网络安全规划与设计范文

前言：我们精心挑选了数篇优质网络安全规划与设计文章，供您阅读参考。期待这些文章能为您带来启发，助您在写作的道路上更上一层楼。

第1篇

关键词：城域网；网络安全

前言

随着现今城域网的普遍使用，城域网方面出现的问题也越来越多，为了保证网络能够安全正常的使用，需要各部门对网络安全问题加以重视。根据网络功能的差别，可将城域网分为核心层、汇聚层和接入层这三个层次。根据业务不同，可将城域网分为接入业务、宽带上网业务及VPN业务这三种业务方式。而本文就是针对各层次出现的不同问题，进行分析讨论，并提出相关建议。

1城域网的概念分析

根据网络功能的不同，可将城域网分为核心层、汇聚层及接入层这三个层面，同时因为各层的功能不一样，所以各层网络安全问题均不一样。核心层存在的目的就是对网络数据进行快速转换，促使核心设备正常操作；汇聚层的主要工作就是保护整个网络的安全运行，并利用合理有效的方案管理网络，是整个城域网中的重中之重；而接入层则是通过对接入业务、宽带上网业务和VPN业务进行接入，以降低网络使用者对网络造成的危害。利用有效的监控手段调整网络安全，以达到网络优化的目的。

2网络安全规划设计对城域网发展的作用

2.1核心层的网络安全

城域网中的核心层，是决定网络数据能否正常快速交换的重要层次，且这一层次与多个汇聚层相连接，通过该层次与多个汇聚层进行连接，以达到网络数据间的高效转换，所以为了确保网路的正常运行，对该层次进行网络保护是比不可少的部分，增加该层的保护功能。核心层的网络安全主要考虑的问题是防止病毒入侵设备，而降低设备的操作性能，因此则需要对路由器这一网络互连、数据转发及网络的管理器进行正确操作，以确保网络使用更安全。因此则需要做到以下两点措施。第一点是在路由器之间的协议添加认证功能。就目前而言，动态路由器是核心层与汇聚层连接之间采取最多的连接设备，现常用的动态路由器主要分为OSPF、IS-IS、BGP这三种。而动态路由器的缺点是路由器动态设置会随着网络的拓展而改变，会对路由表进行自动更新，如果相同设置的路由器设备加入网络，该路由器会自动更改为网络上的路由设置，这样的行为可能导致网络信息的外漏，严重的时候，会阻碍网络上的路由表正常运行，导致网络崩溃。为了有效解决相关问题的出现，则需要在路由器设置中添加身份认证，只有通过身份上的认证，同区域的路由器才能互相分享路由表上的信息，以此保护网络安全。第二点则是遵循最小化服务的原则，关闭网路设备上不需要的服务。对此则需要做到以下几点：（1）保证远程访问管理的安全，在路由器信息进行加密保护，防止外界恶意访问的攻击；（2）端口限制访问，通过使用ACL端口进行访问限制，在设备接口上添加数据访问限制，增加网络信息过滤系统，减少网络病毒带来的路由器资源耗损，防止网络病毒入侵，促使网络系统崩溃；（3）增强对网络系统的检查控制，目前采用最多的是SNMPV3协议进行网络信息加密保护，在利用ACL控制SNMP访问，只允许访问设备信息，禁止复制设备信息，以有效检查控制网络运行情况；（4）禁止使用路由器不需要的服务，路由器主要分为软件和硬件的转发方式，转件转发的路由器是通过CPU软件技术进行网络数据转发的，也就是利用核心技术进行的数据转发，而硬件转发的路由器时通过网络上的硬件处理器进行数据转发的，所以使用正确的路由器服务，减少不需要的服务，促进路由器高速运行。

2.2汇聚层的网络安全

汇聚层是保护网络安全运行的重要层次，通过合理有效的方式管理网络，可以作为城域网中的管理层。为保证汇聚层能安全正常的操作，从接入网设备和各种类型用户这两方面进行分析，需要做到以下几点。第一点是接入网设备的安全，利用ACL控制接入网设备的访问，增加对汇聚层端口的检查控制，以达到对连接汇聚层的接入网设备的控制，确保接入网设备的安全。第二点是宽带小区设备的安全，为确保宽带小区网络设备的正常安全运行，需要采取以下几点措施：（1）调整BAS的部署方案，将BAS边缘化，对VLAN设置下的用户数量加以控制，降低网络危害的出现，优化网络系统，从宽带接入服务器中体现出QINQ技术的特征，减少汇聚层中虚拟局域网的传播，因此BAS需要采用双上行的方式保护网络安全；（2）利用BAS+AAA验证服务器检验网络用户的身份，防止账号被盗情况的出现，帮助网络用户准确定位；（3）绑定PPPOE拨号用户对VLAN、端口及用户账号的设置，以防非原有用户对原有网络用的账号和密码进行盗取使用，同时也可以对上网用户位置进行准确定位；（4）为了防止用户账号出现非法共享和漫游资费的情况，需要宽带接入服务器和个人用户账号在radius设备中进行圈定；（5）依据BAS的内存和实际情况决定保留流量数据的多少，并控制使用BAS设备的用户数量，以保证网络安全正常的运行。第三点是从宽带专线用户方面，采取相关安全措施，对此可以做到以下几点：（1）控制用户端口连接的数量，以防止外界危害的入侵；（2）圈定使用用户的基本信息，确定网络用户的位置，阻止非法网页的入侵；（3）设置ACL设备的控制列表信息，通过对外界网页进行多层次的过滤，减少对网络设备的危害，并阻止危害网页消息的出现，确保网络更安全。

2.3接入层的网络安全

通过对接入业务、宽带上网业务和VPN业务进行接入，以降低网络使用者对网络造成的危害。其主要连接方式是XDSL、LAN和WLAN这三种，从用户的网络安全进行分析，得出以下两点措施。一方面是阻止侧用户端口的接入，利用物理隔离和逻辑隔离这两种方式进行网络隔离。其物理隔离主要使用的是单主板安全隔离计算机和隔离卡技术这两种隔离方式，以确保内部网络不直接或间接与公共网络进行连接，以此达到真正隔离的目的；而逻辑隔离则是采用虚拟局域网、访问控制、虚拟专用网、端口绑定等手段进行个人网络和公共网络间的有效隔离。通过以上两种隔离手段，有效保护个人网络账号信息的安全，以防外界用户对原用户的干扰。另一方面则是对用户宽带的流量加以控制，利用完整的软件应用能力和充足的流量管理经验，以达到完善用户网络的目的，促使接入层网络更安全。

3网络安全规划设计实行策略

根据城域网中各层次的特点，从不同方面分析城域网运行过程中出现的问题，采取不同的优化措施，制定合理有效的优化策略，严格管理控制网络数据和信息传送，促进城域网安全稳定的发展，并利用有效的控制手段优化网络信息，以确保网络正常安全的运行。除此之外，还需要网络用户对个人路由器信息进行认真设置，使用更高级的账号登录密码，防止网络病毒的入侵，导致自身网络系统瘫痪，使用正确的路由器服务，有利于网络安全平稳的运行。

4总结

综上所述，根据城域网各层次出现的网络安全均不同和网络所承接业务的不同，我们应采取合适解决问题的安全技术方案，改善城域网在各阶段的不足之处。在网络安全技术实行过程中，需要全面考虑到网络各方面的应用，制定合理有效的安全技术方案，利用合理的安全防护技术，改善城域网网络规划设计中出现的不足之处，只有确保城域网的整体安全，才能达到全面完善网络系统，从而促进城域网健康稳定的发展的目的。

参考文献：

[1]龚俭，陆晟，王倩.计算机网络安全导论(第1版)[M].东南大学出版社，2000.

[2]李逢天.网络运营中的网络安全问题及解决思路[J].电信技术，2002.

[3]杨建红.计算机网络安全与对策[J].长沙铁道学院学报(社会科学版)，2005.

[4]刘建伟.企业网络安全问题探讨[J].甘肃科技，2006.

第2篇

关键词：无线网络规划；无线网络风险；无线安全检查项目；无线网络安全指引

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）28-6262-03

1 概述

有别于有线网络的设备可利用线路找寻设备信息，无论是管理、安全、记录信息，比起无线网络皆较为方便，相较之下无线网络的环境较复杂。无线网络安全问题最令人担心的原因在于，无线网络仅透过无线电波透过空气传递讯号，一旦内部架设发射讯号的仪器，在收讯可及的任一节点，都能传递无线讯号，甚至使用接收无线讯号的仪器，只要在讯号范围内，即便在围墙外，都能截取讯号信息。

因此管理无线网络安全维护比有线网络更具挑战性，有鉴于政府机关推广于民众使用以及企业逐渐在公司内部导入无线网络架构之需求，本篇论文特别针对无线网络Wi-Fi之使用情境进行风险评估与探讨，以下将分别探讨无线网络传输可能产生的风险，以及减少风险产生的可能性，进而提出建议之无线网络建置规划检查项目。

2 无线网络传输风险

现今无线网络装置架设便利，简单设定后即可进行网络分享，且智能型行动装置已具备可架设热点功能以分享网络，因此皆可能出现不合法之使用者联机合法基地台，或合法使用者联机至未经核可之基地台情形。倘若企业即将推动内部无线上网服务，或者考虑网络存取便利性，架设无线网络基地台，皆须评估当内部使用者透过行动装置联机机关所提供之无线网络，所使用之联机传输加密机制是否合乎信息安全规范。

倘若黑客企图伪冒企业内部合法基地台提供联机时，势必会造成行动装置之企业数据遭窃取等风险。以下将对合法使用者在未知的情况下联机至伪冒的无线网络基地台，以及非法使用者透过加密机制的弱点破解无线网络基地台，针对这2个情境加以分析其风险。

2.1 伪冒基地机风险

目前黑客的攻击常会伪冒正常的无线网络基地台（Access Point，以下简称AP），而伪冒的AP在行动装置普及的现今，可能会让用户在不知情的情况下进行联机，当连上线后，攻击者即可进行中间人攻击（Man-in-the-Middle，简称MitMAttack），取得被害人在网络上所传输的数据。情境之架构详见图1，利用伪冒AP攻击，合法使用者无法辨识联机上的AP是否合法，而一旦联机成功后黑客即可肆无忌惮的窃取行动装置上所有的数据，造成个人数据以及存放于行动装置上之机敏数据外泄的疑虑存在。企业在部署无线局域网络时，需考虑该类风险问题。

2.2 弱加密机制传输风险

WEP （Wired Equivalent Privacy）为一无线加密协议保护无线局域网络（Wireless LAN，以下简称WLAN）数据安全的加密机制，因WEP的设计是要提供和传统有线的局域网络相当的机密性，随着计算器运算能力提升，许多密码分析学家已经找出WEP好几个弱点，但WEP加密方式是目前仍是许多无线基地台使用的防护方式，由于WEP安全性不佳，易造成被轻易破解。

许多的无线破解工具皆已存在且纯熟，因此利用WEP认证加密之无线AP，当破解被其金钥后，即可透过该AP连接至该无线局域网络，再利用探测软件进行无线局域网络扫描，取得该无线局域网络内目前有哪些联机的装置。

当使用者使用行动装置连上不安全的网络，可能因本身行动装置设定不完全，而将弱点曝露在不安全的网络上，因此当企业允许使用者透过行动装置进行联机时，除了提醒使用者应加强自身终端安全外，更应建置安全的无线网络架构，以提供使用者使用。

3 无线网络安全架构

近年许多企业逐渐导入无线局域网络服务以提供内部使用者及访客使用。但在提供便利的同时，如何达到无线局域网络之安全，亦为重要。

3.1 企业无线局域网安全目标

企业之无线网络架构应符合无线局域网络安全目标：机密性、完整性与验证性。

机密性（Confidentiality）

无线网络安全架构应防范机密不可泄漏给未经授权之人或程序，且无线网络架构应将对外提供给一般使用者网络以及内部所使用之内部网络区隔开。无线网络架构之加密需采用安全性即高且不易被破解的方式，并可对无线网络使用进行稽核。

完整性（Integrity）

无线网络安全架构应确认办公室环境内无其它无线讯号干扰源，并保证员工无法自行架设非法无线网络存取点设备，以确保在使用无线网络时传输不被中断或是拦截。对于内部使用者，可建立一个隔离区之无线网络，仅提供外部网际网络连路连接，并禁止存取机关内部网络。

认证性（Authentication）

建议无线网络安全架构应提供使用者及设备进行身份验证，让使用者能确保自己设备安全性，且能区分存取控制权限。无线网络安全架构应需进行使用者身份控管，以杜絶他人（允许的访客除外）擅用机关的无线网络。

因应以上无线局域网络安全目标，应将网络区分为内部网络及一般网络等级，依其不同等级实施不同的保护措施及其应用，说明如下。

内部网络：

为网络内负责传送一般非机密性之行政资料，其系统能处理中信任度信息，并使用机关内部加密认证以定期更变密码，且加装防火墙、入侵侦测等作业。

一般网络：

主要在提供非企业内部人员或访客使用之网络系统，不与内部其它网络相连，其网络系统仅能处与基本信任度信息，并加装防火墙、入侵侦测等机制。

因此建议企业在建构无线网络架构，须将内部网络以及提供给一般使用者之一般网络区隔开，以达到无线网络安全目标，以下将提供无线办公方案及无线访客方案提供给企业导入无线网络架构时作为参考使用。

3.2内部网络安全架构

减轻无线网络风险之基础评估，应集中在四个方面：人身安全、AP位置、AP设定及安全政策。人身安全方面，须确保非企业内部使用者无法存取办公室范围内之无线内部网络，仅经授权之企业内部使用者可存取。可使用影像认证、卡片识别、使用者账号密码或生物识别设备以进行人身安全验证使用者身份。企业信息管理人员须确保AP安装在受保护的建筑物内，且使用者须经过适当的身份验证才允许进入，而只有企业信息管理人员允许存取并管理无线网络设备。

企业信息管理人员须将未经授权的使用者访问企业外部无线网络之可能性降至最低，评估每台AP有可能造成的网络安全漏洞，可请网络工程师进行现场调查，确定办公室内最适当放置AP的位置以降低之风险。只要企业使用者拥有存取无线内部网络能力，攻击者仍有机会窃听办公室无线网络通讯，建议企业将无线网络架构放置于防火墙外，并使用高加密性VPN以保护流量通讯，此配置可降低无线网络窃听风险。

企业应侧重于AP配置之相关漏洞。由于大部分AP保留了原厂之预设密码，企业信息管理人员需使用复杂度高之密码以确保密码安全，并定期更换密码。企业应制定相关无线内部网络安全政策，包括规定使用最小长度为8个字符且参杂特殊符号之密码设置、定期更换安全性密码、进行使用者MAC控管以控制无线网络使用情况。

为提供安全无线办公室环境，企业应进行使用者MAC控管，并禁用远程SNMP协议，只允许使用者使用本身内部主机。由于大部分厂商在加密SSID上使用预设验证金钥，未经授权之设备与使用者可尝试使用预设验证金钥以存取无线内部网络，因此企业应使用内部使用者账号与密码之身份验证以控管无线内部网络之存取。

企业应增加额外政策，要求存取无线内部网络之设备系统需进行安全性更新和升级，定期更新系统安全性更新和升级有助于降低攻击之可能性。此外，政策应规定若企业内部使用者之无线装置遗失或被盗，企业内部使用者应尽快通知企业信息管理人员，以防止该IP地址存取无线内部网络。

为达到一个安全的无线内部网络架构，建议企业采用IPS设备以进行无线环境之防御。IPS设备有助于辨识是否有未经授权之使用者试图存取企业内部无线内部网络或企图进行非法攻击行为，并加以阻挡企业建筑内未经授权私自架设之非法网络。所有无线网络之间的通讯都需经过IPS做保护与进一步分析，为一种整体纵深防御之策略。

考虑前述需求，本篇论文列出建构无线内部网络应具备之安全策略，并提供一建议无线内部网络安全架构示意图以提供企业信息管理人员作为风险评估之参考，详见表1。

企业在风险评估后确认实现无线办公室环境运行之好处优于其它威胁风险，始可进行无线内部网络架构建置。然而，尽管在风险评估上实行彻底，但无线网络环境之技术不断变化与更新，安全漏洞亦日新月异，使用者始终为安全链中最薄弱的环节，建议企业必须持续对企业内部使用者进行相关无线安全教育，以达到纵深防御之目标。

另外，企业应定期进行安全性更新和升级会议室公用网络之系统，定期更新系统安全性更新和升级有助于降低攻击之可能性。为达到一个安全的会议室公用网络架构，建议企业采用IPS设备以进行无线环境之防御。

IPS设备有助于辨识是否有未经授权之使用者试图存取企业内部会议室公用网络或企图进行非法攻击行为，并加以阻挡企业建筑内未经授权私自架设之非法网络。所有无线网络之间的通讯都需经过IPS做保护与进一步分析，为一种整体纵深防御策略。

4 结论

由于无线网络的存取及使用上存在相当程度的风险，更显无线局域网络的安全性之重要，本篇论文考虑无线网络联机存取之相关风险与安全联机的准则需求，有鉴于目前行动装置使用量大增，企业可能面临使用者要求开放无线网络之需求，应建立相关无线网络方案，本研究针对目前常见之无线网络风险威胁为出发，以及内部网络与外部网络使用者，针对不同安全需求强度，规划无线网络使用方案，提供作为建置参考依据，进而落实传输风险管控，加强企业网络安全强度。

参考文献：

[1] Gast M S.Wireless Networks： The Definitive Guide[M].O’Reilly， 2002.

[2] Edney J， Arbaugh W A.Security：Wi-Fi Protected Access and 802.11[M].Addison-Wesley，2004.

[3] R. Guha， Z. Furqan， S. Muhammad.Discovering Man-In-The-Middle Attacks nAuthentication Protocols[J].IEEE Military Communications Conference 2007， Orlando， FL， 2007（10）：29-31.

[4] Nam， Seung Yeob.Enhanced ARP： Preventing ARP Poisoning-Based[J].IEEE Commucation Letters，2011，14：187-189.

第3篇

广播电视网络面临的网络安全形势日益严峻，业务相关技术网络由相对简单、封闭逐渐向复杂、无边界化发展，导致面临的安全风险和威胁越发突出。行业关键信息基础设施的安全防护能力与其重要地位相比，仍然较为薄弱，难以有效应对高强度的网络攻击。云计算、大数据、移动互联网的发展应用，伴随着新的安全风险，尚缺乏有效的应对手段。OTT业务属于广电网络的增值业务，为了保证各类OTT业务安全稳定的运行，在进行网络与安全规划的时候，既要提高网络的可靠性，又要保证OTT业务的安全性。

本文探讨了通过采用VRRP+HRP等技术，再通过路由规划，可以实现业务上的图1 整体网络拓扑图“主-主”模式，在满足OTT业务可靠性的同时，满足业务的安全性要求。同时，还要考虑广电网络的IPv6 升级改造，即符合广电网络IPv6 规模部署和推进的整体规划，还要充分结合业务发展和用户终端的升级情况等因素，进行综合决策。整体拓扑图设计如图1 所示。可靠性设计规划可靠性是反映网络设备本身的稳定性以及网络保持业务不中断的能力，主要包括设备级可靠性、网络级可靠性和业务级可靠性三个层次。其中，业务级可靠性更多的是从业务管理的层面来要求的，要求业务不中断。整体网络可靠性在99.999%以上。在进行OTT网络设计规划时通常采用星型结构的网络设计，一般考虑如下原则：将网络划分为核心层、汇聚层、接入层；每层功能清晰，架构稳定，易于扩展和维护；将网络中不同的OTT业务划分为不同的模块，模块内部的调整涉及范围小，易于进行问题定位；关键设备采用双节点冗余设计、关键链路采用Trunk方式冗余备份或者负载分担、关键设备的电源、主控板等关键部件冗余备份。安全性设计规划OTT网络应具备有效的安全控制，按业务和权限进行分区逻辑隔离，对特别重要的业务采取物理隔离。因此，OTT平台在搭建过程中，需要两台数据中心级的安全网关，所有部件均采用全冗余技术，比如主控板、业务板及电源等，同时要支持“主-备”和“主-主”组网模式、端口聚合、VPN冗余、业务板负载均衡、双主控主备倒换技术的能力，从而能够提供高级别的安全防护能力和业务扩展能力。

作为安全网关，优异的地址转换性能和VPN性能也是对OTT业务的强大支撑。比如基于IP的转换、基于端口的转换、语音多媒体等业务流量的多通道协议NAT转换、无数目限制的PAT方式转换、域内NAT以及双向NAT等，以满足各种NAT应用场景。随着OTT业务更多在公共网络上的传输，拥有最佳的VPN性能能满足大量业务的加密传输要求。比如支持4over6 、6over4 的VPN技术，以保证网络从IPv4-IPv6 演进过程中VPN传输需求。安全网关如何抵抗外部威胁，提高网络安全，还体现在入侵防御功能上，可以对系统漏洞、未授权自动下载、欺骗类应用软件、广告类软件、异常协议、P2P异常等多种威胁进行防护。安全网关还要求能实时捕获最新的攻击、蠕虫及木马等威胁，为网络提供强大的防御能力。为满足网络向IPv6 的平滑演进，保证业务的稳定运行，安全网关需要支持随着IPv4 地址的枯竭，网络能向IPv6 平滑演进，并确保业务稳定运行。安全网关还要具有NAT44 、NAT64 等多种过渡功能，为未来的网络演进及业务过渡提供高效、灵活和放心的解决办法。IPv6 设计规划根据《广播电视媒体网站IPv6 改造实施指南(2018)》下达的广播电视媒体网站IPv6 改造实施的总体目标，确定过渡技术的选择和各网络设备对过渡技术的支持情况，规划原则：在不影响现网业务的基础上完成用户发展指标，降低网络风险；IPv6 改造顺序应按照“承载环境先行，业务接入随后，网管安全支撑按需”的原则进行；IP承载网是提供IPv6 端到端连接的根本，需要先行改造支持IPv6 ；业务网、各类接入网是发展IPv6 用户的关键，应在承载具备条件的基础上逐步改造，支持IPv4/IPv6 双栈方式；网管系统、支撑平台等应根据网络、业务的升级步骤按需改造，相关接口仍采用IPv4 协议，接口内部相关字段支持IPv6 地址；从IPv4-only向IPv6-only演进还需要遵循两个原则：首要原则是“不影响现网业务(IPv4/1Pv6)的正常运行”。IPv4 设备上部署IPv6 协议或者双栈设备关闭IPv4 协议和服务时，用户应该感知不到基础网络升级到IPv4/IPv6 双栈或者从双栈到IPv6-only的变化。次要原则是“兼容现有终端设备，不能强制用户升级或者更换自己的终端设备，如PC、平板电脑和机顶盒等”。

对于OTT业务网络，可以建设为IPv4 和IPv6 双栈网络，或者建设IPv6-only网络。如果直接规划或建设成IPv6-only网络，那么针对目前IPv4 流量占比相对较高的情形，就需要考虑IPv4 网络和IPv6 网络互通场景，考虑IPv4 客户访问IPv6 服务场景，IPV6 的客户访问IPv4 服务场景，通过IPv4 网络连接两个IPv6-only网络场景等。对于现有的OTT业务网络，不可能对所有不支持IPv6 的设备进行更换，所以对支持IPv6 的设备直接开启IPv6 功能，同时运行IPv4 和IPv6 协议栈，实现双栈。OTT业务系统在广电城域网中实际部署的过程中，为了保证业务系统的稳定性、安全性以及未来IPv6 升级改造中的扩展性，可以通过在OTT业务的互联网出口处部署两台高性能的安全网关。这两台安全网关可以通过“主-主”或者“主-备”的模式运行，将不同的OTT业务通过划分不同的DMZ区进行隔离，然后根据不同OTT业务实际的运行流量，在安全网关上进行系统资源的重新分配，其中包括CPU、内存等。在DMZ区之间、Intranet区、Extranet区等不同的安全区之间，通过安全网关的安全策略进行访问控制，精确到协议和端口号，严格控制合法流量的流入和流出。通过安全网关的NAT功能，实现私网地址向公网地址，公网地址向私网地址的互相访问。同时，要求安全网关已经实际配置IPv6 功能，给未来的NAT46 、NAT64 等业务留下充足的扩展空间。