大學生畢業設計(計算機網絡專業)
題目:xx公司網絡安全架構設計
【摘要】隨着網絡技術的發展,網絡已經融入每個人的生活無處不在了,但是人們在享受互聯網帶來的便捷的同時,往往忽略了網絡安全這一非常嚴峻的問題。文章主要研究的是網絡安全的架構與實現,以有限公司爲例,分別從防火牆的構架與實現、入侵檢測的構架與實現、信息安全管理審計系統架構與實現及內網保密安全的構架與實現四個方面詳細介紹了網絡安全的實現過程,增強了企業網絡安全方面的防範能力。
前言
物流是指利用現代信息技術和設備,將物品從供應地向接收地準確的、及時的、安全的、保質保量的、門到門的合理化服務模式和先進的服務流程。物流是隨商品生產的出現而出現,隨商品生產的發展而發展,物流是一種古老的傳統的經濟活動。以前的物流企業一直是單純的靠交通工具和人力勞動來運作整個公司的。但是隨着網絡的出現和發展,各行各業都隨之改變,物流行業當然也受到很大的影響。
如今網絡正在逐步步入成熟階段,網絡、數據庫等相關的應用技術在不斷髮展,網絡運營及電子商務也被廣泛應用。物流行業也從傳統的人力勞動行業發展爲結合信息技術爲消費者提供服務的行業。物流是將物品從供應地向接收地準確的、及時的、安全的、保質保量的、門到門的合理化服務模式和先進的服務流程。物流是隨商品生產的出現而出現,隨商品生產的發展而發展,物流即意味着企業的生產、流通的全部。而隨着網絡在企業中的普及和發張,物流行業也在走入物流信息化,物流信息化的定義是:利用信息技術整合企業內部的業務流程,使企業向着規模經營、網絡化運作的方向發展。物流信息化是物流企業相互融合的重要手段。物流信息化因此是企業間和企業內部物流過程中所產生數據的全部記錄。物流配送中心建設信息系統應充分支持管理者制訂物流運作計劃和實際的業務操作。儘管現代物流配送中心日趨向多樣化和全面化發展,但構成其核心競爭能力或有助於其獲取競爭優勢的還是其核心業務,如彙集客戶的發貨信息、組織貨物的入庫、配貨、分揀、儲存、出庫、配送等。
物流行業正以信息技術爲手段,向綜合性物流企業發展,積極發展第三方物流,實現物流的社會化、專業化、規模化,大幅度提升物流產業的優勢。然而許多物流公司有簡單的網絡平臺,但是卻缺乏合理的網絡安全設計和管理,其企業操作人員缺乏網絡安全知識,所有的計算機基本上都在互聯網裸奔,不斷的被黑客種下病毒、木馬,然後被劫持當成肉雞,給公司帶來麻煩甚至導致整個網絡的癱瘓,造成公司內部存儲的信息丟失;甚至於內部人員爲了利益竊取出賣公司的利益,使公司造成重大的損失。正是如此,物流公司也越來越重視網絡安全,甚至重新打造一個穩定的平臺。
第一章 公司現狀
1.1 公司簡介
xx公司是一家以國內公路運輸和航空貨運代理的綜合物流企業,在物流界享譽較高的知名度。公司秉承“誠信爲本,速度至上”的服務理念,保持積極進取、注重服務的態度,培養自己的人才,通過不斷的優化服務和信息化系統的搭建,提升運輸網絡和標準化體系,創造最優化的運營模式,爲廣大客戶提供安全、快速、專業、滿意的物流服務。一直以來,公司都致力於與員工共同發展和成長,打造人企雙贏局面,努力創造更多的社會效益,努力將晨曦打造成爲中國人信任的國內物流運營商,實現“爲中國提速”的使命。公司主要經營:晨曦運物流有限公司以及江西運輸子公司、浙江運輸子公司.有限公司成立於XX年07月04日,現擁有員工150多名,是一家集運輸倉儲配送於一體的物流公司。
現在的公司部門及職責如圖1-1所示:
1.2 公司網絡狀況
該公司是物流業中進行企業信息化建設較早的公司,信息化建設的主要目的是用於公司信息統計等基礎性工作。該公司的網絡拓撲圖如圖1-2所示:
該公司的局域網是一個信息點相對較爲密集的百兆局域網系統,它所聯接的現有近百個信息點爲在整個公司內辦公的各單位部門提供了一個信息交流平臺。不僅如此,通過專線與internet的連接,各個部門授權用戶可以直接與互聯網用戶進行交流、查詢資料等。
這個公司的訪問區域可以劃分爲三個主要的區域:internet區域、內部網絡、公開服務器區域。web等服務器和辦公區客戶機,通過內部網絡的相互連接,然後與外網互聯。基於基礎的安全的考慮,在交換機上按地域和部門劃分了五個網段。
1.3 公司的網絡安全問題
公司一段時間後,基本實現了公司的辦公信息化,但由於當初的投資力度及意識不夠,以及公司領導未重視網絡安全方面,導致公司的網絡出現重大漏洞。在XX年10月份被人潛入公司內部網絡,導致信息部中一項重要的招標文件泄露,被競爭公司知曉,以1萬元的差距落選了該項目,導致公司的利益受到相當大的損害。爲此,公司開始重視網絡安全。在對公司的網絡安全進行全面檢查後,發現以下問題。
1.3.1 主要安全隱患
(1)病毒的入侵在之前的規劃中,只提到了加大公司信息化管理的投資力度、採用計算機處理數據、進行網絡建設,而對於網絡安全方面的建設力度較小,這樣就使的黑客很容易就能在公司電腦植入病毒,從而引發重大災情。(2)內部人員操作缺乏安全意識如今網絡發展迅速,但是網絡安全技術和信息的應用普及相對滯後,內部人員缺乏安全方面的的培訓和學習,很容易忽略安全設備和系統,不能使其發揮相對的作用,這使的公司的網絡存在較大的安全隱患。(3)設備物理安全由於網絡中大部分的設備都是通過通信電纜通信的,爲了佈局合理性,往往核心設備都是放置在一個機房的,公司的機房只有簡單的上鎖沒有專人巡查看守,這使得公司的網絡物理設備存在較大的安全隱患。
1.3.2 具體的網絡安全問題
(1)公司網絡拓撲不合理問題,沒有硬件防火牆公司網絡中,沒有做到內部網絡與外部網絡的安全隔離,在公司網絡拓撲設計上只採用服務器經過路由器上網,而沒有配置防火牆,內外網互聯存在着很大的漏洞。(2)用戶身份認證問題在公司網絡系統中,對具有遠程訪問權限的用戶連接沒有采用加密與身份認證手段。(3)沒有入侵檢測技術和網絡監控技術,對於入侵的目標無跡可尋,內網安全存在嚴重漏洞,沒有辦法有效的保護公司的信息安全。
第二章 網絡安全架構需求分析
針對有限公司將再開設一個公司的情況,結合有限公司現在的網絡狀況和現有條件,對網絡安全設計方面提出一下幾點構思。
2.1 保證內網安全
針對有限公司招標文件泄密的情況,保證內網安全是首要任務。主機防火牆的出現解決了其中比較矛盾突出的問題,也是最基本的問題,就是關於基礎安全;而近幾年日趨完善的桌面或終端內網安全管理類產品的出現實現了集中的內網計算機安全管理,提供了對於內網兩方面需求的滿足即安全與管理。
2.2保證廣域網的接入安全
internet是一個高度開放的大環境,用戶接入internet就意味着完全將自己暴露在危機四伏的處境。通過網絡防火牆可以過濾來自internet的大部分攻擊, 防火牆能強化安全策略。 防火牆能有效地記錄internet上的活動、限制暴露用戶點、隔開網絡中一個網段與另一個網段。這樣,能夠防止影響一個網段的問題通過整個網絡傳播。 防火牆是一個安全策略的檢查站,所有進出的信息都必須通過防火牆,防火牆便成爲安全問題的檢查點,使可疑的訪問被拒絕於門外。
2.3 保證遠程訪問的安全
遠程訪問是通過公衆網來傳輸私有數據,因此保證數據安全性是遠程訪問的關鍵環節。遠程訪問由於使用internet作爲承載介質,vpn必須有足夠的安全保障功能,通過高強度的加密算法保證數據不被偵聽或篡改,確保接入用戶身份的唯一性。另外,還可以控制用戶對內網資源的訪問權限,做的指定人訪問指定資源,訪問均在控制之中。
第三章 網絡安全架構實現具體方案
3.1 設備鏈接拓撲圖與網絡劃分
通過對有限公司的現有網絡情況進行分析後,硬件方面決定在現有網絡上部署一臺防火牆以及nids設備,軟件方面決定採用趨勢科技的防毒牆,設備鏈接拓撲圖如圖所示:
1、wan口接入一臺pc作爲外部主機(開啓22端口和21端口即ssh服務和ftp服務),地址,網關指向;
2、dmz口接入一個web服務器提供web服務和一個文件服務器提供文件服務,web服務器地址網關指向;文件服務器地址爲網關指向;
3、lan區域接入一個的子網,網關指向。
4、ip網段是連續的ip地址,爲:
5、防火牆管理pc機的ip爲:
6、nids管理pc機的ip爲:
7、信息安全管理審計系統管理pc機的ip爲:
8、內網保密安全系統的管理終端ip爲:
9、web服務器ip地址爲:
10、文件服務器ip地址爲:
11、內網保密安全系統的總控中心服務器ip爲:
12、外網pc1ip爲:
13、內網pc1ip爲:
14、內網pc2ip爲:
15、內網pc3ip爲:
3.2 防火牆的構架與實現
3.2.1 連接與登錄配置
一、設備的選型
針對有限公司的網絡分析,經過研究實驗,決定採用藍盾公司型號爲bdfw-m3000的防火牆。
二、利用瀏覽器登陸防火牆管理界面
1、根據拓撲圖將pc機與防火牆的admin網口連接起來,當需要連接內部子網或外線連接時也只需要將線路連接在對應網口上
2、客戶端設置,設置本地連接ip地址爲: 3、使用ping命令測試防火牆和管理pc間的連接情況。
打開ie瀏覽器,輸入管理地址,進入歡迎界面,在防火牆的歡迎界面輸入用戶名和密碼,點擊“登錄”進入防火牆管理系統。
三、配置基本內容
1、網段、ip地址、端口配置
2、創建、編輯規則防火牆中需要對規則進行操作,以對 snat 策略進行了編輯:添加策略:在“增加設置”中,設置相應參數,單擊保存則在“設置列表”添加一個規則,保存之後的界面如圖所示:
然後點擊“編輯”對snat 策略進行編輯,編輯完之後保存。
3.2.2 透明模式(網橋模式)的安裝與部署
在透明模式(橋接模式)下,防火牆相當於一個網橋,通過將兩個網口橋接起來,也即將交換機和路由器直接連接起來,從而無需改動原有網絡結構,將防火牆透明的加入網絡。對於連接內網的lan2口,其ip地址要設成和內網在同一個網段。
一、將防火牆接入當前網絡
1、將防火牆按照拓撲所示接入當前網絡,由路由器引入的外線接wan口,由交換機引出的內部網線接lan口
2、檢驗加入後網絡狀況
二、配置橋接
1、進入橋接設定界面,“網絡設置”“網口配置”“網口”,由於橋接要求網口不能是內網口,並且在該網口上沒有配置外線連接,將lan3口(lan)、lan4口(wan)上的ip全部去掉
2、啓用橋接進入橋接設定界面,“網絡設置”“網口配置”“橋接設定”,下面左邊的框中就出現了可供選擇的接口
定義一條橋接規則:選擇lan、wan,雙擊“>>>”移到右邊的框中,然後添加,添加成功,在“現有規則”中會出現一條定義好的規則,然後重啓。
3.2.3 內外網互訪策略編輯與管理
默認情況下,連接在防火牆不同網口的網絡是不能互相訪問的,爲了是各個網絡間實現互通,需要建立各個網絡間的通信通道:
1、外網訪問內網是通過端口映射機制實現。
2、內網訪問外網是通過設置訪問規則控制。
3、它們都是通過建立通信規則,並將規則應用到不同網口、網段或ip上實現。
一、檢查各點網絡狀況
1、外部主機pc1(),可以ping通防火牆的wan口地址,但是沒有辦法到達dmz區的web服務器,因爲對於來說,web服務器的地址是一個其他網絡的內網地址:
外部主機與web服務器連通性測試
由於當前網絡被防火牆隔離了,使得內外網無法互訪,這時,我們可以通過端口映射的方式,使得外網可以訪問內部網絡,同時通過策略設置使內網可以訪問外網。
二、實現內網訪問外網(snat)——爲內網pc提供對外網的訪問策略
1、配置snat映射可以讓所有內部ip做地址轉換訪問外部
2、配置內網lan口下的pc1()可以訪問外網pc1 ) 3、進入“防火牆”“nat策略”“snat策略”界面,點擊“添加”,做訪問規則,然後設置規則參數,填寫目標ip、目標端口,選擇“啓用”,單擊“保存”。
4、“防火牆”“lan->wan策略”“訪問策略”,填寫訪問策略的實施對象內網pc1“”,選擇規則“全部允許”,點擊“添加”。
三、實現外網訪問內網(dnat)——爲外網pc提供對內網的訪問策略
1、進入“防火牆”“nat策略”“dnat策略”界面,點擊“添加”,做訪問規則,然後設置規則參數,填寫目標ip、目標端口,選擇“啓用”,單擊“保存”。
把外網地址的1080端口映射到的80端口,當訪問的1080端口時,防火牆就會把這個地址自動映射爲的80端口,外網訪問內網的通道被打開。
3.2.4 l2tp配置
總公司出差的員工需要訪問公司內網文件服務器上的文件夾,文件服務器的ip地址爲,出差的員工使用l2tp vpn連接到公司內部文件服務器。
vpn服務器端配置
一、創建證書
1、進入“vpn”“ca認證”“權威認證證書”;
2、創建服務器本地證書“local’s bluedon”,然後進行配置,點擊“創建簽名證書”,就會出現一條證書
二、建立vpn隧道 1、選擇“vpn隧道”“l2tp移動客戶端”,創建l2tp移動客戶端vpn遂道:
設置好後並點擊添加,就會出現一個名爲ttt的隧道。
三、啓動vpn
1、進入“vpn”“啓動控制”,啓動vpn服務器。
2、進入“全局設定”,在“默認本地證書”的“ca權威認證證書”中選擇local’s bluedon權威認證證書,選擇“保存”。
3、進入“防火牆”“lan->lan策略”“訪問策略”建立一條允許遠程l2tp客戶同總公司lan口對等相互訪問的策略,這樣出差員工就可以用l2tp隧道和總公司內網連通。進行配置後,點擊“添加”,就會出現下面一條訪問規則,至此,總公司服務器端配置結束
vpn移動客戶端配置
1、從網絡管理員處獲得vpn客戶端軟件,並安裝,安裝過程中寫入總公司的外部ip,爲新連接取名爲“ttt”。
2、這裏就填入新建證書時的用戶名ttt,密碼123456,點擊“連接”。
至此vpn客戶端配置完成。
幾秒鐘後,連接成功,電腦右下角將顯示連接上的vpn。同時在“網絡連接”界面也會出現“虛擬專用網絡”——ttt(已連接)。
3.4 入侵檢測系統的架構與實現
3.4.1 ids設備部署與配置
基於有限公司的網絡考慮,採用鏡像口監聽部署模式
ids設備部署
1、連接設備
2、登錄管理界面 從管理pc登錄藍盾nids設備web管理界面前,需要確認管理pc的ip地址與設備缺省管理口ip地址設置在同一網段:。透過網線將管理pc連接到lan1口,打開ie瀏覽器,在ie地址欄輸入 ,登錄進去。
ids設備配置
1、 “網絡設置”“網口配置”“網口”,將e2的lan2的ip配置爲,點擊保存,然後重啓網絡。(將lan2口做爲管理口,用於管理設備)
2、“系統”“系統工具”“ip工具”,直接ping 網關檢驗與內網的連通性。
3、“系統”“管理設置”“管理界面訪問設定”,網口選擇lan2,其餘選項缺省,點擊添加。
4、“現有規則”中新增一條通過lan2訪問ids界面的策略。
5、“系統”“管理設置”“密碼”,按下圖配置管理員用戶,不啓用usbkey。 就會出現一個超級管理員用戶
3.4.2 ids入侵檢測
“入侵規則”“檢測規則”,啓動如下入侵檢測規則中,要勾選user-defined(用戶自定義),點擊保存。
一、基礎參數 1、“入侵規則”“檢測規則”“自定義規則”“基礎參數”,參照下圖填入所要檢測的項,點擊添加。
選擇協議,點擊啓用。就得到一條針對所有未知入侵的檢測規則intrusion _info
二、ip參數
1、“入侵規則”“檢測規則”“自定義規則”“ip參數”,參照下圖填入所要檢測的項,在t t l項填入64作爲參考值,選擇啓用,點擊添加。
四、阻斷動作
1、“入侵規則”“檢測規則”“自定義規則”“阻斷動作”,填入所要檢測的項,這裏選擇斷開icmp。
3.5 信息安全管理審計系統架構與實現
3.5.1 系統的部署及系統登錄
信息安全管理審計系統是用來對內部用戶訪問外部網絡的各種行爲進行記錄、控制、審計的一種網絡安全硬件設備,主要有lan1、lan2、lan3、lan4四個100m快速以太網絡接口。通過將不同網口橋接並設置監控網口,我們可以有效的監控網絡上傳送的各種數據包。
信息安全管理審計系統使用web圖形界面進行管理和設置,具有方便、快捷,易於用戶理解和掌握的優點。另外一方面信息安全管理審計系統使用了https安全傳輸協議,保證在管理中傳輸的相關設置和信息不被竊聽,保護設備自身的安全。
1、系統前面板,結構如圖3-36:
2、系統後面板,結構如圖3-37:
二、登錄系統:
1、設置管理pc地址圖(拓撲圖)將管理pc與信息安全管理審計系統連接,同時將管理pc的ip地址改爲:
2、登錄系統,登錄後我們可以看到如圖3-38:
三、設置橋接模式 接下來要將lan3口和lan4口橋接起來,以配置網關接入方式。
1、在左邊欄選擇選項“系統管理”->“系統設置”。
2、在右邊欄選擇選項“橋接設置”->“使用橋接”,選擇“網口3”和“網口4”,點擊“確定”就橋接成功了。
3.6 內網保密安全系統的架構與實現
3.6.1內網保密軟件的部署及登錄
通過安裝sqlXX數據庫軟件,用於存儲內網保密軟件控制中心的相關數據,安裝內網保密控制中心軟件,實現對安全客戶端的監控及審計,構建完整的內網安全保密及審計系統管理控制平臺。
一、安裝sqlXX數據庫軟件並下載補丁進行升級;
二、安裝內網保密系統控制中心軟件
三、登錄系統
3.6.2 上網行爲監控
一、新建模塊
1、點擊選項“功能”“安全策略”“安全策略管理中心”“策略模板管理”,點擊“新建模塊”。
2、啓動上網行爲監控,再點擊添加進行配置
三、下發策略
選擇選項“本地策略管理”,點擊“應用策略模版” ,下發策略選擇好需要下發的部門和主機。
四、查詢審計
1、點擊選項“功能”“審計報表”“審計報表管理中心”,選擇“查詢統計”,雙擊“上網行爲監控”會出現一個報表,雙擊報表進行查看。
3.7 趨勢科技防毒牆配置
結合有限公司的網絡需求分析和實際情況,決定採用趨勢科技防毒牆網絡版10.0
一. 安裝前的準備工作 1. 確認已經將10.0 sp1安裝包osce_10_with_sp1_b1892_sc及 sp1 patch1補丁程序osce_10.0_b1895_sc_sp1_patch1下載到 預安裝服務器的本地硬盤上; 2. 預安裝服務器已經成功安裝iis 3. 本地ip已經成功配置 4. 建議服務器計算機至少2ghz以上內存。
二. 開始安裝 1.將已下載到服務器的安裝包 osce_10_with_sp1_b1892_sc解壓縮並進行安裝。安裝過程中選擇安裝到一臺電腦,掃描目標計算機,安裝集成型服務器,安裝網絡版客戶端,配置軟件安裝,安裝完畢後重啓電腦。
三. 2、服務器重啓完畢後,在officescan 10.0 服務器雙擊執行sp1 patch1補丁程序安裝包再重啓電腦。
3、設置服務器更新頻率
4.全局客戶端設置:
依次展開“聯網計算機”-“全局客戶端設置”, 設置“將手動掃描添加到客戶端計算機的windows快捷菜單中”。
設置病毒碼過期提醒。根據需要進行相關設置,其他的一般採用默認即可
依次展開“聯網計算機”-“客戶端管理”; 在設置選項中選擇“實時掃描設置”,然後在“處理措施”選項中選擇開啓“檢測到病毒/惡意軟件時在客戶端計算機上顯示通知消息”,其它設置選擇默認設置。
6.行爲監控設置 在設置選項中選擇“行爲監控設置”,進入後選擇默認設置;
7、設備控制設置: 在設置選項中選擇“設備控制設置”,進入後選擇不啓用預設日誌刪除。進行日誌維護設置。
服務器更新:依次展開“更新”-“服務器”-“手動更新”,點擊更新。更新完畢後就完成了基本配置。
第4章 安全架構實現效果驗證
4.1 防火牆的架構與實現效果驗證
連接與登錄配置:使用ping命令測試防火牆和管理主機間的互通,能互通。
透明模式(網橋模式)的安裝與部署:lan內任何一臺主機可以ping通路由地址。
內外網互訪策略編輯與管理:
1、外部主機(),通過可以訪問dmz口的web服務器:
2、dmz區的web服務器()主機,仍然無法ping通外網主機:
l2tp配置:
1、在dos下用“ipconfig”命令,會出現獲取的總公司內網的ip地址
2、ping通了總公司內網的網關
4.2 入侵檢測的架構與實現效果驗證
針對ids檢測規則的操作,得到了一下入侵日誌:掃描操作
ping操作
4.3 內網安全的架構與實現效果驗證
網絡訪問與網絡日誌:網絡訪問時留下的網絡日誌
監控策略的使用:
由上面這些圖片可以看出,方案中的網絡安全架構均能實現。