某企网络安全方案设计

某企网络安全方案设计（共8篇）

某企网络安全方案设计 篇1

汕尾职业技术学院-------数学与应用系

校园网络安全方案设计

班级:123网络技术2班

姓名:李仲富 学号：2012324208

设计题目: 校园网络安全方案设计

设计时间:6月20号至6月30号

汕尾职业技术学院-------数学与应用系

一、校园网方案设计原则与需求

1.1设计原则：保证校园网的稳定运行和利用。

1.2网络建设需求：高度的稳定性和高性能性，对网络统一管理和高效处理。

二、校园网方案设计

2.1校园网现网拓扑图

整个网络采用二级的网络架构：核心、接入。

核心采用一台RG－S4909，负责整个校园网的数据转发，同时为接入交换机S1926F+、内部服务器提供百兆接口。网络出口采用RG-WALL1200防火墙。

2.2校园网设备更新方案

更换核心设备

汕尾职业技术学院-------数学与应用系

核心采用一台锐捷网络面向10万兆平台设计的多业务IPV6路由交换机RG-S8606，负责整个校园网的数据转发。在C区增加一台SAM服务器，部署SAM系统，同时A区和B区用3台S2126G替换原有S1926F+。将原有的S4909放到东校区做为汇聚设备，下接三台S2126G实现安全控制，其它二层交换机分别接入相应的S2126G。B区汇聚采用一台S2126G，剩余两台S2126G用于保护重点机器，其它交换机接入对应的S2126G。C区的网络结构也做相应的调整，采用现有的两台S2126G做为汇聚设备，其它交换机分别接入这两台交换机，从而实现所有汇聚层交换机都能进行安全控制，重点区域在接入层进行安全控制的网络布局。

2.3 网络安全系统的管理

1、确定计算机安全管理责任人和安全领导小组负责人 应当履行下列职责：

（一）组织宣传计算机信息网络安全管理方面的法律、法规和有关政策；

（二）拟定并组织实施本校计算机信息网络安全管理的各项规章制度；

（三）定期组织检查本校计算机信息网络系统安全运行情况，及时排除各种安全隐患；

（四）负责组织本校学生的安全教育和培训；

汕尾职业技术学院-------数学与应用系

2、配备１至２名计算机学生安全员（由技术负责人和技术操作人员组成），应当履行下列职责：

（一）执行本单位计算机信息网络安全管理的各项规章制度；

（二）按照计算机信息网络安全技术规范要求对计算机信息系统安全运行情况进行检查测试，及时排除各种安全隐患；

2.4网络安全系统的风险评估

一般可能会遭受到外部的攻击和入侵、内部的攻击或误用、企业内的病毒传播，以及安全管理漏洞等方面。

2.5网络安全设计

2.5.1校园网网络安全需求分析

1.网络安全的防范：

病毒产生的原因：校园网很重要的一个特征就是用户数比较多，会有很多的PC机缺乏有效的病毒防范手段，这样，当用户在频繁的访问INTERNET的时候，通过局域网共享文件的时候，通过U盘，光盘拷贝文件的时候，系统都会感染上病毒，当某个学生感染上病毒后，他会向校园网的每一个角落发送，发送给其他用户，发送给服务器。

病毒对校园网的影响：校园网万兆、千兆、百兆的网络带宽都被大量的病毒数据包所消耗，用户正常的网络访问得不到响应，办公平台不能使用；资源库、VOD不能点播；INTERNET上不了，学生、老师面临着看着丰富的校园网资源却不能使用的尴尬境地。

2、防止IP、MAC地址的盗用

IP、MAC地址的盗用的原因：某校园网采用静态IP地址方案，如果缺乏有效的IP、MAC地址管理手段，用户可以随意的更改IP地址，在网卡属性的高级选项中可以随意的更改MAC地址。如果用户有意无意的更改自己的IP、MAC地址，会引起多方冲突，如果与网关地址冲突，同一网段内的所有用户都不能使用网络；如果恶意用户发送虚假的IP、MAC的对应关系，用户的大量上网数据包都落入恶意用户的手中，造成ARP欺骗攻击。

IP、MAC地址的盗用对校园网的影响：在用户看来，校园网络是一个很不可靠是会给我带来很多麻烦的网络，因为大量的IP、MAC冲突的现象导致了用户经常不能使用网络上的资源，而且，用户在正常工作和学习时候，自己的电脑上会经常

汕尾职业技术学院-------数学与应用系

弹出MAC地址冲突的对话框。由于担心一些机密信息比如银行卡账户、密码、邮箱密码泄漏，用户会尽量减少网络的使用，这样，学生、老师对校园网以及网络中心的信心会逐渐减弱，投入几百万的校园网也就不能充分发挥其服务于教学的作用，造成很大程度上的资源浪费。

3、安全事故发生时候，需要准确定位到用户 安全事故发生时候，需要准确定位到用户原因：

资料：国家的要求：2002年，朱镕基签署了282号令，要求各大INTERNET运营机构（包括高校）必须要保存60天的用户上网记录，以待相关部门审计。

校园网正常运行的需求：如果说不能准确的定位到用户，学生会在网络中肆无忌弹进行各种非法的活动，会使得校园网变成“黑客”娱乐的天堂，更严重的是，如果当某个学生在校外的某个站点发布了大量涉及政治的比如法轮功的言论，这时候公安部门的网络信息安全监察科找到我们的时候，我们无法处理，学校或者说网络中心只有替学生背这个黑锅。

4、安全事故发生时候，不能准确定位到用户的影响：

一旦发生这种涉及到政治的安全事情发生后，很容易在社会上广泛传播，上级主管部门会对学校做出处理；同时也会大大降低学校在社会上的影响力，降低家长、学生对学校的满意度，对以后学生的招生也是大有影响的。

5、用户上网时间的控制

无法控制学生上网时间的影响：如果缺乏有效的机制来限制用户的上网时间，学生可能会利用一切机会上网，会旷课。像网吧一样无人监管，通宵、影响明天的课程。精力。

6、用户网络权限的控制

在校园网中，不同用户的访问权限应该是不一样的，比如学生应该只能够访问资源服务器，上网，不能访问办公网络、财务网络。办公网络的用户因该不能访问财务网络。因此，需要对用户网络权限进行严格的控制。例如：学院的重要的部门。学生选课。资料档案。

7、各种网络攻击的有效屏蔽

校园网中常见的网络攻击比如MAC FLOOD、SYN FLOOD、DOS攻击、扫描攻击、ARP欺骗攻击、流量攻击、非法组播源、非法DHCP服务器及DHCP攻击、窃取交换机的管理员密码、发送大量的广播报文，这些攻击的存在，会扰乱网络的正常运行低了校园网的效率。计算机专业的学生搞恶作剧，做实验

2.6.2某校园网网络安全方案设计思想和实施

汕尾职业技术学院-------数学与应用系

2.6.2.1安全到边缘的设计思想

用户在访问网络的过程中，首先要经过的就是交换机，如果我们能在用户试图进入网络的时候，也就是在接入层交换机上部署网络安全无疑是达到更好的效果。2.6.2.2全局安全的设计思想

锐捷网络提倡的是从全局的角度来把控网络安全，安全不是某一个设备的事情，应该让网络中的所有设备都发挥其安全功能，互相协作，形成一个全民皆兵的网络，最终从全局的角度把控网络安全。2.6.2.3全程安全的设计思想

用户的网络访问行为可以分为三个阶段，包括访问网络前、访问网络的时候、访问网络后。对着每一个阶段，都应该有严格的安全控制措施。2.6.3校园网网络安全方案

锐捷网络结合SAM系统和交换机嵌入式安全防护机制设计的特点，从三个方面实现网络安全：事前的准确身份认证、事中的实时处理、事后的完整审计。2.6.3.1事前的身份认证

对于每一个需要访问网络的用户，我们需要对其身份进行验证，身份验证信息包括用户的用户名/密码、用户PC的IP地址、用户PC的MAC地址、用户PC所在交换机的IP地址、用户PC所在交换机的端口号、用户被系统定义的允许访问网络的时间，通过以上信息的绑定，可以达到如下的效果：

每一个用户的身份在整个校园网中是唯一，避免了个人信息被盗用.当安全事故发生的时候，只要能够发现肇事者的一项信息比如IP地址，就可以准确定位到该用户，便于事情的处理。

只有经过网络中心授权的用户才能够访问校园网，防止非法用户的非法接入，这也切断了恶意用户企图向校园网中传播网络病毒、黑客程序的通道。2.6.3.2网络攻击的防范

1、常见网络病毒的防范

对于常见的比如冲击波、振荡波等对网络危害特别严重的网络病毒，通过部署扩展的ACL，能够对这些病毒所使用的TCP、UDP的端口进行防范，一旦某个用户不小心感染上了这种类型的病毒，不会影响到网络中的其他用户，保证了校园网网络带宽的合理使用。

2、未知网络病毒的防范

汕尾职业技术学院-------数学与应用系

对于未知的网络病毒，通过在网络中部署基于数据流类型的带宽控制功能，为不同的网络应用分配不同的网络带宽，保证了关键应用比如WEB、课件资源库、邮件数据流有足够可用的带宽，当新的病毒产生时，不会影响到主要网络应用的运行，从而保证了网络的高可用性。

3、防止IP地址盗用和ARP攻击

通过对每一个ARP报文进行深度的检测，即检测ARP报文中的源IP和源MAC是否和端口安全规则一致，如果不一致，视为更改了IP地址，所有的数据包都不能进入网络，这样可有效防止安全端口上的ARP欺骗，防止非法信息点冒充网络关键设备的IP（如服务器），造成网络通讯混乱。

4、防止假冒IP、MAC发起的MAC FloodSYN Flood攻击

通过部署IP、MAC、端口绑定和IP+MAC绑定（只需简单的一个命令就可以实现）。并实现端口反查功能，追查源IP、MAC访问，追查恶意用户。有效的防止通过假冒源IP/MAC地址进行网络的攻击，进一步增强网络的安全性。

5、非法组播源的屏蔽

锐捷产品均支持IMGP源端口检查，实现全网杜绝非法组播源，指严格限定IGMP组播流的进入端口。当IGMP源端口检查关闭时，从任何端口进入的视频流均是合法的，交换机会把它们转发到已注册的端口。当IGMP源端口检查打开时，只有从路由连接口进入的视频流才是合法的，交换机把它们转发向已注册的端口；而从非路由连接口进入的视频流被视为是非法的，将被丢弃。锐捷产品支持IGMP源端口检查，有效控制非法组播，实现全网杜绝非法组播源，更好地提高了网络的安全性和全网的性能，同时可以有效杜绝以组播方式的传播病毒.在校园网流媒体应用多元化和潮流下具有明显的优势，而且也是网络带宽合理的分配所必须的。同时IGMP源端口检查，具有效率更高、配置更简单、更加实用的特点，更加适用于校园运营网络大规模的应用环境。

6、对DOS攻击，扫描攻击的屏蔽

通过在校园网中部署防止DOS攻击，扫描攻击，能够有效的避免这二种攻击行为，节省了网络带宽，避免了网络设备、服务器遭受到此类攻击时导致的网络中断。2.7 业务连续策略

可分为4种类型：人力不可抗拒事件、高传染性疾病、物理访问、it逻辑访问 2.8 业务持续计划进行测试、保持和重新评估（1）测试即使：1桌面测试 2模拟

汕尾职业技术学院-------数学与应用系

3技术恢复测试

4供应商设备和服务测试 5排练

（2）保持与重新评估：考虑各方面的更新1人员 2地址或电话号码 3过程 4风险

某企网络安全方案设计 篇2

校园网的规模十分庞大, 上网用户人数基本上都能达到几千上万人, 随着网络应用的进一步深入, 各种安全问题也会逐渐凸显, 对教学、科研和生活都会造成极大的影响。因此, 全面了解校园网的安全问题, 合理构建网络安全体系是十分必要的。当前校园网的网络安全问题可以从以下方面进行分析:

(1) 操作系统的漏洞。在校园网当中, 绝大多数都是使用windows操作系统, 因此不管是服务器还是个人PC中都会存在大量的安全漏洞, 而且随着时间的推移, 这些安全漏洞会被人发现并且利用, 给系统安全带来严重的破坏。

(2) 网络病毒的破坏。网络病毒是影响校园网网络安全的重要因素, 它会使得网络性能低下、上网速度变慢, 并破坏计算机软件及重要数据, 严重的还会造成计算机以及网络系统的瘫痪。

(3) 来自外部网络的入侵和攻击等恶意破坏行为。校园网是必须连接到互联网上的, 这样才能跟外界联系, 真正实现校园的信息化。但是, 校园网在享受互联网带来的方便快捷的同时, 也面临着遭到外部黑客入侵和攻击的危险。黑客经常会通过外部网络对校园网的服务器、数据库等进行攻击, 窃取或者破坏一些重要数据, 而且随着很多黑客软件的普及, 越来越多的电脑网络爱好者使用这些软件进行攻击实验, 给电脑网络系统造成巨大的危害。

(4) 来自校园网内部的攻击和破坏。很多高校都开设有计算机和网络技术专业, 这些专业的学生出于对网络知识的爱好, 不经意间会使用一些网络攻击工具进行测试, 而且很多会在校园网这一网络体系中应用, 以体现自己的网络实践操作能力, 因此, 给校园网的网络安全系统带来极大的威胁。

2校园网网络安全设计

针对上述的校园网存在的安全问题, 为了能系统、全面地防御与处理, 我们将网络安全体系设计由主干网安全、安全技术应用、用户准入机制、防火墙应用四方面构成, 以保证尽可能的降低校园网的安全隐患。

2.1主干网设计

根据分层理念, 主干网可采用三层网络架构, 通过层次化模型设计, 将复杂的网络设计分成3个层次:接入层、汇聚层和核心层。每个层次着重于某些特定的功能, 这样就能够使一个复杂的大问题变成许多简单的小问题, 如图1所示。

主干网采用三层网络架构, 可以从以下几个方面保证了校园网络的灵活性、可扩充性、可靠性和高效性:①利用分层结构将网络的功能区块化, 使得网络的局部修改和扩充被隔离, 使校园网络更具灵活性;②利用区块的不对称特性优化网络的流量配置, 提高校园网络的性能价格比;③利用网络整体的对称性提供负载均衡, 最大限度地提高网络的性能;④利用网络整体的对称性提供校园网络的冗余, 提高网络的可靠性。

2.2安全技术的应用

(1) VLAN技术的应用。

为了有效地管理网络, 我们在校园网络中进行虚拟网的划分。虚拟网 (VLAN) 技术是目前局域网技术中发展迅速的一种技术, 它通过在现有物理网基础上, 根据实际网络应用的需要灵活配置, 将网络各节点重新划分组网, 形成一个逻辑网络。虚拟网技术的引入给现有网络的设计、管理和维护带来了某些根本性的改变。

(2) ACL技术的应用。

合理配置和使用交换机支持的访问控制列表 (ACL) 功能, 能够合理地限制网络非法流量, 其主要原理为:ACL使用包过滤技术, 在路由器或者核心交换机上对ISO模型的第三层、第四层的包头信息读取, 包括源地址与目的地址、源端口与目的端口, 根据设定的规则对数据包进行过滤, 从而实现访问控制。

校园网节点主要由资源节点与用户节点构成, 资源节点提供大量的应用服务与数据共享供用户节点访问。在这个过程中, ACL技术一方面对资源节点提供保护, 阻止非法用户对资源节点的访问, 另一方面限制特定的用户节点所能具备的访问权限。

2.3用户准入机制设计

对于校园网的用户, 最重要的是对用户准入准出进行控制, 并满足计费管理功能。因此主要解决下面的问题:将网络安全接入控制、防代理、上网用户的多种IP控制和管理功能、非法DHCP server控制、认证时的绑定安全控制功能、合法用户的授权功能、Mac地址防盗功能、主机与IP的绑定功能、多种计费控制功能、对特定用户的强制下线功能、黑名单用户禁止上网功能、支持用户上网的时段控制, 还可以对学生的上网时间加以控制。这些是校园网通常认证计费软件需要实现的功能, 这是一个较为复杂的应用系统, 需要由多方来实现。

校园网另外一个问题是互联网带宽的滥用, 不少学生在网络中使用BT等P2P软件, 大量占用互联网出口带宽, 使得全网访问互联网非常缓慢, 有时也可能因为病毒的原因, 向外大量广播数据包, 导致交换机端口堵塞, 接入交换机可以通过限制接入速度来实现对这些问题的抑制。

上述功能, 可以在接入层或者汇聚层交换机上实现, 这样可以将网络初始流量抑制在每台交换机上, 不至于将异常流量引入核心层交换机, 占用核心层交换机的处理能力, 影响网络性能。

2.4防火墙的使用

防火墙是架构于两个不同网络之间, 根据设定的安全规则, 决定网络中传输的数据包是否允许通过, 并监视网络运行状态, 内部的结构以及运行状况均对外屏蔽, 从而实现内部网络的安全防护。防火墙的主要作用为:①防火墙能够把内、外网络、对外服务器网络实行分区域隔离, 从而杜绝它们与外网直接通信;②防火墙能够将对外服务器、网络上的主机隔离在一个区域内, 通过安全保护措施, 确保安全;③防火墙能够对用户的访问权限进行限制, 在增加合法用户安全性的同时, 也实现对非法用户的拒绝;④防火墙能够实现对访问服务器的请求控制, 发现非法行为以及阻止非法操作;⑤利用防火墙及各服务器上的审计记录, 形成一个完善的审计体系, 在策略之后建立第二条防线。

出口防火墙主要是互联网出口安全规则的检查, 由于是专用的安全设备, 可以定义许多安全规则, 可以根据需要定义较为复杂的规则, 对互联网访问外网服务器和内部网络的行为进行控制, 检测和切断黑客的攻击行为, 从而保证网络的安全运行。

3结束语

校园网的网络安全问题是一个较为复杂的系统工程, 从严格意义上来讲没有绝对安全的网络系统, 我们只有从网络建设初期便应该考虑到网络安全的重要性, 从网络的构建到网络的管理维护都必须对校园网络的安全体系进行充分设计, 并在校园网投入运行的过程中不断地研究和探索, 将网络的安全隐患和存在的风险降到最低。

参考文献

[1]丁扬.校园网络安全现状分析及对策研究[J].中国科技信息, 2010 (6) .

[2]梁广洪.校园计算机网络的安全状况分析[J].信息与电脑, 2009 (9) .

[3]孙卫佳.网络系统集成技术与实训[M].北京:电子工业出版社, 2005.

计算机网络安全方案设计并实现 篇3

[关键词] 网络安全方案设计实现

一、计算机网络安全方案设计与实现概述

影响网络安全的因素很多，保护网络安全的技术、手段也很多。一般来说，保护网络安全的主要技术有防火墙技术、入侵检测技术、安全评估技术、防病毒技术、加密技术、身份认证技术，等等。为了保护网络系统的安全，必须结合网络的具体需求，将多种安全措施进行整合，建立一个完整的、立体的、多层次的网络安全防御体系，这样一个全面的网络安全解决方案，可以防止安全风险的各个方面的问题。

二、计算机网络安全方案设计并实现

1.桌面安全系统

用户的重要信息都是以文件的形式存储在磁盘上，使用户可以方便地存取、修改、分发。这样可以提高办公的效率，但同时也造成用户的信息易受到攻击，造成泄密。特别是对于移动办公的情况更是如此。因此，需要对移动用户的文件及文件夹进行本地安全管理，防止文件泄密等安全隐患。

本设计方案采用清华紫光公司出品的紫光S锁产品，“紫光S锁”是清华紫光“桌面计算机信息安全保护系统”的商品名称。紫光S锁的内部集成了包括中央处理器（CPU）、加密運算协处理器（CAU）、只读存储器（ROM），随机存储器（RAM）、电可擦除可编程只读存储器（E2PROM）等，以及固化在ROM内部的芯片操作系统COS（Chip Operating System）、硬件ID号、各种密钥和加密算法等。紫光S锁采用了通过中国人民银行认证的SmartCOS，其安全模块可防止非法数据的侵入和数据的篡改，防止非法软件对S锁进行操作。

2.病毒防护系统

基于单位目前网络的现状，在网络中添加一台服务器，用于安装IMSS。

（1)邮件防毒。采用趋势科技的ScanMail for Notes。该产品可以和Domino的群件服务器无缝相结合并内嵌到Notes的数据库中，可防止病毒入侵到LotueNotes的数据库及电子邮件，实时扫描并清除隐藏于数据库及信件附件中的病毒。可通过任何Notes工作站或Web界面远程控管防毒管理工作，并提供实时监控病毒流量的活动记录报告。ScanMail是Notes Domino Server使用率最高的防病毒软件。

（2)服务器防毒。采用趋势科技的ServerProtect。该产品的最大特点是内含集中管理的概念，防毒模块和管理模块可分开安装。一方面减少了整个防毒系统对原系统的影响，另一方面使所有服务器的防毒系统可以从单点进行部署，管理和更新。

（3)客户端防毒。采用趋势科技的OfficeScan。该产品作为网络版的客户端防毒系统，使管理者通过单点控制所有客户机上的防毒模块，并可以自动对所有客户端的防毒模块进行更新。其最大特点是拥有灵活的产品集中部署方式，不受Windows域管理模式的约束，除支持SMS，登录域脚本，共享安装以外，还支持纯Web的部署方式。

（4)集中控管TVCS。管理员可以通过此工具在整个企业范围内进行配置、监视和维护趋势科技的防病毒软件，支持跨域和跨网段的管理，并能显示基于服务器的防病毒产品状态。无论运行于何种平台和位置，TVCS在整个网络中总起一个单一管理控制台作用。简便的安装和分发代理部署，网络的分析和病毒统计功能以及自动下载病毒代码文件和病毒爆发警报，给管理带来极大的便利。

3.动态口令身份认证系统

动态口令系统在国际公开的密码算法基础上，结合生成动态口令的特点，加以精心修改，通过十次以上的非线性迭代运算，完成时间参数与密钥充分的混合扩散。在此基础上，采用先进的身份认证及加解密流程、先进的密钥管理方式，从整体上保证了系统的安全性。

4.访问控制“防火墙”

单位安全网由多个具有不同安全信任度的网络部分构成，在控制不可信连接、分辨非法访问、辨别身份伪装等方面存在着很大的缺陷，从而构成了对网络安全的重要隐患。本设计方案选用四台网御防火墙，分别配置在高性能服务器和三个重要部门的局域网出入口，实现这些重要部门的访问控制。

通过在核心交换机和高性能服务器群之间及核心交换机和重要部门之间部署防火墙，通过防火墙将网络内部不同部门的网络或关键服务器划分为不同的网段，彼此隔离。这样不仅保护了单位网络服务器，使其不受来自内部的攻击，也保护了各部门网络和数据服务器不受来自单位网内部其他部门的网络的攻击。如果有人闯进您的一个部门，或者如果病毒开始蔓延，网段能够限制造成的损坏进一步扩大。

5.信息加密、信息完整性校验

为有效解决办公区之间信息的传输安全，可以在多个子网之间建立起独立的安全通道，通过严格的加密和认证措施来保证通道中传送的数据的完整性、真实性和私有性。

SJW-22网络密码机系统组成

网络密码机（硬件）:是一个基于专用内核，具有自主版权的高级通信保护控制系统。

本地管理器（软件）:是一个安装于密码机本地管理平台上的基于网络或串口方式的网络密码机本地管理系统软件。

中心管理器（软件）:是一个安装于中心管理平台（Windows系统）上的对全网的密码机设备进行统一管理的系统软件。

6.安全审计系统

根据以上多层次安全防范的策略，安全网的安全建设可采取“加密”、“外防”、“内审”相结合的方法，“内审”是对系统内部进行监视、审查，识别系统是否正在受到攻击以及内部机密信息是否泄密，以解决内层安全。

安全审计系统能帮助用户对安全网的安全进行实时监控，及时发现整个网络上的动态，发现网络入侵和违规行为，忠实记录网络上发生的一切，提供取证手段。作为网络安全十分重要的一种手段，安全审计系统包括识别、记录、存储、分析与安全相关行为有关的信息。

在安全网中使用的安全审计系统应实现如下功能：安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件存储、安全审计事件选择等。

本设计方案选用“汉邦软科”的安全审计系统作为安全审计工具。

汉邦安全审计系统是针对目前网络发展现状及存在的安全问题，面向企事业的网络管理人员而设计的一套网络安全产品，是一个分布在整个安全网范围内的网络安全监视监测、控制系统。

（1）安全审计系统由安全监控中心和主机传感器两个部分构成。主机传感器安装在要监视的目标主机上，其监视目标主机的人机界面操作、监控RAS连接、监控网络连接情况及共享资源的使用情况。安全监控中心是管理平台和监控平台，网络管理员通过安全监控中心为主机传感器设定监控规则，同时获得监控结果、报警信息以及日志的审计。主要功能有文件保护审计和主机信息审计。

①文件保护审计：文件保护安装在审计中心，可有效的对被审计主机端的文件进行管理规则设置，包括禁止读、禁止写、禁止删除、禁止修改属性、禁止重命名、记录日志、提供报警等功能。以及对文件保护进行用户管理。

②主机信息审计:对网络内公共资源中，所有主机进行审计，可以审计到主机的机器名、当前用户、操作系统类型、IP地址信息。

（2)资源监控系统主要有四类功能。①监视屏幕:在用户指定的时间段内，系统自动每隔数秒或数分截获一次屏幕;用户实时控制屏幕截获的开始和结束。

②监视键盘:在用户指定的时间段内，截获Host Sensor Program用户的所有键盘输入，用户实时控制键盘截获的开始和结束。

③监测监控RAS连接：在用户指定的时间段内，记录所有的RAS连接信息。用户实时控制ass连接信息截获的开始和结束。当gas连接非法时，系统将自动进行报警或挂断连接的操作。

④监测监控网络连接：在用户指定的时间段内，记录所有的网络连接信息(包括:TCP， UDP，NetBios）。用户实时控制网络连接信息截获的开始和结束。由用户指定非法的网络连接列表，当出现非法连接时，系统将自动进行报警或挂断连接的操作。

单位内网中安全审计系统采集的数据来源于安全计算机，所以应在安全计算机安装主机传感器，保证探头能够采集进出网络的所有数据。安全监控中心安装在信息中心的一台主机上，负责为主机传感器设定监控规则，同时获得监控结果、报警信息以及日志的审计。单位内网中的安全计算机为600台，需要安装600个传感器。

7.入侵检测系统IDS

入侵检测作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。从网络安全的立体纵深、多层次防御的角度出发，入侵检测理应受到人们的高度重视，这从国际入侵检测产品市场的蓬勃发展就可以看出。

根据网络流量和保护数据的重要程度，选择IDS探测器（百兆）配置在内部关键子网的交换机处放置，核心交换机放置控制台，监控和管理所有的探测器因此提供了对内部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。

在单位安全内网中，入侵检测系统运行于有敏感数据的几个要害部门子网和其他部门子网之间，通过实时截取网络上的是数据流，分析网络通讯会话轨迹，寻找网络攻击模式和其他网络违规活动。

8.漏洞扫描系统

本内网网络的安全性决定了整个系统的安全性。在内网高性能服务器处配置一台网络隐患扫描I型联动型产品。I型联动型产品适用于该内网这样的高端用户，I型联动型产品由手持式扫描仪和机架型扫描服务器结合一体，网管人员就可以很方便的实现了集中管理的功能。网络人员使用I型联动型产品，就可以很方便的对200信息点以上的多个网络进行多线程较高的扫描速度的扫描，可以实现和IDS、防火墙联动，尤其适合于制定全网统一的安全策略。同时移动式扫描仪可以跨越网段、穿透防火墙，实现分布式扫描，服务器和扫描仪都支持定时和多IP地址的自动扫描，网管人员可以很轻松的就可以进行整个网络的扫描，根据系统提供的扫描报告，配合我们提供的三级服务体系，大大的减轻了工作负担，极大的提高了工作效率。

联动扫描系统支持多线程扫描，有较高的扫描速度，支持定时和多IP地址的自动扫描，网管人员可以很轻松的对自己的网络进行扫描和漏洞的弥补。同时提供了Web方式的远程管理，网管不需要改变如何的网络拓扑结构和添加其他的应用程序就可以轻轻松松的保证了网络的安全性。另外对于信息点少、网络环境变化大的内网配置网络隐患扫描II型移动式扫描仪。移动式扫描仪使用灵活，可以跨越网段、穿透防火墙，对重点的服务器和网络设备直接扫描防护，这样保证了网络安全隐患扫描仪和其他网络安全产品的合作和协调性，最大可能地消除安全隐患。

在防火墙处部署联动扫描系统，在部门交换机处部署移动式扫描仪，实现放火墙、联动扫描系统和移动式扫描仪之间的联动，保证了网络安全隐患扫描仪和其他网络安全产品的合作和协调性，最大可能的消除安全隐患，尽可能早地发现安全漏洞并进行修补，优化资源，提高网络的运行效率和安全性。

三、结束语

随着网络应用的深入普及，网络安全越来越重要，国家和企业都对建立一个安全的网络有了更高的要求。一个特定系统的网络安全方案，应建立在对网络风险分析的基础上，结合系统的实际应用而做。由于各个系统的应用不同，不能简单地把信息系统的网络安全方案固化为一个模式，用这个模子去套所有的信息系统。

本文根据网络安全系统设计的总体規划,从桌面系统安全、病毒防护、身份鉴别、访问控制、信息加密、信息完整性校验、抗抵赖、安全审计、入侵检测、漏洞扫描等方面安全技术和管理措施设计出一整套解决方案，目的是建立一个完整的、立体的、多层次的网络安全防御体系。

参考文献:

[1]吴若松:新的网络威胁无处不在[J].信息安全与通信保密，2005年12期

[2]唐朝京张权张森强:有组织的网络攻击行为结果的建模[J].信息与电子工程，2003年2期

[3]王秋华:网络安全体系结构的设计与实现[J].杭州电子科技大学学报，2005年5期

企业网络安全设计方案论文 篇4

企业网络设计方案

关键字：网络，安全，VPN，防火墙，防病毒

班 级：AY 姓 名：AY 日 期：2016-05-19

目 录

摘 要..........................................................3 第一章 企业网络安全概述........................................4 1.1 企业网络的主要安全隐患...................................4 1.2 企业网络的安全误区.......................................4 第二章 企业网络安全现状分析...................................6 2.1 公司背景.................................................6 2.2 企业网络安全需求.........................................6 2.3 需求分析.................................................6 2.4 企业网络结构.............................................7 第三章 企业网络安全解决实施....................................9 3.1物理安全..................................................9 3.2企业网络接入配置.........................................10 3.3网络防火墙配置...........................................13 3.4配置验证查看.............................................21 3.5网络防病毒措施...........................................24 总 结........................................................26

摘 要

近几年来，Internet技术日趋成熟，已经开始了从以提供和保证网络联通性为主要目标的第一代Internet技术向以提供网络数据信息服务为特征的第二代Internet技术的过渡。这些都促使了计算机网络互联技术迅速的大规模使用。众所周知，作为全球使用范围最大的信息网，Internet自身协议的开放性极大地方便了各种计算机连网，拓宽了共享资源。但是，由于在早期网络协议设计上对安全问题的忽视，以及在管理和使用上的无政府状态，逐渐使Internet自身安全受到严重威胁，与它有关的安全事故屡有发生。网络安全的威胁主要表现在：非授权访问，冒充合法用户，破坏数据完整性，干扰系统正常运行，利用网络传播病毒，线路窃听等方面。因此本论文为企业构架网络安全体系，主要运用vlan划分、防火墙技术、vpn、病毒防护等技术，来实现企业的网络安全。

第一章 企业网络安全概述

1.1 企业网络的主要安全隐患

现在网络安全系统所要防范的不再仅是病毒感染，更多的是基于网络的非法入侵、攻击和访问，同时企业网络安全隐患的来源有内、外网之分，很多情况下内部网络安全威胁要远远大于外部网络，因为内部中实施入侵和攻击更加容易，企业网络安全威胁的主要来源主要包括。

1)病毒、木马和恶意软件的入侵。2)网络黑客的攻击。

3)重要文件或邮件的非法窃取、访问与操作。4)关键部门的非法访问和敏感信息外泄。5)外网的非法入侵。

6)备份数据和存储媒体的损坏、丢失。

针对这些安全隐患，所采取的安全策略可以通过安装专业的网络版病毒防护系统，同时也要加强内部网络的安全管理，配置好防火墙过滤策略和系统本身的各项安全措施，及时安装系统安全补丁，有条件的还可以在内、外网之间安装网络扫描检测、网络嗅探器、IDS、IPS系统，甚至配置网络安全隔离系统，对内、外网络进行安全隔离；加强内部网络的安全管理，严格实行“最小权限”原则，为各个用户配置好恰当的用户权限；同时对一些敏感数据进行加密保护，对数据还可以进行数字签名措施；根据企业实际需要配置好相应的数据策略，并按策略认真执行。

1.2 企业网络的安全误区

(一)安装防火墙就安全了

防火墙主要工作都是控制存取与过滤封包，所以对DoS攻击、非法存取与篡改封包等攻击模式的防范极为有效，可以提供网络周边的安全防护。但如果攻击行为不经过防火墙，或是将应用层的攻击程序隐藏在正常的封包内，便力不从心了，许多防火墙只是工作在网络层。

防火墙的原理是“防外不防内”，对内部网络的访问不进行任何阻挠，而事实上，企业网络安全事件绝大部分还是源于企业内部。

(二)安装了最新的杀毒软件就不怕病毒了

安装杀毒软件的目的是为了预防病毒的入侵和查杀系统中已感染的计算机病毒，但这并不能保证就没有病毒入侵了，因为杀毒软件查杀某一病毒的能力总是滞后于该病毒的出现。

(三)在每台计算机上安装单机版杀毒软件和网络版杀毒软件等效

网络版杀毒软件核心就是集中的网络防毒系统管理。网络版杀毒软件可以在一台服务器上通过安全中心控制整个网络的客户端杀毒软件同步病毒查杀、监控整个网络的病毒。同时对于整个网络，管理非常方便，对于单机版是不可能做到的。

(四)只要不上网就不会中毒

虽然不少病毒是通过网页传播的，但像QQ聊天接发邮件同样是病毒传播的主要途径，而且盗版光盘以及U盘等也会存在着病毒。所以只要计算机开着，就要防范病毒。

(五)文件设置只读就可以避免感染病毒

设置只读只是调用系统的几个命令，而病毒或黑客程序也可以做到这一点，设置只读并不能有效防毒，不过在局域网中为了共享安全，放置误删除，还是比较有用的。

(六)网络安全主要来自外部

基于内部的网络攻击更加容易，不需要借助于其他的网络连接方式，就可以直接在内部网络中实施攻击。所以，加强内部网络安全管理，特别是用户帐户管理，如帐户密码、临时帐户、过期帐户和权限等方面的管理非常必要了。

第二章 企业网络安全现状分析

2.1 公司背景

XX科技有限公司是一家有100名员工的中小型科技公司，主要以软件应用开发为主营项目的软件企业。公司有一个局域网，约100台计算机，服务器的操作系统是 Windows Server 2008,客户机的操作系统是 Windows 7，在工作组的模式下一人一机办公。公司对网络的依赖性很强，主要业务都要涉及互联网以及内部网络。随着公司的发展现有的网络安全已经不能满足公司的需要，因此构建健全的网络安全体系是当前的重中之重。

2.2 企业网络安全需求

XX科技有限公司根据业务发展需求，建设一个小型的企业网，有Web、Mail等服务器和办公区客户机。企业分为财务部门和业务部门，需要他们之间相互隔离。同时由于考虑到Inteneter的安全性，以及网络安全等一些因素，如DDoS、ARP等。因此本企业的网络安全构架要求如下：

（1）根据公司现有的网络设备组网规划（2）保护网络系统的可用性（3）保护网络系统服务的连续性

（4）防范网络资源的非法访问及非授权访问（5）防范入侵者的恶意攻击与破坏

（6）保护企业信息通过网上传输过程中的机密性、完整性（7）防范病毒的侵害（8）实现网络的安全管理。

2.3 需求分析

通过了解XX科技有限公司的需求与现状，为实现XX科技有限公司的网络安全建设实施网络系统改造，提高企业网络系统运行的稳定性，保证企业各种设计信息的安全性，避免图纸、文档的丢失和外泄。通过软件或安全手段对客户端的计算机加以保护，记录用户对客户端计算机中关键目录和文件的操作，使企业有手段对用户在客户端计算机的使用情况进行追踪，防范外来计算机的侵入而造成破坏。通过网络的改造，使管理

者更加便于对网络中的服务器、客户端、登陆用户的权限以及应用软件的安装进行全面的监控和管理。因此需要

（1）构建良好的环境确保企业物理设备的安全（2）划分VLAN控制内网安全（3）安装防火墙体系

（4）建立VPN(虚拟专用网络)确保数据安全（5）安装防病毒服务器（6）加强企业对网络资源的管理

2.4 企业网络结构

网络拓扑图，如下图所示:

总部网络情况：

防火墙FW1作为出口NAT设备，从网络运营商处获得接入固定IP为202.10.1.2/30，网关IP为202.10.1.1/30，经由防火墙分为DMZ区域和trust区域。

防火墙上FW1做NAT转换。分配给trust区域的地址为10.1.1.0 /24,通过FW1上GE0/0/0端口连接网络，接口地址为10.1.1.1/24。DMZ内主要有各类的服务器，地址分配为10.1.2.0 /24。通过FW1上GE0/0/1端口连接网络，接口地址为10.1.2.1 /24。

建立IPSec隧道，使总部和分支可以互访。

分部网络情况：

防火墙FW2作为出口NAT设备，从网络运营商处获得接入固定IP为202.20.1.2/30，网关IP为202.20.1.1/30。通过FW1上GE0/0/1端口连接内部网络，接口地址为10.1.1.1/24。

建立IPSec隧道，使分部和总部可以互访。

第三章 企业网络安全解决实施

3.1物理安全

企业网络中保护网络设备的物理安全是其整个计算机网络系统安全的前提，物理安全是指保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故、人为操作失误或各种计算机犯罪行为导致的破坏。

针对网络的物理安全主要考虑的问题是环境、场地和设备的安全及物理访问控制和应急处置计划等。物理安全在整个计算机网络信息系统安全中占有重要地位。它主要包括以下几个方面： 1)保证机房环境安全

信息系统中的计算机硬件、网络设施以及运行环境是信息系统运行的最基本的环境。要从一下三个方面考虑：a.自然灾害、物理损坏和设备故障 b.电磁辐射、乘机而入、痕迹泄漏等 c.操作失误、意外疏漏等 2)选用合适的传输介质

屏蔽式双绞线的抗干扰能力更强，且要求必须配有支持屏蔽功能的连接器件和要求介质有良好的接地（最好多处接地），对于干扰严重的区域应使用屏蔽式双绞线，并将其放在金属管内以增强抗干扰能力。

光纤是超长距离和高容量传输系统最有效的途径，从传输特性等分析，无论何种光纤都有传输频带宽、速率高、传输损耗低、传输距离远、抗雷电和电磁的干扰性好保密性好，不易被窃听或被截获数据、传输的误码率很低，可靠性高，体积小和重量轻等特点。与双绞线或同轴电缆不同的是光纤不辐射能量，能够有效地阻止窃听。3)保证供电安全可靠

计算机和网络主干设备对交流电源的质量要求十分严格，对交流电的电压和频率，对电源波形的正弦性，对三相电源的对称性，对供电的连续性、可靠性稳定性和抗干扰性等各项指标，都要求保持在允许偏差范围内。机房的供配电系统设计既要满足设备自身运转的要求，又要满足网络应用的要求，必须做到保证网络系统运行的可靠性，保证设备的设计寿命保证信息安全保证机房人员的工作环境。

3.2企业网络接入配置

VLAN技术能有效隔离局域网，防止网内的攻击，所以部署网络中按部门进行了VLAN划分，划分为以下两个VLAN：

业务部门 VLAN 10

交换机SW1接入核心交换机 财务部门 VLAN 20

交换机SW2接入核心交换机 核心交换机 VLAN间路由 核心交换机HSW1 核心交换机HSW1配置步骤: 1)建立VLAN 10 20 100 2)GE0/0/1加入vlan10, GE0/0/2加入vlan30, GE0/0/24加入vlan100 3)建立SVI并配置相应IP地址: Vlanif10:192.168.1.1/24 Vlanif20:192.168.2.1/24 Vlanif100:10.1.1.2/24 4)配置RIP路由协议：

Network 192.168.1.0 Network 192.168.2.0 Network 10.1.1.0 5)配置ACL拒绝其它部门对财务部访问，outbound→GE0/0/2。

详细配置：

# sysname HSW1 # info-center source DS channel 0 log state off trap state off # vlan batch 10 20 100 # cluster enable ntdp enable ndp enable # drop illegal-mac alarm # dhcp enable # diffserv domain default

# acl number 3001 rule 5 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 rule 15 deny ip source 20.0.0.0 0.255.255.255 destination 192.168.2.0 0.0.0.255 # traffic classifier tc1 operator and if-match acl 3001 # traffic behavior tb1 deny # traffic policy tp1 classifier tc1 behavior tb1 # drop-profile default # ip pool qqww gateway-list 192.168.1.1 network 192.168.1.0 mask 255.255.255.0 excluded-ip-address 192.168.1.254 # ip pool vlan20 gateway-list 192.168.2.1 network 192.168.2.0 mask 255.255.255.0 excluded-ip-address 192.168.2.200 192.168.2.254 # aaa authentication-scheme default authorization-scheme default accounting-scheme default domain default domain default_admin local-user admin password simple admin local-user admin service-type http # interface Vlanif1 # interface Vlanif10 ip address 192.168.1.1 255.255.255.0 dhcp select global # interface Vlanif20 ip address 192.168.2.1 255.255.255.0 dhcp select global

# interface Vlanif100 ip address 10.1.1.2 255.255.255.0 # interface MEth0/0/1 # interface GigabitEthernet0/0/1 port link-type access port default vlan 10 # interface GigabitEthernet0/0/2 port link-type access port default vlan 20 traffic-policy tp1 outbound # interface GigabitEthernet0/0/3 # interface GigabitEthernet0/0/4 # interface GigabitEthernet0/0/5 # interface GigabitEthernet0/0/6 # interface GigabitEthernet0/0/7 # interface GigabitEthernet0/0/8 # interface GigabitEthernet0/0/9 # interface GigabitEthernet0/0/10 # interface GigabitEthernet0/0/11 # interface GigabitEthernet0/0/12 # interface GigabitEthernet0/0/13 # interface GigabitEthernet0/0/14 # interface GigabitEthernet0/0/15 # interface GigabitEthernet0/0/16 # interface GigabitEthernet0/0/17 # interface GigabitEthernet0/0/18

# interface GigabitEthernet0/0/19 # interface GigabitEthernet0/0/20 # interface GigabitEthernet0/0/21 # interface GigabitEthernet0/0/22 # interface GigabitEthernet0/0/23 # interface GigabitEthernet0/0/24 port link-type access port default vlan 100 # interface NULL0 # rip 1 version 2 network 192.168.1.0 network 192.168.2.0 network 10.0.0.0 # ip route-static 0.0.0.0 0.0.0.0 10.1.1.1 # user-interface con 0 user-interface vty 0 4 # port-group de # return 3.3网络防火墙配置

防火墙FW1基本配置步骤：

1)配置GE0/0/0的IP地址10.1.1.1/24，并加入TRUST区域；

配置GE0/0/1的IP地址10.1.2.1/24，并加入DMZ区域；

配置GE0/0/2的IP地址202.10.1.2/30，并加入UNTRUST区域；

2)配置允许安全区域间包过滤。3)配置RIP路由协议：

Network 10.0.0.0 Network 202.10.1.0

4)配置NAT，出口GE0/0/2。

5)配置总部至分部的点到点IPSce隧道：

 配置ACL，匹配IPSec流量  配置IPSec安全提议1  配置IKE安全提议  配置IKE PEER  配置IPSec安全策略  在接口GE 0/0/2上应用策略

详细配置：

# CLI_VERSION=V300R001

# Last configuration was changed at 2016/05/18 16:22:21 from console0 #*****BEGIN****public****# # stp region-configuration region-name b05fe31530c0 active region-configuration # acl number 3002 rule 5 permit ip source 192.168.0.0 0.0.255.255 destination 20.1.0.0 0.0.255.255 rule 10 permit ip source 10.1.0.0 0.0.255.255 destination 20.1.0.0 0.0.255.255 # ike proposal 1 # ike peer 1 exchange-mode aggressive pre-shared-key %$%$UPiwVOh!8>qmd(CFw@>F+,#w%$%$ ike-proposal 1 remote-address 202.20.1.2 # ipsec proposal 1 # ipsec policy map 1 isakmp security acl 3002 ike-peer 1 proposal 1 # interface GigabitEthernet0/0/0 alias GE0/MGMT

ip address 10.1.1.1 255.255.255.0 # interface GigabitEthernet0/0/1 ip address 10.1.2.1 255.255.255.0 # interface GigabitEthernet0/0/2 ip address 202.10.1.2 255.255.255.252 ipsec policy map # interface GigabitEthernet0/0/3 # interface GigabitEthernet0/0/4 # interface GigabitEthernet0/0/5 # interface GigabitEthernet0/0/6 # interface GigabitEthernet0/0/7 # interface GigabitEthernet0/0/8 # interface NULL0 alias NULL0 # firewall zone local set priority 100 # firewall zone trust set priority 85 add interface GigabitEthernet0/0/0 # firewall zone untrust set priority 5 add interface GigabitEthernet0/0/2 # firewall zone dmz set priority 50 add interface GigabitEthernet0/0/1 # aaa local-user admin password cipher %$%$I$6`RBf34,paQv9B&7i4*“vm%$%$ local-user admin service-type web terminal telnet local-user admin level 15 authentication-scheme default # authorization-scheme default

# accounting-scheme default # domain default # # rip 1 version 2 network 10.0.0.0 network 202.10.1.0 # nqa-jitter tag-version 1 # banner enable # user-interface con 0 authentication-mode none user-interface vty 0 4 authentication-mode none protocol inbound all # slb # right-manager server-group # sysname FW1 # l2tp domain suffix-separator @ # firewall packet-filter default permit interzone local trust direction inbound firewall packet-filter default permit interzone local trust direction outbound firewall packet-filter default permit interzone local untrust direction outbound firewall packet-filter default permit interzone local dmz direction outbound # ip df-unreachables enable # firewall ipv6 session link-state check firewall ipv6 statistic system enable # dns resolve #

firewall statistic system enable # pki ocsp response cache refresh interval 0 pki ocsp response cache number 0 # undo dns proxy # license-server domain lic.huawei.com # web-manager enable # policy interzone local untrust inbound policy 1 action permit # policy interzone local dmz inbound policy 1 action permit # policy interzone trust untrust inbound policy 1 action permit # policy interzone trust untrust outbound policy 1 action permit # policy interzone trust dmz inbound policy 1 action permit # policy interzone trust dmz outbound policy 1 action permit # nat-policy interzone trust untrust outbound policy 1 action source-nat policy source 192.168.0.0 0.0.255.255 policy source 10.1.0.0 0.0.255.255 easy-ip GigabitEthernet0/0/2 # return #-----END----#

防火墙FW2基本配置步骤如下：

1)配置GE0/0/0的IP地址202.20.1.2/30，并加入UNTRUST区域；

配置GE0/0/1的IP地址20.1.1.1/24，并加入TRUST区域；

2)配置允许安全区域间包过滤。3)配置RIP路由协议：

Network 20.0.0.0 Network 202.10.1.0 4)配置NAT，出口GE0/0/0。

5)配置分部至总部的点到点IPSce隧道：

 配置ACL，匹配IPSec流量  配置IPSec安全提议1  配置IKE安全提议  配置IKE PEER  配置IPSec安全策略  在接口GE 0/0/2上应用策略

详细配置：

# CLI_VERSION=V300R001 # Last configuration was changed at 2016/05/18 16:22:59 from console0 #*****BEGIN****public****# # stp region-configuration region-name 405fd915c0bf active region-configuration # acl number 3002 rule 5 permit ip source 20.1.0.0 0.0.255.255 destination 10.1.0.0 0.0.255.255 rule 10 permit ip source 20.1.0.0 0.0.255.255 destination 192.168.0.0 0.0.255.255 # ike proposal 1 # ike peer 1 exchange-mode aggressive pre-shared-key %$%$;3C|#{7eS#uD2wS|”x<6+=4+%$%$ ike-proposal 1 remote-address 202.10.1.2 #

ipsec proposal 1 # ipsec policy map 1 isakmp security acl 3002 ike-peer 1 proposal 1 # interface GigabitEthernet0/0/0 alias GE0/MGMT ip address 202.20.1.2 255.255.255.252 ipsec policy map # interface GigabitEthernet0/0/1 ip address 20.1.1.1 255.255.255.0 # interface GigabitEthernet0/0/2 # interface GigabitEthernet0/0/3 # interface GigabitEthernet0/0/4 # interface GigabitEthernet0/0/5 # interface GigabitEthernet0/0/6 # interface GigabitEthernet0/0/7 # interface GigabitEthernet0/0/8 # interface NULL0 alias NULL0 # firewall zone local set priority 100 # firewall zone trust set priority 85 add interface GigabitEthernet0/0/1 # firewall zone untrust set priority 5 add interface GigabitEthernet0/0/0 # firewall zone dmz set priority 50 #

aaa local-user admin password cipher %$%$dJ“t@”DxqH@383<@pQl#*~6-%$%$ local-user admin service-type web terminal telnet local-user admin level 15 authentication-scheme default # authorization-scheme default # accounting-scheme default # domain default # # rip 1 version 2 network 202.20.1.0 network 20.0.0.0 # nqa-jitter tag-version 1 # banner enable # user-interface con 0 authentication-mode none user-interface vty 0 4 authentication-mode none protocol inbound all # slb # right-manager server-group # sysname FW2 # l2tp domain suffix-separator @ # firewall packet-filter default permit interzone local trust direction inbound firewall packet-filter default permit interzone local trust direction outbound firewall packet-filter default permit interzone local untrust direction outbound firewall packet-filter default permit interzone local dmz direction outbound #

ip df-unreachables enable # firewall ipv6 session link-state check firewall ipv6 statistic system enable # dns resolve # firewall statistic system enable # pki ocsp response cache refresh interval 0 pki ocsp response cache number 0 # undo dns proxy # license-server domain lic.huawei.com # web-manager enable # policy interzone local untrust inbound policy 1 action permit # policy interzone local dmz inbound policy 1 action permit # policy interzone trust untrust inbound policy 1 action permit # policy interzone trust untrust outbound policy 1 action permit # return #-----END----# 3.4配置验证查看

 验证路由：

 连通性测试

分部网络至总部业务部网络正常连通，至服务器网络正常连通：

分部网络至总部财务部网络不能到达：

3.5网络防病毒措施

针对网络的现状，在综合考虑了公司对防病毒系统的性能要求、成本和安全性以后，我选用瑞星杀毒软件网络版来在内网中进行防病毒系统的建立。产品特点: 瑞星杀毒软件网络版是为各种简单或复杂网络环境设计的计算机病毒网络防护系统，即适用于包含若干台主机的单一网段网络，也适用于包含各种WEB服务器、邮件服务器、应用服务器，以及分布在不同城市，包含数十万台主机的超大型网络。网络版具有以下显著特点：

(1)先进的体系结构(2)超强的杀毒能力(3)完备的远程控制(4)方便的分级、分组管理

网络瑞星杀毒软件网络版的主控制中心部署在DMZ服务器区，子控制中心部署在核心层交换机的一台服务器上。

控制中心负责整个网络版的管理与控制，是整个网络版的核心，在部署网络时，必须首先安装。除了对网络中的计算机进行日常的管理与控制外，它还实时地记录着 网络版防护体系内每台计算机上的病毒监控、查杀病毒和升级等信息。在1个网段内仅允许安装1台控制中心。根据控制中心所处的网段的不同，可以将控制中心划分为主控制中心和子控制中心，子控制中心除了要 完成控制中心的功能外，还要负责与它的上级——主控制中心进行通信。这里的“主”和“子”是一个 相对的概念：每个控制中心对于它的下级的网段来说都是主控制中心，对于它的上级的网段来说又是子控制中心，这种控制结构可以根据网络的需要无限的延伸下去。

为企业网络安装好网络版杀毒软件后，为期配置软件的安全策略。对企业客户端计算机的软件实现更为完善的远程控制功能，利用软件控制中心的“策略设置”功能组来实现。在此功能中可以针对单一客户端、逻辑组、全网进行具有针对性的安全策略设置。在“策略设置”下拉菜单中，我们可以找到“扫描设置”、“反垃圾邮件”、“网址过滤”等与平时安全应用密切相关的各项应用配置选项。

为企业网络 网络版杀毒软件配置“扫描设置”，扫描设置可对当前选择的任意组或者任意节点的客户端进行更加细化的扫描设置。企业可以自己设定适合于自己网络环境的扫描方案，针对不同的策略对不同的客户端进行分发不同的扫描命令。可以下发以下命令到节点计算机：扫描目标，定时扫描，分类扫描，不扫描文件夹，扫描报告，简单而实用的设置页大大的增加了网络管理的易用性。

总 结

随着互联网的飞速发展，网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题，其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中，它主要关心的是确保无关人员不能读取，更不能修改传送给其他接收者的信息。此时，它关心的对象是那些无权使用，但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题，以及发送者是否曾发送过该条消息的问题。

XX设计公司网络安全应用方案 篇5

一：目前公司现状以及存在的安全隐患：

整个网络由内外网组成，内网是员工设计绘图专用网络。包括：建筑专业、结构专业、给排水专业、电气专业、暖通专业、概预算专业等部门。外网是联接Internet的办公室部门网络，可以与外界交换数据、获取信息。

目前存在的问题：

１.内网用户之间是工作组的方式联网，相互之间通过飞鸽传书软件传送文件，每个员工可以任意添加、删除、修改本机数据，随意安装软件、文件传送混乱，不利于管理。

２.每个人的工作都在自己计算机上存储文件，对员工的工作量检查、工作内容的管理非常麻烦。一旦有不满的员工离开公司，可随意破坏数据，且已发生此类事件。

３.可以用移动介质比如Ｕ盘，盗取、拷贝数据。为了公司数据的安全，要屏蔽每台计算机的Ｕ盘功能。但是有的计算机又必须开启Ｕ盘功能才能使用ＵＳＢ的加密狗。这样对公司数据的保密构成威胁。

４.由于每个人的工作文件都存在单个的计算机上，这样不便于公司文档的收集、整理、归类、存储、备份，急需改进。

５.由于每台计算机的密码保护工作很麻烦，目前的电脑有的有密码，有的没有，极易造成数据的泄密工作。

６.由于工作组计算机的分散，不利于每台计算机的病毒库更新、系统或应用软件补丁的安装，对系统维护增加了困难。

针对以上情况，我们建议贵公司的网络升级到域，即用活动目录的方式对计算机及公司人员进行管理，达到提高效率，保护网络系统数据安全，规范公司管理的目的。

二：解决方案

为了更好的管理网络建议把网络升级到域环境，可以用微软的利用Microsoft® Active Directory® 服务对网络进行管理。

Microsoft® Active Directory® 服务是Windows®平台的核心组件，它为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段。

1． 回收每台计算机的管理权限，并把每台计算机加入到公司域环境。每个人都用域用户登录，使每个内网员工只有应用设计软件进行设计工作的权限，不能任意添加、删除、修改每台计算机的配置及应用程序的权限，只有经过公司允许才能安装删除文件。这样就保证了每台计算机应用程序的安全，是员工专心于工作。减少了应用程序出处及系统感染病毒的可能。2． 通过在服务器和每个人的本地计算机上建立文件目录规范公司文档的管理。比如：在用户登录到域后，会看登录用户名一样的主目录，用户可以对该目录进行自由的读写，用户可以在下面建立“工作和共享”两个文件夹，工作目录存放自己工作的文件，共享目录存放与别人交流的文件。共享目录的权限对其他人是只读的，其他人可以读和拷贝文件，但不能修改删除。这样可以不使用飞鸽传书软件，造成软件、文档乱传的情况。存储在本地的文件其他人（除了管理员）是没有权限看到的。这样每个人的工作在自己的计算机上保留一份，在服务器上再保留一份。且不被其他无关人员读取，有效的保证了数据的安全、备份、容错功能。同时可以按装比飞鸽传书功能更强大的腾讯的ＲＴＸ及时通讯软件，使内部员工之间可以相互交流。由于员工的数据存储在服务器上，可以方便的对数据进行归档和备份。对于特别重要的数据还应该刻录成光盘，异地存储保存

3． 打开注册表编辑器，依次展开如下分支

[HKEY_LOCAL_MACHINESYSTEMCurrentCntrolSetServicesUSBSTOR]，在右侧的窗格中找到名为“Start”的DWORD值，双击，在弹出的编辑对话框中将其数值数据修改为十六位进制数值“4”。点“确定”按钮并关闭注册表编辑器，重新启动计算机，使设置生效。这样做的前提是必须回收每台计算机的管理员权限。

4． 网络不是绝对安全的，通过详细的规划，安全的设置，以及公司良好的行政管理。建立一整套完整的与外界以及公司内部人员文件交换机制，才能有效的杜绝数据泄密，破坏等问题。

网络安全方案 篇6

虽然无线网络一直容易受到黑客入侵，但它们的安全性还是得到了大大增强。下面这些方法旨在帮你提高安全系数。

一、安装安全的无线路由器。

这个设备把你网络上的计算机连接到互联网。请注意：不是所有路由器都是天生一样的。至少，路由器需要具有以下三种功能：

（1）支持最不容易被的密码；

（2）可以把自己隐藏起来，防止被网络外面未经授权、过于好奇的人看见；

（3）防止任何人通过未经授权的计算机进入网络。本文以Belkin International公司生产的路由器为例。它和其他公司生产的类似路由器广泛应用于如今的网络中。它们的设置过程非常相似。本文推荐的一些方法适用于这类设备。请注意：款式较老或价格较低的路由器可能提供不了同样的功能。

二、选择安全的路由器名字。

可以使用生产厂商的配置软件来完成这一步。路由器的名字将作为广播点（又叫热点），你或试图连接至路由器广播区范围之内的无线网络的任何人都看得见它。不要把路由器的品牌名或型号（如Belkin、Linksys或AppleTalk）作为其名字。那样的话，黑客很容易找出路由器可能存在的安全漏洞。

同样，如果把你自己的姓名、住址、公司名称或项目团队等作为路由器的名字，这无异于帮助黑客猜出你的网络密码。

浅谈校园网络安全方案研究与设计 篇7

随着高校信息化建设的发展, 高校校园网普及程度越来越高, 校园网在教学、科研、校内政务管理方面起到了积极地作用。因此网络安全越来越成为校园网络成功运行的关键因素, 特别是随着多协议、新业务的发展, 网上教学、远程教育、银校一卡通等各种应用使教育网络不再是一个封闭的网络, 网络建设中制定网络安全策略, 部署相应安全防护方案, 保证校园网络的安全顺畅的运行成为迫切需要解决的问题。

二、校园网络安全需求分析

随着校园网络规模不断扩大, 越来越多的校园网络应用开始部署, 网络变得从所未有的重要。网络安全方案有三大挑战需要解决:

其一, 就是不断增加的校园安全出口的安全威胁: (1) 应用层威胁来势凶猛, (2) 网页被篡改, (3) 带宽占用, (4) 服务器应用访问慢, (5) 病毒泛滥, (6) 间谍软件泛滥。其二, 就是业务系统集中后的数据中心安全: (1) 数据共享和海量存储的问题, (2) 访问量过大带来的低性能问题, (3) 数据访问限制问题, (4) 关键数据信息的安全保障问题。其三, 就是校园内网安全建设的烦恼, 这三种安全威胁对于校园网络来说十分重要。 (1) 内部病毒泛滥, (2) 用户接入权限不受控制, (3) 整网安全状况无法掌控。

三、校园网络安全方案设计

某学校网络拓扑结构如图1所示, 针对其网络结构的特点, 我们提出了以下网络安全解决方案。

3.1网络出口防护 (如图2)

当校园网用户访问外网时, 先通过校园网核心路由通过既定策略进行网路选择, 把网络数据包发送到cernet或出口防火墙。同时要注意的是出口防火墙要兼具NAT功能, 满足大流量的用户访问, 同时也能够高网路的安全。

3.2数据中心保护 (如图3)

此方案中以数据中心服务器作为安全方案的核心, 构成数据中心的三重防护。一是以安全特性较高的交换机群构成服务器的保护基础。二是通过ASIC、NP技术构成的IPS网络报文监测系统, 实现流量的清洗功能。三是利用高性能的防火墙对数据中心进行安全加固。

3.3骨干网保护 (如图4)

骨干网作为校园网的核心网络, 向校内的办公网络、学生宿舍网络等源源不断的提供安全稳定的信息血液, 保证整个学校整体业务的安全稳定运行。

四、总结

全新安全设备完善网络安全方案 篇8

日前，Check Point 软件技术有限公司推出一个全新安全设备系列，能为不同规模的企业提供范围最广泛的安全方案，协助它们克服IT环境中的各种威胁。

这系统安全设备包括7个型号：2200、4200、4600、4800、12200、12400 及12600，它们连同在8月发布的21400安全设备，都是根据Check Point的软件刀片架构来优化，而且支持其3D安全理念。借力多核技术，此等安全设备能提供3至1100Gbps的防火墙吞吐量；从2到21Gbps的IPS吞吐量；其SPU得分从114到2900分不等，为企业提供了值得信赖的安全保护。

Check Point的安全设备可以支持不同的软件刀片组合，包括入侵防护、移动访问、身份识别、URL过滤、反垃圾邮件等，通过把安全功能整合至单一集成的安全解决方案，不同规模的企业可以根据各种环境的保护水平要求，灵活调整其安全设备。

同时，Check Point 最新的防bot 软件刀片能帮助客户发现bot，并阻止受感染的主机与远程操作者之间的通信来防止损失。这款崭新解决方案将整合至每一个网关，为企业提供多层次的bot防御，以抗击恶意软件的威胁，其处理信息流量高达40 Gbps，因此能确保所有业务沟通渠道的安全。