通信工程师文.doc

企业网络安全规划与改造 编制人 ：LLL 专业方向： 通信类 单 位 ：LLL 日 期 ：LLL 目 录 1. 摘? 要 3 1.1. 关键词 3 2. 绪论 3 3. 正文： 3 4. 目前网络存在的问题 3 4.1 个别员工私接微机，盗用他人IP地址 4 4.2 广播风暴及网络病毒造成的网络拥塞 4 4.3 网管手段不足，不能及时查出有问题的用户 4 4.4 网络安全手段不够，企业网站风险性增大 4 5. 解决及实施方案 4 5.1. 强化交换机端口管理 5 5.2. 划分VLAN，在各VLAN接口上配置访问列表 6 5.3. 使用系统命令及网管软件查找问题用户 6 5.4. 使用防火墙保障内部网络及企业网站安全 7 6. 实施时需注意的问题 9 6.1. 防火墙的安全策略制定 9 6.2. VLAN划分的方式 9 7. 附件：IP地址规划 10 8. 结论及建议 10 9. 参考文献 10 摘? 要 对交换机进行以下配置，以最大程度的解决第一章提到的问题： 强化交换机端口管理 为防止员工私接微机，盗用他人IP地址，需加强对交换机的端口管理，交换机端口管理主要包括以下两个方面： 将交换机上未使用端口默认置为关闭状态，有新接入需求时通过申请由网管人员打开相应端口，不再使用时关闭。 在三层交换机3550上将在用用户的IP地址和arp地址进行绑定，对空闲的IP地址要绑定一个不存在的arp 地址，如0000.0000.0000，这样盗用他人IP的用户将无法通过3550上网，但其在本VLAN局域网中仍可使用，后开机的合法用户仍将报IP地址冲突而无法使用，这只有通过管理制度来解决。 考虑到在接入层2950交换机上进行端口和mac地址绑定并不能解决VLAN内的IP盗用问题，且配置非常繁琐，故目前暂不推荐采用，以后在对网络有更高安全要求时可进行考虑。 划分VLAN，在各VLAN接口上配置访问列表 为防止广播风暴，需通过在交换机上划分VLAN来隔离广播风暴，提高网络性能。此步骤也是进行后续配置的基础。 计划将交换机端口根据部门职能划分为企业及部门领导（约20台微机，VLAN10）、生产部门（约120台微机，VLAN20）和其他部门（约80台微机，VLAN30）3个VLAN。VLAN划分也可进一步细化到各生产小组，不过VLAN划分的越多，后期的维护工作也就越多，并且对网络设备的性能要求也就越高。 为控制网络病毒造成的网络拥塞，需在各VLAN接口上配置访问列表，封堵病毒传播端口，实现对常见蠕虫类网络病毒(如冲击波、震荡波、SQL蠕虫王等)的隔离控制，常见病毒传播端口主要包括135/tcp、139/tcp、445/tcp、1025/tcp、5554/tcp、9996/tcp、1023/tcp、1022/tcp、69/udp、 1434/udp等。 此方法可在某微机感染病毒时，将病毒的影响范围限定在本VLAN内，其他VLAN用户的正常办公及上网基本不受影响。可有效防止已知蠕虫类网络病毒的传播。 通过访问列表可有效控制已知蠕虫类网络病毒的传播，但蠕虫类病毒层出不穷，所使用的端口也在不断变化，这就需要网管人员在日常维护中不断对新发现的病毒端口进行封堵，不断更新访问列表。 使用系统命令及网管软件查找问题用户 加强网管手段，及时查出有问题的用户，通过交换机操作系统中的调试命令并配合CISCOVIEW、SNIFFER、超级网管等软件，可对某VLAN中可能存在的问题微机进行查找，及时定位问题用户并督促用户解决问题。 交换机操作系统命令如：show proc cpu 、show interface 可查看交换机的cpu占用率及接口流量、单位时间内的数据包数，以判断接口所连设备是否异常。 CISCOVIEW是CISCO企业的一个小型网管软件，可以图形化方式实现对交换机端口的流量查看、打开及关闭操作等功能，相对于使用字符命令更直观、方便，但不如字符命令功能强大，计划在企业网络中布署一套该软件以实现更方便的网络管理。 使用防火墙保障内部网络及企业网站安全 作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。 根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换—NAT、代理型和监测型。