2022年网络安全防护工作总结 .docx

精品_精品资料_通信网络安全防护工作总结为提高网络通讯防护水平,从网络结构安全、网络拜访掌握、边界完整性几个大方向上实行一系列技术手段保证通信网络安全稳固,总结如下：（1） ）网络冗余和备份使用电信和网通双城域网冗余线路接入, 目前电信城域网的接入带宽是 20M,联通城域网的接入带宽是20M.可依据日后用户的不断增多和务业的进展需求再向相关网络服务供应商定购更大的线路带宽.（2） ）路由器安全掌握业务服务器及路由器之间配置静态路由,并进行拜访掌握列表掌握数据流向. Qos保证方向使用金 Dscp32, 银Dscp8, 铜Dscp0 的等级标识路由器的 Qos 方式来安排线路带宽的优先级, 保证在网络流量显现拥堵时优先为重要的数据流和服务类型预留带宽并优先传送.（3） ）防火墙安全掌握主机房现有配备有主备 juniper防火墙和深信服 waf 防火墙, juniper防火墙具备 ips 、杀毒等功能模块,深信服waf 防火墙主要用于网页攻击防护,可防止sql 注入、跨站攻击、黑客挂马等攻击.防火墙使用 Untrust,Trunst和 DMZ区域来划分网络 , 使用策略来掌握各个区域之间的安全拜访.可编辑资料 - - - 欢迎下载精品_精品资料_（4） ） IP 子网划分 / 的址转换和绑定已为办公区域 , 服务器以及各个路由器之间划分IP 子网段 , 保证各个子网的 IP 可用性和整个网络的 IP 的址非重复性. 使用NAT,PAT,VIP,MIP 对内外网 IP 的址的映射转换 , 在路由器和防火墙上使用 IP 的址与 MAC的址绑定的方式来防止发生的址欺诈行为.服务器及各个路由器之间划分IP 子网划分 :172.16.0.0/16（5） ）网络域安全隔离和限制生产网络和办公网络隔离,连接生产必需通过连接 vpn 才能连接到生产网络.在网络边界部署堡垒机, 通过堡垒机认证后才可以对路由器进行安全拜访操作, 在操作过程中堡垒机会将全部操作过程视频录像, 便利安全审计以及系统变更后可能显现的问题,快速查找定位. 另外路由器配置拜访掌握列表只答应堡垒机和备机 IP 的址对其登陆操作 , 在路由器中配置 3A认证服务 , 通过TACAS服务器作为认证 , 授权.（6） ）网络安全审记网络设备配置日志服务 , 把设备相关的日志消息统一发送到日志服务器上作记录及统计操作. 日志服务器设置只答应网管主机的拜访 , 保证设备日志消息的安全性和完整性.logging buffered 102400 logging trap debugginglogging source-interface Loopback0 logging XX.XX.XX.XX日志服务器 IP可编辑资料 - - - 欢迎下载精品_精品资料_（7） ）内外网非法连接阻断和定位交换机划分 Vlan 方式隔离开内外网区域关闭闲暇没有使用的网络设备端口 , 防止非授权设备的私自接入网络. 如发觉非授权设备接入网络 , 可在日志服务器匹配端口关键字对其跟踪记录.内部网络用户就采纳 MAC的址绑定进行有效阻断. 已为办公网络划分子网并做的址绑定,部署有深信服上网行为治理设备,防止非受权设备私自接入网络（8） ）网络 ARP欺诈攻击主机与服务器安装防火墙软件, 将网关 IP 与 MAC之间作 ARP 绑定, 防止因 ARP欺诈攻击导致设备无法连接网络在上安装杀毒软件,使用上网行为治理防止非法连接外网,Arp 192.168.100.100 AAAA.BBBB.CCCC（9） ） DOS/DDOS攻击已在防火墙部著 DOS/DDOS攻击防范措施,详细有 ICMP,UDP,SYN洪水攻击爱护 ,SYN-ACK-ACK代理爱护,会话数据流源的址和目标的址条目限制等. 另外我们建立网络流量监控系流,可以即时反映流网实时流量, 并与电信与联通网络服务供应商建立良好的沟通渠道, 发觉线路流量反常即时联系相关网管部恳求帮助检查 如防火墙无法解决的需人工干预查出受攻击的主机的址后配置拜访列表过滤掉非法的反常流量.（10） ）网络设备最小化配置可编辑资料 - - - 欢迎下载精品_精品资料_全部网络设备（包括但不限于防火墙、路由器、交换机）一律要求最小化配置, 关闭无用的协议, 如 RPC协议、ftp协议等, 只开放使用端口,非使用一律关闭.（11） ）漏洞扫描定期使用 nessus 漏洞扫描攻击对网络设备进行漏洞扫描, 如扫描发觉漏洞并进行漏洞修补.可编辑资料 - - - 欢迎下载