企业网络安全解决方案毕业论文

《企业网络安全解决方案毕业论文》由会员分享，可在线阅读，更多相关《企业网络安全解决方案毕业论文（24页珍藏版）》请在装配图网上搜索。

1、( 此文档为 word 格式，下载后您可任意编辑修改！)娄底职业技术学院毕业论文宏锦网络有限公司企业网络安全解决方案姓名：xxx学号：xxxxxx指导老师：xxxxxxx系名：电子信息工程系专业：计算机网络技术班级：xxxxxx二零一零年十一月十七日1摘要近几年来， Internet技术日趋成熟，已经开始了从以提供和保证网络联通性为主要目标的第一代Internet技术向以提供网络数据信息服务为特征的第二代Internet技术的过渡。这些都促使了计算机网络互联技术迅速的大规模使用。众所周知，作为全球使用范围最大的信息网， Internet 自身协议的开放性极大地方便了各种计算机连网，拓宽了共享资

2、源。但是，由于在早期网络协议设计上对安全问题的忽视，以及在管理和使用上的无政府状态，逐渐使 Internet 自身安全受到严重威胁，与它有关的安全事故屡有发生。网络安全的威胁主要表现在： 非授权访问， 冒充合法用户， 破坏数据完整性，干扰系统正常运行，利用网络传播病毒，线路窃听等方面。因此本论文为企业（宏锦企业网络）构架网络安全体系， 主要运用 vlan 划分、防火墙技术、 vpn、病毒防护等技术，来实现企业的网络安全。关键词：网络，安全， VPN，防火墙，防病毒AbstractIn recent years, Internet technology to provide and guaran

3、tee from the network connectivity as the main target of the first generation of Internet technology to provide network data services for the characteristics of the second generation of Internet technology transition. These all contributed to the rapid computer networking technology of large-scale us

4、e. As we all know, the worlds largest information network use of, Internet opennessof their agreement greatly facilitate a variety of computer networking to broaden the sharing of resources. However, in the early design of network protocols on security issues of neglect, as well as in management and

5、 use of the anarchy, the Internet increasingly serious threat to their security, and its related security incidents : unauthorized access,posing as legitimate users, damage to data integrity, interfere with the normal operation of the system, using the Internet spread the virus, line tapping and so

6、on.Therefore, this paper for the enterprise (Hong Jin corporate network) architecture network security system, mainly by the use of vlan, firewall, vpn, virus protection and other technologies to achieve corporate network security.Keywords: network, security, VPN, firewall, anti-virus目录绪论 .1第一章企业网络安

7、全概述 .21.1企业网络的主要安全隐患.21.2企业网络的安全误区 .2第二章企业网络安全现状分析 .42.1公司背景 .42.2企业网络安全需求 .42.3需求分析 .42.4企业网络结构 .5第三章企业网络安全解决实施 .63.1宏锦网络企业物理安全 .63.2宏锦企业网络 VLAN划分 .73.4宏锦企业网络防火墙配置 .93.4宏锦企业网络 VPN配置 .123.5宏锦企业网络防病毒措施 .13第四章宏锦企业的网络管理 .164.1宏锦企业网络管理的问题.164.2宏锦企业网络管理实施 .16总结 .18致谢 .19参考文献 .20绪论随着信息化技术的飞速发展，许多有远见的企业都认识

8、到依托先进的 IT 技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力， 使企业在残酷的竞争环境中脱颖而出。 经营管理对计算机应用系统的依赖性增强， 计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大，网络结构日益复杂。 计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。 信息安全防范应做整体的考虑， 全面覆盖信息系统的各层次，针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程，事前、事中和事后的技术手段应当完备，安全管理应贯穿安全防范活动的始终。网络安全问题伴随着网络的产生而产生，可以说，有网络的地方就存在网络安全隐患。像病

9、毒入侵和黑客攻击之类的网络安全事件，目前主要是通过网络进行的，而且几乎每时每刻都在发生，遍及全球。除此之外，像恶意软件入侵、攻击，用户的非法访问和操作，用户邮件的非法截取和更改等都是普遍存在的安全事实。网络安全事件所带来的危害，相信我们每个计算机用户都或多或少地亲身体验过一些：轻则使电脑系统运行不正常，重则使整个计算机系统中的磁盘数据全部覆灭，甚至导致磁盘、计算机等硬件的损坏。为了防范这些网络安全事故的发生，每个计算机用户，特别是企业网络用户，必须采取足够的安全防范措施，甚至可以说要在利益均衡情况下不惜一切代价。但要注意，企业网络安全策略的实施是一项系统工程，它涉及许多方面。 因此既要充分考虑

10、到那些平时经常提及的外部网络威胁， 又要对来自内部网络和网络管理本身所带来的安全隐患有足够的重视， 不能孤立地看待任何一个安全隐患和安全措施。因为这些安全隐患爆发的途径可以是多方面的，而许多安全措施都是相辅相成的。第一章企业网络安全概述1.1企业网络的主要安全隐患现在网络安全系统所要防范的不再仅是病毒感染，更多的是基于网络的非法入侵、攻击和访问，同时企业网络安全隐患的来源有内、外网之分，很多情况下内部网络安全威胁要远远大于外部网络， 因为内部中实施入侵和攻击更加容易，企业网络安全威胁的主要来源主要包括。1) 病毒、木马和恶意软件的入侵。2) 网络黑客的攻击。3) 重要文件或邮件的非法窃取、访问

11、与操作。4) 关键部门的非法访问和敏感信息外泄。5) 外网的非法入侵。6) 备份数据和存储媒体的损坏、丢失。针对这些安全隐患，所采取的安全策略可以通过安装专业的网络版病毒防护系统，同时也要加强内部网络的安全管理，配置好防火墙过滤策略和系统本身的各项安全措施，及时安装系统安全补丁，有条件的还可以在内、外网之间安装网络扫描检测、网络嗅探器、 IDS、 IPS 系统，甚至配置网络安全隔离系统，对内、外网络进行安全隔离；加强内部网络的安全管理，严格实行“最小权限”原则，为各个用户配置好恰当的用户权限；同时对一些敏感数据进行加密保护，对数据还可以进行数字签名措施；根据企业实际需要配置好相应的数据策略，并

12、按策略认真执行。1.2企业网络的安全误区( 一 )安装防火墙就安全了防火墙主要工作都是控制存取与过滤封包，所以对 DoS攻击、非法存取与篡改封包等攻击模式的防范极为有效，可以提供网络周边的安全防护。但如果攻击行为不经过防火墙，或是将应用层的攻击程序隐藏在正常的封包内，便力不从心了，许多防火墙只是工作在网络层。防火墙的原理是“防外不防内” ，对内部网络的访问不进行任何阻挠，而事实上，企业网络安全事件绝大部分还是源于企业内部。( 二 )安装了最新的杀毒软件就不怕病毒了安装杀毒软件的目的是为了预防病毒的入侵和查杀系统中已感染的计算机病毒， 但这并不能保证就没有病毒入侵了， 因为杀毒软件查杀某一病毒的

13、能力总是滞后于该病毒的出现。( 三 )在每台计算机上安装单机版杀毒软件和网络版杀毒软件等效网络版杀毒软件核心就是集中的网络防毒系统管理。 网络版杀毒软件可以在一台服务器上通过安全中心控制整个网络的客户端杀毒软件同步病毒查杀、 监控整个网络的病毒。同时对于整个网络，管理非常方便，对于单机版是不可能做到的。( 四 )只要不上网就不会中毒虽然不少病毒是通过网页传播的，但像 QQ聊天接发邮件同样是病毒传播的主要途径，而且盗版光盘以及 U 盘等也会存在着病毒。所以只要计算机开着，就要防范病毒。( 五 )文件设置只读就可以避免感染病毒设置只读只是调用系统的几个命令， 而病毒或黑客程序也可以做到这一点， 设

14、置只读并不能有效防毒，不过在局域网中为了共享安全，放置误删除，还是比较有用的。( 六 )网络安全主要来自外部基于内部的网络攻击更加容易， 不需要借助于其他的网络连接方式， 就可以直接在内部网络中实施攻击。所以，加强内部网络安全管理，特别是用户帐户管理，如帐户密码、临时帐户、过期帐户和权限等方面的管理非常必要了。第二章企业网络安全现状分析2.1公司背景宏锦网络有限公司是一家有100 名员工的中小型网络公司， 主要以手机应用开发为主营项目的软件企业。公司有一个局域网，约 100 台计算机，服务器的操作系统是 Windows Server 2003, 客户机的操作系统是 Windows XP，在工作

15、组的模式下一人一机办公。公司对网络的依赖性很强， 主要业务都要涉及互联网以及内部网络。随着公司的发展现有的网络安全已经不能满足公司的需要， 因此构建健全的网络安全体系是当前的重中之重。2.2企业网络安全需求宏锦网络有限公司根据业务发展需求，建设一个小型的企业网，有Web、Mail 等服务器和办公区客户机。 企业分为财务部门和业务部门，需要他们之间相互隔离。同时由于考虑到 Inteneter 的安全性，以及网络安全等一些因素，如 DDoS、ARP等。因此本企业的网络安全构架要求如下：（1） 根据公司现有的网络设备组网规划（2） 保护网络系统的可用性（3） 保护网络系统服务的连续性（4） 防范网络

16、资源的非法访问及非授权访问（5） 防范入侵者的恶意攻击与破坏（6） 保护企业信息通过网上传输过程中的机密性、完整性（7） 防范病毒的侵害（8） 实现网络的安全管理。2.3需求分析通过了解宏锦网络公司的需求与现状，为实现宏锦网络公司的网络安全建设实施网络系统改造，提高企业网络系统运行的稳定性，保证企业各种设计信息的安全性，避免图纸、文档的丢失和外泄。通过软件或安全手段对客户端的计算机加以保护，记录用户对客户端计算机中关键目录和文件的操作，使企业有手段对用户在客户端计算机的使用情况进行追踪，防范外来计算机的侵入而造成破坏。通过网络的改造，使管理者更加便于对网络中的服务器、 客户端、登陆用户的权限以

17、及应用软件的安装进行全面的监控和管理。因此需要（1） 构建良好的环境确保企业物理设备的安全（2） 划分 VLAN 控制内网安全（3） 安装防火墙体系（4） 建立 VPN( 虚拟专用网络 )确保数据安全（5） 安装防病毒服务器（6） 加强企业对网络资源的管理2.4企业网络结构宏锦网络公司网络拓扑图，如图2-1 所示 :图 2-1 企业网络结构由于宏锦网络公司是直接从电信接入IP 为，直接经由防火墙分为DMZ区域和普通区域。防火墙上做NAT转换，分别给客户机端的地址为。防火墙接客户区端口地址为。 DMZ内主要有各类的服务器，地址分配为。防火墙DMZ区的接口地址为。内网主要由3 层交换机作为核心交换

18、机，下面有两台 2 层交换机做接入。第三章企业网络安全解决实施3.1宏锦网络企业物理安全宏锦企业网络中保护网络设备的物理安全是其整个计算机网络系统安全的前提， 物理安全是指保护计算机网络设备、 设施以及其他媒体免遭地震、 水灾、火灾等环境事故、人为操作失误或各种计算机犯罪行为导致的破坏。针对宏锦网络企业的物理安全主要考虑的问题是环境、 场地和设备的安全及物理访问控制和应急处置计划等。物理安全在整个计算机网络信息系统安全中占有重要地位。它主要包括以下几个方面：1) 保证机房环境安全信息系统中的计算机硬件、网络设施以及运行环境是信息系统运行的最基本的环境。要从一下三个方面考虑： a. 自然灾害、物

19、理损坏和设备故障 b. 电磁辐射、乘机而入、痕迹泄漏等 c. 操作失误、意外疏漏等2) 选用合适的传输介质屏蔽式双绞线的抗干扰能力更强， 且要求必须配有支持屏蔽功能的连接器件和要求介质有良好的接地（最好多处接地），对于干扰严重的区域应使用屏蔽式双绞线，并将其放在金属管内以增强抗干扰能力。光纤是超长距离和高容量传输系统最有效的途径， 从传输特性等分析， 无论何种光纤都有传输频带宽、速率高、传输损耗低、传输距离远、抗雷电和电磁的干扰性好保密性好，不易被窃听或被截获数据、传输的误码率很低，可靠性高，体积小和重量轻等特点。与双绞线或同轴电缆不同的是光纤不辐射能量，能够有效地阻止窃听。3) 保证供电安全

20、可靠计算机和网络主干设备对交流电源的质量要求十分严格，对交流电的电压和频率，对电源波形的正弦性， 对三相电源的对称性， 对供电的连续性、可靠性稳定性和抗干扰性等各项指标， 都要求保持在允许偏差范围内。 机房的供配电系统设计既要满足设备自身运转的要求，又要满足网络应用的要求， 必须做到保证网络系统运行的可靠性，保证设备的设计寿命保证信息安全保证机房人员的工作环境。3.2 宏锦企业网络VLAN划分VLAN技术能有效隔离局域网，防止网内的攻击，所以宏锦网络有限公司网络中按部门进行了 VLAN划分，划分为以下两个 VLAN：财务部门 VLAN 10交换机 S1 接入交换机（神州数码DCS-3950）业

21、务部门 VLAN 20交换机 S2 接入交换机（神州数码DCS-3950）核心交换机 VLAN 间路由核心交换机 S3（神州数码 DCRS-5526）S1 配置如下 :switchswitchenaswitch#conswitch(Config)#vlan 10switch(Config-Vlan10)#sw int e 001-20switch(Config-Vlan10)#exitswitch(Config)#exitswitch#conswitch(Config)#int e 0024switch(Config-Ethernet0024)#sw m tSet the port Ether

22、net0024 mode TRUNK successfully switch(Config-Ethernet0024)#sw t a v aset the port Ethernet0024 allowed vlan successfully switch(Config-Ethernet0024)#exit switch(Config)#ip dhcp pool vlan10switch(dhcp-vlan10-config)#lease 3switch(dhcp-vlan10-config)#exitS2 配置如下 :SwitchSwitchenaSwitch#conswitch(Confi

23、g)#vlan 20switch(Config-Vlan20)#sw int e 001-20switch(Config-Vlan20)#exitswitch(Config)#exitswitch#conswitch(Config)#int e 0024switch(Config-Ethernet0024)#sw m tSet the port Ethernet0024 mode TRUNK successfully switch(Config-Ethernet0024)#sw t a v aset the port Ethernet0024 allowed vlan successfully

24、 switch(Config-Ethernet0024)#exit switch(Config)#ip dhcp pool vlan20switch(dhcp-vlan20-config)#lease 3switch(dhcp-vlan20-config)#exitS0 配置如下 :switchswitchenableswitch#configswitch(Config)# 10S0(Config-Vlan10)#vlan 20S0(Config-Vlan20)#exitS0(Config)#int e 001-2S0(Config-Port-Range)#sw m tS0(Config-Po

25、rt-Range)#sw t a v aS0(Config-Port-Range)#exitS0(Config)#int vlan 10S0(Config-If-Vlan10)#no shutdownS0(Config-If-Vlan10)#exitS0(Config)#int vlan 2000:04:23: %LINK-5-CHANGED: Interface Vlan20, changed state to UP%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed state toUPS0(Config-If-Vl

26、an20)#no shutdownS0(Config-If-Vlan20)#exitS0(Config)#exitS0(Config-If-Vlan1)#no shutdownS0(Config-If-Vlan1)#exitS0(Config)#exitS0#show ip routeS0#con3.4宏锦企业网络防火墙配置宏锦企业网络中使用的是神州数码的等功能。以下为配置过程：在防火墙 NAT策略下面，新增NAT。如图 3-1:DCFW-1800S UTM，里面包含了防火墙和VPN图 3-1 新增企业防火墙策略示意图源域： untrust；源地址对象： any；目的域： trust；目的地址

27、对象： any；在全局安全策略设置里面如图3-2 和图 3-3 所示 :图 3-2 企业防火墙策略配置示意图图 3-3 企业防火墙策略配置示意图图 3-4 企业防火墙策略配置示意图可以设置全局下面访问策略，以及域内和域间的访问策略。这里我们设置，内部网络为信任区域 （ trust ），Inteneter 为不信任区域 （ untrust ），服务器区域为 DMZ区域。动作包括 permit 允许，拒绝 deny，以及其他的特定的服务。这里允许内部访问外部和DMZ区域，而 DMZ和 Inteneter 不允许访问内部。但是处于中间位置的 DMZ可以允许 Inteneter 的访问。所以要添加好几

28、条 NAT策略。在网络接口处如图3-5 所示 :图3-5网络接口处配置示意图要配置3 个以太网接口为up，安全区域分别为eth1 ：l2-trust，eth0 ：l2-untrust，eth2 ：l2-DMZ。其中接外网的 eth0 工作模式为路由模式， 其余接 DMZ和内部的都为 NAT 模式。如图 3-6 所示 :图 3-6以太网接口配置示意图同时为他们配好相应的网络地址，eth0为 ， eth1 ： ， eth2。3.4宏锦企业网络VPN配置宏锦企业网络的 VPN功能主要也是通过上面的防火墙实现的。如图3-7, 图 3-8 所示 :图 3-7 PPTP 协议示意图图 3-8 PPTP 示

29、意图这里我们使用 PPTP协议来实现 VPN，首先是新增 PPTP地址池，范围为如图 3-9 所示 :图 3-9 PPTP 协议实现 VPN 示意图在 PPTP设置里面，选择 Chap加密认证，加密方式 mppe-128。DNS分别为，MTU为 500。3.5宏锦企业网络防病毒措施针对宏锦企业网络的现状， 在综合考虑了公司对防病毒系统的性能要求、成本和安全性以后，我选用江民杀毒软件KV网络版来在内网中进行防病毒系统的建立。产品特点 :KV 网络版是为各种简单或复杂网络环境设计的计算机病毒网络防护系统，即适用于包含若干台主机的单一网段网络，也适用于包含各种WEB服务器、邮件服务器、应用服务器，以

30、及分布在不同城市，包含数十万台主机的超大型网络。KV 网络版具有以下显著特点：(1) 先进的体系结构(2) 超强的杀毒能力(3) 完备的远程控制(4) 方便的分级、分组管理宏锦企业网络KV 网络版的主控制中心部署在DMZ服务器区，子控制中心部署在3层交换机的一台服务器上。网络拓扑结构如图3-10 所示 :图 3-10 主控制中心部署图子控制中心与主控制中心关系:控制中心负责整个 KV 网络版的管理与控制，是整个 KV 网络版的核心，在部署 KV 网络时，必须首先安装。除了对网络中的计算机进行日常的管理与控制外，它还实时地记录着 KV 网络版防护体系内每台计算机上的病毒监控、查杀病毒和升级等信息

31、。在 1 个网段内仅允许安装 1 台控制中心。 根据控制中心所处的网段的不同，可以将控制中心划分为主控制中心和子控制中心，子控制中心除了要完成控制中心的功能外，还要负责与它的上级主控制中心进行通信。这里的“主”和“子”是一个相对的概念：每个控制中心对于它的下级的网段来说都是主控制中心，对于它的上级的网段来说又是子控制中心，这种控制结构可以根据网络的需要无限的延伸下去。为宏锦企业网络安装好KV 网络版杀毒软件后，为期配置软件的安全策略。对宏锦企业客户端计算机的 KV软件实现更为完善的远程控制功能， 利用 KV软件控制中心的“策略设置”功能组来实现。在此功能中可以针对单一客户端、逻辑组、全网进行具

32、有针对性的安全策略设置。在“策略设置”下拉菜单中，我们可以找到“扫描设置” 、“反垃圾邮件”、“网址过滤”等与平时安全应用密切相关的各项应用配置选项，如图 3-11 所示。图 3-11 “策略设置”命令菜单为宏锦企业网络KV网络版杀毒软件配置 “扫描设置”，扫描设置可对当前选择的任意组或者任意节点的客户端进行更加细化的扫描设置。宏锦企业可以自己设定适合于自己网络环境的扫描方案， 针对不同的策略对不同的客户端进行分发不同的扫描命令。可以下发以下命令到节点计算机：扫描目标，定时扫描，分类扫描，不扫描文件夹，扫描报告，简单而实用的设置页大大的增加了网络管理的易用性。其中扫描目标的设置界面如图 3-1

33、2 所示。图 3-12 扫描目标配置第四章宏锦企业的网络管理4.1 宏锦企业网络管理的问题（1）计算机软、硬件数量无法确实掌握，盘点困难；（2）单位的计算机数量越来越多，无法集中管理；（3）无法有效防止员工私装软件，造成非法版权使用威胁；（4）硬件设备私下挪用、窃取，造成财产损失；（5）使用者计算机 IP 随易变更，造成故障频传；（6）软件单机安装浪费人力，应用软件版本不易控制；（7）重要资料遭非法拷贝，资料外泄，无法监督；（8）设备故障或资源不足，无法事先得到预警；（9）应用软件购买后，员工真正使用状况如何，无从分析；居高不下的信息化资源成本，不知如何改善。4.2宏锦企业网络管理实施针对宏锦

34、企业网络的需求，给企业安装SmartIPVIew 管理软件实现宏锦企业网络对公司内部的设备以及IP 网络资源管理。 实施步骤安装 SmartIPVIew 管理软件，运行软件添加宏锦企业的IP 网段如图 4-1.图 4-1 添加企业IP 网段单击确认，添加宏锦企业内部IP 网段便于企业管理企业内部用户。对宏锦企业网络内部设备的管理如下图4-2 所示。图 4-2 添加网络设备如图 4-2 添加宏锦企业的网络设备， 以实现企业对内部网络设备的监控和方便管理能有效的提高办公效率。SmartIPVIew 管理软件独创的 IP 地址资源管理技术，通过保护 IP 地址资源的安全使用，以及对 IP 地址资源的

35、回收再利用， 使有限的 IP 地址资源得到合理合法的使用，从而可以保证整个网络资源的有效利用和安全。总结随着互联网的飞速发展， 网络安全逐渐成为一个潜在的巨大问题。 网络安全性是一个涉及面很广泛的问题， 其中也会涉及到是否构成犯罪行为的问题。 在其最简单的形式中，它主要关心的是确保无关人员不能读取， 更不能修改传送给其他接收者的信息。 此时，它关心的对象是那些无权使用，但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题，以及发送者是否曾发送过该条消息的问题。本论文从企业角度描述了网络安全的解决方案，目的在于为用户提供信息的保密，认证和完整性保护机制， 使网络中的服务， 数据以及系

36、统免受侵扰和破坏。 比如防火墙，认证，加密技术等都是当今常用的方法， 本论文从这些方法入手深入研究各个方面的网络安全问题的解决，可以使读者有对网络安全技术的更深刻的了解。致谢在这几个多月的毕业设计中，我真诚的感谢老师的指导， 在老师的帮助下我才顺利的完成毕业设计。做毕业实际就需要把平时学到的东西在复习一遍，因为平时上课还有课后自己的学习，都主要在基于理论方面的，虽然也做很多实验，但当把毕业设计当作一个实际的工程来做的时候就会发现很多的问题，这就需要老师的指导了， 特别是老师让我们在实训机房里面，直接就各个硬件进行操作，这样我们就不会空谈就会做的更深层次。所以很感谢老师的帮助， 让我更好的将理论

37、和实践相结合，最后完成了此次毕业设计，同时也为以后工作做了很好的准备。参考文献 1 王达 . 网管员必读网络安全 . 北京：机械工业出版社， 2009 2 黄传河 . 网络规划设计师教程 . 北京：机械工业出版社， 2009 3 张千里，陈光英 . 网络安全新技术 . 北京：人民邮电出版社， 2003 4 王卫红，李晓明 . 计算机网络与互联网 . 北京：机械工业出版社， 2009 5 易建勋 . 计算机网络技术 . 北京：人民邮电出版社， 2007. 6 扬卫东 . 网络系统集成与工程设计， 2007. 7 张千里，陈光英 . 网络安全新技术 . 北京：人民邮电出版社， 2003 8 徐超汗 . 计算机网络安全实用技术，电子工业出版社，2005年3月 9 万博公司技术部 . 网络系统集成行业使用方案 , 海洋出版社， 2006 年10 高永强，郭世泽 . 网络安全技术与应用大典 . 北京：人民邮电出版社， 2003