网络安全防护工作总结.docxVIP

网络安全防护工作总结

通信网络安全防护工作总结

为提高网络通讯防护水平，从网络结构安全、网络访问控

制、边界完整性几个大方向上采取一系列技术手段保障通信网络

安全稳定，总结如下：

（1）网络冗余和备份

使用电信和网通双城域网冗余线路接入,目前电信城域网的接入带宽是20M,联通城域网的接入带宽是20M.可根据日后用户

的不断增多和务业的发展需求再向相关网络服务提供商定购更

大的线路带宽。

2）路由器安全控制

业务服务器及路由器之间配置静态路由，并进行访问控制列

表控制数据流向。Qos保证方向使用金(Dscp32),银(Dscp8),铜

(Dscp0)的等级标识路由器的Qos方式来分配线路带宽的优先级,保证在网络流量出现拥堵时优先为重要的数据流和服务类型预留带宽并优先传送。

（3）防火墙安全控制

主机房现有配备有主备

_x000E_

juniper

_x000E_

防火墙和深信服

_x000E_

waf

_x000E_

防火墙，

juniper

_x000E_

防火墙具备

_x000E_

ips

_x000E_

、杀毒等功能模块，深信服

_x000E_

waf

_x000E_

防火墙

主要用于网页攻击防护，可防止

_x000E_

sql

_x000E_

注入、跨站攻击、黑客挂马

等攻击。

防火墙使用

_x000E_

Untrust,Trunst

_x000E_

和DMZ区域来划分网络

_x000E_

,使用策

略来控制各个区域之间的安全访问。

（4）IP子网划分/地址转换和绑定

已为办公区域,服务器以及各个路由器之间划分IP子网段,保证各个子网的IP可用性和整个网络的IP地址非重复性。

使用

NAT,PAT,VIP,MIP对内外网IP地址的映射转换,在路由器和防火

墙上使用IP地址与MAC地址绑定的方式来防止发生地址欺骗行

为。服务器及各个路由器之间划分IP子网划分:/16

（5）网络域安全隔离和限制

生产网络和办公网络隔离，连接生产必须通过连接vpn才能

连接到生产网络。在网络边界部署堡垒机,通过堡垒机认证后才

可以对路由器进行安全访问操作,在操作过程中堡垒机会将所有

操作过程视频录像，方便安全审计以及系统变更后可能出现的问

题，迅速查找定位。

另外路由器配置访问控制列表只允许堡垒机

和备机IP地址对其登陆操作,在路由器中配置3A认证服务,通过

TACAS服务器作为认证,授权。

（6）网络安全审记

网络设备配置日志服务,把设备相关的日志消息统一发送到日志服务器上作记录及统计操作.日志服务器设置只允许网管主机的访问,保证设备日志消息的安全性和完整性。

loggingbuffered102400

loggingtrapdebugging

loggingsource-interfaceLoopback0

loggingXX.XX.XX.XX(日志服务器IP)

（7）内外网非法连接阻断和定位

交换机划分Vlan方式隔离开内外网区域．关闭空闲没有使

用的网络设备端口,防止非授权设备的私自接入网络.如发现非

授权设备接入网络,可在日志服务器匹配端口关键字对其跟踪记

录。内部网络用户则采用MAC地址绑定进行有效阻断。已为办公

网络划分ＩＰ子网并做ＭＡＣ地址绑定，部署有深信服上网行为

管理设备，防止非受权设备私自接入网络

（8）网络ARP欺骗攻击

主机与服务器安装防火墙软件,将网关IP与MAC之间作ARP

绑定,防止因ARP欺骗攻击导致设备无法连接网络．在ＰＣ上安

装杀毒软件，使用上网行为管理防止非法连接外网，Arp

00AAAA.BBBB.CCCC

9）DOS/DDOS攻击

已在防火墙部著DOS/DDOS攻击防范措施，具体有

ICMP,UDP,SYN洪水攻击保护,SYN-ACK-ACK代理保护，会话数据

流源地址和目标地址条目限制等。另外我们建立网络流量监控系

流，可以即时反映流网实时流量，并与电信与联通网络服务提供

商建立良好的沟通渠道，发现线路流量异常即时联系相关网管部

请求协助检查．如防火墙无法解决的需人工干预查出受攻击的主

机地址后配置访问列表过滤掉非法的异常流量。

（10）网络设备最小化配置

所有网络设备（包括但不限于防火墙、路由器、交换机）一

律要求最小化配置，关闭无用的协议，如RPC协议、ftp协议等，

只开放使用端口，非使用一律关闭。