XX体育中心网络安全系统.docx
- 文档编号:9250790
- 上传时间:2023-02-03
- 格式:DOCX
- 页数:19
- 大小:157.03KB
XX体育中心网络安全系统.docx
《XX体育中心网络安全系统.docx》由会员分享,可在线阅读,更多相关《XX体育中心网络安全系统.docx(19页珍藏版)》请在冰豆网上搜索。
XX体育中心网络安全系统
目录
第一章.系统概述..................................3
1.1概述3
1.2设计要求3
第二章.设计原则及设备选型依据4
2.1总体设计原则4
第三章.设计方案5
3.1网络设计原则5
3.2组网方案6
3.3方案特点8
3.4IP地址规划说明9
3.5VLAN规划10
第四章.网络安全方案建议12
4.1网络安全技术概述13
4.2防火墙解决方案14
4.3深度安全的防范设计18
4.3.1部署方案18
4.3.2应用程序防护19
4.3.3网络架构防护19
4.3.4性能保护19
4.3.5数字疫苗在线更新机制19
第五章.课程设计总结..............................20
第一章.系统概述
1.1概述
某市体育中心是主管本市体育工作的市政府直属机构。
主要职责是:
贯彻国家体育工作的方针、政策和法规,研究拟订本市体育工作的法规、政策和发展规划,并组织实施;负责本市体育体制改革,制订本市体育发展战略,编制中长期发展规划,并组织实施;组织、指导各部门、各行业开展群众体育活动,推动体育社会化,组织实施全民健身计划;统筹规划本市竞技运动项目的布局,指导优秀运动队的建设及业余训练工作;制订体育竞赛计划,管理、指导全市性体育竞赛;指导体育科研工作,加强科研攻关和科研成果的推广;组织开展反兴奋剂工作;开发体育人才资源等工作职能。
某市体育局历来十分重视信息安全的发展动向,尤其是在体育场所信息管理系统方面,部署力量,保障信息网络的安全。
1.2设计要求
XX体育中心计算机网络系统及计算机管理应用系统的建设应达到以下建设目标:
1.满足运动会举办期间,对各比赛、训练场馆的基本信息化需求。
2.体育中心计算机管理应用系统总体结构归纳为“一个门户、三个体系和五个层次”;(总体结构适用于软件解决方案中办公自动化平台、财务管理平台、综合应用平台)
3.适应信息技术的发展,满足XX体育中心业务和办公中不断增加的对于信息资源共享的需求;
4.提高办公效率,实现电子化办公、无纸办公,同时大幅提高工作人员的信息化水平;
5.满足日益发展的群众体育运动发展的需求,为广大群众的体育锻炼,提供良好的服务;
6.满足XX体育中心的经营管理需求;
7.建立代表本单位的Web服务器,对内方便内部工作人员信息的获取和基于Web的沟通,对外树立本单位在因特网上的形象,也使网络成为服务社会的“窗口”;
第二章.设计原则及设备选型依据
考虑到本工程网络结构设计的灵活性和可扩展性,要求网络厂商具有从骨干万兆以太网交换机、工作组千兆以太网交换机、全系列路由器、网络安全、网络管理等全系列产品,与其他厂家的产品互连性好,有良好的服务和技术支持。
考虑到网络系统的稳定性和可靠性,要求所采用的网络产品必须是经受过大量网上实际应用的考验,要具备高安全性、高稳定性和高可靠性,保障系统的不间断运行。
同时由于世界上网络产品供应商之间的激烈竞争,收购和兼并频繁发生。
如果选用较小的供应商的产品,一旦发生收购或兼并,常常导致整个产品系列的停产,使售后服务和产品升级都面临很大困难。
因此,在网络产品的选型中,必须选择产品售后服务和支持好的网络产品供应商。
2.1总体设计原则
结合XX体育中心局域网的实际应用和发展要求,在进行本次网络系统设计时,主要应遵循以下原则:
实用性原则:
以现行需求为基础,充分考虑发展的需要来确定系统规模。
安全性原则:
本次工程项目服务于XX体育中心局域网的需要,对安全级别要求很高。
系统应能提供网络层的安全手段防止系统外部成员的非法侵入以及操作人员的越级操作,保护网络建设者的合法利益。
可靠性原则:
系统设计能有效的避免单点失败,在设备的选择和关键设备的互联时,应提供充分的冗余备份,一方面最大限度地减少故障的可能性,另一方面要保证网络能在最短时间内修复。
成熟和先进性原则:
系统结构设计、系统配置、系统管理方式等方面采用国际上先进同时又是成熟、实用的技术。
设备厂商和投标商应有相关领域的丰富经验。
规范性原则:
系统设计所采用的技术和设备应符合国际标准、国家标准和业界标准,为系统的扩展升级、与其他系统的互联提供良好的基础。
开放性和标准化原则:
在设计时,要求提供开放性好、标准化程度高的技术方案;设备的各种接口满足开放和标准化原则。
可扩充和扩展化原则:
所有系统设备不但满足当前需要,并在扩充模块后满足可预见将来需求,如带宽和设备的扩展,应用的扩展和办公地点的扩展等。
保证建设完成后的系统在向新的技术升级时,能保护现有的投资。
可管理性原则:
整个系统的设备应易于管理,易于维护,操作简单,易学,易用,便于进行系统配置,在设备、安全性、数据流量、性能等方面得到很好的监视和控制,并可以进行远程管理和故障诊断。
第三章.设计方案
3.1网络设计原则
根据以上要求,结合XX体育中心局域网的实际应用和发展要求,在进行本次网络系统改造设计时,主要应遵循以下原则:
1)高性能:
网络要求具有数据、图像、语音等多媒体实时通讯能力。
主干网应提供可保证的服务质量和充足的带宽。
采用最新科技,以适应大量数据传输以及多媒体信息的传输。
整个系统在国内三到五年内保持领先的水平,并具有长足的发展能力,以适应未来网络技术的发展。
2)高可靠性:
网络系统是日常业务和各种应用系统的基础设施,应保证工作日和重点时期不间断运行。
整个网络应有足够的冗余,设备在发生故障时能以热插拔的方式在最短时间内加以修复。
可靠性还应充分考虑网络系统的性价比,使整个网络具有一定的容错能力,减少单点故障。
3)标准化:
所有网络设备都应符合有关国际标准以保证不同厂家网络设备之间的互操作性和网络系统的开放性。
4)可扩充性和可扩展性:
所有网络设备不但满足当前需要,并在扩充模块后,满足可预见将来需求。
网络设计要考虑本期网络系统应用和今后网络的发展,便于向更新技术的升级与衔接。
要留有扩充余量,包括端口数量和带宽的升级能力。
5)易管理性:
网络设备应易于管理,易于维护,操作简单,易学,易用,便于进行网络配置,发现故障。
6)支持多媒体:
支持文本、语音、图形、图像及音频、视频等多种媒体信息的传输、查询服务,具有多种基于优先级队列的QoS保证,多媒体应用对服务质量有很高的要求,如带宽,延迟,延迟的变化等,需要网络对服务质量(QoS)有很好的支持。
7)安全性:
网络系统的数据和文件多数要求具有高度的安全性,因此,网络系统本身要有较高的安全性,对使用的信息进行严格的权限管理,在技术上提供先进的、可靠的、全面的安全方案和应急措施,确保系统万无一失。
同时符合国家关于网络安全标准和管理条例。
8)实用性:
系统建设首先要从系统的实用性角度出发,未来企业内部的信息传输都将依赖于计算机网络系统,所以系统设计必须具有很强的实用性,满足不同用户信息服务的实际需要,具有很高的性能价格比,能为多种应用系统提供强有力的支持平台;同时应很好地利用现有设备资源,保护用户的已有投资。
3.2组网方案
XX体育中心局域网主要是搭建网络框架,建立一套独立的通信平台,为各种用户的需要提供基础网络平台,以适应今后对网络的不断需求。
由于整体网络的性质,对网络设备有很高的要求,至少满足5-10年的发展需要,同时考虑今后的发展,应用逐渐增多,给网络带来的压力。
因此需要核心设备具有高性能和丰富的业务功能,在提供高速的转发的同时,可以灵活设置策略,保障高端用户能够得到优质的服务。
根据以上分析,我们组建XX体育中心局域网网络,具体网络拓扑图如下:
如上图所示,核心机房位于办公楼,下联各个不同的汇聚点和接入点,根据布线的情况和网络最优化设计,组成多级网络架构。
3.21办公楼核心区
如图所示,在办公楼核心层配备一台万兆核心交换机S9512,配置冗余引擎、冗余电源,实现单核心的可靠性,使故障率降到最低;下行千兆单模光纤连接个汇聚节点(6个)和远端接入点(6个),实现网络的连通性。
在服务器区,采用直接接入核心交换机的方式,在核心交换机上配置24个千兆电口模块,通过千兆铜缆与服务器相连。
在Internet出口,采用H3CMSR路由器,与运营商(ISP)相连,下联安全设备H3CIPST200-A和防火墙SecPathF1000-S,形成对外Internet的整体安全策略,保护内网不受外部的影响,从而使整个网络更加安全、稳定、可靠。
3.22办公楼汇聚区
在办公楼内部,配置一台汇聚交换机S5510-24F,全千兆光口交换机,上联千兆光纤到核心交换机,下联千兆光纤到接入交换机。
实现办公楼的网络接入。
同时与远端北、东、西入口接入交换机相连,实现远端接入。
3.23XX中心体育场汇聚区
在XX体育中心场汇聚点,配置一台汇聚交换机S5510-24F,全千兆光口交换机,上联千兆光纤到核心交换机,下联千兆光纤到接入交换机。
实现XX中心体育场内部网络的接入。
3.24综合体育馆汇聚区
在综合体育馆汇聚点,配置一台汇聚交换机S5510-24F,全千兆光口交换机,上联千兆光纤到核心交换机,下联千兆光纤到综合体育场内、手球练习馆和足球联系馆接入交换机。
实现综合体育馆汇聚区内的网络接入。
3.25游泳馆汇聚区
在游泳馆汇聚点,配置一台汇聚交换机S5510-24F,全千兆光口交换机,上联千兆光纤到核心交换机,下联千兆光纤到游泳馆内和曲棍球比赛场接入交换机,网球场接入交换机在汇接到曲棍球比赛场,实现游泳馆区内的网络的接入。
3.26综合训练馆汇聚区
在综合训练馆汇聚点,配置一台汇聚交换机S5510-24F,全千兆光口交换机,上联千兆光纤到核心交换机,下联千兆光纤到接入交换机,实现综合训练馆内部的网络接入。
同连接能源设备机房和总配电室,实现互联。
3.3.方案特点
网络高性能设计:
XX体育中心局域网主干采用高速的千兆以太网技术,百兆到终端设备。
核心交换机S9512交换容量720Gbps,转发性能423Mpps;网络设备的高交换性能,为全网提供数据转发的可靠保障。
网络高可靠设计:
XX体育中心局域网配备了冗余引擎、冗余电源、冗余风扇,其采用电信级的高可靠设计,支持所有模块的热插拔,整机可靠性高达99.9999%。
网络的高安全性设计:
核心层设备基于最长匹配的路由策略,系统采用逐包转发方式,保证了所有报文均获得相同的转发性能,对某些针对网络设备的攻击具有天生的防御能力,有效保证了设备安全。
在Internet出口处,配置了千兆防火墙和入侵防御系统IPS,以提高防御Internet上攻击的能力。
网络的可扩展性设计:
建议在部署光纤链路实现设备互联时,能预留出冗余的光纤通道,一方面可用于链路备份,另一方面在将来需要骨干网带宽升级时,可通过多链路捆绑方式实现带宽扩容。
对于设备而言,核心交换机支持引擎升级的方式实现性能和容量的扩展,S9512交换机更新引擎后,设备性能可提升一倍,在支持更高密度和更高性能的业务板的同时,还能兼容使用老的业务单板,长久保护国家奥林匹克体育中心对设备的投资。
网络的可管理设计:
XX体育中心局域网设备众多,布置分散,需要一套易于使用、功能强大的网管系统,来缩短故障定位时间,协作维护人员迅速解决问题,降低网络维护人员的工作量,IMC智能网管中心除了可独立完成网络拓扑结构显示,故障管理、性能管理、配置管理等功能以外,还针对国内用户的特色需求,做了很多个性化开发。
3.4IP地址规划说明
IP地址的合理规划是网络设计中的重要一环,大型计算机网络必须对IP地址进行统一规划并得到实施。
IP地址规划的好坏,影响到网络路由协议算法的效率,影响到网络的性能,影响到网络的扩展,影响到网络的管理,也必将直接影响到网络应用的进一步发展。
IP地址的合理分配是保证网络顺利运行和网络资源有效利用的关键。
对于IP地址的分配应该尽可能地利用申请到的地址空间,充分考虑到地址空间的合理使用,保证实现最佳的网络内地址分配及业务流量的均匀分布。
IP地址的分配和网络组织、路由策略以及网络管理等都有密切的关系,具体的IP地址分配将通常在工程实施时统一规划实施,这里主要描述IP地址分配的原则。
主要的原则描述为:
IP地址分配要尽量给每个区域分配连续的IP地址空间,有利于路由聚合以及安全控制;
IP地址的规划与划分应该考虑到用户的发展,能够满足未来发展的需要;即要满足本期工程对IP地址的需求,同时要充分考虑未来业务发展,预留相应的地址段;
地址分配是由业务驱动,按照业务量的大小分配各地的地址段;
IP地址的分配必须采用VLSM(变长掩码)技术,保证IP地址的利用效率;
采用CIDR技术,这样可以减小路由器路由表的大小,加快路由器路由的收敛速度,也可以减小网络中广播的路由信息的大小;
在公有地址有保证的前提下,尽量使用公有地址,主要包括设备loopback地址、设备间互连地址。
充分合理利用已申请的地址空间,提高地址的利用效率。
IP地址规划应该是网络整体规划的一部分,即IP地址规划要和网络层次规划、路由协议规划、流量规划等结合起来考虑。
IP地址的规划应尽可能和网络层次相对应,应该是自顶向下的一种规划。
3.5VLAN规划
3.51划分VLAN的必要性
VLAN是建立在各种交换技术基础之上的。
所谓交换实质上只是物理网络上的一个控制点,它由软件进行管理,所以允许用户利用软件功能灵活地配置资源,管理网络。
利用交换设备中的虚网功能,不必改变网络的物理基础,即可重新配置网络。
采用虚网功能,网络性能可以获得较大的改善:
1、虚网技术能对工作组业务进行过滤,有效地分割通信量,因而能更好地利用带宽,提高网络总的吞吐量。
2、采用虚网技术可以将不同区域的设备组成一个网段而不用更改布线,因为虚网技术是从逻辑角度而非物理角度来划分子网的,所以采用虚网技术能减轻系统的扩容压力,将迁移费用降至最小。
3、采用虚网技术能有效隔离网络设备,增加网络的安全性和保密性。
虚拟网络的安全策略采用的主要协议为IEEE802.1Q,此协议结合有鉴别和加密技术以确保整个网络内部数据的保密性和完整性。
4、虚网技术能对属于同一工作组的用户提供广播服务,但与传统的局域网协议所不同的是,虚拟局域网能限制广播的区域,从而节省网络带宽。
5、虚拟局域网可以建立在不同的物理网络上,用封装的办法支法支持不同的网络协议络协议,如SNMP、NMP、IPX、TCP//IP、IEEE802.33等,兼容性非常好。
3.52VLAN划分说明:
按照体育馆的业务要求,合理地对不同的业务划分VLAN,有利于业务之间的的隔离、缩小广播域、并对IP地址规划和QoS、安全设计等有直接的支持作用。
划分原则:
把功能(应用)相近的设备群组(端口)划分到同一VLAN,将不同性质的设备(端口)划分到不同VLAN。
各VLAN成员之间不能直接访问,不同VLAN之间的流量必须经过路由。
在办公网现有规划的基础上,进行VLAN的设计及划分,如下:
赛事专网:
VLAN10;
技术部门:
VLAN11;
办公新闻官员服务:
VLAN12;
第四章.网络安全方案建议
随着计算机网络的广泛使用和网络之间信息传输量的急剧增长,一些机构和部门在得益于网络加快业务运作的同时,其上网的数据也遭到了不同程度的破坏,或被删除或被复制或被篡改和窃取,数据的安全性和自身的利益受到了严重的威胁。
无论是有意的攻击,还是无意的误操作,都将会给系统带来不可估量的损失。
攻击者可以窃听网络上的信息,窃取用户的口令、数据库的信息;还可以篡改数据库内容,伪造用户身份,否认自己的签名。
更有甚者,攻击者可以删除数据库内容,摧毁网络节点,释放计算机病毒等等。
黑客的威胁见诸报道的已经屡见不鲜,像不久前的中美黑客大战就曾轰动一时。
内部工作人员的不小心甚至充当间谍,据统计分析,70%的安全问题来自于内部。
内部工作人员能较多地接触内部信息,工作中的任何有意行为或者不小心都可能给信息安全带来危险。
这些都使信息安全问题越来越复杂。
在国家奥林匹克体育中心局域网中运行着各种管理业务系统,存储数据涉及核心秘密的信息,若网络系统被非法攻击将会直接影响地下商业的各个企业业务并造成损失,其影响是难以估量的。
综上所述,在国家奥林匹克体育中心局域网必须有足够强的安全措施。
无论是在局域网还是在Internet出口处,网络的安全措施都应能全方位地应付各种不同的安全威胁和系统脆弱性,这样才能确保网络信息的保密性、完整性和可用性。
4.1网络安全技术概述
网络安全技术包括:
防火墙,身份认证,入侵检测和漏洞扫描,VPN安全通道,安全策略管理和防病毒。
1、防火墙技术,一般用于内部网络和外部网络交界处的安全,主要包括因特网出口处以及内部单位之间的安全,Internet出口处的安全措施一般采取加防火墙的方法,实施地址转换,隐藏内部网络结构,限制外部用户访问内部网络的权限和可到达的区域等,防火墙目前包括硬件防火墙和软件防火墙2种,由于硬件防火墙的高性能和更好的安全性,目前被更加广泛的使用,新型的防火墙具有的透明防火墙功能更多的被用于内部网络之间进行访问控制,提高网络的安全性和可管理性。
2、身份认证,包括用户身份鉴别、用户访问权限授权、用户访问资源计帐。
3、漏洞扫描,检查安全基础设施的有效性,包括新系统安装检查,发现恶意入侵行为的措施等。
安全扫描工具主要用于主动的发现内部网络上所有设备存在的安全漏洞,可以提示用户进行相应的措施加以解决。
4、安全通道,指数据的保密性,涉及数据在传输过程特别是在公网信道上不被窃取,保证数据的目标用户可以容易解读加密的数据。
包括有硬件信道加密以及二层VPN、三层VPN等技术。
5、防病毒,当今计算机电脑病毒对用户网络、计算机、重要资料造成的损害越来越大,而且传播途径多种多样,必须建立网络病毒检测、预防和治理相结合的完善防病毒体系。
6、安全策略,主要由用户根据网络内部不同部分的重要性的差别,以及功能差别等因素,定制处不同的安全策略,包括Internet网络用户对内部网络的访问以及内部用户的不同的访问权限等,安全策略的制定将直接影响到网络的安全性能。
4.2防火墙解决方案
在国家奥林匹克体育中心局域网系统中,在Internet出口处使用硬件防火墙,更好的完成对内部网络的安全防护功能。
随着Internet的越来越普及,应用的越广泛,病毒的危害也越来越大。
总是不停的有新的病毒出现,并造成破坏,人们特别是系统管理员的工作量也越来越大,因此,如何构筑一个更加有效的防病毒体制,成为了一个企业不得不去面对的问题。
防火墙的主要功能都使用包过滤、网络地址转换、代理服务三个基本方法。
包过滤功能拒绝接受从未授权的主机发送的TCP/IP包,并拒绝接受使用未授权服务的连接请求。
网络地址转换翻译内部主机的IP地址而使外部监视器无法探测它们。
代理服务代表内部主机进行高层应用连接,完全中断内部主机与外部主机的网络层连接。
大多数防火墙还执行加密的身份认证和加密通道两个重要的安全服务。
加密的身份认证允许公共网络上的用户从外部网络为获得专用网络的访问权证实他们的身份。
通过公共网络(如Internet)为两个专用网络之间建立一个安全的加密通道来进行通信。
由于内部网络要和外部网络发生业务联系,又要保证网络的安全性,故在内部网络和INTERNET出口路由器之间设置华三公司的硬件防火墙H3C®SecPathF1000-S来保证网络内系统的安全。
H3C®SecPathF1000-S提供完善的安全特性,如包过滤防火墙、状态防火墙、验证、加密等功能和完善的VPN服务。
1)、NAT特性
通过防火墙的NAT/PAT则可以用来实现私有网络地址与公有网络地址之间的转换。
地址转换的优点在于屏蔽了内部网络的实际地址,外部网络基本不可能穿过地址转换层直接访问国家奥林匹克体育中心局域网。
地址转换能够将网内服务器发出的报文的源地址全部映射成一个外部地址。
地址转换使网内用户通过路由器访问Internet的同时保证网络内部的安全性。
2)、包过滤防火墙特性
H3C®SecPathF1000-S提供完善的包过滤防火墙特性:
A、可以根据IP包的目的地址、源地址,TCP/UDP的目的端口、源端口,ICMP报文的类型、Code等信息进行包过滤。
B、可以针对分片报文指定专门的过滤规则。
C、可以针对分片报文进行精确的四层匹配。
D、可以对违反规则的报文做日志。
E、配置ACL安全规则的时候,可以提供自动排序或者按照配置顺序排序两种规则排序方式,极大的方便了用户配置安全规则。
F、可以根据收到报文的接口进行包过滤,例如可以禁止从Eth0接口进入的报文从Eth1接口转发。
G、黑名单过滤恶意主机
为了更快捷地发现并屏蔽某些恶意主机的攻击行为,H3C®SecPathF1000-S系列防火墙提供主动防御措施(即动态、手工两种方式维护黑名单列表),将某些报文源IP地址记录在黑名单中,从而实现高速的报文过滤。
H、防范假冒IP地址
H3C®SecPathF1000-S系列防火墙根据用户配置,将MAC和IP地址的绑定并形成关联关系,从而过滤IP地址和MAC地址不匹配的报文,从而有效避免IP地址假冒攻击的行为。
3)、应用层状态检测
传统的包过滤技术虽然简单,但缺乏一定的灵活性,对类似于FTP这样的多通道应用来说,配置包过滤是困难的;FTP应用包含一个预知端口的TCP控制通道和一个动态协商的TCP数据通道,配置安全策略时无法预知数据通道的端口号,因此无法确定数据通道的入口。
H3C®SecPathF1000-S系列防火墙提供的ASPF(ApplicationSpecificPacketFilter,基于应用层规范的包过滤)特性可以解决这个问题。
ASPF是一种高级通信过滤,它检测基于TCP和UDP应用的报文应用层信息,监控每一个连接的应用层协议状态,并动态地根据报文的内容创建和删除临时的ACL表项。
每一个连接状态信息都将被ASPF维护并用于动态地决定数据包是否被允许通过防火墙或丢弃,可以保证所有建立的连接都是合法连接,防止地址欺骗、身份伪造等恶意攻击行为。
H3C®SecPathF1000-S的ASPF特性还可以检测基于TCPSYN的DoS攻击;由于ASPF维护并记录每一个TCP连接状态,因此根据TCPSYN状态的数目及速率等方式(是否超过一个预定的阈值)来判定系统是否正在遭受DoS攻击,从而可以防止DoS攻击。
目前提供如下检测:
标准TCP、UDP报文检测
分片报文检测
FTP协议数据通道和协议状态检测
SMTP协议状态检测
RTSP(RealTimeStreamingProtocol)协议媒体通道和协议状态检测
H.323协议多通道和协议状态检测
HTTP协议状态检测
JavaBlocking保护和ActiveXBlocking保护
Java小程序由Internet浏览器进行解释并在客户端执行,因此它把安全风险直接从服务器端转移到了客户端。
H3C®SecPathF1000-S系列防火墙通过在两个区域之间对较高安全级别的区域实施JavaBlocking保护,确保网络传输(通过HTTP方式传送的Java信息)不受有害Javaapplets的破坏。
同样,H3C®SecPathF1000-S系列防火墙也能有效实施ActiveXBlocking保护,从而避免ActiveX控件给Internet浏览器端造成安全威胁。
端口到应用的映射:
由于所有应用层协议都使用一些系统预定义的(知名)端口号通信,为了防范恶意用户进行端口
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- XX 体育中心 网络安全 系统