文档介绍:计算机学院计算机科学与技术专业
旅游公司网络安全解决方案
(2010/2012学年第一学期)
学生姓名: 闫盼
学生班级: 计算机082001
学生学号: 200820010121
指导教师: 潘理虎
2011年12月21日
目录
第一章需求分析 1
1
1
第二章网络体系结构 2
2
2
第三章网络安全部署 3
3
4
第四章设备选型及说明 5
5
***设备选型 6
7
7
第五章安全配置说明 8
第六章总结 9
第一章需求分析
该公司是一家小型旅游公司,公司有员工200人,对本次网络安全建设有以下要求:新网络应该具有足够的先进性,不仅应该能承受普通的网络流量,并且应该支持多样QOS特性,保证有足够的带宽运行基于IP网络的实时语音传输,以及未来可能会具有视频会议流量;新网络应该具有足够的强壮性,应该具有足够的灾难恢复措施,包括电源冗余,设备冗余,主机冗余,数据库冗余,线路冗余,拨号链路冗余;新网络应该具有足够安全性,采取路由器,防火墙以及设置DMZ区,防杀病毒、入侵检测、***与修补系统、网络数据完整、网络安全保护以保证内网的绝对安全,将来数据在外网上传输应该采取加密,并且数据传输线路应该采取全屏蔽双绞线,防止信息的流失和泄露。
企业网络安全威胁分为两类:一类是来自外部的威胁,如网络监听和黑客攻击,是对方人为的通过网络通讯连接造成的;另一类是来自内部的威胁,除了人为故意的情况,像计算机病毒,木马,恶意软件等,这些都是用户通过某种途径感染上的。对于此旅游公司,网络安全威胁主要有以下几点:
网络系统内部可能存在用户越权访问、违规操作的威胁,如果不加以严密保护,会造成巨大的损失。
网络系统可能面临病毒的侵袭和扩散的威胁,如果对网络访问不加以控制,即使是合法用户的访问,如果是在被病毒感染的客户端上访问网络系统,则病毒会在网络上广泛传播,由于病毒的传播会导致整个系统的破坏,这也会带来巨大的损失。
由于企业网络安全设置安排的不合理或无安全保护措施,可能存在遭受来自外部网的恶意攻击、数据篡改信息窃取的危险。
第二章网络体系结构
防火墙
Web
服务器
电子邮件
服务器
数据图
服务器
FTP
服务器
核心交换机
二级交换机
审计系统
终端
。。。
。。。
。。。
在网络系统中,骨干网是核心层。针对此公司,我们采用星型网络,星型网络便于集中管理的控制,其特点是投资少、结构简单,常采用系统级冗余技术,形成网络核心的双折叠式主干,其特点是链路级、节点级容错性好,安全可靠。
并且采用千兆以太网技术和三层交换技术来实现骨干网的设计。其中心交换机的千兆端口可以与二级交换机的千兆端口进行连接,实现骨干网络的千兆交换。其接口也能实现与内部服务器的千兆连接,已满足服务器对高带宽的要求。
第三章网络安全部署
防火墙
Web
服务器
电子邮件
服务器
数据库
服务器
FTP
服务器
核心交换机
二级交换机
审计系统
终端
。。。
。。。
。。。
DMZ区域
身份认证
入侵检测
***
防病毒
安全审计
身份认证
入侵检测
核心区
防病毒
安全审计
身份认证
介质管理
网络安全部署图
,以下对防火墙、入侵检测、***、安全审计及身份认证的配置进行详细的说明。
1、防火墙系统用于安全域边界防护
根据信息安全保密风险分析结论,防火墙系统用于安全域边界防护。
防火墙部署于核心交换机与服务器之间用于安全防护。制定防火墙策略时,已经采用严格策略模式(默认为关闭或禁用),根据实际应用需要,仅开放必要访问对象、访问服务和端口。同时启用防火墙系统与网络入侵检测系统之间的联动功能,确保安全保密设备达到最佳防护效果。
2、网络入侵检测系统
网络入侵检测系统,用于网络边界入侵防护。网络入侵检测系统包括控制中心和探测引擎。其中探测引擎部署在核心交换机的镜像端口,用于检测进出内网的网络通信行为。探测引擎采用旁路工作模式,采集通信信息,根据已知攻击代码库,识别攻击行为并向控制中心报告。控制中心为软件系统,用于管理所有探测引擎,为管理员查看和分析监测数据提供管理界面,根据异常行为所产生的告警信