网络构建专项方案.docVIP

序言： 这是一高级网络工程师为某大型企业写一份局域网安全处理方案提议书。原来这是不应该公开，不过因为种种原因未能被采纳，所以也没什么大碍，现在拿出来给大家看成是一份参考资料，写不好多多指教。文章是让大家参考，不是让大家翻录 学会自己用自己思绪去写东西:)，做了部分修改，请大家见凉！ *********************************************************************** （列表省略） *********************************************************************** 第一章 总则 本方案为某大型局域网网络安全处理方案，包含原有网络系统分析、安全需求分析、安全目标确实立、安全体系结构设计、等。本安全处理方案目标是在不影响某大型企业局域网目前业务前提下，实现对她们局域网全方面安全管理。 1.将安全策略、硬件及软件等方法结合起来，组成一个统一防御系统，有效阻止非法用户进入网络，降低网络安全风险。 2.定时进行漏洞扫描，审计跟踪，立即发觉问题，处理问题。 3.经过入侵检测等方法实现实时安全监控，提供快速响应故障手段，同时含有很好安全取证方法。 4.使网络管理者能够很快重新组织被破坏了文件或应用。使系统重新恢复到破坏前状态，最大程度地降低损失。 5.在工作站、服务器上安装对应防病毒软件，由中央控制台统一控制和管理，实现全网统一防病毒。 第二章 网络系统概况 2.1 网络概况 这个企业局域网是一个信息点较为密集千兆局域网络系统，它所联接现有上千个信息点为在整个企业内办公各部门提供了一个快速、方便信息交流平台。不仅如此，经过专线和Internet连接，打通了一扇通向外部世界窗户，各个部门能够直接和互联网用户进行交流、查询资料等。经过公开服务器，企业能够直接对外公布信息或发送电子邮件。高速交换技术采取、灵活网络互连方案设计为用户提供快速、方便、灵活通信平台同时，也为网络安全带来了更大风险。所以，在原有网络上实施一套完整、可操作安全处理方案不仅是可行，而且是必需。 2.1.1 网络概述 这个企业局域网，物理跨度不大，经过千兆交换机在主干网络上提供1000M独享带宽，经过下级交换机和各部门工作站和服务器连结，并为之提供100M独享带宽。利用和中心交换机连结Cisco 路由器，全部用户可直接访问Internet。 2.1.2 网络结构 这个企业局域网按访问区域能够划分为三个关键区域：Internet区域、内部网络、公开服务器区域。内部网络又可根据所属部门、职能、安全关键程度分为很多子网，包含：财务子网、领导子网、办公子网、市场部子网、中心服务器子网等。在安全方案设计中，我们基于安全关键程度和要保护对象，能够在Catalyst 型交换机上直接划分四个虚拟局域网（VLAN），即：中心服务器子网、财务子网、领导子网、其它子网。不一样局域网分属不一样广播域，因为财务子网、领导子网、中心服务器子网属于关键网段，所以在中心交换机上将这些网段各自划分为一个独立广播域，而将其它工作站划分在一个相同网段。（图省略） 2.2 网络应用 这个企业局域网能够为用户提供以下关键应用： 1．文件共享、办公自动化、WWW服务、电子邮件服务； 2．文件数据统一存放； 3．针对特定应用在数据库服务器上进行二次开发(比如财务系统)； 4．提供和Internet访问； 5．经过公开服务器对外公布企业信息、发送电子邮件等； 2.3 网络结构特点 在分析这个企业局域网安全风险时，应考虑到网络以下多个特点： 1.网络和Internet直接连结，所以在进行安全方案设计时要考虑和Internet连结相关风险，包含可能经过Internet传输进来病毒，黑客攻击，来自Internet非授权访问等。 。 2.网络中存在公开服务器，因为公开服务器对外必需开放部分业务，所以在进行安全方案设计时应该考虑采取安全服务器网络，避免公开服务器安全风险扩散到内部。 3.内部网络中存在很多不一样子网，不一样子网有不一样安全性，所以在进行安全方案设计时，应考虑将不一样功效和安全等级网络分割开，这能够经过交换机划分VLAN来实现。 4.网络中有二台应用服务器，在应用程序开发时就应考虑加强用户登录验证，预防非授权访问。 总而言之，在进行网络方案设计时，应综合考虑到这个企业局域网特点，依据产品性能、价格、潜在安全风险进行综合考虑。 第三章 网络系统安全风险分析 伴随Internet网络急剧扩大和上网用户快速增加，风险变得愈加严重和复杂。原来由单个计算机安全事故引发损害可能传输到其它系统，引发大范围瘫痪和损失；另外加上缺乏安全控制机制和