公司网络安全设计方案

XX企业网络安全设计方案(2)计算机与信息工程学院《网络安全课程设计》汇报（/第二学期）课程设计名称XX企业网络安全管理方案 专业计算机科学与技术班级13计科（信息）学号姓名薛少伟成绩类别成绩个人考勤（20）实践成绩（40）总结汇报（40）总成绩（100）等级制成绩5月10日目录需求分析………………企业目标需求………企业网络安全需求……………………需求分析………………第二章网络安全设计………2.1网络设计主要功效……………………2.2网络设计标准…………2.3网络设计……………2.3.1物理设备安全设计………………2.3.2内部网设计………2.3.3通信保密……………2.3.4病毒防护……………2.3.5应用安全……………2.3.6配置防火墙…………2.3.7网络结构……………第三章系统安全架构…………3.1系统设计………………3.2系统组建………………第四章数据安全设计…………4.1数据层架构…………4.2数据安全测试…………第五章安全设备选型…………5.1设备选型………………5.2明细表…………………总结……………致谢……………参考文件………………………需求分析1.1企业目标需求XX网络有限企业是一家有100名员工中小型网络企业，主要以手机应用开发为主营项目标软件企业。企业有一个局域网，约100台计算机，服务器操作系统是WindowsServer,客户机操作系统是WindowsXP，在工作组模式下一人一机办公。企业对网络依赖性很强，主要业务都要包括互联网以及内部网络。伴随企业发展现有网络安全已经不能满足企业需要，所以构建健全网络安全体系是当前重中之重。1.2企业网络安全需求XX网络有限企业依照业务发展需求，建设一个小型企业网，有Web、Mail等服务器和办公区客户机。企业分为财务部门和业务部门，需要他们之间相互隔离。同时因为考虑到Inteneter安全性，以及网络安全等一些原因，如DDoS、ARP等。所以本企业网络安全构架要求以下：（1）依照企业现有网络设备组网规划（2）保护网络系统可用性（3）保护网络系统服务连续性（4）防范网络资源非法访问及非授权访问（5）防范入侵者恶意攻击与破坏（6）保护企业信息经过网上传输过程中机密性、完整性（7）防范病毒侵害（8）实现网络安全管理。1.3需求分析经过了解XX网络企业需求与现实状况，为实现XX网络企业网络安全建设实施网络系统改造，提升企业网络系统运行稳定性，确保企业各种设计信息安全性，防止图纸、文档丢失和外泄。经过软件或安全伎俩对客户端计算机加以保护，统计用户对客户端计算机中关键目录和文件操作，使企业有伎俩对用户在客户端计算机使用情况进行追踪，防范外来计算机侵入而造成破坏。经过网络改造，使管理者愈加便于对网络中服务器、客户端、登陆用户权限以及应用软件安装进行全方面监控和管理。所以需要网络安全设计2.1网络设计主要功效（1）资源共享功效。网络内各个桌面用户可共享数据库、共享打印机，实现办公自动化系统中各项功效。（2）通信服务功效。最终用户经过广域网连接能够收发电子邮件、实现Web应用、接入互联网、进行安全广域网访问。（3）多媒体功效。支持多媒体组播，具备卓越服务质量确保功效。远程VPN拨入访问功效。系统支持远程PPTP接入，外地员工可利用INTERNET访问。2.2网络设计标准（1）实用性和经济性。系统建设应一直落实面向应用，重视实效方针，坚持实用、经济标准，建设企业网络系统。（2）先进性和成熟性。系统设计既要采取先进概念、技术和方法，又要注意结构、设备、工具相对成熟。不但能反应该今先进水平，而且具备发展潜力，能确保在未来若干年内企业网络仍占领先地位。（3）可靠性和稳定性。在考虑技术先进性和开放性同时，还应从系统结构、技术方法、设备性能、系统管理、厂商技术支持及维修能力等方面着手，确保系统运行可靠性和稳定性，达成最大平均无故障时间，TP-LINK网络作为国内著名品牌，网络领导厂商，其产品可靠性和稳定性是一流。（4）安全性和保密性。在系统设计中，既考虑信息资源充分共享，更要注意信息保护和隔离，所以系统应分别针对不一样应用和不一样网络通信环境，采取不一样方法，包含系统安全机制、数据存取权限控制等，TP-LINK网络充分考虑安全性，针对小型企业各种应用，有多个保护机制，如划分VLAN、MAC地址绑定、802.1x、802.1d等。（5）可扩展性和易维护性。为了适应系统改变要求，必须充分考虑以最简便方法、最低投资，实现系统扩展和维护，采取可网管产品，降低了人力资源费用，提升网络易用性。2.3网络设计（1）物理位置选择机房应选择在具备防震、防风和防雨等能力建筑内；机房承主要求应满足设计要求；机房场地应防止设在建筑物高层或地下室，以及用水设备下层或隔壁；机房场地应该避开强电场、强磁场、强震动源、强噪声源、重度环境污染，易发生火灾、水灾，易遭受雷击地域。（2）电力供给机房供电应与其余市电供电分开；应设置稳压器和过电压防护设备；应提供短期备用电力供给（如UPS设备）；应建立备用供电系统（如备用发电机），以备惯用供电系统停电时启用。（3）电磁防护要求应采取接地方式预防外界电磁干扰和相关服务器寄生耦合干扰；电源线和通信线缆应隔离，防止相互干扰。3.3.2企业内部网设计内部办公自动化网络依照不一样用户安全级别或者依照不一样部门安全需求，利用三层交换机来划分虚拟子网（VLAN），在没有配置路情况下，不一样虚拟子网间是不能够相互访问。经过虚拟子网划分,能够实较粗略访问控制[2]。1、vlan划分和地址分配经理办子网(vlan2):

子网掩码:

网关：生产子网(vlan3)：

子网掩码:

网关：

市场子网(vlan4)：

子网掩码:

网关：财务子网(vlan5)：

子网掩码:

网关：

资源子网(vlan6):

子网掩码:

网关：

2、访问权限控制策略（1）经理办VLAN2能够访问其余全部VLAN。（2）财务VLAN5能够访问生产VLAN3、市场VLAN4、资源VLAN6，不能够访问经理办VLAN2。（3）市场VLAN4、生产VLAN3、资源VLAN6都不能访问经理办VLAN2、财务VLAN5。（4）生产VLAN4和销售VLAN3能够互访。2.3.3通信保密数据机密性与完整性，主要是为了保护在网上传送包括企业秘密信息，经过配置加密设备，使得在网上传送数据是密文形式，而不是明文。能够选择以下几个方式：（1）链路层加密对于连接各涉密网节点广域网线路，依照线路种类不一样能够采取对应链路级加密设备，以确保各节点涉密网之间交换数据都是加密传送，以预防非授权用户读懂、篡改传输数据，如图3.1所表示。

图3.1链路密码机配置示意图链路加密机因为是在链路级，加密机制是采取点对点加密、解密。即在有相互访问需求而且要求加密传输各网点每条外线线路上都得配一台链路加密机。经过两端加密机协商配合实现加密、解密过程。(2)网络层加密鉴于网络分布较广，网点较多，而且可能采取DDN、FR等多个通讯线路。假如采取多个链路加密设备设计方案则增加了系统投资费用，同时为系统维护、升级、扩展也带来了对应困难。所以在这种情况下我们提议采取网络层加密设备（VPN），VPN是网络加密机，是实现端至端加密，即一个网点只需配置一台VPN加密机。依照详细策略，来保护内部敏感信息和企业秘密机密性、真实性及完整性[3]。IPsec是在TCP/IP体系中实现网络安全服务主要方法。而VPN设备正是一个符合IPsec标准IP协议加密设备。它经过利用跨越不安全公共网络线路建立IP安全隧道，能够保护子网间传输信息机密性、完整性和真实性。经过对VPN配置，能够让网络内一些主机经过加密隧道，让另一些主机仍以明文方式传输，以达成安全、传输效率最好平衡。通常来说，VPN设备能够一对一和一对多地运行，并具备对数据完整性确保功效，它安装在被保护网络和路由器之间位置。设备配置见下列图。现在全球大部分厂商网络安全产品都支持IPsec标准。如图3.2所表示。

图3.2VPN设备配置示意图因为VPN设备不依赖于底层详细传输链路，它首先能够降低网络安全设备投资；而另首先，更主要是它能够为上层各种应用提供统一网络层安全基础设施和可选虚拟专用网服务平台。对政府行业网络系统这么一个大型网络，VPN设备能够使网络在升级提速时具备很好扩展性。鉴于VPN设备突出优点，应依照企业详细需求，在各个网络结点与公共网络相连接进出口处安装配置VPN设备。2.3.4病毒防护因为在网络环境下，计算机病毒有不可估量威胁性和破坏力。我们都知道，企业网络系统中使用操作系统通常均为WINDOWS系统，比较轻易感染病毒。所以计算机病毒防范也是网络安全建设中应该考滤主要步骤之一。反病毒技术包含预防病毒、检测病毒和杀毒三种技术[4]：（1）预防病毒技术预防病毒技术经过本身常驻系统内存，优先取得系统控制权，监视和判断系统中是否有病毒存在，进而阻止计算机病毒进入计算机系统和对系统进行破坏。这类技术有，加密可执行程序、引导区保护、系统监控与读写控制（如防病毒卡等）。（2）检测病毒技术检测病毒技术是经过对计算机病毒特征来进行判断技术（如本身校验、关键字、文件长度改变等），来确定病毒类型。（3）杀毒技术杀毒技术经过对计算机病毒代码分析，开发出具备删除病毒程序并恢复原文件软件。反病毒技术详细实现方法包含对网络中服务器及工作站中文件及电子邮件等进行频繁地扫描和监测。一旦发觉与病毒代码库中相匹配病毒代码，反病毒程序会采取对应处理方法（去除、更名或删除），预防病毒进入网络进行传输扩散。2.3.5应用安全应用安全，顾名思义就是保障应用程序使用过程和结果安全。简言之，就是针对应用程序或工具在使用过程中可能出现计算、传输数据泄露和失窃，经过其余安全工具或策略来消除隐患。（1）内部OA系统中资源享严格控制内部员工对网络共享资源使用。在内部子网中通常不要轻易开放共享目录，不然较轻易因为疏忽而在与员工间交换信息时泄漏主要信息。对有经常交换信息需求用户，在共享时也必须加上必要口令认证机制，即只有经过口令认证才允许访问数据。即使说用户名加口令机制不是很安全，但对通惯用户而言，还是起到一定安全防护，即使有刻意破解者，只要口令设得复杂些，也得花费相当长时间。（2）信息存放对有包括企业秘密信息用户主机，使用者在应用过程中应该做到尽可能少开放一些不惯用网络服务。对数据库服务器中数据库必须做安全备份。经过网络备份系统，能够对数据库进行远程备份存放。2.3.6配置防火墙防火墙是实现网络安全最基本、最经济、最有效安全方法之一。防火墙经过制订严格安全策略实现内外网络或内部网络不一样信任域之间隔离与访问控制。而且防火墙能够实现单向或双向控制，对一些高层协议实现较细粒访问控制。XX企业网络中使用是神州数码DCFW-1800SUTM，里面包含了防火墙和VPN等功效。因为采取防火墙、VPN技术融为一体安全设备，并采取网络化统一管理，所以具备以下几个方面优点：（1）管理、维护简单、方便;（2）安全性高(可有效降低在安全设备使用上配置漏洞);（3）硬件成本和维护成本低;（4）网络运行稳定性更高因为是采取一体化设备，比之传统处理方案中采取防火墙和加密机两个设备而言，其稳定性更高，故障率更低。2.3.7网络结构网络拓扑图，如图2.3.7所表示图2.1企业网络结构因为XX网络企业是直接从电信接入IP为2，直接经由防火墙分为DMZ区域和普通区域。防火墙上做NAT转换，分别给客户机端地址为。防火墙接客户区端口地址为。DMZ内主要有各类服务器，地址分配为。防火墙DMZ区接口地址为。内网主要由3层交换机作为关键交换机，下面有两台2层交换机做接入。系统安全架构3.1系统设计安全系统设计是在信息系统安全策略基础上，从安全策略分析中抽象出安全系统及其服务。安全系统设计如图1所表示。安全系统设计目标是设计出系统安全防御体系，设计和布署体系中各种安全机制从而形成自动安全防御、监察和反应体系，忠实地落实系统安全策略。3.2系统组建现在市场主流终端架构有独立PC机、无盘工作站和虚拟化终端。从节约成本和简化管理工作量角度来看，PC机模式基本不给予考虑。综合对比无盘工作站和虚拟化终端无盘工作站要求前端硬件型号及配置一致，扩展性较差。而瘦客户机访问虚拟桌面时采取是统一架构与协议，与瘦客户机及后端服务器品牌及型号均无要求。无盘工作站与传统PC唯一不一样就是将当地硬盘移除，但用户数据仍会驻留在工作站内存中，非常轻易被窃取。而虚拟桌面运算均驻留在数据中心服务器上，确保了数据及应用安全性。采取无盘工作站方式对客户端及服务器资源要求均很高，当无盘工作站数量达成一定数量时，速度会变得迟缓，同时整体系统稳定性不高，由此带来维护成本也较高。所以综合如上原因：我们推荐针对办公计算机和试验办公计算机均采取虚拟化终端架构。不过针对试验计算机终端需要经过传统com口连接试验仪器，而通常虚拟化瘦客户端机器都不具备这些接口。所以为试验室使用计算机我们还是采取传统独立PC机终端模式。数据安全设计4.1数据层架构该数据层架构主要是针对试验计算机上全部机密数据采取何种数据存放而言。首先我们明确要对试验计算机每日生成机密试验数据需要进行集中存放，而且要实现自动存放。通常来说，会被企业采取存放架构，可分为3种，以下作简单说明：一、DAS：在数字数据还未大量暴增早期，比较简单存放架构就是采取直接附加存放（DirectAttachedStorage；DAS）。全部存放装置，包含硬盘、光盘、软盘、随身碟等存放设备，皆隶属于计算机本身，这些由个人使用计算机延伸出来装置，透由计算机连接到服务器上，就形成1个简单存放架构。现今企业数据复杂化，种类也渐趋多元，伴伴随异质平台相互分享文件需求，也就需要更为完整存放架构，作为理想处理方案。不过，只要企业数据量增加，就必须另外购置存放设备与服务器，因为这些零碎服务器大大增加管理者工作份量。因为DAS多是透过SCSI硬盘进行存放，在硬盘I/O表现比网络慢情形下，DAS架构效能及存取速度也确实是1个问题，所以透过网络进行存放方式，成为企业采取主要存放架构，而NAS和SAN又为企业最惯用2种。二、NAS：利用以太网络所建构局域网络，来串连企业内部存放设备，就是网络附加存放（NetworkAttachedStorage；NAS）基本精神。简单说来，NAS就是网络硬盘概念，透过1台NAS主机来管理数据，以降低在个人使用者端，所必须花费存放设备购置成本。NAS已经是相当成熟且便利处理方案，对于进行文件式数据存取，也相当方便，不过，因为是透过IP网络进行数据存取，走是开放架构，代表流窜于网络上病毒、黑客攻击，极有可能造成网络磁盘驱动器瘫痪。另外，当终端使用者人数增加，多人同时存取时候，就会造成服务器过分负担，甚至当机，这些情况往往会延误到前端使用者工作进行。三、SAN：所谓存放局域网络（StorageAreaNetwork；SAN），是1种更为专门、精准存放架构。透过光纤信道，以及光纤交换机（switch）、HBA卡、和存放设备串接，自成1个网络。和NAS不一样是，为了保护数据完整性，SAN完全藉由光纤网络将网络存放元素串起来，并自成1个系统。不会受到网络频宽质量与服务器速度限制。所以在此次项目中数据存放架构中，我们推荐IPSAN存放架构。将一个大存放空间为每个试验计算机映射为一定空间大小当地磁盘，让全部生成试验数据保留到该空间中。4.2数据安全测试数据加密保护经过每台试验计算机上安装加密程序，对存放设备对应该地磁盘空间进行全盘加密，这么保留在上面文件即为密文。只有安装了加密程序而且被授权计算机才有权限以明文方式看到对应文档。数据备份异地备份经过一台备份服务器和备份软件对IPSAN存放设备中数据天天进行数据备份。能够采取离线备份如磁带机，或者采取另外一台磁盘阵列存放设备。安全设备选型5.1设备选型服务器选型\o"IBMx3400M2(7837I01)服务器"IBMx3400M2(7837I01)基本资料产品型号Systemx3400M2(7837I01)产品类型塔式产品结构5U处理器处理器型号IntelXeon,55042.0G处理器主频(MHz)MHz处理器二级缓存(KB)4×512KB处理器三级缓存(M)4ML3标配CPU数目标配1个最大CPU数目最大2个主板主板扩展插槽8×PCI扩展插槽内存内存类型ECC标配内存2048M内存插槽数12最大支持内存容量96G存放标配硬盘2.5寸HSSAS146G磁盘阵列Raid0,Raid1,标配8个硬盘槽可标配BR10i阵列卡光驱DVD-ROM光驱网络与插槽网卡2×1000M以太网卡机箱与电源尺寸767×440×218mm重量38Kg电源一个670瓦服务器电源其它支持操作系统MicrosoftWindows、RedHatEnterpriseLinux、SUSELinuxEnterprise、VMwareESX和ESXi工作温度及湿度(℃)作温度10℃-35℃,工作湿度8%至85%存放温度及湿度(℃)储存温度10℃-43℃,储存湿度5%至95%工作高度(米)2133米售后服务3年有限保修工作战选型：基本参数型号扬天T4900V(E5300/1G/160G)类型商用台式机处理器IntelPentiumE53002.6G处理器类型飞跃E双核处理器频率2600MHz处理器接口LGA775二级缓存(KB)2048KB处理器外频200MHz主板/内存主板/芯片组IntelG31总线频率800MHz主板参数2×PCI,1×PCIExpress×16,1×PCIExpress×1内存类型DDR2内存大小1GB存放设备硬盘类型SATA硬盘硬盘参数7200转硬盘容量320GB光驱DVD光驱读卡器无读卡器视频音频显示器宽屏液晶尺寸19寸显示器描述分辨率1440×900显卡集成IntelGMAX3100显卡显卡性能PCI-EX16接口标准,支持DirectX9声卡板载声卡通讯网卡板载10-100-1000M网卡其它硬件电源220V/180W机箱立式,402.5×175×398mm键盘/鼠标键盘/光电鼠标其它附件光盘1张,说明书,其它资料其它操作系统WindowsXPHome附带软件有奖纠错拯救系统(一键恢复一键杀毒驱动智能安装文件管理),安全中心(私密文件柜安全登陆管理),培训中心,通讯中心(虚拟服务器内网沟通手机短信通讯录互联一点通)售后服务三年有限保修和三年有限上门服务属性关键字双核处理器,处理器支持64位计算技术联想T4900V详细参数\o"纠错排行榜"我要挑错，赢积分，取大奖打印、复印、传真机选型主要参数型号KX-MB3018CN产品类型彩色激光标配功效打印,扫描,复印内存64MB自动输稿器50页接口类型USB2.0接口,10/100Base-T以太网端口打印参数打印方式激光打印打印速度32页/分最高打印分辨率2400×1200dpi最大打印幅面A4复印参数复印速度32页/分最高复印分辨率600×600dpi最大复印幅面A4连续复印1-99页复印缩放25%-400%扫描参数最高扫描分辨率(平台)600×2400dpi,(内插)9600×9600dpi其它参数耗材描述墨粉:KX-FAC405CN,硒鼓:KX-FAD406CN尺寸533(W)×459(D)×478(H)mm重量22.2kg适用平台Microsoft®Windows®98/Me//XP/(32/64-bit)/MicrosoftWindowsVista®(32/64-bit)其它性能选购:KX-FAP106CN(520页/A4纸)佳能传真机主机规格型号FAX-JX210P自动输稿器20张(A4)供纸容量纸盒:100张(A4)技术指标传真传输速度6秒/页传真精度600×600dpi传真打印速度5.5页/分图象品质256级其余参数耗电量39W电源要求AC100-240V,50-60Hz重量包含电话听筒,墨盒:约4.1Kg其它性能传输模式:G3;扫描方式:接触式图像传感器CIS;传真存放容量:约60页;支持来电显示交换机及其余设备选型关键交换机基本参数产品型号TL-SG3109产品类型工作组级,二层,可网管型交换机传输方式存放转发方式背板带宽20Gbps包转发率10Mbps:14,880pps,100Mbps:148,810pps,1000Mbps:1,488,100pps外形尺寸294×180×44mm硬件参数接口类型10/100Base-T端口,10/100/1000BASE-T端口接口数目8口传输速率10M/100M/1000Mbps模块化插槽数1堆叠不可堆叠网络与软件支持网络标准IEEE802.3,802.3u,802.3z,802.3ab,802.3xVLAN支持支持VLAN功效网管功效支持网管功效是否支持全双工支持全双工MAC地址表8k其它参数电源电压100-240VAC,50/60Hz(内部通用电源)接入层交换机基本参数产品型号TL-SG1024D产品类型桌面级,二层,非网管型交换机,千兆交换机,以太网交换机传输方式存放转发方式背板带宽48Gbps包转发率10M:14880pps,100M:148800pps,1000M:1488000pps外形尺寸294×180×44mm硬件参数接口类型10/100BASE-TX端口,10/100Base-T端口,10/100/1000BASE-T端口,RJ45接口数目24口传输速率10M/100M/1000Mbps模块化插槽数0堆叠不可堆叠网络与软件支持网络标准IEEE802.3,IEEE802.3u,IEEE802.3ab,IEEE802.3xVLAN支持无VLAN功效网管功效无网管功效是否支持全双工支持全双工MAC地址表8K其余性能支持端口自动翻转,支持MAC地址自学习其它参数电源电压100-240VAC,0.8A(内部通用电源)最大功率25W电子白板TB-66基本参数型号TB-660主要参数产品类型交互式/读取尺寸1200×920/面板尺寸1270×990/面板数量1/电源计算机总线供电方式/功耗<1W/重量22kg/尺寸1400×1100×190mm其它性能接口标准USB/标准配件白板,电子笔,壁挂支架,USB线缆/可选附件可升降移动式支架,远程数码互动帐号,高级应用技巧培训

功效特征60英寸,对角线151cm/分辨率:4096×4096,屏幕百分比4:3/电磁感应原理/进口高强度,低反射材料,高抗磨损,可使用标准清洁剂或湿布擦拭(标配)/MPC多功效复合板面(选配)/智能技术:HIKey1+2技术(20项)/处理速率:480点/s布线材料选择（水晶头双绞线信息点（模块面板底板）机柜）布线材料主要有水晶头，双绞线，信息点，机柜等。主要参数以下基本参数型号有奖纠错OKE18819产品类型有奖纠错\