大型企业网络安全探索与研究

篇一：大型企业网络安全解决方案

大型企业网络安全解决方案 1. 前言

随着网络应用的日益广泛，各种大型企业或单位也将通过网络与用户及其他相关行业系统之间进行交流，提供各种网上的信息服务，但这些网络用户中，不乏竞争对手和恶意破坏者，这些人可能会不断地寻找系统内部网络上的漏洞，企图潜入内部网络。一旦网络被人攻破，机密的数据、资料可能会被盗取、网络可能会被破坏，给系统带来难以预测的损失。因此，防火墙便成为网络安全必不可少的产品，天网防火墙在系统网络与外部网络用户之间建起了一道安全的屏障，从而有效地抵御外来攻击，防止不法分子的入侵。

2. 产品特性说明

软硬件一体化的结构

防火墙对于用户来说，只是一个类似路由器的硬件设备，整体系统采用黑盒设计，防火墙系统与硬件紧密结合，发挥硬件最高效能，减少由于操作系统问题而产生网络漏洞的可能，提高系统自身安全性。

快速安装功能

传统的防火墙在安装时极为麻烦，首先需要安装操作系统，调整网络参数，安装防火墙软件，然后进行网络参数设置，系统管理员如果没有经过专门的培训，在短时间内装好防火墙几乎是不可能的事情。天网防火墙I具有快速安装特性，可以实现从上架安装、连接网线、上电、参数设置完毕整个过程不超过15分钟。

基于浏览器的Web管理界面

通常一个小型企业并没有一个防火墙专家来专门负责防火墙方面的工作，天网防火墙具有多语言支持简单易用的Web设置界面，令管理员熟练地掌握系统的时间大大减少，操作简单、管理方便，只要具有一定网络相关知识的人即可胜任。

完善的访问控制功能

天网防火墙灵活完善的网络访问控制，不仅包括现有的所有网络服务，同时可以兼顾将来各种新的网络服务，在有效地保障企业网络安全的前提下又能保证各种网络服务的畅通无阻。

MAC地址绑定

天网防火墙所具有的MAC地址绑定功能可以很好地解决内部网络在地址资源的分配问题。当网络用户被分配或自行设定一个IP地址以后，防火墙系统就能接收到相应的地址广播，在防火墙系统上列出相应的IP地址与MAC地址，并可以选择是否把这个IP地址与相应的MAC地址绑定，这样可限定IP地址只能在一台指定的工作站上使用，既可以防止IP地址冒用，又大大方便了日常网络的IP地址管理。

支持第三区域网络

在只拥有一套传统防火墙的情况下，通常无法实现对多个网络的同时保护，天网防火墙附加

的第三个网络接口的灵活的规则可轻松地处理好3个物理网络间的关系，不但节省了企业的投资，还同时保护了多个网络的安全，，而且可以避免因为内部网络的不当操作而影响服务器的正常运作。

NAT方式节省网络地址资源

对于一个小型网络来说，申请的IP地址不会太多，如果网络中的每一台设备都需要一个IP地址，会造成IP地址的严重不足。 天网防火墙提供的网络地址转换（Network Address Translation）功能不仅可以隐藏内部网路地址信息，使外界无法直接访问内部网络设备，同时，它还帮助网络可以超越地址的限制，合理地安排网络中的公有Internet 地址和私有IP地址的使用。通过NAT功能，天网防火墙系统可以帮助采用私有地址的内部网用户顺利的访问Internet的信息资源，不但不会造成任何网络应用的阻碍，同时还大量节省了网络地址资源。

3. 天网网络安全解决方案

3.1 用户需求分析

按照服务性质和管理区域划分，用户网络主要分为三个部分： 1、内部网络。提供内部用户日常办公操作环境。 2、DMZ网络。提供各种信息服务。 3、外部网络。提供到Internet连接。

主要应用类型包括： 1、大型企业内部信息发布 2、Internet应用

安全策略为先关闭全部服务和端口，再开放部分服务和端口。

3.2 网络结构

根据企业的网络状况，我们建议使用基于天网防火墙企业－II型防火墙的安全解决方案。下图为本建议方案的网络拓扑示意图。

方案将现有网络划分为物理上相互独立的三个网段： 1、公共网段（Public_Nework） 2、停火区网段（DMZ_Network）3、 私有网段（Private_Network）

其中，公共网段提供面向Internet的广域网连接和其他各行访问的支持；停火区网段安放各种数据库、FTP/Web服务器和企业内部业务信息服务器，提供多种面向Internet的应用服务；内部私有网段保障本地用户安全地访问外部网络资源，以及对停火区内各服务提供设备进行更新和维护。

3.3 安全策略

目的：1、 划分安全区域。2、制订安全策略，包括用户访问控制，定义访问级别，确定服务类型。3、 审核和过滤，仅符合安全策略的访问和响应过程可以通过，拒绝其他访问请求。

根据对用户需求的分析，企业内部网络可以划分为以下几个安全区域：1、 内部网段 2、公共网段 3、外部网段。分属三个安全区域的网段通过天网防火墙进行互连。

No.

安全区域

安全级别

访问级别

1

外部网段

低级

无。提供网络连接。

2

公共网段

中级

外部可访问符合安全策略的网络资源；内部可以更新和维护。 3

内部网段

高级

可自由访问外部网络资源；对外不可见。

现有需要进行审核和过滤的应用和服务类型包括：

服务类型

端口范围/协议类型

说明

DNS

53, tcp/udp

域名服务

WWW

80, tcp

WWW服务

SMTP/POP3

25/110, tcp

电子邮件

FTP

21/20, tcp

文件传输服务

Etc

自定义

用户自定义

4. 防火墙配置方案

根据网络安全解决方案中的用户需求、网络拓扑以及制定的安全策略，置方案：

类别

项目

IP地址/掩码

说明

Networks 防火墙采取以下配

Pubic_Network Internal_Network 202.96.151.206/30 10.232.0.0/20 10.43.10.0/24 外部网络

内部网络

Interfaces

Serial 0

Ethernet 0

fxp2

fxp1

fxp0

unnumbered Ethernet 0 202.96.151.207/30 202.103.64.58/30 192.168.0.0/24 10.0.0.0/24

2511路由器广域网接口 2511路由器局域网接口 连接到外部网络 连接到公共网络 连接到内部网络 公共服务器

Web

DNS

Mail

Ftp

192.168.0.2/24 192.168.0.3/24 192.168.0.4/24 192.168.0.5/24

内部工作站

CONSOLE

10.0.0.1/24

网管工作站

4.2系统设置

路由设置

目的网络/掩码 网关地址

篇二：中小型企业网络安全现状分析

中小型企业网络安全现状分析

【摘要】随着计算机技术突飞猛进的发展，互联网上的应用也越来越广泛，在网络环境下运行的各种应用系统越来越多，通过网络传输的各种信息也在不断增加。中小型企业网络存在的安全隐患越来越大。

【关键词】中小型企业;网络安全;现状

随着计算机技术的飞速发展，通过网络传输的各种信息越来越多，各种计算机应用系统都在网络环境下运行。目前中小型企业许多重要信息都存储在网络服务器中，因此网络系统的安全至关重要。但是，由于在早期网络协议设计上对安全问题的忽视，以及在管理和使用上的无序状态，使网络自身安全受到严重威胁。中小型企业在网络安全上同样面临许多问题，例如邮件传输安全问题，大量垃圾邮件攻击问题，病毒传播问题，信息资源非法访问等问题。

1.中小型企业网络安全存在的问题分析

（1）弱口令造成信息泄露的威胁

由于中小型企业应用系统较多，部分员工安全意识淡薄，许多应用系统登陆密码非常简单，复杂度不够，使系统密码容易被破译。中小型企业目前使用的各类系统较多，包括邮件、ERP、内部办公网，电子商务系统等，面对众多的系统，员工要设置各类账户的密码，非常繁琐，而且不便于记忆，因此许多员工将密码设置为简单密码，并且长期不对密码进行更改。这样容易产生信息泄露问题，一些攻击者会窃取密码，非法进入系统获取系统资料。如果重要资料被窃取，将会产生严重后果。

（2）网络病毒的威胁

中小型企业员工数量较多，绝大多数员工都配有单独使用的计算机，并且所有计算机都可以访问互联网。员工根据自己的情况自行安装防病毒系统，由于员工对病毒预防知识和防病毒软件的使用方法掌握情况不同，部分员工不能够正确使用防病毒系统，不能够保证防病毒代码和病毒库的及时更新，因此容易造成计算机感染病毒。当感染病毒的机器增多后，会引起部分网络或者整个网络速度急剧下降甚至瘫痪，造成许多员工无法正常上网。部分员工的计算机由于感染病毒

而无法正常工作，有些计算机还出现计算机数据丢失等问题，严重影响公司员工正常工作。另外感染病毒的员工因重装系统而占用许多工作时间，影响工作的正常进行。

（3）企业主干网没有划分VLAN

中小型企业网络系统庞大，众多计算机都在同一网段上，系统没有划分

篇三：企业局域网信息安全研究

企业局域网信息安全研究

摘要随着企业局域网重要性提高,其信息安全问题日益显著。分析探讨企业局域网信息安全的内容、信息安全的现状,总结十大解决局域网信息安全问题的网络信息安全技术。

关键词局域网;信息安全

0引言

企业局域网是指局在企业范围内由通过网络设备和通信线路连接起来由多台计算机。企业局域网是自治的计算机网络,一般只对企业内部提供资源共享、信息传递功能,实现电子邮件、内部网站、企业办公自动化等应用。

近年来我国企业信息化发展迅速,企业局域网作为信息化的基础更是得到普遍应用,有中小企业的几台计算机简单联接,也有大型企业在全国乃至全球范围内通过通信专线或虚拟专用网(VPN)实现的成千上万台计算机联网。虽然企业局域网在规模和实现技术上差异很大,但其面向企业内部提供信息服务的功能是一致的。

1信息安全的主要内容和目标

信息安全是指信息网络的硬件、软件及系统中的数据受到保护,不受偶然的或者恶意的原因而找到破坏、更改或泄漏,信息网络服务不中断的可靠运行。信息安全的实现包含三个层次:①物理安全层次,包括机房,线路,主机等的实体安全,如防盗防火;②网络安全层次,主要是网络的安全畅通和保密;③应用安全层次,各类服务应用的安全可用。

信息安全目标就是保证信息网络的安全可用,具体来看则包括以下几点:①信息来源真实性,能对信息来源进行鉴别,能够判断伪造信息来源;②信息安全保密性,保证机密信息不被泄漏;③信息数据完整性,保证信息数据的一致性,防止非法篡改;④信息服务可用性,保证信息、资源或服务能为合法用户连续正常使用;⑤防抵赖性,使用户不能否认其行为,这点在电子商务中尤其重要;⑥信息可控性,能够有效控制信息的内容和传播;⑦可审查性,出现信息安全问题时能提供调查依据和手段。

2企业局域网信息安全风险

随着企业局域网应用的增加,很大的提高了企业的生产率,同时企业对局域网的依赖也越来越强。很多企业局域网一旦中断,整个业务都将陷入瘫痪。实际使用中企业局域网信息安全面临着多种多样的挑战,主要的安全风险可以归结为以下几类:

《大型企业网络安全探索与研究》出自：百味书屋
链接地址：http://www.850500.com/news/12563.html
转载请保留,谢谢!