|
構(gòu)建企業(yè)網(wǎng)絡(luò)安全方案——設(shè)備安全、VPN���、QOS����、服務(wù)器
資源天下 2019/8/14 8:32:27
(接上頁)部分管理��。不能由其他人進(jìn)行查看更改����。
1.1.2 性能需求
為了保證系統(tǒng)能夠長期����、安全、穩(wěn)定����、可靠、高效的運行���,企業(yè)網(wǎng)絡(luò)安全方案應(yīng)該滿足以下需求:
(1)系統(tǒng)處理的全面性和及時性
方案的全面性和處理事件的及時性是必要的性能。從各個方面考慮到可能受到的網(wǎng)絡(luò)攻擊��,做好全方面的補(bǔ)救和抵御措施�。且在發(fā)生突發(fā)情況下能及時的補(bǔ)救����,保證企業(yè)網(wǎng)絡(luò)的正常運行。
(2)系統(tǒng)方案的可擴(kuò)充性
在方案的設(shè)計過程中���,應(yīng)該充分考慮系統(tǒng)的可擴(kuò)充性��,為以后企業(yè)的發(fā)展,網(wǎng)絡(luò)設(shè)備的擴(kuò)充��,提供良好條件�。
(3)系統(tǒng)的易用性和易維護(hù)性
在完成這套方案之后���,只需要技術(shù)人員在硬件上做好管理措施����、系統(tǒng)上及時更新升級���,以及做好備份工作。
(4)方案的標(biāo)準(zhǔn)性
方案在設(shè)計過程中���,要涉及很多計算機(jī)硬件���、軟件。所有這些都要符合主流國際���、國家和行業(yè)標(biāo)準(zhǔn)�。列如要用到的操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備以及軟件�����、技術(shù)都要符合通用的標(biāo)準(zhǔn)���。
1.2 實際網(wǎng)絡(luò)的特點及目前企業(yè)網(wǎng)絡(luò)優(yōu)缺點分析
圖1 公司的原拓?fù)鋱D
如圖,上圖為一玩具企業(yè)的大概網(wǎng)絡(luò)拓?fù)鋱D��,經(jīng)過分析�,公司網(wǎng)絡(luò)主要分為4個部分�����,一部分為工廠生產(chǎn)網(wǎng)絡(luò)��,一部分是負(fù)責(zé)銷售、網(wǎng)站維護(hù)和構(gòu)想玩具工作等的寫字樓辦公網(wǎng)絡(luò)�����,另兩部分為領(lǐng)導(dǎo)決策的主網(wǎng)絡(luò)以及公司的服務(wù)器群。其優(yōu)點是結(jié)構(gòu)簡單靈活可靠性高��,共享性強(qiáng),適合于一點發(fā)送����、多點接收的場合,容易擴(kuò)展網(wǎng)絡(luò)��,使用的電纜少���,且安裝容易。缺點是安全行不高����,維護(hù)不方便�,分支節(jié)點出現(xiàn)故障會影響整個網(wǎng)絡(luò)。
其網(wǎng)絡(luò)的交換機(jī)路由器已經(jīng)經(jīng)過一部分設(shè)置與設(shè)備NAT技術(shù)�,使公司內(nèi)部合理通信訪問��,工廠辦公地點不能上網(wǎng)����,員工辦公階段時間性的上網(wǎng),領(lǐng)導(dǎo)辦公沒有限制�����。這都有效提高了公司的工作質(zhì)量與安全性�,我們在這基礎(chǔ)上��,再設(shè)置一些安全措施���,設(shè)計出一套完整的安全解決方案�����。
1.3 設(shè)計目標(biāo)
根據(jù)實際情況���,全方面的找出并解決企業(yè)存在的各方面安全問題,從網(wǎng)絡(luò)的硬件設(shè)備的安全以及配置��、系統(tǒng)防御軟件檢測防御��、流量控制優(yōu)先級(QOS技術(shù))�����、以及數(shù)據(jù)的加密傳輸��、簽名認(rèn)證和遠(yuǎn)程專用網(wǎng)絡(luò)�����,以及合理應(yīng)用內(nèi)外防火墻����,達(dá)到最大限度保證企業(yè)信息的安全,以及網(wǎng)絡(luò)的通信順暢�����。
1.3.1 NAT技術(shù)
NAT英文全稱是“Network Address Translation”�����,中文意思是“網(wǎng)絡(luò)地址轉(zhuǎn)換”�,它是一個IETF(Internet Engineering Task Force, Internet工程任務(wù)組)標(biāo)準(zhǔn)�����,允許一個整體機(jī)構(gòu)以一個公用IP(Internet Protocol)地址出現(xiàn)在Internet上����。顧名思義����,它是一種把內(nèi)部私有網(wǎng)絡(luò)地址(IP地址)翻譯成合法網(wǎng)絡(luò)IP地址的技術(shù)���。
簡單的說,NAT就是在局域網(wǎng)內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部地址����,而當(dāng)內(nèi)部節(jié)點要與外部網(wǎng)絡(luò)進(jìn)行通訊時���,就在網(wǎng)關(guān)(可以理解為出口����,打個比方就像院子的門一樣)處��,將內(nèi)部地址替換成公用地址��,從而在外部公網(wǎng)(internet)上正常使用�,雖然地址轉(zhuǎn)換技術(shù)設(shè)計的目的是為了節(jié)省IP地址�����,但是客觀上�����,這種技術(shù)對網(wǎng)絡(luò)外部隱藏了一個網(wǎng)絡(luò)內(nèi)部的地址結(jié)構(gòu),加大了內(nèi)網(wǎng)的安全����。
1.3.2 QOS技術(shù)
QoS的英文全稱為"Quality of Service"�����,中文名為"服務(wù)質(zhì)量"����。QoS是網(wǎng)絡(luò)的一種安全機(jī)制,是用來解決網(wǎng)絡(luò)延遲和阻塞等問題的一種技術(shù)。用于衡量使用一個服務(wù)的滿意程度���。QoS不是創(chuàng)造帶寬,而是管理帶寬���,因此它能應(yīng)用得更為廣泛,能滿足更多的應(yīng)用需求����。QoS的目標(biāo)是要提供一些可預(yù)測性的質(zhì)量級別,以及控制超過目前IP網(wǎng)絡(luò)最大服務(wù)能力的服務(wù)
2. 要解決的幾個關(guān)鍵問題
2.1研究設(shè)計中要解決的問題
2.1.1 設(shè)備����、服務(wù)器、流量控制
(1)從拓?fù)鋱D上可知�,類似總線型的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)��,存在著明顯的安全問題���,如果其中一臺交換機(jī)設(shè)備出現(xiàn)故障���,將嚴(yán)重影響網(wǎng)絡(luò)的正常運行,這是很大的安全隱患����。
(2)保證物理設(shè)備的安全�����,也沒有針對一些突發(fā)情況的保護(hù)措施�����,以保證網(wǎng)絡(luò)的隨時通暢����,容災(zāi)備份
(3)外部訪問企業(yè)內(nèi)部網(wǎng)絡(luò)��,共享資源,沒有一個好的安全保護(hù)措施�。
(4)QOS流量服務(wù)控制��,保證網(wǎng)絡(luò)通順
(5)服務(wù)器的安全非常重要
2.1.2 應(yīng)用系統(tǒng)軟件
系統(tǒng)的安全存在問題,沒有好的軟件工具防御外來攻擊�,列如垃圾病毒郵件的防御����。
(未完,下一頁)
|