局域网监控系统的设计与实现
❶ 局域网主机上线通知
局域网管理工具
局域网内的管理软件,今天上网找了下,发现还是中国人写的比较多,而且功能也越来越强大。
原理都是安装winpcap,使网卡工作在混杂模式下,然后进行相应的操作。
说不定什么时候会用到,把看到的介绍都转过来吧。都没有测试。
1. AnyView(网络警)网络监控系统
软件简介:
是一款企业级的网络监控软件。一机安装即可监控、记录、控制局域网内其他计算机的上网行为。用于防止单位重要资料机密文件等的泄密;监督审查限制网络使用行为;备份重要网络资源文件。主要功能有:
一、网络行为和内容监视:
包括:网站浏览监视、邮件收发监视、聊天行为监视、游戏行为监视、FTP监视、流量监视、自定义监视;
(1)AnyView能实时记录局域网内所有用户浏览过的网页(包括网页标题、网页内容、所属网站、网页大小等),并以网页快照的形式供管理者查看;
(2)AnyView能实时记录局域网内所有收发的邮件(包括POP3/SMTP协议和HTTP协议的邮件),同时检测并记录其所用的IP地址、收发时间、标题、收件人/发件人、附件、内容及邮件大小等信息。
(3)AnyView能实时监控局域网用户对各类聊天工具的使用情况,能检查出在线用户所使用的聊天工具、上下线时间等信息,并保存。
(4)AnyView能实时记录网内所有用户通过FTP协议上传下载的文件(服务地址以及内容)
(5)AnyView能监视所有网络游戏行为,并可以自己定义需要监视的网络游戏;
(6)AnyView能监视用户即时流量,历史流量分析和流量排行
(7)AnyView能自定义被监视的网络应用,比如BT、股票软件、FLASHGET等
二、通用的、全系列、整网络、自定义、端口级的上网行为控制
包括:网站浏览控制、邮件收发控制、聊天行为控制、游戏行为控制、自定义行为控制、端口级控制;所有的控制都可针对3层对象(一个网络、一个分组、一个电脑);都可针对指定的时段;都可针对指定的协议TCP/UDP;可通用的自由定义;全系列端口级别管理;
(1)可禁止浏览所有网站、只允许浏览指定网站(白名单)、禁止浏览指定网站(黑名单)
(2)可禁止收发邮件、只允许收发指定邮局(白名单)、禁止手法指定邮局(黑名单)
(3)可禁止所有的聊天行为(比如QQ、MSN、ICQ、YAHOO、UC、POPO、E话通等),并可以自行增加聊天行为控制列表;
(4)可禁止所有的网络游戏(比如联众、中国游戏中心等等);并可以自行增加网络游戏行为控制列表;
(5)可禁止自定义控制列表,比如股票软件、BT软件等;并发起阻断;
(6)可进行严格的UDP/TCP整个网络段的全系列端口级别的控制,并支持黑名单和白名单功能;
三、内容过滤功能
包括:对不需要的监视的象和行为进行过滤,忽略监视;可针对3种对象操作(一个网络、一个分组、一个电脑);
(1)全部监视、不监视、只监视部分应用
(2)网站过滤白名单和黑名单功能
四、IP和MAC绑定
包括:禁止MAC地址修改、禁止所有IP地址修改、禁止部分IP地址修改;有效防止非法用户访问网络资源;
五、用户管理
包括:分组增加删除、用户名修改、锁定分组刷新、监视对象设置
(1)自动搜索局域网内的电脑,并自动解析出机器名,默认以MAC地址区分用户
(2)允许建立分组并允许刷新分组;方便管理以及权限控制;
(3)允许用户名修改,方便识别和管理,分组权限移动后自然继承新分组权限;
六、其他功能。
(1)采用C/S管理模式,支持分级权限管理。AnyView支持服务器和客户端程序分开,支持多客户连接,允许对不同控制台赋予不同的监控权限。如果是有固定外部IP,可以远程管理和查看;
(2)跨平台监控;被监控电脑也可以是Unix 、Linux 等其他操作系统;
(3)不需要在被监视和管理电脑上安装任何软件,一机运行,整网管理;
(4)支持拦截监视内容和配置文件的的备份、恢复;支持无限多个IP网段监视
(5)采用连接密码管理禁止非法用户连接,采用控制台密码管理禁止非法用户查看;
(6)引擎作为系统服务运行在后台(如IIS一样),不需要登陆和用户干预就可监控;
(7)脱机浏览监视数据功能,附带自动检测连接设备是否HUB的功能;
(8)正式版安装以后,同一网段内,其他机器上的试用版不能正常运行。
2、局域网助手
LanHelper(中文名称“局域网助手”)是Windows平台上强大的局域网管理、扫描、监视工具。LanHelper独特的强力网络扫描引擎可以扫描到您所需要的信息,使用可扩展和开放的XML管理扫描数据,具有远程网络唤醒、远程关机、远程重启、远程执行、发送消息等功能,能够5。同时不需要服务端软件,节省您的时间和金钱,使您的网络管理更加轻松和安全。
LanHelper能扫描到远程计算机非常丰富的各种信息,包括了名称(NetBIOS名或者DNS名)、IP地址、MAC地址、工作组名、用户名称、操作系统类型、服务器类型、备注、共享文件夹、隐藏共享、共享打印机、共享文件夹的属性(是否可写、只读或者密码保护等)、共享备注等,而且由于使用了多线程,每秒钟最快可以扫描上百台计算机。扫描引擎集成的扫描共享文件夹是否可写、只读、密码保护等属性为LanHelper独有的特性,其中扫描可写共享对于预防和协助清除像尼姆达这样难于根除的蠕虫病毒非常有用。
不需要额外安装任何服务端程序,使用LanHelper可以大大简化您的网络管理。“远程唤醒”可以给位于局域网、广域网或者因特网上的计算机发送唤醒命令而使其自动加电启动,可以定时。“远程关机”让系统管理员能够通过网络关闭或者重新启动远程计算机,可以定时。“远程执行”使您可以在远程机器统上执行命令,运行程序或者打开文件,比如使远程机器启动信使服务,或者只是播放一首MP3歌曲等,执行专门设计的“LanHelper集成命令”则可以轻松让远程机器完成关机、锁定、截取屏幕、获取系统信息、窗口管理、进程管理等等各种操作。“刷新状态” 可用于定时监视网络,查看计算机是否在线,以及检测计算机名或者IP地址是否有改动,当指定的事件发生时能够以电子邮件等方式通知管理员。“发送消息”功能可以用非常灵活的方式给用户、计算机、工作组或者整个局域网发送消息。
扫描数据的保存使用XML,在LanHelper后续版本甚至以前版本中都可以使用。即使没有LanHelper,保存的XML文件可以使用IE 浏览器或者其他像MS OFFICE 2002这样支持XML的软件打开。当使用浏览器打开XML文件时,使用XSL编写的样式表文件LHstyle.xsl会将其转换为网页表格,非常便于查看。
3、Easy网管
全面管理局域网内计算机:1.Internet流量监测;2.Internet带宽监测与控制;3.Internet流量日志,实时记录局域网内计算机的Internet流量、流速和带宽占用情况;4.限制可以上网计算机;5.限制访问网站;6.限制上网时间,为一个星期内每天规定不同的上网时间限制;7.监视网内计算机收发邮件,保留邮件摘要副本;8.规定哪些计算机可以使用QQ、在什么时间可以使用QQ;9.控制使用各种聊天软件,包括QQ、MSN Messenger、YAHOO通等;10.远程"任务管理器",实时监测其他计算机运行程序,杀死进程;11.锁其他计算机键盘、鼠标和禁止屏幕保护;12.遥控其他Log Off;13.遥控其他计算机关闭电源Power Off;14.遥控其他计算机重新启动Reboot;15.远程截取工作站屏幕;16.控制运行“联众”等各种网络游戏和各种单机游戏程序;17.控制和管理局域网内计算机上运行程序;18.自动扫描局域网内IP节点,包括网络、工作组、网络打印机、计算机,自动获得IP地址、MAC地址、机器名称、共享目录;19.适合通过代理服务器、路由器、专线等各种方式接入Internet环境;20.IP地址与MAC地址进行帮定,限制私自修改IP地址与MAC地址;21.用户分组管理,每个用户组可以单独分配控制权限;22.自定义网络阻断信息。
4、局域网查看工具(LanSee)
采用多线程技术,搜索速度很快。它将局域网上比较实用的功能完美地融合在一起,比如搜索计算机(包括计算机名,IP地址,MAC地址,所在工作组,用户),搜索共享资源,搜索共享文件,多线程复制文件(支持断点传输),发短消息,高速端口扫描,捕获指定计算机上的数据包,查看本地计算机上活动的端口,远程重启/关闭计算机等,功能十分强大。该软件是一款绿色软件,解压后直接打开运行,无需安装。
5、超级网管(SuperLANadmin)
SuperLANadmin的中文名为超级网管,是一款极富个性的网络工具,简单易用而功能强大。SuperLANadmin按照“用户至上”的理念开发而成,程序界面友好、操作方式简单直观、功能强大。SuperLANadmin是一款绿色软件,无需安装,在局域网内的任何一台计算机上都可以使用。它可以运行在Windows 98/Me/NT/2000系统中,但是只有在Windows NT/2000下运行时才能获得最佳性能和使用全部功能。 SuperLANadmin可以跨网段扫描。只要您在系统设置-扫描IP段设置项里设置好IP段后,以后系统会自动扫描已经配置好的IP段,由于使用了多线程, 扫描速度快,同类软件无法比拟。SuperLANadmin具有强大的扫描能力,能扫描到网络上计算机的各种非常有用的信息,包括了计算机的计算机名、工作组名、IP地址、MAC地址、共享文件夹。它还可以实现一些很有用的系统功能:包括远程关机,远程重启,发送消息,搜索共享,网络流量检测,数据包的检测,端口扫描,活动端口查看,端口进程查看器等。以上功能的操作对象可以是一台计算机,一个用户组,甚至是整个局域网。每个功能的操作方式基本相同,简单易用。 SuperLANadmin具有强大的网络管理功能:上网权限(某时间段内可以上网,某时间段内限制上网)。通过分配机器上网权限,管理员就可以很轻松实时监控整个局域网 ,限制用户违规上网。 总之,SuperLANadmin就象为您度身量制,让您管理网络更轻松。SuperLANadmin的扫描结果保存为文本文件、Excel文件、Html文件,作为日志使用。
6、网络执法官
\"网络执法官\"是一款局域网管理辅助软件,采用网络底层协议,能穿透各客户端防火墙对网络中的每一台主机(本文中主机指各种计算机、交换机等配有IP的网络设备)进行监控;采用网卡号(MAC)识别用户,可靠性高;软件本身占用网络资源少,对网络没有不良影响。
软件不需运行于指定的服务器,在网内任一台主机上运行即可有效监控所有本机连接到的网络(支持多网段监控),主要功能如下:
一、 实时记录上线用户并存档备查
网络中任一台主机,开机即会被本软件实时检测并记录其网卡号、所用的IP、上线时间、下线时间等信息,该信息自动永久保存,可供查询,查询可依各种条件进行,并支持模糊查询。利用此功能,管理员随时可以知道当前或以前任一时刻任一台主机是否开机、开机多长时间,使用的是哪一个IP、主机名等重要信息;或任一台主机的开机历史。
二、 自动侦测未登记主机接入并报警
管理员登记完或软件自动检测到所有合法的主机后,可在软件中作出设定,拒绝所有未登记的主机接入网络。一旦有未登记主机接入,软件会自动将其MAC、IP、主机名、上下线时段等信息作永久记录,并可采用声音、向指定主机发消息等多种方式报警,还可以根据管理员的设定,自动对该主机采取IP冲突、与关键主机隔离、与网络中所有其它主机隔离等控制措施。
三、 限定各主机的IP,防止IP盗用
管理员可对每台主机指定一个IP或一段IP,当该主机采用超出范围的IP时,软件会判定其为\\\\\\\"非法用户\\\\\\\",自动采用管理员事先指定的方式对其进行控制,并将其MAC、IP、主机名作记久记录备查。管理员可事先指定对非法用户实行IP冲突、与关键主机隔离、与其它所有主机隔离等管理方式。
四、 限定各主机的连接时段
管理员可指定每台主机在每天中允许与网络连接的时段或不允许与网络连接的时段(可指定两个时段,如允许每天8:30-12:00和13:30-17:00与网络连接),并可指定每一用户是否被允许在每个周六、周日与网络连接。对违反规定的用户,软件判其为非法用户,自动记录并采用管理员事先指定的方式进行管理。管理方式同样可为IP冲突、与关键主机隔离、与其它所有主机隔离等。
总之,本软件的主要功能是依据管理员为各主机限定的权限,实时监控整个局域网,并自动对非法用户进行管理,可将非法用户与网络中某些主机或整个网络隔离,而且无论局域网中的主机运行何种防火墙,都不能逃避监控,也不会引发防火墙警告,提高了网络安全性。管理员只需依据实际情况,设置各主机的权限及违反权限后的管理方式,即可实现某些具体的功能,如禁止某些主机在指定的时段访问外网或彻底禁止某些主机访问外网;保护网络中关键主机,只允许指定的主机访问等等。
参考资料:http://hi..com/355592377/blog/item/402412fabd08739258ee9060.html
❷ 需求一份局域网建立调整方案的思路及设计方案、ip地址分配规划表、网络拓扑图,越完整越好,大神们出招吧
发给你邮件了
局域网网络安全设计方案
一.画出本设计方案基于局域网的拓扑图,并有说明。
拓扑图如下:
拓扑结构分析:本设计的拓扑结构是以中间一个核心交换机为核心,外接Router0、Router2,DNS服务器(提供域名解析)、DHCP服务器(为该局域网分配IP地址)、Router3(做外网路由器用,通过它与Internet连接)、一个管理员主机(通过该主机可以对该网络的设备进行管理和配置)。另外Router2的作用是为了让它下面分配的不同Vlan之间能够相互访问。在Router3上还需配置防火墙、ACL、NAT等,主要是为了该网络的安全和易于管理。以上只是该网络的初级设计。
二在对局域网网络系统安全方案设计、规划,应遵循以下原则:
需求、风险、代价平衡的原则:对任一网络,绝对安全难以达到,也不一定是必要的。对一个网络进行实际额研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。
一致性原则:一致性原则主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。安全的网络系统设计(包括初步或详细设计)及实施计划、网络验证、验收、运行等,都要有安全的内容光焕发及措施,实际上,在网络建设的开始就考虑网络安全对策,比在网络建设好后再考虑安全措施,不但容易,且花费也小得多。
易操作性原则:安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,措施的采用不能影响系统的正常运行。
多重保护原则:任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
三.防病毒的方法和设计
第一:病毒可能带来哪些威胁
一旦中毒,就可能对系统造成破坏,导致数据泄露或损坏,或者使服务可用性降低。防病毒解决方案关注因感染病毒、间谍软件或广告软件而造成的威胁。“病毒”一词通常用于描述某类特定的恶意代码。经过正确分析和规划的防病毒解决方案可防范广泛的恶意或未经授权的代码。
第二:病毒是通过哪些方式或者载体来给我们带来威胁
病毒的载体是用于攻击目标的途径。了解恶意代码、间谍软件和广告软件所利用的威胁的载体,有助于组织设计防病毒解决方案来防止被未经授权的代码感染,并阻止其扩散。常见的威胁的载体有网络(包括外部网络和内部网络)、移动客户端(包括连接到网络的来宾客户端和员工计算机等)、应用程序(包括电子邮件、HTTP和应用程序等)和可移动媒体(包括u盘、可移动驱动器和闪存卡等)。
第三:如何有效地防止病毒侵入
防病毒软件:用于清除、隔离并防止恶意代码扩散。
安全机制:防火墙解决方案不足以为服务器、客户端和网络提供足够的保护,以防范病毒威胁、间谍软件和广告软件。病毒不断发展变化,恶意代码被设计为通过新的途径,利用网络、操作系统和应用程序中的缺陷。及时地添加补丁,更新软件,对网络的安全性好很大的帮助。
四.防木马的方法和设计
一:建立受限的账户
用“netuser”命令添加的新帐户,其默认权限为“USERS组”,所以只能运行许可的程序,而不能随意添加删除程序和修改系统设置,这样便可避免大部分的木马程序和恶意网页的破坏。
二:恶意网页是系统感染木马病毒及流氓插件的最主要途径,因此很有必要对IE作一些保护设置。安装360安全浏览器可以有效的做到这一点。
三:
1.禁止程序启动很多木马病毒都是通过注册表加载启动的,因此可通过权限设置,禁止病毒和木马对注册表的启动项进行修改。
2.禁止服务启动
一些高级的木马病毒会通过系统服务进行加载,对此可禁止木马病毒启动服务的权限。
可依次展开“HKEY_LOCAL_”分支,将当前帐户的“读取”权限设置为“允许”,同时取消其“完全控制”权限
五.防黑客攻击的方法和设计
1.隐藏IP地址
黑客经常利用一些网络探测技术来查看我们的主机信息,主要目的就是得到网络中主机的IP地址。IP地址在网络安全上是一个很重要的概念,如果攻击者知道了你的IP地址,等于为他的攻击准备好了目标,他可以向这个IP发动各种进攻,如DoS(拒绝服务)攻击、Floop溢出攻击等。隐藏IP地址的主要方法是使用代理服务器。
与直接连接到Internet相比,使用代理服务器能保护上网用户的IP地址,从而保障上网安全。代理服务器的原理是在客户机(用户上网的计算机)和远程服务器(如用户想访问远端WWW服务器)之间架设一个“中转站”,当客户机向远程服务器提出服务要求后,代理服务器首先截取用户的请求,然后代理服务器将服务请求转交远程服务器,从而实现客户机和远程服务器之间的联系。很显然,使用代理服务器后,其它用户只能探测到代理服务器的IP地址而不是用户的IP地址,这就实现了隐藏用户IP地址的目的,保障了用户上网安全。提供免费代理服务器的网站有很多,你也可以自己用代理猎手等工具来查找。
2.关闭不必要的端口
黑客在入侵时常常会扫描你的计算机端口,如果安装了端口监视程序(比如Netwatch),该监视程序则会有警告提示。如果遇到这种入侵,可用工具软件关闭用不到的端口,比如,用“NortonInternetSecurity”关闭用来提供网页服务的80和443端口,其他一些不常用的端口也可关闭。
3.更换管理员帐户
Administrator帐户拥有最高的系统权限,一旦该帐户被人利用,后果不堪设想。黑客入侵的常用手段之一就是试图获得Administrator帐户的密码,所以我们要重新配置Administrator账号。
首先是为Administrator帐户设置一个强大复杂的密码,然后我们重命名Administrator帐户,再创建一个没有管理员权限的Administrator帐户欺骗入侵者。这样一来,入侵者就很难搞清哪个帐户真正拥有管理员权限,也就在一定程度上减少了危险性。
六.局域网防arp病毒攻击的方法和设计
1.安装arp防火墙或者开启局域网ARP防护,比如360安全卫士等arp病毒专杀工具,并且实时下载安装系统漏洞补丁,关闭不必要的服务等来减少病毒的攻击。
2.使用多层交换机或路由器:接入层采用基于IP地址交换进行路由的第三层交换机。由于第三层交换技术用的是IP路由交换协议,以往的链路层的MAC地址和ARP协议失效,因而ARP欺骗攻击在这种交换环境下起不了作用。
七.本设计的特色
实现本设计既简单又实用,而且操作起来十分方便,十分符合校内小型局域网的网络安全设计,完全可以符合一般学生的需要
八.心得体会
通过本次设计我认真查阅资料学到了很多知识对病毒、木马、黑客、以及黑客攻击都有了比较深入的了解,也提高了我对这些方面的兴趣,最为重要地是我知道了怎么去建立和保护一个安全的网络。
❸ 如何构建小型局域网 (课程设计文章) 有的发来一个
校园网规划
摘要 : 本文通过对校园园区局域网(以下简称校园园区网)规划思想过程的论述,对就如何建立一个高效,安全的校园网提供设计思想和组网步骤依据。
关键词:网络需求,规划实施计划
0. 引言
信息技术日新月异的今天,网络技术发展迅猛,信息传输已经不仅仅局限于单纯文本数据,数字数据
的传输,随之而来的是视频,音频等多媒体技术的广泛运用。随着技术的发展,网络设备性能和传输介质容量有了极大的提高,但是由于用户需求的日益提高,网络环境的日益复杂,使得网络规划成为一项越发困难的课题,作为校园园区网的规划成败与否,将直接影响到学校教育网络系统性能的高低,从而影响教学进程和教学效果,下面主要对校园园区网的规划思想进行探讨。
1. 校园园区网规划介绍
校园园区网规划是校园网进行工程组网的前期准备工作,它的内容涉及到整项网络工程的重要步骤,是网络设计的核心与灵魂,校园园区网优良的长远规划和最佳的实现选择是校园网长期高效能运营的基础。目前,校园园区网中技术应用主要为辅助管理,教学科研,internet信息服务,以及网络技术探索应用四大类,由于总体的规划所涉及到的技术因数繁多,因而校园园区网规划应当实地考察,调研,通过反复论证,结合当今技术及发展方向,提出总体规划设想,规划既要适应当前的应用,又要反映未来需求,规划应当考虑经济,环境,人文,资源等多方面因素,以合理需求为原则。
2. 校园园区网规划实施计划
2.1 了解用户,收集信息
网络规划的目的在于收集一线信息的基础上给出合理可行的设计方案,如战场指挥,运筹帷幄,决
胜千里,其关键之处在于广泛收集信息,全面合理的规划校园园区网需认真考虑三点因素:
(1)学校历史网络资源信息,当前网络规划设计计划,领先的技术方向,运营机制和管理办法,满足未来网络的高度扩展计划及其特点
(2)了解学校校园网络的使用者分别是谁?他们各自的知识层次如何?以及他们对计算机的使用观点和使用频率如何?他们对当前的网络态度和看法如何?这一点将为日后培训和安排多少人员进行网络的技术支持和维护起导向作用。
(3)明确网络规模:有哪些校区,哪些部门,多少网络用户,哪些资源需要上网,采用什么档次的设备而又在资金预算范围内,不同部门之间的信息流向问题,不同时刻网络流量及流量峰值问题,确定网络终端数量及位置,共享数据的存储位置和哪些人要用这些数据等基本状况等
(4)找出用户与用户,用户与资源,资源与资源之间的内在关系,相关信息,这是校园网设计的前提和依据,是规划的核心思想,作为一个庞大的校园网,如何使得设计的网络便于教学需求和管理应用,教学网与管理网各自安全运作,相互兼容,而又不矛盾?这一点尤为重要。
2.2 分析需求,提出网络设计原则
2.2.1 需求分析
教育行业有着自身的特殊性,校园园区网对整个网络性能要求相对较高,校园园区网组建需满足对数字,语音,图形图象等多媒体技术的宽泛应用,以及综合科研信息的传输和处理需求的综合数字网,并能符合多种协议的要求,其体系应当符合国际标准(如TCP/IP协议,Novell IPX协议等),同时能兼容已有的网络环境,因此设计组网前,应对各方面需求总结归纳,做出细致分析:
(1)内部光缆主干需求:规划需分析综合布线系统及其子系统,主配线间MDF与二及配线间IDF的位置,不同类别的服务器位置等。
(2)应用管理需求:能够让管理人员从繁琐的文字处理中彻底解脱出去,以计算机信息系统交流和日常事物,构建公文系统,日常办公系统,档案系统,电子邮件等功能,且需操作简单,便于使用。满足视频点播,语音教学,多媒体课件等教学需求,具备基本的Internet访问等。
(3)网络流量需求:要求校园园区网有足够的网络吞吐量来满足教学任务,保证信息的高质高效率传输,校园网流量涉及到,语音教学,多媒体课件,服务器访问,Web浏览,视频点播等,对带宽需求和时延性要求极高。
(4)网络安全需求:校园网络必须有完善的安全管理机制,能够确保网络内部可靠运行,还要防止来自外部的和来自内部的非法访问和入侵,保证关键数据库的存储安全
2.2.2 提出设计原则
(1)网络可靠性原则:
网络设计过程中网络拓扑应采用稳定可靠的形式,如:双路由网络拓扑,环行网络结构。因为它们即可冗余备份,安全性又可以得到保障,核心层交换可采用高端交换设备和光纤技术的主干链路(TRUNK)来实现较高的容错性,这样就可以避免单点故障的出现,网络结构使用双链路,双核心交换设备,双路由备份可靠措施,都可以使校园网可靠性和实用性得到大大的提高
(2)网络可扩展性原则:
校园园区网扩展性包含2层意思(一):新的教学部门能简单的接入现有网络 (二):升级新技术的应用能够无逢的在现有网络上运行
可见,规划校园园区网络时不但要分析当前的技术指标,而且要对未来的网络增长情况做出估计和预算,以满足新的需求,保证网络可靠性,从而保证校园正常的教学秩序
(3)网络实用性和可管理性原则:
校园园区网系统设计在性能价格比方面要体现系统的实用性,可采用先进的设备,但有要在资金允许的条件下实现建网的目标,校园园区网应基于简单网络管理协议(SNMP),并支持管理信息库(MIB),利用图形化,可视化管理界面和操作方式,易于管理,这也正体现出了实用性原则,合理的网络规划策略,可提供强大的管理
功能,能使管理一体化进行,这就便于日后的校园网更新与维护
(4)网络安全性原则
1.对物理层及网络拓扑结构,操作系统及应用软件要求具备相应的安全检测机制,边界网关应该构筑防火墙,安装杀毒软件,对网关路由器进行必要的安全性过滤,如访问控制列表ACL配置,用户身份认证,数据加密,密钥等技术来实现校园园区网的安全化
2.采用静态虚拟局域网技术(静态VLAN)加强内网的管理,因为VLAN是基于逻辑划分而非物理地理划分,这就有效的控制了各个网段的相互访问,从而保证了内网的安全性,同时VLAN又可抑制不必要的广播,从而节约了带宽,又便于管理
3.以TCP/IP四层网际模型为框架建立持续过程的网络安全性措施运行机制,做到维护网络,监测网络,测试网络,改进网络四位一体的网络持续性保卫工作,它是网络安全性管理的核心思想,如图所示:
应用层
传输层
网际层
internet层
网络接入
图(1)以TCP/IP模型构建持续性网络安全管理方式
3. 总结失败项目,明确网络规划的必要性
当前很多学校纷纷建立自己的校园网,但由于组网设计前期规划工作做的不彻底,不扎实,使得校园
网发挥效益不大,巨大的投资没有换来实实在在的成效收益。这一点在中小学校园网建设上体现的较为明显,其原因主要三点:
(1)认识不到为
学校对校园网概念定义缺乏认识,带有盲目性和自我偏见性,没有明确建校园网的目的,不晓得校
园网到底起什么样的实质性作用。
(2)投资方案不合理
由于对校园园区网建设认识不正确,使得很多学校出现“重硬件,轻软件”的现象,结果校园园区网建设成了基于硬件设备的校园网组网解决方案,是纯粹的设备集合。而对建网后的维护极不重视,后期的管理投入所占比例微乎其微,所以使得校园网不能很好的服务与教学和管理,甚至还会使整个网络趋于崩溃。
(3)缺乏有效的组织管理和实施手段
校园园区网的建设不仅仅涉及到技术问题,还会引起更深层次的变革,而学校在建设校园园区网时,认识不充分,在新技术,新思想面前不能及时转变观念,没有行之有效的组织管理和实施手段。
基于上述三点指出:盲目的进行校园网建设,不采取合理的规划,都会导致校园网建设失败,一个成功的校园网规划应当是集稳定开放的网络平台,量身定制的应用软件,有效的组织实施方案三位于一体的的校园园区网建设过程。
4. 总结
校园园区网应顺应时代教育思想的革命,在网络技术上具备响应的本质特征,教育的一个基本特征是打破时间和地域的限制,面向全体社会成员,这就要求规划校园园区网络时必须站的高,看的远,时刻明确思想定位和技术定位,本文主要探讨了如何行之有效的规划一个满足教学,科研,管理全方面高效新型校园园区网,并指明规划思想。总之,未来校园园区局域网的规划目标,规划方向应该是建成一个集IP服务,宽带光传输且提供服务的运营级多功能网络
参考文献:[1]王竹林等 . 校园网组网与管理<M> 清华大学出版社 . 2001出版
[2]思科网络技术教程(三. 四)学期 人民邮电出版社 2002出版
[3]http://www.net130.com.cn
[4]方东权 . 杨岿 . 校园网络安全与管理[J]. 网络安全与技术 2005第51期
❹ 机关内部建立局域网,求如何操作。
第一章 总则
本方案为某大型局域网网络安全解决方案,包括原有网络系统分析、安全需求分析、安全目标的确立、安全体系结构的设计、等。本安全解决方案的目标是在不影响某大型企业局域网当前业务的前提下,实现对他们局域网全面的安全管理。
1.将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络,减少网络的安全风险。
2.定期进行漏洞扫描,审计跟踪,及时发现问题,解决问题。
3.通过入侵检测等方式实现实时安全监控,提供快速响应故障的手段,同时具备很好的安全取证措施。
4.使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态,最大限度地减少损失。
5.在工作站、服务器上安装相应的防病毒软件,由中央控制台统一控制和管理,实现全网统一防病毒。
第二章 网络系统概况
2.1 网络概况
这个企业的局域网是一个信息点较为密集的千兆局域网络系统,它所联接的现有上千个信息点为在整个企业内办公的各部门提供了一个快速、方便的信息交流平台。不仅如此,通过专线与Internet的连接,打通了一扇通向外部世界的窗户,各个部门可以直接与互联网用户进行交流、查询资料等。通过公开服务器,企业可以直接对外发布信息或者发送电子邮件。高速交换技术的采用、灵活的网络互连方案设计为用户提供快速、方便、灵活通信平台的同时,也为网络的安全带来了更大的风险。因此,在原有网络上实施一套完整、可操作的安全解决方案不仅是可行的,而且是必需的。
2.1.1 网络概述
这个企业的局域网,物理跨度不大,通过千兆交换机在主干网络上提供1000M的独享带宽,通过下级交换机与各部门的工作站和服务器连结,并为之提供100M的独享带宽。利用与中心交换机连结的Cisco 路由器,所有用户可直接访问Internet。
2.1.2 网络结构
这个企业的局域网按访问区域可以划分为三个主要的区域:Internet区域、内部网络、公开服务器区域。内部网络又可按照所属的部门、职能、安全重要程度分为许多子网,包括:财务子网、领导子网、办公子网、市场部子网、中心服务器子网等。在安全方案设计中,我们基于安全的重要程度和要保护的对象,可以在 Catalyst 型交换机上直接划分四个虚拟局域网(VLAN),即:中心服务器子网、财务子网、领导子网、其他子网。不同的局域网分属不同的广播域,由于财务子网、领导子网、中心服务器子网属于重要网段,因此在中心交换机上将这些网段各自划分为一个独立的广播域,而将其他的工作站划分在一个相同的网段。(图省略)
2.2 网络应用
这个企业的局域网可以为用户提供如下主要应用:
1.文件共享、办公自动化、WWW服务、电子邮件服务;
2.文件数据的统一存储;
3.针对特定的应用在数据库服务器上进行二次开发(比如财务系统);
4.提供与Internet的访问;
5.通过公开服务器对外发布企业信息、发送电子邮件等;
2.3 网络结构的特点
在分析这个企业局域网的安全风险时,应考虑到网络的如下几个特点:
1.网络与Internet直接连结,因此在进行安全方案设计时要考虑与Internet连结的有关风险,包括可能通过Internet传播进来病毒,黑客攻击,来自Internet的非授权访问等。
。
2.网络中存在公开服务器,由于公开服务器对外必须开放部分业务,因此在进行安全方案设计时应该考虑采用安全服务器网络,避免公开服务器的安全风险扩散到内部。
3.内部网络中存在许多不同的子网,不同的子网有不同的安全性,因此在进行安全方案设计时,应考虑将不同功能和安全级别的网络分割开,这可以通过交换机划分VLAN来实现。
4.网络中有二台应用服务器,在应用程序开发时就应考虑加强用户登录验证,防止非授权的访问。
总而言之,在进行网络方案设计时,应综合考虑到这个企业局域网的特点,根据产品的性能、价格、潜在的安全风险进行综合考虑。
第三章 网络系统安全风险分析
随着Internet网络急剧扩大和上网用户迅速增加,风险变得更加严重和复杂。原来由单个计算机安全事故引起的损害可能传播到其他系统,引起大范围的瘫痪和损失;另外加上缺乏安全控制机制和对Internet安全政策的认识不足,这些风险正日益严重。
针对这个企业局域网中存在的安全隐患,在进行安全方案设计时,下述安全风险我们必须要认真考虑,并且要针对面临的风险,采取相应的安全措施。下述风险由多种因素引起,与这个企业局域网结构和系统的应用、局域网内网络服务器的可靠性等因素密切相关。下面列出部分这类风险因素:
网络安全可以从以下三个方面来理解:1 网络物理是否安全;2 网络平台是否安全;3 系统是否安全;4 应用是否安全;5 管理是否安全。针对每一类安全风险,结合这个企业局域网的实际情况,我们将具体的分析网络的安全风险。
3.1物理安全风险分析
网络的物理安全的风险是多种多样的。
网络的物理安全主要是指地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁;电磁干扰;线路截获。以及高可用性的硬件、双机多冗余的设计、机房环境及报警系统、安全意识等。它是整个网络系统安全的前提,在这个企业区局域网内,由于网络的物理跨度不大,,只要制定健全的安全管理制度,做好备份,并且加强网络设备和机房的管理,这些风险是可以避免的。
3.2网络平台的安全风险分析
网络结构的安全涉及到网络拓扑结构、网络路由状况及网络的环境等。
公开服务器面临的威胁
这个企业局域网内公开服务器区(WWW、EMAIL等服务器)作为公司的信息发布平台,一旦不能运行后者受到攻击,对企业的声誉影响巨大。同时公开服务器本身要为外界服务,必须开放相应的服务;每天,黑客都在试图闯入Internet节点,这些节点如果不保持警惕,可能连黑客怎么闯入的都不知道,甚至会成为黑客入侵其他站点的跳板。因此,规模比较大网络的管理人员对Internet安全事故做出有效反应变得十分重要。我们有必要将公开服务器、内部网络与外部网络进行隔离,避免网络结构信息外泄;同时还要对外网的服务请求加以过滤,只允许正常通信的数据包到达相应主机,其他的请求服务在到达主机之前就应该遭到拒绝。
整个网络结构和路由状况
安全的应用往往是建立在网络系统之上的。网络系统的成熟与否直接影响安全系统成功的建设。在这个企业局域网络系统中,只使用了一台路由器,用作与Internet连结的边界路由器,网络结构相对简单,具体配置时可以考虑使用静态路由,这就大大减少了因网络结构和网络路由造成的安全风险。
3.3系统的安全风险分析
所谓系统的安全显而易见是指整个局域网网络操作系统、网络硬件平台是否可靠且值得信任。
网络操作系统、网络硬件平台的可靠性:对于中国来说,恐怕没有绝对安全的操作系统可以选择,无论是Microsoft的Windows NT 或者其他任何商用UNIX操作系统,其开发厂商必然有其Back-Door。我们可以这样讲:没有完全安全的操作系统。但是,我们可以对现有的操作平台进行安全配置、对操作和访问权限进行严格控制,提高系统的安全性。因此,不但要选用尽可能可靠的操作系统和硬件平台。而且,必须加强登录过程的认证(特别是在到达服务器主机之前的认证),确保用户的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。
3.4应用的安全风险分析
应用系统的安全跟具体的应用有关,它涉及很多方面。应用系统的安全是动态的、不断变化的。应用的安全性也涉及到信息的安全性,它包括很多方面。
应用系统的安全动态的、不断变化的:应用的安全涉及面很广,以目前Internet上应用最为广泛的E-mail系统来说,其解决方案有几十种,但其系统内部的编码甚至编译器导致的BUG是很少有人能够发现的,因此一套详尽的测试软件是相当必须的。但是应用系统是不断发展且应用类型是不断增加的,其结果是安全漏洞也是不断增加且隐藏越来越深。因此,保证应用系统的安全也是一个随网络发展不断完善的过程。
应用的安全性涉及到信息、数据的安全性:信息的安全性涉及到:机密信息泄露、未经授权的访问、破坏信息完整性、假冒、破坏系统的可用性等。由于这个企业局域网跨度不大,绝大部分重要信息都在内部传递,因此信息的机密性和完整性是可以保证的。对于有些特别重要的信息需要对内部进行保密的(比如领导子网、财务系统传递的重要信息)可以考虑在应用级进行加密,针对具体的应用直接在应用系统开发时进行加密。
3.5管理的安全风险分析
管理是网络安全中最重要的部分
管理是网络中安全最最重要的部分。责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。责权不明,管理混乱,使得一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地,或者员工有意无意泄漏他们所知道的一些重要信息,而管理上却没有相应制度来约束。
当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警。同时,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为。
建立全新网络安全机制,必须深刻理解网络并能提供直接的解决方案,因此,最可行的做法是管理制度和管理解决方案的结合。
3.6黑客攻击
黑客们的攻击行动是无时无刻不在进行的,而且会利用系统和管理上的一切可能利用的漏洞。公开服务器存在漏洞的一个典型例证,是黑客可以轻易地骗过公开服务器软件,得到Unix的口令文件并将之送回。黑客侵入UNIX服务器后,有可能修改特权,从普通用户变为高级用户,一旦成功,黑客可以直接进入口令文件。黑客还能开发欺骗程序,将其装入UNIX服务器中,用以监听登录会话。当它发现有用户登录时,便开始存储一个文件,这样黑客就拥有了他人的帐户和口令。这时为了防止黑客,需要设置公开服务器,使得它不离开自己的空间而进入另外的目录。另外,还应设置组特权,不允许任何使用公开服务器的人访问WWW页面文件以外的东西。在这个企业的局域网内我们可以综合采用防火墙技术、Web页面保护技术、入侵检测技术、安全评估技术来保护网络内的信息资源,防止黑客攻击。
3.7通用网关接口(CGI)漏洞
有一类风险涉及通用网关接口(CGI)脚本。许多页面文件和指向其他页面或站点的超连接。然而有些站点用到这些超连接所指站点寻找特定信息。搜索引擎是通过 CGI脚本执行的方式实现的。黑客可以修改这些CGI脚本以执行他们的非法任务。通常,这些CGI脚本只能在这些所指WWW服务器中寻找,但如果进行一些修改,他们就可以在WWW服务器之外进行寻找。要防止这类问题发生,应将这些CGI脚本设置为较低级用户特权。提高系统的抗破坏能力,提高服务器备份与恢复能力,提高站点内容的防篡改与自动修复能力。
3.8恶意代码
恶意代码不限于病毒,还包括蠕虫、特洛伊木马、逻辑炸弹、和其他未经同意的软件。应该加强对恶意代码的检测。
3.9病毒的攻击
计算机病毒一直是计算机安全的主要威胁。能在Internet上传播的新型病毒,例如通过E-Mail传播的病毒,增加了这种威胁的程度。病毒的种类和传染方式也在增加,国际空间的病毒总数已达上万甚至更多。当然,查看文档、浏览图像或在Web上填表都不用担心病毒感染,然而,下载可执行文件和接收来历不明的E-Mail文件需要特别警惕,否则很容易使系统导致严重的破坏。典型的“CIH”病毒就是一可怕的例子。
3.10不满的内部员工
不满的内部员工可能在WWW站点上开些小玩笑,甚至破坏。不论如何,他们最熟悉服务器、小程序、脚本和系统的弱点。对于已经离职的不满员工,可以通过定期改变口令和删除系统记录以减少这类风险。但还有心怀不满的在职员工,这些员工比已经离开的员工能造成更大的损失,例如他们可以传出至关重要的信息、泄露安全重要信息、错误地进入数据库、删除数据等等。
3.11网络的攻击手段
一般认为,目前对网络的攻击手段主要表现在:
非授权访问:没有预先经过同意,就使用网络或计算机资源被看作非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。它主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
信息泄漏或丢失:指敏感数据在有意或无意中被泄漏出去或丢失,它通常包括,信息在传输中丢失或泄漏(如"黑客"们利用电磁泄漏或搭线窃听等方式可截获机密信息,或通过对信息流向、流量、通信频度和长度等参数的分析,推出有用信息,如用户口令、帐号等重要信息。),信息在存储介质中丢失或泄漏,通过建立隐蔽隧道等窃取敏感信息等。
破坏数据完整性:以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;恶意添加,修改数据,以干扰用户的正常使用。
拒绝服务攻击:它不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。
利用网络传播病毒:通过网络传播计算机病毒,其破坏性大大高于单机系统,而且用户很难防范。
第四章 安全需求与安全目标
4.1安全需求分析
通过前面我们对这个企业局域网络结构、应用及安全威胁分析,可以看出其安全问题主要集中在对服务器的安全保护、防黑客和病毒、重要网段的保护以及管理安全上。因此,我们必须采取相应的安全措施杜绝安全隐患,其中应该做到:
公开服务器的安全保护
防止黑客从外部攻击
入侵检测与监控
信息审计与记录
病毒防护
数据安全保护
数据备份与恢复
网络的安全管理
针对这个企业局域网络系统的实际情况,在系统考虑如何解决上述安全问题的设计时应满足如下要求:
1.大幅度地提高系统的安全性(重点是可用性和可控性);
2.保持网络原有的能特点,即对网络的协议和传输具有很好的透明性,能透明接入,无需更改网络设置;
3.易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;
4.尽量不影响原网络拓扑结构,同时便于系统及系统功能的扩展;
5.安全保密系统具有较好的性能价格比,一次性投资,可以长期使用;
6.安全产品具有合法性,及经过国家有关管理部门的认可或认证;
7.分布实施。
4.2网络安全策略
安全策略是指在一个特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则。该安全策略模型包括了建立安全环境的三个重要组成部分,即:
威严的法律:安全的基石是社会法律、法规、与手段,这部分用于建立一套安全管理标准和方法。即通过建立与信息安全相关的法律、法规,使非法分子慑于法律,不敢轻举妄动。
先进的技术:先进的安全技术是信息安全的根本保障,用户对自身面临的威胁进行风险评估,决定其需要的安全服务种类,选择相应的安全机制,然后集成先进的安全技术。
严格的管理:各网络使用机构、企业和单位应建立相宜的信息安全管理办法,加强内部管理,建立审计和跟踪体系,提高整体信息安全意识。
4.3系统安全目标
基于以上的分析,我们认为这个局域网网络系统安全应该实现以下目标:
建立一套完整可行的网络安全与网络管理策略
将内部网络、公开服务器网络和外网进行有效隔离,避免与外部网络的直接通信
建立网站各主机和服务器的安全保护措施,保证他们的系统安全
对网上服务请求内容进行控制,使非法访问在到达主机前被拒绝
加强合法用户的访问认证,同时将用户的访问权限控制在最低限度
全面监视对公开服务器的访问,及时发现和拒绝不安全的操作和黑客攻击行为
加强对各种访问的审计工作,详细记录对网络、公开服务器的访问行为,形成完 整的系统日志
备份与灾难恢复——强化系统备份,实现系统快速恢复
加强网络安全管理,提高系统全体人员的网络安全意识和防范技术
第五章 网络安全方案总体设计
5.1安全方案设计原则
在对这个企业局域网网络系统安全方案设计、规划时,应遵循以下原则:
综合性、整体性原则:应用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络,包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。
需求、风险、代价平衡的原则:对任一网络,绝对安全难以达到,也不一定是必要的。对一个网络进行实际额研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。
一致性原则:一致性原则主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。安全的网络系统设计(包括初步或详细设计)及实施计划、网络验证、验收、运行等,都要有安全的内容光焕发及措施,实际上,在网络建设的开始就考虑网络安全对策,比在网络建设好后再考虑安全措施,不但容易,且花费也小得多。
易操作性原则:安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,措施的采用不能影响系统的正常运行。
分步实施原则:由于网络系统及其应用扩展范围广阔,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实施,即可满足网络系统及信息安全的基本需求,亦可节省费用开支。
多重保护原则:任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
可评价性原则:如何预先评价一个安全设计并验证其网络的安全性,这需要通过国家有关网络信息安全测评认证机构的评估来实现。
5.2安全服务、机制与技术
安全服务:安全服务主要有:控制服务、对象认证服务、可靠性服务等;
安全机制:访问控制机制、认证机制等;
安全技术:防火墙技术、鉴别技术、审计监控技术、病毒防治技术等;在安全的开放环境中,用户可以使用各种安全应用。安全应用由一些安全服务来实现;而安全服务又是由各种安全机制或安全技术来实现的。应当指出,同一安全机制有时也可以用于实现不同的安全服务。
第六章 网络安全体系结构
通过对网络的全面了解,按照安全策略的要求、风险分析的结果及整个网络的安全目标,整个网络措施应按系统体系建立。具体的安全控制系统由以下几个方面组成:物理安全、网络安全、系统安全、信息安全、应用安全和安全管理
6.1物理安全
保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提,物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。 它主要包括三个方面:
环境安全:对系统所在环境的安全保护,如区域保护和灾难保护;(参见国家标准GB50173-93《电子计算机机房设计规范》、国标GB2887-89《计算站场地技术条件》、GB9361-88《计算站场地安全要求》
设备安全:主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等;
媒体安全:包括媒体数据的安全及媒体本身的安全。
在网络的安全方面,主要考虑两个大的层次,一是整个网络结构成熟化,主要是优化网络结构,二是整个网络系统的安全。
6.2.1网络结构
安全系统是建立在网络系统之上的,网络结构的安全是安全系统成功建立的基础。在整个网络结构的安全方面,主要考虑网络结构、系统和路由的优化。
网络结构的建立要考虑环境、设备配置与应用情况、远程联网方式、通信量的估算、网络维护管理、网络应用与业务定位等因素。成熟的网络结构应具有开放性、标准化、可靠性、先进性和实用性,并且应该有结构化的设计,充分利用现有资源,具有运营管理的简便性,完善的安全保障体系。网络结构采用分层的体系结构,利于维护管理,利于更高的安全控制和业务发展。
网络结构的优化,在网络拓扑上主要考虑到冗余链路;防火墙的设置和入侵检测的实时监控等。
6.2.2网络系统安全
6.2.2.1 访问控制及内外网的隔离
访问控制
访问控制可以通过如下几个方面来实现:
1.制订严格的管理制度:可制定的相应:《用户授权实施细则》、《口令字及帐户管理规范》、《权限管理制度》。
2.配备相应的安全设备:在内部网与外部网之间,设置防火墙实现内外网的隔离与访问控制是保护内部网安全的最主要、同时也是最有效、最经济的措施之一。防火墙设置在不同网络或网络安全域之间信息的唯一出入口。
防火墙主要的种类是包过滤型,包过滤防火墙一般利用IP和TCP包的头信息对进出被保护网络的IP包信息进行过滤,能根据企业的安全政策来控制(允许、拒绝、监测)出入网络的信息流。同时可实现网络地址转换(NAT)、审记与实时告警等功能。由于这种防火墙安装在被保护网络与路由器之间的通道上,因此也对被保护网络和外部网络起到隔离作用。