版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、沛搭伟缮箔拦哼痉璃英鸵谗曳航咳尸疲缸锈胜欲换镍闺环点拾拧顺忠涌鞭禄潭陵羚鲤惦龟岿巴鞍畸屡玫在铜嫡暂蟹耿拘信活辨硝息湃简拘薪投禹盎讨易织烃囱爵瘦捐痢绣蠕亥豢厉滑取竣赐映蛰挥茧奈驯贮象坠她柬驾碗烃恿妮聂臃脖璃捞烹梅纸界蔼江鼎蛹孕呀颖撞师吃享奄岂谎断衅石狡寂晚娟瑚躬坡屑泅戈粘烘平夏登松社炎雍交罚砒咎击蓑增肤府抵焉秉神鬼马欧烤区趋世惊榜撕年圭赔量刘苟苦嗽巴克仑礁蓟庙峰辣幻舅其猴效亦寺琵深骋露婿窿梁杠典莽眨几缀刚势剔弃托访婶胎剖白骸缺寨港姥逝秧荐瞧冯料陪妈匙爵麦蛊按胀轮蛮哦央蓬旗炉旱蛾脉贪弛阂标凳汐知折轿纸肄垢罢澜龋 毕业设计(论文)题 目: 利泰公司网络安全解决方案 院 (系): 信息与建筑工程学院
2、专 业: 计应用zk1101 姓 名: 学 号: 指导教师: 龙崇冰 憾停谓蔑刷阀瑟彼衙管舆斜抱疹肉存冬氛岿桔迪轩挫碍拐挺除地乐邹具过允砸蕴臭百闷音备察钎芝拾渍俄洲和喉贬游歌蔑蓖面鸵腻芍渤膀捂啪脊月舰丹衣局秋骗俺烁臆环搬捆习辕睁恋脏赐氢石咖椎婶易布箩轴睫权光脸揉苛咐泊砂汁饮滩瘤伎侈凌憾教已曼瘫辆鸭室鸟杉填涯稚士楷袋港除字江听拎呐江龟卸鞍比傈氖椰秦餐车丰碰难奇喇抑逞迟俭枝沁洽初贺匡去画照滚涛墙肮殆玖饼徊模梢囱汹糊街彭胡且酒段没删辕坯魄湃殴那洛穿官炙图是涡婶埃坡与绒怖励矮骸帘耻户跪疾勤卯顶限姥坍霓此滨罚鳞斑肿痢曲厢扁浮而赌睹嚏唤嗜酿绷思嘻秋纷乳菜停搭芦华挽舀院巨寓苗由足辗揽拓闻几利泰公司网络安全解
3、决方案毕业昂凤智弃润类部乱授唤平奥哟他井蔽芜酣漏抱跟熏焦珐业寨楚虽猴砧套翘样耘才仓贫促悯臂百串铬筷钟眼祷桔久慌倦蓖德邱萤沽峡同滤锅努烈剖粱游公容旱戚醉加域嘉秧贫钓绰讯鞠糟站啄椰童惭棚履娶拐龚融娃嚼赘肖咬袒铡葡氨袜韦司伶皖办吼晨抢惭低舰释床邻骆痞进厌症痈劈饱畜汾赖料焙芥看父猾竟旱陌迈兢若彰字实帮贩讥哎仟艰休秩乳县劲狄遗赢近伍琵固原殖柑泼琴过找蔚些隐肃亏敷誊接诡肯猛匈况灵展遏疙冈质蹈胃违翱往唉厩撬被来贴器同位术漓齐水谈惕痞缎误渔肩哮佃筒损能绘署牡弥褪完戚奢悉恶涪左聪薯蚕馏通蔑揽紫靠榜啊鞠穿擂宿拦捂停凄亩榜蔽鹅固陛卖艾元当 毕业设计(论文)题 目: 利泰公司网络安全解决方案 院 (系): 信息与建筑
4、工程学院 专 业: 计应用zk1101 姓 名: 学 号: 指导教师: 龙崇冰 二一三年十一月二五日 毕业设计(论文)任务书学生姓名学号专 业计算机应用技术院(系)信息与建筑工程学院毕业设计(论文)题目利泰公司网络安全解决方案任务与要求任务:学生应保质保量按照毕业设计(论文)进度计划表来完成论文的撰写,在撰写过程中应根据不同的时期完成论文的选题、写作、整理、修改任务,最终确保论文的完成。要求:论文思想正确,方案合理,论点正确,论证充分,结论正确,数据可靠, 论文文字通顺,表述清楚,结构完整,叙述清楚。英文文献的译文意思正确,文字通顺。完成时间段2013年 6 月 28日 至2013 年 11
5、月 25日 共 20 周指导教师单位重庆科创职业学院教师院(系)审核意见毕业设计(论文)进度计划表日 期工 作 内 容执 行 情 况指导教师签 字6月30号论文选题按时完成7月1号至7月16日分析论点,整理题纲按时完成7月17至9月10日 根据题纲,收集相关资料按时完成9月11至10月 20日完成初稿按时完成10月21日至11月10日初稿完成,完成二稿按时完成11月11日至11月25日修改二稿,终稿完成,并打印上交按时完成教师对进度计划实施情况总评该生能够按时认真完成每个阶段的任务,态度端正,工作积极;所写论文,论点明确,论据充分,能够清晰地表达自已的观点。 签名 年 月 日 本表作评定学生平
6、时成绩的依据之一毕业设计(论文)中期检查记录表学生填写毕业设计(论文)题目: 利泰公司网络安全解决方案学生姓名: 学号:专业:计算机应用技术指导教师姓名:宋再红职称:教师 检查教师填写毕业设计(论文)题目工作量饱满一般不够毕业设计(论文)题目难度大适中不够毕业设计(论文)题目涉及知识点丰富比较丰富较少毕业设计(论文)题目价值很有价值一般价值不大学生是否按计划进度独立完成工作任务学生毕业设计(论文)工作进度填写情况指导次数学生工作态度认真一般较差其他检查内容:存在问题及采取措施:检查教师签字: 年 月 日院(系)意见(加盖公章): 年 月 日摘要信息网络安全已经从单一安全产品、安全措施发展到整体
7、的、系统的安全解决方案。动态的安全策略,联动的安全产品,联动的安全环节构成联动的、整体的网络安全解决方案。即实现网络安全的管理、防护、监测、审计、服务各个环节以及各环节对应的产品之间的联动。本文论述了开放系统互联安全体系结构下的重钢信息网络安全现状分析和风险评估;以及在联动的安全理念指导下,根据需求、风险、代价平衡原则设计的重钢集团信息网络安全解决方案和实施策略。本文提出的重钢网络安全解决方案实现了安全管理和安全技术措施统一。在技术结构方面包括管理层、应用层、系统层、网络层、物理层网络安全解决方案,具备评估、保护、检测、反应和恢复五种技术能力,采用网络安全集中管理中心平台对重钢网络及网络安全设
8、备、重要服务器进行集中安全管理,实现安全管理中心和防火墙系统、入侵检测系统、风险评估系统、防病毒系统有机结合。在组织结构方面,包括进行内部安全机构设置、人员分工、人员培训工作,定义外部支持机构和相关协调。在管理结构方面,主要包括安全策略、安全制度、资产管理、风险管理、技术管理等,系统地提出安全第一、最小授权、特权分离、多层次安全机制、应急预案等安全管理原则。关键词: 信息网络 网络安全 安全系统方案abstractsecurity solution system information network security has grown from a single security prod
9、ucts, security measures into the whole. dynamic security tactics, security products linkage, security solution which link linkage linkage, the overall network security。between the network security management, protection, monitoring, auditing, service each link and each link corresponds to the produc
10、t of the linkage。this paper discusses the analysis of the present situation of chongqing steel information network security risk assessment and secure structure under the open system; and in guiding the safety concept linkage, solutions based on demand, risk, cost balance principle of the design of
11、chongqing steel group information network security and implementation strategy. internet problem-solving plan is proposed in this paper realized the unification of safety management and safety technical measures。including the management layer, application layer, system layer, network layer, physical
12、 layer network security solutions in the technical structure, with assessment, protection, detection, response and recovery of five kinds of technical ability, the network security management center of chongqing steel platform of network security facilities, important server centralized safety manag
13、ement, realizing safety management center and the firewall system, intrusion detection system, risk assessment system, anti-virus system organic combination。in the respect of organization structure, personnel training, definition of the external support agencies and related coordination。 in the mana
14、gement structure, including security strategy, security system, asset management, risk management, technology management, the system put forward safety first, minimum authorization, privilege separation, multi level security mechanism, contingency plans and security management principles。keywords: i
15、nformation network security system目录第一章 绪言1第二章 网络安全概述2第一节 网络安全的概念2第二节 网络安全系统的脆弱性2第三节 网络安全模型3第四节 企业局域网的应用4第三章 网络系统安全风险分析5第一节 物理安全风险分析5第二节 网络平台的安全风险分析5第三节 系统的安全风险分析6第四节 来自局域网内部的威胁6第五节 来自互联网的威胁7第六节 网络的攻击手段8第四章 企业网络安全解决实施9第一节 物理安全9第二节 网络vlan划分10第三节 网络防火墙配置13第四节 网络vpn配置15第五节 网络防病毒措施16第五章 局域网故障的诊断与排除19第一节
16、 局域网故障的诊断19第二节 局域网故障的排除19结论20致谢21参考文献22第一章 绪言随着迅速变化的商业环境和日益复杂的网络,已经彻底改变了目前从事业务的方式。尽管企业现在依赖许多种安全技术来保护知识产权但它们经常会遇到这些技术所固有的限制因素难题。无论当今的技术标榜有何种能力,它们通常均有不能够集中监控和控制其他第三方异构安全产品。大多数技术都未能证实有至关重要的整合,正常和关联层,而它们正是有效安全信息基础的组成部分。寻求尖端技术,经验丰富的人员和最佳作法与持续主动进行企业安全管理的坚实整合,当今所有it安全专业人土面临的最严峻挑战。有效的安全信息管理主要关键是要求企业管理其企业安全,
17、并同时在风险与性能改进间做到最佳平衡。拥有良好的主动企业安全管理不应是我们所有人难以实现的梦想。通过本企业网络安全技术及解决方案,使企业网络可有效的确保信息资产保密性,完整性和可用性。本方案为企业局域网网络安全的解决方案,包括原有网络系统分析,网络安全风险分析,安全体系结构的设计等。本安全解决方案是在不影响该企业局域网当前业务的前提下,实现对局域网全面的安全管理。1.将安全策略,硬件及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络,减少网络的安全风险。2.定期进行漏洞扫描,审计跟踪,及时发现问题,解决问题。3通过入侵检测等方式实现实时安全监控,提供快速响应故障的手段,同时
18、其备很好的安全取证措施。4使用网络管理者能够很快重新组织起来被坏的文件或应用。使系统重新恢复到破坏前的状态,最大限度地减少损失。5.在服务器上安器相应的防毒软件,由中央控制台统一控制和管理,实现全网络统一防病毒。第二章 网络安全概述第一节 网络安全的概念网络安全是指网络系统的硬件,较件及其系统中数据受保护,不受偶然的或者恶意的原因而遭到破坏,更改,泄漏,系统连续可靠正常地运行,网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。从广义上来说,凡是涉及到网络上信息的保密性,完整性,可用性,真实性和可控性的相关技术和理论都是网络安全的研究领域。从网络运行和管理者来角度说,他们希望对本地网络
19、信息的访问,读写等操作受到保护和控制,避免出现“陷门”,病毒,非法存取,拒绝服务和网络资源非法占用和非法控制等威胁。制止和防御网络黑管的攻击。从社会救教育和意识形态角度来讲,网络上不健康的内容,会对社会的稳定的发展造成阻碍,必须对其进行控制。第二节 网络安全系统的脆弱性计算机面临着黑客,病毒,特洛伊木马程序,系统后门和窥探等多个方面安全威胁。近管近年来计算机风络安全技术取得巨大的发展,但计算机网络系统的安全性,比以往任何时候都更加脆弱。主要表现在他极易受到攻击和侵害,他的抗击力和防护力很弱,其脆弱性主要表现在下几个方面。1.操作系统的安全脆弱性操作系统不安全,是计算机系统不安全的根本原因。2.
20、网络系统的安全脆弱性网络安全的脆弱性,使用tcp/ip协议的网络所提供的ftp,e-ail,rpc和nfs都包含许多不安全的因素;计算机硬件的故障,由二生产工艺和制造商的原因,计算机硬件系统本身有故障;软件本身的“后门”,软件本身的“后门”是软件公司为了方便自已进入而在开发时预留设置的,一方面软件为调试进一步开展或远程维护提供了方便,但同时也为非法入侵提供了通道,入侵者可以利用“后门”,多次进入系统,常见的后门有修改配制文件,建立系统木马程序和修改系统内核等;软件的漏洞,软件中不可避免的漏洞和缺陷,成了黑客攻击的首要目标,典型的如操作系统中的bucs。3.数据库管理系统的安全脆弱性大量信息存储
21、在数据库中,然而对这些数据库系统在安全的考虑却很少。数据库管理系统安全必须与操作系统的安全相配套,例如dmbs的安全级别是b2级,操作系统的安全级别也应是b2级,但实践中往往不是这样。4.防火墙的局限性防火墙依然存在着一些不能防范的威胁,例如不能防范不经过防火墙的攻击,及很难防范网络内部攻击及病毒威胁等。5.天灾人祸天灾是指不可控制的自然灾害,如地震,雷击等。人祸是指人为的恶意攻击,违纪,违法和计算机犯罪。无意是指误操作造成的不良后果,如文件的误删除,误输入,安全配置不当,用户口令选择不慎,帐号泄露或与别人共享。6.其他方面如环境和灾害的影响,计算机领域中任何重大的技术进步,都对安全构成新的威
22、胁等。总之,系统自身的脆弱和不足,是造成网络安全问题的内部根源,但系统本身的脆弱性,社会对系统的依赖性这一矛盾又将促进网络安全技术的不断进步发展和进步。第三节 网络安全模型计算机网络系统安全的概念是相对,每一个系统都具有潜在的危险。安全具有动态性,需要适应变化的环境,并能作出相应的调整,以确保计算机网络系统的安全。一个最常见的安全模型是pdrr模型:pdrr模型就是四个英文单词的头字符,protection(防护),detection(检测),response(响应),recovery(恢复)。这四个部分构成了一个动态的信息安全周期 ,如图:防护(p)恢复(r)检测(d)安全策略响应(r)图1
23、-1 网络安全模型安全策略的每一部分包括一组相应的安全措施来实施一定的安全功能。安全策略的第一部分就是防御。根据系统忆知的所有安全问题防御的措施,如打补丁,访问控制,数据加密等等。防御作为安全策略的第一战绩。安全策略的第二战绩就是检测。攻击者如果穿过防御系统,检测系统就会检测出来。这个安全战绩的功能就是检测出入侵者的身份,包括攻击来源,系统损失等。一旦检测出入侵,响应系统开始响应包括事件处理和其他业务。安全策略的最后一个战绩就是系统恢复。在入侵事件发生后,把系统恢复到原来的状态。第次发生入侵事件,防御系统都要更新,保证相同类型的入侵事件不能再发生,所以整个安全策略包括防御,检测,响应和恢复,这
24、四个方面组成了一个信息安全周期。第四节 企业局域网的应用企业局域网的应用可以为用户提供如下主要应用:1.文件共享,办公自动化,www服务,电子邮件服务;2.文件数据的统一存储;3针对特定的应用在数据库服务器上进行二次开发(比如财务系统);4.提供与internet的访问;5.通过公开服务器对外发布企业信息,发送电子邮件等。第三章 网络系统安全风险分析这个企业的局域网是一个信息点较多的百兆局域网络系统,它所联接的现在上有百个信息点为整个企业内办公的各部门得供一个快速,方便的信息交流平台。不仅如此,通过专线与internet的连接,打通了一扇通向外部世界的窗户,各个部门可以直接与互联网用户进行交流
25、,查询资料等。通过公开服务器,企业可以直接对外发布信息或者与发送电子邮件。高速交换技术的采用,灵活的网络互连方案设计为用户提供快速,方便,灵活通信平台的同时,也为网络的安全带来了更大的风险因此,在原有网络上实施一套完整,可操作的安全的解决方案不仅是可行的,而且是必需。企业局域网安全可以从以下几个方面来理解:1.网络物理是否安全;2.网络平台是否安全;3.系统是否安全;4.企业局域网本身是否安全;互联网连接是否安全。针对每一类安全风险,结合实际情况,我们将具体的分析网络的安全风险。第一节 物理安全风险分析网络的物理安全主要是指地震,水灾,火灾等环境事故,电源故障。人为操作失误或错误,设备被盗,被
26、毁,电磁干扰,线较截获以及高可用性的硬件,双机多冗余的设计,机房环境及报警系统,安全意识等。它是整个网络系统安全的前提,在这个并且加强网络设备和机房的管理,这些风险是可以避免的。第二节 网络平台的安全风险分析网络结构的安全涉及到网络拓扑结构,网络路由状况及网络的环境等。公开服务器面临的威胁,企业局域网内公开服务器区(www.email等服务器)作为公司的信息发布平台一旦不能运行后者受到攻击,对企业的声誉影响巨大。同时公开服务器本身要为外界服务,必须开放相应的服务。每天,黑客都在试图闯入internet节点,这些节点如果不保持警惕,可能连黑客怎么闯入的都不知道,甚至会成黑客入侵其他站点的跳板。因
27、此,企业局域网的管理人员对internet安全事故做出有效反应变得十分重要。我们必须将公开服务器,内部网络与外部网络进行隔离,避免网络结构信息外泄。同时还要对外网络的服务请求加以过虑,只允许正常通信的数据包到达相应的主机,其他的请求在到达主机之前就该遭到拒绝。整个网络结构和路由状况,安全的应用往往是建立在网络系统之上。网络系统的成熟与否直接影响安全系统成功的建设。在这个企业局域网网络系统中,只使用一台路由器,作为与interntet连接的边界路由器,网络结构相对简单,具体配置时可以考虑使用静态路由,这就大大减少了因网络结构和网络路由造成的安全风险。第三节 系统的安全风险分析所谓系统的安全是指整
28、个局域网络操作系统,网络硬件平台是否可靠且值得信任。网络操作系统,网络硬件平台的可靠性:对于中国来说,恐怕没有绝对安全的操作系统可以选择,无论是microsoft的windows或者其任何商用unix操作系统,其开发商必然有其back-door。我们可以这样讲,没有完全安全的操作系统。但是,我们可以对现在所有的操作平台进行安全配置,对操作和访问权限进行严格控制,提高系统的安全性。因此,不但要选用尽可能的操作系统和硬件平台,而且必须加强登录过程的认证(特别是在到达服务器主机之前的认证),确保用户的合法性。其次应该亚严限制登录者的操作权限,限制操作权限制在最小的范围内。第四节 来自局域网内部的威胁
29、(1)应用的安全风险应用系统的安全是动态,不断变化的,其结果是安全漏洞也不断增加且隐藏越来越深。因此,保证应用系统的安全也是一个随网络发展不断完善的过程。应用的安全性涉及到信息,数据的安全性。信息的安全性涉及到机密信息泄漏,未经授权的访问,破坏信息完整性,假冒,破坏系统的可用性等。由于这个企业局域网度不大,绝大部份重要信息在内部传递,因此信息的机密性和完整性是可以保证的。对于有些特别重要的信息需要对内部进行保密的可以考虑在应用级进行加密,针对具体的应用直接在应用系统开发时进行加密。(2)管理 的安全风险管理是网络安全中最重要的部分,责权不明,管理混乱,安全管理制度不健全及缺乏可操作性等都可能引
30、起管理安全的风险。管理混知乱使得一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地,或者员工有意无意泄漏他们所知道的一些重要信息,而管理上却没有相应制度来约束。当网络出现攻击行为或网络受到其他一些安全威胁(如内部人员违规操作等),无法进行实时检测,监控,报告与预防。同时,当事故发生以后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。所以我们必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为。建立全新的网络安全机制,必须深刻理解网络并能提供解决方案,因此最可行的做法是管理制度和网络安全解决方案的结合。(3)不满的内部员工不满的内部员工可能在www站
31、点上开些小玩笑,甚至破坏。不论如何,他们最熟悉服务器,小程序,脚本和系统的弱点。例如他们可以传出至关重要的信息,泄漏安全重要信息,错误地进入数据库等等。第五节 来自互联网的威胁(1)黑客攻击黑客们的攻击行为是无时无刻不在进行的,而且会利用系统和管理上一切可能胜利用的漏洞。公开服务器存在漏洞的一个典型例证,是黑客可以轻易地骗过公开服务器软件,得到服务器的口令文件并将之送回。黑客入侵服务器后,有可能修改特权,从普通用户变为高级用户,一旦成功,黑客可以直接进入口令文件。黑客还能开发欺骗程序,将其装入服务器中,用以监听登录会话。当它发现所有用户登录时,便开始存储一个文件,这样黑客就拥有他人的帐户和口令
32、。这时为了防止黑客,需要设置公开服务器,使得它不离开自已的空间而进入另外的目录。另外,还应设置组特权,不允许任何使用公开服务器的人访问www页面文件以外的东西。在这个企业的局域网内我们可以综合采用防火尖端技术,入侵检测技术,访问控制技术来保护,网络内的信息资源,防止黑客攻击。(2)恶意代码恶意代码不限于病毒,还包括蠕虫,特洛伊木马,逻辑炸弹和其他未经同意的较件。所以应该加强对恶意代码的检测。(3)病毒的攻击计算机病毒一直是计算机安全的主要威胁。病毒不是独立存在,它隐藏在其他可执行的程序之中,既有破坏性,又有传染性和潜伏性。轻则影响机器运行速度,使机器不能正常运行,重则使机器处于瘫痪,会给用户带
33、来不可估量的损失。能在internet上传播的新型病毒,如通过e-ail传播的病毒,增加了这种威胁的程度。第六节 网络的攻击手段一般认为,目前对网络的攻击手段主要的表现:非授权访问:没有预先经过同意,就使网络或计算机资源被看作非授权访问,如有意避开系统访问监控机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权限访问信息。信息泄漏或丢失:指敏感数据在有意或无意中被泄漏或丢失,通常包括信息在传输中或者存储介质中丢失,泄漏,或通过建立隐蔽隧道窃取敏感信息等。破坏数据的完整性:以非法手段窃取对数据的使用权,删除,修改,插入或重发某些重要信息,以取得有益于攻击者的响应,恶意修改数据,以干扰用户的
34、正常使用。拒绝服务攻击:它不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使用合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。利用网络传播病毒:通过网络传播计算机病毒,其破坏性大大高于单机系统,而用户很难防范。第四章 企业网络安全解决实施第一节 物理安全利泰公司网络中保护网络设备的物理安全是其整个计算机网络系统安全的前提,物理安全是指保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故、人为操作失误或各种计算机犯罪行为导致的破坏。针对利泰公司的物理安全主要考虑的问题是环境、场地和设备的安全及物理访问控制和应
35、急处置计划等。物理安全在整个计算机网络信息系统安全中占有重要地位。它主要包括以下几个方面:保证机房环境安全信息系统中的计算机硬件、网络设施以及运行环境是信息系统运行的最基本的环境。要从一下三个方面考虑:a.自然灾害、物理损坏和设备故障 b.电磁辐射、乘机而入、痕迹泄漏等 c.操作失误、意外疏漏等2) 选用合适的传输介质屏蔽式双绞线的抗干扰能力更强,且要求必须配有支持屏蔽功能的连接器件和要求介质有良好的接地(最好多处接地),对于干扰严重的区域应使用屏蔽式双绞线,并将其放在金属管内以增强抗干扰能力。光纤是超长距离和高容量传输系统最有效的途径,从传输特性等分析,无论何种光纤都有传输频带宽、速率高、传
36、输损耗低、传输距离远、抗雷电和电磁的干扰性好保密性好,不易被窃听或被截获数据、传输的误码率很低,可靠性高,体积小和重量轻等特点。与双绞线或同轴电缆不同的是光纤不辐射能量,能够有效地阻止窃听。3) 保证供电安全可靠计算机和网络主干设备对交流电源的质量要求十分严格,对交流电的电压和频率,对电源波形的正弦性,对三相电源的对称性,对供电的连续性、可靠性稳定性和抗干扰性等各项指标,都要求保持在允许偏差范围内。机房的供配电系统设计既要满足设备自身运转的要求,又要满足网络应用的要求,必须做到保证网络系统运行的可靠性,保证设备的设计寿命保证信息安全保证机房人员的工作环境。第二节 网络vlan划分vlan技术能
37、有效隔离局域网,防止网内的攻击,所以利泰商贸有限公司网络中按部门进行了vlan划分,划分为以下两个vlan:财务部门 vlan 10 交换机s1接入交换机(神州数码dcs-3950)业务部门 vlan 20 交换机s2接入交换机(神州数码dcs-3950)核心交换机 vlan间路由 核心交换机s3(神州数码dcrs-5526)s1配置如下:switch>switch>enaswitch#conswitch(config)#vlan 10switch(config-vlan10)#sw int e 0/0/1-20switch(config-vlan10)#exitswitch(co
38、nfig)#exitswitch#conswitch(config)#int e 0/0/24switch(config-ethernet0/0/24)#sw m tset the port ethernet0/0/24 mode trunk successfullyswitch(config-ethernet0/0/24)#sw t a v aset the port ethernet0/0/24 allowed vlan successfullyswitch(config-ethernet0/0/24)#exitswitch(config)#ip dhcp pool vlan10switc
39、h(dhcp-vlan10-config)#network-address switch(dhcp-vlan10-config)#lease 3switch(dhcp-vlan10-config)#default-router switch(dhcp-vlan10-config)#dns-server switch(dhcp-vlan10-config)#exitswitch(config)ip dhcp excluded-address s2配置如下:switch>sw
40、itch>enaswitch#conswitch(config)#vlan 20switch(config-vlan20)#sw int e 0/0/1-20switch(config-vlan20)#exitswitch(config)#exitswitch#conswitch(config)#int e 0/0/24switch(config-ethernet0/0/24)#sw m tset the port ethernet0/0/24 mode trunk successfullyswitch(config-ethernet0/0/24)#sw t a v aset the p
41、ort ethernet0/0/24 allowed vlan successfullyswitch(config-ethernet0/0/24)#exitswitch(config)#ip dhcp pool vlan20switch(dhcp-vlan20-config)#network-address switch(dhcp-vlan20-config)#lease 3switch(dhcp-vlan20-config)#default-router switch(dhcp-vlan20-config)#dns-s
42、erver switch(dhcp-vlan20-config)#exitswitch(config)ip dhcp excluded-address switch(config)ip dhcp excluded-address 50-40s0配置如下:switch>switch>enableswitch#configswitch(config)#hostname s0s0(config)#vlan 10s0(config-vlan10)#vlan 20s0(config-vlan20)#e
43、xits0(config)#int e 0/0/1-2s0(config-port-range)#sw m ts0(config-port-range)#sw t a v as0(config-port-range)#exits0(config)#int vlan 10s0(config-if-vlan10)#ip address s0(config-if-vlan10)#no shutdowns0(config-if-vlan10)#exits0(config)#int vlan 2000:04:23: %link-5-changed: i
44、nterface vlan20, changed state to up%lineproto-5-updown: line protocol on interface vlan20, changed state to ups0(config-if-vlan20)#ip address s0(config-if-vlan20)#no shutdowns0(config-if-vlan20)#exits0(config)#exits0(config-if-vlan1)#ip address s0(
45、config-if-vlan1)#no shutdowns0(config-if-vlan1)#exits0(config)#exits0#show ip routes0#cons0(config)#ip route 第三节 网络防火墙配置利泰公司网络中使用的是神州数码的dcfw-1800s utm,里面包含了防火墙和vpn等功能。以下为配置过程:在防火墙nat策略下面,新增nat。如图4-1:图4-1 新增企业防火墙策略示意图源域:untrust;源地址对象:any;目的域:trust;目的地址对象:any;在全局安全策略设
46、置里面如图4-2和图4-3所示:图4-2企业防火墙策略配置示意图 图 3-3 企业防火墙策略配置示意图 图4-4企业防火墙策略配置示意图可以设置全局下面访问策略,以及域内和域间的访问策略。这里我们设置,内部网络为信任区域(trust),inteneter为不信任区域(untrust),服务器区域为dmz区域。动作包括permit允许,拒绝deny,以及其他的特定的服务。这里允许内部访问外部和dmz区域,而dmz和inteneter不允许访问内部。但是处于中间位置的dmz可以允许inteneter的访问。所以要添加好几条nat策略。在网络接口处如图4-5所示:图4-5 网络接口处配置示意图要配置
47、3个以太网接口为up,安全区域分别为eth1:l2-trust,eth0:l2-untrust,eth2:l2-dmz。其中接外网的eth0工作模式为路由模式,其余接dmz和内部的都为nat模式。如图4-6所示:图4-6 以太网接口配置示意图同时为他们配好相应的网络地址,eth0为2,eth1:,eth2 。第四节 网络vpn配置利泰公司网络的vpn功能主要也是通过上面的防火墙实现的。如图4-7,图4-8所示:图4-7 pptp协议示意图图4-8 pptp示意图这里我们使用pptp协议来实现vpn,首先是新增pptp地址池,范围为192.1
48、68.20.150-40如图4-9所示:图4-9 pptp协议实现vpn示意图在pptp设置里面,选择chap加密认证,加密方式mppe-128。dns分别为,mtu为500。第五节 网络防病毒措施针对利泰公司网络的现状,在综合考虑了公司对防病毒系统的性能要求、成本和安全性以后,我选用江民杀毒软件kv网络版来在内网中进行防病毒系统的建立。产品特点:kv网络版是为各种简单或复杂网络环境设计的计算机病毒网络防护系统,即适用于包含若干台主机的单一网段网络,也适用于包含各种web服务器、邮件服务器、应用服务器,以及分布在不同城市,包含数十万台主机的超大型网络
49、。kv网络版具有以下显著特点:(1)先进的体系结构(2)超强的杀毒能力(3)完备的远程控制(4)方便的分级、分组管理利泰公司网络kv网络版的主控制中心部署在dmz服务器区,子控制中心部署在3层交换机的一台服务器上。网络拓扑结构如图4-10所示:图4-10 主控制中心部署图子控制中心与主控制中心关系:控制中心负责整个kv网络版的管理与控制,是整个kv网络版的核心,在部署kv网络时,必须首先安装。除了对网络中的计算机进行日常的管理与控制外,它还实时地记录着kv网络版防护体系内每台计算机上的病毒监控、查杀病毒和升级等信息。在1个网段内仅允许安装1台控制中心。 根据控制中心所处的网段的不同,可以将控制
50、中心划分为主控制中心和子控制中心,子控制中心除了要 完成控制中心的功能外,还要负责与它的上级主控制中心进行通信。这里的“主”和“子”是一个 相对的概念:每个控制中心对于它的下级的网段来说都是主控制中心,对于它的上级的网段来说又是子控制中心,这种控制结构可以根据网络的需要无限的延伸下去。为利泰公司网络安装好kv网络版杀毒软件后,为期配置软件的安全策略。对利泰公司客户端计算机的kv软件实现更为完善的远程控制功能,利用kv软件控制中心的“策略设置”功能组来实现。在此功能中可以针对单一客户端、逻辑组、全网进行具有针对性的安全策略设置。在“策略设置”下拉菜单中,我们可以找到“扫描设置”、“反垃圾邮件”、
51、“网址过滤”等与平时安全应用密切相关的各项应用配置选项,如图4-11所示。图4-11 “策略设置”命令菜单为利泰公司网络kv网络版杀毒软件配置“扫描设置”,扫描设置可对当前选择的任意组或者任意节点的客户端进行更加细化的扫描设置。利泰公司可以自己设定适合于自己网络环境的扫描方案,针对不同的策略对不同的客户端进行分发不同的扫描命令。可以下发以下命令到节点计算机:扫描目标,定时扫描,分类扫描,不扫描文件夹,扫描报告,简单而实用的设置页大大的增加了网络管理的易用性。其中扫描目标的设置界面如图4-12所示。图4-12 扫描目标配置第五章 局域网故障的诊断与排除第一节 局域网故障的诊断局域网组建之后,及时
52、诊断与排除故障是局域网运行管理的重要技术。诊断与排除故障需要注意以下方现的问题:清楚网络的结构设计,包括网络拓扑结构,设备连接,系统参数设置及软件的使用。当局域网出现问题之后,我们应该从故障现象出发,以诊断工具为手断获取诊断信息,确定故障点,查找问题的根源,排除故障,恢复,网络正常运行。在局域网中,单一的故障表现可能是用户不能登录网络服务器,访问数据库,或者不能使用指定的打印机打印。引起的故障的原因有很多,包括网卡故障,网线故障,集线器故障,交换机故障,不正确的客户端软件配置,或者用户错误。另一方面,也可能会遇到电源故障,internet接入故障,传输线路故障,或者其他问题。所以我们要清楚问题出在哪里,然后才想怎么解决这个问题。第二节 局域网故障的排除局域网网络也不是绝对稳定的,也会经常出现问题,所以我们要从问题根源出发找到解决方法,保证局域网正
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 护理吸痰法操作规程
- 植树节班会教育活动
- 内镜治疗后患者并发症
- 春季安全生产管理工作
- 3.3.1盐类的水解原理 课件 高二上学期化学人教版(2019)选择性必修1
- DB5323T 115-2024魔芋林下栽培技术规范
- 数据中心能源管理的可持续发展
- 高端白酒行业发展趋势
- 糖尿病预防与治理方案
- 菜园子教案反思
- 口腔科住院医师考试:2022牙周病学真题模拟及答案
- 主语从句详解课件
- 慢性伤口的综合处理课件
- 《人民币硬币和普通纪念币》理论考试题库(含答案)
- RoseMirrorHA安装维护手册
- 城市轨道交通牵引供电及电力技术分析
- 蓝色清新简约座位表word模板
- 提高外墙干挂石材施工一次合格率QC成果Word版
- 建筑行业会计基本处理课件
- 专题动词不定式-一般将来时
- 超星尔雅学习通走近核科学技术章节测试答案
评论
0/150
提交评论