构建企业网络安全方案

构建企业网络安全方案——设备安全、VPN、QOS、服务器李燕子摘要：互联网给我们带来了极大的便利。但是，随着互联网的空前发展以及互联网技术的普及，使我们面临另外提个困境：私人数据、重要的企业资源以及政府机密等信息被暴露在公共网络空间之下，伴随而来的网络安全问题越来越引起人们的关注。计算机系统一旦遭受破坏，将给使用单位造成重大经济损失，并严重影响正常工作的顺利开展。加强企业网络安全工作，是一些企业建设工作的重要工作内容之一。本文主要分析了企业的网络结构和一些基本的安全情况，包括系统安全的需求分析、概要设计，详细设计分析等，重点针对企业网络中出现的网络安全问题，作了个简单介绍。对有关安全问题方面模块的划分，解决的方案与具体实现等部分关键词：拓扑物理安全VPN技术QOS技术容灾备份服务器安全.引言随着互联网的空前发展以及互联网技术的不断普及，企业的重要数据信息都被暴露在公共网络空间下，很容易丢失或者被一些不法人士获取。由于黑客的攻击、病毒的入侵、以及人为操作的不当等，都有可能威胁到重要信息数据，这些危害也越来越受到人们的重视。因此，根据企业的实际情况建立一套切实可行的安全网络方案来改善这个情况，使企业的数据机密信息得以保护，并且可以保证企业的网络顺畅的工作，有助于公司的长远发展。目录摘要...................................................................11.引言...............................................................11.1本课题的研究意义..................................................21.2本论文的目的、内容................................................22.企业网络现状及设计目标（需求分析）..................................22.1概述..............................................................22.2实际网络的特点及目前企业网络优缺点分析............................42.3设计目标..........................................................43.要解决的几个关键问题................................................53.1研究设计中要解决的问题............................................53.2针对现在网络中出现的网络安全问题，本课题所作的改善设计............54.系统设计关键技术....................................................64.1.目标具体实现中采用的关键技术及分析................................64.2设计实现的策略和途径描述..........................................84.3设计模型及系统结构（新的拓扑图）..................................95.系统实现技术........................................................9概述..................................................................95.1物理设备安全......................................................95.2VPN技术.........................................................115.3访问控制列表与QOS技术...........................................145.4服务器的安全.....................................................1421.1本课题的研究意义本课题的研究意义在于研究企业网络的安全解决方案以及实际的应用方法，是整个企业网络安全设计的指南，是为公司做出一套正确有效的网络安全方案的重点。本需求的阅读者是公司企业网络管理方面的决策人，操作应用人员。1.2本论文的目的、内容本论文的目的是为企业提出一个有效的网络安全方案，使企业的网络上的安全威胁降到最低。从企业的设备配置安全、系统软件的安全、以及放火墙与入侵检测等来保证企业的网络安全。2.企业网络现状及设计目标（需求分析）2.1概述中国国内目前的企业需要的网络安全产品不仅仅是简单的安装，更重要的是要有针对复杂网络应用的一体化解决方案，如：网络安全、病毒检测、网站过滤等等。其着眼点在于：国内外领先的厂商产品；具备处理突发事件的能力；能够实时监控并易于管理；提供安全策略配置定制；是用户能够很容易地完善自身安全体系。然而，有网络的地方就有安全的问题。过去的网络大多是封闭式的，因而比较容易确保其安全性，简单的安全性设备就足以承担其任务。然而，当今的网络已经发生了变化，确保网络的安全性和可用性已经成为更加复杂而且必需的任务。用户每一次连接到网络上，原有的安全状况就会发生变化。所以，很多企业频繁地成为网络犯罪的牺牲品。因为当今网络业务的复杂性，依靠早期的简单安全设备已经对这些安全问题无能为力了。网络攻击在迅速地增多：网络攻击通常利用网络某些内在特点，进行非授权的访问、窃取密码、拒绝服务等等。考虑到业务的损失和生产效率的下降，以及排除故障和修复损坏设备所导致的额外开支等方面，对网络安全的破坏可能是毁灭性的。此外，严重的网络安全问题还可能导致企业的公众形象的破坏、法律上的责任乃至客户信心的丧失，并进而造成的成本损失将是无法估量的。2.1.1项目概述：（1）待改企业描述本文的企业为一个早期玩具制造和销售企业，希望能具有竞争力并提高生产效率，这就必须对市场需求作出及时有力的响应，从而引发了依赖互联网来获取、共享信息的趋势，这样才能进一步提高生产效率进而推动未来增长。本方案旨在使公司的网络更安全，以保证企业安全和减少安全问题带来的损失。3可以快速的对网络攻击做出反应。（2）功能此方案可让企业保证硬件设备减少安全隐患，公司重要信息不被人获取，应对突发的安全情况能力大大加强。（3）用户特点本方案的对象是企业的职工、网络管理人员、技术处工作人员、公司领导、信息中心系统管理人员和维护人员。（4）一般约束这是一个针对企业网络各方面进行调整的方案，不可避免要受于布线地理位置和系统安装的兼容性的限制。（5）假设依据本方案具有较高的可靠性和安全保密性。网络性能稳定，不出差错。在具体实施方面，应该由企业网络相关专业人员进行管理，本方案只负责具体的实施方法建议。应对用户定义不同的使用权限，技术处负责大部分管理。不能由其他人进行查看更改。2.1.2性能需求为了保证系统能够长期、安全、稳定、可靠、高效的运行，企业网络安全方案应该满足以下需求：（1）系统处理的全面性和及时性方案的全面性和处理事件的及时性是必要的性能。从各个方面考虑到可能受到的网络攻击，做好全方面的补救和抵御措施。且在发生突发情况下能及时的补救，保证企业网络的正常运行。（2）系统方案的可扩充性在方案的设计过程中，应该充分考虑系统的可扩充性，为以后企业的发展，网络设备的扩充，提供良好条件。（3）系统的易用性和易维护性在完成这套方案之后，只需要技术人员在硬件上做好管理措施、系统上及时更新升级，以及做好备份工作。（4）方案的标准性方案在设计过程中，要涉及很多计算机硬件、软件。所有这些都要符合主流国际、国家和行业标准。列如要用到的操作系统、网络设备以及软件、技术都要符合通用的标准。42.2实际网络的特点及目前企业网络优缺点分析图2-1公司的原拓扑图如图，上图为一玩具企业的大概网络拓扑图，经过分析，公司网络主要分为4个部分，一部分为工厂生产网络，一部分是负责销售、网站维护和构想玩具工作等的写字楼办公网络，另两部分为领导决策的主网络以及公司的服务器群。其优点是结构简单灵活可靠性高，共享性强,适合于一点发送、多点接收的场合，容易扩展网络，使用的电缆少，且安装容易。缺点是安全行不高，维护不方便，分支节点出现故障会影响整个网络。其网络的交换机路由器已经经过一部分设置与设备NAT技术，使公司内部合理通信访问，工厂办公地点不能上网，员工办公阶段时间性的上网，领导办公没有限制。这都有效提高了公司的工作质量与安全性，我们在这基础上，再设置一些安全措施，设计出一套完整的安全解决方案。2.3设计目标根据实际情况，全方面的找出并解决企业存在的各方面安全问题，从网络的硬件设备的安全以及配置、系统防御软件检测防御、流量控制优先级（QOS技术）、以及数据的加密传输、签名认证和远程专用网络，以及合理应用内外防火墙，达到最大限度保证企业信息的安全，以及网络的通信顺畅。注：NAT技术NAT英文全称是“NetworkAddressTranslation”，中文意思是“网络地址转换”，它是一个IETF(InternetEngineeringTaskForce,Internet工程任务组)标准，允许一个整体机构以一个公用IP（InternetProtocol）地址出现在Internet上。顾名思义，它是一种把内部私有网络地址（IP地址）翻译成合法网络IP地址的技术。简单的说，NAT就是在局域网内部网络中使用内部地址，而当内部节点要与外部网5络进行通讯时，就在网关（可以理解为出口，打个比方就像院子的门一样）处，将内部地址替换成公用地址，从而在外部公网（internet）上正常使用，虽然地址转换技术设计的目的是为了节省IP地址，但是客观上，这种技术对网络外部隐藏了一个网络内部的地址结构，加大了内网的安全。QOS技术QoS的英文全称为QualityofService，中文名为服务质量。QoS是网络的一种安全机制,是用来解决网络延迟和阻塞等问题的一种技术。用于衡量使用一个服务的满意程度。QoS不是创造带宽，而是管理带宽，因此它能应用得更为广泛，能满足更多的应用需求。QoS的目标是要提供一些可预测性的质量级别，以及控制超过目前IP网络最大服务能力的服务3.要解决的几个关键问题3.1研究设计中要解决的问题3.1.1设备、服务器、流量控制（1）从拓扑图上可知，类似总线型的网络拓扑结构，存在着明显的安全问题，如果其中一台交换机设备出现故障，将严重影响网络的正常运行，这是很大的安全隐患。（2）保证物理设备的安全，也没有针对一些突发情况的保护措施，以保证网络的随时通畅，容灾备份（3）外部访问企业内部网络，共享资源，没有一个好的安全保护措施。（4）QOS流量服务控制，保证网络通顺（5）服务器的安全非常重要3.1.2应用系统软件系统的安全存在问题，没有好的软件工具防御外来攻击，列如垃圾病毒邮件的防御。3.1.3防火墙因为本企业对网络安全的不重视，还未安装外部防火墙，不能防御控制外来的攻击。3.2针对现在网络中出现的网络安全问题，本课题所作的改善设计3.2.1改善设计（1）改善其拓扑结构，把各设备协同工作时的隐患降到最低。（2），对物理设备实施保护措施，拥有少量备用和扩充的设备，建立流量控制措施，达到遇到突发情况从容面对，加以保证网络的正常运行。6（3）采用现有的最有效安全的虚拟专用网络（VPN）技术，达到外部访问内部资源时的安全。（4）QOS流量服务和ACL访问控制，保证网络通顺（5）打造服务器安全3.2.2系统软件拥有一些安全的系统和防御、杀毒、筛选检测工具，达到最大限度防御外来攻击。采用身份人证和数据加密，保护邮件安全，再及时更新漏洞补丁随着电子邮件