多级分布式网络系统安全建设经典案例
分层网络安全设计案例
分层网络安全设计案例随着信息技术的迅猛发展,网络安全问题日益突出,为了保护网络环境的安全性,分层网络安全设计成为一种有效的解决方案。
在这篇文章中,我们将介绍一个基于分层网络安全设计的案例。
案例背景:公司拥有一个由多个子公司组成的网络环境,每个子公司都有自己的网络服务器和数据库,并且公司内部存在着一系列对外访问的应用程序。
由于公司业务发展,网络安全问题日益突出,因此公司决定进行一次全面的网络安全改进。
该公司决定采用分层网络安全设计方案来保护其网络环境的安全性。
该方案包括以下几个层次:1.外部网络层:该层次是与外部网络之间的接口层,主要保护公司网络环境免受外部入侵的威胁。
在这一层次中,公司采用了防火墙和入侵检测系统(IDS)来检查和过滤外部流量。
防火墙负责对外部网络流量进行策略控制和访问控制,可以限制不必要的访问和恶意流量的传入。
IDS系统监测网络流量中的异常行为和攻击迹象,并及时发出警报,以便及时采取相应的应对措施。
2.边界网络层:该层次是公司内部网络和外部网络之间的连接层。
在这一层次中,公司采用了网关安全设备和虚拟专用网(VPN)来实现安全连接和数据传输的保护。
网关安全设备可以过滤传入和传出的网络流量,并检测和阻止潜在的攻击。
VPN可以对数据进行加密和身份验证,保证数据在传输过程中的安全性和完整性。
3.内部网络层:该层次是公司内部网络的核心层次,主要保护公司内部网络和服务器资源的安全。
在这一层次中,公司采用了访问控制列表(ACL)、入侵防御系统(IPS)和安全认证机制来实现对内部网络和服务器资源的访问控制和保护。
ACL可以限制内部网络的访问权限,并筛选和阻止潜在的非法访问。
IPS系统可以监测和阻止对内部网络的攻击和恶意行为。
安全认证机制可以对用户进行身份验证和授权,进一步保障内部网络的安全性。
4.应用层:该层次是应用程序和用户之间的连接层,主要保护应用程序和用户数据的安全。
在这一层次中,公司采用了加密通信、身份认证和访问控制等技术手段来实现数据和用户的安全。
多级分布式网络安全管理系统的体系结构
-3316-0引言网络安全不能靠安全技术与设备的简单叠加,需要引入网络安全管理系统(network security management system ,NSMS )对它们进行融合、协调和控制,才能真正达到整体防御的效果。
较早的NSMS 研究可以追溯到1992到1994年的欧洲项目SAMSON [1],它集成CMIP 和SNMP 接口进行安全管理。
随后的每年[2-8],国内外的学者们对NSMS 进行了广泛的研讨。
这些研究主要集中在局域网内部或者单级的网络安全管理,对多级安全管理的探讨比较少。
而近期以来,对多级安全管理的实际需求越来越迫切,因为HD-NSMS 通过多级分布式的集中的事件、策略和漏洞管理,可以有效地提高全网的事件处理和统计分析能力,集中编制和分发安全策略,及时地实现全网安全漏洞修复,对提高全网的安全防御能力和安全管理效率有明显的效果。
另外,近年出现的主要蠕虫都具有分布式的特征,能够在很短的时间内传遍全球[9-10];网络攻击也往往来自多个不同的网络、地区、或国家,使得追查和防御需要大范围的协调[10]。
因此,有必要建立覆盖范围广、能够进行跨网管理和协调的多级分布式的NSMS ,才能快速有效地遏止恶意代码和网络攻击,对保障国家、社会和国防的网络安全具有重大意义。
我们在2004~2006年期间实现了一个HD-NSMS ,主要包含5个核心功能:状态监控、事件管理、策略管理、漏洞管理和安全状态评估。
从抛砖引玉的角度出发,本文在上述研究和开发的基础上,拟对HD-NSMS 的体系结构进行探讨。
先对体系结构进行描述,然后探讨会话模型问题,描述其实现,进行速度和压力测试,最后进行小结。
1体系结构HD-NSMS 是一个比较复杂的系统,其体系结构需要从宏观和微观两个层次进行描述。
1.1宏观体系结构HD-NSMS 的应用目标是保护大型组织的网络,这些组织的网络通常具有5个特征:多级、分布和树形,如图1所示。
大型分布式系统的安全技术和实践
大型分布式系统的安全技术和实践在当前企业应用环境中,大型分布式系统正越来越普及。
因为这些系统一般包括多个主机、多个数据库、缓存层、负载均衡器和网络安全设备,所以与单一主机系统相比,大型分布式系统的安全性风险会更高。
大型分布式系统的安全技术包括云安全、API 安全、网络安全、身份验证和访问控制以及漏洞管理等。
这些技术的目的是为保护系统的数据、服务和基础设施不受到威胁。
云安全众所周知,云计算是目前许多企业部署大型分布式系统的首选方式,尤其是对于初创公司和创业公司。
而云结构上的安全风险,主要是由于云数据中心缺乏清晰的边界和控制点,同时,云服务提供商的安全管理能力也无法完全覆盖企业的各项需求。
为了加强云计算的安全性,企业可采用云安全管理的方法,包括使用加密技术、信任及访问管理等方法,来保证企业的数据、应用和基础设施安全。
API 安全API 安全是分布式系统中的重要组成部分,通过 API,应用程序能够与其他应用程序或系统进行通讯。
而由于系统之间以及应用之间的通讯采用 API 进行,导致系统的安全风险也随之增加。
企业可以使用 API 网关来加强对 API 的管理,API 网关可用来保证 API 的访问、授权、限流、调用和监控等安全机制,来确保API 的安全。
网络安全大型分布式系统主要通过网络来进行通讯,因此网络的安全度直接关系到整个分布式系统的安全。
为了保护企业的网络安全,企业应该做好以下几点:- 防止 DDoS 攻击,建立防火墙;- 使用 VPN 的方式进行远程访问;- 采用虚拟专用网络(VPN)等技术对数据进行加密传输。
身份验证和访问控制在分布式系统中,验证用户身份并对其进行访问控制就显得尤为重要。
企业应该采用单一身份验证机制,同时对身份验证机制进行有效监管,确保足够的安全性。
漏洞管理随着黑客技术的不断发展,分布式系统将存在缺陷和漏洞。
漏洞的最终目标是要获取数据和有意义的资产。
因此,企业必须灵活地采取漏洞管理措施,尽早发现漏洞并及时修复,以保护企业系统的安全。
多级分布式网络系统安全建设经典案例
多级分布式网络系统安全建设经典案例趋势网络技术的发展正在改变人们的生活,但在人们享受其带来的巨大的进步与利益同时,潜伏着的巨大的安全威胁也随之而来。
在我国,随着金字工程、政府网、电子商务、电子政务、军事信息化等国家信息化建设的发展,网络已经成为了国家的重要基础设施,而这些关键行业的信息化建设也不可避免的面临着信息安全威胁的挑战。
需求某公司是国有大型企业,下属14个分公司及190多个分支机构。
在信息化迅速发展的形势下,该公司正在积极地进行网络信息系统的建设,计划建设一个包含总公司、分公司和分支机构直属库的多级计算机网络系统。
该系统划分为总公司主控中心为一级网络结构,分公司网络管理系统为二级网络结构和分支机构网络管理系统为三级网络结构。
在其系统的设计中,对系统的高可靠性、可用性、性能和互联都做了充分的考虑。
目前网络已经完成了总公司的核心网络主控中心建设及分公司与总公司内部广域网建设,总公司和各分公司之间采用DDN或拨号等方式进行互连。
由于该公司计算机网络系统的内容涉及国家安全,某些数据属机密,在网络安全的考虑上,必须完整而细致。
为了进一步提高网络安全性,达到建设一个完整、安全和高效的信息系统的目标,网络安全问题已经成为了急需解决的问题。
因此,该公司决定搭建一套专门的网络和信息安全管理系统。
经过慎重的调研与筛选,鉴于在整体网络安全领域的领先地位,成熟的产品与丰富的实施及服务经验,最终选择了北京冠群金辰软件有限公司作为此次的解决方案提供及实施厂商。
把脉在信息安全管理系统搭建之前,考虑到该公司目前已经在网络安全设计上采取了一些比较初步的措施,并且顾及到其进行整体网络建设的步骤与保护投资等问题,冠群金辰首先对其网络中的存在安全问题及隐患进行了细致的分析,以保证提供方案的针对性与高效性:首先,该公司现在的业务系统大多是基于客户/服务器模式和Internet/Intranet 网络计算模式的分布式应用,用户、程序和数据可能分布在世界的各个角落。
PIGOSS 分布式部署方案及案例故事
IT监控管理系统PIGOSS BSM 分布式部署方案网利友联科技(北京)有限公司目录一整体方案描述 (3)1.1分布式部署方案概要设计 (3)1.2PIGOSS部署及互联方式 (3)1.2.1单机单网部署 (3)1.2.2单机多网部署 (4)1.2.3多机多网分布式部署 (5)1.2.4多级多中心的复杂分布式部署 (6)二PIGOSS BSM分布式部署案例故事 (6)2.1 案例:某省烟草局IT两级管控平台 (6)2.1.1 项目背景 (6)2.1.2 项目目标 (8)2.1.3 项目规模 (8)2.1.4 方案部署 (9)2.1.5项目实际运行效果 (9)一整体方案描述1.1分布式部署方案概要设计PIGOSS BSM监控平台支持分布式部署方案,当客户的IT环境有多个地区的子系统,且每个子系统IT环境数据较多,需要统一集中地监控管理,PIGOSS能够实现在每个子区域部署一套PIGOSS BSM ST,在管理中心部署一套PIGOSS BSM VC用于汇聚子区域的监控数据,方便整理集中地管理。
每套PIGOSS BSM ST 监控管理平台可以监控500个IP节点;1.2PIGOSS部署及互联方式1.2.1单机单网部署(1)PIGOSS BSM设备部署位置✧在数据中心部署一台PIGOSS BSM管理设备;为PIGOSSBSM配一个固定IP地址;将管理端口与交换机旁路连接。
✧要求所有被监测的测试设备与PIGOSS BSM系统之间为网络可达;(2)被监测的设备上开启SNMP服务PIGOSS BSM系统完全采用SNMP 对网络设备进行监测管理。
这需要被监测的网络设备上开启SNMP服务,并提供SNMP community 和SNMP服务端口;(3)被监测服务器上安装Agent的准备工作依据测试需求分析判断是否需要在被监测主机服务器上安装ITEYES 系统Agent;Window Agent需要以Administrator身份安装和启动,需要配合提供用户名密码,或由管理员配合Agent的上传和安装。
分布式架构使用案例
分布式架构使用案例就说那个超级火爆的电商平台,你知道的,每天有海量的用户在上面买买买。
要是没有分布式架构,这平台早就瘫了。
想象一下,在双十一这种全民购物狂欢节的时候,数以亿计的用户同时访问这个电商平台。
这时候呢,分布式架构就像一个超级英雄团队一样闪亮登场。
它把整个系统分成好多好多小的部分,就像把一个大蛋糕切成很多小块一样。
比如说,有专门负责处理用户登录注册的部分,这个小团队就住在一个独立的服务器小房子里。
当你点击登录按钮的时候,它就迅速处理你的请求,不会受到其他复杂业务的干扰。
还有负责商品展示的部分呢,它住在另一间服务器小房子里。
它就专门负责把那些琳琅满目的商品图片、价格、描述啥的快速展示给你看。
而且这个部分可以根据不同的地区、不同的用户喜好来调整展示内容哦。
再说说订单处理的部分,这也是个重要的小团队。
当你下单成功后,这个订单就会被这个小团队接收到,然后他们开始协调仓库、物流等各个环节。
这些小团队之间呢,就像一群互相协作的小伙伴。
他们通过网络互相通信,这样即使某个小团队所在的服务器出了点小故障,其他小团队还能继续工作,整个电商平台还是可以正常运转。
就像有个小伙伴生病了,其他人还能撑起一片天,不至于整个游戏就玩不下去了。
另外,数据存储也是分布式的。
数据就像宝藏一样,被分散存放在好多不同的地方。
这样做有个好处,就是当需要查找某个数据的时候,可以同时从好几个地方找,速度超快。
而且就算某个存储的地方出问题了,还有其他地方的数据备份呢。
这个电商平台就是利用分布式架构,把一个超级复杂、超级庞大的业务,拆分成一个个小而精的部分,让整个系统既稳定又高效,不管什么时候都能满足那些疯狂购物的顾客的需求啦。
分布式系统常用技术及案例分析
分布式系统常用技术及案例分析随着互联网和移动互联网的快速发展,分布式系统成为了大规模数据处理和高并发访问的重要技术手段。
分布式系统能够充分利用多台计算机的资源,实现数据存储和计算任务的分布式处理,提高系统的可靠性和扩展性。
本文将围绕分布式系统的常用技术和相关案例进行分析,希望能够为读者提供一些参考和启发。
首先,我们来介绍一些常用的分布式系统技术。
分布式文件系统是分布式系统的重要组成部分,它能够将文件存储在多台计算机上,并提供统一的文件访问接口。
Hadoop分布式文件系统(HDFS)就是一个典型的分布式文件系统,它采用了主从架构,将大文件分割成多个块存储在不同的计算节点上,实现了高可靠性和高吞吐量的文件存储和访问。
另外,分布式计算框架也是分布式系统中的关键技术之一。
MapReduce是一个经典的分布式计算框架,它能够将大规模的数据集分解成多个小任务,并在多台计算机上并行处理这些任务,最后将结果汇总起来。
通过MapReduce框架,用户可以方便地编写并行计算程序,实现大规模数据的分布式处理。
除了以上介绍的技术之外,分布式数据库、分布式消息队列、分布式缓存等技术也是分布式系统中常用的组件。
这些技术能够帮助系统实现数据的高可靠性存储、实时消息处理和高性能的数据访问。
在实际的系统设计和开发中,根据具体的业务需求和系统规模,可以选择合适的分布式技术来构建系统架构。
接下来,我们将通过一些实际案例来分析分布式系统的应用。
以电商行业为例,大型电商平台需要处理海量的用户数据和交易数据,这就需要构建高可靠性和高性能的分布式系统。
通过采用分布式文件系统存储用户数据和商品信息,采用分布式计算框架实现数据分析和推荐系统,再配合分布式缓存和消息队列实现实时交易处理,可以构建一个完善的分布式系统架构。
另外,互联网金融领域也是分布式系统的重要应用场景。
互联网金融平台需要处理大量的交易数据和用户行为数据,保障数据的安全性和一致性是至关重要的。
多级分布式网络安全管理系统研究
摘 要 : 多 级 分 布 式 的 大 型 网 络 进 行 集 中 安 全 管 理 , 以 有 效 提 高 网 络 的 安 全 防 御 能 力 和 安 全 管 理 效 率 , 为 网 络 安 对 可 成
全研 究 的一 个 迫 切 问题 。 阐 述 一种 多级 分 布 式 安 全 管 理 系统 ( — MS M ll e a d Ds b t eu t ngm n ytm ) MD S ute l n ir u d S cryMa ae e tSs iv t e i i e ,
首 先 描 述 其 体 系 结 构 , 后 讨 论 设 备 建 模 和 应 急 处 理 等 问 题 , 后 以 Wo _ asr蠕 虫 为 例 , 析 其 网 络 协 同 防 御 然 最 m r S se 分
能力。
关键 词 : 络 安 全 ; 全 管 理 ; 网 安 网络 安 全 管理 系统 文章 编 号 :0 2 8 3 (07 0 一 o 一 5 文献 标 识 码 : 中图 分 类 号 :P 9 .8 10 — 3 12 0 )2 o 加 0 A T 330
c o e ae e e s a e n a x mp e o o o p r t d d fn e b s d o n e a l f W r m
— —
S se. asr
,
Ke r s n t ok sc rt ;e u t n a e n ;e u t n g me tsse y wo d : e r e u y sc r y ma g me t sc r y m a e n ytm w i i i a
S HAN Z i y n IL AO n , HI W e - h n h— o g , I Bi2S n cag
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
多级分布式网络系统安全建设经典案例趋势网络技术的发展正在改变人们的生活,但在人们享受其带来的巨大的进步与利益同时,潜伏着的巨大的安全威胁也随之而来。
在我国,随着金字工程、政府网、电子商务、电子政务、军事信息化等国家信息化建设的发展,网络已经成为了国家的重要基础设施,而这些关键行业的信息化建设也不可避免的面临着信息安全威胁的挑战。
需求某公司是国有大型企业,下属14个分公司及190多个分支机构。
在信息化迅速发展的形势下,该公司正在积极地进行网络信息系统的建设,计划建设一个包含总公司、分公司和分支机构直属库的多级计算机网络系统。
该系统划分为总公司主控中心为一级网络结构,分公司网络管理系统为二级网络结构和分支机构网络管理系统为三级网络结构。
在其系统的设计中,对系统的高可靠性、可用性、性能和互联都做了充分的考虑。
目前网络已经完成了总公司的核心网络主控中心建设及分公司与总公司内部广域网建设,总公司和各分公司之间采用DDN或拨号等方式进行互连。
由于该公司计算机网络系统的内容涉及国家安全,某些数据属机密,在网络安全的考虑上,必须完整而细致。
为了进一步提高网络安全性,达到建设一个完整、安全和高效的信息系统的目标,网络安全问题已经成为了急需解决的问题。
因此,该公司决定搭建一套专门的网络和信息安全管理系统。
经过慎重的调研与筛选,鉴于在整体网络安全领域的领先地位,成熟的产品与丰富的实施及服务经验,最终选择了北京冠群金辰软件有限公司作为此次的解决方案提供及实施厂商。
把脉在信息安全管理系统搭建之前,考虑到该公司目前已经在网络安全设计上采取了一些比较初步的措施,并且顾及到其进行整体网络建设的步骤与保护投资等问题,冠群金辰首先对其网络中的存在安全问题及隐患进行了细致的分析,以保证提供方案的针对性与高效性:首先,该公司现在的业务系统大多是基于客户/服务器模式和Internet/Intranet 网络计算模式的分布式应用,用户、程序和数据可能分布在世界的各个角落。
在这样一个分布式应用的环境中,公司的数据库服务器、电子邮件服务器、WWW服务器、文件服务器、应用服务器等等每一个都是一个供人出入的“门户”,只要有一个“门户”没有完全保护好-忘了上锁或不很牢固,“黑客”就会通过这道门进入系统,窃取或破坏所有系统资源。
其次,目前某公司的网络主要采用TCP/IP作为网络通讯协议,主要服务器为Windows NT操作系统。
众所周知,TCP/IP是以开放性著称的。
系统之间易于互联和共享信息的设计思路贯穿与系统的方方面面,对访问控制、用户验证授权、实时和事后审计等安全内容考虑较少,只实现了基本安全控制功能,实现时还存在一些这样那样的漏洞。
实际上,从TCP/IP的网络层,人们很难区分合法信息流和入侵数据,DoS(Denial of Services,拒绝服务)就是其中明显的例子。
再次,在某公司中存在着多种应用,包括WWW、邮件系统、数据库系统等等。
这些系统都存一些安全问题。
从应用系统(软件)情况看,目前大多数业务系统,使用单机处理财务、统计、人事和文档等工作。
近期将应用统计、财务、人事等独立的小型数据库软件。
利用HTTP服务器的一些漏洞,特别是在大量使用服务器脚本的系统上,利用这些可执行的脚本程序,入侵者可以很容易的获得系统的控制权。
同时,该公司的数据库系统也存在很多安全问题。
如何保证和加强数据库系统的安全性和保密性对于此公司的正常、安全运行至关重要。
此外,虽然某公司当前也对安全问题也做了一定的考虑,并设计了防火墙系统,但是鉴于当前IT系统安全性的严重状况,这些考虑还是比较朴素和初步的,并没有形成一套完整的防护体系。
设计根据该公司网络系统中存在的安全需求,冠群金辰软件公司针对其网络系统架构的特点,提出了构建从边界防护、传输层防护,到核心主机防护的深层防御体系的解决方案,以确保其网络系统的安全。
根据其建设进度安排,首期将主要部署网络防病毒体系。
经过了解,该公司的网络系统是建立在总公司、分公司、各直属库等基础上的多级分布式网络系统,其网络构成包括Unix\NT服务器、邮件服务器、Windows95/98等联网客户机等。
因为病毒在网络中存储、传播、感染的方式各异且途径多种多样,因此在构建企业网络防病毒系统时,可以通过KILL建立完整的防病毒体系,实施“层层设防、集中控制、以防为主、防杀结合”的防病毒策略。
根据其网络结构,冠群金辰公司将其病毒防护体系的部署重点分为了以下几个方面:PC机防护、实时保护文件/数据库服务器、实时防护邮件服务器、实时Internet网关的防护、在关键网段部署入侵检测系统、保护核心数据安全。
具体的架构及产品在网络中的部署分布如下:在防毒体系的设计中,冠群金辰公司在北京总公司安装了一台KILL反病毒管理服务器作为全国网络防毒安全管理中心。
在各级分公司各安装了一台KILL反病毒管理服务器作为二级防毒安全管理中心。
在其全国190多个分支机构库中,则可根据规模和实际管理需要,安装KILL反病毒管理服务器作为第三级网络防毒安全管理中心,并在各地相应的管理员工作站上安装管理员客户端。
管理员可以直接通过管理员客户端登录到管理服务器进行远程策略配置分发等管理工作。
在网络中其他服务器和客户端上分别安装客户端产品,客户端所有的查杀病毒配置都可以从管理服务器分发获得。
这样在整个企业网中就形成了一个三级集中管理结构:第一级:北京总部的管理服务器负责总部网络防毒策略的制定分发和信息收集,同时负责二级管理服务器群的策略制定。
总部服务器负责从冠群金辰网站上下载病毒库和杀毒引擎升级代码,向总部网络和二级管理中心提供升级服务。
第二级:二级管理服务器负责各分公司网络和分支机构的防毒策略制定和分发,同时负责向下属的没有设置管理中心的分支机构分发安全策略和升级代码。
第三级:三级管理服务器负责自己网络的客户端的安全策略的制定和分发。
根据需要,上级管理员可以直接登录到下级管理控制中心进行安全策略检查和配置。
通过这样的部署,可以帮助该公司在网络中所有可能感染和传播病毒的地方均采取相应的防范手段,从而形成一个完整的网络防毒体系。
此外,该防毒体系的策略设置是通过中央管理台集中设置的。
管理员可以集中制定适用于网络的所有防毒策略,然后分别部署到各个组中去,KILL的集中管理功能可以使管理员能够通过一台管理服务器完成对网络中的所有机器的集中配置,在客户端实现零管理。
无忧防毒体系采用了全平台统一的杀毒界面,所有操作采用微软资源管理器风格,操作简单易用。
具备安装后不需要重新启动,自动实时升级不需要用户干预和重新启动等特性。
最大程度上降低了用户对客户端的手工操作。
此外,充分考虑到在该公司这样一个大的企业网络中存在各种不同的操作平台和应用系统,接入网络的计算机设备也多种多样,KILL防病毒产品对全平台的支持和对资源的极少占用的特点可以使用户在最大程度上保持自己原有的配置不变,而且版本的向下兼容与集成管理能够在最大限度上保护用户已有的投资。
目前,该防毒体系已经在某公司投入使用,从各个环节增强了其网络系统对于病毒的免疫力,从而为有效的确保了该公司信息系统的高可靠性、可用性及高性能。
一. 企业网络现状某大型企业总部设在北京,内部共有员工用机近1000台,并拥有自己的WWW SERVER,MAIL SERVER, FTP SERVER和DNS SERVER。
内部分为包括管理、研发、财务、行政在内等多个子网,全部设为私有IP, 通过Proxy服务器访问Internet,各子网之间通过在CISCO的5500三层交换机上划分VLAN来控制相互访问,通过NT提供的用户认证功能实现访问控制,企业的WWW等服务器设有公网IP直接放在边界路由器后,向外提供服务。
公司通过专线上网与internet相连,并通过Internet 与上海、广州、成都等各分公司相连实现资源共享。
总部的网络拓扑如下:二. 弱点分析1.企业的WWW, DNS,Mail等服务器直接放在边界路由器后,没有任何保护,极易受到攻击2.各服务器(包括Proxy server)接同一个hub, 当某台服务器被攻破后,内部各子网(包括管理子网、财务子网)通过proxy访问的所有流量将有可能被窃听3.内部各子网使用私有IP地址,通过proxy服务器出internet访问。
这样的结构虽能起到隐藏内部主机和网络拓扑的作用有效的保护proxy内部的主机不能直接被攻击,但这样的proxy 结构对于内部用户不透明,使用起来很麻烦,容易由于配置上的错误导致用户无法上网。
4.各子网之间通过交换机划分VLAN和NT的用户认证功能来实现访问控制,控制不灵活,且安全级别较低5.北京总部与各分公司之间通过internet相连互访资源,各分公司之间通过internet传输的数据(包括邮件等)的机密性得不到保证6.无法检测黑客对企业网的攻击行为,无法进行反黑客响应三. 解决方案从企业总公司内部网络和总公司与各分公司之间互联两方面考虑a) 企业总公司内部网络解决方案(各分公司网络可参照本方案)经过改建后的网络拓扑如下:1.在总公司出口处,边界路由器内架设1台LinkTrust CyberWall-100PRO防火墙2.把WWW,DNS,MAIL,FTP服务器连同原来所接的集线器一同放到防火墙的DMZ区,服务器使用私有IP,隐藏DMZ 区网络结构,网关指向防火墙的DMZ网口地址,通过在防火墙上设置静态或端口NA T使DMZ服务器能够向外提供服务。
在防火墙上设置规则只允许访问DMZ服务器的指定服务,最大程度的保证了服务器安全。
对于Mail server,可在防火墙上对pop3和smtp设置代理规则,在防火墙上实现收发邮件的过滤3.把Cisco 5500交换机和所有员工用机、DHCP服务器放到防火墙的Intranet区,把防火墙Intranet网口的地址设为原来Proxy server的内部网卡的地址,用交换机上原先接Proxy的端口接防火墙的Intranet网口,这样原来交换机上的所有设置和交换机上所接所有设备(包括所有子网的员工用机)都不用改变4.防火墙的外网口地址设成原先Proxy server的外侧网卡的地址,通过在防火墙上做动态NAT并设置默认网关为边界路由器内侧的地址使内部主机能够上internet访问,通过在防火墙上设置到各个子网的静态路由,使回包能够传送正确。
防火墙的安全规则可以通过源、目的、协议、访问时间等灵活限制内部主机对外的访问。
由于内部主机使用私有IP,并通过动态NAT出外网访问,对外部来说,内部的结构是完全不透明的,黑客无法对防火墙内部发起攻击。
5.针对管理子网和财务子网这两个具有特殊安全需求的网段,在他们之前分别架设1台LinkTrust CyberWall-100SE型号的防火墙,设置安全规则,只允许特定的用户访问特定的资源。