网站安全整改方案

篇一：网络安全建设整改方案

四川沃联科技有限公司 www.valink.com.cn

专注系统集成、综合布线、监控系统、网络安全领域

网络

安

全

建

设

整

改

方

案

设计实施单位：四川沃联科技有限公司

.cn

四川沃联科技有限公司｜领先的信息与技术服务公司

? 第一章：公司介绍

? 第二章：客户需求

? 现有问题状况

? 第三章：推荐的安全方案

? 应用背景

? 联合防御机制

? 内外中毒PC预警通知

? 反ARP攻击

? 入侵检测

? 阻挡外部病毒入侵

? 第四章：安全方案的实施

? 安装实施杀毒软件

? 安装实施统一威胁安全网关

? 第五章：产品介绍

? AboCom统一威胁网关介绍

.cn

四川沃联科技有限公司｜领先的信息与技术服务公司

第一章 公司介绍

四川沃联科技有限公司,致力于信息技术及产品的研究、开发与

应用，为政府、教育、企业提供适合、优质、可靠的信息技术产品和

各种类型的解决方案，包括计算机网络系统集成工程、网络安全系统

设计和建设、专业化的网络信息管理系统集成、建筑工程弱电系统设

计和集成、独具特色的行业应用系统以及网络安全和文档安全解决方

案、企业应用软件开发与推广。

公司坚持“客户需求是我们永远的目标”的经营理念，并努力在

内部贯彻高效、和谐、自信、坦诚的企业文化。坚持不断探索、不断

创新的自我超越精神，努力提升团队的服务能力。

“品质与价值、承诺必实现”是沃联对用户不变的保证，我们期待

成为您的IT合作伙伴优先选择。

第二章 客户需求

根据贵公司描述情况，我们发现贵公司有如下安全需求：

1、 内网病毒的防护。保护内网计算机安全

2、 控制上网电脑的一些上网行为，如限制下载、限制即时通信

软件、限制浏览网站、限制BBS等

3、 控制电脑的上网权限，有认证的电脑才能上网

4、 对垃圾邮件、病毒邮件的阻止。对邮件行为控制

5、 保护内部电脑不受黑客攻击

四川沃联科技有限公司｜领先的信息与技术服务公司 .cn

第三章 推荐的安全方案

我们提供的安全方案：内外兼具的网络安全管理解决方案

1、应用背景

病毒通常是以被动的方式透过网络浏览、下载，E-mail 及可移动

储存装置等途径传播，通常以吸引人的标题或文件名称诱惑受害者点

选、下载。中毒计算机某些执行文件会相互感染，如 exe、com、bat、

scr 格式的档案；而黑客通常会针对特定的目标扫描，寻找出该系统

的漏洞，再以各种方式入侵系统并植入木马程序，也可利用一个个已

被攻陷的计算机组成殭尸网络（Botnet）对特定目标发动大规模的分

布式阻断服务攻击（DDoS） 或 SYN 攻击，藉以把目标的系统资源耗

尽并瘫痪其网络资源，若该目标是企业对外提供服务的服务器，必然

会造成企业若大的损失。

早期的网络用户注重对外部威胁的防范而疏于对内防护，而目前有较

多的安全隐患往往从内部网络产生；友旺科技提供内外兼具的立体安

全防护手段，不仅在网络出口的第一道屏障就防止病毒及攻击进入内

部网络，同时也对从内部发起攻击有针对性防范，为企业网络的安全

层层护航。

2、联合防御机制

我们认为企业内网的防护应该是全方位立体的联合防御机制，网

络防护应该从第二层到第七层综合防护，友旺科技产品独有的联合防

四川沃联科技有限公司｜领先的信息与技术服务公司 .cn

御技术将二层的周边交换机及三层的核心交换机有效的整合在一起，

通过联合防御技术达到综合防御管理的目的。把内网有异常的用户所

造成的危害有效控制。达到从第二层就防御的目的。

3、 内网中毒PC预警通知

内部用户中毒特别是中蠕虫病毒后如果不加以重视，采取适当措

施，网络蠕虫病毒会在短时间内对内部网络用户造成极大的危害，如

不采取适当措施，MIS将对局域网络失控； AboCom从2002年开始，

采用先进的内部中毒用户预警防御技术，将可能的网络网络风暴在一

开始就通过多种方式第一时间告知管理员，是哪个用户的哪台PC在

何时出现问题，不会让管理员束手无策，难以定位，从而达到预警可

控的目的。

当察觉内部有 PC 中毒时，不只可以阻挡异常IP发生封包，还会寄

出警讯通知信给系统管理员并发出 NetBIOS 警讯通知中毒 PC，告知

系统管理员是哪个 IP 的计算机疑似中毒，而 PC用户也可及时接获

警讯的通知来得知自己的计算机中毒必须赶紧找 MIS 来处理，这样

管理员便可以迅速地找出中毒的 PC，轻松解决内部PC 中毒的困扰。

4、 反ARP攻击

ARP攻击通过伪装网关的IP地址，不仅可能窃取密码资料，同时

也使内部受攻击用户无法正常上网，使网络造成中断；管理员如不及

时采取措施，受到攻击用户数量可能扩散，因此，友旺科技在网络网

四川沃联科技有限公司｜领先的信息与技术服务公司 .cn

篇二：网络安全整改方案00

公司网络现状及整改方案

一、公司现网络结构

二、公司网络现存在问题

1、网络内部各车间线路布放不规范，没有保护措施，导致被过往员工踩踏和老鼠咬断，以至于网络使用情况经常不稳定。

2、服务器工作文件杂乱，现服务器只是采用很单纯的文件夹共享功能，让大家在服务器上上传和下载文件，没有权限管理，任何电脑都能上传文件和下载。导致把带有OFFICE病毒的文件上传至服务器，导致下载文件的电脑同时也感染病毒。造成经常有电脑网络浏览缓慢，无法访问服务器等情况，情况严重时会导致整个内网瘫痪。

3、经常会有电脑无法登陆网络，或者网络访问极慢等情况。经检查均为电

脑自身中了网络病毒或网络内部某一台电脑的病毒影响整个网络，造成整个公司网络传输堵塞。

4、网络不稳定，时快时慢。初步排查为近年公司高速发展，办公电脑逐渐增多，网络互换访问量过大。公司初建成使用的路由器已经无法满足现公司众多电脑的数据访问交换，以至于路由器长期在高负荷的运行状态造成网络不稳定的情况。

三、 处理建议。

更换服务器

建议公司使用专业服务器，购置硬件防火墙。组建公司专业的网站，所有信息通过互联网采用OA软件，对所有公司内部文件通过OA软件以邮件方式互相发送，实现从车间对部门，员工对领导，发布消息统一化，自动化的方式。最终达到有互联网的地方就能实时办公，浏览重要文件。

服务器网络拓扑图

2、增加网络设备

首先更换现使用的飞鱼星路由器，采用飞鱼星商务专用路由器（同时能承受

200台电脑同时上网访问），建议在公司1楼主机房增加一台48口核心交换机，对每个楼层更换商务专用交换机，对每个楼层每个车间划分网络VLAN（独立网络），杜绝网络病毒瘫痪整个网络，让每个楼层都有独立的网络，但又能共同使用OA软件。

因把网站放一台服务器上，文件放一台服务器上，从而达到“1比1服务”不会出现网络混乱。

最终网络拓扑图

2014年1月1日

网络管理员：黎龙

篇三：给赵明的网站安全整改方案

1. 网站现状与存在的问题分析

不了解现状，不分析现状，不找到问题，就无从谈起方案整改，为此我们先分析下赵明的网站网络安全现状。

这个图是视频最后提供的一份网络拓扑，从这份拓扑上，我们可以了解如下信息：

1) 赵明负责维护的网站，主要提供web服务，并且有2台web应用服务器同时提供服务；

2) web服务器后台存在独立的数据库服务器

3) 互联网接入，首先连接的是负载均衡器，并由该设备采用负载均衡方式将流量分配到主、被web应用服务器，保证系统高效运行；

4) 整改网络上没有网络安全防护设备，没有对重要服务器进行独立保护。

从上述信息，我们可以分析得到所存在的主要安全技术问题如下：：

1) 互联网接入边界，没有防护设备，互联网对应用服务器的访问不受任何访问控制与检测，容易遭受来自互联网的

各种攻击，包括Dos/DDos、SQL注入等等；

2) 网络内部，没有将主/备应用服务器、数据库等进行独立保护，他们之间的网络互访没有任何限制；

3) 网络内部没有网络流量审计系统，对于来自互联网的访问，没有进行审计记录，无法追查任何恶意访问、攻击事件。

此外，我们在播放的赵明视频中，还可以很容易的发现所存在的管理问题：

1) 工作时间休息开小差——睡觉，即使有网络监控设备，也会因为没有技术人员的适当操作配合，而让入侵继续造成破坏；

2) 没有应急方案，发现入侵，只是愤慨，没有相应的应对操作流程。

2. 整改目标

针对上述存在的问题，我们可以很容易确定本次整改方案目标：

1) 提升整改网络、对外应用服务器的抗攻击能力；

2) 实现对攻击事件、访问事件的实时监控能力；

3) 通过合理的网站备份，能及时恢复受攻击的网站；

4) 制定安全管理、安全运维、应急操作管理制度和流程。

3. 整改方案说明

3.1. 网络拓扑

3.2. 方案说明

安全区域划分

如图示，划分为主应用服务器区、主数据库服务器区、备用服务器区、互联网接入区，安全区域划分后，可以很方便明确哪个区域容易遭受攻击，哪个区域需要重点保护等等，并且可以进一步在相应的区域间部署相应网络安全设备。

互联网防火墙部署

如图①所示，在互联网接入边界，部署作为基本防护措施的防火墙设备，实现端口级别的控制，降低到下一个设备的违规流量。

Web防火墙部署

如图②所示，部署web防火墙，实现对网站合法端口上的各种攻击防护，如SQL注入攻击、跨站攻击等等，并记录网站访问行为。

内网防火墙部署

如图③所示，部署内网区域隔离防火墙，对主应用服务器区、主数据库服务器区、备用服务器区之间的网络互访进行访问控制，隔离其他不需要的流量。

入侵检测系统部署

如图④所示，部署入侵检测系统，同时检测内网2个交换机的网络流量，对内部流量、互联网流量进行实时检测，及时发现透过web防火墙的入侵流量，并进行报警，必要时可以与互联网接入防火墙实现安全联动。

4. 方案效果说明

通过上述整改后的网络安全方案，至少可以实现如下效果：

1) 在互联网接入部分，同时部署有防火墙和web防火墙，可以各司其职的分别对网络端口、应用流量攻击进行检测和自动阻断，只要设备特别是web防火墙的特征码实时更新，基本可以防护所有的来自互联网的攻击。另外上述设备具备的日志功能，可以基本满足对攻击日志、日常访问日志的记录和审计使用；

2) 在内网，按照应用系统的安全级别、使用方式等进行安全区域划分，并通过内网防火墙实现区域间访问控制，进一步加强内部网络互访控制措施；

3) 在内网部署入侵检测系统，是作为web防火墙的补充和二次检测使用，建议此处使用与web防火墙不同品牌的入侵检测系统，使用不同的攻击代码特征库，实现互补措施，并且通过该设备，可以对网络内部、互联网流量情况进行报表分析，便于管理员实施了解网络访问状况。

其他方面，“三份技术，七分管理”，是经常提起的一句话，现状也说明赵明的运维确实存在安全管理问题，所以建议赵明完善网络安全运维制度、应急响应操作规范等制度规范，不要再工作时间睡觉，不要再发现入侵时无所事事。