企业网络安全结构设计与方案选择
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
安全方案设计中有较多的实践经验 ;
陈姗雪 , 北方 工业 大学 经济管 理学 院
对 于 一 些 对 信 息安 全 要 求 较 高 的企 业 ,其 内部 网络 与互 联 网完 全
会计系。 囹
4 中 石 和 2 I 国 油 化工21 .2 01 1
I
方法。
方案 六 :
统管理员 口令进行统一管理 ,限制
不 同级 别 管 理 员 的权 限 , 同时详 细 记 录管 理 员 对 网 络设 备 配 置 所作 的
修改。
身 网络 的 特 点和 具 体 的 需要 ,找 到 适 合 自身 的安 全设 计 方案 。
作者简介 :陈丽 , 中国石化北京
S MP , N )小型服务 ( 口号小于2 端 0的
T P U P 和时间服务 ( C / P C/ D ) T P UD 端 口号 3 )可以关 闭。总之可对 网络 7
设备 的配置作进一 步的优化 ,并使 用 S H 协议 ,可 以防止安全 漏洞 ,确 S 保企 业 的网络更 安全 。 结 束语 本 文 主 要从 技术 因素 角 度 阐述
络 系统 。所 以必须 对 各 种 网 络设 备
实施 严 格 统 一 的管 理 ,加 强对 网络
设 备 口令 和 配置 的安 全管 理 。 下 面将从 网络 设备 的 A AA 管 理 配置 安全 、路 由安 全 以及 NTP
删 除部பைடு நூலகம் N[S 应用 , 果主 机 D 如
I S 部署 的较 多 ,可相 对减 少 N D D IS
A toi tn A un ) uhr ao 、  ̄ tg。该认 证方 zi i 法 可 以有 效 的 对 各个 网络 设 备 的系
网络相 合 并 ,以减 少经 费 投入 。
方案五 :
在各种网络设 备以及安全设备 的选择上 ,可根据实际情 况加 以选
择 。 比如 只在 核 心 网 络 采 用双 机 热 备份 方 式等 ,或 仅采用 主机 I S 与 D N D 相结 合 的方式或 者只采 用单个 IS
化 工研 究 院燕 山分 院 , 级工 程 师 , 高 从 事 网络 管理 和 维护 2 0年 , 网络 在
根据笔者 的经验 ,通常在配置 网
络设备时,只要网络通了,就认为配
置 完成 。其实 在路 由器 和交换 机上 , 除 了路 由、端 口以外 ,还有许多其他 的服务 和功能 ,有些 服务 在默认情 况
备 配置 安 全进 行 阐述 。
网络设 备 配置 安全
序列化 , 必须为整个网络系统建立统
一
网络 设 备 配 置安 全 为 网络 安 全
提 供 了必要保 障 , 对于 大型企 业 , 各
的时间系统 。 系统 以核 心网设备 该
可 以分布层 网络模块拆分到核心
为精准时间源 , 使网络设备及各种计
服 务 等方 面 谈 谈 网络 设 备 的 个体 安
全。
服 务 器 网 络 以及 边 界 分 布 网 络 模 块 同 分布 层 网络 一样 ,如 果 网 络 性 能 要 求不 是 很 高 ,都 可 以和 核 心
在 全网安装 T cc 服 务器 , 网 a  ̄ a- + 对 络设备实现 A A A 认证( u ni d n A  ̄etco 、 a
—- . .
Tq no|  ̄ e hno[g  ̄ e . y o
● —技术 I
企业 安 全制 定 了更 多的 选择 方 案 。 安 全设 计方 案定 利 企 业 在 进 行 网 络安 全 结 构 设 计 过 程 中往往 存在 一系 列 的性 能权 衡 , 网络安全 结构合理 与否 , 直接 影响 网 络系统 的安全 。 上述模 块化 网络安全
算机 系统通过 N P 协议与之 同步 。 T 所 以说 , 配置相应 的访 问控 制规
则 , 限 制 不 必 要 的 网 络 访 问 ( 如
网络模块 中。这样 可 以使第 3 层交换
机的数 目减少 5%,成本 节约将与 网 0 络核心 中的性能要求 和实施所有分 布 安全 性过滤 的灵 活性之 间进行 权衡 。
一
些 缺 省 的配 置 , 由于 限制 不 够严
格 ,也可 能给攻击者 留下可 乘之机 。 根 据实 际经验 , 了给计算 机系 为 统 管 理 员 和 网络 管 理 员提 供 时 间一 致的 日志信息 , 为数据 库文件备 份提 供 准确 的备 份 时间 , 为发现 黑客 潜在 的 攻 击企 图和入 侵踪 迹 以及 病毒 事 件 发生 提供线索 和准备 , 所有事件 将
将V N 和远 程接 入模块 的功 能 P
与 公 司互 联 网模 块 的功 能合 并 ,并 且 防火 墙有 足 够 接 口来 容 纳 不 同 服
务 ,这 种精 简 方 式 就 可能 在 不 损 失 功 能 的情 况下 实现 。
方 案三 :
全 被 攻 击 而 造 成 网络 设备 的 非正 常 工 作 ,并 将局 部安 全 性 较 低 的 网络 系 统所 造 成 的 威胁 ,传 播 到 整个 网
必 须根据 自身需求 完成 最后 的设计 。
下 文 将对 网络 结 构 设 计 中的 网络 设
设计方案中, 很多部分都采用双设备 热备份 冗余结构 , 存在 一定冗 余。为
此 可根 据 实 际 情 况对 结 构 进 行再 次 定义 ,笔 者制 定设 计方 案如 下 :
方 案一 :
方 案二 :
种 网络 设备 众 多 ,且 分 散在 各 个 业
务现场 、 远程站点, 现场没有专门的
技术 人 员 管理 , 日常 的远程 维护 和
配置更改较多 ,各硬件模块 冗余配 置 、参 数 管理 配 置 或 人 为无 意 或 有
意 参 数 错 误 的变 更 ,均 可使 网络 安
物理 隔离 ,此 时可 采 用 两 个不 同安 全等 级 的网 络安 全 部 署 方 案 ,并 从 实 际需 求 上 进 行相 应 的修 改来 适 应
各 自的 网络 。 由 以上部 署 方 案 可 以得 出 ,网 络 结 构设 计 不 是 一成 不变 的 ,企 业
下是开放 的 , 没有加 以限制 , 可 如果 很 能 成为 别人攻 击 的 目标 。 另一方 面 ,
的应用 。
方案 四 :
了如 何 进 行 安 全 的 网络 结 构 设 计 , 文 章 结 合企 业 网络 实 际情 况 ,提 出 了模 块 化设 计 理 念 ,为企 业 安 全 网 络 构 建提 供 了一 些 选择 方 案 。 同时
针 对 网 络设 备 的 身 份认 证 系 统 、配 置 安 全 、 路 由及 路 由协议 安 全 等 部 分 ,介 绍 了如 何 保 证 网 络设 备 个 体 安 全 的 具 体措 施 。企 业 可 以根 据 自