网络设计方案
一、前言
“功欲善其事,必先利其器”,公司业务要发展、必须提高企业内部核心竞争力、而建立一个方便快捷安全的通信网络综合信息支撑系统,已迫在眉睫,XXX公司是一个致力于企业信息化和系统集成的高科技公司。
1、1、综合信息系统建设目标
XXX公司信息系统主要建设一个企业信息系统,它以管理信息为主体,连接生产、销售、维护、运营子系统,是一个面向公司的日常业务、立足生产、面向社会,辅助领导决策的计算机信息网络系统。
本期项目的目标是建立如下系统:
1、构造一个既能覆盖本地又能与外界进行网络互通、共享信息、展示企业的计算机企业网。
2、选用技术先进、具有容错能力的网络产品,在投资和条件允许的情况下也可采用结构容错的方法
3、完全符合开放性规范,将业界优秀的产品集成于该综合网络平台之中;
4、具有较好的可扩展性,为今后的网络扩容作好准备
5、采用OA办公,做到集数据、图像、声音三位一体,提高企业管理效率、降低企业信息传递成本
6、整个公司计划采用10M光纤接入到运营商提供的Internet。统一一个出口,便于控制网络安全
7、设备选型上必须在技术上具有先进性,通用性,且必须便于管理,维护。应具备未来良好的可扩展性,可升级性,保护公司的投资。设备要在满足该项目的功能和性能上还具有良好的性价比。设备在选型上要是拥有足够实力和市场份额的主流产品,同时也要有好的售后服务
1、2具体用户需求:
1、网络设备配置
配备网络交换设备,实现楼宇间的千兆光纤连接,保证未来各应用系统的实施以及满足公司各种计算机应用系统的大信息量的传输。
2、网管系统设计
提供可以对整个网络系统进行管理的中文图形界面工具,使系统维护人员可以集中控制网络的所有设备。
1、3综合信息系统建设原则
多业务网络系统方案以实现以上功能为基本要求,在设计上力求做到既要采用国际上先进的技术,又要保证系统的安全可靠性和实用性。具体来讲,其设计遵循以下原则:
1、3、1先进性
系统的主机系统、网络平台、数据库系统、应用软件均应使用目前国际上较先进、较成熟的技术,符合国际标准和规范;
1、3、2标准性
所采用技术的标准化,可以保证网络发展的一致性,增强网络的兼容性,以达到网络的互连与开放。为确保将来不同厂家设备、不同应用、不同协议连接,整个网络从设计、技术和设备的选择,必须支持国际标准的网络接口和协议,以提供高度的开放性。
全面支持IEEE工业标准:802、1d,802、1p,802、1q,802、1x,802、3,802、3u,802、3z;支持路由协议:IP的RIPV1/2,OSPF,BGP-4;信令标准:H。323,RTP/CRTP。
支持:IPsec、L2TP、GRE、MPLS-VPN规范。
支持多址广播协议:IGMP,DVMRP,PIM-DM,PIM-SM;
网络管理协议:SNMP,RMON,RMON2;
1、3、3兼容性
跟踪世界科技发展动态,网络规划与现有光纤传输网及将要改造的分配网有良好的兼容,在采用先进技术的前提下,最大可能地保护已有投资,并能在已有的网络上扩展多种业务。
1、3、4可升级和可扩展性
随着技术不断发展,新的标准和功能不断增加,网络设备必须可以通过网络进行升级,以提供更先进、更多的功能。在网络建成后,随着应用和用户的增加,核心骨干网络设备的交换能力和容量必须能作出线性的增长。设备应能提供高端口密度、模块化的设计以及多种类接口、技术的选择,以方便未来更灵活的扩展。
1、3、5安全性
网络的安全性对网络设计是非常重要的,合理的网络安全控制,可以使应用环境中的信息资源得到有效的保护可以有效的控制网络的访问,灵活的实施网络的安全控制策略。在企业园区网络中,关键应用服务器、核心网络设备,只有系统管理人员才有操作、控制的权力。应用客户端只有访问共享资源的权限,网络应该能够阻止任何的非法操作。在园区网络设备上应该可以进行基于协议、基于Mac地址、基于IP地址的包过滤控制功能。在大规模园区网络的设计上,划分虚拟子网,一方面可以有效的隔离子网内的大量广播,另一方面隔离网络子网间的通讯,控制了资源的访问权限,提高了网络的安全性。在设计园区网的原则上必须强调网络安全控制能力,使网络可以任意连接,又可以从第二层、第三层控制网络的访问。
可管理性
1、3、6可靠性
本系统是7x24小时连续运行系统,从硬件和软件两方面来保证系统的高可靠性。
硬件可靠性
系统的主要部件采用冗余结构,如:传输方式的备份,提供备份组网结构;主要的计算机设备(如数据库服务器),采用CLUSTER技术,支持双机或多机高可用结构;配备不间断电源等。
软件可靠性
充分考虑异常情况的处理,具有强的容错能力、错误恢复能力、错误记录及预警能力并给用户以提示;并具有进程监控管理功能,保证各进程的可靠运行数据库系统应。
网络结构稳定性
当增加/扩充应用子系统时,不影响网络的整体结构以及整体性能,对关键的网络连接采用主备方式,已保证数据的传输的可靠性。
本系统应具有较强的容灾容错能力,具有完善的系统恢复和安全机制;
1、3、7易操作性
提供中文方式的图形用户界面,简单易学,方便实用。
优良的性能价格比。
系统应着重考虑和满足以上的设计要求。
1、3、8可管理性
络的可管理性要求:网络中的任何设备均可以通过网络管理平台进行控制,网络的设备状态,故障报警等都可以通过网管平台进行监控,通过网络管理平台简化管理工作,提高网络管理的效率。
二。综合布线方案
2、1、需求分析
公司总部办公楼和分部及分公司等,公司总部和武汉分公司之间的距离已超过双绞线布线的技术要求,因此采用光纤进行布线。
由于涉及的建筑物较多,规模较大,应此将其定位为智能化园区综合布线系统。
【篇二:网络安全设计方案】
网络信息系统的安全技术体系通常是在安全策略指导下合理配置和部署:网络隔离与访问控制、入侵检测与响应、漏洞扫描、防病毒、数据加密、身份认证、安全监控与审计等技术设备,并且在各个设备或系统之间,能够实现系统功能互补和协调动作。
网络系统安全具备的功能及配置原则
1、网络隔离与访问控制。通过对特定网段、服务进行物理和逻辑隔离,并建立访问控制机制,将绝大多数攻击阻止在网络和服务的边界以外。
2、漏洞发现与堵塞。通过对网络和运行系统安全漏洞的周期检查,发现可能被攻击所利用的漏洞,并利用补丁或从管理上堵塞漏洞。
3、入侵检测与响应。通过对特定网络(段)、服务建立的入侵检测与响应体系,实时检测出攻击倾向和行为,并采取相应的行动(如断开网络连接和服务、记录攻击过程、加强审计等)。
4、加密保护。主动的加密通信,可使攻击者不能了解、修改敏感信息(如VPN方式)或数据加密通信方式;对保密或敏感数据进行加密存储,可防止窃取或丢失。
5、备份和恢复。良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务。
6、监控与审计。在办公网络和主要业务网络内配置集中管理、分布式控制的监控与审计系统。一方面以计算机终端为单元强化桌面计算的内外安全控制与日志记录;另一方面通过集中管理方式对内部所有计算机终端的安全态势予以掌控。
边界安全解决方案
在利用公共网络与外部进行连接的“内”外网络边界处使用防火墙,为“内部”网络(段)与“外部”网络(段)划定安全边界。在网络内部进行各种连接的地方使用带防火墙功能的VPN设备,在进行“内”外网络(段)的隔离的同时建立网络(段)之间的安全通道。
1、防火墙应具备如下功能:
使用NAT把DMZ区的服务器和内部端口影射到Firewall的对外端口;
允许Internet公网用户访问到DMZ区的应用服务:http、ftp、smtp、dns等;
允许DMZ区内的工作站与应用服务器访问Internet公网;
允许内部用户访问DMZ的应用服务:http、ftp、smtp、dns、pop3、https;
允许内部网用户通过代理访问Internet公网;
禁止Internet公网用户进入内部网络和非法访问DMZ区应用服务器;
禁止DMZ区的公开服务器访问内部网络;
防止来自Internet的DOS一类的攻击;
能接受入侵检测的联动要求,可实现对实时入侵的策略响应;
对所保护的主机的常用应用通信协议(http、ftp、telnet、smtp)能够替换服务器的Banner信息,防止恶意用户信息刺探;
提供日志报表的自动生成功能,便于事件的分析;
提供实时的网络状态监控功能,能够实时的查看网络通信行为的连接状态(当前有那些连接、正在连接的IP、正在关闭的连接等信息),通信数据流量。提供连接查询和动态图表显示。
防火墙自身必须是有防黑客攻击的保护能力。
2、带防火墙功能的VPN设备是在防火墙基本功能(隔离和访问控制)基础上,通过功能扩展,同时具有在IP层构建端到端的具有加密选项功能的ESP隧道能力,这类设备也有SVPN的,主要用于通过外部网络(公共通信基础网络)将两个或两个以上“内部”局域网安全地连接起来,一般要求SVPN应具有一下功能:
防火墙基本功能,主要包括:IP包过虑、应用代理、提供DMZ端口和NAT功能等(有些功能描述与上相同);
具有对连接两端的实体鉴别认证能力;
支持移动用户远程的安全接入;
支持IPESP隧道内传输数据的完整性和机密性保护;
提供系统内密钥管理功能;
SVPN设备自身具有防黑客攻击以及网上设备认证的能力。
入侵检测与响应方案
在网络边界配置入侵检测设备,不仅是对防火墙功能的必要补充,而且可与防火墙一起构建网络边界的防御体系。通过入侵检测设备对网络行为和流量的特征分析,可以检测出侵害“内部”网络或对外泄漏的网络行为和流量,与防火墙形成某种协调关系的互动,从而在“内部”网与外部网的边界处形成保护体系。
入侵检测系统的基本功能如下:
通过检测引擎对各种应用协议,操作系统,网络交换的数据进行分析,检测出网络入侵事件和可疑操作行为。
对自身的数据库进行自动维护,无需人工干预,并且不对网络的正常运行造成任何干扰。
采取多种报警方式实时报警、音响报警,信息记录到数据库,提供电子邮件报警、SysLog报警、SNMPTrap报警、Windows日志报警、Windows消息报警信息,并按照预设策略,根据提供的报警信息切断攻击连接。
与防火墙建立协调联动,运行自定义的多种响应方式,及时阻隔或消除异常行为。
全面查看网络中发生的所有应用和连接,完整的显示当前网络连接状态。
可对网络中的攻击事件,访问记录进行适时查询,并可根据查询结果输出图文报表,能让管理人员方便的提取信息。
入侵检测系统犹如摄像头、监视器,在可疑行为发生前有预警,在攻击行为发生时有报警,在攻击事件发生后能记录,做到事前、事中、事后有据可查。
漏洞扫描方案
除利用入侵检测设备检测对网络的入侵和异常流量外,还需要针对主机系统的漏洞采取检查和发现措施。目前常用的方法是配置漏洞扫描设备。主机漏洞扫描可以主动发现主机系统中存在的系统缺陷和可能的安全漏洞,并提醒系统管理员对该缺陷和漏洞进行修补或堵塞。
对于漏洞扫描的结果,一般可以按扫描提示信息和建议,属外购标准产品问题的,应及时升级换代或安装补丁程序;属委托开发的产品问题的,应与开发商协议修改程序或安装补丁程序;属于系统配置出现的问题,应建议系统管理员修改配置参数,或视情况关闭或卸载引发安全漏洞的程序模块或功能模块。
漏洞扫描功能是协助安全管理、掌握网络安全态势的必要辅助,对使用这一工具的安全管理员或系统管理员有较高的技术素质要求。
考虑到漏洞扫描能检测出防火墙策略配置中的问题,能与入侵检测形成很好的互补关系:漏洞扫描与评估系统使系统管理员在事前掌握主动地位,在攻击事件发生前找出并关闭安全漏洞;而入侵检测系统则对系统进行监测以期在系统被破坏之前阻止攻击得逞。因此,漏洞扫描与入侵检测在安全保护方面不但有共同的安全目标,而且关系密切。本方案建议采购将入侵检测、管理控制中心与漏洞扫描一体化集成的产品,不但可以简化管理,而且便于漏洞扫描、入侵检测和防火墙之间的协调动作。
网络防病毒方案
网络防病毒产品较为成熟,且有几种主流产品。本方案建议,网络防病毒系统应具备下列功能:
网络&单机防护—提供个人或家庭用户病毒防护;
文件及存储服务器防护—提供服务器病毒防护;
邮件服务器防护—提供LotusNotes,MicrosoftExchange等病毒防护;
网关防护—在SMTP,HTTP,和FTPservergateway阻挡计算机病毒;
集中管理—为企业网络的防毒策略,提供了强大的集中控管能力。
关于安全设备之间的功能互补与协调运行
各种网络安全设备(防火墙、入侵检测、漏洞扫描、防病毒产品等),都有自己独特的安全探测与安全保护能力,但又有基于自身主要功能的扩展能力和与其它安全功能的对接能力或延续能力。因此,在安全设备选型和配置时,尽可能考虑到相关安全设备的功能互补与协调运行,对于提高网络平台的整体安全性具有重要意义。
防火墙是目前广泛用于隔离网络(段)边界并实施进/出信息流控制的大众型网络安全产品之一。作为不同网络(段)之间的逻辑隔离设备,防火墙将内部可信区域与外部危险区域有效隔离,将网络的安全策略制定和信息流动集中管理控制,为网络边界提供保护,是抵御入侵控制内外非法连接的。
但防火墙具有局限性。这种局限性并不说明防火墙功能有失缺,而且由于本身只应该承担这样的职能。因为防火墙是配置在网络连接边界的通道处的,这就决定了它的基本职能只应提供静态防御,其规则都必须事先设置,对于实时的攻击或异常的行为不能做出实时反应。这些控制规则只能是粗颗粒的,对一些协议细节无法做到完全解析。而且,防火墙无法自动调整策略设置以阻断正在进行的攻击,也无法防范基于协议的攻击。
为了弥补防火墙在实际应用中存在的局限,防火墙厂商主动提出了协调互动思想即联动问题。防火墙联动即将其它安全设备(组件)(例如IDS)探测或处理的结果通过接口引入系统内调整防火墙的安全策略,增强防火墙的访问控制能力和范围,提高整体安全水平。
目前,防火墙形成联动的主要有以下几种方式:
1、与入侵检测实现联动
目前,实现入侵检测和防火墙之间的联动有两种方式。一种是实现紧密结合,即把入侵检测系统嵌入到防火墙中,即入侵检测系统的数据来源不再来源于抓包,而是流经防火墙的数据流。但由于入侵检测系统本身也是一个很庞大的系统,从目前的软硬件处理能力来看,这种联动难于达到预期效果。第二种方式是通过开放接口来实现联动,即防火墙或者入侵检测系统开放一个接口供对方调用,按照一定的协议进行通信、警报和传输,这种方式比较灵活,不影响防火墙和入侵检测系统的性能。
防火墙与入侵检测系统联动,可以对网络进行动静结合的保护,对网络行为进行细颗粒的检查,并对网络内外两个部分都进行可靠管理。
2、与防病毒实现联动
防火墙处于内外网络信息流的必经之地,在网关一级对病毒进行查杀是网络防病毒的理想措施。目前已有一些厂商的防火墙可以与病毒防治软件进行联动,通过提供API定义异步接口,将数据包转发到装载了网关病毒防护软件的服务器上进行检查,但这种联动由于性能影响,目前并不适宜部署在网络边界处。
3、与日志处理间实现联动
防火墙与日志处理之间的联动,目前国内厂商做的不多。比较有代表性的是CheckPoint的防火墙,它提供两个API:LEA(LogExportAPI)和ELA(EventLoggingAPI),允许第三方访问日志数据。报表和事件分析采用LEAAPI,而安全与事件整合采用ELAAPI。防火墙产品利用这个接口与其他日志服务器合作,将大量的日志处理工作由专门的服务设备完成,提高了专业化程度。
内部网络监控与审计方案
上面的安全措施配置解决了网络边界的隔离与保护,网络与主机的健康(防病毒)运行,以及用户访问网络资源的身份认证和授权问题。
然而,县卫生局网络内部各办公网络、业务网络的运行秩序的维护,网络操作行为的监督,各种违规、违法行为的取证和责任认定,以及对操作系统漏洞引发的安全事件的监视和控制等问题,则是必须予以解决的问题。因此有必要在各种内部办公网络、业务网内部部署集中管理、分布式控制的监控与审计系统。这种系统通过在局域网(子网)内的管理中心安装管理器,在各台主机(PC机)中安装的代理软件形成一个监控与审计(虚拟网络)系统,通过对代理软件的策略配置,使得每台工作主机(PC机)按照办公或业务操作规范进行操作,并对可能经过主机外围接口(USB口、串/并口、软硬盘接口等)引入的非法入侵(包括病毒、木马等),或非法外连和外泄的行为予以阻断和记录;同时管理器通过网络还能及时收集各主机上的安全状态信息并下达控制命令,形成“事前预警、事中控制和事后审计”的监控链。
监控与审计系统应具有下列功能:
管理器自动识别局域网内所有被监控对象之间的网络拓扑关系,并采用图形化显示,包括被监控主机的状态(如在线、离线)等;
支持对包含有多个子网的局域网进行全面监控;
系统对被监控对象的USB移动存储设备、光驱、软驱等外设的使用以及利用这些设备进行文件操作等非授权行为进行实时监视、控制和审计;
系统对被监控对象的串/并口等接口的活动状态进行实时监视、控制和审计;
系统对进出被监控对象的网络通信数据包进行实时拦截、分析、处理和审计,对telnet通信数据包进行拦截;
系统可根据策略规定,禁止被监控对象进行拨号(普通modem拨号、ADSL拨号、社区宽带拨号)连接,同时提供审计;
系统对被监控对象运行的所有进程进行实时监视和审计;
系统支持群组管理,管理员可以根据被监控对象的属性特征,将其划分成不同的安全组,对每个组制定不同的安全策略,所有组的成员都根据该策略执行监控功能;
支持多角色管理,系统将管理员和审计员的角色分离,各司其职;
强审计能力,系统具有管理员操作审计、被监控对象发送的事件审计等功能;
系统自身有极强的安全性,能抗欺骗、篡改、伪造、嗅探、重放等攻击。
【篇三:网络安全设计方案】
1、1安全系统建设目标
本技术方案旨在为某市政府网络提供全面的网络系统安全解决方案,包括安全管理制度策略的制定、安全策略的实施体系结构的设计、安全产品的选择和部署实施,以及长期的合作和技术支持服务。系统建设目标是在不影响当前业务的前提下,实现对网络的全面安全管理。
1)将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络,减少网络的安全风险;
2)通过部署不同类型的安全产品,实现对不同层次、不同类别网络安全问题的防护;
3)使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态。最大限度地减少损失。
具体来说,本安全方案能够实现全面网络访问控制,并能够对重要控制点进行细粒度的访问控制;
其次,对于通过对网络的流量进行实时监控,对重要服务器的运行状况进行全面监控。
1、1、1防火墙系统设计方案
1、1、1、1防火墙对服务器的安全保护
网络中应用的服务器,信息量大、处理能力强,往往是攻击的主要对象。另外,服务器提供的各种服务本身有可能成为"黑客"攻击的突破口,因此,在实施方案时要对服务器的安全进行一系列安全保护。
如果服务器没有加任何安全防护措施而直接放在公网上提供对外服务,就会面临着"黑客"各种方式的攻击,安全级别很低。因此当安装防火墙后,所有访问服务器的请求都要经过防火墙安全规则的详细检测。只有访问服务器的请求符合防火墙安全规则后,才能通过防火墙到达内部服务器。防火墙本身抵御了绝大部分对服务器的攻击,外界只能接触到防火墙上的特定服务,从而防止了绝大部分外界攻击。
1、1、1、2防火墙对内部非法用户的防范
网络内部的环境比较复杂,而且各子网的分布地域广阔,网络用户、设备接入的可控性比较差,因此,内部网络用户的可靠性并不能得到完全的保证。特别是对于存放敏感数据的主机的攻击往往发自内部用户,如何对内部用户进行访问控制和安全防范就显得特别重要。为了保障内部网络运行的可靠性和安全性,我们必须要对它进行详尽的分析,尽可能防护到网络的每一节点。
对于一般的网络应用,内部用户可以直接接触到网络内部几乎所有的服务,网络服务器对于内部用户缺乏基本的安全防范,特别是在内部网络上,大部分的主机没有进行基本的安
全防范处理,整个系统的安全性容易受到内部用户攻击的威胁,安全等级不高。根据国际上流行的处理方法,我们把内部用户跨网段的访问分为两大类:其一,是内部网络用户之间的访问,即单机到单机访问。这一层次上的应用主要有用户共享文件的传输(NETBIOS)应用;其次,是内部网络用户对内部服务器的访问,这一类应用主要发生在内部用户的业务处理时。一般内部用户对于网络安全防范的意识不高,如果内部人员发起攻击,内部网络主机将无法避免地遭到损害,特别是针对于NETBIOS文件共享协议,已经有很多的漏洞在网上公开报道,如果网络主机保护不完善,就可能被内部用户利用"黑客"工具造成严重破坏。
1、1、2入侵检测系统
利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低了网络安全风险,但是入侵者可寻找防火墙背后可能敞开的后门,入侵者也可能就在防火墙内。
网络入侵检测系统位于有敏感数据需要保护的网络上,通过实时侦听网络数据流,寻找网络违规模式和未授权的网络访问尝试。当发现网络违规行为和未授权的网络访问时,网络监控系统能够根据系统安全策略做出反应,包括实时报警、事件登录,或执行用户自定义的安全策略等。网络监控系统可以部署在网络中有安全风险的地方,如局域网出入口、重点保护主机、远程接入服务器、内部网重点工作站组等。在重点保护区域,可以单独各部署一套网络监控系统(管理器+探测引擎),也可以在每个需要保护的地方单独部署一个探测引擎,在全网使用一个管理器,这种方式便于进行集中管理。
在内部应用网络中的重要网段,使用网络探测引擎,监视并记录该网段上的所有操作,在一定程度上防止非法操作和恶意攻击网络中的重要服务器和主机。同时,网络监视器还可以形象地重现操作的过程励志网http://wWw.qqZf.cN/,可帮助安全管理员发现网络安全的隐患。
需要说明的是,IDS是对防火墙的非常有必要的附加而不仅仅是简单的补充。
按照现阶段的网络及系统环境划分不同的网络安全风险区域,xxx市政府本期网络安全系统项目的需求为:
区域部署安全产品
内网连接到Internet的出口处安装两台互为双机热备的海信FW3010PF-4000型百兆防火墙;在主干交换机上安装海信千兆眼镜蛇入侵检测系统探测器;在主干交换机上安装NetHawk网络安全监控与审计系统;在内部工作站上安装趋势防毒墙网络版防病毒软件;在各服务器上安装趋势防毒墙服务器版防病毒软件。
DMZ区在服务器上安装趋势防毒墙服务器版防病毒软件;安装一台InterScan
VirusWall防病毒网关;安装百兆眼镜蛇入侵检测系统探测器和NetHawk网络安全监控与审计系统。
安全监控与备份中心安装FW3010-5000千兆防火墙,安装RJ-iTOP榕基网络安全漏洞扫描器;安装眼镜蛇入侵检测系统控制台和百兆探测器;安装趋势防毒墙服务器版管理服务器,趋势防毒墙网络版管理服务器,对各防病毒软件进行集中管理。
1、2防火墙安全系统技术方案
某市政府局域网是应用的中心,存在大量敏感数据和应用,因此必须设计一个高安全性、高可靠性及高性能的防火墙安全保护系统,确保数据和应用万无一失。
所有的局域网计算机工作站包括终端、广域网路由器、服务器群都直接汇接到主干交换机上。由于工作站分布较广且全部连接,对中心的服务器及应用构成了极大的威胁,尤其是可能通过广域网上的工作站直接攻击服务器。因此,必须将中心与广域网进行隔离防护。考虑到效率,数据主要在主干交换机上流通,通过防火墙流入流出的流量不会超过百兆,因此使用百兆防火墙就完全可以满足要求。
如下图,我们在中心机房的DMZ服务区上安装两台互为冗余备份的海信FW3010PF-4000百兆防火墙,DMZ口通过交换机与DNS/MAIL服务器连接。同时,安装一台Fw3010PF-5000千兆防火墙,将安全与备份中心与其他区域逻辑隔离开来通过安装防火墙,实现下列的安全目标:
1)利用防火墙将内部网络、Internet外部网络、DMZ服务区、安全监控与备份中心进行有效隔离,避免与外部网络直接通信;
2)利用防火墙建立网络各终端和服务器的安全保护措施,保证系统安全;
3)利用防火墙对来自外网的服务请求进行控制,使非法访问在到达主机前被拒绝;
4)利用防火墙使用IP与MAC地址绑定功能,加强终端用户的访问认证,同时在不影响用户正常访问的基础上将用户的访问权限控制在最低限度内;
5)利用防火墙全面监视对服务器的访问,及时发现和阻止非法操作;
6)利用防火墙及服务器上的审计记录,形成一个完善的审计体系,建立第二条防线;
7)根据需要设置流量控制规则,实现网络流量控制,并设置基于时间段的访问控制。
1、3入侵检测系统技术方案
如下图所示,我们建议在局域网中心交换机安装一台海信眼镜蛇入侵检测系统千兆探测器,DMZ区交换机上安装一台海信眼镜蛇入侵检测系统百兆探测器,用以实时检测局域网用户和外网用户对主机的访问,在安全监控与备份中心安装一台海信眼镜蛇入侵检测系统百兆探测器和海信眼镜蛇入侵检测系统控制台,由系统控制台进行统一的管理(统一事件库升级、统一安全防护策略、统一上报日志生成报表)。
其中,海信眼镜蛇网络入侵检测系统还可以与海信FW3010PF防火墙进行联动,一旦发现由外部发起的攻击行为,将向防火墙发送通知报文,由防火墙来阻断连接,实现动态的安全防护体系。海信眼镜蛇入侵检测系统可以联动的防火墙有:海信FW3010PF防火墙,支持OPSEC协议的防火墙。
通过使用入侵检测系统,我们可以做到:
1)对网络边界点的数据进行检测,防止黑客的入侵;2)对服务器的数据流量进行检测,防止入侵者的蓄意破坏和篡改;3)监视内部用户和系统的运行状况,查找非法用户和合法用户的越权操作;4)对用户的非正常活动进行统计分析,发现入侵行为的规律;5)实时对检测到的入侵行为进行报警、阻断,能够与防火墙/系统联动;6)对关键正常事件及异常行为记录日志,进行审计跟踪管理。
通过使用海信眼镜蛇入侵检测系统可以容易的完成对以下的攻击识别:网络信息收集、网络服务缺陷攻击、Dos&Ddos攻击、缓冲区溢出攻击、Web攻击、后门攻击等。
网络给某市政府带来巨大便利的同时,也带来了许多挑战,其中安全问题尤为突出。加上一些人缺乏安全控制机制和对网络安全政策及防护意识的认识不足,这些风险会日益加重。引起这些风险的原因有多种,其中网络系统结构和系统的应用等因素尤为重要。主要涉及物理安全、链路安全、网络安全、系统安全、应用安全及管理安全等方面。通过以上方案的设计和实施,所有安全隐患就得到了良好的改善。励志名人名言http://www.qqzf.cn/
【篇四:中小型企业网络设计方案】
本方案采用二层结构:核心层和用户接入层,通过交换机之间的级联组建网络,就可以满足公司的各种办公应用,网络拓扑图如图所示。
中型网络可以配置双WAN口路由器,接入电信或网通两条线路,这样可以加快访问不同线路网络的速度,还可以起到负载均衡的作用。出于上网员工多和公司规模升级性考虑,一般中心交换机应当选择千兆交换机;工作组交换机则选择百兆交换机。另外,为了方便网络的划分和安全,最好选择带有VLAN功能的交换机。
用网线(直连线)连接路由器的LAN口到中心交换机的1口或最未口;用直连线连接中心交换机到工作组交换机的1000Mbps端口。最后,用交叉线连接工作组交换机的100Mbps端口到电脑即可。
电脑数量太大时,就要划分成多个网段,各网段用不同VLAN,通过路由进行通讯。这样才能保证网络整体的稳定性,即使有故障也无法扩散,减少故障损失。
对于位于同一地理区域的多台电脑,也可以按每150台划分一个VLN。由于电脑分别安放在各个层楼中,因此可将每层楼中的电脑划分到一个VLN中。
例如可为上层楼中的电脑分别设置IP地址为:192、168、1、2~192、168、1、254;下层楼中的电脑分别设置IP地址为:192、168、10、2~192、168、10、254、子网掩码均为“255、255、255、0”,网关均指向中心交换机配置的内网口IP地址,如“192、168、0、1”。
本方案不仅适用于组建中型网络,而且在公司扩大经营规模后,也有良好的升级性能——只需要加入二层工作组交换机,连接新添加的电脑即可。此外,该方案还可以应用在各种小型局域网,这时双WAN路由器就不是必须的了,中心交换机就直接连接外网即可本方案不仅适用于组建中型网络,而且在公司扩大经营规模后,也有良好的升级性能——只需要加入二层工作组交换机,连接新添加的电脑即可。此外,该方案还可以应用在各种小型局域网,这时双WAN路由器就不是必须的了,中心交换机就直接连接外网即可
本方案采用二层结构:核心层和用户接入层,通过交换机之间的级联组建网络,就可以满足公司的各种办公应用,网络拓扑图如图所示。
中型网络可以配置双WAN口路由器,接入电信或网通两条线路,这样可以加快访问不同线路网络的速度,还可以起到负载均衡的作用。出于上网员工多和公司规模升级性考虑,一般中心交换机应当选择千兆交换机;工作组交换机则选择百兆交换机。另外,为了方便网络的划分和安全,最好选择带有VLAN功能的交换机。
用网线(直连线)连接路由器的LAN口到中心交换机的1口或最未口;用直连线连接中心交换机到工作组交换机的1000Mbps端口。最后,用交叉线连接工作组交换机的100Mbps端口到电脑即可。
电脑数量太大时,就要划分成多个网段,各网段用不同VLAN,通过路由进行通讯。这样才能保证网络整体的稳定性,即使有故障也无法扩散,减少故障损失。
对于位于同一地理区域的多台电脑,也可以按每150台划分一个VLN。由于电脑分别安放在各个层楼中,因此可将每层楼中的电脑划分到一个VLN中。
例如可为上层楼中的电脑分别设置IP地址为:192、168、1、2~192、168、1、254;下层楼中的电脑分别设置IP地址为:192、168、10、2~192、168、10、254、子网掩码均为“255、255、255、0”,网关均指向中心交换机配置的内网口IP地址,如“192、168、0、1”。
本方案不仅适用于组建中型网络,而且在公司扩大经营规模后,也有良好的升级性能——只需要加入二层工作组交换机,连接新添加的电脑即可。此外,该方案还可以应用在各种小型局域网,这时双WAN路由器就不是必须的了,中心交换机就直接连接外网即可本方案不仅适用于组建中型网络,而且在公司扩大经营规模后,也有良好的升级性能——只需要加入二层工作组交换机,连接新添加的电脑即可。此外,该方案还可以应用在各种小型局域网,这时双WAN路由器就不是必须的了,中心交换机就直接连接外网即可
本文地址:网络设计方案http://www.qqzf.cn/lizhi28306/