題目:xx公司網路安全架構設計
【摘要】隨著網路技術的發展,網路已經融入每個人的生活無處不在了,但是人們在享受網際網路帶來的便捷的同時,往往忽略了網路安全這一非常嚴峻的問題。文章主要研究的是網路安全的架構與實現,以有限公司為例,分別從防火牆的構架與實現、入侵檢測的構架與實現、資訊保安管理審計系統架構與實現及內網保密安全的構架與實現四個方面詳細介紹了網路安全的實現過程,增強了企業網路安全方面的防範能力。
前言
物流是指利用現代資訊科技和裝置,將物品從供應地向接收地準確的、及時的、安全的、保質保量的、門到門的合理化服務模式和先進的服務流程。物流是隨商品生產的出現而出現,隨商品生產的發展而發展,物流是一種古老的傳統的經濟活動。以前的物流企業一直是單純的靠交通工具和人力勞動來運作整個公司的。但是隨著網路的出現和發展,各行各業都隨之改變,物流行業當然也受到很大的影響。
如今網路正在逐步步入成熟階段,網路、資料庫等相關的應用技術在不斷髮展,網路運營及電子商務也被廣泛應用。物流行業也從傳統的人力勞動行業發展為結合資訊科技為消費者提供服務的行業。物流是將物品從供應地向接收地準確的、及時的、安全的、保質保量的、門到門的合理化服務模式和先進的服務流程。物流是隨商品生產的出現而出現,隨商品生產的發展而發展,物流即意味著企業的生產、流通的全部。而隨著網路在企業中的普及和發張,物流行業也在走入物流資訊化,物流資訊化的定義是:利用資訊科技整合企業內部的業務流程,使企業向著規模經營、網路化運作的方向發展。物流資訊化是物流企業相互融合的重要手段。物流資訊化因此是企業間和企業內部物流過程中所產生資料的全部記錄。物流配送中心建設資訊系統應充分支援管理者制訂物流運作計劃和實際的業務操作。儘管現代物流配送中心日趨向多樣化和全面化發展,但構成其核心競爭能力或有助於其獲取競爭優勢的還是其核心業務,如彙集客戶的發貨資訊、組織貨物的入庫、配貨、分揀、儲存、出庫、配送等。
物流行業正以資訊科技為手段,向綜合性物流企業發展,積極發展第三方物流,實現物流的社會化、專業化、規模化,大幅度提升物流產業的優勢。然而許多物流公司有簡單的網路平臺,但是卻缺乏合理的網路安全設計和管理,其企業操作人員缺乏網路安全知識,所有的計算機基本上都在網際網路裸奔,不斷的被黑客種下病毒、木馬,然後被劫持當成肉雞,給公司帶來麻煩甚至導致整個網路的癱瘓,造成公司內部儲存的資訊丟失;甚至於內部人員為了利益竊取出賣公司的利益,使公司造成重大的損失。正是如此,物流公司也越來越重視網路安全,甚至重新打造一個穩定的平臺。
第一章 公司現狀
1.1 公司簡介
xx公司是一家以國內公路運輸和航空貨運代理的綜合物流企業,在物流界享譽較高的知名度。公司秉承“誠信為本,速度至上”的服務理念,保持積極進取、注重服務的態度,培養自己的人才,通過不斷的優化服務和資訊化系統的搭建,提升運輸網路和標準化體系,創造最優化的運營模式,為廣大客戶提供安全、快速、專業、滿意的物流服務。一直以來,公司都致力於與員工共同發展和成長,打造人企雙贏局面,努力創造更多的社會效益,努力將晨曦打造成為中國人信任的國內物流運營商,實現“為中國提速”的使命。公司主要經營:晨曦運物流有限公司以及江西運輸子公司、浙江運輸子公司.有限公司成立於XX年07月04日,現擁有員工150多名,是一家集運輸倉儲配送於一體的物流公司。
現在的公司部門及職責如圖1-1所示:
1.2 公司網路狀況
該公司是物流業中進行企業資訊化建設較早的公司,資訊化建設的主要目的是用於公司資訊統計等基礎性工作。該公司的網路拓撲圖如圖1-2所示:
該公司的區域網是一個資訊點相對較為密集的百兆區域網系統,它所聯接的現有近百個資訊點為在整個公司內辦公的各單位部門提供了一個資訊交流平臺。不僅如此,通過專線與internet的連線,各個部門授權使用者可以直接與網際網路使用者進行交流、查詢資料等。
這個公司的訪問區域可以劃分為三個主要的區域:internet區域、內部網路、公開伺服器區域。web等伺服器和辦公區客戶機,通過內部網路的相互連線,然後與外網互聯。基於基礎的安全的考慮,在交換機上按地域和部門劃分了五個網段。
1.3 公司的網路安全問題
公司一段時間後,基本實現了公司的辦公資訊化,但由於當初的投資力度及意識不夠,以及公司領導未重視網路安全方面,導致公司的網路出現重大漏洞。在XX年10月份被人潛入公司內部網路,導致資訊部中一項重要的招標檔案洩露,被競爭公司知曉,以1萬元的差距落選了該專案,導致公司的利益受到相當大的損害。為此,公司開始重視網路安全。在對公司的網路安全進行全面檢查後,發現以下問題。
1.3.1 主要安全隱患
(1)病毒的入侵在之前的規劃中,只提到了加大公司資訊化管理的投資力度、採用計算機處理資料、進行網路建設,而對於網路安全方面的建設力度較小,這樣就使的黑客很容易就能在公司電腦植入病毒,從而引發重大災情。(2)內部人員操作缺乏安全意識如今網路發展迅速,但是網路安全技術和資訊的應用普及相對滯後,內部人員缺乏安全方面的的培訓和學習,很容易忽略安全裝置和系統,不能使其發揮相對的作用,這使的公司的網路存在較大的安全隱患。(3)裝置物理安全由於網路中大部分的裝置都是通過通訊電纜通訊的,為了佈局合理性,往往核心裝置都是放置在一個機房的,公司的機房只有簡單的上鎖沒有專人巡檢視守,這使得公司的網路物理裝置存在較大的安全隱患。
1.3.2 具體的網路安全問題
(1)公司網路拓撲不合理問題,沒有硬體防火牆公司網路中,沒有做到內部網路與外部網路的安全隔離,在公司網路拓撲設計上只採用伺服器經過路由器上網,而沒有配置防火牆,內外網互聯存在著很大的漏洞。(2)使用者身份認證問題在公司網路系統中,對具有遠端訪問許可權的使用者連線沒有采用加密與身份認證手段。(3)沒有入侵檢測技術和網路監控技術,對於入侵的目標無跡可尋,內網安全存在嚴重漏洞,沒有辦法有效的保護公司的資訊保安。
第二章 網路安全架構需求分析
針對有限公司將再開設一個公司的情況,結合有限公司現在的網路狀況和現有條件,對網路安全設計方面提出一下幾點構思。
2.1 保證內網安全
針對有限公司招標檔案洩密的情況,保證內網安全是首要任務。主機防火牆的出現解決了其中比較矛盾突出的問題,也是最基本的問題,就是關於基礎安全;而近幾年日趨完善的桌面或終端內網安全管理類產品的出現實現了集中的內網電腦保安管理,提供了對於內網兩方面需求的滿足即安全與管理。
2.2保證廣域網的接入安全
internet是一個高度開放的大環境,使用者接入internet就意味著完全將自己暴露在危機四伏的處境。通過網路防火牆可以過濾來自internet的大部分攻擊, 防火牆能強化安全策略。 防火牆能有效地記錄internet上的活動、限制暴露使用者點、隔開網路中一個網段與另一個網段。這樣,能夠防止影響一個網段的問題通過整個網路傳播。 防火牆是一個安全策略的檢查站,所有進出的資訊都必須通過防火牆,防火牆便成為安全問題的檢查點,使可疑的訪問被拒絕於門外。
2.3 保證遠端訪問的安全
遠端訪問是通過公眾網來傳輸私有資料,因此保證資料安全性是遠端訪問的關鍵環節。遠端訪問由於使用internet作為承載介質,vpn必須有足夠的安全保障功能,通過高強度的加密演算法保證資料不被偵聽或篡改,確保接入使用者身份的唯一性。另外,還可以控制使用者對內網資源的訪問許可權,做的指定人訪問指定資源,訪問均在控制之中。
第三章 網路安全架構實現具體方案
3.1 裝置連結拓撲圖與網路劃分
通過對有限公司的現有網路情況進行分析後,硬體方面決定在現有網路上部署一臺防火牆以及nids裝置,軟體方面決定採用趨勢科技的防毒牆,裝置連結拓撲圖如圖所示:
1、wan口接入一臺pc作為外部主機(開啟22埠和21埠即ssh服務和ftp服務),地址,閘道器指向;
2、dmz口接入一個web伺服器提供web服務和一個檔案伺服器提供檔案服務,web伺服器地址閘道器指向;檔案伺服器地址為閘道器指向;
3、lan區域接入一個的子網,閘道器指向。
4、ip網段是連續的ip地址,為:
5、防火牆管理pc機的ip為:
6、nids管理pc機的ip為:
7、資訊保安管理審計系統管理pc機的ip為:
8、內網保密安全系統的管理終端ip為:
9、web伺服器ip地址為:
10、檔案伺服器ip地址為:
11、內網保密安全系統的總控中心伺服器ip為:
12、外網pc1ip為:
13、內網pc1ip為:
14、內網pc2ip為:
15、內網pc3ip為:
3.2 防火牆的構架與實現
3.2.1 連線與登入配置
一、裝置的選型
針對有限公司的網路分析,經過研究實驗,決定採用藍盾公司型號為bdfw-m3000的防火牆。
二、利用瀏覽器登陸防火牆管理介面
1、根據拓撲圖將pc機與防火牆的admin網口連線起來,當需要連線內部子網或外線連線時也只需要將線路連線在對應網口上
2、客戶端設定,設定本地連線ip地址為: 3、使用ping命令測試防火牆和管理pc間的連線情況。
開啟ie瀏覽器,輸入管理地址,進入歡迎介面,在防火牆的歡迎介面輸入使用者名稱和密碼,點選“登入”進入防火牆管理系統。
三、配置基本內容
1、網段、ip地址、埠配置
2、建立、編輯規則防火牆中需要對規則進行操作,以對 snat 策略進行了編輯:新增策略:在“增加設定”中,設定相應引數,單擊儲存則在“設定列表”新增一個規則,儲存之後的介面如圖所示:
然後點選“編輯”對snat 策略進行編輯,編輯完之後儲存。
3.2.2 透明模式(網橋模式)的安裝與部署
在透明模式(橋接模式)下,防火牆相當於一個網橋,通過將兩個網口橋接起來,也即將交換機和路由器直接連線起來,從而無需改動原有網路結構,將防火牆透明的加入網路。對於連線內網的lan2口,其ip地址要設成和內網在同一個網段。
一、將防火牆接入當前網路
1、將防火牆按照拓撲所示接入當前網路,由路由器引入的外線接wan口,由交換機引出的內部網線接lan口
2、檢驗加入後網路狀況
二、配置橋接
1、進入橋接設定介面,“網路設定”“網口配置”“網口”,由於橋接要求網口不能是內網口,並且在該網口上沒有配置外線連線,將lan3口(lan)、lan4口(wan)上的ip全部去掉
2、啟用橋接進入橋接設定介面,“網路設定”“網口配置”“橋接設定”,下面左邊的框中就出現了可供選擇的介面
定義一條橋接規則:選擇lan、wan,雙擊“>>>”移到右邊的框中,然後新增,新增成功,在“現有規則”中會出現一條定義好的規則,然後重啟。
3.2.3 內外網互訪策略編輯與管理
預設情況下,連線在防火牆不同網口的網路是不能互相訪問的,為了是各個網路間實現互通,需要建立各個網路間的通訊通道:
1、外網訪問內網是通過埠對映機制實現。
2、內網訪問外網是通過設定訪問規則控制。
3、它們都是通過建立通訊規則,並將規則應用到不同網口、網段或ip上實現。
一、檢查各點網路狀況
1、外部主機pc1(),可以ping通防火牆的wan口地址,但是沒有辦法到達dmz區的web伺服器,因為對於來說,web伺服器的地址是一個其他網路的內網地址:
外部主機與web伺服器連通性測試
由於當前網路被防火牆隔離了,使得內外網無法互訪,這時,我們可以通過埠對映的方式,使得外網可以訪問內部網路,同時通過策略設定使內網可以訪問外網。
二、實現內網訪問外網(snat)——為內網pc提供對外網的訪問策略
1、配置snat對映可以讓所有內部ip做地址轉換訪問外部
2、配置內網lan口下的pc1()可以訪問外網pc1 ) 3、進入“防火牆”“nat策略”“snat策略”介面,點選“新增”,做訪問規則,然後設定規則引數,填寫目標ip、目標埠,選擇“啟用”,單擊“儲存”。
4、“防火牆”“lan->wan策略”“訪問策略”,填寫訪問策略的實施物件內網pc1“”,選擇規則“全部允許”,點選“新增”。
三、實現外網訪問內網(dnat)——為外網pc提供對內網的訪問策略
1、進入“防火牆”“nat策略”“dnat策略”介面,點選“新增”,做訪問規則,然後設定規則引數,填寫目標ip、目標埠,選擇“啟用”,單擊“儲存”。
把外網地址的1080埠對映到的80埠,當訪問的1080埠時,防火牆就會把這個地址自動對映為的80埠,外網訪問內網的通道被開啟。
3.2.4 l2tp配置
總公司出差的員工需要訪問公司內網檔案伺服器上的資料夾,檔案伺服器的ip地址為,出差的員工使用l2tp vpn連線到公司內部檔案伺服器。
vpn伺服器端配置
一、建立證書
1、進入“vpn”“ca認證”“權威認證證書”;
2、建立伺服器本地證書“local’s bluedon”,然後進行配置,點選“建立簽名證書”,就會出現一條證書
二、建立vpn隧道 1、選擇“vpn隧道”“l2tp移動客戶端”,建立l2tp移動客戶端vpn遂道:
設定好後並點選新增,就會出現一個名為ttt的隧道。
三、啟動vpn
1、進入“vpn”“啟動控制”,啟動vpn伺服器。
2、進入“全域性設定”,在“預設本地證書”的“ca權威認證證書”中選擇local’s bluedon權威認證證書,選擇“儲存”。
3、進入“防火牆”“lan->lan策略”“訪問策略”建立一條允許遠端l2tp客戶同總公司lan口對等相互訪問的策略,這樣出差員工就可以用l2tp隧道和總公司內網連通。進行配置後,點選“新增”,就會出現下面一條訪問規則,至此,總公司伺服器端配置結束
vpn移動客戶端配置
1、從網路管理員處獲得vpn客戶端軟體,並安裝,安裝過程中寫入總公司的外部ip,為新連線取名為“ttt”。
2、這裡就填入新建證書時的使用者名稱ttt,密碼123456,點選“連線”。
至此vpn客戶端配置完成。
幾秒鐘後,連線成功,電腦右下角將顯示連線上的vpn。同時在“網路連線”介面也會出現“虛擬專用網路”——ttt(已連線)。
3.4 入侵檢測系統的架構與實現
3.4.1 ids裝置部署與配置
基於有限公司的網路考慮,採用映象口監聽部署模式
ids裝置部署
1、連線裝置
2、登入管理介面 從管理pc登入藍盾nids裝置web管理介面前,需要確認管理pc的ip地址與裝置預設管理口ip地址設定在同一網段:。透過網線將管理pc連線到lan1口,開啟ie瀏覽器,在ie位址列輸入 ,登入進去。
ids裝置配置
1、 “網路設定”“網口配置”“網口”,將e2的lan2的ip配置為,點選儲存,然後重啟網路。(將lan2口做為管理口,用於管理裝置)
2、“系統”“系統工具”“ip工具”,直接ping 閘道器檢驗與內網的連通性。
3、“系統”“管理設定”“管理介面訪問設定”,網口選擇lan2,其餘選項預設,點選新增。
4、“現有規則”中新增一條通過lan2訪問ids介面的策略。
5、“系統”“管理設定”“密碼”,按下圖配置管理員使用者,不啟用usbkey。 就會出現一個超級管理員使用者
3.4.2 ids入侵檢測
“入侵規則”“檢測規則”,啟動如下入侵檢測規則中,要勾選user-defined(使用者自定義),點選儲存。
一、基礎引數 1、“入侵規則”“檢測規則”“自定義規則”“基礎引數”,參照下圖填入所要檢測的項,點選新增。
選擇協議,點選啟用。就得到一條針對所有未知入侵的檢測規則intrusion _info
二、ip引數
1、“入侵規則”“檢測規則”“自定義規則”“ip引數”,參照下圖填入所要檢測的項,在t t l項填入64作為參考值,選擇啟用,點選新增。
四、阻斷動作
1、“入侵規則”“檢測規則”“自定義規則”“阻斷動作”,填入所要檢測的項,這裡選擇斷開icmp。
3.5 資訊保安管理審計系統架構與實現
3.5.1 系統的部署及系統登入
資訊保安管理審計系統是用來對內部使用者訪問外部網路的各種行為進行記錄、控制、審計的一種網路安全硬體裝置,主要有lan1、lan2、lan3、lan4四個100m快速乙太網絡介面。通過將不同網口橋接並設定監控網口,我們可以有效的監控網路上傳送的各種資料包。
資訊保安管理審計系統使用web圖形介面進行管理和設定,具有方便、快捷,易於使用者理解和掌握的優點。另外一方面資訊保安管理審計系統使用了https安全傳輸協議,保證在管理中傳輸的相關設定和資訊不被竊聽,保護裝置自身的安全。
1、系統前面板,結構如圖3-36:
2、系統後面板,結構如圖3-37:
二、登入系統:
1、設定管理pc地址圖(拓撲圖)將管理pc與資訊保安管理審計系統連線,同時將管理pc的ip地址改為:
2、登入系統,登入後我們可以看到如圖3-38:
三、設定橋接模式 接下來要將lan3口和lan4口橋接起來,以配置閘道器接入方式。
1、在左邊欄選擇選項“系統管理”->“系統設定”。
2、在右邊欄選擇選項“橋接設定”->“使用橋接”,選擇“網口3”和“網口4”,點選“確定”就橋接成功了。
3.6 內網保密安全系統的架構與實現
3.6.1內網保密軟體的部署及登入
通過安裝sqlXX資料庫軟體,用於儲存內網保密軟體控制中心的相關資料,安裝內網保密控制中心軟體,實現對安全客戶端的監控及審計,構建完整的內網安全保密及審計系統管理控制平臺。
一、安裝sqlXX資料庫軟體並下載補丁進行升級;
二、安裝內網保密系統控制中心軟體
三、登入系統
3.6.2 上網行為監控
一、新建模組
1、點選選項“功能”“安全策略”“安全策略管理中心”“策略模板管理”,點選“新建模組”。
2、啟動上網行為監控,再點選新增進行配置
三、下發策略
選擇選項“本地策略管理”,點選“應用策略模版” ,下發策略選擇好需要下發的部門和主機。
四、查詢審計
1、點選選項“功能”“審計報表”“審計報表管理中心”,選擇“查詢統計”,雙擊“上網行為監控”會出現一個報表,雙擊報表進行檢視。
3.7 趨勢科技防毒牆配置
結合有限公司的網路需求分析和實際情況,決定採用趨勢科技防毒牆網路版10.0
一. 安裝前的準備工作 1. 確認已經將10.0 sp1安裝包osce_10_with_sp1_b1892_sc及 sp1 patch1補丁程式osce_10.0_b1895_sc_sp1_patch1下載到 預安裝伺服器的本地硬碟上; 2. 預安裝伺服器已經成功安裝iis 3. 本地ip已經成功配置 4. 建議伺服器計算機至少2ghz以上記憶體。
二. 開始安裝 1.將已下載到伺服器的安裝包 osce_10_with_sp1_b1892_sc解壓縮並進行安裝。安裝過程中選擇安裝到一臺電腦,掃描目標計算機,安裝整合型伺服器,安裝網路版客戶端,配置軟體安裝,安裝完畢後重啟電腦。
三. 2、伺服器重啟完畢後,在officescan 10.0 伺服器雙擊執行sp1 patch1補丁程式安裝包再重啟電腦。
3、設定伺服器更新頻率
4.全域性客戶端設定:
依次展開“聯網計算機”-“全域性客戶端設定”, 設定“將手動掃描新增到客戶端計算機的windows快捷選單中”。
設定病毒碼過期提醒。根據需要進行相關設定,其他的一般採用預設即可
依次展開“聯網計算機”-“客戶端管理”; 在設定選項中選擇“實時掃描設定”,然後在“處理措施”選項中選擇開啟“檢測到病毒/惡意軟體時在客戶端計算機上顯示通知訊息”,其它設定選擇預設設定。
6.行為監控設定 在設定選項中選擇“行為監控設定”,進入後選擇預設設定;
7、裝置控制設定: 在設定選項中選擇“裝置控制設定”,進入後選擇不啟用預設日誌刪除。進行日誌維護設定。
伺服器更新:依次展開“更新”-“伺服器”-“手動更新”,點選更新。更新完畢後就完成了基本配置。
第4章 安全架構實現效果驗證
4.1 防火牆的架構與實現效果驗證
連線與登入配置:使用ping命令測試防火牆和管理主機間的互通,能互通。
透明模式(網橋模式)的安裝與部署:lan內任何一臺主機可以ping通路由地址。
內外網互訪策略編輯與管理:
1、外部主機(),通過可以訪問dmz口的web伺服器:
2、dmz區的web伺服器()主機,仍然無法ping通外網主機:
l2tp配置:
1、在dos下用“ipconfig”命令,會出現獲取的總公司內網的ip地址
2、ping通了總公司內網的閘道器
4.2 入侵檢測的架構與實現效果驗證
針對ids檢測規則的操作,得到了一下入侵日誌:掃描操作
ping操作
4.3 內網安全的架構與實現效果驗證
網路訪問與網路日誌:網路訪問時留下的網路日誌
監控策略的使用:
由上面這些圖片可以看出,方案中的網路安全架構均能實現。
三優範文網