搜索
题目:企业安全网络构架学院:软件学院班级:10级网络工程3班指导教师:林玉香姓名:谢昊天学号:1215134046学年、学期:2013~2014学年第一学期前言科学技术的发展日新月异,九十年代,在计算机技术和通信技术结合下,网络技术得到了飞速的发展。如今,不仅计算机已经和网络紧密结合,整个社会都不可能脱离网络而存在。网络技术已经成为现代信息技术的主流,人们对网络的认识也随着网络应用的逐渐普及而迅速改变。在不久的将来,网络必将成为和电话一样通用的工具,成为人们生活、工作、学习中必不可少的一部分。Internet,即国际互联网,是现在网络应用的主流,从它最初在美国诞生至今已经经历了三十多年。这个以TCP/IP协议为主体的国际互联网络已经成为覆盖全世界一百五十多个国家和地区的大型数据通信网络。最初的Internet是由科研网络形成的,主要是由一些大学和研究所等科研教育单位连接而成,逐渐发展到今天的规模。而进入九十年代后,由于各种商业信息进入了Internet,使得Internet得到了极大地发展,其拥有的主机数,连接的网络数以及覆盖面一直呈指数形式上升。现在在Internet上可以提供或者获得各种各样的服务,比如通过电子邮件进行合同的起草和签订,或利用Internet直接挑选商品和购物。Internet是一个资源的网络,其中拥有的信息资源几乎覆盖所有的领域。Internet面向人类的社会,世界上数以亿计的人们利用它进行通信和信息共享,通过发送和接收电子邮件,或和其他人的计算机建立连接、参加各种讨论组并免费使用各种信息资源实现信息共享。Internet也是一个服务的网络。在Internet上,许多单位、公司和组织提供了各种各样的服务。比如(WorldWideWeb全球信息网)服务、信息查询服务等,向网络上的其他用户展示自己各方面的情况,并帮助这些用户找到需要的信息。将来的网络在Internet基础上进一步发展,其功能、速度、适用范围等必将全面超过现有的Internet。XX大学对计算机网络的建设投入了大量的人力和物力,在短短的几年中,已经从最初仅仅局限在教育科研单位的网络,迅速发展到今天遍及全国的包括教育、科研、商业、民用各个方面的数个大型网络,如Chinanet(中国邮电网)、Cernet(中国教育网)、Gbnet(金桥网络)等等。目前在网络上提供有价值、有吸引力的信息,对一个单位或学校树立自己的形象,提高自己的知名度,以及开拓和国际上其他学校、组织的联系和往来能够起到很显著的作用。XX大学校园网将实现与校内各部门进行通信。XX大学校园网将为学校的科研、教学、管理提供必要的技术手段,为研究开发和培养人才建立平台,借此加快学校的发展,以此加快学校的发展,成为一个具有示范性的学校。一、需求分析1、实施背景某高校是我省省属重点大学。该校拥有已开通信息点1万多个,上网电脑一万多台,校园网师生用户群多达2万余人。校园网已经成为全校师生员工日常学习、工作中不可或缺的重要信息平台。某高校的网络结构分为核心、汇聚和接入3个层次,网络类型分为教学子网、办公子网、学生宿舍子网。接入方式包括拨号上网、宽带接入、无线上联等各种形式。校园网双出口结构,可以通过ChinaNet,也可以通过CERNET进入互联网。学校有16个C的教育网IP地址和8个ChinaNet的IP地址。目前提供的网络服务有:服务、MAIL服务、FTP服务、VOD服务,图书馆电子图书数据库服务等。2、网络应用需求这方面的需求不同学校有着明显不同,大体都可以分为,教学、办公、服务这四方面应用。如对教学、科研方面的网络设计应考虑稳定、扩展、安全等问题;办公、服务等带宽是要着重考虑的方面,所以学校应该根据自己的实际情况来考虑网络的结构,及安全问题。校园网在信息服务与应用方面应满足以下几个方面的需求:1.学校主页。学校应建立独立的服务器,在网上提高学校主页等服务,包括校情简介、学校新闻、校报(电子报)、招生信息以及校内电话号码和电子邮件地址查询等。2.文件传输服务。考虑到师生之间共享软件,校园网应提供文件传输服务(ftp)。文件传输服务器上存放各种各样自由软件和驱动程序,师生可以根据自己需要随时下载并把它们安装在本机上。3.校园网站建设(、FTP、E-mail、DNS、PROXY代理、拨入访问、流量计费等);4.多媒体辅助点播教学兼远程教学:校园网要求具有数据、图像、语音等多媒体实时通讯能力;并在主干网上提供足够的带宽和可保证的服务质量,满足大量用户对带宽的基本需要,并保留一定的余量供突发的数据传输使用,最大可能地降低网络传输的延迟。5.校园办公管理;6.学校教务管理;7.校园通卡应用;8.网络安全FIREWALL;9.图书管理、电子阅览室;10.系统应提供基本的Web开发和信息制作的平台。3、网络性能需求性能需求:有服务效率、服务质量、网络吞吐率、网络响应时间、数据传输速度、资源利用率、可靠性、性能/价格比等;根据本工程的特殊性,语音点和数据点使用相同的传输介质,即统一使用超5类4对双绞电缆,以实现语音、数据相互备份的需要;对于网络主干,数据通信介质全部使用光纤,语音通信主干使用大对数电缆;光缆和大对数电缆均留有余量;对于其他系统数据传输,可采用超5类双绞线或专用线缆。4、安全需求(1)防止校园网外部用户对校园网内的用户进行攻击(2)校园网外部用户只能访问服务、MAIL服务,其他服务只对校园网内部用户开放。(3)考虑到易用性,所有服务器的操作系统采用WindowsServer,。(4)需要防病毒系统。二、网络拓扑结构三、IP地址规划:教学区和办公区用户使用公有的8个c类地址块中的地址;学生宿舍网用户使用私有地址192.168.0.0/16和10.0.0.0/8地址块,可在出口处做nat转换,实现私有地址块192.168.0.0/16和10.0.0.0/8转换成所给出的16个c类地址块中的地址四、服务器的选型及参数戴尔PowerEdgeR710参数基本类别类别机架式结构2U处理器CPU类型XeonE5520CPU频率2260MHz处理器描述标配2个XeonE5520处理器最大处理器数量2制程工艺45纳米CPU核心四核(Gainestown)主板主板芯片组Intel5520扩展槽2PCIex8+2PCIex4或1x16+2x4内存内存类型DDRIII内存大小32GB内存带宽/描述8个4GBDDR3内存插槽数量18最大内存容量144GB存储硬盘大小5*300GB硬盘类型SAS硬盘最大容量6TB内部硬盘架数通过6个3.5英寸1000GB热插拔SAS硬盘最大热插拔硬盘数支持热插拔磁盘阵列卡RAID6光驱DVD-ROM网络网络控制器集成双千兆以太网控制器显示性能显示芯片MatroxG200其他参数散热系统可选冗余冷却咨询购买热线800-858-2339服务DELL3年免费上门服务管理及安全性管理工具远程管理卡电源性能电源冗余电源电源数量2外观特征尺寸86.4*443.1*680.7mm重量26.1Kg软件系统系统支持参数纠错MicrosoftWindowsServer2008,x64小型企业服务器标准版MicrosoftWindowsServer2008,标准MicrosoftWindowsServer2008,企业MicrosoftWindowsServer2008x64数据中心,包括Hyper-VRedHatLinuxEnterprisev5x86-64RedHatLinuxEnterprisev4、ES和ESx86-64Solaris10(非工厂预装)RedHatLinuxEnterpriseLinux5.xx86RedHatLinuxEnterpriseLinux5.xx86_64NovellSuSeLinux10SP2SUSELinuxEnterpriseServer10x86-64VMwareESX3.5标准版VMwareESX3.5企业版五、防火墙的选型及参数CISCOASA5580-20-B参数报价:20万主要参数设备类型企业级防火墙并发连接数1000000网络吞吐量(Mbps)5000安全过滤带宽1000Mbps用户数限制无用户数限制安全标准UL60950,CSAC22.2No.60950,EN60950IEC60950,AS/NZS60950控制端口console,1*RJ-45管理思科安全管理器(CS-Manager),WebVPN支持支持一般参数适用环境工作温度:10~35℃;工作湿度:10~90%不凝结;存储温度:-30~60℃;存储湿度:10~95%不凝结电源100~240VAC,50/60Hz防火墙尺寸673*483*176mm防火墙重量29.9kg其他性能参数纠错高性能防火墙、IPS、以及IPSec和SSLVPN和IPSecVPN(750个设备对)软件,支持防垃圾邮件、URL阻拦和过滤,以及防网络钓鱼六、操作系统的安全配置和测试(1)物理安全设备的无人监控,加锁,防潮(2)停止Guest帐号(3)限制用户数量对于WindowsNT/2000主机,如果系统帐户超过10个(4)多个管理员帐号创建一个一般用户权限帐号用来处理电子邮件以及处理一些日常事物,另一个拥有Administrator权限的帐户只在需要的时候使用(5)管理员帐号改名(6)陷阱帐号创建一个名为“Administrator”的本地帐户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码(7)更改默认权限共享文件的权限从“Everyone”组改成“授权用户(8)安全密码要求用户首此登陆的时候更改成复杂的密码,还要注意经常更改密码。(9屏幕保护密码(10)NTFS分区把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT、FAT32的文件系统安全得多。(11)防毒软件设置了放毒软件,“黑客”们使用的那些有名的木马就毫无用武之地了,并且要经常升级病毒库。(12)备份盘的安全不能把资料备份在同一台服务器上,这样的话还不如不要备份七、应用服务器系统的漏洞扫描和安全配置1、使用IIS配置服务在“控制面板”的“添加/删除组件”中安装IIS服务;安装完毕之后,会在“管理工具”中出现“Internet服务管理器”图标;双击打开“Internet服务管理器”;这时在C盘中会自动产生一个“Inetpub”文件夹;在这个文件夹中,可以看到web站点所存放的位置;新建web站点右键可以修改其属性;这时在客户端机器上,可以查看新建的web站点;如下图所示,新建虚拟目录;存放在Inetpub下的directory文件夹中;给虚拟目录起个名字,叫“mit”;在客户端机器上测试一下,就可得到结果2.FTP服务器配置:安装FTP服务器组件;用Serv-U建设FTP站点;新建用户,在该实验中,设置了三个用户,分别为匿名用户和zhangsan、lisi,他们的访问权限不同;用户lisi未被锁定于主目录,其结果与另外两者不同;3.使用工具软件1.S扫描器(一种速度极快的多线程命令行下的扫描工具)2.SQL登陆器3.DNS溢出工4.cmd(微软命令行工具)八、恶意代码的防范系统设计防病毒体系总体规划:防病毒系统不仅是检测和清除病毒,还应加强对病毒的防护工作,在网络中不仅要部署被动防御体系(防病毒系统)还要采用主动防御机制(防火墙、安全策略、漏洞修复等),将病毒隔离在网络大门之外。通过管理控制台统一部署防病毒系统,保证不出现防病毒漏洞。因此,远程安装、集中管理、统一防病毒策略成为企业级防病毒产品的重要需求。在跨区域的广域网内,要保证整个广域网安全无毒,首先要保证每一个局域网的安全无毒。也就是说,一个企业网的防病毒系统是建立在每个局域网的防病毒系统上的。应该根据每个局域网的防病毒要求,建立局域网防病毒控制系统,分别设置有针对性的防病毒策略。从总部到分支机构,由上到下,各个局域网的防病毒系统相结合,最终形成一个立体的