小型企业网络安全解决方案

前言：想要写出一篇令人眼前一亮的文章吗？我们特意为您整理了5篇小型企业网络安全解决方案范文，相信会为您的写作带来帮助，发现更多的写作思路和灵感。

小型企业网络安全解决方案范文第1篇

在计算机网络飞速发展的今天，网络营销，电子商务等快速进入企业业务活动中，企业总部、企业地方分支机构、移动出差人员，充分利用Internet的公共资源及便利条件，通过VPN（Virtual Private Network，虚拟专用网）技术它们连接在一起，形成一个跨地域更大的网络，方便企业用户、分支机构及合作伙伴随时随地的接入并访问企业网络，与企业总部网络进行数据信息安全传输与交流，不但给企业带来数字化时代，方便信息交流与企业的管理，而且也给企业带来不菲的经济效益，与此同时，也给企业网带来了安全隐患，数据信息如何跨越公共网络的复杂环境进行安全的远程传输成为关键。对于中小型企业资金相对比较贫乏，技术力量薄弱这种情况，研究经济实用的远程数据信息安全性传输就显得非常重要。

2 中小型企业网络现状及需求

国有大中型企业是我国的经济支柱，中小企业是我国经济组成的重要组成部分，我国中小型企业众多，对计算机网络技术应用比较简单，没有很好的利用Internet的优势，实现企业经济的腾飞及壮大。中小型企业网络主要应用是日常办公，数据处理，属于“单机版”类型，或者企业分支机构与总部就是简单通过电子邮件，或者qq进行企业数据信息传输，这样安全保密性太差。主要原因是：

1） 中小型企业资金比较贫乏，没有更多的资金来购买成熟网络安全产品，而且成熟的网络安全产品价格一般比较昂贵，主要面向大型企业。中小型企业分布广，业务灵活，经济实惠的远程数据安全传输解决方案甚少，而且技术复杂，维护较难，不能满足中小企业的需要。

2） 中小型企业技术力量薄弱，没有专业的网络技术人员，一般是企业年轻的懂点计算机的员工兼职网络管理，与专业网络管理员还有一定的差距。

3） 中小型企业网络基本属于一个“信息孤岛”，与外界进行数据通信不能做到安全可靠传输，不能确保数据信息不泄露、不丢失、不被篡改等，影响企业的快速发展。

3） 中小型企业领导重视网络建设还不够，网络建设相对比较简单，根据中小型企业目前对网络的需要及依赖，进行简单网络建设，没有长远的网络建设规划，致使企业在壮大的过程中，网络建设不能快步跟上，往往被忽视。中小企业网络由于资金贫乏，技术力量不足等原因，在建设的初期就还可能留下许多漏洞与不足，这样更容易被黑客攻击。

4） 中小型企业用户不能进行远程数据信息的安全可靠传输，企业员工，或者领导外地出差，或者分支机构的网络，就不能访问企业网络，不能远程进行办公，远程快速的进行事务处理。

5） 中小型企业与合作伙伴之间没有利用互联网的优势，在它们之间没有建立一个企业扩展网络，导致数据信息的安全交流和企业的密切合作收到影响。

在复杂的网络环境下，解决中小型企业的远程数据信息安全可靠的传输就变得越来越重要了，还需考虑方案的经济实用，维护简单容易。对于中小企业网络中传输的重要数据信息，如财务报表等，必须保证数据信息完整性、可用性和机密性。完整性是数据信息在传输或存储过程中保证没有被修改，没有被破坏，没有被丢失等；可用性是数据信息可被授权实体访问，并按需求使用的特性，即指定用户访问指定数据资源；机密性是保证数据信息网络传输保密性和数据存储的保密性，数据信息不会泄露给非授权的用户、实体或过程。确保只有授权用户才可以访问指定数据资源，其他人限制对数据信息的读写等操作。

3 经济实用安全方案

从中小型企业网络现状及需求，利用VPN技术跨越Internet组建中小企业扩展网络，保证远程移动用户、企业分支机构和企业合作伙伴之间安全可靠的进行远程数据信息传输。通过实践实验，研究出经济实用，安全可靠，配置和维护比较容易的中小型企业网络安全性解决方案，如图1所示。VPN服务器也称为VPN网关，可以使用高性能的计算机来担当，并且安装两块网络适配器，一块网络适配器用于连接中小型企业内部网络，分配内网IP地址，另一块网络适配器连接外部网络，分配外网IP地址。VPN服务器是内网和外网连接的必经之路，服务于内外两个网络，也是内网的安全屏障，相当于中小型企业的防火墙，它可以完成对访问企业网络的用户进行身份认证、数据进行加密解密处理、密钥交换等。VPN服务器安装Windows Server 2003操作系统，充分利用公共网络Internet的资源，通过VPN技术，实现中小企业远程数据信息传输的安全性、完整性，可用性和保密性。

3.1 IPSec VPN保证数据信息远程安全传输

1） VPN技术

VPN又称虚拟专用网，是在公共网络中建立专用网络，数据信息通过建立的虚拟加密“安全隧道”在公共网络上进行传输，即充分利用公共网络如Internet的资源，达到公网“私用”的效果。中小企业只需接入Internet，就可以实现全国各地分支机构，甚至全世界各地的分支机构，都可以随时随地的访问企业网络，实现远程数据信息的安全可靠传输。而且VPN具有节省成本、配置相对简单、提供远程访问、扩展性较强、便于管理维护、实现全面控制等好处，是企业网络发展的趋势。

2） IPSec协议

IPSec是一个开放的应用范围广泛的网络层VPN协议标准，是一套安全系统，包括安全协议选择、安全算法、确定服务所使用的密钥等服务，在网络层为IP协议提供安全的保障，即IPSec可有效保护IP数据报的安全，如数据源验证、完整性校验、数据内容加密解密和防重演保护等。保证企业网络用户的身份验证，保证经过网络传输过程中数据信息完整性检查，加密IP地址及数据信息保证其私有性和安全性。

3） 基于IPSec的VPN技术

基于IPSec的VPN技术解决了在Internet复杂的公网上所面临的开放性及不安全因素的威胁，实现在不信任公共网络中，通过虚拟“安全隧道”进行数据信息的安全传输。IPSec协议应用于OSI参考模型的第三层网络层，基于TCP/IP的所有应用都要通过IP层，将数据封装成一个IP数据包后再进行传输，所有要实现对上层网络应用软件的全透明控制，即同时对上层多种应用提供安全网络服务，只需要在网络层上采用VPN技术，基于IPSec的VPN技术提供了5种安全机制，即隧道技术、加密解密技术、密钥管理技术、身份验证技术和防重演保护技术，通过基于IPSe c的VPN技术，来保证传输数据的安全性、可用性、完整性和保密性[1]。

（1）隧道技术，隧道也可称为通道，是在公用网中建立一条虚拟加密通道，让数据包或者数据帧通过这条隧道安全传输。使用虚拟“安全隧道”传递的数据可以是不同协议的数据帧或数据包。“隧道”协议分为二、三层隧道协议，第二层隧道协议先把各种网络协议封装到PPP中，再把整个数据帧装入到隧道协议中。这种双层封装方法形成的数据帧依靠第二层协议来传输，第二层协议包括PPTP、L2TP等。第三层隧道协议是把各种网络协议直接装入到隧道协议中，形成的数据包依靠第三层协议进行传输。第三层协议有GRE、IPSec等。这里使用IPSec中的ESP（Encapsulated Security Payload）和AH（Authentication Header）子协议保护IP数据包和IP数据首部不被第三方侵入，在两个网络之间建立一个虚拟“安全隧道” 用于数据信息的安全传输。授权用户，通过IPSec安全策略的配置实现对网络安全通信的保护意图，其安全策略包括什么时候什么地方对AH和ESP保护，保护什么样的通信数据，什么时候什么地方进行密钥及保护强度的协商。IPSec通过认证和钥匙交换机制确保中小型网络与其分支机构网络或合作伙伴进行既安全又保密的信息传输。在计算机上装有IPSec的终端用户可以通过拨入ISP的方式获得对公司网络的安全访问。

（2）加密解密技术，是为了保障虚拟“安全隧道”的安全可靠性，提供了非常成熟的加密算法和解密算法，如3DES、DES、AES等，抵抗不法分子修改或截取数据信息的能力，同时保证必须使偷听者不能破解或解密拦截到的的数据信息，但是授权用户可以通过解密技术，完整的访问数据资源。

（3）身份认证技术是通过对企业分支用户或远程用户进行身份进行验证，提供安全防护措施与访问控制，包括对VPN“安全隧道”访问控制的功能，有效的抵抗黑客通过VPN通道攻击中小型企业网络的能力。通过VPN服务器对授权用户的身份及权限的验证，严格控制授权的用户访问资源的权限。在每个VPN服务器上为远端用户的身份验证凭据添加用户信息，包括用户名及密码，并且配置了用户名与呼叫用户所使用的用户名称相同的请求拨号接口。

（4）密钥交换技术，为了防止密钥在Internet复杂的公网上传输过程中而不被窃取。提供密钥中心管理服务器，现行的密钥管理技术分为SKIP和ISAKMP/OAKLEY两种。VPN技术能够生成并更新客户端和服务器的加密密钥和密钥的分发，实现动态密钥管理。如果采用L2TP/IPSec模式的站点到站点VPN连接，还需要在每个VPN服务器上同时安装客户端身份验证证书和服务器身份验证证书；如果不安装证书，则需要配置预共享的IPSec密钥。

（5）防重演保护。具备防止数据重演的功能，而且保证通道不能被重演。确保每个IP包的合法性和惟一性，保证信息万一被截取复制后，或者攻击者截取破译信息后，再用相同的信息包获取非法访问权，确保数据信息不会被重新利用、重新传回目标网络，

3.2其他辅助安全措施

对VPN服务器，还可以启动软件防火墙功能，如安全访问策略、日志监控等功能，还可以安装杀毒软件，为内网提供安全屏障，再次增加网络安全可靠性能。软件防火墙通过设置的包过滤规则，分析IP数据报、TCP报文段、UDP报文段等，决定数据包是被阻止，还是继续转发，从网络层和传输层上再次给予安全控制，提供了多层次安全保障体系。还可以增加应用层的过滤规则配置，再次提升VPN服务器安全性。

4 实践应用分析

通过实践应用，跨越Internet的中小型企业网络安全解决方案分别从网络层、传输层和应用层三个层次上给予安全保障，该方案充分利用VPN的“公网专用”的特点，允许中小型企业拥有一个世界范围的专用网络，在公用网中开辟虚拟“安全隧道”来保证远程数据信息传输的可靠性和安全性；通过辅助的防火墙功能，进一步增加其安全。该方案使用高性能的PC充当VPN服务器，并配以Windows Server 2003操作系统，无需额外的复杂硬件设备与高昂的系统软件，成本低、经济实用、容易实现、维护简单，是中小型企业网络扩展不错的选择方案。VPN服务器不但具备VPN技术的功能外，还是一个中小企业的防火墙，安全配置、安全策略容易实现，一旦出现较大安全威胁，便于快速隔离网络。

当然此方案也存在一些缺陷，主要是有依赖操作系统的安全性，操作系统本身的漏洞可能会造成安全隐患；VPN服务器是集多种服务于一体，需要较高高性能的计算机；VPN服务器故障会导致网络连接失效；由软件实现数据加密与解密、包过滤等，一定程度会占用系统资源，也会使通信效率略有降低；同时重注企业内部员工的安全培训，有效地抑制社会学的攻击，对来自企业内部员工的攻击显得无能为力。

5 结束语

跨越Internet的中小型企业网络安全技术方案比较经济、实用、安全、配置简单，为中小企业打造一个世界范围的网络提供了较有力的技术支持，使得中小企业网络也融入到互联网这个“大家庭”中，不仅提高了中小型企业的工作效率，而且增强了其竞争力，将推动中小型企业电子商务，电子贸易，网络营销走向繁荣，加快了中小企业网络信息化和经济快速发展的步伐。

参考文献：

[1] 郝春雷， 郑阳平.中小型企业敏感分支网络安全解决方案[J].商业时代，2007，（21）：45.

[2] 阿楠. VPN虚拟专用网的安全[J].互联网天地，2007，（7）：46-47.

[3] 李春泉，周德俭，吴兆华. VPN技术及其在企业网络安全技术中的应用[J]. 桂林工学院学报，2004，3：365-368.

[4] 韩儒博，邬钧霆，徐孟春.虚拟专用网络及其隧道实现技术[J]. 微计算机信息，2005，14：1-3.

小型企业网络安全解决方案范文第2篇

当今的社会是一个数字化、信息化、地球化的社会，网络时代已经到来，人们的生活、工作、购物、学习、办公等都已经离不开网络。对于现代的企业，已经开始实行无纸办公，公司之间的联系、企业伙伴间的合作、公司外出人员与本部之间的联系等等这些都离不开网络。版权所有

在信息化浪潮方兴未艾的今天，企业内部的网络已经成为提升核心竞争力的关键因素。所有的企业，无论其规模大小,都会面临新的机遇和挑战。在市场经济的条件下，企业应用网络技术，其目的就是为了在提高企业运作效率的基础上，最终增加经济效益和增强竞争能力。在瞬息万变的市场上，网络应用可以帮助企业决策者运筹帷幄，充分利用各种信息资源，优化企业资源配置，网络扩大了各个产业的市场空间，减少了传统商务流程的环节，极大地提高了劳动生产率。置身于网络经济时代，任何企业，无论其规模大小，都必须适应新的潮流。

网络不仅是一种高深的科技，而且成为人们必不可少的工具。企业上网大大提高了企业运作效益，降低了企业成本。应该看到，企业在经营发展过程中，除了内部的运转管理外，还有大量的外部业务活动，包括与合作伙伴，上、下游企业，客户甚至竞争对手的各式各样的业务往来。过去这些业务活动多半是通过电话、传真、信件等传统通信方式辅助进行，而在因特网出现后的今天，这些业务活动几乎无一例外地正在转移到因特网上，并且这种转变的速度和程度都是非常惊人的。也就是说，过去传统意义上的企业内外部经营活动包括业务信息沟通，订货订单处理，库存物流管理，客户服务，批发或零售等等已经全部可以在因特网上实现了。所有这些应用都可以称之为企业上网，又被业界称为电子商务应用，它被认为是21世纪企业的必由之路。

二、行业分析

（一）企业上网的紧迫性

对于中国的企业来说，企业网的来临可谓恰逢其时。随着中国向混合市场经济的加速发展，中国各行各业的公司企业都在积极准备迎接国内外市场中日益激烈的竞争形势。这些公司深知：如果想在这个白热化的市场竞争中获得成功，就必须最大限度地提高企业生产力和降低生产成本。因此，各大企业都迫切需要建立自己的信息技术基础设施，以便将分散在各地的业务部门联系在一起并加快整个企业内部的信息交流和服务速度，从而加强自己在市场中的竞争优势。

（二）、企业上网的需求

企业网络信息系统建设应该以用户的需求为着眼点。目前，随着网络技术的飞速发展和应用水平的逐步提高，企业用户的需求，主要体现为：

（1）先进性，要求网络采用先进的技术，以保证整个企业网络系统在技术上的先进性；

（2）稳定性与可靠性，要求网络高度稳定、可靠，这是网络建设成功的关键，而高度稳定、可靠的网络系统有利于维护和管理，可减少网络系统的拥有成本；

（3）高性能，要求网络系统具有高性能，以满足计算机网络系统运行大量关键业务（如项目设计、项目管理、cad、oa、mis、erp及多媒体应用等）的需要；

（4）vlan划分的灵活性，因为网络系统站点数和运行的应用都在增多，所以要求网络平台具有灵活的虚网（vlan）划分能力；

（5）由于网络系统可能要传输多媒体信息，因此要求网络平台具有良好的服务质量和较小的延迟；

（6）要求网络平台具有良好的易管理性，减少运行、维护及管理成本；

（7）要求选择具有良好发展前景的网络厂商的产品，这样才能保证平台具有良好的售后服务、投资保护，更为关键的是能够保证网络系统持久的先进性。

三、企业网络主干技术选择：

企业局域网络技术的选择主要是主干技术的选择，现今适合作局域网络主干技术的主要有千兆以太网及atm两种。

千兆以太网是网络界公认的技术发展方向之一，它是对成功的10mbps和100mbpsieee802.3以太网标准的扩展，仍然沿用以太网ieee802.3帧格式，全双工操作和流控制方法。在半双工模式下，千兆以太网使用同样的csma/cd访问方法来解决媒体的通信竞争问题，并使用由ieee802.3小组定义的同样的管理对象。概括起来，千兆以太网的优点在于：网络技术可靠，易于管理，具有可伸缩性，且它相对于atm的价格水平要低得多；缺点为部分标准不统一。

atm规定各种类型的服务（声音、图像、数据）信息都由大小固定的53字节的信元进行传输。atm优点为：支持线路交换和分组交换；对广域网和局域网采用相同的技术；在普通线路上同时传输视频、语音和数据；对多种业务可保证服务质量，按需分配带宽。缺点为：管理和维护复杂；基于atm的应用较少；atm产品相对于以太网产品价格昂贵；部分标准不统一。

千兆以太网能与桌面的以太网和快速以太网无缝衔接，因为他们采用的协议是相同的。atm网络与以太网共存时，需在帧和信元之间进行转换。在企业园区网，90％的应用都是基于以太网或快速以太网的，千兆以太网以其从以太网及快速以太网升级方便、易管理和低廉的价格使atm举步维艰，atm的传统优势如传输多媒体和传输的距离长也日渐逊色。千兆以太网支持资源预留协议（rsvp）、ieee802.3、ieee802.1q、ipprecedence、独立组播路由协议（pim）、国际互联网成组管理协议（igmp）等，这就使得千兆以太网传输多媒体成为可能，已有厂家的千兆以太网产品传输距离超过100公里。因此建议，企业园区网在主要传输数据的情况下，应选择千兆以太网作主干技术。

四、企业网络构架的基本方案

企业网中大部分是中小企业，中小型企业最大的特点是小规模与高效率的结合。他们往往不拥有完备的信息技术部门，但是网络应用对他们同样关键。因此，中小企业需要量身定做的解决方案。面对这一情况，上海广电应确信公司针对不同规模企业，推出了一系列解决方案，以帮助中小企业提升其竞争力。

4．1基本网络方案简述

根据企业网站可提供的内容和它的实际应用情况，企业上网可分为两部分，一部分是实现各企业部门内部办公功能的内部网，即intranet。另一部分是各企业部门网站在internet上信息与交流的外部网。

一旦企业建立了intranet，就可用它来信息、增强企业的通信能力、建立合作的环境。有些应用很简单，只是用html语言建立内部的环球网服务器信息；有些应用较复杂，需要连接数据库。下面列出一些intranet的应用：销售报告、财务报告、客户信息、季度统计、厂商信息、产品信息、市场信息小册子、产品开发信息、物资和元部件目录、仓库信息、网络管理、资产管理、新闻组、电子邮件、培训。

4．2具体方案实施：

按照网络的规模可具体划分为以下几个方案：

（1）小型企业信息系统方案：通常指在20－30个工作站以内的小型办公室(办公环境较集中)网络环境的方案。

（2）中型企业信息系统方案：即指在30个工作站以上的中型办公园区（办公环境较分散，距离教远）网络环境的方案。

（3）大型企业信息系统方案：即指在超过几百个工作站以上的大型办公园区并有外地分支机构网络环境的方案。

4.2.1小型企业信息系统方案

小企业办公室网络，相对于大、中型企业网络，可以说是麻雀虽小，五脏俱全，同样有着文件共享、打印共享、电子邮件、财务管理、库房管理、web等大型网络所具有的需求。

由于小型企业网络站点数较少，而且联网的站点较集中（例如，在一幢楼内）。因此，结构化布线时就可以只采用双绞线就足够了，每个站点（计算机）与集线器或交换机之间的距离不能超过100米。

方案说明

网络配置：中心选用infiniteswitch5024机架型快速以太网交换机(24口10/100m自适应以太网交换机)，采用10/100m自适应端口连接服务器及工作站。针对小型企业用户我们推出桌面型硬件安全设备isp1102，嵌入式的硬件安全架构，使其性价比很高。简单配置的防火墙安全规则，方便客户应用。同时可以作为dhcp服务器，具有本地路由器功能，支持以太网方式/cablemodem/adsl等方式接入internet，方便的实现共享上网。

方案特点：

(1)性价比高；在方案中，没有使用很多高端的设备，但已经完全可以满足小型企业网络的需求。

（2）功能齐全；提供了文件共享、打印共享、电子邮件、电子公告、库房管理、远程办公、工资管理、财务分析、采购管理、资金管理、库存管理、销售管理等较齐全的功能，很适合于小型企业网络环境。

（3）安全性高；采用infiniteswitch5024智能以太网交换机交换机，可以将单一的局域网划分为多个相对独立、互不干扰的vlan（虚拟子网），可以方便地控制不同部门对某些资源的访问权限，并能够缩小广播域，减少不必要的带宽占用，有效提高网络的安全性和性能。isp1102通过ip过滤提供防火墙功能。可以对ip地址、端口号、协议种类等进行设置并加以控制。

5.2.2中型企业信息系统方案

由于中型企业办公环境较分散，距离教远，对网络的性能要求较高（数据交换的安全性，设备运行的可靠性，网络管理的全面性），对网络的速度亦有提高。同时，每个网段最长只能100米的有效距离的双绞线传输介质已经不能满足中型企业网络的使用需求，有时必须使用多模光纤或单模光纤做为布线时所采用的传输线缆，使得有效传输距离能够延伸至2公里（多模光纤）或更远（单模光纤）。

方案说明

中心选用infiniteswitch5000系列交换机，根据用户数量及功能要求选用is5048/5024/5024s+.为了保护企业内部网络的安全，在接入internet时采用上海广电应确信的防火墙isp91*，可以防止来自外部的非法的、恶意的攻击。

由于中型企业办公环境较分散，距离教远，则在中心交换机上配置100base-f或1000base-l/s光纤模块.企业内部采用svaisp91*通过ddn、framerlay、.25等广域网专线接入internet，提供安全、快捷、简便的企业外部网站方案。isp91*适用于中小型企业用户，利用checkpoint软件及其opsec合作伙伴构成顶级配置，为用户提供一个完整的网络安全解决方案。

应用二：

方案说明

对于一个中型企业，如果公司内部有较多的部门，位置比较分散，而且相互之间要独立的工作，对于用户的访问权限可以限制（如要求划分vlan）,所有的部门通过公司的网络中心的一台三层交换机来接入internet，采用svahammerhead9300/9500/9800来对进行对网络的安全进行保护。对于一些移动用户可以采用无线接入设备(2020/1011/1001)来连入企业内部网及上internet.

在公司的各个部门中采用的交换机均支持vlan的划分，根据每个部门的规划及距离网络中心的远近采用100mutp或者100/1000m光纤接入。随着员工数的增多，可以利用5024s/5024s+堆叠来扩展网络，5024s/5024s+最多分别可堆叠至4台/16台，因此网络有很好的扩展性及可管理性。

接入internet可以采用多种方式,通过pstn/isdn/ddn线路等多种方式，用户可能根据需要来实现企业网接入公用网。

中型企业方案特点：

（1）较充分发挥了internet/intranet应用的特性

除了传统的文件共享、打印共享等功能外，电子邮件、web、电子公告、库房管理、远程办公等功能都是基于internet/intranet应用实现的。使得整个网络系统充分发挥了internet/intranet应用的跨平台、与硬件无关、标准统一等特点，使得中小型企业可以与外界透明地通讯。

（2）维护小、投入少

中型企业网络系统使用了较少的高端产品，投入少而功能齐。由于使用了internet/intranet结构构造中小办公室网络系统，使得网络结构更加client/server化，作为网络的管理维护，只需对server端进行维护工作，对client的维护工作大大减少，所以总体上也就大大减少了维护工作量，并节省了投资。

（4）提高工作效率、节省开支。

在此方案中，提供了电子邮件、电子公告、web等实用、快捷的功能，大大提高了企业的办公效率。同时提供了网络内用户对internet的透明访问，使企业内部可以充分利用internet这个巨大的信息资源，更加提高了企业的办公效率和资源利用。

5.2.3大型企业信息系统方案

大型企业办公环境即指在超过几百个工作站以上的大型办公园区并有外地分支机构网络环境。对网络的性能要求很高，同时对网络的速度亦有很高的要求。大型企业网支持各种网络功能，能够通过广域网接口实现internet接入，建立企业主页，为园区用户提供e-mail电子邮件、www、ftp服务，同时支持网络管理和电子信息的存储、访问管理。推荐采用局域网专线接入方式，此方式需要配备接入路由器,防火墙等网络设备，租用电信部门的专线并向cernet管理部门申请ip地址及注册域名。接入路由器可以通过ddn专线、framerelay等与internet相连。还可以按照需要组合配置多种wan广域网端口模块，提供宽带、qos保证的远程多媒体服务。为了保证企业网的安全，方案中提供svahammerhead9000安全平台，svahammerhead9000系列是业界唯一模块化网络安全平台和应用系统，在单一的设备上集成了路由、防火墙、入侵检测、vpn、lan连接和其他安全应用，为用户提供可扩容及可靠的网络安全整体解决方案。

在布线上，除了采用多模或单模光纤之外，甚至还需要从电信部门租用ddn、帧中继、.25、isdn等专线，或者利用无线微波方式进行远距离连接。版权所有

方案说明

在网络中心选择上海广电应确信的infiniteswitch7508三层交换机和5024交换机。在各分部门或者分公司根据信息点数选择infiniteswitch4000/5000系列交换机。

在网络中心的核心层配置的infiniteswitch7508g第三层交换机，可完成高带宽、大容量网络层路由交换功能交换，是一种功能强大的企业网主干交换机，使网络管理者能方便的监督和管理网络，同时，又能将主干网带宽提升到千兆速度，infiniteswitch7000/7500系列是可网管的，高端口密度，配置灵活的高性能路由交换机。提供7个扩展插槽，22g交换背板上。网络管理员能够随时通过任意一个端口配置以上功能，以消除传统路由器的瓶颈，设置优先级给不同类型的网络传输及保证某些应用的流量带宽，如视频传输。

infiniteswitch7508g提供了广泛的管理选择，包括hpopenview和其他的snmp管理系统，或者infiniteswitch7508g自己提供的网络管理系统。infiniteswitch7508g提供到与infiniteswitch4000/5000系列以太网交换机、防火墙和服务器群（其中包括主域服务器、备份域服务器、文件服务器、数据库服务器、应用服务器、www服务器等）、网管终端的高速连接，重要的服务器及主干链路均可采用千兆模块进行生成树（spanningtree）冗余链路连接。

接入层交换机，在本方案设计中，为了保证网络的高性能，可采用infiniteswitch4000/5000系列智能以太网交换机，根据具体实际需求，接入层交换机可选用infiniteswitch4024/4032/5024/5024s/5048交换机。

在方案中的防火墙，选用svahammerhead9300.hammerhead9300是3插槽机箱式的安全平台，用户可以根据需求选择服务器、交换机、路由器等模块。svahammerhead9000的多种应用模块能支持linu,hp/u,bsduni,windowsnt和sunsolaris等系统，它能为用户提供防火墙保护、入侵侦测、身份认证、安全报告、内容安全、高可靠性。svahammerhead9000的有多种网络模块，它可支持多种的lan/wan互连，包括：frame、isdn、atm、以太网。实现完整的一体化的网络安全解决方案。

方案特点：

1、高性能；网络中采用了第三层交换机，第三层交换不仅拥有高速的交换功能，同时也具有全部的第三层控制功能，可以对流量基于ip地址、ip的协议类型、以及tcp/udp的端口进行交换控制，从而在提高网络处理效率的同时，保障了vlan之间通讯的安全性。

2、可扩展性；网络设计具有层次结构，用户能灵活地接入到相应的层次当中。可扩展的网络接口。

3、灵活性；适当的建立vlan，方便地理位置不同的用户的网络连接.

4、安全性；vlan的建立，可以控制广播和应用的信息流动，从而防止用户非法在网络上截获其它用户或它们的资源。hammerhead9000网络安全产品保护企业内部资源，防止外部入侵，控制和监督外部用户对企业内部网的访问；控制、监督和管理企业内部对外部internet的访问。

5、层次化、模块化；本网络设计的特点为层次化、模块化设计。

6、优良的性价比

六、总结

小型企业网络安全解决方案范文第3篇

关键词：等级保护分级管理；中小型网络；安全建设

中图分类号：TP309文献标识码：A文章编号：1007-9599 (2011) 24-0000-01

SMs Network Security Building Analysis in Level Protection Hierarchical Management

Xu Aihua,Lv Yun

(Nanjing Institute of Science& Technology Information,Nanjing 210018)

Abstract:This article based on "communications network security management approach"in the basic situation of small and medium sized networks and applications based on the analysis of the characteristics on small and medium sized network construction and management of network security solutions.

Keywords:Level protection classification management;Small network;

Security building

一、工信部关于等级保护分级管理的要求

如何利用等级保护中分级管理制度，确定不同的系统不同的安全策略，消除内部网向公网传送的信息可能被他人窃听或篡改等等安全隐患，对中小网络而言至关重要。为此，自2010年3月1日起，工业和信息化部了《通信网络安全防护管理办法》(以下简称《办法》)开始施行。《办法》要求通信网络运行单位应按照各通信网络单元遭到破坏后可能造成的危害程度，将本单位已正式投入运行的通信网络单元由低到高分别划分为一级、二级、三级、四级、五级。《办法》要求，通信网络运行单位应当在通信网络定级评审通过后三十日内，将通信网络单元的划分和定级情况按照有关规定向电信管理机构备案。电信管理机构对通信网络运行单位开展通信网络安全防护工作的情况进行检查。

二、中小型网络基本情况与应用特点

中小型计算机网络主要应用于办公自动化系统、信息查询系统、邮件服务、财务、人事、计划系统等实际工作和WWW应用中。根据中小型计算机网络的应用特点，需要保证网络中的数据具有可用性、可靠性、保密性、完整性、安全性等。又由于计算机网络跨越公共网络及与Internet网互联，这就给计算机网络带来严峻的安全问题，如敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等。这些安全问题如果得不到解决，那将会给计算机网络带来严重的安全隐患。所谓可用性是指网络信息可被授权用户访问的特性，即网络信息服务在需要时，能够保证授权用户使用。可靠性是指网络系统硬件和软件无故障运行的性能，是网络系统安全最基本的要求；保密性是指网络信息不被泄露的特性，保密性是保证信息即使泄露，非授权用户在有限的时间内也不能识别真正的信息内容；完整性即网络信息在存储和传输过程中不被删除、修改、伪造、乱序、重放和插入等操作，是指网络信息未经授权不能进行改变的特性，也称作不可否认性。从技术角度看，网络安全的内容大体包括四个方面，即：网络实体安全、软件安全网络数据安全和网络安全管理。由此可见，计算机网络安全不仅要保护计算机网络设备安全，还要保护数据安全。因此实施网络安全保护方案，目的是以保证算机网络自身的安全。

三、中小型网络安全解决方案

随着网络威胁越来越普遍、破坏性越来越严重，网络入侵者攻击来源广泛，形式多样。通常采用信息收集、探测分析系统的安全弱点和实施攻击有步骤地进行入侵。如在目标系统安装木马程序用来窥探目标，网络所熟悉的病毒，如红色代码、冲击波，口令蠕虫等对网络造成了巨大损失。本文按照安全风险、需求分析结果、安全目标及安全设计原则，为中小型计算机网络解决网络安全问题，力求构建一个适合于中小型计算机网络的安全体系。

（一）外网安全设计

1.防火墙系统：采用防火墙系统实现对内部网和广域网进行隔离保护。对内部网络中服务器子网通过单独的防火墙设备进行保护。

2.入侵检测系统：采用入侵检测设备，作为防火墙的功能互补，提供对监控网段的攻击的实时报警和积极响应。

3.病毒防护系统：强化病毒防护系统的应用策略和管理策略，增强病毒防护有效性。

4.垃圾邮件过滤系统：过滤邮件，阻止垃圾邮件及病毒邮件的入侵。

（二）内网安全设计

采用访问控制策略，通过密码、口令（不定期修改、定期保存密码与口令）等禁止非授权用户对服务器的访问，以及对办公自动化平台、的访问和管理、用户身份真实性的验证、内部用户访问权限设置、ARP病毒的防御、数据完整、审计记录、防病毒入侵。对内部采用：网络管理软件系统：使网管人员对网络中的实时数据流量情况能够清晰了解。掌握整个网络使用流量的平均标准，定位网络流量的基线，及时发现网络是否出现异常流量并控制带宽。

具体可采用Juniper的整合式安全设备+三层交换机的配置方案。Juniper的整合式安全设备专为互联网网络安全而设，将硬件状态防火墙、虚拟专用网（IP sec VPN）、入侵防护（IPS）和流量管理等多种安全功能集于一体，可以通过内置的Web UI、命令行界面或中央管理方案进行统一管理。

三层交换机具用于日志审计及监控。根据不同用户安全级别或者根据不同部门的安全访问需求，网络利用三层交换机来划分虚拟子网（VLAN）。因为三层交换机具有路由功能，在没有配置路由的情况下，不同虚拟子网间是不能够互相访问，同时通过在不同VLAN间做限制来实现不同资源的访问控制。通过虚拟子网的划分，既方便局域网络的互联，又能够实现访问控制。

四、结束语

总之，我们必须不断强化信息安全观念，加强网络与信息系统安全保障工作的检查和监督，充分利用《通信网络安全防护管理办法》关于安全等级划分的要求制定具体的信息安全防护策略，全面落实各项制度、预案，加强技术积累，定期进行网络漏洞扫描等安全有效措施，切实加强网络与信息系统安全保障工作，确保中小型网络信息系统的安全稳定运行。

参考文献：