中小企業(yè)網(wǎng)絡安全解決方案五篇范文

第一篇：中小企業(yè)網(wǎng)絡安全解決方案

中小企業(yè)網(wǎng)絡安全解決方案

LanGate brone 系列能為中小企業(yè)解決IT網(wǎng)絡所面臨的復雜問題提供經(jīng)濟可靠的解決方案。

隨著信息化技術的飛速發(fā)展，許多有遠見的企業(yè)都認識到依托先進的IT技術構建企業(yè)自身的業(yè)務和運營平臺將極大的提升企業(yè)的核心競爭力，使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。但是，作為構建自身IT平臺基礎的網(wǎng)絡投入和技術復雜性往往會讓大多數(shù)中小企業(yè)望而卻步。

中小企業(yè)在市場環(huán)境中的發(fā)展和壯大，建立符合自身特點的IT是一個事半功倍的重要途徑，這一點已經(jīng)成為共識。但是，中小企業(yè)在IT網(wǎng)絡建設方面往往會遇到以下幾方面問題：

企業(yè)用于IT方面的經(jīng)費有限

企業(yè)缺乏掌握IT網(wǎng)絡技術的專業(yè)人士企業(yè)沒有專職的IT維護人員

企業(yè)的組織結構隨機性強，沒有穩(wěn)定的形態(tài)會導致網(wǎng)絡投資的浪費

LanGate UTM 技術正是針對此項問題的最佳解決方案，它使用先進的UTM技術來幫助中小企業(yè)解決IT網(wǎng)絡所面臨的問題。

LanGate安全網(wǎng)關解決方案是一個針對到中小企業(yè)網(wǎng)絡建設的一站式的解決方案。該方案無需中小企業(yè)在網(wǎng)絡的技術和人員方面投入任何成本，沒有任何網(wǎng)絡線路和日常維護成本，方案中所有投入都不會有浪費。

對于中小企業(yè)，該方案的實施沒有任何前提條件和技術門檻，客戶如同采購計算機一樣簡單的完成自身的網(wǎng)絡建設。在售后服務方面，知維度擁有業(yè)界一流的支持服務體系，龐大的軟件研發(fā)中心為您提供堅強的技術后盾；企業(yè)級的解決方案，隨需隨用；產(chǎn)品模塊化安裝和使用；中小企業(yè)的價格，極具市場競爭力。牌服務是一項全面的服務計劃，不僅實現(xiàn)“客戶請求，企業(yè)提供服務”，還做到主動為客戶提供價值。解決的問題

LanGate安全網(wǎng)關解決方案是解決企業(yè)IT建設的網(wǎng)絡平臺安全的關鍵，它幫助中小企業(yè)解決了以下問題： · 網(wǎng)絡的安全性 · 員工上網(wǎng)管理 · 垃圾郵件防范 · 企業(yè)內(nèi)部各地區(qū)的網(wǎng)絡連接 · 企業(yè)移動辦公員工使用企業(yè)內(nèi)部網(wǎng)絡方案簡單說明

LanGate采用一個連貫的安全平臺提供防火墻、內(nèi)容過濾、邊緣殺毒保護和虛擬專用網(wǎng)技術，這一中央管理式安全方法將安全網(wǎng)關放在主要接入點，預防惡意活動對整個網(wǎng)絡的侵襲，該方式所提供的全面、按層進行的安全措施可完全防護來自內(nèi)部以及外部網(wǎng)絡各個層面的威脅。

這一整合式安全方法通過在關鍵接入點安裝安全網(wǎng)關（而不是在全網(wǎng)絡內(nèi)各自安裝安全服務）來防御惡意活動在網(wǎng)絡中擴散。這一全面的分層安全方法可堅實防御內(nèi)部威脅、外部威脅和網(wǎng)絡所有層的威脅。

LanGate提供了通過在單一設備內(nèi)實現(xiàn)包括防火墻、虛擬專用網(wǎng)、網(wǎng)絡緩存、網(wǎng)址過濾及病毒掃描等多種功能在內(nèi)的產(chǎn)品方案，使用戶不僅擁有了多性能、簡單化、高可靠性的安全壁壘，而且有效地控制了成本，降低了實施、管理以及服務等多種潛在的消耗。方案特點

· 高效的安全管理：產(chǎn)品內(nèi)置高性能的防火墻，因此對外部的侵犯和內(nèi)部應用有強大的防范和管理功能。

· 穩(wěn)定的運行機制：整個系統(tǒng)采用自主開發(fā)操作系統(tǒng)，通過硬件加速，保證了系統(tǒng)長時間的穩(wěn)定運行。

· 擴展方便靈活：增加節(jié)點只需再安裝相應LanGate產(chǎn)品，幾乎不需任何配置，與現(xiàn)行軟件實現(xiàn)無縫連接。

· 操作維護簡單：升級、維護方便，任何一個接入節(jié)點不需要專業(yè)人員維護，支持所有的操作系統(tǒng)，支持所有在TCP/IP協(xié)議上的應用。

· 其他特點：每個接入節(jié)點可以根據(jù)各個本地電信資源、自身情況的不同選擇適合自己接入手段組成網(wǎng)絡。

“為數(shù)據(jù)處理系統(tǒng)建立和采用的技術和管理的安全保護，保護計算機硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄漏”。

----國際標準化組織（ISO）

從“信息化高速公路”到“數(shù)字地球”，信息化浪潮席卷全球。Internet的迅猛發(fā)展不僅帶動了信息產(chǎn)業(yè)和國民經(jīng)濟地快速增長，也為企業(yè)的發(fā)展帶來了勃勃生機。

以Internet 為代表的信息技術的發(fā)展不僅直接牽動了企業(yè)科技的創(chuàng)新和生產(chǎn)力的提高，也逐漸成為提高企業(yè)競爭力的重要力量。

企業(yè)通過Internet 可以把遍布世界各地的資源互聯(lián)互享，但因為其開放性，在Internet 上傳輸?shù)男畔⒃诎踩陨喜豢杀苊獾貢媾R很多危險。當越來越多的企業(yè)把自己的商務活動放到網(wǎng)絡上后，針對網(wǎng)絡系統(tǒng)的各種非法入侵、病毒等活動也隨之增多。

而我們面臨的這些信息安全問題的解決，主要還是依賴于現(xiàn)代信息理論與技術手段；依賴于安全體系結構和網(wǎng)絡安全通信協(xié)議等技術；依賴借助于此產(chǎn)生的各種硬件的或軟件的安全產(chǎn)品。這樣，這些安全產(chǎn)品就成為大家解決安全問題的現(xiàn)實選擇。

中國網(wǎng)絡安全需求分析

網(wǎng)絡現(xiàn)狀分析

中國國內(nèi)企業(yè)和政府機構都希望能具有競爭力并提高生產(chǎn)效率，這就必須對市場需求作出及時有力的響應，從而引發(fā)了依賴互聯(lián)網(wǎng)來獲取、共享信息的趨勢，這樣才能進一步提高生產(chǎn)效率進而推動未來增長。

然而，有網(wǎng)絡的地方就有安全的問題。過去的網(wǎng)絡大多是封閉式的，因而比較容易確保其安全性，簡單的安全性設備就足以承擔其任務。然而，當今的網(wǎng)絡已經(jīng)發(fā)生了變化，確保網(wǎng)絡的安全性和可用性已經(jīng)成為更加復雜而且必需的任務。用戶每一次連接到網(wǎng)絡上，原有的安全狀況就會發(fā)生變化。所以，很多企業(yè)頻繁地成為網(wǎng)絡犯罪的犧牲品。因為當今網(wǎng)絡業(yè)務的復雜性，依靠早期的簡單安全設備已經(jīng)對這些安全問題無能為力了。

主要網(wǎng)絡安全問題及其危害

----網(wǎng)絡攻擊在迅速地增多。

網(wǎng)絡攻擊通常利用網(wǎng)絡某些內(nèi)在特點，進行非授權的訪問、竊取密碼、拒絕服務等等。

考慮到業(yè)務的損失和生產(chǎn)效率的下降，以及排除故障和修復損壞設備所導致的額外開支等方面，對網(wǎng)絡安全的破壞可能是毀滅性的。此外，嚴重的網(wǎng)絡安全問題還可能導致企業(yè)的公眾形象的破壞、法律上的責任乃至客戶信心的喪失，并進而造成的成本損失將是無法估量的。

----病毒郵件攻擊的影響日益激烈

病毒、蠕蟲和毫無必要的大量電子郵件利用互聯(lián)網(wǎng)通信資源來傳播，引發(fā)網(wǎng)絡環(huán)境中的傳輸中斷。根據(jù)調查，87％以上的病毒通過電子郵件進入企業(yè)！保密數(shù)據(jù)和交易秘密的丟失、員工對電子郵件系統(tǒng)的不當使用已使許多公司不得不承擔法律責任，并損害了許多公司的聲譽。

今天，越來越多的公司都在尋求一種主動解決方案來減少信息服務的中斷時間并避免病毒侵入期間造成業(yè)務損失。

----對網(wǎng)絡資源的不合理使用

開放式接入還可以無限制地訪問大量惡意、有攻擊性的及有爭議的內(nèi)容，以及與工作無關的材料。據(jù)IDC統(tǒng)計，有30%~40%的Internet訪問是與工作無關的，甚至有的是去訪問色情站點。人均每天使用兩到三個小時工作時間用于收發(fā)個人郵件,瀏覽娛樂網(wǎng)站以及在聊天室打發(fā)時間。

因此，許多機構必須確定如何在允許員工無阻礙地訪問互聯(lián)網(wǎng)上大量有用信息的同時限制對不當內(nèi)容的訪問。

中國中小型企業(yè)客戶分析

中國國內(nèi)目前的中小型單位因為人力和資金上的局限，需要的網(wǎng)絡安全產(chǎn)品不僅僅是簡單的安裝，更重要的是要有針對復雜網(wǎng)絡應用的一體化解決方案，如：網(wǎng)絡安全、病毒檢測、網(wǎng)站過濾等等。其著眼點在于：國內(nèi)外領先的廠商產(chǎn)品；具備處理突發(fā)事件的能力；能夠實時監(jiān)控并易于管理；提供安全策略配置定制；是用戶能夠很容易地完善自身安全體系。

思科安全設計藍圖（SAFE）

SAFE是思科公司安全解決方案的藍圖，該設計藍圖主要針對企業(yè)網(wǎng)絡的功能，可為客戶安全網(wǎng)絡的設計、實施和維護提供端到端的安全性戰(zhàn)略。

該藍圖能夠模塊化地設計、部署網(wǎng)絡安全解決方案，并結合思科合作伙伴產(chǎn)品，為用戶提供一體化的全面解決方案。這樣，就可以將市場領先的安全產(chǎn)品、成熟可靠的安全策略和單一平臺的管理與客戶現(xiàn)有網(wǎng)絡基礎設施結合起來，提供全面的網(wǎng)絡保護：

提供高效的投資保護，而不必丟棄現(xiàn)有網(wǎng)絡設備

模塊化部署，可逐步實現(xiàn)深度分層防御

與合作伙伴良好的互操作性

24x7 全球技術支持

安全性市場的領導者

易于管理

思科中小企業(yè)網(wǎng)絡安全解決方案

針對中國中小企業(yè)客戶的實際情況，結合思科先進的SAFE藍圖設計理念，思科公司專門推出了“網(wǎng)絡健康應用健康精神健康”中小型企業(yè)網(wǎng)絡安全解決方案：

精簡版：Cisco Secure PIX 501

下面是針對SOHO型網(wǎng)絡的一種安全解決方案，該方案適用于10人以下的網(wǎng)絡應用，通過Cisco Secure PIX 501防火墻實現(xiàn)內(nèi)外網(wǎng)絡的安全隔離。

用戶特點：

網(wǎng)絡用戶數(shù)較少，通常在10人以下

用戶有聯(lián)網(wǎng)的需求，但網(wǎng)絡中數(shù)據(jù)吞吐流量不大

由于資金所限，通常采用ISDN或ADSL寬帶上網(wǎng)，以降低鏈路費用

需要采用性價比較高的防火墻產(chǎn)品保障內(nèi)部網(wǎng)絡的安全

方案示意圖：

方案特點：

該方案可以為SOHO型網(wǎng)絡提供企業(yè)級的網(wǎng)絡安全性

在一臺設備內(nèi)提供豐富的安全服務，包括狀態(tài)防火墻、入侵檢測等

可以實現(xiàn)NAT和DHCP功能，保障內(nèi)部合法用戶的聯(lián)網(wǎng)需求

支持PPPOE，滿足小型用戶通過寬帶按需上網(wǎng)的要求

內(nèi)置圖形化Web管理界面，簡單并易于管理

可平滑升級，具有良好的擴展性

Cisco Secure PIX 501是一種可靠的、即插即用的專用安全防火墻工具，提供了無與倫比的高水平網(wǎng)絡安全性。作為專用的工具，這些防火墻不提供WAN接口，也不支持除RIP之外的任何路由協(xié)議。該產(chǎn)品安裝在一個WAN路由器和內(nèi)部網(wǎng)絡之間，提供了基于自適應安全算法（ASA）的高級狀態(tài)訪問控制。能夠根據(jù)分組起始點和目的地址、TCP序列號、端口號和其它TCP分組標志跟蹤單個連接。分組只有在與來自網(wǎng)絡內(nèi)部的某個有效會話相關聯(lián)時才會被允許通過防火墻。這使得機構的內(nèi)部和授權外部用戶能夠進行透明訪問，同時保護內(nèi)部網(wǎng)絡免受未授權訪問。PIX防火墻的另一個安全特性是非UNIX嵌入的操作系統(tǒng)。這種專有的控制軟件消除了通用操作系統(tǒng)的缺陷，提供了驚人的性能。

標準版：Cisco Secure PIX 501+TrendMicro25用戶+Websense25用戶

下面是針對小型企業(yè)網(wǎng)絡的一種安全解決方案，該方案適用于10-25個用戶的網(wǎng)絡應用，通過Cisco Secure PIX 501防火墻實現(xiàn)內(nèi)外網(wǎng)絡的安全隔離，并采用集成的思科合作伙伴產(chǎn)品實現(xiàn)網(wǎng)絡病毒檢測和網(wǎng)站過濾的功能。

用戶特點：有一定數(shù)量的網(wǎng)絡用戶，通常在10—25個用戶左右

用戶有聯(lián)網(wǎng)的需求，且有一定的網(wǎng)絡數(shù)據(jù)吞吐流量

通常采用ADSL寬帶或較低速率專線上網(wǎng)，以降低鏈路費用

為保障網(wǎng)絡安全，降低維護費用，除需要布置防火墻產(chǎn)品以外，還有防護網(wǎng)絡病毒、限制對互聯(lián)網(wǎng)帶寬的不合理使用等需求

在保障上述需求的前提下，盡量節(jié)約采購的費用

方案示意圖：

方案特點：

該方案可以為小型網(wǎng)絡提供企業(yè)級的一體化網(wǎng)絡安全

通過一個緊湊的、整合的解決方案提供強大的安全功能

可以實現(xiàn)NAT和DHCP功能，保障內(nèi)部合法用戶的聯(lián)網(wǎng)需求

內(nèi)置圖形化Web管理界面，簡單并易于管理

可以和合作伙伴的產(chǎn)品無縫地結合起來，完成深層次的網(wǎng)絡安全性管理，如：防止網(wǎng)絡病毒的入侵，阻止員工訪問非授權的網(wǎng)站等功能

豪華版：Cisco Secure PIX 506E+TrendMicro50用戶+Websense50用戶

下面是針對中型企業(yè)網(wǎng)絡的一種安全解決方案，該方案適用于25--50個用戶左右的網(wǎng)絡應用，通過Cisco Secure PIX 506E防火墻實現(xiàn)內(nèi)外網(wǎng)絡的安全隔離，并采用集成的思科合作伙伴產(chǎn)品實現(xiàn)網(wǎng)絡病毒檢測和網(wǎng)站過濾的功能。

用戶特點：

有一定數(shù)量的網(wǎng)絡用戶，通常在25—50個用戶左右

用戶有聯(lián)網(wǎng)的需求，且有較大的網(wǎng)絡數(shù)據(jù)吞吐流量

通常采用較高速率的專線連接Internet

有清晰的網(wǎng)絡分層體系結構

為保障網(wǎng)絡安全，除需要布署防火墻產(chǎn)品以外，還有防護網(wǎng)絡病毒、限制對互聯(lián)網(wǎng)帶寬的不合理使用等需求

對防火墻產(chǎn)品性能有較高要求

方案示意圖：方案特點：

該方案可以為中型網(wǎng)絡提供企業(yè)級的一體化網(wǎng)絡安全

通過一個經(jīng)濟有效的、高性能的解決方案提供豐富的安全功能和強大的管理功能

可以實現(xiàn)NAT和DHCP功能，保障內(nèi)部合法用戶的聯(lián)網(wǎng)需求

內(nèi)置圖形化Web管理界面，簡單并易于管理

Cisco Secure PIX 506E是一種可靠的、即插即用的專用安全防火墻工具，提供了無與倫比的高水平網(wǎng)絡安全性。作為專用的工具，這些防火墻不提供WAN接口，也不支持除RIP之外的任何路由協(xié)議。該產(chǎn)品安裝在一個WAN路由器和內(nèi)部網(wǎng)絡之間，提供了基于自適應安全算法（ASA）的高級狀態(tài)訪問控制。能夠根據(jù)分組起始點和目的地址、TCP序列號、端口號和其它TCP分組標志跟蹤單個連接。分組只有在與來自網(wǎng)絡內(nèi)部的某個有效會話相關聯(lián)時才會被允許通過防火墻。這使得機構的內(nèi)部和授權外部用戶能夠進行透明訪問，同時保護內(nèi)部網(wǎng)絡免受未授權訪問。PIX防火墻的另一個安全特性是非UNIX嵌入的操作系統(tǒng)。這種專有的控制軟件消除了通用操作系統(tǒng)的缺陷，提供了驚人的性能。

上述三個解決方案是思科公司針對目前最常見的網(wǎng)絡安全、病毒檢測、網(wǎng)站過濾等安全問題提出的一體化的有效解決方案，通過和合作伙伴的緊密結合，為客戶提供一套模塊化的捆綁產(chǎn)品，切實解決現(xiàn)有中小型企業(yè)用戶的實際需求。

思科Cisco Secure PIX500系列防火墻是網(wǎng)絡基礎設施內(nèi)部的實施強化用戶安全性策略并限制對網(wǎng)絡資源訪問的專用硬件產(chǎn)品。其功能是檢查數(shù)據(jù)包和會話過程，針對各種不同應用、地址或用戶類型而設定的具體參數(shù)來分析和控制進入或離開的數(shù)據(jù)包。通過PIX的部署，可以保護用戶公開的Internet 服務器，限制外部網(wǎng)絡到內(nèi)部網(wǎng)絡的數(shù)據(jù)流，為內(nèi)部用戶提供網(wǎng)絡地址轉換（NAT）等各種功能，從而為用戶提供針對基于網(wǎng)絡的攻擊保護，并可預防和消除造成帶寬擁擠的分布式拒絕服務攻擊（DDOS）。

趨勢科技公司（TrendMicro）開發(fā)的產(chǎn)品是一種針對SMTP網(wǎng)關、基于策略的高性能反病毒和內(nèi)容安全解決方案，它集成了病毒保護的內(nèi)容過濾功能，這就是說憑借此產(chǎn)品，您可管理電子郵件內(nèi)容過濾并提供控制，且防止病毒和電子郵件中的其它惡意代碼產(chǎn)生影響。保護企業(yè)信息處理系統(tǒng)免遭來自互聯(lián)網(wǎng)的電子郵件病毒的損害，并防止復制或非業(yè)務內(nèi)容的傳輸。

Websense公司開發(fā)的Websense Enterprise是一種員工互聯(lián)網(wǎng)管理系統(tǒng),可以為Cisco PIX 防火墻提供集成化互聯(lián)網(wǎng)過濾，幫助網(wǎng)絡管理員有效地監(jiān)控管理和報告內(nèi)部網(wǎng)到互聯(lián)網(wǎng)接入的網(wǎng)絡流量。網(wǎng)絡管理員可以指定限制機構內(nèi)互聯(lián)網(wǎng)使用的策略。Websense Enterprise隨后根據(jù)預定義策略過濾網(wǎng)絡活動、監(jiān)控并報告有關活動的信息。將Websense主URL數(shù)據(jù)庫與Cisco PIX防火墻共用時，可創(chuàng)建靈活、高性能的內(nèi)容過濾策略?；ヂ?lián)網(wǎng)請求發(fā)送至Cisco PIX防火墻，然后是防火墻的Websense進行詢問，以確定應該許可還是阻止此請求。同時，Cisco PIX防火墻將原始請求發(fā)至互聯(lián)網(wǎng)。因為在收到來自Websense的確認前就將請求發(fā)至互聯(lián)網(wǎng)，故Cisco PIX防火墻不會減緩授權企業(yè)接入。在將站點返回請求用戶前需Websense確認，這可以防止未授權接入。

中小企業(yè)網(wǎng)絡安全解決方案

NTERNET的應用愈來愈廣泛，已經(jīng)成為公司、企業(yè)進行商務活動不可或缺的工具和平臺。許許多多的公司將自己的局域網(wǎng)連入INTERNET，充分享受著網(wǎng)絡的便利和快捷。但是目前INTERNET網(wǎng)絡的基礎是脆弱的，由于TCP/IP標準協(xié)議本身并不具備任何信息安全保護措施，各種操作系統(tǒng)也存在先天缺陷和由于不斷增加新功能帶來的漏洞，使基于INTERNET網(wǎng)的攻擊犯罪可以毫無阻礙的進行。同時各種計算機病毒，也讓計算機用戶都為它付出了沉重的代價。在飛速發(fā)展的互連網(wǎng)上增長的犯罪活動（主要是黑客攻擊）以及泛濫的病毒使各國金融、生產(chǎn)/商貿(mào)企業(yè)承受巨大的壓力和現(xiàn)實損失。目前可將網(wǎng)絡的不安全因素大致歸為以下三類：來自公用網(wǎng)絡或開放環(huán)境的偵測、攻擊；

來自內(nèi)部網(wǎng)絡的偵測、攻擊；基于明文傳送的網(wǎng)上郵件系統(tǒng)、以及基于明文的信息存儲系統(tǒng)的被攻擊。

---企業(yè)網(wǎng)若不具備先進的網(wǎng)絡安全防護措施，會造成多種危害，其中最直接的危害是對企業(yè)、個人造成不可彌補的損失，如：保密文件、財會報表、進貨、庫存、銷售訂單及客戶名單等機密數(shù)據(jù)被入侵者查看、修改。若要避免這種時間的發(fā)生，就要加強網(wǎng)絡的安全防護。例如使重要部門的網(wǎng)絡在物理上與Internet完全脫離，在局域網(wǎng)和INTERNET之間增加防火墻、路由器等網(wǎng)絡隔離設備，都是比較有效的物理防護措施，但網(wǎng)絡安全是一個整體的概念，只要能接觸重要部門網(wǎng)絡的人沒有完全與Internet脫離，就不能說該網(wǎng)絡與Internet已經(jīng)完全脫離。所以人員的管理致為重要。---網(wǎng)絡應用系統(tǒng)的安全體系應包含：

訪問控制。通過對特定網(wǎng)段、服務建立的訪問控制體系，將絕大多數(shù)攻擊阻止在到達攻擊目標之前。

檢查安全漏洞。通過對安全漏洞的周期檢查，即使攻擊可到達攻擊目標，也可使絕大多數(shù)攻擊無效。

攻擊監(jiān)控。通過對特定網(wǎng)段、服務建立的攻擊監(jiān)控體系，可實時檢測出絕大多數(shù)攻擊，并采取響應的行動（如斷開網(wǎng)絡連接、記錄攻擊過程、跟蹤攻擊源等）。

加密通訊。主動的加密通訊，可使攻擊者不能了解、修改敏感信息。

認證。良好的認證體系可防止攻擊者假冒合法用戶。

備份和恢復。良好的備份和恢復機制，可在攻擊造成損失時，盡快地恢復數(shù)據(jù)和系統(tǒng)服務。

多層防御。攻擊者在突破第一道防線后，延緩或阻斷其到達攻擊目標。

設立安全監(jiān)控中心，為信息系統(tǒng)提供安全體系管理、監(jiān)控、保護及緊急情況服務

在網(wǎng)絡中增加多功能的防火墻，可以實現(xiàn)上述安全體系的大部分功能。防火墻通過有選擇性地決定哪些用戶可以接入您的網(wǎng)絡而哪些不能，有效地保護您的網(wǎng)絡。防火墻甚至使您可以控制不同應用，如ftp, telnet, www及電子郵件等。

---添加防火墻的網(wǎng)絡拓撲如圖所示。防火墻的主要技術措施如下：

設置隔離區(qū)(DMZ),把郵件服務器等放到該區(qū),并把該區(qū)的服務器映射到外網(wǎng)的合法地址上以便Internet網(wǎng)上用戶訪問。

嚴禁Internet網(wǎng)上用戶到公司內(nèi)部網(wǎng)的訪問。

允許公司內(nèi)部網(wǎng)通過地址轉換方式(NAT)訪問Internet。

允許撥號用戶通過撥號訪問服務器到公司內(nèi)部網(wǎng)訪問。網(wǎng)絡拓撲圖：

中小企業(yè)網(wǎng)絡安全整體解決方案

一、現(xiàn)狀分析

中小企業(yè)用戶的局域網(wǎng)一般來說網(wǎng)絡結構不太復雜，主機數(shù)量不太多，服務器提供的服務相對較少。這樣的網(wǎng)絡通常很少甚至沒有專門的管理員來維護網(wǎng)絡的安全。這就給黑客和非法訪問提供了可乘之機。這樣的網(wǎng)絡使用環(huán)境一般存在下列安全隱患和需求：

1.計算機病毒在企業(yè)內(nèi)部網(wǎng)絡傳播。

2.內(nèi)部網(wǎng)絡可能被外部黑客的攻擊。

3.對外的服務器（如：www、ftp等）沒有安全防護，容易被黑客攻擊。

4.內(nèi)部網(wǎng)絡用戶上網(wǎng)行為沒有有效監(jiān)控管理，影響日常工作效率，容易形成內(nèi)部網(wǎng)絡的安全隱患。

5.遠程、移動用戶對公司內(nèi)部網(wǎng)絡的安全訪問。

二、瑞星中小企業(yè)整體解決方案

瑞星公司針對中小企業(yè)的上述特點，利用瑞星公司的系列安全產(chǎn)品為中小企業(yè)量身定制一種安全高效的網(wǎng)絡安全解決方案。

瑞星防毒墻RSW-1000P是一款多功能、高性能、低價位的產(chǎn)品，它不但提供了對內(nèi)部網(wǎng)絡和對外服務器的保護、防止黑客對這些網(wǎng)絡的攻擊，為遠程、移動用戶提供一個安全的遠程連接功能，是中小企業(yè)網(wǎng)絡安全的首選產(chǎn)品。

瑞星網(wǎng)絡殺毒軟件是瑞星自主開發(fā)的企業(yè)網(wǎng)絡防病毒軟件，通過“集中管理、分布處理”在中小企業(yè)內(nèi)部的服務器和客戶端同時部署殺毒軟件共同完成對整個網(wǎng)絡的病毒防護工作，為用戶的網(wǎng)絡系統(tǒng)提供全方位防病毒解決方案。

三、選用產(chǎn)品

? ? 瑞星防毒墻 RSW-1000P 瑞星網(wǎng)絡版殺毒軟件

四、瑞星中小企業(yè)整體解決方案實現(xiàn)主要功能

1.安全的網(wǎng)絡邊緣防護

瑞星防毒墻可以根據(jù)用戶的不同需要，具備針對HTTP、FTP、SMTP和POP3協(xié)議內(nèi)容檢查、清除病毒的能力，同時通過實施安全策略可以在網(wǎng)絡環(huán)境中的內(nèi)外網(wǎng)之間建立一道功能強大的防火墻體系，不但可以保護內(nèi)部資源不受外部網(wǎng)絡的侵犯，同時可以阻止內(nèi)部用戶對外部不良資源的濫用。

2.計算機病毒的監(jiān)控和清除

瑞星網(wǎng)絡殺毒軟件是一個專門針對網(wǎng)絡病毒傳播特點開發(fā)的網(wǎng)絡防病毒軟件，通過瑞星網(wǎng)絡防病毒體系在網(wǎng)絡內(nèi)客戶端和服務器上建立反病毒系統(tǒng)，并且可以實現(xiàn)防病毒體系的統(tǒng)一、集中管理，實時掌握、了解當前網(wǎng)絡內(nèi)計算機病毒事件，并實現(xiàn)對網(wǎng)絡內(nèi)的所有計算機遠程反病毒策略設置和安全操作。3.靈活的控制臺和Web管理方式

瑞星的系列安全產(chǎn)品都提供控制臺管理和Web管理兩種方式，通過這兩種管理方式管理員可以靈活、簡便地根據(jù)自身實際情況設置、修改安全策略，及時掌握了解網(wǎng)絡當前的運行基本信息。

4.強大的日志分析和統(tǒng)計報表能力

瑞星的系列安全產(chǎn)品對網(wǎng)絡內(nèi)的安全事件都作出詳細的日志記錄，這些日志記錄包括事件名稱、描述和相應的主機IP地址等相關信息。此外，報表系統(tǒng)可以自動生成各種形式的攻擊統(tǒng)計報表，形式包括日報表，月報表，年報表等，通過來源分析，目標分析，類別分析等多種分析方式，以直觀、清晰的方式從總體上分析網(wǎng)絡上發(fā)生的各種事件，有助于管理人員提高網(wǎng)絡的安全管理。5.模塊化的安全組合

本方案中使用的瑞星網(wǎng)絡安全產(chǎn)品分別具有不同的功能，用戶可以根據(jù)自身企業(yè)的實際情況選擇不同的產(chǎn)品構建不同安全級別的網(wǎng)絡，產(chǎn)品選擇組合方便、靈活，既有獨立性有整體性。

五、方案示意圖

通過瑞星防毒墻RSW-1000P和瑞星殺毒軟件網(wǎng)絡版共同為中小企業(yè)建立一個防黑、防毒的安全網(wǎng)絡。設計后的安全網(wǎng)絡拓撲方案示意圖如下。

第二篇：電子政務網(wǎng)絡安全解決方案

電子政務網(wǎng)絡安全解決方案

電子政務網(wǎng)絡安全概述

以Internet為代表的全球性信息化浪潮日益深刻，信息網(wǎng)絡技術的應用正日益普及和廣泛，應用層次正在深入，應用領域從傳統(tǒng)的、小型業(yè)務系統(tǒng)逐漸向大型、關鍵業(yè)務系統(tǒng)擴展，典型的如行政部門業(yè)務系統(tǒng)、金融業(yè)務系統(tǒng)、政府機關商務系統(tǒng)等。伴隨網(wǎng)絡的普及，安全日益成為影響網(wǎng)絡效能的重要問題，而Internet所具有的開放性、國際性和自由性在增加應用自由度的同時，對安全提出了更高的要求。如何使信息網(wǎng)絡系統(tǒng)不受黑客和工業(yè)間諜的入侵，已成為政府機構、企事業(yè)單位信息化健康發(fā)展所要考慮的重要事情之一。

網(wǎng)絡規(guī)劃

各級網(wǎng)絡

利用現(xiàn)有線路及網(wǎng)絡進行完善擴充，建成互聯(lián)互通、標準統(tǒng)一、結構簡單、功能完善、安全可靠、高速實用、先進穩(wěn)定的級別分明卻又統(tǒng)一的網(wǎng)絡。數(shù)據(jù)中心

建設集中的數(shù)據(jù)中心，對所有的信息資源、空間、信用等數(shù)據(jù)進行集中存放、集中管理。為省及各市部門、單位的關鍵應用及關鍵設施提供機房、安全管理與維護。網(wǎng)絡總體結構

政府機構從事的行業(yè)性質是跟國家緊密聯(lián)系的，所涉及信息可以說都帶有機密性，所以其信息安全問題，如敏感信息的泄露、黑客的侵擾、網(wǎng)絡資源的非法使用以及計算機病毒等。都將對政府機構信息安全構成威脅。為保證政府網(wǎng)絡系統(tǒng)的安全，有必要對其網(wǎng)絡進行專門安全設計。

所謂電子政務就是政府機構運用現(xiàn)代計算機技術和網(wǎng)絡技術，將其管理和服務的職能轉移到網(wǎng)絡上完成，同時實現(xiàn)政府組織結構和工作流程的重組優(yōu)化，超越時間、空間和部門分隔的制約，向全社會提供高效、優(yōu)質、規(guī)范、透明和全方位的管理與服務。

實現(xiàn)電子政務的意義在于突破了傳統(tǒng)的工業(yè)時代“一站式”的政府辦公模式，建立了適應網(wǎng)絡時代的“一網(wǎng)式”和“一表式”的新模式，開辟了推動社會信息化的新途徑，創(chuàng)造了政府實施產(chǎn)業(yè)政策的新手段。電子政務的出現(xiàn)有利于政府轉變職能，提高運作效率。

圖示：原有電子政務網(wǎng)絡情況

電子政務網(wǎng)絡的應用系統(tǒng)和網(wǎng)絡連接方式多樣，由于網(wǎng)絡本身及應用系統(tǒng)的復雜性，無論是有意的攻擊，還是無意的誤操作，都將會給系統(tǒng)帶來不可估量的損失。非法進入的攻擊者可能竊聽網(wǎng)絡上的信息、竊取用戶的口令、數(shù)據(jù)庫的信息；還可以篡改數(shù)據(jù)庫內(nèi)容、偽造用戶身份、否認自己的簽名；更有甚者，攻擊者可以刪除數(shù)據(jù)庫內(nèi)容、摧毀網(wǎng)絡節(jié)點等等。

因此在電子政務網(wǎng)絡的建設中，構建網(wǎng)絡安全系統(tǒng)以確保網(wǎng)絡信息的安全可靠是非常必要的。

物理安全風險分析

網(wǎng)絡物理安全是整個網(wǎng)絡系統(tǒng)安全的前提。物理安全的風險主要有： ◆地震、水災、火災等環(huán)境事故造成整個系統(tǒng)毀滅；

◆電源故障造成設備斷電以至操作系統(tǒng)引導失敗或數(shù)據(jù)庫信息丟失； ◆設備被盜、被毀造成數(shù)據(jù)丟失或信息泄漏； ◆電磁輻射可能造成數(shù)據(jù)信息被竊取或偷閱；

◆報警系統(tǒng)的設計不足可能造成原本可以防止但實際發(fā)生了的事故。鏈路傳輸風險分析

網(wǎng)絡安全不僅是入侵者到政府機關內(nèi)部網(wǎng)上進行攻擊、竊取或其它破壞，他們完全有可能在傳輸線路上安裝竊聽裝置，竊取你在網(wǎng)上傳輸?shù)闹匾獢?shù)據(jù)，再通過一些技術讀出數(shù)據(jù)信息，造成泄密或者做一些篡改來破壞數(shù)據(jù)的完整性；以上種種不安全因素都對網(wǎng)絡構成嚴重的安全威脅。因此，對于政府這樣帶有重要信息傳輸?shù)木W(wǎng)絡，數(shù)據(jù)在鏈路上傳輸必須加密。并通過數(shù)字簽名及認證技術來保障數(shù)據(jù)在網(wǎng)上傳輸?shù)恼鎸嵭?、機密性、可靠性及完整性。

遠程辦公安全接入目前，政府網(wǎng)絡應用環(huán)境紛亂復雜，既有內(nèi)部的應用如：內(nèi)部OA系統(tǒng)、文件共享、Email等應用服務，又有眾多面向下屬單位、合作伙伴等對外的應用。如何地有效解決遠程用戶安全訪問網(wǎng)絡內(nèi)部資源？

虛擬專用網(wǎng)技術(VPN，Virtual PrivateNetwork)是指在公共網(wǎng)絡中建立專用網(wǎng)絡，數(shù)據(jù)通過安全的“加密通道”在公共網(wǎng)絡中傳播。政府機關只需要租用本地的數(shù)據(jù)專線，連接上本地的公眾信息網(wǎng)，那么各地的機構就可以互相傳遞信息。使用VPN有節(jié)約成本、擴展性強、便于管理和實現(xiàn)全面控制等好處。在虛擬專用網(wǎng)中，任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動態(tài)組成的，是通過私有的隧道技術在公共數(shù)據(jù)網(wǎng)絡上仿真一條點到點的專線技術。所謂虛擬，是指用戶不再需要擁有實際的長途數(shù)據(jù)線路，而是使用Internet公眾數(shù)據(jù)網(wǎng)絡的長途數(shù)據(jù)線路。所謂專用網(wǎng)絡，是指用戶可以為自己制定一個最符合自己需求的網(wǎng)絡。根據(jù)國家有關規(guī)定，政府網(wǎng)絡可以通過現(xiàn)有公有平臺搭建自己的內(nèi)部網(wǎng)絡，但必須通過認證和加密技術，保證數(shù)據(jù)傳輸?shù)陌踩浴?/p>

單獨的VPN網(wǎng)關的主要功能是IPSec數(shù)據(jù)包的加密/解密處理和身份認證，但它沒有很強的訪問控制功能，例如狀態(tài)包過濾、網(wǎng)絡內(nèi)容過濾、防DDoS攻擊等。在這種獨立的防火墻和VPN部署方式下，防火墻無法對VPN的數(shù)據(jù)流量進行任何訪問控制，由此帶來安全性、性能、管理上的一系列問題。因此，在防火墻安全網(wǎng)關上集成VPN是當前安全產(chǎn)品的發(fā)展趨勢，能提供一個靈活、高效、完整的安全方案。

集成VPN的防火墻安全網(wǎng)關的優(yōu)點是，它可以保證加密的流量在解密后，同樣需要經(jīng)過嚴格的訪問控制策略的檢查，保護VPN網(wǎng)關免受DDoS攻擊和入侵威脅；提供更好的處理性能，簡化網(wǎng)絡管理的任務，快速適應動態(tài)、變化的網(wǎng)絡環(huán)境。因此，當前VPN技術已經(jīng)成為安全網(wǎng)關產(chǎn)品的組成部分。

政府機關Intranet網(wǎng)絡建設的VPN連接方案，利用IPsec安全協(xié)議的VPN和加密能力，實現(xiàn)兩個或多個政府機關之間跨越因特網(wǎng)的政府機關內(nèi)部網(wǎng)絡連接，實現(xiàn)了安全的政府機關內(nèi)部的數(shù)據(jù)通信。通過防火墻內(nèi)部策略控制體系，對VPN的數(shù)據(jù)可以進行有效的控制和管理，使政府機關的內(nèi)部網(wǎng)絡通信具有良好的擴展性和管理性。

圖示：政府機關Intranet網(wǎng)VPN解決方案

如上圖示，原始的數(shù)據(jù)經(jīng)過加密封裝在另外一個IP通道內(nèi)，通道頭部地址就是防火墻外部端口的IP地址，以實現(xiàn)在公網(wǎng)鏈路上的傳輸。利用高強度的、動態(tài)變換的密鑰來保證數(shù)據(jù)的安全，168位的3DES算法更提供了業(yè)界最高級別的安全防御體系，使政府機關的內(nèi)部數(shù)據(jù)可以無憂地在公網(wǎng)上傳輸，以達到政府機關內(nèi)部網(wǎng)絡安全擴展的目的。

網(wǎng)絡結構的安全風險分析

（一）來自與公網(wǎng)互聯(lián)的安全威脅

如果政府內(nèi)部網(wǎng)絡與Internet公網(wǎng)有互連?；贗nternet公網(wǎng)的開放性、國際性與自由性，內(nèi)部網(wǎng)絡將面臨更加嚴重的安全威脅。因為，每天黑客都在試圖闖入Internet節(jié)點，假如我們的網(wǎng)絡不保持警惕，可能連黑客怎么闖入的都不知道，甚至會成為黑客入侵其他網(wǎng)絡的跳板。政府行業(yè)內(nèi)部網(wǎng)絡中其辦公系統(tǒng)及各人主機上都有涉密信息。

假如內(nèi)部網(wǎng)絡的一臺機器安全受損（被攻擊或者被病毒感染），就會同時影響在同一網(wǎng)絡上的許多其他系統(tǒng)。透過網(wǎng)絡傳播，還會影響到與本系統(tǒng)網(wǎng)絡有連接的外單位網(wǎng)絡；影響所及，還可能涉及法律、金融等安全敏感領域。對于政府行業(yè)網(wǎng)絡系統(tǒng)，國家也有規(guī)定是不能與互聯(lián)網(wǎng)直接或間接與相連。

內(nèi)部網(wǎng)絡與系統(tǒng)外部網(wǎng)互聯(lián)安全威脅

如果系統(tǒng)內(nèi)部局域網(wǎng)絡與系統(tǒng)外部網(wǎng)絡間沒有采取一定的安全防護措施，內(nèi)部網(wǎng)絡容易遭到來自外部網(wǎng)絡不懷好意的入侵者的攻擊。如：

入侵者通過Sniffer等程序來探測掃描網(wǎng)絡及操作系統(tǒng)存在的安全漏洞，如網(wǎng)絡IP地址、應用操作系統(tǒng)的類型、開放哪些TCP端口號、系統(tǒng)保存用戶名和口令等安全信息的關鍵文件等，并通過相應攻擊程序對內(nèi)網(wǎng)進行攻擊。

入侵者通過網(wǎng)絡監(jiān)聽等先進手段獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息，進而假冒內(nèi)部合法身份進行非法登錄，竊取內(nèi)部網(wǎng)重要信息。

惡意攻擊：入侵者通過發(fā)送大量PING包對內(nèi)部網(wǎng)重要服務器進行攻擊，使得服務器超負荷工作以至拒絕服務甚至系統(tǒng)癱瘓。

（三）內(nèi)部局域網(wǎng)的安全威脅

據(jù)調查在已有的網(wǎng)絡安全攻擊事件中約70%是來自內(nèi)部網(wǎng)絡的侵犯。比如內(nèi)部人員故意泄漏內(nèi)部網(wǎng)絡的網(wǎng)絡結構；安全管理員有意透露其用戶名及口令；內(nèi)部員工編些具有破壞力的程序在內(nèi)部網(wǎng)上傳播或者內(nèi)部人員通過各種方式盜取他人涉密信息傳播出去。種種因素都對整體的網(wǎng)絡安全構成很大的威脅。

系統(tǒng)的安全風險分析

所謂系統(tǒng)安全通常是指網(wǎng)絡操作系統(tǒng)、應用系統(tǒng)的安全。目前的操作系統(tǒng)或應用系統(tǒng)無論是Windows還是其它任何商用UNIX操作系統(tǒng)以及其它廠商開發(fā)的應用系統(tǒng)，其開發(fā)廠商必然有其Back-Door（后門）。而且系統(tǒng)本身必定存在安全漏洞。這些“后門”或安全漏洞都將存在重大安全隱患。但是從實際應用上，系統(tǒng)的安全程度跟對其進行安全配置及系統(tǒng)的應用面有很大關系，操作系統(tǒng)如果沒有采用相應的安全配置，則其是漏洞百出，掌握一般攻擊技術的人都可能入侵得手。

如果進行安全配置，比如，填補安全漏洞，關閉一些不常用的服務，禁止開放一些不常用而又比較敏感的端口等，那么入侵者要成功進行內(nèi)部網(wǎng)是不容易，這需要相當高的技術水平及相當長時間。因此應正確估價自己的網(wǎng)絡風險并根據(jù)自己的網(wǎng)絡風險大小做出相應的安全解決方案。

應用的安全風險分析

應用系統(tǒng)的安全涉及很多方面。應用系統(tǒng)是動態(tài)的、不斷變化的。應用的安全性也是動態(tài)的。這就需要我們對不同的應用，檢測安全漏洞，采取相應的安全措施，降低應用的安全風險。

（一）資源共享

政府網(wǎng)絡系統(tǒng)內(nèi)部必有自動化辦公系統(tǒng)。而辦公網(wǎng)絡應用通常是共享網(wǎng)絡資源，比如文件、打印機共享等。由此就可能存在著：員工有意、無意把硬盤中重要信息目錄共享，長期暴露在網(wǎng)絡鄰居上，可能被外部人員輕易偷取或被內(nèi)部其他員工竊取并傳播出去造成泄密，因為缺少必要的訪問控制策略。

電子郵件系統(tǒng)

電子郵件為網(wǎng)系統(tǒng)用戶提供電子郵件應用。內(nèi)部網(wǎng)用戶可通過拔號或其它方式進行電子郵件發(fā)送和接收這就存在被黑客跟蹤或收到一些特洛伊木馬、病毒程序等，由于許多用戶安全意識比較淡薄，對一些來歷不明的郵件，沒有警惕性，給入侵者提供機會，給系統(tǒng)帶來不安全因素。

病毒侵害

自從1983年世界上第一個計算機病毒出現(xiàn)以來，在20多年的時間里，計算機病毒已到了無孔不入的地步，有些甚至給我們造成了巨大的破壞。

隨著網(wǎng)絡的普及和網(wǎng)速的提高，計算機之間的遠程控制越來越方便，傳輸文件也變得非常快捷，正因為如此，病毒與黑客程序（木馬病毒）結合以后的危害更為嚴重，病毒的發(fā)作往往伴隨著用戶機密資料的丟失。病毒的傳播可能會具有一定的方向性，按照制作者的要求侵蝕固定的內(nèi)容。

由于網(wǎng)絡的普及，使得編寫病毒的知識越來越容易獲得。同時，各種功能強大而易學的編程工具讓用戶可以輕松編寫一個具有極強殺傷力的病毒程序。用戶通過網(wǎng)絡甚至可以獲得專門編寫病毒的工具軟件，只需要通過簡單的操作就可以生成破壞性的病毒。

網(wǎng)絡是病毒傳播的最好、最快的途徑之一。病毒程序可以通過網(wǎng)上下載、電子郵件、使用盜版光盤或軟盤、人為投放等傳播途徑潛入內(nèi)部網(wǎng)。因此，病毒的危害的不可以輕視的。網(wǎng)絡中一旦有一臺主機受病毒感染，則病毒程序就完全可能在極短的時間內(nèi)迅速擴散，傳播到網(wǎng)絡上的所有主機，可能造成信息泄漏、文件丟失、機器死機等不安全因素。

數(shù)據(jù)信息

數(shù)據(jù)安全對政府行業(yè)來說尤其重要，數(shù)據(jù)在廣域網(wǎng)線路上傳輸，很難保證在傳輸過程中不被非法竊取，篡改。現(xiàn)今很多先進技術，黑客或一些工業(yè)間諜會通過一些手段，設法在線路上做些手腳，獲得在網(wǎng)上傳輸?shù)臄?shù)據(jù)信息。也就造成的泄密。這對政府行業(yè)用戶來說，是決不允許的。

管理的安全風險分析

內(nèi)部管理人員或員工把內(nèi)部網(wǎng)絡結構、管理員用戶名及口令以及系統(tǒng)的一些重要信息傳播給外人帶來信息泄漏風險。

機房重地卻是任何都可以進進出出，來去自由。存有惡意的入侵者便有機會得到入侵的條件。

內(nèi)部不滿的員工有的可能熟悉服務器、小程序、腳本和系統(tǒng)的弱點。利用網(wǎng)絡開些小玩笑，甚至破壞。如傳出至關重要的信息、錯誤地進入數(shù)據(jù)庫、刪除數(shù)據(jù)等等。這些都將給網(wǎng)絡造成極大的安全風險。

管理是網(wǎng)絡中安全得到保證的重要組成部分，是防止來自內(nèi)部網(wǎng)絡入侵必須的部分。責權不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。即除了從技術上下功夫外，還得依靠安全管理來實現(xiàn)。

防火墻系統(tǒng)設計方案

（一）防火墻系統(tǒng)

1、在各網(wǎng)絡出口處安裝曙光天羅防火墻。防火墻在這里首先起到網(wǎng)絡隔離、劃分不同安全域，進行訪問控制的功能。通過防火墻的多網(wǎng)口結構設計，控制授權合法用戶可以訪問到授權服務，而限制非授權的訪問。曙光天羅防火墻分為百兆和千兆兩個系列，可以根據(jù)各局內(nèi)部網(wǎng)的規(guī)模大小選擇適合自己的產(chǎn)品。

2、曙光天羅防火墻自帶的入侵檢測功能采用了基于模式匹配的入侵檢測系統(tǒng)，超越了傳統(tǒng)防火墻中的基于統(tǒng)計異常的入侵檢測功能，實現(xiàn)了可擴展的攻擊檢測庫，真正實現(xiàn)了抵御目前已知的各種攻擊方法。防火墻的入侵檢測模塊，可以自動檢測網(wǎng)絡數(shù)據(jù)流中潛在的入侵、攻擊和濫用方式，通知管理員調整控制規(guī)則，為整個網(wǎng)絡提供動態(tài)的網(wǎng)絡保護。

3、利用曙光天羅防火墻自帶的VPN功能，實現(xiàn)多級VPN系統(tǒng)。防火墻VPN模塊支持兩種用戶模式：遠程訪問虛擬網(wǎng)(撥號VPN)和政府機關內(nèi)部虛擬網(wǎng)(網(wǎng)關對網(wǎng)關VPN)。如上圖所示，在省地市三級網(wǎng)絡出口處安裝曙光天羅防火墻，利用防火墻的VPN模塊，實現(xiàn)他們之間分層次的政府機關內(nèi)部虛擬網(wǎng)(網(wǎng)關對網(wǎng)關VPN)；而對于一些規(guī)模比較小的區(qū)線或移動用戶，通過安裝VPN客戶端，實現(xiàn)遠程訪問虛擬網(wǎng)(撥號VPN)，整個構成一個安全的虛擬內(nèi)部局域網(wǎng)，保障電子政務網(wǎng)絡的數(shù)據(jù)安全傳輸。

（二）防火墻的VPN功能

VPN是平衡Internet的適用性和價格優(yōu)勢的最有前途的新興通信手段之一。利用共享的IP網(wǎng)建立VPN連接，可以使服務對象減少對昂貴租用線路和復雜遠程訪問方案的依賴性。

也是至關重要的一點，它可以使移動用戶和一些小型的分支機構的網(wǎng)絡開銷減少達50%或更多；

政府機關新增的分支機構或站點可以非常迅速方便地加入政府機關已建的基于VPN的INTRANET，所以VPN的可擴展性大大優(yōu)于傳統(tǒng)構建政府機關INTRANET的技術手段，如點對點專線或長途撥號；

VPN不僅可以大幅度削減傳輸數(shù)據(jù)的開銷，同時可以削減傳輸話音的開銷；

VPN創(chuàng)造了多種伴隨著Web發(fā)展而出現(xiàn)的新的商業(yè)機會，包括：進行全球電子商務，可以在減少銷售成本的同時增加銷售量；實現(xiàn)外連網(wǎng)，可以使用戶獲得關鍵的信息，更加貼近世界；可以訪問全球任何角落的電子通勤人員和移動用戶。

在當今全球激烈競爭的環(huán)境下，最先實現(xiàn)VPN的政府機關將在競爭獲得優(yōu)勢已經(jīng)是不爭的事實，許多政府機關也開始紛紛利用經(jīng)濟有效的VPN來傳送話音業(yè)務，并從中受益：

◆ 減少用于相關的調制解調器和終端服務設備的資金及費用，簡化網(wǎng)絡； ◆ 實現(xiàn)本地撥號接入的功能來取代遠距離接入，這樣能顯著降低遠距離通信的費用； ◆ 遠端驗證撥入用戶服務基于標準，基于策略功能的安全服務；

◆ 將工作重心從管理和保留運作撥號網(wǎng)絡的工作人員轉到公司的核心業(yè)務上來； ◆ 強大的基于 Web的VPN管理工具提供基于策略的 VPN配置和監(jiān)控，可以優(yōu)化網(wǎng)絡資源；

◆ 極大的可擴展性，簡便地對加入網(wǎng)絡的新用戶進行調度。用戶不需改變網(wǎng)絡的原來架構，只須安裝客戶端軟件并且設置此軟件的一些參數(shù)即可。同時也支持傳統(tǒng)的應用，可以從小的政府機關擴展到最大的政府機關；

◆ 更大的網(wǎng)絡靈活性，可以管理和發(fā)布不同類型的數(shù)據(jù)進入同一Internet連接。VPN代表了當今網(wǎng)絡發(fā)展演化的最高形式，它綜合了傳統(tǒng)數(shù)據(jù)網(wǎng)絡的性能優(yōu)點（安全和QoS）和共享數(shù)據(jù)網(wǎng)絡結構的優(yōu)點（簡單和低成本），必將成為未來傳輸完全匯聚業(yè)務的主要工具。

用戶可以通過硬件和軟件的方式來實現(xiàn)VPN功能，一般用戶都會使用硬件設備。在總部架設一個帶有VPN功能的防火墻，就可以讓地方聯(lián)到總部的內(nèi)部局域網(wǎng)了。使用這種具有VPN功能的防火墻都具有較高的安全性和穩(wěn)定性，因一個最大的優(yōu)點是既可以抵御外部的攻擊又可以提高自身網(wǎng)絡的安全性。

防火墻對服務器的保護

網(wǎng)絡中應用的服務器，信息量大、處理能力強，往往是攻擊的主要對象。另外，服務器提供的各種服務本身有可能成為“黑客”攻擊的突破口，因此，在實施方案時要對服務器的安全進行一系列安全保護。

如果服務器沒有加任何安全防護措施而直接放在公網(wǎng)上提供對外服務，就會面臨著“黑客”各種方式的攻擊，安全級別很低。因此當安裝防火墻后，所有訪問服務器的請求都要經(jīng)過防火墻安全規(guī)則的詳細檢測。只有訪問服務器的請求符合防火墻安全規(guī)則后，才能通過防火墻到達內(nèi)部服務器。防火墻本身抵御了絕大部分對服務器的攻擊，外界只能接觸到防火墻上的特定服務，從而防止了絕大部分外界攻擊。

（四）防火墻對內(nèi)網(wǎng)的保護

網(wǎng)絡內(nèi)部的環(huán)境比較復雜，而且各子網(wǎng)的分布地域廣闊，網(wǎng)絡用戶、設備接入的可控性比較差，因此，內(nèi)部網(wǎng)絡用戶的可靠性并不能得到完全的保證。特別是對于存放敏感數(shù)據(jù)的主機的攻擊往往發(fā)自內(nèi)部用戶，如何對內(nèi)部用戶進行訪問控制和安全防范就顯得特別重要。為了保障內(nèi)部網(wǎng)絡運行的可靠性和安全性，我們必須要對它進行詳盡的分析，盡可能防護到網(wǎng)絡的每一節(jié)點。

對于一般的網(wǎng)絡應用，內(nèi)部用戶可以直接接觸到網(wǎng)絡內(nèi)部幾乎所有的服務，網(wǎng)絡服務器對于內(nèi)部用戶缺乏基本的安全防范，特別是在內(nèi)部網(wǎng)絡上，大部分的主機沒有進行基本的安全防范處理，整個系統(tǒng)的安全性容易受到內(nèi)部用戶攻擊的威脅，安全等級不高。根據(jù)國際上流行的處理方法，我們把內(nèi)部用戶跨網(wǎng)段的訪問分為兩大類：其一，是內(nèi)部網(wǎng)絡用戶之間的訪問，即單機到單機訪問。這一層次上的應用主要有用戶共享文件的傳輸（NETBIOS）應用；其次，是內(nèi)部網(wǎng)絡用戶對內(nèi)部服務器的訪問，這一類應用主要發(fā)生在內(nèi)部用戶的業(yè)務處理時。一般內(nèi)部用戶對于網(wǎng)絡安全防范的意識不高，如果內(nèi)部人員發(fā)起攻擊，內(nèi)部網(wǎng)絡主機將無法避免地遭到損害，特別是針對于NETBIOS文件共享協(xié)議，已經(jīng)有很多的漏洞在網(wǎng)上公開報道，如果網(wǎng)絡主機保護不完善，就可能被內(nèi)部用戶利用“黑客”工具造成嚴重破壞。

由于網(wǎng)絡環(huán)境的復雜化和網(wǎng)絡應用的多樣化日益明顯，對于內(nèi)部網(wǎng)絡除了必要的防攻擊設置外還必須防止內(nèi)部用戶的欺騙行為，比如IP地址欺騙、網(wǎng)絡連接的欺騙等。由于物理層上的原因，內(nèi)部用戶接觸網(wǎng)絡服務的機會、方法很多，如果沒有專門的安全防護，“黑客”就可以比較容易地實施欺騙、偽造身份及暴力攻擊（CRACK），對于內(nèi)部網(wǎng)絡的用戶，防范攻擊的難度較大。我們主要從以下幾個方面考慮：

1)內(nèi)部網(wǎng)絡風險分析：由于內(nèi)部攻擊發(fā)生的比較頻繁，因此我們首先要分析內(nèi)部網(wǎng)絡的安全隱患，把可能發(fā)生的不安定因素找出來進行專門的安全處理；

2)內(nèi)部用戶網(wǎng)絡和網(wǎng)絡的隔離：把內(nèi)部比較重要的數(shù)據(jù)服務器放在專門的區(qū)域，加上獨立的控制體系，對于內(nèi)部網(wǎng)的訪問同樣要進行相應的安全控制；

3)內(nèi)部網(wǎng)絡安全保護：結合物理層和鏈路層的特點，在物理層和鏈路層的接口處實施安全控制，實施IP/MAC綁定。

IDS詳述

IDS（入侵檢測系統(tǒng)）對于關心網(wǎng)絡安全防護的人們來說已不再是一個陌生的名詞，在許多行業(yè)的計算機網(wǎng)絡安全防御工程中除了采用防病毒、防火墻或認證加密等系統(tǒng)外，有近15%的安全項目會涉及到IDS系統(tǒng)，而且這些項目一般都對安全等級的要求非常高，對數(shù)據(jù)信息的保密性也有特別的要求。

IDS系統(tǒng)

要想高效使用IDS首先要對它進行合理部署。通常IDS監(jiān)控保護的基本單位是一個網(wǎng)段，單個網(wǎng)段的最小組成元素是各臺主機，政府機關對各主機、各網(wǎng)段的安全性要求程度一般都不相同，所以確定IDS的保護對象是合理使用IDS的關鍵。

在優(yōu)先保護的網(wǎng)段中部署IDS系統(tǒng)，并配置合適的檢測策略，如在防火墻之內(nèi)部署IDS則可把安全策略配置得緊一些，即使用最大化的檢測策略，而在防火墻之外部署則可采用較為寬松的策略，因為經(jīng)過防火墻過濾后，內(nèi)部網(wǎng)絡的安全狀況相對比較簡單，而外部的情況則較為復雜，誤報的可能性也較大。另外，在一定的情況下有些內(nèi)部信任的主機也可能會觸發(fā)IDS的檢測引擎，從而形成報警，而對于用戶來說，這些報警事件是沒有什么參考價值的，所以需要在檢測范圍中排除這些主機的IP地址；通常IDS系統(tǒng)中都有一個過濾器（FILTER）模塊或像KIDS那樣所具有的“非阻斷列表”的功能選項，可以允許用戶加入所有他們所信任的主機IP地址。

目前大多數(shù)的IDS系統(tǒng)主要采用基于包特征的檢測技術來組建，它們的基本原理是對網(wǎng)絡上的所有數(shù)據(jù)包進行復制并檢測，然后與內(nèi)部的攻擊特征數(shù)據(jù)庫（規(guī)則庫）進行匹配比較，如果相符即產(chǎn)生報警或響應。這種檢測方式雖然比異常統(tǒng)計檢測技術要更加精確，但會給IDS帶來較大的負載，所以需要對檢測策略作進一步的調整和優(yōu)化。具體做法是根據(jù)政府機關自身網(wǎng)絡的業(yè)務應用情況，選擇最適合的檢測策略（可根據(jù)操作系統(tǒng)、應用服務或部署位置等），并對所選的策略進行修改，選擇具有參考價值的檢測規(guī)則，而去除一些無關緊要的選項，如對于全部是Windows的應用環(huán)境，則完全可以把UNIX的規(guī)則去掉。有些IDS除了提供攻擊特征檢測規(guī)則的定制功能外，還提供了對端口掃描檢測規(guī)則的自定義，如在KIDS中就可定義端口掃描的監(jiān)控范圍、信任主機地址排除和掃描模式等參數(shù)，這些參數(shù)的合理配置都能將IDS的檢測能力優(yōu)化到最理想的狀態(tài)。

IDS監(jiān)控

IDS除了能對網(wǎng)絡上各種非法行為產(chǎn)生報警外還能對一些特定的事件進行實時的響應，因為只有采取及時的響應才能有效阻止重要的資源被破壞或被盜用。目前最常用的響應方式是對網(wǎng)絡中的非法連接進行阻斷，如利用防火墻阻斷、列入黑名單阻斷或HTTP阻斷等。在利用IDS進行監(jiān)控時，不但需要查看它的報警提示，而且需要參考它所提供的實時狀態(tài)信息。因為在網(wǎng)絡中發(fā)生異常行為時，網(wǎng)絡中的許多狀態(tài)信息一般都與正常情況下的狀態(tài)不一樣。如主機正遭到拒絕服務攻擊時（DoS或DDoS），網(wǎng)絡中的數(shù)據(jù)流量便可能會急速上升，這時可以從包流量或字節(jié)流量等實時的狀態(tài)圖表中發(fā)現(xiàn)這樣的異常情況。所以參考IDS所顯示的狀態(tài)信息也是非常重要的。實時狀態(tài)信息還包括當前的活動TCP連接、TCP/UDP/IP/ICMP等協(xié)議的包或字節(jié)流量等。IDS的最重要價值之一是它能提供事后統(tǒng)計分析，所有安全事件或審計事件的信息都將被記錄在數(shù)據(jù)庫中，可以從各個角度來對這些事件進行分析歸類，以總結出被保護網(wǎng)絡的安全狀態(tài)的現(xiàn)狀和趨勢，及時發(fā)現(xiàn)網(wǎng)絡或主機中存在的問題或漏洞，并可歸納出相應的解決方案。

電子政務整體網(wǎng)絡安全解決方案

電子政務系統(tǒng)中存在大量敏感數(shù)據(jù)和應用，因此必須設計一個高安全性、高可靠性及高性能的防火墻安全保護系統(tǒng)，確保數(shù)據(jù)和應用萬無一失。

各局的局域網(wǎng)計算機工作站包括終端、廣域網(wǎng)路由器、服務器群都直接匯接到本局的主干交換機上。由于工作站分布較廣且全部連接，可以通過電子政務網(wǎng)絡進行相互訪問，服務器就有可能收到攻擊。因此，必須在各局之間相互進行隔離防護。

如下圖，我們在各局路由器后安裝曙光TLFW千兆防火墻，以有三千用戶在同時上Internet網(wǎng)計算，千兆防火墻的并發(fā)連接超過600,000，完全可以滿足整個網(wǎng)絡的需求，穩(wěn)定性上也滿足要求。同時，將局內(nèi)網(wǎng)與其他區(qū)域邏輯隔離開來，在數(shù)據(jù)中心內(nèi)，根據(jù)不同的服務器對安全性的不同需求，將它們分等級劃分為不同的區(qū)域，并通過詳細的包過濾規(guī)則制定，將這些服務器徹底保護起來，保證它們之間不能跨級別訪問，這樣實現(xiàn)分級的安全性。

通過安裝防火墻，可以實現(xiàn)下列的安全目標：

1)利用防火墻將內(nèi)部網(wǎng)絡、Internet外部網(wǎng)絡進行有效隔離，避免與外部網(wǎng)絡直接通信；

2)利用防火墻建立網(wǎng)絡各終端和服務器的安全保護措施，保證系統(tǒng)安全；

3)利用防火墻對來自非內(nèi)部網(wǎng)的服務請求進行控制，使非法訪問在到達主機前被拒絕； 4)利用防火墻使用IP與MAC地址綁定功能，加強終端用戶的訪問認證，同時在不影響用戶正常訪問的基礎上將用戶的訪問權限控制在最低限度內(nèi)；

5)利用防火墻全面監(jiān)視對服務器的訪問，及時發(fā)現(xiàn)和阻止非法操作；

6)利用防火墻及服務器上的審計記錄，形成一個完善的審計體系，建立第二條防線； 7)根據(jù)需要設置流量控制規(guī)則，實現(xiàn)網(wǎng)絡流量控制，并設置基于時間段的訪問控制。下圖是電子政務網(wǎng)絡安全解決方案設計拓撲圖：

圖示：電子政務網(wǎng)絡安全總體拓撲

根據(jù)以上的分析，在整個政府網(wǎng)絡安全體系中，除了負責邊界安全的防火墻設備以外，還選擇了入侵檢測系統(tǒng)進行共同防范，達到整個系統(tǒng)的高安全性。

同時因為用戶有撥號VPN的需求，而曙光的天羅防火墻自身具備了VPN的功能，可以滿足遠程連接用戶的安全要求。

具備了高安全性、高可靠性、高性能、高適用性、易管理、高度集成、靈活擴展等產(chǎn)品特色。易于安裝和使用，網(wǎng)絡性能和透明性好，擁有自行設計的全中文化WWW管理界面，通過直觀、易用的界面來管理強大、復雜的系統(tǒng)功能。

可根據(jù)系統(tǒng)管理者設定的安全規(guī)則（Security Rules）把守網(wǎng)絡的大門，提供強大的訪問控制、網(wǎng)絡地址轉換(Network Address Translation)、帶寬控制、P2P協(xié)議過濾等功能。

根據(jù)電子政務的實際需要，充分利用了曙光天羅防火墻的各功能模塊，實現(xiàn)了各功能模塊(防火墻模塊、入侵檢測模塊、VPN模塊等)的協(xié)同工作，再加上NIDS網(wǎng)絡入侵檢測系統(tǒng)的重點防護，構建了一個整合的動態(tài)安全門戶，以比較經(jīng)濟實惠的方式，實現(xiàn)了對電子政務網(wǎng)絡的整體安全防護。

第三篇：企業(yè)網(wǎng)絡安全解決方案畢業(yè)論文

婁底職業(yè)技術學院網(wǎng)絡專業(yè)畢業(yè)設計

宏錦網(wǎng)絡有限公司企業(yè)網(wǎng)絡安全解決方案

摘要

近幾年來，Internet技術日趨成熟，已經(jīng)開始了從以提供和保證網(wǎng)絡聯(lián)通性為主要目標的第一代Internet技術向以提供網(wǎng)絡數(shù)據(jù)信息服務為特征的第二代Internet技術的過渡。這些都促使了計算機網(wǎng)絡互聯(lián)技術迅速的大規(guī)模使用。眾所周知，作為全球使用范圍最大的信息網(wǎng)，Internet自身協(xié)議的開放性極大地方便了各種計算機連網(wǎng)，拓寬了共享資源。但是，由于在早期網(wǎng)絡協(xié)議設計上對安全問題的忽視，以及在管理和使用上的無政府狀態(tài)，逐漸使Internet自身安全受到嚴重威脅，與它有關的安全事故屢有發(fā)生。網(wǎng)絡安全的威脅主要表現(xiàn)在：非授權訪問，冒充合法用戶，破壞數(shù)據(jù)完整性，干擾系統(tǒng)正常運行，利用網(wǎng)絡傳播病毒，線路竊聽等方面。因此本論文為企業(yè)（宏錦企業(yè)網(wǎng)絡）構架網(wǎng)絡安全體系，主要運用vlan劃分、防火墻技術、vpn、病毒防護等技術，來實現(xiàn)企業(yè)的網(wǎng)絡安全。

關鍵詞：網(wǎng)絡，安全，VPN，防火墻，防病毒

火龍果?整理 uml.org.cn 婁底職業(yè)技術學院網(wǎng)絡專業(yè)畢業(yè)設計

Abstract In recent years, Internet technology has matured, has begun to provide and guarantee from the network connectivity as the main target of the first generation of Internet technology to provide network data services for the characteristics of the second generation of Internet technology transition.These all contributed to the rapid computer networking technology of large-scale use.As we all know, the world's largest information network use of, Internet openness of their agreement greatly facilitate a variety of computer networking to broaden the sharing of resources.However, in the early design of network protocols on security issues of neglect, as well as in management and use of the anarchy, the Internet increasingly serious threat to their security, and its related security incidents happened quite frequently.Network security threats mainly in: unauthorized access, posing as legitimate users, damage to data integrity, interfere with the normal operation of the system, using the Internet spread the virus, line tapping and so on.Therefore, this paper for the enterprise(Hong Jin corporate network)architecture network security system, mainly by the use of vlan, firewall, vpn, virus protection and other technologies to achieve corporate network security.Keywords: network, security, VPN, firewall, anti-virus

火龍果?整理 uml.org.cn 婁底職業(yè)技術學院網(wǎng)絡專業(yè)畢業(yè)設計

緒論....................................................................................................................................................................1 第一章企業(yè)網(wǎng)絡安全概述...................................................................................................................................2 1.1 企業(yè)網(wǎng)絡的主要安全隱患.......................................................................................................................2

1.2 企業(yè)網(wǎng)絡的安全誤區(qū)...............................................................................................................................2 第二章企業(yè)網(wǎng)絡安全現(xiàn)狀分析.........................................................................................................................4 2.1 公司背景.....................................................................................................................................................4 2.2 企業(yè)網(wǎng)絡安全需求.....................................................................................................................................4 2.3 需求分析.....................................................................................................................................................4 2.4 企業(yè)網(wǎng)絡結構.............................................................................................................................................5 第三章企業(yè)網(wǎng)絡安全解決實施...........................................................................................................................6 3.1 宏錦網(wǎng)絡企業(yè)物理安全.............................................................................................................................6 3.2宏錦企業(yè)網(wǎng)絡VLAN劃分............................................................................................................................7 3.4 宏錦企業(yè)網(wǎng)絡防火墻配置.........................................................................................................................9 3.4 宏錦企業(yè)網(wǎng)絡VPN配置...........................................................................................................................12 3.5 宏錦企業(yè)網(wǎng)絡防病毒措施.......................................................................................................................13 第四章宏錦企業(yè)的網(wǎng)絡管理.............................................................................................................................16 4.1宏錦企業(yè)網(wǎng)絡管理的問題........................................................................................................................16 4.2 宏錦企業(yè)網(wǎng)絡管理實施...........................................................................................................................16 總結..................................................................................................................................................................18 致謝..................................................................................................................................................................19 參考文獻...............................................................................................................................................................20

III

火龍果?整理 uml.org.cn 婁底職業(yè)技術學院網(wǎng)絡專業(yè)畢業(yè)設計

緒論

隨著信息化技術的飛速發(fā)展，許多有遠見的企業(yè)都認識到依托先進的IT技術構建企業(yè)自身的業(yè)務和運營平臺將極大地提升企業(yè)的核心競爭力，使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。經(jīng)營管理對計算機應用系統(tǒng)的依賴性增強，計算機應用系統(tǒng)對網(wǎng)絡的依賴性增強。計算機網(wǎng)絡規(guī)模不斷擴大，網(wǎng)絡結構日益復雜。計算機網(wǎng)絡和計算機應用系統(tǒng)的正常運行對網(wǎng)絡安全提出了更高的要求。信息安全防范應做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對網(wǎng)絡、系統(tǒng)、應用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個動態(tài)的過程，事前、事中和事后的技術手段應當完備，安全管理應貫穿安全防范活動的始終。

網(wǎng)絡安全問題伴隨著網(wǎng)絡的產(chǎn)生而產(chǎn)生，可以說，有網(wǎng)絡的地方就存在網(wǎng)絡安全隱患。像病毒入侵和黑客攻擊之類的網(wǎng)絡安全事件，目前主要是通過網(wǎng)絡進行的，而且?guī)缀趺繒r每刻都在發(fā)生，遍及全球。除此之外，像惡意軟件入侵、攻擊，用戶的非法訪問和操作，用戶郵件的非法截取和更改等都是普遍存在的安全事實。網(wǎng)絡安全事件所帶來的危害，相信我們每個計算機用戶都或多或少地親身體驗過一些：輕則使電腦系統(tǒng)運行不正常，重則使整個計算機系統(tǒng)中的磁盤數(shù)據(jù)全部覆滅，甚至導致磁盤、計算機等硬件的損壞。

為了防范這些網(wǎng)絡安全事故的發(fā)生，每個計算機用戶，特別是企業(yè)網(wǎng)絡用戶，必須采取足夠的安全防范措施，甚至可以說要在利益均衡情況下不惜一切代價。但要注意，企業(yè)網(wǎng)絡安全策略的實施是一項系統(tǒng)工程，它涉及許多方面。因此既要充分考慮到那些平時經(jīng)常提及的外部網(wǎng)絡威脅，又要對來自內(nèi)部網(wǎng)絡和網(wǎng)絡管理本身所帶來的安全隱患有足夠的重視，不能孤立地看待任何一個安全隱患和安全措施。因為這些安全隱患爆發(fā)的途徑可以是多方面的，而許多安全措施都是相輔相成的。

火龍果?整理 uml.org.cn 婁底職業(yè)技術學院網(wǎng)絡專業(yè)畢業(yè)設計

第一章企業(yè)網(wǎng)絡安全概述

1.1 企業(yè)網(wǎng)絡的主要安全隱患

現(xiàn)在網(wǎng)絡安全系統(tǒng)所要防范的不再僅是病毒感染，更多的是基于網(wǎng)絡的非法入侵、攻擊和訪問，同時企業(yè)網(wǎng)絡安全隱患的來源有內(nèi)、外網(wǎng)之分，很多情況下內(nèi)部網(wǎng)絡安全威脅要遠遠大于外部網(wǎng)絡，因為內(nèi)部中實施入侵和攻擊更加容易，企業(yè)網(wǎng)絡安全威脅的主要來源主要包括。

1)病毒、木馬和惡意軟件的入侵。2)網(wǎng)絡黑客的攻擊。

3)重要文件或郵件的非法竊取、訪問與操作。4)關鍵部門的非法訪問和敏感信息外泄。5)外網(wǎng)的非法入侵。

6)備份數(shù)據(jù)和存儲媒體的損壞、丟失。

針對這些安全隱患，所采取的安全策略可以通過安裝專業(yè)的網(wǎng)絡版病毒防護系統(tǒng)，同時也要加強內(nèi)部網(wǎng)絡的安全管理，配置好防火墻過濾策略和系統(tǒng)本身的各項安全措施，及時安裝系統(tǒng)安全補丁，有條件的還可以在內(nèi)、外網(wǎng)之間安裝網(wǎng)絡掃描檢測、網(wǎng)絡嗅探器、IDS、IPS系統(tǒng)，甚至配置網(wǎng)絡安全隔離系統(tǒng)，對內(nèi)、外網(wǎng)絡進行安全隔離；加強內(nèi)部網(wǎng)絡的安全管理，嚴格實行“最小權限”原則，為各個用戶配置好恰當?shù)挠脩魴嘞?；同時對一些敏感數(shù)據(jù)進行加密保護，對數(shù)據(jù)還可以進行數(shù)字簽名措施；根據(jù)企業(yè)實際需要配置好相應的數(shù)據(jù)策略，并按策略認真執(zhí)行。

1.2 企業(yè)網(wǎng)絡的安全誤區(qū)

(一)安裝防火墻就安全了

防火墻主要工作都是控制存取與過濾封包，所以對DoS攻擊、非法存取與篡改封包等攻擊模式的防范極為有效，可以提供網(wǎng)絡周邊的安全防護。但如果攻擊行為不經(jīng)過防火墻，或是將應用層的攻擊程序隱藏在正常的封包內(nèi)，便力不從心了，許多防火墻只是工作在網(wǎng)絡層。

防火墻的原理是“防外不防內(nèi)”，對內(nèi)部網(wǎng)絡的訪問不進行任何阻撓，而事實上，企業(yè)網(wǎng)絡安全事件絕大部分還是源于企業(yè)內(nèi)部。

火龍果?整理 uml.org.cn 婁底職業(yè)技術學院網(wǎng)絡專業(yè)畢業(yè)設計

(二)安裝了最新的殺毒軟件就不怕病毒了

安裝殺毒軟件的目的是為了預防病毒的入侵和查殺系統(tǒng)中已感染的計算機病毒，但這并不能保證就沒有病毒入侵了，因為殺毒軟件查殺某一病毒的能力總是滯后于該病毒的出現(xiàn)。

(三)在每臺計算機上安裝單機版殺毒軟件和網(wǎng)絡版殺毒軟件等效

網(wǎng)絡版殺毒軟件核心就是集中的網(wǎng)絡防毒系統(tǒng)管理。網(wǎng)絡版殺毒軟件可以在一臺服務器上通過安全中心控制整個網(wǎng)絡的客戶端殺毒軟件同步病毒查殺、監(jiān)控整個網(wǎng)絡的病毒。同時對于整個網(wǎng)絡，管理非常方便，對于單機版是不可能做到的。

(四)只要不上網(wǎng)就不會中毒

雖然不少病毒是通過網(wǎng)頁傳播的，但像QQ聊天接發(fā)郵件同樣是病毒傳播的主要途徑，而且盜版光盤以及U盤等也會存在著病毒。所以只要計算機開著，就要防范病毒。

(五)文件設置只讀就可以避免感染病毒

設置只讀只是調用系統(tǒng)的幾個命令，而病毒或黑客程序也可以做到這一點，設置只讀并不能有效防毒，不過在局域網(wǎng)中為了共享安全，放置誤刪除，還是比較有用的。

(六)網(wǎng)絡安全主要來自外部

基于內(nèi)部的網(wǎng)絡攻擊更加容易，不需要借助于其他的網(wǎng)絡連接方式，就可以直接在內(nèi)部網(wǎng)絡中實施攻擊。所以，加強內(nèi)部網(wǎng)絡安全管理，特別是用戶帳戶管理，如帳戶密碼、臨時帳戶、過期帳戶和權限等方面的管理非常必要了。

火龍果?整理 uml.org.cn 婁底職業(yè)技術學院網(wǎng)絡專業(yè)畢業(yè)設計

第二章企業(yè)網(wǎng)絡安全現(xiàn)狀分析

2.1 公司背景

宏錦網(wǎng)絡有限公司是一家有100名員工的中小型網(wǎng)絡公司，主要以手機應用開發(fā)為主營項目的軟件企業(yè)。公司有一個局域網(wǎng)，約100臺計算機，服務器的操作系統(tǒng)是 Windows Server 2003,客戶機的操作系統(tǒng)是 Windows XP，在工作組的模式下一人一機辦公。公司對網(wǎng)絡的依賴性很強，主要業(yè)務都要涉及互聯(lián)網(wǎng)以及內(nèi)部網(wǎng)絡。隨著公司的發(fā)展現(xiàn)有的網(wǎng)絡安全已經(jīng)不能滿足公司的需要，因此構建健全的網(wǎng)絡安全體系是當前的重中之重。

2.2 企業(yè)網(wǎng)絡安全需求

宏錦網(wǎng)絡有限公司根據(jù)業(yè)務發(fā)展需求，建設一個小型的企業(yè)網(wǎng)，有Web、Mail等服務器和辦公區(qū)客戶機。企業(yè)分為財務部門和業(yè)務部門，需要他們之間相互隔離。同時由于考慮到Inteneter的安全性，以及網(wǎng)絡安全等一些因素，如DDoS、ARP等。因此本企業(yè)的網(wǎng)絡安全構架要求如下：

（1）根據(jù)公司現(xiàn)有的網(wǎng)絡設備組網(wǎng)規(guī)劃（2）保護網(wǎng)絡系統(tǒng)的可用性（3）保護網(wǎng)絡系統(tǒng)服務的連續(xù)性

（4）防范網(wǎng)絡資源的非法訪問及非授權訪問（5）防范入侵者的惡意攻擊與破壞

（6）保護企業(yè)信息通過網(wǎng)上傳輸過程中的機密性、完整性（7）防范病毒的侵害（8）實現(xiàn)網(wǎng)絡的安全管理。

2.3 需求分析

通過了解宏錦網(wǎng)絡公司的需求與現(xiàn)狀，為實現(xiàn)宏錦網(wǎng)絡公司的網(wǎng)絡安全建設實施網(wǎng)絡系統(tǒng)改造，提高企業(yè)網(wǎng)絡系統(tǒng)運行的穩(wěn)定性，保證企業(yè)各種設計信息的安全性，避免圖紙、文檔的丟失和外泄。通過軟件或安全手段對客戶端的計算機加以保護，記錄用戶對客戶端計算機中關鍵目錄和文件的操作，使企業(yè)有手段對用戶在客戶端計算機的使用

火龍果?整理 uml.org.cn 婁底職業(yè)技術學院網(wǎng)絡專業(yè)畢業(yè)設計

情況進行追蹤，防范外來計算機的侵入而造成破壞。通過網(wǎng)絡的改造，使管理者更加便于對網(wǎng)絡中的服務器、客戶端、登陸用戶的權限以及應用軟件的安裝進行全面的監(jiān)控和管理。因此需要

（1）構建良好的環(huán)境確保企業(yè)物理設備的安全（2）劃分VLAN控制內(nèi)網(wǎng)安全（3）安裝防火墻體系

（4）建立VPN(虛擬專用網(wǎng)絡)確保數(shù)據(jù)安全（5）安裝防病毒服務器（6）加強企業(yè)對網(wǎng)絡資源的管理

2.4 企業(yè)網(wǎng)絡結構

宏錦網(wǎng)絡公司網(wǎng)絡拓撲圖，如圖2-1所示:

圖2-1 企業(yè)網(wǎng)絡結構

由于宏錦網(wǎng)絡公司是直接從電信接入IP為58.192.65.62 255.255.255.0，直接經(jīng)由防火墻分為DMZ區(qū)域和普通區(qū)域。防火墻上做NAT轉換，分別給客戶機端的地址為10.1.1.0 255.255.255.0。防火墻接客戶區(qū)端口地址為10.1.1.1 255.255.255.0。DMZ內(nèi)主要有各類的服務器，地址分配為10.1.2.0 255.255.255.0。防火墻DMZ區(qū)的接口地址為10.1.2.1 255.255.255.0。內(nèi)網(wǎng)主要由3層交換機作為核心交換機，下面有兩臺2層交換機做接入。

火龍果?整理 uml.org.cn 婁底職業(yè)技術學院網(wǎng)絡專業(yè)畢業(yè)設計

第三章企業(yè)網(wǎng)絡安全解決實施

3.1 宏錦網(wǎng)絡企業(yè)物理安全

宏錦企業(yè)網(wǎng)絡中保護網(wǎng)絡設備的物理安全是其整個計算機網(wǎng)絡系統(tǒng)安全的前提，物理安全是指保護計算機網(wǎng)絡設備、設施以及其他媒體免遭地震、水災、火災等環(huán)境事故、人為操作失誤或各種計算機犯罪行為導致的破壞。

針對宏錦網(wǎng)絡企業(yè)的物理安全主要考慮的問題是環(huán)境、場地和設備的安全及物理訪問控制和應急處置計劃等。物理安全在整個計算機網(wǎng)絡信息系統(tǒng)安全中占有重要地位。它主要包括以下幾個方面： 1)保證機房環(huán)境安全

信息系統(tǒng)中的計算機硬件、網(wǎng)絡設施以及運行環(huán)境是信息系統(tǒng)運行的最基本的環(huán)境。要從一下三個方面考慮：a.自然災害、物理損壞和設備故障 b.電磁輻射、乘機而入、痕跡泄漏等 c.操作失誤、意外疏漏等 2)選用合適的傳輸介質

屏蔽式雙絞線的抗干擾能力更強，且要求必須配有支持屏蔽功能的連接器件和要求介質有良好的接地（最好多處接地），對于干擾嚴重的區(qū)域應使用屏蔽式雙絞線，并將其放在金屬管內(nèi)以增強抗干擾能力。

光纖是超長距離和高容量傳輸系統(tǒng)最有效的途徑，從傳輸特性等分析，無論何種光纖都有傳輸頻帶寬、速率高、傳輸損耗低、傳輸距離遠、抗雷電和電磁的干擾性好保密性好，不易被竊聽或被截獲數(shù)據(jù)、傳輸?shù)恼`碼率很低，可靠性高，體積小和重量輕等特點。與雙絞線或同軸電纜不同的是光纖不輻射能量，能夠有效地阻止竊聽。3)保證供電安全可靠

計算機和網(wǎng)絡主干設備對交流電源的質量要求十分嚴格，對交流電的電壓和頻率，對電源波形的正弦性，對三相電源的對稱性，對供電的連續(xù)性、可靠性穩(wěn)定性和抗干擾性等各項指標，都要求保持在允許偏差范圍內(nèi)。機房的供配電系統(tǒng)設計既要滿足設備自身運轉的要求，又要滿足網(wǎng)絡應用的要求，必須做到保證網(wǎng)絡系統(tǒng)運行的可靠性，保證設備的設計壽命保證信息安全保證機房人員的工作環(huán)境。

火龍果?整理 uml.org.cn 婁底職業(yè)技術學院網(wǎng)絡專業(yè)畢業(yè)設計

3.2宏錦企業(yè)網(wǎng)絡VLAN劃分

VLAN技術能有效隔離局域網(wǎng)，防止網(wǎng)內(nèi)的攻擊，所以宏錦網(wǎng)絡有限公司網(wǎng)絡中按部門進行了VLAN劃分，劃分為以下兩個VLAN：

財務部門 VLAN 10

交換機S1接入交換機（神州數(shù)碼DCS-3950）業(yè)務部門 VLAN 20

交換機S2接入交換機（神州數(shù)碼DCS-3950）核心交換機 VLAN間路由核心交換機S3（神州數(shù)碼DCRS-5526）S1配置如下: switch> switch>ena switch#con switch(Config)#vlan 10 switch(Config-Vlan10)#sw int e 0/0/1-20 switch(Config-Vlan10)#exit switch(Config)#exit switch#con switch(Config)#int e 0/0/24 switch(Config-Ethernet0/0/24)#sw m t Set the port Ethernet0/0/24 mode TRUNK successfully switch(Config-Ethernet0/0/24)#sw t a v a set the port Ethernet0/0/24 allowed vlan successfully switch(Config-Ethernet0/0/24)#exit switch(Config)#ip dhcp pool vlan10 switch(dhcp-vlan10-config)#network-address 192.168.10.0 255.255.255.0 switch(dhcp-vlan10-config)#lease 3 switch(dhcp-vlan10-config)#default-router 192.168.1.1 switch(dhcp-vlan10-config)#dns-server 61.177.7.1 switch(dhcp-vlan10-config)#exit switch(config)ip dhcp excluded-address 192.168.10.1 S2配置如下: Switch> Switch>ena Switch#con

火龍果?整理 uml.org.cn 婁底職業(yè)技術學院網(wǎng)絡專業(yè)畢業(yè)設計

switch(Config)#vlan 20 switch(Config-Vlan20)#sw int e 0/0/1-20 switch(Config-Vlan20)#exit switch(Config)#exit switch#con switch(Config)#int e 0/0/24 switch(Config-Ethernet0/0/24)#sw m t Set the port Ethernet0/0/24 mode TRUNK successfully switch(Config-Ethernet0/0/24)#sw t a v a set the port Ethernet0/0/24 allowed vlan successfully switch(Config-Ethernet0/0/24)#exit switch(Config)#ip dhcp pool vlan20 switch(dhcp-vlan20-config)#network-address 192.168.20.0 255.255.255.0 switch(dhcp-vlan20-config)#lease 3 switch(dhcp-vlan20-config)#default-router 192.168.1.1 switch(dhcp-vlan20-config)#dns-server 61.177.7.1 switch(dhcp-vlan20-config)#exit switch(config)ip dhcp excluded-address 192.168.20.1 switch(config)ip dhcp excluded-address 192.168.20.150-192.168.20.240 S0配置如下: switch> switch>enable switch#config switch(Config)#hostname S0 S0(Config)#vlan 10 S0(Config-Vlan10)#vlan 20 S0(Config-Vlan20)#exit S0(Config)#int e 0/0/1-2 S0(Config-Port-Range)#sw m t S0(Config-Port-Range)#sw t a v a S0(Config-Port-Range)#exit S0(Config)#int vlan 10 S0(Config-If-Vlan10)#ip address 192.168.10.1 255.255.255.0 S0(Config-If-Vlan10)#no shutdown

火龍果?整理 uml.org.cn 婁底職業(yè)技術學院網(wǎng)絡專業(yè)畢業(yè)設計

S0(Config-If-Vlan10)#exit S0(Config)#int vlan 20 00:04:23: %LINK-5-CHANGED: Interface Vlan20, changed state to UP %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed state to UP S0(Config-If-Vlan20)#ip address 192.168.20.1 255.255.255.0 S0(Config-If-Vlan20)#no shutdown S0(Config-If-Vlan20)#exit S0(Config)#exit S0(Config-If-Vlan1)#ip address 192.168.1.1 255.255.255.0 S0(Config-If-Vlan1)#no shutdown S0(Config-If-Vlan1)#exit S0(Config)#exit S0#show ip route S0#con S0(Config)#ip route 58.192.65.0 255.255.255.0 10.1.1.1 3.4 宏錦企業(yè)網(wǎng)絡防火墻配置

宏錦企業(yè)網(wǎng)絡中使用的是神州數(shù)碼的DCFW-1800S UTM，里面包含了防火墻和VPN等功能。以下為配置過程：

在防火墻NAT策略下面，新增NAT。如圖3-1:

圖3-1 新增企業(yè)防火墻策略示意圖

源域：untrust；源地址對象：any；目的域：trust；目的地址對象：any；

在全局安全策略設置里面如圖3-2和圖3-3所示:

火龍果?整理 uml.org.cn 婁底職業(yè)技術學院網(wǎng)絡專業(yè)畢業(yè)設計

圖3-2企業(yè)防火墻策略配置示意圖

圖 3-3 企業(yè)防火墻策略配置示意圖

火龍果?整理 uml.org.cn 婁底職業(yè)技術學院網(wǎng)絡專業(yè)畢業(yè)設計

圖3-4企業(yè)防火墻策略配置示意圖

可以設置全局下面訪問策略，以及域內(nèi)和域間的訪問策略。這里我們設置，內(nèi)部網(wǎng)絡為信任區(qū)域（trust），Inteneter為不信任區(qū)域（untrust），服務器區(qū)域為DMZ區(qū)域。動作包括permit允許，拒絕deny，以及其他的特定的服務。這里允許內(nèi)部訪問外部和DMZ區(qū)域，而DMZ和Inteneter不允許訪問內(nèi)部。但是處于中間位置的DMZ可以允許Inteneter的訪問。所以要添加好幾條NAT策略。

在網(wǎng)絡接口處如圖3-5所示:

圖3-5 網(wǎng)絡接口處配置示意圖

要配置3個以太網(wǎng)接口為up，安全區(qū)域分別為eth1：l2-trust，eth0：l2-untrust，eth2：l2-DMZ。其中接外網(wǎng)的eth0工作模式為路由模式，其余接DMZ和內(nèi)部的都為NAT模式。如圖3-6所示:

火龍果?整理 uml.org.cn 婁底職業(yè)技術學院網(wǎng)絡專業(yè)畢業(yè)設計

圖3-6 以太網(wǎng)接口配置示意圖

同時為他們配好相應的網(wǎng)絡地址，eth0為58.192.65.62，eth1：10.1.1.1，eth2 10.1.2.1。

3.4 宏錦企業(yè)網(wǎng)絡VPN配置

宏錦企業(yè)網(wǎng)絡的VPN功能主要也是通過上面的防火墻實現(xiàn)的。如圖3-7,圖3-8所示:

圖3-7 PPTP協(xié)議示意圖

圖3-8 PPTP示意圖

這里我們使用PPTP協(xié)議來實現(xiàn)VPN，首先是新增PPTP地址池，范圍為192.168.20.150-192.168.20.240 如圖3-9所示:

火龍果?整理 uml.org.cn 婁底職業(yè)技術學院網(wǎng)絡專業(yè)畢業(yè)設計

圖3-9 PPTP協(xié)議實現(xiàn)VPN示意圖

在PPTP設置里面，選擇Chap加密認證，加密方式mppe-128。DNS分別為61.177.7.1，MTU為500。

3.5 宏錦企業(yè)網(wǎng)絡防病毒措施

針對宏錦企業(yè)網(wǎng)絡的現(xiàn)狀，在綜合考慮了公司對防病毒系統(tǒng)的性能要求、成本和安全性以后，我選用江民殺毒軟件KV網(wǎng)絡版來在內(nèi)網(wǎng)中進行防病毒系統(tǒng)的建立。產(chǎn)品特點: KV網(wǎng)絡版是為各種簡單或復雜網(wǎng)絡環(huán)境設計的計算機病毒網(wǎng)絡防護系統(tǒng)，即適用于包含若干臺主機的單一網(wǎng)段網(wǎng)絡，也適用于包含各種WEB服務器、郵件服務器、應用服務器，以及分布在不同城市，包含數(shù)十萬臺主機的超大型網(wǎng)絡。KV網(wǎng)絡版具有以下顯著特點：

(1)先進的體系結構(2)超強的殺毒能力(3)完備的遠程控制(4)方便的分級、分組管理

宏錦企業(yè)網(wǎng)絡KV網(wǎng)絡版的主控制中心部署在DMZ服務器區(qū)，子控制中心部署在3層交換機的一臺服務器上。

網(wǎng)絡拓撲結構如圖3-10所示:

火龍果?整理 uml.org.cn 婁底職業(yè)技術學院網(wǎng)絡專業(yè)畢業(yè)設計

圖3-10 主控制中心部署圖

子控制中心與主控制中心關系: 控制中心負責整個KV網(wǎng)絡版的管理與控制，是整個KV網(wǎng)絡版的核心，在部署KV網(wǎng)絡時，必須首先安裝。除了對網(wǎng)絡中的計算機進行日常的管理與控制外，它還實時地記錄著KV網(wǎng)絡版防護體系內(nèi)每臺計算機上的病毒監(jiān)控、查殺病毒和升級等信息。在1個網(wǎng)段內(nèi)僅允許安裝1臺控制中心。根據(jù)控制中心所處的網(wǎng)段的不同，可以將控制中心劃分為主控制中心和子控制中心，子控制中心除了要完成控制中心的功能外，還要負責與它的上級——主控制中心進行通信。這里的“主”和“子”是一個相對的概念：每個控制中心對于它的下級的網(wǎng)段來說都是主控制中心，對于它的上級的網(wǎng)段來說又是子控制中心，這種控制結構可以根據(jù)網(wǎng)絡的需要無限的延伸下去。

為宏錦企業(yè)網(wǎng)絡安裝好KV網(wǎng)絡版殺毒軟件后，為期配置軟件的安全策略。對宏錦企業(yè)客戶端計算機的KV軟件實現(xiàn)更為完善的遠程控制功能，利用KV軟件控制中心的“策略設置”功能組來實現(xiàn)。在此功能中可以針對單一客戶端、邏輯組、全網(wǎng)進行具有針對性的安全策略設置。在“策略設置”下拉菜單中，我們可以找到“掃描設置”、“反垃圾郵件”、“網(wǎng)址過濾”等與平時安全應用密切相關的各項應用配置選項，如圖3-11所示。

火龍果?整理 uml.org.cn 婁底職業(yè)技術學院網(wǎng)絡專業(yè)畢業(yè)設計

圖3-11 “策略設置”命令菜單

為宏錦企業(yè)網(wǎng)絡KV網(wǎng)絡版殺毒軟件配置“掃描設置”，掃描設置可對當前選擇的任意組或者任意節(jié)點的客戶端進行更加細化的掃描設置。宏錦企業(yè)可以自己設定適合于自己網(wǎng)絡環(huán)境的掃描方案，針對不同的策略對不同的客戶端進行分發(fā)不同的掃描命令?？梢韵掳l(fā)以下命令到節(jié)點計算機：掃描目標，定時掃描，分類掃描，不掃描文件夾，掃描報告，簡單而實用的設置頁大大的增加了網(wǎng)絡管理的易用性。其中掃描目標的設置界面如圖3-12所示。

圖3-12 掃描目標配置

火龍果?整理 uml.org.cn 婁底職業(yè)技術學院網(wǎng)絡專業(yè)畢業(yè)設計

第四章宏錦企業(yè)的網(wǎng)絡管理

4.1宏錦企業(yè)網(wǎng)絡管理的問題

（1）計算機軟、硬件數(shù)量無法確實掌握，盤點困難；（2）單位的計算機數(shù)量越來越多，無法集中管理；

（3）無法有效防止員工私裝軟件，造成非法版權使用威脅；（4）硬件設備私下挪用、竊取，造成財產(chǎn)損失；（5）使用者計算機IP隨易變更，造成故障頻傳；（6）軟件單機安裝浪費人力，應用軟件版本不易控制；（7）重要資料遭非法拷貝，資料外泄，無法監(jiān)督；（8）設備故障或資源不足，無法事先得到預警；

（9）應用軟件購買后，員工真正使用狀況如何，無從分析；居高不下的信息化資源成本，不知如何改善。

4.2 宏錦企業(yè)網(wǎng)絡管理實施

針對宏錦企業(yè)網(wǎng)絡的需求，給企業(yè)安裝SmartIPVIew管理軟件實現(xiàn)宏錦企業(yè)網(wǎng)絡對公司內(nèi)部的設備以及IP網(wǎng)絡資源管理。實施步驟安裝SmartIPVIew管理軟件，運行軟件添加宏錦企業(yè)的IP網(wǎng)段如圖4-1.火龍果?整理 uml.org.cn 婁底職業(yè)技術學院網(wǎng)絡專業(yè)畢業(yè)設計

圖4-1 添加企業(yè)IP網(wǎng)段

單擊確認，添加宏錦企業(yè)內(nèi)部IP網(wǎng)段便于企業(yè)管理企業(yè)內(nèi)部用戶。對宏錦企業(yè)網(wǎng)絡內(nèi)部設備的管理如下圖4-2所示。

圖4-2 添加網(wǎng)絡設備

如圖4-2添加宏錦企業(yè)的網(wǎng)絡設備，以實現(xiàn)企業(yè)對內(nèi)部網(wǎng)絡設備的監(jiān)控和方便管理能有效的提高辦公效率。

SmartIPVIew管理軟件獨創(chuàng)的IP地址資源管理技術，通過保護IP地址資源的安全使用，以及對IP地址資源的回收再利用，使有限的IP地址資源得到合理合法的使用，從而可以保證整個網(wǎng)絡資源的有效利用和安全。

火龍果?整理 uml.org.cn 婁底職業(yè)技術學院網(wǎng)絡專業(yè)畢業(yè)設計

總結

隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡安全逐漸成為一個潛在的巨大問題。網(wǎng)絡安全性是一個涉及面很廣泛的問題，其中也會涉及到是否構成犯罪行為的問題。在其最簡單的形式中，它主要關心的是確保無關人員不能讀取，更不能修改傳送給其他接收者的信息。此時，它關心的對象是那些無權使用，但卻試圖獲得遠程服務的人。安全性也處理合法消息被截獲和重播的問題，以及發(fā)送者是否曾發(fā)送過該條消息的問題。

本論文從企業(yè)角度描述了網(wǎng)絡安全的解決方案，目的在于為用戶提供信息的保密，認證和完整性保護機制，使網(wǎng)絡中的服務，數(shù)據(jù)以及系統(tǒng)免受侵擾和破壞。比如防火墻，認證，加密技術等都是當今常用的方法，本論文從這些方法入手深入研究各個方面的網(wǎng)絡安全問題的解決，可以使讀者有對網(wǎng)絡安全技術的更深刻的了解。

火龍果?整理 uml.org.cn 婁底職業(yè)技術學院網(wǎng)絡專業(yè)畢業(yè)設計

致謝

在這幾個多月的畢業(yè)設計中，我真誠的感謝老師的指導，在老師的幫助下我才順利的完成畢業(yè)設計。

做畢業(yè)實際就需要把平時學到的東西在復習一遍，因為平時上課還有課后自己的學習，都主要在基于理論方面的，雖然也做很多實驗，但當把畢業(yè)設計當作一個實際的工程來做的時候就會發(fā)現(xiàn)很多的問題，這就需要老師的指導了，特別是老師讓我們在實訓機房里面，直接就各個硬件進行操作，這樣我們就不會空談就會做的更深層次。

所以很感謝老師的幫助，讓我更好的將理論和實踐相結合，最后完成了此次畢業(yè)設計，同時也為以后工作做了很好的準備。

火龍果?整理 uml.org.cn 婁底職業(yè)技術學院網(wǎng)絡專業(yè)畢業(yè)設計

參考文獻

[ 1 ] 王達.網(wǎng)管員必讀—網(wǎng)絡安全.北京：機械工業(yè)出版社，2009． [ 2 ] 黃傳河.網(wǎng)絡規(guī)劃設計師教程.北京：機械工業(yè)出版社，2009． [ 3 ] 張千里，陳光英.網(wǎng)絡安全新技術.北京：人民郵電出版社，2003 [ 4 ] 王衛(wèi)紅，李曉明.計算機網(wǎng)絡與互聯(lián)網(wǎng).北京：機械工業(yè)出版社，2009． [ 5 ] 易建勛.計算機網(wǎng)絡技術.北京：人民郵電出版社，2007.[ 6 ] 揚衛(wèi)東.網(wǎng)絡系統(tǒng)集成與工程設計，2007.[ 7 ] 張千里，陳光英.網(wǎng)絡安全新技術.北京：人民郵電出版社，2003 [ 8 ] 徐超汗.計算機網(wǎng)絡安全實用技術，電子工業(yè)出版社，2005年3月 [ 9 ] 萬博公司技術部.網(wǎng)絡系統(tǒng)集成行業(yè)使用方案,海洋出版社，2006年 [10 ] 高永強，郭世澤.網(wǎng)絡安全技術與應用大典.北京：人民郵電出版社，2003

火龍果?整理 uml.org.cn

第四篇：XX校園網(wǎng)網(wǎng)絡安全解決方案

網(wǎng)絡安全課程設計

一、校園網(wǎng)概況

二、校園網(wǎng)安全需求分析

三、產(chǎn)品選型和網(wǎng)絡拓撲圖介紹

四、操作系統(tǒng)安全配置與測試

五、應用服務器（WWW）安全配置

六、防病毒體系設計

七、防火墻設計、配置與測試

一、校園網(wǎng)概況該校園網(wǎng)始建于2000年8月，至今已經(jīng)歷了四個主要發(fā)展階段，網(wǎng)絡覆蓋已遍及現(xiàn)有的教學辦公區(qū)和學生宿舍區(qū)。截止目前，校園網(wǎng)光纜鋪設約一萬二千米，信息點鋪設接近一萬，開設上網(wǎng)帳號8000多個，辦理學校免費郵箱2000左右。

校園網(wǎng)主干現(xiàn)為雙千兆環(huán)網(wǎng)結構。校園網(wǎng)接入均為千兆光纖到大樓，百兆交換到桌面，具有良好的網(wǎng)絡性能。

校園網(wǎng)現(xiàn)有三條寬帶出口并行接入Internet，500兆中國電信、100兆中國網(wǎng)通和100兆中國教育科研網(wǎng)，通過合理的路由策略，為校園網(wǎng)用戶提供了良好的出口帶寬。

校園網(wǎng)資源建設成效顯著，現(xiàn)有資源服務包括大學門戶網(wǎng)站、新聞網(wǎng)站、各學院和職能部門網(wǎng)站、安農(nóng)科技網(wǎng)站、郵件服務、電子校務、畢博輔助教學平臺、在線電視、VOD點播、音樂欣賞、公用FTP、文檔下載、軟件下載、知識園地、站點導航、在線幫助、系統(tǒng)補丁、網(wǎng)絡安全、個人主頁、計費服務、VPN、DHCP、域名服務等。還有外語學習的平臺，圖書館豐富的電子圖書資源，教務處的學分制教學信息服務網(wǎng)、科技處的科研管理平臺等。眾多的資源服務構成了校園網(wǎng)的資源子網(wǎng)，為廣大師生提供了良好的資源服務。

二、校園網(wǎng)安全需求分析

將安全策略、硬件及軟件等方法結合起來，構成一個統(tǒng)一的防御系統(tǒng)，有效阻止非法用戶進入網(wǎng)絡，減少網(wǎng)絡的安全風險。

定期進行漏洞掃描，審計跟蹤，及時發(fā)現(xiàn)問題，解決問題。

通過入侵檢測等方式實現(xiàn)實時安全監(jiān)控，提供快速響應故障的手段，同時具備很好的安全取證措施。

使網(wǎng)絡管理者能夠很快重新組織被破壞了的文件或應用。使系統(tǒng)重新恢復到破壞前的狀態(tài)，最大限度地減少損失。

在工作站、服務器上安裝相應的防病毒軟件，由中央控制臺統(tǒng)一控制和管理，實現(xiàn)全網(wǎng)統(tǒng)一防病毒。

通過對校園網(wǎng)網(wǎng)絡結構、應用及安全威脅分析，可以看出其安全問題主要集中在對服務器的安全保護、防黑客和病毒、重要網(wǎng)段的保護以及管理安全上。因此，我們必須采取相應的安全措施杜絕安全隱患，其中應該做到：

公開服務器的安全保護

防止黑客從外部攻擊

入侵檢測與監(jiān)控

信息審計與記錄

病毒防護

數(shù)據(jù)安全保護

數(shù)據(jù)備份與恢復

網(wǎng)絡的安全管理

針對這個企業(yè)局域網(wǎng)絡系統(tǒng)的實際情況，在系統(tǒng)考慮如何解決上述安全問題的設計時應滿足如下要求：

1.大幅度地提高系統(tǒng)的安全性（重點是可用性和可控性）；

2.保持網(wǎng)絡原有的能特點，即對網(wǎng)絡的協(xié)議和傳輸具有很好的透明性，能透明接入，無需更改網(wǎng)絡設置；

3.易于操作、維護，并便于自動化管理，而不增加或少增加附加操作；

4.盡量不影響原網(wǎng)絡拓撲結構，同時便于系統(tǒng)及系統(tǒng)功能的擴展；

5.安全保密系統(tǒng)具有較好的性能價格比，一次性投資，可以長期使用；

6.安全產(chǎn)品具有合法性，及經(jīng)過國家有關管理部門的認可或認證； 7.分布實施。

三、產(chǎn)品選型和網(wǎng)絡拓撲圖介紹

該校園網(wǎng)現(xiàn)行核心區(qū)選用銳捷核心交換機RG-S5750S系列，24端口10/100/1000M自適應端口（支持PoE遠程供電），12個復用的SFP接口，2個擴展槽。支持4K個802.1Q VLAN 支持Super VLAN、支持Protocol VLAN、支持Private VLAN、支持Voice VLAN(*)、支持基于MAC地址的VLAN(*)、支持QinQ、支持STP、RSTP、MSTP。

防火墻采用深信服M5400VPN防火墻。2個LAN口，4個WAN口，2個串口。IPSec VPN隧道數(shù)：5200 條/并發(fā)SSL用戶數(shù)：800 /每秒新建用戶數(shù)：80 /每秒新建會話數(shù)：500/最大并發(fā)會話數(shù)目：600,000。接入層采用H3C S1048交換機，提供48個符合IEEE802.3u標準的10/100M自適應以太網(wǎng)接口，所有端口均支持全線速無阻塞交換以及端口自動翻轉功能，外形采用19英寸標準機架設計。符合IEEE802.3、IEEE802.3u和IEEE802.3x標準；提供48個10/100M自適應以太網(wǎng)端口；每個端口都支持Auto-MDI/MDIX功能；每個端口都提供Speed和Link/Act指示燈，顯示端口的工作狀態(tài)。

校園網(wǎng)拓撲圖：

（四、五、）操作系統(tǒng)安全配置與測試，WWW配置與測試。

操作系統(tǒng)采用server 03，并在其上配置IIS、WWW、DHCP、DNS等。配置圖例如下：

然后建立網(wǎng)站文件夾目錄：

性能與目錄安全性配置：

可以通過IP地址和域名限制，創(chuàng)建虛擬文件目錄，更改端口號燈多種方法來提高WWW服務器的安全性。通過局域網(wǎng)網(wǎng)內(nèi)不同主機對服務器的訪問來測試配置情況。

六、防病毒體系設計

防病毒體系總體規(guī)劃：

防病毒系統(tǒng)不僅是檢測和清除病毒，還應加強對病毒的防護工作，在網(wǎng)絡中不僅要部署被動防御體系（防病毒系統(tǒng)）還要采用主動防御機制（防火墻、安全策略、漏洞修復等），將病毒隔離在網(wǎng)絡大門之外。通過管理控制臺統(tǒng)一部署防病毒系統(tǒng)，保證不出現(xiàn)防病毒漏洞。因此，遠程安裝、集中管理、統(tǒng)一防病毒策略成為企業(yè)級防病毒產(chǎn)品的重要需求。

在跨區(qū)域的廣域網(wǎng)內(nèi)，要保證整個廣域網(wǎng)安全無毒，首先要保證每一個局域網(wǎng)的安全無毒。也就是說，一個企業(yè)網(wǎng)的防病毒系統(tǒng)是建立在每個局域網(wǎng)的防病毒系統(tǒng)上的。應該根據(jù)每個局域網(wǎng)的防病毒要求，建立局域網(wǎng)防病毒控制系統(tǒng)，分別設置有針對性的防病毒策略。從總部到分支機構，由上到下，各個局域網(wǎng)的防病毒系統(tǒng)相結合，最終形成一個立體的、完整的病毒防護體系。

1.構建控管中心集中管理架構

保證網(wǎng)絡中的所有客戶端計算機、服務器可以從管理系統(tǒng)中及時得到更新，同時系統(tǒng)管理人員可以在任何時間、任何地點通過瀏覽器對整個防毒系統(tǒng)進行管理，使整個系統(tǒng)中任何一個節(jié)點都可以被系統(tǒng)管理人員隨時管理，保證整個防毒系統(tǒng)有效、及時地攔截病毒。2.構建全方位、多層次的防毒體系

結合企業(yè)實際網(wǎng)絡防毒需求，構建了多層次病毒防線，分別是網(wǎng)絡層防毒、郵件網(wǎng)關防毒、Web網(wǎng)關防毒、群件防毒、應用服務器防毒、客戶端防毒，保證斬斷病毒可以傳播、寄生的每一個節(jié)點，實現(xiàn)病毒的全面布控。3.構建高效的網(wǎng)關防毒子系統(tǒng)

網(wǎng)關防毒是最重要的一道防線，一方面消除外來郵件SMTP、POP3病毒的威脅，另一方面消除通過HTTP、FTP等應用的病毒風險，同時對郵件中的關鍵字、垃圾郵件進行阻擋，有效阻斷病毒最主要傳播途徑。

4.構建高效的網(wǎng)絡層防毒子系統(tǒng)

企業(yè)中網(wǎng)絡病毒的防范是最重要的防范工作，通過在網(wǎng)絡接口和重要安全區(qū)域部署網(wǎng)絡病毒系統(tǒng)，在網(wǎng)絡層全面消除外來病毒的威脅，使得網(wǎng)絡病毒不再肆意傳播，同時結合病毒所利用的傳播途徑，結合安全策略進行主動防御。

5.構建覆蓋病毒發(fā)作生命周期的控制體系當一個惡性病毒入侵時，防毒系統(tǒng)不僅僅使用病毒代碼來防范病毒，而是具備完善的預警機制、清除機制、修復機制來實現(xiàn)病毒的高效處理，特別是對利用系統(tǒng)漏洞、端口攻擊為手段癱瘓整個網(wǎng)絡的新型病毒具有很好的防護手段。防毒系統(tǒng)在病毒代碼到來之前，可以通過網(wǎng)關可疑信息過濾、端口屏蔽、共享控制、重要文件/文件夾寫保護等多種手段來對病毒進行有效控制，使得新病毒未進來的進不來、進來后又沒有擴散的途徑。在清除與修復階段又可以對發(fā)現(xiàn)的病毒高效清除，快速恢復系統(tǒng)至正常狀態(tài)。6.病毒防護能力

防病毒能力要強、產(chǎn)品穩(wěn)定、操作系統(tǒng)兼容性好、占用系統(tǒng)資源少、不影響應用程序的正常運行，減少誤報的幾率。7.系統(tǒng)服務

系統(tǒng)服務是整體防毒系統(tǒng)中極為重要的一環(huán)。防病毒體系建立起來之后，能否對病毒進行有效的防范，與病毒廠商能否提供及時、全面的服務有著極為重要的關系。這一方面要求軟件提供商要有全球化的防毒體系為基礎，另一方面也要求廠商能有精良的本地化技術人員作依托，不管是對系統(tǒng)使用中出現(xiàn)的問題，還是用戶發(fā)現(xiàn)的可疑文件，都能進行快速的分析和方案提供。如果有新病毒爆發(fā)及其它網(wǎng)絡安全事件，需要防病毒廠商具有較強的應急處理能力及售后服務保障，并且做出具體、詳細的應急處理機制計劃表和完善的售后服務保障體系。防病毒體系的管理功能：

防病毒系統(tǒng)能夠實現(xiàn)分級、分組管理，不同組及客戶端執(zhí)行不同病毒查殺策略，全網(wǎng)定時/定級查殺病毒、全網(wǎng)遠程查殺策略設置、遠程報警、移動式管理、集中式授權管理、全面監(jiān)控主流郵件服務器、全面監(jiān)控郵件客戶端、統(tǒng)一的管理界面，直接監(jiān)視和操縱服務器端/客戶端，根據(jù)實際需要，添加自定義任務（例如更新和掃描任務等），支持大型網(wǎng)絡統(tǒng)一管理的多級中心系統(tǒng)等多種復雜的管理功能。8.資源占用率防病毒系統(tǒng)進行實時監(jiān)控或多或少地要占用部分系統(tǒng)資源，這就不可避免地要帶來系統(tǒng)性能的降低。尤其是對郵件、網(wǎng)頁和FTP文件的監(jiān)控掃描，由于工作量相當大，因此對系統(tǒng)資源的占用較大。因此，防病毒系統(tǒng)占用系統(tǒng)資源要較低，不影響系統(tǒng)的正常運行。8.系統(tǒng)兼容性

防病毒系統(tǒng)要具備良好的兼容性，將支持以下操作系統(tǒng)：Windows NT、Windows2000、Windows 9X/Me、Windows XP/Vista、Windows 2000/2003 /2008 Server、Unix、Linux等X86和X64架構的操作系統(tǒng)。

9.病毒庫組件升級

防病毒系統(tǒng)提供多種升級方式以及自動分發(fā)的功能，支持多種網(wǎng)絡連接方式，具有升級方便、更新及時等特點，管理員可以十分輕松地按照預先設定的升級方式實現(xiàn)全網(wǎng)內(nèi)的統(tǒng)一升級，減少病毒庫增量升級對網(wǎng)絡資源的占用，并且采用均衡流量的策略，盡快將新版本部署到全部計算機上，時刻保證病毒庫都是最新的，且版本一致，杜絕因版本不一致而可能造成的安全漏洞和安全隱患。10.軟件商的企業(yè)實力

軟件商的實力一方面指它對現(xiàn)有產(chǎn)品的技術支持和服務能力，另一方面是指它的后續(xù)發(fā)展能力。因為企業(yè)級防毒軟件實際是用戶企業(yè)與防病毒廠商的長期合作，企業(yè)實力將會影響這種合作的持續(xù)性，從而影響到用戶企業(yè)在此方面的投入成本。

七、防火墻設計、配置

對于深信服M5400可以做以下方面的配置：

1、用戶與策略管理配置：

WEB、HTTP URL過濾：

郵件過濾：

網(wǎng)頁內(nèi)容審計：

認證方式：

第五篇：大型企業(yè)網(wǎng)絡安全解決方案畢業(yè)論文

XXXXXXXXXXXXXXX 畢業(yè) 論文

企業(yè)網(wǎng)絡安全解決方案

姓名：

學號：

指導老師：

系名：

專業(yè)：

班級：

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

摘

要

隨著社會的飛速發(fā)展，網(wǎng)絡技術的也在飛速的發(fā)展之中，現(xiàn)如今網(wǎng)絡已經(jīng)無所不在的影響著社會的政治、經(jīng)濟、文化、軍事、意識形態(tài)和社會生活等各個方面。同時在全球范圍內(nèi)，針對重要信息資源和網(wǎng)絡基礎設施的入侵行為和企圖入侵行為的數(shù)量仍然不斷增加，網(wǎng)絡攻擊與入侵行為對國家安全、經(jīng)濟和社會生活造成了極大的威脅。計算機病毒的不斷的通過網(wǎng)絡產(chǎn)生和傳播，計算機網(wǎng)絡被不斷地非法入侵，重要情報、資料被竊取，甚至造成網(wǎng)絡系統(tǒng)的癱瘓等等，諸如此類的事件已經(jīng)給政府以及企業(yè)造成了巨大的損失，甚至危害到國家的安全。網(wǎng)絡安全已經(jīng)成為世界各國當今共同關注的焦點，網(wǎng)絡安全的重要性是不言而喻的。

本文是構思了一個虛擬的企業(yè)網(wǎng)絡的設計，重點研究了公司不同分部之間通過VPN技術來實現(xiàn)在廣域網(wǎng)中的加密連接。以及詳細的設計了總公司的網(wǎng)絡安全策略，保證了內(nèi)部服務器等的信息安全，按照需求對企業(yè)網(wǎng)絡安全進行了系統(tǒng)的規(guī)劃，對計算機網(wǎng)絡安全進行了全面的分析。在滿足了各個子網(wǎng)連通的前提下，提出了包括AAA認證、SSH登陸、Easy VPN、訪問控制限制、NAT技術、入侵檢測部署、病毒防護、掃描系統(tǒng)管理措施和安全技術在內(nèi)的整套方案。目的是建設一個完整的、安全的網(wǎng)絡體系，是網(wǎng)絡安全系統(tǒng)真正獲得較好的效果。關鍵詞：網(wǎng)絡，安全，VPN，防火墻，防病毒

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

Abstract

With the rapid development of society and also the rapid development of network technology, is now the network has been the ubiquitous influence of society in all aspects of political, economic, cultural, military, ideological and social life.Worldwide for the intrusion and the number of attempted intrusions of the important information resources and network infrastructure is still growing, network attacks and intrusions caused a grave threat to national security, economic and social life.Computer virus continues through the network and dissemination, computer networks are the illegal invasion, important information, data theft, and even cause paralysis of the network system, such events have caused huge losses to the government and enterprises, and even harm to national security.Network security has become the focus of attention today in the world, the importance of network security is self-evident.This article is the idea of a virtual enterprise network design, focusing on the encrypted connection between the different segments of the company through VPN technology to achieve WAN.And detailed design of the network security policy of the Corporation to ensure the internal server, such as information security, in accordance with the needs of enterprise network security planning of the system, conducted a comprehensive analysis of computer network security.Satisfy the premise that each subnet connectivity, including the AAA authentication, SSH login to the Easy VPN, access control restrictions, the NAT technology, intrusion detection deployment, virus protection, scanning system management measures and security technologies, including the package.The purpose is to build a complete, secure network architecture, network security systems really get better results.Keywords: network, security, VPN, firewall, anti-virus

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

摘

要............................................................................................................................................................I 第一章緒

論...............................................................................................................................................1 1.1 網(wǎng)絡的起源......................................................................................................................................1 1.2網(wǎng)絡安全的重要性...........................................................................................................................1 第二章企業(yè)網(wǎng)絡安全概述...........................................................................................................................3 2.1 企業(yè)網(wǎng)絡的主要安全隱患............................................................................................................3 2.2 企業(yè)網(wǎng)絡的安全誤區(qū)....................................................................................................................3 第三章

企業(yè)網(wǎng)絡總體設計方案.................................................................................................................5 3.1 公司背景..........................................................................................................................................5 3.2 企業(yè)網(wǎng)絡安全需求..........................................................................................................................5 3.3 需求分析..........................................................................................................................................5 3.4 企業(yè)網(wǎng)絡結構..................................................................................................................................6 3.5 企業(yè)IP地址的劃分........................................................................................................................9 第四章企業(yè)網(wǎng)絡安全技術介紹...................................................................................................................9 4.1 Easy VPN..........................................................................................................................................9 4.1.1 什么是VPN..........................................................................................................................9 4.1.2 VPN 的分類........................................................................................................................10 4.1.3 Easy VPN.............................................................................................................................10 4.2 SSH.................................................................................................................................................11 4.2.1 SSH介紹..............................................................................................................................11 4.2.2 SSH與Telnet的區(qū)別..........................................................................................................11 4.3 AAA服務器...................................................................................................................................12 4.3.1 AAA介紹............................................................................................................................12 4.3.2 認證(Authentication)...........................................................................................................12 4.3.3 授權(Authorization)............................................................................................................12 4.3.4 審計(Accounting)................................................................................................................13 4.4 IDS 入侵檢測系統(tǒng).....................................................................................................................13 4.5 firewall 防火墻...........................................................................................................................13 4.5.1 什么是防火墻.....................................................................................................................13 4.5.2 防火墻類型.........................................................................................................................14 第五章企業(yè)網(wǎng)絡設備實施方案.................................................................................................................14 5.1 企業(yè)物理安全規(guī)劃......................................................................................................................14 5.2 設備選型........................................................................................................................................15 5.3 設備配置........................................................................................................................................16 5.3.1 交換機.................................................................................................................................16 5.3.2 路由器與防火墻.................................................................................................................25 5.3.3 服務器.................................................................................................................................28 第六章項目測試.........................................................................................................................................30 6.1 DHCP驗證.....................................................................................................................................32 6.2 網(wǎng)絡連通性....................................................................................................................................35 6.3 網(wǎng)絡安全性....................................................................................................................................37 6.3.1 SSH與console的權限.......................................................................................................37 6.3.2 網(wǎng)絡連通安全性.................................................................................................................40 6.4 分公司與總公司安全性................................................................................................................42 總

結...........................................................................................................................................................45 致

謝...........................................................................................................................................................46 參考文獻.......................................................................................................................................................47

III

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

第一章緒

論

1.1 網(wǎng)絡的起源

與很多人的想象相反，Internet并非某一完美計劃的結果，Internet的創(chuàng)始人也絕不會想到它能發(fā)展成目前的規(guī)模和影響。在Internet面世之初，沒有人能想到它會進入千家萬戶，也沒有人能想到它的商業(yè)用途。

1969年12月，Internet的前身--美國的ARPA網(wǎng)（為了能在爆發(fā)核戰(zhàn)爭時保障通信聯(lián)絡，美國國防部高級研究計劃署ARPA資助建立了世界上第一個分組交換試驗網(wǎng)ARPANET）投入運行，它標志著我們常稱的計算機網(wǎng)絡的興起。這個計算機互聯(lián)的網(wǎng)絡系統(tǒng)是一種分組交換網(wǎng)。分組交換技術使計算機網(wǎng)絡的概念、結構和網(wǎng)絡設計方面都發(fā)生了根本性的變化，它為后來的計算機網(wǎng)絡打下了基礎。

八十年代初，隨著PC個人微機應用的推廣，PC聯(lián)網(wǎng)的需求也隨之增大，各種基于PC互聯(lián)的微機局域網(wǎng)紛紛出臺。這個時期微機局域網(wǎng)系統(tǒng)的典型結構是在共享介質通信網(wǎng)平臺上的共享文件服務器結構，即為所有聯(lián)網(wǎng)PC設置一臺專用的可共享的網(wǎng)絡文件服務器。PC是一臺“麻雀雖小，五臟俱全”的小計算機，每個PC機用戶的主要任務仍在自己的PC機上運行，僅在需要訪問共享磁盤文件時才通過網(wǎng)絡訪問文件服務器，體現(xiàn)了計算機網(wǎng)絡中各計算機之間的協(xié)同工作。由于使用了較PSTN速率高得多的同軸電纜（費用少，傳輸距離100米）、光纖等高速傳輸介質，使PC網(wǎng)上訪問共享資源的速率和效率大大提高。這種基于文件服務器的微機網(wǎng)絡對網(wǎng)內(nèi)計算機進行了分工：PC機面向用戶，微機服務器專用于提供共享文件資源。所以它實際上就是一種客戶機/服務器模式。

進入九十年代，計算機技術、通信技術以及建立在計算機和網(wǎng)絡技術基礎上的計算機網(wǎng)絡技術得到了迅猛的發(fā)展。特別是1993年美國宣布建立國家信息基礎設施NII后，全世界許多國家紛紛制定和建立本國的NII，從而極大地推動了計算機網(wǎng)絡技術的發(fā)展，使計算機網(wǎng)絡進入了一個嶄新的階段。目前，全球以美國為核心的高速計算機互聯(lián)網(wǎng)絡即Internet已經(jīng)形成，Internet已經(jīng)成為人類最重要的、最大的知識寶庫。而美國政府又分別于1996年和1997年開始研究發(fā)展更加快速可靠的互聯(lián)網(wǎng)2（Internet 2）和下一代互聯(lián)網(wǎng)（Next Generation Internet）?？梢哉f，網(wǎng)絡互聯(lián)和高速計算機網(wǎng)絡正成為最新一代的計算機網(wǎng)絡的發(fā)展方向。

1.2網(wǎng)絡安全的重要性

隨著信息化技術的飛速發(fā)展，許多有遠見的企業(yè)都認識到依托先進的IT技術構建企業(yè)自身的業(yè)務和運營平臺將極大地提升企業(yè)的核心競爭力，使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。經(jīng)營管理對

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

計算機應用系統(tǒng)的依賴性增強，計算機應用系統(tǒng)對網(wǎng)絡的依賴性增強。計算機網(wǎng)絡規(guī)模不斷擴大，網(wǎng)絡結構日益復雜。計算機網(wǎng)絡和計算機應用系統(tǒng)的正常運行對網(wǎng)絡安全提出了更高的要求。信息安全防范應做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對網(wǎng)絡、系統(tǒng)、應用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個動態(tài)的過程，事前、事中和事后的技術手段應當完備，安全管理應貫穿安全防范活動的始終。

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

第二章企業(yè)網(wǎng)絡安全概述

2.1 企業(yè)網(wǎng)絡的主要安全隱患

現(xiàn)在網(wǎng)絡安全系統(tǒng)所要防范的不再僅是病毒感染，更多的是基于網(wǎng)絡的非法入侵、攻擊和訪問，由于企業(yè)在各地可能有不同公司，但是公司之間信息通過廣域網(wǎng)相連，所以信息很容易被黑客等截下?，F(xiàn)如今企業(yè)網(wǎng)絡安全威脅的主要來源主要包括。

1)病毒、木馬和惡意軟件的入侵。2)網(wǎng)絡黑客的攻擊。

3)重要文件或郵件的非法竊取、訪問與操作。4)關鍵部門的非法訪問和敏感信息外泄。5)外網(wǎng)的非法入侵。

6)備份數(shù)據(jù)和存儲媒體的損壞、丟失。

針對這些安全隱患，所采取的安全策略可以通過安裝專業(yè)的網(wǎng)絡版病毒防護系統(tǒng)，同時也要加強內(nèi)部網(wǎng)絡的安全管理，配置好防火墻過濾策略和系統(tǒng)本身的各項安全措施，及時安裝系統(tǒng)安全補丁，本部與分部之間運行VPN等防護通信信息的安全性，加強內(nèi)部網(wǎng)絡的安全管理，嚴格實行“最小權限”原則，為各個用戶配置好恰當?shù)挠脩魴嘞?；同時對一些敏感數(shù)據(jù)進行加密保護，如財政部等要設立訪問權限；根據(jù)企業(yè)實際需要配置好相應的數(shù)據(jù)策略，并按策略認真執(zhí)行。

2.2 企業(yè)網(wǎng)絡的安全誤區(qū)

(一)安裝防火墻就安全了

(二)安裝了最新的殺毒軟件就不怕病毒了

(三)在每臺計算機上安裝單機版殺毒軟件和網(wǎng)絡版殺毒軟件等效

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

(四)只要不上網(wǎng)就不會中毒

(五)文件設置只讀就可以避免感染病毒

(六)網(wǎng)絡安全主要來自外部

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

第三章

企業(yè)網(wǎng)絡總體設計方案

3.1 公司背景

公司北京總部有一棟大樓，員工人數(shù)大約800人，在全國設有4個分公司（上海、廣州、重慶和西安）?？偛颗c分公司利用當?shù)氐腎SP連接。通過網(wǎng)絡安全方案設計，加固企業(yè)網(wǎng)絡，避免因為安全問題導致的業(yè)務停滯；同時保證總部與分公司之間高安全、低成本的要求。公司對網(wǎng)絡的依賴性很強，主要業(yè)務都要涉及互聯(lián)網(wǎng)以及內(nèi)部網(wǎng)絡。面對對頻繁出現(xiàn)的黑客入侵和網(wǎng)絡故障，直接危害網(wǎng)絡的運行和業(yè)務的正常開展。因此構建健全的網(wǎng)絡安全體系是當前的重中之重。

3.2 企業(yè)網(wǎng)絡安全需求

公司根據(jù)網(wǎng)絡需求，建設一個企業(yè)網(wǎng)絡，北京總部存儲主要機密信息在服務器中，有AAA服務器、內(nèi)部DNS服務器、FTP服務器、HTTP服務器。企業(yè)分經(jīng)理辦公室、財政部、市場部、軟件部、系統(tǒng)集成部以及外來接待廳，需要各部門隔開，同時除了經(jīng)理辦公室外其余不能訪問財政部，而接待廳不能訪問公司內(nèi)部網(wǎng)絡，只能連通外網(wǎng)。同時由于考慮到Inteneter的安全性，以及網(wǎng)絡安全等一些因素，如VPN、NAT等。因此本企業(yè)的網(wǎng)絡安全構架要求如下：

（1）根據(jù)公司需求組建網(wǎng)絡（2）保證網(wǎng)絡的連通性（3）保護網(wǎng)絡信息的安全性

（4）防范網(wǎng)絡資源的非法訪問及非授權訪問（5）防范入侵者的惡意攻擊與破壞

（6）保護企業(yè)本部與分部之間通信信息的完整與安全性（7）防范病毒的侵害（8）實現(xiàn)網(wǎng)絡的安全管理。

3.3 需求分析

通過對公司的實際需求來規(guī)劃網(wǎng)絡設計，為公司的網(wǎng)絡安全建設實施網(wǎng)絡系統(tǒng)改造，提高企業(yè)網(wǎng)絡系統(tǒng)運行的穩(wěn)定性，保證企業(yè)各種設計信息的安全性，避免圖紙、文檔的丟失和外泄。通過軟件或安全手段對客戶端的計算機加以保護，記錄用戶對客戶端計算機中關鍵目錄和文件的操作，使企業(yè)有手段對用戶在客戶端計算機的使用情況進行追蹤，防范外來計算機的侵入而造成破壞。通過

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

網(wǎng)絡的改造，使管理者更加便于對網(wǎng)絡中的服務器、客戶端、登陸用戶的權限以及應用軟件的安裝進行全面的監(jiān)控和管理。因此需要

（1）構建良好的環(huán)境確保企業(yè)物理設備的安全（2）IP地址域的劃分與管理（3）劃分VLAN控制內(nèi)網(wǎng)安全（4）安裝防火墻體系

（5）建立VPN(虛擬專用網(wǎng)絡)確保數(shù)據(jù)安全（6）安裝防病毒服務器（7）加強企業(yè)對網(wǎng)絡資源的管理（8）做好訪問控制權限配置（9）做好對網(wǎng)絡設備訪問的權限

3.4 企業(yè)網(wǎng)絡結構

北京總公司網(wǎng)絡拓撲圖，如圖2-1所示:

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

服務器群IDS入侵檢測經(jīng)理辦公室匯聚交換機核心交換機接入交換機財務部匯聚交換機匯聚交換機防火墻接入交換機接入交換機接入交換機軟件部市場部系統(tǒng)集成部接待部

圖2-1 北京總部網(wǎng)絡結構

分公司網(wǎng)絡拓撲,如圖2.2所示：

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

上海分公司廣州分公司重慶分公司西安分公司Internet廣域網(wǎng)Web服務器

圖2-2 公司分部網(wǎng)絡結構

圖2.1與2.2通過防火墻相連，防火墻上做NAT轉換，Easy VPN等。核心交換機配置基于VLAN的DHCP，網(wǎng)絡設備僅僅只能由網(wǎng)絡管理員進行遠程控制，就算是Console控制也需要特定的密碼，外部分公司通過VPN連接能夠訪問北京總公司內(nèi)部網(wǎng)絡，北京總公司內(nèi)網(wǎng)中，接待廳網(wǎng)絡設備僅僅能訪問外部網(wǎng)絡，無法訪問公司內(nèi)網(wǎng)。

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

3.5 企業(yè)IP地址的劃分

由于是現(xiàn)實中，公網(wǎng)IP地址需要向ISP運行商申請，而本解決方案是虛擬題，故公網(wǎng)IP為虛擬的，由于現(xiàn)如今IPv4地址及其短缺，而IPv6技術還不是很成熟，所以公司內(nèi)部使用私有地址網(wǎng)段，本著節(jié)省地址的原則，北京公司內(nèi)部一共有800左右終端，所以由192.168.0.0/22網(wǎng)絡段劃分。由于本課題重點為總公司內(nèi)部網(wǎng)絡安全，以及總公司與分公司之間連通性的網(wǎng)絡安全，所以分公司內(nèi)部沒有詳細化，所以分公司地址一律192.168.1.1/24網(wǎng)段，ip地址分配為一下：

總公司總網(wǎng)段：192.168.0.0/22

名稱 VLAN ID IPv4地址段網(wǎng)關地址

經(jīng)理辦公室 10 192.168.3.192/26 192.168.3.193 財政部 20 192.168.3.128/26 192.168.3.129 軟件部 30 192.168.0.0/24 192.168.0.1 市場部 40 192.168.1.0/24 192.168.1.1 系統(tǒng)集成中心 50 192.168.2.0/24 192.168.2.1 參觀中心 60 192.168.3.0/25 192.168.3.1 網(wǎng)管中心 99 192.168.3.240/30 192.168.3.241 服務器集群 100 192.168.3.224/28 192.168.3.225 核心與路由器無 192.168.3.244/30 路由器與防火墻無 192.168.3.248/29 其他分公司 1 192.168.1.0/24 192.168.1.1

第四章企業(yè)網(wǎng)絡安全技術介紹

4.1 Easy VPN 4.1.1 什么是VPN 虛擬專用網(wǎng)絡（Virtual Private Network，簡稱VPN)指的是在公用網(wǎng)絡上建立專用網(wǎng)絡的技術。其之所以稱為虛擬網(wǎng)，主要是因為整個VPN網(wǎng)絡的任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是架構在公用網(wǎng)絡服務商所提供的網(wǎng)絡平臺，如Internet、ATM(異步傳

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

輸模式〉、Frame Relay（幀中繼）等之上的邏輯網(wǎng)絡，用戶數(shù)據(jù)在邏輯鏈路中傳輸。它涵蓋了跨共享網(wǎng)絡或公共網(wǎng)絡的封裝、加密和身份驗證鏈接的專用網(wǎng)絡的擴展。VPN主要采用了隧道技術、加解密技術、密鑰管理技術和使用者與設備身份認證技術。

4.1.2 VPN 的分類

根據(jù)不同的劃分標準，VPN可以按幾個標準進行分類劃分

1.按VPN的協(xié)議分類 VPN的隧道協(xié)議主要有三種，PPTP，L2TP和IPSec，其中PPTP和L2TP協(xié)議工作在OSI模型的第二層，又稱為二層隧道協(xié)議；IPSec是第三層隧道協(xié)議，也是最常見的協(xié)議。L2TP和IPSec配合使用是目前性能最好，應用最廣泛的一種。

2.按VPN的應用分類

1)Access VPN（遠程接入VPN）：客戶端到網(wǎng)關，使用公網(wǎng)作為骨干網(wǎng)在設備之間傳輸VPN的數(shù)據(jù)流量。從PSTN、ISDN或PLMN接入。

2)Intranet VPN（內(nèi)聯(lián)網(wǎng)VPN）：網(wǎng)關到網(wǎng)關，通過公司的網(wǎng)絡架構連接來自同公司的資源。

3)Extranet VPN（外聯(lián)網(wǎng)VPN）：與合作伙伴企業(yè)網(wǎng)構成Extranet,將一個公司與另一個公司的資源進行連接

3.按所用的設備類型進行分類

網(wǎng)絡設備提供商針對不同客戶的需求，開發(fā)出不同的VPN網(wǎng)絡設備，主要為交換機，路由器，和防火墻

1）路由器式VPN：路由器式VPN部署較容易，只要在路由器上添加VPN服務即可只支持簡單的PPTP或IPSEC。

2）交換機式VPN：主要應用于連接用戶較少的VPN網(wǎng)絡

3）防火墻式VPN：防火墻式VPN是最常見的一種VPN的實現(xiàn)方式，許多廠商都提供這種配置類型

4.1.3 Easy VPN easy VPN又名EzVPN，是Cisco專用VPN技術。它分為EASY VPN SERVER和EASY VPN REMOTE兩種，EASY VPN SERVER 是REMOT--ACCESS VPN專業(yè)設備。配置復雜，支持POLICY PUSHING等特性，此技術基于IPsec協(xié)議為基礎，擴展的的cisco私有協(xié)議，支持遠程登錄，并且根據(jù)自己的AAA的服務器去認證其可靠性，如認證通過，會為訪問者分配自己內(nèi)部IP地址，保證其訪問內(nèi)部信息。在Easy VPN連接成功后，對于ISP運行商來說總公司與分公司數(shù)據(jù)的傳輸是透明的，就像拉了一根專線一樣，通過抓包等方式捕獲數(shù)據(jù)包會發(fā)現(xiàn)全為ESP數(shù)據(jù)，無法從數(shù)據(jù)包中獲得任何信息，由于其加密方式為HASH速算，根據(jù)其雪崩效應想通過加密包算出真是數(shù)據(jù)的可能性幾乎為0，所以數(shù)據(jù)的傳輸上的安全性被大大地保證了。

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

4.2 SSH 4.2.1 SSH介紹

SSH 為 Secure Shell 的縮寫，由 IETF 的網(wǎng)絡工作小組（Network Working Group）所制定；SSH 為建立在應用層和傳輸層基礎上的安全協(xié)議。

SSH 主要有三部分組成：

1）傳輸層協(xié)議 [SSH-TRANS]

提供了服務器認證，保密性及完整性。此外它有時還提供壓縮功能。SSH-TRANS 通常運行在 TCP/IP連接上，也可能用于其它可靠數(shù)據(jù)流上。SSH-TRANS 提供了強力的加密技術、密碼主機認證及完整性保護。該協(xié)議中的認證基于主機，并且該協(xié)議不執(zhí)行用戶認證。更高層的用戶認證協(xié)議可以設計為在此協(xié)議之上。

2）用戶認證協(xié)議 [SSH-USERAUTH]

用于向服務器提供客戶端用戶鑒別功能。它運行在傳輸層協(xié)議 SSH-TRANS 上面。當SSH-USERAUTH 開始后，它從低層協(xié)議那里接收會話標識符（從第一次密鑰交換中的交換哈希H）。會話標識符唯一標識此會話并且適用于標記以證明私鑰的所有權。SSH-USERAUTH 也需要知道低層協(xié)議是否提供保密性保護。

3）連接協(xié)議 [SSH-CONNECT]

4.2.2 SSH與Telnet的區(qū)別

傳統(tǒng)的網(wǎng)絡服務程序，如：ftp、pop和telnet在本質上都是不安全的，因為它們在網(wǎng)絡上用明文傳送口令和數(shù)據(jù)，別有用心的人非常容易就可以截獲這些口令和數(shù)據(jù)。而且，這些服務程序的安全驗證方式也是有其弱點的，就是很容易受到“中間人”（man-in-the-middle）這種方式的攻擊。所謂“中間人”的攻擊方式，就是“中間人”冒充真正的服務器接收你傳給服務器的數(shù)據(jù)，然后再冒充你把數(shù)據(jù)傳給真正的服務器。服務器和你之間的數(shù)據(jù)傳送被“中間人”一轉手做了手腳之后，就會出現(xiàn)很嚴重的問題。

SSH是替代Telnet和其他遠程控制臺管理應用程序的行業(yè)標準。SSH命令是加密的并以幾種方式進行保密。

在使用SSH的時候，一個數(shù)字證書將認證客戶端(你的工作站)和服務器(你的網(wǎng)絡設備)之間的連接，并加密受保護的口令。SSH1使用RSA加密密鑰，SSH2使用數(shù)字簽名算法(DSA)密鑰保護連接和認證。加密算法包括Blowfish，數(shù)據(jù)加密標準(DES)，以及三重DES(3DES)。SSH保護并且有助于防止欺騙，“中間人”攻擊，以及數(shù)據(jù)包監(jiān)聽。

通過使用SSH，你可以把所有傳輸?shù)臄?shù)據(jù)進行加密，這樣“中間人”這種攻擊方式就不可能實現(xiàn)了，而且也能夠防止DNS欺騙和IP欺騙。使用SSH，還有一個額外的好處就是傳輸?shù)臄?shù)據(jù)是經(jīng)過壓縮的，所以可以加快傳輸?shù)乃俣取SH有很多功能，它既可以代替Telnet，又可以為FTP、PoP、甚至為PPP提供一個安全的“通道”。

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

4.3 AAA服務器

4.3.1 AAA介紹

AAA是認證、授權和記賬（Authentication、Authorization、Accounting）三個英文單詞的簡稱。其主要目的是管理哪些用戶可以訪問網(wǎng)絡服務器，具有訪問權的用戶可以得到哪些服務，如何對正在使用網(wǎng)絡資源的用戶進行記賬。具體為：

1、認證(Authentication): 驗證用戶是否可以獲得訪問權限；

2、授權(Authorization): 授權用戶可以使用哪些服務；

3、審計(Accounting): 記錄用戶使用網(wǎng)絡資源的情況。

4.3.2 認證(Authentication)認證負責在用戶訪問網(wǎng)絡或網(wǎng)絡服務器以前，對用戶進行認證。

如需配置AAA認證，管理員可以創(chuàng)建一個命名的認證列表，然后把這個列表應用到各種接口上。這個方法列表可以定義所要執(zhí)行的認證類型和他們的順序。管理員需要基于每個接口來應用這些方法。然而，當管理員沒有定義其他認證方法是，cisco路由器和交換機上的所有接口都關聯(lián)了一個默認的方法列表，名為Default。但管理員定義的方法列表會覆蓋默認方法列表。

除了本地認證、線路密碼的Enable認證以外，其他所有的認證方法都需要使用AAA。

4.3.3 授權(Authorization)授權為遠程訪問控制提供了方法。這里所說的遠程訪問控制包括一次性授權，或者基于每個用戶賬號列表或用戶組為每個服務進行授權。

交換機或路由器上的AAA授權是通過連接一個通用的集中式數(shù)據(jù)庫，并訪問其中的一系列屬性來工作的，這些說性描述了網(wǎng)絡用戶的授權服務，比如訪問網(wǎng)絡中的不同部分。交換機或路由器會向服務器詢問用戶真實的能力和限制，集中式服務器向其返回授權結果，告知用戶所能夠使用的服務。這個數(shù)據(jù)庫通常是位于中心位置的服務器，比如RADIUS或者TACACS+安全服務器。但管理員也可以使用本地數(shù)據(jù)庫。遠程安全服務器（比如RADIUS和TACACS+）通過把用戶與相應的AVP（屬性值對）相關聯(lián)，來收與用戶具體的權限。RADIUS和TACACS+把這些AVP配置應用給用戶或者用戶組。每個AVP由一個類型識別符和一個或多個分配給它的值組成。AVP在用戶配置文件（User Profile）和組配置文件（Group Profile）中指定的AVP，為相應的用戶和組定義了認證和授權特性。

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

4.3.4 審計(Accounting)審計為收集和發(fā)送安全服務器信息提供了方法，這些信息可以用于計費（billing）、查賬（auditing）和報告（reporting）。這類信息包括用戶身份、網(wǎng)絡訪問開始和結束的時間、執(zhí)行過的命令（比如PPP）、數(shù)據(jù)包的數(shù)量和字節(jié)數(shù)量。這些信息是交換機和路由器能夠檢測登錄的用戶，從而對于查賬和增強安全性有很大幫助。

在很多環(huán)境中，AAA都會使用多種協(xié)議來管理其安全功能，比如RADIUS、TACACS+或者802.1x。如果網(wǎng)絡中的交換機充當網(wǎng)絡接入服務器角色，那么AAA就是網(wǎng)絡訪問服務器與RADIUS、TACACS+或者802.1x安全服務器之間建立連接的方法。

AAA是動態(tài)配置的，它允許管理員基于每條線路（每個用戶）或者每個服務（比如IP、IPX或VPDN[虛擬私有撥號網(wǎng)絡]）來配置認證和授權。管理員先要創(chuàng)建方法列表，然后把這些方法列表應用到指定的服務或接口上，以針對每條線路或每個用戶進行運作。

4.4 IDS 入侵檢測系統(tǒng)

由于Cisco packet Tracer 5.3無法模擬IDS設備，又由于IDS在實際企業(yè)網(wǎng)絡中作用很大，所以在拓撲圖中將其設計進去，在這里做一些基本介紹。

IDS是英文“Intrusion Detection Systems”的縮寫，中文意思是“入侵檢測系統(tǒng)”。專業(yè)上講就是依照一定的安全策略，通過軟、硬件，對網(wǎng)絡、系統(tǒng)的運行狀況進行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結果，以保證網(wǎng)絡系統(tǒng)資源的機密性、完整性和可用性。做一個形象的比喻：假如防火墻是一幢大樓的門鎖，那么IDS就是這幢大樓里的監(jiān)視系統(tǒng)。一旦小偷爬窗進入大樓，或內(nèi)部人員有越界行為，只有實時監(jiān)視系統(tǒng)才能發(fā)現(xiàn)情況并發(fā)出警告。

入侵檢測可分為實時入侵檢測和事后入侵檢測兩種。

實時入侵檢測在網(wǎng)絡連接過程中進行，系統(tǒng)根據(jù)用戶的歷史行為模型、存儲在計算機中的專家知識以及神經(jīng)網(wǎng)絡模型對用戶當前的操作進行判斷，一旦發(fā)現(xiàn)入侵跡象立即斷開入侵者與主機的連接，并收集證據(jù)和實施數(shù)據(jù)恢復。這個檢測過程是不斷循環(huán)進行的。

事后入侵檢測則是由具有網(wǎng)絡安全專業(yè)知識的網(wǎng)絡管理人員來進行的，是管理員定期或不定期進行的，不具有實時性，因此防御入侵的能力不如實時入侵檢測系統(tǒng)。

4.5 firewall 防火墻

4.5.1 什么是防火墻

所謂防火墻指的是一個由軟件和硬件設備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構造的保護屏障.是一種獲取安全性方法的形象說法，它是一種計算機硬件和軟件的結合，使Internet與Intranet之間建立起一個安全網(wǎng)關（Security Gateway），從而保護內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務訪問規(guī)則、驗證工具、包過濾和應用網(wǎng)關4個部分組成，防火墻就是一個位于計算機和它所連接的網(wǎng)絡之間的軟件或硬件。該計算機流入流出的所有網(wǎng)絡通信和數(shù)據(jù)包均要經(jīng)過此防火墻。

在網(wǎng)絡中，所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如Internet)分開的方法，它實際

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

上是一種隔離技術。防火墻是在兩個網(wǎng)絡通訊時執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數(shù)據(jù)進入你的網(wǎng)絡，同時將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡中的黑客來訪問你的網(wǎng)絡。換句話說，如果不通過防火墻，公司內(nèi)部的人就無法訪問Internet，Internet上的人也無法和公司內(nèi)部的人進行通信。

4.5.2 防火墻類型

主要有2中，網(wǎng)絡防火墻和應用防火墻。

1）網(wǎng)絡層防火墻

網(wǎng)絡層防火墻可視為一種 IP 封包過濾器，運作在底層的 TCP/IP 協(xié)議堆棧上。我們可以以枚舉的方式，只允許符合特定規(guī)則的封包通過，其余的一概禁止穿越防火墻（病毒除外，防火墻不能防止病毒侵入）。這些規(guī)則通?？梢越?jīng)由管理員定義或修改，不過某些防火墻設備可能只能套用內(nèi)置的規(guī)則。

我們也能以另一種較寬松的角度來制定防火墻規(guī)則，只要封包不符合任何一項“否定規(guī)則”就予以放行?，F(xiàn)在的操作系統(tǒng)及網(wǎng)絡設備大多已內(nèi)置防火墻功能。

較新的防火墻能利用封包的多樣屬性來進行過濾，例如：來源 IP 地址、來源端口號、目的 IP 地址或端口號、服務類型(如 004km.cn hostname SWc!enable password cisco！ip dhcp excluded-address 192.168.0.1 DHCPip dhcp excluded-address 192.168.3.129 ip dhcp excluded-address 192.168.3.1 ip dhcp excluded-address 192.168.1.1 ip dhcp excluded-address 192.168.2.1 ip dhcp excluded-address 192.168.3.193!ip dhcp pool vlan30 network 192.168.0.0 255.255.255.0 default-router 192.168.0.1 dns-server 192.168.3.227 DNSip dhcp pool vlan40 network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 dns-server 192.168.3.227 ip dhcp pool vlan50 network 192.168.2.0 255.255.255.0 default-router 192.168.2.1 dns-server 192.168.3.227 ip dhcp pool vlan10

設置交換機域名，與SSH驗證有關用戶登入特權模式密碼在分配時排除該IP地址這些地址為網(wǎng)段的網(wǎng)關地址開啟一個DHCP地址池分配的網(wǎng)絡段默認網(wǎng)關IP地址地址 21

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

network 192.168.3.192 255.255.255.224 default-router 192.168.3.193 dns-server 192.168.3.227 ip dhcp pool vlan60 network 192.168.3.0 255.255.255.128 default-router 192.168.3.1 dns-server 192.168.3.227 ip dhcp pool vlan20 network 192.168.3.128 255.255.255.192 default-router 192.168.3.129 dns-server 192.168.3.227 ip routing 開啟路由功能，這條很重，不然無法啟動路由協(xié)議等！username beijiangong password 0 cisco 設置遠程登錄時用戶名與密碼！interface FastEthernet0/1 switchport access vlan 100 switchport mode access!interface FastEthernet0/2 switchport trunk encapsulation dot1q 配置trunk的封裝格式 switchport mode trunk!interface FastEthernet0/3 switchport trunk encapsulation dot1q switchport mode trunk!interface FastEthernet0/4 switchport trunk encapsulation dot1q switchport mode trunk!interface FastEthernet0/5 no switchport 啟動3層接口

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

ip address 192.168.3.245 255.255.255.252 duplex auto 自動協(xié)商雙工 speed auto 自動協(xié)商速率!interface FastEthernet0/6 switchport access vlan 99！interface Vlan1 no ip address shutdown!interface Vlan10 ip address 192.168.3.193 255.255.255.224!interface Vlan20 ip address 192.168.3.129 255.255.255.192 ip access-group 20 out 在此接口的出方向啟動acl 20!interface Vlan30 ip address 192.168.0.1 255.255.255.0!interface Vlan40 ip address 192.168.1.1 255.255.255.0!interface Vlan50 ip address 192.168.2.1 255.255.255.0!interface Vlan60 ip address 192.168.3.1 255.255.255.128 ip access-group 101 out 在此接口的出方向啟動acl 101!interface Vlan99

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

ip address 192.168.3.241 255.255.255.252!interface Vlan100 ip address 192.168.3.230 255.255.255.240!router ospf 10 啟動OSPF 進程號為10 router-id 1.1.1.1 為本設備配置ID標示符 log-adjacency-changes 開啟系統(tǒng)日志關于ospf變化 network 192.168.3.245 0.0.0.0 area 0 宣告網(wǎng)絡，與其區(qū)域 network 192.168.3.193 0.0.0.0 area 1 network 192.168.3.129 0.0.0.0 area 1 network 192.168.0.1 0.0.0.0 area 2 network 192.168.1.1 0.0.0.0 area 2 network 192.168.2.1 0.0.0.0 area 3 network 192.168.3.1 0.0.0.0 area 3 network 192.168.3.230 0.0.0.0 area 4 network 192.168.3.241 0.0.0.0 area 5!ip classless！access-list 10 permit host 192.168.3.242 acl 10 允許該主機地址 access-list 20 deny 192.168.0.0 0.0.0.255 acl 20 拒絕該網(wǎng)段 access-list 20 deny 192.168.1.0 0.0.0.255 access-list 20 deny 192.168.2.0 0.0.0.255 access-list 20 deny 192.168.3.0 0.0.0.255 access-list 101 deny ip 192.168.3.0 0.0.0.127 192.168.0.0 0.0.3.255（擴展acl 101 拒絕該網(wǎng)段的ip協(xié)議去訪問192.168.0.0/22網(wǎng)段）access-list 101 permit ip any any 允許所有ip協(xié)議的任何源目訪問!crypto key generate rsa 設置SSH的加密算法為rsa（隱藏命令，在show run中看不到！!

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

line con 0 password cisco 設置console密碼

line vty 0 4 進入vty接口默認登入人數(shù)為5 access-class 10 in 在該接口入方向啟動acl 10 password cisco 密碼為cisco login local 登入方式為本地認證 transport input ssh 更改登錄方式為SSH！end 5.3.2 路由器與防火墻

R1： hostname r1!enable password cisco！username beijiangong password 0 cisco!interface FastEthernet0/0 ip address 192.168.3.246 255.255.255.252 duplex auto speed auto!interface FastEthernet0/1 ip address 192.168.3.249 255.255.255.248 duplex auto speed auto!router ospf 10 router-id 2.2.2.2 log-adjacency-changes network 192.168.3.246 0.0.0.0 area 0

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

network 192.168.3.249 0.0.0.0 area 6!ip classless！access-list 10 permit host 192.168.3.242!no cdp run!line con 0 password cisco line vty 0 4 access-class 10 in password cisco login local！!end Firewall: hostname ASA!enable password cisco!aaa new-model 開啟AAA功能!aaa authentication login eza group radius 啟動認證登錄組名為eza分類為radius!

aaa authorization network ezo group radius啟動授權組名為eza分類為radius!username beijiangong password 0 cisco!crypto isakmp policy 10 設置加密密鑰策略 encr 3des 啟動3重加密算法 hash md5 啟動MD5認證 authentication pre-share 認證方式為共享 group 2 優(yōu)先級組別為2!crypto isakmp client configuration group myez 設置密鑰客戶端等級組 key 123 為等級組設置密碼

pool ez 為客戶分配內(nèi)部IP地址池!

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

crypto ipsec transform-set tim esp-3des esp-md5-hmac 傳輸隧道封裝類型!crypto dynamic-map ezmap 10 進入隧道封裝策略模式

set transform-set tim 調用上面設置的封裝組tim reverse-route 開啟vpn的反向路由!crypto map tom client authentication list eza 加密組tom的客戶認證調用上面的eza組

crypto map tom isakmp authorization list ezo 加密組tom的密鑰授權管理方式調用上面的eza組

crypto map tom client configuration address respond 加密組tom為客戶分配IP地址

crypto map tom 10 ipsec-isakmp dynamic ezmap 加密組tom調用隧道加密格式名稱為ezmap!interface FastEthernet0/0 ip address 192.168.3.250 255.255.255.248 ip nat inside duplex auto speed auto!interface FastEthernet0/1 no ip address duplex auto speed auto shutdown!interface Serial0/2/0 ip address 100.1.1.1 255.255.255.0 ip nat outside crypto map tom!interface Serial0/3/0 no ip address shutdown!interface Vlan1 no ip address shutdown!router ospf 10 router-id 3.3.3.3 log-adjacency-changes network 192.168.3.250 0.0.0.0 area 6 default-information originate 向其他ospf鄰居宣告默認路由!ip local pool ez 192.168.3.251 192.168.3.254 配置VPN登入進來后分配的IP地址池

ip nat inside source list 1 interface Serial0/2/0 overload 設置動態(tài)NAT將acl 1的地址轉化為s0/2/0并多路復用 ip classless ip route 0.0.0.0 0.0.0.0 Serial0/2/0 默認路由都走s0/2/0

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

！access-list 1 permit 192.168.0.0 0.0.3.255 access-list 10 permit host 192.168.3.242!no cdp run 關閉鄰居發(fā)現(xiàn)協(xié)議！radius-server host 192.168.3.225 auth-port 1645 key 123 指定AAA服務器地址與Easy VPN 端口號以及對應密鑰!line con 0 password cisco login line vty 0 4 access-class 10 in password cisco login local!End

5.3.3 服務器

AAA服務器配置：

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

HTTP服務器：

DNS服務器：

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

第六章項目測試

Packet Tracer 模擬器實驗拓撲圖

所有設備的用戶名為：beijiangong 密碼：cisco

VPN 登錄配置：組名：beijiangong Key:123 服務器IP：100.1.1.1 用戶名：123 密碼：123

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

北京總公司圖A

分公司以及ISP網(wǎng)絡圖B

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

6.1 DHCP驗證

北京總公司內(nèi)網(wǎng)所有設備都是通過DHCP獲取的IP地址，但是不同VLAN所獲得的IP地址段是不同的，驗證其在不同VLAN下是否獲得正確的IP地址、網(wǎng)關、掩碼和DNS。

1）經(jīng)理辦公室 VLAN 10 配置方法，首先在Packet Tracer下，點擊相應的PC，如圖6-1-1

圖6-1-1 點擊左上角第一欄，ip Configuration 進入IP地址配置畫面如圖6-1-2

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

IP地址配置畫面圖6-1-2

點擊DHCP，獲取IP地址，等待1-2S后查看結果如圖6-1-3

圖6-1-3 根據(jù)提示可以看出獲得了正確的IP地址。

2）財政部 VLAN 20 如圖6-1-4

圖6-1-4

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

3）軟件部 VLAN 30 如圖6-1-5

圖6-1-5 4）市場部 VLAN 40 如圖 6-1-6

圖6-1-6 5）系統(tǒng)集成部 VLAN 50 如圖6-1-7

圖6-1-7

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

6)參觀中心 VLAN 60 如圖 6-1-8

圖6-1-8

6.2 網(wǎng)絡連通性

建立好網(wǎng)絡后，最重要的一點就是網(wǎng)絡連通性，根據(jù)公司需求，內(nèi)部計算機獲得自己IP地址，自己的DNS服務器與網(wǎng)關，那應該可以去訪問外網(wǎng)服務器，以達到訪問公網(wǎng)的目的。

1）隨便開啟一臺PC機，如經(jīng)理辦公室PC 圖6-2-1

圖6-2-1 點擊Command prompt 進入其電腦的CMD命令格式

圖6-2-2

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

圖6-2-2

輸入ping 命令，在虛擬網(wǎng)絡中，如圖Ａ運行商IP地址為100.1.1.2 所以先ping運行商網(wǎng)關。在命令行中輸入ping 100.1.1.2，可能第一個包會因為ARP的關系而丟失，但是后續(xù)會很穩(wěn)定。如圖6-2-3

圖6-2-3

2）檢查網(wǎng)絡內(nèi)部DNS的正確性

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

打開PC機瀏覽器，如下圖所示6-2-4

圖6-2-4 如圖B所示，在公網(wǎng)中，有一個百度的服務器，域名為004km.cn 通過瀏覽器訪問百度看是否成功。如圖6-2-5

圖6-2-5 如圖所示，訪問成功，表示公司內(nèi)部網(wǎng)絡連通性已經(jīng)保證暢通。

6.3 網(wǎng)絡安全性

在保證了連通性的基礎上，驗證其安全性

6.3.1 SSH 與console的權限

在設備安裝完畢后，公司內(nèi)部不可能派專門的保安去看護，所以網(wǎng)絡設備的安全就需要有所保證，不能讓人們輕易的進入其配置模式，輕易的去更改配置，所以要設置用戶名密碼。如圖6-3-1所示，一臺PC需要console核心交換機

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

圖6-3-1 如圖6-2-7所示，需要點擊下圖所示單元進入console連接模式

圖6-3-2 選好會話數(shù)，速率等基本參數(shù)后點擊OK連接設備的控制臺如圖6-3-3

圖6-3-3

發(fā)現(xiàn)需要輸入用戶名密碼，否側無法進入控制界面，輸入用戶名密碼后進入用戶模式，進入特權模式需要輸入特權密碼，輸入正確用戶名密碼后才能進入。如圖6-3-4

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

圖6-3-4

當然console的限制很大，有監(jiān)控設備，與機柜鎖，能夠最大限度的保證其安全性，所以console的安全性問題不是很大，而telnet 的控制起來就需要用策略來限制了。

如果想telnet設備需要知道其設備上的IP地址，而本公司DHCP中的網(wǎng)關地址基本都是在核心上，所以設備上的IP地址基本誰都知道，而核心設備僅僅需要網(wǎng)絡管理員去管理，所以加了acl去選擇telnet 的對象。而在加密方面我選擇了SSH而不是非加密的Telnet.如圖所示，僅有網(wǎng)絡管理員才能ssh設備，其他員工無法ssh設備。這是管理員ssh的效果，輸入正確的用戶名密碼后，進入其配置界面。如圖6-3-5

圖6-2-10 這是其他設備ssh的效果，無論嘗試幾個設備上的地址都被拒絕了，這樣就能保證設備控制的安全性。雖然能夠訪問其地址，但是無法取得其TCP端口號22的訪問權如圖6-3-6

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

圖6-3-6

6.3.2 網(wǎng)絡連通安全性

在一個公司內(nèi)部，雖然大家共享上網(wǎng)資源，但是各部門之間的資料還是有一些機密的，特別是財政部，一個公司財政信息都是很機密的，所以不希望其他公司內(nèi)部Pc能夠連通到此部門，所以也要通過acl去限制，去隔離一些區(qū)域。

財政部IP 192.168.3.130 軟件部IP 192.168.0.2 市場部IP 192.168.1.2

正常情況下，三個部門是可以正常ping通的，但是財政部的安全性，所以其他2個部門無法訪問財政部，但是可以互相訪問。

如圖6-3-7所示，軟件部無法訪問財政部，但是可以訪問市場部

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

圖6-3-7 這樣就保證了財政部的獨立性，保證了其安全，由于公司內(nèi)部需要有客人訪問，而客人往往需要上網(wǎng)，所以需要控制其上網(wǎng)行為，如果有惡意行為，盜取公司其他部門資料，那也會造成嚴重的損失，所以，要保證其在公司參觀中心上網(wǎng)，只能訪問外網(wǎng)，不能訪問公司內(nèi)部其他主機。

如圖6-3-8所示，參觀中心的終端能夠訪問外網(wǎng)百度服務器，但是無法訪問內(nèi)部市場部PC設備。

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

圖6-3-8

6.4 分公司與總公司安全性

由于分公司之間通過ISP與總公司通信，所以數(shù)據(jù)通信需要安全性，在這里我選擇了EASY VPN，由于各分公司內(nèi)部全部使用私網(wǎng)地址，所以無法與總公司內(nèi)部通信，因為私網(wǎng)地址無法宣告到公網(wǎng)中，而通過easy vpn連接后，本部通過給客戶分配總公司自己的私網(wǎng)地址，使其能夠訪問公司內(nèi)部，而通信過程中數(shù)據(jù)時加密的，無法竊取，保證了其安全性。

如圖6-4-1連接easy vpn首先要在客戶端PC打開VPN連接。

圖6-4-1 在這里設置好用戶組、用戶名、總公司的公網(wǎng)地址以及密碼后連接VPN 如圖6-4-2

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

圖6-4-2 連接后需要等2-3秒，即連接成功，而且顯示被分配的IP地址如圖6-4-3

圖6-4-3

進行Ping命令就可以訪問北京總部的內(nèi)網(wǎng)地址終端了。如圖6-4-4

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

圖6-4-4 這樣網(wǎng)絡的安全性就得到了很大的提升。

XXXXXXXXXX計算機專業(yè)畢業(yè)設計

總

結

在本方案設計之初，我對網(wǎng)絡安全的理解還是很淺，包括到了現(xiàn)在我對它的還是只有一點點的認知，但是通過這次設計，讓我對網(wǎng)絡安全產(chǎn)生了很濃厚的興趣，很高興能夠選到這個課題，但這只是一次虛擬題，希望以后有機會在工作中能夠得到真實的項目去完成網(wǎng)絡安全的設計方案，但是，路還很長，需要學習的知識還很多，但是有興趣才是王道。

欧美色欧美亚洲高清在线观看,国产特黄特色a级在线视频,国产一区视频一区欧美,亚洲成a 人在线观看中文

中小企業(yè)網(wǎng)絡安全解決方案五篇范文

第一篇：中小企業(yè)網(wǎng)絡安全解決方案

第二篇：電子政務網(wǎng)絡安全解決方案

第三篇：企業(yè)網(wǎng)絡安全解決方案畢業(yè)論文

第四篇：XX校園網(wǎng)網(wǎng)絡安全解決方案

第五篇：大型企業(yè)網(wǎng)絡安全解決方案畢業(yè)論文

相關范文推薦

中小企業(yè)網(wǎng)絡安全應用研究報告

中小企業(yè)數(shù)據(jù)安全解決方案

中小企業(yè)網(wǎng)絡解決方案（精選5篇）

中小企業(yè)解決方案講解詞

中小企業(yè)電子商務物流解決方案（定稿）

銀行外聯(lián)網(wǎng)絡安全解決方案全攻略（大全）

政府網(wǎng)絡安全方案和企業(yè)網(wǎng)絡安全解決方案（大全）

IPS-IDS網(wǎng)絡安全解決方案—具有參考價值