2023年全國碩士研究生考試考研英語一試題真題(含答案詳解+作文范文)_第1頁
已閱讀1頁,還剩16頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、<p><b>  計算機網(wǎng)絡(luò)課程設(shè)計</b></p><p><b>  設(shè)計說明書</b></p><p><b>  管理系</b></p><p>  2010 年 6 月 30日</p><p> 題目:構(gòu)建企業(yè)級網(wǎng)絡(luò)方案</p><p&

2、gt;<b>  課程設(shè)計任務(wù)書</b></p><p>  2009—2010學(xué)年第二學(xué)期</p><p>  課程設(shè)計名稱: 計算機網(wǎng)絡(luò)課程設(shè)計 </p><p>  設(shè)計題目: 構(gòu)建企業(yè)級網(wǎng)絡(luò)方案 </p

3、><p>  完成期限:自 2010 年 6 月 23 日至 2010 年 6 月 30 日共 1 周</p><p>  設(shè)計依據(jù)、要求及主要內(nèi)容(可另加附頁):</p><p>  通過本課程設(shè)計,使學(xué)生可以了解計算機網(wǎng)絡(luò)工程設(shè)計的一般任務(wù),明確計算機網(wǎng)絡(luò)設(shè)計與建設(shè)的基本原則,熟悉計算機網(wǎng)絡(luò)需求分析的目標(biāo)、任務(wù)和方法,

4、掌握計算機網(wǎng)絡(luò)設(shè)計的通用方法,并能學(xué)會撰寫規(guī)范的計算機網(wǎng)絡(luò)方案書。培養(yǎng)學(xué)生綜合利用所學(xué)的理論知識分析解決實際問題的能力、利用和查閱資料的能力、獨立工作的能力以及計算機應(yīng)用能力。</p><p>  選擇一家中小規(guī)模的企事業(yè)單位(也可以是某學(xué)校的校園網(wǎng)),該單位在近期具有組網(wǎng)或升級網(wǎng)絡(luò)的需求。然后通過實地調(diào)查、現(xiàn)場訪談、書面調(diào)查等形式了解企業(yè)的組織結(jié)構(gòu)、網(wǎng)絡(luò)建設(shè)的背景,明確網(wǎng)絡(luò)需求和網(wǎng)絡(luò)性能的評價標(biāo)準(zhǔn)。具體地,包括

5、網(wǎng)絡(luò)建設(shè)的目的與原則、投資規(guī)模、現(xiàn)有網(wǎng)絡(luò)的問題與不足等;網(wǎng)絡(luò)系統(tǒng)中所包含的信息點的數(shù)量分布及信息流量、應(yīng)用程序的類型、是否需要提供廣域網(wǎng)的接入和網(wǎng)絡(luò)安全上的考慮因素等。</p><p>  根據(jù)需求分析,要求以層次化的網(wǎng)絡(luò)設(shè)計方法,選擇合適的網(wǎng)絡(luò)技術(shù),設(shè)計一個性能價格比相對優(yōu)化的網(wǎng)絡(luò)解決方案,該網(wǎng)絡(luò)要提供盡可能高的先進性、可靠性、有效性、可擴展性和可管理性。</p><p>  指導(dǎo)教師(

6、簽字): 教研室主任(簽字): </p><p>  批準(zhǔn)日期: 年 月 日</p><p><b>  目 錄</b></p><p>  第一章 企業(yè)內(nèi)網(wǎng)現(xiàn)狀描述4</p><p>  第二章 企業(yè)內(nèi)網(wǎng)安全需求分析4</p&g

7、t;<p>  第三章 企業(yè)內(nèi)網(wǎng)安全方案設(shè)計原則5</p><p>  3.1安全體系結(jié)構(gòu)5</p><p>  3.2安全方案設(shè)計原則6</p><p>  3.2.1需求、風(fēng)險、代價平衡的原則6</p><p>  3.2.2 綜合性、整體性原則6</p><p>  3.2.3一致性原則

8、6</p><p>  3.2.4 易操作性原則6</p><p>  3.2.5 適應(yīng)性、靈活性及多重保護原則6</p><p>  第四章 內(nèi)網(wǎng)安全技術(shù)實現(xiàn)方案7</p><p><b>  4.1物理安全7</b></p><p><b>  4.2網(wǎng)絡(luò)安全8</b

9、></p><p>  4.2.1 網(wǎng)絡(luò)結(jié)構(gòu)安全8</p><p>  4.2.2訪問控制9</p><p>  4.2.3入侵檢測12</p><p>  4.2.4病毒防護12</p><p>  4.2.5數(shù)據(jù)備份與恢復(fù)12</p><p>  4.3安全管理13<

10、/p><p>  4.3.1.安全管理原則13</p><p>  4.3.2.安全管理的實現(xiàn)14 </p><p>  第五章 安全設(shè)備配置15</p><p>  5.1企業(yè)內(nèi)網(wǎng)網(wǎng)絡(luò)安全拓撲圖15</p><p>  5.2企業(yè)內(nèi)網(wǎng)網(wǎng)絡(luò)安全設(shè)備配置列表16</p><p><b&

11、gt;  總結(jié)16</b></p><p><b>  參考文獻17</b></p><p>  第一章 企業(yè)內(nèi)網(wǎng)現(xiàn)狀描述</p><p>  企業(yè)內(nèi)網(wǎng)由于網(wǎng)絡(luò)建設(shè)時間比較早,網(wǎng)絡(luò)設(shè)備比較老,很多現(xiàn)在先進的網(wǎng)絡(luò)技術(shù)支持的不是很好,導(dǎo)致了結(jié)構(gòu)的劃分上不是很清晰,但大致可以分為六個組成部分,即;核心骨干區(qū)、內(nèi)網(wǎng)用戶區(qū)、數(shù)據(jù)庫服務(wù)器區(qū)

12、、應(yīng)用服務(wù)器區(qū)、WEB服務(wù)器區(qū)和軟件服務(wù)器區(qū)。核心骨干區(qū)由兩臺IBM8265三層交換機組成,其中一臺通過千兆光纖下聯(lián)到各種樓層交換機,形成了內(nèi)網(wǎng)用戶區(qū);另外一臺通過155M光纖下聯(lián)到2810交換機,2810交換機通過100M以太接口與各類軟件服務(wù)器相聯(lián)形成了軟件服務(wù)器區(qū);2810交換機通過一條100M以太線路連接到Catalyst3550交換機,Catalyst3550通過100M以太接口與各類WEB服務(wù)器相聯(lián)形成了WEB服務(wù)器區(qū);IB

13、M8265通過一條100M以太線路連接到Catalyst3548交換機,Catalyst3548通過100M以太接口連接各類數(shù)據(jù)庫服務(wù)器,形成了數(shù)據(jù)庫服務(wù)器區(qū);另外IBM8265通過100M以太接口直接連接各類應(yīng)用服務(wù)器,形成了應(yīng)用服務(wù)器區(qū)。所有的內(nèi)部數(shù)據(jù)都在核心層進行快速的交換/路由,以保證整個企業(yè)內(nèi)網(wǎng)高效、快捷、安全的運轉(zhuǎn)。</p><p>  第二章 企業(yè)內(nèi)網(wǎng)安全需求分析</p><p&

14、gt;  企業(yè)內(nèi)網(wǎng)為企業(yè)內(nèi)網(wǎng)系統(tǒng)業(yè)務(wù)的開展帶來了極大的方便?但隨著網(wǎng)絡(luò)應(yīng)用的擴大和網(wǎng)絡(luò)設(shè)備的老化,網(wǎng)絡(luò)安全風(fēng)險也變得更加嚴(yán)重和復(fù)雜,原來運轉(zhuǎn)正常的網(wǎng)絡(luò)現(xiàn)在經(jīng)常發(fā)生網(wǎng)絡(luò)故障,嚴(yán)重影響了內(nèi)部業(yè)務(wù)的開展?原來由單個計算機安全事故引起的損害可能傳播到其它系統(tǒng)和主機,引起大范圍的癱瘓和損失;另外,加上一些人缺乏安全控制機制和對網(wǎng)絡(luò)安全政策及防護意識的認識不足,這些風(fēng)險可謂日益加重?這些風(fēng)險由多種因素引起,與網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)和系統(tǒng)的應(yīng)用等因素密切相關(guān)?

15、</p><p>  在目前的網(wǎng)絡(luò)中已經(jīng)部署了一些安全產(chǎn)品,例如防病毒軟件、防火墻系統(tǒng)等?原來清華德實公司的四臺防火墻設(shè)備,在訪問控制方面已經(jīng)有了基本的防護功能,但設(shè)備的部署不是很合理,沒有充分發(fā)揮防火墻的訪問控制功能,只有小部分服務(wù)器得到了防火墻的保護,大部分服務(wù)器沒有任何防護措施,完全暴露在公開網(wǎng)絡(luò)中,其安全度可想而知?我們根據(jù)業(yè)務(wù)的需求重新劃分了新的網(wǎng)絡(luò)安全域,在核心交換機和數(shù)據(jù)庫安全域之間沒有任何的安全防

16、護,而這些數(shù)據(jù)又是網(wǎng)絡(luò)中的核心,一旦數(shù)據(jù)發(fā)生問題這個的業(yè)務(wù)都會受到影響,所以保護這些數(shù)據(jù)的安全是重中之重?因此為了保證企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)的安全、穩(wěn)定、高效的運轉(zhuǎn),有必要對其網(wǎng)絡(luò)安全進行專門設(shè)計?</p><p>  第三章 企業(yè)內(nèi)網(wǎng)安全方案設(shè)計原則</p><p><b>  3.1安全體系結(jié)構(gòu)</b></p><p>  網(wǎng)絡(luò)安全的總體設(shè)計思想

17、是圍繞MPDR2模型的,要實現(xiàn)企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全,就要從保護、檢測、響應(yīng)、恢復(fù)及管理五個方面對縱向網(wǎng)信息系統(tǒng)建立一套全方位的信息保障體系。</p><p>  P(Protection):防護 D(Detection):掃描、檢測 R(Response):回應(yīng)</p><p>  R(Recovery):恢復(fù)/備份 M(Management):管理</p>

18、<p>  保護;安全保護技術(shù)包括訪問控制技術(shù)、身份認證技術(shù)、加密技術(shù)、數(shù)字簽名技術(shù)、系統(tǒng)備份等?信息系統(tǒng)的保護是安全策略的核心內(nèi)容?</p><p>  檢測;檢測的含義是對信息傳輸內(nèi)容的可控性的檢測,包括對信息平臺訪問過程的檢測,對違規(guī)與惡意攻擊的檢測,對系統(tǒng)與網(wǎng)絡(luò)弱點與漏洞的檢測等等?檢測使信息安全環(huán)境從單純的被動防護演進到積極防御,從概念化安全對策演變到在對整體安全狀態(tài)認知基礎(chǔ)上的有針對性的對

19、策,并為進行及時有效的安全響應(yīng)以及更加精確的安全評估奠定了基礎(chǔ)?</p><p>  回應(yīng);響應(yīng)是保證在任何時候信息平臺能高效正常運行,要求安全體系提供有力的響應(yīng)機制?包括在遇到攻擊和緊急事件時及時采取措施,例如關(guān)閉受到攻擊的服務(wù)器;反擊進行攻擊的網(wǎng)站;按系統(tǒng)的安全狀況加強和調(diào)整安全措施等等?</p><p>  恢復(fù);狹義的恢復(fù)指災(zāi)難恢復(fù),在系統(tǒng)受到攻擊的時候,評估系統(tǒng)受到的危害與損失,

20、按緊急響應(yīng)預(yù)案進行數(shù)據(jù)與系統(tǒng)恢復(fù),啟動備份系統(tǒng)恢復(fù)工作等?廣義的恢復(fù)還包括災(zāi)難生存等現(xiàn)代新興學(xué)科的研究?保證信息系統(tǒng)在惡劣的條件下,甚至在遭到惡意攻擊的條件下,仍能有效地發(fā)揮效能?</p><p>  管理;管理是實現(xiàn)整個網(wǎng)絡(luò)系統(tǒng)安全的重要保證,有了安全網(wǎng)絡(luò)環(huán)境,但缺乏有效的安全管理,安全就很難得以維持,只有建立嚴(yán)格安全管理制并強制執(zhí)行,才能適應(yīng)網(wǎng)絡(luò)安全的動態(tài)性和整體性?</p><p>

21、  網(wǎng)絡(luò)安全是一個整體目標(biāo)?如果全面的保護仍然不能確保安全,就需要檢測來為響應(yīng)創(chuàng)造條件;有效與充分地響應(yīng)安全事件?將大大減少對保護和恢復(fù)的依賴;恢復(fù)能力是在其它措施均失效的情形下的最后保障機制?因此,要在網(wǎng)絡(luò)上構(gòu)筑有效的安全保障體系,必須投入必要的資源,全面加強五個方面的技術(shù)與管理,實現(xiàn)整體網(wǎng)絡(luò)的安全目標(biāo)?</p><p>  3.2安全方案設(shè)計原則</p><p>  在對企業(yè)內(nèi)網(wǎng)進行網(wǎng)

22、絡(luò)系統(tǒng)安全方案的設(shè)計和規(guī)劃時,我們遵循以下原則:</p><p>  3.2.1需求、風(fēng)險、代價平衡的原則</p><p>  對任何一個網(wǎng)絡(luò),絕對安全難以達到,也不一定是必要的?對一個網(wǎng)絡(luò)要進行實際的研究(包括任務(wù)、性能、結(jié)構(gòu)、可靠性、可維護性等),并對網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險進行定性與定量相結(jié)合的分析,然后制定相應(yīng)的規(guī)范和措施,確定系統(tǒng)的安全策略?</p><

23、p>  3.2.2 綜合性、整體性原則</p><p>  應(yīng)運用系統(tǒng)工程的觀點、方法,分析網(wǎng)絡(luò)的安全及具體措施?安全措施主要包括;行政法律手段、各種管理制度(人員審查、工作流程、維護保障制度等)以及專業(yè)技術(shù)措施(訪問控制、加密技術(shù)、認證技術(shù)、攻擊檢測技術(shù)、容錯、防病毒等)?一個較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果?</p><p>  3.2.3一致性原則</p&g

24、t;<p>  一致性原則主要是指網(wǎng)絡(luò)安全問題應(yīng)與整個網(wǎng)絡(luò)的工作周期(或生命周期)同時存在,制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致?安全的網(wǎng)絡(luò)系統(tǒng)設(shè)計(包括初步或詳細設(shè)計)及實施計劃、網(wǎng)絡(luò)驗證、驗收、運行等,都要有詳實的內(nèi)容及措施?實際上,在網(wǎng)絡(luò)建設(shè)的開始就考慮網(wǎng)絡(luò)安全對策,比在網(wǎng)絡(luò)建設(shè)完成后再考慮安全措施,不但容易,而且花費也少很多?</p><p>  3.2.4 易操作性原則</p

25、><p>  安全措施需要人去完成,如果措施過于復(fù)雜,對人的要求過高,本身就降低了安全性;其次,措施的采用不能影響系統(tǒng)的正常運行?</p><p>  3.2.5 適應(yīng)性、靈活性及多重保護原則</p><p>  安全措施必須能隨著網(wǎng)絡(luò)性能及安全需求的變化而變化,要容易適應(yīng)、容易修改和升級。</p><p>  任何安全措施都不是絕對安全的,都可

26、能被攻破?但是建立一個多重保護系統(tǒng),各層保護相互補充,當(dāng)一層保護被攻破時,其它層保護仍可保護信息的安全?</p><p>  網(wǎng)絡(luò)安全是整體的、動態(tài)的?網(wǎng)絡(luò)安全的整體性是指一個安全系統(tǒng)的建立,即包括采用相應(yīng)的安全設(shè)備,又包括相應(yīng)的管理手段?安全設(shè)備不是指單一的某種安全設(shè)備,而是指幾種安全設(shè)備的綜合?網(wǎng)絡(luò)安全的動態(tài)性是指,網(wǎng)絡(luò)安全是隨著環(huán)境、時間的變化而變化的,在一定環(huán)境下是安全的系統(tǒng),環(huán)境發(fā)生變化了(如更換了某個

27、機器),原來安全的系統(tǒng)就變的不安全了;在一段時間里安全的系統(tǒng),時間發(fā)生變化了(如今天是安全的系統(tǒng),可能因為黑客發(fā)現(xiàn)了某種系統(tǒng)的漏洞,明天就會變的不安全了),原來的系統(tǒng)就會變的不安全?所以,網(wǎng)絡(luò)安全不是一勞永逸的事情?</p><p>  對于企業(yè)內(nèi)網(wǎng)的網(wǎng)絡(luò)建設(shè),我們的方案采取以上的原則,先對整個網(wǎng)絡(luò)進行整體的安全規(guī)劃,然后,根據(jù)實際狀況建立一個從防護—檢測—響應(yīng)的基礎(chǔ)的安全防護體系,保證整個網(wǎng)絡(luò)安全的最根本需要?

28、</p><p>  第四章 內(nèi)網(wǎng)安全技術(shù)實現(xiàn)方案</p><p>  通過對企業(yè)內(nèi)網(wǎng)網(wǎng)絡(luò)應(yīng)用的全面了解,根據(jù)企業(yè)內(nèi)網(wǎng)網(wǎng)絡(luò)的實際情況,按照安全風(fēng)險、需求分析的結(jié)果以及網(wǎng)絡(luò)的安全目標(biāo),我們從物理安全、網(wǎng)絡(luò)安全、管理安全等幾個方面對現(xiàn)有的網(wǎng)絡(luò)進行分析。</p><p><b>  4.1物理安全</b></p><p>  

29、保證計算機信息系統(tǒng)各種設(shè)備的物理安全是保障整個企業(yè)內(nèi)網(wǎng)網(wǎng)絡(luò)系統(tǒng)安全的前提。物理安全是保護計算機網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導(dǎo)致的破壞過程。它主要包括三個方面:</p><p>  環(huán)境安全:對系統(tǒng)所在環(huán)境的安全保護,如區(qū)域保護和災(zāi)難保護;(參見國家標(biāo)準(zhǔn)GB50173-93《電子計算機機房設(shè)計規(guī)范》、國標(biāo)GB2887-89《計算站場地技術(shù)條件》、

30、GB9361-88《計算站場地安全要求》)</p><p>  設(shè)備安全;主要包括設(shè)備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等;通過嚴(yán)格管理及提高員工的整體安全意識來實現(xiàn)?</p><p>  媒體安全;包括媒體數(shù)據(jù)的安全及媒體本身的安全?</p><p>  顯然,為保證信息網(wǎng)絡(luò)系統(tǒng)的物理安全,除在網(wǎng)絡(luò)規(guī)劃和場地、環(huán)境等要求之外,還要

31、防止系統(tǒng)信息在空間的擴散?計算機系統(tǒng)通過電磁輻射使信息被截獲而失密的案例已經(jīng)很多,在理論和技術(shù)支持下的驗證工作也證實這種截取距離在幾百甚至可達千米的復(fù)原顯示給計算機系統(tǒng)信息的保密工作帶來了極大的危害?為了防止系統(tǒng)中的信息在空間上的擴散,通常是在物理上探取一定的防護措施,來減少或干擾擴散出去的空間信號?政府、軍隊、金融機構(gòu)在建設(shè)信息中心時都將成為首要設(shè)置的條件?</p><p>  正常的防范措施主要在三個方面;

32、</p><p>  1、對主機房及重要信息存儲、收發(fā)部門進行屏蔽處理, 即建設(shè)一個具有高效屏蔽效能的屏蔽室,用它來安裝運行主要設(shè)備,以防止磁鼓、磁帶與高輻射設(shè)備等的信號外泄。為提高屏蔽室的效能,在屏蔽室與外界的各項聯(lián)系、連接中均要采取相應(yīng)的隔離措施和設(shè)計,如信號線、電話線、空調(diào)、消防控制線,以及通風(fēng)、波導(dǎo),門的關(guān)起等?</p><p>  2、對本地網(wǎng)、局域網(wǎng)傳輸線路傳導(dǎo)輻射的抑制,由于

33、電纜傳輸輻射信息的不可避免性,現(xiàn)均采光纜傳輸?shù)姆绞?,大多?shù)均在Modem出來的設(shè)備用光電轉(zhuǎn)換接口,用光纜接出屏蔽室外進行傳輸?</p><p>  3、對終端設(shè)備輻射的防范,終端機尤其是CRT顯示器,由于上萬伏高壓電子流的作用,輻射有極強的信號外泄,但又因終端分散使用不宜集中采用屏蔽室的辦法來防止,故現(xiàn)在的要求除在訂購設(shè)備上盡量選取低輻射產(chǎn)品外,目前主要采取主動式的干擾設(shè)備如干擾機來破壞對應(yīng)信息的竊取,個別重要的

34、首腦或集中的終端也可考慮采用有窗子的裝飾性屏蔽室,這種方法雖降低了部份屏蔽效能,但可大大改善工作環(huán)境,使人感到在普通機房內(nèi)一樣工作?</p><p>  本方案暫不考慮這方面的安全?</p><p><b>  4.2網(wǎng)絡(luò)安全</b></p><p>  網(wǎng)絡(luò)安全主要涉及網(wǎng)絡(luò)結(jié)構(gòu)的安全和網(wǎng)絡(luò)系統(tǒng)的安全?網(wǎng)絡(luò)結(jié)構(gòu)安全涉及網(wǎng)絡(luò)結(jié)構(gòu)的合理性和可擴展性

35、,網(wǎng)絡(luò)系統(tǒng)的安全涉及到很多內(nèi)容,根據(jù)用戶的實際情況本方案中只涉及了訪問控制、入侵檢測、病毒防護、數(shù)據(jù)的備份等,由于用戶網(wǎng)絡(luò)中已經(jīng)有了病毒防護和數(shù)據(jù)的備份防護措施,所以下面的描述只涉及到了訪問控制和入侵檢測技術(shù)?</p><p>  4.2.1 網(wǎng)絡(luò)結(jié)構(gòu)安全</p><p>  在網(wǎng)絡(luò)結(jié)構(gòu)的安全方面,主要考慮優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)、路由的優(yōu)化和可擴展性?</p><p>  網(wǎng)

36、絡(luò)結(jié)構(gòu)的建立要考慮地域環(huán)境、現(xiàn)有線路狀況、設(shè)備配置與應(yīng)用情況、通信量的估算、網(wǎng)絡(luò)維護管理、網(wǎng)絡(luò)應(yīng)用與業(yè)務(wù)定位等因素?成熟的網(wǎng)絡(luò)結(jié)構(gòu)應(yīng)具有開放性、標(biāo)準(zhǔn)化、可靠性、先進性和實用性,并且應(yīng)該有結(jié)構(gòu)化的設(shè)計,充分利用現(xiàn)有資源,具有運營維護管理的簡便性,完善的安全保障體系?網(wǎng)絡(luò)結(jié)構(gòu)采用分層的體系結(jié)構(gòu),利于維護管理,利于更高的安全控制和業(yè)務(wù)發(fā)展?</p><p>  網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)化,在網(wǎng)絡(luò)拓撲上主要考慮冗余鏈路、冗余路由,動

37、態(tài)路由協(xié)議的安全認證,專用網(wǎng)管鏈路等;在企業(yè)網(wǎng)絡(luò)的建設(shè)中我們方案在核心采用2臺高端3層交換機,采用HSRP技術(shù)互為備份,實現(xiàn)備份與負載功能;采用VLAN技術(shù),將網(wǎng)絡(luò)根據(jù)業(yè)務(wù)關(guān)系劃分為若干個強度不同安全域,減少網(wǎng)絡(luò)廣播數(shù)據(jù)包,減少數(shù)據(jù)沖突,提高帶寬利用率,保障網(wǎng)絡(luò)安全、穩(wěn)定運轉(zhuǎn);在接入層交換機到核心層交換機之間采用雙鏈路(STP技術(shù)),保障接入層到核心層的實時暢通;采用QOS技術(shù)來保障關(guān)鍵應(yīng)用有可靠的帶寬?</p><

38、p>  路由的優(yōu)化,主要涉及到以下幾個方面;防止單點失??;隔離路由波動;消除循環(huán)路由;較小的時延;使用路由認證,保證動態(tài)路由的安全;在企業(yè)網(wǎng)絡(luò)的建設(shè)中我們方案采用浮動靜態(tài)路由、動態(tài)路由、策略路由的方式實現(xiàn)路由的冗余備份?</p><p>  可擴展性,網(wǎng)絡(luò)發(fā)展極為迅速,用戶需求也在不斷提高,當(dāng)為擴展業(yè)務(wù)范圍而增加設(shè)備時,能夠方便、有效地接入,不至于因網(wǎng)絡(luò)結(jié)構(gòu)的局限性,而重新調(diào)整網(wǎng)絡(luò)設(shè)備,由此而帶來不安全因素

39、;在在企業(yè)網(wǎng)絡(luò)的安全建設(shè)中我們方案采用成熟的網(wǎng)絡(luò)技術(shù)來構(gòu)建這個網(wǎng)絡(luò)基礎(chǔ)設(shè)施,例如采用802.3技術(shù),也就是目前普遍使用的以太網(wǎng)技術(shù)?</p><p>  根據(jù)網(wǎng)絡(luò)目前的實際情況,現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)仍然保持不變,在下一次網(wǎng)絡(luò)改造中主要遵循這個原則就可以了?</p><p><b>  4.2.2訪問控制</b></p><p>  企業(yè)網(wǎng)絡(luò)系統(tǒng)的訪問

40、控制可以通過配備訪問控制設(shè)備來實現(xiàn)?</p><p>  對于內(nèi)部網(wǎng)絡(luò),根據(jù)用戶實際的業(yè)務(wù)數(shù)據(jù)流向和我們對網(wǎng)絡(luò)安全的理解與經(jīng)驗,我們重新劃分了不同強度的網(wǎng)絡(luò)安全域?要實現(xiàn)不同安全域之間的訪問控制,在實現(xiàn)高效的訪問控制的同時,又要保證內(nèi)網(wǎng)中關(guān)鍵的業(yè)務(wù)數(shù)據(jù)可以正常通過防火墻設(shè)備?通過配置安全的訪問控制策略可以過濾進、出防火墻的數(shù)據(jù)包;管理進、出網(wǎng)絡(luò)的訪問行為;封堵某些禁止的訪問;記錄通過防火墻的信息內(nèi)容和活動;對網(wǎng)絡(luò)

41、攻擊的檢測和告警?</p><p>  根據(jù)需要我們重新劃分了七個網(wǎng)絡(luò)安全域,在不同的安全域之間分別放置了防火墻設(shè)備,設(shè)備的部署情況描述如下:</p><p>  1、根據(jù)內(nèi)網(wǎng)業(yè)務(wù)數(shù)據(jù)的實際情況,我們在核心交換機和CATALYST3500之間部署一臺天融信公司的NGFW4000-E防火墻產(chǎn)品,以保障所有對安全域一中的數(shù)據(jù)庫進行調(diào)用時長連接的正常轉(zhuǎn)發(fā),不會因為防火墻的原因造成數(shù)據(jù)調(diào)用的失敗,

42、從而影響正常的業(yè)務(wù)應(yīng)用?</p><p>  2、由于網(wǎng)絡(luò)視頻、視頻會議、網(wǎng)絡(luò)電話等應(yīng)用對防火墻的要求很高,不斷要求防火墻能夠?qū).323、MMS、RTSP、NETMeeting、SIP等協(xié)議有很好的支持,并且對防火墻的轉(zhuǎn)發(fā)率、對數(shù)據(jù)的延遲、丟包率以及對突發(fā)數(shù)據(jù)的處理能力都有嚴(yán)格的要求,因此在單獨部署了一臺清華德實公司的防火墻產(chǎn)品,以滿足業(yè)務(wù)對防火墻的這種高要求的需要?</p><p> 

43、 3、在安全域二和核心交換機之間部署一臺清華德實公司的防火墻,這樣不僅能夠保護原有的設(shè)備投資,也能夠滿足基本的訪問控制的要求?</p><p>  4、在安全域三中部署了很多常見應(yīng)用服務(wù)器,包括WEB服務(wù)器、郵件服務(wù)器、DNS服務(wù)器等,這些服務(wù)器對網(wǎng)絡(luò)的穩(wěn)定性、轉(zhuǎn)發(fā)速率和安全性有非常高的要求,一旦這些服務(wù)器出現(xiàn)問題整個辦公系統(tǒng)將會癱瘓,嚴(yán)重影響辦公效率,因此在安全域三和核心交換機之間部署一臺天融信公司的NGFW4

44、000防火墻,并且在郵件服務(wù)器的前端部署冠群金辰公司的KSG防病毒過濾網(wǎng)關(guān),以滿足基本的訪問控制的要求和系統(tǒng)對網(wǎng)絡(luò)的穩(wěn)定性、轉(zhuǎn)發(fā)速率和安全性的高要求? 5、安全域四是內(nèi)部終端用戶區(qū),分部在各個樓層,并且鏈路是光纖接口,如果部署防火墻系統(tǒng),一是設(shè)備數(shù)量很多,二是光纖設(shè)備非常昂貴,這樣部署防火墻設(shè)備的造價很高,大量的投入也并不能提高網(wǎng)絡(luò)的安全狀況,但我們可以在連接終端用戶的三層交換機端口上進行簡單的訪問控制,滿足基本的訪問控制要求?

45、能否實現(xiàn)這個功能要看三層交換機的功能。</p><p>  6、在安全域五和核心交換機之間部署一臺清華德實公司的防火墻,這樣不僅能夠保護原有的設(shè)備投資,也能夠滿足基本的訪問控制的要求?</p><p>  7、在安全域六和核心交換機之間部署一臺清華德實公司的防火墻,這樣不僅能夠保護原有的設(shè)備投資,也能夠滿足基本的訪問控制的要求?</p><p>  天融信防火墻NG

46、FW4000在保證高可用性和高可靠性的同時還在以下幾個方面起著重要的作用:</p><p>  1. 通過防火墻的規(guī)則設(shè)置隔離了數(shù)據(jù)庫安全域與其它安全域,實現(xiàn)了保護關(guān)鍵業(yè)務(wù)的應(yīng)用、控制對服務(wù)器的訪問、記錄和統(tǒng)計網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)和策略執(zhí)行等功能。到數(shù)據(jù)庫安全域的全部通信都受到防火墻的監(jiān)控,通過防護墻的策略可以設(shè)置成相應(yīng)的保護級別,以保證系統(tǒng)的安全?</p><p>  2. 過濾

47、網(wǎng)絡(luò)中不必要傳輸?shù)臒o用數(shù)據(jù)?防火墻是一種網(wǎng)關(guān)型的設(shè)備,各個區(qū)域之間的通信,可以通過防火墻的添加規(guī)則策略保障,如果在防火墻上添加一些有關(guān)重要應(yīng)用的策略,就可以過濾掉部分無用的信息,只要網(wǎng)絡(luò)中傳輸必要的應(yīng)用數(shù)據(jù),比如封閉目前常見的蠕蟲病毒使用的端口?</p><p>  3. 防火墻具有流量控制的特性,可以依據(jù)應(yīng)用來限制流量,來調(diào)整鏈路的帶寬利用,如:在網(wǎng)絡(luò)中,有數(shù)據(jù)庫調(diào)用應(yīng)用、域登陸應(yīng)用等等,可以在防火墻中直接加載

48、控制策略,使數(shù)據(jù)庫調(diào)用應(yīng)用、域登陸應(yīng)用按照預(yù)定的帶寬進行數(shù)據(jù)交換?實現(xiàn)流量控制,調(diào)整鏈路帶寬利用的功能?</p><p>  4. 在天融信防火墻上還可以防止惡意的內(nèi)部員工通過網(wǎng)絡(luò)對數(shù)據(jù)庫安全域的服務(wù)器TCP/UDP端口進行非法掃描,消除系統(tǒng)安全的隱患?可防止惡意的內(nèi)部員工通過網(wǎng)絡(luò)對數(shù)據(jù)庫安全域的服務(wù)器進行源路由攻擊、IP碎片包攻擊、DNS / RIP / ICMP攻擊、SYN攻擊、拒絕服務(wù)攻擊等多種攻擊?天融信

49、防火墻提供入侵檢測的功能,當(dāng)發(fā)現(xiàn)重要服務(wù)器被攻擊時,防火墻將自動報警并根據(jù)策略進行響應(yīng)?</p><p>  5. 對于防火墻自身來說,日志的導(dǎo)出、日志服務(wù)器的安裝,可使得通過防火墻的數(shù)據(jù)訪問加以統(tǒng)計,為優(yōu)化網(wǎng)絡(luò)提供必要的數(shù)據(jù),日志服務(wù)器可以完成,每個不同的源訪問的流量統(tǒng)計,可以了解到每個源的流量是否在正常范圍內(nèi),等等?這樣的數(shù)據(jù)對于網(wǎng)絡(luò)安全是十分重要的?</p><p>  6. 防火墻

50、提供應(yīng)用級透明代理,可以對高層應(yīng)用(HTTP、FTP、SMTP、POP3、NNTP)做了更詳細控制,如HTTP命令(GET,POST,HEAD)及URL,F(xiàn)TP命令(GEI,PUT)及文件控制,也就是說,在的網(wǎng)絡(luò)中當(dāng)通過防火墻對數(shù)據(jù)庫安全域進行訪問時,可在應(yīng)用層上做更詳細的訪問控制?</p><p>  7. 通過在數(shù)據(jù)庫安全域添加入侵檢測系統(tǒng),保證入侵檢測系統(tǒng)與防火墻產(chǎn)生聯(lián)動?當(dāng)網(wǎng)絡(luò)中發(fā)生攻擊時,向防火墻發(fā)送策

51、略,將攻擊行為進行過濾,使攻擊行為的數(shù)據(jù)無法到達目的主機,實際上是斬斷了攻擊的路徑?如此往復(fù),可以提供大量時間來追測攻擊源,采取相應(yīng)措施?全面的聯(lián)動延長了安全管理的觸角,增加了安全管理的手段,加大了安全管理的強度?</p><p>  4.2.3入侵檢測 </p><p>  防火墻的主要功能是對進出防火墻的數(shù)據(jù)進行訪問控制,防火墻無法阻止由于防火墻配置有誤或者繞過防火墻而進入網(wǎng)絡(luò)的非法數(shù)

52、據(jù)?數(shù)據(jù)一旦通過防火墻進入網(wǎng)絡(luò)后,如果操作系統(tǒng)或者應(yīng)用系統(tǒng)本身存在漏洞,由于防火墻系統(tǒng)是一個靜態(tài)、被動的設(shè)備,這時候就無能為力了,入侵檢測系統(tǒng)作為防火墻的一個有益補充,完全可以勝任此工作?入侵檢測是根據(jù)已有的、最新的攻擊手段的信息代碼對進出各個安區(qū)域的所有操作進行主動的實時監(jiān)控、審查,并按制定的策略實行響應(yīng)(阻斷、報警、發(fā)送E-mail),同時進行日志記錄,并且入侵檢測系統(tǒng)的動態(tài)防御還能實現(xiàn)入侵檢測系統(tǒng)和防火墻及其它特定網(wǎng)絡(luò)安全系統(tǒng)之間

53、的互動(如路由器),動態(tài)的保護網(wǎng)絡(luò)不受惡意的入侵及來自于內(nèi)部的攻擊?根據(jù)企業(yè)內(nèi)網(wǎng)的實際網(wǎng)絡(luò)環(huán)境以及應(yīng)用情況,我們方案目前只在數(shù)據(jù)庫安全域部署一套入侵檢測系統(tǒng),以后可以根據(jù)業(yè)務(wù)的重要程度在需要的安全域添加入侵檢測系統(tǒng),以實現(xiàn)對數(shù)據(jù)進行主動的實時監(jiān)控、審查,以發(fā)現(xiàn)違規(guī)行為,并對違規(guī)行為進行處理(報警、阻斷、與防火墻進行聯(lián)動等)?管理員也可以定期的生產(chǎn)各種報表,根據(jù)報表及時的調(diào)整安全策略,完善網(wǎng)絡(luò)中存在的安全問題。</p>&l

54、t;p><b>  4.2.4病毒防護</b></p><p>  目前企業(yè)內(nèi)網(wǎng)已經(jīng)部署了一套完整的防病毒解決系統(tǒng),包括客戶端防病毒、服務(wù)器防病毒、群件系統(tǒng)防病毒、網(wǎng)關(guān)防病毒系統(tǒng)以及統(tǒng)一的升級、管理、監(jiān)控,但面對日益猖狂的病毒,特別是蠕蟲型的病毒,單靠一套完整的防病毒系統(tǒng)已經(jīng)難以解決問題?一套優(yōu)秀的防病毒解決方案不但要有一套完整的技術(shù)解決方案,還要有一個勤奮努力的網(wǎng)絡(luò)管理員和嚴(yán)格的管理

55、制度?</p><p>  4.2.5數(shù)據(jù)備份與恢復(fù)</p><p>  備份系統(tǒng)為一個目的而存在:存檔備份;當(dāng)需要時,盡可能快地全盤恢復(fù)運行計算機系統(tǒng)所需的數(shù)據(jù)和系統(tǒng)信息?根據(jù)系統(tǒng)安全需求可選擇的備份機制有:場地內(nèi)高速、高容量自動的數(shù)據(jù)存儲、備份與恢復(fù),場地外的數(shù)據(jù)存儲、備份與恢復(fù);對系統(tǒng)設(shè)備的備份?備份不僅在網(wǎng)絡(luò)系統(tǒng)硬件故障或人為失誤時起到保護作用,也在入侵者非授權(quán)訪問或?qū)W(wǎng)絡(luò)攻擊破壞

56、數(shù)據(jù)完整性時起到保護作用,同時亦是系統(tǒng)災(zāi)難恢復(fù)的前提之一?</p><p>  一般的數(shù)據(jù)備份操作有三種?一是全盤備份,即將所有文件寫入備份介質(zhì);二是增量備份,只備份那些上次備份之后更改過的文件,是最有效的備份方法;三是差量備份,備份上次全盤備份之后更改過的所有文件,其優(yōu)點是只需兩組磁帶就可恢復(fù)最后一次全盤備份的磁帶和最后一次差分備份的磁帶?</p><p>  在進行備份的過程中,常使用

57、備份軟件,它一般應(yīng)具有以下功能?備份數(shù)據(jù)的完整性,并具有對備份介質(zhì)的管理能力;支持多種備份方式,可以定時自動備份,還可設(shè)置備份自動啟動和停止日期;支持多種文件格式的備份;支持多種校驗手段(如字節(jié)校驗、CRC循環(huán)冗余校驗、快速磁帶掃描),以保證備份的正確性;提供聯(lián)機數(shù)據(jù)備份功能;支持RAID容錯技術(shù)和圖像備份功能?</p><p>  在企業(yè)網(wǎng)絡(luò)系統(tǒng)中,已經(jīng)根據(jù)自己實際的業(yè)務(wù)需求建立了比較完善的備份及恢復(fù)系統(tǒng)。&l

58、t;/p><p><b>  ·4.3 安全管理</b></p><p>  面對網(wǎng)絡(luò)安全的脆弱性,除了在網(wǎng)絡(luò)設(shè)計上增加安全服務(wù)功能,完善系統(tǒng)的安全保密措施外,還必須花大力氣加強網(wǎng)絡(luò)的安全管理規(guī)范的建立,因為諸多的不安全因素恰恰反映在組織管理和人員錄用等方面,而這又是計算機網(wǎng)絡(luò)安全所必須考慮的基本問題,所以應(yīng)引起各計算機網(wǎng)絡(luò)應(yīng)用部門領(lǐng)導(dǎo)的重視?</p>

59、;<p>  安全管理可以通過相應(yīng)的規(guī)章制度來實現(xiàn)?</p><p>  制訂完善的管理制度,包括:機房安全管理制度,安全設(shè)施系統(tǒng)操作制度,網(wǎng)絡(luò)、系統(tǒng)安全操作規(guī)程,數(shù)據(jù)備份制度,普通用戶操作規(guī)范等?</p><p>  4.3.1.安全管理原則</p><p>  網(wǎng)絡(luò)信息系統(tǒng)的安全管理主要基于三個原則?</p><p><

60、;b>  1、多人負責(zé)原則</b></p><p>  每一項與安全有關(guān)的活動,都必須有兩人或多人在場?這些人應(yīng)是系統(tǒng)主管領(lǐng)導(dǎo)指派的,他們忠誠可靠,能勝任此項工作;他們應(yīng)該簽署工作情況記錄以證明安全工作已得到保障?</p><p>  以下各項是與安全有關(guān)的活動:</p><p> ?。?)訪問控制使用證件的發(fā)放與回收;</p>&l

61、t;p> ?。?)信息處理系統(tǒng)使用的媒介發(fā)放與回收;</p><p> ?。?)處理保密信息;</p><p>  (4)硬件和軟件的維護;</p><p> ?。?)系統(tǒng)軟件的設(shè)計、實現(xiàn)和修改;</p><p>  (6)重要程序和數(shù)據(jù)的刪除和銷毀等;</p><p><b>  2、任期有限原則&l

62、t;/b></p><p>  一般地講,任何人最好不要長期擔(dān)任與安全有關(guān)的職務(wù),以免使他認為這個職務(wù)是專有的或永久性的?為遵循任期有限原則,工作人員應(yīng)不定期地循環(huán)任職,強制實行休假制度,并規(guī)定對工作人員進行輪流培訓(xùn),以使任期有限制度切實可行?</p><p><b>  3、職責(zé)分離原則</b></p><p>  在信息處理系統(tǒng)工作的

63、人員不要打聽、了解或參與職責(zé)以外的任何與安全有關(guān)的事情,除非系統(tǒng)主管領(lǐng)導(dǎo)批準(zhǔn)?</p><p>  出于對安全的考慮,下面每組內(nèi)的兩項信息處理工作應(yīng)當(dāng)分開?</p><p>  計算機操作與計算機編程;</p><p>  機密資料的接收和傳送;</p><p>  安全管理和系統(tǒng)管理;</p><p>  應(yīng)用程序和

64、系統(tǒng)程序的編制;</p><p>  訪問證件的管理與其它工作;</p><p>  計算機操作與信息處理系統(tǒng)使用媒介的保管等?</p><p>  4.3.2.安全管理的實現(xiàn)</p><p>  信息系統(tǒng)的安全管理部門應(yīng)根據(jù)管理原則和該系統(tǒng)處理數(shù)據(jù)的保密性,制訂相應(yīng)的管理制度或采用相應(yīng)的規(guī)范?具體工作是;</p><p&

65、gt;  1、根據(jù)工作的重要程度,確定該系統(tǒng)的安全等級 ?</p><p>  根據(jù)確定的安全等級,確定安全管理的范圍?</p><p>  2、制訂相應(yīng)的機房出入管理制度</p><p>  對于安全等級要求較高的系統(tǒng),要實行分區(qū)控制,限制工作人員出入與己無關(guān)的區(qū)域。出入管理可采用證件識別或安裝自動識別登記系統(tǒng),采用磁卡、身份卡等手段,對人員進行識別、登記管理?&

66、lt;/p><p>  3、制訂嚴(yán)格的操作規(guī)程</p><p>  操作規(guī)程要根據(jù)職責(zé)分離和多人負責(zé)的原則,各負其責(zé),不能超越自己的管轄范圍?</p><p>  4、制訂完備的系統(tǒng)維護制度</p><p>  對系統(tǒng)進行維護時,應(yīng)采取數(shù)據(jù)保護措施,如數(shù)據(jù)備份等?維護時要首先經(jīng)主管部門批準(zhǔn),并有安全管理人員在場,故障的原因、維護內(nèi)容和維護前后的情

67、況要詳細記錄?</p><p><b>  5、制訂應(yīng)急措施</b></p><p>  要制訂系統(tǒng)在緊急情況下,如何盡快恢復(fù)的應(yīng)急措施,使損失減至最小?建立人員雇用和解聘制度,對工作調(diào)動和離職人員要及時調(diào)整相應(yīng)的授權(quán)?</p><p>  第五章 安全設(shè)備配置</p><p>  上面列出了我們對企業(yè)內(nèi)網(wǎng)系統(tǒng)網(wǎng)絡(luò)安全措

68、施的總體原則,下面結(jié)合具體網(wǎng)絡(luò)結(jié)構(gòu)情況,就安全設(shè)備的配置和相應(yīng)的安全策略做一描述?</p><p>  5.1企業(yè)內(nèi)網(wǎng)網(wǎng)絡(luò)安全拓撲圖</p><p><b>  網(wǎng)絡(luò)連接見下圖:</b></p><p>  圖5.1 企業(yè)內(nèi)網(wǎng)網(wǎng)絡(luò)安全設(shè)備配置圖</p><p>  5.2企業(yè)內(nèi)網(wǎng)網(wǎng)絡(luò)安全設(shè)備配置列表</p>

69、<p>  企業(yè)內(nèi)網(wǎng)網(wǎng)絡(luò)安全設(shè)備配置見下表:</p><p>  表5.1 企業(yè)內(nèi)網(wǎng)網(wǎng)絡(luò)安全配置表</p><p><b>  總結(jié)</b></p><p>  我們已經(jīng)踏入了飛速發(fā)展的信息工程時代,時代要求我們要加強自身的各項專業(yè)能力,以應(yīng)付我們即將踏入的社會所給予我們的考驗和鍛煉。通過完成本次的課程設(shè)計,自身能力有所長進,很多學(xué)

70、習(xí)的理論知識終于有所實現(xiàn),解決問題思路也變得更加清晰了,面對問題也更加有邏輯性了。在設(shè)計過程中,也遇到了很多的困難,要想將課程設(shè)計做得更加完善,還得真下上一番功夫。所鍛煉的不只是我們學(xué)到的知識和技能,更重要的是鍛煉了我們的實際動手操作能力和應(yīng)付各種困難的應(yīng)變能力。</p><p>  此外,在本次的課程設(shè)計中,對網(wǎng)絡(luò)中相關(guān)知識理論方面的理解也更進一步的加深了,讓我懂得規(guī)劃一個企業(yè)網(wǎng)絡(luò)需要具備豐富的網(wǎng)絡(luò)知識和經(jīng)驗,

71、使我初步了解了構(gòu)建一個企業(yè)網(wǎng)絡(luò)的設(shè)計流程與步驟,與此同時,在準(zhǔn)備此次的課程設(shè)計的過程中,也更好的拓展了自已的知識面,掌握了很多更好的學(xué)習(xí)方法,相信這便是此次課程設(shè)計中最大的收獲。</p><p><b>  參考文獻</b></p><p>  [1]謝希仁.計算機網(wǎng)絡(luò)教程.北京:人民郵電出版社,2006.</p><p>  [2]Peter

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論