通信网络安全防护工作总结 为提高网络通讯防护水平,从网络结构安全、网络访问控制、边界完整性几个大方向上实行一系列技术手段保障通信网络安全稳定,总结如下:(1)网络冗余与备份使用电信与网通双城域网冗余线路接入,目前电信城域网得接入带宽就是 20 M,联通城域网得接入带宽就是 20 M、可根据日后用户得不断增多与务业得进展需求再向相关网络服务提供商定购更大得线路带宽。(2)路由器安全控制业务服务器及路由器之间配置静态路由,并进行访问控制列表控制数据流向。Q o s 保证方向使用金(Ds c p3 2),银(Dscp 8),铜(Dscp 0)得等级标识路由器得 Qos 方式来分配线路带宽得优先级,保证在网络流量出现拥堵时优先为重要得数据流与服务类型预留带宽并优先传送。(3)防火墙安全控制主机房现有配备有主备 j u nip e r 防火墙与深信服waf防火墙,jun ip er 防火墙具备 i ps、杀毒等功能模块,深信服 wa f防火墙主要用于网页攻击防护,可防止 sql 注入、跨站攻击、黑客挂马等攻击。防火墙使用 Untr u st,T runs t与 DM Z区域来划分网络,使用策略来控制各个区域之间得安全访问。(4)IP 子网划分/地址转换与绑定 已为办公区域,服务器以及各个路由器之间划分 IP 子网段,保证各个子网得 IP 可用性与整个网络得 IP 地址非重复性。使用 NA T,P AT,VIP,M I P 对内外网 IP 地址得映射转换,在路由器与防火墙上使用 IP 地址与 M A C 地址绑定得方式来防止发生地址欺骗行为。服务器及各个路由器之间划分IP子网划分:172、1 6、0、0/1 6(5)网络域安全隔离与限制 生产网络与办公网络隔离,连接生产必须通过连接 v pn才能连接到生产网络。在网络边界部署堡垒机,通过堡垒机认证后才可以对路由器进行安全访问操作,在操作过程中堡垒机会将所有操作过程视频录像,方便安全审计以及系统变更后可能出现得问题,迅速查找定位。另外路由器配置访问控制列表只允许堡垒机与备机 I P地址对其登陆操作,在路由器中配置 3 A认证服务,通过 TAC A S 服务器作为认证,授权。(6)网络安全审记网络设备配置日志服务,把设备相关得日志消息统一发送到日志服务器上作记录及统计操作、日志服务器设置只允许网管主机得访问,保证设备日志消息得安全性与完整性。logging bu ff e red 102400lo g ging trap d eb u ggin glo gg i ng sourc e-i n t...
