题目:xx公司网络安全架构设计
【摘要】随着网络技术的发展,网络已经融入每个人的生活无处不在了,但是人们在享受互联网带来的便捷的同时,往往忽略了网络安全这一非常严峻的问题。文章主要研究的是网络安全的架构与实现,以有限公司为例,分别从防火墙的构架与实现、入侵检测的构架与实现、信息安全管理审计系统架构与实现及内网保密安全的构架与实现四个方面详细介绍了网络安全的实现过程,增强了企业网络安全方面的防范能力。
前言
物流是指利用现代信息技术和设备,将物品从供应地向接收地准确的、及时的、安全的、保质保量的、门到门的合理化服务模式和先进的服务流程。物流是随商品生产的出现而出现,随商品生产的发展而发展,物流是一种古老的传统的经济活动。以前的物流企业一直是单纯的靠交通工具和人力劳动来运作整个公司的。但是随着网络的出现和发展,各行各业都随之改变,物流行业当然也受到很大的影响。
如今网络正在逐步步入成熟阶段,网络、数据库等相关的应用技术在不断发展,网络运营及电子商务也被广泛应用。物流行业也从传统的人力劳动行业发展为结合信息技术为消费者提供服务的行业。物流是将物品从供应地向接收地准确的、及时的、安全的、保质保量的、门到门的合理化服务模式和先进的服务流程。物流是随商品生产的出现而出现,随商品生产的发展而发展,物流即意味着企业的生产、流通的全部。而随着网络在企业中的普及和发张,物流行业也在走入物流信息化,物流信息化的定义是:利用信息技术整合企业内部的业务流程,使企业向着规模经营、网络化运作的方向发展。物流信息化是物流企业相互融合的重要手段。物流信息化因此是企业间和企业内部物流过程中所产生数据的全部记录。物流配送中心建设信息系统应充分支持管理者制订物流运作计划和实际的业务操作。尽管现代物流配送中心日趋向多样化和全面化发展,但构成其核心竞争能力或有助于其获取竞争优势的还是其核心业务,如汇集客户的发货信息、组织货物的入库、配货、分拣、储存、出库、配送等。
物流行业正以信息技术为手段,向综合性物流企业发展,积极发展第三方物流,实现物流的社会化、专业化、规模化,大幅度提升物流产业的优势。然而许多物流公司有简单的网络平台,但是却缺乏合理的网络安全设计和管理,其企业操作人员缺乏网络安全知识,所有的计算机基本上都在互联网裸奔,不断的被黑客种下病毒、木马,然后被劫持当成肉鸡,给公司带来麻烦甚至导致整个网络的瘫痪,造成公司内部存储的信息丢失;甚至于内部人员为了利益窃取出卖公司的利益,使公司造成重大的损失。正是如此,物流公司也越来越重视网络安全,甚至重新打造一个稳定的平台。
第一章 公司现状
1.1 公司简介
xx公司是一家以国内公路运输和航空货运代理的综合物流企业,在物流界享誉较高的知名度。公司秉承“诚信为本,速度至上”的服务理念,保持积极进取、注重服务的态度,培养自己的人才,通过不断的优化服务和信息化系统的搭建,提升运输网络和标准化体系,创造最优化的运营模式,为广大客户提供安全、快速、专业、满意的物流服务。一直以来,公司都致力于与员工共同发展和成长,打造人企双赢局面,努力创造更多的社会效益,努力将晨曦打造成为中国人信任的国内物流运营商,实现“为中国提速”的使命。公司主要经营:晨曦运物流有限公司以及江西运输子公司、浙江运输子公司.有限公司成立于XX年07月04日,现拥有员工150多名,是一家集运输仓储配送于一体的物流公司。
现在的公司部门及职责如图1-1所示:
1.2 公司网络状况
该公司是物流业中进行企业信息化建设较早的公司,信息化建设的主要目的是用于公司信息统计等基础性工作。该公司的网络拓扑图如图1-2所示:
该公司的局域网是一个信息点相对较为密集的百兆局域网系统,它所联接的现有近百个信息点为在整个公司内办公的各单位部门提供了一个信息交流平台。不仅如此,通过专线与internet的连接,各个部门授权用户可以直接与互联网用户进行交流、查询资料等。
这个公司的访问区域可以划分为三个主要的区域:internet区域、内部网络、公开服务器区域。web等服务器和办公区客户机,通过内部网络的相互连接,然后与外网互联。基于基础的安全的考虑,在交换机上按地域和部门划分了五个网段。
1.3 公司的网络安全问题
公司一段时间后,基本实现了公司的办公信息化,但由于当初的投资力度及意识不够,以及公司领导未重视网络安全方面,导致公司的网络出现重大漏洞。在XX年10月份被人潜入公司内部网络,导致信息部中一项重要的招标文件泄露,被竞争公司知晓,以1万元的差距落选了该项目,导致公司的利益受到相当大的损害。为此,公司开始重视网络安全。在对公司的网络安全进行全面检查后,发现以下问题。
1.3.1 主要安全隐患
(1)病毒的入侵在之前的规划中,只提到了加大公司信息化管理的投资力度、采用计算机处理数据、进行网络建设,而对于网络安全方面的建设力度较小,这样就使的黑客很容易就能在公司电脑植入病毒,从而引发重大灾情。(2)内部人员操作缺乏安全意识如今网络发展迅速,但是网络安全技术和信息的应用普及相对滞后,内部人员缺乏安全方面的的培训和学习,很容易忽略安全设备和系统,不能使其发挥相对的作用,这使的公司的网络存在较大的安全隐患。(3)设备物理安全由于网络中大部分的设备都是通过通信电缆通信的,为了布局合理性,往往核心设备都是放置在一个机房的,公司的机房只有简单的上锁没有专人巡查看守,这使得公司的网络物理设备存在较大的安全隐患。
1.3.2 具体的网络安全问题
(1)公司网络拓扑不合理问题,没有硬件防火墙公司网络中,没有做到内部网络与外部网络的安全隔离,在公司网络拓扑设计上只采用服务器经过路由器上网,而没有配置防火墙,内外网互联存在着很大的漏洞。(2)用户身份认证问题在公司网络系统中,对具有远程访问权限的用户连接没有采用加密与身份认证手段。(3)没有入侵检测技术和网络监控技术,对于入侵的目标无迹可寻,内网安全存在严重漏洞,没有办法有效的保护公司的信息安全。
第二章 网络安全架构需求分析
针对有限公司将再开设一个公司的情况,结合有限公司现在的网络状况和现有条件,对网络安全设计方面提出一下几点构思。
2.1 保证内网安全
针对有限公司招标文件泄密的情况,保证内网安全是首要任务。主机防火墙的出现解决了其中比较矛盾突出的问题,也是最基本的问题,就是关于基础安全;而近几年日趋完善的桌面或终端内网安全管理类产品的出现实现了集中的内网计算机安全管理,提供了对于内网两方面需求的满足即安全与管理。
2.2保证广域网的接入安全
internet是一个高度开放的大环境,用户接入internet就意味着完全将自己暴露在危机四伏的处境。通过网络防火墙可以过滤来自internet的大部分攻击, 防火墙能强化安全策略。 防火墙能有效地记录internet上的活动、限制暴露用户点、隔开网络中一个网段与另一个网段。这样,能够防止影响一个网段的问题通过整个网络传播。 防火墙是一个安全策略的检查站,所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外。
2.3 保证远程访问的安全
远程访问是通过公众网来传输私有数据,因此保证数据安全性是远程访问的关键环节。远程访问由于使用internet作为承载介质,vpn必须有足够的安全保障功能,通过高强度的加密算法保证数据不被侦听或篡改,确保接入用户身份的唯一性。另外,还可以控制用户对内网资源的访问权限,做的指定人访问指定资源,访问均在控制之中。
第三章 网络安全架构实现具体方案
3.1 设备链接拓扑图与网络划分
通过对有限公司的现有网络情况进行分析后,硬件方面决定在现有网络上部署一台防火墙以及nids设备,软件方面决定采用趋势科技的防毒墙,设备链接拓扑图如图所示:
1、wan口接入一台pc作为外部主机(开启22端口和21端口即ssh服务和ftp服务),地址10.0.0.100/24,网关指向10.0.0.1;
2、dmz口接入一个web服务器提供web服务和一个文件服务器提供文件服务,web服务器地址172.16.0.2/29网关指向172.16.0.1;文件服务器地址为172.16.0.3/29网关指向172.16.0.1;
3、lan区域接入一个192.168.1.0/24的子网,网关指向192.168.1.1。
4、ip网段是连续的ip地址,为: 192.168.0.1-192.168.0.168
5、防火墙管理pc机的ip为:192.168.0.1
6、nids管理pc机的ip为:192.168.0.2
7、信息安全管理审计系统管理pc机的ip为:192.168.0.3
8、内网保密安全系统的管理终端ip为:192.168.0.4
9、web服务器ip地址为:172.16.0.2
10、文件服务器ip地址为:172.16.0.3
11、内网保密安全系统的总控中心服务器ip为:172.16.0.4
12、外网pc1ip为:10.0.0.100
13、内网pc1ip为:192.168.1.2
14、内网pc2ip为:192.168.1.6
15、内网pc3ip为:192.168.1.163
3.2 防火墙的构架与实现
3.2.1 连接与登录配置
一、设备的选型
针对有限公司的网络分析,经过研究实验,决定采用蓝盾公司型号为bdfw-m3000的防火墙。
二、利用浏览器登陆防火墙管理界面
1、根据拓扑图将pc机与防火墙的admin网口连接起来,当需要连接内部子网或外线连接时也只需要将线路连接在对应网口上
2、客户端设置,设置本地连接ip地址为:192.168.0.1 3、使用ping命令测试防火墙和管理pc间的连接情况。
打开ie浏览器,输入管理地址:81,进入欢迎界面,在防火墙的欢迎界面输入用户名和密码,点击“登录”进入防火墙管理系统。
三、配置基本内容
1、网段、ip地址、端口配置
2、创建、编辑规则防火墙中需要对规则进行操作,以对 snat 策略进行了编辑:添加策略:在“增加设置”中,设置相应参数,单击保存则在“设置列表”添加一个规则,保存之后的界面如图所示:
然后点击“编辑”对snat 策略进行编辑,编辑完之后保存。
3.2.2 透明模式(网桥模式)的安装与部署
在透明模式(桥接模式)下,防火墙相当于一个网桥,通过将两个网口桥接起来,也即将交换机和路由器直接连接起来,从而无需改动原有网络结构,将防火墙透明的加入网络。对于连接内网的lan2口,其ip地址要设成和内网在同一个网段。
一、将防火墙接入当前网络
1、将防火墙按照拓扑所示接入当前网络,由路由器引入的外线接wan口,由交换机引出的内部网线接lan口
2、检验加入后网络状况
二、配置桥接
1、进入桥接设定界面,“网络设置”“网口配置”“网口”,由于桥接要求网口不能是内网口,并且在该网口上没有配置外线连接,将lan3口(lan)、lan4口(wan)上的ip全部去掉
2、启用桥接进入桥接设定界面,“网络设置”“网口配置”“桥接设定”,下面左边的框中就出现了可供选择的接口
定义一条桥接规则:选择lan、wan,双击“>>>”移到右边的框中,然后添加,添加成功,在“现有规则”中会出现一条定义好的规则,然后重启。
3.2.3 内外网互访策略编辑与管理
默认情况下,连接在防火墙不同网口的网络是不能互相访问的,为了是各个网络间实现互通,需要建立各个网络间的通信通道:
1、外网访问内网是通过端口映射机制实现。
2、内网访问外网是通过设置访问规则控制。
3、它们都是通过建立通信规则,并将规则应用到不同网口、网段或ip上实现。
一、检查各点网络状况
1、外部主机pc1(10.0.0.100/24),可以ping通防火墙的wan口地址,但是没有办法到达dmz区的web服务器,因为对于10.0.0.100来说,web服务器的地址是一个其他网络的内网地址:
外部主机与web服务器连通性测试
由于当前网络被防火墙隔离了,使得内外网无法互访,这时,我们可以通过端口映射的方式,使得外网可以访问内部网络,同时通过策略设置使内网可以访问外网。
二、实现内网访问外网(snat)——为内网pc提供对外网的访问策略
1、配置snat映射可以让所有内部ip做地址转换访问外部
2、配置内网lan口下的pc1(192.168.1.2/24)可以访问外网pc1 10.0.0.100) 3、进入“防火墙”“nat策略”“snat策略”界面,点击“添加”,做访问规则,然后设置规则参数,填写目标ip、目标端口,选择“启用”,单击“保存”。
4、“防火墙”“lan->wan策略”“访问策略”,填写访问策略的实施对象内网pc1“192.168.1.2”,选择规则“全部允许”,点击“添加”。
三、实现外网访问内网(dnat)——为外网pc提供对内网的访问策略
1、进入“防火墙”“nat策略”“dnat策略”界面,点击“添加”,做访问规则,然后设置规则参数,填写目标ip、目标端口,选择“启用”,单击“保存”。
把外网地址10.0.0.1的1080端口映射到172.16.0.2的80端口,当访问10.0.0.1的1080端口时,防火墙就会把这个地址自动映射为172.16.0.2的80端口,外网访问内网的通道被打开。
3.2.4 l2tp配置
总公司出差的员工需要访问公司内网文件服务器上的文件夹,文件服务器的ip地址为172.16.0.3,出差的员工使用l2tp vpn连接到公司内部文件服务器。
vpn服务器端配置
一、创建证书
1、进入“vpn”“ca认证”“权威认证证书”;
2、创建服务器本地证书“local’s bluedon”,然后进行配置,点击“创建签名证书”,就会出现一条证书
二、建立vpn隧道 1、选择“vpn隧道”“l2tp移动客户端”,创建l2tp移动客户端vpn遂道:
设置好后并点击添加,就会出现一个名为ttt的隧道。
三、启动vpn
1、进入“vpn”“启动控制”,启动vpn服务器。
2、进入“全局设定”,在“默认本地证书”的“ca权威认证证书”中选择local’s bluedon权威认证证书,选择“保存”。
3、进入“防火墙”“lan->lan策略”“访问策略”建立一条允许远程l2tp客户同总公司lan口对等相互访问的策略,这样出差员工就可以用l2tp隧道和总公司内网连通。进行配置后,点击“添加”,就会出现下面一条访问规则,至此,总公司服务器端配置结束
vpn移动客户端配置
1、从网络管理员处获得vpn客户端软件,并安装,安装过程中写入总公司的外部ip,为新连接取名为“ttt”。
2、这里就填入新建证书时的用户名ttt,密码123456,点击“连接”。
至此vpn客户端配置完成。
几秒钟后,连接成功,电脑右下角将显示连接上的vpn。同时在“网络连接”界面也会出现“虚拟专用网络”——ttt(已连接)。
3.4 入侵检测系统的架构与实现
3.4.1 ids设备部署与配置
基于有限公司的网络考虑,采用镜像口监听部署模式
ids设备部署
1、连接设备
2、登录管理界面 从管理pc登录蓝盾nids设备web管理界面前,需要确认管理pc的ip地址与设备缺省管理口ip地址设置在同一网段:192.168.0.0/24。透过网线将管理pc连接到lan1口,打开ie浏览器,在ie地址栏输入 ,登录进去。
ids设备配置
1、 “网络设置”“网口配置”“网口”,将e2的lan2的ip配置为192.168.2.2,点击保存,然后重启网络。(将lan2口做为管理口,用于管理设备)
2、“系统”“系统工具”“ip工具”,直接ping 网关192.168.0.1检验与内网的连通性。
3、“系统”“管理设置”“管理界面访问设定”,网口选择lan2,其余选项缺省,点击添加。
4、“现有规则”中新增一条通过lan2访问ids界面的策略。
5、“系统”“管理设置”“密码”,按下图配置管理员用户,不启用usbkey。 就会出现一个超级管理员用户
3.4.2 ids入侵检测
“入侵规则”“检测规则”,启动如下入侵检测规则中,要勾选user-defined(用户自定义),点击保存。
一、基础参数 1、“入侵规则”“检测规则”“自定义规则”“基础参数”,参照下图填入所要检测的项,点击添加。
选择协议,点击启用。就得到一条针对所有未知入侵的检测规则intrusion _info
二、ip参数
1、“入侵规则”“检测规则”“自定义规则”“ip参数”,参照下图填入所要检测的项,在t t l项填入64作为参考值,选择启用,点击添加。
四、阻断动作
1、“入侵规则”“检测规则”“自定义规则”“阻断动作”,填入所要检测的项,这里选择断开icmp。
3.5 信息安全管理审计系统架构与实现
3.5.1 系统的部署及系统登录
信息安全管理审计系统是用来对内部用户访问外部网络的各种行为进行记录、控制、审计的一种网络安全硬件设备,主要有lan1、lan2、lan3、lan4四个100m快速以太网络接口。通过将不同网口桥接并设置监控网口,我们可以有效的监控网络上传送的各种数据包。
信息安全管理审计系统使用web图形界面进行管理和设置,具有方便、快捷,易于用户理解和掌握的优点。另外一方面信息安全管理审计系统使用了https安全传输协议,保证在管理中传输的相关设置和信息不被窃听,保护设备自身的安全。
1、系统前面板,结构如图3-36:
2、系统后面板,结构如图3-37:
二、登录系统:
1、设置管理pc地址图(拓扑图)将管理pc与信息安全管理审计系统连接,同时将管理pc的ip地址改为:192.168.0.3/24
2、登录系统,登录后我们可以看到如图3-38:
三、设置桥接模式 接下来要将lan3口和lan4口桥接起来,以配置网关接入方式。
1、在左边栏选择选项“系统管理”->“系统设置”。
2、在右边栏选择选项“桥接设置”->“使用桥接”,选择“网口3”和“网口4”,点击“确定”就桥接成功了。
3.6 内网保密安全系统的架构与实现
3.6.1内网保密软件的部署及登录
通过安装sql数据库软件,用于存储内网保密软件控制中心的相关数据,安装内网保密控制中心软件,实现对安全客户端的监控及审计,构建完整的内网安全保密及审计系统管理控制平台。
一、安装sql数据库软件并下载补丁进行升级;
二、安装内网保密系统控制中心软件
三、登录系统
3.6.2 上网行为监控
一、新建模块
1、点击选项“功能”“安全策略”“安全策略管理中心”“策略模板管理”,点击“新建模块”。
2、启动上网行为监控,再点击添加进行配置
三、下发策略
选择选项“本地策略管理”,点击“应用策略模版” ,下发策略选择好需要下发的部门和主机。
四、查询审计
1、点击选项“功能”“审计报表”“审计报表管理中心”,选择“查询统计”,双击“上网行为监控”会出现一个报表,双击报表进行查看。
3.7 趋势科技防毒墙配置
结合有限公司的网络需求分析和实际情况,决定采用趋势科技防毒墙网络版10.0
一. 安装前的准备工作 1. 确认已经将10.0 sp1安装包osce_10_with_sp1_b1892_sc及 sp1 patch1补丁程序osce_10.0_b1895_sc_sp1_patch1下载到 预安装服务器的本地硬盘上; 2. 预安装服务器已经成功安装iis 3. 本地ip已经成功配置 4. 建议服务器计算机至少2ghz以上内存。
二. 开始安装 1.将已下载到服务器的安装包 osce_10_with_sp1_b1892_sc解压缩并进行安装。安装过程中选择安装到一台电脑,扫描目标计算机,安装集成型服务器,安装网络版客户端,配置软件安装,安装完毕后重启电脑。
三. 2、服务器重启完毕后,在officescan 10.0 服务器双击执行sp1 patch1补丁程序安装包再重启电脑。
3、设置服务器更新频率
4.全局客户端设置:
依次展开“联网计算机”-“全局客户端设置”, 设置“将手动扫描添加到客户端计算机的windows快捷菜单中”。
设置病毒码过期提醒。根据需要进行相关设置,其他的一般采用默认即可
依次展开“联网计算机”-“客户端管理”; 在设置选项中选择“实时扫描设置”,然后在“处理措施”选项中选择开启“检测到病毒/恶意软件时在客户端计算机上显示通知消息”,其它设置选择默认设置。
6.行为监控设置 在设置选项中选择“行为监控设置”,进入后选择默认设置;
7、设备控制设置: 在设置选项中选择“设备控制设置”,进入后选择不启用预设日志删除。进行日志维护设置。
服务器更新:依次展开“更新”-“服务器”-“手动更新”,点击更新。更新完毕后就完成了基本配置。
第4章 安全架构实现效果验证
4.1 防火墙的架构与实现效果验证
连接与登录配置:使用ping命令测试防火墙和管理主机间的互通,能互通。
透明模式(网桥模式)的安装与部署:lan内任何一台主机可以ping通路由地址。
内外网互访策略编辑与管理:
1、外部主机(10.0.0.100/24),通过:1080可以访问dmz口的web服务器:
2、dmz区的web服务器(172.16.0.2/29)主机,仍然无法ping通外网主机:
l2tp配置:
1、在dos下用“ipconfig”命令,会出现获取的总公司内网的ip地址192.168.1.6
2、ping通了总公司内网的网关192.168.1.1
4.2 入侵检测的架构与实现效果验证
针对ids检测规则的操作,得到了一下入侵日志:扫描操作
ping操作
4.3 内网安全的架构与实现效果验证
网络访问与网络日志:网络访问时留下的网络日志
监控策略的使用:
由上面这些图片可以看出,方案中的网络安全架构均能实现。