公司網路安全設計方案

天津電子資訊職業技術學院

暨國家示範性軟體職業技術學院

實訓報告

實訓題目：網路安全管理

華城公司網路安全管理方案

姓名系別

專業班級

指導教師

實訓時間：2023年 6 月 4 日至 2023年 6 月 15 日

第一章需求分析

1.1 公司目標的需求

1.2 公司網路安全需求

1.3 需求分析

第二章網路安全的設計

2.1 網路設計主要功能

2.2 網路設計原則

2.3 網路的設計

2.3.1 物理裝置安全的設計

2.3.2 內部網的設計

2.3.3 通訊保密

2.3.4 病毒防護

2.3.5 應用安全

2.3.6 配置防火牆

2.3.7 網路結構

第三章系統安全架構

3.1 系統設計

3.2 系統組建

第四章資料安全設計

4.1 資料層的架構

4.2 資料安全測試

第五章安全裝置選型

5.1 裝置選型

5.2 明細表

總結致謝

參考文獻

1.1 公司目標的需求

華城網路****是一家有100名員工的中小型網路公司，主要以手機應用開發為主營專案的軟體企業。公司有乙個區域網，約100臺計算機，伺服器的作業系統是 windows server 2003,客戶機的作業系統是 windows xp，在工作組的模式下一人一機辦公。公司對網路的依賴性很強，主要業務都要涉及網際網路以及內部網路。

隨著公司的發展現有的網路安全已經不能滿足公司的需要，因此構建健全的網路安全體系是當前的重中之重。

1.2 公司網路安全需求

華城網路****根據業務發展需求，建設乙個小型的企業網，有web、mail等伺服器和辦公區客戶機。企業分為財務部門和業務部門，需要他們之間相互隔離。同時由於考慮到inte***er的安全性，以及網路安全等一些因素，如ddos、arp等。

因此本企業的網路安全構架要求如下：

（1）根據公司現有的網路裝置組網規劃

（2）保護網路系統的可用性

（3）保護網路系統服務的連續性

（4）防範網路資源的非法訪問及非授權訪問

（5）防範入侵者的惡意攻擊與破壞

（6）保護企業資訊通過網上傳輸過程中的機密性、完整性

（7）防範病毒的侵害

（8）實現網路的安全管理。

1.3 需求分析

通過了解華城網路公司的需求與現狀，為實現華城網路公司的網路安全建設實施網路系統改造，提高企業網路系統執行的穩定性，保證企業各種設計資訊的安全性，避免圖紙、文件的丟失和外洩。通過軟體或安全手段對客戶端的計算機

加以保護，記錄使用者對客戶端計算機中關鍵目錄和檔案的操作，使企業有手段對

使用者在客戶端計算機的使用情況進行追蹤，防範外來計算機的侵入而造成破壞。通過網路的改造，使管理者更加便於對網路中的伺服器、客戶端、登陸使用者的許可權以及應用軟體的安裝進行全面的監控和管理。因此需要

2.1 網路設計主要功能

（1）資源共享功能。網路內的各個桌面使用者可共享資料庫、共享印表機，實現辦公自動化系統中的各項功能。

（2）通訊服務功能。終端使用者通過廣域網連線可以收發電子郵件、實現web應用、接入網際網路、進行安全的廣域網訪問。

（3）多**功能。支援多**組播，具有卓越的服務質量保證功能。遠端vpn撥入訪問功能。系統支援遠端***p接入，外地員工可利用inter***訪問。

2.2 網路設計原則

（1）實用性和經濟性。系統建設應始終貫徹面向應用，注重實效的方針，堅持實用、經濟的原則，建設企業的網路系統。

（2）先進性和成熟性。系統設計既要採用先進的概念、技術和方法，又要注意結構、裝置、工具的相對成熟。不但能反映當今的先進水平，而且具有發展潛力，能保證在未來若干年內企業網路仍佔領先地位。

（3）可靠性和穩定性。在考慮技術先進性和開放性的同時，還應從系統結構、技術措施、裝置效能、系統管理、廠商技術支援及維修能力等方面著手，確保系統執行的可靠性和穩定性，達到最大的平均無故障時間，tp-link網路作為國內知名品牌，網路領導廠商，其產品的可靠性和穩定性是一流的。

（4）安全性和保密性。在系統設計中，既考慮資訊資源的充分共享，更要注意資訊的保護和隔離，因此系統應分別針對不同的應用和不同的網路通訊環境，採取不同的措施，包括系統安全機制、資料訪問的許可權控制等，tp-link網路充分考慮安全性，針對小型企業的各種應用，有多種的保護機制，如劃分vlan、mac位址繫結、802.1x、802.

1d等。

（5）可擴充套件性和易維護性。為了適應系統變化的要求，必須充分考慮以最簡便的方法、最低的投資，實現系統的擴充套件和維護，採用可網管產品，降低了人力資源的費用，提高網路的易用性。

2.3 網路的設計

（1）物理位置選擇機房應選擇在具有防震、防風和防雨等能力的建築內；機房的承重要求應滿足設計要求；機房場地應避免設在建築物的高層或地下室，以及用水裝置的下層或隔壁；機房場地應當避開強電場、強磁場、強震動源、強雜訊源、重度環境汙染，易發生火災、水災，易遭受雷擊的地區。

（2）電力**

機房供電應與其他市電供電分開；應設定穩壓器和過電壓防護裝置；應提供短期的備用電力**（如ups裝置）；應建立備用供電系統（如備用發電機），以備常用供電系統停電時啟用。

（3）電磁防護要求

應採用接地方式防止外界電磁干擾和相關伺服器寄生耦合干擾；電源線和通訊線纜應隔離，避免互相干擾。

3.3.2公司內部網的設計

內部辦公自動化網路根據不同使用者安全級別或者根據不同部門的安全需求，利用三層交換機來劃分虛擬子網（vlan），在沒有配置路的情況下，不同虛擬子網間是不能夠互相訪問。通過虛擬子網的劃分,能夠實較粗略的訪問控制[2]。

1、vlan的劃分和位址的分配

經理辦子網(vlan2):192.168.1.0 子網掩碼: 255.255.255.0 閘道器：192.168.1.1

生產子網(vlan3)：192.168.2.0 子網掩碼: 255.255.255.0 閘道器：192.168.2.1

市場子網(vlan4)：192.168.3.0 子網掩碼: 255.255.255.0 閘道器：192.168.3.1

財務子網(vlan5)：192.168.4.0 子網掩碼: 255.255.255.0 閘道器：192.168.4.1

資源子網(vlan6):192.168.5.0 子網掩碼: 255.255.255.0 閘道器：192.168.5.1

2、訪問許可權控制策略

（1）經理辦vlan2可以訪問其餘所有vlan。

（2）財務vlan5可以訪問生產vlan3、市場vlan4、資源vlan6，不可以訪問經理辦vlan2。

（3）市場vlan4、生產vlan3、資源vlan6都不能訪問經理辦vlan2、財務vlan5。

（4）生產vlan4和銷售vlan3可以互訪。

2.3.3 通訊保密

資料的機密性與完整性，主要是為了保護在網上傳送的涉及企業秘密的資訊，經過配備加密裝置，使得在網上傳送的資料是密文形式，而不是明文。可以選擇以下幾種方式：

（1）鏈路層加密

對於連線各涉密網節點的廣域網線路，根據線路種類不同可以採用相應的鏈路級加密裝置，以保證各節點涉密網之間交換的資料都是加密傳送，以防止非授權使用者讀懂、篡改傳輸的資料，如圖3.1所示。

圖3.1鏈路密碼機配備示意圖

鏈路加密機由於是在鏈路級，加密機制是採用點對點的加密、解密。即在有相互訪問需求並且要求加密傳輸的各網點的每條外線線路上都得配一台鏈路加密機。通過兩端加密機的協商配合實現加密、解密過程。

(2)網路層加密

鑑於網路分布較廣，網點較多，而且可能採用ddn、fr等多種通訊線路。如果採用多種鏈路加密裝置的設計方案則增加了系統投資費用，同時為系統維護、公升級、擴充套件也帶來了相應困難。因此在這種情況下我們建議採用網路層加密裝置（vpn），vpn是網路加密機，是實現端至端的加密，即乙個網點只需配備一台vpn加密機。

根據具體策略，來保護內部敏感資訊和企業秘密的機密性、真實性及完整性[3]。ipsec是在tcp/ip體系中實現網路安全服務的重要措施。而vpn裝置正是一種符合ipsec標準的ip協議加密裝置。

它通過利用跨越不安全的公共網路的線路建立ip安全隧道，能夠保護子網間傳輸資訊的機密性、完整性和真實性。經過對vpn的配置，可以讓網路內的某些主機通過加密隧道，讓另一些主機仍以明文方式傳輸，以達到安全、傳輸效率的最佳平衡。一般來說，vpn裝置可以一對一和一對多地執行，並具有對資料完整性的保證功能，它安裝在被保護網路和路由器之間的位置。

裝置配置見下圖。目前全球大部分廠商的網路安全產品都支援ipsec標準。如圖3.

2所示。

公司網路安全設計方案

網路安全設計方案

企業網路安全綜合設計方案

《網路安全與防護》教學設計方案

公司網路安全設計方案

網路安全設計方案

企業網路安全綜合設計方案

《網路安全與防護》教學設計方案

相關推薦