網絡管理綜合設計負責人******前言XX公司為跨國大型集團公司，該公司擁有若干分部和一個開發中心，并與另外5個企業建立了合作關系，與另外合作企業之間存在數據交換。公司根據業務發展需求，有Web、Mail等服務器和辦公區客戶機。企業分為財務部門，業務部門等多個部門，需要他們之間相互隔離。公司總網絡拓撲圖存在的隱患內部竊密和破壞

非法訪問

完整性破壞

其它網絡的攻擊

網絡自身和管理存在欠缺

病毒侵害

……

由于隱患的存在，就需要科學合理的網絡管理…網絡管理一個合理的網絡架構應該具備：1.保護網絡系統的可用性；2.保護網絡系統服務的連續性；3.防范網絡資源的非法訪問及非授權訪問；4.防范入侵者的惡意攻擊與破壞；5.保護企業信息通過網上傳輸過程中的機密性、完整性；6.防范病毒的侵害；7.能實現網絡的安全管理。公司網絡安全要保障網絡安全，需做到：構建良好的環境確保企業物理設備的安全安裝防火墻體系安裝防病毒服務器加強企業對網絡資源的管理其他一些必要的工作…針對以上要求，進行方案的綜合設計。綜合方案設計1、防火墻實施方案

2、Internet連接與備份方案

3、入侵檢測方案

4、VPN系統

5、防病毒方案

6、其他安全管理7、網絡信息管理策略防火墻實施方案防火墻方案根據網絡整體安全及保證財務部的安全考慮，采用兩臺防火墻，一防火墻對財務部與企業內網進行隔離，另一防火墻對Internet與企業內網之間進行隔離，其中DNS、郵件等對外服務器連接在防火墻的DMZ區與內、外網間進行隔離。防火墻設置原則建立合理有效的安全過濾原則對網絡數據包的協議、端口、源/目的地址、流向進行審核，嚴格控制外網用戶非法訪問；防火墻DMZ區訪問控制，只打開服務必須的HTTP、FTP、SMTP、POP3以及所需的其他服務，防范外部來的拒絕服務攻擊；定期查看防火墻訪問日志；對防火墻的管理員權限嚴格控制。防火墻設置位置拓撲圖Internet連接與備份方案

防火墻經外網交換機接入Internet。此區域當前存在一定的安全隱患：首先，防火墻作為企業接入Internet的出口，占有及其重要的作用，一旦此防火墻出現故障或防火墻與主交換機連接鏈路出現問題，都會造成全臺與Internet失去連接；其次，當前的防火墻無法對進入網絡的病毒進行有效的攔截。為此，新增加一臺防火墻和一臺防病毒過濾網關與核心交換機。防病毒網關可對進入網絡的流量進行有效過濾，使病毒數據包無法進入網絡，提高內網的安全性。防火墻連接只在主核心交換機上，并且采用兩臺防火墻進行熱備配置，分別連接兩臺核心交換機。設備及鏈路都進行了冗余配置，提高了網絡的健壯性。入侵檢測方案在核心交換機監控端口部署CA入侵檢測系統，并在不同網段(本地或遠程)上安裝由中央工作站控制的網絡入侵檢測代理，對網絡入侵進行檢測和響應。入侵檢測系統部署位置拓撲圖VPN系統由于VPN技術利用開放性網絡作為信息傳輸的媒體，通過加密、認證、封裝以及密鑰交換技術在公網上開辟一條隧道，使得合法的用戶可以安全的訪問企業的私有數據，用以代替專線方式，實現移動用戶、遠程LAN的安全連接。所以，安裝部署VPN系統，可以為企業構建虛擬專用網絡提供了一整套安全的解決方案。而且，集中的安全策略管理又可以對整個VPN網絡的安全策略進行集中管理和配置。VPN部署位置拓撲圖防病毒方案企業網絡建立整體防病毒體系，對網絡內的服務器和所有計算機設備采取全面病毒防護。并且需要在網絡中心設置病毒防護管理中心，通過防病毒管理中心將局域網內所有計算機創建在同一防病毒管理域內。通過防病毒管理域的主服務器，對整個域進行防病毒管理，制定統一的防毒策略，設定域掃描作業，安排系統自動查、殺病毒。防病毒方案作用可實現對病毒侵入情況、各系統防毒情況、防毒軟件的工作情況等的集中監控；可實現對所有防毒軟件的集中管理、集中設置、集中維護；可集中反映整個系統內的病毒入侵情況,設置各種消息通報方式，對病毒的爆發進行報警；可集中獲得防毒系統的日志信息；管理人員可方便地對系統情