2022年网络安全规划书 .pdf

上传人:H****o 文档编号:39719647 上传时间:2022-09-07 格式:PDF 页数:5 大小:39.73KB
返回 下载 相关 举报
2022年网络安全规划书 .pdf_第1页
第1页 / 共5页
2022年网络安全规划书 .pdf_第2页
第2页 / 共5页
点击查看更多>>
资源描述

《2022年网络安全规划书 .pdf》由会员分享,可在线阅读,更多相关《2022年网络安全规划书 .pdf(5页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、南通质监局网络安全规划书一、功能需求、网络构架在整个业务流程中我们根据功能需求,将网络分为互联网,政务外网,政务内网三部分:互联网负责与外部网络进行数据交换,政务外网包括各质监业务系统,政务内网负责与政府各部门的公文交换;内网与外部网络间设置防火墙,内外网数据通过数据交换平台进行交互;政务内网与其他网络物理隔离,通过专线连接政府网络,实现信息交换。二、网络安全规划(一)计算机系统安全级别网络安全从本质上讲就是网络上的信息安全。计算机网络是由一个一个计算机系统节点组成,每个节点都是影响整个网络安全的重要环节。质监网络系统应保护质监数据和质监信息的安全,对存取数据的权限进行控制,确保非授权用户无法

2、访问数据,对用户进行多级授权。(二)与外网数据交换安全规划质监网络系统通过防火墙与互联网进行隔离,实现访问控制:互联网用户只允许访问浏览质监门户网和访问对外公开的业务系统;对非法用户进行过滤,避免非法用户通过数据名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页,共 5 页 -交换平台对内网访问。为了防止其它外网用户进入内部网络,采用 SSL-VPN专用通道,对访问权限进行控制,更好的保护了内部的网络和系统安全。(三)安全产品选型网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对

3、两个或多个网络之间传输的数据包按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,同时监视网络运行状态。目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型。包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。但它的缺陷也是明显的,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入。代理型防火墙也可被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发

4、展。代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基名师资料总结-精品资料欢迎下载-名师精心整理-第 2 页,共 5 页 -于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。监测型防火墙是新一代的产品,不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品。它能对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上有效地判断出各层中的非法侵入,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。其缺点是实现成本较高,不易管理

5、。所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙。考虑到质监网络系统的安全性需求和成本因素,应选用综合性网络防火墙,外网采用包过滤及地址转换为主的防火墙;辅助于监测型技术,以减少成本,提高安全性需求。为防止出现单点故障影响整个网络的连通性,采用双防火墙做虚拟化冗余的技术,既提高了防火墙的整体性能,避免出现访问瓶颈,又提高了系统的稳定性。三、安全策略定制(一)网络IP 地址的分配名师资料总结-精品资料欢迎下载-名师精心整理-第 3 页,共 5 页 -IP 地址规划是TCP/IP 网络规划中极其重要的组成部分。在网络系统安装调试前要做好需求分析,并以

6、此做好IP地址规划和子网划分工作。根据目前的网络规模以及今后预期网络发展方向,采用NIC(国际网络信息中心)定义的Internet 保留 IP 地址中的C 类网段 IP 地址作为内网私有IP 地址。市局内网采用的IP 网段 10.132.97.0,每个子网最多有254 台主机。10.132.97.0 Network address 255 255 255 0Subnet Mask(二)防火墙的关键配置防火墙对内以太网端口eth1:类型 10/100M baseT;IP 地址10.132.96.2 掩码 255.255.255.0 对外以太网端口eth0:类型 10/100M baseT;IP

7、地址218.91.233.210 掩码 255.255.255.248 包过滤包过滤技术为防火墙提供最基本的安全保障,包过滤为所有进出网络的数据提供一个有用的阻塞点,通常在正常数据包通过时,他表现得同普通路由器一样,只有有些地址被禁入或禁出时,才表现出与普通路由器的不同。名师资料总结-精品资料欢迎下载-名师精心整理-第 4 页,共 5 页 -包过滤技术可以允许或拒绝某些地址的数据包通过防火墙进入网络。对包过滤规则的设定依据有:数据包的源端,目的端地址;数据包的传送协议;每个包使用的端口;数据包的传输方向;数据包通过的网络接口;数据包通过的时间;用户身份是否通过认证。(三)地址转换NAT 网络地

8、址转换技术(Network Address Translation)的基本实现方法是进行IP 地址的映射和端口转换。网络地址转换与包过滤一起使用,能起到更好的安全保障。入侵监测入侵防御(IPS)作为一种主动的安全防御技术,通过分析网络数据流实时发现和跟踪网络攻击和违规活动,对网络进行实时监测,提供对外部攻击、内部攻击、误操作的主动保护,是一个完整的安全体系中不可缺少的组成部分。通过对网络层、应用层的监测能够处理一些攻击及探测,如网络层的 IP Fragment、ICMP Smurf攻击、端口扫描等;应用层 ActiveX,JAVA,Cookies,JAVASCRIPT侵入等。四、总结网络安全是一个庞大而复杂的工程,安全和反安全就像矛盾的两个方面,总是不断攀升,所以网络安全也会随着新技术的产生而不断发展,是未来电子化、信息化所共同面临的问题。名师资料总结-精品资料欢迎下载-名师精心整理-第 5 页,共 5 页 -

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 技术资料 > 技术总结

本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知淘文阁网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

工信部备案号:黑ICP备15003705号© 2020-2023 www.taowenge.com 淘文阁