|
構建企業(yè)網(wǎng)絡安全方案——設備安全��、VPN�����、QOS�、服務器
資源天下 2019/8/14 8:32:27
(接上頁)
一個完全私有的網(wǎng)絡可以解決許多安全問題�����,因為很多惡意攻擊者根本無法進入網(wǎng)絡實施攻擊��。但是�,對于一個普通的地理覆蓋范圍廣的企業(yè)或公司�����,要搭建物理上私有的網(wǎng)絡����,往往在財政預算上是不合理的�。VPN技術就是為了解決這樣一種安全需求的技術�����。
VPN的英文全稱是“Virtual Private Network”��,翻譯過來就是“虛擬專用網(wǎng)絡”�����。顧名思義�,虛擬專用網(wǎng)絡我們可以把它理解成是虛擬出來的企業(yè)內部專線�。它可以通過特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個或多個企業(yè)內部網(wǎng)之間建立一條專有的通訊線路,就好比是架設了一條專線一樣���,但是它并不需要真正的去鋪設光纜之類的物理線路��。這就好比去電信局申請專線���,但是不用給鋪設線路的費用�,也不用購買路由器等硬件設備。
3.2 設計實現(xiàn)的策略和途徑描述
本方案為局域網(wǎng)網(wǎng)絡安全解決方案���,包括原有網(wǎng)絡系統(tǒng)分析�、安全需求分析��、安全目標的確立�����、安全體系結構的設計�����、等。本安全解決方案的目標是在不影響企業(yè)局域網(wǎng)當前業(yè)務的前提下�����,實現(xiàn)對他們局域網(wǎng)全面的安全管理:
(1)將安全策略、硬件設備及軟件等方法結合起來��,構成一個統(tǒng)一的防御系統(tǒng)�,有效阻止非法用戶進入網(wǎng)絡��,減少網(wǎng)絡的安全風險���。
(2) 定期進行漏洞掃描��,審計跟蹤���,及時發(fā)現(xiàn)問題�,解決問題�。
(3) 通過入侵檢測等方式實現(xiàn)實時安全監(jiān)控��,提供快速響應故障的手段���,同時具備很好的安全取證措施����。
(4) 使網(wǎng)絡管理者能夠很快重新組織被破壞了的文件或應用�����。使系統(tǒng)重新恢復到破壞前的狀態(tài)�,最大限度地減少損失。
(5)在工作站�����、服務器上安裝相應的防病毒軟件����,由中央控制臺統(tǒng)一控制和管理����,實現(xiàn)全網(wǎng)統(tǒng)一防病毒��。
3.3 設計模型及系統(tǒng)結構(新的拓撲圖)
圖2 改善后的拓撲圖
在原拓撲圖的基礎上�,增加了重要的防火墻,并把工廠辦公子網(wǎng)的連接換到主交換機上���,避免了員工子網(wǎng)交換機如果出現(xiàn)問題故障���,導致重要生產(chǎn)線子網(wǎng)不能工作的問題。即是完全把企業(yè)的拓撲改成主流的星形拓撲結構���。員工辦公子網(wǎng)中間也可多增加一些交換機��,減輕負擔,對里面的部門分化也比較容易管理��,再加上只要制定健全的安全管理制度��,做好備份�����,并且加強網(wǎng)絡設備和機房的管理,就能達到在現(xiàn)有設備基礎上��,實現(xiàn)網(wǎng)絡安全的目標�。
4. 系統(tǒng)實現(xiàn)技術
4.1 概述
確���,F(xiàn)有的設備穩(wěn)定安全的基礎上����,對交換機路由器等,采用一些安全技術�,進行內部網(wǎng)絡的設置���。例如對各種設備都做了哪些修改�����,這些修改帶來的優(yōu)勢���,以達到增強網(wǎng)絡安全的目的�����。
4.2 物理設備安全
4.2.1 容災備份
從廣義上講��,任何提高系統(tǒng)可用性的努力��,都可稱之為容災(或容災備份)�。本地容災就是主機集群,當某臺主機出現(xiàn)故障���,不能正常工作時���,其他的主機可以替代該主機,繼續(xù)進行正常的工作�。當一處系統(tǒng)因災難而停止工作時��,整個應用系統(tǒng)可以切換到另一處��,使得該系統(tǒng)可以繼續(xù)正常工作��。
在建立容災備份系統(tǒng)時會涉及到多種技術�����,如:遠程鏡像技術����、基于IP的SAN(存儲區(qū)域網(wǎng)絡)的互連技術、快照技術等�����。遠程鏡像技術就是遠程同步復制技術,指通過遠程鏡像軟件�����,將本地數(shù)據(jù)以完全同步的方式復制到異地��。通過鏡像把數(shù)據(jù)備份到遠程存儲系統(tǒng)中�����,再用快照技術把遠程存儲系統(tǒng)中的信息備份到遠程的磁帶庫����、光盤庫中���。基于IP的SAN的遠程數(shù)據(jù)容災備份技術�,是將主數(shù)據(jù)中心SAN中的信息通過現(xiàn)有的TCP/IP網(wǎng)絡,遠程復制到備援中心SAN中�����。當備援中心存儲的數(shù)據(jù)量過大時���,可利用快照技術將其備份到磁帶庫或光盤庫中��。
4.2.2 防盜和防毀
當計算機系統(tǒng)或設備被盜����、被毀時��,除了設備本身丟失或毀損帶來的損失外���,更多的損失則是失去了有價值的程序和數(shù)據(jù)。因此�����,防盜�、防毀是計算機防護的一個重要內容�。通常采取的防盜、防毀措施主要有:設置報警器——在機房周圍空間放置侵入報警器���,侵入報警的形式主要有光電�、微波��、紅外線和超聲波���;鎖定裝置——在計算機設備中����,特別是在個人計算機中設置鎖定裝置���,以防犯罪盜竊;計算機保險——在計算機系統(tǒng)受到侵犯后��,可以得到損失的經(jīng)濟補償���,但是無法補償失去的程序和數(shù)據(jù),為此應設置一定的保險裝置
4.2.3 防止電磁泄漏發(fā)射
計算機主機及其附屬電子設備如視頻顯示終端��、打印機等在工作時不可避免地會產(chǎn)生電磁波輻射���,這些輻射中攜帶有計算機正在進行處理的數(shù)據(jù)信息��。抑制計算機中信息泄漏的技術途徑有兩種:一是電子隱蔽技術��,二(未完��,下一頁)
|