基于重保场景的网络安全架构应用方案_吴国良.pdf
《基于重保场景的网络安全架构应用方案_吴国良.pdf》由会员分享,可在线阅读,更多相关《基于重保场景的网络安全架构应用方案_吴国良.pdf(4页珍藏版)》请在咨信网上搜索。
1、2023.7电脑编程技巧与维护1背景采用自动化来简化IT的安全运维工作,具有以下优点:(1)提高效益。自动化运维基本无需人工操作,不仅能增加产出,还能使运维人员摆脱繁杂传统的运维工作。(2)使网络安全运维更可靠。网络安全运维常常需要对突然发生的状况采取果断和及时的处置,而自动化网络安全运维可以明显提高可靠性。自动化网络安全运维能够对攻击进行预期和反应,可建立模式,可运用算法进行控制,使得网络安全监控平台可以对风险进行分析,从而降低损失,网络安全管理员履行职责的效率。2方案拓扑图网络架构拓扑总图如图1所示。按照功能进行分区设计,可以分为以下区域。(1)内部服务器区域,包括AD域控及对外、对内都需
2、要提供服务的Web服务器和为各服务器提供漏洞扫描的漏扫设备。(2)企业内为网的核心区域,包括2台对外连接互联网的防火墙和2台为内部行政部门等提供网关的核心路由器。(3)行政部门区域,包含行政办公人员的办公终端设备,以及为这些终端设备自动分配IP的DHCP服务器。(4)运维区域,该区域安装的设备为Zabbix,包括企业内网中的运维工作和运行情况监控工作。3环境搭建3.1核心区域配置核心区域中的设备包含路由器与防火墙,作为整个网络架构中的核心部分和核心路由部分。需要对4台设备使用动态路由协议来同步路由,该动态路由协议使用OSPF来实现,OSPF关键配置实例如下。核心路由器左:OSPF关键配置osp
3、f 1area 0.0.0.0network 1.1.1.0 0.0.0.3network 2.2.2.0 0.0.0.3area 0.0.0.2network 10.10.0.0 0.0.255.255network 100.10.10.0 0.0.0.3network 100.10.30.0 0.0.0.3area 0.0.0.3network 101.1.1.0 0.0.0.3network 101.1.3.0 0.0.0.3-说明:两台防火墙的OSPF配置与上述类似,要注意,开启安全策略时需要在安全策略中放行配置操作。由图1可知,在2台路由器中设置冗余网关协议,为甲方企业内行政办公的终
4、端进行网关冗余的设置,将基金项目:2022年广东省本科高校教学质量与教学改革项目-以工作室为载体,构建科产教协同培养卓越工程人才“一一二”新模式探索(1104);2022年大学生创新创业训练计划项目(S202212668007)。作者简介:吴国良(1999),男,本科,研究方向为路由交换、网络安全;王煜林(1982),男,通信作者,副教授,硕士,研究方向为网络安全、云计算;刘绍然(1999),男,本科,研究方向为路由交换、网络安全;凌睿(2002),女,本科,研究方向为人工智能、计算机网络技术。基于重保场景的网络安全架构应用方案吴国良,王煜林*,刘绍然,凌睿(广州理工学院计算机科学与工程学院,
5、广州510540)摘要:项目根据 Zabbix 监控平台的特性,使用网络设备与 Zabbix 服务器之间相连接的 SNMP Trap 告警信息进行对应的自动化操作。利用这一自动化功能将防御系统和 DDOS 攻击联系起来,并实现对威胁的自动感知与判断。关键词:HRP 双机热备;DDOS 攻击;Shell 脚本自动化图1网络架构拓扑总图173DOI:10.16184/prg.2023.07.0162023.7电脑编程技巧与维护研发部和财务部的Master设备设置左1路由器,设置市场部和行政部在左1路由器为Standby。将市场部和行政部的Master设备设置为右1路由器,设置研发部和财务部在右1路
6、由器为Standby。核心路由器左:VRRP关键配置命令演示如下。interface GigabitEthernet0/0/2.10dot1q termination vid 10ip address 10.10.10.252 255.255.255.0vrrp vrid 1 virtual-ip 10.10.10.254/创建/10.10.10.254冗余组vrrp vrid 1 priority 120/调整该设备在本组的优先/级,越高越优,手动最高为254interface GigabitEthernet0/0/2.30dot1q termination vid 30ip address
7、 10.10.30.252 255.255.255.0vrrp vrid 3 virtual-ip 10.10.30.254/创建/10.10.30.254冗余组vrrp vrid 3 priority 80/为了使该设备不为本组/的MASTER设备采用手动/降级方式-说明:另外一端的核心路由器右配置与上述类似。3.2路由汇聚区域配置在路由汇聚区域一共有4台路由器,分别是为服务器提供路由支持的AR1和AR2,为Zabbix和其他运维设备提供路由支持的AR3和AR4。为服务器提供路由服务的AR1和AR2需要运行VRRP网关冗余协议,服务器另起一个网段(172.16.10.0/24网段),在两个路
8、由器之间创建172.16.10.254冗余网关组,由AR1作为该网段的Master设备,由AR2作为Standby进行备份。与企业内网进行路由同步也是采取OSPF动态路由协议。以AR1为例展示VRRP与OSPF的关键命令如下。interface GigabitEthernet0/0/0.10dot1q termination vid 10ip address 172.16.10.252 255.255.255.0vrrp vrid 1 virtual-ip 172.16.10.254vrrp vrid 1 priority 120/将AR1作为该组的MASTER设备quitospf 1area
9、 0.0.0.1network 172.16.10.0 0.0.0.255network 200.1.1.0 0.0.0.3network 200.1.2.0 0.0.0.3quit3.3防火墙安全防护配置(1)要对企业内网发起的Web网站访问请求进行审查,确保各部门都能正常访问位于服务器区域中的服务,并且要对这两个方向的流量进行内容过滤,防止从服务器横向传播的蠕虫病毒感染内网其他主机,同时也防止从各部门的终端设备向服务器横向传播的蠕虫病毒感染企业对内和对外的服务器,避免损失。(2)要对企业中对外提供服务的服务器进行严格的防护,确保从外网流向内部服务器区域的服务请求可以正常被服务器接受并处理回
10、应,同时也要确保该流量的内容没有安全风险。需要对该方向的所有流量进行入侵检测、反病毒扫描等,对所有流量进行过滤,进而确保流量的正常访问和安全性。(3)为处于运维保障区域中的Zabbix进行监控设备状态和自动化远程命令下发的流量进行放行。Zabbix基于SNMP协议对网络中的所有网络设备进行状态监控和发布对应的远程命令,对此对所有安全区域中的SN-MP和SNMP Trap流量进行放行,保障Zabbix与各网络设备可以正常交互。(4)由于网络中所有路由器均采用OSPF进行动态路由的生成,防火墙夹在各路由器之间无法正常与OSPF协商所需的各项报文交互,导致OSPF邻居无法建立,路由信息无法同步到每台
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于 场景 网络安全 架构 应用 方案 吴国
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。