计算机网络安全设计报告.docx

《计算机网络安全设计报告.docx》由会员分享，可在线阅读，更多相关《计算机网络安全设计报告.docx（56页珍藏版）》请在三一办公上搜索。

1、工学院学院综合报告报告名称：计算机安全专业 级 班姓名： 成绩： 指导老师： 杨在华 2011 年 6 月第一章 办公局域网安全策略防火墙篇- 1 -一、引言- 1 -二、关键词注释- 3 -2.1 防火墙- 3 -2.2 工作站- 3 -2.3路由器- 3 -三、企业现有网络结构- 5 -四、用户现有需求及总体架构设计- 7 -4.1网络拓扑结构- 7 -4.2网络系统组成- 7 -4.3安全策略- 8 -五、效果- 11 -5.1服务器系统安全- 11 -5.2网络防病毒系统- 11 -5.3网络安全设备选型与配置- 11 -六、资金预算- 13 -第二章 办公局域网入侵检测篇- 17 -

2、一、引言- 17 -二、关键词注释- 19 -2.1 防火墙- 19 -2.2 入侵检测- 19 -2.3 协议- 19 -三、企业现有网络结构- 21 -四、入侵检测技术设计与应用- 23 -4.1入侵检测系统- 23 -4.2网络方案- 24 -4.3网络架构图- 24 -4.4 IP地址及VLAN的划分- 26 -五、效果与评价- 27 -六、资金预算- 29 -第三章 办公局域网安全策略VPN与流量控制篇- 33 -一、使用VPN的必要性- 33 -二、VPN的可行性- 35 -2.1技术的可行性- 35 -2.2经济的可行性- 35 -2.3社会可行性- 35 -三、VPN的技术方案

3、- 37 -3.1需求分析- 37 -3.2使用的网络逻辑结构图- 38 -3.3技术方案- 38 -四、 VPN技术投入的造价- 41 -五、流量控制的必要性- 43 -5.1企业网络带宽资源由于缺少监管造成带宽分配不合理- 43 -5.2一般大中型企业职工人数众多，企业网内Pc终端数量较多- 43 -六、流量控制的可行性- 45 -6.1技术的可行性- 45 -6.2经济的可行性- 45 -6.3社会的可行性- 45 -七、流量控制的技术方案- 47 -7.1流量控制捕捉和分类- 47 -7.2流量控制监视（分析）- 47 -7.3控制策略- 47 -八、资金预算- 49 -办公局域网安全

4、策略防火墙篇项目名称办公局域网安全策略防火墙篇班级名称计科0801班姓 名栗俊恒学 号080102060069指导老师杨在华第一章 办公局域网安全策略防火墙篇一、引言 随着办公自动化的需要，办公室使用的计算机数目越来越多，并且，一些办公设备如打印机、传真机和扫描仪等也是用户所必须使用的。面对这种情况，最好的解决的办法是组建一个办公局域网，共享这些资源。局域网（LAN）是指在小范围内由服务器和多台电脑组成的工作组互联网络。由于通过交换机和服务器连接网内每一台电脑，因此局域网内信息的传输速率比较高，同时局域网采用的技术比较简单，安全措施较少，同样也给病毒传播提供了有效的通道和数据信息的安全埋下了隐

5、患。局域网的网络安全威胁通常有以下几类：（1）欺骗性的软件使数据安全性降低；（2）计算机病毒及恶意代码的威胁；（3）服务器区域没有进行独立防护；（4）IP地址冲突；（5）局域网用户安全意识不强；正是由于局域网内应用上这些独特的特点，造成局域网内的病毒快速传递，数据安全性低，网内电脑相互感染，病毒屡杀不尽，数据经常丢失。随着Internet、网络信息技术的迅速发展及各种应用的日益普及，各单位计算机局域网已成为重要的基础设施，但随之而来的网络安全问题也显得尤为重要。凡事“有利必有一弊”，人们在得益于信息所带来的新的巨大机遇的同时，也不得不面对信息安全问题的严峻考验。“黑客攻击”网站被“黑”，“CI

6、H病毒”无时无刻不充斥在网络中。“电子战”已成为国与国之间，商家与商家之间的一种重要的攻击与防卫手段。因此信息安全，网络安全的问题已经引起各国，各部门，各行各业以及每个计算机用户的充分重视。就目前而言，对于局部网络的保护，防火墙仍然不失为一种有效的手段。防火墙是一种非常有效的网络安全模型。主要用来保护安全网络免受来自不安全网络的入侵，比如安全网络可能是企业的内部网络，不安全网络是因特网。但防火墙不只是用于因特网，也用于Internet中的部门网络之间。在逻辑上，防火墙是过滤器限制器和分析器；在物理上，防火墙的实现有多种方式。通常，防火墙是一组硬件设备路由器。二、关键词注释2.1 防火墙防火墙（

7、Firewall）是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间实现访问控制的一个或一组已经或软件系统。它是一道“门槛”，能有效的把互联网与内部网隔开，从而保护内部网免受非法用户的入侵。在某种意义上，防火墙就像一个私人俱乐部的看门人，他检查每个人的ID，并确保只有俱乐部会员才能通过该们进入。2.2 工作站工作站是一种高档的微型计算机，通常配有高分辨率的大屏幕显示器及容量很大的内存储器和外部存储器，并且具有较强的信息处理功能和高性能的图形、图像处理功能以及联网功能。2.3路由器路由器：连接因特网中各局域网、广域网的设备，它会根据信道的情况自动选择和设定路由，以最佳路径

8、，按前后顺序发送信号的设备。三、企业现有网络结构本企业计算机网络是以3Com公司CoreBuilder 9000为企业核心层交换机，以3Com CoreBuilder 7000HD、CoreBulider 3500和Cisco Catalyst 4006为各二级单位分布层交换机，以3Com SSII 1100/3300和Cisco Catalyst 3500为访问层交换机的三层星型网络结构，采用先进的千兆以太网技术，融合历史的ATM网络技术，结合Cisco 2511、1601等提供的DDN链路进行远程局域网络连接和移动用户拨号访问，利用Cisco 3661 的2M DDN 串型链路连接Inte

9、rnet。 图3-1星型网络结构四、用户现有需求及总体架构设计4.1网络拓扑结构图4-1办公局域网网络拓扑结构图4.2网络系统组成硬件系统是计算机网络的基础。硬件系统中设备的组合形式决定了计算机网络的类型。 （1）服务器(Unix系统)服务器是一台速度快,存储量大的计算机,它是网络系统的核心设备,负责网络资源管理和用户服务。服务器可分为文件服务器、远程访问服务器、数据库服务器、打印服务器等,是一台专用或多用途的计算机。在互联网中,服务器之间互通信息,相互提供服务,每台服务器的地位是同等的。服务器需要专门的技术人员对其进行管理和维护,以保证整个网络的正常运行。 (2)工作站工作站是具有独立处理能

10、力的计算机,它是用户向服务器申请服务的终端设备。用户可以在工作站上处理日常工作,并随时向服务器索取各种信息及数据,请求服务器提供各种服务(如传输文件,打印文件等等)。(3)路由器路由器(Router)是互联网中使用的连接设备。它可以将两个网络连接在一起,组成更大的网络。被连接的网络可以是局域网也可以是互联网,连接后的网络都可以称为互联网。路由器不仅有网桥的全部功能,还具有路径的选择功能。路由器可根据网络上信息拥挤的程度,自动地选择适当的线路传递信息。(4)交换机交换机的三个主要功能：学习：以太网交换机了解每一端口相连设备的MAC地址，并将地址同相应的端口映射起来存放在交换机缓存中的MAC地址表

11、中。转发/过滤：当一个数据帧的目的地址在MAC地址表中有映射时，它被转发到连接目的节点的端口而不是所有端口(如该数据帧为广播/组播帧则转发至所有端口)。消除回路：当交换机包括一个冗余回路时，以太网交换机通过生成树协议避免回路的产生，同时允许存在后备路径。4.3安全策略PIX 防火墙能对诸如Web、FTP、Telnet、和 SMTP等网络服务，分别提供安全策略，使企业网络安全配置具有灵活性和高性能。为了有效地在企业网络中使用防火墙，需要规划网络安全策略以保护重要的数据资源，通过建立和改进企业网络安全策略，能防止企业外部网络的非法恶意攻击，控制企业网络失效的概率。 网络安全策略必须确保用户只能执行

12、被授权的任务和获取被授权的信息，不能具有对关键数据、应用程序和系统操作环境破坏的能力。为了建立全面的网络安全策略，网络管理员需确定以下作：（1）出企业网络完全示意图，说明系统连接至Internet细节，服务器细节及相应的IP地址。（2）识出应被保护的系统，能被外部网络访问的系统等。PIX 防火墙的网络地址转换功能（NAT）能实现这些功能。（3）识出内部网络的么服务能被外部网络访问，并说明外部用户访问这些服务所需的验证和授权方法、类型。（4）标识出与防火墙协调工作的路由器。需要说明的是，PIX防火墙不能防止来自网络内部的恶意攻击，为了防止这些内部威胁，所有的内部网络用户只需分配与其工作相适应的最

13、小权限。我们以校园计算机网络为例，根据PIX防火墙的功能，说明企业网络安全策略的规划和实施。根据办公室计算机网络Internet访问的系统配置，画出系统示意图：Internet 127.104.10.24 Pix525FirewallInside 10.124.1.253AAA、DNS服务器10.124.1.11CoreBuilder 9000 10.124.1.99 邮件服务器10.124.1.12WWW服务器10.124.1.13办公网络10.124.0.0交换机 Outside 127.104.10.23WWW、DNS服务器126.103.100.30图4-1 防火墙配置结构图在此网络中

14、，PIX防火墙安装了两个接口，一个内部接口Inside（10.124.1.253）和一个外部接口Outside（127.104.10.23），Inside接口连接企业内部网络10.124.0.0，Outside接口连接外部Internet。Inside接口连接的企业内部网络使用私有IP地址，Outside接口连接的外部的网络连接设备使用Internet合法的IP地址。此网络的Internet的访问使用一台Cisco 3600路由器，通过2M DDN数据专线连接至Internet，防火墙外设置的一台服务器主要作为DNS服务，进行Web和电子邮件的域名解析。基本的Internet访问安全策略是内部

15、网络授权用户可以访问外部Internet，而外部Internet用户不能访问内部网络；E-mail服务实现内外部网络电子邮件的相互访问，允许外部Internet电子邮件进入内部网络，即内部网络用户只需设置一个邮件账号，即可实现内部网络和外部Internet网络电子邮件的收发；实现企业信息的对外发布。根据上述安全策略的要求，内部网络需设置一台使用Cisco ACS 2.3软件的AAA验证服务器以适合PIX 525防火墙实现Internet访问的授权，只有授权用户才能进行相应服务类型的Internet访问。为了实现内部网络用户访问Internet，利用PIX防火墙的网络地址转换（NAT）功能，将内

16、部网络地址转换为外部合法IP地址。为了允许外部网络访问内部E-mail服务资源，利用PIX防火墙的静态地址映射（Static）功能，将外部虚拟邮件服务器地址127.104.10.25和内部网络邮件服务器地址10.124.1.12映射捆绑而实现内外部网络电子邮件的收发。例如，当内部用户向外部网络发送E-mail时，PIX防火墙将10.124.1.12地址转换为127.104.10.25；当外部用户向内部网络发送E-mail时，PIX防火墙将127.104.10.25地址转换为10.124.1.12，从而实现内外部邮件的收发。为了实现企业信息的对外发布，即可使外部用户访问内部WWW服务器，也可在防

17、火墙外部Outside网络端或Perimeter网络端设置WWW服务器，我们在此选择了在防火墙外部Outside网络端设置了一台WWW服务器用于企业信息的对外发布，此服务器也可进行外部合法IP地址的解析。通过对网络安全策略的分析，总结具体的实现方法，就可利用防火墙相应的功能进行适当的配置以实现Internet访问的安全。五、效果5.1服务器系统安全服务器系统安全的实现,与网络系统的安全策略紧密相关。校园网系统分为内网和外网,采用防火墙隔离,内网、外网不能直接互相访问。内网、外网之间设置非军事区,所有内网、外网之间的访问全部通过防火墙实现。 基本发上原则,校内的网络应用系统服务器安全。WWW、E

18、-mail等服务器设置在非军事区,以实现内网和外网的访问。 5.2网络防病毒系统建议安装卡巴斯基互联网安全套装6.0，该软件功能强大，可反病毒、扫描网络数据流、系统文件保护、主动防御、反间谍软件。网络防病毒系统要求做到在整个内部网杜绝病毒的感染、传播和发作；要求提供多种防病毒软件的安装方式；网络管理员可远程监控客户机，发现病毒可以及时得到通知；网络管理员可以对网络中每台计算机进行防病毒控制和管理；所有客户端和服务器具有统一的杀毒版本。该用户选择了瑞星公司的杀毒软件网络版，以此为基础作为网络防病毒解决方案，采用分级管理、多重防护的管理架构。5.3网络安全设备选型与配置防火墙定义：防火墙就是一个位

19、于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。防火墙的功能：防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。为什么使用防火墙呢？防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等。六、资金预算硬件费用：思科PIX-535-FO-BUN*房间数=45600*9=

20、410400元；网络双绞线1800m*1元/ m =1800元；人员费用：高级工程师2名*8000元/名=16000元；布线员5名*1500元/名=7500元；总计：硬件费用+人员费用=410400+1800+16000+7500=435700元。办公局域网安全策略入侵检测篇项目名称办公局域网安全策略入侵检测篇班级名称计科0801班姓 名栗俊恒学 号080102060069指导老师杨在华第二章 办公局域网入侵检测篇一、引言 随着办公自动化的需要，办公室使用的计算机数目越来越多，并且，一些办公设备如打印机、传真机和扫描仪等也是用户所必须使用的。面对这种情况，最好的解决的办法是组建一个办公局域网，

21、共享这些资源。局域网（LAN）是指在小范围内由服务器和多台电脑组成的工作组互联网络。由于通过交换机和服务器连接网内每一台电脑，因此局域网内信息的传输速率比较高，同时局域网采用的技术比较简单，安全措施较少，同样也给病毒传播提供了有效的通道和数据信息的安全埋下了隐患。局域网的网络安全威胁通常有以下几类：（1）欺骗性的软件使数据安全性降低；（2）计算机病毒及恶意代码的威胁；（3）服务器区域没有进行独立防护；（4）IP地址冲突；（5）局域网用户安全意识不强；正是由于局域网内应用上这些独特的特点，造成局域网内的病毒快速传递，数据安全性低，网内电脑相互感染，病毒屡杀不尽，数据经常丢失。随着Internet

22、、网络信息技术的迅速发展及各种应用的日益普及，各单位计算机局域网已成为重要的基础设施，但随之而来的网络安全问题也显得尤为重要。凡事“有利必有一弊”，人们在得益于信息所带来的新的巨大机遇的同时，也不得不面对信息安全问题的严峻考验。“黑客攻击”网站被“黑”，“CIH病毒”无时无刻不充斥在网络中。“电子战”已成为国与国之间，商家与商家之间的一种重要的攻击与防卫手段。因此信息安全，网络安全的问题已经引起各国，各部门，各行各业以及每个计算机用户的充分重视。入侵检测系统是计算机网络安全的一个重要组成部分，它可以实现实时入侵检测的功能，主动保护网络免受攻击，是防火墙的合理补充。扩展了系统管理员的安全管理能力

23、，提高了信息安全基础结构的完整性。本文进一步比较了防火墙和入侵检测系统各自的区别和联系，经过探究它们的优缺点，提出了将防火墙与入侵检测结合相互取长补短，更好的发挥各自的优势功能这一结论。结合办公网的建设和管理，提出一种在办公网中将防火墙与入侵检测联动起来相互运行的理念，将入侵检测作为防火墙的一个有益的补充，防火墙便可以通过入侵检测及时发现其策略之外所遗漏的攻击行为。入侵检测也可以通过防火墙对来自外部网络的攻击行为进行阻断。这样就可以在不必大幅增加运行成本的基础上大大提高办公网络系统的安全防护水平和网络管理水平。二、关键词注释2.1 防火墙防火墙（Firewall）是指设置在不同网络（如可信任的

24、企业内部网和不可信的公共网）或网络安全域之间实现访问控制的一个或一组已经或软件系统。它是一道“门槛”，能有效的把互联网与内部网隔开，从而保护内部网免受非法用户的入侵。在某种意义上，防火墙就像一个私人俱乐部的看门人，他检查每个人的ID，并确保只有俱乐部会员才能通过该们进入。2.2 入侵检测 入侵检测系统是一种主动防御手段，能够实时分析办公网外部及办公网内部的数据通信信息，检测出入侵行为或分辨入侵企图，在办公网络系统受到危害前以各种方式发出警报，并且及时对网络入侵采取相应措施，最大限度保护办公网系统的安全。通过多级、分布式的网络监督、管理、控制机制，全面体现了管理层对办公网关键资源的全局控制、把握

25、和调度能力。2.3 协议计算机通信网络中两台计算机之间进行通信所必须共同遵守的规定或规则。三、企业现有网络结构本企业计算机网络是以3Com公司CoreBuilder 9000为企业核心层交换机，以3Com CoreBuilder 7000HD、CoreBulider 3500和Cisco Catalyst 4006为各二级单位分布层交换机，以3Com SSII 1100/3300和Cisco Catalyst 3500为访问层交换机的三层星型网络结构，采用先进的千兆以太网技术，融合历史的ATM网络技术，结合Cisco 2511、1601等提供的DDN链路进行远程局域网络连接和移动用户拨号访问，

26、利用Cisco 3661 的2M DDN 串型链路连接Internet。其中以防火墙为代表的静态安全技术，是一种被动的防御技术，它只能对出入网络的数据进行控制，难以防范内部的非法访问。其缺点是不能主动跟踪入侵者，需要人工来实旖和维护；而以入侵检测为代表的动态安全技术则是一种主动防御手段，它能够主动检测网络的易受攻击点和安全漏洞，并且通常能够先于人工探测到危险行为能够实时分析网络内部的通信信息，检测出入侵行为或入侵企图，在网络系统受到危害前以各种方式发出报警，并且及时对网络入侵行为采取相应的措施，最大限度的保护了网络系统的安全。 图3.1 星型网络结构四、入侵检测技术设计与应用4.1入侵检测系统

27、入侵检测系统(IDS)是近几年才出现的新型网络安全技术。入侵检测手段却是一种古老的检测访问者的有效方法。它之所以重要，是因为它可以弥补防火墙的不足，它可以帮助系统对付网络攻击，扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，增强信息安全基础结构的完整性。为网络安全提供有效的入侵检测信息及采取相应的防护手段，如记录证据用于跟踪和恢复、断开网络连接等。如果说防火墙是网络抵御外来入侵的防盗门，那么入侵检测系统就是安装在防盗门上的监视器，两者相辅相成，共同抵挡来自网络内外的攻击。防火墙与入侵检测是网络安全中两个强有力的技术手段，并且二者之间表现出来很大功能互补性。防火墙是位于两个信

28、任程度不同的网络之间(即办公内部网络和Internet之间)的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。但我们也必须看到，作为一种周边安全机制，防火墙无法控制内部网络中的行为，也只能在应用层或网络层进行访问控制，无法对通信的内容数据进行监控。有些安全威胁是防火墙无法防范的，比如很容易通过协议隧道绕过防火墙，而且，防火墙只是一种基于策略的被动防御措施，是一种粗颗粒的防御手段，无法自动调整策略设置来阻断正在进行的攻击，也无法防范基于协议的攻击。所以，单靠防火墙是无法实现良好的安全防护性能的。入侵检测

29、系统是一种主动防御手段，能够实时分析局域网外部及局域网内部的数据通信信息，检测出入侵行为或分辨入侵企图，在办公网络系统受到危害前以各种方式发出警报，并且及时对网络入侵采取相应措施，最大限度保护办公网系统的安全。通过多级、分布式的网络监督、管理、控制机制，全面体现了管理层对办公网关键资源的全局控制、把握和调度能力。即使一个系统中不存在某个特定的漏洞，入侵检测系统仍然可以检测到相应的攻击事件，并调整系统状态，对未来可能发生的侵入做出警告。如果计算机系统具备访问控制能力，而没有入侵检测手段，就会出现就像战争中的一方一直要等到阵地被占领时，才能意识到遭受敌人攻击一样的情况。显然，我们无法完全预防计算机

30、系统受到破坏，但是一旦计算机系统被攻击，我们能够立即实时地检测到攻击并采取相应行动，至少可以防范日后进一步的攻击。这正是入侵检测系统的功能，是我们应付破坏企图的一种方式。入侵检测技术对于保证信息系统安全的作用是不言而喻的。但是，单靠入侵检测系统自身，只能及时发现攻击行为，但却无法阻止和处理。所以，如果让防火墙与入侵检测系统结合起来互动运行，入侵检测系统可以及时发现防火墙策略之外的入侵行为，防火墙可以根据入侵检测系统反馈的入侵信息来进一步调整安全策略，从而进一步从源头上阻隔入侵行为。这样就可以大大提高整个防御系统的性能。入侵检测系统与防火墙的互动原理图如下所示：图4.1 入侵检测与防火墙互动原理

31、 4.2网络方案办公网从结构上讲，可以分成核心、汇聚和接入3个层次；从网络类型来看可以划分为会议子网、办公子网、宿舍子网等。其特点是底下的接入方式非常多，包括拨号上网、宽带接入、无线上网等，各种形式接入的用户类型也非常复杂，有员工、客户以及行政办公人员。另外，办公网通常是双出口结构，可以通过ChinaNet，也可以通过CERNET达到互联网。多层次、业务复杂的特点使得网络安全显得尤为重要。办公网用户访问校外的Cernet/Internet资源都是通过Linux系统下的Squid代理和socks代理进行的。对办公网的用户的收费通常按照网络流量收费。为了对办公网用户进行收费，使用squid提供代理

32、认证服务。办公网采用100M1000M以太网技术，利用高端的具有第三层交换功能的中心交换机连接办公中各建筑物内的子网。4.3网络架构图图4.2 网络架构在此架构中，防火墙采用启用了路由功能的Linux主机，并安装包过滤防火墙IPtables软件加上应用层代理软件Squid和socks。入侵检测系统有三个组成部分，数据捕捉器采用著名的开放源代码的基于网络的SnortIDS，安装Snort的主机(Linux操作系统)用于捕获办公网内部的网络数据，并将相关的警报数据保存到安装有PostgreSQL数据库管理系统的主机(linux操作系统)中，为了对入侵检测数据进行方便有效的监视和分析，同时在该主机中

33、安装了ApacheWeb服务器和PHP脚本语言，从而在入侵检测分析控制台主机(Windows操作系统)的Web浏览器中就可以对检测结果进行分析和监视。入侵检测系统是接入到交换式而不是广播式的网络中，所以要把交换机配置成允许一个端口监视所有的网络流量，然后将安装有Snort的Linux主机连接到那个端口上。因为交换机的核心芯片上一般有一个用于调试的端口(spanport)，任何其它端口的进出信息都可从此得到。如果交换机厂商把此端口开放山来，用户可将入侵检测系统接到此端口上.。4.4 IP地址及VLAN的划分整个网络使用192.168.1.0/20 私有地址块，采用静态ip地址录入的方案。申请21

34、1.1.1.7(WEB)、211.1.1.9(电信网络接入地址)三个公有ip地址，划分10个vlan区域，防火墙启用NAT做地址映射。地址分配方案如下表： 子网VLAN名称IP地址默认网关 1VLAN101192.168.1.0/24192.168.1.254 2VLAN102192.168.2.0/24192.168.2.254 3VLAN103192.168.3.0/24192.168.3.254 4VLAN104192.168.4.0/24192.168.4.254 5VLAN105192.168.5.0/24192.168.5.254 6VLAN106192.168.6.0/24192

35、.168.6.254 7VLAN107192.168.7.0/24192.168.7.254 8VLAN108192.168.8.0/24192.168.8.254 9VLAN109192.168.9.0/24192.168.9.254核心交换机出口-192.168.10.1-Web服务器-211.1.1.7211.1.1.9防火墙入口地址-192.168.10.254-防火墙出口地址-211.1.1.9-五、效果与评价在办公网的www服务器、Email服务器等中使用网络安全监测系统，实时跟监网络，截Internet网上传输的内容，并将其还原成完整的www、Email、FTP、Telnet应用

36、的内容建立保存相应记录的数据库。及时发现在网络上传输的非法内容，及时向上级安全网中心报告，采取措施。在这里可以采取如下方法：用一台PC机通过集掀起连接在网络关键网段上，修改网卡的接收方式，就能接收到这个网段上传输的所有信息。采用这种式对原有网络的传输性能没有影响。系统基本上通过两部分组成。一部分为监控器，主要负责如实的记录下网络上的传输数据，并将其存成硬盘上的文件，交给第二部分后台分析其进行处理。第二部分为后台分析器，负责对前台监控器记录下的数据进行处理，将前台监控器截获的数据拼装、还原成应用层的完整内容。然后在数据库中添加相应的纪录。监控器可以采用一台装有两块仪态网卡的PC机，采用Linux

37、操作系统。分析器可以有一台安装了WindowsNT的PC机承担，运用SQLServer等软件共同开发。这样可以对进入站内的各种信息进行检测，这样可以过滤email等非法信息。同时也可以进行设置，对邮件中的病毒进行检测。从而阻止病毒进入网络。通过以上所采取的入侵检测技术在办公局域网的应用，以及原本局域网中的原有网络安全措施，基本上可以建立一套相对完整的网络安全系统。网络安全是一个系统的工程，不能仅仅依靠防火墙等单个的系统，而需要仔细考虑系统的安全需求，并将各种安全技术，如密码技术等，结合在一起，才能生成一个高效、通用、安全的网络系统。六、资金预算 序号名称数量单位规格型号和质量技术标准价格1入侵

38、检测1套海信h-nids-1000hs，3个千兆电口，1u机架，支持千兆网络检测，全面特征检测、协议分析和内容分析，对网络进行全方位安全监控和审计，与现有防火墙实现联动9.2万元2维护费用2月高级工程师2名*8000元/名1.6万元3费用总计10.8万元办公局域网安全策略VPN与流量控制篇项目名称办公局域网安全策略VPN与流量控制篇班级名称计科0801班姓 名栗俊恒学 号080102060069指导老师杨在华第三章 办公局域网安全策略VPN与流量控制篇一、使用VPN的必要性VPN，即虚拟专用网（Virtual Private Network，VPN）是一种“基于公共数据网，给用户一种直接连接到

39、私人局域网感觉的服务”。VPN极大地降低了用户的费用，而且提供了比传统方法更强的安全性和可靠性。VPN是Internet技术迅速发展的产物。大量Internet通信基础网络或ISP的公共骨干网的建立使人们想到，如果可以保证在低成本的公用通信网络中安全地进行数据交换，就可以使企业以更低的成本连接其办事处、流动工作人员及业务合作伙伴，显著节省使用专用网络的长途费用，降低公司建设自己的广域网（WAN）的成本，而且同时实现信息资源的充分利用。VPN技术使这种设想成为可能：通过采用隧道技术，将企业网的数据封装在隧道中进行传输。通信中双方首先要明确地确认对方的真实身份，进而在公用通信设施中建立一条私有的专

40、用通信隧道，利用双方协商得到的通信密钥处理信息，从而实现在低成本非安全的公用网络上安全的交换信息的目的。VPN实际上就是一种服务，用户感觉好像直接和他们的个人网络相连，但实际上是通过服务商来实现连接的。VPN可以为企业和服务提供商带来以下益处：采用远程访问的公司提前支付了购买和支持整个企业远程访问基础结构的全部费用；VPN能够充分利用现有的网络资源，提供经济、灵活的连网方式，为客户节省设备、人员和管理所需的投资，降低用户的电信费用，在近几年得到了迅速的应用。二、VPN的可行性2.1技术的可行性虚拟专用网（VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱

41、的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。2.2经济的可行性VPN能够大幅度地降低拨号线路和专用线路的月收费。它的设计理念很简单：用户把呼叫发送到本地POP点，然后在互联网上通过隧道传输呼叫，从而节约长途电话费。采用集中式信息访问的企业通常使用专线或帧中继连接远程站点。这些专用线路会产生大幅开

42、支，而且这种开支会因站点之间带宽的增加和距离的延长而增加，因此这些连接成为WAN维护中一项最大的开支。要使站点到站点VPN的方式降低这方面的成本，公司可以通过互联网建立费用较低的连接来代替昂贵的专用链路，大大降低租用链路的费用因为互联网连接对距离是不敏感的。当一个企业自行组建VPN时，客户的费用主要由三个部分组成：一次性投资（如开户费、设备费等）、接入费（即按用户的端口数、带宽等来收费）和通话使用费。从一次性投资和接入费来说，相比单独建设PBX或CENTREX、移动集团电话等都具有优越性。有关的机构估算，如果企业放弃租用专线而采用VPN，其整个网络的成本可节约21%45%，至于那些以电话拨号方

43、式连网存取数据的公司，采用VPN则可以节约通讯成本50%80%。而且，开发新业务的高成本又会提高客户在网络应用方面的边际成本。但是，如果采用VPN服务的话，则客户不需要在业务应用开发方面投入，它的成本主要来自通信使用费。 2.3社会可行性VPN服务还在于其简单便捷的特性。在传统专网上，如果客户要实现新业务应用的话，一般要求客户自己来设计应用新的技术和业务，而在VPN上，企业更集中于主营业务，提高竞争力，同时还能实现专业化程度更强的网络运行维护管理。企业通过VPN建立高效的内部或外部网络，严格的安全控制及简便的安装更为企业带来便捷。通过VPN服务还能帮助企业客户拓展一系列基于Web的新商机。VP

44、N不仅降低了远程访问的成本，更具战略意义：VPN提供了可以对互联网延伸到的各个地方进行的访问的能力；VPN支持丰富而灵活的下一代通讯。VPN最大的价值还体现在安全性上，它可以使任何被授权的客户在空闲的带宽中建立自己的安全链路。有专家指出，VPN极有可能象传真和电子邮件那样，彻底改变人们的生活。三、VPN的技术方案3.1需求分析实从办公系统的网络结构进行需求分析，该系统主要需要实现内网和外网的安全身份认证和SSL通道的建立及数据库的安全访问，具体情况如下。要求能通某公数据/邮件服务器，使用者是外部移动办公用户或分支机构的职员。要求能通过Internet访问办公应用服务器，使用者是外部移动办公用户

45、或分支机构的职员。要求能通过Internet访问企业后台财务系统和人事系统服务器，使用者是外部移动办公用户或分支机构的职员。VPN服务器通过本地数据库的方式来完成用户身份认证。VPN服务器根据用户/用户组的方式来决定用户的访问权限。VPN服务器为客户端与服务器的通信提供SSL加密服务。VPN提供300客户端license。与客户端的接入方式无关,客户端可能通过拨号、代理、NAT等方式连接，无论用哪种连接方式，都能可以通过访问服务器，而不必修改应用程序。3.2使用的网络逻辑结构图图3-13.3技术方案针对上述需求，EverLink SRAC Gateway作为直接连接局域网内部的服务器的中间设备

46、，安放在内部网络的DMZ区，配置两个IP地址，一个为内部地址，一个为外部地址。它完成的功能是在已经建立的安全通道的基础上根据用户提交的用户名/口令确定用户的身份和使用权限，然后为用户建立符合用户身份可以访问的服务器之间的安全通道。在SRAC Gateway和用户之间的通信都是经过SSL加密的安全通道进行传输的，保证信息传输的安全性。同时，所有对服务器的访问必须通过SRAC服务器，这样即使系统受到攻击也是对SRAC服务器的攻击，从而增强了对各应用服务器的保护。在防火墙上屏蔽外网用户对内网服务器的访问，保证了未经许可不能访问内网服务器。在防火墙后面的Switch上安装EverLink SRAC Gateway，该服务器采用双网卡形式，一块网卡分配DMZ区的IP地址，一块网卡接内部网络，分配内部IP地址。利用SRAC Gateway的用户管理功能，增加新用户和用户组。在SRAC