資源描述:
《企業(yè)網(wǎng)絡(luò)信息安全整體解決方案》由會(huì)員上傳分享,免費(fèi)在線閱讀�,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫(kù)。
1、企業(yè)網(wǎng)絡(luò)信息安全整體解決方案目錄一���、完善、優(yōu)化企業(yè)內(nèi)部網(wǎng)絡(luò)架構(gòu)41、域結(jié)構(gòu)管理模式42�、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)43、三層交換與VLAN結(jié)合54����、企業(yè)網(wǎng)管軟件6二、構(gòu)建全方位的數(shù)據(jù)泄漏防護(hù)系統(tǒng)121�、文檔安全管理系統(tǒng)132��、企業(yè)U盤(pán)認(rèn)證系統(tǒng)143�����、打印監(jiān)控系統(tǒng)15三����、建立一體化的本地/異地備份與容災(zāi)體系17四、建立防火墻���、防入侵及一體化安全網(wǎng)關(guān)解決方案201、趨勢(shì)科技防毒墻-服務(wù)器版(SP):212��、Juniper防火墻:22隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展�����,在計(jì)算機(jī)上處理的業(yè)務(wù)也由基于單機(jī)的數(shù)學(xué)運(yùn)算、文件處理���,基于簡(jiǎn)單連接的內(nèi)部網(wǎng)絡(luò)的內(nèi)部業(yè)務(wù)處理����、辦公
2、自動(dòng)化等��,發(fā)展到基于復(fù)雜的內(nèi)部網(wǎng)企業(yè)外部網(wǎng)和全球互聯(lián)網(wǎng)的企業(yè)級(jí)計(jì)算機(jī)處理系統(tǒng)和世界范圍內(nèi)的信息共享。在計(jì)算機(jī)連接能力連接范圍大幅度提高的同時(shí)�,基于網(wǎng)絡(luò)連接的內(nèi)部網(wǎng)絡(luò)安全�����、數(shù)據(jù)信息安全�、資源分配以及員工工作效率低下等問(wèn)題也日益突出�����。為了解決企業(yè)面臨的這些問(wèn)題����,我們可以從幾方面入手:首先,完善�����、優(yōu)化企業(yè)內(nèi)部網(wǎng)絡(luò)架構(gòu)�����;其次,構(gòu)建全方位的數(shù)據(jù)泄漏防護(hù)系統(tǒng)����;再次����,建立一體化的本地/異地備份與容災(zāi)體系�;最后�,建立防火墻����、防入侵及一體化安全網(wǎng)關(guān)解決方案,達(dá)到凈化企業(yè)內(nèi)部網(wǎng)絡(luò)環(huán)境提升員工工作效率的目的�。一、完善、優(yōu)化企業(yè)內(nèi)部網(wǎng)絡(luò)架構(gòu)在規(guī)劃和設(shè)計(jì)企業(yè)總體網(wǎng)
3����、絡(luò)架構(gòu)時(shí)����,應(yīng)從企業(yè)應(yīng)用為最基本出發(fā)點(diǎn)���,將企業(yè)當(dāng)前和各類(lèi)應(yīng)用和將來(lái)會(huì)上的應(yīng)用都必需全部考慮進(jìn)來(lái)���,特別是要為企業(yè)業(yè)務(wù)的擴(kuò)展留下足夠的帶寬和可擴(kuò)展的空間����。這些方面直接關(guān)系到企業(yè)網(wǎng)絡(luò)架構(gòu)中各類(lèi)網(wǎng)絡(luò)設(shè)備(如路由器��、交換機(jī)�、安全網(wǎng)關(guān)、服務(wù)器等)的采購(gòu)決策��,以及決定企業(yè)互聯(lián)網(wǎng)總出口帶寬的大小和企業(yè)網(wǎng)絡(luò)的最終拓?fù)浼耙?guī)模�����。同時(shí)網(wǎng)絡(luò)架構(gòu)應(yīng)當(dāng)具有很高的靈活性和可擴(kuò)展性����,可以隨意增加或縮減單元。另外還應(yīng)當(dāng)考慮企業(yè)當(dāng)前的技術(shù)條件是否滿足對(duì)網(wǎng)絡(luò)進(jìn)行可控和可管理的要求����。下面我們就分幾方面來(lái)優(yōu)化企業(yè)內(nèi)部網(wǎng)絡(luò)架構(gòu)。1����、域結(jié)構(gòu)管理模式在很多小型企業(yè)公司內(nèi)部的網(wǎng)絡(luò)還是采用對(duì)等
4、網(wǎng)模式(工作組)���,在這種工作模式下任何一臺(tái)電腦只要接入網(wǎng)絡(luò)����,其他機(jī)器就都可以訪問(wèn)共享資源���,如共享上網(wǎng)等�。盡管對(duì)等網(wǎng)絡(luò)上的共享文件可以加訪問(wèn)密碼���,但是非常容易被破解�����。在由Windows9x構(gòu)成的對(duì)等網(wǎng)中���,數(shù)據(jù)的傳輸是非常不安全的��。同時(shí)也無(wú)法對(duì)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)進(jìn)行集中化的管理���,導(dǎo)致數(shù)據(jù)泄漏��。這時(shí)候我們就需要在公司內(nèi)至少配置一臺(tái)服務(wù)器負(fù)責(zé)每一臺(tái)聯(lián)入網(wǎng)絡(luò)的電腦和用戶的驗(yàn)證工作���,相當(dāng)于一個(gè)單位的門(mén)衛(wèi)一樣����,稱(chēng)為“域控制器(DomainController�,簡(jiǎn)寫(xiě)為DC)”。域控制器中包含了由這個(gè)域的賬戶����、密碼、屬于這個(gè)域的計(jì)算機(jī)等信息構(gòu)成的數(shù)據(jù)庫(kù)�����。當(dāng)電
5��、腦聯(lián)入網(wǎng)絡(luò)時(shí),域控制器首先要鑒別這臺(tái)電腦是否是屬于這個(gè)域的����,用戶使用的登錄賬號(hào)是否存在、密碼是否正確�。如果以上信息有一樣不正確,那么域控制器就會(huì)拒絕這個(gè)用戶從這臺(tái)電腦登錄����。不能登錄,用戶就不能訪問(wèn)服務(wù)器上有權(quán)限保護(hù)的資源�����,他只能以對(duì)等網(wǎng)用戶的方式訪問(wèn)Windows共享出來(lái)的資源���,這樣就在一定程度上保護(hù)了網(wǎng)絡(luò)上的資源�。域控制器的功能除了上面說(shuō)到的可以做身份驗(yàn)證之外��,還可以對(duì)屬于域的所有計(jì)算機(jī)的操作權(quán)限(安裝/卸載軟件�、更改IP地址、更改計(jì)算機(jī)設(shè)置等)進(jìn)行有效的控制�����,以達(dá)到集中化管理的目的。2����、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)組網(wǎng)方式:樹(shù)形組網(wǎng)方案該方案引入
6、二級(jí)聯(lián)網(wǎng)方式�,骨干層交換機(jī)采用了高性能的千兆級(jí)二層交換機(jī),連接服務(wù)器����、路由器與網(wǎng)絡(luò)打印機(jī)。二級(jí)交換機(jī)采用24+2口交換機(jī)�,其中的兩個(gè)端口為1000M�,用于接入骨干交換機(jī),其余10/100M端口連接相對(duì)分散的桌面用戶���。方案特點(diǎn):二級(jí)聯(lián)網(wǎng)方式更好的將數(shù)據(jù)通過(guò)骨干交換機(jī)分散處理��,它與服務(wù)器之間通過(guò)1000M高速交換端口連接��,以滿足大容量數(shù)據(jù)傳輸?shù)囊?����。骨干交換機(jī)和二級(jí)分交換機(jī)的連接則采用了快速以太網(wǎng)通道(FEC)技術(shù)��,有效的擴(kuò)展了網(wǎng)絡(luò)的帶寬�。這項(xiàng)技術(shù)能夠把2-4個(gè)物理鏈路聚合在一起,在全雙工工作模式下達(dá)到400-800M的帶寬���,F(xiàn)EC技術(shù)能夠充
7����、分利用現(xiàn)有設(shè)備實(shí)現(xiàn)高速數(shù)據(jù)傳遞�����。同時(shí)該方案具有結(jié)構(gòu)簡(jiǎn)單靈活�����,非常便于擴(kuò)充���。而且所需電纜長(zhǎng)度很短,減少了安裝費(fèi)用�,易于布線和維護(hù)工作。3��、三層交換與VLAN結(jié)合很多企業(yè)在網(wǎng)絡(luò)設(shè)計(jì)初期采用二層交換技術(shù)的網(wǎng)絡(luò)架構(gòu),核心交換機(jī)采用二層交換技術(shù)�,在原先只有幾十到100多臺(tái)工作站的情況下�,網(wǎng)絡(luò)性能較理想。但是隨著網(wǎng)絡(luò)規(guī)模在不斷擴(kuò)大����,工作站增加到200臺(tái)左右時(shí)����,網(wǎng)絡(luò)性能明顯下降。另外���,對(duì)于這種網(wǎng)絡(luò)��,很容易發(fā)生諸如網(wǎng)卡故障等原因引起的網(wǎng)絡(luò)廣播風(fēng)暴���,而且一旦發(fā)生廣播風(fēng)暴�����,很難查找故障點(diǎn)�,甚至導(dǎo)致網(wǎng)絡(luò)癱瘓,網(wǎng)絡(luò)維護(hù)工作量很大�。如果我們采用三層交換技術(shù)的網(wǎng)絡(luò)架
8��、構(gòu)����,同時(shí)在局域網(wǎng)內(nèi)劃分若干VLAN(虛擬網(wǎng))后,網(wǎng)絡(luò)性能將大為改善��。這是因?yàn)槿龑咏粨Q技術(shù)就是“二層交換技術(shù)+路由轉(zhuǎn)發(fā)”�。它解決了二層交換技術(shù)不能處理不同IP子網(wǎng)之間的數(shù)據(jù)交換的缺點(diǎn)����,又解決了傳
