题目:xx公司网络安全架构设计
摘着网络技术发展网络已融入生活处享受互联网带便捷时忽略网络安全非常严峻问题文章研究网络安全架构实现限公司例分防火墙构架实现入侵检测构架实现信息安全理审计系统架构实现网保密安全构架实现四方面详细介绍网络安全实现程增强企业网络安全方面防范力
前言
物流指利现代信息技术设备物品供应接收准确时安全保质保量门门合理化服务模式先进服务流程物流商品生产出现出现商品生产发展发展物流种古老传统济活动前物流企业直单纯交通工具力劳动运作整公司着网络出现发展行业改变物流行业然受影响
网络正逐步步入成熟阶段网络数库等相关应技术断发展网络运营电子商务广泛应物流行业传统力劳动行业发展结合信息技术消费者提供服务行业物流物品供应接收准确时安全保质保量门门合理化服务模式先进服务流程物流商品生产出现出现商品生产发展发展物流意味着企业生产流通全部着网络企业中普发张物流行业走入物流信息化物流信息化定义:利信息技术整合企业部业务流程企业着规模营网络化运作方发展物流信息化物流企业相互融合重手段物流信息化企业间企业部物流程中产生数全部
记录物流配送中心建设信息系统应充分支持理者制订物流运作计划实际业务操作现代物流配送中心日趋样化全面化发展构成核心竞争力助获取竞争优势核心业务汇集客户发货信息组织货物入库配货分拣储存出库配送等
物流行业正信息技术手段综合性物流企业发展积极发展第三方物流实现物流社会化专业化规模化幅度提升物流产业优势然许物流公司简单网络台缺乏合理网络安全设计理企业操作员缺乏网络安全知识计算机基互联网裸奔断黑客种病毒木马然劫持成肉鸡公司带麻烦甚导致整网络瘫痪造成公司部存储信息丢失甚部员利益窃取出卖公司利益公司造成重损失正物流公司越越重视网络安全甚重新造稳定台
第章 公司现状
11 公司简介
xx公司家国公路运输航空货运代理综合物流企业物流界享誉较高知名度公司秉承诚信速度服务理念保持积极进取注重服务态度培养通断优化服务信息化系统搭建提升运输网络标准化体系创造优化运营模式广客户提供安全快速专业满意物流服务直公司致力员工发展成长造企双赢局面努力创造更社会效益努力晨曦造成中国信国物流运营商实现中国提速命公司营:晨曦运物流限公司江西运输子公司浙江运输子公司限公司成立XX年07月04日现拥员工150名家集运输仓储配送体物流公司
现公司部门职责图11示:
12 公司网络状况
该公司物流业中进行企业信息化建设较早公司信息化建设目公司信息统计等基础性工作该公司网络拓扑图图12示:
该公司局域网信息点相较密集百兆局域网系统联接现百信息点整公司办公单位部门提供信息交流台仅通专线internet连接部门授权户直接互联网户进行交流查询资料等
公司访问区域划分三区域:internet区域部网络公开服务器区域web等服务器办公区客户机通部网络相互连接然外网互联基基础安全考虑交换机域部门划分五网段
13 公司网络安全问题
公司段时间基实现公司办公信息化初投资力度意识够公司领导未重视网络安全方面导致公司网络出现重漏洞XX年10月份潜入公司部网络导致信息部中项重招标文件泄露竞争公司知晓1万元差距落选该项目导致公司利益受相损害公司开始重视网络安全公司网络安全进行全面检查发现问题
131 安全隐患
(1)病毒入侵前规划中提加公司信息化理投资力度采计算机处理数进行网络建设网络安全方面建设力度较样黑客容易公司
电脑植入病毒引发重灾情(2)部员操作缺乏安全意识网络发展迅速网络安全技术信息应普相滞部员缺乏安全方面培训学容易忽略安全设备系统发挥相作公司网络存较安全隐患(3)设备物理安全网络中部分设备通通信电缆通信布局合理性核心设备放置机房公司机房简单锁没专巡查守公司网络物理设备存较安全隐患
132 具体网络安全问题
(1)公司网络拓扑合理问题没硬件防火墙公司网络中没做部网络外部网络安全隔离公司网络拓扑设计采服务器路器网没配置防火墙外网互联存着漏洞(2)户身份认证问题公司网络系统中具远程访问权限户连接没采加密身份认证手段(3)没入侵检测技术网络监控技术入侵目标迹寻网安全存严重漏洞没办法效保护公司信息安全
第二章 网络安全架构需求分析
针限公司开设公司情况结合限公司现网络状况现条件网络安全设计方面提出点构思
21 保证网安全
针限公司招标文件泄密情况保证网安全首务机防火墙出现解决中较矛盾突出问题基问题关基础安全年日趋完善桌面
终端网安全理类产品出现实现集中网计算机安全理提供网两方面需求满足安全理
22保证广域网接入安全
internet高度开放环境户接入internet意味着完全暴露危机四伏处境通网络防火墙滤internet部分攻击 防火墙强化安全策略 防火墙效记录internet活动限制暴露户点隔开网络中网段网段样够防止影响网段问题通整网络传播 防火墙安全策略检查站进出信息必须通防火墙防火墙便成安全问题检查点疑访问拒绝门外
23 保证远程访问安全
远程访问通公众网传输私数保证数安全性远程访问关键环节远程访问internet作承载介质vpn必须足够安全保障功通高强度加密算法保证数侦听篡改确保接入户身份唯性外控制户网资源访问权限做指定访问指定资源访问均控制中
第三章 网络安全架构实现具体方案
31 设备链接拓扑图网络划分
通限公司现网络情况进行分析硬件方面决定现网络部署台防火墙nids设备软件方面决定采趋势科技防毒墙设备链接拓扑图图示:
1wan口接入台pc作外部机(开启22端口21端口ssh服务ftp服务)址100010024网关指10001
2dmz口接入web服务器提供web服务文件服务器提供文件服务web服务器址172160229网关指1721601文件服务器址172160329网关指1721601
3lan区域接入1921681024子网网关指19216811
4ip网段连续ip址: 192168011921680168
5防火墙理pc机ip:19216801
6nids理pc机ip:19216802
7信息安全理审计系统理pc机ip:19216803
8网保密安全系统理终端ip:19216804
9web服务器ip址:1721602
10文件服务器ip址:1721603
11网保密安全系统总控中心服务器ip:1721604
12外网pc1ip:1000100
13网pc1ip:19216812
14网pc2ip:19216816
15网pc3ip:1921681163
32 防火墙构架实现
321 连接登录配置
设备选型
针限公司网络分析研究实验决定采蓝盾公司型号bdfwm3000防火墙
二利浏览器登陆防火墙理界面
1根拓扑图pc机防火墙admin网口连接起需连接部子网外线连接时需线路连接应网口
2客户端设置设置连接ip址:19216801 3ping命令测试防火墙理pc间连接情况
开ie浏览器输入理址http1921680181进入欢迎界面防火墙欢迎界面输入户名密码点击登录进入防火墙理系统
三配置基容
1网段ip址端口配置
2创建编辑规防火墙中需规进行操作 snat 策略进行编辑:添加策略:增加设置中设置相应参数单击保存设置列表添加规保存界面图示:
然点击编辑snat 策略进行编辑编辑完保存
322 透明模式(网桥模式)安装部署
透明模式(桥接模式)防火墙相网桥通两网口桥接起交换机路器直接连接起需改动原网络结构防火墙透明加入网络连接网lan2口ip址设成网网段
防火墙接入前网络
1防火墙拓扑示接入前网络路器引入外线接wan口交换机引出部网线接lan口
2检验加入网络状况
二配置桥接
1进入桥接设定界面网络设置à网口配置à网口桥接求网口网口该网口没配置外线连接lan3口(lan)lan4口(wan)ip全部掉
2启桥接进入桥接设定界面网络设置à网口配置à桥接设定面左边框中出现供选择接口
定义条桥接规:选择lanwan双击>>>移右边框中然添加添加成功现规中会出现条定义规然重启
323 外网互访策略编辑理
默认情况连接防火墙网口网络互相访问网络间实现互通需建立网络间通信通道:
1外网访问网通端口映射机制实现
2网访问外网通设置访问规控制
3通建立通信规规应网口网段ip实现
检查点网络状况
1外部机pc1(100010024)ping通防火墙wan口址没办法达dmz区web服务器1000100说web服务器址网络网址:
外部机web服务器连通性测试
前网络防火墙隔离外网法互访时通端口映射方式外网访问部网络时通策略设置网访问外网
二实现网访问外网(snat)――网pc提供外网访问策略
1配置snat映射部ip做址转换访问外部
2配置网lan口pc1(1921681224)访问外网pc1 1000100) 3进入防火墙ànat策略àsnat策略界面点击添加做访问规然设置规参数填写目标ip目标端口选择启单击保存
4防火墙àlan>wan策略à访问策略填写访问策略实施象网pc119216812选择规全部允许点击添加
三实现外网访问网(dnat)――外网pc提供网访问策略
1进入防火墙ànat策略àdnat策略界面点击添加做访问规然设置规参数填写目标ip目标端口选择启单击保存
外网址100011080端口映射172160280端口访问100011080端口时防火墙会址动映射172160280端口外网访问网通道开
324 l2tp配置
总公司出差员工需访问公司网文件服务器文件夹文件服务器ip址1721603出差员工l2tp vpn连接公司部文件服务器
vpn服务器端配置
创建证书
1进入vpnàca认证à权威认证证书
2创建服务器证书local’s bluedon然进行配置点击创建签名证书会出现条证书
二建立vpn隧道 1选择vpn隧道àl2tp移动客户端创建l2tp移动客户端vpn遂道:
设置点击添加会出现名ttt隧道
三启动vpn
1进入vpnà启动控制启动vpn服务器
2进入全局设定默认证书ca权威认证证书中选择local’s bluedon权威认证证书选择保存
3进入防火墙àlan>lan策略à访问策略建立条允许远程l2tp客户总公司lan口等相互访问策略样出差员工l2tp隧道总公司网连通进行配置点击添加会出现面条访问规总公司服务器端配置结束
vpn移动客户端配置
1网络理员处获vpn客户端软件安装安装程中写入总公司外部ip新连接取名ttt
2里填入新建证书时户名ttt密码123456点击连接
vpn客户端配置完成
秒钟连接成功电脑右角显示连接vpn时网络连接界面会出现虚拟专网络――ttt(已连接)
34 入侵检测系统架构实现
341 ids设备部署配置
基限公司网络考虑采镜口监听部署模式
ids设备部署
1连接设备
2登录理界面 理pc登录蓝盾nids设备web理界面前需确认理pcip址设备缺省理口ip址设置网段:1921680024透网线理pc连接lan1口开ie浏览器ie址栏输入https1921680145 登录进
ids设备配置
1 网络设置à网口配置à网口e2lan2ip配置19216822点击保存然重启网络(lan2口做理口理设备)
2系统à系统工具àip工具直接ping 网关19216801检验网连通性
3系统à理设置à理界面访问设定网口选择lan2余选项缺省点击添加
4现规中新增条通lan2访问ids界面策略
5系统à理设置à密码图配置理员户启usbkey 会出现超级理员户
342 ids入侵检测
入侵规à检测规启动入侵检测规中勾选userdefined(户定义)点击保存
基础参数 1入侵规à检测规à定义规à基础参数参图填入检测项点击添加
选择协议点击启条针未知入侵检测规intrusion _info
二ip参数
1入侵规à检测规à定义规ip参数参图填入检测项t t l项填入64作参考值选择启点击添加
四阻断动作
1入侵规à检测规à定义规à阻断动作填入检测项里选择断开icmp
35 信息安全理审计系统架构实现
351 系统部署系统登录
信息安全理审计系统部户访问外部网络种行进行记录控制审计种网络安全硬件设备lan1lan2lan3lan4四100m快速太网络接口通网口桥接设置监控网口效监控网络传送种数包
信息安全理审计系统web图形界面进行理设置具方便快捷易户理解掌握优点外方面信息安全理审计系统https安全传输协议保证理中传输相关设置信息窃听保护设备身安全
1系统前面板结构图336:
2系统面板结构图337:
二登录系统:
1设置理pc址图(拓扑图)理pc信息安全理审计系统连接时理pcip址改:1921680324
2登录系统登录图338:
三设置桥接模式 接lan3口lan4口桥接起配置网关接入方式
1左边栏选择选项系统理>系统设置
2右边栏选择选项桥接设置>桥接选择网口3网口4点击确定桥接成功
36 网保密安全系统架构实现
361网保密软件部署登录
通安装sqlXX数库软件存储网保密软件控制中心相关数安装网保密控制中心软件实现安全客户端监控审计构建完整网安全保密审计系统理控制台
安装sqlXX数库软件载补丁进行升级
二安装网保密系统控制中心软件
三登录系统
362 网行监控
新建模块
1点击选项功à安全策略à安全策略理中心à策略模板理点击新建模块
2启动网行监控点击添加进行配置
三发策略
选择选项策略理点击应策略模版 发策略选择需发部门机
四查询审计
1点击选项功à审计报表à审计报表理中心选择查询统计双击网行监控会出现报表双击报表进行查
37 趋势科技防毒墙配置
结合限公司网络需求分析实际情况决定采趋势科技防毒墙网络版100
. 安装前准备工作 1. 确认已100 sp1安装包osce_10_with_sp1_b1892_sc sp1 patch1补丁程序osce_100_b1895_sc_sp1_patch1载 预安装服务器硬盘 2. 预安装服务器已成功安装iis 3. ip已成功配置 4. 建议服务器计算机少2ghz存
二. 开始安装 1.已载服务器安装包 osce_10_with_sp1_b1892_sc解压缩进行安装安装程中选择安装台电脑扫描目
标计算机安装集成型服务器安装网络版客户端配置软件安装安装完毕重启电脑
三. 2服务器重启完毕officescan 100 服务器双击执行sp1 patch1补丁程序安装包重启电脑
3设置服务器更新频率
4全局客户端设置:
次展开联网计算机全局客户端设置 设置手动扫描添加客户端计算机windows快捷菜单中
设置病毒码期提醒根需进行相关设置般采默认
次展开联网计算机客户端理 设置选项中选择实时扫描设置然处理措施选项中选择开启检测病毒恶意软件时客户端计算机显示通知消息设置选择默认设置
6行监控设置 设置选项中选择行监控设置进入选择默认设置
7设备控制设置: 设置选项中选择设备控制设置进入选择启预设日志删进行日志维护设置
服务器更新:次展开更新服务器手动更新点击更新更新完毕完成基配置
第4章 安全架构实现效果验证
41 防火墙架构实现效果验证
连接登录配置:ping命令测试防火墙理机间互通互通
透明模式(网桥模式)安装部署:lan台机ping通路址
外网互访策略编辑理:
1外部机(100010024)通http100011080访问dmz口web服务器:
2dmz区web服务器(172160229)机然法ping通外网机:
l2tp配置:
1dosipconfig命令会出现获取总公司网ip址19216816
2ping通总公司网网关19216811
42 入侵检测架构实现效果验证
针ids检测规操作入侵日志:扫描操作
ping操作
43 网安全架构实现效果验证
网络访问网络日志:网络访问时留网络日志
监控策略:
面图片出方案中网络安全架构均实现
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档