1、文檔屬性： 論文企業網絡安全規劃與改造編制人 ：LLL專業方向： 通信類 單 位 ：LLL日 期 ：LLL目 錄1.摘 要31.1.關鍵詞32.緒論33.正文：34.目前網絡存在的問題34.1 個別員工私接微機，盜用他人IP地址44.2 廣播風暴及網絡病毒造成的網絡擁塞44.3 網管手段不足，不能及時查出有問題的用戶44.4 網絡安全手段不夠，企業網站風險性增大45.解決及實施方案45.1.強化交換機端口管理55.2.劃分VLAN，在各VLAN接口上配置訪問列表65.3.使用系統命令及網管軟件查找問題用戶65.4.使用防火墻保障內部網絡及企業網站安全76.實施時需注意的問題96.1.防火墻的安

2、全策略制定96.2.VLAN劃分的方式97.附件：IP地址規劃108.結論及建議109.參考文獻101. 摘 要21世紀全世界的計算機都將通過Internet聯到一起，信息安全的內涵也就發生了根本的變化。它不僅從一般性的防衛變成了一種非常普通的防范，而且還從一種專門的領域變成了無處不在。當人類步入21世紀這一信息社會、網絡社會的時候，各企業建立起一套完整的網絡安全體系，從內部安全到外部安全的全方位防護成為目前的迫切需要。本文以某企業為例，論述其網絡安全的規劃與改造問題。1.1. 關鍵詞VLAN 、廣播風暴、訪問列表、防火墻2. 緒論針對當前企業網絡安全改造的相關問題進行分析并提供相應的解決方案

3、，文章重點介紹了幾種常用的實施和解決方案以及實施中的注意事項。3. 正文：4. 目前網絡存在的問題某企業人員及業務規模不斷發展壯大，企業現有網絡上的接入設備隨之增多企業網站知名度隨之提高，造成目前網絡故障比較多，網絡性能下降，網絡安全風險日益增大，嚴重影響了企業的日常辦公。目前的問題主要表現在以下幾個方面：4.1 個別員工私接微機，盜用他人IP地址4.2 廣播風暴及網絡病毒造成的網絡擁塞4.3 網管手段不足，不能及時查出有問題的用戶4.4 網絡安全手段不夠，企業網站風險性增大5. 解決及實施方案 目前，企業網絡使用的交換機均為3COM品牌，設備比較陳舊，性能較差，網管手段缺乏，經常引起網絡中斷

4、，因此此次網絡改造首先需將現用交換機更換為CISCO設備，計劃采用CISCO3550作為中心匯聚交換機，CISCO2950作為接入層交換機，NETSCREEN208作為其安全防護產品。 改造后的網絡拓撲圖如下： 對交換機進行以下配置，以最大程度的解決第一章提到的問題：5.1. 強化交換機端口管理為防止員工私接微機，盜用他人IP地址，需加強對交換機的端口管理，交換機端口管理主要包括以下兩個方面：1) 將交換機上未使用端口默認置為關閉狀態，有新接入需求時通過申請由網管人員打開相應端口，不再使用時關閉。2) 在三層交換機3550上將在用用戶的IP地址和arp地址進行綁定，對空閑的IP地址要綁定一個不

5、存在的arp 地址，如，這樣盜用他人IP的用戶將無法通過3550上網，但其在本VLAN局域網中仍可使用，后開機的合法用戶仍將報IP地址沖突而無法使用，這只有通過管理制度來解決。 考慮到在接入層2950交換機上進行端口和mac地址綁定并不能解決VLAN內的IP盜用問題，且配置非常繁瑣，故目前暫不推薦采用，以后在對網絡有更高安全要求時可進行考慮。5.2. 劃分VLAN，在各VLAN接口上配置訪問列表為防止廣播風暴，需通過在交換機上劃分VLAN來隔離廣播風暴，提高網絡性能。此步驟也是進行后續配置的基礎。計劃將交換機端口根據部門職能劃分為企業及部門領導（約20臺微機，VLAN10）、生產部門（約120

6、臺微機，VLAN20）和其他部門（約80臺微機，VLAN30）3個VLAN。VLAN劃分也可進一步細化到各生產小組，不過VLAN劃分的越多，后期的維護工作也就越多，并且對網絡設備的性能要求也就越高。為控制網絡病毒造成的網絡擁塞，需在各VLAN接口上配置訪問列表，封堵病毒傳播端口，實現對常見蠕蟲類網絡病毒(如沖擊波、震蕩波、SQL蠕蟲王等)的隔離控制，常見病毒傳播端口主要包括135/tcp、139/tcp、445/tcp、1025/tcp、5554/tcp、9996/tcp、1023/tcp、1022/tcp、69/udp、 1434/udp等。此方法可在某微機感染病毒時，將病毒的影響范圍限定在

7、本VLAN內，其他VLAN用戶的正常辦公及上網基本不受影響。可有效防止已知蠕蟲類網絡病毒的傳播。通過訪問列表可有效控制已知蠕蟲類網絡病毒的傳播，但蠕蟲類病毒層出不窮，所使用的端口也在不斷變化，這就需要網管人員在日常維護中不斷對新發現的病毒端口進行封堵，不斷更新訪問列表。5.3. 使用系統命令及網管軟件查找問題用戶加強網管手段，及時查出有問題的用戶，通過交換機操作系統中的調試命令并配合CISCOVIEW、SNIFFER、超級網管等軟件，可對某VLAN中可能存在的問題微機進行查找，及時定位問題用戶并督促用戶解決問題。交換機操作系統命令如：show proc cpu 、show interface

8、可查看交換機的cpu占用率及接口流量、單位時間內的數據包數，以判斷接口所連設備是否異常。CISCOVIEW是CISCO企業的一個小型網管軟件，可以圖形化方式實現對交換機端口的流量查看、打開及關閉操作等功能，相對于使用字符命令更直觀、方便，但不如字符命令功能強大，計劃在企業網絡中布署一套該軟件以實現更方便的網絡管理。5.4. 使用防火墻保障內部網絡及企業網站安全作為內部網絡與外部公共網絡之間的第一道屏障,防火墻是最先受到人們重視的網絡安全產品之一。雖然從理論上看,防火墻處于網絡安全的最底層,負責網絡間的安全認證與傳輸,但隨著網絡安全技術的整體發展和網絡應用的不斷變化,現代防火墻技術已經逐步走向網

9、絡層之外的其他安全層次,不僅要完成傳統防火墻的過濾任務,同時還能為各種網絡應用提供相應的安全服務。另外還有多種防火墻產品正朝著數據安全與用戶認證、防止病毒與黑客侵入等方向發展。 根據防火墻所采用的技術不同,我們可以將它分為四種基本類型:包過濾型、網絡地址轉換NAT、代理型和監測型。 包過濾型包過濾型產品是防火墻的初級產品,其技術依據是網絡中的分包傳輸技術。網絡上的數據都是以“包”為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址、目標地址、TCP/UDP源端口和目標端口等。防火墻通過讀取數據包中的地址信息來判斷這些“包”是否來自可信任的安全站點

10、,一旦發現來自危險站點的數據包,防火墻便會將這些數據拒之門外。系統管理員也可以根據實際情況靈活制訂判斷規則。包過濾技術的優點是簡單實用,實現成本較低,在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全。但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基于網絡層的安全技術,只能根據數據包的來源、目標和端口等網絡信息進行判斷,無法識別基于應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經驗的黑客很容易偽造IP地址,騙過包過濾型防火墻。 網絡地址轉化NAT網絡地址轉換是一種用于把IP地址轉換成臨時的、外部的、注冊的IP地址標準。它允許具有私有IP地址的內部網

11、絡訪問因特網。它還意味著用戶不許要為其網絡中每一臺機器取得注冊的IP地址。 代理型代理型防火墻也可以被稱為代理服務器,它的安全性要高于包過濾型產品,并已經開始向應用層發展。代理服務器位于客戶機與服務器之間,完全阻擋了二者間的數據交流。 監測型監測型防火墻是新一代的產品,這一技術實際已經超越了最初的防火墻定義。監測型防火墻能夠對各層的數據進行主動的、實時的監測,在對這些數據加以分析的基礎上,監測型防火墻能夠有效地判斷出各層中的非法侵入。 本企業擬選用NETSCREEN208防火墻作為其安全防護產品，該防火墻集成了包過濾、網絡地址轉換NAT、基本網絡監測功能,多種技術的混合應用顯然比單獨使用具有更

12、大的優勢。由于這種產品是基于應用的,應用網關能提供對協議的過濾。例如,它可以過濾掉FTP連接中的PUT命令,并能夠有效地避免內部網絡的信息外泄。企業網站安全性防護方面通過NAT方式對公網隱藏內部服務器的真實IP地址，對需對外提供服務的服務器，只開放相應的端口，同時配置NETSCREEN208的段落攻擊保護之TCP 重組、殘缺性數據包保護、深度檢察防火墻、協議異常檢測、安全的協議簽名，阻截常見的拒絕服務（DoS）攻擊等功能，使企業網站具有較高的安全性。6. 實施時需注意的問題6.1. 防火墻的安全策略制定NetScreen208的缺省行為是拒絕安全區段間的所有信息流，允許綁定到同一區段的接口間的

13、所有信息流( 區段內部信息流)。為了允許選定的區段間信息流通過NetScreen 設備，必須創建覆蓋缺省行為的區段間策略。 NetScreen防火墻的安全策略分為三類：區段間策略：管理允許從一個安全區到另一個安全區的信息流的種類。區段內部策略：控制允許通過綁定到同一區段的接口間的信息流的類型。全局策略：管理地址間的信息流，而不考慮它們的安全區。策略必須包含下列元素: ID (自動生成的，但可能是CLI 中用戶定義的) 區段(源區段和目的區段) 地址(源地址和目的地址) 服務 動作(permit、deny、tunnel)策略還包括如時間、流量等許多可選項。企業需根據網絡需求制定嚴密而又便于使用的

14、安全策略。6.2. VLAN劃分的方式 VLAN劃分可根據部門職能或地理位置兩種方式進行，按地理位置劃分雖維護方便但使用不便，員工所屬VLAN結構不清晰，故建議采用根據部門職能來劃分VLAN方式。7. 附件：IP地址規劃本IP地址規劃暫按172.16段IP進行制訂：部門領導VLAN(VLAN10)：IP:-254 掩碼： 網關：生產部門VLAN(VLAN20)：IP:-254 掩碼： 網關：其他部門VLAN(VLAN30)：IP:-254 掩碼： 網關：管理VLAN(VLAN1)：掩碼：3550上連地址：掩碼：其中，因做IP和arp綁定要求所有空閑IP也須綁定一虛arp地址，故在3550交換機上設置網關時將VLAN10掩碼設置為：，VLAN30掩碼設置為：，以減少空閑IP。而