大型企业局域网安全解决方案第一章总则本方案为大型局域网网络安全解决方案，包括网络系统分析、安全需求分析、安全目标的确立、安全体系结构的设计等。本安全解决方案的目标是在不影响局域网当前业务的前提下，实现对局域网全面的安全管理。1.将安全策略、硬件及软件等方法结合起来，构成一个统一的防御系统，有效阻止非法用户进入网络，减少网络的安全风险。2.定期进行漏洞扫描，审计跟踪，及时发现问题，解决问题。3.通过入侵检测等方式实现实时安全监控，提供快速响应故障的手段，同时具备很好的安全取证措施。4.使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态，最大限度地减少损失。5.在工作站、服务器上安装相应的防病毒软件，由中央控制台统一控制和管理，实现全网统一防病毒。第二章网络系统概况2.1网络概况常见大型企业局域网是一个信息点较为密集的千兆局域网络系统，它所联接的现有上千个信息点为在整个企业办公的各部门提供了一个快速、方便的信息交流平台。不仅如此，通过专线与Internet的连接，打通了一扇通向外部世界的窗户，各个部门可以直接与互联网用户进行交流、查询资料等。通过公开服务器，企业可以直接对外发布信息或者发送电子高速交换技术的采用、灵活的网络互连方案设计为用户提供快速、方便、灵活通信平台的同时，也为网络的安全带来了更大的风险。因此，在原有网络上实施一套完整、可操作的安全解决方案不仅是可行的，而且是必需的。2.1.1网络概述企业局域网通过千兆交换机在主干网络上提供1000M的独享带宽，通过二级交换机与各部门的工作站和服务器连接，并为之提供100M的独享带宽。利用与中心交换机连接的路由器，所有用户可直接访问Internet。2.1.2网络结构常见大型企业的局域网按访问区域可以划分为三个主要的区域：Internet区域、部网络、公开服务器区域。部网络又可按照所属的部门、职能、安全重要程度分为许多子网，包括财务子网、领导子网、办公子网、市场部子网、中心服务器子网等。在安全方案设计中，基于安全的重要程度和要保护的对象，可以在核心交换机上直接划分四个虚拟局域网（VLAN），即：中心服务器子网、财务子网、领导子网、其他子网。不同的局域网分属不同的广播域，由于财务子网、领导子网、中心服务器子网属于重要网段，因此在中心交---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---换机上将这些网段各自划分为一个独立的广播域，而将其他的工作站划分在一个相同的网段。2.2网络应用企业局域网一般会提供如下主要应用：1．文件共享、办公自动化、WWW服务、电子服务；2．文件数据的统一存储；3．针对特定的应用在数据库服务器上进行二次开发(比如财务系统)；4．提供与Internet的访问；5．通过公开服务器对外发布企业信息、发送电子等；2.3网络结构的特点在分析企业局域网的安全风险时，应考虑到网络的如下几个特点：1.网络与Internet直接连接，因此在进行安全方案设计时要考虑与Internet连接的有关风险，包括可能通过Internet传播进来病毒，黑客攻击，来自Internet的非授权访问等。2.网络中存在公开服务器，由于公开服务器对外必须开放部分业务，因此在进行安全方案设计时应该考虑采用安全服务器网络，避免公开服务器的安全风险扩散到部。3.部网络中存在许多不同的子网，不同的子网有不同的安全性，因此在进行安全方案设计时，应考虑将不同功能和安全级别的网络分割开，这可以通过交换机划分VLAN来实现。4.网络中的应用服务器，在应用程序开发时就应考虑加强用户登录验证，防止非授权的访问。总而言之，在进行网络方案设计时，应综合考虑到企业局域网的特点，根据产品的性能、价格、潜在的安全风险进行综合考虑。第三章网络系统安全风险分析随着Internet网络急剧扩大和上网用户迅速增加，风险变得更加严重和复杂。原来由单个计算机安全事故引起的损害可能传播到其他系统，引起大围的瘫痪和损失；另外加上缺乏安全控制机制和对Internet安全政策的认识不足，这些风险正日益严重。针对企业局域网中存在的安全隐患，在进行安全方案设计时，下述安全风险我们必...