2024年4月16日发(作者:)

-

前言

随着网络时代的发展,现在生活离不开网络,业务往来需要网络、日常生

活也需要网络、现在还有网上购物等等。网络给大家带来了方便快捷的服务,也

给商家们带来不少的利益。但是随着网络面的不断扩大也给人们带来不少的坏

处,例如:网络欺诈,传播不良信息,网游,严重影响人们的日常生活。

网络犹如一把“双刃剑”,有利即有弊,但是只要正确的利用网络我相信它会

给人们带来很大的好处。

现在无论什么地方都遍布在网络中,网络无处不在。现在学校里也都用电脑

教学,就连小学生也对电脑了如指掌,也导致了现在小学生沉迷于网络游戏的越

爱越多,给家长带来了很大的困扰。

作为网络管理部门,应该对网吧进行严格排查,必须持身份证进入网吧,如

有未成年人则对网吧管理人员进行处罚,同时对未成年人进行知识教育,要明白

自身的使命同时让他明白网游的危害。我们都知道数据传输是通过很多设备的,

在这期间可以对其进行一些命令的删减,还有个网站的搜索以及传播的内容进行

查看,以免传播不良信息对未成年人造成危害,同时对带宽进行控制,控制流量。

每天规定上网时间,到晚上一定的时间就断网断电,保障学生的睡眠。

其次,就是网络诈骗还有一些恶意网页。一部分是学生自身的知识以及一些

安全意识,防止上当受骗。其次,网络管理员需要用访问控制技术、防火墙技术、

漏洞扫描技术、入侵检测技术等,来控制恶意网页传播,以免病毒入侵电脑,造

成用户的数据丢失或者泄密,给用户的财产安全一定的保障!

网络就是一个虚拟的大世界,在这个世界里有形形色色的人,网络管理员相

-页脚--

-

当于警察,传播不良信息的人相当于现在那些违法乱纪的人,但是在这个虚拟世

界里还没有成文的“法律”,因而造成了现在的要大家意识到网络安全是多么重

要。

-页脚--

-

目录

一 公司简介 ......................................................................................................... 1

二 网络需求分析 ................................................................................................ 3

三 网络体系架构 ................................................................................................ 5

四 网络安全体系架构 ....................................................................................... 6

五 安全产品选型 ................................................................................................ 8

六 安全策略制定 .............................................................................................. 13

七 产品配置 ....................................................................................................... 14

八 总结 ................................................................................................................ 13

-页脚--

-

-页脚--

-

一 公司简介

华为技术有限公司是一家生产销售通信设备的民营通信科技公司,总部位于

中国广东省深圳市龙岗区坂田华为基地。华为的产品主要涉及通信网络中的交换

网络、传输网络、无线及有线固定接入网络和数据通信网络及无线终端产品,为

世界各地通信运营商及专业网络拥有者提供硬件设备、软件、服务和解决方案。

华为于1987年在中国深圳正式注册成立。

2007年合同销售额160亿美元,其中海外销售额115亿美元,并且是当年中

国国内电子行业营利和纳税第一。截至到2008年底,华为在国际市场上覆盖100

多个国家和地区,全球排名前50名的电信运营商中,已有45家使用华为的产品和

服务。 华为的产品和解决方案已经应用于全球150多个国家,服务全球运营商50

强中的45家及全球1/3的人口。2013年《财富》世界500强中华为排行全球第315

位,与上年相比上升三十六位。

2012年华为发布可持续发展报告。报告显示,华为员工人数逐年增长,到

2011年已超过15万人,海外员工比例也在上升。为了对员工进行保障,华为同

年投入达58.1亿。2012年华为在经济、环境、社会方面的实践与绩效:华为员工

人数在2010至2012年呈逐年增加的态势,截至2012年底该公司共拥有来自156

个国家和地区的超过15万名员工,其中研发人员占总员工人数的45.36%,外籍员

工人数接近3万。与2011年相比,2012年华为中国员工的人数占总员工人数的百

分比降低了7.72%至72.09%,海外员工本地化比例正逐年上升,2012年从2010年

的69%、2011年的72%增至73%。同时,2012年华为海外中高层管理人员本地化比

例达22%,全部管理岗位管理者本地化比例达29%。

华为2012年全球员工保障投入达人民币58.1亿元。据悉,这笔支出主要用

-页脚--

-

于为华为全球员工购买各国家和地区法律规定的各类保险,为员工提供人身意外

伤害险、重大疾病险、寿险、医疗险及商务旅行险等商业保险福利,并设置了特

殊情况下的公司医疗救助计划。

-页脚--

-

二 网络需求分析

2.1 企业网络需求分析

为适应企业信息化的发展,满足日益增长的通信需求和网络的稳定运行,

今天的企业网络建设比传统企业网络建设有更高的要求,主要表现在如下几个方

面。

2.2 带宽性能需求

现代企业网络应具有更高的带宽,更强大的性能,以满足用户日益增长的

通信需求。随着计算机技术的高速发展,基于网络的各种应用日益增多,今天的

企业网络已经发展成为一个多业务承载平台。不仅要继续承载企业的办公自动

化,Web浏览等简单的数据业务,还要承载涉及企业生产运营的各种业务应用

系统数据,以及带宽和时延都要求很高的IP电话、视频会议等多媒体业务。因

此,数据流量将大大增加,尤其是对核心网络的数据交换能力提出了前所未有的

要求。另外,随着千兆位端口成本的持续下降,千兆位到桌面的应用会在不久的

将来成为企业网的主流。从2004年全球交换机市场分析可以看到,增长最迅速

的就是10 Gbps级别机箱式交换机,可见,万兆位的大规模应用已经真正开始。

所以,今天的企业网络已经不能再用百兆位到桌面千兆位骨干来作为建网的标

准,核心层及骨干层必须具有万兆位级带宽和处理性能,才能构筑一个畅通无阻

的"高品质"企业网,从而适应网络规模扩大,业务量日益增长的需要。

2.3 稳定可靠需求

现代企业的网络应具有更全面的可靠性设计,以实现网络通信的实时畅通,

保障企业生产运营的正常进行。随着企业各种业务应用逐渐转移到计算机网络上

来,网络通信的无中断运行已经成为保证企业正常生产运营的关键。现代大型企

-页脚--

-

业网络在可靠性设计方面主要应从以下3个方面考虑。

1、设备的可靠性设计:不仅要考察网络设备是否实现了关键部件的冗余备份,

还要从网络设备整体设计架构、处理引擎种类等多方面去考察。

2、业务的可靠性设计:网络设备在故障倒换过程中,是否对业务的正常运行有

影响。

3、链路的可靠性设计:以太网的链路安全来自于多路径选择,所以在企业网络

建设时,要考虑网络设备是否能够提供有效的链路自愈手段,以及快速重路由协

议的支持。

2.4 网络安全需求

现代大型企业网络应提供更完善的网络安全解决方案,以阻击病毒和黑客

的攻击,减少企业的经济损失。传统企业网络的安全措施主要是通过部署防火墙、

IDS、杀毒软件,以及配合交换机或路由器的ACL来实现对病毒和黑客攻击的防

御,但实践证明这些被动的防御措施并不能有效地解决企业网络的安全问题。在

企业网络已经成为公司生产运营的重要组成部分的今天,现代企业网络必须要有

一整套从用户接入控制,病毒报文识别到主动抑制的一系列安全控制手段,这样

才能有效地保证企业网络的稳定运行。

2.5 应用服务需求

现代大型企业网络应具备更智能的网络管理解决方案,以适应网络规模日

益扩大,维护工作更加复杂的需要。当前的网络已经发展成为"以应用为中心"的

信息基础平台,网络管理能力的要求已经上升到了业务层次,传统的网络设备的

智能已经不能有效支持网络管理需求的发展。比如,网络调试期间最消耗人力与

物力的线缆故障定位工作,网络运行期间对不同用户灵活的服务策略部署、访问

-页脚--

-

权限控制、以及网络日志审计和病毒控制能力等方面的管理工作,由于受网络设

备功能本身的限制,都还属于费时、费力的任务。所以现代的大型企业网络迫切

需要网络设备具备支撑"以应用为中心"的智能网络运营维护的能力,并能够有一

套智能化的管理软件,将网络管理人员从繁重的工作中解脱出来。

三 网络体系架构

华为公司,采取用双宿主机防火墙。这种配置是用一台装有两个网络适配

器的双宿主机做防火墙。双宿主机用两个网络适配器分别连接两个网络,又称堡

垒主机。堡垒主机上运行着防火墙软件(通常是代理服务器),可以转发应用程

序,提供服务等。

-页脚--

-

Internet

防火墙双宿主机

内部网络

四 网络安全体系架构

防火墙是近年发展起来的重要安全技术,其主要作用是在网络入口点检查

网络通讯,根据客户设定的安全规则,在保护内部网络安全的前提下,提供内外

网络通讯。防火墙示意图见图4-1:

-页脚--

-

图4-1防火墙示意图

-页脚--

-

五 安全产品选型

5,1 Checkpoint防火墙基本功能简介

Check Point FireWall是目前市场上所能找到的最综合性的企业安全产品。

FireWall-1比任何其他的防火墙厂商获得更多third-party厂商的支援。现有

超过100家硬体与软体的伙伴;此可确定FireWall-1防火墙-1使用者将會持续

有更多增强选项功能。FireWall-1在各种平台能够具备很高的执行效率,是由多

阶层检查技术,而不用管它是否安装在Sun、HP或Intel平台上执行Unix或

Windows NT作业系统。

FireWall-1防火墙是唯一能够提供企业定义单一的安全政策,分送到跨平台

的网关,可从企业网路上任一地方远端管理防火墙;而VPN功能除了可降低企

业建置数据专线的费用与维护成本外,更是唯一可选择性的选择所须加╱解密的

应用服务,大大的提高防火墙执行效能及减少网路的流量;并可将Router的存

取控制清单(ACL),由FireWall-1的安全政策规则来定义,简化了Router设定

时的不安全性与复杂性。

FireWall-1功能介绍:

1、对应用程序的广泛支持

FireWall-1支持预定的应用程序,服务和协议160多种(比其他同类产品都

多)。FireWall-1即支持Internet网的主要服务(如Web Browser, E-Mail, FTP,

Telnet等)和基于TCP协议的应用程序,又支持基于PRC和UDP一类非连接协

议的应用程序。而且,如今唯有FireWall-1支持刚出现的如Oracle SOL * Net数

据库访问这样的商务应用程序和RealAudio, VDOLive和Internet Phone这样的多

-页脚--

-

媒体应用程序。在软件业,CheckPoint 公司的合作伙伴是最广泛的。凭借

FireWall-1的技术优势,CheckPoint 今后对应用程序的支持会更多更广泛。

FireWall-1的开放式结构设计为扩充新的应用程序提供了便利。新服务可以

在弹出式窗口中直接加入也可以使用INSECT(CheckPoint 功能强大的编程语言)

来加入。FireWall-1这种扩充功能可以有效地适应时常变化的网络安全要求。

2、集中管理下的分布式客户机/服务器结构

FireWall-1采用的是集中控制下的分布式客户机/服务器结构,性能好,配置

灵活。公司内部网络可以设置多个FireWall-1模块,由一个工作站负责监控。对

于受安全保护的信息,客户只有在获得授权后才能访问它。由于灵活的配置和可

靠的监控使得FireWall-1成为连接Internet或整个企业网安全保障的首选产品。

5,2 Report模块

Check Point 可通过其报表模块来将冗长的数据转化为更易理解和可用的信

息。报表模块是一套完整的报表系统,它可根据 VPN-1/FireWall-1 数据来发布

安全审计、趋势和成本信息。由于与 VPN-1/FireWall-1 的紧密集成,报表模块

可调整先前定义的对象来产生预定义和定制的报告。

产品特性:

● 以容易理解的报告形式提供审计、趋势和成本信息

● 生成预定义或定制报告

● 根据用户定义的策略来过滤和整合数据

-页脚--

-

● 自动将报告分配到打印机、电子邮件、文档或相应应用程序

● 与 VPN-1®/FireWall-1® 实现紧密集成,更好地利用网络对象和管理员信息

产品功能:

● 支持安全和网络决策

● 无论初学者或网络专家都可根据 VPN-1/FireWall-1 数据创建有用的报告

● 降低了数据存储需求,减少了和报告生成时间

● 自动将信息以将定的形式发送到相应的决策者

● 通过利用 VPN-1/FireWall-1 资源,简化管理和使用

FloodGate-1 可以基于 QoS 策略来精确控制传入和传出的业务通信流。一

个策略由业务通信规则组成,这些规则将带宽特权分配给特定的通信类别。每条

规则都定义了分类标准和相应的 QoS 控制。

Check Point 利用它的 Stateful Inspection 专利技术来提供灵活的业务通信

分类。FloodGate-1 使用以下标准划分业务通信:

● 来源、目标、通信方向、时间

● Internet 服务或应用(支持 150 多种)

● 特定的 URL 指示器

● 用户组(在固定和动态 IP 环境中)

FloodGate-1 先进的认证 QoS 特性为动态 IP 环境中的终端用户提供了性

-页脚--

-

能保证,例如远程访问和 DHCP 环境。认证 QoS 允许高优先级用户(如,公

司 CEO)在远程连接公司资源时获得高优先级的服务。

5.3 Meta-ip模块

Check Point™ 软件技术公司通过 Meta IP™ 产品很好地解决了这些问题。

该产品是新一代的、模块化的 IP 地址管理系统,它为企业级的 IP 网络基础设

施提供集中化管理。Meta IP 是一种集成紧凑的套件,其中包括灵活、方便使用

的企业管理服务、基于标准的 IP 网络服务(动态 DNS 和 DHCP)以及开放式

和分布式 LDAP 数据存储。这些组件向用户和与网络连接的设备提供无缝的、

容错性能极佳地 IP 服务。通过它们,IP 地址、网络设备和 IP 服务可得到有效

控制,还可以保护基础设备,使它们免于灾难性故障。Meta IP 是行业中第一个

能够将基于策略的网络管理用于真正地以用户为中心的网络解决方案。它的成功

得益于两项独特的技术优势:一是“DEN”(Directory Enabled Network)框架,

二是“UAM”(User-to-Address Mapping™ 用户-地址映射)服务。

产品特性:

● 通过一个中央界面,管理整个 IP 地址和域名系统

● 跟踪具体客户到 IP 地址分配系统

● 通过 LDAP 将 IP 网络服务集成到目录服务中

● 通过基于 JAVA 的界面跨多个平台进行远程管理

● 在 IP 地址基础架构中建立三级容错

● 通过公开的标准技术来改进原有网络服务

-页脚--

-

5.4 HA模块

Check Point 软件技术公司提供的高可用性模块可满足全面容错的、虚拟专

用网络和防火墙网关的需要。该模块可为关键任务 VPN-1™ 和 FireWall-1® 的

部署提供无缝的故障切换,使客户能够创建若干冗余网关集群。当一个主网关出

现故障时,所有的连接将被转接到一个指定的备用网关上。

产品特性:

● VPN 和防火墙连接的透明切换

● 与 VPN-1 和 FireWall-1 管理工具的紧密集成

● 可编程的系统状态监视

● 网关集群成员的自动恢复

产品功能:

● 为客户、职员和合作伙伴提供连续的网络可用性

● 确保重要的 VPN 会话在故障切换过程中不出现中断

● 简化部署和管理任务

● 对一系列网关状态问题作出检测和响应

● 允许在不中断服务的条件下进行网关维护

-页脚--

-

六 安全策略制定

安全策略是指一个特定环境中,为保证提供一定级别的安全保护所必须遵守

的规则。安全策略包括严格的管理、先进的技术和相关的法律安全策略决定采用

何种方式和手段来保证网络系统的安全。即首先要清楚自己需要什么,制定恰当

的满足需求的策略方案,然后才考虑技术上如何实施。信息安全策略反映了维护

信息安全的方式和手段,是高层对下层的命令。但是安全策略并不是具体描述怎

么去完成特定任务的,它大概地指出所要完成的目标是什么,是总体指导性原则,

网络信息系统安全日常规则的总体框架。

6.1 网络安全管理制度

1、网络安全管理的基本原则

A.分离与制约原则

a.内部人员与外部人员分离

b.用户与开发人员分离

c.用户机与开发机分离

d.权限分级管理

B. 有限授权原则

C. 预防为主原则

D. 可审计原则

6.2 安全管理制度的主要内容

a.机构与人员安全管理

b.系统运行环境安全管理

-页脚--

-

c.硬设施安全管理

d.应用系统开发安全管理

e.软设施安全管理

f.网络安全管理

g.应用系统运营安全管理

h.操作安全管理

i.应用系统开发安全管理

-页脚--

-

防火墙设置图

七 产品配置

7.1 配置防火墙网络安全访问策略如下:

1.新的网络安全方案中两台亿阳网警防火墙将被CheckPoint防火墙取代,这两台

取下的防火墙将分别放置在区市分公司局域网和市公司名烟总汇的网关处。

-页脚--

-

在从外面进入总公司局域网的防火墙处建立DMZ区,将办公网内的Web、ftp、

mail服务器放置于此,使这些服务器能与外界隔离。

2.在办公网通向中心交换机的路径上分别安装一台CheckPoint防火墙,以避免重

要服务器受到来自内网的攻击。

3.定义用户对象,指定用户的认证方式。

4.定义用户认证规则,用户访问数据中心的服务器时需要进行不同级别的用户认

证,并由此控制用户的访问权限。

5.定义防止IP地址欺骗的规则,凡是源地址为内网区域的数据包都不允许通过防

火墙进入。

6.定义安全策略,允许外部连接可以到达指定服务器的服务端口。

7.定义安全策略,对从内部网络通过防火墙向外发送的数据包进行网络地址转

换,完全对外隔离内部网络。

8.定义安全规则,允许指定的应用数据包通过防火墙。

9.定义安全规则,设定对流量和带宽控制的规则,保证对专有服务和专有人员的

流量保证。

-页脚--

-

八 总结

谈到网络安全,让我们无奈的是很多人认为这是计算机网络专业人员的事

情。其实,每个人都应该有网络安全的意识,网络爆炸性地发展,网络环境也日

益复杂和开放,同时各种各样的安全漏洞也暴露出来,恶意威胁和攻击日益增多,

安全事件与日俱增,也让接触互联网络的每一个人都不同程度地受到了威胁。

网络设备是网络运行的硬件基础,设备安全是网络完全必不可少的一个环

节,网络安全涉及到使用网络的每一个人。通过这次关于校园网络安全的实例设

计与分析,使我收获颇丰,让我打开眼睛,让我在今后的专业学习上有了更加深

刻的了解,我会更加努力的去完成未来的挑战!

在这段时间的设计中,我的指导老师潘理虎老师给予了我很大的帮助。整个

过程老师给予了我许多的帮助和指导,都是老师在帮我分析帮我找问题所在,并

不断的鼓励我去解决所遇到的各个难题;最后是论文的撰写过程,从交初稿到最

后的定稿,被老师修改过了很多次,在不断的修改和老师的分析中,才完成了这

篇论文。

-页脚--