第一篇：中小企業(yè)網絡安全解決方案

中小企業(yè)網絡安全解決方案

LanGate brone 系列能為中小企業(yè)解決IT網絡所面臨的復雜問題提供經濟可靠的解決方案。

隨著信息化技術的飛速發(fā)展，許多有遠見的企業(yè)都認識到依托先進的IT技術構建企業(yè)自身的業(yè)務和運營平臺將極大的提升企業(yè)的核心競爭力，使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。但是，作為構建自身IT平臺基礎的網絡投入和技術復雜性往往會讓大多數中小企業(yè)望而卻步。

中小企業(yè)在市場環(huán)境中的發(fā)展和壯大，建立符合自身特點的IT是一個事半功倍的重要途徑，這一點已經成為共識。但是，中小企業(yè)在IT網絡建設方面往往會遇到以下幾方面問題：

企業(yè)用于IT方面的經費有限

企業(yè)缺乏掌握IT網絡技術的專業(yè)人士 企業(yè)沒有專職的IT維護人員

企業(yè)的組織結構隨機性強，沒有穩(wěn)定的形態(tài)會導致網絡投資的浪費

LanGate UTM 技術正是針對此項問題的最佳解決方案，它使用先進的UTM技術來幫助中小企業(yè)解決IT網絡所面臨的問題。

LanGate安全網關解決方案是一個針對到中小企業(yè)網絡建設的一站式的解決方案。該方案無需中小企業(yè)在網絡的技術和人員方面投入任何成本，沒有任何網絡線路和日常維護成本，方案中所有投入都不會有浪費。

對于中小企業(yè)，該方案的實施沒有任何前提條件和技術門檻，客戶如同采購計算機一樣簡單的完成自身的網絡建設。在售后服務方面，知維度擁有業(yè)界一流的支持服務體系，龐大的軟件研發(fā)中心為您提供堅強的技術后盾；企業(yè)級的解決方案，隨需隨用；產品模塊化安裝和使用；中小企業(yè)的價格，極具市場競爭力。牌服務是一項全面的服務計劃，不僅實現“客戶請求，企業(yè)提供服務”，還做到主動為客戶提供價值。解決的問題

LanGate安全網關解決方案是解決企業(yè)IT建設的網絡平臺安全的關鍵，它幫助中小企業(yè)解決了以下問題： · 網絡的安全性 · 員工上網管理 · 垃圾郵件防范 · 企業(yè)內部各地區(qū)的網絡連接 · 企業(yè)移動辦公員工使用企業(yè)內部網絡 方案簡單說明

LanGate采用一個連貫的安全平臺提供防火墻、內容過濾、邊緣殺毒保護和虛擬專用網技術，這一中央管理式安全方法將安全網關放在主要接入點，預防惡意活動對整個網絡的侵襲，該方式所提供的全面、按層進行的安全措施可完全防護來自內部以及外部網絡各個層面的威脅。

這一整合式安全方法通過在關鍵接入點安裝安全網關（而不是在全網絡內各自安裝安全服務）來防御惡意活動在網絡中擴散。這一全面的分層安全方法可堅實防御內部威脅、外部威脅和網絡所有層的威脅。

LanGate提供了通過在單一設備內實現包括防火墻、虛擬專用網、網絡緩存、網址過濾及病毒掃描等多種功能在內的產品方案，使用戶不僅擁有了多性能、簡單化、高可靠性的安全壁壘，而且有效地控制了成本，降低了實施、管理以及服務等多種潛在的消耗。方案特點

· 高效的安全管理：產品內置高性能的防火墻，因此對外部的侵犯和內部應用有強大的防范和管理功能。

· 穩(wěn)定的運行機制：整個系統采用自主開發(fā)操作系統，通過硬件加速，保證了系統長時間的穩(wěn)定運行。

· 擴展方便靈活：增加節(jié)點只需再安裝相應LanGate產品，幾乎不需任何配置，與現行軟件實現無縫連接。

· 操作維護簡單：升級、維護方便，任何一個接入節(jié)點不需要專業(yè)人員維護，支持所有的操作系統，支持所有在TCP/IP協議上的應用。

· 其他特點：每個接入節(jié)點可以根據各個本地電信資源、自身情況的不同選擇適合自己接入手段組成網絡。

“為數據處理系統建立和采用的技術和管理的安全保護，保護計算機硬件、軟件和數據不因偶然和惡意的原因遭到破壞、更改和泄漏”。

----國際標準化組織（ISO）

從“信息化高速公路”到“數字地球”，信息化浪潮席卷全球。Internet的迅猛發(fā)展 不僅帶動了信息產業(yè)和國民經濟地快速增長，也為企業(yè)的發(fā)展帶來了勃勃生機。

以Internet 為代表的信息技術的發(fā)展不僅直接牽動了企業(yè)科技的創(chuàng)新和生產力的提高，也逐漸成為提高企業(yè)競爭力的重要力量。

企業(yè)通過Internet 可以把遍布世界各地的資源互聯互享，但因為其開放性，在Internet 上傳輸的信息在安全性上不可避免地會面臨很多危險。當越來越多的企業(yè)把自己的商務活動放到網絡上后，針對網絡系統的各種非法入侵、病毒等活動也隨之增多。

而我們面臨的這些信息安全問題的解決，主要還是依賴于現代信息理論與技術手段；依賴于安全體系結構和網絡安全通信協議等技術；依賴借助于此產生的各種硬件的或軟件的安全產品。這樣，這些安全產品就成為大家解決安全問題的現實選擇。

中國網絡安全需求分析

網絡現狀分析

中國國內企業(yè)和政府機構都希望能具有競爭力并提高生產效率，這就必須對市場需求作出及時有力的響應，從而引發(fā)了依賴互聯網來獲取、共享信息的趨勢，這樣才能進一步提高生產效率進而推動未來增長。

然而，有網絡的地方就有安全的問題。過去的網絡大多是封閉式的，因而比較容易確保其安全性，簡單的安全性設備就足以承擔其任務。然而，當今的網絡已經發(fā)生了變化，確保網絡的安全性和可用性已經成為更加復雜而且必需的任務。用戶每一次連接到網絡上，原有的安全狀況就會發(fā)生變化。所以，很多企業(yè)頻繁地成為網絡犯罪的犧牲品。因為當今網絡業(yè)務的復雜性，依靠早期的簡單安全設備已經對這些安全問題無能為力了。

主要網絡安全問題及其危害

----網絡攻擊在迅速地增多。

網絡攻擊通常利用網絡某些內在特點，進行非授權的訪問、竊取密碼、拒絕服務等等。

考慮到業(yè)務的損失和生產效率的下降，以及排除故障和修復損壞設備所導致的額外開支等方面，對網絡安全的破壞可能是毀滅性的。此外，嚴重的網絡安全問題還可能導致企業(yè)的公眾形象的破壞、法律上的責任乃至客戶信心的喪失，并進而造成的成本損失將是無法估量的。

----病毒郵件攻擊的影響日益激烈

病毒、蠕蟲和毫無必要的大量電子郵件利用互聯網通信資源來傳播，引發(fā)網絡環(huán)境中的傳輸中斷。根據調查，87％以上的病毒通過電子郵件進入企業(yè)！保密數據和交易秘密的丟失、員工對電子郵件系統的不當使用已使許多公司不得不承擔法律責任，并損害了許多公司的聲譽。

今天，越來越多的公司都在尋求一種主動解決方案來減少信息服務的中斷時間并避免病毒侵入期間造成業(yè)務損失。

----對網絡資源的不合理使用

開放式接入還可以無限制地訪問大量惡意、有攻擊性的及有爭議的內容，以及與工作無關的材料。據IDC統計，有30%~40%的Internet訪問是與工作無關的，甚至有的是去訪問色情站點。人均每天使用兩到三個小時工作時間用于收發(fā)個人郵件,瀏覽娛樂網站以及在聊天室打發(fā)時間。

因此，許多機構必須確定如何在允許員工無阻礙地訪問互聯網上大量有用信息的同時限制對不當內容的訪問。

中國中小型企業(yè)客戶分析

中國國內目前的中小型單位因為人力和資金上的局限，需要的網絡安全產品不僅僅是簡單的安裝，更重要的是要有針對復雜網絡應用的一體化解決方案，如：網絡安全、病毒檢測、網站過濾等等。其著眼點在于：國內外領先的廠商產品；具備處理突發(fā)事件的能力；能夠實時監(jiān)控并易于管理；提供安全策略配置定制；是用戶能夠很容易地完善自身安全體系。

思科安全設計藍圖（SAFE）

SAFE是思科公司安全解決方案的藍圖，該設計藍圖主要針對企業(yè)網絡的功能，可為客戶安全網絡的設計、實施和維護提供端到端的安全性戰(zhàn)略。

該藍圖能夠模塊化地設計、部署網絡安全解決方案，并結合思科合作伙伴產品，為用戶提供一體化的全面解決方案。這樣，就可以將市場領先的安全產品、成熟可靠的安全策略和單一平臺的管理與客戶現有網絡基礎設施結合起來，提供全面的網絡保護：

提供高效的投資保護，而不必丟棄現有網絡設備

模塊化部署，可逐步實現深度分層防御

與合作伙伴良好的互操作性

24x7 全球技術支持

安全性市場的領導者

易于管理

思科中小企業(yè)網絡安全解決方案

針對中國中小企業(yè)客戶的實際情況，結合思科先進的SAFE藍圖設計理念，思科公司專門推出了“網絡健康 應用健康 精神健康”中小型企業(yè)網絡安全解決方案：

精簡版：Cisco Secure PIX 501

下面是針對SOHO型網絡的一種安全解決方案，該方案適用于10人以下的網絡應用，通過Cisco Secure PIX 501防火墻實現內外網絡的安全隔離。

用戶特點：

網絡用戶數較少，通常在10人以下

用戶有聯網的需求，但網絡中數據吞吐流量不大

由于資金所限，通常采用ISDN或ADSL寬帶上網，以降低鏈路費用

需要采用性價比較高的防火墻產品保障內部網絡的安全

方案示意圖：

方案特點：

該方案可以為SOHO型網絡提供企業(yè)級的網絡安全性

在一臺設備內提供豐富的安全服務，包括狀態(tài)防火墻、入侵檢測等

可以實現NAT和DHCP功能，保障內部合法用戶的聯網需求

支持PPPOE，滿足小型用戶通過寬帶按需上網的要求

內置圖形化Web管理界面，簡單并易于管理

可平滑升級，具有良好的擴展性

Cisco Secure PIX 501是一種可靠的、即插即用的專用安全防火墻工具，提供了無與倫比的高水平網絡安全性。作為專用的工具，這些防火墻不提供WAN接口，也不支持除RIP之外的任何路由協議。該產品安裝在一個WAN路由器和內部網絡之間，提供了基于自適應安全算法（ASA）的高級狀態(tài)訪問控制。能夠根據分組起始點和目的地址、TCP序列號、端口號和其它TCP分組標志跟蹤單個連接。分組只有在與來自網絡內部的某個有效會話相關聯時才會被允許通過防火墻。這使得機構的內部和授權外部用戶能夠進行透明訪問，同時保護內部網絡免受未授權訪問。PIX防火墻的另一個安全特性是非UNIX嵌入的操作系統。這種專有的控制軟件消除了通用操作系統的缺陷，提供了驚人的性能。

標準版：Cisco Secure PIX 501+TrendMicro25用戶+Websense25用戶

下面是針對小型企業(yè)網絡的一種安全解決方案，該方案適用于10-25個用戶的網絡應用，通過Cisco Secure PIX 501防火墻實現內外網絡的安全隔離，并采用集成的思科合作伙伴產品實現網絡病毒檢測和網站過濾的功能。

用戶特點： 有一定數量的網絡用戶，通常在10—25個用戶左右

用戶有聯網的需求，且有一定的網絡數據吞吐流量

通常采用ADSL寬帶或較低速率專線上網，以降低鏈路費用

為保障網絡安全，降低維護費用，除需要布置防火墻產品以外，還有防護網絡病毒、限制對互聯網帶寬的不合理使用等需求

在保障上述需求的前提下，盡量節(jié)約采購的費用

方案示意圖：

方案特點：

該方案可以為小型網絡提供企業(yè)級的一體化網絡安全

通過一個緊湊的、整合的解決方案提供強大的安全功能

可以實現NAT和DHCP功能，保障內部合法用戶的聯網需求

內置圖形化Web管理界面，簡單并易于管理

可以和合作伙伴的產品無縫地結合起來，完成深層次的網絡安全性管理，如：防止網絡病毒的入侵，阻止員工訪問非授權的網站等功能

Cisco Secure PIX 501是一種可靠的、即插即用的專用安全防火墻工具，提供了無與倫比的高水平網絡安全性。作為專用的工具，這些防火墻不提供WAN接口，也不支持除RIP之外的任何路由協議。該產品安裝在一個WAN路由器和內部網絡之間，提供了基于自適應安全算法（ASA）的高級狀態(tài)訪問控制。能夠根據分組起始點和目的地址、TCP序列號、端口號和其它TCP分組標志跟蹤單個連接。分組只有在與來自網絡內部的某個有效會話相關聯時才會被允許通過防火墻。這使得機構的內部和授權外部用戶能夠進行透明訪問，同時保護內部網絡免受未授權訪問。PIX防火墻的另一個安全特性是非UNIX嵌入的操作系統。這種專有的控制軟件消除了通用操作系統的缺陷，提供了驚人的性能。

豪華版：Cisco Secure PIX 506E+TrendMicro50用戶+Websense50用戶

下面是針對中型企業(yè)網絡的一種安全解決方案，該方案適用于25--50個用戶左右的網絡應用，通過Cisco Secure PIX 506E防火墻實現內外網絡的安全隔離，并采用集成的思科合作伙伴產品實現網絡病毒檢測和網站過濾的功能。

用戶特點：

有一定數量的網絡用戶，通常在25—50個用戶左右

用戶有聯網的需求，且有較大的網絡數據吞吐流量

通常采用較高速率的專線連接Internet

有清晰的網絡分層體系結構

為保障網絡安全，除需要布署防火墻產品以外，還有防護網絡病毒、限制對互聯網帶寬的不合理使用等需求

對防火墻產品性能有較高要求

方案示意圖： 方案特點：

該方案可以為中型網絡提供企業(yè)級的一體化網絡安全

通過一個經濟有效的、高性能的解決方案提供豐富的安全功能和強大的管理功能

可以實現NAT和DHCP功能，保障內部合法用戶的聯網需求

內置圖形化Web管理界面，簡單并易于管理

可以和合作伙伴的產品無縫地結合起來，完成深層次的網絡安全性管理，如：防止網絡病毒的入侵，阻止員工訪問非授權的網站等功能

Cisco Secure PIX 506E是一種可靠的、即插即用的專用安全防火墻工具，提供了無與倫比的高水平網絡安全性。作為專用的工具，這些防火墻不提供WAN接口，也不支持除RIP之外的任何路由協議。該產品安裝在一個WAN路由器和內部網絡之間，提供了基于自適應安全算法（ASA）的高級狀態(tài)訪問控制。能夠根據分組起始點和目的地址、TCP序列號、端口號和其它TCP分組標志跟蹤單個連接。分組只有在與來自網絡內部的某個有效會話相關聯時才會被允許通過防火墻。這使得機構的內部和授權外部用戶能夠進行透明訪問，同時保護內部網絡免受未授權訪問。PIX防火墻的另一個安全特性是非UNIX嵌入的操作系統。這種專有的控制軟件消除了通用操作系統的缺陷，提供了驚人的性能。

上述三個解決方案是思科公司針對目前最常見的網絡安全、病毒檢測、網站過濾等安全問題提出的一體化的有效解決方案，通過和合作伙伴的緊密結合，為客戶提供一套模塊化的捆綁產品，切實解決現有中小型企業(yè)用戶的實際需求。

思科Cisco Secure PIX500系列防火墻是網絡基礎設施內部的實施強化用戶安全性策略并限制對網絡資源訪問的專用硬件產品。其功能是檢查數據包和會話過程，針對各種不同應用、地址或用戶類型而設定的具體參數來分析和控制進入或離開的數據包。通過PIX的部署，可以保護用戶公開的Internet 服務器，限制外部網絡到內部網絡的數據流，為內部用戶提供網絡地址轉換（NAT）等各種功能，從而為用戶提供針對基于網絡的攻擊保護，并可預防和消除造成帶寬擁擠的分布式拒絕服務攻擊（DDOS）。

趨勢科技公司（TrendMicro）開發(fā)的產品是一種針對SMTP網關、基于策略的高性能反病毒和內容安全解決方案，它集成了病毒保護的內容過濾功能，這就是說憑借此產品，您可管理電子郵件內容過濾并提供控制，且防止病毒和電子郵件中的其它惡意代碼產生影響。保護企業(yè)信息處理系統免遭來自互聯網的電子郵件病毒的損害，并防止復制或非業(yè)務內容的傳輸。

Websense公司開發(fā)的Websense Enterprise是一種員工互聯網管理系統,可以為Cisco PIX 防火墻提供集成化互聯網過濾，幫助網絡管理員有效地監(jiān)控管理和報告內部網到互聯網接入的網絡流量。網絡管理員可以指定限制機構內互聯網使用的策略。Websense Enterprise隨后根據預定義策略過濾網絡活動、監(jiān)控并報告有關活動的信息。將Websense主URL數據庫與Cisco PIX防火墻共用時，可創(chuàng)建靈活、高性能的內容過濾策略?；ヂ摼W請求發(fā)送至Cisco PIX防火墻，然后是防火墻的Websense進行詢問，以確定應該許可還是阻止此請求。同時，Cisco PIX防火墻將原始請求發(fā)至互聯網。因為在收到來自Websense的確認前就將請求發(fā)至互聯網，故Cisco PIX防火墻不會減緩授權企業(yè)接入。在將站點返回請求用戶前需Websense確認，這可以防止未授權接入。

中小企業(yè)網絡安全解決方案

NTERNET的應用愈來愈廣泛，已經成為公司、企業(yè)進行商務活動不可或缺的工具和平臺。許許多多的公司將自己的局域網連入INTERNET，充分享受著網絡的便利和快捷。但是目前INTERNET網絡的基礎是脆弱的，由于TCP/IP標準協議本身并不具備任何信息安全保護措施，各種操作系統也存在先天缺陷和由于不斷增加新功能帶來的漏洞，使基于INTERNET網的攻擊犯罪可以毫無阻礙的進行。同時各種計算機病毒，也讓計算機用戶都為它付出了沉重的代價。在飛速發(fā)展的互連網上增長的犯罪活動（主要是黑客攻擊）以及泛濫的病毒使各國金融、生產/商貿企業(yè)承受巨大的壓力和現實損失。目前可將網絡的不安全因素大致歸為以下三類： 來自公用網絡或開放環(huán)境的偵測、攻擊；

來自內部網絡的偵測、攻擊； 基于明文傳送的網上郵件系統、以及基于明文的信息存儲系統的被攻擊。

---企業(yè)網若不具備先進的網絡安全防護措施，會造成多種危害，其中最直接的危害是對企業(yè)、個人造成不可彌補的損失，如：保密文件、財會報表、進貨、庫存、銷售訂單及客戶名單等機密數據被入侵者查看、修改。若要避免這種時間的發(fā)生，就要加強網絡的安全防護。例如使重要部門的網絡在物理上與Internet完全脫離，在局域網和INTERNET之間增加防火墻、路由器等網絡隔離設備，都是比較有效的物理防護措施，但網絡安全是一個整體的概念，只要能接觸重要部門網絡的人沒有完全與Internet脫離，就不能說該網絡與Internet已經完全脫離。所以人員的管理致為重要。---網絡應用系統的安全體系應包含：

訪問控制。通過對特定網段、服務建立的訪問控制體系，將絕大多數攻擊阻止在到達攻擊目標之前。

檢查安全漏洞。通過對安全漏洞的周期檢查，即使攻擊可到達攻擊目標，也可使絕大多數攻擊無效。

攻擊監(jiān)控。通過對特定網段、服務建立的攻擊監(jiān)控體系，可實時檢測出絕大多數攻擊，并采取響應的行動（如斷開網絡連接、記錄攻擊過程、跟蹤攻擊源等）。

加密通訊。主動的加密通訊，可使攻擊者不能了解、修改敏感信息。

認證。良好的認證體系可防止攻擊者假冒合法用戶。

備份和恢復。良好的備份和恢復機制，可在攻擊造成損失時，盡快地恢復數據和系統服務。

多層防御。攻擊者在突破第一道防線后，延緩或阻斷其到達攻擊目標。

設立安全監(jiān)控中心，為信息系統提供安全體系管理、監(jiān)控、保護及緊急情況服務

在網絡中增加多功能的防火墻，可以實現上述安全體系的大部分功能。防火墻通過有選擇性地決定哪些用戶可以接入您的網絡而哪些不能，有效地保護您的網絡。防火墻甚至使您可以控制不同應用，如ftp, telnet, www及電子郵件等。

---添加防火墻的網絡拓撲如圖所示。防火墻的主要技術措施如下：

設置隔離區(qū)(DMZ),把郵件服務器等放到該區(qū),并把該區(qū)的服務器映射到外網的合法地址上以便Internet網上用戶訪問。

嚴禁Internet網上用戶到公司內部網的訪問。

允許公司內部網通過地址轉換方式(NAT)訪問Internet。

允許撥號用戶通過撥號訪問服務器到公司內部網訪問。網絡拓撲圖：

中小企業(yè)網絡安全整體解決方案

一、現狀分析

中小企業(yè)用戶的局域網一般來說網絡結構不太復雜，主機數量不太多，服務器提供的服務相對較少。這樣的網絡通常很少甚至沒有專門的管理員來維護網絡的安全。這就給黑客和非法訪問提供了可乘之機。這樣的網絡使用環(huán)境一般存在下列安全隱患和需求：

1.計算機病毒在企業(yè)內部網絡傳播。

2.內部網絡可能被外部黑客的攻擊。

3.對外的服務器（如：www、ftp等）沒有安全防護，容易被黑客攻擊。

4.內部網絡用戶上網行為沒有有效監(jiān)控管理，影響日常工作效率，容易形成內部網絡的安全隱患。

5.遠程、移動用戶對公司內部網絡的安全訪問。

二、瑞星中小企業(yè)整體解決方案

瑞星公司針對中小企業(yè)的上述特點，利用瑞星公司的系列安全產品為中小企業(yè)量身定制一種安全高效的網絡安全解決方案。

瑞星防毒墻RSW-1000P是一款多功能、高性能、低價位的產品，它不但提供了對內部網絡和對外服務器的保護、防止黑客對這些網絡的攻擊，為遠程、移動用戶提供一個安全的遠程連接功能，是中小企業(yè)網絡安全的首選產品。

瑞星網絡殺毒軟件是瑞星自主開發(fā)的企業(yè)網絡防病毒軟件，通過“集中管理、分布處理”在中小企業(yè)內部的服務器和客戶端同時部署殺毒軟件共同完成對整個網絡的病毒防護工作，為用戶的網絡系統提供全方位防病毒解決方案。

三、選用產品

? ? 瑞星防毒墻 RSW-1000P 瑞星網絡版殺毒軟件

四、瑞星中小企業(yè)整體解決方案實現主要功能

1.安全的網絡邊緣防護

瑞星防毒墻可以根據用戶的不同需要，具備針對HTTP、FTP、SMTP和POP3協議內容檢查、清除病毒的能力，同時通過實施安全策略可以在網絡環(huán)境中的內外網之間建立一道功能強大的防火墻體系，不但可以保護內部資源不受外部網絡的侵犯，同時可以阻止內部用戶對外部不良資源的濫用。

2.計算機病毒的監(jiān)控和清除

瑞星網絡殺毒軟件是一個專門針對網絡病毒傳播特點開發(fā)的網絡防病毒軟件，通過瑞星網絡防病毒體系在網絡內客戶端和服務器上建立反病毒系統，并且可以實現防病毒體系的統一、集中管理，實時掌握、了解當前網絡內計算機病毒事件，并實現對網絡內的所有計算機遠程反病毒策略設置和安全操作。3.靈活的控制臺和Web管理方式

瑞星的系列安全產品都提供控制臺管理和Web管理兩種方式，通過這兩種管理方式管理員可以靈活、簡便地根據自身實際情況設置、修改安全策略，及時掌握了解網絡當前的運行基本信息。

4.強大的日志分析和統計報表能力

瑞星的系列安全產品對網絡內的安全事件都作出詳細的日志記錄，這些日志記錄包括事件名稱、描述和相應的主機IP地址等相關信息。此外，報表系統可以自動生成各種形式的攻擊統計報表，形式包括日報表，月報表，年報表等，通過來源分析，目標分析，類別分析等多種分析方式，以直觀、清晰的方式從總體上分析網絡上發(fā)生的各種事件，有助于管理人員提高網絡的安全管理。5.模塊化的安全組合

本方案中使用的瑞星網絡安全產品分別具有不同的功能，用戶可以根據自身企業(yè)的實際情況選擇不同的產品構建不同安全級別的網絡，產品選擇組合方便、靈活，既有獨立性有整體性。

五、方案示意圖

通過瑞星防毒墻RSW-1000P和瑞星殺毒軟件網絡版共同為中小企業(yè)建立一個防黑、防毒的安全網絡。設計后的安全網絡拓撲方案示意圖如下。

第二篇：電子政務網絡安全解決方案

電子政務網絡安全解決方案

電子政務網絡安全概述

以Internet為代表的全球性信息化浪潮日益深刻，信息網絡技術的應用正日益普及和廣泛，應用層次正在深入，應用領域從傳統的、小型業(yè)務系統逐漸向大型、關鍵業(yè)務系統擴展，典型的如行政部門業(yè)務系統、金融業(yè)務系統、政府機關商務系統等。伴隨網絡的普及，安全日益成為影響網絡效能的重要問題，而Internet所具有的開放性、國際性和自由性在增加應用自由度的同時，對安全提出了更高的要求。如何使信息網絡系統不受黑客和工業(yè)間諜的入侵，已成為政府機構、企事業(yè)單位信息化健康發(fā)展所要考慮的重要事情之一。

網絡規(guī)劃

各級網絡

利用現有線路及網絡進行完善擴充，建成互聯互通、標準統一、結構簡單、功能完善、安全可靠、高速實用、先進穩(wěn)定的級別分明卻又統一的網絡。數據中心

建設集中的數據中心，對所有的信息資源、空間、信用等數據進行集中存放、集中管理。為省及各市部門、單位的關鍵應用及關鍵設施提供機房、安全管理與維護。網絡總體結構

政府機構從事的行業(yè)性質是跟國家緊密聯系的，所涉及信息可以說都帶有機密性，所以其信息安全問題，如敏感信息的泄露、黑客的侵擾、網絡資源的非法使用以及計算機病毒等。都將對政府機構信息安全構成威脅。為保證政府網絡系統的安全，有必要對其網絡進行專門安全設計。

所謂電子政務就是政府機構運用現代計算機技術和網絡技術，將其管理和服務的職能轉移到網絡上完成，同時實現政府組織結構和工作流程的重組優(yōu)化，超越時間、空間和部門分隔的制約，向全社會提供高效、優(yōu)質、規(guī)范、透明和全方位的管理與服務。

實現電子政務的意義在于突破了傳統的工業(yè)時代“一站式”的政府辦公模式，建立了適應網絡時代的“一網式”和“一表式”的新模式，開辟了推動社會信息化的新途徑，創(chuàng)造了政府實施產業(yè)政策的新手段。電子政務的出現有利于政府轉變職能，提高運作效率。

圖示：原有電子政務網絡情況

電子政務網絡的應用系統和網絡連接方式多樣，由于網絡本身及應用系統的復雜性，無論是有意的攻擊，還是無意的誤操作，都將會給系統帶來不可估量的損失。非法進入的攻擊者可能竊聽網絡上的信息、竊取用戶的口令、數據庫的信息；還可以篡改數據庫內容、偽造用戶身份、否認自己的簽名；更有甚者，攻擊者可以刪除數據庫內容、摧毀網絡節(jié)點等等。

因此在電子政務網絡的建設中，構建網絡安全系統以確保網絡信息的安全可靠是非常必要的。

物理安全風險分析

網絡物理安全是整個網絡系統安全的前提。物理安全的風險主要有： ◆地震、水災、火災等環(huán)境事故造成整個系統毀滅；

◆電源故障造成設備斷電以至操作系統引導失敗或數據庫信息丟失； ◆設備被盜、被毀造成數據丟失或信息泄漏； ◆電磁輻射可能造成數據信息被竊取或偷閱；

◆報警系統的設計不足可能造成原本可以防止但實際發(fā)生了的事故。鏈路傳輸風險分析

網絡安全不僅是入侵者到政府機關內部網上進行攻擊、竊取或其它破壞，他們完全有可能在傳輸線路上安裝竊聽裝置，竊取你在網上傳輸的重要數據，再通過一些技術讀出數據信息，造成泄密或者做一些篡改來破壞數據的完整性；以上種種不安全因素都對網絡構成嚴重的安全威脅。因此，對于政府這樣帶有重要信息傳輸的網絡，數據在鏈路上傳輸必須加密。并通過數字簽名及認證技術來保障數據在網上傳輸的真實性、機密性、可靠性及完整性。

遠程辦公安全接入 目前，政府網絡應用環(huán)境紛亂復雜，既有內部的應用如：內部OA系統、文件共享、Email等應用服務，又有眾多面向下屬單位、合作伙伴等對外的應用。如何地有效解決遠程用戶安全訪問網絡內部資源？

虛擬專用網技術(VPN，Virtual PrivateNetwork)是指在公共網絡中建立專用網絡，數據通過安全的“加密通道”在公共網絡中傳播。政府機關只需要租用本地的數據專線，連接上本地的公眾信息網，那么各地的機構就可以互相傳遞信息。使用VPN有節(jié)約成本、擴展性強、便于管理和實現全面控制等好處。在虛擬專用網中，任意兩個節(jié)點之間的連接并沒有傳統專網所需的端到端的物理鏈路，而是利用某種公眾網的資源動態(tài)組成的，是通過私有的隧道技術在公共數據網絡上仿真一條點到點的專線技術。所謂虛擬，是指用戶不再需要擁有實際的長途數據線路，而是使用Internet公眾數據網絡的長途數據線路。所謂專用網絡，是指用戶可以為自己制定一個最符合自己需求的網絡。根據國家有關規(guī)定，政府網絡可以通過現有公有平臺搭建自己的內部網絡，但必須通過認證和加密技術，保證數據傳輸的安全性。

單獨的VPN網關的主要功能是IPSec數據包的加密/解密處理和身份認證，但它沒有很強的訪問控制功能，例如狀態(tài)包過濾、網絡內容過濾、防DDoS攻擊等。在這種獨立的防火墻和VPN部署方式下，防火墻無法對VPN的數據流量進行任何訪問控制，由此帶來安全性、性能、管理上的一系列問題。因此，在防火墻安全網關上集成VPN是當前安全產品的發(fā)展趨勢，能提供一個靈活、高效、完整的安全方案。

集成VPN的防火墻安全網關的優(yōu)點是，它可以保證加密的流量在解密后，同樣需要經過嚴格的訪問控制策略的檢查，保護VPN網關免受DDoS攻擊和入侵威脅；提供更好的處理性能，簡化網絡管理的任務，快速適應動態(tài)、變化的網絡環(huán)境。因此，當前VPN技術已經成為安全網關產品的組成部分。

政府機關Intranet網絡建設的VPN連接方案，利用IPsec安全協議的VPN和加密能力，實現兩個或多個政府機關之間跨越因特網的政府機關內部網絡連接，實現了安全的政府機關內部的數據通信。通過防火墻內部策略控制體系，對VPN的數據可以進行有效的控制和管理，使政府機關的內部網絡通信具有良好的擴展性和管理性。

圖示：政府機關Intranet網VPN解決方案

如上圖示，原始的數據經過加密封裝在另外一個IP通道內，通道頭部地址就是防火墻外部端口的IP地址，以實現在公網鏈路上的傳輸。利用高強度的、動態(tài)變換的密鑰來保證數據的安全，168位的3DES算法更提供了業(yè)界最高級別的安全防御體系，使政府機關的內部數據可以無憂地在公網上傳輸，以達到政府機關內部網絡安全擴展的目的。

網絡結構的安全風險分析

（一）來自與公網互聯的安全威脅

如果政府內部網絡與Internet公網有互連。基于Internet公網的開放性、國際性與自由性，內部網絡將面臨更加嚴重的安全威脅。因為，每天黑客都在試圖闖入Internet節(jié)點，假如我們的網絡不保持警惕，可能連黑客怎么闖入的都不知道，甚至會成為黑客入侵其他網絡的跳板。政府行業(yè)內部網絡中其辦公系統及各人主機上都有涉密信息。

假如內部網絡的一臺機器安全受損（被攻擊或者被病毒感染），就會同時影響在同一網絡上的許多其他系統。透過網絡傳播，還會影響到與本系統網絡有連接的外單位網絡；影響所及，還可能涉及法律、金融等安全敏感領域。對于政府行業(yè)網絡系統，國家也有規(guī)定是不能與互聯網直接或間接與相連。

內部網絡與系統外部網互聯安全威脅

如果系統內部局域網絡與系統外部網絡間沒有采取一定的安全防護措施，內部網絡容易遭到來自外部網絡不懷好意的入侵者的攻擊。如：

入侵者通過Sniffer等程序來探測掃描網絡及操作系統存在的安全漏洞，如網絡IP地址、應用操作系統的類型、開放哪些TCP端口號、系統保存用戶名和口令等安全信息的關鍵文件等，并通過相應攻擊程序對內網進行攻擊。

入侵者通過網絡監(jiān)聽等先進手段獲得內部網用戶的用戶名、口令等信息，進而假冒內部合法身份進行非法登錄，竊取內部網重要信息。

惡意攻擊：入侵者通過發(fā)送大量PING包對內部網重要服務器進行攻擊，使得服務器超負荷工作以至拒絕服務甚至系統癱瘓。

（三）內部局域網的安全威脅

據調查在已有的網絡安全攻擊事件中約70%是來自內部網絡的侵犯。比如內部人員故意泄漏內部網絡的網絡結構；安全管理員有意透露其用戶名及口令；內部員工編些具有破壞力的程序在內部網上傳播或者內部人員通過各種方式盜取他人涉密信息傳播出去。種種因素都對整體的網絡安全構成很大的威脅。

系統的安全風險分析

所謂系統安全通常是指網絡操作系統、應用系統的安全。目前的操作系統或應用系統無論是Windows還是其它任何商用UNIX操作系統以及其它廠商開發(fā)的應用系統，其開發(fā)廠商必然有其Back-Door（后門）。而且系統本身必定存在安全漏洞。這些“后門”或安全漏洞都將存在重大安全隱患。但是從實際應用上，系統的安全程度跟對其進行安全配置及系統的應用面有很大關系，操作系統如果沒有采用相應的安全配置，則其是漏洞百出，掌握一般攻擊技術的人都可能入侵得手。

如果進行安全配置，比如，填補安全漏洞，關閉一些不常用的服務，禁止開放一些不常用而又比較敏感的端口等，那么入侵者要成功進行內部網是不容易，這需要相當高的技術水平及相當長時間。因此應正確估價自己的網絡風險并根據自己的網絡風險大小做出相應的安全解決方案。

應用的安全風險分析

應用系統的安全涉及很多方面。應用系統是動態(tài)的、不斷變化的。應用的安全性也是動態(tài)的。這就需要我們對不同的應用，檢測安全漏洞，采取相應的安全措施，降低應用的安全風險。

（一）資源共享

政府網絡系統內部必有自動化辦公系統。而辦公網絡應用通常是共享網絡資源，比如文件、打印機共享等。由此就可能存在著：員工有意、無意把硬盤中重要信息目錄共享，長期暴露在網絡鄰居上，可能被外部人員輕易偷取或被內部其他員工竊取并傳播出去造成泄密，因為缺少必要的訪問控制策略。

電子郵件系統

電子郵件為網系統用戶提供電子郵件應用。內部網用戶可通過拔號或其它方式進行電子郵件發(fā)送和接收這就存在被黑客跟蹤或收到一些特洛伊木馬、病毒程序等，由于許多用戶安全意識比較淡薄，對一些來歷不明的郵件，沒有警惕性，給入侵者提供機會，給系統帶來不安全因素。

病毒侵害

自從1983年世界上第一個計算機病毒出現以來，在20多年的時間里，計算機病毒已到了無孔不入的地步，有些甚至給我們造成了巨大的破壞。

隨著網絡的普及和網速的提高，計算機之間的遠程控制越來越方便，傳輸文件也變得非常快捷，正因為如此，病毒與黑客程序（木馬病毒）結合以后的危害更為嚴重，病毒的發(fā)作往往伴隨著用戶機密資料的丟失。病毒的傳播可能會具有一定的方向性，按照制作者的要求侵蝕固定的內容。

由于網絡的普及，使得編寫病毒的知識越來越容易獲得。同時，各種功能強大而易學的編程工具讓用戶可以輕松編寫一個具有極強殺傷力的病毒程序。用戶通過網絡甚至可以獲得專門編寫病毒的工具軟件，只需要通過簡單的操作就可以生成破壞性的病毒。

網絡是病毒傳播的最好、最快的途徑之一。病毒程序可以通過網上下載、電子郵件、使用盜版光盤或軟盤、人為投放等傳播途徑潛入內部網。因此，病毒的危害的不可以輕視的。網絡中一旦有一臺主機受病毒感染，則病毒程序就完全可能在極短的時間內迅速擴散，傳播到網絡上的所有主機，可能造成信息泄漏、文件丟失、機器死機等不安全因素。

數據信息

數據安全對政府行業(yè)來說尤其重要，數據在廣域網線路上傳輸，很難保證在傳輸過程中不被非法竊取，篡改?，F今很多先進技術，黑客或一些工業(yè)間諜會通過一些手段，設法在線路上做些手腳，獲得在網上傳輸的數據信息。也就造成的泄密。這對政府行業(yè)用戶來說，是決不允許的。

管理的安全風險分析

內部管理人員或員工把內部網絡結構、管理員用戶名及口令以及系統的一些重要信息傳播給外人帶來信息泄漏風險。

機房重地卻是任何都可以進進出出，來去自由。存有惡意的入侵者便有機會得到入侵的條件。

內部不滿的員工有的可能熟悉服務器、小程序、腳本和系統的弱點。利用網絡開些小玩笑，甚至破壞。如傳出至關重要的信息、錯誤地進入數據庫、刪除數據等等。這些都將給網絡造成極大的安全風險。

管理是網絡中安全得到保證的重要組成部分，是防止來自內部網絡入侵必須的部分。責權不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。即除了從技術上下功夫外，還得依靠安全管理來實現。

防火墻系統設計方案

（一）防火墻系統

1、在各網絡出口處安裝曙光天羅防火墻。防火墻在這里首先起到網絡隔離、劃分不同安全域，進行訪問控制的功能。通過防火墻的多網口結構設計，控制授權合法用戶可以訪問到授權服務，而限制非授權的訪問。曙光天羅防火墻分為百兆和千兆兩個系列，可以根據各局內部網的規(guī)模大小選擇適合自己的產品。

2、曙光天羅防火墻自帶的入侵檢測功能采用了基于模式匹配的入侵檢測系統，超越了傳統防火墻中的基于統計異常的入侵檢測功能，實現了可擴展的攻擊檢測庫，真正實現了抵御目前已知的各種攻擊方法。防火墻的入侵檢測模塊，可以自動檢測網絡數據流中潛在的入侵、攻擊和濫用方式，通知管理員調整控制規(guī)則，為整個網絡提供動態(tài)的網絡保護。

3、利用曙光天羅防火墻自帶的VPN功能，實現多級VPN系統。防火墻VPN模塊支持兩種用戶模式：遠程訪問虛擬網(撥號VPN)和政府機關內部虛擬網(網關對網關VPN)。如上圖所示，在省地市三級網絡出口處安裝曙光天羅防火墻，利用防火墻的VPN模塊，實現他們之間分層次的政府機關內部虛擬網(網關對網關VPN)；而對于一些規(guī)模比較小的區(qū)線或移動用戶，通過安裝VPN客戶端，實現遠程訪問虛擬網(撥號VPN)，整個構成一個安全的虛擬內部局域網，保障電子政務網絡的數據安全傳輸。

（二）防火墻的VPN功能

VPN是平衡Internet的適用性和價格優(yōu)勢的最有前途的新興通信手段之一。利用共享的IP網建立VPN連接，可以使服務對象減少對昂貴租用線路和復雜遠程訪問方案的依賴性。

也是至關重要的一點，它可以使移動用戶和一些小型的分支機構的網絡開銷減少達50%或更多；

政府機關新增的分支機構或站點可以非常迅速方便地加入政府機關已建的基于VPN的INTRANET，所以VPN的可擴展性大大優(yōu)于傳統構建政府機關INTRANET的技術手段，如點對點專線或長途撥號；

VPN不僅可以大幅度削減傳輸數據的開銷，同時可以削減傳輸話音的開銷；

VPN創(chuàng)造了多種伴隨著Web發(fā)展而出現的新的商業(yè)機會，包括：進行全球電子商務，可以在減少銷售成本的同時增加銷售量；實現外連網，可以使用戶獲得關鍵的信息，更加貼近世界；可以訪問全球任何角落的電子通勤人員和移動用戶。

在當今全球激烈競爭的環(huán)境下，最先實現VPN的政府機關將在競爭獲得優(yōu)勢已經是不爭的事實，許多政府機關也開始紛紛利用經濟有效的VPN來傳送話音業(yè)務，并從中受益：

◆ 減少用于相關的調制解調器和終端服務設備的資金及費用，簡化網絡； ◆ 實現本地撥號接入的功能來取代遠距離接入，這樣能顯著降低遠距離通信的費用； ◆ 遠端驗證撥入用戶服務基于標準，基于策略功能的安全服務；

◆ 將工作重心從管理和保留運作撥號網絡的工作人員轉到公司的核心業(yè)務上來； ◆ 強大的基于 Web的VPN管理工具提供基于策略的 VPN配置和監(jiān)控，可以優(yōu)化網絡資源；

◆ 極大的可擴展性，簡便地對加入網絡的新用戶進行調度。用戶不需改變網絡的原來架構，只須安裝客戶端軟件并且設置此軟件的一些參數即可。同時也支持傳統的應用，可以從小的政府機關擴展到最大的政府機關；

◆ 更大的網絡靈活性，可以管理和發(fā)布不同類型的數據進入同一Internet連接。VPN代表了當今網絡發(fā)展演化的最高形式，它綜合了傳統數據網絡的性能優(yōu)點（安全和QoS）和共享數據網絡結構的優(yōu)點（簡單和低成本），必將成為未來傳輸完全匯聚業(yè)務的主要工具。

用戶可以通過硬件和軟件的方式來實現VPN功能，一般用戶都會使用硬件設備。在總部架設一個帶有VPN功能的防火墻，就可以讓地方聯到總部的內部局域網了。使用這種具有VPN功能的防火墻都具有較高的安全性和穩(wěn)定性，因一個最大的優(yōu)點是既可以抵御外部的攻擊又可以提高自身網絡的安全性。

防火墻對服務器的保護

網絡中應用的服務器，信息量大、處理能力強，往往是攻擊的主要對象。另外，服務器提供的各種服務本身有可能成為“黑客”攻擊的突破口，因此，在實施方案時要對服務器的安全進行一系列安全保護。

如果服務器沒有加任何安全防護措施而直接放在公網上提供對外服務，就會面臨著“黑客”各種方式的攻擊，安全級別很低。因此當安裝防火墻后，所有訪問服務器的請求都要經過防火墻安全規(guī)則的詳細檢測。只有訪問服務器的請求符合防火墻安全規(guī)則后，才能通過防火墻到達內部服務器。防火墻本身抵御了絕大部分對服務器的攻擊，外界只能接觸到防火墻上的特定服務，從而防止了絕大部分外界攻擊。

（四）防火墻對內網的保護

網絡內部的環(huán)境比較復雜，而且各子網的分布地域廣闊，網絡用戶、設備接入的可控性比較差，因此，內部網絡用戶的可靠性并不能得到完全的保證。特別是對于存放敏感數據的主機的攻擊往往發(fā)自內部用戶，如何對內部用戶進行訪問控制和安全防范就顯得特別重要。為了保障內部網絡運行的可靠性和安全性，我們必須要對它進行詳盡的分析，盡可能防護到網絡的每一節(jié)點。

對于一般的網絡應用，內部用戶可以直接接觸到網絡內部幾乎所有的服務，網絡服務器對于內部用戶缺乏基本的安全防范，特別是在內部網絡上，大部分的主機沒有進行基本的安全防范處理，整個系統的安全性容易受到內部用戶攻擊的威脅，安全等級不高。根據國際上流行的處理方法，我們把內部用戶跨網段的訪問分為兩大類：其一，是內部網絡用戶之間的訪問，即單機到單機訪問。這一層次上的應用主要有用戶共享文件的傳輸（NETBIOS）應用；其次，是內部網絡用戶對內部服務器的訪問，這一類應用主要發(fā)生在內部用戶的業(yè)務處理時。一般內部用戶對于網絡安全防范的意識不高，如果內部人員發(fā)起攻擊，內部網絡主機將無法避免地遭到損害，特別是針對于NETBIOS文件共享協議，已經有很多的漏洞在網上公開報道，如果網絡主機保護不完善，就可能被內部用戶利用“黑客”工具造成嚴重破壞。

由于網絡環(huán)境的復雜化和網絡應用的多樣化日益明顯，對于內部網絡除了必要的防攻擊設置外還必須防止內部用戶的欺騙行為，比如IP地址欺騙、網絡連接的欺騙等。由于物理層上的原因，內部用戶接觸網絡服務的機會、方法很多，如果沒有專門的安全防護，“黑客”就可以比較容易地實施欺騙、偽造身份及暴力攻擊（CRACK），對于內部網絡的用戶，防范攻擊的難度較大。我們主要從以下幾個方面考慮：

1)內部網絡風險分析：由于內部攻擊發(fā)生的比較頻繁，因此我們首先要分析內部網絡的安全隱患，把可能發(fā)生的不安定因素找出來進行專門的安全處理；

2)內部用戶網絡和網絡的隔離：把內部比較重要的數據服務器放在專門的區(qū)域，加上獨立的控制體系，對于內部網的訪問同樣要進行相應的安全控制；

3)內部網絡安全保護：結合物理層和鏈路層的特點，在物理層和鏈路層的接口處實施安全控制，實施IP/MAC綁定。

IDS詳述

IDS（入侵檢測系統）對于關心網絡安全防護的人們來說已不再是一個陌生的名詞，在許多行業(yè)的計算機網絡安全防御工程中除了采用防病毒、防火墻或認證加密等系統外，有近15%的安全項目會涉及到IDS系統，而且這些項目一般都對安全等級的要求非常高，對數據信息的保密性也有特別的要求。

IDS系統

要想高效使用IDS首先要對它進行合理部署。通常IDS監(jiān)控保護的基本單位是一個網段，單個網段的最小組成元素是各臺主機，政府機關對各主機、各網段的安全性要求程度一般都不相同，所以確定IDS的保護對象是合理使用IDS的關鍵。

在優(yōu)先保護的網段中部署IDS系統，并配置合適的檢測策略，如在防火墻之內部署IDS則可把安全策略配置得緊一些，即使用最大化的檢測策略，而在防火墻之外部署則可采用較為寬松的策略，因為經過防火墻過濾后，內部網絡的安全狀況相對比較簡單，而外部的情況則較為復雜，誤報的可能性也較大。另外，在一定的情況下有些內部信任的主機也可能會觸發(fā)IDS的檢測引擎，從而形成報警，而對于用戶來說，這些報警事件是沒有什么參考價值的，所以需要在檢測范圍中排除這些主機的IP地址；通常IDS系統中都有一個過濾器（FILTER）模塊或像KIDS那樣所具有的“非阻斷列表”的功能選項，可以允許用戶加入所有他們所信任的主機IP地址。

目前大多數的IDS系統主要采用基于包特征的檢測技術來組建，它們的基本原理是對網絡上的所有數據包進行復制并檢測，然后與內部的攻擊特征數據庫（規(guī)則庫）進行匹配比較，如果相符即產生報警或響應。這種檢測方式雖然比異常統計檢測技術要更加精確，但會給IDS帶來較大的負載，所以需要對檢測策略作進一步的調整和優(yōu)化。具體做法是根據政府機關自身網絡的業(yè)務應用情況，選擇最適合的檢測策略（可根據操作系統、應用服務或部署位置等），并對所選的策略進行修改，選擇具有參考價值的檢測規(guī)則，而去除一些無關緊要的選項，如對于全部是Windows的應用環(huán)境，則完全可以把UNIX的規(guī)則去掉。有些IDS除了提供攻擊特征檢測規(guī)則的定制功能外，還提供了對端口掃描檢測規(guī)則的自定義，如在KIDS中就可定義端口掃描的監(jiān)控范圍、信任主機地址排除和掃描模式等參數，這些參數的合理配置都能將IDS的檢測能力優(yōu)化到最理想的狀態(tài)。

IDS監(jiān)控

IDS除了能對網絡上各種非法行為產生報警外還能對一些特定的事件進行實時的響應，因為只有采取及時的響應才能有效阻止重要的資源被破壞或被盜用。目前最常用的響應方式是對網絡中的非法連接進行阻斷，如利用防火墻阻斷、列入黑名單阻斷或HTTP阻斷等。在利用IDS進行監(jiān)控時，不但需要查看它的報警提示，而且需要參考它所提供的實時狀態(tài)信息。因為在網絡中發(fā)生異常行為時，網絡中的許多狀態(tài)信息一般都與正常情況下的狀態(tài)不一樣。如主機正遭到拒絕服務攻擊時（DoS或DDoS），網絡中的數據流量便可能會急速上升，這時可以從包流量或字節(jié)流量等實時的狀態(tài)圖表中發(fā)現這樣的異常情況。所以參考IDS所顯示的狀態(tài)信息也是非常重要的。實時狀態(tài)信息還包括當前的活動TCP連接、TCP/UDP/IP/ICMP等協議的包或字節(jié)流量等。IDS的最重要價值之一是它能提供事后統計分析，所有安全事件或審計事件的信息都將被記錄在數據庫中，可以從各個角度來對這些事件進行分析歸類，以總結出被保護網絡的安全狀態(tài)的現狀和趨勢，及時發(fā)現網絡或主機中存在的問題或漏洞，并可歸納出相應的解決方案。

電子政務整體網絡安全解決方案

電子政務系統中存在大量敏感數據和應用，因此必須設計一個高安全性、高可靠性及高性能的防火墻安全保護系統，確保數據和應用萬無一失。

各局的局域網計算機工作站包括終端、廣域網路由器、服務器群都直接匯接到本局的主干交換機上。由于工作站分布較廣且全部連接，可以通過電子政務網絡進行相互訪問，服務器就有可能收到攻擊。因此，必須在各局之間相互進行隔離防護。

如下圖，我們在各局路由器后安裝曙光TLFW千兆防火墻，以有三千用戶在同時上Internet網計算，千兆防火墻的并發(fā)連接超過600,000，完全可以滿足整個網絡的需求，穩(wěn)定性上也滿足要求。同時，將局內網與其他區(qū)域邏輯隔離開來，在數據中心內，根據不同的服務器對安全性的不同需求，將它們分等級劃分為不同的區(qū)域，并通過詳細的包過濾規(guī)則制定，將這些服務器徹底保護起來，保證它們之間不能跨級別訪問，這樣實現分級的安全性。

通過安裝防火墻，可以實現下列的安全目標：

1)利用防火墻將內部網絡、Internet外部網絡進行有效隔離，避免與外部網絡直接通信；

2)利用防火墻建立網絡各終端和服務器的安全保護措施，保證系統安全；

3)利用防火墻對來自非內部網的服務請求進行控制，使非法訪問在到達主機前被拒絕； 4)利用防火墻使用IP與MAC地址綁定功能，加強終端用戶的訪問認證，同時在不影響用戶正常訪問的基礎上將用戶的訪問權限控制在最低限度內；

5)利用防火墻全面監(jiān)視對服務器的訪問，及時發(fā)現和阻止非法操作；

6)利用防火墻及服務器上的審計記錄，形成一個完善的審計體系，建立第二條防線； 7)根據需要設置流量控制規(guī)則，實現網絡流量控制，并設置基于時間段的訪問控制。下圖是電子政務網絡安全解決方案設計拓撲圖：

圖示：電子政務網絡安全總體拓撲

根據以上的分析，在整個政府網絡安全體系中，除了負責邊界安全的防火墻設備以外，還選擇了入侵檢測系統進行共同防范，達到整個系統的高安全性。

同時因為用戶有撥號VPN的需求，而曙光的天羅防火墻自身具備了VPN的功能，可以滿足遠程連接用戶的安全要求。

具備了高安全性、高可靠性、高性能、高適用性、易管理、高度集成、靈活擴展等產品特色。易于安裝和使用，網絡性能和透明性好，擁有自行設計的全中文化WWW管理界面，通過直觀、易用的界面來管理強大、復雜的系統功能。

可根據系統管理者設定的安全規(guī)則（Security Rules）把守網絡的大門，提供強大的訪問控制、網絡地址轉換(Network Address Translation)、帶寬控制、P2P協議過濾等功能。

根據電子政務的實際需要，充分利用了曙光天羅防火墻的各功能模塊，實現了各功能模塊(防火墻模塊、入侵檢測模塊、VPN模塊等)的協同工作，再加上NIDS網絡入侵檢測系統的重點防護，構建了一個整合的動態(tài)安全門戶，以比較經濟實惠的方式，實現了對電子政務網絡的整體安全防護。

第三篇：企業(yè)網絡安全解決方案畢業(yè)論文

婁底職業(yè)技術學院網絡專業(yè)畢業(yè)設計

宏錦網絡有限公司 企業(yè)網絡安全解決方案

摘 要

近幾年來，Internet技術日趨成熟，已經開始了從以提供和保證網絡聯通性為主要目標的第一代Internet技術向以提供網絡數據信息服務為特征的第二代Internet技術的過渡。這些都促使了計算機網絡互聯技術迅速的大規(guī)模使用。眾所周知，作為全球使用范圍最大的信息網，Internet自身協議的開放性極大地方便了各種計算機連網，拓寬了共享資源。但是，由于在早期網絡協議設計上對安全問題的忽視，以及在管理和使用上的無政府狀態(tài)，逐漸使Internet自身安全受到嚴重威脅，與它有關的安全事故屢有發(fā)生。網絡安全的威脅主要表現在：非授權訪問，冒充合法用戶，破壞數據完整性，干擾系統正常運行，利用網絡傳播病毒，線路竊聽等方面。因此本論文為企業(yè)（宏錦企業(yè)網絡）構架網絡安全體系，主要運用vlan劃分、防火墻技術、vpn、病毒防護等技術，來實現企業(yè)的網絡安全。

關鍵詞： 網絡，安全，VPN，防火墻，防病毒

I

火龍果?整理 uml.org.cn 婁底職業(yè)技術學院網絡專業(yè)畢業(yè)設計

Abstract In recent years, Internet technology has matured, has begun to provide and guarantee from the network connectivity as the main target of the first generation of Internet technology to provide network data services for the characteristics of the second generation of Internet technology transition.These all contributed to the rapid computer networking technology of large-scale use.As we all know, the world's largest information network use of, Internet openness of their agreement greatly facilitate a variety of computer networking to broaden the sharing of resources.However, in the early design of network protocols on security issues of neglect, as well as in management and use of the anarchy, the Internet increasingly serious threat to their security, and its related security incidents happened quite frequently.Network security threats mainly in: unauthorized access, posing as legitimate users, damage to data integrity, interfere with the normal operation of the system, using the Internet spread the virus, line tapping and so on.Therefore, this paper for the enterprise(Hong Jin corporate network)architecture network security system, mainly by the use of vlan, firewall, vpn, virus protection and other technologies to achieve corporate network security.Keywords: network, security, VPN, firewall, anti-virus

II

火龍果?整理 uml.org.cn 婁底職業(yè)技術學院網絡專業(yè)畢業(yè)設計

目 錄

緒 論....................................................................................................................................................................1 第一章 企業(yè)網絡安全概述...................................................................................................................................2 1.1 企業(yè)網絡的主要安全隱患.......................................................................................................................2

1.2 企業(yè)網絡的安全誤區(qū)...............................................................................................................................2 第二章 企業(yè)網絡安全現狀分析.........................................................................................................................4 2.1 公司背景.....................................................................................................................................................4 2.2 企業(yè)網絡安全需求.....................................................................................................................................4 2.3 需求分析.....................................................................................................................................................4 2.4 企業(yè)網絡結構.............................................................................................................................................5 第三章 企業(yè)網絡安全解決實施...........................................................................................................................6 3.1 宏錦網絡企業(yè)物理安全.............................................................................................................................6 3.2宏錦企業(yè)網絡VLAN劃分............................................................................................................................7 3.4 宏錦企業(yè)網絡防火墻配置.........................................................................................................................9 3.4 宏錦企業(yè)網絡VPN配置...........................................................................................................................12 3.5 宏錦企業(yè)網絡防病毒措施.......................................................................................................................13 第四章 宏錦企業(yè)的網絡管理.............................................................................................................................16 4.1宏錦企業(yè)網絡管理的問題........................................................................................................................16 4.2 宏錦企業(yè)網絡管理實施...........................................................................................................................16 總 結..................................................................................................................................................................18 致 謝..................................................................................................................................................................19 參考文獻...............................................................................................................................................................20

III

火龍果?整理 uml.org.cn 婁底職業(yè)技術學院網絡專業(yè)畢業(yè)設計

緒 論

隨著信息化技術的飛速發(fā)展，許多有遠見的企業(yè)都認識到依托先進的IT技術構建企業(yè)自身的業(yè)務和運營平臺將極大地提升企業(yè)的核心競爭力，使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。經營管理對計算機應用系統的依賴性增強，計算機應用系統對網絡的依賴性增強。計算機網絡規(guī)模不斷擴大，網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。信息安全防范應做整體的考慮，全面覆蓋信息系統的各層次，針對網絡、系統、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態(tài)的過程，事前、事中和事后的技術手段應當完備，安全管理應貫穿安全防范活動的始終。

網絡安全問題伴隨著網絡的產生而產生，可以說，有網絡的地方就存在網絡安全隱患。像病毒入侵和黑客攻擊之類的網絡安全事件，目前主要是通過網絡進行的，而且?guī)缀趺繒r每刻都在發(fā)生，遍及全球。除此之外，像惡意軟件入侵、攻擊，用戶的非法訪問和操作，用戶郵件的非法截取和更改等都是普遍存在的安全事實。網絡安全事件所帶來的危害，相信我們每個計算機用戶都或多或少地親身體驗過一些：輕則使電腦系統運行不正常，重則使整個計算機系統中的磁盤數據全部覆滅，甚至導致磁盤、計算機等硬件的損壞。

為了防范這些網絡安全事故的發(fā)生，每個計算機用戶，特別是企業(yè)網絡用戶，必須采取足夠的安全防范措施，甚至可以說要在利益均衡情況下不惜一切代價。但要注意，企業(yè)網絡安全策略的實施是一項系統工程，它涉及許多方面。因此既要充分考慮到那些平時經常提及的外部網絡威脅，又要對來自內部網絡和網絡管理本身所帶來的安全隱患有足夠的重視，不能孤立地看待任何一個安全隱患和安全措施。因為這些安全隱患爆發(fā)的途徑可以是多方面的，而許多安全措施都是相輔相成的。

火龍果?整理 uml.org.cn 婁底職業(yè)技術學院網絡專業(yè)畢業(yè)設計

第一章 企業(yè)網絡安全概述

1.1 企業(yè)網絡的主要安全隱患

現在網絡安全系統所要防范的不再僅是病毒感染，更多的是基于網絡的非法入侵、攻擊和訪問，同時企業(yè)網絡安全隱患的來源有內、外網之分，很多情況下內部網絡安全威脅要遠遠大于外部網絡，因為內部中實施入侵和攻擊更加容易，企業(yè)網絡安全威脅的主要來源主要包括。

1)病毒、木馬和惡意軟件的入侵。2)網絡黑客的攻擊。

3)重要文件或郵件的非法竊取、訪問與操作。4)關鍵部門的非法訪問和敏感信息外泄。5)外網的非法入侵。

6)備份數據和存儲媒體的損壞、丟失。

針對這些安全隱患，所采取的安全策略可以通過安裝專業(yè)的網絡版病毒防護系統，同時也要加強內部網絡的安全管理，配置好防火墻過濾策略和系統本身的各項安全措施，及時安裝系統安全補丁，有條件的還可以在內、外網之間安裝網絡掃描檢測、網絡嗅探器、IDS、IPS系統，甚至配置網絡安全隔離系統，對內、外網絡進行安全隔離；加強內部網絡的安全管理，嚴格實行“最小權限”原則，為各個用戶配置好恰當的用戶權限；同時對一些敏感數據進行加密保護，對數據還可以進行數字簽名措施；根據企業(yè)實際需要配置好相應的數據策略，并按策略認真執(zhí)行。

1.2 企業(yè)網絡的安全誤區(qū)

(一)安裝防火墻就安全了

防火墻主要工作都是控制存取與過濾封包，所以對DoS攻擊、非法存取與篡改封包等攻擊模式的防范極為有效，可以提供網絡周邊的安全防護。但如果攻擊行為不經過防火墻，或是將應用層的攻擊程序隱藏在正常的封包內，便力不從心了，許多防火墻只是工作在網絡層。

防火墻的原理是“防外不防內”，對內部網絡的訪問不進行任何阻撓，而事實上，企業(yè)網絡安全事件絕大部分還是源于企業(yè)內部。

火龍果?整理 uml.org.cn 婁底職業(yè)技術學院網絡專業(yè)畢業(yè)設計

(二)安裝了最新的殺毒軟件就不怕病毒了

安裝殺毒軟件的目的是為了預防病毒的入侵和查殺系統中已感染的計算機病毒，但這并不能保證就沒有病毒入侵了，因為殺毒軟件查殺某一病毒的能力總是滯后于該病毒的出現。

(三)在每臺計算機上安裝單機版殺毒軟件和網絡版殺毒軟件等效

網絡版殺毒軟件核心就是集中的網絡防毒系統管理。網絡版殺毒軟件可以在一臺服務器上通過安全中心控制整個網絡的客戶端殺毒軟件同步病毒查殺、監(jiān)控整個網絡的病毒。同時對于整個網絡，管理非常方便，對于單機版是不可能做到的。

(四)只要不上網就不會中毒

雖然不少病毒是通過網頁傳播的，但像QQ聊天接發(fā)郵件同樣是病毒傳播的主要途徑，而且盜版光盤以及U盤等也會存在著病毒。所以只要計算機開著，就要防范病毒。

(五)文件設置只讀就可以避免感染病毒

設置只讀只是調用系統的幾個命令，而病毒或黑客程序也可以做到這一點，設置只讀并不能有效防毒，不過在局域網中為了共享安全，放置誤刪除，還是比較有用的。

(六)網絡安全主要來自外部

基于內部的網絡攻擊更加容易，不需要借助于其他的網絡連接方式，就可以直接在內部網絡中實施攻擊。所以，加強內部網絡安全管理，特別是用戶帳戶管理，如帳戶密碼、臨時帳戶、過期帳戶和權限等方面的管理非常必要了。

火龍果?整理 uml.org.cn 婁底職業(yè)技術學院網絡專業(yè)畢業(yè)設計

第二章 企業(yè)網絡安全現狀分析

2.1 公司背景

宏錦網絡有限公司是一家有100名員工的中小型網絡公司，主要以手機應用開發(fā)為主營項目的軟件企業(yè)。公司有一個局域網，約100臺計算機，服務器的操作系統是 Windows Server 2003,客戶機的操作系統是 Windows XP，在工作組的模式下一人一機辦公。公司對網絡的依賴性很強，主要業(yè)務都要涉及互聯網以及內部網絡。隨著公司的發(fā)展現有的網絡安全已經不能滿足公司的需要，因此構建健全的網絡安全體系是當前的重中之重。

2.2 企業(yè)網絡安全需求

宏錦網絡有限公司根據業(yè)務發(fā)展需求，建設一個小型的企業(yè)網，有Web、Mail等服務器和辦公區(qū)客戶機。企業(yè)分為財務部門和業(yè)務部門，需要他們之間相互隔離。同時由于考慮到Inteneter的安全性，以及網絡安全等一些因素，如DDoS、ARP等。因此本企業(yè)的網絡安全構架要求如下：

（1）根據公司現有的網絡設備組網規(guī)劃（2）保護網絡系統的可用性（3）保護網絡系統服務的連續(xù)性

（4）防范網絡資源的非法訪問及非授權訪問（5）防范入侵者的惡意攻擊與破壞

（6）保護企業(yè)信息通過網上傳輸過程中的機密性、完整性（7）防范病毒的侵害（8）實現網絡的安全管理。

2.3 需求分析

通過了解宏錦網絡公司的需求與現狀，為實現宏錦網絡公司的網絡安全建設實施網絡系統改造，提高企業(yè)網絡系統運行的穩(wěn)定性，保證企業(yè)各種設計信息的安全性，避免圖紙、文檔的丟失和外泄。通過軟件或安全手段對客戶端的計算機加以保護，記錄用戶對客戶端計算機中關鍵目錄和文件的操作，使企業(yè)有手段對用戶在客戶端計算機的使用

火龍果?整理 uml.org.cn 婁底職業(yè)技術學院網絡專業(yè)畢業(yè)設計

情況進行追蹤，防范外來計算機的侵入而造成破壞。通過網絡的改造，使管理者更加便于對網絡中的服務器、客戶端、登陸用戶的權限以及應用軟件的安裝進行全面的監(jiān)控和管理。因此需要

（1）構建良好的環(huán)境確保企業(yè)物理設備的安全（2）劃分VLAN控制內網安全（3）安裝防火墻體系

（4）建立VPN(虛擬專用網絡)確保數據安全（5）安裝防病毒服務器（6）加強企業(yè)對網絡資源的管理

2.4 企業(yè)網絡結構

宏錦網絡公司網絡拓撲圖，如圖2-1所示:

圖2-1 企業(yè)網絡結構

由于宏錦網絡公司是直接從電信接入IP為58.192.65.62 255.255.255.0，直接經由防火墻分為DMZ區(qū)域和普通區(qū)域。防火墻上做NAT轉換，分別給客戶機端的地址為10.1.1.0 255.255.255.0。防火墻接客戶區(qū)端口地址為10.1.1.1 255.255.255.0。DMZ內主要有各類的服務器，地址分配為10.1.2.0 255.255.255.0。防火墻DMZ區(qū)的接口地址為10.1.2.1 255.255.255.0。內網主要由3層交換機作為核心交換機，下面有兩臺2層交換機做接入。

火龍果?整理 uml.org.cn 婁底職業(yè)技術學院網絡專業(yè)畢業(yè)設計

第三章 企業(yè)網絡安全解決實施

3.1 宏錦網絡企業(yè)物理安全

宏錦企業(yè)網絡中保護網絡設備的物理安全是其整個計算機網絡系統安全的前提，物理安全是指保護計算機網絡設備、設施以及其他媒體免遭地震、水災、火災等環(huán)境事故、人為操作失誤或各種計算機犯罪行為導致的破壞。

針對宏錦網絡企業(yè)的物理安全主要考慮的問題是環(huán)境、場地和設備的安全及物理訪問控制和應急處置計劃等。物理安全在整個計算機網絡信息系統安全中占有重要地位。它主要包括以下幾個方面： 1)保證機房環(huán)境安全

信息系統中的計算機硬件、網絡設施以及運行環(huán)境是信息系統運行的最基本的環(huán)境。要從一下三個方面考慮：a.自然災害、物理損壞和設備故障 b.電磁輻射、乘機而入、痕跡泄漏等 c.操作失誤、意外疏漏等 2)選用合適的傳輸介質

屏蔽式雙絞線的抗干擾能力更強，且要求必須配有支持屏蔽功能的連接器件和要求介質有良好的接地（最好多處接地），對于干擾嚴重的區(qū)域應使用屏蔽式雙絞線，并將其放在金屬管內以增強抗干擾能力。

光纖是超長距離和高容量傳輸系統最有效的途徑，從傳輸特性等分析，無論何種光纖都有傳輸頻帶寬、速率高、傳輸損耗低、傳輸距離遠、抗雷電和電磁的干擾性好保密性好，不易被竊聽或被截獲數據、傳輸的誤碼率很低，可靠性高，體積小和重量輕等特點。與雙絞線或同軸電纜不同的是光纖不輻射能量，能夠有效地阻止竊聽。3)保證供電安全可靠

計算機和網絡主干設備對交流電源的質量要求十分嚴格，對交流電的電壓和頻率，對電源波形的正弦性，對三相電源的對稱性，對供電的連續(xù)性、可靠性穩(wěn)定性和抗干擾性等各項指標，都要求保持在允許偏差范圍內。機房的供配電系統設計既要滿足設備自身運轉的要求，又要滿足網絡應用的要求，必須做到保證網絡系統運行的可靠性，保證設備的設計壽命保證信息安全保證機房人員的工作環(huán)境。

火龍果?整理 uml.org.cn 婁底職業(yè)技術學院網絡專業(yè)畢業(yè)設計

3.2宏錦企業(yè)網絡VLAN劃分

VLAN技術能有效隔離局域網，防止網內的攻擊，所以宏錦網絡有限公司網絡中按部門進行了VLAN劃分，劃分為以下兩個VLAN：

財務部門 VLAN 10

交換機S1接入交換機（神州數碼DCS-3950）業(yè)務部門 VLAN 20

交換機S2接入交換機（神州數碼DCS-3950）核心交換機 VLAN間路由 核心交換機S3（神州數碼DCRS-5526）S1配置如下: switch> switch>ena switch#con switch(Config)#vlan 10 switch(Config-Vlan10)#sw int e 0/0/1-20 switch(Config-Vlan10)#exit switch(Config)#exit switch#con switch(Config)#int e 0/0/24 switch(Config-Ethernet0/0/24)#sw m t Set the port Ethernet0/0/24 mode TRUNK successfully switch(Config-Ethernet0/0/24)#sw t a v a set the port Ethernet0/0/24 allowed vlan successfully switch(Config-Ethernet0/0/24)#exit switch(Config)#ip dhcp pool vlan10 switch(dhcp-vlan10-config)#network-address 192.168.10.0 255.255.255.0 switch(dhcp-vlan10-config)#lease 3 switch(dhcp-vlan10-config)#default-router 192.168.1.1 switch(dhcp-vlan10-config)#dns-server 61.177.7.1 switch(dhcp-vlan10-config)#exit switch(config)ip dhcp excluded-address 192.168.10.1 S2配置如下: Switch> Switch>ena Switch#con

火龍果?整理 uml.org.cn 婁底職業(yè)技術學院網絡專業(yè)畢業(yè)設計

switch(Config)#vlan 20 switch(Config-Vlan20)#sw int e 0/0/1-20 switch(Config-Vlan20)#exit switch(Config)#exit switch#con switch(Config)#int e 0/0/24 switch(Config-Ethernet0/0/24)#sw m t Set the port Ethernet0/0/24 mode TRUNK successfully switch(Config-Ethernet0/0/24)#sw t a v a set the port Ethernet0/0/24 allowed vlan successfully switch(Config-Ethernet0/0/24)#exit switch(Config)#ip dhcp pool vlan20 switch(dhcp-vlan20-config)#network-address 192.168.20.0 255.255.255.0 switch(dhcp-vlan20-config)#lease 3 switch(dhcp-vlan20-config)#default-router 192.168.1.1 switch(dhcp-vlan20-config)#dns-server 61.177.7.1 switch(dhcp-vlan20-config)#exit switch(config)ip dhcp excluded-address 192.168.20.1 switch(config)ip dhcp excluded-address 192.168.20.150-192.168.20.240 S0配置如下: switch> switch>enable switch#config switch(Config)#hostname S0 S0(Config)#vlan 10 S0(Config-Vlan10)#vlan 20 S0(Config-Vlan20)#exit S0(Config)#int e 0/0/1-2 S0(Config-Port-Range)#sw m t S0(Config-Port-Range)#sw t a v a S0(Config-Port-Range)#exit S0(Config)#int vlan 10 S0(Config-If-Vlan10)#ip address 192.168.10.1 255.255.255.0 S0(Config-If-Vlan10)#no shutdown

火龍果?整理 uml.org.cn 婁底職業(yè)技術學院網絡專業(yè)畢業(yè)設計

S0(Config-If-Vlan10)#exit S0(Config)#int vlan 20 00:04:23: %LINK-5-CHANGED: Interface Vlan20, changed state to UP %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed state to UP S0(Config-If-Vlan20)#ip address 192.168.20.1 255.255.255.0 S0(Config-If-Vlan20)#no shutdown S0(Config-If-Vlan20)#exit S0(Config)#exit S0(Config-If-Vlan1)#ip address 192.168.1.1 255.255.255.0 S0(Config-If-Vlan1)#no shutdown S0(Config-If-Vlan1)#exit S0(Config)#exit S0#show ip route S0#con S0(Config)#ip route 58.192.65.0 255.255.255.0 10.1.1.1 3.4 宏錦企業(yè)網絡防火墻配置

宏錦企業(yè)網絡中使用的是神州數碼的DCFW-1800S UTM，里面包含了防火墻和VPN等功能。以下為配置過程：

在防火墻NAT策略下面，新增NAT。如圖3-1:

圖3-1 新增企業(yè)防火墻策略示意圖

源域：untrust； 源地址對象：any； 目的域：trust； 目的地址對象：any；

在全局安全策略設置里面如圖3-2和圖3-3所示:

火龍果?整理 uml.org.cn 婁底職業(yè)技術學院網絡專業(yè)畢業(yè)設計

圖3-2企業(yè)防火墻策略配置示意圖

圖 3-3 企業(yè)防火墻策略配置示意圖

火龍果?整理 uml.org.cn 婁底職業(yè)技術學院網絡專業(yè)畢業(yè)設計

圖3-4企業(yè)防火墻策略配置示意圖

可以設置全局下面訪問策略，以及域內和域間的訪問策略。這里我們設置，內部網絡為信任區(qū)域（trust），Inteneter為不信任區(qū)域（untrust），服務器區(qū)域為DMZ區(qū)域。動作包括permit允許，拒絕deny，以及其他的特定的服務。這里允許內部訪問外部和DMZ區(qū)域，而DMZ和Inteneter不允許訪問內部。但是處于中間位置的DMZ可以允許Inteneter的訪問。所以要添加好幾條NAT策略。

在網絡接口處如圖3-5所示:

圖3-5 網絡接口處配置示意圖

要配置3個以太網接口為up，安全區(qū)域分別為eth1：l2-trust，eth0：l2-untrust，eth2：l2-DMZ。其中接外網的eth0工作模式為路由模式，其余接DMZ和內部的都為NAT模式。如圖3-6所示:

火龍果?整理 uml.org.cn 婁底職業(yè)技術學院網絡專業(yè)畢業(yè)設計

圖3-6 以太網接口配置示意圖

同時為他們配好相應的網絡地址，eth0為58.192.65.62，eth1：10.1.1.1，eth2 10.1.2.1。

3.4 宏錦企業(yè)網絡VPN配置

宏錦企業(yè)網絡的VPN功能主要也是通過上面的防火墻實現的。如圖3-7,圖3-8所示:

圖3-7 PPTP協議示意圖

圖3-8 PPTP示意圖

這里我們使用PPTP協議來實現VPN，首先是新增PPTP地址池，范圍為192.168.20.150-192.168.20.240 如圖3-9所示:

火龍果?整理 uml.org.cn 婁底職業(yè)技術學院網絡專業(yè)畢業(yè)設計

圖3-9 PPTP協議實現VPN示意圖

在PPTP設置里面，選擇Chap加密認證，加密方式mppe-128。DNS分別為61.177.7.1，MTU為500。

3.5 宏錦企業(yè)網絡防病毒措施

針對宏錦企業(yè)網絡的現狀，在綜合考慮了公司對防病毒系統的性能要求、成本和安全性以后，我選用江民殺毒軟件KV網絡版來在內網中進行防病毒系統的建立。產品特點: KV網絡版是為各種簡單或復雜網絡環(huán)境設計的計算機病毒網絡防護系統，即適用于包含若干臺主機的單一網段網絡，也適用于包含各種WEB服務器、郵件服務器、應用服務器，以及分布在不同城市，包含數十萬臺主機的超大型網絡。KV網絡版具有以下顯著特點：

(1)先進的體系結構(2)超強的殺毒能力(3)完備的遠程控制(4)方便的分級、分組管理

宏錦企業(yè)網絡KV網絡版的主控制中心部署在DMZ服務器區(qū)，子控制中心部署在3層交換機的一臺服務器上。

網絡拓撲結構如圖3-10所示:

火龍果?整理 uml.org.cn 婁底職業(yè)技術學院網絡專業(yè)畢業(yè)設計

圖3-10 主控制中心部署圖

子控制中心與主控制中心關系: 控制中心負責整個KV網絡版的管理與控制，是整個KV網絡版的核心，在部署KV網絡時，必須首先安裝。除了對網絡中的計算機進行日常的管理與控制外，它還實時地記錄著KV網絡版防護體系內每臺計算機上的病毒監(jiān)控、查殺病毒和升級等信息。在1個網段內僅允許安裝1臺控制中心。根據控制中心所處的網段的不同，可以將控制中心劃分為主控制中心和子控制中心，子控制中心除了要 完成控制中心的功能外，還要負責與它的上級——主控制中心進行通信。這里的“主”和“子”是一個 相對的概念：每個控制中心對于它的下級的網段來說都是主控制中心，對于它的上級的網段來說又是子控制中心，這種控制結構可以根據網絡的需要無限的延伸下去。

為宏錦企業(yè)網絡安裝好KV網絡版殺毒軟件后，為期配置軟件的安全策略。對宏錦企業(yè)客戶端計算機的KV軟件實現更為完善的遠程控制功能，利用KV軟件控制中心的“策略設置”功能組來實現。在此功能中可以針對單一客戶端、邏輯組、全網進行具有針對性的安全策略設置。在“策略設置”下拉菜單中，我們可以找到“掃描設置”、“反垃圾郵件”、“網址過濾”等與平時安全應用密切相關的各項應用配置選項，如圖3-11所示。

火龍果?整理 uml.org.cn 婁底職業(yè)技術學院網絡專業(yè)畢業(yè)設計

圖3-11 “策略設置”命令菜單

為宏錦企業(yè)網絡KV網絡版殺毒軟件配置“掃描設置”，掃描設置可對當前選擇的任意組或者任意節(jié)點的客戶端進行更加細化的掃描設置。宏錦企業(yè)可以自己設定適合于自己網絡環(huán)境的掃描方案，針對不同的策略對不同的客戶端進行分發(fā)不同的掃描命令?？梢韵掳l(fā)以下命令到節(jié)點計算機：掃描目標，定時掃描，分類掃描，不掃描文件夾，掃描報告，簡單而實用的設置頁大大的增加了網絡管理的易用性。其中掃描目標的設置界面如圖3-12所示。

圖3-12 掃描目標配置

火龍果?整理 uml.org.cn 婁底職業(yè)技術學院網絡專業(yè)畢業(yè)設計

第四章 宏錦企業(yè)的網絡管理

4.1宏錦企業(yè)網絡管理的問題

（1）計算機軟、硬件數量無法確實掌握，盤點困難；（2）單位的計算機數量越來越多，無法集中管理；

（3）無法有效防止員工私裝軟件，造成非法版權使用威脅；（4）硬件設備私下挪用、竊取，造成財產損失；（5）使用者計算機IP隨易變更，造成故障頻傳；（6）軟件單機安裝浪費人力，應用軟件版本不易控制；（7）重要資料遭非法拷貝，資料外泄，無法監(jiān)督；（8）設備故障或資源不足，無法事先得到預警；

（9）應用軟件購買后，員工真正使用狀況如何，無從分析； 居高不下的信息化資源成本，不知如何改善。

4.2 宏錦企業(yè)網絡管理實施

針對宏錦企業(yè)網絡的需求，給企業(yè)安裝SmartIPVIew管理軟件實現宏錦企業(yè)網絡對公司內部的設備以及IP網絡資源管理。實施步驟安裝SmartIPVIew管理軟件，運行軟件添加宏錦企業(yè)的IP網段如圖4-1.火龍果?整理 uml.org.cn 婁底職業(yè)技術學院網絡專業(yè)畢業(yè)設計

圖4-1 添加企業(yè)IP網段

單擊確認，添加宏錦企業(yè)內部IP網段便于企業(yè)管理企業(yè)內部用戶。對宏錦企業(yè)網絡內部設備的管理如下圖4-2所示。

圖4-2 添加網絡設備

如圖4-2添加宏錦企業(yè)的網絡設備，以實現企業(yè)對內部網絡設備的監(jiān)控和方便管理能有效的提高辦公效率。

SmartIPVIew管理軟件獨創(chuàng)的IP地址資源管理技術，通過保護IP地址資源的安全使用，以及對IP地址資源的回收再利用，使有限的IP地址資源得到合理合法的使用，從而可以保證整個網絡資源的有效利用和安全。

火龍果?整理 uml.org.cn 婁底職業(yè)技術學院網絡專業(yè)畢業(yè)設計

總 結

隨著互聯網的飛速發(fā)展，網絡安全逐漸成為一個潛在的巨大問題。網絡安全性是一個涉及面很廣泛的問題，其中也會涉及到是否構成犯罪行為的問題。在其最簡單的形式中，它主要關心的是確保無關人員不能讀取，更不能修改傳送給其他接收者的信息。此時，它關心的對象是那些無權使用，但卻試圖獲得遠程服務的人。安全性也處理合法消息被截獲和重播的問題，以及發(fā)送者是否曾發(fā)送過該條消息的問題。

本論文從企業(yè)角度描述了網絡安全的解決方案，目的在于為用戶提供信息的保密，認證和完整性保護機制，使網絡中的服務，數據以及系統免受侵擾和破壞。比如防火墻，認證，加密技術等都是當今常用的方法，本論文從這些方法入手深入研究各個方面的網絡安全問題的解決，可以使讀者有對網絡安全技術的更深刻的了解。

火龍果?整理 uml.org.cn 婁底職業(yè)技術學院網絡專業(yè)畢業(yè)設計

致 謝

在這幾個多月的畢業(yè)設計中，我真誠的感謝老師的指導，在老師的幫助下我才順利的完成畢業(yè)設計。

做畢業(yè)實際就需要把平時學到的東西在復習一遍，因為平時上課還有課后自己的學習，都主要在基于理論方面的，雖然也做很多實驗，但當把畢業(yè)設計當作一個實際的工程來做的時候就會發(fā)現很多的問題，這就需要老師的指導了，特別是老師讓我們在實訓機房里面，直接就各個硬件進行操作，這樣我們就不會空談就會做的更深層次。

所以很感謝老師的幫助，讓我更好的將理論和實踐相結合，最后完成了此次畢業(yè)設計，同時也為以后工作做了很好的準備。

火龍果?整理 uml.org.cn 婁底職業(yè)技術學院網絡專業(yè)畢業(yè)設計

參考文獻

[ 1 ] 王達.網管員必讀—網絡安全.北京：機械工業(yè)出版社，2009． [ 2 ] 黃傳河.網絡規(guī)劃設計師教程.北京：機械工業(yè)出版社，2009． [ 3 ] 張千里，陳光英.網絡安全新技術.北京：人民郵電出版社，2003 [ 4 ] 王衛(wèi)紅，李曉明.計算機網絡與互聯網.北京：機械工業(yè)出版社，2009． [ 5 ] 易建勛.計算機網絡技術.北京：人民郵電出版社，2007.[ 6 ] 揚衛(wèi)東.網絡系統集成與工程設計，2007.[ 7 ] 張千里，陳光英.網絡安全新技術.北京：人民郵電出版社，2003 [ 8 ] 徐超汗.計算機網絡安全實用技術，電子工業(yè)出版社，2005年3月 [ 9 ] 萬博公司技術部.網絡系統集成行業(yè)使用方案,海洋出版社，2006年 [10 ] 高永強，郭世澤.網絡安全技術與應用大典.北京：人民郵電出版社，2003

火龍果?整理 uml.org.cn

第四篇：XX校園網網絡安全解決方案

網絡安全課程設計

目錄

一、校園網概況

二、校園網安全需求分析

三、產品選型和網絡拓撲圖介紹

四、操作系統安全配置與測試

五、應用服務器（WWW）安全配置

六、防病毒體系設計

七、防火墻設計、配置與測試

一、校園網概況 該校園網始建于2000年8月，至今已經歷了四個主要發(fā)展階段，網絡覆蓋已遍及現有的教學辦公區(qū)和學生宿舍區(qū)。截止目前，校園網光纜鋪設約一萬二千米，信息點鋪設接近一萬，開設上網帳號8000多個，辦理學校免費郵箱2000左右。

校園網主干現為雙千兆環(huán)網結構。校園網接入均為千兆光纖到大樓，百兆交換到桌面，具有良好的網絡性能。

校園網現有三條寬帶出口并行接入Internet，500兆中國電信、100兆中國網通和100兆中國教育科研網，通過合理的路由策略，為校園網用戶提供了良好的出口帶寬。

校園網資源建設成效顯著，現有資源服務包括大學門戶網站、新聞網站、各學院和職能部門網站、安農科技網站、郵件服務、電子校務、畢博輔助教學平臺、在線電視、VOD點播、音樂欣賞、公用FTP、文檔下載、軟件下載、知識園地、站點導航、在線幫助、系統補丁、網絡安全、個人主頁、計費服務、VPN、DHCP、域名服務等。還有外語學習的平臺，圖書館豐富的電子圖書資源，教務處的學分制教學信息服務網、科技處的科研管理平臺等。眾多的資源服務構成了校園網的資源子網，為廣大師生提供了良好的資源服務。

二、校園網安全需求分析

將安全策略、硬件及軟件等方法結合起來，構成一個統一的防御系統，有效阻止非法用戶進入網絡，減少網絡的安全風險。

定期進行漏洞掃描，審計跟蹤，及時發(fā)現問題，解決問題。

通過入侵檢測等方式實現實時安全監(jiān)控，提供快速響應故障的手段，同時具備很好的安全取證措施。

使網絡管理者能夠很快重新組織被破壞了的文件或應用。使系統重新恢復到破壞前的狀態(tài)，最大限度地減少損失。

在工作站、服務器上安裝相應的防病毒軟件，由中央控制臺統一控制和管理，實現全網統一防病毒。

通過對校園網網絡結構、應用及安全威脅分析，可以看出其安全問題主要集中在對服務器的安全保護、防黑客和病毒、重要網段的保護以及管理安全上。因此，我們必須采取相應的安全措施杜絕安全隱患，其中應該做到：

公開服務器的安全保護

防止黑客從外部攻擊

入侵檢測與監(jiān)控

信息審計與記錄

病毒防護

數據安全保護

數據備份與恢復

網絡的安全管理

針對這個企業(yè)局域網絡系統的實際情況，在系統考慮如何解決上述安全問題的設計時應滿足如下要求：

1.大幅度地提高系統的安全性（重點是可用性和可控性）；

2.保持網絡原有的能特點，即對網絡的協議和傳輸具有很好的透明性，能透明接入，無需更改網絡設置；

3.易于操作、維護，并便于自動化管理，而不增加或少增加附加操作；

4.盡量不影響原網絡拓撲結構，同時便于系統及系統功能的擴展；

5.安全保密系統具有較好的性能價格比，一次性投資，可以長期使用；

6.安全產品具有合法性，及經過國家有關管理部門的認可或認證； 7.分布實施。

三、產品選型和網絡拓撲圖介紹

該校園網現行核心區(qū)選用銳捷核心交換機RG-S5750S系列，24端口10/100/1000M自適應端口（支持PoE遠程供電），12個復用的SFP接口，2個擴展槽。支持4K個802.1Q VLAN 支持Super VLAN、支持Protocol VLAN、支持Private VLAN、支持Voice VLAN(*)、支持基于MAC地址的VLAN(*)、支持QinQ、支持STP、RSTP、MSTP。

防火墻采用深信服M5400VPN防火墻。2個LAN口，4個WAN口，2個串口。IPSec VPN隧道數：5200 條/并發(fā)SSL用戶數：800 /每秒新建用戶數：80 /每秒新建會話數：500/最大并發(fā)會話數目：600,000。接入層采用H3C S1048交換機，提供48個符合IEEE802.3u標準的10/100M自適應以太網接口，所有端口均支持全線速無阻塞交換以及端口自動翻轉功能，外形采用19英寸標準機架設計。符合IEEE802.3、IEEE802.3u和IEEE802.3x標準； 提供48個10/100M自適應以太網端口； 每個端口都支持Auto-MDI/MDIX功能； 每個端口都提供Speed和Link/Act指示燈，顯示端口的工作狀態(tài)。

校園網拓撲圖：

（四、五、）操作系統安全配置與測試，WWW配置與測試。

操作系統采用server 03，并在其上配置IIS、WWW、DHCP、DNS等。配置圖例如下：

然后建立網站文件夾目錄：

性能與目錄安全性配置：

可以通過IP地址和域名限制，創(chuàng)建虛擬文件目錄，更改端口號燈多種方法來提高WWW服務器的安全性。通過局域網網內不同主機對服務器的訪問來測試配置情況。

六、防病毒體系設計

防病毒體系總體規(guī)劃：

防病毒系統不僅是檢測和清除病毒，還應加強對病毒的防護工作，在網絡中不僅要部署被動防御體系（防病毒系統）還要采用主動防御機制（防火墻、安全策略、漏洞修復等），將病毒隔離在網絡大門之外。通過管理控制臺統一部署防病毒系統，保證不出現防病毒漏洞。因此，遠程安裝、集中管理、統一防病毒策略成為企業(yè)級防病毒產品的重要需求。

在跨區(qū)域的廣域網內，要保證整個廣域網安全無毒，首先要保證每一個局域網的安全無毒。也就是說，一個企業(yè)網的防病毒系統是建立在每個局域網的防病毒系統上的。應該根據每個局域網的防病毒要求，建立局域網防病毒控制系統，分別設置有針對性的防病毒策略。從總部到分支機構，由上到下，各個局域網的防病毒系統相結合，最終形成一個立體的、完整的病毒防護體系。

1.構建控管中心集中管理架構

保證網絡中的所有客戶端計算機、服務器可以從管理系統中及時得到更新，同時系統管理人員可以在任何時間、任何地點通過瀏覽器對整個防毒系統進行管理，使整個系統中任何一個節(jié)點都可以被系統管理人員隨時管理，保證整個防毒系統有效、及時地攔截病毒。2.構建全方位、多層次的防毒體系

結合企業(yè)實際網絡防毒需求，構建了多層次病毒防線，分別是網絡層防毒、郵件網關防毒、Web網關防毒、群件防毒、應用服務器防毒、客戶端防毒，保證斬斷病毒可以傳播、寄生的每一個節(jié)點，實現病毒的全面布控。3.構建高效的網關防毒子系統

網關防毒是最重要的一道防線，一方面消除外來郵件SMTP、POP3病毒的威脅，另一方面消除通過HTTP、FTP等應用的病毒風險，同時對郵件中的關鍵字、垃圾郵件進行阻擋，有效阻斷病毒最主要傳播途徑。

4.構建高效的網絡層防毒子系統

企業(yè)中網絡病毒的防范是最重要的防范工作，通過在網絡接口和重要安全區(qū)域部署網絡病毒系統，在網絡層全面消除外來病毒的威脅，使得網絡病毒不再肆意傳播，同時結合病毒所利用的傳播途徑，結合安全策略進行主動防御。

5.構建覆蓋病毒發(fā)作生命周期的控制體系 當一個惡性病毒入侵時，防毒系統不僅僅使用病毒代碼來防范病毒，而是具備完善的預警機制、清除機制、修復機制來實現病毒的高效處理，特別是對利用系統漏洞、端口攻擊為手段癱瘓整個網絡的新型病毒具有很好的防護手段。防毒系統在病毒代碼到來之前，可以通過網關可疑信息過濾、端口屏蔽、共享控制、重要文件/文件夾寫保護等多種手段來對病毒進行有效控制，使得新病毒未進來的進不來、進來后又沒有擴散的途徑。在清除與修復階段又可以對發(fā)現的病毒高效清除，快速恢復系統至正常狀態(tài)。6.病毒防護能力

防病毒能力要強、產品穩(wěn)定、操作系統兼容性好、占用系統資源少、不影響應用程序的正常運行，減少誤報的幾率。7.系統服務

系統服務是整體防毒系統中極為重要的一環(huán)。防病毒體系建立起來之后，能否對病毒進行有效的防范，與病毒廠商能否提供及時、全面的服務有著極為重要的關系。這一方面要求軟件提供商要有全球化的防毒體系為基礎，另一方面也要求廠商能有精良的本地化技術人員作依托，不管是對系統使用中出現的問題，還是用戶發(fā)現的可疑文件，都能進行快速的分析和方案提供。如果有新病毒爆發(fā)及其它網絡安全事件，需要防病毒廠商具有較強的應急處理能力及售后服務保障，并且做出具體、詳細的應急處理機制計劃表和完善的售后服務保障體系。防病毒體系的管理功能：

防病毒系統能夠實現分級、分組管理，不同組及客戶端執(zhí)行不同病毒查殺策略，全網定時/定級查殺病毒、全網遠程查殺策略設置、遠程報警、移動式管理、集中式授權管理、全面監(jiān)控主流郵件服務器、全面監(jiān)控郵件客戶端、統一的管理界面，直接監(jiān)視和操縱服務器端/客戶端，根據實際需要，添加自定義任務（例如更新和掃描任務等），支持大型網絡統一管理的多級中心系統等多種復雜的管理功能。8.資源占用率 防病毒系統進行實時監(jiān)控或多或少地要占用部分系統資源，這就不可避免地要帶來系統性能的降低。尤其是對郵件、網頁和FTP文件的監(jiān)控掃描，由于工作量相當大，因此對系統資源的占用較大。因此，防病毒系統占用系統資源要較低，不影響系統的正常運行。8.系統兼容性

防病毒系統要具備良好的兼容性，將支持以下操作系統：Windows NT、Windows2000、Windows 9X/Me、Windows XP/Vista、Windows 2000/2003 /2008 Server、Unix、Linux等X86和X64架構的操作系統。

9.病毒庫組件升級

防病毒系統提供多種升級方式以及自動分發(fā)的功能，支持多種網絡連接方式，具有升級方便、更新及時等特點，管理員可以十分輕松地按照預先設定的升級方式實現全網內的統一升級，減少病毒庫增量升級對網絡資源的占用，并且采用均衡流量的策略，盡快將新版本部署到全部計算機上，時刻保證病毒庫都是最新的，且版本一致，杜絕因版本不一致而可能造成的安全漏洞和安全隱患。10.軟件商的企業(yè)實力

軟件商的實力一方面指它對現有產品的技術支持和服務能力，另一方面是指它的后續(xù)發(fā)展能力。因為企業(yè)級防毒軟件實際是用戶企業(yè)與防病毒廠商的長期合作，企業(yè)實力將會影響這種合作的持續(xù)性，從而影響到用戶企業(yè)在此方面的投入成本。

七、防火墻設計、配置

對于深信服M5400可以做以下方面的配置：

1、用戶與策略管理配置：

WEB、HTTP URL過濾：

郵件過濾：

網頁內容審計：

認證方式：

第五篇：大型企業(yè)網絡安全解決方案畢業(yè)論文

XXXXXXXXXXXXXXX 畢 業(yè) 論 文

企業(yè)網絡安全解決方案

姓 名：

學 號：

指導老師：

系 名：

專 業(yè)：

班 級：

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

摘

要

隨著社會的飛速發(fā)展，網絡技術的也在飛速的發(fā)展之中，現如今網絡已經無所不在的影響著社會的政治、經濟、文化、軍事、意識形態(tài)和社會生活等各個方面。同時在全球范圍內，針對重要信息資源和網絡基礎設施的入侵行為和企圖入侵行為的數量仍然不斷增加，網絡攻擊與入侵行為對國家安全、經濟和社會生活造成了極大的威脅。計算機病毒的不斷的通過網絡產生和傳播，計算機網絡被不斷地非法入侵，重要情報、資料被竊取，甚至造成網絡系統的癱瘓等等，諸如此類的事件已經給政府以及企業(yè)造成了巨大的損失，甚至危害到國家的安全。網絡安全已經成為世界各國當今共同關注的焦點，網絡安全的重要性是不言而喻的。

本文是構思了一個虛擬的企業(yè)網絡的設計，重點研究了公司不同分部之間通過VPN技術來實現在廣域網中的加密連接。以及詳細的設計了總公司的網絡安全策略，保證了內部服務器等的信息安全，按照需求對企業(yè)網絡安全進行了系統的規(guī)劃，對計算機網絡安全進行了全面的分析。在滿足了各個子網連通的前提下，提出了包括AAA認證、SSH登陸、Easy VPN、訪問控制限制、NAT技術、入侵檢測部署、病毒防護、掃描系統管理措施和安全技術在內的整套方案。目的是建設一個完整的、安全的網絡體系，是網絡安全系統真正獲得較好的效果。關鍵詞： 網絡，安全，VPN，防火墻，防病毒

I

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

Abstract

With the rapid development of society and also the rapid development of network technology, is now the network has been the ubiquitous influence of society in all aspects of political, economic, cultural, military, ideological and social life.Worldwide for the intrusion and the number of attempted intrusions of the important information resources and network infrastructure is still growing, network attacks and intrusions caused a grave threat to national security, economic and social life.Computer virus continues through the network and dissemination, computer networks are the illegal invasion, important information, data theft, and even cause paralysis of the network system, such events have caused huge losses to the government and enterprises, and even harm to national security.Network security has become the focus of attention today in the world, the importance of network security is self-evident.This article is the idea of a virtual enterprise network design, focusing on the encrypted connection between the different segments of the company through VPN technology to achieve WAN.And detailed design of the network security policy of the Corporation to ensure the internal server, such as information security, in accordance with the needs of enterprise network security planning of the system, conducted a comprehensive analysis of computer network security.Satisfy the premise that each subnet connectivity, including the AAA authentication, SSH login to the Easy VPN, access control restrictions, the NAT technology, intrusion detection deployment, virus protection, scanning system management measures and security technologies, including the package.The purpose is to build a complete, secure network architecture, network security systems really get better results.Keywords: network, security, VPN, firewall, anti-virus

II

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

目錄

摘

要............................................................................................................................................................I 第一章 緒

論...............................................................................................................................................1 1.1 網絡的起源......................................................................................................................................1 1.2網絡安全的重要性...........................................................................................................................1 第二章 企業(yè)網絡安全概述...........................................................................................................................3 2.1 企業(yè)網絡的主要安全隱患............................................................................................................3 2.2 企業(yè)網絡的安全誤區(qū)....................................................................................................................3 第三章

企業(yè)網絡總體設計方案.................................................................................................................5 3.1 公司背景..........................................................................................................................................5 3.2 企業(yè)網絡安全需求..........................................................................................................................5 3.3 需求分析..........................................................................................................................................5 3.4 企業(yè)網絡結構..................................................................................................................................6 3.5 企業(yè)IP地址的劃分........................................................................................................................9 第四章 企業(yè)網絡安全技術介紹...................................................................................................................9 4.1 Easy VPN..........................................................................................................................................9 4.1.1 什么是VPN..........................................................................................................................9 4.1.2 VPN 的分類........................................................................................................................10 4.1.3 Easy VPN.............................................................................................................................10 4.2 SSH.................................................................................................................................................11 4.2.1 SSH介紹..............................................................................................................................11 4.2.2 SSH與Telnet的區(qū)別..........................................................................................................11 4.3 AAA服務器...................................................................................................................................12 4.3.1 AAA介紹............................................................................................................................12 4.3.2 認證(Authentication)...........................................................................................................12 4.3.3 授權(Authorization)............................................................................................................12 4.3.4 審計(Accounting)................................................................................................................13 4.4 IDS 入侵檢測系統.....................................................................................................................13 4.5 firewall 防火墻...........................................................................................................................13 4.5.1 什么是防火墻.....................................................................................................................13 4.5.2 防火墻類型.........................................................................................................................14 第五章 企業(yè)網絡設備實施方案.................................................................................................................14 5.1 企業(yè)物理安全規(guī)劃......................................................................................................................14 5.2 設備選型........................................................................................................................................15 5.3 設備配置........................................................................................................................................16 5.3.1 交換機.................................................................................................................................16 5.3.2 路由器與防火墻.................................................................................................................25 5.3.3 服務器.................................................................................................................................28 第六章 項目測試.........................................................................................................................................30 6.1 DHCP驗證.....................................................................................................................................32 6.2 網絡連通性....................................................................................................................................35 6.3 網絡安全性....................................................................................................................................37 6.3.1 SSH與console的權限.......................................................................................................37 6.3.2 網絡連通安全性.................................................................................................................40 6.4 分公司與總公司安全性................................................................................................................42 總

結...........................................................................................................................................................45 致

謝...........................................................................................................................................................46 參考文獻.......................................................................................................................................................47

III

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

IV

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

第一章 緒

論

1.1 網絡的起源

與很多人的想象相反，Internet并非某一完美計劃的結果，Internet的創(chuàng)始人也絕不會想到它能發(fā)展成目前的規(guī)模和影響。在Internet面世之初，沒有人能想到它會進入千家萬戶，也沒有人能想到它的商業(yè)用途。

1969年12月，Internet的前身--美國的ARPA網（為了能在爆發(fā)核戰(zhàn)爭時保障通信聯絡，美國國防部高級研究計劃署ARPA資助建立了世界上第一個分組交換試驗網ARPANET）投入運行，它標志著我們常稱的計算機網絡的興起。這個計算機互聯的網絡系統是一種分組交換網。分組交換技術使計算機網絡的概念、結構和網絡設計方面都發(fā)生了根本性的變化，它為后來的計算機網絡打下了基礎。

八十年代初，隨著PC個人微機應用的推廣，PC聯網的需求也隨之增大，各種基于PC互聯的微機局域網紛紛出臺。這個時期微機局域網系統的典型結構是在共享介質通信網平臺上的共享文件服務器結構，即為所有聯網PC設置一臺專用的可共享的網絡文件服務器。PC是一臺“麻雀雖小，五臟俱全”的小計算機，每個PC機用戶的主要任務仍在自己的PC機上運行，僅在需要訪問共享磁盤文件時才通過網絡訪問文件服務器，體現了計算機網絡中各計算機之間的協同工作。由于使用了較PSTN速率高得多的同軸電纜（費用少，傳輸距離100米）、光纖等高速傳輸介質，使PC網上訪問共享資源的速率和效率大大提高。這種基于文件服務器的微機網絡對網內計算機進行了分工：PC機面向用戶，微機服務器專用于提供共享文件資源。所以它實際上就是一種客戶機/服務器模式。

進入九十年代，計算機技術、通信技術以及建立在計算機和網絡技術基礎上的計算機網絡技術得到了迅猛的發(fā)展。特別是1993年美國宣布建立國家信息基礎設施NII后，全世界許多國家紛紛制定和建立本國的NII，從而極大地推動了計算機網絡技術的發(fā)展，使計算機網絡進入了一個嶄新的階段。目前，全球以美國為核心的高速計算機互聯網絡即Internet已經形成，Internet已經成為人類最重要的、最大的知識寶庫。而美國政府又分別于1996年和1997年開始研究發(fā)展更加快速可靠的互聯網2（Internet 2）和下一代互聯網（Next Generation Internet）。可以說，網絡互聯和高速計算機網絡正成為最新一代的計算機網絡的發(fā)展方向。

1.2網絡安全的重要性

隨著信息化技術的飛速發(fā)展，許多有遠見的企業(yè)都認識到依托先進的IT技術構建企業(yè)自身的業(yè)務和運營平臺將極大地提升企業(yè)的核心競爭力，使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。經營管理對

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

計算機應用系統的依賴性增強，計算機應用系統對網絡的依賴性增強。計算機網絡規(guī)模不斷擴大，網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。信息安全防范應做整體的考慮，全面覆蓋信息系統的各層次，針對網絡、系統、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態(tài)的過程，事前、事中和事后的技術手段應當完備，安全管理應貫穿安全防范活動的始終。

網絡安全問題伴隨著網絡的產生而產生，可以說，有網絡的地方就存在網絡安全隱患。像病毒入侵和黑客攻擊之類的網絡安全事件，目前主要是通過網絡進行的，而且?guī)缀趺繒r每刻都在發(fā)生，遍及全球。除此之外，像惡意軟件入侵、攻擊，用戶的非法訪問和操作，用戶郵件的非法截取和更改等都是普遍存在的安全事實。網絡安全事件所帶來的危害，相信我們每個計算機用戶都或多或少地親身體驗過一些：輕則使電腦系統運行不正常，重則使整個計算機系統中的磁盤數據全部覆滅，甚至導致磁盤、計算機等硬件的損壞。

為了防范這些網絡安全事故的發(fā)生，每個計算機用戶，特別是企業(yè)網絡用戶，必須采取足夠的安全防范措施，甚至可以說要在利益均衡情況下不惜一切代價。但要注意，企業(yè)網絡安全策略的實施是一項系統工程，它涉及許多方面。因此既要充分考慮到那些平時經常提及的外部網絡威脅，又要對來自內部網絡和網絡管理本身所帶來的安全隱患有足夠的重視，不能孤立地看待任何一個安全隱患和安全措施。因為這些安全隱患爆發(fā)的途徑可以是多方面的，而許多安全措施都是相輔相成的。

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

第二章 企業(yè)網絡安全概述

2.1 企業(yè)網絡的主要安全隱患

現在網絡安全系統所要防范的不再僅是病毒感染，更多的是基于網絡的非法入侵、攻擊和訪問，由于企業(yè)在各地可能有不同公司，但是公司之間信息通過廣域網相連，所以信息很容易被黑客等截下?，F如今企業(yè)網絡安全威脅的主要來源主要包括。

1)病毒、木馬和惡意軟件的入侵。2)網絡黑客的攻擊。

3)重要文件或郵件的非法竊取、訪問與操作。4)關鍵部門的非法訪問和敏感信息外泄。5)外網的非法入侵。

6)備份數據和存儲媒體的損壞、丟失。

針對這些安全隱患，所采取的安全策略可以通過安裝專業(yè)的網絡版病毒防護系統，同時也要加強內部網絡的安全管理，配置好防火墻過濾策略和系統本身的各項安全措施，及時安裝系統安全補丁，本部與分部之間運行VPN等防護通信信息的安全性，加強內部網絡的安全管理，嚴格實行“最小權限”原則，為各個用戶配置好恰當的用戶權限；同時對一些敏感數據進行加密保護，如財政部等要設立訪問權限；根據企業(yè)實際需要配置好相應的數據策略，并按策略認真執(zhí)行。

2.2 企業(yè)網絡的安全誤區(qū)

(一)安裝防火墻就安全了

防火墻主要工作都是控制存取與過濾封包，所以對DoS攻擊、非法存取與篡改封包等攻擊模式的防范極為有效，可以提供網絡周邊的安全防護。但如果攻擊行為不經過防火墻，或是將應用層的攻擊程序隱藏在正常的封包內，便力不從心了，許多防火墻只是工作在網絡層。

防火墻的原理是“防外不防內”，對內部網絡的訪問不進行任何阻撓，而事實上，企業(yè)網絡安全事件絕大部分還是源于企業(yè)內部。

(二)安裝了最新的殺毒軟件就不怕病毒了

安裝殺毒軟件的目的是為了預防病毒的入侵和查殺系統中已感染的計算機病毒，但這并不能保證就沒有病毒入侵了，因為殺毒軟件查殺某一病毒的能力總是滯后于該病毒的出現。

(三)在每臺計算機上安裝單機版殺毒軟件和網絡版殺毒軟件等效

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

網絡版殺毒軟件核心就是集中的網絡防毒系統管理。網絡版殺毒軟件可以在一臺服務器上通過安全中心控制整個網絡的客戶端殺毒軟件同步病毒查殺、監(jiān)控整個網絡的病毒。同時對于整個網絡，管理非常方便，對于單機版是不可能做到的。

(四)只要不上網就不會中毒

雖然不少病毒是通過網頁傳播的，但像QQ聊天接發(fā)郵件同樣是病毒傳播的主要途徑，而且盜版光盤以及U盤等也會存在著病毒。所以只要計算機開著，就要防范病毒。

(五)文件設置只讀就可以避免感染病毒

設置只讀只是調用系統的幾個命令，而病毒或黑客程序也可以做到這一點，設置只讀并不能有效防毒，不過在局域網中為了共享安全，放置誤刪除，還是比較有用的。

(六)網絡安全主要來自外部

基于內部的網絡攻擊更加容易，不需要借助于其他的網絡連接方式，就可以直接在內部網絡中實施攻擊。所以，加強內部網絡安全管理，特別是用戶帳戶管理，如帳戶密碼、臨時帳戶、過期帳戶和權限等方面的管理非常必要了。

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

第三章

企業(yè)網絡總體設計方案

3.1 公司背景

公司北京總部有一棟大樓，員工人數大約800人，在全國設有4個分公司（上海、廣州、重慶和西安）?？偛颗c分公司利用當地的ISP連接。通過網絡安全方案設計，加固企業(yè)網絡，避免因為安全問題導致的業(yè)務停滯；同時保證總部與分公司之間高安全、低成本的要求。公司對網絡的依賴性很強，主要業(yè)務都要涉及互聯網以及內部網絡。面對對頻繁出現的黑客入侵和網絡故障，直接危害網絡的運行和業(yè)務的正常開展。因此構建健全的網絡安全體系是當前的重中之重。

3.2 企業(yè)網絡安全需求

公司根據網絡需求，建設一個企業(yè)網絡，北京總部存儲主要機密信息在服務器中，有AAA服務器、內部DNS服務器、FTP服務器、HTTP服務器。企業(yè)分經理辦公室、財政部、市場部、軟件部、系統集成部以及外來接待廳，需要各部門隔開，同時除了經理辦公室外其余不能訪問財政部，而接待廳不能訪問公司內部網絡，只能連通外網。同時由于考慮到Inteneter的安全性，以及網絡安全等一些因素，如VPN、NAT等。因此本企業(yè)的網絡安全構架要求如下：

（1）根據公司需求組建網絡（2）保證網絡的連通性（3）保護網絡信息的安全性

（4）防范網絡資源的非法訪問及非授權訪問（5）防范入侵者的惡意攻擊與破壞

（6）保護企業(yè)本部與分部之間通信信息的完整與安全性（7）防范病毒的侵害（8）實現網絡的安全管理。

3.3 需求分析

通過對公司的實際需求來規(guī)劃網絡設計，為公司的網絡安全建設實施網絡系統改造，提高企業(yè)網絡系統運行的穩(wěn)定性，保證企業(yè)各種設計信息的安全性，避免圖紙、文檔的丟失和外泄。通過軟件或安全手段對客戶端的計算機加以保護，記錄用戶對客戶端計算機中關鍵目錄和文件的操作，使企業(yè)有手段對用戶在客戶端計算機的使用情況進行追蹤，防范外來計算機的侵入而造成破壞。通過

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

網絡的改造，使管理者更加便于對網絡中的服務器、客戶端、登陸用戶的權限以及應用軟件的安裝進行全面的監(jiān)控和管理。因此需要

（1）構建良好的環(huán)境確保企業(yè)物理設備的安全（2）IP地址域的劃分與管理（3）劃分VLAN控制內網安全（4）安裝防火墻體系

（5）建立VPN(虛擬專用網絡)確保數據安全（6）安裝防病毒服務器（7）加強企業(yè)對網絡資源的管理（8）做好訪問控制權限配置（9）做好對網絡設備訪問的權限

3.4 企業(yè)網絡結構

北京總公司網絡拓撲圖，如圖2-1所示:

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

服務器群IDS入侵檢測經理辦公室匯聚交換機核心交換機接入交換機財務部匯聚交換機匯聚交換機防火墻接入交換機接入交換機接入交換機軟件部市場部系統集成部接待部

圖2-1 北京總部網絡結構

分公司網絡拓撲,如圖2.2所示：

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

上海分公司廣州分公司重慶分公司西安分公司Internet廣域網Web服務器

圖2-2 公司分部網絡結構

圖2.1與2.2通過防火墻相連，防火墻上做NAT轉換，Easy VPN等。核心交換機配置基于VLAN的DHCP，網絡設備僅僅只能由網絡管理員進行遠程控制，就算是Console控制也需要特定的密碼，外部分公司通過VPN連接能夠訪問北京總公司內部網絡，北京總公司內網中，接待廳網絡設備僅僅能訪問外部網絡，無法訪問公司內網。

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

3.5 企業(yè)IP地址的劃分

由于是現實中，公網IP地址需要向ISP運行商申請，而本解決方案是虛擬題，故公網IP為虛擬的，由于現如今IPv4地址及其短缺，而IPv6技術還不是很成熟，所以公司內部使用私有地址網段，本著節(jié)省地址的原則，北京公司內部一共有800左右終端，所以由192.168.0.0/22網絡段劃分。由于本課題重點為總公司內部網絡安全，以及總公司與分公司之間連通性的網絡安全，所以分公司內部沒有詳細化，所以分公司地址一律192.168.1.1/24網段，ip地址分配為一下：

總公司總網段：192.168.0.0/22

名稱 VLAN ID IPv4地址段 網關地址

經理辦公室 10 192.168.3.192/26 192.168.3.193 財政部 20 192.168.3.128/26 192.168.3.129 軟件部 30 192.168.0.0/24 192.168.0.1 市場部 40 192.168.1.0/24 192.168.1.1 系統集成中心 50 192.168.2.0/24 192.168.2.1 參觀中心 60 192.168.3.0/25 192.168.3.1 網管中心 99 192.168.3.240/30 192.168.3.241 服務器集群 100 192.168.3.224/28 192.168.3.225 核心與路由器 無 192.168.3.244/30 路由器與防火墻 無 192.168.3.248/29 其他分公司 1 192.168.1.0/24 192.168.1.1

第四章 企業(yè)網絡安全技術介紹

4.1 Easy VPN 4.1.1 什么是VPN 虛擬專用網絡（Virtual Private Network，簡稱VPN)指的是在公用網絡上建立專用網絡的技術。其之所以稱為虛擬網，主要是因為整個VPN網絡的任意兩個節(jié)點之間的連接并沒有傳統專網所需的端到端的物理鏈路，而是架構在公用網絡服務商所提供的網絡平臺，如Internet、ATM(異步傳

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

輸模式〉、Frame Relay（幀中繼）等之上的邏輯網絡，用戶數據在邏輯鏈路中傳輸。它涵蓋了跨共享網絡或公共網絡的封裝、加密和身份驗證鏈接的專用網絡的擴展。VPN主要采用了隧道技術、加解密技術、密鑰管理技術和使用者與設備身份認證技術。

4.1.2 VPN 的分類

根據不同的劃分標準，VPN可以按幾個標準進行分類劃分

1.按VPN的協議分類 VPN的隧道協議主要有三種，PPTP，L2TP和IPSec，其中PPTP和L2TP協議工作在OSI模型的第二層，又稱為二層隧道協議；IPSec是第三層隧道協議，也是最常見的協議。L2TP和IPSec配合使用是目前性能最好，應用最廣泛的一種。

2.按VPN的應用分類

1)Access VPN（遠程接入VPN）：客戶端到網關，使用公網作為骨干網在設備之間傳輸VPN的數據流量。從PSTN、ISDN或PLMN接入。

2)Intranet VPN（內聯網VPN）：網關到網關，通過公司的網絡架構連接來自同公司的資源。

3)Extranet VPN（外聯網VPN）：與合作伙伴企業(yè)網構成Extranet,將一個公司與另一個公司的資源進行連接

3.按所用的設備類型進行分類

網絡設備提供商針對不同客戶的需求，開發(fā)出不同的VPN網絡設備，主要為交換機，路由器，和防火墻

1）路由器式VPN：路由器式VPN部署較容易，只要在路由器上添加VPN服務即可 只支持簡單的PPTP或IPSEC。

2）交換機式VPN：主要應用于連接用戶較少的VPN網絡

3）防火墻式VPN：防火墻式VPN是最常見的一種VPN的實現方式，許多廠商都提供這種配置類型

4.1.3 Easy VPN easy VPN又名EzVPN，是Cisco專用VPN技術。它分為EASY VPN SERVER和EASY VPN REMOTE兩種，EASY VPN SERVER 是REMOT--ACCESS VPN專業(yè)設備。配置復雜，支持POLICY PUSHING等特性，此技術基于IPsec協議為基礎，擴展的的cisco私有協議，支持遠程登錄，并且根據自己的AAA的服務器去認證其可靠性，如認證通過，會為訪問者分配自己內部IP地址，保證其訪問內部信息。在Easy VPN連接成功后，對于ISP運行商來說總公司與分公司數據的傳輸是透明的，就像拉了一根專線一樣，通過抓包等方式捕獲數據包會發(fā)現全為ESP數據，無法從數據包中獲得任何信息，由于其加密方式為HASH速算，根據其雪崩效應想通過加密包算出真是數據的可能性幾乎為0，所以數據的傳輸上的安全性被大大地保證了。

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

4.2 SSH 4.2.1 SSH介紹

SSH 為 Secure Shell 的縮寫，由 IETF 的網絡工作小組（Network Working Group）所制定；SSH 為建立在應用層和傳輸層基礎上的安全協議。

SSH 主要有三部分組成：

1）傳輸層協議 [SSH-TRANS]

提供了服務器認證，保密性及完整性。此外它有時還提供壓縮功能。SSH-TRANS 通常運行在 TCP/IP連接上，也可能用于其它可靠數據流上。SSH-TRANS 提供了強力的加密技術、密碼主機認證及完整性保護。該協議中的認證基于主機，并且該協議不執(zhí)行用戶認證。更高層的用戶認證協議可以設計為在此協議之上。

2）用戶認證協議 [SSH-USERAUTH]

用于向服務器提供客戶端用戶鑒別功能。它運行在傳輸層協議 SSH-TRANS 上面。當SSH-USERAUTH 開始后，它從低層協議那里接收會話標識符（從第一次密鑰交換中的交換哈希H）。會話標識符唯一標識此會話并且適用于標記以證明私鑰的所有權。SSH-USERAUTH 也需要知道低層協議是否提供保密性保護。

3）連接協議 [SSH-CONNECT]

4.2.2 SSH與Telnet的區(qū)別

傳統的網絡服務程序，如：ftp、pop和telnet在本質上都是不安全的，因為它們在網絡上用明文傳送口令和數據，別有用心的人非常容易就可以截獲這些口令和數據。而且，這些服務程序的安全驗證方式也是有其弱點的，就是很容易受到“中間人”（man-in-the-middle）這種方式的攻擊。所謂“中間人”的攻擊方式，就是“中間人”冒充真正的服務器接收你傳給服務器的數據，然后再冒充你把數據傳給真正的服務器。服務器和你之間的數據傳送被“中間人”一轉手做了手腳之后，就會出現很嚴重的問題。

SSH是替代Telnet和其他遠程控制臺管理應用程序的行業(yè)標準。SSH命令是加密的并以幾種方式進行保密。

在使用SSH的時候，一個數字證書將認證客戶端(你的工作站)和服務器(你的網絡設備)之間的連接，并加密受保護的口令。SSH1使用RSA加密密鑰，SSH2使用數字簽名算法(DSA)密鑰保護連接和認證。加密算法包括Blowfish，數據加密標準(DES)，以及三重DES(3DES)。SSH保護并且有助于防止欺騙，“中間人”攻擊，以及數據包監(jiān)聽。

通過使用SSH，你可以把所有傳輸的數據進行加密，這樣“中間人”這種攻擊方式就不可能實現了，而且也能夠防止DNS欺騙和IP欺騙。使用SSH，還有一個額外的好處就是傳輸的數據是經過壓縮的，所以可以加快傳輸的速度。SSH有很多功能，它既可以代替Telnet，又可以為FTP、PoP、甚至為PPP提供一個安全的“通道”。

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

4.3 AAA服務器

4.3.1 AAA介紹

AAA是認證、授權和記賬（Authentication、Authorization、Accounting）三個英文單詞的簡稱。其主要目的是管理哪些用戶可以訪問網絡服務器，具有訪問權的用戶可以得到哪些服務，如何對正在使用網絡資源的用戶進行記賬。具體為：

1、認證(Authentication): 驗證用戶是否可以獲得訪問權限；

2、授權(Authorization): 授權用戶可以使用哪些服務；

3、審計(Accounting): 記錄用戶使用網絡資源的情況。

4.3.2 認證(Authentication)認證負責在用戶訪問網絡或網絡服務器以前，對用戶進行認證。

如需配置AAA認證，管理員可以創(chuàng)建一個命名的認證列表，然后把這個列表應用到各種接口上。這個方法列表可以定義所要執(zhí)行的認證類型和他們的順序。管理員需要基于每個接口來應用這些方法。然而，當管理員沒有定義其他認證方法是，cisco路由器和交換機上的所有接口都關聯了一個默認的方法列表，名為Default。但管理員定義的方法列表會覆蓋默認方法列表。

除了本地認證、線路密碼的Enable認證以外，其他所有的認證方法都需要使用AAA。

4.3.3 授權(Authorization)授權為遠程訪問控制提供了方法。這里所說的遠程訪問控制包括一次性授權，或者基于每個用戶賬號列表或用戶組為每個服務進行授權。

交換機或路由器上的AAA授權是通過連接一個通用的集中式數據庫，并訪問其中的一系列屬性來工作的，這些說性描述了網絡用戶的授權服務，比如訪問網絡中的不同部分。交換機或路由器會向服務器詢問用戶真實的能力和限制，集中式服務器向其返回授權結果，告知用戶所能夠使用的服務。這個數據庫通常是位于中心位置的服務器，比如RADIUS或者TACACS+安全服務器。但管理員也可以使用本地數據庫。遠程安全服務器（比如RADIUS和TACACS+）通過把用戶與相應的AVP（屬性值對）相關聯，來收與用戶具體的權限。RADIUS和TACACS+把這些AVP配置應用給用戶或者用戶組。每個AVP由一個類型識別符和一個或多個分配給它的值組成。AVP在用戶配置文件（User Profile）和組配置文件（Group Profile）中指定的AVP，為相應的用戶和組定義了認證和授權特性。

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

4.3.4 審計(Accounting)審計為收集和發(fā)送安全服務器信息提供了方法，這些信息可以用于計費（billing）、查賬（auditing）和報告（reporting）。這類信息包括用戶身份、網絡訪問開始和結束的時間、執(zhí)行過的命令（比如PPP）、數據包的數量和字節(jié)數量。這些信息是交換機和路由器能夠檢測登錄的用戶，從而對于查賬和增強安全性有很大幫助。

在很多環(huán)境中，AAA都會使用多種協議來管理其安全功能，比如RADIUS、TACACS+或者802.1x。如果網絡中的交換機充當網絡接入服務器角色，那么AAA就是網絡訪問服務器與RADIUS、TACACS+或者802.1x安全服務器之間建立連接的方法。

AAA是動態(tài)配置的，它允許管理員基于每條線路（每個用戶）或者每個服務（比如IP、IPX或VPDN[虛擬私有撥號網絡]）來配置認證和授權。管理員先要創(chuàng)建方法列表，然后把這些方法列表應用到指定的服務或接口上，以針對每條線路或每個用戶進行運作。

4.4 IDS 入侵檢測系統

由于Cisco packet Tracer 5.3無法模擬IDS設備，又由于IDS在實際企業(yè)網絡中作用很大，所以在拓撲圖中將其設計進去，在這里做一些基本介紹。

IDS是英文“Intrusion Detection Systems”的縮寫，中文意思是“入侵檢測系統”。專業(yè)上講就是依照一定的安全策略，通過軟、硬件，對網絡、系統的運行狀況進行監(jiān)視，盡可能發(fā)現各種攻擊企圖、攻擊行為或者攻擊結果，以保證網絡系統資源的機密性、完整性和可用性。做一個形象的比喻：假如防火墻是一幢大樓的門鎖，那么IDS就是這幢大樓里的監(jiān)視系統。一旦小偷爬窗進入大樓，或內部人員有越界行為，只有實時監(jiān)視系統才能發(fā)現情況并發(fā)出警告。

入侵檢測可分為實時入侵檢測和事后入侵檢測兩種。

實時入侵檢測在網絡連接過程中進行，系統根據用戶的歷史行為模型、存儲在計算機中的專家知識以及神經網絡模型對用戶當前的操作進行判斷，一旦發(fā)現入侵跡象立即斷開入侵者與主機的連接，并收集證據和實施數據恢復。這個檢測過程是不斷循環(huán)進行的。

事后入侵檢測則是由具有網絡安全專業(yè)知識的網絡管理人員來進行的，是管理員定期或不定期進行的，不具有實時性，因此防御入侵的能力不如實時入侵檢測系統。

4.5 firewall 防火墻

4.5.1 什么是防火墻

所謂防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.是一種獲取安全性方法的形象說法，它是一種計算機硬件和軟件的結合，使Internet與Intranet之間建立起一個安全網關（Security Gateway），從而保護內部網免受非法用戶的侵入，防火墻主要由服務訪問規(guī)則、驗證工具、包過濾和應用網關4個部分組成，防火墻就是一個位于計算機和它所連接的網絡之間的軟件或硬件。該計算機流入流出的所有網絡通信和數據包均要經過此防火墻。

在網絡中，所謂“防火墻”，是指一種將內部網和公眾訪問網(如Internet)分開的方法，它實際

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

上是一種隔離技術。防火墻是在兩個網絡通訊時執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數據進入你的網絡，同時將你“不同意”的人和數據拒之門外，最大限度地阻止網絡中的黑客來訪問你的網絡。換句話說，如果不通過防火墻，公司內部的人就無法訪問Internet，Internet上的人也無法和公司內部的人進行通信。

4.5.2 防火墻類型

主要有2中，網絡防火墻和應用防火墻。

1）網絡層防火墻

網絡層防火墻可視為一種 IP 封包過濾器，運作在底層的 TCP/IP 協議堆棧上。我們可以以枚舉的方式，只允許符合特定規(guī)則的封包通過，其余的一概禁止穿越防火墻（病毒除外，防火墻不能防止病毒侵入）。這些規(guī)則通?？梢越浻晒芾韱T定義或修改，不過某些防火墻設備可能只能套用內置的規(guī)則。

我們也能以另一種較寬松的角度來制定防火墻規(guī)則，只要封包不符合任何一項“否定規(guī)則”就予以放行?，F在的操作系統及網絡設備大多已內置防火墻功能。

較新的防火墻能利用封包的多樣屬性來進行過濾，例如：來源 IP 地址、來源端口號、目的 IP 地址或端口號、服務類型(如 004km.cn hostname SWc!enable password cisco！ip dhcp excluded-address 192.168.0.1 DHCPip dhcp excluded-address 192.168.3.129 ip dhcp excluded-address 192.168.3.1 ip dhcp excluded-address 192.168.1.1 ip dhcp excluded-address 192.168.2.1 ip dhcp excluded-address 192.168.3.193!ip dhcp pool vlan30 network 192.168.0.0 255.255.255.0 default-router 192.168.0.1 dns-server 192.168.3.227 DNSip dhcp pool vlan40 network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 dns-server 192.168.3.227 ip dhcp pool vlan50 network 192.168.2.0 255.255.255.0 default-router 192.168.2.1 dns-server 192.168.3.227 ip dhcp pool vlan10

設置交換機域名，與SSH驗證有關用戶登入特權模式密碼 在分配時排除該IP地址 這些地址為網段的網關地址 開啟一個DHCP地址池 分配的網絡段 默認網關IP地址 地址 21

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

network 192.168.3.192 255.255.255.224 default-router 192.168.3.193 dns-server 192.168.3.227 ip dhcp pool vlan60 network 192.168.3.0 255.255.255.128 default-router 192.168.3.1 dns-server 192.168.3.227 ip dhcp pool vlan20 network 192.168.3.128 255.255.255.192 default-router 192.168.3.129 dns-server 192.168.3.227 ip routing 開啟路由功能，這條很重，不然無法啟動路由協議等！username beijiangong password 0 cisco 設置遠程登錄時用戶名與密碼！interface FastEthernet0/1 switchport access vlan 100 switchport mode access!interface FastEthernet0/2 switchport trunk encapsulation dot1q 配置trunk的封裝格式 switchport mode trunk!interface FastEthernet0/3 switchport trunk encapsulation dot1q switchport mode trunk!interface FastEthernet0/4 switchport trunk encapsulation dot1q switchport mode trunk!interface FastEthernet0/5 no switchport 啟動3層接口

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

ip address 192.168.3.245 255.255.255.252 duplex auto 自動協商雙工 speed auto 自動協商速率!interface FastEthernet0/6 switchport access vlan 99！interface Vlan1 no ip address shutdown!interface Vlan10 ip address 192.168.3.193 255.255.255.224!interface Vlan20 ip address 192.168.3.129 255.255.255.192 ip access-group 20 out 在此接口的出方向啟動acl 20!interface Vlan30 ip address 192.168.0.1 255.255.255.0!interface Vlan40 ip address 192.168.1.1 255.255.255.0!interface Vlan50 ip address 192.168.2.1 255.255.255.0!interface Vlan60 ip address 192.168.3.1 255.255.255.128 ip access-group 101 out 在此接口的出方向啟動acl 101!interface Vlan99

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

ip address 192.168.3.241 255.255.255.252!interface Vlan100 ip address 192.168.3.230 255.255.255.240!router ospf 10 啟動OSPF 進程號為10 router-id 1.1.1.1 為本設備配置ID標示符 log-adjacency-changes 開啟系統日志關于ospf變化 network 192.168.3.245 0.0.0.0 area 0 宣告網絡，與其區(qū)域 network 192.168.3.193 0.0.0.0 area 1 network 192.168.3.129 0.0.0.0 area 1 network 192.168.0.1 0.0.0.0 area 2 network 192.168.1.1 0.0.0.0 area 2 network 192.168.2.1 0.0.0.0 area 3 network 192.168.3.1 0.0.0.0 area 3 network 192.168.3.230 0.0.0.0 area 4 network 192.168.3.241 0.0.0.0 area 5!ip classless！access-list 10 permit host 192.168.3.242 acl 10 允許該主機地址 access-list 20 deny 192.168.0.0 0.0.0.255 acl 20 拒絕該網段 access-list 20 deny 192.168.1.0 0.0.0.255 access-list 20 deny 192.168.2.0 0.0.0.255 access-list 20 deny 192.168.3.0 0.0.0.255 access-list 101 deny ip 192.168.3.0 0.0.0.127 192.168.0.0 0.0.3.255（擴展acl 101 拒絕該網段的ip協議去訪問192.168.0.0/22網段）access-list 101 permit ip any any 允許所有ip協議的任何源目訪問!crypto key generate rsa 設置SSH的加密算法為rsa（隱藏命令，在show run中看不到！!

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

line con 0 password cisco 設置console密碼

line vty 0 4 進入vty接口 默認登入人數為5 access-class 10 in 在該接口入方向啟動acl 10 password cisco 密碼為cisco login local 登入方式為本地認證 transport input ssh 更改登錄方式為SSH！end 5.3.2 路由器與防火墻

R1： hostname r1!enable password cisco！username beijiangong password 0 cisco!interface FastEthernet0/0 ip address 192.168.3.246 255.255.255.252 duplex auto speed auto!interface FastEthernet0/1 ip address 192.168.3.249 255.255.255.248 duplex auto speed auto!router ospf 10 router-id 2.2.2.2 log-adjacency-changes network 192.168.3.246 0.0.0.0 area 0

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

network 192.168.3.249 0.0.0.0 area 6!ip classless！access-list 10 permit host 192.168.3.242!no cdp run!line con 0 password cisco line vty 0 4 access-class 10 in password cisco login local！!end Firewall: hostname ASA!enable password cisco!aaa new-model 開啟AAA功能!aaa authentication login eza group radius 啟動認證登錄組名為eza分類為radius!

aaa authorization network ezo group radius啟動授權組名為eza分類為radius!username beijiangong password 0 cisco!crypto isakmp policy 10 設置加密密鑰策略 encr 3des 啟動3重加密算法 hash md5 啟動MD5認證 authentication pre-share 認證方式為共享 group 2 優(yōu)先級組別為2!crypto isakmp client configuration group myez 設置密鑰客戶端等級組 key 123 為等級組設置密碼

pool ez 為客戶分配內部IP地址池!

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

crypto ipsec transform-set tim esp-3des esp-md5-hmac 傳輸隧道封裝類型!crypto dynamic-map ezmap 10 進入隧道封裝策略模式

set transform-set tim 調用上面設置的封裝組tim reverse-route 開啟vpn的反向路由!crypto map tom client authentication list eza 加密組tom的客戶認證調用上面的eza組

crypto map tom isakmp authorization list ezo 加密組tom的密鑰授權管理方式調用上面的eza組

crypto map tom client configuration address respond 加密組tom為客戶分配IP地址

crypto map tom 10 ipsec-isakmp dynamic ezmap 加密組tom調用隧道加密格式名稱為ezmap!interface FastEthernet0/0 ip address 192.168.3.250 255.255.255.248 ip nat inside duplex auto speed auto!interface FastEthernet0/1 no ip address duplex auto speed auto shutdown!interface Serial0/2/0 ip address 100.1.1.1 255.255.255.0 ip nat outside crypto map tom!interface Serial0/3/0 no ip address shutdown!interface Vlan1 no ip address shutdown!router ospf 10 router-id 3.3.3.3 log-adjacency-changes network 192.168.3.250 0.0.0.0 area 6 default-information originate 向其他ospf鄰居宣告默認路由!ip local pool ez 192.168.3.251 192.168.3.254 配置VPN登入進來后分配的IP地址池

ip nat inside source list 1 interface Serial0/2/0 overload 設置動態(tài)NAT將acl 1的地址轉化為s0/2/0并多路復用 ip classless ip route 0.0.0.0 0.0.0.0 Serial0/2/0 默認路由 都走s0/2/0

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

！access-list 1 permit 192.168.0.0 0.0.3.255 access-list 10 permit host 192.168.3.242!no cdp run 關閉鄰居發(fā)現協議！radius-server host 192.168.3.225 auth-port 1645 key 123 指定AAA服務器地址與Easy VPN 端口號以及對應密鑰!line con 0 password cisco login line vty 0 4 access-class 10 in password cisco login local!End

5.3.3 服務器

AAA服務器配置：

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

HTTP服務器：

DNS服務器：

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

第六章 項目測試

Packet Tracer 模擬器實驗拓撲圖

所有設備的用戶名為：beijiangong 密碼：cisco

VPN 登錄配置： 組名：beijiangong Key:123 服務器IP：100.1.1.1 用戶名：123 密碼：123

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

北京總公司 圖A

分公司以及ISP網絡 圖B

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

6.1 DHCP驗證

北京總公司內網所有設備都是通過DHCP獲取的IP地址，但是不同VLAN所獲得的IP地址段是不同的，驗證其在不同VLAN下是否獲得正確的IP地址、網關、掩碼和DNS。

1）經理辦公室 VLAN 10 配置方法，首先在Packet Tracer下，點擊相應的PC，如圖6-1-1

圖6-1-1 點擊左上角第一欄，ip Configuration 進入IP地址配置畫面 如圖6-1-2

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

IP地址配置畫面 圖6-1-2

點擊DHCP，獲取IP地址，等待1-2S后查看結果 如圖6-1-3

圖6-1-3 根據提示可以看出獲得了正確的IP地址。

2）財政部 VLAN 20 如圖6-1-4

圖6-1-4

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

3）軟件部 VLAN 30 如圖6-1-5

圖6-1-5 4）市場部 VLAN 40 如圖 6-1-6

圖6-1-6 5）系統集成部 VLAN 50 如圖6-1-7

圖6-1-7

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

6)參觀中心 VLAN 60 如圖 6-1-8

圖6-1-8

6.2 網絡連通性

建立好網絡后，最重要的一點就是網絡連通性，根據公司需求，內部計算機獲得自己IP地址，自己的DNS服務器與網關，那應該可以去訪問外網服務器，以達到訪問公網的目的。

1）隨便開啟一臺PC機，如經理辦公室PC 圖6-2-1

圖6-2-1 點擊Command prompt 進入其電腦的CMD命令格式

圖6-2-2

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

圖6-2-2

輸入ping 命令，在虛擬網絡中，如圖Ａ 運行商IP地址為100.1.1.2 所以先ping運行商網關。在命令行中輸入ping 100.1.1.2，可能第一個包會因為ARP的關系而丟失，但是后續(xù)會很穩(wěn)定。如圖6-2-3

圖6-2-3

2）檢查網絡內部DNS的正確性

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

打開PC機瀏覽器，如下圖所示6-2-4

圖6-2-4 如圖B所示，在公網中，有一個百度的服務器，域名為004km.cn 通過瀏覽器訪問百度看是否成功。如圖6-2-5

圖6-2-5 如圖所示，訪問成功，表示公司內部網絡連通性已經保證暢通。

6.3 網絡安全性

在保證了連通性的基礎上，驗證其安全性

6.3.1 SSH 與console的權限

在設備安裝完畢后，公司內部不可能派專門的保安去看護，所以網絡設備的安全就需要有所保證，不能讓人們輕易的進入其配置模式，輕易的去更改配置，所以要設置用戶名密碼。如圖6-3-1所示，一臺PC需要console核心交換機

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

圖6-3-1 如圖6-2-7所示，需要點擊下圖所示單元進入console連接模式

圖6-3-2 選好會話數，速率等基本參數后點擊OK連接設備的控制臺 如圖6-3-3

圖6-3-3

發(fā)現需要輸入用戶名密碼，否側無法進入控制界面，輸入用戶名密碼后進入用戶模式，進入特權模式需要輸入特權密碼，輸入正確用戶名密碼后才能進入。如圖6-3-4

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

圖6-3-4

當然console的限制很大，有監(jiān)控設備，與機柜鎖，能夠最大限度的保證其安全性，所以console的安全性問題不是很大，而telnet 的控制起來就需要用策略來限制了。

如果想telnet設備需要知道其設備上的IP地址，而本公司DHCP中的網關地址基本都是在核心上，所以設備上的IP地址基本誰都知道，而核心設備僅僅需要網絡管理員去管理，所以加了acl去選擇telnet 的對象。而在加密方面我選擇了SSH而不是非加密的Telnet.如圖所示，僅有網絡管理員才能ssh設備，其他員工無法ssh設備。這是管理員ssh的效果，輸入正確的用戶名密碼后，進入其配置界面。如圖6-3-5

圖6-2-10 這是其他設備ssh的效果，無論嘗試幾個設備上的地址都被拒絕了，這樣就能保證設備控制的安全性。雖然能夠訪問其地址，但是無法取得其TCP端口號22的訪問權 如圖6-3-6

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

圖6-3-6

6.3.2 網絡連通安全性

在一個公司內部，雖然大家共享上網資源，但是各部門之間的資料還是有一些機密的，特別是財政部，一個公司財政信息都是很機密的，所以不希望其他公司內部Pc能夠連通到此部門，所以也要通過acl去限制，去隔離一些區(qū)域。

財政部IP 192.168.3.130 軟件部IP 192.168.0.2 市場部IP 192.168.1.2

正常情況下，三個部門是可以正常ping通的，但是財政部的安全性，所以其他2個部門無法訪問財政部，但是可以互相訪問。

如圖6-3-7所示，軟件部無法訪問財政部，但是可以訪問市場部

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

圖6-3-7 這樣就保證了財政部的獨立性，保證了其安全，由于公司內部需要有客人訪問，而客人往往需要上網，所以需要控制其上網行為，如果有惡意行為，盜取公司其他部門資料，那也會造成嚴重的損失，所以，要保證其在公司參觀中心上網，只能訪問外網，不能訪問公司內部其他主機。

如圖6-3-8所示，參觀中心的終端能夠訪問外網百度服務器，但是無法訪問內部市場部PC設備。

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

圖6-3-8

6.4 分公司與總公司安全性

由于分公司之間通過ISP與總公司通信，所以數據通信需要安全性，在這里我選擇了EASY VPN，由于各分公司內部全部使用私網地址，所以無法與總公司內部通信，因為私網地址無法宣告到公網中，而通過easy vpn連接后，本部通過給客戶分配總公司自己的私網地址，使其能夠訪問公司內部，而通信過程中數據時加密的，無法竊取，保證了其安全性。

如圖6-4-1連接easy vpn首先要在客戶端PC打開VPN連接。

圖6-4-1 在這里設置好用戶組、用戶名、總公司的公網地址以及密碼后連接VPN 如圖6-4-2

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

圖6-4-2 連接后需要等2-3秒，即連接成功，而且顯示被分配的IP地址 如圖6-4-3

圖6-4-3

進行Ping命令就可以訪問北京總部的內網地址終端了。如圖6-4-4

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

圖6-4-4 這樣網絡的安全性就得到了很大的提升。

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

總

結

隨著互聯網的飛速發(fā)展，網絡安全逐漸成為一個潛在的巨大問題。網絡安全性是一個涉及面很廣泛的問題，其中也會涉及到是否構成犯罪行為的問題。在其最簡單的形式中，它主要關心的是確保無關人員不能讀取，更不能修改傳送給其他接收者的信息。此時，它關心的對象是那些無權使用，但卻試圖獲得遠程服務的人。安全性也處理合法消息被截獲和重播的問題，以及發(fā)送者是否曾發(fā)送過該條消息的問題。

本論文從企業(yè)角度描述了網絡安全的解決方案，目的在于為用戶提供信息的保密，認證和完整性保護機制，使網絡中的服務，數據以及系統免受侵擾和破壞。比如防火墻，認證，加密技術等都是當今常用的方法，本論文從這些方法入手深入研究各個方面的網絡安全問題的解決，可以使讀者有對網絡安全技術的更深刻的了解。

在本方案設計之初，我對網絡安全的理解還是很淺，包括到了現在我對它的還是只有一點點的認知，但是通過這次設計，讓我對網絡安全產生了很濃厚的興趣，很高興能夠選到這個課題，但這只是一次虛擬題，希望以后有機會在工作中能夠得到真實的項目去完成網絡安全的設計方案，但是，路還很長，需要學習的知識還很多，但是有興趣才是王道。