企业网络设计和安全管理.docVIP

企业网络设计和安全管理 　　【摘要】为了应付当前出现的各种网络安全问题，网络安全技术及软硬件设备层出不穷。安全技术覆盖了计算机网络的方方面面。安全技术变得纷繁复杂起来，这对网络安全技术的应用来说带来了挑战。对于网络安全我们所看重的往往是单个应用点，这就容易忽略某些层次的安全问题。本文主要探讨企业网络设计与安全管理。 　　【关键词】网络设计安全管理计算机 　　计算机网络物理介质的不安全因素主要有电磁泄漏及干扰，网络介质在接口、某些特定线缆都有可能出现因屏蔽不严而导致的信号泄漏。目前大多数计算机网络系统的屏蔽措施都不是很健全，这对网络安全构成了一定威胁。系统软件及应用程序的安全问题主要是因为网络软件的安全功能不完善，或系统中存在各种恶意代码，如后门程序、病毒程序等。这样会导致信息泄漏、资源非法使用或数据损毁等后果。操作系统和应用程序在功能上变得越来越丰富，在用户使用网络更加方便的同时，也存在很多容易受到攻击的地方。人员安全问题主要是由于工作人员的保密观念不强导致。其中操作失误导致的信息泄漏或损毁也是导致安全问题的一个重要因素。工作人员利用自己对系统的熟悉了解，为达非法目的对系统数据进行篡改、破坏也会对网络系统造成严重后果。环境安全问题主要是由于地震、火灾、雷电等自然灾害或掉电、温度湿度、空气洁净度等环境因素所导致的安全问题。 　　一、企业内网通信模型 　　当前绝大多数企业内网的接入层网络访问是基于以太网协议规范的，常见的有10/100BaseT、100BaseFx、1000BaseT等规范。在带宽方面支持从10Mbps到1000Mbps速率集，从线缆材质上又分为双绞线和光缆。企业内网接入层的通信模式主要有三种：VLAN内部通信、VLAN间通信、外网通信。 　　VLAN内部通信方式主要是存在于某个VLAN中的主机与本VLAN中的其他主机进行通信的过程。这个通信过程只需要通过第二层交换即可完成。该通信过程经过如下几个步骤完成：（1）通信发起方在已知接收方IP地址的情况下，对接收方IP地址及自己的子网掩码进行逻辑与运算，以检查接收方IP地址是否与自己处于同一网段。（2）因为需要对数据报文在第二层数据链路层进行封装，发送方接下来会发送ARP广播来查询接收方的MAC地址。当发送方发出ARP查询报文后，由于是广播报文，于是交换机会将该报文向除了接受该报文的接口之外的其他所有接口发出。（3）报文到达数据接受方之后，接收方会以自己的MAC地址作为回应发送给发送方。这样以来，发送方在本地ARP缓存表中就有了接收方的IP与MAC地址的对应关系。 　　缓存表中包含了接收方的IP地址和MAC地址，发送方主机可以利用这些地址对应关系进行二层和三层封装。PDU封装完成后，随即被发送给交换设备。本地交换设备通过查询自身的MAC地址表，然后将数据帧从正确的端口上转发出去。最终接收方收到了数据，并依据现有信息对数据作出回应。 　　二、企业内网安全防护体系的设计 　　企业内网接入层安全防护系统需要满足如下功能需求：（1）能够及时得知接入交换机的运行状态，并根据运行状态分析网络运行是否存在ARP欺骗攻击、DHCP欺骗攻击、广播风暴攻击行为。对攻击信息的分析要做到全面准确。对于交换机的运行状态获取，需要覆盖多个接入层楼宇，并且对交换机的日志能够持久存储以备查阅。（2）能够确定攻击源在接入交换机中的位置，并进行隔离使其无法影响其他上网主机，对于已处理的主机可以进行解除隔离。隔离操作的执行需要做到直接简便高效。攻击主机的位置确定对用户需要做到透明。（3）设备的控制需要对网络管理员透明化，提供对多厂商交换设备的支持，控制功能需要使用公共标准协议，能够监控接入设备的服务状态和IP可达状态。并将这些状态呈献给网络管理员。对于网络管理员作出的针对攻击主机的操作，能够将其转化为交换设备可以识别的指令。（4）提供安全的用户登录验证功能，能够让用户使用除静态用户名密码之外的第三种认证方式，保障用户登录信息达到不可猜测、无法破解、登录参数无法重复使用，有效防范帐户密码盗取。（5）能够提供基本的用户权限功能，管理员、维护员和普通用户三层管理权限，分别对应全部操作权限、后期维护权限、日志查看权限。对网络管理员需要提供对接入网络设备日志信息和攻击主机信息的查询，对管理员权限的用户除提供查询功能之外，还要提供对攻击主机进行隔离和解除隔离的操作功能。对于维护员来说，除了提供查询功能外，只允许其具备对已隔离攻击主机的解除隔离操作。上网用户不具备系统的操作权限，只具备攻击主机信息的查询功能。 　　三、安全管理 　　在用户登录验证方面，本系统使用了基于双因素用户验证的登录功能。用户验证使用双因素验证，用户除了使用用户名与密码之外，还需要使用一个同步码。同步码是由令牌生成，与服务器上