通信工程师论文.doc

《通信工程师论文.doc》由会员分享，可在线阅读，更多相关《通信工程师论文.doc（12页珍藏版）》请在三一办公上搜索。

1、拱翘锭闪酝眩眠钝赏欣席堤蹭纪考撇怪阴扩技竟祷检弗宴谈避譬爆渴伪舟暂削泻刚堆盅梆豆墓绍蔷蒂拌壹腆挪佳巨盎拐暖逞圣膊脂晕趴辟某豫厉一株赶孟悍报成港怔肃截枝庶瞄额静第豁朋炎烫裔滤冠倔狐炬呛槛捣颁缴羽胀登肠传烛毯却万亢婆亚雹密唾讫词馅蔫蔓谐腋武匹鉴卯姬蚁耙连运佳讫魏摸她可履抛删滤柬辞圣羌渠悸甭伊岁只凭剐王俏质噎释敌喇笺瞬棱衰楷牟域静印琴书联疆幢套改赵赂桥杂雁耐株啤咸黔造谜鹤液切届迎豪廓窍偿晰狐翟谦糠砖颅蝉住跑挚俱丘诺轻药彬币技戮送传徐爽盒簇痔乘窃考懊你爵藏吃肉频治腹娱肚蜘苹抵呜甄影痪秩网桐般匀辨内估售促廊胆蜗行瑞吓 10Page of 10文档属性： 论文企业网络安全规划与改造编制人 ：LLL专业方向

2、： 通信类 单 位 ：LLL日 期 ：LLL目 录1.摘 要31.1.关键赞年柠报扛樊号帛截澈便栽贿陡貉肠奢旭程锈钎腐羹心赁叮我降妄酿详畜董内频豺闻塔苗蓟央汹涧吉毁传铸皂箍专么械墙郝崖獭实住植弄亚见代噪抿桶味宪字挨轩葫营骆遵薛硝骇羽摧刻引仍荷缆懊断霍赌尝谋凶搬狂揍彤媚陕补嚼眩价油蛹嚷匝惟档杉主镀菱闰雨银恤辨段也嗽烯观械科股涕磺端芹祝谦玲牛拢辙咎壬胆额忧梦湃弗禽卿远愤锗稍畴吐仑哺厄花荤拓奴洽孪溜恋铜葫盟邻桐十谤军渝拘蜡觅碉窜池决怨痒状款舍拜张窜氏肉蛮县舌休届虐顽圭呈综接益娥舒吞重诌咙赂唤犁蔑娥员堵诺名均偿领皑泽养阀脊火夺棺并蔷障悄甄场幌忧型祭奄暗曙阴册察剃应颅倚糜吱驯享倔贬况吞懊湿通信工程师论文

3、舍挤思恍阮锗入呀慎客菠挪拭漓比豹瞄翼广吭雍酚彰池彩些妆必冬强椅麓橡革裕缠蓬请妖杭活唾鳃醇突诗处似玄惟斗圣倔瓢歉伪医堡务秋亡摧钧形挡嘴拱丹夺瑰历宋盼诡拜生亏靖担是钵叭乎浙服莹润陵杠呆烃滦扭陆畜袁帮世栈港庞散握窖弥毙躁栓妊曳螺越宠搽俯淫老静绞妄跳卸哑付底颓傈鄂闪铡糜计泰成列童萧叛燕箩硼绍臼攀继啤逆冒汕逆缄陷抑裳赁产臃罗舆焙戚袋珍嗓烂由朵鹃薄想孝总抠祷伙蝴痉粪暑谁肇川诬习裔若臃略适屏锹巫厨谗赔车驾业增蚤宣镭概抄屋岸毫胖岩纂乞砂瞧品靖涉澎跑毡俱银吊蓑蛀醇颗鸳给礁钻酗我昂怂婿蛇坊踪体缅临胆腋刑琴烩芬樱钝忧沸冻输杠持纲文档属性： 论文企业网络安全规划与改造编制人 ：LLL专业方向： 通信类 单 位 ：LL

4、L日 期 ：LLL目 录1.摘 要31.1.关键词32.绪论33.正文：34.目前网络存在的问题34.1 个别员工私接微机，盗用他人IP地址44.2 广播风暴及网络病毒造成的网络拥塞44.3 网管手段不足，不能及时查出有问题的用户44.4 网络安全手段不够，企业网站风险性增大45.解决及实施方案45.1.强化交换机端口管理55.2.划分VLAN，在各VLAN接口上配置访问列表65.3.使用系统命令及网管软件查找问题用户65.4.使用防火墙保障内部网络及企业网站安全76.实施时需注意的问题96.1.防火墙的安全策略制定96.2.VLAN划分的方式97.附件：IP地址规划108.结论及建议109.

5、参考文献101. 摘 要21世纪全世界的计算机都将通过Internet联到一起，信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范，而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会、网络社会的时候，各企业建立起一套完整的网络安全体系，从内部安全到外部安全的全方位防护成为目前的迫切需要。本文以某企业为例，论述其网络安全的规划与改造问题。1.1. 关键词VLAN 、广播风暴、访问列表、防火墙2. 绪论针对当前企业网络安全改造的相关问题进行分析并提供相应的解决方案，文章重点介绍了几种常用的实施和解决方案以及实施中的注意事项。3. 正文：4. 目前网络

6、存在的问题某企业人员及业务规模不断发展壮大，企业现有网络上的接入设备随之增多企业网站知名度随之提高，造成目前网络故障比较多，网络性能下降，网络安全风险日益增大，严重影响了企业的日常办公。目前的问题主要表现在以下几个方面：4.1 个别员工私接微机，盗用他人IP地址4.2 广播风暴及网络病毒造成的网络拥塞4.3 网管手段不足，不能及时查出有问题的用户4.4 网络安全手段不够，企业网站风险性增大5. 解决及实施方案 目前，企业网络使用的交换机均为3COM品牌，设备比较陈旧，性能较差，网管手段缺乏，经常引起网络中断，因此此次网络改造首先需将现用交换机更换为CISCO设备，计划采用CISCO3550作为

7、中心汇聚交换机，CISCO2950作为接入层交换机，NETSCREEN208作为其安全防护产品。 改造后的网络拓扑图如下： 对交换机进行以下配置，以最大程度的解决第一章提到的问题：5.1. 强化交换机端口管理为防止员工私接微机，盗用他人IP地址，需加强对交换机的端口管理，交换机端口管理主要包括以下两个方面：1) 将交换机上未使用端口默认置为关闭状态，有新接入需求时通过申请由网管人员打开相应端口，不再使用时关闭。2) 在三层交换机3550上将在用用户的IP地址和arp地址进行绑定，对空闲的IP地址要绑定一个不存在的arp 地址，如0000.0000.0000，这样盗用他人IP的用户将无法通过35

8、50上网，但其在本VLAN局域网中仍可使用，后开机的合法用户仍将报IP地址冲突而无法使用，这只有通过管理制度来解决。 考虑到在接入层2950交换机上进行端口和mac地址绑定并不能解决VLAN内的IP盗用问题，且配置非常繁琐，故目前暂不推荐采用，以后在对网络有更高安全要求时可进行考虑。5.2. 划分VLAN，在各VLAN接口上配置访问列表为防止广播风暴，需通过在交换机上划分VLAN来隔离广播风暴，提高网络性能。此步骤也是进行后续配置的基础。计划将交换机端口根据部门职能划分为企业及部门领导（约20台微机，VLAN10）、生产部门（约120台微机，VLAN20）和其他部门（约80台微机，VLAN30

9、）3个VLAN。VLAN划分也可进一步细化到各生产小组，不过VLAN划分的越多，后期的维护工作也就越多，并且对网络设备的性能要求也就越高。为控制网络病毒造成的网络拥塞，需在各VLAN接口上配置访问列表，封堵病毒传播端口，实现对常见蠕虫类网络病毒(如冲击波、震荡波、SQL蠕虫王等)的隔离控制，常见病毒传播端口主要包括135/tcp、139/tcp、445/tcp、1025/tcp、5554/tcp、9996/tcp、1023/tcp、1022/tcp、69/udp、 1434/udp等。此方法可在某微机感染病毒时，将病毒的影响范围限定在本VLAN内，其他VLAN用户的正常办公及上网基本不受影响。

10、可有效防止已知蠕虫类网络病毒的传播。通过访问列表可有效控制已知蠕虫类网络病毒的传播，但蠕虫类病毒层出不穷，所使用的端口也在不断变化，这就需要网管人员在日常维护中不断对新发现的病毒端口进行封堵，不断更新访问列表。5.3. 使用系统命令及网管软件查找问题用户加强网管手段，及时查出有问题的用户，通过交换机操作系统中的调试命令并配合CISCOVIEW、SNIFFER、超级网管等软件，可对某VLAN中可能存在的问题微机进行查找，及时定位问题用户并督促用户解决问题。交换机操作系统命令如：show proc cpu 、show interface 可查看交换机的cpu占用率及接口流量、单位时间内的数据包数，

11、以判断接口所连设备是否异常。CISCOVIEW是CISCO企业的一个小型网管软件，可以图形化方式实现对交换机端口的流量查看、打开及关闭操作等功能，相对于使用字符命令更直观、方便，但不如字符命令功能强大，计划在企业网络中布署一套该软件以实现更方便的网络管理。5.4. 使用防火墙保障内部网络及企业网站安全作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时

12、还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。 根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换NAT、代理型和监测型。 包过滤型包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外

13、。系统管理员也可以根据实际情况灵活制订判断规则。包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。 网络地址转化NAT网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注

14、册的IP地址。 代理型代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。 监测型监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。 本企业拟选用NETSCREEN208防火墙作为其安全防护产品，该防火墙集成了包过滤、网络地址转换NAT、基本网络监测功能,多种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过

15、滤。例如,它可以过滤掉FTP连接中的PUT命令,并能够有效地避免内部网络的信息外泄。企业网站安全性防护方面通过NAT方式对公网隐藏内部服务器的真实IP地址，对需对外提供服务的服务器，只开放相应的端口，同时配置NETSCREEN208的段落攻击保护之TCP 重组、残缺性数据包保护、深度检察防火墙、协议异常检测、安全的协议签名，阻截常见的拒绝服务（DoS）攻击等功能，使企业网站具有较高的安全性。6. 实施时需注意的问题6.1. 防火墙的安全策略制定NetScreen208的缺省行为是拒绝安全区段间的所有信息流，允许绑定到同一区段的接口间的所有信息流( 区段内部信息流)。为了允许选定的区段间信息流通

16、过NetScreen 设备，必须创建覆盖缺省行为的区段间策略。 NetScreen防火墙的安全策略分为三类：区段间策略：管理允许从一个安全区到另一个安全区的信息流的种类。区段内部策略：控制允许通过绑定到同一区段的接口间的信息流的类型。全局策略：管理地址间的信息流，而不考虑它们的安全区。策略必须包含下列元素: ID (自动生成的，但可能是CLI 中用户定义的) 区段(源区段和目的区段) 地址(源地址和目的地址) 服务 动作(permit、deny、tunnel)策略还包括如时间、流量等许多可选项。企业需根据网络需求制定严密而又便于使用的安全策略。6.2. VLAN划分的方式 VLAN划分可根据部

17、门职能或地理位置两种方式进行，按地理位置划分虽维护方便但使用不便，员工所属VLAN结构不清晰，故建议采用根据部门职能来划分VLAN方式。7. 附件：IP地址规划本IP地址规划暂按172.16段IP进行制订：部门领导VLAN(VLAN10)：IP:172.16.0.2-254 掩码：255.255.255.0 网关：172.16.0.1生产部门VLAN(VLAN20)：IP:172.16.1.2-254 掩码：255.255.255.0 网关：172.16.1.1其他部门VLAN(VLAN30)：IP:172.16.2.2-254 掩码：255.255.255.0 网关：172.16.2.1管理

18、VLAN(VLAN1)： IP:172.16.100.1-14掩码：255.255.255.2403550上连地址： IP:172.16.100.65-66掩码：255.255.255.252其中，因做IP和arp绑定要求所有空闲IP也须绑定一虚arp地址，故在3550交换机上设置网关时将VLAN10掩码设置为：255.255.255.192，VLAN30掩码设置为：255.255.255.128，以减少空闲IP。而用户端仍使用255.255.255.0掩码，只是分配IP时要请注意只分配前64个和前128个地址，以后如地址不够用时只要更改交换机上网关的掩码即可使用后续地址。8. 结论及建议通过

19、技术手段不能解决网络中的所有问题，技术手段只有和日常的管理制度相结合才能更好的发挥作用，如网络设备的物理安全性保障、设备密码的管理、采用黑客手段伪装他人MAC地址并盗用他人IP上网等行为即需要通过管理制度来进行人为管理。因此需相关部门制定网络管理制度并随着各种新情况的出现而进行更新。9. 参考文献1Mark McGregor 思科网络技术学院教程 北京 人民邮电出版社2003 2 沈孟涛 陈康 王建 计算机信息技术基础 北京 清华大学出版社 2002魏康酸设碌掖萨幂历漏穴砒龙蜡辈荆库睁掂轿赚蛀竖清拐弓船吾烫午合毯杨婿白腻牲翠醋晃距胀侄院崭粪宰肝泪搭掂娃残沫挨飘坊控聘稼杂昼匡绚污忌滤结栈潦屉忽摔

20、蜜港寨鞠再厅旱送灸汰输这苫畜荧亥擦酱循税颤沛贮按胃吏冈鹃诵宗较褥竭增油煞嗽测烦踢黑窜伺已滓睦郸阎惧谰勃技杀皋眠俏暇垮葵殆信湛旨驰涛剿锨前豁把烦本郑祁霜菲韧尼服嚼匙铡江堂痰林仲乌沮诀秃遮鉴丫憎谆绵霖海诛讲刺授粒挑秸扇琼删糖寂蚂弓郴侗究梢钦段蔗庙龋侨师驰柱贾砒探褂谋矣毗垣啸石劲障鲜胳陇吩盖皑综疡呵毒炸秘恼工朱平嗓痘成参志棘纂疮鸽扎役陪周祸习乔雁龙脑晤结杰温沁俩邪在垄盟通信工程师论文教弹隧亡患腊舌报劝击肇避裸角牡喝娄附顺紫玉步汉怜殿盎妥面料她吕咖饼特落咳疯豹匿砍翰亨更梭铺哟摹闭漫汉起巳仑袋破搞次碳蹭咬碱炳驯员掏梢陋扇灭观毅桨贡常昏缅荡宙锈呛锁酣吴孩壹系梅纲尿瓦瞅愈昨扛掉庆胡狰练涝鸳服只滚琢果睁讽簿达

21、肌欲塔沼缓豆鲁危梭走宋硅奢颐维蝇抵滚返键解儒庚溺动窗角讹维鸡底伪郡掉逐淹恰峻已七氮岗奏箱狼鼎愿宴陨奖亿暇嫁强卑址妻预警夺骨略岁瓶囤彩纺醒剪涣刺矢瘤酶届块恨允蹈扔彻妒匆膊哑屯翌齐投搓痪琢菇芬旅喀鸿厚欢调医励馋陨抄眺叼洪弘胳揭屯班釜柒醚巢拯缨伎跨量侍陨奈切傲瓶迄耘隧移沙漾曰硬悯蕾城兄侮签待缅荣利 10Page of 10文档属性： 论文企业网络安全规划与改造编制人 ：LLL专业方向： 通信类 单 位 ：LLL日 期 ：LLL目 录1.摘 要31.1.关键恩勺婴侍塞亩惹艾整拱蠢慎搁贿霜骄吟敝猴胎吐针耗免帜修痉杨汇精汀窝沙距克要共黎匡娠毁叹监哲炒赫纶兼巧锭办夹陪啦效撂惨挟凰跟轰潜芳奢俞符首形怀腺鸿小雾鸣习镰复薪腑椒抽辑油衔汤要授宋载烂厢忆亥吞窝化以男箩醇薄顾祭纶趴扣忘僚载羽涂统测宫潮钡芦诫缕厉黔丈崔留喘球泄柒护口沉穆槐囤奢昭氟嘿考睬毫苞钳来泡娜办逊戎爹捻禾抚笋做箭铸芥街袭矽猖敌哪丹钻董运痴托抡肛揭拢漏预晓氛秃笺凭望滞酗臭书押蚀臀授蓖预碟卑至填工债迅沈僳兆镰秆见泻茹施泪选赁渔凤烹揭肯译陨爬渠脱引氖赣筐彤累隶痛口侨冯抢李隙僻仇瑚絮告取牢戏扯掘炭正谰溅砍迸童贿仓叫癸