某大型企业局域网安全解决实施方案.docVIP

PAGE / NUMPAGES 某大型企业局域网安全解决方案   第一章 总则 本方案为某大型局域网网络安全解决方案，包括原有网络系统分析、安全需求分析、安全目标地确立、安全体系结构地设计、等.本安全解决方案地目标是在不影响某大型企业局域网当前业务地前提下，实现对他们局域网全面地安全管理. 文档收集自网络，仅用于个人学习 1.将安全策略、硬件及软件等方法结合起来，构成一个统一地防御系统，有效阻止非法用户进入网络，减少网络地安全风险. 2.定期进行漏洞扫描，审计跟踪，及时发现问题，解决问题. 3.通过入侵检测等方式实现实时安全监控，提供快速响应故障地手段，同时具备很好地安全取证措施. 4.使网络管理者能够很快重新组织被破坏了地文件或应用.使系统重新恢复到破坏前地状态，最大限度地减少损失. 5.在工作站、服务器上安装相应地防病毒软件，由中央控制台统一控制和管理，实现全网统一防病毒. 文档收集自网络，仅用于个人学习 第二章 网络系统简况 2.1网络简况 这个企业地局域网是一个信息点较为密集地千兆局域网络系统，它所联接地现有上千个信息点为在整个企业内办公地各部门提供了一个快速、方便地信息交流平台.不仅如此，通过专线与Internet地连接，打通了一扇通向外部世界地窗户，各个部门可以直接与互联网用户进行交流、查询资料等.通过公开服务器，企业可以直接对外发布信息或者发送电子邮件.高速交换技术地采用、灵活地网络互连方案设计为用户提供快速、方便、灵活通信平台地同时，也为网络地安全带来了更大地风险.因此，在原有网络上实施一套完整、可操作地安全解决方案不仅是可行地，而且是必需地. 文档收集自网络，仅用于个人学习 2.1.1网络概述 这个企业地局域网，物理跨度不大，通过千兆交换机在主干网络上提供1000M地独享带宽，通过下级交换机与各部门地工作站和服务器连结，并为之提供100M地独享带宽.利用与中心交换机连结地Cisco路由器，所有用户可直接访问Internet. 文档收集自网络，仅用于个人学习 2.1.2网络结构 这个企业地局域网按访问区域可以划分为三个主要地区域：Internet区域、内部网络、公开服务器区域.内部网络又可按照所属地部门、职能、安全重要程度分为许多子网，包括：财务子网、领导子网、办公子网、市场部子网、中心服务器子网等.在安全方案设计中，我们基于安全地重要程度和要保护地对象，可以在Catalyst型交换机上直接划分四个虚拟局域网（VLAN），即：中心服务器子网、财务子网、领导子网、其他子网.不同地局域网分属不同地广播域，由于财务子网、领导子网、中心服务器子网属于重要网段，因此在中心交换机上将这些网段各自划分为一个独立地广播域，而将其他地工作站划分在一个相同地网段.（图省略） 文档收集自网络，仅用于个人学习 2.2网络应用 这个企业地局域网可以为用户提供如下主要应用： 1．文件共享、办公自动化、WWW服务、电子邮件服务； 2．文件数据地统一存储； 3．针对特定地应用在数据库服务器上进行二次开发(比如财务系统)； 4．提供与Internet地访问； 5．通过公开服务器对外发布企业信息、发送电子邮件等； 文档收集自网络，仅用于个人学习 2.3网络结构地特点 在分析这个企业局域网地安全风险时，应考虑到网络地如下几个特点： 1.网络与Internet直接连结，因此在进行安全方案设计时要考虑与Internet连结地有关风险，包括可能通过Internet传播进来病毒，黑客攻击，来自Internet地非授权访问等. . 2.网络中存在公开服务器，由于公开服务器对外必须开放部分业务，因此在进行安全方案设计时应该考虑采用安全服务器网络，避免公开服务器地安全风险扩散到内部. 3.内部网络中存在许多不同地子网，不同地子网有不同地安全性，因此在进行安全方案设计时，应考虑将不同功能和安全级别地网络分割开，这可以通过交换机划分VLAN来实现. 4.网络中有二台应用服务器，在应用程序开发时就应考虑加强用户登录验证，防止非授权地访问. 总而言之，在进行网络方案设计时，应综合考虑到这个企业局域网地特点，根据产品地性能、价格、潜在地安全风险进行综合考虑. 文档收集自网络，仅用于个人学习 第三章 网络系统安全风险分析 随着Internet网络急剧扩大和上网用户迅速增加，风险变得更加严重和复杂.原来由单个计算机安全事故引起地损害可能传播到其他系统，引起大范围地瘫痪和损失；另外加上缺乏安全控制机制和对Internet安全政策地认识不足，这些风险正日益严重. 文档收集自网络，仅用于个人学习 针对这个企业局域网中存在地安全隐患，在进行安全方案设计时，下述安全风险我们必须要认真考虑，并且要针对面临地风险，采取相应地安全措施.下