牌及型号均无要求。无盘工作站与传统PC的唯一不同就是将本地的硬盘移除,但用户数据仍会驻留在工作站的内存中,非常容易被窃取。而虚拟桌面的运算均驻留在数据中心的服务器上,保证了数据及应用的安全性。采用无盘工作站方式对客户端及服务器的资源要求均很高,当无盘工作站数量达到一定数量时,速度会变得缓慢,同时整体系统的稳定性不高,由此带来的维护成本也较高。因此综合如上因素:我们推荐针对办公计算机和试验办公计算机均采用虚拟化终端架构。但是针对试验计算机终端需要通过传统的com口连接试验仪器,而一般虚拟化瘦客户端机器都不具备这些接口。因此为试验室使用计算机我们还是采用传统的独立PC机终端模式。数据安全设计4.1数据层的架构该数据层架构主要是针对实验计算机上所有机密数据采用何种数据存储而言。首先我们明确要对实验计算机每日生成的机密实验数据需要进行集中存储,而且要实现自动存储。一般来说,会被企业采用的存储架构,可分为3种,以下作简单的说明:一、DAS:在数字数据尚未大量暴增的早期,比较简单的存储架构就是采用直接附加存储(DirectAttachedStorage;DAS)。所有的存储装置,包括硬盘、光盘、软盘、随身碟等存储设备,皆附属于计算机本身,这些由个人使用的计算机延伸出来的装置,透由计算机连接到服务器上,就形成1个简单的存储架构。现今企业数据的复杂化,种类也渐趋多元,伴随着异质平台互相分享文件的需求,也就需要更为完整的存储架构,作为理想的解决方案。不过,只要企业数据量增加,就必须另外购买存储设备与服务器,因为这些零散的服务器大大增加管理者的工作份量。由于DAS多是透过SCSI硬盘进行存储,在硬盘的I/O表现比网络慢的情形下,DAS架构效能及存取速度也的确是1个问题,因此透过网络进行存储的方式,成为企业采取的主要存储架构,而NAS和SAN又为企业最常用的2种。二、NAS:运用以太网络所建构的局域网络,来串连公司内部的存储设备,就是网络附加存储(NetworkAttachedStorage;NAS)的基本精神。简单说来,NAS就是网络硬盘的概念,透过1台NAS主机来管理数据,以减少在个人使用者端,所必须花费的存储设备购买成本。NAS已经是相当成熟且便利的解决方案,对于进行文件式的数据存取,也相当方便,不过,由于是透过IP网络进行数据的存取,走的是开放架构,代表流窜于网络上的病毒、黑客攻击,极有可能造成网络磁盘驱动器的瘫痪。此外,当终端使用者人数增加,多人同时存取的时候,就会造成服务器的过度负担,甚至当机,这些状况往往会延误到前端使用者的工作进行。三、SAN:所谓的存储局域网络(StorageAreaNetwork;SAN),是1种更为专门、精准的存储架构。透过光纤信道,以及光纤交换机(switch)、HBA卡、和存储设备的串接,自成1个网络。和NAS不同的是,为了保护数据的完整性,SAN完全藉由光纤网络将网络存储元素串起来,并自成1个系统。不会受到网络频宽质量与服务器速度的限制。因此在本次项目中的数据存储架构中,我们推荐IPSAN存储架构。将一个大的存储空间为每个实验计算机映射为一定空间大小的本地磁盘,让所有生成的实验数据保存到该空间中。4.2数据安全测试数据加密保护通过每台实验计算机上安装加密程序,对存储设备对应本地的磁盘空间进行全盘加密,这样保存在上面的文件即为密文。只有安装了加密程序并且被授权的计算机才有权限以明文方式看到对应的文档。数据备份异地备份通过一台备份服务器和备份软件对IPSAN存储设备中的数据每天进行数据备份。可以采用离线备份如磁带机,或者采用另外一台磁盘阵列存储设备。安全设备选型5.1设备选型服务器选型\o"IBMx3400M2(7837I01)服务器"IBMx3400M2(7837I01)基本资料产品型号Systemx3400M2(7837I01)产品类型塔式产品结构5U处理器处理器型号IntelXeon,55042.0G处理器主频(MHz)2000MHz处理器二级缓存(KB)4×512KB处理器三级缓存(M)4ML3标配CPU数目标配1个最大CPU数目最大2个主板主板扩展插槽8×PCI扩展插槽内存内存类型ECC标配内存2048M内存插槽数12最大支持内存容量96G存储标配硬盘2.5寸HSSAS146G磁盘阵列Raid0,Raid1,标配8个硬盘槽可标配BR10i阵列卡光驱DVD-ROM光驱网络与插槽网卡2×1000M以太网卡机箱与电源尺寸767×440×218mm重量38Kg电源一个670瓦服务器电源其它支持操作系统MicrosoftWindows、RedHatEnterpriseLinux、SUSELinuxEnterprise、VMwareESX和ESXi工作温度及湿度(℃)作温度10℃-35℃,工作湿度8%至85%存储温度及湿度(℃)储存温度10℃-43℃,储存湿度5%至95%工作高度(米)2133米售后服务3年有限保修工作战选型:基本参数型号扬天T4900V(E5300/1G/160G)类型商用台式机处理器IntelPentiumE53002.6G处理器类型奔腾E双核处理器频率2600MHz处理器接口LGA775二级缓存(KB)2048KB处理器外频200MHz主板/内存主板/芯片组IntelG31总线频率800MHz主板参数2×PCI,1×PCIExpress×16,1×PCIExpress×1内存类型DDR2内存大小1GB存储设备硬盘类型SATA硬盘硬盘参数7200转硬盘容量320GB光驱DVD光驱读卡器无读卡器视频音频显示器宽屏液晶尺寸19寸显示器描述分辨率1440×900显卡集成IntelGMAX3100显卡显卡性能PCI-EX16接口标准,支持DirectX9声卡板载声卡通讯网卡板载10-100-1000M网卡其它硬件电源220V/180W机箱立式,402.5×175×398mm键盘/鼠标键盘/光电鼠标其它附件光盘1张,说明书,其它资料其它操作系统WindowsXPHome附带软件有奖纠错拯救系统(一键恢复一键杀毒驱动智能安装文件管理),安全中心(私密文件柜安全登陆管理),培训中心,通讯中心(虚拟服务器内网沟通手机短信通讯录互联一点通)售后服务三年有限保修和三年有限上门服务属性关键字双核处理器,处理器支持64位计算技术联想T4900V详细参数我要挑错,赢积分,取大奖打印、复印、传真机选型主要参数型号KX-MB3018CN产品类型彩色激光标配功能打印,扫描,复印内存64MB自动输稿器50页接口类型USB2.0接口,10/100Base-T以太网端口打印参数打印方式激光打印打印速度32页/分最高打印分辨率2400×1200dpi最大打印幅面A4复印参数复印速度32页/分最高复印分辨率600×600dpi最大复印幅面A4连续复印1-99页复印缩放25%-400%扫描参数最高扫描分辨率(平台)600×2400dpi,(内插)9600×9600dpi其它参数耗材描述墨粉:KX-FAC405CN,硒鼓:KX-FAD406CN尺寸533(W)×459(D)×478(H)mm重量22.2kg适用平台Microsoft®Windows®98/Me/2000/XP/(32/64-bit)/MicrosoftWindowsVista®(32/64-bit)其它性能选购:KX-FAP106CN(520页/A4纸)佳能传真机主机规格型号FAX-JX210P自动输稿器20张(A4)供纸容量纸盒:100张(A4)技术指标传真传输速度6秒/页传真精度600×600dpi传真打印速度5.5页/分图象品质256级其他参数耗电量39W电源要求AC100-240V,50-60Hz重量包括电话听筒,墨盒:约4.1Kg其它性能传输模式:G3;扫描方式:接触式图像传感器CIS;传真存储容量:约60页;支持来电显示交换机及其他设备选型核心交换机基本参数产品型号TL-SG3109产品类型工作组级,二层,可网管型交换机传输方式存储转发方式背板带宽20Gbps包转发率10Mbps:14,880pps,100Mbps:148,810pps,1000Mbps:1,488,100pps外形尺寸294×180×44mm硬件参数接口类型10/100Base-T端口,10/100/1000BASE-T端口接口数目8口传输速率10M/100M/1000Mbps模块化插槽数1堆叠不可堆叠网络与软件支持网络标准IEEE802.3,802.3u,802.3z,802.3ab,802.3xVLAN支持支持VLAN功能网管功能支持网管功能是否支持全双工支持全双工MAC地址表8k其它参数电源电压100-240VAC,50/60Hz(内部通用电源)接入层交换机基本参数产品型号TL-SG1024D产品类型桌面级,二层,非网管型交换机,千兆交换机,以太网交换机传输方式存储转发方式背板带宽48Gbps包转发率10M:14880pps,100M:148800pps,1000M:1488000pps外形尺寸294×180×44mm硬件参数接口类型10/100BASE-TX端口,10/100Base-T端口,10/100/1000BASE-T端口,RJ45接口数目24口传输速率10M/100M/1000Mbps模块化插槽数0堆叠不可堆叠网络与软件支持网络标准IEEE802.3,IEEE802.3u,IEEE802.3ab,IEEE802.3xVLAN支持无VLAN功能网管功能无网管功能是否支持全双工支持全双工MAC地址表8K其他性能支持端口自动翻转,支持MAC地址自学习其它参数电源电压100-240VAC,0.8A(内部通用电源)最大功率25W电子白板TB-66基本参数型号TB-660主要参数产品类型交互式/读取尺寸1200×920/面板尺寸1270×990/面板数量1/电源计算机总线供电方式/功耗<1W/重量22kg/尺寸1400×1100×190mm其它性能接口标准USB/标准配件白板,电子笔,壁挂支架,USB线缆/可选附件可升降移动式支架,远程数码互动帐号,高级应用技巧培训

功能特性60英寸,对角线151cm/分辨率:4096×4096,屏幕比例4:3/电磁感应原理/进口高强度,低反射材料,高抗磨损,可使用标准清洁剂或湿布擦拭(标配)/MPC多功能复合板面(选配)/智能技术:HIKey1+2技术(20项)/处理速率:480点/s布线材料选择(水晶头双绞线信息点(模块面板底板)机柜)布线材料主要有水晶头,双绞线,信息点,机柜等。主要参数如下基本参数型号有奖纠错OKE18819产品类型有奖纠错网络机柜机柜容量有奖纠错19U机柜标准有奖纠错19英寸国际标准门及门锁有奖纠错前门玻璃带锁材料

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论