通信工程师论文通信工程师论文.doc

企业网络安全规划与改造 编制人 ：LLL 专业方向： 通信类 单 位 ：LLL 日 期 ：LLL 目 录 1. 摘? 要 3 1.1. 关键词 3 2. 绪论 3 3. 正文： 3 4. 目前网络存在的问题 3 4.1 个别员工私接微机，盗用他人IP地址 4 4.2 广播风暴及网络病毒造成的网络拥塞 4 4.3 网管手段不足，不能及时查出有问题的用户 4 4.4 网络安全手段不够，企业网站风险性增大 4 5. 解决及实施方案 4 5.1. 强化交换机端口管理 5 5.2. 划分VLAN，在各VLAN接口上配置访问列表 6 5.3. 使用系统命令及网管软件查找问题用户 6 5.4. 使用防火墙保障内部网络及企业网站安全 7 6. 实施时需注意的问题 9 6.1. 防火墙的安全策略制定 9 6.2. VLAN划分的方式 9 7. 附件：IP地址规划 10 8. 结论及建议 10 9. 参考文献 10 摘? 要 21世纪全世界的计算机都将通过Internet联到一起，信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范，而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会、网络社会的时候，各企业建立起一套完整的网络安全体系，从内部安全到外部安全的全方位防护成为目前的迫切需要。 本文以某企业为例，论述其网络安全的规划与改造问题。 关键词 VLAN 、广播风暴、访问列表、防火墙 绪论 针对当前企业网络安全改造的相关问题进行分析并提供相应的解决方案，文章重点介绍了几种常用的实施和解决方案以及实施中的注意事项。 正文： 目前网络存在的问题 某企业人员及业务规模不断发展壮大，企业现有网络上的接入设备随之增多企业网站知名度随之提高，造成目前网络故障比较多，网络性能下降，网络安全风险日益增大，严重影响了企业的日常办公。目前的问题主要表现在以下几个方面： 4.1 个别员工私接微机，盗用他人IP地址 4.2 广播风暴及网络病毒造成的网络拥塞 4.3 网管手段不足，不能及时查出有问题的用户 4.4 网络安全手段不够，企业网站风险性增大 解决及实施方案 目前，企业网络使用的交换机均为3COM品牌，设备比较陈旧，性能较差，网管手段缺乏，经常引起网络中断，因此此次网络改造首先需将现用交换机更换为CISCO设备，计划采用CISCO3550作为中心汇聚交换机，CISCO2950作为接入层交换机，NETSCREEN208作为其安全防护产品。 改造后的网络拓扑图如下：  对交换机进行以下配置，以最大程度的解决第一章提到的问题： 强化交换机端口管理 为防止员工私接微机，盗用他人IP地址，需加强对交换机的端口管理，交换机端口管理主要包括以下两个方面： 将交换机上未使用端口默认置为关闭状态，有新接入需求时通过申请由网管人员打开相应端口，不再使用时关闭。 在三层交换机3550上将在用用户的IP地址和arp地址进行绑定，对空闲的IP地址要绑定一个不存在的arp 地址，如0000.0000.0000，这样盗用他人IP的用户将无法通过3550上网，但其在本VLAN局域网中仍可使用，后开机的合法用户仍将报IP地址冲突而无法使用，这只有通过管理制度来解决。 考虑到在接入层2950交换机上进行端口和mac地址绑定并不能解决VLAN内的IP盗用问题，且配置非常繁琐，故目前暂不推荐采用，以后在对网络有更高安全要求时可进行考虑。 划分VLAN，在各VLAN接口上配置访问列表 为防止广播风暴，需通过在交换机上划分VLAN来隔离广播风暴，提高网络性能。此步骤也是进行后续配置的基础。 计划将交换机端口根据部门职能划分为企业及部门领导（约20台微机，VLAN10）、生产部门（约120台微机，VLAN20）和其他部门（约80台微机，VLAN30）3个VLAN。VLAN划分也可进一步细化到各生产小组，不过VLAN划分的越多，后期的维护工作也就越多，并且对网络设备的性能要求也就越高。 为控制网络病毒造成的网络拥塞，需在各VLAN接口上配置访问列表，封堵病毒传播端口，实现对常见蠕虫类网络病毒(如冲击波、震荡波、SQL蠕虫王等)的隔离控制，常见病毒传播端口主要包括135/tcp、139/tcp、445/tcp、1025/tcp、5554/tcp、9996/tcp、1023/tcp、1022/tcp、69/udp、 1434/udp等。 此方法可在某微机感染病毒时，将病毒的影响范围限定在本VLAN内，其他VLAN用户的正常办公及上网基本不受影响。可有效防止已知蠕虫类网络病毒的传播。 通过访问列表可有效控制已知蠕虫类网络病毒的传播，但蠕虫类病毒层出不穷，所使用的端