某公司局域网安全维护方案

PAPRIKA公司局域网安全维护方案800企业信息化，提出如下的局域网解决方案。1．用户需求分析务部门和经理室〔治理部门。物的统一，更好的效劳于生产经营，获得更高的效益。PAPRIKAWebE-mailFTPftp效劳。资料、信息和效劳的共享。信息沟通和邮件效劳。资源下载。可以满足公司内部员工的移动网络与公司总网通信。网络搭建及安全维护原则网络建设的原则的补充和配套资金到位问题。网络安全维护原则(HOST)与工作站间承受总线结，以增加多用户访问时的牢靠性，保证肯定的传输速率。目前在局域网上应用较为广泛的网络类型是客户机／效劳器(c1ient／Sener)较大。网络安全维护技术的选择信息，这就是以太网所固有的安全隐患。事实上，Internet上很多免费的黑客工具都把以太网侦听作为其最根本的手段。局域网安全当前，保证局域网安全的解决方法有以下几种：网络分段从而防止可能的非法侦听，网络分段可分为物理分段和规律分段两种方式。般的局域网大多承受以交换机为中心、路由器为边界的网络格局，应重点挖掘中心交换机的访问掌握功能和三层交换功能综合应用物理分段与规律分段两种方法，来实现对局域网的安全掌握。例如：普遍使用的 DECMultiSwitch900的入侵检测功能，其实就是一种基于MAC地址的访问掌握，也就是上述的基于数据链路层的物理分段。以交换式集线器代替共享式集线器台机器之间的数据包(称为单播包UnicastPacket)还是会被同一台集线器上的其TELNETTELNET程序本身缺乏加密功能，用户所键入的每一个字符(包括用户名、密码等重要信息)，都将被明文发送，这就给黑客供给了时机。包(BroadcastPacket)和多播包(MulticastPacket)关键信息，要远远少于单播包。VLAN的划分VLAN(虚拟局域网)技术，将以太网通信变为点到点通信，防止大局部基于网络侦听的入侵。VLAN技术主要有三种：基于交换机端口的VLAN、基于节点MACVLANVLAN虽然稍欠敏捷，但MAC地址的VLAN为移动计算供给了可能性，但同时也潜藏着患病MAC欺诈攻击的隐患。而基于协议在集中式网络环境下，我们通常将中心的全部主机系统集中到一个VLAN里，在这个VLAN里不允许有任何用户节点，从而较好地保护敏感的主机资源。VLANVLAN内，互不侵扰。VLAN内部的连接承受交换实现，而VLAN与VLAN之间的连接则承受路由实现。目前，大多数的交换机(DECMultiSwitch900)都支持EIGRPDECnetIS-IS)，也可以用外接的多以太VLAN之间的路由功能。固然，这种状况下，路由转发的效率会有所下降。VLAN交换机，都是以交换技术为核心，它们在这种交换机允许系统治理员将全部或某些交换端口的数据包映射到指定的端口设计中，就选用了Cisco公司的具备SPAN功能的Catalyst系列交换机，既得到Sniffer广域网安全截取和破译。因此，必需实行手段，使得在广域网上发送和接收信息时能够保证：①除了发送方和接收方外，其他人是无法知悉的(隐私性)；②传输过程中不被篡改(真实性)；③发送方能确知接收方不是假冒的(非伪装性)；④发送方不能否认自己的发送行为(不行抵赖性)。为了到达以上安全目的，广域网通常承受以下安全解决方法：加密技术加密型网络安全技术的根本思想是不依靠于网络中数据通道的安全性来实加密技术可以分为三类，即对称型加密、不对称型加密和不行逆加密。其中不行逆加密算法不存在密钥保管和分发问题，适用于分布式网络系统，RSA公司的MD5和美国国CiscoEnableSecretEnablePassword。其中，EnableSecretMD5不行逆加密算法，因而目前尚未觉察破解方法(除非使用字典攻击法)。而EnablePassword则承受了格外脆弱的加密算法(即简洁地将口令与一个常数进展XOR与或运算)，EnablePassword。VPN技术VPN(虚拟专网)技术的核心是承受隧道技术，将企业专网的数据加密封装后，VPNInternet、ATM可能。因此，VPN技术一经推出，便红遍全球。L2TP、IPSec等，都还未形成通用标准。这就使得不同的VPN效劳供给商之间、VPN设备之间的互VPNVPNVPN设备。身份认证技术对于从外部拨号访问总部内部网的用户，由于使用公共网进展数据传输的那次外部网设计中，就选用了Cisco公司的CiscoSecureACSV2.3软件进展RADIUS身份认证。外部网安全Internet的互联及与外部企业用户的互联TCP/IPInternet协议族。Internet技术的迅猛进展。但是，由于在早期网络协议设计上对安全问题的无视，以及Internet客大事频频发生。整性、干扰系统正常运行、利用网络传播病毒、线路窃听等。外部网安全解决方法主要依靠防火墙技术、入侵检测技术和网络防病毒技网络防病毒)相结合的方法。NAI公司最版本的三宿主自适应动态防火墙GauntletActiveFirewall。该防火墙产品集成了GauntletFirewall、CyberCopScanner、CyberCopMonitor、WebShieldforFirewall等套件，将防火墙技术、入侵检测技术与网络防病毒技术融为一体，严密结合，相得益彰，性价比比较高。3．网络总体构造对于已经上了肯定规模，在内部已经有了几个部门的企业，假设全部部门的内部数据局限在子网内传播，然后将各个子网连接在一起形成局域网。在这个方案中，使用了ISDN／Modem，通过拨号连接到互联网中。路由器和器上，作为网关，运行防火墙软件等，进展网络治理和安全防范。PcModem，以在经费允许的状况下，最好使用路由器作为连接广域网的接口。集线器连接。对于比较重要、日常数据比较敏感的部门，例如财务部门，可以考虑使用部门效劳器，存放重要数据，并运行防火墙程序，屏蔽非法的访问，而一般承受交换机替代集线器作为部门的网络节点。ISPInternet路由器〔ROUTER〕Internet路由器〔ROUTER〕防火墙〔firewall〕Server〔FTP〕Server〔〕总交换机子网交换机子网交换机子网交换机子网交换机子网交换机绘图仪打印机打印机CCCCCCCCCC160台160台160台160台160台构造图如下5.网络设备及网络安全设备选型和数量网络连接介质的选择(HUB)间选用无屏蔽双绞线，每段双绞线的长度不得超过100m5On网络适配器〔网卡〕的选择200THUB的选择下肯定空间。交换机和路由器的选择IEEE802.1sIEEE802.1wIEEE802.1xIEEE802.3adIEEE802.3x10BASE-T100BASE-TX10Base-T/100Base-TX。-3COM高弹性和高智能网络需求而推出的一代以太网交换机产品。系统承受华为支持高达96G的堆叠带宽和高密度千兆端口，支持万兆上行。特别适合作为需要高带宽、高性能和高扩展性的中小企业网核心、大型企业网络和园区网的会聚层以及数据中心的效劳器接入设备。 承受交、直流双输入电源模块供电，并可通过更换电源模块供给千兆PoE功能。后面板供给两个固定的堆叠接口和一个扩展模块插槽扩展模块可选配8端口千兆SFP模块、1端口万兆模块或2端口万兆模块。前面板供给24/48个连接器〕及4个SFPCombo接口。连接。1所示Cisco2801Cisco2801DRAM缺省:最大:128MB384MB小型闪存缺省:最大:64MB128MBUSB1.1端口1功耗—沟通，无支持IP150W(511BTU/hr)功耗—沟通，带IP150W(511BTU/hr)接口卡插槽4接口卡插槽42HWIC，WIC，VICVWIC1WIC，VIC，VWIC1VICVWIC支持—仅限系统功耗—沟通，带IP180W(612BTU/hr)支持Windows现有学问的价值，选用Windows2023Server6下面通过从光盘启动计算机安装一个全的Windows2023Server。启动安框，用于设置系统相关的重要信息。1：为Windows2023Server选择或创立一个分区用于安装Windows2023Server的磁盘分区，用户可以在磁盘中未分区的可用区然后创立一个的分区。由于安装Windows2023Server的文件需要至少1GB大小应大于最小需求，分区的大小为2-4GB就可以了。之后，选择文件系统。假设用户是升级，则可以使用当前的文件系统；然而，也可以更改为NTFS，它Windows2023文件系统。2：选择区域设置功能设置。还可将Windows2023设置为使用多种语言和地区选项。3：设置个人化软件〔可选。步骤4：选择许可协议方式在“授权模式”对话框，选择客户端的授权模式，可以是“每客户“或“每效劳器“方式。对于的安装，系统要求用户选择客户端的授权模式，假设是升级安装，客户许可协议方式将依据已有设置自动设定。假设用户无法确定授权方5：输入计算机名称15个字符。对于需要更多存储空间的语言，例如中文、日文或韩文，建议不超过7个字符。建议在计算机名中只使用Internet标准的字这些标准字符包括数字0到9、A到Z的大写字母和小写字母以及连字符 (-)。假设网络上使用了MicrosoftDNS效劳，那么还可以使用范围更广的字符，包括Unicode字符和其他非标准字符，例如&符等。使用非标准字符可能会影响与网络上的非Microsoft软件的互操作性。计算机名的最大长度为63字节。假设名称超过15个字节〔大多数语言是15个字符，有些语言是7个字符，安装Windows2023以前的计算机只靠该15个字节的名称，需要额外的配置步骤。操作系统使用的计算机名必需各不一样。6：设置治理员帐户密码在“治理员密码“对话框中，键入最多不超过127个英文字符的密码。为了7〔非强制性小写字母和数字以及其他字符〔例如*、?或$〕的混合形式。在“确认密码“对话框，再次键入密码。由于治理员帐户在Windows2023中的特别性，出于对系统安全性的考虑，AdministratorAdministrator帐户。出于安全考虑，建议为Administrator帐户指的密码。在安装完成之后，为了获得最好的安全性，要更改Administrator帐户名〔但不能删除它〕并始终为该帐户设置一个安全性高的密码。7：选择Windows2023组件在“Windows2023组件“对话框，选择系统运行所需组件。对于TCP/IP网DHCP、DNSWINS。要选取这些组件，可在安装过然后选择所需的一个或多个组件。假设在完成安装后，确定还需要其他组件，可以在以后添加这些必要的组“添加/Windows组件“。8：设置日期和时间动调整夏时制，请选中“依据夏时制自动调整时钟“复选框9：指定工作组名或域名作组名或域名。在安装向导完成Windows2023Server的安装后，计算机重启动。至此用户已经完成了Windows2023Server的根本安装。下面进一步配置Windows2023Server。面介绍以下“配置效劳器“所供给的配置选项的具体信息。限，还可以帮助维护系统的安全性、跟踪用户信息。文件系统：设置和治理共享文件夹及其他共享网络资源。打印效劳器：设置和治理打印机、打印机队列以及其他与打印相关的元素。Web/MediaInternet或企业内部网中的Web站点、多Windows2023Server内安装相应的组件。DNSDHCP支持，也包括终端效劳。Kit终端效劳器、证书授权及在“根本安装“过程中未安装的组件。网络防火墙的安装企业网络安全问题日益突显，因此防火墙的选择格外重要。设置过程：翻开网络连接文件夹或找到网络连接的图标.“connectiontotheInternetyouwanttoshare〔共享Internet〕“然后再右键点击“Properties〔属性〕“选择“Advanced〔高级〕“任务条。选择“ProtectmycomputerandnetworkbylimitingorpreventingaccesstothiscomputerfromtheInternet〔利用这个计算机限制从Internet进入的问并保护我的计算机和网络〕在其下面有一个Internet连接防火墙的检查框，鼠标点击选定。点击OK.完毕操作E—mail其他设置防火墙的设置：步骤：第一步：添加设备： 两个路由器，两个交换机，四台PC机其次步：如上图建立连接第三步：分别为设备设置IP地址，网关，子网掩码PCA设置如下：Root 登录用户名Linux 登录口令Ifconfigeth0netmask 设置IP地址和子网掩码Routeadddefaultgw0 设置网关PCB设置如下：Root 登录用户名Linux 登录口令Ifconfigeth0netmask 设置IP地址和子网掩码Routeadddefaultgw0 设置网关PCC设置如下：Root 登录用户名Linux 登录口令Ifconfigeth0netmask 设置IP地址和子网掩码Routeadddefaultgw0 设置网关RouterA设置如下：router>enable ；进入特权模式router#configterminal ；进入全局配置模式router(config)#intf0/0 ；进入f0/0接口router(config-if)#ipaddress0 ；设置IP地址和子网掩码router(config-if)#noshutdown ；起动接口router#exit ；返回命令router(config)#ints0/0 ；进入s0/0接口router(config-if)#ipaddressrouter(config-if)#noshutdownrouter(config-if)#clockrate64000router#exitRouterB设置如下：router>enablerouter#configterminalrouter(config)#intf0/0router(config-if)#ipaddress0router(config-if)#noshutdownrouter#exitrouter(config)#ints0/0router(config-if)#ipaddressrouter(config-if)#noshutdownrouter(config-if)#clockrate64000router#exit第四步：为路有器设置路由表RouterA设置路由表router(config)#iproutingrouter(config)#routerriprouter(config-router)#networkrouter(config-router)#networkRouterB设置路由表router(config)#iproutingrouter(config)#routerriprouter(config-router)#networkrouter(config-router)#network

；设置IP地址和子网掩码；起动接口；设置时钟；返回命令；进入特权模式；进入全局配置模式；进入f0/0接口；设置IP地址和子网掩码；起动接口；返回命令；进入s0/0接口；设置IP地址和子网掩码；起动接口；设置时钟；返回命令；启动路由；启动RIP路由协议。；启动路由；启动RIP路由协议。此时可用Ping命令测试PCA,PCB与PCC是通的第五步：为路有器设置访问掌握列表，即防火墙的软件设置router(config)#access-list1deny 制止PCArouter(config)#access-list1permitanyrouter(config)#interfacef0/0 ；default:denyanyrouter(config-if)#ipaccess-group1in ；default:out此时可用Ping命令测试PCA与PCC是不通的，PCB与PCC是通的FTPFTP是一种客户/效劳器构造，因此，它既需要运行于用户计算机上的客户机软件，又需要运行于宿主〔效劳器〕计算机上的效劳器软件。用户启动FTPFTPFTP2FTPCerberusFTPServersFTP6综合布线根本概念综合布线是对传统布线方式的彻底变革，经过统一的规划设计，它将全部话音、数据、视频信号与掌握设备的配线等综合在一套标准的配线系统中息的传输，支持多种传输介质，支持多用户多类型产品的应用。此外，通信设备替换、移动和扩大极为简洁、便利。EIA/TIA568系统的安装比建筑落成后实施要大大节约人力物力财力。这个标准确定了各种EIA/TIA-568A办公环