信息安全体系结构设计报告终文档

信息安全体系结构设计报告——中小型企业网络及安全方案组长：组员：完成时间：2013年11月30日1

1.系统需求分析...................................................................................1.1基本情况描述..............................................................................1.2需求分析..................................................................................2．系统设计原则...................................................................................2.1.企业网络设计原则..........................................................................3．系统方案总体设计...............................................................................3.1.网络总体拓扑设计..........................................................................33355773.1.1网络通信部分.......................................................................73.1.2应用区域边界部分...................................................................73.1.3应用环境部分........................................................................网络架构概述.......................................................................安全性分析.........................................................................管理部门网络.......................................................................其他部门网络.......................................................................9999103.1.4数据备份与恢复.....................................................................103.2.IP地址划分...............................................................................113.2.1VLAN划分............................................................................113.2.2地址及端口分配......................................................................114.设备选型.......................................................................................144.1交换机....................................................................................144.1.1交换机选择原则......................................................................144.1.2交换机选型.........................................................................144.2路由器....................................................................................164.2.1路由器选择原则......................................................................164.2.2路由器选型..........................................................................164.3服务器...................................................................................184.3.1服务器选型原则..........................................................................184.3.2服务器选型(5个).........................................................................184.4其他.....................................................................................194.4.1漏洞扫描系统（1个）.....................................................................194.4.2备用电源（1个）........................................................................195.基本配置.......................................................................................205.1路由器....................................................................................205.2接入层交换机.........................................................................216.安全管理规则...................................................................................242

1.系统需求分析1.1基本情况描述1)一个中小型企业环境，大约100台计算机；2)包含几个部门（研发部，财务部，市场部）；3)通过专线接入到Internet，能提供若干真实IP地址（假如10个）；4)企业有独立对外的www服务器（）、E-mail服务器；5)内部有文件服务器，保存企业研发重要文档；6)员工有独立的企业邮箱；7)为了保证正常运行，需要考虑一定的安全性（包括技术、管理两个方面）。1.2需求分析1)企业日常工作需求a.根据企业的要求，大约100台左右的计算机，对数据的传输量不大；b.企业包含研发部，财务部，市场部等部门，因此需要做VLAN划分，降低网络内广播数据包的传播，提高带宽资源利用率，防止广播风暴的产生。c.企业通过专线接入Internet，只有10个IP地址，需要为企业网络提供DHCP和NAT服务，使私有Internet地址供内部网络使用，并采用静态地址转换，为提供固定服务的设备设置固定地址。d.企业要求有独立对外的服务器与企业邮箱，所以要建立DMZ区域存放对外提供访问服务的Web服务器、DNS服务器、E-mail服，用于务器等；e.针对中小型企业办公事物处理、资金投入等特点，为增加企业员工的工作便易度，需提供无线局域网络。无线局域网络的实现将为人员流动频繁的市场部与财务部提供较为便捷的网络环境、节约企业网络铺设成本。3

网络安全需求2)考虑到企业对安全性能的要求，我们从技术安全和管理安全两个方面提供安全服务。技术安全a.在边界安全方面，需要在网络边界设置防火墙和入侵防御系统(IPS)。所有试图访问内部网络的数据包均需经过防火墙的检查，通过为防火墙设置合适的访问，可有效的拒绝不符合规则的数据包，从而阻塞内部主机与外部怀有不法目的的主机的连接。入侵防御系统(IPS)的串联工作方式，可以保证直接阻断来自外部的威胁以及阻断来自内部的攻击。IPS拥有多种检测方式和响应方式，可以为企业网络提供完整的入侵防护解决方案。b.在内部网络方面，需要部署漏洞检测系统。漏洞检测系统则将定期扫描整体网络及其主机是否有威胁因素，实时报告给网络系统管理员，防止网络漏洞与主机漏洞给企业带来损失c.针对企业员工通过外网访问内部服务器的安全性方面，需设计虚拟专用网络。为远程用户和企业的分支机构访问企业内部网络资源提供了安全的途径，同时利用VPN隧道技术、加解密技术，充。分保证用户数据的完整性、安全性和可用性。d.针对企业可能遇到的特殊及意外情况，需设计数据加密、数据恢复与备份系统，以保障用户信息、物理资源的机密性、完整性和确实性。e.为保证网络安全性，需要使用的设备支持检测并防御Dos/DDos攻击、缓冲区溢出攻击、恶意IP扫描等攻击行为。管理安全企业对网络用户(公司职员)进行网络的安全教育同样重要。4

a.建立一套完整的网络管理规定和网络使用方法，并要求网络管理员和网络使用人员必须严格遵守。否则，网络内部的人为因素将会给网络安全造成很大的威胁。b.制定合适的网络安全策略，制定一种让网络管理员和网络用户都乐于接受的安全策略，可以让网络用户在使用网络的过程中自觉维护网络的安全。2．系统设计原则2.1.企业网络设计原则（1）木桶原则企业的网络应该具备对信息均衡、全面的保护功能，所以企业网络的信息系统安全体系结构必须能够充分、全面、完整地对信息系统的安全漏洞和安全威胁进行分析、评估和检测，防止最常用的攻击手段，提高整个系统“安全最低点”的安全性能。（2）整体性原则考虑企业网络安全性设计时，要采用多种安全措施，分层次有重点地对系统进行防护，在注重防外的同时，也不可轻视防内，做到防内与防外同等重要。要求网络的信息系统安全体系结构包括安全防护机制、安全检测机制、安全反应机制和安全恢复机制。从而保证在信息系统遭受攻击、破坏事件的情况下，必须尽可能快速恢复信息系统的运行，减少损失。（3）安全、代价平衡原则对任何网络来说，绝对的安全都是无法达到的。针对企业网络的安全系统，要充分考虑到安全需求、安全风险和成本之间的关系，制定相应的规范和措施，确定实际可行的安全策略。在确保将信息系统安全风险控制在可接受范围内的前提下，将信息系统安全体系结构的成本控制在合理的范围内。（4）标准优先、兼容原则5

随着网络化进程的加快，网络规模的扩大，网络将连接到各个角落；网络环境和应用发生改变、新的攻击方式产生，支撑一个系统安全运行的设备数量也会越来越多。所以增强网络的兼容性，以达到网络的互连与开放。为确保将来不同厂家设备、不同应用、不同协议进行连接。整个网络从设计、技术和设备的选择，必须支持国际标准的网络接口和协议，以提供高度的开放性。（5）动态发展原则跟踪世界科技发展动态，网络规划与现有光纤传输网及将要改造的分配网有良好的兼容，在采用先进技术的前提下，最大可能地保护已有投资，并能在已有的网络上扩展多种业务。6

应用区域边界部分基于屏蔽子网防火墙体系结构思想，将DNS服务器、Mail服务器、Web服务器这些可供外部网络访问的设施放在DMZ区域，DMZ区域处于网关路由器和内网防火墙之间。在网关路由器上，具有防火墙功能，可以抵御外

3.1.3应用环境部分网络架构概述应用环境部分采用两个层次化的网络架构思想，分别从核心层、接入层进行设计。核心层选用一台千兆以太网交换机，在保证传输速率和充足的端口数量的同时，可满足企业在未来3-4年网络快速发展的拓展需求。核心层交换机主要负责整网的主要数据传输。接入层网络采用星型拓扑方式，交换机采用二层交换机。为满足企业内部设置文件服务器的需求，我们将文件服务器挂接在核心交换机上，方便企业内的文件传输与使用。安全性分析从安全性角度上考虑，将核心层交换机与基于网络的异常入侵防御系统(NIPS)相连，NIPS检查流经内网的所有流量，一旦辨识出入侵行为，NIPS便去除整个网络会话，提供对企业内部网络的最后一关保护。NIPS需要具备较高的性能，以免成为网络的瓶颈。同时在核心层部分部署漏洞扫描安全策略。即在局域网出口路由器上安装网络型漏洞扫描器模块，基于Internet远程检测目标网络或本地主机的安全性脆弱点技术。通过网络安全扫描，使系统管理员能TCP/IP端口分配、开放服务、Web服务软件版本和这些服务及软件呈现在Internet上的安全漏洞，保障整体局域够发现所维护服务器的各种网的安全。管理部门网络管理部门负责同一管理内部网络的设备，处于一个单独的VLAN中，其他部门的所有交换机上均配置了管理部门的VLAN。部门的二层交换机管理VLAN配置了虚端口（SVI）以便于管理人员通过SSH远程访问。公司的网络设备VTY链路上均配置访问控制列表，只允许管理部门的IP地址对其远程访问，避免非授权9

每个部门具有自己独立的交换机和VLAN，从物理和逻辑上都保证了部门之间的安全性。每个部门的交换机VTP模式均采用透明模式（transparent）,保证交换机VLAN数据的安全。部门交换机与核心交换机之间采用两条千兆以太网链路，采用快速生成树协议（RSTP），在一条链路发生故障的情况下，立即切换到另一条链路。考虑到市场部人员可能较多，终端设备数量大，交换机端口数量问题等问题，我们为市场部分配两台二层交换机供使用。无线网络通过与无线路由器相连的无限访问点进行配置。考虑到研发部门的保密性，不对研发部门提供无限网络。数据备份与恢复系统对企业网络有着重要的意义，遇到特殊或意外情况，系统能否快速恢复到运行状态，绝大程度上取决于数据的备份与恢复系统。我们采用server-free备份方式。server-free备份方式采用无服务器备份技术，使数据在存储区域网中的两个存储设备之间直接传输，通常是在磁盘阵列和磁带库之间。可为企业减少服务器系统资源的消耗，且具有缩短备份及恢复所用时间的优势。该备份方式如下图：

3.2.IP地址划分3.2.1VLAN划分部门地址空间所属Vlan及Vlan名称管理部门市场部财务部研发部/24Vlan99/24Vlan10、Vlan20/24Vlan30ManageMarketFinancial/24Vlan40、Vlan50Research3.2.2地址及端口分配核心层交换机：端口号Fa0/0Fa0/1IP地址无用途连接内部网络出口路由器连接NIPS无SVIVlan1054/24Vlan10的网关地址，用作通信SVIVlan2054/24Vlan20的网关地址，用作通信SVIVlan3054/24Vlan30的网关地址，用作通信SVIVlan4054/24Vlan40的网关地址，用作通信SVIVlan5054/24Vlan50的网关地址，用作通信接入层交换机：设备名称Switch1端口号用途端口类型Fastethernet0/0连接核心层交Trunk换机Fastethernet0/1连接switch2TrunkFastethernet0/2连接switch3TrunkFastethernet0/3连接switch4TrunkFastethernet0/4连接switch5Trunk11

SVIVlan99远程管理/26Switch2Fastethernet0/1连接switch1TrunkFastethernet0/2-12连接研发部第Access一团队用户终Vlan40端Fastethernet0/13-24连接研发部第Access二团队用户终Vlan50端SVIVlan99远程管理/26连接switch1TrunkSwitch3Switch4Switch5Switch6Fastethernet0/1Fastethernet0/2-24连接财务部用Access户终端Vlan30SVIVlan99远程管理/26Fastethernet0/1连接switch1TrunkFastethernet0/2-24连接管理部门Access用户终端Vlan99SVIVlan99远程管理/26Fastethernet0/1连接switch1TrunkFastethernet0/2-24连接市场部用Access户终端Vlan10SVIVlan99远程管理/26Fastethernet0/1连接switch1TrunkFastethernet0/2-24连接市场部用Access户终端Vlan20SVIVlan99远程管理/26DHCP地址池：地址池名地址池地址段说明Research1/24用于给研发部分配IP地址12

Research2/24用于给研发部分配IP地址Market1Market2/24用于给市场部分配IP地址/24用于给市场部分配IP地址Financial/24用于给财政部分配IP地址NAT地址池：地址池名Corp地址池地址段用途-10/24内网访问外网时用于转换的地址段VPN地址池：地址池名地址池地址段用途Corp-VPN-10/24外网用户远程访问外网网关路由器：端口号S0/0/0S0/0/1IP地址说明/24与Internet连接的出口1/24与Internet连接的出口2服务器及终端设备：名称内网地址Web服务器0/24Email服务器0/24DNS服务器0/24File服务器0/24管理PC1管理PC200/2400/24各部门终端DHCP分配13

另外，在选择交换机时，不能将他们相互割裂开来，而应当综合地进行考虑，例如：考虑下级交换机是否支持上级交换机的功能与应用、上下级交换机在性能上是否有应有的差别、上下级交换机端口的类型与数量、传输距离、网络带宽和通信线缆能否达到相互协调。尽管不同交换机大多遵守相同的国际标准，但每个厂家都有一些特殊的协议，尤其是可网管交换机，因此，为实现对可网管交换机的统一管理，保障设备间的兼容性，达到性能最优化，就应当尽量选择同一厂商的产品。核心层交换机：（1个）CISCOWS-C3750G-12S-S

产品类型：企业级交换机应用层级：三层网络管理：SNMP，CLI，Web，管理软件接入层交换机：（6个）CISCOWS-C2960S-24TS-L参考价格：￥6300传输速率：10/100/1000Mbps端口数量：28个交换方式：存储-转发产品内存：DRAM内存：128MBFLASH内存：64MB

内置防火墙路由器（2个）参考价格：￥4500CISCO3945/K9产品类型：企业级路由

CPU核心：四核（SandyBridge）主板芯片组：IntelC226内存类型：DDR34.4.2备用电源（1个）

山特C3KSUPS类型：在线式额定功率：3KVA后备时间：由外配蓄电池决定分钟电池类型：Panasonic密闭式铅酸蓄电池输入电压范围：115--300V输入频率范围：软件可调：40--60Hz输出电压范围：220（1±2%）V输出电压波形：正弦波产品重量：34.5kg5.基本配置5.1路由器Router>enableRouter#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#interf0/0Router(config-if)#ipaddressRouter(config-if)#noshutdown%LINK-5-CHANGED:InterfaceFastEthernet0/0,changedstatetoup%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/0,changedstatetoupRouter(config-if)#exit//NAT配置Router(config)#ipaccess-liststandardNATRouter(config-std-nacl)#permit55Router(config-std-nacl)#denyany//NAT公有地址池20

Router(config-std-nacl)#ipnatpoolcorp0netmask//配置动态NATRouter(config)#ipnatinsidesourcelistNATpoolcorpoverload//配置静态NATRouter(config)#ipnatinsidesourcestatic0Router(config)#ipnatinsidesourcestatic0Router(config)#ipnatinsidesourcestatic0Router(config)#ipaccess-liststandardSSHRouter(config-std-nacl)#permit55Router(config-std-nacl)#denyany5.2接入层交换机switch1配置如下：switch>enswitch#conftswitch(config)#hostnameHQ//配置DHCP地址池和服务器HQ(config)#ipdhcppoolResearch1HQ(dhcp-config)#networkHQ(dhcp-config)#default-router54HQ(dhcp-config)#dns-server0HQ(dhcp-config)#exitHQ(config)#ipdhcppoolResearch2HQ(dhcp-config)#networkHQ(dhcp-config)#default-router54HQ(dhcp-config)#dns-server0HQ(dhcp-config)#exitHQ(config)#ipdhcppoolMarket1HQ(dhcp-config)#networkHQ(dhcp-config)#default-router54HQ(dhcp-config)#dns-server0HQ(dhcp-config)#exitHQ(config)#ipdhcppoolMarket2HQ(dhcp-config)#networkHQ(dhcp-config)#default-router54HQ(dhcp-config)#dns-server0HQ(dhcp-config)#exit21

HQ(config)#ipdhcppoolFinancialHQ(dhcp-config)#networkHQ(dhcp-config)#default-router54HQ(dhcp-config)#dns-server0HQ(dhcp-config)#exit//设置DHCP保留不分配的地址HQ(config)#ipdhcpexcluded-address54HQ(config)#ipdhcpexcluded-address54HQ(config)#ipdhcpexcluded-address54HQ(config)#ipdhcpexcluded-address54HQ(config)#ipdhcpexcluded-address54//配置VlanHQ(config)#vlan10HQ(config-vlan)#nameMarket1HQ(config-vlan)#exitHQ(config)#vlan20HQ(config-vlan)#nameMarket2HQ(config-vlan)#exitHQ(config)#vlan30HQ(config-vlan)#nameFinancialHQ(config-vlan)#exitHQ(config)#vlan40HQ(config-vlan)#nameResearch1HQ(config-vlan)#exitHQ(config)#vlan50HQ(config-vlan)#nameResearch2HQ(config-vlan)#exitHQ(config)#vlan99HQ(config-vlan)#nameManageHQ(config-vlan)#exit//配置trunkHQ(config)#intrangef0/1HQ(config-if-range)#switchporttrunknativevlan99HQ(config-if-range)#switchporttrunkencapsulationdot1qHQ(config-if-range)#switchmodetrunkHQ(config)#intrangef0/2HQ(config-if-range)#switchportaccessvlan99HQ(config-if-range)#switchmodeaccess22

//配置VTPHQ(config)#vtpdomaincorpHQ(config)#vtpmodetransparentHQ(config)#vtppasswordcorpHQ(config)#spanning-treemoderapid-pvst//配置SSHHQ(config)#usernameHQpasswordcorpHQ(config)#ipsshauthentication-retries2HQ(config)#ipdomain-nameHQ(config)#cryptokeygeneratersa//配置各部门虚接口HQ(config)#intvlan10HQ(config-if)#ipaddress54HQ(config-if)#ipaccess-groupMarket-Virtual1outHQ(config-if)#exitHQ(config)#intvlan20HQ(config-if)#ipaddress54HQ(config-if)#ipaccess-groupMarket-Virtual2outHQ(config-if)#exitHQ(config)#intvlan30HQ(config-if)#ipaddress54HQ(config-if)#ipaccess-groupFinancial-VirtualoutHQ(config-if)#exitHQ(config)#intvlan40HQ(config-if)#ipaddress54HQ(config-if)#ipaccess-groupResearch-Virtual1outHQ(config-if)#exitHQ(config)#intvlan50HQ(config-if)#ipaddress54HQ(config-if)#ipaccess-groupResearch-Virtual2outHQ(config-if)#exit//SSH访问控制列表HQ(config)#ipaccess-liststandardSSH//只允许管理VLAN网段远程登录HQ(config-std-nacl)#permit55HQ(config-std-nacl)#denyanyHQ(config-std-nacl)#linevty015HQ(config-line)#access-classSSHinHQ(config-line)#passwordcorp23

switch2配置如下：(switch3-5与switch2配置相似)//配置VTPSwitch2(config)#vtpdomaincorpChangingVTPdomainnamefromNULLtocorpSwitch2(config)#vtpmodetransparentSettingdevicetoVTPTRANSPARENTmode.Switch2(config)#spanning-treemoderapid-pvstSwitch2(config)#vlan40Switch2(config-vlan)#nameResearchSwitch2(config-vlan)#vlan99Switch2(config-vlan)#nameManageSwitch2(config-vlan)#intf0/2-12Switch2(config-vlan)#switchportaccessvlan40Switch2(config-vlan)#switchportmodeaccessSwitch2(config)#intVlan99//配置虚接口和默认网关Switch2(config)#intvlan99Switch2(config-if)#%LINK-5-CHANGED:InterfaceVlan99,changedstatetoupSwitch2(config-if)#ipaddressSwitch2(config-if)#ipdefault-gateway54Switch2(config)#ipaccess-liststandardSSHSwitch2(config-std-nacl)#permit55Switch2(config-std-nacl)#denyanySwitch2(config-std-nacl)#exitSwitch2(config)#6.安全管理规则根据ISO27002信息安全管理实用规则，我们制定了针对该中小型企业的安全管理规则，主要针对其安全网络环境建设。24

1)安全区域：a)应使用安全边界（如有墙、卡控制的入口或有人管理的接待台等屏蔽）来保护信息和信息处理设施的区域。安全区域由适合的入口控制所保护，以确保只有授权的人员才可以访问。b)应为办公室、房间和设施设计并采取物理安全设施。如，对公司重要核心研发部单独设立区域，并对此区域附近设立监控等防治措施。c)为防止