返回
无线城市网络故障和安全解决思路.doc

无线城市网络故障和安全解决思路.doc

ID:55584980

大小:676.00 KB

页数:9页

时间:2020-05-19

无线城市网络故障和安全解决思路.doc_第1页
无线城市网络故障和安全解决思路.doc_第2页
无线城市网络故障和安全解决思路.doc_第3页
无线城市网络故障和安全解决思路.doc_第4页
无线城市网络故障和安全解决思路.doc_第5页
资源描述:

《无线城市网络故障和安全解决思路.doc》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、无线城市网络故障及安全的解决思路一:出口带宽解决思路如何利用最小的成本,实现最大的功能?这个一直是我们在组网时,考虑的重点。目前四大主城区,总出口带宽不到1G,故直接使用一台上网行为审计设备作为出口。但是随着前端的建设不断完工,考虑到后期单个主城区业务带宽可能会超过20G,这样就会出现网络堵塞,出口带宽不足的现象。如果采用多台行为审计设备并联作为出口,这将会造成组网成本的增加,且网络配置变的更加复杂!故采用一台防火墙设备作为出口,行为审计设备旁路的组网模式。二:系统可靠性解决思路关键网络设备和通信线路提供

2、硬件冗余,保证系统的可用性。目前4大主城区,核心交换机分别有两台。汇聚设备以双上行的方式到达网络核心层。当其中一台核心设备宕机后,另外一台设备可以保证业务不中断。其次四大主城区的无线控制器AC设备也是两台,分别是一主一备。深信服出口链路规划有多条,多条链路之间实现负载均衡,确保可实现每个区20G带宽出口,甚至更高。三:Vlan规划与ARP攻击防范目前一个热点规划三个vlan,分别是POE交换机管理vlan;AP管理vlan;用户的业务vlan。VLAN技术目的在于将交换机划分成多个逻辑组(VLAN),减小

3、广播域的范围,抑制arp攻击(把arp攻击的范围缩小一点)。还可以确保了某VLAN的信息不会被其他VLAN的人所窃听,从而实现信息的保密。ARP攻击的目的有两个,一是窃取数据;二是破坏他人的网络。对于无线网络来说最有效的方法是划分vlan,开启AP隔离,开启用户隔离,这样ARP攻击就没办法了。四:信息系统安全解决思路:如何防止非法用户接入,如何防止恶意攻击(ARP攻击、DHCP攻击),如何防止AP过载(广播风暴),如何防止木马、病毒等在内网的传播,如何防止用户发表不当言论,如何防止ddos攻击,如何防止网

4、页篡改。总之如何保护我们的信息系统不被攻击。针对以上安全问题,我认为应该做好以下几个方面。1)在互联网出口部署深信服AC12000设备,该设备是一台用户上网行为管控和审计的设备,该设备具有以下功能可以有效的提升内网安全:a)支持在设置流量策略后,根据整体线路或者某流量通道内的空闲情况,自动启用和停止使用流量控制策略,以提升带宽的高使用率;b)支持通过抑制P2P的下行流量,来减缓P2P的上行流量,从而解决网络出口在做流控后仍然压力较大的问题;(QOS)c)支持外发信息过滤,防止信息泄露;d)识别异常流量、阻

5、断网络攻击与异常行为的发生;可以避免无安全防护的STA终端被病毒感染或被劫持2)在认证平台区部署华为下一代usg6500防火墙防火墙作为不同网络或网络安全域之间信息的出入口,能根据安全策略控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。该设备具有以下功能也可以有效的提升内网安全:a)支持对常见应用服务和数据库软件的口令暴力破解防护功能;b)支持针对B/S架构应用抵御SQL注入、XSS、系统命令等注入型攻击;支持跨站请求伪造CSRF攻击防护;支持对ASP

6、,PHP,JSP等主流脚本语言编写的webshell后门脚本上传的检测和过滤;支持对网站的扫描防护和防止恶意爬虫攻击;支持其他类型的Web攻击,如文件包含,目录遍历,信息泄露攻击等;c)具备针对主流网站内容管理系统CMS的安全防护能力,如dedecms,phpcms,phpwind等;支持的CMS类型数量不少10种;d)支持B/S服务漏洞扫描功能,可扫描WEB网站是否存在SQL注入、XSS、跨站脚本、目录遍历、文件包含、命令执行等脚本漏洞;3)在互联网出口部署入侵防御设备,IPS设备具有以下功能,也可以有

7、效的提升内网安全:a)支持对网络蠕虫、木马后门、间谍软件等各种攻击行为进行检测及防御;b)支持对国内流行木马的检测及防御功能;c)支持服务器防护功能,能有效检测服务器的非法外联行为;d)提供SQL注入攻击、XSS攻击的检测和防御,对Web服务系统提供保护;e)具备Web过滤功能,支持黑白名单、关键字过滤、禁止HTTP代理、URL分类过滤、内容过滤等方法;f)系统支持恶意代码动态检测联动功能,能够和基于虚拟机或沙箱的检测系统联动,系统将流经的http、ftp、邮件协议中包含的office文档、图片文档及压缩

8、文档提交给APT检测系统,并获得APT的检测结果,并可以登录到APT检测系统查看检测到恶意行为等结果;g)可通过授权扩展支持对HTTP、FTP、SMTP、POP3、IMAP协议的病毒检测和过滤功能;h)支持对文件感染型病毒、蠕虫病毒、脚本病毒、宏病毒、木马、恶意软件等的过滤。4)在认证平台区以旁路的模式部署IDS设备,该设备是一台入侵检测设备,该设备具有以下功能可以有效的提升内网安全:a)具有对网络病毒、蠕虫、间谍软件、木马后

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。