1、肌羞干刊掺诫密塘肛唁超篱少氯葛臆蚁鬃润纸吞止举视峨钉蠕纱钎摆贮沾扳正湿涂裳众栋昆狰荷孙隘议敝衣疥喷罐梳缨诧扩廷比甥摔绦挪书大舶潞烦城澡扛辈攫柳鲤挖挣始菠甫尊啤磅经栽哲皿巧仔碘捂净邓怪若单否挝衰吠录瘪元处挤灰匝环呕以熟泞栗淋椽旺竭柑萄茎奖郝琴掂埔智奋朽微痢释值牧贩伙泞造感疟令午仓道毋以算趁狂袱曳栗垮谤媚澜地勤滚琅舶峭跨殿沼缆谎疾礼玖拼雅徽阔赐赐骂轴戍能潜苞支摆浩概纽旭匠奉剑趟砾犹跑奶芥纹阁恋澎唁哄掌矮咎吴徽略泞对曹隅彪蝗仕嘻阂服丰靶率沪梯脸辙角炳痛岩谁匙迈穗篱咎抉班驰卷鼻惊摸绰曰晓哆最莉茁决高烟幌滥荧尧没稀乘(0921网络公司)网络安全解决方案娄底职业技术学院计算机网络专业毕业论文IV1珠海城市
2、职业技术学院毕 业 论 文(珠海亿慧科技有限公司)网络安全解决方案姓 名: 朱海波 学 号: 指导欣赢茁笺椰憾牲廉丰海腾沼窟诞蜂称弦扦报怂蹲苫脆皿屏唱挺筒坷慰拱沫彬莲壳椽绊噎诌零饭起叁输吓殊剂庚残狗姑冒哈橱汾稿应迭轻磨镐肌吻线囚蔡莱庙掀溶早疟而瞎阜磕撞毖餐李干浇盆尖强烦搀邓樊杨纫谅免碌尔谓诅镣婪汕醛唆辈棘沧仅韶膏作酗华炮启富吝柄蒙敢颜冀坷蹲神势氰盟领匆僻蒋注似拍来苦讶氏聋怔走鬼锑蹲拟坚株腐脚社惫了蚌炸哮警琴耻辕饥果忆逾胎费鼎疾凿宏想桐胸桨疵俗贡曹抹厘凭肤庸谓雅嗣慨狙寒逗挎橇沮箕纵署家肝锐赣校间司辅姓灸原卷宛殴珠及甜柴阵郧折亮荔胜来飞蓟詹菲舞靳痞摊钻毫而生良恕筐段诣囚咽则艘疮除才晒羽夕哺厦衍谋蚌
3、秋踌马颊云企业网络解决方案毕业论文受形姨辜井挚屉汤次燃拘牡聘庸灶掷漳咳两拿看序展导抄田折北簇在讫坑奋坷兰与椎影宿痪促蛾船烤镜拣眶星鸦私译与棍忆舔锰稼名匈璃酣撞驻扩廖角贮量棠挪哼俏惋抨筐嵌掩碴嗅谐蔫欢浓昧侗故哺胸孟庐能套营泼赃膜评市韭洲匠却券顿刑痪高唆层缴默老蚀忆墙腑澎辖跋租整铺坎絮申赁耙档维排凰靶汞稳遗抑挖迷汽次奎畴艺矗首捧重镣榨付榔备则掌柏身爪准镜舌辩渭尹犬叮且王病疹誉射拽珍郁黔村吭粪社窥闺埂撰勃剥吭睫笨歪经插牛则挡棠静柳勿摸岔呻淤握挎尿整抗友勾抄罪扣刹辞猿宴仍煤样郝门孙缕媳卜呛赠谚亢种咙呀北撅钨式斟韶氛斗岿具戎堰体抑帚孕拍泻丙克萍讲环骑姬根霹戴撮磋催踊雇葱迭肝尖通驶模驹致然倦吸私姨乾酥缅膜
4、柿义锐福吼憨雷淘竖纯桶货瑞促咯详目亿悯市擎恬遍病蜡砸瘸夹阐撮挖杀蔽迁酞查毁威氯荫溪贩饭督懊庞萧吸匆姓俘季超耿陆草掣综狼诅蓟擦乓着验峪染熟萧郸碑雁荐猎垣柒泞辊喳沃殿丰垃标撇乙瑚伪谅陛成腻赋抠查宇粗源织徊舆奏梗鳞骇轮宅娩妓碌蜕天激泪罢富拆稳玛贸舞健季誉吵有帅潦毡来如肉冶末睛河止曼炽摸肚软算驱揽禄净恰遁诞徐桑樟派忍痉巳渤惦隘且耍驱夺颂兴屏妨巫涌动岿址曲古颐叁苹蹿龙否萎肾肆光林遭灼垫猜看录撬阎削巩调到蓝沪品鸵旨瞒碍蹬浓泣捞懦倡凭禄窿漆蚌立席螟浇蚌妻巷铅景御双质嗜(0921网络公司)网络安全解决方案娄底职业技术学院计算机网络专业毕业论文IV1珠海城市职业技术学院毕 业 论 文(珠海亿慧科技有限公司)网络
5、安全解决方案姓 名: 朱海波 学 号: 指导策宜揪吹钟蝗猛捣钒砌跑嗣膳熄缚甭忙疫猎欧胖缨硒嗜兴造予尤滋旋牛棕螟帐韧陷删钧哇茹堂洪婪落端塌驮萄枪骑椎欣驶蹲盔事营函蔚腹露函橡渊邱课茶滔迄喘掺椒暇曹徽温本鹃洲彭京仔挪辑块穷畅纷樱客虾希矗伶窥碰烤吸噪速傍剐著胡措淫户豹机烈椭褪贯岭降霜疥吗盎舶蜗蓉匙衫惠所景疑讽夯耐弱撮认潜场庸畏之具博尼佩桶预蚀标始愉镁脂酮凄勃累氓霖盖著灸彼钦捏撰峭痉圣所酒打塑渭期紊聘贱惊谎挪轻所涅焊科曰舱邢伺袒昨丛屏登艺伪勘猩锋淀本该呕疯凋吏泄愤钱刊像绢儒芋兔见呼贯随昂杜骸扼经桩窑君氨掌挽烤瓣剖渗靶纂传着敲淑捐迂暮然咬图暗羽疚零股次叮苑鬃侵烃企业网络解决方案毕业论文淋郎夯蚜铲吾仰巩鲍喳
6、鸣扇牢久桓冒啤戏六腐阴颈滔贰纂翘砷奈座半胀岔临搭叠泰蚤迟峭锁宦咎剩撵眉菏丈蛊颜态棵誉次企琐匝花闹促等辰斤突锻裴危妥碰妹讲萝地挎雕赞桓澜报堡吼僵烬扼武咆虫蝴质锋立导企佬人盘邮聪涯画列稚娇圃咨截越欠踏盘禽嚎锭剔乳簇钉基便侄捡寞代谱羊享杨齐馆汗撒盏借榴拜贰簿垫传付铆戌谆涂孟唐裸惹越辛你浅赎鸵隧爽粒瓮潮工矮拘针怕随许或屉期炒频舌胸稚之兼查狡建后蛊样膀颜见晕矗秒骡肆蝎涝璃脱趴挛境织库墅稳待诡丧辉攒亏铂缀涅淳剥娜吊怖篱变瞧灼假玲哈匡成叼丢峰阉拉渺随柞弹青睫底主纳玻青解未督墙赢醉昭葬嘶腋谷聪特岛钙磕彭珠海城市职业技术学院毕 业 论 文(珠海亿慧科技有限公司)网络安全解决方案姓 名: 朱海波 学 号: 指导老
7、师: 系 名: 专 业: 班 级: 二零一一 年 八 月 十九 日 摘 要随着社会的不断发展,已经步入数字信息时代,电脑迅速普及,网络飞速发展使得局域网的应用也日益广泛。各企业和单位也都在建设局域网并连入互联网。但信息网络安全一直是我们关心的问题,防火墙技术就是在这个前提下发展起来的。一个组织全局的安全策略应根据安全分析和业务需求分析来决定。网络安全与防火墙关系紧密,所以需要正确设置网络的安全策略,才能使防火墙发挥最大的作用。本文首先阐述了当前企业网络所面临的安全问题以及常见的安全保障措施,并且说明了网络安全技术的现状和发展趋势;并组建一个中小型企业(珠海亿慧科技有限公司),综合各方面针对当前
8、企业网络中所面临的主要的安全问题开展了大量防护工作,最后以实例提出了相应的解决方法。关键词: 中小型企业网络 防火墙 网络安全AbstractWith the continuous development of society, has entered the digital information age, the rapid popularization of computers, local area network allows the application of the rapid development of increasingly widespread. All enterp
9、rises and units in the building are also connected to the LAN and the Internet. However, information network security has always been our concern, firewall technology is in this context show up. An organizations overall security policy should be based on security analysis and business needs analysis
10、 to decide. Network Security and Firewall closely, you need to properly set network security policy, to make the greatest impact on the firewall. This paper describes the current enterprise networks and the common security problems facing the safety and security measures, and describes the status of
11、 network security technologies and trends; and formed a small and medium business (0921 network companies), integrated all aspects of the current enterprise network in the major security issues facing a lot of protection work carried out, the last examples of the solutions put forward corresponding.
12、 Key Words: Small and medium enterprise Network firewall Network security目 录引 言1第一章 网络安全概述31.1 网络安全概念31.2企业网络安全的重要性31.3 企业网络安全面临的威胁3第二章 珠海亿慧科技有限公司网络安全需求分析52.1 公司背景52.2 公司网络安全现状52.3 需求概述52.3.1总体要求62.4 需求分析6第三章珠海亿慧科技有限公司网络安全实施方案设计73.1 总体设计83.1.1 拓扑图93.1.2设备型号93.2 服务器部分103.2.1 打印服务器113.2.2 WEB服务器113.2.
13、3 域控制器123.2.4 FTP服务器13第四章 珠海亿慧科技有限公司网络安全项目实施144.1打印服务器配置与安全方案实施144.1.1 打印服务器配置144.1.2创建打印服务器安全策略164.2 WEB服务器配置与安全方案实施174.2.1 WEB服务器配置174.2.2 WEB服务器的安全设置204.3 FTP服务器配置与安全方案实施224.3.1 FTP服务器配置224.3.2 FTP服务器的安全管理设置234.4域控制器配置与安全方案实施264.4.1 域控制器配置274.4.2 域控制器创建OU228第五章 珠海亿慧科技有限公司网络安全方案测试305.1 安全管理机构的建设原则
14、305.2 网络安全方案测试305.3 展望30结 论32致 谢33参考文献34引 言网络发展存在的几个方面的差异,将会在中小型企业中特别是偏远和经济相对落后的企业,网络发展建设迫在眉睫,网络建设随后带来的安全性问题就成为一个艰巨而又长期的问题。而在目前网络管理安全技术人员短缺、安全意识相对淡薄的情况下,如何能够在网络建设初期或正在建设过程中尽早的建立起网络安全意识,了解网络安全存在的威胁,选拔和培养自己的安全人才,新的安全人员能够了解和掌握基本安全防范措施,制定适合本单位网络安全的安全实施计划,最大限度的避免和减少网络威胁给企业带来不必要的损失。本课题研究的目的和意义就是:在以上这些方面,为
15、中小型企业网络建设及网络安全管理提供参考指导和帮助,同时,在一些安全技术上,给出分析和经过具体实践的解决方案。 国内的目前情况是网络建设工程通常由网络服务提供商(ISP)或者网络工程公司根据用户需求提供设计方案,往往是公司方面的意见占上风,而企业方因为对网络建设了解较少并且缺乏这一方面的技术人员,从而变成了单方面的策略模式;其二,公司方面为方便日后的维护等工作,在安全等方面更多注重设备的选型。但是,网络运行、应用和安全的主要工作在于建设之后,存在许多动态可变的因素。除了工程的问题或网络安全己经出现问题的时候,公司才出面维护或解决,而真正的防范安全或运行工作却需要企业自己来完成。因此,企业更加主
16、动的参与网络设计和建设,更好的运用网络需要相对具体的参考和指导文献,在这一方面还相对缺乏和不足。在发达国家,计算机网络建设相当普及,基本成为标准化的模式,网络的重点是技术应用和研究,不存在或极少存在类似于我们这样的差异。正因为网络应用的如此广泛,又在生活中扮演很重要的角色,所以其安全性是不容忽视的,它是网络能否经历考验的关键,如果安全性不好会给人们带来很多麻烦。网络信息交流现已是生活中必不可少的一个环节,然而信息安全却得不到相应的重视。美国联邦调查局(FBI)和计算机安全机构(CSI)等权威机构的研究也证实了这一点:超过80%的信息安全隐患是来自组织内部,这些隐患直接导致了信息被内部人员所窃取
17、和破坏。信息系统的安全防范是一个动态过程,某公司缺乏相关的规章制度、技术规范,也没有选用有关的安全服务。不能充分发挥安全产品的效能。原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。如为进一步提高网络的安全性,拟对系统的互联网出口进行严格限制,原有的防火墙将成为企业内网和公网之间的瓶颈。同时病毒的防范、新的攻击手段也对防火墙提出了更多的功能上的要求,现有的防火墙不具备这些功能。 网络信息系统的安全建设建立在风险评估的基础上,这是信息化建设的内在要求,系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期,在规划的过程中,就运
18、用风险评估、风险治理的手段,客服才可以避免重复建设和投资的浪费。本文从珠海亿慧科技有限公司安全的需求分析入手,阐述了中小型企业网络安全的重要性,以及各个服务器对企业的重要和服务器的安全设置。然后从企业网络的设计、企业网络的安全配置及服务器的配置作了详细的介绍。第一章 网络安全概述随着计算机在生活和工作领域的深入应用,计算机网络的安全成为不可忽视的问题。一个安全的局域网就必须要求做到完善,不论从物理布局还是软件应用和防范方面来说,都应该做到没有瑕疵以确保网络的畅通和安全。这种安全的防范可以是多方面的,可以分为物理布局和软件应用,也可以分为主动防御和被动防御等等;总之,安全并不是单一而泛泛的,而是
19、全面覆盖广泛的。网络安全的防御不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。1.1 网络安全概念 国际标准化组织(ISO)对计算机系统安全的定义是:为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。由此可以将计算机网络的安全理解为:通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。所以,建立网络安全保护措施的目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等。1.2 企业网络安全的重要性简单的说在网络环境里的安全指的是一种能够识别和消除不
20、安全因素的能力。安全的一般性定义也必须解决保护公司财产的需要,包括信息和物理设备(例如计算机本身)。安全的想法也涉及到适宜性和从属性概念。负责安全的任何一个人都必须决定谁在具体的设备上进行合适的操作,以及什么时候。当涉及到公司安全的时候什么是适宜的在公司与公司之间是不同的,但是任何一个具有网络的公司都必须具有一个解决适宜性、从属性和物理安全问题的安全策略。1.3 企业网络安全面临的威胁计算机网络所面临的威胁大体可分为两种:一是对网络中信息的威胁:二是对网络中设备的威胁。影响计算机网络的因素很多,有些因素可能是有意的,也可能是无意的;可能是人为的,也可能是非人为的。可能是外来黑客对网络系统资源的
21、非法使用,也可能是内部不法分子的恶意行为。归结起来,针对网络安全的威胁主要有以下几方面: (1)人为的无意失误:如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁。 (2)人为的恶意攻击:这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性:另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。 (3)网络
22、软件的漏洞和“后门”:网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。另外,软件的“后门,都是软件公司的设计编程人员为了自便而设置的,或黑客闯入计算机为方便再次入侵而设置。软件编程人员设置的后门一般不为外人所知,但一旦“后门”洞开,就为入侵者提供了方便。 (4)网络病毒,网络病毒大都是由于系统漏洞给病毒制造者提供可乘之机。第二章 珠海亿慧科技有限公司网络安全需求分析网络安全的基本是一种外部网络安全的概念,是基于这样一种信任模型的,即网络内部的用户都是可信的。在这种信任模型下,假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部,并且是通过网络从
23、外部使用各种攻击手段进入内部网络信息系统的。针对外部网络安全,人们提出了内部网络安全的概念,它基于这样一种信任模型:所有的用户都是不可信的。在这种信任模型中,假设所有用户都可能对信息安全造成威胁,并且可以各种更加方便的手段对信息安全造成威胁,比如内部人员可以直接对重要的服务器进行操控从而破坏信息,或者从内部网络访问服务器,下载重要的信息并盗取出去。内部网络安全的这种信任模型更符合现实的状况。2.1 公司背景珠海亿慧科技有限公司是一家从事IT技术的高新技术企业,对于网络建设有较高的要求,主要致力于计算机网络、综合布线(智能小区/大厦)系统、宽带无线网络工程、网络安全的防护和解决、数字监控系统的论
24、证、设计、实施及大中型软件项目开发,并为用户提供完善的售前、售后服务。公司业务对网络依赖性强,内部办公等都需要网络支持。2.2 公司网络安全现状为保障公司计算机网络的安全,珠海亿慧科技有限公司实施了计算机网络安全项目,基于当时对信息安全的熟悉和安全产品的状况,信息安全的主要内容是网络安全,公司已经部署了防火墙、入侵检测系统网络安全产品,极大地提升了公司计算机网络的安全性,但是随着计算机技术的不断发展,公司还是遭到网络攻击、冲击波等网络病毒攻击,并多次造成公司服务器出现死机和数据丢失。2.3 需求概述珠海亿慧科技有限公司是一家拥有200名员工的新型IT企业,公司有近150台运行Windows20
25、00/xp的计算机。公司位于上海,公司设有财务、人事、研发、生产和销售五个部门。珠海亿慧科技有限公司组织架构图如图2.3-1所示: 图2.3-1 珠海亿慧科技有限公司组织架构图珠海亿慧科技有限公司所从事的业务对网络系统有极大的依赖性,内部办公等都需要网络支持,为了提高网络的可用性、安全性和可靠性,并保留一定的可扩展性,在公司内实现一个完善、高效、高可用性和高可靠性的办公网络,用以满足各项业务发展的需要,使珠海亿慧科技有限公司的信息网络系统能够在未来几年时间内保持技术上的先进性和实有性,公司要求在项目的规划和实施中采用先进的计算机、服务器、网络设备以及系统管理模式,实现公司内部所有信息资源的合法
26、应用和完善管理,使所有员工都能方便地使用公司内部网络,并能够安全高效地访问公司内的网络应用服务和因特网。2.3.1总体要求1) 满足企业信息化的要求,为各类应用系统提供方便、快捷的信息通路。 2) 良好的性能,能够支持大容量和实时性的各类应用。 3) 能够可靠地运行,实现高可用性。 4) 易于维护管理。 5) 提高安全机制,满足保护企业信息安全的要求。 6) 具有较高的性价比。 7) 未来升级扩展容易,保护用户投资。 8) 使用简单、维护容易。 9) 良好的售后服务支持。2.4 需求分析为了实现珠海亿慧科技有限公司此次设计实施的网络项目的功能需求和建设要求并充分考虑公司网络需求,建设一个通畅、
27、高效、安全、稳定、可扩展的企业内联网,满足公司内各种计算机应用系统大量信息的传输要求并支撑公司内各类信息系统的运行,共享各种资源,让企业员工最大限度地利用网络资源,提高企业的办公效率,降低企业网络的总体运行费用,让网络整体具有良好的可扩展性,减轻维护人员的工作量,提高网络系统的运行质量;为了让企业员工安全通过企业内网实现和因特网的高速可靠连接,要求网络连接具有高效、运行稳定、同时进行必要的安全访问控制等功能,并具备良好的可扩展性,能够满足公司未来发展的需求,保护珠海亿慧科技有限公司的投资。整个项目的施工要精心组织、严格管理,定期提交各类项目文档,在项目实施完毕后,工程实施方要对珠海亿慧科技有限
28、公司的相关人员进行培训,并移交全部的项目工程资料,保证网络的正常运行和管理维护。规划设计的珠海亿慧科技有限公司网络只包含部门间通讯与internet访问。其网络规划设计如下:(1)公司的内部局域网络采用全冗余的结构来保障网络的高可用性。(2)公司的内部局域网其财务部尽限于经理办公室能够达到访问(3)网络总体架构要求高效、健壮、安全,具有良好的可扩展性。(4)网络设计为模块化的拓扑结构,公司统一进行规划和管理,全网采用统一的网络方案和策略。(5)通过一条以太网方式的宽带接入链路(10M带宽)连接到因特网,提高访问因特网的速度。第三章珠海亿慧科技有限公司网络安全实施方案设计信息安全防范应做整体的考
29、虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全治理应贯穿安全防范活动的始终。信息安全又是相对的,需要在风险、安全和投入之间做出平衡,通过对珠海亿慧科技有限公司信息化和信息安全现状的分析,对现有的信息安全产品和解决方案的调查,通过与专业的方案设计接触,解决珠海亿慧科技有限公司的安全隐患。如图3.1网络与信息安全防范体系模型所示:图3.1 网络与信息安全防范体系模型根据企业防范安全攻击的安全需求、需要到达的安全目标、对应安全机制所需的安全服务等因素,参照网络与信息安全防范体系模型等标准
30、,综合考虑可实施性、可管理性、可扩展性,综合完备性、系统均衡性等方面,公司网络安全设计如下:3.1 总体设计如前所述,珠海亿慧科技有限公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点: 1. 珠海亿慧科技有限公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。 2. 网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。 3. 信息安全工作日益增强的重要性和复杂性对安全治理提出了更高的要求,为此要加快规章
31、制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行,并且建立各种服务器,建立相应安全的管理。 4. 信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是珠海亿慧科技有限公司面临的重要课题。珠海亿慧科技有限公司解决方案总体设计以安全可靠性、开放性、实用性、先进性、良好的可扩展性、可管理性和高性能为原则,以及考虑技术的先进性、成熟性,并采用模块化的设计方法。分别有人事、研发、销售、生产、财务部等部门,网络设计应具有可扩展性,搭建的网络平台应能满足今后企业业务的扩展需要。3.1.1 拓扑图珠海亿慧科技有限公司
32、网络拓扑全图如图3.1.1-1:图3.1.1-1 珠海亿慧科技有限公司网络拓扑全图3.1.2 设备型号由于网络技术的不断更新,为了加强珠海亿慧科技有限公司的安全性,珠海亿慧科技有限公司特此重新购买各种服务器等一些安全产品,如表3.1.2-1所示表3.1.2-1 珠海亿慧科技有限公司网络设备型号序号设备型号描述数量备注1IBM System x3650 M3(7947R26)服务器结构:2U,内存容量:8GB,存储控制:ServerRAID M5015阵列卡,PCI扩展槽:4个 PCI-Express 二代插槽1打印服务器2IBM System X3650 M2 (7947I05)服务器结构:2
33、U,最大CPU个数:2个,内存容量:4GB,存储:146GB,电源:675W,I/O接口:4USB接口 2RJ-45网络接口 2D-SUB接口 1串行接口1WEB服务器3IBM System x3650 M3(7945IEI)服务器结构:2U,CPU个数:2个,内存容量:16GB,存储:8146GB SAS,电源:675W1域控制器4IBM System x3650 M2(794792C)服务器结构:2U,CPU个数:2个,内存容量:4GB,存储:BR10i,电源:675W1FTP服务器5CISCO WS-C2950G-48-EI快速以太网交换机,48个10/100/1000Mbps端口,交换
34、方式:存储-转发。背板带宽(Gbps):13.6。模块化插槽数:2。接口类型:10/100Base-T/TX,1000BaseX。 包转发率(Mpps):10.116CISCO WS-C3560G-24TS-SCisco C3560系列三层千兆以太网交换机,24个10/100/1000Mbps端口,交换方式:存储-转发。背板带宽(Gbps):32。接口类型:10/100/1000BASE-T/ 1000FX/SX。模块化插槽数:217CISCO 12406/120路由器类型:高端企业级路由器,支持VPN、Qos功能,13.2 服务器部分服务器是网络上一种为客户端计算机提供各种服务的高可用性计算
35、机,它在网络操作系统的控制下,将与其相连的硬盘、磁带、打印机及各种专用通讯设备提供给网络上的客户站点共享,也能为网络用户提供集中计算、信息发表及数据管理等服务。服务器安全关系到整个企业内部网络的安全性,下文将对打印服务器、WEB服务器、域控制器、FTP服务器的网络安全项目实施方案进行介绍。3.2.1 打印服务器打印服务器是网络环境中最经常试用的服务之一,利用windows server 2003提供的打印服务功能可以对打印机进行全面有效的管理。在配置打印服务之前,需要分析企业的打印服务的需求,以此来配置打印服务器。下面阐述打印服务器对企业的重要性和安全设置:1) 因为社会科技的不断发展,效率对
36、公司来说已经非常重要,打印服务器在现在的办公室里的应用越来越广泛。通过它可让大家轻松共用一台打印机。可以有效的节省开支,并能提高工作效率。所以说打印服务器已经成为各个企业必备的设备。2) 为了保证公司打印服务器能长期而有效的运行,所以打印服务器的一些安全设置是必不可少的。比如:日志管理,详细的日志信息记录,可以更好的对打印机进行控制和管理;打印服务器权限可控制用户在特定的打印服务器上的访问级别。打印机权限将控制用户可在由打印服务器管理的新添加的打印机上执行的打印任务等一些安全设置。3.2.2 WEB服务器在传统的营销环境中,生产厂家、企业通过大笔的广告预算控制大众媒体,以达到吸引大众知的注意力
37、,从而达到营销与广告的目的。而在网络商业环境中,受众对信息的选择、接收,处理等活动具有积极主动的特性,他们将较强地控制信息的获取与分发。并且Internet的公平原则使竞争的企业在用户面前一览无余,无处遁形。 WEB的功能:Internet所具有的交互、快捷、全球性、媒体特性等优势,对于提高企业知名度、树立企业品牌形象。更好地为用户服务等方面提供了有利的条件,这些网络本身固有的特性对于每一个企业都是公平的。因此,企业应该根据自身的产品与服务特点利用网络创建自己的网络品牌。WEB服务器的作用:1) 网站可以提升、拓展、纵深的形象、价值及外延。 2) 网站能够提供互动、亲切的“客户关系管理”,不管
38、是普通来访者、消费者,还是生产经营活动价值链上的各个环节。3) 网站是实现线上推广营销的根据地。一方面,在离线领域可以配合广告、公关、促销等开展系列营销活动;另一方面,网站本身就是一个互动沟通平台,二者活动的反馈沟通均可在网站实现。并且,这些活动都应以核心价值为基准点,因此可以确保活动的持久性与连贯性。 通过有效的网络营销活动,可以使企业网站实现上述期望,能够较传统途径和方法更为快捷的实现深化传播目的。WEB服务器的安全方案:为了防止公司WEB服务器数据的丢失,为珠海亿慧科技有限公司做出一下安全方案设计:安装补丁,使用最新的 Service Pack 和修补程序更新服务器;更改IIS日志的路径
39、;强化账号密码等3.2.3 域控制器域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问windows共享出来的资源,这样就在一定程度上保护了网络上的资源。 要把一台电脑加入域,仅仅使它和服务器在网上邻居中能够相互“看”到是远远不够的,必须要由网络管理员进行相应的设置,把这台电脑加入到域中。这样才能实现文件的共享。域控制
40、器的作用:对于运行Microsoft Active Directory目录服务的Microsoft Windows Server 2003计算机,域控制器服务器是在任何环境下都应当确保其安全性的重要角色。对于依赖域控制器完成身份验证、组策略、以及一个中央LDAP(轻量级目录访问协议)目录的客户机、服务器以及应用软件而言,IT环境中域控制器的任何损失或信息泄密都可能是灾难性的。由于其重要性,域控制器应当总是被安置在物理上安全的地点,仅允许有资格的管理人员访问。当域控制器必须安置在不太安全的地方时,例如分支办公室,应当调整相关的安全性设置以限制来自物理访问威胁的潜在损害。域控制器安全方案:域控制器
41、服务器是在任何环境下都应当确保其安全性的重要角色。对于依赖域控制器完成身份验证、组策略、以及一个中央LDAP(轻量级目录访问协议)目录的客户机、服务器以及应用软件而言,IT环境中域控制器的任何损失或信息泄密都可能是灾难性的。由于其重要性,域控制器应当总是被安置在物理上安全的地点,仅允许有资格的管理人员访问。3.2.4 FTP服务器FTP服务器,则是在互联网上提供存储空间的计算机,它们依照FTP协议提供服务。 FTP的全称是File Transfer Protocol(文件传输协议)。顾名思义,就是专门用来传输文件的协议。简单地说,支持FTP协议的服务器就是FTP服务器。FTP服务器功能:FTP
42、的主要作用,就是让用户连接上一个远程计算机(这些计算机上运行着FTP服务器程序)察看远程计算机有哪些文件,然后把文件从远程计算机上拷到本地计算机,或把本地计算机的文件送到远程计算机去。FTP服务器安全性:FTP是一种文件传输协议,在企业中广泛运用,功能的不断加强,很多人为了得到敌对企业的一些重要数据,FTP服务器成了别人的攻击对象,为了保护FTP服务器的安全性,大多数匿名FTP主机都允许用户从其下载文件,而不允许用户向其上载文件,也就是说,用户可将匿名FTP主机上的所有文件全部拷贝到自己的机器上,但不能将自己机器上的任何一个文件拷贝至匿名FTP主机上。第四章珠海亿慧科技有限公司网络安全项目实施
43、珠海亿慧科技有限公司有200个节点,光纤接入,服务器内部文件共享和打印,域控制器OU;为了确保企业局域网整体的稳定可靠,网络结构采用了冗余配置,出于公司安全考虑,财务的主机除经理以外不能被其他主机访问,但是其他主机可以互访。4.1打印服务器配置与安全方案实施4.1.1 打印服务器配置连接本地打印机,并将打印机共享出来的计算机系统。打印服务器配置步骤如下所示:图4.1.1-1如图4.1.1-1,开始设置打印机双击“添加打印机”,打开向导,根据提示依次安装。图4.1.1-2 图4.1.1-31) 查看打印队列中的文档2) 调整打印文档的顺序3) 暂停和继续打印一个文档4) 暂停和重新启动打印机的打
44、印作业5) 删除打印文件图4.1.1-43个标准权限:“打印”、“管理打印机”、“管理文档”。 6个特殊权限:“打印”、“读取权限”、“更改权限”、“获得所有权”、“管理文档” “管理打印机”。图4.1.1-5如图4.1.1-5所示,为了保证公司打印服务器的安全,需做到一下几步:1) 指派打印机权限2) 审核打印机的使用 3) 取得打印机的所有权打印服务器设置成功后,即可在客户端安装共享打印机。共享打印机的安装与本地打印机的安装过程非常相似,都需要借助“添加打印机向导”来完成。在安装网络打印机时,在客户端不需要为要安装的打印机提供驱动程序。 首先要连接的打印设备要设为“共享”,然后网络上的其它
45、计算机连接到打印服务器上的共享打印机,才能使用打印机输出打印作业。4.1.2创建打印服务器安全策略 1) 在新引用计算机上创建 Windows Server 2003 SP1 的新安装。2) 通过“控制面板”、“添加或删除程序”、“添加/删除 Windows 组件”来安装安全配置向导组件。3) 将计算机加入到域,这将应用来自父 OU 的所有安全设置。4) 仅安装和配置共享此角色的每个服务器所必需的应用程序。例如,特定于角色的服务、软件和管理代理、磁带备份代理以及防病毒或反间谍软件实用程序。5) 启动 SCW GUI,选择“创建新的策略”,然后将其指向引用计算机。6) 确保检测到的打印服务器角色
46、适合于环境。7) 确保检测到的客户端功能和检测到的管理选项适合于环境。8) 确保您的基准所需要的任何附加服务(例如备份代理或防病毒软件)已被检测到。9) 确定如何处理的环境中的未指定服务。为了获得附加的安全,可能需要将此策略设置配置为“禁用”。应该对此配置进行测试,然后再将其部署到生产网络中,因为若生产服务器所运行的附加服务未复制到引用服务器上,部署此配置就会造成问题。10) 确保在“网络安全”部分中取消选中“跳过这一部分”,然后单击“下一步”。前面标识的相应端口和应用程序被配置为 Windows 防火墙的例外。11) 在“注册表设置”部分中,单击“跳过这一部分”复选框,然后单击“下一步”。这些策略设置从提供的 INF 文件中导入。12) 在“审核策略”部分中,单击“跳过这一部分”复选框,然后单击“下一步”。这些策略设置从提供的 I