网络安全分析案例分析

序言伴随网络时代的发展，目前生活离不开网络，业务往来需要网络、平常生活也需要网络、目前尚有网上购物等等。网络给大家带来了以便快捷的服务，也给商家们带来不少的利益。不过伴随网络面的不停扩大也给人们带来不少的害处，例如：网络欺诈，传播不良信息，网游，严重影响人们的平常生活。网络如同一把“双刃剑”，有利即有弊，不过只要对的的运用网络我相信它会给人们带来很大的好处。目前无论什么地方都遍及在网络中，网络无处不在。目前学校里也都用电脑教学，就连小学生也对电脑了如指掌，也导致了目前小学生沉迷于网络游戏的越爱越多，给家长带来了很大的困扰。作为网络管理部门，应当对网吧进行严格排查，必须持身份证进入网吧，如有未成年人则对网吧管理人员进行惩罚，同步对未成年人进行知识教育，要明白自身的使命同步让他明白网游的危害。我们都懂得数据传播是通过诸多设备的，在这期间可以对其进行某些命令的删减，尚有个网站的搜索以及传播的内容进行查看，以免传播不良信息对未成年人导致危害，同步对带宽进行控制，控制流量。每天规定上网时间，到晚上一定的时间就断网断电，保障学生的睡眠。另一方面，就是网络诈骗尚有某些恶意网页。一部分是学生自身的知识以及某些安全意识，防止上当受骗。另一方面，网络管理员需要用访问控制技术、防火墙技术、漏洞扫描技术、入侵检测技术等，来控制恶意网页传播，以免病毒入侵电脑，导致顾客的数据丢失或者泄密，给顾客的财产安全一定的保障！网络就是一种虚拟的大世界，在这个世界里有形形色色的人，网络管理员相称于警察，传播不良信息的人相称于目前那些违法乱纪的人，不过在这个虚拟世界里还没有成文的“法律”，因而导致了目前的要大家意识到网络安全是多么重要。目录TOC\o"1-1"\u一企业简介 1二网络需求分析 3三网络体系架构 5四网络安全体系架构 5五安全产品选型 6六安全方略制定 12 14 15防火墙设置图 15七产品配置 15八总结 17一企业简介华为技术有限企业是一家生产销售通信设备的民营通信科技企业，总部位于中国广东省深圳市龙岗区坂田华为基地。华为的产品重要波及通信网络中的互换网络、传播网络、无线及有线固定接入网络和数据通信网络及无线终端产品，为世界各地通信运行商及专业网络拥有者提供硬件设备、软件、服务和处理方案。华为于1987年在中国深圳正式注册成立。协议销售额160亿美元，其中海外销售额115亿美元，并且是当年中国国内电子行业营利和纳税第一。截至究竟，华为在国际市场上覆盖100多种国家和地区，全球排名前50名的电信运行商中，已经有45家使用华为的产品和服务。华为的产品和处理方案已经应用于全球150多种国家，服务全球运行商50强中的45家及全球1/3的人口。《财富》世界500强中华为排行全球第315位，与上年相比上升三十六位。华为公布可持续发展汇报。汇报显示，华为员工人数逐年增长，到已超过15万人，海外员工比例也在上升。为了对员工进行保障，华为同年投入达58.1亿。华为在经济、环境、社会方面的实践与绩效：华为员工人数在至呈逐年增长的态势，截至底该企业共拥有来自156个国家和地区的超过15万名员工，其中研发人员占总员工人数的45.36%，外籍员工人数靠近3万。与相比，华为中国员工的人数占总员工人数的比例减少了7.72%至72.09%，海外员工当地化比例正逐年上升，从的69%、的72%增至73%。同步，华为海外中高层管理人员当地化比例达22%，所有管理岗位管理者当地化比例达29%。华为全球员工保障投入达人民币58.1亿元。据悉，这笔支出重要用于为华为全球员工购置各国家和地区法律规定的各类保险，为员工提供人身意外伤害险、重大疾病险、寿险、医疗险及商务旅行险等商业保险福利，并设置了特殊状况下的企业医疗救济计划。二网络需求分析2.1企业网络需求分析

为适应企业信息化的发展，满足日益增长的通信需求和网络的稳定运行，今天的企业网络建设比老式企业网络建设有更高的规定，重要表目前如下几种方面。

2.2带宽性能需求

现代企业网络应具有更高的带宽，更强大的性能，以满足顾客日益增长的通信需求。伴随计算机技术的高速发展，基于网络的多种应用日益增多，今天的企业网络已经发展成为一种多业务承载平台。不仅要继续承载企业的办公自动化，Web浏览等简朴的数据业务，还要承载波及企业生产运行的多种业务应用系统数据，以及带宽和时延都规定很高的IP电话、视频会议等多媒体业务。因此，数据流量将大大增长，尤其是对关键网络的数据互换能力提出了前所未有的规定。此外，伴随千兆位端口成本的持续下降，千兆位到桌面的应用会在很快的未来成为企业网的主流。从全球互换机市场分析可以看到，增长最迅速的就是10

Gbps级别机箱式互换机，可见，万兆位的大规模应用已经真正开始。因此，今天的企业网络已经不能再用百兆位到桌面千兆位骨干来作为建网的原则，关键层及骨干层必须具有万兆位级带宽和处理性能，才能构筑一种畅通无阻的"高品质"企业网，从而适应网络规模扩大，业务量日益增长的需要。

2.3稳定可靠需求

现代企业的网络应具有更全面的可靠性设计，以实现网络通信的实时畅通，保障企业生产运行的正常进行。伴随企业多种业务应用逐渐转移到计算机网络上来，网络通信的无中断运行已经成为保证企业正常生产运行的关键。现代大型企业网络在可靠性设计方面重要应从如下3个方面考虑。

1、设备的可靠性设计：不仅要考察网络设备与否实现了关键部件的冗余备份，还要从网络设备整体设计架构、处理引擎种类等多方面去考察。

2、业务的可靠性设计：网络设备在故障倒换过程中，与否对业务的正常运行有影响。

3、链路的可靠性设计：以太网的链路安全来自于多途径选择，因此在企业网络建设时，要考虑网络设备与否可以提供有效的链路自愈手段，以及迅速重路由协议的支持。

2.4网络安全需求

现代大型企业网络应提供更完善的网络安全处理方案，以阻击病毒和黑客的袭击，减少企业的经济损失。老式企业网络的安全措施重要是通过布署防火墙、IDS、杀毒软件，以及配合互换机或路由器的ACL来实现对病毒和黑客袭击的防御，但实践证明这些被动的防御措施并不能有效地处理企业网络的安全问题。在企业网络已经成为企业生产运行的重要构成部分的今天，现代企业网络必须要有一整套从顾客接入控制，病毒报文识别到积极克制的一系列安全控制手段，这样才能有效地保证企业网络的稳定运行。

2.5应用服务需求

现代大型企业网络应具有更智能的网络管理处理方案，以适应网络规模日益扩大，维护工作愈加复杂的需要。目前的网络已经发展成为"以应用为中心"的信息基础平台，网络管理能力的规定已经上升到了业务层次，老式的网络设备的智能已经不能有效支持网络管理需求的发展。例如，网络调试期间最消耗人力与物力的线缆故障定位工作，网络运行期间对不一样顾客灵活的服务方略布署、访问权限控制、以及网络日志审计和病毒控制能力等方面的管理工作，由于受网络设备功能自身的限制，都还属于费时、费力的任务。因此现代的大型企业网络迫切需要网络设备具有支撑"以应用为中心"的智能网络运行维护的能力，并可以有一套智能化的管理软件，将网络管理人员从繁重的工作中解脱出来。三网络体系架构华为企业，采用用双宿主机防火墙。这种配置是用一台装有两个网络适配器的双宿主机做防火墙。双宿主机用两个网络适配器分别连接两个网络，又称堡垒主机。堡垒主机上运行着防火墙软件（一般是代理服务器），可以转发应用程序，提供服务等。四网络安全体系架构防火墙是近年发展起来的重要安全技术，其重要作用是在网络入口点检查网络通讯，根据客户设定的安全规则，在保护内部网络安全的前提下，提供内外网络通讯。防火墙示意图见图4-1：图4-1防火墙示意图五安全产品选型5,1Checkpoint防火墙基本功能简介CheckPointFireWall是目前市场上所能找到的最综合性的企业安全产品。FireWall-1比任何其他的防火墙厂商获得更多third-party厂商的支援。既有超过100家硬体与软体的伙伴；此可确定FireWall-1防火墙-1使用者将會持续有更多增强选项功能。FireWall-1在多种平台可以具有很高的执行效率，是由多阶层检查技术，而不用管它与否安装在Sun、HP或Intel平台上执行Unix或WindowsNT作业系统。FireWall-1防火墙是唯一可以提供企业定义单一的安全政策，分送到跨平台的网关，可从企业网路上任一地方远端管理防火墙；而VPN功能除了可减少企业建置数据专线的费用与维护成本外，更是唯一可选择性的选择所须加╱解密的应用服务，大大的提高防火墙执行效能及减少网路的流量；并可将Router的存取控制清单（ACL），由FireWall-1的安全政策规则来定义，简化了Router设定期的不安全性与复杂性。FireWall-1功能简介：1、对应用程序的广泛支持FireWall-1支持预定的应用程序，服务和协议160多种（比其他同类产品都多）。FireWall-1即支持Internet网的重要服务（如WebBrowser,E-Mail,FTP,Telnet等）和基于TCP协议的应用程序，又支持基于PRC和UDP一类非连接协议的应用程序。并且，如今唯有FireWall-1支持刚出现的如OracleSOL*Net数据库访问这样的商务应用程序和RealAudio,VDOLive和InternetPhone这样的多媒体应用程序。在软件业，CheckPoint企业的合作伙伴是最广泛的。凭借FireWall-1的技术优势，CheckPoint此后对应用程序的支持会更多更广泛。FireWall-1的开放式构造设计为扩充新的应用程序提供了便利。新服务可以在弹出式窗口中直接加入也可以使用INSECT(CheckPoint功能强大的编程语言)来加入。FireWall-1这种扩充功能可以有效地适应时常变化的网络安全规定。2、集中管理下的分布式客户机/服务器构造FireWall-1采用的是集中控制下的分布式客户机/服务器构造，性能好，配置灵活。企业内部网络可以设置多种FireWall-1模块，由一种工作站负责监控。对于受安全保护的信息，客户只有在获得授权后才能访问它。由于灵活的配置和可靠的监控使得FireWall-1成为连接Internet或整个企业网安全保障的首选产品。5,2Report模块CheckPoint可通过其报表模块来将冗长的数据转化为更易理解和可用的信息。报表模块是一套完整的报表系统，它可根据VPN-1/FireWall-1数据来公布安全审计、趋势和成本信息。由于与VPN-1/FireWall-1的紧密集成，报表模块可调整先前定义的对象来产生预定义和定制的汇报。产品特性：●以轻易理解的汇报形式提供审计、趋势和成本信息●生成预定义或定制汇报●根据顾客定义的方略来过滤和整合数据●自动将汇报分派到打印机、电子邮件、文档或对应应用程序●与VPN-1®/FireWall-1®实现紧密集成，更好地运用网络对象和管理员信息产品功能：●支持安全和网络决策●无论初学者或网络专家都可根据VPN-1/FireWall-1数据创立有用的汇报●减少了数据存储需求，减少了和汇报生成时间●自动将信息以将定的形式发送到对应的决策者●通过运用VPN-1/FireWall-1资源，简化管理和使用FloodGate-1可以基于QoS方略来精确控制传入和传出的业务通信流。一种方略由业务通信规则构成，这些规则将带宽特权分派给特定的通信类别。每条规则都定义了分类原则和对应的QoS控制。CheckPoint运用它的StatefulInspection专利技术来提供灵活的业务通信分类。FloodGate-1使用如下原则划分业务通信：●来源、目的、通信方向、时间●Internet服务或应用（支持150多种）●特定的URL指示器●顾客组（在固定和动态IP环境中）FloodGate-1先进的认证QoS特性为动态IP环境中的终端顾客提供了性能保证，例如远程访问和DHCP环境。认证QoS容许高优先级顾客（如，企业CEO）在远程连接企业资源时获得高优先级的服务。5.3Meta-ip模块CheckPoint™软件技术企业通过MetaIP™产品很好地处理了这些问题。该产品是新一代的、模块化的IP地址管理系统，它为企业级的IP网络基础设施提供集中化管理。MetaIP是一种集成紧凑的套件，其中包括灵活、以便使用的企业管理服务、基于原则的IP网络服务（动态DNS和DHCP）以及开放式和分布式LDAP数据存储。这些组件向顾客和与网络连接的设备提供无缝的、容错性能极佳地IP服务。通过它们，IP地址、网络设备和IP服务可得到有效控制，还可以保护基础设备，使它们免于劫难性故障。MetaIP是行业中第一种可以将基于方略的网络管理用于真正地以顾客为中心的网络处理方案。它的成功得益于两项独特的技术优势：一是“DEN”（DirectoryEnabledNetwork）框架，二是“UAM”（User-to-AddressMapping™顾客－地址映射）服务。产品特性：●通过一种中央界面，管理整个IP地址和域名系统●跟踪详细客户到IP地址分派系统●通过LDAP将IP网络服务集成到目录服务中●通过基于JAVA的界面跨多种平台进行远程管理●在IP地址基础架构中建立三级容错●通过公开的原则技术来改善原有网络服务5.4HA模块CheckPoint软件技术企业提供的高可用性模块可满足全面容错的、虚拟专用网络和防火墙网关的需要。该模块可为关键任务VPN-1™和FireWall-1®的布署提供无缝的故障切换，使客户可以创立若干冗余网关集群。当一种主网关出现故障时，所有的连接将被转接到一种指定的备用网关上。产品特性：●VPN和防火墙连接的透明切换●与VPN-1和FireWall-1管理工具的紧密集成●可编程的系统状态监视●网关集群组员的自动恢复产品功能：●为客户、职工和合作伙伴提供持续的网络可用性●保证重要的VPN会话在故障切换过程中不出现中断●简化布署和管理任务●对一系列网关状态问题作出检测和响应●容许在不中断服务的条件下进行网关维护六安全方略制定安全方略是指一种特定环境中,为保证提供一定级别的安全保护所必须遵守的规则。安全方略包括严格的管理、先进的技术和有关的法律安全方略决定采用何种方式和手段来保证网络系统的安全。即首先要清晰自己需要什么,制定恰当的满足需求的方略方案,然后才考虑技术上怎样实行。信息安全方略反应了维护信息安全的方式和手段,是高层对下层的命令。不过安全方略并不是详细描述怎么去完毕特定任务的,它大概地指出所要完毕的目的是什么,是总体指导性原则,网络信息系统安全平常规则的总体框架。

6.1网络安全管理制度1、网络安全管理的基本原则A.分离与制约原则a.内部人员与外部人员分离b.顾客与开发人员分离c.顾客机与开发机分离d.权限分级管理B.有限授权原则C.防止为主原则D.可审计原则6.2安全管理制度的重要内容a.机构与人员安全管理b.系统运行环境安全管理c.硬设施安全管理d.应用系统开发安全管理e.软设施安全管理f.网络安全管理 g.应用系统运行安全管理h.操作安全管理i.应用系统开发安全管理防火墙设置图七产品配置7.1配置防火墙网络安全访问方略如下：1.新的网络安全方案中两台亿阳网警防火墙将被CheckPoint防火墙取代，这两台取下的防火墙将分别放置在区市分企业局域网和市企业名烟总汇的网关处。在从外面进入总企业局域网的防火墙处建立DMZ区，将办公网内的Web、ftp