時間:2023-06-28 16:52:03
序論:在您撰寫企業(yè)網(wǎng)絡(luò)設(shè)計與實現(xiàn)時,參考他人的優(yōu)秀作品可以開闊視野,小編為您整理的7篇范文,希望這些建議能夠激發(fā)您的創(chuàng)作熱情,引導(dǎo)您走向新的創(chuàng)作高度。
關(guān)鍵詞:網(wǎng)絡(luò)系統(tǒng)集成 企業(yè)網(wǎng)絡(luò)應(yīng)用 系統(tǒng)集成設(shè)計 企業(yè)網(wǎng)絡(luò)搭建
中圖分類號:TP311.52 文獻標識碼:A 文章編號:1007-9416(2016)12-0039-01
1 總體設(shè)計
企業(yè)網(wǎng)絡(luò)系統(tǒng)集成環(huán)境可采用星型結(jié)構(gòu)搭建,采用交換機作為網(wǎng)絡(luò)中心節(jié)點建立核心層和接入層網(wǎng)絡(luò)體系結(jié)構(gòu),使用兩臺交換機采用雙鏈路匯聚技術(shù)提高企業(yè)網(wǎng)絡(luò)訪問速度和對用戶的管理。在設(shè)計中為企業(yè)搭建WEB和FTP雙服務(wù)器,WEB服務(wù)器提供網(wǎng)絡(luò)資源訪問,F(xiàn)TP服務(wù)器提供信息及數(shù)據(jù)的傳輸。
企業(yè)網(wǎng)絡(luò)系統(tǒng)集成進行VLAN規(guī)劃,本文以500臺計算機容量網(wǎng)絡(luò)規(guī)劃為例進行VLAN規(guī)劃,根據(jù)企業(yè)部門劃分為多個VLAN網(wǎng)段并對應(yīng)IP號段,便于便于對網(wǎng)絡(luò)數(shù)據(jù)包的分配和管理。
2 網(wǎng)絡(luò)設(shè)計與實現(xiàn)
2.1 IP及端口劃分與分配
IP地址規(guī)劃是為了區(qū)分企業(yè)內(nèi)部的客戶端機器,便于管理員對不同客戶端進行管理。IP地址劃分采用192.0.0.0-223.255.255.255,標誰的子網(wǎng)掩碼是255.255.255.0。對于擁有500臺計算機的企業(yè),一個標準的IP號段無法滿足應(yīng)用需求,因此,可采用CIDR理論,建立多號段IP進行管理,譬如:192.168.10.0/24、192.168.20.0/24、192.168.30.0/24、192.168.40.0/24。
2.2 交換機與路由器配置
SW1核心交換機連接1000Mb/S的光纖,搭建FTP服務(wù)器(IP:92.168.0.0/24)和web服務(wù)器(IP:92.168.1.0/24),可有管理員核交換機進行管理。
SW2模塊化匯聚交換機以100Mb/s雙絞線水平布線連接路由器,使各部門的計算機可以100Mb/s網(wǎng)速連接互聯(lián)網(wǎng)。
2.3 無線配置
可利用VLAN技術(shù)劃分出無線用戶使用區(qū),并對無線AP配置SSID。無線配置可在路由器端采用WEB加密技術(shù)設(shè)置WPA2加密管理,并設(shè)置IP使用范圍。
3 服務(wù)器設(shè)計與實現(xiàn)
3.1 DNS服務(wù)器
DNS(Domain Name System)域名系統(tǒng)可以建立層次結(jié)構(gòu)的網(wǎng)絡(luò)服務(wù)命名系統(tǒng)。在企業(yè)局域網(wǎng)中用戶可通過命名定位計算機,便于數(shù)據(jù)的共享??蓪⒕钟蚓W(wǎng)中的域名解析為IP地址配置DNS服務(wù)器,建立域名與IP之間的映射表。如映射IP:92.168.0.0/24。
3.2 WEB服務(wù)器
以Windows 系統(tǒng)搭建WEB服務(wù)器,采用IIS(Internet Information Service)信息服務(wù)進行管理與維護,搭建步驟為:打開IIS管理器,找到側(cè)欄“網(wǎng)站”選項右鍵“新建網(wǎng)站”,之后根據(jù)創(chuàng)建向?qū)瓿蓜?chuàng)建。
3.3 FTP服務(wù)器
FTP服務(wù)器是為企業(yè)數(shù)據(jù)上傳和下載的網(wǎng)絡(luò)空間,在FTP服務(wù)器上企I員工可以將個人的工作文件上傳到服務(wù)器上共享。搭建FTP服務(wù)器需要在Internet信息服務(wù)器(IIS)管理器中建立FTP站點,并添加上傳(upload)和下載(download)用戶,對服務(wù)器中的存儲空間配置文件夾權(quán)限,并指定用戶操作權(quán)限。
4 網(wǎng)絡(luò)機房規(guī)劃
網(wǎng)絡(luò)機房主要功能是對企業(yè)的總體網(wǎng)絡(luò)應(yīng)用進行管理,分配不同功能區(qū)網(wǎng)絡(luò)數(shù)據(jù)包,并對企業(yè)網(wǎng)絡(luò)應(yīng)用安全進行管理。在機房設(shè)計中,我們以標準機柜為建設(shè)對象,將交換機、路由器、硬件防火墻等統(tǒng)一安裝在一個大型的立式標準機柜中,由此加強對設(shè)備的統(tǒng)一管理。在企業(yè)網(wǎng)絡(luò)機房機柜布局上采用將綜合布線機柜、網(wǎng)絡(luò)機柜和服務(wù)器機柜按照管理層次進行規(guī)范化布局。其中綜合布線機柜與網(wǎng)絡(luò)機柜相鄰安置,這樣方便我們進行調(diào)線操作,可控制網(wǎng)絡(luò)用戶的分配。每個機柜在安裝設(shè)備時應(yīng)留有一定空間,便于設(shè)備進行升級和擴充。
網(wǎng)絡(luò)機房是企業(yè)安全防范的重地,在機房環(huán)境的建設(shè)中,要充分考慮機房環(huán)境對設(shè)備所產(chǎn)生的影響,其中包括:機房的通風能力、機房防靜電能力、機房抗雷電能力等,此外,機房涉及企業(yè)重要數(shù)據(jù),為防止企業(yè)數(shù)據(jù)丟失,非工作人員不得進入網(wǎng)絡(luò)機房。
機房環(huán)境中的設(shè)備及材料主要包括:空調(diào)、UPS電源、配電箱、全鋼防靜電地板等。為防止雷電給機房設(shè)備造成傷害,設(shè)置網(wǎng)絡(luò)機房接地系統(tǒng),防止企業(yè)計算機受到雷電干擾導(dǎo)致設(shè)備受損。其主要結(jié)構(gòu)為紫銅總匯集排ATK008,規(guī)格:300mm×40mm×4mm,以保證地電位分布均勻,直流和交流工作接地。
在企業(yè)網(wǎng)絡(luò)機房中,設(shè)置消防安全系統(tǒng),機房內(nèi)安裝溫感探測器、煙感探測器和FM200氣體滅火系統(tǒng)。FM200氣體滅火系統(tǒng)設(shè)在機房外,為管網(wǎng)式結(jié)構(gòu),在天花吊頂層朝下設(shè)置噴嘴,當遇到火情時,全方位立體式滅火。
【關(guān)鍵詞】企業(yè)網(wǎng)絡(luò) 信息安全 策略設(shè)計
一、企業(yè)網(wǎng)絡(luò)信息系統(tǒng)安全需求
(一)企業(yè)網(wǎng)絡(luò)信息安全威脅分析
大部分企業(yè)在網(wǎng)絡(luò)信息安全封面均有一些必要措施,因為網(wǎng)絡(luò)拓撲結(jié)構(gòu)和網(wǎng)絡(luò)部署不是一成不變的,因此還會面臨一些安全威脅,總結(jié)如下:
(1)監(jiān)控手段不足:企業(yè)員工有可能將沒有經(jīng)過企業(yè)注冊的終端引入企業(yè)網(wǎng)絡(luò),也有可能使用存在安全漏洞的軟件產(chǎn)品,對網(wǎng)絡(luò)安全造成威脅。
(2)數(shù)據(jù)明文傳輸:在企業(yè)網(wǎng)絡(luò)中,不少數(shù)據(jù)都未加密,以明文的方式傳輸,外界可以通過網(wǎng)絡(luò)監(jiān)聽、掃描竊取到企業(yè)的保密信息或關(guān)鍵數(shù)據(jù)。
(3)訪問控制不足:企業(yè)信息系統(tǒng)由于對訪問控制重要性的忽視,加之成本因素,往往不配備認證服務(wù)器,各類網(wǎng)絡(luò)設(shè)備的口令也沒有進行權(quán)限的分組。
(4)網(wǎng)間隔離不足:企業(yè)內(nèi)部網(wǎng)絡(luò)往往具有較為復(fù)雜的拓撲結(jié)構(gòu),下屬機構(gòu)多,用戶數(shù)量多。但網(wǎng)絡(luò)隔離僅僅依靠交換機和路由器來實現(xiàn),使企業(yè)受到安全威脅。
(二)企業(yè)網(wǎng)絡(luò)信息安全需求分析
企業(yè)信息系統(tǒng)中,不同的對象具備不同的安全需求:
(1)企業(yè)核心數(shù)據(jù)庫:必須能夠保證數(shù)據(jù)的可靠性和完整性,禁止沒有經(jīng)過授權(quán)的用戶非法訪問,能夠避免各種攻擊帶來的數(shù)據(jù)安全風險。
(2)企業(yè)應(yīng)用服務(wù)器:重要數(shù)據(jù)得到有效保護,禁止沒有經(jīng)過授權(quán)的用戶非法訪問,能夠避免各種攻擊帶來的數(shù)據(jù)安全風險。
(3)企業(yè)web服務(wù)器:能夠有效避免非法用戶篡改數(shù)據(jù),能夠及時發(fā)現(xiàn)并清除木馬及惡意代碼,禁止沒有經(jīng)過授權(quán)的用戶非法訪問。
(4)企業(yè)郵件服務(wù)器:能夠識別并拒絕垃圾郵件,能夠及時發(fā)現(xiàn)并清除木馬及蠕蟲。
(5)企業(yè)用戶終端:防止惡意病毒的植入,防止非法連接,防止未被授權(quán)的訪問行為。
二、企業(yè)網(wǎng)絡(luò)安全策略設(shè)計與實現(xiàn)
企業(yè)網(wǎng)絡(luò)的信息安全策略是涵蓋多方面的,既有管理安全,也有技術(shù)安全,既有物理安全策略,也有網(wǎng)絡(luò)安全策略。結(jié)合上文的安全分析與安全需求,企業(yè)網(wǎng)絡(luò)應(yīng)實現(xiàn)科學(xué)的安全管理模式,結(jié)合網(wǎng)絡(luò)設(shè)備功能的不同對整體網(wǎng)絡(luò)進行有效分區(qū),可分為專網(wǎng)區(qū)、服務(wù)器區(qū)以及內(nèi)網(wǎng)公共區(qū),并部署入侵檢測系統(tǒng)與防火墻系統(tǒng),對內(nèi)部用戶威脅到網(wǎng)絡(luò)安全的行為進行阻斷。
在此基礎(chǔ)上,本文著重闡述企業(yè)信息系統(tǒng)的網(wǎng)絡(luò)層安全策略:
(一)企業(yè)信息系統(tǒng)網(wǎng)絡(luò)設(shè)備安全策略
隨著網(wǎng)絡(luò)安全形勢的日趨嚴峻,不斷有新的攻擊手段被發(fā)現(xiàn),而這些手段的攻擊目標也已經(jīng)從用戶終端、服務(wù)器厭延展至交換機、路由器等硬件設(shè)施。而交換機與路由器屬于網(wǎng)絡(luò)核心層的重點設(shè)備,如果這些設(shè)備退出服務(wù),企業(yè)信息系統(tǒng)網(wǎng)絡(luò)安全便會面臨很大的威脅。由此本文給出以下的網(wǎng)絡(luò)設(shè)備安全策略。
最大化地關(guān)閉網(wǎng)絡(luò)交換機上的服務(wù)種類。尤其是不經(jīng)常使用的服務(wù)更應(yīng)關(guān)閉,舉例來講:交換機的鄰居發(fā)現(xiàn)服務(wù)CDP,其功能是辨認一個網(wǎng)絡(luò)端口連接到哪一個另外的網(wǎng)絡(luò)端口,鄰居發(fā)現(xiàn)服務(wù)鎖發(fā)出和接收的數(shù)據(jù)包很容易暴露用戶終端的屬性信息,包括交換機端口與用戶終端的IP信息,網(wǎng)絡(luò)交換機的型號與版本信息,本地虛擬局域網(wǎng)屬性等。因此,本文建議在不常使用此服務(wù)的情況下,應(yīng)該關(guān)閉鄰居發(fā)現(xiàn)服務(wù)。另外,一些同樣不常使用的服務(wù),包括交換機自舉服務(wù)、文件傳輸服務(wù)、簡單文件傳輸服務(wù)、網(wǎng)絡(luò)時間同步服務(wù)、查詢用戶情況服務(wù)、簡單網(wǎng)絡(luò)管理服務(wù)、源路徑路由服務(wù)、ARP服務(wù)等等。
企業(yè)信息系統(tǒng)的網(wǎng)管往往以Telnet協(xié)議實現(xiàn)對全網(wǎng)所有交換機、路由器的配置與管理。眾所周知,此協(xié)議使用的是明文傳輸模式,因此在信息安全方面不輸于非??煽康膮f(xié)議。入侵者只要以抓包軟件便能夠輕易得知網(wǎng)管的登錄ID與密碼,以抓包軟件同樣能夠獲取網(wǎng)絡(luò)管理員發(fā)出、受到的全部數(shù)據(jù)。所以在網(wǎng)絡(luò)管理中,應(yīng)引入安全性能更高的協(xié)議,本文推薦SSH(Secure Shell Client)協(xié)議。這種協(xié)議借助RSA生成安全性能極高的簽名證書,通過該證書,全部以SSH協(xié)議進行傳輸?shù)臄?shù)據(jù)包都被良好加密。此外VTP 的安全使用也是一個應(yīng)該得到重視的問題,VTP應(yīng)配置強口令。
(二)企業(yè)信息系統(tǒng)網(wǎng)絡(luò)端口安全策略
由于大部分企業(yè)網(wǎng)絡(luò)的終端均以網(wǎng)絡(luò)交換機在接入層連入網(wǎng)絡(luò),而網(wǎng)絡(luò)交換機屬于工作在ISO第二層的設(shè)備,當前有不少以第二層為目標的非法攻擊行為,為網(wǎng)絡(luò)帶來了不容忽視的安全威脅。
二層網(wǎng)絡(luò)交換機使用的數(shù)據(jù)轉(zhuǎn)發(fā)方式是以CAM表為基礎(chǔ)的。在網(wǎng)絡(luò)交換機加點之后,首選會清空CAM 表,并立即啟動數(shù)據(jù)幀源地址學(xué)習,并將這些信息存入交換機CAM表中。這時候,加入非法入侵者通過偽造自身的MAC地址并不停地發(fā)出數(shù)據(jù)幀結(jié)構(gòu),便很容易導(dǎo)致網(wǎng)絡(luò)交換機CAM表溢出,服務(wù)失效。而此時便會導(dǎo)致該MAC的流量向交換機其他端口轉(zhuǎn)發(fā),為非法入侵者提供網(wǎng)絡(luò)竊聽的機會,很容易造成攻擊風險。本文所推薦的策略是:網(wǎng)絡(luò)交換機的端口安全維護應(yīng)隨時打開;在交換機配置中設(shè)置其學(xué)習MAC地址的最大數(shù)目為1;設(shè)置網(wǎng)絡(luò)交換機能夠存儲其學(xué)習到的全部MAC地址;一旦網(wǎng)絡(luò)交換機的安全保護被觸發(fā),則丟棄全部MAC 地址的流量,發(fā)送告警信息。對網(wǎng)絡(luò)交換機進行以上的配置,一方面能夠防止基于交換機MAC地址的泛洪攻擊,另一方面也能對網(wǎng)絡(luò)內(nèi)部的合法地址做好記錄。
在成功阻止未知MAC地址接入的基礎(chǔ)上,還應(yīng)阻止來自已知地址的攻擊。本文推薦基于MAC限流的策略,這是由于網(wǎng)絡(luò)交換機不必向所有端口廣播未知幀,因此可以對未知幀進行阻止,增強網(wǎng)絡(luò)交換機安全性。
(三)企業(yè)信息系統(tǒng)網(wǎng)絡(luò)BPDU防護策略
一般情況下,企業(yè)的內(nèi)部網(wǎng)絡(luò)往往以網(wǎng)絡(luò)交換機作為網(wǎng)絡(luò)拓撲的支撐,因為考慮到交換機通道的溝通,加之系統(tǒng)冷、熱備份的出發(fā)點,在企業(yè)網(wǎng)絡(luò)中是存在第二層環(huán)路的,這就容易引發(fā)多個幀副本的出現(xiàn),甚至引起基于第二層的數(shù)據(jù)包廣播風暴,為了避免此種情況的發(fā)生,企業(yè)網(wǎng)絡(luò)往往引入了STP協(xié)議。而這種協(xié)議的效果則取決于交換機共享的BPDU信息。這就為一些攻擊者提供了機會,通過假冒優(yōu)先級低的BPDU數(shù)據(jù)包,攻擊者向二層網(wǎng)絡(luò)交換機發(fā)送。由于這種情況下入侵檢測系統(tǒng)與網(wǎng)絡(luò)防火墻均無法生效,就導(dǎo)致攻擊者能夠方便地獲取網(wǎng)絡(luò)信息??梢圆捎玫姆婪洞胧椋涸诙泳W(wǎng)絡(luò)交換機啟用BPDU過濾器模塊。該模塊能夠控制此端口,使其對BPDU數(shù)據(jù)包不進行任何處理,加入收到此種類型的數(shù)據(jù)包,該端口將會自動設(shè)置為“服務(wù)停止”。在此基礎(chǔ)上,在根交換機上引入鏈路監(jiān)控體系。一旦該交換機設(shè)備檢測到優(yōu)先級更高的 BPDU數(shù)據(jù)包,則發(fā)出“失效”的消息,及時阻塞端口。
(四)企業(yè)信息系統(tǒng)網(wǎng)絡(luò)Spoof防護策略
在企業(yè)內(nèi)部網(wǎng)絡(luò)中,往往有著大量的終端機,出于安全性與可靠性的考慮,這些終端機均以動態(tài)主機設(shè)置協(xié)議獲得自身的IP地址。這就為Spoof 攻擊留下了機會。在這種攻擊中,非法入侵者會將自身假冒動態(tài)主機設(shè)置協(xié)議服務(wù)器,同時向用戶主機發(fā)出假冒的動態(tài)IP配置數(shù)據(jù)包,導(dǎo)致用戶無法獲取真實IP,不能聯(lián)網(wǎng)。可以采用的防范措施為:引入動態(tài)主機設(shè)置協(xié)議Snooping 策略。在二層網(wǎng)絡(luò)交換機上安裝Snooping模塊并激活,系統(tǒng)便會把設(shè)備的全部可用端口設(shè)置為untrust 接口。這種接口能夠收到消息,并丟棄假冒的動態(tài)IP配置數(shù)據(jù)包,從而防止Spoof 攻擊帶來的風險。
考慮到地址解析協(xié)議在安全方面的防范性不足,加入非法入侵者不斷地發(fā)出ARP數(shù)據(jù)包,便容易導(dǎo)致全部用戶終端的ARP表退出服務(wù),除去靜態(tài)綁定IP與MAC之外,本文推薦動態(tài)ARP監(jiān)測策略。此種策略會將交換機全部端口設(shè)置為untrust狀態(tài)。此種狀態(tài)之下,端口將無法發(fā)出ARP的響應(yīng),因此,黨用戶主機染毒時,其發(fā)出的假冒ARP數(shù)據(jù)包將由于與列表不匹配而被丟棄,系統(tǒng)安全得到了保障。
三、結(jié)束語
企業(yè)信息系統(tǒng)亟需一個整體性的解決方案與安全策略。本研究在闡述企業(yè)整體信息安全威脅與需求的基礎(chǔ)上,總結(jié)了企業(yè)網(wǎng)絡(luò)常見的安全問題,結(jié)合這些問題進行了信息安全策略設(shè)計,并從網(wǎng)絡(luò)設(shè)備防護策略、端口安全策略、BPDU 防護策略、Spoof 攻擊防護策略四個方面對企業(yè)信息安全實現(xiàn)方法進行了闡述,設(shè)計了相關(guān)的安全策略。
參考文獻:
[1]劉念,張建華,段斌等.網(wǎng)絡(luò)環(huán)境下變電站自動化通信系統(tǒng)脆弱性評估,電力系統(tǒng)自動化,2012,(8).
[2]王治綱,王曉剛,盧正鼎.多數(shù)據(jù)庫系統(tǒng)中基于角色的訪問控制策略研究.計算機工程與科學(xué),2011,(2).
[3]楊智君,田地,馬駿曉等.入侵檢測技術(shù)研究綜述.計算機工程與設(shè)計,2010,(12).
[4]戚宇林,劉文穎,楊以涵等.電力信息的網(wǎng)絡(luò)化傳輸是電力系統(tǒng)安全的重要保證.電網(wǎng)技術(shù),2009,(9).
關(guān)鍵詞:網(wǎng)絡(luò)安全管理;網(wǎng)絡(luò)安全管理系統(tǒng);企業(yè)信息安全
中圖分類號:TP271 文獻標識碼:A 文章編號:1009-3044(2012)33-7915-03
計算機網(wǎng)絡(luò)是通過互聯(lián)網(wǎng)服務(wù)來為人們提供各種各樣的功能,如果想保證這些服務(wù)的有效提供,一是需要全面完善計算機網(wǎng)絡(luò)的基礎(chǔ)設(shè)施和配置;二是需要有可靠完善的保障體系??煽客晟频谋U象w系是為了能夠保證網(wǎng)絡(luò)中的信息傳輸、信息處理和信息共享等功能能夠安全進行。
1 網(wǎng)絡(luò)安全的定義
網(wǎng)絡(luò)安全問題不但是近些年來網(wǎng)絡(luò)信息安全領(lǐng)域經(jīng)常討論和研究的重要問題,也是現(xiàn)代網(wǎng)絡(luò)信息安全中亟待解決的關(guān)鍵問題。網(wǎng)絡(luò)安全的含義是保證整個網(wǎng)絡(luò)系統(tǒng)中的硬件、軟件和數(shù)據(jù)信息受到有效保護,不會因為網(wǎng)絡(luò)意外故障的發(fā)生,或者人為惡意攻擊,病毒入侵而受到破壞,導(dǎo)致重要信息的泄露和丟失,甚至造成整個網(wǎng)絡(luò)系統(tǒng)的癱瘓。
網(wǎng)絡(luò)安全的本質(zhì)就是網(wǎng)絡(luò)中信息傳輸、共享、使用的安全,網(wǎng)絡(luò)安全研究領(lǐng)域包括網(wǎng)絡(luò)上信息的完整性、可用性、保密性和真實性等一系列技術(shù)理論。而網(wǎng)絡(luò)安全是集合了互聯(lián)網(wǎng)技術(shù)、計算機科學(xué)技術(shù)、通信技術(shù)、信息安全管理技術(shù)、密碼學(xué)、數(shù)理學(xué)等多種技術(shù)于一體的綜合性學(xué)科。
2 網(wǎng)絡(luò)安全技術(shù)介紹
2.1 安全威脅和防護措施
網(wǎng)絡(luò)安全威脅指的是具體的人、事、物對具有合法性、保密性、完整性和可用性造成的威脅和侵害。防護措施就是對這些資源進行保護和控制的相關(guān)策略、機制和過程。
安全威脅可以分為故意安全威脅和偶然安全威脅兩種,而故意安全威脅又可以分為被動安全威脅和主動安全威脅。被動安全威脅包括對網(wǎng)絡(luò)中的數(shù)據(jù)信息進行監(jiān)聽、竊聽等,而不對這些數(shù)據(jù)進行篡改,主動安全威脅則是對網(wǎng)絡(luò)中的數(shù)據(jù)信息進行故意篡改等行為。
2.2 網(wǎng)絡(luò)安全管理技術(shù)
目前,網(wǎng)絡(luò)安全管理技術(shù)越來越受到人們的重視,而網(wǎng)絡(luò)安全管理系統(tǒng)也逐漸地應(yīng)用到企事業(yè)單位、政府機關(guān)和高等院校的各種計算機網(wǎng)絡(luò)中。隨著網(wǎng)絡(luò)安全管理系統(tǒng)建設(shè)的規(guī)模不斷發(fā)展和擴大,網(wǎng)絡(luò)安全防范技術(shù)也得到了迅猛發(fā)展,同時出現(xiàn)了若干問題,例如網(wǎng)絡(luò)安全管理和設(shè)備配置的協(xié)調(diào)問題、網(wǎng)絡(luò)安全風險監(jiān)控問題、網(wǎng)絡(luò)安全預(yù)警響應(yīng)問題,以及網(wǎng)絡(luò)中大量數(shù)據(jù)的安全存儲和使用問題等等。
網(wǎng)絡(luò)安全管理在企業(yè)管理中最初是被作為一個關(guān)鍵的組成部分,從信息安全管理的方向來看,網(wǎng)絡(luò)安全管理涉及到整個企業(yè)的策略規(guī)劃和流程、保護數(shù)據(jù)需要的密碼加密、防火墻設(shè)置、授權(quán)訪問、系統(tǒng)認證、數(shù)據(jù)傳輸安全和外界攻擊保護等等。
在實際應(yīng)用中,網(wǎng)絡(luò)安全管理并不僅僅是一個軟件系統(tǒng),它涵蓋了多種內(nèi)容,包括網(wǎng)絡(luò)安全策略管理、網(wǎng)絡(luò)設(shè)備安全管理、網(wǎng)絡(luò)安全風險監(jiān)控等多個方面。
2.3 防火墻技術(shù)
互聯(lián)網(wǎng)防火墻結(jié)合了硬件和軟件技術(shù)來防止未授權(quán)的訪問進行出入,是一個控制經(jīng)過防火墻進行網(wǎng)絡(luò)活動行為和數(shù)據(jù)信息交換的軟件防護系統(tǒng),目的是為了保證整個網(wǎng)絡(luò)系統(tǒng)不受到任何侵犯。
防火墻是根據(jù)企業(yè)的網(wǎng)絡(luò)安全管理策略來控制進入和流出網(wǎng)絡(luò)的數(shù)據(jù)信息,而且其具有一定程度的抗外界攻擊能力,所以可以作為企業(yè)不同網(wǎng)絡(luò)之間,或者多個局域網(wǎng)之間進行數(shù)據(jù)信息交換的出入接口。防火墻是保證網(wǎng)絡(luò)信息安全、提供安全服務(wù)的基礎(chǔ)設(shè)施,它不僅是一個限制器,更是一個分離器和分析器,能夠有效控制企業(yè)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的數(shù)據(jù)信息交換,從而保證整個網(wǎng)絡(luò)系統(tǒng)的安全。
將防火墻技術(shù)引入到網(wǎng)絡(luò)安全管理系統(tǒng)之中是因為傳統(tǒng)的子網(wǎng)系統(tǒng)并不十分安全,很容易將信息暴露給網(wǎng)絡(luò)文件系統(tǒng)和網(wǎng)絡(luò)信息服務(wù)等這類不安全的網(wǎng)絡(luò)服務(wù),更容易受到網(wǎng)絡(luò)的攻擊和竊聽。目前,互聯(lián)網(wǎng)中較為常用的協(xié)議就是TCP/IP協(xié)議,而TCP/IP的制定并沒有考慮到安全因素,防火墻的設(shè)置從很大程度上解決了子網(wǎng)系統(tǒng)的安全問題。
2.4 入侵檢測技術(shù)
入侵檢測是一種增強系統(tǒng)安全的有效方法。其目的就是檢測出系統(tǒng)中違背系統(tǒng)安全性規(guī)則或者威脅到系統(tǒng)安全的活動。通過對系統(tǒng)中用戶行為或系統(tǒng)行為的可疑程度進行評估,并根據(jù)評價結(jié)果來判斷行為的正常性,從而幫助系統(tǒng)管理人員采取相應(yīng)的對策措施。入侵檢測可分為:異常檢測、行為檢測、分布式免疫檢測等。
3 企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)架構(gòu)設(shè)計
3.1 系統(tǒng)設(shè)計目標
該文的企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)的設(shè)計目的是需要克服原有網(wǎng)絡(luò)安全技術(shù)的不足,提出一種通用的、可擴展的、模塊化的網(wǎng)絡(luò)安全管理系統(tǒng),以多層網(wǎng)絡(luò)架構(gòu)的安全防護方式,將身份認證、入侵檢測、訪問控制等一系列網(wǎng)絡(luò)安全防護技術(shù)應(yīng)用到網(wǎng)絡(luò)系統(tǒng)之中,使得這些網(wǎng)絡(luò)安全防護技術(shù)能夠相互彌補、彼此配合,在統(tǒng)一的控制策略下對網(wǎng)絡(luò)系統(tǒng)進行檢測和監(jiān)控,從而形成一個分布式網(wǎng)絡(luò)安全防護體系,從而有效提高網(wǎng)絡(luò)安全管理系統(tǒng)的功能性、實用性和開放性。
3.2 系統(tǒng)原理框圖
該文設(shè)計了一種通用的企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng),該系統(tǒng)的原理圖如圖1所示。
3.2.1 系統(tǒng)總體架構(gòu)
網(wǎng)絡(luò)安全管理中心作為整個企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)的核心部分,能夠在同一時間與多個網(wǎng)絡(luò)安全終端連接,并通過其對多個網(wǎng)絡(luò)設(shè)備進行管理,還能夠提供處理網(wǎng)絡(luò)安全事件、提供網(wǎng)絡(luò)配置探測器、查詢網(wǎng)絡(luò)安全事件,以及在網(wǎng)絡(luò)中發(fā)生響應(yīng)命令等功能。
網(wǎng)絡(luò)安全是以分布式的方式,布置在受保護和監(jiān)控的企業(yè)網(wǎng)絡(luò)中,網(wǎng)絡(luò)安全是提供網(wǎng)絡(luò)安全事件采集,以及網(wǎng)絡(luò)安全設(shè)備管理等服務(wù)的,并且與網(wǎng)絡(luò)安全管理中心相互連接。
網(wǎng)絡(luò)設(shè)備管理包括了對企業(yè)整個網(wǎng)絡(luò)系統(tǒng)中的各種網(wǎng)絡(luò)基礎(chǔ)設(shè)備、設(shè)施的管理。
網(wǎng)絡(luò)安全管理專業(yè)人員能夠通過終端管理設(shè)備,對企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)進行有效的安全管理。
3.2.2 系統(tǒng)網(wǎng)絡(luò)安全管理中心組件功能
系統(tǒng)網(wǎng)絡(luò)安全管理中心核心功能組件:包括了網(wǎng)絡(luò)安全事件采集組件、網(wǎng)絡(luò)安全事件查詢組件、網(wǎng)絡(luò)探測器管理組件和網(wǎng)絡(luò)管理策略生成組件。網(wǎng)絡(luò)探測器管理組件是根據(jù)網(wǎng)絡(luò)的安全狀況實現(xiàn)對模塊進行添加、刪除的功能,它是到系統(tǒng)探測器模塊數(shù)據(jù)庫中進行選擇,找出與功能相互匹配的模塊,將它們添加到網(wǎng)絡(luò)安全探測器上。網(wǎng)絡(luò)安全事件采集組件是將對網(wǎng)絡(luò)安全事件進行分析和過濾的結(jié)構(gòu)添加到數(shù)據(jù)庫中。網(wǎng)絡(luò)安全事件查詢組件是為企業(yè)網(wǎng)絡(luò)安全專業(yè)管理人員提供對網(wǎng)絡(luò)安全數(shù)據(jù)庫進行一系列操作的主要結(jié)構(gòu)。而網(wǎng)絡(luò)管理策略生產(chǎn)組件則是對輸入的網(wǎng)絡(luò)安全事件分析結(jié)果進行自動查詢,并將管理策略發(fā)送給網(wǎng)絡(luò)安全。
系統(tǒng)網(wǎng)絡(luò)安全管理中心數(shù)據(jù)庫模塊組件:包括了網(wǎng)絡(luò)安全事件數(shù)據(jù)庫、網(wǎng)絡(luò)探測器模塊數(shù)據(jù)庫,以及網(wǎng)絡(luò)響應(yīng)策略數(shù)據(jù)庫。網(wǎng)絡(luò)探測器模塊數(shù)據(jù)庫是由核心功能組件進行添加和刪除的,它主要是對安裝在網(wǎng)絡(luò)探測器上的功能模塊進行存儲。網(wǎng)絡(luò)安全事件數(shù)據(jù)庫是對輸入的網(wǎng)絡(luò)安全事件進行分析和統(tǒng)計,主要用于對各種網(wǎng)絡(luò)安全事件的存儲。網(wǎng)絡(luò)相應(yīng)策略數(shù)據(jù)庫是對輸入網(wǎng)絡(luò)安全事件的分析結(jié)果反饋相應(yīng)的處理策略,并且對各種策略進行存儲。
3.3 系統(tǒng)架構(gòu)特點
3.3.1 統(tǒng)一管理,分布部署
該文設(shè)計的企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)是采用網(wǎng)絡(luò)安全管理中心對系統(tǒng)進行部署和管理,并且根據(jù)網(wǎng)絡(luò)管理人員提出的需求,將網(wǎng)絡(luò)安全分布地布置在整個網(wǎng)絡(luò)系統(tǒng)之中,然后將選取出的網(wǎng)絡(luò)功能模塊和網(wǎng)絡(luò)響應(yīng)命令添加到網(wǎng)絡(luò)安全上,網(wǎng)絡(luò)安全管理中心可以自動管理網(wǎng)絡(luò)安全對各種網(wǎng)絡(luò)安全事件進行處理。
3.3.2 模塊化開發(fā)方式
本系統(tǒng)的網(wǎng)絡(luò)安全管理中心和網(wǎng)絡(luò)安全采用的都是模塊化的設(shè)計方式,如果需要在企業(yè)網(wǎng)絡(luò)管理系統(tǒng)中增加新的網(wǎng)絡(luò)設(shè)備或管理策略時,只需要對相應(yīng)的新模塊和響應(yīng)策略進行開發(fā)實現(xiàn),最后將其加載到網(wǎng)絡(luò)安全中,而不必對網(wǎng)絡(luò)安全管理中心、網(wǎng)絡(luò)安全進行系統(tǒng)升級和更新。
3.3.3 分布式多級應(yīng)用
對于機構(gòu)比較復(fù)雜的網(wǎng)絡(luò)系統(tǒng),可使用多管理器連接,保證全局網(wǎng)絡(luò)的安全。在這種應(yīng)用中,上一級管理要對下一級的安全狀況進行實時監(jiān)控,并對下一級的安全事件在所轄范圍內(nèi)進行及時全局預(yù)警處理,同時向上一級管理中心進行匯報。網(wǎng)絡(luò)安全主管部門可以在最短時間內(nèi)對全局范圍內(nèi)的網(wǎng)絡(luò)安全進行嚴密的監(jiān)視和防范。
4 結(jié)論
隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,互聯(lián)網(wǎng)中存儲了大量的保密信息數(shù)據(jù),這些數(shù)據(jù)在網(wǎng)絡(luò)中進行傳輸和使用,隨著網(wǎng)絡(luò)安全技術(shù)的不斷更新和發(fā)展,新型的網(wǎng)絡(luò)安全設(shè)備也大量出現(xiàn),由此,企業(yè)對于網(wǎng)絡(luò)安全的要求也逐步提升,因此,該文設(shè)計的企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)具有重要的現(xiàn)實意義和實用價值。
參考文獻:
目前,隨著我國現(xiàn)代信息技術(shù)的快速發(fā)展,很多大型企業(yè)的經(jīng)營管理方式也朝著信息化方向發(fā)展。在信息化技術(shù)非常發(fā)達的現(xiàn)代,一個企業(yè)的信息化水平的高低將決定企業(yè)競爭力的大小,因此,企業(yè)只有掌握較好的網(wǎng)絡(luò)技術(shù),才能更好地控制企業(yè)的機密,從而實現(xiàn)企業(yè)的信息化管理。為了進一步提高企業(yè)的資源利用管理水平,提高企業(yè)的核心競爭力,構(gòu)建企業(yè)網(wǎng)絡(luò)安全部署具有直接決定作用。
1我國企業(yè)網(wǎng)絡(luò)構(gòu)架及安全部署的現(xiàn)狀
企業(yè)網(wǎng)絡(luò)構(gòu)架現(xiàn)在已經(jīng)從以往單一的數(shù)據(jù)交換發(fā)展到綜合智能化一體的信息化網(wǎng)絡(luò)計劃,我國企業(yè)的網(wǎng)絡(luò)構(gòu)架及安全部署現(xiàn)在已經(jīng)發(fā)展了幾十年,但是,與西方發(fā)達國家相比,我國企業(yè)的網(wǎng)絡(luò)構(gòu)架及安全部署還存在很大的差距。目前,我國企業(yè)已經(jīng)意識到網(wǎng)絡(luò)構(gòu)架及安全部署的重要性,主要是由于企業(yè)網(wǎng)絡(luò)構(gòu)架對于企業(yè)的生產(chǎn)、管理和物流等環(huán)節(jié)都具有較大的支持作用。企業(yè)的管理層對網(wǎng)絡(luò)構(gòu)架的設(shè)計思想主要反映出企業(yè)利用資源的能力,從而保證企業(yè)的網(wǎng)絡(luò)構(gòu)架是其業(yè)務(wù)水平的重要保障。我國現(xiàn)在很多企業(yè)對網(wǎng)絡(luò)構(gòu)架及安全部署的要求越來越高,但是我國企業(yè)的網(wǎng)絡(luò)構(gòu)架還無法滿足現(xiàn)代企業(yè)網(wǎng)絡(luò)構(gòu)架的高要求。因此,我國企業(yè)網(wǎng)絡(luò)構(gòu)架及安全部署的不足嚴重制約了我國企業(yè)的長遠發(fā)展。
2企業(yè)網(wǎng)絡(luò)架構(gòu)安全部署設(shè)計與實現(xiàn)
2.1 網(wǎng)絡(luò)架構(gòu)設(shè)計思想及原則
我國企業(yè)網(wǎng)絡(luò)架構(gòu)設(shè)計主要是為了實現(xiàn)將不同位置的計算機網(wǎng)絡(luò)進行互通,這也是企業(yè)實現(xiàn)網(wǎng)絡(luò)構(gòu)架的基本要求。隨著我國企業(yè)數(shù)據(jù)業(yè)務(wù)的不斷發(fā)展和改進,企業(yè)網(wǎng)絡(luò)構(gòu)架的設(shè)計要求也變得更高,因而需要從簡單的網(wǎng)絡(luò)構(gòu)架中設(shè)計出服務(wù)性更強的網(wǎng)絡(luò)構(gòu)架,并且不斷向應(yīng)用型網(wǎng)絡(luò)構(gòu)架轉(zhuǎn)變。因此,企業(yè)網(wǎng)絡(luò)構(gòu)架的設(shè)計者在進行網(wǎng)絡(luò)構(gòu)架設(shè)計時應(yīng)該充分考慮企業(yè)的各種業(yè)務(wù)需求,以保證企業(yè)的網(wǎng)絡(luò)構(gòu)架能夠滿足其長遠的發(fā)展,從而為企業(yè)提供更加方便的管理平臺,這也是企業(yè)網(wǎng)絡(luò)構(gòu)架及安全部署設(shè)計的基本思想和原則。
2.2 企業(yè)網(wǎng)絡(luò)架構(gòu)的實現(xiàn)
當網(wǎng)絡(luò)構(gòu)架的基本設(shè)計完成后,就應(yīng)該對設(shè)計的模型進行部署和實現(xiàn),從而使得企業(yè)能夠更加實際地了解企業(yè)的網(wǎng)絡(luò)構(gòu)架。
企業(yè)網(wǎng)絡(luò)構(gòu)架實現(xiàn)的過程一般包括以下幾個方面:1)規(guī)劃企業(yè)的IP地址空間范圍;2)部署和實現(xiàn)企業(yè)核心層的網(wǎng)絡(luò)構(gòu)架;3)在核心網(wǎng)絡(luò)構(gòu)架的基礎(chǔ)上對下層的網(wǎng)絡(luò)構(gòu)架進行設(shè)計。當然,企業(yè)的網(wǎng)絡(luò)構(gòu)架的設(shè)計一般應(yīng)該遵循規(guī)范性、標準性、連續(xù)性和靈活性等原則。
3企業(yè)網(wǎng)絡(luò)構(gòu)架的故障分析及解決方案
3.1 網(wǎng)絡(luò)冗余雙機部署中的故障
現(xiàn)在,網(wǎng)絡(luò)設(shè)備雙機部署過程中,由于路由的配置等技術(shù)相對比較成熟,一般不會出現(xiàn)故障和問題。但是,其企業(yè)網(wǎng)絡(luò)構(gòu)架中防火墻的雙機構(gòu)架的設(shè)計和部署時,會出現(xiàn)很多疑難問題。目前,解決這些疑難問題的方法主要包括以下兩種:1)移除防火墻之間的交叉冗余鏈路,同時更改兩臺防火墻上相同路由開銷值,這樣可以保證在主防火墻出現(xiàn)故障后,其他防火墻可以安全使用。這種方案可以解決故障,但也存在一定的弊病,主要是指數(shù)據(jù)負載在主設(shè)備上,備用設(shè)備一般是出于閑置狀態(tài),只有出現(xiàn)故障時才切換到備用設(shè)備機;2)采取措施將主防火墻的全部會話列表與備用設(shè)備同步,從而使備用設(shè)備保持與主設(shè)備的防火墻會話列表一致。即使出現(xiàn)數(shù)據(jù)訪問不一致的情況,主設(shè)備也不會導(dǎo)致數(shù)據(jù)發(fā)生故障,從而造成多個設(shè)備處于故障狀態(tài)。當然,防火墻會話同步的設(shè)計現(xiàn)在已經(jīng)成為基于會話狀態(tài)防火墻的解決網(wǎng)絡(luò)冗余雙機部署中故障重要手段和措施。
3.2 網(wǎng)絡(luò)QOS保障
QOS保障是企業(yè)在進行網(wǎng)絡(luò)構(gòu)架及安全部署的設(shè)計與實現(xiàn)的過程中,對特殊數(shù)據(jù)進行帶寬處理,以實現(xiàn)優(yōu)先保證的一種有效途徑。但是,語音和視頻在網(wǎng)絡(luò)傳輸?shù)倪^程中對帶寬的延時和抖動的要求比較高,因而需要考慮企業(yè)網(wǎng)絡(luò)分子結(jié)構(gòu)廣域網(wǎng)帶寬的影響,然后根據(jù)流量分析,在帶寬能夠滿足一定要求的情況下,保證視頻和語音數(shù)據(jù)的傳輸更加順暢。當然,企業(yè)網(wǎng)絡(luò)架構(gòu)及安全部署的設(shè)計和實現(xiàn)過程中,分支網(wǎng)絡(luò)構(gòu)架中的語音和視頻數(shù)據(jù)需要經(jīng)過各自的核心路由,這樣的企業(yè)網(wǎng)絡(luò)構(gòu)架需要保障企業(yè)的語音和視頻在網(wǎng)絡(luò)分子上得到一定的保證。然而,在實際的網(wǎng)絡(luò)構(gòu)架部署過程中,由于企業(yè)的業(yè)務(wù)不斷增加和網(wǎng)絡(luò)分支的不斷擴展,廣域網(wǎng)的數(shù)據(jù)量也增大,因此,采用QOS來對數(shù)據(jù)進行保障顯得至關(guān)重要。
3.3 網(wǎng)絡(luò)訪問安全控制
網(wǎng)絡(luò)訪問安全控制的配置在企業(yè)網(wǎng)絡(luò)構(gòu)架的部署中非常常見,一般需要采用防火墻進行數(shù)據(jù)的訪問,還需要在路由器上配置一些安全措施,以實現(xiàn)企業(yè)能夠?qū)?shù)據(jù)進行控制。尤其是對于一些防病毒、訪問隔離和環(huán)路等故障,企業(yè)網(wǎng)絡(luò)訪問安全控制很有必要。
【關(guān)鍵詞】企業(yè)網(wǎng)絡(luò) 信息安全 策略設(shè)計
隨著社會經(jīng)濟的快速發(fā)展,計算機信息技術(shù)介入人們生活的方方面面。企業(yè)網(wǎng)絡(luò)的信息安全策略是涵蓋多方面的,既有管理安全,也有技術(shù)安全,既有物理安全策略,也有網(wǎng)絡(luò)安全策略。企業(yè)網(wǎng)絡(luò)應(yīng)實現(xiàn)科學(xué)的安全管理模式,結(jié)合網(wǎng)絡(luò)設(shè)備功能的不同對整體網(wǎng)絡(luò)進行有效分區(qū),可分為專網(wǎng)區(qū)、服務(wù)器區(qū)以及內(nèi)網(wǎng)公共區(qū),并部署入侵檢測系統(tǒng)與防火墻系統(tǒng),對內(nèi)部用戶威脅到網(wǎng)絡(luò)安全的行為進行阻斷。下面著重闡述企業(yè)信息系統(tǒng)的網(wǎng)絡(luò)層安全策略:
一、企業(yè)網(wǎng)絡(luò)設(shè)備安全策略分析
隨著網(wǎng)絡(luò)安全形勢的日趨嚴峻,不斷有新的攻擊手段被發(fā)現(xiàn),而這些手段的攻擊目標也已經(jīng)從用戶終端、服務(wù)器厭延展至交換機、路由器等硬件設(shè)施。而交換機與路由器屬于網(wǎng)絡(luò)核心層的重點設(shè)備,如果這些設(shè)備退出服務(wù),企業(yè)信息系統(tǒng)網(wǎng)絡(luò)安全便會面臨很大的威脅。由此本文給出以下的網(wǎng)絡(luò)設(shè)備安全策略。
最大化地關(guān)閉網(wǎng)絡(luò)交換機上的服務(wù)種類。尤其是不經(jīng)常使用的服務(wù)更應(yīng)關(guān)閉,舉例來講:交換機的鄰居發(fā)現(xiàn)服務(wù)CDP,其功能是辨認一個網(wǎng)絡(luò)端口連接到哪一個另外的網(wǎng)絡(luò)端口,鄰居發(fā)現(xiàn)服務(wù)鎖發(fā)出和接收的數(shù)據(jù)包很容易暴露用戶終端的屬性信息,包括交換機端口與用戶終端的IP信息,網(wǎng)絡(luò)交換機的型號與版本信息,本地虛擬局域網(wǎng)屬性等。因此,本文建議在不常使用此服務(wù)的情況下,應(yīng)該關(guān)閉鄰居發(fā)現(xiàn)服務(wù)。另外,一些同樣不常使用的服務(wù),包括交換機自舉服務(wù)、文件傳輸服務(wù)、簡單文件傳輸服務(wù)、網(wǎng)絡(luò)時間同步服務(wù)、查詢用戶情況服務(wù)、簡單網(wǎng)絡(luò)管理服務(wù)、源路徑路由服務(wù)、ARP服務(wù)等等。
企業(yè)信息系統(tǒng)的網(wǎng)管往往以Telnet協(xié)議實現(xiàn)對全網(wǎng)所有交換機、路由器的配置與管理。眾所周知,此協(xié)議使用的是明文傳輸模式,因此在信息安全方面不輸于非??煽康膮f(xié)議。入侵者只要以抓包軟件便能夠輕易得知網(wǎng)管的登錄ID與密碼,以抓包軟件同樣能夠獲取網(wǎng)絡(luò)管理員發(fā)出、受到的全部數(shù)據(jù)。所以在網(wǎng)絡(luò)管理中,應(yīng)引入安全性能更高的協(xié)議,本文推薦SSH(Secure Shell Client)協(xié)議。這種協(xié)議借助RSA生成安全性能極高的簽名證書,通過該證書,全部以SSH協(xié)議進行傳輸?shù)臄?shù)據(jù)包都被良好加密。此外VTP 的安全使用也是一個應(yīng)該得到重視的問題,VTP應(yīng)配置強口令。
二、企業(yè)信息系統(tǒng)網(wǎng)絡(luò)端口安全策略
由于大部分企業(yè)網(wǎng)絡(luò)的終端均以網(wǎng)絡(luò)交換機在接入層連入網(wǎng)絡(luò),而網(wǎng)絡(luò)交換機屬于工作在ISO第二層的設(shè)備,當前有不少以第二層為目標的非法攻擊行為,為網(wǎng)絡(luò)帶來了不容忽視的安全威脅。
二層網(wǎng)絡(luò)交換機使用的數(shù)據(jù)轉(zhuǎn)發(fā)方式是以CAM表為基礎(chǔ)的。在網(wǎng)絡(luò)交換機加點之后,首選會清空CAM 表,并立即啟動數(shù)據(jù)幀源地址學(xué)習,并將這些信息存入交換機CAM表中。這時候,加入非法入侵者通過偽造自身的MAC地址并不停地發(fā)出數(shù)據(jù)幀結(jié)構(gòu),便很容易導(dǎo)致網(wǎng)絡(luò)交換機CAM表溢出,服務(wù)失效。而此時便會導(dǎo)致該MAC的流量向交換機其他端口轉(zhuǎn)發(fā),為非法入侵者提供網(wǎng)絡(luò)竊聽的機會,很容易造成攻擊風險。本文所推薦的策略是:網(wǎng)絡(luò)交換機的端口安全維護應(yīng)隨時打開;在交換機配置中設(shè)置其學(xué)習MAC地址的最大數(shù)目為1;設(shè)置網(wǎng)絡(luò)交換機能夠存儲其學(xué)習到的全部MAC地址;一旦網(wǎng)絡(luò)交換機的安全保護被觸發(fā),則丟棄全部MAC 地址的流量,發(fā)送告警信息。對網(wǎng)絡(luò)交換機進行以上的配置,一方面能夠防止基于交換機MAC地址的泛洪攻擊,另一方面也能對網(wǎng)絡(luò)內(nèi)部的合法地址做好記錄。
在成功阻止未知MAC地址接入的基礎(chǔ)上,還應(yīng)阻止來自已知地址的攻擊。本文推薦基于MAC限流的策略,這是由于網(wǎng)絡(luò)交換機不必向所有端口廣播未知幀,因此可以對未知幀進行阻止,增強網(wǎng)絡(luò)交換機安全性。
三、企業(yè)信息系統(tǒng)網(wǎng)絡(luò)BPDU防護策略
一般情況下,企業(yè)的內(nèi)部網(wǎng)絡(luò)往往以網(wǎng)絡(luò)交換機作為網(wǎng)絡(luò)拓撲的支撐,因為考慮到交換機通道的溝通,加之系統(tǒng)冷、熱備份的出發(fā)點,在企業(yè)網(wǎng)絡(luò)中是存在第二層環(huán)路的,這就容易引發(fā)多個幀副本的出現(xiàn),甚至引起基于第二層的數(shù)據(jù)包廣播風暴,為了避免此種情況的發(fā)生,企業(yè)網(wǎng)絡(luò)往往引入了STP協(xié)議。而這種協(xié)議的效果則取決于交換機共享的BPDU信息。這就為一些攻擊者提供了機會,通過假冒優(yōu)先級低的BPDU數(shù)據(jù)包,攻擊者向二層網(wǎng)絡(luò)交換機發(fā)送。由于這種情況下入侵檢測系統(tǒng)與網(wǎng)絡(luò)防火墻均無法生效,就導(dǎo)致攻擊者能夠方便地獲取網(wǎng)絡(luò)信息??梢圆捎玫姆婪洞胧椋涸诙泳W(wǎng)絡(luò)交換機啟用BPDU過濾器模塊。該模塊能夠控制此端口,使其對BPDU數(shù)據(jù)包不進行任何處理,加入收到此種類型的數(shù)據(jù)包,該端口將會自動設(shè)置為“服務(wù)停止”。在此基礎(chǔ)上,在根交換機上引入鏈路監(jiān)控體系。一旦該交換機設(shè)備檢測到優(yōu)先級更高的 BPDU數(shù)據(jù)包,則發(fā)出“失效”的消息,及時阻塞端口。
四、企業(yè)信息系統(tǒng)網(wǎng)絡(luò)Spoof防護策略
在企業(yè)內(nèi)部網(wǎng)絡(luò)中,往往有著大量的終端機,出于安全性與可靠性的考慮,這些終端機均以動態(tài)主機設(shè)置協(xié)議獲得自身的IP地址。這就為Spoof 攻擊留下了機會。在這種攻擊中,非法入侵者會將自身假冒動態(tài)主機設(shè)置協(xié)議服務(wù)器,同時向用戶主機發(fā)出假冒的動態(tài)IP配置數(shù)據(jù)包,導(dǎo)致用戶無法獲取真實IP,不能聯(lián)網(wǎng)。可以采用的防范措施為:引入動態(tài)主機設(shè)置協(xié)議Snooping 策略。在二層網(wǎng)絡(luò)交換機上安裝Snooping模塊并激活,系統(tǒng)便會把設(shè)備的全部可用端口設(shè)置為untrust 接口。這種接口能夠收到消息,并丟棄假冒的動態(tài)IP配置數(shù)據(jù)包,從而防止Spoof 攻擊帶來的風險。
考慮到地址解析協(xié)議在安全方面的防范性不足,加入非法入侵者不斷地發(fā)出ARP數(shù)據(jù)包,便容易導(dǎo)致全部用戶終端的ARP表退出服務(wù),除去靜態(tài)綁定IP與MAC之外,本文推薦動態(tài)ARP監(jiān)測策略。此種策略會將交換機全部端口設(shè)置為untrust狀態(tài)。此種狀態(tài)之下,端口將無法發(fā)出ARP的響應(yīng),因此,黨用戶主機染毒時,其發(fā)出的假冒ARP數(shù)據(jù)包將由于與列表不匹配而被丟棄,系統(tǒng)安全得到了保障。
五、結(jié)束語
W絡(luò)安全是一項綜合的管理工程,意義重大。企業(yè)的網(wǎng)絡(luò)安全一旦出現(xiàn)問題,極有可能造成巨大損失,到那時即使再投入大量資金進行彌補也為時已晚。因此,企業(yè)應(yīng)未雨綢繆,認清事實、正視事實、立足長遠,重視網(wǎng)絡(luò)安全問題,這樣才能保證企業(yè)網(wǎng)絡(luò)的安全,從而實現(xiàn)企業(yè)長足發(fā)展。
關(guān)鍵詞:VLAN;虛擬局域網(wǎng);企業(yè)網(wǎng)絡(luò);網(wǎng)絡(luò)設(shè)計
中圖分類號:TP393文獻標識碼:A文章編號:16727800(2012)009013403
1企業(yè)組網(wǎng)中采用單一網(wǎng)段架構(gòu)的不足之處
企業(yè)在組建局域網(wǎng)和信息化平臺時,為節(jié)約成本往往采用了單一網(wǎng)段架構(gòu)的組網(wǎng)模式。隨著企業(yè)內(nèi)部聯(lián)網(wǎng)計算機的不斷增多、網(wǎng)絡(luò)應(yīng)用的日趨復(fù)雜,這種架構(gòu)的弊端也不斷顯現(xiàn)出來。由于防火墻、服務(wù)器、工作站等網(wǎng)絡(luò)設(shè)備處在同一個網(wǎng)段(同一廣播域),大量的廣播包發(fā)送到局域網(wǎng)上容易引起廣播風暴、占用很高的網(wǎng)絡(luò)帶寬,從而影響到正常業(yè)務(wù)數(shù)據(jù)流的穩(wěn)定傳輸。一旦某計算機發(fā)生ARP攻擊或者冒用了網(wǎng)絡(luò)設(shè)備的IP地址,就會干擾到網(wǎng)絡(luò)的正常運行,造成嚴重的安全隱患。為了解決上述問題,提高企業(yè)網(wǎng)絡(luò)的安全性、穩(wěn)定性和可靠性,就需要部署與實施VLAN虛擬局域網(wǎng)。
2VLAN虛擬局域網(wǎng)的主要特點
IEEE802.1Q定義了VLAN網(wǎng)橋和操作規(guī)范。傳統(tǒng)的共享介質(zhì)型以太網(wǎng)中,所有的計算機位于同一個廣播域中,廣播域越大對網(wǎng)絡(luò)性能的影響也就越大。有效的解決途徑就是把單一網(wǎng)段架構(gòu)的以太網(wǎng)劃分成邏輯上相互獨立的多個子網(wǎng),同一VLAN中的廣播包只有同一VLAN的成員組才能收到,而不會傳輸?shù)狡渌黇LAN中去,這就很好地控制了廣播風暴。在企業(yè)網(wǎng)絡(luò)組建中,通過合理的VLAN設(shè)計規(guī)劃,一方面可以限制廣播域,最大限度地防止廣播風暴的發(fā)生,節(jié)省網(wǎng)絡(luò)帶寬;同時還可以提高網(wǎng)絡(luò)處理能力,并通過VLAN間路由、VLAN間互訪策略,全面增強企業(yè)網(wǎng)絡(luò)的安全性。
3企業(yè)VLAN規(guī)劃中的技術(shù)要點
VLAN技術(shù)在大型局域網(wǎng)、大型校園網(wǎng)的組建中有著廣泛的應(yīng)用,VLAN的規(guī)劃和設(shè)計是高等計算機網(wǎng)絡(luò)的一個重點,同時也是一個技術(shù)難點,實施者必須具備較高的計算機網(wǎng)絡(luò)知識與實踐技能。企業(yè)在實施VLAN前,應(yīng)該從以下幾個方面重點分析和考慮:
(1)根據(jù)目前的網(wǎng)絡(luò)拓撲、綜合布線、各類網(wǎng)絡(luò)設(shè)備、計算機數(shù)量以及分布的地理位置進行統(tǒng)計和調(diào)研。通常位于核心層的防火墻、服務(wù)器組等應(yīng)劃分到一個單獨的VLAN網(wǎng)段,然后根據(jù)各部門的網(wǎng)絡(luò)應(yīng)用需求、聯(lián)網(wǎng)設(shè)備數(shù)量作進一步規(guī)劃。
(2)采用合適的VLAN劃分技術(shù),常見的VLAN劃分方式包括:基于端口的VLAN、基于MAC地址的VLAN、基于協(xié)議的VLAN、基于IP子網(wǎng)的VLAN 和基于策略的VLAN等。以中小型企業(yè)為例,計算機的數(shù)量與分布的地理位置相對比較固定,優(yōu)先考慮采用基于端口的靜態(tài)VLAN劃分方式。將交換機中的任意端口定義為一個VLAN端口組成員,從而形成一個VLAN網(wǎng)段,將指定端口加入到指定VLAN中之后,該端口就可以轉(zhuǎn)發(fā)指定VLAN的數(shù)據(jù)包。
(3)各個VLAN之間的路由與ACL訪問策略的配置。通常服務(wù)器所屬的VLAN可以與其它VLAN相互訪問,各個VLAN的內(nèi)部計算機可以互訪,其它VLAN之間計算機的互訪權(quán)限視具體情況在三層交換機加以啟用或禁用。
(4)防火墻到各個VLAN之間的路由規(guī)劃。防火墻是整個企業(yè)網(wǎng)的Internet總出口,直接決定哪些VLAN組、哪些計算機成員可以訪問Internet。
(5)必要的經(jīng)費投入,購買合適的網(wǎng)絡(luò)設(shè)備。一般選擇三層智能VLAN以太網(wǎng)交換機,根據(jù)設(shè)計方案,通過命令參數(shù)進行配置。由于不同品牌、不同型號的交換機VLAN配置參數(shù)與語法命令不盡相同,因此需要VLAN實施者精通常用交換機的配置與應(yīng)用。
4某企業(yè)VLAN規(guī)劃和實施的具體步驟與案例分析
隨著經(jīng)營業(yè)務(wù)的不斷擴展、聯(lián)網(wǎng)設(shè)備的不斷增多,為提高局域網(wǎng)安全性和處理能力,筆者參與了某商品流通企業(yè)的局域網(wǎng)VLAN實施項目。從企業(yè)網(wǎng)絡(luò)應(yīng)用的規(guī)模和現(xiàn)狀分析,設(shè)計劃分為5個VLAN, 其中VLAN16為服務(wù)器核心網(wǎng)段,可以與其它全部VLAN(17~20)互訪。VLAN(17~20)只能訪問16網(wǎng)段,相互之間不能互訪,但每個VLAN內(nèi)部計算機可以互訪。防火墻型號為H3C SecPath F100S,LAN口管理IP為192.168.16.1,可以路由到全部5個VLAN,并能控制任意網(wǎng)段的計算機訪問外網(wǎng)與IP流量。
接入層訪問端口,按表1方案,連接網(wǎng)絡(luò)設(shè)備、各職能部門的工作站計算機、網(wǎng)絡(luò)共享打印機、無線接入點AP等
在實施VLAN前,首先要對企業(yè)現(xiàn)有的綜合布線作全面的梳理,每根網(wǎng)線連接哪臺電腦、交換機的端口標識要明確、清晰。在核心交換機端口充裕的情況下,做到計算機與核心交換機端口直接相連,盡量不要采用SOHO交換機進行多層次的網(wǎng)絡(luò)轉(zhuǎn)接。根據(jù)VLAN設(shè)計方案,對網(wǎng)絡(luò)設(shè)備、部門計算機的網(wǎng)絡(luò)參數(shù)進行重新分配和配置,把每臺計算機的網(wǎng)線連接到交換機對應(yīng)的VLAN端口。
該項目中,采用了H3C公司的48口全千兆三層以太網(wǎng)交換機S550048PSI。S550048PSI千兆以太網(wǎng)交換機定位于企業(yè)網(wǎng)和城域網(wǎng)的匯聚或接入,具備豐富的業(yè)務(wù)特性,提供了高性能、大容量的交換服務(wù),并支持10GE 的上行接口,為接入設(shè)備提供了更高的帶寬。同時還可以用于數(shù)據(jù)中心服務(wù)器群的連接,為用戶提供了高接入帶寬和高端口密度。S550048PSI支持4K個基于端口的VLAN,在全雙工模式下交換容量為240Gbps,整機包轉(zhuǎn)發(fā)率為72Mpps,可以滿足企業(yè)目前應(yīng)用需求。
S550048PSI交換機的配置是整個VLAN實施中的技術(shù)重點和難點,其配置要點說明如下:
(1)創(chuàng)建ACL訪問策略。根據(jù)設(shè)計方案,VLAN16可以與VLAN(17~20)直接互訪,無須設(shè)置拒絕訪問規(guī)則。VLAN17不能與VLAN(18~20)互訪,VLAN18不能與VLAN(17、19、20)互訪,VLAN19不能與VLAN(17、18、20)互訪,VLAN20不能與VLAN(17~19)互訪。因此,必須單獨設(shè)置規(guī)則號和拒絕訪問控制列表。
5VLAN實施后產(chǎn)生問題如何解決
由于實施VLAN后除了VLAN16其它各網(wǎng)段之間不能直接互訪,因此也帶來了一些網(wǎng)絡(luò)應(yīng)用上的問題。比如不同VLAN之間不能直接共享打印機和共享文件夾,需要重新設(shè)置共享。解決方案是在同一VLAN的內(nèi)部計算機上設(shè)置共享打印機或者文件夾,或者在VLAN16網(wǎng)段上設(shè)置共享打印機或者文件夾,以便給全公司的聯(lián)網(wǎng)計算機訪問。
6結(jié)語
通過實施VLAN前后的網(wǎng)絡(luò)協(xié)議分析,在企業(yè)網(wǎng)絡(luò)應(yīng)用高峰期利用OmniPeek協(xié)議分析軟件在各個VLAN網(wǎng)段中實時抓包采樣,發(fā)現(xiàn)各個網(wǎng)段的廣播包數(shù)量明顯減少,網(wǎng)絡(luò)利用率有了明顯提高,實施后從未發(fā)生過廣播風暴現(xiàn)象。特別是核心層網(wǎng)絡(luò)設(shè)備從普通交換機升級到全千兆VLAN交換機后,業(yè)務(wù)軟件的輸入、統(tǒng)計、查詢,以及瀏覽網(wǎng)頁的速度均有較大的提高,網(wǎng)絡(luò)性能有了很大改善。
上述企業(yè)VLAN的設(shè)計思路、實施步驟和配置參數(shù)具有很高的參考與應(yīng)用價值。規(guī)模更大、更復(fù)雜的企業(yè)網(wǎng)擁有更多的計算機,因此,需在此基礎(chǔ)上劃分更多的VLAN、設(shè)計更加復(fù)雜的ACL訪問控制策略。通過VLAN的實施,不僅提高了網(wǎng)絡(luò)安全性和利用率,并且對于今后企業(yè)網(wǎng)絡(luò)的擴展和升級都帶來了很大的便利。
參考文獻:
[1]崔北亮.CCNA認證指南(640-802)[M].北京:電子工業(yè)出版社,2009.
[2]王達.CISCO/H3C交換機配置與管理完全手冊[M].北京:中國水利水電出版社,2009.
[3]Marina Smith.虛擬局域網(wǎng)[M].北京:清華大學(xué)出版社,2003.
關(guān)鍵詞:網(wǎng)絡(luò)營銷 中小企業(yè) 網(wǎng)絡(luò)購物管理系統(tǒng)
1 概述
隨著因特網(wǎng)技術(shù)的迅速發(fā)展和廣泛應(yīng)用,人類已步入網(wǎng)絡(luò)信息化社會。網(wǎng)絡(luò)營銷是企業(yè)利用相關(guān)的信息技術(shù)通過因特網(wǎng)來實現(xiàn)營銷目標的一種營銷手段,它是企業(yè)電子商務(wù)活動中最基本的商業(yè)活動。中小企業(yè)建立網(wǎng)絡(luò)營銷系統(tǒng)的信息技術(shù)以計算機技術(shù)、網(wǎng)絡(luò)技術(shù)和多媒體技術(shù)為核心,整個網(wǎng)絡(luò)營銷系統(tǒng)的建設(shè)很復(fù)雜,但中小企業(yè)以實現(xiàn)網(wǎng)上購物為主要目的。這里設(shè)計的中小型企業(yè)的網(wǎng)絡(luò)購物管理系統(tǒng),為企業(yè)提供系統(tǒng)后臺管理服務(wù),實現(xiàn)了商品管理、貨架管理、庫存管理、用戶管理和系統(tǒng)管理。
2 系統(tǒng)需求分析
中小企業(yè)網(wǎng)絡(luò)購物管理系統(tǒng)是基于B/S體系結(jié)構(gòu)的,在Microsoft Visual 環(huán)境下使用、C#編程語言、JAVA及Microsoft SQL Server 2008 數(shù)據(jù)庫開發(fā)的,人機界面友好,安全性高,不需要太大的投入,便于維護更新。前臺主要用于用戶注冊、瀏覽商品等,后臺管理功能有商品管理、貨架管理、庫存管理、用戶管理、系統(tǒng)管理五個模塊,系統(tǒng)管理員可以通過這些模塊更新維護系統(tǒng)。如圖1所示。本文主要介紹系統(tǒng)數(shù)據(jù)庫設(shè)計和后臺管理主要功能模塊設(shè)計。
3 系統(tǒng)數(shù)據(jù)庫設(shè)計
系統(tǒng)數(shù)據(jù)庫的名稱設(shè)為sell,其中包括七張數(shù)據(jù)庫表,分別設(shè)為用戶信息表user、用戶類別表utype、商品表goods、商品類型表gtype、商品貨架表jgoods、庫存表kucun、商品貨架關(guān)聯(lián)表gjbind。
設(shè)計的SQLHelper類中封裝了最常用的數(shù)據(jù)操作,其部分代碼如下:
public class SQLHelper
{
/// 連接數(shù)據(jù)源
public SqlConnection myConnection = null;
private readonly string RETURNVALUE = "RETURNVALUE";
///
/// 打開數(shù)據(jù)庫連接
///
private void Open()
{ // 打開數(shù)據(jù)庫連接
if (myConnection == null)
{myConnection=new SqlConnection(System.Configuration.ConfigurationManager.AppSettings["SQLCONNECTIONSTRING"].ToString());
}
if (myConnection.State == ConnectionState.Closed)
{try
{ ///打開數(shù)據(jù)庫連接
myConnection.Open();
}
catch (Exception ex)
{
SystemError.CreateErrorLog(ex.Message);
}
finally
{
///關(guān)閉已經(jīng)打開的數(shù)據(jù)庫連接
}
}
}
///
/// 關(guān)閉數(shù)據(jù)庫連接
///
4 系統(tǒng)后臺模塊設(shè)計
系統(tǒng)后臺功能模塊有商品管理模塊、貨架管理模塊、庫存管理模塊、用戶管理模塊、系統(tǒng)管理模塊五個,這里只介紹商品管理模塊中查詢商品和用戶管理模塊中添加用戶的主要代碼。
查詢商品主要代碼:
public string SQL()
{
string strsql = "";
DataSet ds = new DataSet();
strsql = "select * from goods where id is not null";
hs.RunSQL(strsql, ref ds);
string s1 = " and name like '%" + this.TextBox1.Text.Trim().Replace("'", "''") + "%'";
string s2 = " order by id desc";
if (this.TextBox1.Text != "")
{
strsql += s1;
}
return strsql + s2;
}
添加用戶主要代碼:
protected void Button1_Click(object sender, EventArgs e)
{
string UserName = this.TextBox1.Text.Trim().ToString();
string UserSex = "";
if (this.RadioButton1.Checked)
{
UserSex = "男";
}
else
{
UserSex = "女";
}
string address = this.address.Text.Trim().ToString();
string phone = this.phone.Text.Trim().ToString();
string email = this.email.Text.Trim().ToString();
string des = this.TextBox7.Text.Trim().ToString();
string str = "insert into suser (name,pwd,sex,address,phone,email,tid,des) values('" + UserName + "',"+123+",'"+UserSex+"','"+address+"','"+phone+"','"+email+"'," + Convert.ToInt32(this.DropDownList1.SelectedValue) + ",'" + des + "') ";
int k = hs.RunSQL(str);
if (k == 1)
{
Response.Write("alert('添加新用戶成功');location='adduser.aspx'");
}
else
{
Response.Write("alert('添加新用戶失敗,請重試!');location='adduser.aspx'");
}
}
因篇幅有限,其他模塊代碼不再詳述。
5 結(jié)束語
本文給出了中小企業(yè)網(wǎng)絡(luò)營銷管理系統(tǒng)數(shù)據(jù)庫和后臺管理模塊的主要設(shè)計過程,實現(xiàn)了中小企業(yè)通過網(wǎng)絡(luò)銷售的主要目的。在我國經(jīng)濟結(jié)構(gòu)加速調(diào)整、全球化市場競爭日趨激烈的環(huán)境下,為我國中小企業(yè)在網(wǎng)絡(luò)經(jīng)濟時代通過建設(shè)網(wǎng)絡(luò)營銷管理系統(tǒng)進入全球化的市場競爭提供了示范,對傳統(tǒng)中小企業(yè)的轉(zhuǎn)型和發(fā)展有指導(dǎo)作用。
參考文獻:
[1]馮英健.網(wǎng)絡(luò)營銷基礎(chǔ)與實踐(第4版)[M].北京:清華大學(xué)出版社,2013.6.
[2]劉志成.SQL Server實例教程(2008版)[M].北京:電子工業(yè)出版社,2012.1.
[3]陳琦.企業(yè)電子商務(wù)商業(yè)模式設(shè)計:IT資源前因與績效結(jié)果[D].浙江大學(xué),2010.