Ⅰ 急求,網路安全大作業:關於某公司的一個網路安全解決方案(給出部署圖示,並作出解釋)
說明:
1.在伺服器區前端部署防火牆和IPS,採用嚴格的訪問許可權
2.在核心層交換機或者路由器上寫ACL禁止外部用戶訪問除web以外的伺服器,在內網做地址轉換,也可有效防止外部對內部的訪問。
3.專網伺服器更新補丁,安全網路防火牆(如web伺服器安裝安全狗、D盾等),同時採取安全的密鑰策略。
4.在外事機構的出口防火牆上實施詳細的ACL策略,保證業務子網的安全。
5.在外事機構和總部之間使用IPsec VPN實現安全的訪問。
6.在公司總部出口路由器或者防火牆上部署SSL VPN,保證差旅用戶對內網的安全訪問。
7.在伺服器區部署AAA伺服器,對遠程SSL VPN訪問用戶進行認證、授權和審計;同時對資料庫伺服器訪問進行AAA。
Ⅱ 網路安全技術
目前,國內各企業大都建立了計算機網路,網路應用頗具規模,特別在數值計算、信息管理、辦公事務、工程(產品)設計、加工製造等方面基本實現了計算機應用,計算機、網路和資料庫正在成為企業日常運行的基石。但是,許多企業由於網路管理相對滯後,網路效益難以獲得應有發揮。 如果各企業以現有的網路設施為基礎,在網路結構上做必要調整,在網路管理上做必要的加強,就能進一步挖掘網路潛力,提高各企業計算機網路的應用水平。
組網規劃
企業的組網技術存在多種選擇,但比較實用的是乙太網(Ethernet)和ATM。
乙太網較早進入網路應用領域,技術成熟,性能穩定,伸縮性強,性價比好,是企業區域網的首選技術。高速乙太網(1000Mbps及以上傳輸速率)甚至可承擔實時和多媒體網路業務。
ATM(Asynchronous Transfer Mode,非同步轉移模式)可以提供容量很大的信息通道,並將語音、數據、文本、圖像、視頻等各種信息在網路中進行統一的傳輸和交換,在支持綜合業務及信道利用率等方面具有優越的性能。
企業區域網一般由內部網和堡壘網兩部分組成。內部網又分成主網和各個相對獨立的子網。堡壘網可看做區域網中的一個子網,它把企業內部網和外部網連接起來,並在二者之間起隔離作用(見右圖)。
在企業區域網上,通常的網路應用有:通過伺服器實現文件服務和列印機(繪圖機)資源共享;資料庫應用;MIS及CAD應用;Internet 及Intranet應用;辦公自動化應用等。但是,在網路環境中,計算機應用方式應逐步實現網路化,並強調資源共享和協同工作。例如,在資料庫應用中,應採用C/S(客戶機/伺服器)應用結構,並逐步向B/S(瀏覽器/伺服器)應用結構過渡;在CAD應用中,應從單項設計向聯合設計過渡,並逐步引入三維模型設計方法;在MIS應用中,應以辦公自動化為核心,逐漸融入其他應用項目,藉助瀏覽器的支持,逐步形成一個集成的「E-企業」應用平台。
布線規劃
企業區域網都應進行結構化布線,以此提高企業區域網的規范性和穩定性水平。網路環境指的就是企業區域網結構化布線系統的周邊環境。
結構化布線系統由六個子系統組成:
(1) 工作區子系統
用戶設備與信息插座之間的連接線纜及部件。
(2) 水平子系統
樓層平面范圍內的信息傳輸介質(雙絞線、同軸電纜、光纜等)。
(3) 主幹子系統
連接網路中心和各子網設備間的信息傳輸介質(雙絞線、同軸電纜、光纜等)。
(4) 設備室子系統
安裝在設備室(網路中心、子網設備間)和電信室的布線系統,由連接各種設備的線纜及適配器組成。
(5) 建築群子系統
在分散建築物之間連接的信息傳輸介質(同軸電纜、光纜等)。
(6) 管理子系統
配線架及其交叉連接(HC—水平交叉連接,IC—中間交叉連接、MC—主交叉連接)的端接硬體和色標規則,線路的交連(Cross-Connect)和直連(Interconnect)控制。
對於網路環境來說,現行國家標准《建築與建築群綜合布線系統工程設計規范》(GB/T 50311-2000)、《計算站場地技術條件》(GB 2887-89)、《電子計算機機房設計規范》(GB 50174-93)、《計算站場地安全要求》(GB 9361-88)有明確的規定,可參照執行。
網路中心是區域網的核心,總配線架(MDF)、網路交換機、網路伺服器、路由器、防火牆、網關、海量存儲設備、網管設備等重要網路實體都放置在這里。網路中心的環境除應滿足上述規定的一般要求外,在某些方面宜執行上述規定中的A級標准。具體描述如下:
(1) 安全要求
場地選擇、防火、內部裝修、供配電系統、空調系統、火災報警及消防設施、防水、防靜電、防雷擊、防鼠害、電磁波防護11項,宜執行《計算站場地安全要求》(GB 9361-88)中的A級標准。
(2) 溫度和濕度
夏季溫度22±2℃,冬季溫度20±2℃,相對濕度45%~65%,溫度變化率小於5℃/h。
(3) 塵埃限制
粒度≥0.5μm,個數≤10000粒/dm3
(4) 腐蝕性氣體
二氧化硫(SO2)≤0.15,硫化氫(H2S)≤0.01。
(5) 網路電源
電壓的變動范圍為-5%~+5%,頻率變化范圍為-0.2Hz~+0.2Hz,波形失真率≤±5%;網路電源應採用不間斷電源供電系統。
(6) 接地
交流工作地的接地電阻不宜大於4Ω;安全保護地的接地電阻不應大於4Ω;信號地和屏蔽地的接地電阻不應大於3Ω;防雷保護地的接地電阻不應大於10Ω。
子網設備間一般放置分配線架(IDF)、子網交換機、子網伺服器、子網列印機等子網設備。一般情況下,配線架和交換機應鎖閉在機櫃之中,以免誤動。子網設備間宜參照計算機機房的一般環境要求執行。
電信室只放有分配線架,辦公室環境即可滿足要求。
工作區子系統、水平子系統、主幹子系統、建築群子系統的環境要求主要考慮如何對網路線纜和接插件進行保護,即網路線纜和接插件的防火、防水、防磁、防鼠害、防雷擊、防靜電、防自然破壞和人為破壞等。
網路運行
根據企業網路應用情況,企業區域網可執行每天8小時運行制或每天24小時運行制。但在網路運行期間,企業一定要安排技術人員值班,以便隨時處理網路故障、解決網路問題、保持網路暢通、提高網路的可用性和可靠性水平。
網路值班可分為現場值班和呼叫(BP機、手機等)值班兩種形式:法定工作時間應實行現場值班,值班地點最好在網路中心;晚上或節假日期間,視網路應用情況,可設置現場值班或呼叫值班。網路值班要明確職責,規定在正常情況下值班人員應該做些什麼工作,在異常情況下又將如何應對,如何填寫值班記錄和值班交接記錄等。
網路管理
1. 網路管理員
一個企業可設兩名網路管理員,一名網路主管。網路主管的職責是: 考核網路工作人員,做好網路建設和網路更新的組織工作,制定網路管理規章制度並監督執行。網路管理員的職責如下:
(1) 協助網路主管制定網路建設及網路發展規劃,確定網路安全及資源共享策略。
(2) 負責公用網路實體,如伺服器、交換機、集線器、中繼器、路由器、防火牆、網橋、網關、配線架、網線、接插件等的維護和管理。
(3) 負責伺服器和網路軟體的安裝、維護、調整及更新。
(4) 負責網路賬號管理、資源分配、數據安全和系統安全。
(5) 參與網路值班,監視網路運行,調整網路參數,調度網路資源,保持網路安全、穩定、暢通。
(6) 負責計算機系統備份和網路數據備份;負責計算機網路資料的整理和歸檔。
(7) 保管網路拓撲圖、網路接線表、設備規格及配置單、網路管理記錄、網路運行記錄、網路檢修記錄等網路資料。
(8) 每年對本單位計算機網路的效能進行評價,提出網路結構、網路技術和網路管理的改進措施。
2. 網路操作
網管員對網路進行管理離不開網路操作,但網路操作不能隨意進行,否則容易出錯。網路操作的操作對象、操作范圍和操作深度應由操作者所在的崗位職責來確定,並嚴格遵守設備或系統的操作規程。重大網路操作(如系統升級、系統更換、數據轉儲等)應經過網路主管批准,採取妥善措施保護系統和數據,並填寫操作記錄。
3. 網路檢修
網路檢修由網路管理員會同有關技術人員共同進行。
網路檢修分為定期檢修和臨時檢修兩種。檢修的項目涉及伺服器、交換機、集線器、中繼器、路由器、防火牆、網關、網橋、配線架、網線等公用網路實體。
每年宜對區域網的公用網路實體進行一次全面檢查和預防性維修,更換性能波動或超過使用壽命的設備及部件。
網路的臨時檢修指在網路出現異常徵兆或故障情況下,檢查、分析、確定故障設備或故障部位,並進行應急維修。
4. 賬號管理
網路賬號宜分組管理。對於一個單位來說,用戶的網路賬號可以按其所在部門、所承擔的項目或所扮演的角色分組。為加強管理,用戶入網時應填寫「用戶入網申請登記表」,內容可以有:用戶姓名、部門名稱、賬號名及口令、初始目錄、存取許可權、網路資源分配情況等。「申請表」經用戶所在部門領導簽字後交網路管理員辦理。同樣,注銷網路賬號時,用戶或用戶所在部門也應書面通知網路管理員撤銷網路賬號、收回網路資源。
網路管理員為用戶設置的口令為明碼口令,沒有保密價值,因此,用戶首次使用自己的網路賬號時應立即修改口令,設置口令密碼。密碼字長不宜小於6個字元。用戶還應該設置本機(網路工作站)的開機口令和屏幕保護口令,以便非授權人員借機操作。各種口令密碼,其中包括系統管理員網路賬號口令密碼、用戶網路賬號口令密碼、本機開機口令密碼、本機屏幕保護口令密碼,都應嚴加保密並適時更換。
用戶賬號下的數據屬各個用戶的私人數據,當事人具有全部存取許可權,網路管理員具有管理及備份許可權,其他人員均無權訪問(賬號當事人授權訪問情況除外)。
各企業宜制定網路賬號管理規則,如分組規則、賬號命名規則、口令字長、口令變更期限、組及用戶存取許可權、用戶優先順序、網路資源分配規則等。網路管理員應根據企業制定的賬號管理規則對用戶賬號執行管理,並對用戶賬號及數據的安全和保密負責。
5. 伺服器管理
企業網路應根據企業網路拓撲結構和網路應用功能來配置伺服器、選擇伺服器的檔次及操作系統,形成文件伺服器、資料庫伺服器和各種專用伺服器分工合作的伺服器資源環境。網路伺服器宜分為主網伺服器和子網伺服器,企業共享的信息安排到主網伺服器,部門共享的信息安排到子網伺服器。
若要伺服器健壯,企業網路必須採用伺服器系統容錯機制。伺服器雙工、伺服器群集(Cluster)、磁碟雙工、磁碟鏡像、RAID磁碟陣列等都是網路伺服器可選用的容錯措施。
在選擇操作系統時,企業應考慮下述要求:
(1) 伺服器與伺服器之間、工作站與伺服器之間能夠實現資源共享、數據通信和交互操作;
(2) 安全級別最低達到TCSEC規定的C2級安全標准;
(3) 操作系統自身功能強、性能優、安全可靠、穩定高效、使用廣泛、界面友好、支持有力,同時應該是業界主流的應用系統。
在安裝伺服器(或修改伺服器配置)時,網管員應對伺服器的硬體、軟體情況進行登記,填寫「伺服器配置登記(更新)表」是一個好辦法。「伺服器配置登記表」的內容可以包括:伺服器名稱及域名、CPU類型及數量、內存類型及容量、硬碟類型及容量、網卡類型及速率、操作系統類型及版本、伺服器邏輯名及IP地址、支撐軟體的配置、應用軟體的配置、硬體及軟體配置的變更情況等。
伺服器有硬碟資源、內存資源、CPU資源、I/O資源等供網路使用。網路管理員應根據用戶或進程的優先順序,分配和調整伺服器的內存、CPU和I/O資源。
6. 保密措施
(1) 人員選擇
應對網路工作人員進行綜合考查,將技術過硬、責任心強、職業道德好的技術人員安排到網路工作崗位。網路主管要對網路工作人員的現實表現、工作態度、職業道德、業務能力等進行綜合評價,將不合格人員及時調離網路工作崗位。被調離人員應立即辦理網路工作交接手續,並承擔保密義務。
網路工作人員變動時,網路管理員應做好網路安全方面的相應調整工作。
(2) 責任分散
網路安全關鍵崗位宜實行輪崗制,時間期限視企業情況而定;操作系統管理、資料庫系統管理、網路程序設計、網路數據備份等與系統安全和數據安全相關的工作宜由多人承擔;涉及網路安全的重要網路操作或實體檢修工作應有兩人(或多人)參與,並通過注冊、記錄、簽字等方式予以證明。
(3) 出入管理
網路中心所在的計算機房應實行分區控制,限制工作人員進入到與己無關的區域。
網路工作人員、外來檢修人員、外來公務人員等進入網路中心要佩戴身份證件,做到持證操作、持證參觀。外來人員進入網路中心應始終有人陪同。
進、出網路中心的任何物品都應進行檢查和登記,禁止攜帶與網路操作無關的物品進、出網路中心。
7. 系統安全
未經網路主管批准,任何人不得改變網路拓撲結構、網路設備布置、伺服器配置和網路參數。
任何人不得擅自進入未經許可的計算機系統,篡改系統信息和用戶數據。企業網最好啟動網路安全審計功能,對不成功進入、不成功訪問、越權存取嘗試等進行記錄、整理、分析,並採取針對性措施。
在企業區域網上,任何人不得利用計算機技術侵犯用戶合法權益;不得製作、復制和傳播妨害單位穩定、淫穢色情等有害信息。
各單位應製作計算機系統和網路數據的備份,並儲備一定數量的備機或備件,使網路硬體、系統軟體、網路數據等發生故障後都能及時恢復。
企業宜根據實際情況制定網路系統應急計劃,以便在火災、水災、地震、意外停電、外部攻擊、錯誤操作、系統崩潰等災難性事故發生時能夠有條不紊地採取緊急救助和緊急恢復措施。
8. 數據備份
網路數據可分為私用、公用、專用、共享、秘密等多種類型;秘密數據又可分為多個密級。對於不同類型的數據,企業應採用訪問控制、身份驗證、數據加密、數字簽名、安全審計等技術手段保證數據安全。
計算機的主板損壞、驅動器崩潰、文件破壞以及其他災難性事故有可能經常發生。企業可以更換主板、驅動器甚至用戶,但無法更換數據。因此,企業應制定一個有效的數據備份策略。
數據備份的介質可以是軟盤、光碟、磁帶等,但從容量、速度、安全性、穩定性、性價比、可操作性、可管理性等方面考慮,企業區域網選用磁帶機做數據備份是保護網路數據的較好方法。
數據備份有完全備份、增量備份、指定備份等備份方式。企業每年、每月宜做完全數據備份,每星期宜做增量數據備份,重要數據每天應做數據備份,並多份拷貝、異地存放。為能較好地恢復數據又節省磁帶開銷,企業數據年備份應保留3年,月備份應保留12個月,星期備份應保留6個月。
9. 病毒防治
任何人不得在企業區域網上製造、傳播計算機病毒,不得故意輸入計算機病毒及其有害數據危害網路安全。網路使用者發現病毒,應立即向網路管理員報告,以便獲得及時處理。
網路伺服器的病毒防治宜由網路管理員負責。網路工作站的病毒防治宜由用戶負責,網路管理員可以進行指導和協助。
企業在購買計算機病毒防治產品時,應確保產品生產單位具有《計算機信息系統安全專用產品銷售許可證》,其病毒防治能力達到公安部規定的水平(詳見《計算機病毒防治產品評級准則》)。
結束語
企業區域網的管理由行為管理和技術管理兩方面構成,行為管理對技術管理有指導和約束作用。技術管理有技術說明書可供參考,行為管理則需要積累經驗並形成規范。企業只有將技術管理和行為管理結合起來,網路管理才能完備,才能為企業的生產、經營做出其應有的貢獻。
Ⅲ 計算機網路大作業 求高手
組幾個小型局域,配置單臂路由。建立幾個伺服器,做個SQL資料庫,資料庫的多少看你的需要了。然後買幾個7200以上的路由做個VPN進行下連接,交換機去網上看看找個性能好點的。至少支持你做VPN路由帶路由功能的。或者直接買幾個質量好點傳輸速率高點的VPN路由進行區域網連接就行了。至於網路擴譜圖不需要做的那麼復雜,簡單實用就行,不過如此大的網路,必備的要找個懂得網路安全的工程師,否則日後的管理會成為你的第一頭疼的大事,畢竟互聯網上很少有安全的時候。
Ⅳ 計算機網路作業 回答滿意可以追加分數,謝謝了!
自主,通信協議,資源共享
數據鏈路,會話
同軸電纜,光纖
?
128.0.0.0-191.255.255.255
大量的計算機,信息資源
基帶,?
數字,模擬
邏輯,物理
RIP,OSPF
80
-----------------------------------
轉發器:一層設備,其實就是中繼器,它是用來將信號放大的,遠距離傳輸時,信號會衰減,所以需要加一個中繼器,這樣可以傳輸的更遠。網橋:二層設備,網橋具有學習功能,它可以根據第二層地址mac來轉發幀,在數據通過網橋時,網橋會根據mac來決定是否轉發。路由器:三層設備,可以根據IP地址進行路徑選擇和包交換。主要用來路由選擇。
PPP協議有三個組成部分:
鏈路控制協議LCP(Link Control Protocol);網路控制協議NCP(Network Control Protocol);認證協議,最常用的包括口令驗證協議PAP(Password Authentication Protocol)和挑戰握手驗證協議CHAP(Challenge-Handshake Authentication Protocol)。
一個典型的鏈路建立過程分為三個階段:創建階段、認證階段和網路協商階段。階段1:創建PPP鏈路》》》LCP負責創建鏈路。在這個階段,將對基本的通訊方式進行選擇。鏈路兩端設備通過LCP向對方發送配置信息報文(Configure Packets)。一旦一個配置成功信息包(Configure-Ack packet)被發送且被接收,就完成了交換,進入了LCP開啟狀態。應當注意,在鏈路創建階段,只是對驗證協議進行選擇,用戶驗證將在第2階段實現。階段2:用戶驗證》》》在這個階段,客戶端會將自己的身份發送給遠端的接入伺服器。該階段使用一種安全驗證方式避免第三方竊取數據或冒充遠程客戶接管與客戶端的連接。在認證完成之前,禁止從認證階段前進到網路層協議階段。如果認證失敗,認證者應該躍遷到鏈路終止階段。在這一階段里,只有鏈路控制協議、認證協議,和鏈路質量監視協議的packets是被允許的。在該階段里接收到的其他的packets必須被靜靜的丟棄。最常用的認證協議有口令驗證協議(PAP)和挑戰握手驗證協議(CHAP)。階段3:調用網路層協議》》》認證階段完成之後,PPP將調用在鏈路創建階段(階段1)選定的各種網路控制協議(NCP)。選定的NCP解決PPP鏈路之上的高層協議問題,例如,在該階段IP控制協議(IPCP)可以向撥入用戶分配動態地址。這樣,經過三個階段以後,一條完整的PPP鏈路就建立起來了。
------------------------------------------
應用題3
解:(1)分組的目的站IP地址為:128.96.39.10。先與子網掩碼255.255.255.128相與,得128.96.39.0,可見該分組經介面0轉發。
(2)分組的目的IP地址為:128.96.40.12。
① 與子網掩碼255.255.255.128相與得128.96.40.0,不等於128.96.39.0。
② 與子網掩碼255.255.255.128相與得128.96.40.0,經查路由表可知,該項分組經R2轉發。
(3)分組的目的IP地址為:128.96.40.151,與子網掩碼255.255.255.128相與後得128.96.40.128,與子網掩碼255.255.255.192相與後得128.96.40.128,經查路由表知,該分組轉發選擇默認路由,經R4轉發。
(4)分組的目的IP地址為:192.4.153.17。與子網掩碼255.255.255.128相與後得192.4.153.0。與子網掩碼255.255.255.192相與後得192.4.153.0,經查路由表知,該分組經R3轉發。
(5)分組的目的IP地址為:192.4.153.90,與子網掩碼255.255.255.128相與後得192.4.153.0。與子網掩碼255.255.255.192相與後得192.4.153.64,經查路由表知,該分組轉發選擇默認路由,經R4轉發。
Ⅳ 南昌大學信息安全如何
致未來南昌大學信息安全專業的學弟學妹們的一封信:
我是南昌大學軟體學院2010級的學生,在我剛剛接到錄取通知的時候,我發現我報考的專業和現在錄取的專業不是同一個,但我並沒有猶豫,依然堅定的來到了這里。到了這里,我感覺學校的老師和其他專業的同學對信息安全這個專業都有很高的評價,於是我也對自己的未來充滿了信心。但當我進入大二,我突然之間感覺到了時間的緊迫性。都到大二下學期了,我們連基本的專業課程都沒開設,於是我一直在想,大四是不可能學知識了,因為要有其他的事情,只有大三短短的一年時間當中我們能學到什麼呢?
我看到了剛才這位學長的評論,貌似對南昌大學的信息安全專業不滿,其實,這很正常。想想也是應該的,因為南昌大學的信息安全專業畢竟是才開設的啊,要想在短期之內取得成效是不可能的,所以不應該拿我們學校的信安專業和其他學校的比,請試想一下,我們第一屆信安的學長們代表我們學校參加的江西省乃至全國的性的信息安全競賽都是有獲獎的啊,能在如此短的時間之內取得這樣的成效已實屬不易。你總不能拿一個剛出生的小孩子和一個青年人比較誰的力氣大吧?想想我們這個專業是能在全國的信息安全競賽上獲獎的,所以啊。可見我們學校的這個專業很是有前途。只不過現在我們處在一個起步階段而已。
不要說我們這個專業的老師怎麼怎麼的,也不要管我們有沒有這個專業的專職老師授課,只要能學到知識,那就是好老師。其實想一想,也沒有你說的那麼差,如果真想你說的那樣,那第一屆的學長們他們不是有學的好的嗎?他們不是代表學校參加過競賽嗎?不是也獲獎了嗎?可見,只要認真學,就會有成效的。
這個專業是該多些實踐,至於大三老師只是講ppt,全是純理論性的知識,我想,老師只是起到一個指路人的作用,其餘的要自己去鑽研學習,當然,學校在在一塊或多或少也有漏洞,也許真的我們學校缺少這方面的老師,但請不要灰心,相信一切會好的,相信我們學校既然能辦這個專業就會讓我們報這個專業的每個人都能有所收獲。