建立網(wǎng)絡(luò)安全系統(tǒng)的方法有哪些
最近有網(wǎng)友想建立一個(gè)網(wǎng)絡(luò)安全系統(tǒng),但是不知道如何下手~所以學(xué)習(xí)啦小編在這里就提供一些相關(guān)方法給他。具體內(nèi)容如下。
建立網(wǎng)絡(luò)安全系統(tǒng)方法一:
1、建立完善的網(wǎng)絡(luò)資源管理系統(tǒng)的意義1、是適應(yīng)外部環(huán)境變化和加快市場反應(yīng)速度的需要。如何盡快的響應(yīng)市場和客戶的需求,提高對客戶的服務(wù)質(zhì)量,并留住現(xiàn)有客戶和吸引新生客戶。這就需要利用網(wǎng)絡(luò)資源系統(tǒng)將網(wǎng)絡(luò)資源和客戶、業(yè)務(wù)相關(guān)聯(lián)起來,提供以客戶為中心的端到端應(yīng)用,最終將電信運(yùn)營商的網(wǎng)絡(luò)資源優(yōu)勢轉(zhuǎn)化為競爭優(yōu)勢,并最大限度的提升客戶價(jià)值,為企業(yè)獲取最大的經(jīng)濟(jì)效益。
2、是實(shí)現(xiàn)企業(yè)資源優(yōu)化配置的需要。為有效實(shí)現(xiàn)現(xiàn)代化企業(yè)的資源優(yōu)化配置,企業(yè)迫切需要將原有的粗放式人工管理轉(zhuǎn)變以管理系統(tǒng)為核心的精確管理;迫切需要通過網(wǎng)絡(luò)資源管理系統(tǒng)的優(yōu)化與建設(shè),以合理的利用有限的建設(shè)資金、盤活現(xiàn)有各項(xiàng)資源,實(shí)現(xiàn)資源的優(yōu)化配置;迫切需要依靠完善的網(wǎng)絡(luò)資源管理系統(tǒng),來為企業(yè)可持續(xù)化發(fā)展提供準(zhǔn)確的決策支持。
建立網(wǎng)絡(luò)安全系統(tǒng)方法二:
局域網(wǎng)
首先,要統(tǒng)一IP地址并綁定MAC;其次,要在硬件防火墻設(shè)置IP規(guī)則及策略;再者,每一臺(tái)電腦要安裝殺毒軟件并統(tǒng)一給員工進(jìn)行培訓(xùn),服務(wù)器上關(guān)閉駭客常用端口,并安裝蜜罐系統(tǒng)。我們知道,駭客們攻擊網(wǎng)絡(luò)之前要進(jìn)行踩點(diǎn)偵查,所以,為了迷惑駭客我們將IP進(jìn)行隱藏。
為了防止駭客監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)包,我們將數(shù)據(jù)包加密。經(jīng)常更新漏洞是關(guān)鍵,最好每個(gè)月進(jìn)行一次入侵檢測。
建立網(wǎng)絡(luò)安全系統(tǒng)方法三:
建立局域網(wǎng)共享了以后要關(guān)閉防火墻設(shè)置,檢查線路是否暢通,加入同一個(gè)計(jì)算機(jī)工作組,在網(wǎng)上鄰居的查看工作組計(jì)算機(jī)上要能看到彼此的計(jì)算機(jī)名。也可用開始菜單運(yùn)行里的PING+IP的方式檢查連接是否有效。暢通后就可以玩局域網(wǎng)游戲了。但有時(shí)也會(huì)因WINDOWS的版本不同,出現(xiàn)鏈接不上的情況。
下面學(xué)習(xí)啦小編再給大家舉個(gè)如何創(chuàng)建一個(gè)安全的辦公網(wǎng)絡(luò)的例子吧。
辦公網(wǎng)絡(luò)指的就是為了更有效率地工作,在辦公室里面假設(shè)起公司內(nèi)部的計(jì)算機(jī)服務(wù)系統(tǒng),將每臺(tái)工作計(jì)算機(jī)通過網(wǎng)線(無線wifi)等有效連接,通過計(jì)算機(jī)服務(wù)器進(jìn)行統(tǒng)一化管理,共享文件數(shù)據(jù),以提高工作效率。
隨著信息技術(shù)的發(fā)展,對辦公網(wǎng)的要求也在變化。雖然辦公網(wǎng)絡(luò)實(shí)現(xiàn)了很大的便捷性,但是我們不得不考慮它的安全性。為了保證網(wǎng)絡(luò)上的信息安全,我們不得不在網(wǎng)絡(luò)的易用性與安全性之間尋找一個(gè)平衡點(diǎn),在足夠安全的情況下,實(shí)現(xiàn)最大的易用性。
辦公網(wǎng)要實(shí)現(xiàn)的安全目標(biāo)
針對辦公網(wǎng)絡(luò)既要滿足新辦公的需要又要保證信息技術(shù)安全的情況,辦公網(wǎng)絡(luò)主要實(shí)現(xiàn)三個(gè)安全目標(biāo):1、實(shí)現(xiàn)所有辦公終端都能訪問Web服務(wù)器,E-mail服務(wù)器,辦公自動(dòng)化服務(wù)器;2、實(shí)現(xiàn)各部門辦公終端之間資料及打印服務(wù)的共享;3、部門之間互訪受到控制,使部分有需要的電腦能夠互通,其余的不能互通。
辦公組網(wǎng)方案設(shè)計(jì)
我準(zhǔn)備采用VLAN和ACL技術(shù)組建辦公網(wǎng)。虛擬局域網(wǎng)(VLAN)將網(wǎng)絡(luò)從邏輯上劃分為一個(gè)個(gè)功能相對獨(dú)立的工作組,如果再加上虛擬局域網(wǎng)之間的訪問控制(ACL)和路由指向可以使一個(gè)個(gè)功能相對獨(dú)立的工作組變成可以受限互訪的不同安全區(qū)。以市場部和計(jì)財(cái)部兩個(gè)部門為例,方案拓?fù)鋱D如下(如圖1)。
1)在交換機(jī)上劃分三個(gè)VALN,將Web服務(wù)器、E-mail服務(wù)器和辦公自動(dòng)化服務(wù)器劃為VLAN1,名稱為fuwu;計(jì)劃財(cái)務(wù)部為VLAN2,名稱為jicai;市場部為VLAN3,名稱為shichang。
2)路由器上用訪問控制列表和路由指向,控制網(wǎng)絡(luò)數(shù)據(jù)的流向?qū)崿F(xiàn)辦公網(wǎng)的安全目標(biāo),從而使VLAN2和VALN3成為兩個(gè)安全區(qū)。
方案的總體規(guī)劃
現(xiàn)在以Cisco Catalyst 1900交換機(jī)、Cisco 2600路由器為例,寫出方案的詳細(xì)配置。
VLAN的規(guī)劃
(1)VLAN的工作模式:
我們采用靜態(tài)模式,針對交換機(jī)端口指定VLAN。
(2)ISL標(biāo)簽:
ISL(Inter-Switch Link)是一個(gè)在交換機(jī)之間、交換機(jī)與路由器之間及交換機(jī)與服務(wù)器之間傳遞多個(gè)VLAN信息及VLAN數(shù)據(jù)流的協(xié)議,通過在交換機(jī)直接相連的端口配置ISL封裝,即可跨越交換機(jī)進(jìn)行整個(gè)網(wǎng)絡(luò)的VLAN分配和配置。我們在快速以太口0配置ISL標(biāo)簽。
(3)VTP(VLAN Trunking Protocol):它是一個(gè)在交換機(jī)之間同步及傳遞VLAN配置信息的協(xié)議。一個(gè)VTP Server上的配置將會(huì)傳遞給網(wǎng)絡(luò)中的所有交換機(jī),VTP通過減少手工配置而支持較大規(guī)模的網(wǎng)絡(luò)。VTP有Server、client、transparent三種模式。我們的VTP設(shè)置:VTP的域名為switch,主交換機(jī)為Server模式,其他兩個(gè)交換機(jī)為client模式。
ACL的規(guī)劃
訪問控制列表(ACL)主要功能是限制通過路由器端口的報(bào)文。有基本訪問控制列表和擴(kuò)展控制列表兩種。
我們采用擴(kuò)展訪問列表,VLAN1應(yīng)用擴(kuò)展訪問列表的表號為101,VLAN2應(yīng)用擴(kuò)展訪問列表的表號為102,VLAN3應(yīng)用擴(kuò)展訪問列表的表號為103。
具體配置
電腦的配置
Web服務(wù)器的IP地址 10.168.1.2,網(wǎng)關(guān)(VLAN1對應(yīng)的路由器端口)IP地址10.168.1.1 。
E-mail服務(wù)器的IP地址10.168.1.3,網(wǎng)關(guān)(VLAN1對應(yīng)的路由器端口)IP地址10.168.1.1 。
辦公自動(dòng)化服務(wù)器的IP地址10.168.1.4,網(wǎng)關(guān)(VLAN1對應(yīng)的路由器端口)IP地址10.168.1.1 。
計(jì)財(cái)部辦公電腦1的IP地址10.168.2.2,網(wǎng)關(guān)(VLAN2對應(yīng)的路由器端口)IP地址10.168.2.1。
計(jì)財(cái)部辦公電腦2的IP地址10.168.2.3,網(wǎng)關(guān)(VLAN2對應(yīng)的路由器端口)IP地址10.168.2.1。
市場部辦公電腦1的IP地址10.168.3.2,網(wǎng)關(guān)(VLAN3對應(yīng)的路由器端口)IP地址10.168.3.1。
市場部辦公電腦2的IP地址10.168.3.3,網(wǎng)關(guān)(VLAN3對應(yīng)的路由器端口)IP地址10.168.3.1。
各網(wǎng)絡(luò)設(shè)備的配置
(1)主交換機(jī):
配置VTP
vtp server
vtp domain switch
配置VLAN
VLAN 1 name fuwu
VLAN 2 name jicai
VLAN 3 name shichang
端口模式(指定端口所屬的VLAN)
VLAN 1 的端口
VLAN-membership static 1
VLAN 2 的端口
VLAN-membership static 2
VLAN 3 的端口
VLAN-membership static 3
在交換機(jī)互連口(交換機(jī)與交換機(jī)、交換機(jī)與路由器)配置trunk
trunk on
(2)市場部交換機(jī)
配置VTP
vtp client
vtp domain switch
端口模式(指定端口所屬的VLAN)
VLAN 1 的端口
VLAN-membership static 1
VLAN 2 的端口
VLAN-membership static 2
VLAN 3 的端口
VLAN-membership static 3
在交換機(jī)互連口(交換機(jī)與交換機(jī)、交換機(jī)與路由器)配置trunk
trunk on
(3)計(jì)財(cái)部交換機(jī)
配置VTP
vtp client
vtp domain swtich
端口模式(指定端口所屬的VLAN)
VLAN 1 的端口
VLAN-membership static 1
VLAN 2 的端口
VLAN-membership static 2
VLAN 3 的端口
VLAN-membership static 3
在交換機(jī)互連口(交換機(jī)與交換機(jī)、交換機(jī)與路由器)配置trunk
trunk on
(4)路由器
快速以太口0配置ISL標(biāo)簽
為VLAN 1 配置ISL 標(biāo)簽
router#config t
router#(config) int f0.1
router#(config-if) ip address 10.168.1.1 255.255.255.0
router#(config-if) encapsulation ISL 1
為VLAN 2 配置ISL 標(biāo)簽
router#(config) int f0.2
router#(config-if) ip address 10.168.2.1 255.255.255.0
router#(config-if) encapsulation ISL 2
為VLAN 3 配置ISL 標(biāo)簽
router#(config) int f0.3
router#(config-if) ip address 10.168.3.1 255.255.255.0
router#(config-if) encapsulation ISL 3
路由(靜態(tài)):
ip route 10.168.1.0 255.255.255.0 FastEthernet0.1
ip route 10.168.2.0 255.255.255.0 FastEthernet0.2
ip route 10.168.3.0 255.255.255.0 FastEthernet0.3
說明,這三條靜態(tài)路由可以不加,路由器可以通過cdp功能獲取直通路由。
配置訪問列表,在路由器全局模式下配置基本和擴(kuò)展訪問列表
router(config) access-list 101 permit ip host 10.168.1.2 any
router(config) access-list 101 permit ip host 10.168.1.3 any
router(config) access-list 101 permit ip host 10.168.1.4 any
router(config) access-list 102 permit ip host 10.168.2.2 10.168.1.0 0.255.255.255
router(config) access-list 102 permit ip host 10.168.2.3 10.168.1.0 0.255.255.255
router(config) access-list 103 permit ip host 10.168.3.2 10.168.1.0 0.255.255.255
router(config) access-list 103 permit ip host 10.168.3.3 10.168.1.0 0.255.255.255
把訪問列表指定到一個(gè)端口上
router(config)int f0.1
router(config-if)ip access-group 101 in
router(config)int f0.2
router(config-if)ip access-group 102 in
router(config)int f0.3
router(config-if)ip access-group 103 in
以上方案是基于Cisco Catalyst 1900的,如果交換機(jī)是Cisco Catalyst 2900,VLAN的配置命令略有不同。