内网安全设计方案

内网的安全问题。

内网因为和外网是物理上隔离的，所以内网不存在遭受外部攻击的危险。内网的危险来自于内部成员的攻击。对于内网的远程拨号链路，它可能是遭受外来攻击的一个弱点。

这是必须考虑的一个安全隐患。

单位内安全问题。

1)单位内部工作人员的安全要求。

必须要求单位内部的工作人员具有良好的安全意识。

单位内部员工利用自己的帐号、密码可以访问本单位内部的服务器、单位内部公文、业务处理系统的服务器。

通过访问列表技术或者域帐号信任关系，单位内部员工可以访问公共系统的服务器。

1.其他单位的员工因为在不同的网络上，不能访问外单位的服务器。2.

严格实现一人一个帐号，不共享帐号、密码。3.不把帐号、密码写在纸上。

4.密码必须定期更改。5.

不打听别人的密码。6.共享资源时设置保护措施。

7.用户账号管理。

单位内的用户必须实现统一管理的目录服务。每个用户拥有一个唯一的用户识别码，并根据用户的性质、职务归到相应的用户组里。每个用户组再给予分配适当的权限。

不对单独用户分配权限。对于机要用户，也同样如此处理，创建一个机要用户组来处理。这样可以避免对用户权限的错误分配。

对于用户账户的名称，可以采用“姓＋名＋数字”的组合。这样的组合易于对用户的识别，也减少了账号重复的可能性，同时增强了账号保密性的要求。

用户密码的管理。

设置用户密码管理策略，规定用户密码的组合必须是大小写字母、数字、符号的组合，密码的长度不少于规定的长大，密码的使用期限不得超过规定的期限，错误登陆超过规定的次数锁定账户等等。这样就大大增强了用户账号的安全性，也提高了整个系统的安全性。

内网安全设计方案（二）

系统内部（包括系统内/部门间应用）服务器的安全要求：

所有的服务器都设在相应的服务器网络，同一系统内的不同单位，我们可以在分布层允许它们互相通信。

通过账号、密码机制我们可以允许本单位和本系统内其他单位的授权用户访问，再通过在路由器上设置access-list，可以加强这种安全性。

同样我们通过帐号、密码以及access-list安全特性，不允许其他用户访问。服务器的安全管理非常重要。可以从两个级别来对它进行保护，第一级别服务器网段的保护和第二级别服务器本身的保护。

我们先说服务器本身的保护。

服务器本身的操作系统必须保持最新的更新，要必须密切注意操作系统的补丁程序，减少操作系统本身的安全漏洞问题。

关闭不必要的tcp/udp端口。关闭不必要的服务。关闭不必要的共享文件夹。认真审核各个文件夹的用户权限。

对文件夹进行安全审核，记录文件夹的被访问情况。公共网段的安全要求。

认证、授权及记帐（aaa）、安全服务器协议、流量过滤和防火墙、ip安全和加密技术可以对网段提供高安全保护。认证提供了识别用户的方法，它在允许用户访问网。

络以及网络资源之前确认用户的身份；授权提供了访问控制的方法，它包括一次性授权和对每个服务进行授权；记帐提供了收集和发送帐单信息、审计信息以及报告信息的手段。安全服务器协议提供配置radius、kerberos、tacacs+、tacacs和扩展tacacs的方法、命令和过程。流量过滤和防火墙提供了网络设备进行流量过滤以及如何把网络设备配置成精细入微的防火墙。

ip安全与加密部分提供cisco加密技术、配置ipsec、配置证书认证机构（ca）的互操作能力以及配置internet密钥交换的方法。

内网安全设计方案（三）

网络设备本身的安全性管理。

cisco的设备具有良好的内置安全性。cisco网络设备配置cisco ios安全特性。通过cisco ios安全特性的配置，使我们的网络能够避免有意和无意的攻击，避免由于合法用户的误操作造成的数据丢失或泄露，从而保护网络系统的安全。

口令保护，口令的级别，口令加密，移除不安全的snmp字符串。可以保证设备本身的高安全性。

使用enable secret命令，而不是使用enable password命令控制端口连接到网络应该考虑一下访问控制的问题。

所有虚拟终端的端口应用上访问列表和口令保护，使用访问列表来限制通过telnet进入路由器的用户。

如果没有必要的话，不要使用任何本地服务（例如snmp、cdp和ntp）。特殊需求人员安全要求：

对一些特殊需求人员，我们把他们归入一个特别的网段，通过access-list等多种技术，我们可以实现单向发起通讯，可以实现其他用户不可访问这个特殊网段，但是这个网段的特殊需求人员可以访问外面的多个网段，包括系统服务器网段以及公共服务器网段。为了不允许其它的用户非法连接到其物理交换端口，我们在其物理端口上设置端口安全（port secure）技术，这样可有效保护设备的物理端口安全。

统一办公网络安全要求：

有多个机关单位在同一个地方办公（中区一楼大厅），每个机关单位都有一个或多个员工在一起办公，他们通过其物理布线连接到各自的单位网络。为了确保每个单位不会错用、混用或者故意连接到另单位的网络，除了常规的密码验证措施外，要求在每单位的物理接线盒上醒目清楚地表明单位所属，并在交换机上作好端口安全（portsecure）技术，以确保各单位的网络安全。使非本单位的成员无法连接到该单位的网络。

机要网安全要求：

各机关单位的机要人员各自在各单位的独立的网段里，这些网段可以方便实现互连互通。对一些保密的资料，我们采取aaa等特殊认证方式，以及通过加密传输等技术予于实现。确保其它无关人员从网络网段级别、用户认证级别以及网络传输级别均无法予于攻击，确保机要人员的网络安全。

内网安全设计方案（四）

临时访问单位内部网的安全要求：

在办公网内其他部门办事，临时需要访问本单位内部网络或服务器网段的需求，原则上我们不予支持，因为这条需求不符号安全策略的原则。如果需要互相访问，我们建议通过特定的公共服务器进行。

同一单位，分布在不同地方的应用安全要求：

同一单位，办公地点不在同一个地理位置，需要互相访问时，通过远程拨号方案或者通过vpn技术予于满足。

各单位特殊人员安全访问要求：

将要防护的内部服务器分别放在内部防火墙的保护区域内，任何对于服务器的访问必须通过防火墙。建立不同的用户组，给与不同权利。可以定义不同的用户访问其中一台，部分，或者全部主机。

在同一时刻只有一个用户名可以登陆到用于访问的pc上。在需要本地保护的pc上，安装个人防护软件（如：securityclient），防止被作为宿主用来攻击系统内部服务器。

实施比较细致的策略可以达到用户安全方面的要求。

可以进行通讯加密技术，对于在内部网络传输的数据进行加密，防止系统内部服务器信息失密。

部门之间的安全保护。

部门之间的安全保护可以通过vlan之间的隔离，目录服务的隔离，认证、授权及记帐的办法来保证。这些方法有效地隔离了部门之间的互相访问，对于一些机要人员可以提供认证、授权的办法提供可访问性。

单位之间的安全保护。

单位间存在遭受来自另外单位成员攻击的可能性。单位间必须要有高安全性。我们建议设置访问控制、防火墙保护。

利用cisco ios访问控制、防火墙保护。

内网安全设计方案（五）

访问列表通过在路由器的接口上控制是否**或阻止路由包来过滤网络流量。路由器检查每个路由包并基于访问列表中指定的规则来决定是否**或丢弃这个包。访问列表规则可以是流量的源地址、流量的目的地址、上层协议或其它信息。

注意，由于它无须认证，所以一些水平高超的用户有时可以成功地绕过或愚弄基本访问列表。

cisco ios软件提供了一组扩展的安全特性，它允许针对特定的需求配置一个或简单、或精密的防火墙。除了标准的cisco ios特性集中的可用安全特性外，还存在一个cisco ios防火墙特性集，它能够为路由器提供附加的防火墙功能。cisco ios防火墙特性集cisco ios防火墙特性集结合了现有的cisco ios防火墙技术和新的基于文本访问控制（cbac）的特性。

在路由器上配置了cisco ios防火墙特性集后，路由器便转变成了一个健壮而有效的防火墙。设计cisco ios防火墙特性集是用来防止外部非授权者获得内部网络的访问，并阻止来自外部的网络攻击，同时又允许授权者（机要人员）访问特定的网络资源。

使用cisco ios防火墙特性集可以把路由器配置成内部网络中组与组之间的防火墙。保护内部网络。要创建一个适合于公司安全策略的专用防火墙，必须采用合适的cisco ios防火墙特性，并对其进行配置。

至少应该配置基本的流量过滤方法来提供基础防火墙。

与其它所有网络设备一样，也应该给防火墙配置上口令，同样也应该考虑配置用户的认证、授权和记帐功能，除此之外，还应该考虑下述建议：在设置访问防火墙特权的口令时，建议使用enable secret命令，而不是使用enable password命令，原因在于后者没有提供前者那样强大的加密算法。在控制端口设置上口令。

在aaa环境中，在控制台上使用与其它地方一样的认证，而在非aaa环境中，至少要配置login和password的口令设置命令。在使用任何方式把控制端口连接到网络，包括在端口连接调制解调器（modem）之前，应该考虑一下访问控制的问题，原因在于从控制端口的入侵，可能会获得整个防火墙的控制权，甚至包括已配置的访问控制。在所有虚拟终端的端口应用上访问列表和口令保护，使用访问列表来限制通过telnet进入路由器的用户。

如果没有必要的话，不要使用任何本地服务（例如snmp和ntp）。在缺省情况下，防火墙上的cdp（即cisco discovery protocol）和ntp（即network time protocol）是打开的，如果不需要它们，则应该关闭这些服务。如果必须运行ntp，则只应在必要的接口上配置ntp，并且配置为只侦听某些对等端口。

任何启用的服务都可能存在潜在的安全威胁，敌意分子可能会发现一种滥用这些服务的方法来访问防火墙或网络。对启用的本地服务，也要防止被滥用。配置这些服务，使其只能在指定的对等端口上进行通信，并通过配置访问列表在某些指定端口上拒绝这些服务包。

防止欺诈：保护防火墙两边的网络，防止被第三方欺诈。应该在所有端口配置访问列表，只允许指定的源地址流量通过，而拒绝其它地址的流量。

也应该禁止源路由。

远程拨号接入的安全保护。

采用安全的一次性密码方法，严格实现授权、记帐功能。

内网安全设计方案

信息安全设计方案

公司安全设计方案

安全专项设计方案

其他用户还读了