大型企业网络解决方案（一）

责任编辑：宏鹏来源：武汉北大青鸟鲁广校区时间：12-23

导读：大型网络解决方案的目标是在不影响某大型企业局域网当前业务的前提下，实现对他们局域网面的安管理。

章

　　本方案为某大型局域网网络安解决方案，包括原有网络系统分析、安需求分析、安目标的确立、安体系结构的设计等。本安解决方案的目标是在不影响某大型企业局域网当前业务的前提下，实现对他们局域网面的安管理。

　　1.将安策略、硬件及软件等方法结合起来，构成一个统一的防御系统，有效阻止非法用户进入网络，减少网络的安风险。

　　2.定期进行漏洞扫描，及时发现问题，解决问题。

　　3.通过入侵检测等方式实现实时安监控，提供快速响应故障的手段，同时具备很好的安取证措施。

　　4.使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态，大限度地减少损失。

　　5.在工作站、服务器上安装相应的防病毒软件，由中央控制台统一控制和管理，实现网统一防病毒。

第二章网络系统概况

2.1 网络概况

　　这个企业的局域网是一个信息点较为密集的千兆局域网络系统，它所联接的现有上千个信息点为在整个企业内办公的各部门提供了一个快速、方便的信息交流平台。不如此，通过专线与Internet的连接，打通了一扇通向外部世界的窗户，各个部门可以直接与互联网用户进行交流、查询资料等。通过公开服务器，企业可以直接对外发布信息或者发送电子邮件。高速交换技术的采用、灵活的网络互连方案设计为用户提供快速、方便、灵活通信平台的同时，也为网络的安带来了更大的风险。因此，在原有网络上实施一套完整、可操作的安解决方案不是可行的，而且是必需的。

2.2 网络结构的特点

　　在分析这个企业局域网的安风险时，应考虑到网络的如下几个特点：

　　1.网络与Internet直接连结，因此在进行安方案设计时要考虑与Internet连结的有关风险，包括可能通过Internet传播进来病毒，黑客攻击，来自Internet的非授权访问等。

　　2.网络中存在公开服务器，由于公开服务器对外必须开放部分业务，因此在进行安方案设计时应该考虑采用安服务器网络，避免公开服务器的安风险扩散到内部。

　　3.内部网络中存在许多不同的子网，不同的子网有不同的安性，因此在进行安方案设计时，应考虑将不同功能和安级别的网络分割开，这可以通过交换机划分VLAN来实现。

　　4.网络中有二台应用服务器，在应用程序开发时就应考虑加强用户登录验证，防止非授权的访问。

第三章网络系统安风险分析

　　随着Internet网络急剧扩大和上网用户迅速增加，风险变得更加严重和复杂。原来由单个计算机安事故引起的损害可能传播到其他系统，引起大范围的瘫痪和损失；另外加上缺乏安控制机制和对Internet安政策的认识不足，这些风险正日益严重。

　　网络安可以从以下三个方面来理解：1 网络平台是否安；2 系统是否安；3 应用是否安；。针对每一类安风险，结合这个企业局域网的实际情况，我们将具体的分析网络的安风险。

3.1 网络平台的安风险分析

　　网络结构的安涉及到网络拓扑结构、网络路由状况及网络的环境等。

　　公开服务器面临的威胁

　　这个企业局域网内公开服务器区（WWW、EMAIL等服务器）作为公司的信息发布平台，一旦不能运行后者受到攻击，对企业的声誉影响巨大。同时公开服务器本身要为外界服务，必须开放相应的服务；每天，黑客都在试图闯入Internet节点，这些节点如果不保持警惕，可能连黑客怎么闯入的都不知道，甚至会成为黑客入侵其他站点的跳板。因此，规模比较大网络的管理人员对Internet安事故做出有效反应变得十分重要。我们有必要将公开服务器、内部网络与外部网络进行隔离，避免网络结构信息外泄；同时还要对外网的服务请求加以过滤，只允许正常通信的数据包到达相应主机，其他的请求服务在到达主机之前就应该遭到拒绝。

　　整个网络结构和路由状况

　　安的应用往往是建立在网络系统之上的。网络系统的成熟与否直接影响安系统成功的建设。在这个企业局域网络系统中，只使用了一台路由器，用作与Internet连结的边界路由器，网络结构相对简单，具体配置时可以考虑使用静态路由，这就大大减少了因网络结构和网络路由造成的安风险。

3.2系统的安风险分析

　　所谓系统的安显而易见是指整个局域网网络操作系统、网络硬件平台是否可靠且值得信任。

　　网络操作系统、网络硬件平台的可靠性，我们可以这样讲：没有完安的操作系统。但是，我们可以对现有的操作平台进行安配置、对操作和访问权限进行严格控制，提高系统的安性。因此，不但要选用尽可能可靠的操作系统和硬件平台。而且，必须加强登录过程的认证（特别是在到达服务器主机之前的认证），确保用户的合法性；其次应该严格限制登录者的操作权限，将其完成的操作限制在小的范围内。

3.3应用的安风险分析

　　应用系统的安跟具体的应用有关，它涉及很多方面。应用系统的安是动态的、不断变化的。应用的安性也涉及到信息的安性，它包括很多方面。

　　应用的安性涉及到信息、数据的安性：信息的安性涉及到：机密信息泄露、未经授权的访问、破坏信息完整性、假冒、破坏系统的可用性等。由于这个企业局域网跨度不大，绝大部分重要信息都在内部传递，因此信息的机密性和完整性是可以保证的。对于有些特别重要的信息需要对内部进行保密的（比如子网、财务系统传递的重要信息）可以考虑在应用级进行加密，针对具体的应用直接在应用系统开发时进行加密。