目標(biāo)企業(yè)網(wǎng)絡(luò)系統(tǒng)安全需求分析與設(shè)計(jì)案例目錄TOC\o"1-3"\h\u15837目標(biāo)企業(yè)網(wǎng)絡(luò)系統(tǒng)安全需求分析與設(shè)計(jì)案例 1254931.1企業(yè)網(wǎng)絡(luò)系統(tǒng)需求分析 1289431.2企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì) 296451.3企業(yè)網(wǎng)絡(luò)地址分配 29696第2章企業(yè)網(wǎng)絡(luò)系統(tǒng)測(cè)試 3275352.1IP地址信息自動(dòng)獲取及全網(wǎng)連通性測(cè)試 398202.2身份認(rèn)證測(cè)試 4302992.3SQL注入防護(hù)測(cè)試 5228722.4DOS攻擊防護(hù)功能測(cè)試 61.1企業(yè)網(wǎng)絡(luò)系統(tǒng)需求分析企業(yè)新廠區(qū)網(wǎng)絡(luò)系統(tǒng)為初次布置，所有設(shè)備均需采購但資金有限，且企業(yè)自身已經(jīng)劃分好了網(wǎng)絡(luò)區(qū)域，，按照企業(yè)的劃分，網(wǎng)絡(luò)區(qū)域大概劃分為四部分，分別為web服務(wù)器區(qū)，數(shù)據(jù)庫區(qū)，生產(chǎn)部區(qū)，銷售部區(qū)。其中web服務(wù)器區(qū)與數(shù)據(jù)庫區(qū)的服務(wù)器安置在中心機(jī)房?jī)?nèi)，而生產(chǎn)部與銷售部區(qū)的遍布在各個(gè)廠房?jī)?nèi)。而且企業(yè)內(nèi)終端數(shù)量較多（包括許多移動(dòng)終端），并且隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大和網(wǎng)絡(luò)復(fù)雜性的增加，網(wǎng)絡(luò)配置變得越來越復(fù)雜，計(jì)算機(jī)位置變化(如便攜機(jī)或無線網(wǎng)絡(luò))和計(jì)算機(jī)數(shù)量超過可分配的IP地址數(shù)量，導(dǎo)致IP地址頻繁變化和IP地址不足的情況。這個(gè)時(shí)候手工配置完全不能滿足企業(yè)需求，此外，為局域網(wǎng)上的大量主機(jī)手動(dòng)配置IP地址、掩碼、網(wǎng)關(guān)和其他參數(shù)是很繁瑣的，而且容易出錯(cuò)，如IP地址沖突，故此需要采用DHCP技術(shù)來為終端配置ip地址、掩碼、網(wǎng)關(guān)、DNS服務(wù)器等參數(shù)。而DHCP是即插即用的，也就是說，客戶無需配置就能獲得IP地址和相關(guān)參數(shù)。并簡(jiǎn)化了客戶的網(wǎng)絡(luò)配置，降低了維護(hù)成本，通過對(duì)DHCP服務(wù)器的統(tǒng)一管理，統(tǒng)一分配所有IP地址和相關(guān)參數(shù)信息；通過IP地址租約管理，提高IP地址的使用效率，并通過使用DHCP中繼，可以讓客戶和DHCP服務(wù)器在不同的子網(wǎng)中實(shí)現(xiàn)協(xié)議消息交互。其次，企業(yè)要對(duì)中心機(jī)房進(jìn)行重點(diǎn)保護(hù)，所以采用下一代防火墻對(duì)企業(yè)的內(nèi)網(wǎng)安全進(jìn)行保護(hù)，對(duì)企業(yè)自身發(fā)布的網(wǎng)站進(jìn)行保護(hù)，能防止來自互聯(lián)網(wǎng)的信息安全威脅，同時(shí)企業(yè)內(nèi)網(wǎng)的使用也要進(jìn)行重點(diǎn)監(jiān)督，所以采用了AC(上網(wǎng)行為管理),其中的用戶身份認(rèn)證，有效的解決了對(duì)企業(yè)內(nèi)部人員上網(wǎng)的管理，同時(shí)還可以保障核心業(yè)務(wù)的帶寬。然后核心層采用雙機(jī)備份，能有效的防止因?yàn)樵O(shè)備故障而導(dǎo)致網(wǎng)絡(luò)癱瘓，對(duì)企業(yè)造成不必要的損失。通過這些已經(jīng)實(shí)現(xiàn)在設(shè)備或軟件上的技術(shù)，可以有效的保護(hù)企業(yè)內(nèi)網(wǎng)的安全性。1.2企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)按照企業(yè)需求，把企業(yè)網(wǎng)絡(luò)區(qū)域大概劃分為五個(gè)小區(qū)域，三個(gè)大區(qū)域，五個(gè)小區(qū)域?yàn)閣eb服務(wù)器區(qū)域、數(shù)據(jù)庫服務(wù)器區(qū)域、生產(chǎn)部區(qū)域、銷售部區(qū)域、網(wǎng)絡(luò)核心層區(qū)域，其中服務(wù)器區(qū)域和數(shù)據(jù)庫區(qū)域統(tǒng)一安置在服務(wù)器區(qū)域，生產(chǎn)部區(qū)域與銷售部區(qū)域雖然又眾多廠房，但是統(tǒng)一安置在辦公區(qū)域，最后網(wǎng)絡(luò)核心層區(qū)域也防火墻組成了核心區(qū)域，同時(shí)對(duì)辦公區(qū)域登錄的用戶要進(jìn)行身份認(rèn)證，以便于企業(yè)管理。所以，拓?fù)浣Y(jié)構(gòu)大概如下圖所示： 3-1整體網(wǎng)絡(luò)拓?fù)鋱D1.3企業(yè)網(wǎng)絡(luò)地址分配對(duì)于企業(yè)內(nèi)部私網(wǎng)地址分配，做出如下規(guī)劃，服務(wù)器區(qū)域數(shù)量較少，用私網(wǎng)網(wǎng)段192.168.0.0/24-192.168.255.0/24，辦公區(qū)域主機(jī)、終端數(shù)量較多，用私網(wǎng)網(wǎng)段10.0.0.0/16-10.255.0.0/16，其地址數(shù)量較多，沒有用上的地址段可以用來備用，172.16.0.0/16-172.31.0.0/16這個(gè)私網(wǎng)網(wǎng)段用于給公司網(wǎng)絡(luò)系統(tǒng)設(shè)備中需要給接口配置地址的設(shè)備。綜合上述，企業(yè)私網(wǎng)地址分配如下表3-1：表3-1區(qū)域IP地址段地址個(gè)數(shù)服務(wù)器區(qū)192.168.0.0/1665025辦公區(qū)10.0.0.0/816581375接口172.16.0.0/201040400第2章企業(yè)網(wǎng)絡(luò)系統(tǒng)測(cè)試本章為了考慮測(cè)試企業(yè)網(wǎng)絡(luò)安全性的真實(shí)性，對(duì)系統(tǒng)網(wǎng)絡(luò)進(jìn)行測(cè)試，同時(shí)對(duì)模擬的企業(yè)網(wǎng)絡(luò)系統(tǒng)進(jìn)行攻擊，利用不同的攻擊來測(cè)試企業(yè)網(wǎng)絡(luò)系統(tǒng)的防護(hù)能力，最大程度上還原了測(cè)試的真實(shí)性，增加了測(cè)試結(jié)果的可靠性。2.1IP地址信息自動(dòng)獲取及全網(wǎng)連通性測(cè)試開啟一臺(tái)企業(yè)內(nèi)網(wǎng)主機(jī)，開機(jī)之后打開命令行界面，輸入ipconfig命令，可發(fā)現(xiàn)主機(jī)已經(jīng)自動(dòng)獲取IP地址信息。在測(cè)試內(nèi)網(wǎng)ping網(wǎng)關(guān)與外網(wǎng)百度，有回復(fù)，網(wǎng)絡(luò)連通性沒有問題。2.2身份認(rèn)證測(cè)試對(duì)連接企業(yè)網(wǎng)絡(luò)的用戶進(jìn)行身份認(rèn)證，開始是沒有設(shè)置身份認(rèn)證功能時(shí)，主機(jī)可正常訪問企業(yè)網(wǎng)絡(luò)，連通外網(wǎng)。開啟認(rèn)證功能，創(chuàng)建一個(gè)賬號(hào)為tx123456789，密碼為123456789的用戶。再次打開主機(jī)網(wǎng)頁，發(fā)現(xiàn)需要進(jìn)行身份認(rèn)證。輸出創(chuàng)建好的用戶的賬號(hào)于密碼，完成身份認(rèn)證，并可正常上網(wǎng)。2.3SQL注入防護(hù)測(cè)試對(duì)防火墻進(jìn)行配置，使其對(duì)SQL注入攻擊具有防護(hù)能力在web服務(wù)器發(fā)布在互聯(lián)網(wǎng)的網(wǎng)站