建立网络安全系统的方法有哪些
最近有网友想建立一个网络安全系统,但是不知道如何下手~所以学习啦小编在这里就提供一些相关方法给他。具体内容如下。
建立网络安全系统方法一:
1、建立完善的网络资源管理系统的意义1、是适应外部环境变化和加快市场反应速度的需要。如何尽快的响应市场和客户的需求,提高对客户的服务质量,并留住现有客户和吸引新生客户。这就需要利用网络资源系统将网络资源和客户、业务相关联起来,提供以客户为中心的端到端应用,最终将电信运营商的网络资源优势转化为竞争优势,并最大限度的提升客户价值,为企业获取最大的经济效益。
2、是实现企业资源优化配置的需要。为有效实现现代化企业的资源优化配置,企业迫切需要将原有的粗放式人工管理转变以管理系统为核心的精确管理;迫切需要通过网络资源管理系统的优化与建设,以合理的利用有限的建设资金、盘活现有各项资源,实现资源的优化配置;迫切需要依靠完善的网络资源管理系统,来为企业可持续化发展提供准确的决策支持。
建立网络安全系统方法二:
局域网
首先,要统一IP地址并绑定MAC;其次,要在硬件防火墙设置IP规则及策略;再者,每一台电脑要安装杀毒软件并统一给员工进行培训,服务器上关闭骇客常用端口,并安装蜜罐系统。我们知道,骇客们攻击网络之前要进行踩点侦查,所以,为了迷惑骇客我们将IP进行隐藏。
为了防止骇客监听网络数据包,我们将数据包加密。经常更新漏洞是关键,最好每个月进行一次入侵检测。
建立网络安全系统方法三:
建立局域网共享了以后要关闭防火墙设置,检查线路是否畅通,加入同一个计算机工作组,在网上邻居的查看工作组计算机上要能看到彼此的计算机名。也可用开始菜单运行里的PING+IP的方式检查连接是否有效。畅通后就可以玩局域网游戏了。但有时也会因WINDOWS的版本不同,出现链接不上的情况。
下面学习啦小编再给大家举个如何创建一个安全的办公网络的例子吧。
办公网络指的就是为了更有效率地工作,在办公室里面假设起公司内部的计算机服务系统,将每台工作计算机通过网线(无线wifi)等有效连接,通过计算机服务器进行统一化管理,共享文件数据,以提高工作效率。
随着信息技术的发展,对办公网的要求也在变化。虽然办公网络实现了很大的便捷性,但是我们不得不考虑它的安全性。为了保证网络上的信息安全,我们不得不在网络的易用性与安全性之间寻找一个平衡点,在足够安全的情况下,实现最大的易用性。
办公网要实现的安全目标
针对办公网络既要满足新办公的需要又要保证信息技术安全的情况,办公网络主要实现三个安全目标:1、实现所有办公终端都能访问Web服务器,E-mail服务器,办公自动化服务器;2、实现各部门办公终端之间资料及打印服务的共享;3、部门之间互访受到控制,使部分有需要的电脑能够互通,其余的不能互通。
办公组网方案设计
我准备采用VLAN和ACL技术组建办公网。虚拟局域网(VLAN)将网络从逻辑上划分为一个个功能相对独立的工作组,如果再加上虚拟局域网之间的访问控制(ACL)和路由指向可以使一个个功能相对独立的工作组变成可以受限互访的不同安全区。以市场部和计财部两个部门为例,方案拓扑图如下(如图1)。
1)在交换机上划分三个VALN,将Web服务器、E-mail服务器和办公自动化服务器划为VLAN1,名称为fuwu;计划财务部为VLAN2,名称为jicai;市场部为VLAN3,名称为shichang。
2)路由器上用访问控制列表和路由指向,控制网络数据的流向实现办公网的安全目标,从而使VLAN2和VALN3成为两个安全区。
方案的总体规划
现在以Cisco Catalyst 1900交换机、Cisco 2600路由器为例,写出方案的详细配置。
VLAN的规划
(1)VLAN的工作模式:
我们采用静态模式,针对交换机端口指定VLAN。
(2)ISL标签:
ISL(Inter-Switch Link)是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个VLAN信息及VLAN数据流的协议,通过在交换机直接相连的端口配置ISL封装,即可跨越交换机进行整个网络的VLAN分配和配置。我们在快速以太口0配置ISL标签。
(3)VTP(VLAN Trunking Protocol):它是一个在交换机之间同步及传递VLAN配置信息的协议。一个VTP Server上的配置将会传递给网络中的所有交换机,VTP通过减少手工配置而支持较大规模的网络。VTP有Server、client、transparent三种模式。我们的VTP设置:VTP的域名为switch,主交换机为Server模式,其他两个交换机为client模式。
ACL的规划
访问控制列表(ACL)主要功能是限制通过路由器端口的报文。有基本访问控制列表和扩展控制列表两种。
我们采用扩展访问列表,VLAN1应用扩展访问列表的表号为101,VLAN2应用扩展访问列表的表号为102,VLAN3应用扩展访问列表的表号为103。
具体配置
电脑的配置
Web服务器的IP地址 10.168.1.2,网关(VLAN1对应的路由器端口)IP地址10.168.1.1 。
E-mail服务器的IP地址10.168.1.3,网关(VLAN1对应的路由器端口)IP地址10.168.1.1 。
办公自动化服务器的IP地址10.168.1.4,网关(VLAN1对应的路由器端口)IP地址10.168.1.1 。
计财部办公电脑1的IP地址10.168.2.2,网关(VLAN2对应的路由器端口)IP地址10.168.2.1。
计财部办公电脑2的IP地址10.168.2.3,网关(VLAN2对应的路由器端口)IP地址10.168.2.1。
市场部办公电脑1的IP地址10.168.3.2,网关(VLAN3对应的路由器端口)IP地址10.168.3.1。
市场部办公电脑2的IP地址10.168.3.3,网关(VLAN3对应的路由器端口)IP地址10.168.3.1。
各网络设备的配置
(1)主交换机:
配置VTP
vtp server
vtp domain switch
配置VLAN
VLAN 1 name fuwu
VLAN 2 name jicai
VLAN 3 name shichang
端口模式(指定端口所属的VLAN)
VLAN 1 的端口
VLAN-membership static 1
VLAN 2 的端口
VLAN-membership static 2
VLAN 3 的端口
VLAN-membership static 3
在交换机互连口(交换机与交换机、交换机与路由器)配置trunk
trunk on
(2)市场部交换机
配置VTP
vtp client
vtp domain switch
端口模式(指定端口所属的VLAN)
VLAN 1 的端口
VLAN-membership static 1
VLAN 2 的端口
VLAN-membership static 2
VLAN 3 的端口
VLAN-membership static 3
在交换机互连口(交换机与交换机、交换机与路由器)配置trunk
trunk on
(3)计财部交换机
配置VTP
vtp client
vtp domain swtich
端口模式(指定端口所属的VLAN)
VLAN 1 的端口
VLAN-membership static 1
VLAN 2 的端口
VLAN-membership static 2
VLAN 3 的端口
VLAN-membership static 3
在交换机互连口(交换机与交换机、交换机与路由器)配置trunk
trunk on
(4)路由器
快速以太口0配置ISL标签
为VLAN 1 配置ISL 标签
router#config t
router#(config) int f0.1
router#(config-if) ip address 10.168.1.1 255.255.255.0
router#(config-if) encapsulation ISL 1
为VLAN 2 配置ISL 标签
router#(config) int f0.2
router#(config-if) ip address 10.168.2.1 255.255.255.0
router#(config-if) encapsulation ISL 2
为VLAN 3 配置ISL 标签
router#(config) int f0.3
router#(config-if) ip address 10.168.3.1 255.255.255.0
router#(config-if) encapsulation ISL 3
路由(静态):
ip route 10.168.1.0 255.255.255.0 FastEthernet0.1
ip route 10.168.2.0 255.255.255.0 FastEthernet0.2
ip route 10.168.3.0 255.255.255.0 FastEthernet0.3
说明,这三条静态路由可以不加,路由器可以通过cdp功能获取直通路由。
配置访问列表,在路由器全局模式下配置基本和扩展访问列表
router(config) access-list 101 permit ip host 10.168.1.2 any
router(config) access-list 101 permit ip host 10.168.1.3 any
router(config) access-list 101 permit ip host 10.168.1.4 any
router(config) access-list 102 permit ip host 10.168.2.2 10.168.1.0 0.255.255.255
router(config) access-list 102 permit ip host 10.168.2.3 10.168.1.0 0.255.255.255
router(config) access-list 103 permit ip host 10.168.3.2 10.168.1.0 0.255.255.255
router(config) access-list 103 permit ip host 10.168.3.3 10.168.1.0 0.255.255.255
把访问列表指定到一个端口上
router(config)int f0.1
router(config-if)ip access-group 101 in
router(config)int f0.2
router(config-if)ip access-group 102 in
router(config)int f0.3
router(config-if)ip access-group 103 in
以上方案是基于Cisco Catalyst 1900的,如果交换机是Cisco Catalyst 2900,VLAN的配置命令略有不同。