網络安全设计.docVIP

网络安全设计 一 方案背景介绍 XXX现有13栋学生宿舍楼，为了满足学生在住宿里面的宽带业务信息点，共学生上网。根据规划需要在每个住宿里部署2个信息点，结合食堂及体育场总信息点约为2823个信息点。 主干网络提供1000M带宽，到桌面提供100M带宽，连接13栋宿舍、三个食堂和一个体育馆。十三栋宿舍通过核心机房分别连接到互联网和校园网，分别实现信息资源的共享和学校内部的教学活动等。 核心内部网络建设：包括IMC智能管理平台服务器(网管)、UAM认证平台服务器。Web服务器和dhcp服务器。对外能与Internet互联，对内提供校内各种局域网的接口，提供Internet服务，如电子邮件、远程登陆、文件传输、信息查询等。 提供网络教学环境：网络提供视频、音频、课件在校园网内传输，提供视频点播系统服务。 二 需求分析 从对内安全和对外安全两个角度进行分析: （一）.来自外部网络的安全威胁 由于需要，网络与外部网络进行了连接，这些连接集中在安全威胁的第一层，包括：如果内部网络和这些外部网络之间的连接为直接连接，外部网络则可以直接访问内部网络的主机，若内部和外部没有隔离措施，内部系统较容易遭到攻击。 攻击一旦发生，首先遭到破坏的将是核心网的主机，攻击的手段以及可能造成的危害多种多样。 1.对外安全分析 安装软件、硬件防火墙，网络防病毒软件，客户端防病毒软件。 利用代理服务器提供Internet与内网之间的防火墙功能 。 通过网管软件实时记录网络的运行状态。 （二）.来自内部网络的安全威胁 网络上的节点众多，网络应用复杂，网络管理困难。这些问题主要体现在安全威胁的第二和第三个层面上，具体问题： ● 网络的实际结构无法控制； ● 网管人员无法及时了解网络的运行状况； ● 无法了解网络的漏洞和可能发生的攻击； ● 对于已经或正在发生的攻击缺乏有效的追查手段和应对方法； ● 访问控制的问题，流量控制、用户审核。 2.对内安全分析 利用VLAN的安全特性，按照学校各部分的基本工作性质结合楼宇的分布划分子网网段。 一方面对子网内信息点设置访问控制，另一方面对不同子网的访问进行控制。 服务器访问控制：通过密码、口令（不定期修改、定期保存密码与口令）等禁止非授权用户对服务器的访问。 采用有效的扫描工具，定期对网络进行扫描，发现网络结构的变化，及时纠正错误。采取有效的病毒防护。 使用有效的工具，及时发现错误，关闭非法应用，保证网络的安全。 进行客观的网络风险评估，及时发现网络中的安全隐患，并提出切实可行的防范措施 。 记录攻击行为的全过程，为调查工作提供依据。进行流量控制和用户审核。 三 网络安全设计方案 xxx网络拓扑图示意图 1 对内安全 利用VLAN的安全特性，按照学校各部分的基本工作性质结合楼宇的分布划分子网网段：172.31.10段，十三栋宿舍；172.31.20段，三个食堂；172.31.30段，为体育馆；一方面对子网内信息点设置访问控制，另一方面对不同子网的访问进行控制。 服务器访问控制：通过密码、口令（不定期修改、定期保存密码与口令）等禁止非授权用户对服务器的访问。 c) 对用户进行流量控制和用户审核。 2 对外安全 安装软件、硬件防火墙，网络防病毒软件，客户端防病毒软件；利用代理服务器提供Internet与内网之间的防火墙功能；通过网管实时记录网络的运行状态。 3 网络可靠性设计 网络主干采用基于树型的多星型结构，使之具有链路冗余特性，能使树型中有一线路出现故障时，只有本线路出故障，其它网络部分仍然能正常运行。 。 5 基于端口的虚网划分 利用VIAN国际标准802.1Q，实现跨交换机的VLAN，通过IEEE802.1d协议所支持的生成树技术（Spanning Tree），实现各中继之间的负载均衡；采用VLANPruning技术来优化交换网络中广播对网络性能的影响。 6 网络管理方案设计 根据学校和服务器应用模式及全网范围资源集中管理的原则，建立网管中心（中心机房），统一网络中的交换设备的管理配置，虚网设计和配置，各种服务建立等。建立安全管理制度。提高包括系统管理员和用户在内的人员的技术素质和职业道德修养。对重要部门和信息，严格做好开机查毒，及时备份数据。对计算机用户的安全教育、建立相应的安全管理机构、不断完善和加强计算机的管理功能。加强计算机安全管理、加强用户的法律、法规和道德观念，提高计算机用户的安全意识。对计算机用户不断进行法制教育，包括计算机安全法、计算机犯罪法、必威体育官网网址法、数据保护法等，明确计算机用户和系统管理人员应履行的权利和义务，自觉遵守合法信息系统原则、合法用户原则、信息公开原则、信息利用原则和资源限制原则，自觉地和一切