前言:中文期刊网精心挑选了企业网络安全解决方案范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
企业网络安全解决方案范文1
随着计算机技术和互联网技术的不断发展,网络技术已经被广泛应用于企业管理中。电子信息时代的网路安全技术是保证企业信息安全的坚强后盾,本文就网络安全技术在企业中的应用做出研究,总结网络安全问题的解决方案。
【关键词】网络安全技术 解决方案 企业网络安全
网络由于其系统方面漏洞导致的安全问题是企业的一大困扰,如何消除办企业网络的安全隐患成为企业管理中的的一大难题。各种网络安全技术的出现为企业的网络信息安全带来重要保障,为企业的发展奠定坚实的基础。
1 网络安全技术
1.1 防火墙技术
防火墙技术主要作用是实现了网络之间访问的有效控制,对外部不明身份的对象采取隔离的方式禁止其进入企业内部网络,从而实现对企业信息的保护。
如果将公司比作人,公司防盗系统就如同人的皮肤一样,是阻挡外部异物的第一道屏障,其他一切防盗系统都是建立在防火墙的基础上。现在最常用也最管用的防盗系统就是防火墙,防火墙又可以细分为服务防火墙和包过滤技术防火墙。服务防火墙的作用一般是在双方进行电子商务交易时,作为中间人的角色,履行监督职责。包过滤技术防火墙就像是一个筛子,会选择性的让数据信息通过或隔离。
1.2 加密技术
加密技术是企业常用保护数据信息的一种便捷技术,主要是利用一些加密程序对企业一些重要的数据进行保护,避免被不法分子盗取利用。常用的加密方法主要有数据加密方法以及基于公钥的加密算法。数据加密方法主要是对重要的数据通过一定的规律进行变换,改变其原有特征,让外部人员无法直接观察其本质含义,这种加密技术具有简便性和有效性,但是存在一定的风险,一旦加密规律被别人知道后就很容易将其破解。基于公钥的加密算法指的是由对应的一对唯一性密钥(即公开密钥和私有密钥)组成的加密方法。这种加密方法具有较强的隐蔽性,外部人员如果想得到数据信息只有得到相关的只有得到唯一的私有密匙,因此具有较强的保密性。
1.3 身份鉴定技术
身份鉴定技术就是根据具体的特征对个人进行识别,根据识别的结果来判断识别对象是否符合具体条件,再由系统判断是否对来人开放权限。这种方式对于冒名顶替者十分有效,比如指纹或者后虹膜, 一般情况下只有本人才有权限进行某些专属操作,也难以被模拟,安全性能比较可靠。这样的技术一般应用在企业高度机密信息的保密过程中,具有较强的实用性。
2 企业网络安全体系解决方案
2.1 控制网络访问
对网络访问的控制是保障企业网络安全的重要手段,通过设置各种权限避免企业信息外流,保证企业在激烈的市场竞争中具有一定的竞争力。企业的网络设置按照面向对象的方式进行设置,针对个体对象按照网络协议进行访问权限设置,将网络进行细分,根据不同的功能对企业内部的工作人员进行权限管理。企业办公人员需要使用到的功能给予开通,其他与其工作不相关的内容即取消其访问权限。另外对于一些重要信息设置写保护或读保护,从根本上保障企业机密信息的安全。另外对网络的访问控制可以分时段进行,例如某文件只可以在相应日期的一段时间内打开。
企业网络设计过程中应该考虑到网络安全问题,因此在实际设计过程中应该对各种网络设备、网络系统等进行安全管理,例如对各种设备的接口以及设备间的信息传送方式进行科学管理,在保证其基本功能的基础上消除其他功能,利用当前安全性较高的网络系统,消除网络安全的脆弱性。
企业经营过程中由于业务需求常需要通过远端连线设备连接企业内部网络,远程连接过程中脆弱的网络系统极容易成为别人攻击的对象,因此在企业网络系统中应该加入安全性能较高的远程访问设备,提高远程网络访问的安全性。同时对网络系统重新设置,对登入身份信息进行加密处理,保证企业内部人员在操作过程中信息不被外人窃取,在数据传输过程中通过相应的网络技术对传输的数据审核,避免信息通过其他渠道外泄,提高信息传输的安全性。
2.2 网络的安全传输
电子商务时代的供应链建立在网络技术的基础上,供应链的各种信息都在企业内部网络以及与供应商之间的网络上进行传递,信息在传递过程中容易被不法分子盗取,给企业造成重大经济损失。为了避免信息被窃取,企业可以建设完善的网络系统,通过防火墙技术将身份无法识别的隔离在企业网络之外,保证企业信息在安全的网络环境下进行传输。另外可以通过相应的加密技术对传输的信息进行加密处理,技术一些黑客破解企业的防火墙,窃取到的信息也是难以理解的加密数据,加密过后的信息常常以乱码的形式存在。从理论上而言,加密的信息仍旧有被破解的可能性,但现行的数据加密方式都是利用复杂的密匙处理过的,即使是最先进的密码破解技术也要花费相当长的时间,等到数据被破解后该信息已经失去其时效性,成为一条无用的信息,对企业而言没有任何影响。
2.3 网络攻击检测
一些黑客通常会利用一些恶意程序攻击企业网络,并从中找到漏洞进入企业内部网络,对企业信息进行窃取或更改。为避免恶意网络攻击,企业可以引进入侵检测系统,并将其与控制网络访问结合起来,对企业信息实行双重保护。根据企业的网络结构,将入侵检测系统渗入到企业网络内部的各个环节,尤其是重要部门的机密信息需要重点监控。利用防火墙技术实现企业网络的第一道保护屏障,再配以检测技术以及相关加密技术,防火记录用户的身份信息,遇到无法识别的身份信息即将数据传输给管理员。后续的入侵检测技术将彻底阻挡黑客的攻击,并对黑客身份信息进行分析。即使黑客通过这些屏障得到的也是经过加密的数据,难以从中得到有效信息。通过这些网络安全技术的配合,全方位消除来自网络黑客的攻击,保障企业网络安全。
3 结束语
随着电子商务时代的到来,网络技术将会在未来一段时间内在企业的运转中发挥难以取代的作用,企业网络安全也将长期伴随企业经营管理,因此必须对企业网络实行动态管理,保证网络安全的先进性,为企业的发展建立安全的网络环境。
参考文献
[1]周观民,李荣会.计算机网络信息安全及对策研究[J].信息安全与技术,2011.
[2]韩萍,蔡志立.计算机网络安全与防范[J].硅谷,2011.
企业网络安全解决方案范文2
卡巴斯基开放空间安全解决方案是为不同规模的企业网络设计的,可跨越办公空间的限制,为远程及移动用户提供一个完整的解决方案。在沟通日益自由和开放的今天,卡巴斯基开放空间安全解决方案能够为用户提供周全的保护,包括防御病毒、黑客、间谍软件和垃圾邮件等的攻击。
如果企业已经采取了某些安全防护措施,如用于网关保护、邮件保护的硬件产品,这种情况下,是否还需要该解决方案?如果需要,会不会因为功能重复而造成浪费?该解决方案会不会对网关性能造成影响?
对此,高 玮表示,卡巴斯基开放空间安全解决方案是一个整体的网络安全解决方案,它具有很强的灵活性和适应性。用户如果已经使用了网关保护或邮件保护等产品,开放空间安全解决方案仍适合他们,用户只需要根据自己的需要来选择相应的子方案就可以了,不会降低网关性能,甚至在一定程度上,还可提升网关性能。
卡巴斯基开放空间安全解决方案保护范围可涵盖各种网络结构。根据不同的网络状况,可提供四种安全保护子方案(如图所示)。其中卡巴斯基整体空间安全解决方案的功能最为完备,它包括卡巴斯基手机版、反病毒Windows工作站、反病毒Linux工作站、反病毒Windows服务器、反病毒Linux文件服务器、反病毒Novell Netware、反病毒Samba服务器、反病毒Microsoft Exchange、反病毒Linux邮件服务器、反病毒Lotus/Domino、邮件网关、反垃圾邮件、反病毒Check Point FireWall-1、反病毒Microsoft ISA Server、反病毒服务器、管理工具等组件。它能够为各种规模、复杂程度不同的企业网络提供全面的安全保护,对所有进出网络节点的数据进行全面控制,以抵御各种类型的网络攻击。
对于卡巴斯基开放空间安全解决方案的分级标准和升级问题,高 玮是这样解释的:卡巴斯基是按照需求分级的。比如,大部分的中小企业只对工作站和文件服务器有保护的需求,卡巴斯基就可为这些用户提供保护工作站和文件服务器的中小企业空间安全解决方案。如果某些中小企业还需要更进一步的保护,它可以选择更高级别的解决方案。
企业网络安全解决方案范文3
接连不断的蠕虫病毒使当前安全技术和措施的有效性再次受到质疑。尽管安全是世界上所有机构的头等大事之一,安全攻击事件的数量仍然是逐年攀升,造成的危害一次比一次大。在最近的数年中,大量的投资被用于阻击安全事件的发生,但只有少数公司确保了它们网络的安全。
特别值得一提的是,为了满足用户和业务的需求,时刻保持竞争优势,企业不得不持续扩张网络体系。然而,很多人可能不知道,网络的每一次扩张,即便是一台新计算机、一台新服务器以及软件应用平台,都将给病毒、蠕虫、黑客留下可乘之机,为企业网络带来额外的安全风险。同时,纯病毒时代已经一去不复返,几年前占据着新闻头条的计算机病毒事件在今天看来已经不是什么新闻,取而代之的是破坏程度呈几何增长的新型病毒。这种新型病毒被称为混合型病毒,这种新病毒结合了传统电子邮件病毒的破坏性和新型的基于网络的能力,能够快速寻找和发现整个企业网络内存在的安全漏洞,并进行进一步的破坏,如拒绝服务攻击,拖垮服务器,攻击计算机或系统的薄弱环节。在这种混合型病毒时代,单一的依靠软件安全防护已开始不能满足客户的需求。
网络安全不只是软件厂商的事
今年上半年,网络安全软件及服务厂商——趋势科技与网络业界领导厂商——思科系统公司在北京共同宣布签署了为企业提供综合性病毒和蠕虫爆发防御解决方案的合作协议。该协议进一步扩展了双方此前针对思科网络准入控制(NAC)计划建立的合作关系,并将实现思科网络基础设施及安全解决方案与趋势科技防病毒技术、漏洞评估和病毒爆发防御能力的结合。
根据合作协议,思科首先将在思科IOS路由器、思科Catalyst交换机和思科安全设备中采用的思科入侵检测系统(IDS)软件中添加趋势科技的网络蠕虫和病毒识别码技术。此举将为用户提供高级的网络病毒智能识别功能和附加的实时威胁防御层,以抵御各种已知和未知的网络蠕虫的攻击。
“在抵御网络蠕虫、防止再感染、漏洞和系统破坏的过程中,用户不断遭受业务中断的损失,这导致了对更成熟的威胁防御方案需求的增长。”趋势科技创始人兼首席执行官张明正评论说,“传统的方法已无法满足双方客户的需求。”
“现在的网络安全已不是单一的软件防护,而是扩充到整个网络的防治。”思科全球副总裁杜家滨在接受记者采访时表示:“路由器和交换机应该是保护整个网络安全的,如果它不安全,那它就不是路由器。从PC集成上来看,网络设备应该能自我保护,甚至实现对整个网络安全的保护。”
业界专家指出,防病毒与网络基础设施结合,甚至融入到网络基础架构中,这是网络安全的发展潮流,趋势科技和思科此次合作引领了这一变革,迈出了安全发展史上里程碑式的重要一步。
“软”+“硬”=一步好棋
如果细细品味这次合作的话,我们不难发现这是双方的一步好棋,两家公司都需要此次合作。
作为网络领域的全球领导者,思科一直致力于推动网络安全的发展并独具优势。自防御网络(Self-DefendingNetwork,SDN)计划是思科于今年3月推出的全新的安全计划,它能大大提高网络发现、预防和对抗安全威胁的能力。思科网络准入控制(NAC)计划则是SDN计划的重要组成部分,它和思科的其他安全技术一起构成了SDN的全部内涵。
SDN是一个比较全面、系统的计划,但是它缺乏有效的病毒防护功能。随着网络病毒的日见猖獗,该计划防毒功能的欠缺日益凸显。趋势科技领先的防毒安全解决方案正是思科安全体系所亟需的。
趋势科技作为网络安全软件及服务厂商,以卓越的前瞻和技术革新能力引领了从桌面防毒到网络服务器和网关防毒的潮流。趋势科技的主动防御的解决方案是防毒领域的一大创新,其核心是企业安全防护战略(EPS)。EPS一反过去被动地以防毒软件守护的方式,将主动预防和灾后重建的两大阶段纳入整个防卫计划当中,并将企业安全防护策略延伸至网络的各个层次。
“如果此次与思科合作的不是趋势科技,我们恐怕连觉都睡不好。”张明正的戏言无不透露出趋势科技对此次合作的迫切性和重要性。
更让张明正高兴的是,通过此次合作,趋势科技大大扩充了渠道。“我们的渠道重叠性很小。”张明正表示。而此次“1+1<2”的低成本产品集成将使这次合作发挥更大的空间。
网络安全路在何方?
如今,虽然业界有形形的安全解决方案,网络安全的形势却不断恶化。究其原因,主要是由于现在的网络威胁形式越来越多,攻击手段越来越复杂,呈现出综合的多元化的特征。
企业网络安全解决方案范文4
在网络技术迅速发展的今天,信息化已成为国际性发展趋势,作为国民经济信息化的基础,企业信息化建设受到国家和企业的广泛重视。
企业信息化,企业网络的建设是基础,从计算机网络技术和应用发展的现状来看,Intranet是得到广泛认同的企业网络模式。Intranet并不完全是原来局域网的概念,通过与Internet的联结,企业网络的范围可以是跨地区的,甚至跨国界的。
现在,Internet的发展已使世界成为电子信息的地球村,人们不在有地理空间上的交流限制。随着网上商业活动的激增,Intranet也应运而生。企业都已感到企业信息化的重要性,陆续建立起了自己的企业网和Intranet并通过各种WAN线路与Internet相连。国际互联网Internet在带来巨大的资源和信息访问的方便的同时,它也带来了巨大的潜在的危险,至今仍有很多企业仍然没有感到企业网安全的重要性。在我国网络急剧发展还是近几年的事,而在国外企业网领域出现的安全事故已经是数不胜数。我国网络安全存在诸多问题:首先是防御意识的落后。对网络安全的防护,意识和观念须先行。但现实中无论是网民还是从事电子商务的企业,网络安全的维护意识薄弱得让人痛心。据调查:在我国电脑应用单位80%未设立相应的安全管理组织,58%无严格的调存管理制度,59%无应急措施,48%无事故发生后的系统恢复方案。因此,我们应该在积极进行企业网建设的同时,就应借鉴国外企业网建设和管理的经验,建设完善网络安全体系,将企业网中可能出现的危险和漏洞降到最低。应该提供7*24小时的网络安全及VPN网络业务运营。
安全威胁的种类和破坏力在与时俱进,这是安全领域最令人不安的事实之一。与安全隐患作斗争不是一项简单的任务。过去,企业IT团队使用多种工具的组合解决各种安全问题。现在这种方法已因成本过高和无法扩展而变得不合实宜,而非集成工具的维护工作过于复杂正是造成上述缺陷的首要原因。因此,IT团队开始将目光转向具有高可靠性的集成安全解决方案。
安全管理的现状促使越来越多的中小型企业(SME)转而青睐统一威胁管理(Unified Threat Management/UTM)相关解决方案。在大型组织机构的数据中心及隔离区(DMZ)等数据集聚点,巨大数据流量的压力和用户对高速度的追求使专门的威胁管理解决方案成为必需。
就目前而言,无论是少林金钟罩,还是武当铁布衫,需要双管齐下:将统一威胁管理解决方案运用于分支机构,同时将专门的高性能威胁管理设备运用于核心中枢部门,这种“两手都要硬”的策略不失为分布式企业的最佳选择。
为统一威胁管理解决方案辩明真身
将高性能放在首位的客户可能会选择单一功能的安全产品;但是,多种专业设备的部署和管理将会耗费大量成本。除支付购买多种产品单元的初期投资外,IT团队可能还要花费精力应对五花八门的用户界面与管理工具,而统一威胁管理解决方案则能够在大多数情况下为用户提供性能、成本与可管理性之间的最佳结合点。不过我们应该注意的是,并不是出门去随便购买一套统一威胁管理解决方案就万事大吉。各家厂商生产的统一威胁管理解决方案大相径庭,因此我们强烈建议客户,在为基础设施选定具体的安全解决方案之前,首先要仔细比较各种产品在性能和技术规范上的不同之处。
产品功能的质量是否统一
市场上出现的各种统一威胁管理解决方案设备可能并不具备统一的强大功能。厂商可能只是将来自不同开发者和第三方供应商的防病毒软件、防火墙和网页过滤功能集合在一起,作为整套统一威胁管理解决方案出售。受低成本或劣质产品设计的影响,具体的统一威胁管理解决方案产品可能会含有设计不合理的技术,进而导致最终产品的质量良莠不齐,使性能的可靠性受到损害。
考虑到统一威胁管理解决方案在保护企业数据安全方面扮演的关键角色,我们建议IT经理人选择顶级质量的统一威胁管理解决方案,以使企业享受到市场领先供应商提供的先进功能,从而确保针对安全威胁的有效防御。
是否拥有全面的安全保护功能
选择优秀的统一威胁管理解决方案,意味着客户将坐拥整套安全保护功能,包括互为补充的主动反应机制与被动反应机制,以及具有可视性和可控制性特点的网络层机制。
真正的统一威胁管理解决方案不仅能够满足上述全部要求,还要具备以下功能:虚拟专用网络(VPN)、多层防火墙、多方位侵入监测与预防机制、多协议防病毒软件、反间谍软件(anti-spyware)、反网络钓鱼软件(anti-phishing)、反垃圾邮件(anti-spam)以及网页过滤等。
是否应用虚拟技术
虚拟功能是强大的统一威胁管理解决方案所应具备的重要特点之一。统一威胁管理解决方案采用的虚拟技术允许管理员将不同的“虚拟”统一威胁管理解决方案部署到不同的网络分区或用户组,从而利用统一界面对整个系统进行管理。这一重要功能帮助管理员应用不同种类的接入请求,根据不同的安全策略以简易而安全的方式划分用户组和数据通信种类。虚拟技术的本质在于模拟网络中拥有多部设备,而无需真正部署设备,从而节约了管理成本与部署成本所需的人力物力。
统一威胁管理解决方案采用的部分虚拟技术包括:
-安全区域(Security Zones),即分布在逻辑区中的网络逻辑分区。安全区域可分配给物理接口,也将整部设备分配给虚拟系统。在后一种设置中,多个安全区域共享同一个物理接口,从而增加接口密度,降低设备成本。
-虚拟系统,即分区附加层次,能够创建多个独立的虚拟环境。各个虚拟环境都拥有自己的用户、防火墙、VPN、安全策略和管理接口。虚拟系统允许管理员迅速将网络划分为由单一设备管理的多个安全环境,从而帮助网络操作员创建多用户解决方案,同时减少防火墙数目,降低管理压力。这种方法能够有效地降低成本与运营开支。
-虚拟路由器。此功能帮助管理员对单一设备进行分区,使其起到多部物理路由器的作用。各个虚拟路由器可对各自的域提供支持,确保路由信息不与建立在其他虚拟路由器上的域进行交换,从而避免了通信混乱。
-虚拟局域网(VLAN)。即子网络的逻辑(而非物理)分支,帮助管理员确认通信并对其进行细分。安全策略可以具体规定由各个虚拟局域网(VLAN)至安全区域、虚拟系统或物理接口的通信路由,从而帮助管理员确认并组织多个部门之间的通信,并确定哪些资源可被访问。
是否具备网页过滤方法的选择
市场上的大多数统一威胁管理解决方案都具有网页过滤功能。IT经理人必需对哪一种网页过滤功能最适合企业需要有清醒的认识。
某些统一威胁管理解决方案拥有外部网页过滤功能,能够使通信流量由设备转而流向专用的网页过滤服务器,以执行网页过滤策略。还有一些统一威胁管理解决方案具备集成式网页过滤功能,能够帮助企业建立自己的网页访问策略,通过一个不断更新的数据库有选择地阻止对某些网站的访问。
无论选择哪一种过滤方法,统一威胁管理解决方案都应能够使企业组织将所选方法迅速付诸实施。此外,统一威胁管理解决方案还应帮助IT经理人使用黑名单、白名单及其他各种预定义及用户定义策略定制网页过滤解决方案。
专门的威胁管理解决方案
许多拥有大型数据中心的大企业或公司需要部署额外的威胁管理工具,如防火墙、防病毒网关、防入侵系统等,以满足对系统大容量和高性能的需要。
企业网络安全解决方案范文5
关键词:思科设备;企业网;安全方案
中图分类号:TP393.08 文献标识码:A 文章编号:1006-8937(2013)14-0083-01
随着企业网络不断的扩展和互联网技术的不断更新,各大中企业越来越多的通过网络来发展业务。由于大中企业的发展规模不断扩大,员工人数的不断增加,并且扩展了越来越多的分公司。现有的企业网络系统逐渐不能满足企业信息化建设在安全性和可靠性等方面的要求。因此,对大中型企业网络进行改善,以提高网络的可用性、安全性、可靠性、稳定性,并具有一定的可扩展性要求,用来满足企业业务发展的需求是十分必要的。通过按照企业网络的建设规划和总体要求,主要通过利用原有综合布线系统和设备的基础上,重新规划实施,建设安全性高的企业内联网,以满足网络整体性能的要求,并为各种网络服务和信息系统的使用提供运行良好的网络平台。
1 企业网安全建设需求分析
按照目前大中企业网络建设规划和总体要求,将对企业网络设备进行相关的配置和实施,使企业网络满足设计的要求,实现高效的企业网络的办公网络系统。将网络按照层次的要求满足发展中公司信息化的要求,并具有一定的可扩展性。同时,满足企业分公司和总公司的信息传输和资源共享的要求及员工增长的要求。主要进行如下需求分析。
①网络部分的总体设计需求。企业网络大都是通过路由器设备连接成一个统一的企业内联网,满足公司对网络统一管理的要求。本方案计划使用OSPF开放最短路径优先协议和BGP协议分别作为内部和外部路由协议。选用OSPF的好处在于OSPF作为链路状态协议已成为业界标准,并且具有行业内的各大厂商的支持基础,该协议的优点还具有路由信息传输的可控性,还能充分保证链路的负载均衡。在总体需求中,企业网络在结构上主要按网络层次进行分层设计,主要分为三层,分别为核心层,汇聚层和接入层,接入层交换机全部冗余上行链路,分别上联到汇聚层交换机,这个既保证了企业网络的安全性和可靠性,同时又实现了企业虚拟局域网的统一配置管理和企业网络环路避免。
②系统部分的总体设计需求。通过对企业网络的服务器及客户机进行安全方面的设计,以提高网络的安全性,而且公司的服务器等可以在总公司实现,分公司只使用总公司提供的应用服务,不需要自己建设。
③安全部分的总体设计需求。根据企业网的运行规律和安全现状,在企业网络中应用热备份路由协议对交换及路由设备进行备份。即保证了企业网的信息处理和传输系统安全,它侧重于保证企业网络系统正常运行,有效避免了企业网络系统的崩溃对企业信息的处理和资源共享造成大的故障。同时在企业网络的系统信息安全方面还通过域环境管理企业的资源访问,通过设置用户安全问题跟踪,计算机病毒防治,数据加密等避免有害的信息传播后造成的后果。同时为了避免企业网络上大量的机密信息失控,设计时,需要在企业网络的出口处设计防火墙技术,从而使出入企业网络的数据流量都必须经过防火墙的过滤,通过利用防火墙技术对企业网络数据包进行安全过滤,并实现安全访问控制。
④整体规划指导思想。企业网络建设将采用思科公司的网络设备和先进的计算机及软件,以及先进的管理模式,实现一个高效的企业网络的办公网络体系。企业网络的各类服务器以及各种操作系统和应用软件必须考虑技术上的先进性和通用性,并且要有良好的售后技术,而且需要方便维护和升级。
⑤方案实施主要依据原则。方案设计实施依照国家及行业有关标准完成。企业网络安全设计应满足企业未来发展的要求,具有充分的可扩展的能力,随着公司规模的扩大,本设计方案仍然能够满足公司运营的需求或变更和升级。而且项目设计应遵循实用的原则,并且提供良好的培训及售后服务。
2 安全方案设计
按照企业网络的总体建设规划和总体要求,现在将对企业网络新购的和原有的思科公司的设备进行相关的配置和实施,使公司网络满足设计的要求,实现高效的办公网络体系。将网络复杂化进行分层化的处理,满足大中企业发展的信息化的要求,并具有一定的可扩展性,同时满足企业分公司和总公司的规模增长的要求。
企业网络安全方案设计阶段主要分为以下几个部分,分别是交换机部分的设计,路由器部分设计,服务器部分设计,广域网部分设计和网络安全性部分设计。
①交换部分的设计。当企业网络的规模扩大,交换机数量增多时,可以减少管理员的工作量,在维护整个企业网络上VLAN的添加,删除和重命名工作时,还可以确保配置的一致性。从而降低了为止的复杂度,大大减轻了网络管理人员的工作负担,同时提高了安全性。
②MSTP多生成树的设计。企业网络的拥塞问题也会造成网络的效率大大的降低,通过多生成树协议可以避免网络广播的形成,多生成树协议的原理是把网络拓扑的环形结构变成树型结构,最主要的应用是为了避免企业网络中的网络环路,解决以太网网络的广播风暴问题,主要配置命令如下所示:
SW3-1(config)#spanning-tree vlan 10 root priority
③以太网通道的设计。以太网通道通过捆绑多条以太链路来提高链路带宽,并运行一种机制,将多个以太网端口捆绑成一条逻辑链路,主要配置命令如下:
channel-group 1 mode on
④热备份路由协议设计。企业网络的多台汇聚层交换机或路由器上启用热备份路由协议HSRP,其设计目标是支持特定情况下,当某一设备出现故障时,企业网络数据流量可以从故障设备切换到正常的设备上,并允许设备作为企业网络的网关,可以实现当实际第一条路由尝试失败的状态下,仍能保持整个企业网络的连通,主要命令如下:
SW3-1(config-if)#standby 10 IP IP-address
SW3-1(config-if)#standby 10 priority 120
⑤VPN专线技术设计。虚拟专用网在有总部和分公司的企业是十分有效的安全解决方案,VPN主要是通过一个公用网络建立一个安全隧道连接,它能够实现在公用网络中产生一条安全、稳定的隧道。虚拟专用网是对企业内部网的扩展,通过虚拟专用网可以实现在企业外部的用户、分支机构、商业伙伴及供应商安全有效的与公司内部网建立可靠的安全访问连接,同时保证了数据的安全传输。
⑥网络防火墙安全性设计。防火墙位于企业网络的总公司与外网之间。企业的所有计算机流入流出的所有网络通信均要经过此防火墙。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。一个防火墙作为阻塞点、控制点能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,网络环境变得更安全。所以,在企业网络方案中选择的防火墙是CISCOASA5520-BUN-K9,能更保证我们组建的网络更安全更可靠。
3 结 语
通过设计网络安全方案可以实现大中型企业网络的高效、安全和可靠性的正常运转,在基于思科公司的网络设备的基础上,利用各种交换技术和路由技术等构建适合大中型企业网络的安全解决方案设计,为企业网络的安全高效的运行提供良好的条件,当然随着网络技术的不断更新,还需要不断进行企业网络安全方面的设计。
参考文献:
企业网络安全解决方案范文6
网关处阻断风险
Web 2.0的普及以及不断被发现的可利用的程序漏洞、无边界化的网络访问以及移动工作大军使得Web威胁愈演愈烈。美国《金融时报》报道,现在平均每20秒就发生一次入侵计算机网络的事件,超过1/3的互联网防火墙时常被攻破!按照当前网络威胁增长的速度,预计到2015年全球互联网将会有2.33亿个恶意程序,用户每小时会有2.6万个新病毒需要处理。
在安全防御技术与病毒制造技术对抗的数十年里,从终端到网关,大多数企业都会在网络中设置好几道安全线。而传统安全市场上比较流行的网络安全解决方案中,存在两大流派,一派是网关产品,另外一派是解决桌面安全的终端产品,两派应对网络病毒,各有长处。
网关作为企业大门入口,如果没有一个尽职尽责的看门人,企业的网络就如同黑客的客厅随便进出。而终端作为企业网络服务的末梢,既是安全防护的核心也是网络建设中最薄弱、最需要保护的地方。
对于连接到互联网的企业而言,业务系统运行的连续性、稳定性,数据资产的安全性以及企业资源有效利用等的广泛需求,汇集成网关安全防护所面临的核心问题。
郑州宇通集团对信息系统十分依赖,保持核心数据的机密性和可用性成为企业必须考虑的问题。宇通CIO也提出了自己的看法:“针对宇通超过2000个网络节点的情况,网络安全解决方案必须要在网关处阻断网络威胁,防止数据外泄。”
趋势科技大中华区总裁张伟钦认为,在云安全1.0时代,趋势科技在网关处加强防护,已经建立了企业安全防护的基础,但仍然有20%的威胁通过其他途径进入企业网络,其中就包括终端。另外,因为终端面对的网络是企业的员工,而企业员工安全意识的良莠不齐和安全管理的不完善,导致企业的网络安全仍然处于威胁之中。
云安全2.0
根据具体防护中遇到的问题,趋势科技即将在今年7月份正式推出趋势科技云安全2.0,针对现有威胁和企业网络环境的多层级的终端防护技术,将云安全的关联技术、文件信誉技术更深层次地应用到终端防护中。
记者了解到,在云安全2.0时代,趋势科技将加强对终端安全防护产品的开发与应用,以应对复杂的终端网络环境。在2009年推出的云安全2.0技术将文件信誉技术(FRT)与WRT技术、邮件信誉技术(ERT)进行灵活关联,实现从网关到终端的全面防护,避免用户在下载文件、浏览邮件等操作时遭遇Web威胁侵入;防止用户在使用USB、进行数据存储中感染病毒。
此外,趋势科技云安全2.0的内涵也将进一步丰富,对客户端系统资源的释放将又是一次重大变革。