企业网络安全方案设计.doc

1、企业网络安全方案设计姓 名 学 号 班 级 专 业 院 系 指导教师 2016年 10 月25日 XXXX毕业设计诚信声明本人郑重声明：所呈交的毕业设计文本和成果，是本人在指导老师的指导下，独立进行研究所取得的成果。成果不存在知识产权争议，本毕业设计不含任何其他个人或集体已经发表过的作品和成果。本人完全意识到本声明的法律结果由本人承担。毕业设计者签名： 2016年10月 25日目录摘 要4绪论5引言51.2 办公网络安全现状5论文内容简介5企业网络安全的威胁及需求62.1 物理层安全风险62.2 系统层安全风险62.3 病毒的安全风险62.4 操作系统的安全风险分析7网络安全相关技术8虚拟局域

2、网技术8虚拟局域网定义8VLAN的优点及安全优势8VLAN划分方法8防火墙技术9防火墙分类9目前防火墙最新技术93.3 上网行为管理技术103.3.1 上网行为管理的描述10网络拓扑图11安全方案测试16结论17致谢18摘 要楼恩信息工程企业网络安全部署设计（硬件方向）现如今，生活中处处离不开网络，无论是工作还是学习，许多有远见的企业都认识到计算机网络，信息安全在国民生活中受到越来越多的关注，原因在于：许多重要的信息存储在网络上，一旦这些信息泄露出去将造成无法估量的损失。之所以网络信息会泄露出去，一方面网络自身存在安全隐患才使得入侵者得逞。针对这些问题，该文归纳并提出了一些网络信息安全防护的方

3、法和策略，另一方面有许多入侵者千方百计想“看”到一些关心的数据或者信息。重点研究在物理隔离的情况下计算机网络的安全问题。在对网络系统有了确切的了解之后，它是任何一个网络成功推广和应用的基本条件。而且，随着网络用户数量的急剧增加和网络环境的恶化，网络安全问题也将面临更严峻的挑战。从网络基础安全设计、应用基础安全设计两个层面,从硬件级的安全设备的工程部署,到软件层面上的安全应用程序的联动部署。企业网络改造项目得以顺利实施,达到了预期的改造目标,解决了企业发展的瓶颈,为后续项目的实施奠定了基础。关键词 网络安全扫描系统防火墙病毒入侵网络威胁安全防范措施。绪论引言如今，互联网走进千家万户，网络在给大家

4、带来福利，同时深刻影响着社会生活的各个方面。网络安全则通讯顺畅、社会安定、改革开放发展无阻，反之，则会极大影响社会现代化建设的步伐。因此，加大网络安全建设的投入力度，显得格外重要。无论大中小企业，都开始广泛通过采用网络信息技术办公，来不断提高企业竞争力。这在提高企业效益、便利管理的同时，也带来了很多安全隐患。企业信息受困于网络安全问题，造成的实际和隐性损失不可估量，这一现象俨然日趋严重，成为了需要解决的课题。办公网络安全现状 企业想获得竞争力，提高生产效率，就有必要及时有效的响应市场需求，就必须依靠互联网获取和分享信息，从而进一步提高生产效率，并进一步促进企业的发展。但只要上网，就会存在安全风

5、险。过去办公局域网属于完全封闭式的内部网络，不与外界交互，所以安全系数高，简易的设备便足以承担安全防护工作。互联网时代带来的是网络通讯的飞速发展，互联网上流通的数据量越来越大。1. 计算机系统遭受病毒感染和破坏的情况相当严重。2. 电脑黑客活动己形成重要威胁。3. 信息基础设施面临网络安全的挑战。论文内容简介以某市企业办公网络为例，针对物理层的安全问题，重点研究在物理隔离的情况下计算机网络的安全问题。本文最终目标是组建一个网络整体性能稳定，数据安全避免攻击的，适应办公信息化建设需要的，安全高效的网络环境。对网络系统，有了确切的了解之后，将局域网，总体划分为三个安全等级，重点对网络运行的安全性、

6、恶意攻击防护性和数据安全性等问题进行了研究和设计。企业网络安全的威胁及需求物理层安全风险物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。为保证信息网络系统的物理安全，还要防止系统信息在空间的扩散。政府、军队、金融机构在兴建信息中心时首要的设置的条件。通常是在物理上采取一定的防护措施，来减少或干扰扩散出去的空间信号。为保证网络的正常运行，在物理安全方面应采取如下措施：1产品保障方面：主要指产品采购、运输、安装等方面的安全措施。2运行安全方面：网络中的设备，特别是安全类产品在使用过程中，必须能够从生成厂家或供货单

7、位得到迅速的技术支持服务。对一些关键设备和系统，应设置备份系统。3防电磁辐射方面：所有重要涉密的设备都需安装防电磁辐射产品，如辐射干扰机。4保安方面：主要是防盗、防火等，还包括网络系统所有网络设备、计算机、安全设备的安全防护。系统层安全风险系统级的安全风险分析主要针对企业校园采用的操作系统、数据库、及相关商用产品的安全漏洞和病毒威胁进行分析。企业网络采用的操作系统 ( 主要为Windows 7)，服务器、数据库的安全级别较低，存在若干安全隐患。在企业的网络系统中，包含的设备有：交换机，服务器，工作站等。在服务器上主要有操作系统、软件系统和数据库系统，交换机上也有相应的操作系统。所谓系统安全通常

8、是指网络操作系统、Windows系统的安全。病毒的安全风险在企业的网络系统中，传统的计算机病毒传播手段是通过存储介质进行的，同事在交换存储着数据的介质时，隐藏在其中的计算机病毒就从一台计算机转移到另外的计算机中。当病毒被释放到网络环境时，其无法预测的扩散能力使它极具危险性。而现代的病毒传播手段主要是通过网络实现的，一台客户机被病毒感染，迅速通过网络传染到同一网络的成百上千台机器。员工上网浏览网页、收发电子邮件，下载资料的时候，都有可能被病毒传染，这种传播方式构成了企业病毒传播途径的主流。操作系统的安全风险分析从安全角度考虑，其表现为装了很多用不着的服务模块，开放了很多不必开放的端口，其中可能隐

9、含了安全风险。系统安全通常是指操作系统的安全。操作系统的安装以正常工作为目标，一般很少考虑其安全性，因此安装通常都是以缺省选项进行设置。网络安全相关技术虚拟局域网技术虚拟局域网定义虚拟局域网，即VLAN（Virtual Local Area Network），指通过在LAN交换装置上使用网络管理软件，实现跨网段、跨终端构建逻辑网络的技术。多个网络设备的不同用户，可以通过覆盖该网络设备的VLAN进行通讯。VLAN的优点及安全优势VLAN提供了防火墙机制，限制了网络广播，通过划分VLAN,将网络设备分割到多个逻辑域中，特定VLAN可以跨越多个交换机端口和交换网络，且广播不会发送到VLAN外。这样就

10、释放了足够的网络流量给使用者，减少了网络负担，极大减少了可能受到广播风暴影响的设备数量。VLAN加强局域网的安全，剔除包含敏感数据的用户组，减少了泄密几率。在传输过程中，用户VLAN不能直接与其他VLAN用户的直接通信，不同VLAN内的报文是隔离的。如果需要跨VLAN通信，就必须利用三层交换设备。减少昂贵的网络升级费用，更高地利用现有的带宽和上行链路，节约成本。通过将第二层平面网络划分成多个逻辑工作组（广播域）来减少不必要的网络流量，提高性能。VLAN便于网络管理，共有需求的使用者都在同一VLAN中。依靠VLAN技术，组成了一个大型虚拟网，使用便利如同本地LAN,可以在任意位置、任意网络和任意

11、用户沟通，明显降低了管理费用和升级费用。VLAN划分方法1. 按端口划分VLAN最初通常在一台交换机上按照端口来划分VLAN的成员，但也将VLAN只存在单台交换机上。所有VLAN下的成员属于同一广播域，可以直接通讯。最新的硬件技术，可以将多台交换机的不同端口集合到一起，划分为一个VLAN,使得VLAN得以跨越硬件。这种方式是当前VLAN划分方式中最常见也最实用。2. 按MAC地址划分VLAN，通过每个设备自带的唯一识别MAC地址来划分VLAN.优点是当一个移动用户的物理位置发生变化，不需要再进行配置，都可以直接与VLAN通信。这种方式有个缺点，就是首次配置会非常麻烦，需要把所有用户MAC地址进

12、行添加，如果用户数有成百上千，将是非常庞大的工作量。同时，这种划分方式还影响了交换效率，无法限制广播包。另外，对于经常更换上网设备的用户来说，每次换新设备都必须进行一次初始配置，影响工作效率。3. 按网络层划分这种划分方式虽然依据IP地址或者通讯协议，却与路由没有丝毫联系。优点是便于管理，因为使用者不管在什么位置，都能直接入网，无需重新配置。且不用校对帧标签，减少网络流量占用比。缺点是相较于VLAN和MAC这两种划分方式，这种方式效率较低，检查网络层地址消耗的时间会更多。要让普通交换机芯片可以检查IP报头，需要较高的技术，也更加消耗时间。当然，这也与每个厂家的设计方法有关。4. 按IP组播划分

13、IP组播即认为一个组播组就是一个VLAN,这种广域网的划分方式具有更大的灵活性。但因为效率低，这种方式并不太适用于办公局域网。以上划分VLAN的方式中，第一种建立在物理层上；第二种建立在数据链路层上；最后两种建立在网络层上。防火墙技术所谓防火墙技术，是指一种将内部网和互联网隔离的技术。防火墙是在两个网络通讯时参照的一种访问控制标准，防火墙同意后互联网数据才能进入内网，若是不同意则将拒之门外，极大地防范了来自黑客的恶意访问。通俗点说，防火墙就是一扇大门，不得到看门人的认可，门两边的人无法进行对话，也就是内部网和互联网无法进行通讯。防火墙分类1. 个人防火墙是一项安全防护技术，原理是监控、阻止任何

14、未经授权允许的数据进入，发出到其他网络，防止外部攻击侵入内网的电脑。如著名Symantec公司的诺顿、Network Ice公司的BlackIce Defender、McAfee公司的思科及Zone Lab的freeZoneAlarm等。作用是对系统进行监控及管理，防止木马、 病毒程序通过网络入侵电脑和向外扩散。这些软件实用度很高，而且方便于操作和管理，能够独立运行。2. 网络层防火墙通过制定规则，限制封包的通行，可以将之视为一种 IP封包过滤器。常见的网络层防火墙，管理员可以自行定义和修改规则。3. 应用层防火墙顾名思义，OSI参考模型应用层上的安全设备，通常用来防护Web应用产生的数据流。

15、防火墙可以拦截出入应用程序的所有封包，对于不符合规则的封包采用封锁或者丢弃的操作。目前防火墙最新技术所谓的边界防火墙（Perimeter Firewall）,是指部署在内外网之间的防火墙设备。随着科技发展，网络安全威胁不只存在于外部，也更加难以防范。比如针对DNS的内部攻击，通常会导致防火墙工作中断，来自内部的攻击危害更大，而防火墙却没有对应防御措施。所以，仅凭边界防火墙已经无法适应用户的全方位安全防护需求。如果要让边界防火墙对内不实现保护功能，就必须给每台主机都安装防火墙，但这代价太大，明显不切实际。基于此需求，分布式防火墙（Distributed Firewalls）技术诞生了。其拥有卓越

16、的安全防护策略，代表着未来的发展趋势，这项技术刚一出现，就得到广大认可，具有很好的发展前景。分布式防火墙的特点：主机驻留、嵌入操作系统内核、适用于服务器托管。分布式防火墙的功能：互联网访问控制、应用访问控制、网络状态监控、抵御黑客攻击。分布式防火墙的优势：（1） 安全性增强：采取了全面安全防护机制，有效抵御内部攻击，防止恶意程序攻击主机。（2） 系统性能提高：消除了结构性的瓶颈问题，性能得到显著提升。（3） 可扩展性：基于安全结构，理论上可以实现防护机制无限扩展。（4） 实施主机策略：可以保护到网络中的各个节点。（5） 应用更为广泛：支持VPN通信。上网行为管理技术上网行为管理的描述随着计算机

17、网络技术的飞速发展，网络办公的日益普及，互联网已经成为人们的工作环节中方便快捷、不可或缺的一个重要组成部分。然而，并不是所有员工都能100%利用办公网络的便捷来办公，滥用办公网络资源来网上购物、聊天、下载电影等行为，不但占用了原本办公的网络带宽，更影响了应有的工作效率，亦带来了安全隐患。上网行为管理，通过实时监控网络上的数据流量和访问记录，避免商业机密泄露，阻止不良信息传播，提高了企业办公网络的使用效率。其审计功能和行为监控功能，特别适用于信息化保密程度高的企业。早期互联网行为管理产品几乎可以理解为URL过滤系统，上网浏览的所有地址将被系统监视和跟踪记录，如果按照设定是合法地址则开放限制，反之

18、则采取警告和禁行措施，最终形成的就是黑白名单。此外，也有监测邮件收发的行为管理系统。行为管理采取网络监测与控制技术，实现对所有管辖区内用户的上网行为监管。对浏览过的网页地址和时间进行记录，对不良信息进行控制，对敏感话题进行管理，对多重协议的聊天软件进行监听，有效保证企业办公网络使用效率和安全。与传统的URL地址数据库管理控制系统不同，上网行为管理系统化被动为主动，突破技术瓶颈，从功能，性能，效率，安全性等各个方面完全超越了前者，达到了当今安全行为管理的使用要求。网络拓扑图楼恩信息工程企业网络拓扑图楼恩信息工程企业有限公司网络设计图R1S1S3S2S4企业项目设计图企业VLAN划分企业主要分三个

19、部门，所以只要划分三个VLAN，分别为：财务部门 VLAN 10 交换机S1 接入交换机（锐捷 RG-AS224GT）业务部门 VLAN 20 交换机S2 接入交换机（锐捷 RG-AS224GT）办公部门 VLAN 30 交换机S3 接入交换机（锐捷 RG-AS224GT）核心交换机 S3 核心交换机（华三SMB-S1848G-CN）客户机的地址范围： 192.168.2.2 - 192.168.2.254楼恩信息工程企业有限公司内网中管理远东网安防火墙主机的计算机地址： ： 192.168.1.2外网的网关： 192.168.2.254防火墙的LAN（ eth0 ）口的IP ：192.168

20、.2.1 （默认）直接管理远东网安防火墙的计算机地址： 192.168.0.114.1 实施方案1. 按照项目要求、项目设计图实施，并保证项目顺利实施。2. 按照写出的管理制度，主要是保证项目实施的质量，项目管理主要包括人的管理、产品的管理和技术的管理。3. 按照项目进度图查看项目实施进度表，作为项目实施的时间标准，要全面考虑完成项目所需要的物质条件，计划出一个比较合适的时间进度表4. 执行人员要保证质量职责、项目质量的保证措施和项目验收。执行人员如项目经理、技术负责人、技术工程师、后勤人员等，以保证整个安全项目的顺利实施。5. 项目质量保证严格质量保证，主要的内容涉及参与项目的相关人员、项目

21、中所涉及的安全产品和技术、用户派出支持该项目的相关人员管理。6. 根据项目具体情况，与用户确定项目验收的详细事项，包括安全产品、技术、完成情况、达到的安全目的等验收。楼恩信息工程企业有限公司网络设计图 配置文档 (部分配置) 设置 VLANS4 # vlan databaseS4 # vlan 10 name financeS4 # vlan 20 name businessS4 # vlan 30 name work配置生成树S4(config)#spanning-tree vlan 10 root primary S4(config)#spanning-tree vlan 20 root

22、secondaryS4(config)#spanning-tree vlan 30 root secondaryS4(config)#spanning-tree vlan 10 root secondaryS4(config)#spanning-tree vlan 20 root primaryS4(config)#spanning-tree vlan 30 root primary S4(conf ig)#int fa0/1S4(conf ig)# switchport mode accessS4(conf ig)# switchport access vlan 10S4(conf ig)#

23、int fa0/2S4(conf ig)# switchport mode accessS4(conf ig)# switchport access vlan 20S4(conf ig)#int fa0/3S4(conf ig)# switchport mode accessS4(conf ig)# switchport access vlan 30配置 HSRPS4#int vlan 10S4(config-if)#standby 1 ip 192.168.10.251S4(config-if)#standby 1 priority 150S4#int vlan 20S4(config-if

24、)#standby 1 ip 192.168.20.251S4(config-if)#standby 1 priority 150S4#int vlan 30S4(config-if)#standby 1 ip 192.168.30.251S4(config-if)#standby 1 priority 150配置路由S4（config）#ip route 192.168.10.0 255.255.255.0 192.168.2.1S4（config）#ip route 192.168.20.0 255.255.255.0 192.168.2.1S4（config）#ip route 192.

25、168.30.0 255.255.255.0 192.168.2.1S4（config）#ip route 0.0.0.0 0.0.0.0 192.168.2.254R1配置 R1 (config)#int fa0/0 R1 (config-if)#ip add 192.168.2.1 255.255.255.0 R1 (config-if)#standby 1 ip 192.168.15.4R1 (config-if)#standby 1 priority 150 R1 (config)#controller E1 1/0 R1 (config-if)#no sh R1 (config-if

26、)#framing no-crc4 R1(config-if)#channel-group 0 timeslot 1-4 R1(config-if)#channel-group 1 timeslot 5-8R1 (config-if)#int s 1/0:0 R1(config-if)#no sh R1(config-if)#encapsulation ppp R1(config-if)#ip add 192.168.1.1 255.255.255.252 R1(config-if)#int s 1/0:1 R1(config-if)#no sh R1(config-if)#encapsula

27、tion ppp R1(config-if)#ip add 192.168.1.5 255.255.255.252 R1(config)#ip route 192.168.20.0 255.255.255.0 s 1/0:0 R1(config)#ip route 192.168.30.0 255.255.255.0 s 1/0:1 R1(config)#ip route 192.168.10.0 255.255.255.0 192.168.2.1 R1(config)#ip route 192.168.20.0 255.255.255.0 192.168.2.1R1(config)#ip r

28、oute 192.168.30.0 255.255.255.0 192.168.2.1R1(config)#snmp-server community public R1(config)#no snmp-server location R1(config)#no snmp-server contact设置VPNR1#config terminalR1#enable secret foolenR1#line vty 0 4 R1(config-line)#password xxxxxx R1r(config-line)#exit R1(config)#hostname foolHnl(confi

29、g)#inter eth0/0Hnl(config)#ip address 172.17.1.1 255.255.255.0Hnl(config)#no shutdown以下测试命令Hnl#ping 172.17.1.1!Hnl#ping 172.17.1.100!在PC机上测试C:ping 172.17.1.1Pinging 172.17.1.1 with 32 bytes of data:Reply from 172.17.1.1： bytes=32 time=5ms TTL=255结果证明连接及配置正确关于测试将所有路由器进行配置的过程，根据环境参数，做了必要的修改，完成了VPN的配置，

30、仅仅完成了配置，还没有实际运用，可以顺利的Ping通。做了如下调试命令：Debug crypto engine connections activeDebug crypto isakmp saDebug crypto ipsec sa在调试时，在一台PC机上执行了如下命令：C：Ping 172.16.1.100 n 1最后，对比几次结果，观察出现的问题，这是隧道不能建立的主要原因，针对出现的问题，做了一些修改，基本完成了VPN的配置计划。在实际中，该配置充分验证了VPN技术的可用性和实用性。安全方案测试随着网络应用的深入普及，网络安全越来越重要，国家和企业都对建立一个安全的网络有了更高的要求。

31、鉴于国家和各单位领导的重视，涉及信息安全的经费逐年增加，但是信息安全并不是在市场上所有安全产品的堆叠，因为这种堆叠不仅会在经济造成极大的浪费、在人力上造成非常大浪费，更重要的是它没有达到防护的效果，因此完善的计算机网络安全方案就显得十分重要。一个特定的系统网络安全方案，应建立在对网络风险分析的基础上，结合系统实际的应用而做。由于各个系统的应用不同，不能简单地把信息系统的网络安全方案固定为一个模式，用这个模式去套所有的网络系统。通过网络的连通性测试、各应用系统功能的实现测试、网络管理功能的实现测试、实际数据传输的测试均达到网络管理的需求模拟工具： packet tracer结论经过三年的学习，三

32、年的计算机现在知道网络世界存在巨大的问题，在网络设计中，没有一种设计方案是万能的。网络技术非常复杂，而且更新很快，因此我们必须根据实际情况具体分析。网络安全性是一个很广泛的课题，其中也有涉及法律的问题。很多的漏洞，在于基础设施的不足，想要建立一个相对完善的安全体系，对于中小型企业的负担是巨大的。我国企业繁多，安全的问题主要在于人，在其最简单的形式中，它主要关心的是确保无关人员不能读取，更不能修改传送给其他接收者的信息。此时，它关心的对象是那些无权使用，但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题，以及发送者是否曾发送过该条消息的问题。通过这次毕业设计，让我更加熟悉从理论到实

33、践的跨越，越是到最后，越是发现，自己缺失的恰恰是最基础的，课本中的学习是不足以应付实际发生的问题，这次要我们树立起不断学习，终身学习的概念。本论文从企业网络角度，结合自身知识，建立的一个网络拓扑解决方案，目的在于总结自己过往的学习，包括用户提供信息的保密，认证，完整性保护机制，网络中的服务，数据以及系统免受侵扰和破坏。比如防火墙，认证，加密技术等都是当今常用的方法，本论文是个人的拙见，有很多方面都没有考虑到，以后会继续的完善，让自己对网络技术有更深刻的了解。致谢在这几年的大学生涯中，我真心的感谢我的辅导员老师，她热情关怀和悉心指导，在她没有教我们怎么做毕业设计之前，我们什么都不会，怎么开头都不

34、会，是她抽出宝贵的时间给我们上了一次课，讲了一节课怎么写，怎么开头写，要写些什么。这节课是我最用心听的一节课。回望大学这几年，她很少责怪我们，有好事都是先想到我们，对我们很宽容，我们不识好，都以为这个课不重要，就没怎么听她讲课。可到给我们指导怎么写毕业论文的时候，一进来我就被她吸引了，她今天化了谈谈的妆，感觉很清秀。这就是要感谢的蕙质兰心和颜悦色和蔼可亲、菩萨低眉的老师。最后，我还要感谢所有帮助过我和关心我的老师和朋友，表示我真挚的感谢！参考文献（1） 计算机网络（第2版）（2） 网络管理员考试全程指导（3） 微软公司，网络安全的实现和管理（4） 高冬梅，网络时代计算机病毒的防范（5） 金雪花

35、. 浅析网络安全技术J. （6） 科技辞典J. 天津科技（7） 王明虎. 基于信息网格的决策支持系统研究（8） 梁羽. 基于NIDS的立体防御系统方案设计与探讨（9） 张琳, 黄仙姣. 浅谈网络安全技术杨桦. 矿业权评估系统的研究与开发目 录第一章 总 论 11.1项目概况 11.2研究依据及范围 31.3主要技术经济指标 41.4研究结论及建议 4第二章 项目建设的背景和必要性 62.1项目建设的背景 62.2项目建设的必要性 8第三章 项目服务需求分析 11第四章 项目选址与建设条件 134.1选址原则 134.2项目选址 134.3建设条件 144.4项目建设优势条件分析 15第五章 建

36、设方案 185.1建设规模与内容 185.2总体规划设计 195.3建筑方案 245.4结构方案 265.5给水工程 275.6排水工程 295.7电气设计 315.8暖通设计 345.9项目实施进度 35第六章 节能措施 376.1设计依据 376.2节能措施 37第七章 环境影响分析 397.1 环境影响分析 397.2 环境保护措施及治理效果 40第八章 消防与安全卫生 428.1 消防 428.2 劳动安全 438.3 卫生防护 44第九章 组织机构与运作方式 459.1 组织机构 459.2组织管理 469.3劳动定员 46第十章 投资估算 4710.1编制依据 4710.2 投资估算 4710.3资金筹措 48第十一章 经济效益评价 4911.1 成本核算 4911.2 利润估算 5111.3经济风险分析 5211.4财务评价结论 54第十二章 结 论 55（10）21