园区网络系统安全设计方案_第1页
园区网络系统安全设计方案_第2页
园区网络系统安全设计方案_第3页
园区网络系统安全设计方案_第4页
全文预览已结束

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、园区网络系统安全设计方案作者:商伶俐来源:赤峰学院学报自然科学版2012年第3期(安徽农业大学 信息与计算机学院,安徽 合肥230036)摘要:互联网的普及和大型企业园区、校园网络建设的不断发展,对加快信息处理、资源 共享、充分利用资源和提高工作效率都起了不可估量的作用.但随着病毒的泛滥、网络入侵的多 样化、以及黑客的增多,园区网络的安全已成为不容忽视的问题,如何在开放网络环境中保证 网络系统的安全性已经成为当今十分迫切的问题.本文针对园区网络中可能存在的安全风险,提 出了多层次的园区网络安全系统的设计方案.关键词:园区网络;虚拟局域网;访问控制列表;虚拟专用网中图分类号:TP393文献标识码

2、:A文章编号:1673-260X(2012)02-0135-03网络的日新月异,对实现资源共享、加快信息处理、信息资源分配和提高工作效率都在不 同层度起到了不可估量的作用.但是,自互联网问世以来,信息安全与资源共享一直处于相对矛 盾的状态,随着网络资源共享的进一步推广和加强,网络安全问题也日益突出.一个园区网络经 常不可避免地受到恶意软件、病毒、黑客入侵等的安全威胁和攻击,造成数据篡改丢失、网络 瘫痪、系统崩溃等一系列严重后果.因此,如何确保园区网络正常、高效和相对安全地运行是所 有企业园区、高校校园网都面临的问题,保证网络安全问题势在必行.目前主流绝大数网络系统均采用一种分层次的拓扑结构,因

3、此分层次的网络安全防护对园 区网络来说也显得十分必要,即一个完整的园区网络安全设计方案应该覆盖网络的各个层次, 同时必须考虑到安全管理等人为因素.根据当前园区网络的应用现状和网络的结构,本文提出一 个分接入层、汇聚层、核心层、系统应用层和安全管理多个层次的安全设计方案.1接入层安全设计1.1物理层安全物理安全是指保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等自然环境 事故以及人为操作失误或错误导致的破坏过程.物理层安全是保证网络系统安全的前提,在实践 过程中,根据Sage Research的一项研究,可达80%的网络故障都归结于物理层连接.针对网络 物理层存在的各种安全隐患,改善校

4、园网的物理环境,主要需要做如下几项工作:(1)温度控 制,增加湿度控制;完善防雷和防静电措施等保证设备环境良好;(2)对物理层实时监控,监 视所有物理层链接,确保当发生故障时,管理员迅速了解故障位置并恢复故障;(3)保障和完 善主机房电源供应,确保备用电源切换正常;(4)与保安等相关保全部门合作,监控保障通信 线缆安全.1.2使用虚拟局域网实现网络隔离虚拟局域网VLAN (Virtual local area network)是一种将局域网设备从逻辑上划分成多 个网段,从而实现虚拟工作组的数据交换技术.通过VLAN技术,网管可以根据实际应用需求, 把同一个物理实际局域网中的用户从逻辑上划分成多

5、个不同的广播域,这划分出的每个广播域 即VLAN.不同的VLAN是不能相互通信的,若需要通信必需得经过三层路由转发,这样从某种程 度说保证了安全性.同时广播和组播流量也被限定在自己VLAN中,不会转发到其它VLAN中.园区网可以根据网络用途或者不同楼宇和地理位置合理VLAN划分,调整相关网络拓扑,使 学生宿舍区、网络中心、服务器群区、办公区等区域更明确的划分,这更有利于安全策略的实 现和网络管理.例如宿舍楼每一楼层可以单独划到一个VLAN.VLAN间相互通信可在汇聚层通过路 由实现.通过在接入交换机上对VLAN进行配置,这样就完成校园网最基本的局域网的划分,以 保证整个网络的正常运行,同时为防

6、火墙系统、访问控制的部署打下坚实的基础.2汇聚层安全设计2.1采用访问控制技术访问控制列表(Access Control List,ACL)是路由器和交换机接口的指令列表,用来控 制端口进出的数据包.ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等.这张表中包含 了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制.园区 网络的出口安全控制上通常应用ACL,在实施ACL后,园区网络出口安全策略可以得到有效实 现.对于园区网络来说,计算机病毒的危害是巨大的,因为传播速度快,往往来不及控制.例如, 蠕虫病毒、“冲击波”病毒等病毒数据的传播,面临种种病毒威

7、胁,可在分析病毒原理后,在 接入层或汇聚层交换机上配置相关的ACL关闭相关端口如4444、135、139等.2.2进行传输链路备份传输链路的备份是提高网络系统安全性可用性的实用方法.当前的相关流行技术中最为广泛 的为链路聚合(Link Aggregation)技术.链路聚合技术提供了某一条传输线路内部的冗余机制, 几条链路聚合的链路彼此互为冗余备份.链路聚合技术其原理是使两台网络设备间的数条物理链 路从逻辑上合并成一条逻辑上的数据链路.例如将主备交换机之间物理链路Link a、Link b和 Link c聚合成一条聚逻辑链路.这条链路在逻辑上一条完整的链路,对上层服务来说其内部组 成和数据传输

8、都是透明的.聚合链路的内部物理链路同时完成数据收发并且互相备份.只要其中 一条物理链路仍在正常工作,这条聚合的传输链路就不会断路.如Link a与Link b先后断路, 通过它们的数据会立即通过Link c传输,从而确保了两台设备间的通信不会中断.3核心层安全设计防火墙技术防火墙是一种隔离控制的技术,在某个机构网络与不安全网络之间设立一些障碍,阻碍对 信息资源的非法访问,使用防火墙还可以阻止机密信息资源从企业的内部网络中被非法偷取输 出.园区网络为了保护信息系统的安全性,在内部网与互联间安设防火墙软件.企业的信息系统 采用有选择性的接收方法应用于来自互联网的访问.它能够容许或者禁止一类详细的I

9、P地址访 问,还能够接收或者拒绝TCP/IP上某一类具体的应用.若在任意某一台IP主机上有需要一些禁 止的信息资源或危险陌生的用户,则能够通过设置使用防火墙过滤掉从这个主机发送出的包.若 某个企业只是应用互联网的电子邮件和WWW服务器向外部提供信息资源,那就能在防火墙上设 置使只有这两类的应用数据包能够通过.对于路由器来说,这不仅需要分析IP层的信息,而且 还需要进一步认识TCP传输层甚至是应用层信息来进行取舍.VPN的应用VPN-虚拟专用网(Virtual Private Network)是专用网络在公共网络如Internet上的扩 展.VPN通过私有隧道技术在公共网络上仿真一条点到点的专线

10、,从而达到安全的数据传输目的. 虚拟专用网不是真的专用网络,但却能够实现专用网络的功能.虚拟专用网的是依靠ISP (Internet服务提供商)和其它NSP (网络服务提供商),在公用网络中建立专用的数据通信 网络的技术.在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链 路,而是利用某种公众网的资源动态组成的.目前在园区网络建设中可采用两大远程安全接入技 术,IPSec VPN和SSL VPN技术,同时组网来满足内外用户的需求.通过相关技术,可以使用IP 机制仿真出一个私有的广域网,通过私有的隧道技术在公共数据网络上仿真一条点到点的专线 技术.4系统应用层安全设计4.1

11、系统安全设计该层次的安全问题主要来自网络内使用的操作系统的安全,主要表现在三方面,一是操作 系统本身的缺陷带来的不安全因素,主要包括身份认证、访问控制、系统漏洞等;二是对操作 系统的安全配置问题;三是病毒对操作系统的威胁.针于操作系统可能存在的安全问题,需要进行下列工作:(1)安装补丁.没有一个操作系 统是绝对安全的,任何操作系统都会有这样或那样的漏洞(Bug),保障操作系统安全的办法只有 通过不断打补丁才能实现.为了保障Windows系列操作系统的安全,在园区网内安装windows Update自动更新服务网站,保证联网计算机能够及时、快速的安装Windows关键更新及 Service Pa

12、ck,维护系统稳定性以及避免受到网络蠕虫攻击,更新操作系统,修复系统漏洞, 保护计算机安全.(2)关闭多余的服务.操作系统在安装的时候,默认是安装了多种服务程序, 许多服务程序都存在安全漏洞,这些服务程序的运行将增加系统的不安全因素,因此,应该主 动关闭一些不用的服务程序.(3)注意口令安全.在网络环境中,口令是用来确认用户身份,决 定访问权限的重要手段,访问网络设备、操作系统、数据库、应用程序都需要口令.为缺省的系 统账号(例如root、admin、administrator、guest等)设置复杂的口令,尽量不要使用缺省账 号,或给系统的缺省账号改名.为系统的账号和口令文件设置严格的访问权

13、限控制,防止未授权 用户获得口令文件.网络数据备份网络数据备份是指在典型的分层次网络环境下,通过相关数据存储安全管理的软件,硬件 与存储设备相结合,对整个网络的数据进行集中式管理,以实现全自动化的定时备份、类似文 件归档、数据的分级存储和数据灾难性恢复.通过网络数据备份,以保障网络系统正常运行,即 使在网络出现重大故障甚至灾难性毁坏时,还能够使网络恢复到原先的状态保证数据不丢失, 最大程度上降低了损失.网络数据备份可采用双击热备方式.双机热备是一种容错方式,当主服务器不能正常工作时, 备用服务器能够立即取代主服务器的位置完整主服务器正在运行的工作,从而保证重要服务一 直能够高效正常的运作.双机

14、热备的服务器均采用双网卡的配置,使得两台服务器之间链路聚合 建立主备线路.若主服务器不能正常运行,由于备用服务器与主服务器数据相同,应用程序与运 行环境也完全相同,所以备用服务器可以立即进行接管.目前网络的飞速发展,大型企业单位等越来越多的依赖与网络办公系统、网络财务系统等, 的确这些业务信息网络系统为办公提供了极大的方便,使企业的高效运作起到了非常关键性的 作用,这些系统服务器如果一旦发生故障不能正常运行,将给企业带来无可估量的重大经济损 失.由此可见,关键系统的容错性和不间断性尤为重要,而双机热备技术的成熟运用将是系统安 全的首选.5安全管理设计安全管理包括安全管理制度制定与实施、安全设备

15、与技术运用、相关人员的管理等.管理的 制度是否健全,很大程度地影响了整个网络系统的安全与否,安全管理制度的严密执行,部门 安全职责的明确划分,人员角色的合理配置无疑都将在某种程度上降低其整个网络系统的安全 风险.因而明确一个合理的安全管理制度与安全策略显得尤为必要.安全管理方面可从以下几个 方面入手:(1)成立网安全管理小组,小组成员可以由各子网节点、各子系统管理员参加;(2)明确制定安全管理小组的成员在管理上的权利和义务.对于小组中的每一个成员,明确指 定每个人应该对什么事故负什么样的责任,责任落实到人头;(3)明确指定什么人可以管理什 么网络设备(防火墙、路由器、交换机等等),做到专门的产品维护由专人负责;(4)组成一 个快捷有效的应急响应小组,以便在发生攻击事件时在最短时间内提供最有利的支持;(5)定 期组织培训,技能更新,提高安全防范意识.总之,园区网络安全涉及许多方面,是一个综合性的课题,网络安全的需要在技术上要求 适应网络的动态变化,建立自适应

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论