小型企業網絡安全解決方案
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇小型企業網絡安全解決方案范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
小型企業網絡安全解決方案范文第1篇
在計算機網絡飛速發展的今天,網絡營銷,電子商務等快速進入企業業務活動中,企業總部、企業地方分支機構、移動出差人員,充分利用Internet的公共資源及便利條件,通過VPN(Virtual Private Network,虛擬專用網)技術它們連接在一起,形成一個跨地域更大的網絡,方便企業用戶、分支機構及合作伙伴隨時隨地的接入并訪問企業網絡,與企業總部網絡進行數據信息安全傳輸與交流,不但給企業帶來數字化時代,方便信息交流與企業的管理,而且也給企業帶來不菲的經濟效益,與此同時,也給企業網帶來了安全隱患,數據信息如何跨越公共網絡的復雜環境進行安全的遠程傳輸成為關鍵。對于中小型企業資金相對比較貧乏,技術力量薄弱這種情況,研究經濟實用的遠程數據信息安全性傳輸就顯得非常重要。
2 中小型企業網絡現狀及需求
國有大中型企業是我國的經濟支柱,中小企業是我國經濟組成的重要組成部分,我國中小型企業眾多,對計算機網絡技術應用比較簡單,沒有很好的利用Internet的優勢,實現企業經濟的騰飛及壯大。中小型企業網絡主要應用是日常辦公,數據處理,屬于“單機版”類型,或者企業分支機構與總部就是簡單通過電子郵件,或者qq進行企業數據信息傳輸,這樣安全保密性太差。主要原因是:
1) 中小型企業資金比較貧乏,沒有更多的資金來購買成熟網絡安全產品,而且成熟的網絡安全產品價格一般比較昂貴,主要面向大型企業。中小型企業分布廣,業務靈活,經濟實惠的遠程數據安全傳輸解決方案甚少,而且技術復雜,維護較難,不能滿足中小企業的需要。
2) 中小型企業技術力量薄弱,沒有專業的網絡技術人員,一般是企業年輕的懂點計算機的員工兼職網絡管理,與專業網絡管理員還有一定的差距。
3) 中小型企業網絡基本屬于一個“信息孤島”,與外界進行數據通信不能做到安全可靠傳輸,不能確保數據信息不泄露、不丟失、不被篡改等,影響企業的快速發展。
3) 中小型企業領導重視網絡建設還不夠,網絡建設相對比較簡單,根據中小型企業目前對網絡的需要及依賴,進行簡單網絡建設,沒有長遠的網絡建設規劃,致使企業在壯大的過程中,網絡建設不能快步跟上,往往被忽視。中小企業網絡由于資金貧乏,技術力量不足等原因,在建設的初期就還可能留下許多漏洞與不足,這樣更容易被黑客攻擊。
4) 中小型企業用戶不能進行遠程數據信息的安全可靠傳輸,企業員工,或者領導外地出差,或者分支機構的網絡,就不能訪問企業網絡,不能遠程進行辦公,遠程快速的進行事務處理。
5) 中小型企業與合作伙伴之間沒有利用互聯網的優勢,在它們之間沒有建立一個企業擴展網絡,導致數據信息的安全交流和企業的密切合作收到影響。
在復雜的網絡環境下,解決中小型企業的遠程數據信息安全可靠的傳輸就變得越來越重要了,還需考慮方案的經濟實用,維護簡單容易。對于中小企業網絡中傳輸的重要數據信息,如財務報表等,必須保證數據信息完整性、可用性和機密性。完整性是數據信息在傳輸或存儲過程中保證沒有被修改,沒有被破壞,沒有被丟失等;可用性是數據信息可被授權實體訪問,并按需求使用的特性,即指定用戶訪問指定數據資源;機密性是保證數據信息網絡傳輸保密性和數據存儲的保密性,數據信息不會泄露給非授權的用戶、實體或過程。確保只有授權用戶才可以訪問指定數據資源,其他人限制對數據信息的讀寫等操作。
3 經濟實用安全方案
從中小型企業網絡現狀及需求,利用VPN技術跨越Internet組建中小企業擴展網絡,保證遠程移動用戶、企業分支機構和企業合作伙伴之間安全可靠的進行遠程數據信息傳輸。通過實踐實驗,研究出經濟實用,安全可靠,配置和維護比較容易的中小型企業網絡安全性解決方案,如圖1所示。VPN服務器也稱為VPN網關,可以使用高性能的計算機來擔當,并且安裝兩塊網絡適配器,一塊網絡適配器用于連接中小型企業內部網絡,分配內網IP地址,另一塊網絡適配器連接外部網絡,分配外網IP地址。VPN服務器是內網和外網連接的必經之路,服務于內外兩個網絡,也是內網的安全屏障,相當于中小型企業的防火墻,它可以完成對訪問企業網絡的用戶進行身份認證、數據進行加密解密處理、密鑰交換等。VPN服務器安裝Windows Server 2003操作系統,充分利用公共網絡Internet的資源,通過VPN技術,實現中小企業遠程數據信息傳輸的安全性、完整性,可用性和保密性。
3.1 IPSec VPN保證數據信息遠程安全傳輸
1) VPN技術
VPN又稱虛擬專用網,是在公共網絡中建立專用網絡,數據信息通過建立的虛擬加密“安全隧道”在公共網絡上進行傳輸,即充分利用公共網絡如Internet的資源,達到公網“私用”的效果。中小企業只需接入Internet,就可以實現全國各地分支機構,甚至全世界各地的分支機構,都可以隨時隨地的訪問企業網絡,實現遠程數據信息的安全可靠傳輸。而且VPN具有節省成本、配置相對簡單、提供遠程訪問、擴展性較強、便于管理維護、實現全面控制等好處,是企業網絡發展的趨勢。
2) IPSec協議
IPSec是一個開放的應用范圍廣泛的網絡層VPN協議標準,是一套安全系統,包括安全協議選擇、安全算法、確定服務所使用的密鑰等服務,在網絡層為IP協議提供安全的保障,即IPSec可有效保護IP數據報的安全,如數據源驗證、完整性校驗、數據內容加密解密和防重演保護等。保證企業網絡用戶的身份驗證,保證經過網絡傳輸過程中數據信息完整性檢查,加密IP地址及數據信息保證其私有性和安全性。
3) 基于IPSec的VPN技術
基于IPSec的VPN技術解決了在Internet復雜的公網上所面臨的開放性及不安全因素的威脅,實現在不信任公共網絡中,通過虛擬“安全隧道”進行數據信息的安全傳輸。IPSec協議應用于OSI參考模型的第三層網絡層,基于TCP/IP的所有應用都要通過IP層,將數據封裝成一個IP數據包后再進行傳輸,所有要實現對上層網絡應用軟件的全透明控制,即同時對上層多種應用提供安全網絡服務,只需要在網絡層上采用VPN技術,基于IPSec的VPN技術提供了5種安全機制,即隧道技術、加密解密技術、密鑰管理技術、身份驗證技術和防重演保護技術,通過基于IPSe c的VPN技術,來保證傳輸數據的安全性、可用性、完整性和保密性[1]。
(1)隧道技術,隧道也可稱為通道,是在公用網中建立一條虛擬加密通道,讓數據包或者數據幀通過這條隧道安全傳輸。使用虛擬“安全隧道”傳遞的數據可以是不同協議的數據幀或數據包。“隧道”協議分為二、三層隧道協議,第二層隧道協議先把各種網絡協議封裝到PPP中,再把整個數據幀裝入到隧道協議中。這種雙層封裝方法形成的數據幀依靠第二層協議來傳輸,第二層協議包括PPTP、L2TP等。第三層隧道協議是把各種網絡協議直接裝入到隧道協議中,形成的數據包依靠第三層協議進行傳輸。第三層協議有GRE、IPSec等。這里使用IPSec中的ESP(Encapsulated Security Payload)和AH(Authentication Header)子協議保護IP數據包和IP數據首部不被第三方侵入,在兩個網絡之間建立一個虛擬“安全隧道” 用于數據信息的安全傳輸。授權用戶,通過IPSec安全策略的配置實現對網絡安全通信的保護意圖,其安全策略包括什么時候什么地方對AH和ESP保護,保護什么樣的通信數據,什么時候什么地方進行密鑰及保護強度的協商。IPSec通過認證和鑰匙交換機制確保中小型網絡與其分支機構網絡或合作伙伴進行既安全又保密的信息傳輸。在計算機上裝有IPSec的終端用戶可以通過撥入ISP的方式獲得對公司網絡的安全訪問。
(2)加密解密技術,是為了保障虛擬“安全隧道”的安全可靠性,提供了非常成熟的加密算法和解密算法,如3DES、DES、AES等,抵抗不法分子修改或截取數據信息的能力,同時保證必須使偷聽者不能破解或解密攔截到的的數據信息,但是授權用戶可以通過解密技術,完整的訪問數據資源。
(3)身份認證技術是通過對企業分支用戶或遠程用戶進行身份進行驗證,提供安全防護措施與訪問控制,包括對VPN“安全隧道”訪問控制的功能,有效的抵抗黑客通過VPN通道攻擊中小型企業網絡的能力。通過VPN服務器對授權用戶的身份及權限的驗證,嚴格控制授權的用戶訪問資源的權限。在每個VPN服務器上為遠端用戶的身份驗證憑據添加用戶信息,包括用戶名及密碼,并且配置了用戶名與呼叫用戶所使用的用戶名稱相同的請求撥號接口。
(4)密鑰交換技術,為了防止密鑰在Internet復雜的公網上傳輸過程中而不被竊取。提供密鑰中心管理服務器,現行的密鑰管理技術分為SKIP和ISAKMP/OAKLEY兩種。VPN技術能夠生成并更新客戶端和服務器的加密密鑰和密鑰的分發,實現動態密鑰管理。如果采用L2TP/IPSec模式的站點到站點VPN連接,還需要在每個VPN服務器上同時安裝客戶端身份驗證證書和服務器身份驗證證書;如果不安裝證書,則需要配置預共享的IPSec密鑰。
(5)防重演保護。具備防止數據重演的功能,而且保證通道不能被重演。確保每個IP包的合法性和惟一性,保證信息萬一被截取復制后,或者攻擊者截取破譯信息后,再用相同的信息包獲取非法訪問權,確保數據信息不會被重新利用、重新傳回目標網絡,
3.2其他輔助安全措施
對VPN服務器,還可以啟動軟件防火墻功能,如安全訪問策略、日志監控等功能,還可以安裝殺毒軟件,為內網提供安全屏障,再次增加網絡安全可靠性能。軟件防火墻通過設置的包過濾規則,分析IP數據報、TCP報文段、UDP報文段等,決定數據包是被阻止,還是繼續轉發,從網絡層和傳輸層上再次給予安全控制,提供了多層次安全保障體系。還可以增加應用層的過濾規則配置,再次提升VPN服務器安全性。
4 實踐應用分析
通過實踐應用,跨越Internet的中小型企業網絡安全解決方案分別從網絡層、傳輸層和應用層三個層次上給予安全保障,該方案充分利用VPN的“公網專用”的特點,允許中小型企業擁有一個世界范圍的專用網絡,在公用網中開辟虛擬“安全隧道”來保證遠程數據信息傳輸的可靠性和安全性;通過輔助的防火墻功能,進一步增加其安全。該方案使用高性能的PC充當VPN服務器,并配以Windows Server 2003操作系統,無需額外的復雜硬件設備與高昂的系統軟件,成本低、經濟實用、容易實現、維護簡單,是中小型企業網絡擴展不錯的選擇方案。VPN服務器不但具備VPN技術的功能外,還是一個中小企業的防火墻,安全配置、安全策略容易實現,一旦出現較大安全威脅,便于快速隔離網絡。
當然此方案也存在一些缺陷,主要是有依賴操作系統的安全性,操作系統本身的漏洞可能會造成安全隱患;VPN服務器是集多種服務于一體,需要較高高性能的計算機;VPN服務器故障會導致網絡連接失效;由軟件實現數據加密與解密、包過濾等,一定程度會占用系統資源,也會使通信效率略有降低;同時重注企業內部員工的安全培訓,有效地抑制社會學的攻擊,對來自企業內部員工的攻擊顯得無能為力。
5 結束語
跨越Internet的中小型企業網絡安全技術方案比較經濟、實用、安全、配置簡單,為中小企業打造一個世界范圍的網絡提供了較有力的技術支持,使得中小企業網絡也融入到互聯網這個“大家庭”中,不僅提高了中小型企業的工作效率,而且增強了其競爭力,將推動中小型企業電子商務,電子貿易,網絡營銷走向繁榮,加快了中小企業網絡信息化和經濟快速發展的步伐。
參考文獻:
[1] 郝春雷, 鄭陽平.中小型企業敏感分支網絡安全解決方案[J].商業時代,2007,(21):45.
[2] 阿楠. VPN虛擬專用網的安全[J].互聯網天地,2007,(7):46-47.
[3] 李春泉,周德儉,吳兆華. VPN技術及其在企業網絡安全技術中的應用[J]. 桂林工學院學報,2004,3:365-368.
[4] 韓儒博,鄔鈞霆,徐孟春.虛擬專用網絡及其隧道實現技術[J]. 微計算機信息,2005,14:1-3.
小型企業網絡安全解決方案范文第2篇
當今的社會是一個數字化、信息化、地球化的社會,網絡時代已經到來,人們的生活、工作、購物、學習、辦公等都已經離不開網絡。對于現代的企業,已經開始實行無紙辦公,公司之間的聯系、企業伙伴間的合作、公司外出人員與本部之間的聯系等等這些都離不開網絡。版權所有
在信息化浪潮方興未艾的今天,企業內部的網絡已經成為提升核心競爭力的關鍵因素。所有的企業,無論其規模大小,都會面臨新的機遇和挑戰。在市場經濟的條件下,企業應用網絡技術,其目的就是為了在提高企業運作效率的基礎上,最終增加經濟效益和增強競爭能力。在瞬息萬變的市場上,網絡應用可以幫助企業決策者運籌帷幄,充分利用各種信息資源,優化企業資源配置,網絡擴大了各個產業的市場空間,減少了傳統商務流程的環節,極大地提高了勞動生產率。置身于網絡經濟時代,任何企業,無論其規模大小,都必須適應新的潮流。
網絡不僅是一種高深的科技,而且成為人們必不可少的工具。企業上網大大提高了企業運作效益,降低了企業成本。應該看到,企業在經營發展過程中,除了內部的運轉管理外,還有大量的外部業務活動,包括與合作伙伴,上、下游企業,客戶甚至競爭對手的各式各樣的業務往來。過去這些業務活動多半是通過電話、傳真、信件等傳統通信方式輔助進行,而在因特網出現后的今天,這些業務活動幾乎無一例外地正在轉移到因特網上,并且這種轉變的速度和程度都是非常驚人的。也就是說,過去傳統意義上的企業內外部經營活動包括業務信息溝通,訂貨訂單處理,庫存物流管理,客戶服務,批發或零售等等已經全部可以在因特網上實現了。所有這些應用都可以稱之為企業上網,又被業界稱為電子商務應用,它被認為是21世紀企業的必由之路。
二、行業分析
(一)企業上網的緊迫性
對于中國的企業來說,企業網的來臨可謂恰逢其時。隨著中國向混合市場經濟的加速發展,中國各行各業的公司企業都在積極準備迎接國內外市場中日益激烈的競爭形勢。這些公司深知:如果想在這個白熱化的市場競爭中獲得成功,就必須最大限度地提高企業生產力和降低生產成本。因此,各大企業都迫切需要建立自己的信息技術基礎設施,以便將分散在各地的業務部門聯系在一起并加快整個企業內部的信息交流和服務速度,從而加強自己在市場中的競爭優勢。
(二)、企業上網的需求
企業網絡信息系統建設應該以用戶的需求為著眼點。目前,隨著網絡技術的飛速發展和應用水平的逐步提高,企業用戶的需求,主要體現為:
(1)先進性,要求網絡采用先進的技術,以保證整個企業網絡系統在技術上的先進性;
(2)穩定性與可靠性,要求網絡高度穩定、可靠,這是網絡建設成功的關鍵,而高度穩定、可靠的網絡系統有利于維護和管理,可減少網絡系統的擁有成本;
(3)高性能,要求網絡系統具有高性能,以滿足計算機網絡系統運行大量關鍵業務(如項目設計、項目管理、cad、oa、mis、erp及多媒體應用等)的需要;
(4)vlan劃分的靈活性,因為網絡系統站點數和運行的應用都在增多,所以要求網絡平臺具有靈活的虛網(vlan)劃分能力;
(5)由于網絡系統可能要傳輸多媒體信息,因此要求網絡平臺具有良好的服務質量和較小的延遲;
(6)要求網絡平臺具有良好的易管理性,減少運行、維護及管理成本;
(7)要求選擇具有良好發展前景的網絡廠商的產品,這樣才能保證平臺具有良好的售后服務、投資保護,更為關鍵的是能夠保證網絡系統持久的先進性。
三、企業網絡主干技術選擇:
企業局域網絡技術的選擇主要是主干技術的選擇,現今適合作局域網絡主干技術的主要有千兆以太網及atm兩種。
千兆以太網是網絡界公認的技術發展方向之一,它是對成功的10mbps和100mbpsieee802.3以太網標準的擴展,仍然沿用以太網ieee802.3幀格式,全雙工操作和流控制方法。在半雙工模式下,千兆以太網使用同樣的csma/cd訪問方法來解決媒體的通信競爭問題,并使用由ieee802.3小組定義的同樣的管理對象。概括起來,千兆以太網的優點在于:網絡技術可靠,易于管理,具有可伸縮性,且它相對于atm的價格水平要低得多;缺點為部分標準不統一。
atm規定各種類型的服務(聲音、圖像、數據)信息都由大小固定的53字節的信元進行傳輸。atm優點為:支持線路交換和分組交換;對廣域網和局域網采用相同的技術;在普通線路上同時傳輸視頻、語音和數據;對多種業務可保證服務質量,按需分配帶寬。缺點為:管理和維護復雜;基于atm的應用較少;atm產品相對于以太網產品價格昂貴;部分標準不統一。
千兆以太網能與桌面的以太網和快速以太網無縫銜接,因為他們采用的協議是相同的。atm網絡與以太網共存時,需在幀和信元之間進行轉換。在企業園區網,90%的應用都是基于以太網或快速以太網的,千兆以太網以其從以太網及快速以太網升級方便、易管理和低廉的價格使atm舉步維艱,atm的傳統優勢如傳輸多媒體和傳輸的距離長也日漸遜色。千兆以太網支持資源預留協議(rsvp)、ieee802.3、ieee802.1q、ipprecedence、獨立組播路由協議(pim)、國際互聯網成組管理協議(igmp)等,這就使得千兆以太網傳輸多媒體成為可能,已有廠家的千兆以太網產品傳輸距離超過100公里。因此建議,企業園區網在主要傳輸數據的情況下,應選擇千兆以太網作主干技術。
四、企業網絡構架的基本方案
企業網中大部分是中小企業,中小型企業最大的特點是小規模與高效率的結合。他們往往不擁有完備的信息技術部門,但是網絡應用對他們同樣關鍵。因此,中小企業需要量身定做的解決方案。面對這一情況,上海廣電應確信公司針對不同規模企業,推出了一系列解決方案,以幫助中小企業提升其競爭力。
4.1基本網絡方案簡述
根據企業網站可提供的內容和它的實際應用情況,企業上網可分為兩部分,一部分是實現各企業部門內部辦公功能的內部網,即intranet。另一部分是各企業部門網站在internet上信息與交流的外部網。
一旦企業建立了intranet,就可用它來信息、增強企業的通信能力、建立合作的環境。有些應用很簡單,只是用html語言建立內部的環球網服務器信息;有些應用較復雜,需要連接數據庫。下面列出一些intranet的應用:銷售報告、財務報告、客戶信息、季度統計、廠商信息、產品信息、市場信息小冊子、產品開發信息、物資和元部件目錄、倉庫信息、網絡管理、資產管理、新聞組、電子郵件、培訓。
4.2具體方案實施:
按照網絡的規模可具體劃分為以下幾個方案:
(1)小型企業信息系統方案:通常指在20-30個工作站以內的小型辦公室(辦公環境較集中)網絡環境的方案。
(2)中型企業信息系統方案:即指在30個工作站以上的中型辦公園區(辦公環境較分散,距離教遠)網絡環境的方案。
(3)大型企業信息系統方案:即指在超過幾百個工作站以上的大型辦公園區并有外地分支機構網絡環境的方案。
4.2.1小型企業信息系統方案
小企業辦公室網絡,相對于大、中型企業網絡,可以說是麻雀雖小,五臟俱全,同樣有著文件共享、打印共享、電子郵件、財務管理、庫房管理、web等大型網絡所具有的需求。
由于小型企業網絡站點數較少,而且聯網的站點較集中(例如,在一幢樓內)。因此,結構化布線時就可以只采用雙絞線就足夠了,每個站點(計算機)與集線器或交換機之間的距離不能超過100米。
方案說明
網絡配置:中心選用infiniteswitch5024機架型快速以太網交換機(24口10/100m自適應以太網交換機),采用10/100m自適應端口連接服務器及工作站。針對小型企業用戶我們推出桌面型硬件安全設備isp1102,嵌入式的硬件安全架構,使其性價比很高。簡單配置的防火墻安全規則,方便客戶應用。同時可以作為dhcp服務器,具有本地路由器功能,支持以太網方式/cablemodem/adsl等方式接入internet,方便的實現共享上網。
方案特點:
(1)性價比高;在方案中,沒有使用很多高端的設備,但已經完全可以滿足小型企業網絡的需求。
(2)功能齊全;提供了文件共享、打印共享、電子郵件、電子公告、庫房管理、遠程辦公、工資管理、財務分析、采購管理、資金管理、庫存管理、銷售管理等較齊全的功能,很適合于小型企業網絡環境。
(3)安全性高;采用infiniteswitch5024智能以太網交換機交換機,可以將單一的局域網劃分為多個相對獨立、互不干擾的vlan(虛擬子網),可以方便地控制不同部門對某些資源的訪問權限,并能夠縮小廣播域,減少不必要的帶寬占用,有效提高網絡的安全性和性能。isp1102通過ip過濾提供防火墻功能。可以對ip地址、端口號、協議種類等進行設置并加以控制。
5.2.2中型企業信息系統方案
由于中型企業辦公環境較分散,距離教遠,對網絡的性能要求較高(數據交換的安全性,設備運行的可靠性,網絡管理的全面性),對網絡的速度亦有提高。同時,每個網段最長只能100米的有效距離的雙絞線傳輸介質已經不能滿足中型企業網絡的使用需求,有時必須使用多模光纖或單模光纖做為布線時所采用的傳輸線纜,使得有效傳輸距離能夠延伸至2公里(多模光纖)或更遠(單模光纖)。
方案說明
中心選用infiniteswitch5000系列交換機,根據用戶數量及功能要求選用is5048/5024/5024s+.為了保護企業內部網絡的安全,在接入internet時采用上海廣電應確信的防火墻isp91*,可以防止來自外部的非法的、惡意的攻擊。
由于中型企業辦公環境較分散,距離教遠,則在中心交換機上配置100base-f或1000base-l/s光纖模塊.企業內部采用svaisp91*通過ddn、framerlay、.25等廣域網專線接入internet,提供安全、快捷、簡便的企業外部網站方案。isp91*適用于中小型企業用戶,利用checkpoint軟件及其opsec合作伙伴構成頂級配置,為用戶提供一個完整的網絡安全解決方案。
應用二:
方案說明
對于一個中型企業,如果公司內部有較多的部門,位置比較分散,而且相互之間要獨立的工作,對于用戶的訪問權限可以限制(如要求劃分vlan),所有的部門通過公司的網絡中心的一臺三層交換機來接入internet,采用svahammerhead9300/9500/9800來對進行對網絡的安全進行保護。對于一些移動用戶可以采用無線接入設備(2020/1011/1001)來連入企業內部網及上internet.
在公司的各個部門中采用的交換機均支持vlan的劃分,根據每個部門的規劃及距離網絡中心的遠近采用100mutp或者100/1000m光纖接入。隨著員工數的增多,可以利用5024s/5024s+堆疊來擴展網絡,5024s/5024s+最多分別可堆疊至4臺/16臺,因此網絡有很好的擴展性及可管理性。
接入internet可以采用多種方式,通過pstn/isdn/ddn線路等多種方式,用戶可能根據需要來實現企業網接入公用網。
中型企業方案特點:
(1)較充分發揮了internet/intranet應用的特性
除了傳統的文件共享、打印共享等功能外,電子郵件、web、電子公告、庫房管理、遠程辦公等功能都是基于internet/intranet應用實現的。使得整個網絡系統充分發揮了internet/intranet應用的跨平臺、與硬件無關、標準統一等特點,使得中小型企業可以與外界透明地通訊。
(2)維護小、投入少
中型企業網絡系統使用了較少的高端產品,投入少而功能齊。由于使用了internet/intranet結構構造中小辦公室網絡系統,使得網絡結構更加client/server化,作為網絡的管理維護,只需對server端進行維護工作,對client的維護工作大大減少,所以總體上也就大大減少了維護工作量,并節省了投資。
(4)提高工作效率、節省開支。
在此方案中,提供了電子郵件、電子公告、web等實用、快捷的功能,大大提高了企業的辦公效率。同時提供了網絡內用戶對internet的透明訪問,使企業內部可以充分利用internet這個巨大的信息資源,更加提高了企業的辦公效率和資源利用。
5.2.3大型企業信息系統方案
大型企業辦公環境即指在超過幾百個工作站以上的大型辦公園區并有外地分支機構網絡環境。對網絡的性能要求很高,同時對網絡的速度亦有很高的要求。大型企業網支持各種網絡功能,能夠通過廣域網接口實現internet接入,建立企業主頁,為園區用戶提供e-mail電子郵件、www、ftp服務,同時支持網絡管理和電子信息的存儲、訪問管理。推薦采用局域網專線接入方式,此方式需要配備接入路由器,防火墻等網絡設備,租用電信部門的專線并向cernet管理部門申請ip地址及注冊域名。接入路由器可以通過ddn專線、framerelay等與internet相連。還可以按照需要組合配置多種wan廣域網端口模塊,提供寬帶、qos保證的遠程多媒體服務。為了保證企業網的安全,方案中提供svahammerhead9000安全平臺,svahammerhead9000系列是業界唯一模塊化網絡安全平臺和應用系統,在單一的設備上集成了路由、防火墻、入侵檢測、vpn、lan連接和其他安全應用,為用戶提供可擴容及可靠的網絡安全整體解決方案。
在布線上,除了采用多模或單模光纖之外,甚至還需要從電信部門租用ddn、幀中繼、.25、isdn等專線,或者利用無線微波方式進行遠距離連接。版權所有
方案說明
在網絡中心選擇上海廣電應確信的infiniteswitch7508三層交換機和5024交換機。在各分部門或者分公司根據信息點數選擇infiniteswitch4000/5000系列交換機。
在網絡中心的核心層配置的infiniteswitch7508g第三層交換機,可完成高帶寬、大容量網絡層路由交換功能交換,是一種功能強大的企業網主干交換機,使網絡管理者能方便的監督和管理網絡,同時,又能將主干網帶寬提升到千兆速度,infiniteswitch7000/7500系列是可網管的,高端口密度,配置靈活的高性能路由交換機。提供7個擴展插槽,22g交換背板上。網絡管理員能夠隨時通過任意一個端口配置以上功能,以消除傳統路由器的瓶頸,設置優先級給不同類型的網絡傳輸及保證某些應用的流量帶寬,如視頻傳輸。
infiniteswitch7508g提供了廣泛的管理選擇,包括hpopenview和其他的snmp管理系統,或者infiniteswitch7508g自己提供的網絡管理系統。infiniteswitch7508g提供到與infiniteswitch4000/5000系列以太網交換機、防火墻和服務器群(其中包括主域服務器、備份域服務器、文件服務器、數據庫服務器、應用服務器、www服務器等)、網管終端的高速連接,重要的服務器及主干鏈路均可采用千兆模塊進行生成樹(spanningtree)冗余鏈路連接。
接入層交換機,在本方案設計中,為了保證網絡的高性能,可采用infiniteswitch4000/5000系列智能以太網交換機,根據具體實際需求,接入層交換機可選用infiniteswitch4024/4032/5024/5024s/5048交換機。
在方案中的防火墻,選用svahammerhead9300.hammerhead9300是3插槽機箱式的安全平臺,用戶可以根據需求選擇服務器、交換機、路由器等模塊。svahammerhead9000的多種應用模塊能支持linu,hp/u,bsduni,windowsnt和sunsolaris等系統,它能為用戶提供防火墻保護、入侵偵測、身份認證、安全報告、內容安全、高可靠性。svahammerhead9000的有多種網絡模塊,它可支持多種的lan/wan互連,包括:frame、isdn、atm、以太網。實現完整的一體化的網絡安全解決方案。
方案特點:
1、高性能;網絡中采用了第三層交換機,第三層交換不僅擁有高速的交換功能,同時也具有全部的第三層控制功能,可以對流量基于ip地址、ip的協議類型、以及tcp/udp的端口進行交換控制,從而在提高網絡處理效率的同時,保障了vlan之間通訊的安全性。
2、可擴展性;網絡設計具有層次結構,用戶能靈活地接入到相應的層次當中。可擴展的網絡接口。
3、靈活性;適當的建立vlan,方便地理位置不同的用戶的網絡連接.
4、安全性;vlan的建立,可以控制廣播和應用的信息流動,從而防止用戶非法在網絡上截獲其它用戶或它們的資源。hammerhead9000網絡安全產品保護企業內部資源,防止外部入侵,控制和監督外部用戶對企業內部網的訪問;控制、監督和管理企業內部對外部internet的訪問。
5、層次化、模塊化;本網絡設計的特點為層次化、模塊化設計。
6、優良的性價比
六、總結
小型企業網絡安全解決方案范文第3篇
關鍵詞:等級保護分級管理;中小型網絡;安全建設
中圖分類號:TP309文獻標識碼:A文章編號:1007-9599 (2011) 24-0000-01
SMs Network Security Building Analysis in Level Protection Hierarchical Management
Xu Aihua,Lv Yun
(Nanjing Institute of Science& Technology Information,Nanjing 210018)
Abstract:This article based on "communications network security management approach"in the basic situation of small and medium sized networks and applications based on the analysis of the characteristics on small and medium sized network construction and management of network security solutions.
Keywords:Level protection classification management;Small network;
Security building
一、工信部關于等級保護分級管理的要求
如何利用等級保護中分級管理制度,確定不同的系統不同的安全策略,消除內部網向公網傳送的信息可能被他人竊聽或篡改等等安全隱患,對中小網絡而言至關重要。為此,自2010年3月1日起,工業和信息化部了《通信網絡安全防護管理辦法》(以下簡稱《辦法》)開始施行。《辦法》要求通信網絡運行單位應按照各通信網絡單元遭到破壞后可能造成的危害程度,將本單位已正式投入運行的通信網絡單元由低到高分別劃分為一級、二級、三級、四級、五級。《辦法》要求,通信網絡運行單位應當在通信網絡定級評審通過后三十日內,將通信網絡單元的劃分和定級情況按照有關規定向電信管理機構備案。電信管理機構對通信網絡運行單位開展通信網絡安全防護工作的情況進行檢查。
二、中小型網絡基本情況與應用特點
中小型計算機網絡主要應用于辦公自動化系統、信息查詢系統、郵件服務、財務、人事、計劃系統等實際工作和WWW應用中。根據中小型計算機網絡的應用特點,需要保證網絡中的數據具有可用性、可靠性、保密性、完整性、安全性等。又由于計算機網絡跨越公共網絡及與Internet網互聯,這就給計算機網絡帶來嚴峻的安全問題,如敏感信息的泄露、黑客的侵擾、網絡資源的非法使用以及計算機病毒等。這些安全問題如果得不到解決,那將會給計算機網絡帶來嚴重的安全隱患。所謂可用性是指網絡信息可被授權用戶訪問的特性,即網絡信息服務在需要時,能夠保證授權用戶使用。可靠性是指網絡系統硬件和軟件無故障運行的性能,是網絡系統安全最基本的要求;保密性是指網絡信息不被泄露的特性,保密性是保證信息即使泄露,非授權用戶在有限的時間內也不能識別真正的信息內容;完整性即網絡信息在存儲和傳輸過程中不被刪除、修改、偽造、亂序、重放和插入等操作,是指網絡信息未經授權不能進行改變的特性,也稱作不可否認性。從技術角度看,網絡安全的內容大體包括四個方面,即:網絡實體安全、軟件安全網絡數據安全和網絡安全管理。由此可見,計算機網絡安全不僅要保護計算機網絡設備安全,還要保護數據安全。因此實施網絡安全保護方案,目的是以保證算機網絡自身的安全。
三、中小型網絡安全解決方案
隨著網絡威脅越來越普遍、破壞性越來越嚴重,網絡入侵者攻擊來源廣泛,形式多樣。通常采用信息收集、探測分析系統的安全弱點和實施攻擊有步驟地進行入侵。如在目標系統安裝木馬程序用來窺探目標,網絡所熟悉的病毒,如紅色代碼、沖擊波,口令蠕蟲等對網絡造成了巨大損失。本文按照安全風險、需求分析結果、安全目標及安全設計原則,為中小型計算機網絡解決網絡安全問題,力求構建一個適合于中小型計算機網絡的安全體系。
(一)外網安全設計
1.防火墻系統:采用防火墻系統實現對內部網和廣域網進行隔離保護。對內部網絡中服務器子網通過單獨的防火墻設備進行保護。
2.入侵檢測系統:采用入侵檢測設備,作為防火墻的功能互補,提供對監控網段的攻擊的實時報警和積極響應。
3.病毒防護系統:強化病毒防護系統的應用策略和管理策略,增強病毒防護有效性。
4.垃圾郵件過濾系統:過濾郵件,阻止垃圾郵件及病毒郵件的入侵。
(二)內網安全設計
采用訪問控制策略,通過密碼、口令(不定期修改、定期保存密碼與口令)等禁止非授權用戶對服務器的訪問,以及對辦公自動化平臺、的訪問和管理、用戶身份真實性的驗證、內部用戶訪問權限設置、ARP病毒的防御、數據完整、審計記錄、防病毒入侵。對內部采用:網絡管理軟件系統:使網管人員對網絡中的實時數據流量情況能夠清晰了解。掌握整個網絡使用流量的平均標準,定位網絡流量的基線,及時發現網絡是否出現異常流量并控制帶寬。
具體可采用Juniper的整合式安全設備+三層交換機的配置方案。Juniper的整合式安全設備專為互聯網網絡安全而設,將硬件狀態防火墻、虛擬專用網(IP sec VPN)、入侵防護(IPS)和流量管理等多種安全功能集于一體,可以通過內置的Web UI、命令行界面或中央管理方案進行統一管理。
三層交換機具用于日志審計及監控。根據不同用戶安全級別或者根據不同部門的安全訪問需求,網絡利用三層交換機來劃分虛擬子網(VLAN)。因為三層交換機具有路由功能,在沒有配置路由的情況下,不同虛擬子網間是不能夠互相訪問,同時通過在不同VLAN間做限制來實現不同資源的訪問控制。通過虛擬子網的劃分,既方便局域網絡的互聯,又能夠實現訪問控制。
四、結束語
總之,我們必須不斷強化信息安全觀念,加強網絡與信息系統安全保障工作的檢查和監督,充分利用《通信網絡安全防護管理辦法》關于安全等級劃分的要求制定具體的信息安全防護策略,全面落實各項制度、預案,加強技術積累,定期進行網絡漏洞掃描等安全有效措施,切實加強網絡與信息系統安全保障工作,確保中小型網絡信息系統的安全穩定運行。
參考文獻:
