vps远程登陆 第五章 网络安全及管理方案

2022-11-16 1572阅读

温馨提示:这篇文章已超过635天没有更新,请注意相关的内容是否还可用!

网络安全是一项动态的、整体的系统工程,从技术上来说,网络安全由安全的操作系统、应用系统、防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件组成,一个单独的组件是无法确保您信息网络的安全性。

5.1 网络管理方案5.1.1 设备与端口

整个局域网从路由器连接INTERNET开始,通过防火墙INTRANET区域,到达核心交换机,核心交换机采用三层交换机,连接采用双机备份方式。从核心交换机往下分为汇聚层交换机,再往下连接各个边缘交换机。

并且为了防止黑客入侵以及上班时间员工上QQ玩游戏等现象,关闭QQ端口,常见的网络游戏端口等。

网络中主要运用交换机来连接,从用户需求出发并且考虑经济方面的因素,采用带光纤口的核心交换机和汇聚层交换机,而边缘交换机则采用普通的24口交换机。

5.1.2 虚拟网管理

由于用户包括很多个部门,从安全角度出发,将每个部门从逻辑上独立出来,划分成一个虚拟网络,每个虚拟网络内部的信息点之间可以直接通信,而不同虚拟网络中的信息点,即不同部门的PC之间不能直接通信;同时,由于各个部门都可以通过中心交换机上互联网,于是不同部门之间的简单通信可以通过INTERNET上的服务器(如INTERNET上的邮件服务器,WEB服务器等等)。这样可以既可以保证各个部门之间容易相互访问,而又避免了造成信息的不安全。

为了体现设计的灵活性,将汇聚层交换机和核心交换机之间的接口设置成TRUNK口,对其进行改造和维护,这种维护都只涉及到软件配置,不会引起硬件设施的改变,实施起来方便,简洁。

5.1.3 性能管理

用网络管理软件对网络的性能进行测试和管理,对故障进行检测和修复。

5.1.4 故障管理

用网络管理软件对网络的性能进行测试和管理,对故障进行检测和修复。并备份原文件资料。

5.1.5 配置管理

包括安全方面的防火墙配置管理,PC终端使用办公系统的平台配置管理,服务器配置及管理等。

5.1.6 安全管理

从硬件和软件两方面对整个网络的安全系统进行规划,通过购买硬件防火墙对局域网和INTERNET之间的通信进行管理和限制,而通过网管软件对网络性能和流量进行实时监控,对越权和非正常使用网络的用户进行限制和处理。

vps远程登陆 第五章 网络安全及管理方案

5.1.7网络管理工具选取

主要采用ISNMPTM网络管理软件对网络进行管理。

5.2 网络安全方案

5.2.1 物理安全措施

保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提。物理安全是保护计算机网络设备,设施以及其他媒体免遭地震,水灾,火灾等环境事故以及人为操作失误或者错误和各种计算机犯罪行为导致的破坏过程。

在本次设计中,我们主要在三个方面实施保护措施:

环境安全:对系统所在环境的安全保护,如区域保护和灾难保护。主要包括在得鑫办公大楼(中心机房所在)实施各种安全保护措施,严格按照标准设计接地装置,进行防雷、防水和防火和防静电措施,安装避雷针,保持机房适当的湿度与温度,保证通风,减缓设备老化。

vps远程登陆 第五章 网络安全及管理方案

设备安全:主要包括设备的防盗,防毁,以及电磁信息放防泄露等。

媒体安全:包括媒体数据的安全,以及媒体本身的安全。

数据安全:UPS备用电源,防止停电时服务器数据的丢失。机房和控制室之间安放一道玻璃墙,既方便观赏,又不用进入机房,可以起到防尘的作用。同时可以及时对机房中的报警系统进行观察。

5.2.2 VLAN划分

VLAN(Virtual Local Area Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。

VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域,没一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。

在我们的设计中,根据具体的需求,我们将整个网络按照部门的不同划分成不同的VLAN,并通过中心交换机(三层交换机),实现不同VLAN间有控制的访问,这样相同部门就在同一的一个VLAN里,不同的部门在不同的VLAN里,他们各自的广播流也不会相互转发,从而有助于控制流量,减少设备投资,简化网络管理,提高网络安全性。实现了部门内的自由访问,部门间的有控制访问。

每栋楼都按照部门进行VLAN的划分,以便从逻辑上将不同部门隔离开来,保证信息的安全。

路由器是用于子网(VLAN)间互连的设备,其作用是将分组从一个VLAN 转发到另一个VLAN,这样使分组更加接近目的网络。路由器上的每个VLAN 都需要唯一IP 地址,也就是说每一个子网(VLAN)接口的IP 地址都必须属于不同的子网,即每个路由器的网络接口定义一个子网。

以下是VLAN的详细划分表:

主楼层

各VLAN地址及掩码

IP地址

服务部(1层)

VLAN1

192.168.11.2/255.255.255.0

192.168.11.1~~~192.168.11.74

陶瓷部(2~3层)

VLAN2

192.168.11.2/255.255.255.0

192.168.11.75~~~192.168.11.148

包装部(4~5层)

VLAN3

192.168.11.2/255.255.255.0

192.168.11.149~~~192.168.11.254

彩绘部(6~7层)

VLAN4

192.168.12.2/255.255.255.0

192.168.12.1~~~192.168.12.74

销售部(8层)

VLAN5

192.168.12.2/255.255.255.0

192.168.12.75~~~192.168.12.148

办公部(9~10层)

VLAN6

192.168.12.2/255.255.255.0

192.168.12.149~~~192.168.12.254

5.2.3 加筑防火墙

防火墙是一个或一组系统,用于管理两个网络直接的访问控制以及策略,即所有从内部访问外部的数据流和外部访问内部的数据流必须通过防火墙,只有在被定义的数据流才可以通过防火墙。

一个高级访问控制设备,置于不同安全域之间,是不同安全域之间的唯一的通道,能根据企业有关的安全政策执行允许,拒绝,监视,记录进出网络的行为。在我们的设计中,防火墙的应用主要体现在两个方面:

内外网隔离及访问控制系统

通过NAT源地址转换,实现内网通过共同的网关(防火墙Internet端口)访问外网,而外网不能随意访问内部网络。从而保护了内网的安全。

通过MAP目的地址转换,实现互联网上主机可以有条件的访问内部网络,实现外地工作人员访问服务器及内部网络。

.内部网络不同网络安全域的隔离及访问控制

vps远程登陆 第五章 网络安全及管理方案

通过设置防火墙的透明模式可以让同一网段在不同区域的主机进行通信,而路由模式可以让不同网段在不同区域通过防火墙端口IP地址路由进行通信。

将整个网络中的中心服务器放于防火墙的DMZ/SSN区域,更好的提高了中心服务器的安全性。5.2.4 虚拟专用网络

虚拟专用网络(VPN)是一门新型的网络技术,它为我们提供了一种通过公用网络(如最大的公用因特网)安全地对企业内部专用网络进行远程访问的连接方式。我们知道一个网络连接通常由三个部分组成:客户机、传输介质和服务器。VPN网络同样也需要这三部分,不同的是VPN连接不是采用物理的传输介质,而是使用一种称之为“隧道”的东西来作为传输介质的,这个隧道是建立在公共网络或专用网络基础之上的,如因特网或专用Intranet等。同时要实现VPN连接,企业内部网络中必须配置有一台基于Windows NT或Windows2000 Server(目前Windows系统是最为普及,也是对VPN技术支持最为全面的一种操作系统)的VPN服务器,VPN服务器一方面连接企业内部专用网络(LAN),另一方面要连接到因特网或其它专用网络,这就要VPN服务器必须拥有一个公用的IP地址,也就是说企业必须先拥有一个合法的Internet或专用网域名。当客户机通过VPN连接与专用网络中的计算机进行通信时,先由NSP(网络服务提供商)将所有的数据传送到VPN服务器,然后再由VPN服务器将所有的数据传送到目标计算机。因为在VPN隧道中通信能确保通信通道的专用性,并且传输的数据是经过压缩、加密的,所以VPN通信同样具有专用网络的通信安全性。整个VPN通信过程可以简化为以下4个通用步骤:

(1)客户机向VPN服务器发出请求;

(2) VPN服务器响应请求并向客户机发出身份质询vps远程登陆,客户机将加密的用户身份验证响应信息发送到VPN服务器;

(3) VPN服务器根据用户数据库检查该响应,如果账户有效,VPN服务器将检查该用户是否具有远程访问权限;如果该用户拥有远程访问的权限,VPN服务器接受此连接;

(4)最后VPN服务器将在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密,然后通过VPN隧道技术进行封装、加密、传输到目的内部网络。

1. VPN的优势

VPN网络给用户所带来的好处主要表现在以下几个方面:

(1)节约成本

这是VPN网络技术的最为重要的一个优势,也是它取胜传统的专线网络的关键所在。据行业调查公司的研究报告显示拥有VPN的企业相比起采用传统租用专线的远程接入服务器或Modem池和拨号线路的企业能够节省30%到70%的开销。开销的降低发生在4个领域之中:

移动通讯费用的节省:这主要是针对于有许多职工需要移动办公的企业来说的,因为这样对于出差在外地的移动用户来说只需要接入本地的ISP就可以与公司内部的网络进行互连,大大减少了长途通信费。企业可以从他们的移动办公用户的电话费用上看到立竿见影的好处。

专线费用的节省:采用VPN的费用比起租用专线来要低40~60%,而无论是在性能、可管理性和可控性方面两者都没有太大的差别。通过向虚拟专线中加入语音或多媒体流量,企业还可以进一步获得成本的节约。这一点对于过去有过租用象DDN之类的专线的企业用户就会有更深刻的感受了,租用DDN一个小小的64k就得每月花费几千上万元费用,采用VPN后不仅这方面的费用会大大减少(但通常不能全免,因为在企业与NSP之间这一段还得租用NSP的专用线路,但这已是相当短的了),而且还可能会在带宽上有更大的优势,因为现在的VPN技术可以支持宽带技术了。

设备投资的节省:VPN允许将一个单一的广域网接口用作多种用途,从分支机构的互联到合作伙伴通过外联网(Extranet)的接入。因此,原先需要流经不同设备的流量可以统一地流经同一设备。由此带来的好处便是企业不再像原先那样需要大量的广域网接口了,也不必再像以前那样频繁地进行周期性的硬件升级了,这样就可大大减少了企业固定设备的投资,这对于是、小型企业来说是非常之重要的。此外,VPN还使企业得以继续对其关键业务型的旧有系统进行有效利用,从而达到保护软硬件投资的目的。

支持费用的节省:通过减少Modem池的数量,企业自身支持费用可以被降至最低。原先用来对远程用户进行支持的、经常超负荷工作的企业支持热线(通常还需由专人负责)被NSP帮助桌面系统所取代。而且,由于NSP帮助桌面系统可以完全实现从总部中心端进行管理,因此VPN可以极大地降低对远程网络的安装和配置成本。在降低费用方面主要表现为:远程用户可以只通过向当地的ISP申请账户登录到因特网,以因特网作为隧道与远程企业内部专用网络相连。这样采用拨号方式的远程用户则不需要采用长途拨号,企业总部也可只支付ISP本地网络使用费,在长途通信费用方面就会大幅度降低,据专业分析机构调查显示,采用VPN与传统的拨号方式相比可以节约通讯成本可达50%-80%。与租用专线方式相比更具有明显的费用优势,一般VPN每条连接的费用成本只相当于租用专线的40%到60%;VPN还允许一个单一的WAN接口服务多种用途,因此用户端只需要极少的WAN接口和设备。而且由于VPN是可以完全管理,并且能够从中央网站进行基于策略的控制,因此可以大幅度地减少在安装配置远端网络接口所需的设备上的开销。另外,由于VPN独立于初始的协议,这就使得远端的接入用户可以继续使用传统的设备,保护了用户在现有硬件和软件系统上的投资。

(2)增强的安全性

目前VPN主要采用四项技术来保证数据通信安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、身份认证技术(Authentication)。

在用户身份验证安全技术方面,VPN是通过使用点到点协议(PPP)用户级身份验证的方法来进行验证。

在数据加密和密钥管理方面VPN采用微软的点对点加密算法(MPPE)和网际协议安全(IPSec)机制对数据进行加密,并采用公、私密钥对的方法对密钥进行管理。对于采用拨号方式建立VPN连接的情况下,VPN连接可以实现双重数据加密,使网络数据传输更安全。

还有,对于敏感的数据,可以使用VPN连接通过VPN服务器将高度敏感的数据服务器物理地进行分隔,只有企业Intranet上拥有适当权限的用户才能通过远程访问建立与VPN服务器的VPN连接,并且可以访问敏感部门网络中受到保护的资源。

(3)网络协议支持

VPN支持最常用的网络协议,这样基于IP、IPX和NetBEUI协议网络中的客户机都可以很容易地使用VPN。这意味着通过VPN连接可以远程运行依赖于特殊网络协议的应用程序。

vps远程登陆 第五章 网络安全及管理方案

(4)容易扩展

如果企业想扩大VPN的容量和覆盖范围,企业需做的事情很少,而且能及时实现, VPN路由器还能对工作站自动进行配置。

(5)可随意与合作伙伴联网

在过去,企业如果想与合作伙伴连网,双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路。这样相当麻烦,不便于企业自身的发展,也就是租用的专线在灵活性方面是非常不够。有了VPN之后,这种协商也毫无必要,真正达到了要连就连,要断就断,可以实现灵活自如的扩展和延伸。

(6)完全控制主动权

借助VPN,企业可以完全掌握着自己网络的控制权。由自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。

(7)安全的IP地址

因为VPN是加密的,VPN数据包在因特网中传输时,因特网上的用户只看到公用的IP地址,看不到数据包内包含的专有网络地址。因此远程专用网络上指定的地址是受到保护的。IP地址的不安全性也是在早期的VPN没有被充分重视的根本原因之一。

(8)支持新兴应用

许多专用网对许多新兴应用准备不足,如那些要求高带宽的多媒体和协作交互式应用。VPN则可以支持各种高级的应用,如IP语音,IP传真,还有各种协议,而且随着网络接入技术的发展,新型的VPN技术可以支持诸如ADSL、Cable Modem之类的宽带技术。

上面介绍了VPN的主要优势,那么哪些用户适合采用VPN网络连接呢?综合VPN技术的特点,可以得出主要有以下四类用户适合采用VPN进行网络连接:

a.网络接入位置众多,特别是单个用户和远程办公室站点多,例如多分支机构企业用户、远程教育用户;

b.用户/站点分布范围广,彼此之间的距离远,遍布全球各地,需通过长途电信,甚至国际长途手段联系的用户,如一些跨国公司;

c.带宽和时延要求相对适中,如一些提供IDG服务的ISP;

d.对线路保密性和可用性有一定要求的用户,如大企业用户和政府网。

根据VPN的应用平台可分为:软件平台、专用硬件平台及辅助硬件平台三类。

(1)软件平台VPN

当对数据连接速率较低要求不高,对性能和安全性要求不强时,可以利用一些软件公司所提供的完全基于软件的VPN产品来实现简单的VPN的功能,如checkpoint software和Aventail Corp等公司的产品。甚至可以不需要另外购置软件,仅依靠微软的Windows操作系统,特别是自Windows 2000版本以后的系统就可实现纯软件平台的VPN连接。

这类VPN网络一般性能较差,数据传输速率较低,同时在安全性方面也比较低,一般仅适用于连接用户较少的小型企业。

(2)专用硬件平台VPN

使用专用硬件平台的VPN设备可以满足企业和个人用户对高数据安全及通信性能的需求,尤其是从加密及数据乱码等对CPU处理能力需求很高的功能。提供这些平台的硬件厂商比较多,比较有名的如国外的:Nortel、Cisco、3Com等,国内的如华为、联想等。

这类VPN平台虽然投资了大量的硬件设备,但是它具有先天的不足,就是成本太高,对于中、小型企业很难承受。并且由于全是由硬件来构成的平台,因此在管理的灵活性方面和可管理性方面就显得不如人意。通常是对于专业的VPN网络服务提供商来说选择这一平台较为合适,因为它们都有这方面的人才和资金优势。不过现在的主流VPN硬件设备制造商都能提供相应的管理软件来支持,如Cisco、3COM公司等,这在后面章节中将具体介绍它们的VPN解决方案。

vps远程登陆 第五章 网络安全及管理方案

(3)辅助硬件平台VPN

这类VPN的平台介于软件平台和指定硬件平台的之间,辅助硬件平台的VPN主要是指以现有网络设备为基础,再增添适当的VPN软件以实现VPN的功能。这是一种最为常见的VPN平台,性能也是最好的一种。但是通常这种平台中的硬件也不能完全由原来的网络硬件来完成,必要时还得添加专业的VPN设备,如VPN交换机、VPN网关或路由器等,对于一个完善的、高性能的VPN网络这些设备在一定程度上来说是非常必要的。

这种平台是最为通用的一种方式,它既具备了硬件平台的高性能、高安全性,同时也具有了软件平台的灵活性,并且可以利用绝大多数现有硬件设备,节省了总体投资。目前绝大多数企业VPN方案选用。

2.主要VPN协议

通过前面的介绍知道VPN隧道协议主要有三种:PPTP、L2TP和IPSec,PPTP和L2TP协议是工作在OSI/RM开放模型中的第二层,所以又称之为第二层隧道协议。其实在第二层隧道协议中还有一种不是很主流的协议,那就是Cisco公司的L2F(Layer 2 Forwarding)协议。在VPN网络中最常见的第三层隧道协议是IPSec,但另一种GRE(Generic Routing Encapsulation,通用路由封装协议,在RFC 1701中早有描述)也是属于一个第三隧道协议。

第二层隧道和第三层隧道的本质区别在于用户的数据包是被封装在哪一层的数据包隧道里传输的。第二层隧道协议和第三层隧道协议一般来说分别使用,但合理的运用两层协议,将具有更好的安全性。例如:L2TP与IPSec协议的配合使用,可以分别形成L2TP VPN、IPSec VPN网络,也可混合使用L2TP、IPSec协议形成性能更强的L2TP VPN网络,且这一VPN网络形式是目前性能最好、应用最广的一种,因为它能提供更加安全的数据通信,解决了用户的后顾之忧。

3. VPN的服务类型介绍

根据VPN应用的类型来分,VPN的应用业务大致可分为3类:IntranetVPN、Access VPN,(1)Access VPN

Access VPN又称为拨号VPN(即VPDN),是指企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟网。如果企业的内部人员移动或有远程办公需要,或者商家要提供B2C的安全访问服务,就可以考虑使用AccessVPN。

Access VPN通过一个拥有与专用网络相同策略的共享基础设施,提供对企业内部网或外部网的远程访问。AccessVPN能使用户随时、随地以其所需的方式访问企业资源。Access VPN包括能随时使用如模拟拨号Modem、ISDN、数字用户线路(xDSL)、无线上网和有线电视电缆等拨号技术,安全地连接移动用户、远程工作者或分支机构。这种方式相对传统的拨号访问具有明显的费用优势,对于需要移动办公的企业来说不失为一种经济安全、灵活自由的好方式,所以这种方式通常也是许多大、中型企业所必需的。当然它也可以独自存在,如一些小型商务企业。

(2) Intranet VPN

本方案采用Intranet VPN,Intranet VPN即企业的总部与分支机构间通过VPN虚拟网进行网络连接。随着企业的跨地区、国际化经营,这是绝大多数大、中型企业所必需的。如果要进行企业内部各分支机构的互联,使用Intranet VPN是很好的方式。这种VPN是通过公用因特网或者第三方专用网进行连接的,有条件的企业可以采用光纤作为传输介质。它的特点就是容易建立连接、连接速度快,最大特点就是它为各分支机构提供了整个网络的访问权限。

5.2.5 病毒防治和入侵检测系统介绍

在整个网络设置了防火墙的基础上,在服务器上安装杀毒软件和防火墙。购买一整套服务,并要求整个企业内网主机都安装相应防病毒软件,以保护整个网络的安全。

入侵检测:顾名思义,便是对入侵行为的发觉。它通过对计算机网络或计算机系统中得若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统(Intrusion Detection System,简称IDS)。与其他安全产品不同的是,入侵检测系统需要更多的智能,它必须可以将得到的数据进行分析,并得出有用的结果。一个合格的入侵检测系统能大大的简化管理员的工作,保证网络安全的运行。

企业级安全管理平台可以对不同安全系统进行集成化管理,这样将各个安全产品的单一管理点进行统一化管理,还可以进行远程控制管理,整个系统易于操作和管理,并且执行一致政策vps远程登陆,降低成本。

5.2.6 安全访问策略和数据包过滤

主要通过防火墙实现对内网和外网的管理。

vps远程登陆 第五章 网络安全及管理方案

5.2.7 备份/挽救措施

1. 核心交换机双机热备份

利用设备的冗余,对核心交换机和中心服务器实现双机热备份(见网络拓扑图)用两个核心交换机实现设备冗余,并且每个核心交换机都通过光纤与个会聚层交换机相连在正常情况下,两个核心交换机同时工作,实现负载均衡,在某台核心交换机出现故障时,所有会聚层交换机都选择另一台核心交换机连接。

2. 操作系统备份

根据企业公司的系列情况,我们以光盘的形式备份操作系统,以防止电脑病毒,操作系统崩溃等一系列问题给用户带来的不便以及影响。直接恢复操作系统,避免了重新安装操作系统所耗费的时间。给企业及用户的利益更高的保障。

VPS购买请点击我

文章版权声明:除非注明,否则均为主机测评原创文章,转载或复制请以超链接形式并注明出处。

目录[+]