本篇论文目录导航:
【题目】企业办公网络安全管理问题研究
【第一章】企业办公网络安全防护探析绪论
【2.1 - 2.4】防火墙技术与文档安全保护技术
【2.5 - 2.7】网络防病毒技术与双机热备技术
【第三章】办公网络安全系统分析与设计
【4.1 4.2】网络出入口监控管理策略
【4.3 - 4.5】网络安全防护措施设计与实现
【总结/参考文献】企业办公网安全升级方案研究总结与参考文献
第四章 解决方案设计与实现
本章详细阐述本课题解决方案,将办公网络安全按照网络优化、网络监控、安防措施及数据保护等四个模块分别进行设计。
4.1 VLAN 重建与优化。
4.1.1 VLAN 拓扑设计。
核心网络作为本局网络系统的运行核心,它决定整个系统网络的性能。根据统计,一个运行良好、提供服务齐全的网络中,各子网间的通讯和子网内部通讯大约各占50%;而且随着多媒体技术的发展,多媒体主页、视频点播(多点广播)大量采用,这些都要占有大量主干带宽;以及虚拟网技术的采用,传统子网概念已经变化,使得一个子网可以分布于整个网络,导致子网内部通讯也要通过主干网络;因此经过主干网络的流量将占80%以上,这就要求主干网络必须具有极高的传输速率,最大限度的避免堵塞。作为最终的出口通道,主干核心网络瘫痪就意味着整个办公网络的崩溃,因此本局的主干网络设计必须采用成熟的标准化方案,保证其稳定性。
基于以上分析的网络设计原理,水利局新的业务需求和特点和网络设计中的缺陷,将网络核心进行升级,建立一个统一的高性能、高可用性平台基础网络设施的平台上集成嵌入网络安全作为运行的绝对保障,为以后的新的业务战略实施做好准备。
将原来核心升级成1台H3C S7506E交换机,配置2块H3C S7500 Salience VI-Lite交换路由引擎,S7506E交换机可以提供高达768 Gbps的背板带宽和492 Mpps的数据转发速率,提供高效的数据交换通讯能力,建设成为一个集成了高效率、低故障率、高安全性、冗余度、可扩展的网络平台。
在核心交换机7506E上配置2块1400W相同瓦特电源,形成1+1的电源冗余方式,提供单电源供电,在主电源失效的情况下不会中断交换机电源供电,保证网络的高可用性。
核心交换机7506E.
在水利局各楼层的配线间配置H3C S5500接入交换机并配置多模光模块,通过光纤连接到核心交换机Catalyst 7506E,提供网络接入层到网络核心层的光纤高速接入,保障网络的高速通道;分支机构通过MPLS-VPN技术与水利局中心机房建立连接。
流量。然而网络流量问题日益增多,直观反映未网络越来越慢,数据流量越来越小。这不是购买入口带宽就能解决的事,应该对网络行为进行有效管理,保证数据业务的健康。
局原有核心交换机将用作备机,在突发紧急网络故障时替换使用。
4.1.2 VLAN 优化策略。
出于对网络使用的安全考虑,对于各级部门、区局、镇局,拟采用不同的网络划分方式,运用VLAN技术(虚拟局域网)和IP地址段的划分对网络进行既独立又统一的管理,有利于网络安全和防止网络风暴,而且可以提高网络运行的效率。
根据局总部和各分支机构业务类型,将核心机房和下属分支机构交换机划分为多个VLAN,如下图所示,把交换机划分为VLAN1和VLAN2,将普通的PC终端都接入VLAN1中,而业务系统服务器群则都划分到VLAN2中。这样,业务系统服务器群和普通的PC群就实现了相互隔离。两个VLAN不能直接访问,实现了服务器与普通PC的3层隔离,实现了网络层的访问控制,所有连接到VLAN上的设备都将收到来自本VLAN成员的广播,而连接到其他VLAN的设备不会收到这些广播。如图所示,PC群所产生的广播都将在VLAN1中传播,不会传播到服务器群所在的VLAN2中。
根据水利局的实际情况,我们建议将网络划分成7个VLAN,具体是VLAN2为出口互联VLAN,VLAN100为服务器群VLAN,VLAN200为VPN接入VLAN,VLAN10为水利局一楼VLAN,VLAN20为水利局二楼VLAN,VLAN30为水利局三楼VLAN,VLAN40为水利局四楼VLAN.
4.2 出入口监控管理策略。
4.2.1 启用防火墙。
用户分支机构多,外围访问频繁,远程网络管理很难实现。为保证核心主干网络的安全性和高效性,这里起用防火墙进行边界管理。
这时,我们选用防火墙来提供高吞吐能力,边界部署无瓶颈;按需划分安全域,清晰规划网络边界;提供灵活的包过滤策略,精确控制互访关系;对VPN数据包进行折包检测,保障数据通信安全。本次选择的防火墙参数。
方案优势:
超高的并发数保证了防火墙的效能,在不影响正常数据传输的情况下,本设备可以轻松应对数百万包/秒的DDoS攻击。支持IPV6,保证今后设备的可扩张性,对于设备升级进行平滑过渡。五种VPN类型,安全加密机制,保证公共互联网访问内部网络的安全,即便是在外面,也可以安心访问内网资源。外部威胁防御:
IPS入侵防御、AV网关防病毒、AS反垃圾邮件,三重防护,保证内部网络的安全。
4.2.2 网络流量监控和管理子系统设置。
网络流量监控和管理子系统通过桥接在防火墙和核心交换之间,对网络配置毫无影响,直接控制内部人员的网络访问行为,保证访问信息的安全,确保数据流量的有效使用率。
网络流量监控和管理子系统可以为不同身份的用户分配不同的带宽权限,还可以为BT、eMule、在线视频等网络应用分配不同的带宽权限,有效抑制或封堵非正常业务对带宽的占用,保证网络畅通高效。
通过对比黑名单,有效阻拦不良网页的访问,保障了单位网络安全。并对上网人员进行记录,审查其占用带宽资源,和访问历史。
网络流量监控和管理子系统对工作人员上网行为的管控和对一些高风险网站的封堵可以大大减少来自病毒、间谍软件和黑客的侵扰与攻击,异常告警功能更能为单位的局域网稳定保驾护航。
根据局系统的需求和以往系统实施的经验,我们设计了一套适应当前需要和兼顾对未来业务扩展进行有效支持的系统架构。
网络流量监控和管理子系统作为上网行为管理设备部署在核心网络,以透明网桥连接的方式串接在核心网络连接Internet的出口处,进行网络行为管理、安全审计、信息过滤和带宽管理。具体连接方式是:将网络流量监控和管理子系统二个网口配置成网桥模式,网络流量监控和管理子系统和核心交换机的连线断开,网络流量监控和管理子系统直接连外网口,核心交换机直接连内网口。
对于内网用户的定位,持多种方式:
IP地址定位、MAC地址定位、本地验证以及第三方认证定位等。
该系统解决了工作效率问题,通过访问管理,可以灵活部署控制策略,指定用户角色的分类和分组,对其上网行为进行分别控制。规定时间、类型、可访问的网址、可使用的流量等。自备百万级的特征库,对比出不良网址进行过滤,屏蔽P2P下载,规范上网行文,从而提高了所有员工的工作效率:
(1) 访问外网权限控制:规定单位员工能否上网的权限,只有工作中需要上网的员工才能访问Internet,其他员工工作时间禁止上网。
(2) 网址关键字URL控制:按网址及通配符限定可以访问的网址,指定上班期间可以访问的地址,比如:淘宝、京东等电子商务网址就可以被屏蔽。
(3) 使用应用程序控制:可以识别邮件、QQ、P2P下载、www服务等网络服务,并对其做控制(如:能否使用等).
(4) 支持分级控制:可以通过建立分级制度,将人、部门等进行分组控制,设定不同的访问策略,对带宽和可访问地址进行有效分配。
在做好员工访问控制的同时,网络流量监控和管理子系统支持对员工行为的日志的统计分析。
该设备针对历史记录,统计出十数种报表,可以按照流量记录、上网时长、聊天信息、等进行分类,还能生成排行榜进行对比,直观了解到各个部门和员工的上网情况。根据报表和排行榜,可以帮助管理员合理调整策略,优化网络环境。
除此之外,还可以提供下面的统计信息:
(1) 上网情况统计:统计部门或者个人的上网时长及通讯流量,生产报表或者趋势图。
(2) 网站访问统计:统计每个人经常访问的网站情况,如:点击次数最后的网址、流量、时间等。
(3) 邮件收发统计:统计指定时间段内,本网络发生的邮件往来数量、收发地址。
从上述统计系统,可以了解所有员工的工作状态,其利用办公网络是否符合单位的要求,并对以后制定更加合理的互联网使用策略提供重要参考价值。