2023年网络安全防护工作总结.docx

网络平安防护工作总结 　通信网络平安防护工作总结 　为提高网络通讯防护水平，从网络结构平安、网络访问控 　制、边界完整性几个大方向上采取一系列技术手段保障通信网络 　平安稳定，总结如下： 　（1）网络冗余和备份 　使用电信和网通双城域网冗余线路接入 , 目前电信城域网的接入带宽是 20M,联通城域网的接入带宽是 20M.可根据日后用户 　的不断增多和务业的开展需求再向相关网络效劳提供商定购更 　大的线路带宽。 　2）路由器平安控制 　业务效劳器及路由器之间配置静态路由，并进行访问控制列 　表控制数据流向。 Qos保证方向使用金 (Dscp32), 银(Dscp8), 铜 　(Dscp0) 的等级标识路由器的 Qos 方式来分配线路带宽的优先级 , 保证在网络流量出现拥堵时优先为重要的数据流和效劳类型预留带宽并优先传送。 　（3）防火墙平安控制 　主机房现有配备有主备 　_x000E_ 　juniper 　_x000E_ 　防火墙和深信服 　_x000E_ 　waf 　_x000E_ 　防火墙， 　juniper 　_x000E_ 　防火墙具备 　_x000E_ 　ips 　_x000E_ 　、杀毒等功能模块，深信服 　_x000E_ 　waf 　_x000E_ 　防火墙 　主要用于网页攻击防护，可防止 　_x000E_ 　sql 　_x000E_ 　注入、跨站攻击、黑客挂马 　等攻击。 　防火墙使用 　_x000E_ 　Untrust,Trunst 　_x000E_ 　和 DMZ区域来划分网络 　_x000E_ 　, 使用策 　略来控制各个区域之间的平安访问。 　（4）IP 子网划分 / 地址转换和绑定 　已为办公区域 , 效劳器以及各个路由器之间划分 IP 子网段 , 保证各个子网的 IP 可用性和整个网络的 IP 地址非重复性。 　使用 　NAT,PAT,VIP,MIP 对内外网 IP 地址的映射转换 , 在路由器和防火 　墙上使用 IP 地址与 MAC地址绑定的方式来防止发生地址欺骗行 　为。效劳器及各个路由器之间划分 IP 子网划分 :/16 　（5）网络域平安隔离和限制 　生产网络和办公网络隔离， 连接生产必须通过连接 vpn 才能 　连接到生产网络。在网络边界部署堡垒机 , 通过堡垒机认证后才 　可以对路由器进行平安访问操作 , 在操作过程中堡垒时机将所有 　操作过程视频录像， 方便平安审计以及系统变更后可能出现的问 　题，迅速查找定位。 　另外路由器配置访问控制列表只允许堡垒机 　和备机 IP 地址对其登陆操作 , 在路由器中配置 3A认证效劳 , 通过 　TACAS效劳器作为认证 , 授权。 　（6）网络平安审记 　网络设备配置日志效劳 , 把设备相关的日志消息统一发送到日志效劳器上作记录及统计操作 . 日志效劳器设置只允许网管主机的访问 , 保证设备日志消息的平安性和完整性。 　logging buffered 102400 　logging trap debugging 　logging source-interface Loopback0 　logging XX.XX.XX.XX( 日志效劳器 IP) 　（7）内外网非法连接阻断和定位 　交换机划分 Vlan 方式隔离开内外网区域．关闭空闲没有使 　用的网络设备端口 , 防止非授权设备的私自接入网络 . 如发现非 　授权设备接入网络 , 可在日志效劳器匹配端口关键字对其跟踪记 　录。内部网络用户那么采用 MAC地址绑定进行有效阻断。 已为办公 　网络划分ＩＰ子网并做ＭＡＣ地址绑定， 部署有深信服上网行为 　管理设备，防止非受权设备私自接入网络 　（8）网络 ARP欺骗攻击 　主机与效劳器安装防火墙软件 , 将网关 IP 与 MAC之间作 ARP 　绑定 , 防止因 ARP欺骗攻击导致设备无法连接网络．在ＰＣ上安 　装杀毒软件，使用上网行为管理防止非法连接外网， Arp 　00 AAAA.BBBB.CCCC 　9）DOS/DDOS攻击 　已在防火墙部著 DOS/DDOS攻击防范措施，具体有 　ICMP,UDP,SYN洪水攻击保护 ,SYN-ACK-ACK代理保护，会话数据 　流源地址和目标地址条目限制等。 另外我们建立网络流量监控系 　流，可以即时反映流网实时流量， 并与电信与联通网络效劳提供 　商建立良好的沟通渠道， 发现线路流量异常即时联系相关网管部 　请求协助检查． 如防火墙无法解决的需人工干预查出受攻击的主 　机地址后配置访问列表过滤掉非法的异常流量。 　（10）网络设备最小化配置 　所有网络设备（包括但不限于防火墙、路由器、交换机）一 　律要求最小化配置， 关闭无用的协议， 如 RPC协议、ftp 协议等， 　只开放使用端口，非使用一律关闭。 　（11）漏洞扫描 　定期使用 nessus 漏洞扫描攻击对网络设备进行漏洞扫描， 　假设扫描发现漏洞并进行漏洞修补。