XX公司网络安全设计方案.pptx

XX 公司网络信息系统的安全方案设计书 XX 公司网络安全隐患与需求分析 1.1 网络现状 公司现有计算机 500 余台，通过内部网相互连接与外网互联。在内部网络中， 各服务部门计算机在同一网段，通过交换机连接。如下图所示：;2;3;企业信息安全策略。 3．1．1 防火墙实施方案 根据网络整体安全及保证财务部的安全考虑，采用两台 cisco pix535 防火 墙，一防火墙对财务部与企业内网进行隔离，另一防火墙对 Internet 与企业内 网之间进行隔离，其中 DNS、邮件等对外服务器连接在防火墙的 DMZ 区与内、外 网间进行隔离。 防火墙设置原则如下所示：建立合理有效的安全过滤原则对网络数据包 的协议、端口、源/目的地址、流向进行审核，严格控制外网用户非法访问；防 火墙 DMZ 区访问控制，只打开服务必须的 HTTP、FTP、SMTP、POP3 以及所需的其 他服务，防范外部来的拒绝服务攻击；定期查看防火墙访问日志；对防火墙的管 理员权限严格控制。 ;先，防火墙作为企业接入 Internet 的出口，占有及其重要的作用，一旦此防火 墙出现故障或防火墙与主交换机连接链路出现问题，都会造成全台与 Internet 失去连接；其次，当前的防火墙无法对进入网络的病毒进行有效的拦截。 为此，新增加一台防火墙和一台防病毒过滤网关与核心交换机。防病毒网关 可对进入网络的流量进行有效过滤，使病毒数据包无法进入网络，提高内网的安 全性。防火墙连接只在主核心交换机上，并且采用两台防火墙进行热备配置，分 别连接两台核心交换机。设备及链路都进行了冗余配置，提高了网络的健壮性。 根据改企业未来的应用需求，可考虑网络改造后，将 Internet 连接带宽升 级为 100M。 3．1．3 入侵检测方案 在核心交换机监控端口部署 CA 入侵检测系统(eTrust Intrusion Detection) ，并在不同网段(本地或远程)上安装由中央工作站控制的网络入侵 检测代理，对网络入侵进行检测和响应。 ;考虑到改公司和其子公司与其它兄弟公司的通信，通过安装部署 VPN 系统， 可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络 作为信息传输的媒体，通过加密、认证、封装以及密钥交换???术在公网上开辟一 条隧道，使得合法的用户可以安全的访问企业的私有数据，用以代替专线方式， 实现移动用户、远程LAN 的安全连接。 集中的安全策略管理可以对整个VPN 网络的安全策略进行集中管理和配 置。;7;8