曲洪涛
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
哈尔滨华德学院计算机应用技术系—防火墙、入侵检测与VPN
目录
第1章绪论 (1)
1.1 课题背景 (1)
1.2 目的和意义 (1)
第2章可行性分析 (2)
第3章需求分析 (3)
3.1 风险与需求分析 (3)
3.2 需求分析 (4)
第4章总体设计 (5)
4.1 系统模块总体设计 (5)
4.2 方案整体设计 (5)
第5章设备选型及管理 (7)
5.1 网络安全基础设施 (7)
5.2 边界防护和网络的隔离 (7)
5.3 安全电子邮件 (8)
5.4 桌面安全防护 (8)
5.5 身份认证 (9)
总结 (10)
I
哈尔滨华德学院计算机应用技术系—防火墙、入侵检测与VPN
第1章绪论
1.1课题背景
计算机技术高速发展,它日益广泛和深入的应用是人类迈向信息化、智能化社会的重要特征。
随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场,企业就面临着如何提高自身核心竞争力的问题,而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等,又时刻在制约着自己。
1.2目的和意义
随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力。经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终。
1
哈尔滨华德学院计算机应用技术系—防火墙、入侵检测与VPN
第2章可行性分析
公司现有计算机500台,工作站操作系统多为windows2000和windowsXP,服务器操作系统为server2003,公司去年买过杀毒软件,在网关和邮件服务器上没有部署防毒产品。且通过内部网相互连接,根据公司统一规划,通过防火墙与外网互联。在内部网络中,各计算机在同一网段,通过交换机连接。
企业已经在总网关入口部署了防火墙和入侵检测系统(IDS)同时在各个区域的交换机后部署了防火墙。并且公司的计算机应用已基本覆盖了经营管理的各个环节,包括各种应用系统和办公自动化系统。随着计算机网络的进一步完善,计算机应用也由数据分散的应用模式转变为数据日益集中的模式。
为保障计算机网络的安全,公司实施了计算机网络安全项目,基于当时对信息安全的认识和安全产品的状况,信息安全的主要内容是网络安全,部署了防火墙、防病毒服务器等网络安全产品,极大地提升了公司计算机网络的安全性,这些产品在此后防范网络攻击事件、冲击波等网络病毒攻击以及网络和桌面日常保障等方面发挥了很大的作用。
2
哈尔滨华德学院计算机应用技术系—防火墙、入侵检测与VPN
第3章需求分析
企业已经在总网关入口部署了防火墙和入侵检测系统(IDS)同时在各个区域的交换机后部署了防火墙。并且公司的计算机应用已基本覆盖了经营管理的各个环节,包括各种应用系统和办公自动化系统。随着计算机网络的进一步完善,计算机应用也由数据分散的应用模式转变为数据日益集中的模式。
3.1风险与需求分析
通过对我们信息系统现状的分析,可得出如下结论:
1.经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。
2.计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。
公司的信息安全无论在总体构成、信息安全产品的功能和性能上都存在一定的缺陷,具体表现在:
(1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。
目前实施的安全方案是基于当时的认识进行的,缺乏有效的身份认证,对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段,很容易被冒充;数据备份缺乏整体方案和制度规范,容易造成重要数据的丢失和泄露。
当时的网络安全的基本是一种外部网络安全的概念,即网络内部的用户都是可信的。针对外部网络安全,人们提出了内部网络安全的概念,所有的用户都是不可信的。在这种信任模型中,假设所有用户都可能对信息安全造成威胁,并且可以各种更加方便的手段对信息安全造成威胁,比如内部人员可以直接对重要的服务器进行操控从而破坏信息,或者从内部网络访问服务器。内部网络安全的这种信任模型更符合现实的状况。
3
哈尔滨华德学院计算机应用技术系—防火墙、入侵检测与VPN
(2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。
已购买的网络安全产品中,有不少在功能和性能上都不能满足进一步提高信息安全的要求。如为进一步提高全网的安全性,拟对系统的互联网出口进行严格限制,原有的防火墙将成为企业内网和公网之间的瓶颈。同时病毒的防范、新的攻击手段也对防火墙提出了网络信息系统的安全建设建立在风险评估的基础上,这是信息化建设的内在要求,系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期,在规划的过程中,就运用风险评估、风险管理的手段,用户才可以避免重复建设和投资的浪费。
3.2需求分析
如前所述,公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点:
1.公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。
2.公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。
3.信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行。
4