企业网络安全解决方案

\*ROMAN\*ROMANII企业网络安全解决方案摘 要目标的第一代InternetInternetInternet〔宏锦企业vpn、病毒防护等技术，来实现企业的网络安全。网络，安全，VPN，防火墙，防病毒目 录\l“_TOC_250020“绪论 1\l“_TOC_250019“第一章企业网络安全概述 2\l“_TOC_250018“企业网络的主要安全隐患 2\l“_TOC_250017“企业网络的安全误区 2\l“_TOC_250016“其次章企业网络安全现状分析 4\l“_TOC_250015“公司背景 4\l“_TOC_250014“企业网络安全需求 4\l“_TOC_250013“需求分析 4\l“_TOC_250012“企业网络构造 5\l“_TOC_250011“第三章企业网络安全解决实施 6\l“_TOC_250010“宏锦网络企业物理安全 6\l“_TOC_250009“宏锦企业网络VLAN划分 7\l“_TOC_250008“3.4宏锦企业网络防火墙配置 9\l“_TOC_250007“宏锦企业网络VPN配置 12\l“_TOC_250006“宏锦企业网络防病毒措施 13\l“_TOC_250005“第四章宏锦企业的网络治理 16\l“_TOC_250004“宏锦企业网络治理的问题 16\l“_TOC_250003“宏锦企业网络治理实施 16\l“_TOC_250002“总结 18\l“_TOC_250001“致谢 19\l“_TOC_250000“参考文献 2010绪 论IT贯穿安全防范活动的始终。的损坏。的途径可以是多方面的，而很多安全措施都是相辅相成的。第一章企业网络安全概述企业网络的主要安全隐患主要来源主要包括。病毒、木马和恶意软件的入侵。网络黑客的攻击。重要文件或邮件的非法窃取、访问与操作。关键部门的非法访问和敏感信息外泄。外网的非法入侵。备份数据和存储媒体的损坏、丧失。针对这些安全隐患，所实行的安全策略可以通过安装专业的网络版病毒防护系统，同时也要加强内部网络的安全治理，配置好防火墙过滤策略和系统本身的各项安全措施，准时安装系统安全补丁，有条件的还可以在内、外网之间安装网络扫描检测、网络强内部网络的安全治理，严格实行“最小权限”原则，为各个用户配置好恰当的用户权限；同时对一些敏感数据进展加密保护，对数据还可以进展数字签名措施；依据企业实际需要配置好相应的数据策略，并按策略认真执行。企业网络的安全误区(一)安装防火墙就安全了防火墙主要工作都是把握存取与过滤封包，所以对DoS攻击、非法存取与篡改封包工作在网络层。企业网络安全大事绝大局部还是源于企业内部。(二)安装了最的杀毒软件就不怕病毒了的消灭。(三)在每台计算机上安装单机版杀毒软件和网络版杀毒软件等效毒。同时对于整个网络，治理格外便利，对于单机版是不行能做到的。(四)只要不上网就不会中毒虽然不少病毒是通过网页传播的，但像QQ谈天接发邮件同样是病毒传播的主要途(五)文件设置只读就可以避开感染病毒读并不能有效防毒，不过在局域网中为了共享安全，放置误删除，还是比较有用的。(六)网络安全主要来自外部码、临时帐户、过期帐户和权限等方面的治理格外必要了。其次章 企业网络安全现状分析公司背景宏锦网络是一家有100名员工的中小型网络公司主要以手机应用开发为主营工程的软件企业。公司有一个局域网，约 100台计算机，效劳器的操作系统是WindowsServer2023,客户机的操作系统是WindowsXP，在工作组的模式下一人一机司对网络的依靠性很强，主要业务都要涉及互联网以及内部网络。随着公司的进呈现有的网络安全已经不能满足公司的需要因此构建健全的网络安全体系是当前的重中之重。企业网络安全需求宏锦网络依据业务进展需求，建设一个小型的企业网，有Web、MailInteneterDDoS、ARP业的网络安全构架要求如下：依据公司现有的网络设备组网规划保护网络系统的可用性保护网络系统效劳的连续性防范网络资源的非法访问及非授权访问防范入侵者的恶意攻击与破坏保护企业信息通过网上传输过程中的机密性、完整性防范病毒的侵害实现网络的安全治理。需求分析治理。因此需要构建良好的环境确保企业物理设备的安全划分VLAN把握内网安全安装防火墙体系虚拟专用网络)确保数据安全安装防病毒效劳器加强企业对网络资源的治理企业网络构造宏锦网络公司网络拓扑图，如图2-1所示:2-1企业网络构造IP58.192.65.62255.255.255.0，直接经DMZNAT10.1.1.1255.255.255.0。DMZ内主要有各类的效劳器，地址安排为10.1.2.0255.255.255.0。防火墙DMZ32层交换机做接入。第三章企业网络安全解决实施宏锦网络企业物理安全人为操作失误或各种计算机犯罪行为导致的破坏。它主要包括以下几个方面：保证机房环境安全信息系统中的计算机硬件、网络设施以及运行环境是信息系统运行的最根本的环境。要从一下三个方面考虑：a.b.电磁辐射、乘机而c.操作失误、意外疏漏等选用适宜的传输介质〔最好多处接地〕，对于干扰严峻的区域应使用屏蔽式双绞线，并将其放在金属管内以增加抗干扰力气。点。与双绞线或同轴电缆不同的是光纤不辐射能量，能够有效地阻挡窃听。保证供电安全牢靠设备的设计寿命保证信息安全保证机房人员的工作环境。宏锦企业网络VLAN划分VLANVLAN：财务部门VLAN10 业务部门VLAN20 核心交换机VLAN间路由核心交换机S3〔神州数码DCRS-5526〕S1配置如下:switch>switch>enaswitch#conswitch(Config)#vlan10switch(Config-Vlan10)#swinte0/0/1-20switch(Config-Vlan10)#exitswitch(Config)#exitswitch#conswitch(Config)#inte0/0/24switch(Config-Ethernet0/0/24)#swmtSettheportEthernet0/0/24modeTRUNKsuccessfullyswitch(Config-Ethernet0/0/24)#swtavasettheportEthernet0/0/24allowedvlansuccessfullyswitch(Config-Ethernet0/0/24)#exitswitch(Config)#ipdhcppoolvlan10switch(dhcp-vlan10-config)#network-address192.168.10.0255.255.255.0switch(dhcp-vlan10-config)#lease3switch(dhcp-vlan10-config)#default-router192.168.1.1switch(dhcp-vlan10-config)#dns-server61.177.7.1switch(dhcp-vlan10-config)#exitswitch(config)ipdhcpexcluded-address192.168.10.1S2配置如下:Switch>Switch>enaSwitch#conswitch(Config)#vlan20switch(Config-Vlan20)#swinte0/0/1-20switch(Config-Vlan20)#exitswitch(Config)#exitswitch#conswitch(Config)#inte0/0/24switch(Config-Ethernet0/0/24)#swmtSettheportEthernet0/0/24modeTRUNKsuccessfullyswitch(Config-Ethernet0/0/24)#swtavasettheportEthernet0/0/24allowedvlansuccessfullyswitch(Config-Ethernet0/0/24)#exitswitch(Config)#ipdhcppoolvlan20switch(dhcp-vlan20-config)#network-address192.168.20.0255.255.255.0switch(dhcp-vlan20-config)#lease3switch(dhcp-vlan20-config)#default-router192.168.1.1switch(dhcp-vlan20-config)#dns-server61.177.7.1switch(dhcp-vlan20-config)#exitswitch(config)ipdhcpexcluded-address192.168.20.1switch(config)ipdhcpexcluded-address192.168.20.150-192.168.20.240S0配置如下:switch>switch>enableswitch#configswitch(Config)#hostnameS0S0(Config)#vlan10S0(Config-Vlan10)#vlan20S0(Config-Vlan20)#exitS0(Config)#inte0/0/1-2S0(Config-Port-Range)#swmtS0(Config-Port-Range)#swtavaS0(Config-Port-Range)#exitS0(Config)#intvlan10S0(Config-If-Vlan10)#ipaddress192.168.10.1255.255.255.0S0(Config-If-Vlan10)#noshutdownS0(Config-If-Vlan10)#exitS0(Config)#intvlan2000:04:23:%LINK-5-CHANGED:InterfaceVlan20,changedstatetoUP%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceVlan20,changedstatetoUPS0(Config-If-Vlan20)#ipaddress192.168.20.1255.255.255.0S0(Config-If-Vlan20)#noshutdownS0(Config-If-Vlan20)#exitS0(Config)#exitS0(Config-If-Vlan1)#ipaddress192.168.1.1255.255.255.0S0(Config-If-Vlan1)#noshutdownS0(Config-If-Vlan1)#exitS0(Config)#exitS0#showiprouteS0#conS0(Config)#iproute58.192.65.0255.255.255.010.1.1.13.4宏锦企业网络防火墙配置宏锦企业网络中使用的是神州数码的DCFW-1800SUTM，里面包含了防火墙和VPN等功能。以下为配置过程：。3-1:3-1增企业防火墙策略示意图源域：untrust；any；目的域：trust；any；在全局安全策略设置里面如图3-2和图3-3所示:3-2企业防火墙策略配置示意图3-3企业防火墙策略配置示意图3-4企业防火墙策略配置示意图可以设置全局下面访问策略，以及域内和域间的访问策略。这里我们设置，内部网络为信任区域trustInteneteruntrust，效劳器区域为DMZpermitdeny，以及其他的特定的效劳。这里允许内部访问外部和DMZDMZInteneterDMZInteneterNAT在网络接口处如图3-5所示:3-5网络接口处配置示意图33-63-6以太网接口配置示意图同时为他们配好相应的网络地址，eth0为58.192.65.62，eth1：10.1.1.1，eth210.1.2.1。宏锦企业网络VPN配置宏锦企业网络的VPN3-7,图3-8图3-7 PPTP协议示意图图3-8 PPTP示意图这里我们使用PPTP协议来实现VPN，首先是增PPTP地址池，范围为192.168.20.150-192.168.20.2403-9图3-9 PPTP协议实现VPN示意图在PPTPChapmppe-128DNS61.177.7.1，MTU500。宏锦企业网络防病毒措施KVKV包含假设干台主机的单一网段网络，也适用于包含各种WEBKV特点：(4)便利的分级、分组治理宏锦企业网络KV网络版的主把握中心部署在DMZ效劳器区，子把握中心部署在3层交换机的一台效劳器上。网络拓扑构造如图3-10所示:3-10主把握中心部署图子把握中心与主把握中心关系:KVKVKV网络时，必需首先安装。除了对网络中的计算机进展日常的治理与把握外，它还实时地KV11心划分为主把握中心和子把握中心，子把握中心除了要完成把握中心的功能外，还要子把握中心，这种把握构造可以依据网络的需要无限的延长下去。KV企业客户端计算机的KVKV略设置”功能组来实现。在此功能中可以针对单一客户端、规律组、全网进展具有针对性的安全策略设置。在“策略设置”下拉菜单中，我们可以找到“扫描设置3-113-11“策略设置”命令菜单KV3-123-12扫描目标配置第四章宏锦企业的网络治理宏锦企业网络治理的问题计算机软、硬件数量无法确实把握，盘点困难；单位的计算机数量越来越多，无法集中治理；无法有效防止员工私装软件，造成非法版权使用威逼；硬件设备私下挪用、窃取，造成财产损失；使用者计算机IP随易变更，造成故障频传；软件单机安装铺张人力，应用软件版本不易把握；重要资料遭非法拷贝，资料外泄，无法监视；设备故障或资源缺乏，无法事先得到预警；居高不下的信息化资源本钱，不知如何改善。宏锦企业网络治理实施SmartIPVIew治理软件实现宏锦企业网络对公司内部的设备以及IP网络资源治理。实施步骤安装SmartIPVIew治理软件，运行软IP4-1.161618