《公司网络安全架构的设计与实现方案毕业论文.docx》由会员分享,可在线阅读,更多相关《公司网络安全架构的设计与实现方案毕业论文.docx(11页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、公司网络安全架构的设计与实现方案毕业论文 公司网络安全架构的设计与实现方案毕 业论文 目录 目录 0 前言 (2) 第1章公司现状 (4) 1.1 公司简介 (4) 1.2 公司网络状况 (5) 1.3 公司网络安全问题 (6) 1.3.1 主要安全隐患 (6) 1.3.2 具体的网络安全问题 (7) 第2章网络安全架构需求分析 (8) 2.1 保证内网安全 (8) 2.2 保证广域网接入的安全 (8) 2.3 保证远程访问的安全 (8) 第3章网络安全架构实现具体方案 (9) 3.1 设备链接拓扑图与网络划分 (9) 3.2 防火墙的架构与实现 (10) 3.2.1 连接与登录配置 (10)
2、 3.2.2 透明模式(网桥模式)的安装与部署 (13) 3.2.3 内外网互访策略编辑与管理 (14) 3.2.4 L2TP配置 (17) 3.4 入侵检测系统的架构与实现 (21) 3.4.1 IDS设备部署与配置 (21) 3.4.2 IDS入侵检测 (24) 3.5 信息安全管理审计系统架构与实现 (28) 3.5.1 系统的部署及系统登录 (28) 3.5.2 网络访问与网络日志查看 (30) 3.5.3 监控策略的应用 (31) 3.6 内网保密安全系统的架构与实现 (36) 3.6.1内网保密软件的部署及登录 (36) 3.6.2 上网行为监控 (37) 3.7 趋势科技防毒墙配
3、置 (39) 第4章安全架构实现效果验证 (44) 4.1 防火墙的架构与实现效果验证 (44) 4.2 入侵检测的架构与实现效果验证 (47) 4.3 内网安全的架构与实现效果验证 (48) 第5章总结 (49) 参考文献 (50) 前言 物流是指利用现代信息技术和设备,将物品从供应地向接收地准确的、及时的、安全的、保质保量的、门到门的合理化服务模式和先进的服务流程。物流是随商品生产的出现而出现,随商品生产的发展而发展,物流是一种古老的传统的经济活动。以前的物流企业一直是单纯的靠交通工具和人力劳动来运作整个公司的。但是随着网络的出现和发展,各行各业都随之改变,物流行业当然也受到很大的影响。
4、如今网络正在逐步步入成熟阶段,网络、数据库等相关的应用技术在不断发展,网络运营及电子商务也被广泛应用。物流行业也从传统的人力劳动行业发展为结合信息技术为消费者提供服务的行业。物流是将物品从供应地向接收地准确的、及时的、安全的、保质保量的、门到门的合理化服务模式和先进的服务流程。物流是随商品生产的出现而出现,随商品生产的发展而发展,物流即意味着企业的生产、流通的全部。而随着网络在企业中的普及和发张,物流行业也在走入物流信息化,物流信息化的定义是:利用信息技术整合企业内部的业务流程,使企业向着规模经营、网络化运作的方向发展。物流信息化是物流企业相互融合的重要手段。物流信息化因此是企业间和企业内部物
5、流过程中所产生数据的全部记录。物流配送中心建设信息系统应充分支持管理者制订物流运作计划和实际的业务操作。尽管现代物流配送中心日趋向多样化和全面化发展,但构成其核心竞争能力或有助于其获取竞争优势的还是其核心业务,如汇集客户的发货信息、组织货物的入库、配货、分拣、储存、出库、配送等。 物流行业正以信息技术为手段,向综合性物流企业发展,积极发展第三方物流,实现物流的社会化、专业化、规模化,大幅度提升物流产业的优势。然而许多物流公司有简单的网络平台,但是却缺乏合理的网络安全设计和管理,其企业操作人员缺乏网络安全知识,所有的计算机基本上都在互联网裸奔,不断的被黑客种下病毒、木马,然后被劫持当成肉鸡,给公
6、司带来麻烦甚至导致整个网络的瘫痪,造成公司 内部存储的信息丢失;甚至于内部人员为了利益窃取出卖公司的利益,使公司造成重大的损失。正是如此,物流公司也越来越重视网络安全,甚至重新打造一个稳定的平台。 09网络设计与管理一班何岩0940217114 第1章公司现状 1.1 公司简介 有限公司是一家以国内公路运输和航空货运代理的综合物流企业,在物流界享誉较高的知名度。公司秉承“诚信为本,速度至上”的服务理念,保持积极进取、注重服务的态度,培养自己的人才,通过不断的优化服务和信息化系统的搭建,提升运输网络和标准化体系,创造最优化的运营模式,为广大客户提供安全、快速、专业、满意的物流服务。一直以来,公司
7、都致力于与员工共同发展和成长,打造人企双赢局面,努力创造更多的社会效益,努力将晨曦打造成为中国人信任的国内物流运营商,实现“为中国提速”的使命。公司主要经营:晨曦运物流有限公司以及江西运输子公司、浙江运输子公司.有限公司成立于2022年07月04日,现拥有员工150多名,是一家集运输仓储配送于一体的物流公司。 现在的公司部门及职责如图1-1所示: 图1-1公司架构及职责 公司经过长期的努力,现已成为一家组织健全,经验丰富的公路运输和航空 4 货运代理的综合物流企业。 1.2 公司网络状况 该公司是物流业中进行企业信息化建设较早的公司,信息化建设的主要目的是用于公司信息统计等基础性工作。该公司的
8、网络拓扑图如图1-2所示: 图1-2公司网络拓扑图 该公司的局域网是一个信息点相对较为密集的百兆局域网系统,它所联接的 现有近百个信息点为在整个公司内办公的各单位部门提供了一个信息交流平台。不仅如此,通过专线与Internet的连接,各个部门授权用户可以直接与互联网用户进行交流、查询资料等。 这个公司的访问区域可以划分为三个主要的区域:Internet区域、内部网络、公开服务器区域。Web等服务器和办公区客户机,通过内部网络的相互连接,然后与外网互联。基于基础的安全的考虑,在交换机上按地域和部门划分了五个网段。 1.3 公司网络安全问题 公司一段时间后,基本实现了公司的办公信息化,但由于当初的
9、投资力度及意识不够,以及公司领导未重视网络安全方面,导致公司的网络出现重大漏洞。在2022年10月份被人潜入公司内部网络,导致信息部中一项重要的招标文件泄露,被竞争公司知晓,以1万元的差距落选了该项目,导致公司的利益受到相当大的损害。为此,公司开始重视网络安全。在对公司的网络安全进行全面检查后,发现以下问题。 1.3.1 主要安全隐患 (1)病毒的入侵 在之前的规划中,只提到了加大公司信息化管理的投资力度、采用计算机处理数据、进行网络建设,而对于网络安全方面的建设力度较小,这样就使的黑客很容易就能在公司电脑植入病毒,从而引发重大灾情。 (2)内部人员操作缺乏安全意识 如今网络发展迅速,但是网络
10、安全技术和信息的应用普及相对滞后,内部人员缺乏安全方面的的培训和学习,很容易忽略安全设备和系统,不能使其发挥相对的作用,这使的公司的网络存在较大的安全隐患。 (3)设备物理安全 由于网络中大部分的设备都是通过通信电缆通信的,为了布局合理性,往往核心设备都是放置在一个机房的,公司的机房只有简单的上锁没有专人巡查看守,这使得公司的网络物理设备存在较大的安全隐患。 1.3.2 具体的网络安全问题 (1) 公司网络拓扑不合理问题,没有硬件防火墙 公司网络中,没有做到内部网络与外部网络的安全隔离,在公司网络拓扑设计上只采用服务器经过路由器上网,而没有配置防火墙,内外网互联存在着很大的漏洞。 (2) 用户
11、身份认证问题 在公司网络系统中,对具有远程访问权限的用户连接没有采用加密与身份认证手段。 (3)没有入侵检测技术和网络监控技术,对于入侵的目标无迹可寻,内网安全存在严重漏洞,没有办法有效的保护公司的信息安全。 第2章网络安全架构需求分析 针对有限公司将再开设一个公司的情况,结合有限公司现在的网络状况和现有条件,对网络安全设计方面提出一下几点构思。 2.1 保证内网安全 针对有限公司招标文件泄密的情况,保证内网安全是首要任务。主机防火墙的出现解决了其中比较矛盾突出的问题,也是最基本的问题,就是关于基础安全;而近几年日趋完善的桌面或终端内网安全管理类产品的出现实现了集中的内网计算机安全管理,提供了
12、对于内网两方面需求的满足即安全与管理 2.2 保证广域网接入的安全 Internet是一个高度开放的大环境,用户接入Internet就意味着完全将自己暴露在危机四伏的处境。通过网络防火墙可以过滤来自Internet的大部分攻击,防火墙能强化安全策略。防火墙能有效地记录Internet上的活动、限制暴露用户点、隔开网络中一个网段与另一个网段。这样,能够防止影响一个网段的问题通过整个网络传播。防火墙是一个安全策略的检查站,所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外。 2.3 保证远程访问的安全 远程访问是通过公众网来传输私有数据,因此保证数据安全性是远程
13、访问的关键环节。远程访问由于使用Internet作为承载介质,VPN必须有足够的安全保障功能,通过高强度的加密算法保证数据不被侦听或篡改,确保接入用户身份的唯一性。另外,还可以控制用户对内网资源的访问权限,做的指定人访问指定资源,访问均在控制之中。 第3章网络安全架构实现具体方案 3.1 设备链接拓扑图与网络划分 通过对有限公司的现有网络情况进行分析后,硬件方面决定在现有网络上部署一台防火墙以及NIDS设备,软件方面决定采用趋势科技的防毒墙,设备链接拓扑图如图3-1所示: 图3-1网络安全设备链接拓扑图 结合图3-1和图1-2情况考虑,打算对网络进行表3-1的划分: 1、WAN口接入一台PC作
14、为外部主机(开启22端口和21端口即SSH服务和FTP服务),地址10.0.0.100/24,网关指向10.0.0.1; 2、DMZ口接入一个Web服务器提供Web服务和一个文件服务器提供文件服务,web服务器地址172.16.0.2/29网关指向172.16.0.1;文件服务器地址为172.16.0.3/29网关指向172.16.0.1; 3、LAN区域接入一个192.168.1.0/24的子网,网关指向192.168.1.1。 表3-1 网络划分 网络区域网段网关 LAN区域192.168.1.0/24 192.168.1.1 DMZ区域172.16.0.0/29 172.16.0.1 W
15、AN区域10.0.0.0/24 10.0.0.1 4、IP网段是连续的IP地址,为:192.168.0.1-192.168.0.168 5、防火墙管理pc机的IP为:192.168.0.1 6、NIDS管理pc机的IP为:192.168.0.2 7、信息安全管理审计系统管理pc机的IP为:192.168.0.3 8、内网保密安全系统的管理终端IP为:192.168.0.4 9、Web服务器IP地址为:172.16.0.2 10、文件服务器IP地址为:172.16.0.3 11、内网保密安全系统的总控中心服务器IP为:172.16.0.4 12、外网pc1IP为:10.0.0.100 13、内网pc1IP为:192.168.1.2 14、内网pc2IP为:192.168.1.6 15、内网pc3IP为:192.168.1.163 3.2 防火墙的架构与实现 3.2.1 连接与登录配置 一、设备的选型 针对有限公司的网络分析,经过研究实验,决定采用蓝盾公司型号为