为自己加油

[说明] 图3-1是某制造企业网络拓扑，该网络包括制造生产、研发设计、管理及财务、服务器群和销售部等五个部分。该企业通过对路由器的配置、划分VLAN、使用NaT技术以及配置QoS与ACL等实现对企业网络的安全防护与管理。 随着信息技术与企业信息化应用的深入融合，一方面提升了企业的管理效率,同时企业在经营中面临的网络安全风险也在不断增加。为了防范网络攻击、保护企业重要信息数据，企业重新制定了网络安全规划，提出了改善现有网络环境的几项要求。 1.优化网络拓扑，改善网络影响企业安全运行的薄弱环节; 2.分析企业网络，防范来自外部攻击，制定相应的安全措施; 3.重视企业内部控制管理，制定技术方案，降低企业重要数据信息的泄露风险; 4.在保证I投资合理的范围，解决远程用户安全访问企业网络的问题; 5.制定和落实对服务器群安全管理的企业内部标准。 [问题1](5分) 请分析说明该企业现有的网络安全措施是如何规划与部署的，应从哪些角度实现对网络的安全管理。 [问题2](5分) 请分析说明该企业的网络拓扑是否存在安全隐患,原有网络设备是否可以有效防御外来攻击。 [问题3](5分) 入侵检测系统(IDS)是-种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。请简要说明该企业部署IDS的必要性以及如何在该企业网络中部署IDS。 [问题4](5分) 销售部用户接入企业网采用VPN的方式，数据通过安全的加密隧道在公共网络中传播，具有节省成本、安全性高、可以实现全面控制和管理等特点。简要说明VPN采用了哪些安全技术以及主要的VPN隧道协议有哪些。 [问题5](5分) 请结合自己做过的案例,说明在进行企业内部服务器群的安全规划时需要考虑哪些因素。

问题1： 现有安全部署比较欠缺，服务器区直接接入核心交换机，缺乏有效的防火墙和IDS的保护。对于管理、财务部们的重要数据也不能仅仅使用 vlan，ACL隔离。重点从接入访问控制，身份认证，操作系统安全，应用系统授权等方面进行处理。 问题2： 拓扑结构存在的安全隐患 1.核心层设备没有冗余，存在单点故障 2.接入层设备到核心层设备的链路也存在单点故障，应配置冗余链路。 3.制造生产部应该双链路直接连接到核心交换机上，而不是接入研发部分的交换机上 4.服务器群有条件应该设置专门的服务器区，添加防 火墙或者IDS进行保护。原有设备不能提供有效的防御，应该在出口路由器上添加防火墙设备。 问题3： 必要性：IDS主要用于防范来自内部网络的攻击，同时也可以防止因为防火墙失效或者被攻破之 后来自外围的攻击行为。是企业网络安全中的重要技术。 内部部署：通常放置于内部网络中需要重点保 护的位置，如服务器群和其他的核心部门。 问题4： VPN主要采用的技术有：身份认证技术、数据加密技术、密钥管理技术、 隧道技术等，主流的VPN隧道技术有2层的L2TP、 PPTP和3层Ipsec。 问题5： 由于服务器的运行情况直接影响到整个网络应用，尤其需要分析企业的核心业务对应的服务器，重点 进行保护。如合理组织多台服务器形成服务器集群，在集群上 创建原来的多个服务，从而提高稳定，可靠性。进行合理的负载均衡，保证服务器的性能。重点保护数据安全，部署IDS系统和数据备份，恢复系统。部署IDS系统和其他相关的安全设备，完善服务器日 志系统，建立安全审计等。