完成如果措施过于复杂对人的要求过高本身就降低了安全性 其次措施的采用不能影响系统的正常运行｡ 适应性及灵活性原则 安全措施必须能随着网络性能及安全需求的变化而变化要容易适应容易修改和升级。 多重保护原则 任何安全措施都不是绝对安全的都可能被攻破｡但是建立个多重保护系统各层保 护相互补充当层保护被攻破时其它层保护仍可保护信息的安全｡ 网络安全是整体的动态的｡网络安全的整体性是指个安全系统的建立即包括采用 相应的安全设备又包括相应的管理手段｡安全设备不是指单的种安全设备而是指几 种安全设备的综合｡网络安全的动态性是指网络安全是随着环境时间的变化而变化的 在定环境下是安全的系统环境发生变化了如更换了个机器原来安全的系统就变的 不安全了在段时间里安全的系统时间发生变化了如今天是安全的系统可能因为黑 客发现了种系统的漏洞明天就会变的不安全了原来的系统就会变的不安全｡所以网 络安全不是劳永逸的事情｡ 对于企业内网的网络建设我们的方案采取以上的原则先对整个网络进行整体的安全 规划然后根据实际状况建立个从防护检测响应的基础的安全防护体系保证整个 网络安全的最根本需要｡ 第四章内网安全技术实现方案 通过对企业内网网络应用的全面了解根据企业内网网络的实际情况按照安全风险 需求分析的结果以及网络的安全目标我们从物理安全网络安全管理安全等几个方面对 现有的网络进行分析。 物理安全 保证计算机信息系统各种设备的物理安全是保障整个企业内网网络系统安全的前提。 物理安全是保护计算机网络设备设施以及其它媒体免遭地震水灾火灾等环境事故以及层的体系结构利于维护管理利于更高的 安全控制和业务发展｡ 网络结构的优化在网络拓扑上主要考虑冗余链路冗余路由动态路由协议的安全认 证专用网管链路等在企业网络的建设中我们方案在核心采用台高端层交换机采用 技术互为备份实现备份与负载功能采用技术将网络根据业务关系划分为 若干个强度不同安全域减少网络广播数据包减少数据冲突提高带宽利用率保障网络 安全稳定运转在接入层交换机到核心层交换机之间采用双链路技术保障接入层 到核心层的实时畅通采用技术来保障关键应用有可靠的带宽｡ 路由的优化主要涉及到以下几个方面防止单点失败隔离路由波动消除循环路由 较小的时延使用路由认证保证动态路由的安全在企业网络的建设中我们方案采用浮动 静态路由动态路由策略路由的方式实现路由的冗余备份｡ 可扩展性网络发展极为迅速用户需求也在不断提高当为扩展业务范围而增加设备 时能够方便有效地接入不至于因网络结构的局限性而重新调整网络设备由此而带 来不安全因素在在企业网络的安全建设中我们方案采用成熟的网络技术来构建这个网络基 础设施例如采用技术也就是目前普遍使用的以太网技术｡ 根据网络目前的实际情况现有的网络结构仍然保持不变在下次网络改造中主要遵 循这个原则就可以了｡ 访问控制 企业网络系统的访问控制可以通过配备访问控制设备来实现｡ 对于内部网络根据用户实际的业务数据流向和我们对网络安全的理解与经验我们重 新划分了不同强度的网络安全域｡要实现不同安全域之间的访问控制在实现高效的访问控 制的同时又要保证内网中关键的业务数据可以正常通过防火墙设备｡通过配置安全的访问 控制策略可以过滤进出防火墙的数据包管理进出网络的访问行为封堵些禁止的访 问记录通过防火墙的信息内容和活动对网络攻击的检测和告警｡ 根据需要我们重新划分了七个网络安全域在不同的安全域之间分别放置了防火墙设 备设备的部署情况描述如下 根据内网业务数据的实际情况我们在核心交换机和之间部署台 天融信公司的防火墙产品以保障所有对安全域中的数据库进行调用时长 连接的正常转发不会因为防火墙的原因造成数据调用的失败从而影响正常的业务应用｡ 由于网络视频视频会议网络电话等应用对防火墙的要求很高不断要求防火墙 能够对等协议有很好的支持并且对防火墙的转 发率对数据的延迟丢包率以及对突发数据的处理能力都有严格的要求因此在单独部署 了台清华德实公司的防火墙产品以满足业务对防火墙的这种高要求的需要｡ 在安全域二和核心交换机之间部署台清华德实公司的防火墙这样不仅能够保护 原有的设备投资也能够满足基本的访问控制的要求｡ 在安全域三中部署了很多常见应用服务器包括服务器邮件服务器 服务器等这些服务器对网络的稳定性转发速率和安全性有非常高的要求旦这些服务 器出现问题整个办公系统将会瘫痪严重影响办公效率因此在安全域三和核心交换机之间 部署台天融信公司的防火墙并且在邮件服务器的前端部署冠群金辰公司的 防病毒过滤网关以满足基本的访问控制的要求和系统对网络的稳定性转发速率和 安全性的高要求｡ 安全域四是内部终端用户区分部在各个楼层并且链路是光纤接口如果部署防 火墙系统是设备数量很多二是光纤设备非常昂贵这样部署防火墙设备的造价很高 大量的投入也并不能提高网络的安全状况但我们可以在连接终端用户的三层交换机端口上 进行简单的访问控制满足基本的访问控制要求｡能否实现这个功能要看三层交换机的功能。 在安全域五和核心交换机之间部署台清华德实公司的防火墙这样不仅能够保护 原有的设备投资也能够满足基本的访问控制的要求｡ 在安全域六和核心交换机之间部署台清华德实公司的防火墙这样不仅能够保护 原有的设备投资也能够满足基本的访问控制的要求｡ 天融信防火墙在保证高可用性和高可靠性的同时还在以下几个方面起着重 要的作用 通过防火墙的规则设置隔离了数据库安全域与其它安全域实现了保护关键业务的 应用控制对服务器的访问记录和统计网络利用数据以及非法使用数据和策略执行等功能。 到数据库安全域的全部通信都受到防火墙的监控通过防护墙的策略可以设置成相应的保护 级别以保证系统的安全｡ 过滤网络中不必要传输的无用数据｡防火墙是种网关型的设备各个区域之间的通 信可以通过防火墙的添加规则策略保障如果在防火墙上添加些有关重要应用的策略 就可以过滤掉部分无用的信息只要网络中传输必要的应用数据比如封闭目前常见的蠕虫 病毒使用的端口｡ 防火墙具有流量控制的特性可以依据应用来限制流量来调整链路的带宽利用 如在网络中有数据库调用应用域登陆应用等等可以在防火墙中直接加载控制策略 使数据库调用应用域登陆应用按照预定的带宽进行数据交换｡实现流量控制调整链路带 宽利用的功能｡ 在天融信防火墙上还可以防止恶意的内部员工通过网络对数据库安全域的服务器 端口进行非法扫描消除系统安全的隐患｡可防止恶意的内部员工通过网络对数据 库安全域的服务器进行源路由攻击碎片包攻击攻击攻击 拒绝服务攻击等多种攻击｡天融信防火墙提供入侵检测的功能当发现重要服务器被攻击时 防火墙将自动报警并根据策略进行响应｡ 对于防火墙自身来说日志的导出日志服务器的安装可使得通过防火墙的数据 访问加以统计为优化网络提供必要的数据日志服务器可以完成每个不同的源访问的流 量统计可以了解到每个源的流量是否在正常范围内等等｡这样的数据对于网络安全是十 分重要的｡ 防火墙提供应用级透明代理可以对高层应用 做了更详细控制如命令及命令及文件控 制也就是说在的网络中当通过防火墙对数据库安全域进行访问时可在应用层上做更详 细的访问控制｡ 通过在数据库安全域添加入侵检测系统保证入侵检测系统与防火墙产生联动｡当网 络中发生攻击时向防火墙发送策略将攻击行为进行过滤使攻击行为的数据无法到达目 的主机实际上是斩断了攻击的路径｡如此往复可以提供大量时间来追测攻击源采取相 应措施｡全面的联动延长了安全管理的触角增加了安全管理的手段加大了安全管理的强 度｡ 入侵检测 防火墙的主要功能是对进出防火墙的数据进行访问控制防火墙无法阻止由于防火墙配 置有误或者绕过防火墙而进入网络的非法数据｡数据旦通过防火墙进入网络后如果操作 系统或者应用系统本身存在漏洞由于防火墙系统是个静态被动的设备这时候就无能 摘要 针对该企业深刻认识到业务要发展必须提高企业的内部核心竞争力而建立个方便 快捷安全的通信网络综合信息支撑系统已迫在眉睫。 根据该企业的行业特点和用户需求从实际出发制定合理的设计原则和行之有效的方 案。从现场勘察到各个步骤的规划每步做到缜密的设计。 本次设计主要针对企业网络构建规划方案进行简单设计对企业网络的组建各楼层信 息点划分企业网络拓扑图设计使用防火墙及其设备的介绍网络安全方案等。 关键词企业网络安全天融信防火墙 目录 第章企业内网现状描述 第二章企业内网安全需求分析 第三章企业内网安全方案设计原则 安全体系结构 安全方案设计原则 需求风险代价平衡的原则 综合性整体性原则 致性原则 易操作性原则 适应性及灵活性原则 多重保护原则 第四章内网安全技术实现方案 物理安全 网络安全 网络结构安全 访问控制 入侵检测 病毒防护 数据备份与恢复 安全管理原则 安全管理的实现 第五章安全设备配置 企业内网网络安全拓扑图