網絡出入口監控管理策略-藏刊網

本篇論文目錄導航：

【題目】企業辦公網絡安全管理問題研究
【第一章】企業辦公網絡安全防護探析緒論
【2.1 - 2.4】防火墻技術與文檔安全保護技術
【2.5 - 2.7】網絡防病毒技術與雙機熱備技術
【第三章】辦公網絡安全系統分析與設計
【4.1 4.2】網絡出入口監控管理策略
【4.3 - 4.5】網絡安全防護措施設計與實現
【總結/參考文獻】企業辦公網安全升級方案研究總結與參考文獻

第四章解決方案設計與實現

本章詳細闡述本課題解決方案，將辦公網絡安全按照網絡優化、網絡監控、安防措施及數據保護等四個模塊分別進行設計。

4.1 VLAN 重建與優化。

4.1.1 VLAN 拓撲設計。

核心網絡作為本局網絡系統的運行核心，它決定整個系統網絡的性能。根據統計，一個運行良好、提供服務齊全的網絡中，各子網間的通訊和子網內部通訊大約各占50%;而且隨著多媒體技術的發展，多媒體主頁、視頻點播（多點廣播）大量采用，這些都要占有大量主干帶寬；以及虛擬網技術的采用，傳統子網概念已經變化，使得一個子網可以分布于整個網絡，導致子網內部通訊也要通過主干網絡；因此經過主干網絡的流量將占80%以上，這就要求主干網絡必須具有極高的傳輸速率，最大限度的避免堵塞。作為最終的出口通道，主干核心網絡癱瘓就意味著整個辦公網絡的崩潰，因此本局的主干網絡設計必須采用成熟的標準化方案，保證其穩定性。

基于以上分析的網絡設計原理，水利局新的業務需求和特點和網絡設計中的缺陷，將網絡核心進行升級，建立一個統一的高性能、高可用性平臺基礎網絡設施的平臺上集成嵌入網絡安全作為運行的絕對保障，為以后的新的業務戰略實施做好準備。

將原來核心升級成1臺H3C S7506E交換機，配置2塊H3C S7500 Salience VI-Lite交換路由引擎，S7506E交換機可以提供高達768 Gbps的背板帶寬和492 Mpps的數據轉發速率，提供高效的數據交換通訊能力，建設成為一個集成了高效率、低故障率、高安全性、冗余度、可擴展的網絡平臺。

在核心交換機7506E上配置2塊1400W相同瓦特電源，形成1+1的電源冗余方式，提供單電源供電，在主電源失效的情況下不會中斷交換機電源供電，保證網絡的高可用性。

核心交換機7506E.

在水利局各樓層的配線間配置H3C S5500接入交換機并配置多模光模塊，通過光纖連接到核心交換機Catalyst 7506E,提供網絡接入層到網絡核心層的光纖高速接入，保障網絡的高速通道；分支機構通過MPLS-VPN技術與水利局中心機房建立連接。

流量。然而網絡流量問題日益增多，直觀反映未網絡越來越慢，數據流量越來越小。這不是購買入口帶寬就能解決的事，應該對網絡行為進行有效管理，保證數據業務的健康。

局原有核心交換機將用作備機，在突發緊急網絡故障時替換使用。

4.1.2 VLAN 優化策略。

出于對網絡使用的安全考慮，對于各級部門、區局、鎮局，擬采用不同的網絡劃分方式，運用VLAN技術（虛擬局域網）和IP地址段的劃分對網絡進行既獨立又統一的管理，有利于網絡安全和防止網絡風暴，而且可以提高網絡運行的效率。

根據局總部和各分支機構業務類型，將核心機房和下屬分支機構交換機劃分為多個VLAN,如下圖所示，把交換機劃分為VLAN1和VLAN2,將普通的PC終端都接入VLAN1中，而業務系統服務器群則都劃分到VLAN2中。這樣，業務系統服務器群和普通的PC群就實現了相互隔離。兩個VLAN不能直接訪問，實現了服務器與普通PC的3層隔離，實現了網絡層的訪問控制，所有連接到VLAN上的設備都將收到來自本VLAN成員的廣播，而連接到其他VLAN的設備不會收到這些廣播。如圖所示，PC群所產生的廣播都將在VLAN1中傳播，不會傳播到服務器群所在的VLAN2中。

根據水利局的實際情況，我們建議將網絡劃分成7個VLAN,具體是VLAN2為出口互聯VLAN,VLAN100為服務器群VLAN,VLAN200為VPN接入VLAN,VLAN10為水利局一樓VLAN,VLAN20為水利局二樓VLAN,VLAN30為水利局三樓VLAN,VLAN40為水利局四樓VLAN.

4.2 出入口監控管理策略。

4.2.1 啟用防火墻。

用戶分支機構多，外圍訪問頻繁，遠程網絡管理很難實現。為保證核心主干網絡的安全性和高效性，這里起用防火墻進行邊界管理。

這時，我們選用防火墻來提供高吞吐能力，邊界部署無瓶頸；按需劃分安全域，清晰規劃網絡邊界；提供靈活的包過濾策略，精確控制互訪關系；對VPN數據包進行折包檢測，保障數據通信安全。本次選擇的防火墻參數。

方案優勢：

超高的并發數保證了防火墻的效能，在不影響正常數據傳輸的情況下，本設備可以輕松應對數百萬包/秒的DDoS攻擊。支持IPV6,保證今后設備的可擴張性，對于設備升級進行平滑過渡。五種VPN類型，安全加密機制，保證公共互聯網訪問內部網絡的安全，即便是在外面，也可以安心訪問內網資源。外部威脅防御：

IPS入侵防御、AV網關防病毒、AS反垃圾郵件，三重防護，保證內部網絡的安全。

4.2.2 網絡流量監控和管理子系統設置。

網絡流量監控和管理子系統通過橋接在防火墻和核心交換之間，對網絡配置毫無影響，直接控制內部人員的網絡訪問行為，保證訪問信息的安全，確保數據流量的有效使用率。

網絡流量監控和管理子系統可以為不同身份的用戶分配不同的帶寬權限，還可以為BT、eMule、在線視頻等網絡應用分配不同的帶寬權限，有效抑制或封堵非正常業務對帶寬的占用，保證網絡暢通高效。

通過對比黑名單，有效阻攔不良網頁的訪問，保障了單位網絡安全。并對上網人員進行記錄，審查其占用帶寬資源，和訪問歷史。

網絡流量監控和管理子系統對工作人員上網行為的管控和對一些高風險網站的封堵可以大大減少來自病毒、間諜軟件和黑客的侵擾與攻擊，異常告警功能更能為單位的局域網穩定保駕護航。

根據局系統的需求和以往系統實施的經驗，我們設計了一套適應當前需要和兼顧對未來業務擴展進行有效支持的系統架構。

網絡流量監控和管理子系統作為上網行為管理設備部署在核心網絡，以透明網橋連接的方式串接在核心網絡連接Internet的出口處，進行網絡行為管理、安全審計、信息過濾和帶寬管理。具體連接方式是：將網絡流量監控和管理子系統二個網口配置成網橋模式，網絡流量監控和管理子系統和核心交換機的連線斷開，網絡流量監控和管理子系統直接連外網口，核心交換機直接連內網口。

對于內網用戶的定位，持多種方式：

IP地址定位、MAC地址定位、本地驗證以及第三方認證定位等。

該系統解決了工作效率問題，通過訪問管理，可以靈活部署控制策略，指定用戶角色的分類和分組，對其上網行為進行分別控制。規定時間、類型、可訪問的網址、可使用的流量等。自備百萬級的特征庫，對比出不良網址進行過濾，屏蔽P2P下載，規范上網行文，從而提高了所有員工的工作效率：

（1）訪問外網權限控制：規定單位員工能否上網的權限，只有工作中需要上網的員工才能訪問Internet,其他員工工作時間禁止上網。

（2）網址關鍵字URL控制：按網址及通配符限定可以訪問的網址，指定上班期間可以訪問的地址，比如：淘寶、京東等電子商務網址就可以被屏蔽。

（3）使用應用程序控制：可以識別郵件、QQ、P2P下載、www服務等網絡服務，并對其做控制（如：能否使用等）.

（4）支持分級控制：可以通過建立分級制度，將人、部門等進行分組控制，設定不同的訪問策略，對帶寬和可訪問地址進行有效分配。

在做好員工訪問控制的同時，網絡流量監控和管理子系統支持對員工行為的日志的統計分析。

該設備針對歷史記錄，統計出十數種報表，可以按照流量記錄、上網時長、聊天信息、等進行分類，還能生成排行榜進行對比，直觀了解到各個部門和員工的上網情況。根據報表和排行榜，可以幫助管理員合理調整策略，優化網絡環境。

除此之外，還可以提供下面的統計信息：

（1）上網情況統計：統計部門或者個人的上網時長及通訊流量，生產報表或者趨勢圖。

（2）網站訪問統計：統計每個人經常訪問的網站情況，如：點擊次數最后的網址、流量、時間等。