网络安全策略

本文格式为Word版，下载可任意编辑——[网络安全策略校园局域网安好策略防火墙篇工程名称：

校园局域网安好策略防火墙篇专业班级：

姓名学号指导老师目次1引言32关键词解释53企业现有网络布局74用户现有需求及总体架构设计94.1网络拓扑布局94.2网络系统组成94.3安好策略105.效果135.1服务器系统安好135.2网络防病毒系统135.3网络安好设备选型与配置136资金预算：1513引言1引言随着办公自动化的需要，校园使用的计算机数目越来越多，并且，一些办公设备如打印机、传真机和扫描仪等也是用户所务必使用的。面对这种处境，最好的解决的手段是组建一个校园局域网，共享这些资源。局域网（LAN）是指在小范围内由服务器和多台电脑组成的工作组互联网络。由于通过交换机和服务器连接网内每一台电脑，因此局域网内信息的传输速率对比高，同时局域网采用的技术对比简朴，安好措施较少，同样也给病毒传播供给了有效的通道和数据信息的安好埋下了隐患。局域网的网络安好要挟通常有以下几类：

（1）坑骗性的软件使数据安好性降低；

（2）计算机病毒及恶意代码的要挟；

（3）服务器区域没有举行独立防护；

（4）IP地址冲突；

（5）局域网用户安好意识不强；

正是由于局域网内应用上这些独特的特点，造成局域网内的病毒快速传递，数据安好性低，网内电脑相互感染，病毒屡杀不尽，数据经常损失。随着Internet、网络信息技术的急速进展及各种应用的日益普及，各单位计算机局域网已成为重要的根基设施，但随之而来的网络安好问题也显得尤为重要。凡事“有利必有一弊”，人们在得益于信息所带来的新的巨大机遇的同时，也不得不面对信息安好问题的严峻考验。“黑客攻击”网站被“黑”，“CIH病毒”无时无刻不充塞在网络中。“电子战”已成为国与国之间，商家与商家之间的一种重要的攻击与防卫手段。因此信息安好，网络安好的问题已经引起各国，各部门，各行各业以及每个计算机用户的充分重视。就目前而言，对于局部网络的养护，防火墙依旧不失为一种有效的手段。

防火墙是一种分外有效的网络安好模型。主要用来养护安好网络免受来自担心全网络的入侵，譬如安好网络可能是企业的内部网络，担心全网络是因特网。但防火墙不只是用于因特网，也用于Internet中的部门网络之间。在规律上，防火墙是过滤器限制器和分析器；

在物理上，防火墙的实现有多种方式。通常，防火墙是一组硬件设备－路由器，关键词解释2关键词解释2.1RIP(RouteInformationProtocol)；

2.2PAT(PortAddressTranslation)；

2.3PIX(PrivateInternetExchange)；

2.4NAT(NetworkAddressTranslation)；

企业现有网络布局3企业现有网络布局本企业计算机网络是以3Com公司CoreBuilder9000为企业核心层交换机，以3ComCoreBuilder7000HD、CoreBulider3500和CiscoCatalyst4006为各二级单位分布层交换机，以3ComSSII1100/3300和CiscoCatalyst3500为访问层交换机的三层星型网络布局，采用先进的千兆以太网技术，融合历史的ATM网络技术，结合Cisco2511、1601等供给的DDN链路举行远程局域网络连接和移动用户拨号访问，利用Cisco3661的2MDDN串型链路连接Internet。

星型网络布局用户现有需求及总体架构设计4用户现有需求及总体架构设计4.1网络拓扑布局图5.3校园局域网网络拓扑布局图4.2网络系统组成硬件系统是计算机网络的根基。硬件系统中设备的组合形式抉择了计算机网络的类型。

（1）服务器(Unix系统)服务器是一台速度快,存储量大的计算机,它是网络系统的核心设备,负责网络资源管理和用户服务。服务器可分为文件服务器、远程访问服务器、数据库服务器、打印服务器等,是一台专用或多用途的计算机。在互联网中,服务器之间互通信息,相互供给服务,每台服务器的地位是同等的。服务器需要特意的技术人员对其举行管理和维护,以保证整个网络的正常运行。

(2)工作站工作站是具有独立处理才能的计算机,它是用户向服务器申请服务的终端设备。用户可以在工作站上处理日常工作,并随时向服务器索取各种信息及数据,苦求服务器供给各种服务(如传输文件,打印文件等等)。

(3)路由器路由器(Router)是互联网中使用的连接设备。它可以将两个网络连接在一起,组成更大的网络。被连接的网络可以是局域网也可以是互联网,连接后的网络都可以称为互联网。路由器不仅有网桥的全部功能,还具有路径的选择功能。路由器可根据网络上信息拥挤的程度,自动地选择适当的线路传递信息。

(4)交换机交换机的三个主要功能：

学习：以太网交换机了解每一端口相连设备的MAC地址，并将地址同相应的端口映射起来存放在交换机缓存中的MAC地址表中。

转发/过滤：当一个数据帧的目的地址在MAC地址表中有映射时，它被转发到连接目的节点的端口而不是全体端口(如该数据帧为播送/组播帧那么转发至全体端口)。

消释回路：当交换机包括一个冗余回路时，以太网交换机通过生成树协议制止回路的产生，同时允许存在后备路径。

4.3安好策略PIX防火墙能对诸如Web、FTP、Telnet、和SMTP等网络服务分别供给安好策略，使企业网络安好配置具有生动性和高性能。为了有效地在企业网络中使用防火墙，需要规划网络安好策略以养护重要的数据资源，通过建立和提升企业网络安好策略，能防止企业外部网络的非法恶意攻击，操纵企业网络失效的概率。

网络安好策略务必确保用户只能执行被授权的任务和获取被授权的信息，不能具有对关键数据、应用程序和系统操作环境破坏的才能。

为了建立全面的网络安好策略，网络管理员需确定以下作：

（1）出企业网络完全示意图，说明系统连接至Internet细节，服务器细节及相应的IP地址。

（2）识出应被养护的系统，能被外部网络访问的系统等。

PIX防火墙的网络地址转换功能（NAT）能实现这些功能。

（3）识出内部网络的么服务能被外部网络访问，并说明外部用户访问这些服务所需的验证和授权方法、类型。

（4）标识出与防火墙协调工作的路由器。

需要说明的是，PIX防火墙不能防止来自网络内部的恶意攻击，为了防止这些内部要挟，全体的内部网络用户只需调配与其工作相适应的最小权限。

我们以校园计算机网络为例，根据PIX防火墙的功能，说明企业网络安好策略的规划和实施。

根据校园计算机网络Internet访问的系统配置，画出系统示意图：

Internet4Pix525FirewallInside53AAA、DNS服务器1CoreBuilder90009邮件服务器2服务器3XXX网络交换机Outside3、DNS服务器0在此网络中，PIX防火墙安装了两个接口，一个内部接口Inside（53）和一个外部接口Outside（3），Inside接口连接企业内部网络，Outside接口连接外部Internet。Inside接口连接的企业内部网络使用私有IP地址，Outside接口连接的外部的网络连接设备使用Internet合法的IP地址。此网络的Internet的访问使用一台Cisco3600路由器，通过2MDDN数据专线连接至Internet，防火墙外设置的一台服务器主要作为DNS服务，举行Web和电子邮件的域名解析。

根本的Internet访问安好策略是内部网络授权用户可以访问外部Internet，而外部Internet用户不能访问内部网络；

E-mail服务实现内外部网络电子邮件的相互访问，允许外部Internet电子邮件进入内部网络，即内部网络用户只需设置一个邮件账号，即可实现内部网络和外部Internet网络电子邮件的收发；

实现企业信息的对外发布。

根据上述安好策略的要求，内部网络需设置一台使用CiscoACS2.3软件的AAA验证服务器以适合PIX525防火墙实现Internet访问的授权，只有授权用户才能举行相应服务类型的Internet访问。为了实现内部网络用户访问Internet，利用PIX防火墙的网络地址转换（NAT）功能，将内部网络地址转换为外部合法IP地址。为了允许外部网络访问内部E-mail服务资源，利用PIX防火墙的静态地址映射（Static）功能，将外部虚拟邮件服务器地址5和内部网络邮件服务器地址2映射捆绑而实现内外部网络电子邮件的收发。例如，当内部用户向外部网络发送E-mail时，PIX防火墙将2地址转换为5；

当外部用户向内部网络发送E-mail时，PIX防火墙将5地址转换为2，从而实现内外部邮件的收发。为了实现企业信息的对外发布，即可使外部用户访问内部服务器，也可在防火墙外部Outside网络端或Perimeter网络端设置服务器，我们在此选择了在防火墙外部Outside网络端设置了一台服务器用于企业信息的对外发布，此服务器也可举行外部合法IP地址的解析。

通过对网络安好策略的分析，总结概括的实现方法，就可利用防火墙相应的功能举行适当的配置以实现Internet访问的安好。

效果5.效果5.1服务器系统安好服务器系统安好的实现,与网络系统的安好策略精细相关。校园网系统分为内网和外网,采用防火墙隔离,内网、外网不能直接彼此访问。内网、外网之间设置非军事区,全体内网、外网之间的访问全部通过防火墙实现。

根本发上原那么,校内的网络应用系统服务器安好。、E-mail等服务器设置在非军事区,以实现内网和外网的访问。

5.2网络防病毒系统建议安装卡巴斯基®互联网安好套装6.0，该软件功能强大，可反病毒、扫描网络数据流、系统文件养护、主动防卫、反间谍软件。

网络防病毒系统要求做到在整个内部网杜绝病毒的感染、传播和发作；

要求供给多种防病毒软件的安装方式；

网络管理员可远程监控客户机，察觉病毒可以实时得到通知；

网络管理员可以对网络中每台计算机举行防病毒操纵和管理；

全体客户端和服务器具有统一的杀毒版本。该用户选择了瑞星公司的杀毒软件网络版，以此为根基作为网络防病毒解决方案，采用分级管理、多重防护的管理架构。

5.3网络安好设备选型与配置防火墙定义