6,871
社区成员
发帖
与我相关
我的任务
分享基于windows的安全的网络管理
下面是我们的网络现状,想听听大家的意见:
目前局域网中有150台PC,6台server(DC&mai,DC&WWW,file,ftp,erp,db).
我么的网络结构比较简单:
internet--->硬件防火墙(网关)--->server和终端PC;
局域网只有一个网段,建立了两个主域,没有划分子网.局域网采用NAT上网方式,终端自动获取IP;
安全措施:局域网部署了norton企业版杀毒软件,客户端全部开启windowsxp防火墙,局域网禁止任何软件下载(可以上网).
就这样的架构和配置.局域网没有发生过大的瘫痪,但是也经常有电脑中病毒情况.所有总感觉自己的局域网很脆弱.很担心什么病毒而影响整个局域网.
最近希望对局域网管理做一些改进,想听听大家的高见.
目前局域网中有150台PC,6台server(DC&mai,DC&WWW,file,ftp,erp,db).
我么的网络结构比较简单:
internet--->硬件防火墙(网关)--->server和终端PC;
局域网只有一个网段,建立了两个主域,没有划分子网.局域网采用NAT上网方式,终端自动获取IP;
安全措施:局域网部署了norton企业版杀毒软件,客户端全部开启windowsxp防火墙,局域网禁止任何软件下载(可以上网).
就这样的架构和配置.局域网没有发生过大的瘫痪,但是也经常有电脑中病毒情况.所有总感觉自己的局域网很脆弱.很担心什么病毒而影响整个局域网.
最近希望对局域网管理做一些改进,想听听大家的高见.
...全文
请发表友善的回复…
发表回复
crystal_19790103 2007-06-28
- 打赏
- 举报
小妹认为这是一个典型的中小型企业网络建设,就目前状况来看,在不投入更多的物力前提下对网络进行改造,应该从以下几个方面入手:
1、在网络内部实施网络安全策略,并形成严格的规范性文件去执行。哪些人可以访问哪些网站?应该对哪些访问进行审核?谁有什么样的权限访问你file服务器上的资源?
2、你的FTP和Mail服务器应该就是大毒源,把他们放到DMZ区域是个明知的选择。
3、如果你的FTP和Mail服务器仅仅是给公司员工用,那建议还是放在内网,如果远程远程想访问就建立一个VPN通道。
4、如果你的企业交换机支持Vlan,那就用,如果没有,那就从桌面的安全上下工夫,就如上面1说的,建立一个访问矩阵。
1、在网络内部实施网络安全策略,并形成严格的规范性文件去执行。哪些人可以访问哪些网站?应该对哪些访问进行审核?谁有什么样的权限访问你file服务器上的资源?
2、你的FTP和Mail服务器应该就是大毒源,把他们放到DMZ区域是个明知的选择。
3、如果你的FTP和Mail服务器仅仅是给公司员工用,那建议还是放在内网,如果远程远程想访问就建立一个VPN通道。
4、如果你的企业交换机支持Vlan,那就用,如果没有,那就从桌面的安全上下工夫,就如上面1说的,建立一个访问矩阵。
jshecn 2007-06-27
- 打赏
- 举报
foreverstar2004,有机会多多交流.我qq用的不多.
回luofengsky:ACL在防火墙上有做,VLAN没有做.
现在局域网的问题主要有发现有:木马,病毒.
还有一点,我们server和internat是通的,我在想是否把server单独划分一个vlan 或者 放到DMZ区.
回luofengsky:ACL在防火墙上有做,VLAN没有做.
现在局域网的问题主要有发现有:木马,病毒.
还有一点,我们server和internat是通的,我在想是否把server单独划分一个vlan 或者 放到DMZ区.
luofengsky 2007-06-26
- 打赏
- 举报
这么好的设备配置,很不错了~~
一般不会出现什么大问题~~ 只要上网,多多少少都会碰到一些病毒的~~
我这里连正版的网络版杀毒软件都没有,汗~~~
你的网络情况确实很简单,建议:用域来管理,设置每个用户的访问权限,根据需求划分不同的
VLAN,在硬件防火墙上配置ACL。
一般不会出现什么大问题~~ 只要上网,多多少少都会碰到一些病毒的~~
我这里连正版的网络版杀毒软件都没有,汗~~~
你的网络情况确实很简单,建议:用域来管理,设置每个用户的访问权限,根据需求划分不同的
VLAN,在硬件防火墙上配置ACL。
foreverstar2004 2007-06-26
- 打赏
- 举报
我QQ 328674640,我也是做网络管理这块的,有时间大家交流下,找到好方案也通知一下!
foreverstar2004 2007-06-26
- 打赏
- 举报
去CISCO上看看,也许会对你有所帮助,建议不要使用防火墙网关上网,因为这样使的整个网络都暴露在外面,病毒及黑客容易入侵,我公司目前也是这种状态,我也在找相关资料,应该需要用到代理、VLAN、三层交换路由等技术才能有确切保障!
