期刊大全 杂志订阅 SCI期刊 投稿指导 期刊服务 文秘服务 出版社 登录/注册 购物车(0)

首页 > 精品范文 > 企业网络设计与实现

企业网络设计与实现精品(七篇)

时间:2023-08-06 10:30:45

序论:写作是一种深度的自我表达。它要求我们深入探索自己的思想和情感,挖掘那些隐藏在内心深处的真相,好投稿为您带来了七篇企业网络设计与实现范文,愿它们成为您写作过程中的灵感催化剂,助力您的创作。

企业网络设计与实现

篇(1)

目前,随着我国现代信息技术的快速发展,很多大型企业的经营管理方式也朝着信息化方向发展。在信息化技术非常发达的现代,一个企业的信息化水平的高低将决定企业竞争力的大小,因此,企业只有掌握较好的网络技术,才能更好地控制企业的机密,从而实现企业的信息化管理。为了进一步提高企业的资源利用管理水平,提高企业的核心竞争力,构建企业网络安全部署具有直接决定作用。

1我国企业网络构架及安全部署的现状

企业网络构架现在已经从以往单一的数据交换发展到综合智能化一体的信息化网络计划,我国企业的网络构架及安全部署现在已经发展了几十年,但是,与西方发达国家相比,我国企业的网络构架及安全部署还存在很大的差距。目前,我国企业已经意识到网络构架及安全部署的重要性,主要是由于企业网络构架对于企业的生产、管理和物流等环节都具有较大的支持作用。企业的管理层对网络构架的设计思想主要反映出企业利用资源的能力,从而保证企业的网络构架是其业务水平的重要保障。我国现在很多企业对网络构架及安全部署的要求越来越高,但是我国企业的网络构架还无法满足现代企业网络构架的高要求。因此,我国企业网络构架及安全部署的不足严重制约了我国企业的长远发展。

2企业网络架构安全部署设计与实现

2.1 网络架构设计思想及原则

我国企业网络架构设计主要是为了实现将不同位置的计算机网络进行互通,这也是企业实现网络构架的基本要求。随着我国企业数据业务的不断发展和改进,企业网络构架的设计要求也变得更高,因而需要从简单的网络构架中设计出服务性更强的网络构架,并且不断向应用型网络构架转变。因此,企业网络构架的设计者在进行网络构架设计时应该充分考虑企业的各种业务需求,以保证企业的网络构架能够满足其长远的发展,从而为企业提供更加方便的管理平台,这也是企业网络构架及安全部署设计的基本思想和原则。

2.2 企业网络架构的实现

当网络构架的基本设计完成后,就应该对设计的模型进行部署和实现,从而使得企业能够更加实际地了解企业的网络构架。

企业网络构架实现的过程一般包括以下几个方面:1)规划企业的IP地址空间范围;2)部署和实现企业核心层的网络构架;3)在核心网络构架的基础上对下层的网络构架进行设计。当然,企业的网络构架的设计一般应该遵循规范性、标准性、连续性和灵活性等原则。

3企业网络构架的故障分析及解决方案

3.1 网络冗余双机部署中的故障

现在,网络设备双机部署过程中,由于路由的配置等技术相对比较成熟,一般不会出现故障和问题。但是,其企业网络构架中防火墙的双机构架的设计和部署时,会出现很多疑难问题。目前,解决这些疑难问题的方法主要包括以下两种:1)移除防火墙之间的交叉冗余链路,同时更改两台防火墙上相同路由开销值,这样可以保证在主防火墙出现故障后,其他防火墙可以安全使用。这种方案可以解决故障,但也存在一定的弊病,主要是指数据负载在主设备上,备用设备一般是出于闲置状态,只有出现故障时才切换到备用设备机;2)采取措施将主防火墙的全部会话列表与备用设备同步,从而使备用设备保持与主设备的防火墙会话列表一致。即使出现数据访问不一致的情况,主设备也不会导致数据发生故障,从而造成多个设备处于故障状态。当然,防火墙会话同步的设计现在已经成为基于会话状态防火墙的解决网络冗余双机部署中故障重要手段和措施。

3.2 网络QOS保障

QOS保障是企业在进行网络构架及安全部署的设计与实现的过程中,对特殊数据进行带宽处理,以实现优先保证的一种有效途径。但是,语音和视频在网络传输的过程中对带宽的延时和抖动的要求比较高,因而需要考虑企业网络分子结构广域网带宽的影响,然后根据流量分析,在带宽能够满足一定要求的情况下,保证视频和语音数据的传输更加顺畅。当然,企业网络架构及安全部署的设计和实现过程中,分支网络构架中的语音和视频数据需要经过各自的核心路由,这样的企业网络构架需要保障企业的语音和视频在网络分子上得到一定的保证。然而,在实际的网络构架部署过程中,由于企业的业务不断增加和网络分支的不断扩展,广域网的数据量也增大,因此,采用QOS来对数据进行保障显得至关重要。

3.3 网络访问安全控制

网络访问安全控制的配置在企业网络构架的部署中非常常见,一般需要采用防火墙进行数据的访问,还需要在路由器上配置一些安全措施,以实现企业能够对数据进行控制。尤其是对于一些防病毒、访问隔离和环路等故障,企业网络访问安全控制很有必要。

篇(2)

关键词:snort;IPTables;Sebek;入侵检测技术;蜜罐系统;信息安全

中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)26-6392-02

作为一种新型的信息安全技术,蜜罐技术不再因循传统信息安全的被动防御体系,它一方面能够作为独立的信息安全工具,另一方面也能够与其它信息安全工具协作。蜜罐技术通过构造网络诱骗环境,来研究网络入侵者的具体技术与行为。传统的网络安全系统往往拘泥于一种体系,该文的创新之处在于研究如何使其它安全技术与蜜罐技术相结合,从而实现一个高交互度级别的蜜罐系统,进而构成统一的网络安全基础设施。

1 网络安全蜜罐系统的理论设计与实现

1.1 系统总体设计

该文所设计的蜜罐系统由三部分构成:网关、监控机和虚拟蜜罐,如图1所示。

网关(HoneyWall)是以桥接模式部署的,网关接口以桥接方式连接,不会提供本身的 MAC 地址,对网络数据包也不会进行网络路由 和TTL递减,网关将控制和审计所有流入流出蜜罐系统的网络流量。

该文所设计的蜜罐系统引入多层次的数据捕获机制,分别是:

1) 防火墙。截获所有IP包,从其传输层协议头 以及IP头中获取相关信息,与事先设定的访问控制规则按顺序依次匹配,并执行其规定的动作。

2) 入侵检测系统。基于Snort的入侵检测系统监听流入流出蜜罐系统的全部网络流量,根据配置,对与Snort攻击特征相匹配的数据包产生报警日志,避免攻击。

3) 系统行为监视器。使用了Sebek来捕获攻击者基于加密信道的攻击行为。在蜜罐主机上以内核模块的方式安装Sebek客户端,在网关上安装Sebek服务端,存储来自多个蜜罐主机发来的Sebek数据。

蜜罐系统在网关上运行IPTables防火墙、Sebek服务端以及网络入侵检测系统Snort。引入VMware虚拟机软件虚拟出分别运行Windows XP和Linux操作系统的两个蜜罐主机,系统结构图如图2所示。

1.2 核心模块的理论分析与设计

1.2.1 数据控制模块

该文引入Linux 开放源代码的自带的防火墙IPTables实现数据控制,系统侦测到数据包的进入时,会通过路由表查询,来决定数据包的流向。接下来,将信息包所传递到的链中的每条规则与数据包的头信息进行比较,看与某条规则是否完全匹配。该文所设计的网络安全蜜罐系统信息包过滤过程如图3所示。

在信息安全主系统上IPTables发挥了两个作用,首先是记录流经主系统的数据流量,其次是限制由蜜罐网络发出的对外连接。引入IPTables的作用就是在数据捕获的同时实现第三方保护,有效的降低整个系统的风险,控制蜜罐的对外连接。

IPTables蜜罐系统中对数据包进行处理时,为减少日志中的冗余信息,对入站连接而言,仅仅对新建的连接进行记录,并默认所有的对内连接均为允许。相反,严格控制出站连接,只要原地址并非蜜罐地址,便记录并丢弃,从而避免由蜜罐发起的IP欺骗攻击;IPTables允许蜜罐系统发送和接收广播包,并使用基于广播的一些服务,从而诱骗黑客相信这是正常的一台服务器;此外,IPTables蜜罐系统对出站的连接数进行限制,从而避免黑客发动DoS攻击,同时也支持对第三方的保护。

1.2.2 入侵检测模块

本系统由Snort来实现轻量级的网络入侵检测。它能够对攻击进行实时报警,检测各种不同的攻击方式。

Snort 在本系统中的主要功能,首先是采集和分析在网关对进出蜜罐系统的数据,实现攻击的检测;其次是控制蜜罐系统的数据,根据策略对数据包进行规则匹配,以判定是否有第三方发起攻击,进行丢弃或修改。

本系统在设计中,将 snort sensor 网卡设置为混杂模式,对进入局域网的数据,引入libpcap抓包函数库的API进行截获和监控,同时通过相应的解包函数逐层按协议栈解码截获的数据包。在此基础上形成可被分析系统识别的数据包。根据 Snort 配置文件进行匹配,并记录匹配结果。图4所示为该文所设计的Snort的结构。

在入侵检测模块中,Snort的规则分析是实现的重点。Snort的规则逻辑由两部分构成,分别是:Rule Option(规则选项)和Rule Header(规则头)。在规则头中,包括所匹配网络报文的协议、规则的行为、目标地址、源地址和源端口和目标端口、网络掩码等信息;在规则选项中,则包含了判定报文是否为攻击报文的信息以及显示给用户查看的警告信息。

1.2.3 数据捕获模块

Sebek 是基于内核的捕获数据的工具,支持系统查看蜜罐的内部活动。

1)基于Sebek的数据记录。

Sebek有两个客户端和服务端组成部分,客户端捕获数据并输出到服务端,服务端收集数据后,既可以马上显示击键记录,也可以上传到相关数据库。该文所涉及的网络安全蜜罐系统数据捕获是通过对系统调用表的read()函数进行替换来进行的。如图5所示。

主要流程为:调用老 read()函数替换新函数,同时在一个数据包缓存拷贝内容,再加上一个数据包头,发送到服务端。通过改变系统调用表的函数指针来实现替换原来的函数。当标准的read()函数被用户空间的进程调用时,便会出发一个系统调用,这个系统调用通过到系统调用表数组映射,导致索引偏移。由于read索引的函数指针被Sebek修改,并指向到它自己的函数,因此Sebek修改后的read调用会在执行到内核的 read 实现时被触发,通过这个系统调用,Sebek便能够访问所有的数据。

2)基于Sebek的数据发送

当数据被Sebek客户端捕获的时候,数据应该在没有被入侵者察觉时就发送到服务端。通常在一个局域网内布置蜜罐,如果给服务端发送数据 只是由Sebek使用 UDP 流来完成,就会使入侵者通过网络上的数据传输监听来判别Sebek是否存在。因此,本设计在使用UDP发送数据给服务端的提示,通过修改内核,使这些数据包无法被用户看到,包括该类型使用相同配置的其它主机发送的数据包。具体的实现为:在任意一个read()调用请求 Sebek的时候,均能够产生日志数据包,每个日志数据包都体现出这个调用访问的数据和调用内容的信息。这些数据包均含有 Sebek 记录,这个Sebek记录包含产生调用的进程数据信息。由于完全由Sebek(而不是使用 TCP/IP 协议栈)产生这些包,因此这些数据包无法被系统看到或阻断。创建好数据包就直接发至驱动设备,而嗅探器的libpcap收集数据包是依赖使用原始套接字接口的,所以由Sebek产生的数据包嗅探器就无法看到了,从而实现了数据发送。

2 结束语

该文在snort入侵检测技术的基础上,研究和设计了一个具有高交互度级别特征的蜜罐信息安全系统,其中,重点阐述了基于蜜罐的数据捕获和数据控制功能的多层次设计上。在分析蜜罐系统的体系结构的基础上,深入研究了对蜜罐系统中使用到的 Snort体系和规则,具有比较好的理论意义和实践价值。

参考文献:

[1] 魏亮,周吉阳. 互联网网络与信息的安全策略[J].通信管理与技术,2011(6):15-18.

[2] 谭红斌,郑鑫. 网络安全防御系统的安全策略及系统框架研究[J].电脑开发与应用,2009,21(11):67-77.

[3] 代平顺,王洪超.互联网网络安全探讨[J].科技信息,2009(17):387-388.

篇(3)

一、企业网络安全风险状况概述

企业网络是在企业范围内,在一定的思想和理论指导下,为企业提供资源共享、信息交流和协同工作的计算机网络。随着我国各地企业网数量的迅速增加,如何实现企业网之间资源共享、信息交流和协同工作以及保证企业网络安全的要求是越来越强烈。与其它网络一样,企业网也同样面临着各种各样的网络安全问题。但是在企业网络建设的过程中,由于对技术的偏好和运营意识的不足,普遍都存在”重技术、轻安全、轻管理”的倾向,随着网络规模的急剧膨胀,网络用户的快速增长,关键性应用的普及和深入,企业网络在企业的信息化建设中已经在扮演了至关重要的角色,作为数字化信息的最重要传输载体,如何保证企业网络能正常的运行不受各种网络黑客的侵害就成为各个企业不可回避的一个紧迫问题,解决网络安全问题刻不容缓,并且逐渐引起了各方面的重视。

由于Internet上存在各种各样不可预知的风险,网络入侵者可以通过多种方式攻击内部网络。此外,由于企业网用户网络安全尚欠缺,很少考虑实际存在的风险和低效率,很少学习防范病毒、漏洞修复、密码管理、信息保密的必备知识以及防止人为破坏系统和篡改敏感数据的有关技术。

因此,在设计时有必要将公开服务器和外网及内部其它业务网络进行必要的隔离,避免网络结构信息外泄;同时还要对网络通讯进行有效的过滤,使必要的服务请求到达主机,对不必要的访问请求加以拒绝。

二、企业网络安全体系结构的设计与构建

网络安全系统的构建实际上是入侵者与反入侵者之间的持久的对抗过程。网络安全体系不是一劳永逸地能够防范任何攻击的完美系统。人们力图建立的是一个网络安全的动态防护体系,是动态加静态的防御,是被动加主动的防御甚至抗击,是管理加技术的完整安全观念。但企业网络安全问题不是在网络中加一个防火墙就能解决的问题,需要有一个科学、系统、全面的网络安全结构体系。

(一)企业网络安全系统设计目标

企业网络系统安全设计的目标是使在企业网络中信息的采集、存储、处理、传播和运用过程中,信息的自由性、秘密性、完整性、共享性等都能得到良好保护的一种状态。在网络上传递的信息没有被故意的或偶然的非法授权泄露、更改、破坏或使信息被非法系统辨识、控制,网络信息的保密性、完整性、可用性、可控性得到良好保护的状态。

(二)企业网防火墙的部署

1.安全策略。所有的数据包都必须经过防火墙;只有被允许的数据包才能通过防火墙;防火墙本身要有预防入侵的功能;默认禁止所有的服务,除非是必须的服务才被允许。

2.系统设计。在互联网与企业网内网之间部署了一台硬件防火墙,在内外网之间建立一道安全屏障。其中WEB、E一mail、FTP等服务器放置在防火墙的DMZ区(即“非军事区”,是为不信任系统提供服务的孤立网段,它阻止内网和外网直接通信以保证内网安全),与内网和外网间进行隔离,内网口连接企业网,外网口通过电信网络与互联网连接。

3.入侵检测系统的设计和部署。入侵检测系统主要检测对网络系统各主要运营环节的实时入侵,在企业网网络与互联网之间设置瑞星RIDS一100入侵检测系统,与防火墙并行的接入网络中,监测来自互联网、企业网内部的攻击行为。发现入侵行为时,及时通知防火墙阻断攻击源。

4.企业网络安全体系实施阶段。

第一阶段:基本安全需求。第一阶段的目标是利用已有的技术,首先满足企业网最迫切的安全需求,所涉及到的安全内容有:

①满足设备物理安全

②VLAN与IP地址的规划与实施

③制定相关安全策略

④内外网隔离与访问控制

⑤内网自身病毒防护

⑥系统自身安全

⑦相关制度的完善

第二阶段:较高的安全需求。这一阶段的目标是在完成第一阶段安全需求的前提下,全面实现整个企业网络的安全需求。所涉及的安全内容有:

①入侵检测与保护

②身份认证与安全审计

③流量控制

④内外网病毒防护与控制

⑤动态调整安全策略

篇(4)

【关键词】中小企业网络营销站点 架设 价值研究

一、引言

伴随着IT技术的向前飞跃式的发展,信息技术为各行各业带来了便利和效益。企业掌握了信息,特别是掌握了大量有价值的信息,就可能在激烈的市场竞争中取的优势,就能取得制胜的机会。应用计算机信息技术,正在为企业的营销、管理、决策等环节服务。信息化程度已经成为衡量一个企业的标准,业已成为企业核心竞争力的组成要素。

企业信息化,已经影响着越来越多的企业。如今越来越多的企业对信息化建设的认识不再是表面的和肤浅的,而是伴随着信息化进程的不断深入,使这种认识变得更加全面的和深刻。应用计算机信息技术,正在为企业的业务流程数字化、决策支持、快速响应等环节服务。信息化水平已经成为衡量一个企业的标准,业已成为企业核心竞争力的组成要素。

而企业从事网络营销则是较为常见的一种方式。所谓网络营销就是借助于互联网信息技术作为基础,以企业的整体营销战略的实现作为目标,采用互动的方式来辅助实现企业营销目标的一种商务模式。网络营销起源于国外,经过20多年的发展,国内已经逐步发展起了较为成熟的网络营销市场,国内各种类型企业纷纷看到了以网络营销来拓展网络这块潜力巨大的市场。

进行企业网络营销活动,目前常见的方式就是架设企业网络营销站点。

二、架设企业网络营销站点的目的

架设企业网络营销站点是为了便于公司信息对外,便于浏览者很直接地访问企业的相关信息,比如企业资讯、产品及服务、联系方式、人事招聘等内容,拉近用户和企业之间的距离;同时,也便于企业内部管理人员及时通过快捷便利的互联网手段,将企业的信息传播到全球各个角落;同时对于公司员工使用企业网络营销站点管理系统时能够更加简洁易用。

企业网络营销站点的建立,为公司的业务流程运行效率带来了一定的提升作用。通常企业对外信息都是通过传统渠道或者第三方网上平台,这样使得信息传递的效率和效果大打折扣,也增加了企业运作的成本。因此基于信息快速传递的要求,架设一个企业网络营销站点,可以为企业进行新闻、产品展示、人才招聘等提供更好的传播渠道,同时也减少了信息传递的不对称性,提高了企业运营的效率,减轻了企业的成本支出。所以在Internet上建立公司的网络营销站点在信息化时代的进化过程中,抢占网络商机,提升公司形象,加强客户服务,是公司经营的致胜之道。

三、企业架设网络营销站点的现状

目前国外企业在信息化方面比国内公司的步伐要快,力度要大,特别是企业网络营销站点建设已经成为一种惯例,通过企业网络营销站点可以实现对企业内容业务系统的有效整合,可以提高企业的运作效率,便于用户了解企业,提升企业的知名度等作用。而反观国内企业,对于信息化的理解不够透彻,以为信息化就是有几台电脑,能够接入互联网等等肤浅的认识,导致企业信息化水平不高,比如重点体现之一就是企业网络营销站点的架设,从设计上来说,专业化程度不够高;从服务来看,网络营销站点不能很好地体现出对用户的在线服务功能;诸如此类。但是,随着企业知识管理的普及和深入,企业网络营销站点必将成为企业信息化建设的必然趋势。

四、企业营销站点架设的意义

第一,网络营销站点内容能够保持较高的时效性。这点是传统平面媒体所不能比拟的。企业网络营销站点就可以每天定时更新,可以将企业的最新情况及时;并且信息量不受时间篇幅的影响,但传统平面媒体却很难做到这一点。

第二,架设企业网络营销站点可以实现企业信息二十四小时不间断地面向全球传播,完全不受时间和地理范围的限制。

第三,企业网络营销站点的架设,可以实现企业和用户之间的实时、双向互动,有利于化解单向沟通的信息传递障碍,提高企业和客户的沟通效果,例如通过企业网络营销站点的在线客服系统,就可以实现即时通讯,及时了解用户的潜在需求或者意向,增加企业与用户成交的几率。另外,通过企业网络营销站点的在线调查系统,企业可以很方便的收集用户的意见和建议,以便于更好地服务用户。

第四,通过架设企业网络营销站点,可以实现企业在产品或者服务的宣传推广方面的低成本投入,减少信息传递的不对称性,有助于加强企业的品牌建设和提升企业的知名度,从而降低企业的运作成本,最终使企业在激烈的市场竞争中占据优势地位。例如美国苹果公司、微软公司,中国的联想、小米公司等。

五、总结

企业竞争的日趋激烈和网络给消费者带来的更多便利,也加剧了企业对网络这块市场的争夺,企业想要在网络市场上有一席之地,那么建立企业网络营销站点只是其中的一个步骤,因此,企业的网络营销站点架设好了,紧接着就是宣传推广、维护管理等等一系列更为重要的任务,总之,建设企业的网络营销站点,是企业从事网络市场竞争的第一步,也是最为重要的前提性条件。

参考文献:

[1]李东华.对我国企业信息化建设的思考[J].商情,2011,(10).

[2]宗加云.网络营销中的企业网站建设策略[J].中国电子商务,2012,(10).

[3]李佳雨.企业网站SEO技术研究[J].苏州大学学报,2011,(09).

[4]李华.中小型企业Web安全测试和评估[J].图书情报,2011,(02).

篇(5)

关键词:企业网络;安全;病毒;物理

在现代企业的生存与发展过程中,企业网络安全威胁与企业网络安全防护是并行存在的。虽然企业网络安全技术与以往相比取得了突破性的进展,但过去企业网络处于一个封闭或者是半封闭的状态,只需简单的防护设备和防护方案即可保证其安全性。而当今大多数企业网络几乎处于全球互联的状态,这种时空的无限制性和准入的开放性间接增加了企业网络安全的影响因素,自然给企业网络安全带来了更多的威胁。因此,企业网络安全防护一个永无止境的过程,对其进行研究无论是对于网络安全技术的应用,还是对于企业的持续发展,都具有重要的意义。

1企业网络安全问题分析

基于企业网络的构成要素以及运行维护条件,目前企业网络典型的安全问题主要表现于以下几个方面。

1.1网络设备安全问题

企业网络系统服务器、网络交换机、个人电脑、备用电源等硬件设备,时常会发生安全问题,而这些设备一旦产生安全事故很有可能会泄露企业的机密信息,进而给企业带来不可估量经济损失。以某企业为例,该企业网络的服务器及相关网络设备的运行电力由UPS接12V的SOAK蓄电池组提供,该蓄电池组使用年限行、容量低,在长时间停电的情况下,很容易由于蓄电池的电量耗尽而导致整个企业网络的停运。当然,除了电源问题外,服务器、交换机也存在诸多安全隐患。

1.2服务器操作系统安全问题

随着企业规模的壮大以及企业业务的拓展,对企业网络服务器的安全需求也有所提高。目前诸多企业网络服务器采用的是WindowsXP或Windows7操作系统,由于这些操作系统存在安全漏洞,自然会降低服务器的安全防御指数。加上异常端口、未使用端口以及不规范的高权限账号管理等问题的存在,在不同程度上增加了服务器的安全威胁。

1.3访问控制问题

企业网络访问控制安全问题也是较为常见的,以某企业为例,该企业采用Websense管理软件来监控企业内部人员的上网行为,但未限制存在安全隐患的上网活动。同时对于内部上网终端及外来电脑未设置入网认证及无线网络访问节点安全检查,任何电脑都可在信号区内接入到无线网络。

2企业网络安全防护方案

基于上述企业网络普遍性的安全问题,可以针对性的提出以下综合性的安全防护方案来提高企业网络的整体安全性能。

2.1网络设备安全方案

企业网络相关设备的安全性能是保证整个企业网络安全的基本前提,为了提高网络设备的整体安全指数,可采取以下具体措施。首先,合适传输介质的选用。尽量选择抗干扰能力强、传输频带宽、传输误码率低的传输介质,例如屏蔽式双绞线、光纤等。其次是保证供电的安全可靠。企业网络相关主干设备对交流电源的生产质量、供电连续性、供电可靠性以及抗干扰性等指标提出了更高的要求,这就要求对企业网络的供电系统进行优化。以上述某企业网络系统电源供电不足问题为例,为了彻底解决传统电源供给不足问题,可以更换为大容量的蓄电池组,并安装固定式发电机组,进而保证在长时间停电状态下企业网络设备的可持续供电,避免因为断电而导致文件损坏及数据丢失等安全问题的发生。

2.2服务器系统安全方案

企业网络服务器系统的安全尤为重要,然而其安全问题的产生又是多方面因素所导致的,需要从多个层面来构建安全防护方案。

2.2.1操作系统漏洞安全

目前企业网络服务器操作系统以Windows为主,该系统漏洞的出现成为了诸多攻击者的重点对象,除了采取常规的更新Windows系统、安装系统补丁外,还应针对企业网络服务器及个人电脑的操作系统使用实际情况,实施专门的漏洞扫描和检测,并根据扫描结果做出科学、客观、全面的安全评估,如图1所示,将证书授权入侵检测系统部署在核心交换机的监控端口,并在不同网段安装由中央工作站控制的网络入侵检测,以此来检测和响应网络入侵威胁。图1漏洞扫描及检测系统

2.2.2Windows端口安全

在Windows系统中,端口是企业实现网络信息服务主要通道,一般一台服务器会绑定多个IP,而这些IP又通过多个端口来提高企业网络服务能力,这种多个端口的对外开放在一定程度反而增加了安全威胁因素。从目前各种服务器网络攻击的运行路径来看,大多数都要通过服务器TCP/UDP端口,可充分这一点来预防各种网络攻击,只需通过命令或端口管理软件来实现系统端口的控制管理即可。

2.2.3Internet信息服务安全

Internet信息服务是以TCP/IP为基础的,可通过诸多措施来提高Internet信息服务安全。(1)基于IP地址实现访问控制。通过对IIS配置,可实现对来访IP地址的检测,进而以访问权限的设置来阻止或允许某些特定计算机的访问站点。(2)在非系统分区上安装IIS服务器。若在系统分区上安装IIS,IIS就会具备非法访问属性,给非法用户侵入系统分区提供便利,因此,在非系统分区上安全IIS服务器较为科学。(3)NTFS文件系统的应用。NTFS文件系统具有文件及目录管理功能,服务器Windows2000的安全机制是基于NTFS文件系统的,因此Windows2000安装时选用NTFS文件系统,安全性能更高。(4)服务端口号的修改。虽然IIS网络服务默认端口的使用为访问提供了诸多便捷,但会降低安全性,更容易受到基于端口程序漏洞的服务器攻击,因此,通过修改部分服务器的网络服务端口可提高企业网络服务器的安全性。

2.3网络结构安全方案

2.3.1强化网络设备安全

强化企业网络设备的自身安全是保障企业网络安全的基础措施,具体包含以下措施。(1)网络设备运行安全。对各设备、各端口运行状态的实时监控能有效发现各种异常,进而预防各种安全威胁。一般可通过可视化管理软件的应用来实现上述目标,例如What’supGold能实现对企业网络设备状态的监控,而SolarWindsNetworkPerformancemonitor可实现对各个端口流量的实时监控。(2)网络设备登录安全。为了保证网络设备登录安全指数,对于企业网络中的核心设备应配置专用的localuser用户名,用户名级别设置的一级,该级别用户只具备读权限,一般用于console、远程telnet登录等需求。除此之外,还可设置一个单独的super密码,只有拥有super密码的管理员才有资格对核心交换机实施相关配置设置。(3)无线AP安全。一般在企业内部有多个无线AP设备,应采用较为成熟的加密技术设置一个较为复杂的高级秘钥,从而确保无线接入网的安全性。

2.3.2细分网络安全区域

目前,广播式局域的企业网络组网模式存在着一个严重缺陷就是当其中各个局域网存在ARP病毒时,未设置ARP本地绑定或未设置ARP防火墙的终端则无法有效访问系统,同时还可能泄露重要信息。为了解决这种问题,可对整个网络进行细分,即按某种规则如企业职能部门将企业网络终端设备划分为多个网段,在每个网段均有不同的vlan,从而保证安全性。

2.3.3加强通问控制

针对企业各个部门对网络资源的需求,在通问控制时需要注意以下几点:对内服务器应根据提供的业务与对口部门互通;对内服务器需要与互联网隔离;体验区只能访问互联网,不能访问办公网。以上功能的实现,可在核心路由器和防火墙上共同配合完成。

作者:李常福 单位:郑州市中心医院

篇(6)

关键词:网络安全;网络设计原则

中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)18-4332-02

随着信息技术的快速发展、现代网络的普及、企业网络化运作,企业门户网站、企业电子商务等在企业经营运作过程中扮演着重要的角色,许多有远见的企业都认识到依托先进的信息技术构建企业自身业务和运营平台将极大地提升企业的竞争力,使企业在残酷的竞争中脱颖而出。然而,企业在具有信息优势的同时,也对企业的网络安全提出了严峻的考验。据报道,现在全世界平均每20秒就会发生一次计算机网络入侵事件。据智能网络安全和数据保护解决方案的领先供应商SonicWALL公司日前了其2011年年中网络威胁情报报告:“报告显示,企业正面临越来越多网络犯罪分子的攻击,这些人企图攻击的主要对象是那些通过移动设备连接访问企业网络以及越来越频繁使用社交媒体的企业员工。基于恶意软件以及社交媒体诈骗的增多,正引发新的以及更严重的来自数据入侵、盗窃和丢失等方面造成的企业业务漏洞。”可见,企业网络安全面临的压力越来越大,认清企业网络安全面临的主要威胁、设计实施合适的网络安全策略,已成为摆在企业面前迫在眉睫的问题。

1企业网络安全面临的主要威胁

由于企业网络由内部网络、外部网络和企业广域网所组成,网络结构复杂,面临的主要威胁有以下几个方面:

1.1网络缺陷

Internet由于它的开放性迅速在全球范围内普及,但也正是因为开放性使其保护信息安全存在先天不足。Internet最初的设计考虑主要的是考虑资源共享基本没有考虑安全问题,缺乏相应的安全监督机制。

1.2病毒侵袭

计算机病毒通常隐藏在文件或程序代码内,伺机进行自我复制,并能够通过网络、磁盘等诸多手段进行传播,通过网络传播计算机病毒,其传播速度相当快、影响面大,破坏性大大高于单机系统,用户也很难防范,因此它的危害最能引起人们的关注,病毒时时刻刻威胁着整个互联网。

1.3黑客入侵

黑客入侵是指黑客利用企业网络的安全漏洞、木马等,不经允许非法访问企业内部网络或数据资源,从事删除、复制甚至破坏数据的活动。由于缺乏针对网络犯罪卓有成效的反击和跟踪手段,使得黑客攻击的隐蔽性好,“杀伤力”强,这是网络安全的主要威胁之一。

1.4数据窃听与拦截

这种方式是直接或间接截取网络上的特定数据包并进行分析来获取所需信息。这使得企业在与第三方网络进行传输时,需要采取有效的措施来防止重要数据被中途截获、窃听。

1.5拒绝服务攻击

拒绝服务攻击即攻击者不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统相应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务,是黑客常用的攻击手段之,其目的是阻碍合法网络用户使用该服务或破坏正常的商务活动。

1.6内部网络威胁

据网络安全界统计数据显示,近80%的网络安全事件是来自企业内部。这样的安全犯罪通常目的比较明确,如对企业机密信息的窃取、数据更改、财务欺骗等,因此内部网络威胁对企业的威胁更为严重。

2企业网络安全设计的主要原则

针对企业网络安全中主要面临的威胁,考虑信息安全的机密性、完整性、可用性、可控性、可审查性等要素,建议在设计企业网络时应遵循以下几个原则:

2.1整体性原则

在设计网络时,要分析网络中的安全隐患并制定整体网络的安全策略,然后根据制定的安全策略设计出合理的网络安全体系结构。要清楚计算机网络中的设备、数据等在整个网络中的作用及其访问使用权限,从系统整体的角度去分析,制定有效可行的方案。网络的整体安全是由安全操作系统、应用系统、防火墙、网络监控、安全扫描、通信加密、灾难恢复等多个安全组件共同组成的,每一个单独的组件只能完成其中部分功能,而不能完成全部功能。

2.2平衡性原则

任何一个网络,不可能达到绝对的安全。这就要求我们对企业的网络需求(包括网络的作用、性能、结构、可靠性、可维护性等)进行分析研究,制定出符合需求、风险、代价相平衡的网络安全体系结构。

2.3扩展性原则

随着信息技术的发展、网络规模的扩大及应用的增加,面临的网络威胁的也会随之增多,网络的脆弱性也会增多,一劳永逸地解决网络中的安全问题也是不可能的,这就要求我们在做网络安全设计时要考虑到系统的可扩展性,包括接入能力的扩展、带宽的扩展、处理能力的扩展等。

2.4多层保护原则

任何的网络安全措施都不会是绝对的安全,都有可能被攻击被破坏。这就要求我们要建立一个多层保护系统,各层保护相互补充、相互协调,组成一个统一的安全防护整体,当一层保护被攻击时,其它层保护仍可保护信息的安全。

图1基于网络安全设计原则的拓扑示意图

防火墙:网络安全的大门,用来鉴别什么样的数据包可以进出企业内部网络,阻断来自外部的威胁,防火墙是不同网络或网络安全域之间信息的唯一出入口,防止外部的非法入侵,能根据网络的安全策略控制访问资源。

VPN:是Internet公共网络在局域网络之间或单点之间安全传递数据的技术,是进行加密的最好办法。一条VPN链路是一条采用加密隧道构成的远程安全链路,远程用户可以通过VNP链路来访问企业内部数据,提高了系统安全性。

访问控制:为不同的用户设置不同的访问权限,为特定的文件或应用设定密码保护,将访问限制在授权用户的范围内,提高数据访问的安全性。

数据备份:是为确保企业数据在发生故障或灾难性事件的情况下不丢失,可以将数据恢复到发生故障、灾难数据备份的那个状态,尽可能的减少损失。

3小结

通过分析企业网络安全面临的主要威胁及主要设计原则,提出了一个简单的企业网络安全设计拓扑示意图,该图从技术手段、可操作性上都易于实现,易于部署,为企业提供了一个解决网络安全问题的方案。

参考文献:

篇(7)

防火墙是网络安全的基本防护设备,其安全性受到了越来越多人的重视,尤其是在当前科技迅猛发展的环境下,各企业也迅速的崛起,使得企业在网络环境的推动下,也面领着严峻的信息安全挑战。在这种环境下,人们对于防火墙的安全性要求也随之提高。当前,企业的防火墙要实现安全设计,还需要对企业的网络安全进行全方面的需求分析,通过针对性的设计,提高防火墙的实用性、功能性、安全性。

【关键词】

防火墙;企业网络安全设计;实现

1前言

计算机网络技术的广泛应用,为企业提供了更多的发展平台与业务渠道,在一定程度上推动了企业的快速发展。但在网络技术不断普及的今天,各种恶意攻击、网络病毒、系统破坏也对企业的网络安全造成了较大的伤害,不仅严重威胁到企业的信息安全,而且给企业带来较大的经济损失,造成了企业形象的破坏。因此,才需要使用防火墙技术,通过防火墙网络技术的安全设计,对各种病毒与网络攻击进行抵御,维护企业的信息安全,促进企业的健康稳定发展。

2防火墙的企业网络安全设计原则

在企业防火墙的网络安全设计中应该遵循一定的原则,即:全面、综合性原则,也就是企业的网络安全体系设计,应该从企业的整体出发,对各项信息威胁进行利弊权衡,进而制定出可行性的安全防护措施;简易性原则,主要是对于网络安全设计,既要保证其安全性,又要保证其操作简便性,以免系统过于复杂而造成维护上的阻碍;多重保护原则能够在建立多重的网络安全机制,确保整个网络环境安全;可扩充原则,主要是指在网络运用过程中,要随着新变化的出现,对于之前的网络安全系统进行升级与扩充;灵活性原则,也就是防火墙的网络安全设计方案,应该结合企业自身网络现状及安全需求,采用灵活、使用的方式进行设计;高效性原则,也就是防火墙的网络安全设计应该确保投资与产出相符,通过安全性的设计解决方案,避免重复性的投资,让企业投入最少的项目资金,获得最大的收益,有效维护企业的安全[1]。

3防火墙的企业网络安全设计

防火墙为服务器的中转站,能够避免计算机用户与互联网进行直接连接,并对客户端的请求加以及时地接收,创建服务其的连接,并对服务器发出的信号相应加以接受,再通过系统将服务器响应信号发送出去,并反馈与客户端。

3.1防火墙加密设计

防火墙的加密技术,是基于开放型的网络信息采取的一种主动防范手段,通过对敏感数据的加密处理、加密传输,确保企业信息的安全。当前的防火墙加密技术主要有非对称秘钥与对称秘钥两种,这种数据加密技术,主要是对明文的文件、数据等通过特定的某种算法加以处理,成为一段不可读的代码,维护数据信息的安全,以免企业的机密信息收到外界的攻击[2]。当前的防火墙加密手段也可分为硬件加密与软件加密,其中硬件加密的效率较高,且安全系数较高,而软件加密的成本相对来说较低,使用性与灵活性也较强,更换较为方便。

3.2入侵检测设计

入侵主要指的是外部用户对于主机系统资源的非授权使用,入侵行为能够在一定程度上导致系统数据的损毁与丢失,对于企业的信息安全与网络安全会造成较大的威胁,甚至导致系统拒绝合法用户的使用与服务。在防火墙的企业网络安全设计中,应该加强对入侵者检测系统的重视,对于入侵脚本、程序自动命令等进行有效识别,通过敏感数据的访问监测,对系统入侵者进行行为分析,加强预警机制,检测入侵者的恶意活动,及时发现各种安全隐患并加以防护处理。

3.3身份认证设计

身份认证主要是对授权者的身份识别,通过将实体身份与证据的绑定,对实体如:用户、应用程序、主机、进行等加以信息安全维护。通常,证据与实体身份间为一种对应的关系,主要由实体方向提供相应的证据,来证明自己的身份,而防火墙的身份认证则通相关的机制来对证据进行验证,以确保实体身份与证据的一致性。通过身份认证,防火墙便能够对非法用户与合法用户加以识别,进而对非法用户进行访问设置,维护主机系统的安全。

3.4状态检测设计

访问状态检测,是控制技术的一种,其关键性的任务就是确保企业的网络资源不受非法使用与非法访问,是维护企业网络安全的重要手段之一。防火墙的访问控制,一般可分为两种类型:①系统访问控制;②网络访问控制。其中,网络访问控制主要是限制外部计算机对于主机网络服务系统的访问,以及控制网络内部用户与外部计算机的访问。而系统访问控制,主要是结合企业的实际管理需求,对不同的用户赋予相应的主机资源操作、访问权限。

3.5包过滤数据设计

数据包过滤型的防火墙主要是通过读取相应的数据包,对一些信息数据进行分析,进而对该数据的安全性、可信度等加以判断,并以判断结果作为依据,来进行数据的处理。这在个过程中,若相关数据包不能得到防火墙的信任,便无法进入该网络。所以,这种技术的实用性很强,能够在网络环境下,维护计算机网络的安全,且操作便捷,成本较低。但需要注意的是,该技术只能依据一些基本的信息数据,来对信息安全性进行判断,而对于应用程序、邮件病毒等不能起到抵制的作用。包过滤防火墙通常需要在路由器上实现,对用户的定义内容进行过滤,在网络层、数据链路层中截获数据,并运用一定的规则来确定是否丢弃或转发各数据包。要确保企业的网络安全,需要对该种技术进行充分的利用,并适当融入网络地址翻译,对外部攻击者造成干扰,维护网络内部环境与外部环境的安全。

4企业网络安全中的实现

4.1强化网络安全管理

用将防火墙技术应用于企业的网络安全中,还需要企业的信息管理人员对于本企业的实际业务、工作流程、信息传输等进行深入的分析,对本企业存在的信息安全加以风险评估,熟悉掌握本企业网络安全的薄弱环节,全民提高企业的信息安全。另外,企业信息管理人员还需要对企业的网络平台架构进行明确掌握,对企业的未来业务发展加以合理的预测分析,进而制定出科学合理的网络信息安全策略。同时,企业信息管理人员还需要对黑客攻击方式与攻击手段进行了解,做好防止黑客入侵的措施。

4.2网络安全需求分析

企业的网络安全为动态过程,其设方案需要结合自身的实际状况加以灵活设计,进而提高设计方案的适用性、安全性,维护企业整个网络的安全。在对企业网络需求进行分析时,还需要注重企业的应用系统、网络访问系统、网络资源、网络管理实际[3]。在应用系统安全性设计中,对于系统使用频繁,提供服务资源的数据库与服务器,要在网络环境下,确保其运行安全,以免疏导恶意攻击与访问;而对于网络访问设计应具有一定的可控性,具备相应的认证与授权功能,对用户的身份加以识别,对敏感信息加以维护,以免企业的核心系统遭到攻击[4];网络资源要确保其适用性,能够承载企业的办公自动化系统及各项业务的运行使用,并保证网络能够不间断地高效运行;同时,针对网络管理,应该具有可操作性,在安全日志与审计上进行相关的信息记录,以免企业信息系统管理人员的日后维护。

4.3网络安全策略的制定

要实现企业的网络安全,还需要对企业的实际网络安全需求进行了解之后,针对不同的信息资源,制定出相关的安全策略,通过各种系统保密措施、信息访问加密措施、身份认证措施等,对企业信息资源维护人员相关的职责加以申请与划分,并对访问审批流程加以明确。最后,还需要企业的信心管理人员对整个安全系统进行监控与审计,通过监控系统的安全漏洞检查,对威胁信息系统安全的类型与来源进行初步判断,通过深入分析,制定出完善是网络安全防护策略[5]。

5结束语

在互联网环境下,信息资源的存储量巨大,运行较为高效,不仅为企业带来了较大发展空间,也使企业的信心安全面临巨大的威胁。因此,企业需要加强防火墙系统的建设,提高对网络安全系统的认识,通过有效措施,加强防火墙的安全设计,构建一个相对稳定的网络环境,维护企业的信息安全,让企业在可靠的信息网络环境开发更多的客户资源,以寻得健康、稳定、持续的发展。

作者:黄河锋 单位:桂林自来水公司

参考文献

[1]马小雨.防火墙和IDS联动技术在网络安全管理中的有效应用[J].现代电子技术,2016(02):42~44.

[2]范沁春.企业网络安全管理平台的设计与实现[J].网络安全技术与应用,2015(07):74+77.

[3]秦艳丽.试谈防火墙构建安全网络[J].电脑编程技巧与维护,2016(06):78~80.