|
作者: TecZm [teczm] 版主 | 登录 |
方案摘要: 1. 身份认证: 1.1 服务器端 ERP服务器端安装Lxxx Agent for Oracle、Lxxx Agent for WIN2000 PDM服务器端安装Lxxx Agent for Lotus Domoni、Lxxx Agent for WIN2000 X服务器端安装 Lxxx Agent for Solaris CISCO xxxx配置 Radius认证 xx 防病毒防火墙配置Radius认证 所有LGET Agent均指向Lxxx Server ,ip:x.x.x.x 1.2 网管中心 系统管理员账号与Lxxx Token绑定,所有登录认证采用Lxxx动态口令+PIN码双因素身份认证 1.3 客户端 客户端人员账号与Lxxx Token绑定,应用系统登录认证采用Lxxx动态口令+PIN码双因素身份认证 2.防病毒: 2.1 内网防病毒 配备一台rising Anti Virus Server 客户端安装rising Anti Virus client 2.2 网络接入防病毒 配备一台Fxxxx防病毒网关 3.外网访问审计 在cisco xxxx映射端口,使用jxxx安全审计平台,对内网用户访问外网实行内容审计和邮件审计。 4.其它 为防止网内用户黑客行为,技术手段可参考内网安全审计实施方案。 [此贴被 TecZm(teczm) 在 06月17日08时29分 编辑过] [此贴被 TecZm(teczm) 在 06月17日08时30分 编辑过] |
地主 发表时间: 04-06-17 08:27 |
回复: Achieve [achieve] 版主 | 登录 |
提几点认识 1、接入internet的路由器图标不应该这么画,这是“千兆位atm标记路由交换机”的图标,我想这是你对路由器的不熟悉造成的笔误。 2、我不明白你把三层交换机的旁边画个红绿灯是什么用意?是否是配置的防病毒网关?你用什么监控软件? 3、你要计算一下整个网络设计中有多少个节点即需要多少个交换机端口?高密度的三层交换机其价格是很昂贵的,如果整个网络超过48个端口你需要用分层结构分为核心层和接入层。 4、在服务器上作身份验证是对的,保证了服务器的安全,但是你要想保证整个网络的安全你在路由器上和防火墙上只做Radius认证是远远不够的,因为这个认证是保护路由器的而不是保护局域网的,对登录路由器和防火墙进行身份验证,任何利用合法数据流进出防火墙路由器的你都无法防范!所以还是在这两台设备上定制好安全策略才是上策。 5、如果是在路由器上镜像端口用一台主机作为审计和日志这将会增大管理员的劳动量除非花大价钱购买一套合适的分析软件,内容审计的设备价格不菲。如果你防火墙买的合理,费用将节省。从这个方案上看不出你防火墙的任何用途。 6、你内网的安全手段显然不能copy外网的做法。内网可预测性也强,策略也容易定制,和vlan配合,服务器日志。 7、拓扑图都用了标准图标但是整体没有层次感,没有明朗的区域区分,譬如将网管区、工作区用背景色区分开或用轮廓描绘开,服务器、网管、设备都是在网络中心的,拓扑图要明朗化。 |
B1层 发表时间: 04-06-17 10:51 |
回复: TecZm [teczm] 版主 | 登录 |
红绿灯是Lxxx Agent 标志,本来图上有图例,但俺怕你们说我做广告,所以去掉了 外网审计使用的是jxxx安全审计平台,硬件、linux OS、管理员只需要定制策略、偶尔查看既可。 这部分费用在10万以上 版主能不能抽空把俺的图改一改? |
B2层 发表时间: 04-06-17 11:17 |
回复: NightColor [nightcolor] 版主 | 登录 |
老A你可真精神 起得这么早 |
B3层 发表时间: 04-06-17 11:21 |
回复: lijingxi [lijingxi] 见习版主 | 登录 |
真强!一般的公司是做不到这样的网络的! |
B4层 发表时间: 04-06-17 14:58 |
回复: ftpftp [ftpftp] 论坛用户 | 登录 |
|
B5层 发表时间: 04-07-01 15:41 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号