企业网关路由器(企业网关路由器是如何保障企业网络安全的)
一、企业网络安全该怎么做
针对这样的问题,企业应该制定相关的管理制度,下面是一份关于其他企业网络安全制定,希望能帮到您!
计算机网络为集团局域网提供网络基础平台服务和互联网接入服务,由网络维护中心负责计算机连网和网络管理工作。为保证集团局域网能够安全可靠地运行,充分发挥信息服务方面的重要作用,更好地为集团员工提供服务,现制定并发布《集团网络安全管理制度》。
第一条所有网络设备(包括路由器、交换机、集线器、光纤、网线等)均归网络维护中心所管辖,其安装、维护等操作由网络维护中心工作人员进行,其他任何人不得破坏或擅自维修。
第二条所有集团内计算机网络部分的扩展必须经过网络维护中心实施或批准实施,未经许可任何部门不得私自连接交换机、集线器等网络设备,不得私自接入网络。网络维护中心有权拆除用户私自接入的网络线路并报告上级领导。
第三条各分公司、处(室)的联网工作必须事先报经网络维护中心,由网络维护中心做网络实施方案。
第四条集团局域网的网络配置由网络维护中心统一规划管理,其他任何人不得私自更改网络配置。
第五条接入集团局域网的客户端计算机的网络配置由网络维护中心部署的服务器统一管理分配,包括:用户计算机的IP地址、网关、DNS和WINS服务器地址等信息。未经许可,任何人不得更改网络配置。
第六条网络安全:严格执行国家《网络安全管理制度》。对在集团局域网上从事任何有悖网络法规活动者,将视其情节轻重交有关部门或公安机关处理。
第七条集团员工具有信息保密的义务。任何人不得利用计算机网络泄漏公司机密、技术资料和其它保密资料。
第八条严禁外来人员对计算机数据和文件进行拷贝或抄写以免泄漏集团机密,对集团办公系统或其它集团内部平台帐号不得相互知晓,每个人必须保证自己帐号的唯一登陆性,否则由此产生的数据安全问题由其本人负全部责任。
第九条各部门人员必须及时做好各种数据资料的录入、修改、备份和数据保密工作,保证数据资料的完整准确和安全性。
第十条任何人不得在局域网络和互联网上发布有损集团公司形象和职工声誉的信息。
第十一条任何人不得扫描、攻击集团计算机网络和他人计算机。不得盗用、窃取他人资料、信息等。
第十二条为了避免或减少计算机病毒对系统、数据造成的影响,接入集团局域网的所有用户必须遵循以下规定:
1.任何部门和个人不得制作计算机病毒;不得故意传播计算机病毒,危害计算机信息系统安全;不得向他人提供含有计算机病毒的文件、软件、媒体。
2.采取有效的计算机病毒安全技术防治措施。建议客户端计算机安装使用网络维护中心部署发布的相关杀毒软件和360安全卫士对病毒和木马进行查杀。
3.定期或及时用更新后的新版杀病毒软件检测、清除计算机中的病毒。
第十三条集团的互联网连接只允许员工为了工作、学习和工余的休闲使用,使用时必须遵守有关的国家、企业的法律和规程,严禁传播淫秽、反动等违犯国家法律和中国道德与风俗的内容。一经发现集团网络维护中心有权撤消违纪者互联网的使用权。使用者必须严格遵循以下内容:
1.从中国境内向外传输技术性资料时必须符合中国有关法规。
2.遵守所有使用互联网的网络协议、规定和程序。
3.不能利用邮件服务作连锁邮件、垃圾邮件或分发给任何未经允许接收信件的人。
4.任何人不得在网上制作、查阅和传播宣扬反动、淫秽、封建迷信等违犯国家法律和中国道德与风俗的内容。
5.不得传输任何非法的、骚扰性的、中伤他人的、辱骂性的、恐吓性的、伤害性的信息资料。
6.不得传输任何教唆他人构成犯罪行为的资料,不能传输助长国内不利条件和涉及国家安全的资料。
7.不能传输任何不符合当地法规、国家法律和国际法律的资料。
第十四条为了发挥好网站的形象宣传作用,各分公司、处(室)要及时向网络维护中心提供有关资料,以便充实网站内容,加大宣传影响。由网络维护中心统一整理、编辑上传及内容更新。
第十五条各分公司、处(室)人员在下班离开前必须关闭计算机和电源插座,避免浪费电能和发生消防隐患,违纪者通报批评并进行相应的处罚。有加班需要的工作人员必须提前通知网络维护中心。
二、1200m路由器是什么路由器
1200m路由器是千兆路由器。
1200m指的是这个路由器支持的最高速率1200Mbps。5GHz频段,最高的运行速率可以达到1300Mbps,还有1200M、866M、433M几种速率。
路由器是连接两个或多个网络的硬件设备,在网络间起网关的作用,是读取每一个数据包中的地址然后决定如何传送的专用智能性的网络设备。它能够理解不同的协议,例如某个局域网使用的以太网协议,因特网使用的TCP/IP协议。
选购路由器的注意事项。
1、内存大小。路由器的内存决定着路由器的速度,选购路由器时就看它的性能CPU,CPU运行快,内存大了,处理数据的能力强,速度就自然快了。
2、双频段。以前的路由器支持2.4G频段,2.4G频段和5G频段相差不大,有各自的优点,现在都使用双频段,把2.4G频段和5G频段有效的结合起来。
3、传输速率。在路由器上写着300M,450M,1200M等,这个其实是一个传输速率,一般来说速率越高,传输入就越快,1200M以上的是适合企业,中,大户型,普通家庭用一般300M就够用了。
4、标准。路由器都有一个传输协议,即网络标准,即802.11b 802.11g 802.11a 802.11n 802.11ac等,这些也就是网络标准支持哪个频段。
5、天线。现在很多厂商在路由器上设置2根,3根等,最多有8根的,可是很多人在选择天线都觉得天线越多,路由器接收信号就越强,天线不是判断路由器信号的强弱,还要看路由器里的配置来决定。
6、防火墙。防为了保障WIFI的安全,路由器的内置的防火墙功能一般包括LAN和WAN防火墙,都会用一些简单的手段来阻止黑客攻击,保护网络传输安全。
7、品牌选购。选购路由器还是要选择有品牌的路由器,在产品的质量,稳定性,使用方面都是有一定的保障的,而且对于品牌的售后也起到一定的保障。
三、企业网络安全管理维护之探析
今很多企业都建设了企业网并通过各种渠道接入了Internet,企业的运作越来越融人计算机网络,但随之产生的网络安全问题也日渐明显地摆在了网络管理员面前。
对于网络管理者来说,网络的安全管理直接关系到企业工作的稳定和正常开展。而企业对安全性的要求有其自身的特殊性,除了传统意义上的信息安全以外,还应提高对病毒、恶意攻击以及物理设备的安全防范。
本文根据本人在企业任职多年网络管理员的实际,侧重谈了下如何加强对企业网络的安全管理。主要分别从企业内部网络安全管理与病毒防范、企业服务器的安全、基于VLAN的企业网络安全部署三个角度作了调查和研究。
一、企业内部网络安全管理与病毒防范
在网络环境下,病毒传播扩散快,仅用单机版防病毒产品已经很难彻底防范和清除网络病毒,必须有适合于局域网的全方位防病毒产品。
在企业网络中,可以配置一台高性能的汁算机安装网络版杀毒软件的控制端,负责管理各终端主机病毒的防治工作,在各用户主机上安装网络版杀毒软件的客户端。通过杀毒软件的控制台进行定时杀毒的设置和自动升级的设置,确保杀毒和升级的时效性,使网络具有较强的防病毒能力。
(一)使用和配置防火墙
防火墙是网络的第一道防线,一般安装在内网与外网的交界处,如各级路由器上。利用防火墙,在网络通讯时执行一种访问控制尺度,允许防火墙同意访间的用户与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地阻止网络外的黑客访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。
防火墙是一种行之有效且应用广泛的网络安全机制,可有效防止Internet上的不安全因素蔓延到企业内部。所以,防火墙是企业网络安全的重要一环。
(二)采用入提检测系统
入侵检测系统是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处在于是一种积极主动的安全防护技术。入侵检测系统一般要安装在网络的关键点上,如Internet接入路由器之后的第一台交换机上,在入侵检测系统中利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全。
(三)Web, Email的安全监测系统
在网络的WWW服务器、Email服务器等环节中使用网络安全监测系统,实时跟踪、监视网络,截获Internet网上传输的内容,并将其还原成完整的WWW,Email,FTP, Telnet应用的内容,建立保存相应记录的数据库。及时发现在网络上传输的非法内容,及时采取有效措施。
(四)漏洞扫描系统
解决网络层安全问题,首先要清楚网络中存在哪些安全隐患、脆弱点。面对企业庞大的网络,仅仅依靠个人的技术和经验寻找安全漏洞、做出评估.显然是不现实的。我们可以寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具,利用优化系统配置和安装安全补丁等多种方式最大可能地弥补最新的安全漏洞和消除安全隐患。可以利用各种黑客工具,定期对网络模拟攻击从而暴露出网络的漏洞,以便更好地发现和杜绝网络中的安全隐患。
(五)ARP病毒的防御
ARP是Address Resolution Protocol的缩写,即地址解析协议,它是一个位于TCP/IP协议栈中的低层协议,负责将某个IP地址解析成对应的MAC地址。它是系统进行通讯的基础。是以信任为基础的,如果破坏了这个信任,那就形成ARP欺骗了。局域网经常会受到来自各方面的攻击,导致不能正常工作,其中ARP攻击是一个经常发生的攻击,只要有一台电脑感染ARP,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪,这给网络用户造成了很大的不便,因此了解ARP攻击原理,防御ARP攻击是保障企业网络正常工作应该引起重视的一个问题。目前对于ARP攻击防御问题出现最多是绑定IP地址和MAC地址或使用ARP防护软件。
采用绑定IP地址和MAC地址这种方式进行绑定,如果网络中有上百台计算机,这个工作量是非常大的.所以这种方式不推荐在大型网络中使用,企业内部更适合使用ARP防护软件,目前ARP防护软件很多,比较常用的ARP工具软件主要是360ARP防火墙、AntiARP、彩影ARP防火墙等。可以在这类软件中绑定IP地址和网关,另外这类软件还会在提示框内出现病毒主机的MAC地址,方便我们快速找到攻击源,然后进行清除。根据实际网络环境,我们采取相应的防御方法,还是非常有效的。
(六)使用GHOST软件备份操作系统
Ghost(是General Hardware Oriented Software Transfer的缩写译为“面向通用型硬件系统传送器”)软件是美国赛门铁克公司推出的一款出色的硬盘备份还原工具,可以实现FAT16, FAT32, NTFS,OS2等多种硬盘分区格式的分区及硬盘的备份还原。该技术的应用有效地解决了计算机系统崩溃,重新安装操作系统及后续应用程序需要花费大量时间的问题。提供了一种便捷、高效的途径。
Ghos,的备份还原是以硬盘的扇区为单位进行的,也就是说可以将一个硬盘上的物理信息完整复制,而不仅仅是数据的简单复制。Ghost支持将分区或硬盘直接备份到一个扩展名为.gho。的文件里(赛门铁克公司把这种文件称为镜像文件),也支持直接备份到另一个分区或硬盘里。
网络管理者可以在完成操作系统及各种驱动的安装后,将常用的软件(如杀毒、媒体播放软件、office。办公软件等)安装到系统所在盘,接着安装操作系统和常用软件的各种升级补丁,然后优化系统,最后做系统盘的克隆备份,这样就可以在下次出现系统故障时免去安装系统及相关应用软件的麻烦,提高工作效率、节约大量的时间。
二、企业网络服务器的安全
企业网络服务器的安全一般可分为硬件系统安全及软件系统安全。
(一)硬件系统的安全防护
硬件系统的安全主要是指防止意外事件或人为破坏设备。机房和机柜的钥匙一定要管理好,不要让无关人员随意进入机房;放置服务器的机房应做好防雷、防电、防火、防水、防高温等常规防护工作。
(二)软件系统的安全防护
同硬件系统相比,服务器软件系统的安全问题是最多的。
1、安装补丁程序
补丁程序即修复系统漏洞的程序。一般在一个软件的开发过程中,一开始有很多因素是没有考虑到的,但是随着时问的推移,软件所存在的问题会慢慢的被发现。这时候.为了对软件本身存在的问题进行修复,软件开发者会发布相应的补丁,目前大部分企业服务器使用的是微软的Windows Server操作系统,由于使用的人比较多,漏洞不断被发现,所以微软也经常有新的补丁程序发布。我们应及时安装好新的补丁程序,配置好自动升级功能,以防漏洞被非授权人员利用。
2、安装防火墙与杀毒软件
在企业网络中,重要的数据通常保存在整个中心结点的服务器上,所以保证服务器免受病毒攻击就成了保证企业网络安全的重要任务。我们可以在服务器上安装最新的杀毒软件和防火墙,通过合理的配置达到防御病毒破坏,抵制非法人侵的目的。
3、加强操作系统权限管理和口令管理
删除所有非法用户;禁止Guest用户,因为黑客常用Guest进行系统控制;对于Administrator则应进行改名操作并设置足够复杂的密码,密码至少8个字符,至少包含四类字符中的三类,即大写字母、小写字母、数字,以及键盘上的符号。
4、关闭服务器上没有必要的网络服务
系统安全的最大漏洞就在于网络服务,对于系统中没有必要的服务我们就应关闭,往往是越精简的系统越安全。
5、监测系统日志
系统日志即记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹,便于及时解决出现的问题。
6、定期对服务器文件进行备份与维护
为防止不能预料的系统故障或用户不小心的非法操作,系统管理员需要定期备份服务器上的重要文件。服务器最好采用RAID方式进行备份,重要的资料还应保存在其它服务器上或者备份在光盘中。监视服务器上资源的使用情况,删除过期和无用的文件,确保服务器高效运行。
三、基于VLAN的企业网络安全部署
VLAN(Virtual Local Area Network)即“虚拟局域网”。ULAN是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的数据交换技术。这一技术主要应用于交换机和路由器中.但主流应用还是在交换机之中。但又不是所有交换机都具有此功能,只有VLAN协议的第三层以上交换机才具有此功能。
采用通过将企业网络划分为虚拟网络VLAN网段,可以强化网络管理和网络安全,控制不必要的数据广播。在共享网络中,一个物理的网段就是一个广播域。而在交换网络中,广播域可以是有一组任意选定的第二层网络地址(MAC地址)组成的虚拟网段。这样,网络中工作组的划分可以突破共享网络中的地理位置限制,而完全根据管理功能来划分。
VLAN技术的核心是网络分段,根据不同的应用业务以及不同的安全级别,将网络分段并进行隔离,实现相互问的访问控制以达到限制非法访问的目的。为了提高网络的安全性,应避免将企业不同部门处于同一网段,可将不同部门划分在不同的VLAN中。设置VLAN还可以缩小ARP病毒的影响范围,ARP病毒的有效作用域为带毒主机所在的广播域。
按照使用的需要在企业网内设置多个广播域可以有效抑制由ARP病毒发作造成的广播风暴。ULAN技术很好地解决了网络管理的问题,提高了网络的安全性。
企业网络安全是一个系统性工程,不能仅仅依靠技术,还需要建立相应的管理制度,将各种技术与管理手段结合在一起,就能生成一个高效、通用、安全的网络系统。