第一篇：IPS-IDS網(wǎng)絡(luò)安全解決方案—具有參考價(jià)值

目錄

目錄........................................................................................................................1 1.信息安全介紹.....................................................................................................4 何為信息安全？....................................................................................................4 信息安全意義........................................................................................................4 1.1 信息安全原理.................................................................................................5

1.1.1 系統(tǒng)生命周期.............................................................................5 1.1.2 3S安全體系.................................................................................6 1.1.3 關(guān)注資產(chǎn)的安全風(fēng)險(xiǎn).................................................................7 1.1.4 統(tǒng)一管理.....................................................................................7 1.1.5 安全 = 管理 + 技術(shù)................................................................8

1.2 計(jì)算機(jī)系統(tǒng)安全問(wèn)題.....................................................................................8

1.2.1 從計(jì)算機(jī)系統(tǒng)的發(fā)展看安全問(wèn)題............................................9 1.2.2 從計(jì)算機(jī)系統(tǒng)的特點(diǎn)看安全問(wèn)題..............................................9

2.物理安全...........................................................................................................10 2.1 設(shè)備的安全...................................................................................................10 3.訪問(wèn)控制...........................................................................................................14 3.1訪問(wèn)控制的業(yè)務(wù)需求....................................................................................14 3.2用戶訪問(wèn)的管理............................................................................................15 3.3用戶責(zé)任........................................................................................................17 3.4網(wǎng)絡(luò)訪問(wèn)控制................................................................................................19 3.5操作系統(tǒng)的訪問(wèn)控制....................................................................................23

3.6應(yīng)用系統(tǒng)的訪問(wèn)控制....................................................................................27 3.7系統(tǒng)訪問(wèn)和使用的監(jiān)控................................................................................28 3.8移動(dòng)操作及遠(yuǎn)程辦公....................................................................................30 4.網(wǎng)絡(luò)與通信安全...............................................................................................32

4.1網(wǎng)絡(luò)中面臨的威脅................................................................................32 5.系統(tǒng)安全設(shè)計(jì)方案...........................................................................................43 5.1系統(tǒng)安全設(shè)計(jì)原則........................................................................................43 5.2建設(shè)目標(biāo)........................................................................................................44 5.3總體方案........................................................................................................45 5.4總體設(shè)計(jì)思想................................................................................................46

5.4.1內(nèi)網(wǎng)設(shè)計(jì)原則.............................................................................46 5.4.2有步驟、分階段實(shí)現(xiàn)安全建設(shè).................................................47 5.4.3完整的安全生命周期.................................................................48

5.5 網(wǎng)絡(luò)區(qū)域劃分與安全隱患.....................................................................48

6.0網(wǎng)絡(luò)安全部署................................................................................................48

保護(hù)目標(biāo)..............................................................................................48 威脅來(lái)源..............................................................................................48 安全策略..............................................................................................49

6.1防火墻系統(tǒng)....................................................................................................50

6.1.1 防火墻系統(tǒng)的設(shè)計(jì)思想...........................................................50 6.1.2 防火墻的目的............................................................................51 6.1.3 防火墻的控制能力....................................................................52

6.1.4 防火墻特征................................................................................52 6.1.5 第四代防火墻的抗攻擊能力....................................................54 6.1.6 防火墻產(chǎn)品的選型與推薦........................................................55

6.2 入侵檢測(cè)系統(tǒng).........................................................................................60 6.2.1 什么是入侵檢測(cè)系統(tǒng)...............................................................60 6.2.2 如何選擇合適的入侵檢測(cè)系統(tǒng)...............................................61 6.2.3 IDS的實(shí)現(xiàn)方式-----網(wǎng)絡(luò)IDS..................................................61 6.2.4 IDS的實(shí)現(xiàn)方式-----主機(jī)IDS..................................................62 6.2.5 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的主要優(yōu)點(diǎn)有：...........................63 6.2.6 入侵檢測(cè)系統(tǒng)的設(shè)計(jì)思想.......................................................64 6.2.7 入侵檢測(cè)產(chǎn)品的選型與推薦...................................................65

6.3 漏洞掃描系統(tǒng).........................................................................................70 6.3.1 漏洞掃描系統(tǒng)產(chǎn)品選型與推薦...............................................71 6.3.2 漏洞掃描系統(tǒng)的部署方案.......................................................72

6.4 網(wǎng)絡(luò)信息監(jiān)控與取證系統(tǒng).....................................................................73 6.4.1 網(wǎng)絡(luò)信息監(jiān)控與取證系統(tǒng)產(chǎn)品的選型與推薦.......................73 6.4.2 網(wǎng)絡(luò)信息監(jiān)控與取證系統(tǒng)的部署方案...................................76

6.5 內(nèi)部安全管理系統(tǒng)（防水墻系統(tǒng)）.....................................................78 6.5.1 內(nèi)部安全管理系統(tǒng)產(chǎn)品選型與推薦.......................................79 6.5.2 內(nèi)部安全管理系統(tǒng)的部署方案...............................................85

6.6 其他計(jì)算機(jī)系統(tǒng)安全產(chǎn)品介紹.............................................................86 6.6.1 天鏡系—漏洞掃描...................................................................86

6.6.2 數(shù)據(jù)庫(kù)審計(jì)系統(tǒng).......................................................................89 6.6.3 iGuard網(wǎng)頁(yè)防篡改系統(tǒng)............................................................93 6.6.4 防垃圾郵件網(wǎng)關(guān).......................................................................99 6.6.5 集中安全管理平臺(tái) GSMDesktop 7.1...................................106 6.6.6 中軟運(yùn)行管理系統(tǒng)2.0R2......................................................110

1.信息安全介紹

何為信息安全？

信息安全的作用是保護(hù)信息不受大范圍威脅所干擾，使機(jī)構(gòu)業(yè)務(wù)能夠暢順，減少損失及提供最大的投資回報(bào)和商機(jī)。

信息可以有多種存在方式，可以寫在紙上、儲(chǔ)存在電子文檔里，也可以用郵遞或電子手段發(fā)送，可以在電影上放映或者說(shuō)話中提到。無(wú)論信息以何種方式表示、共享和存儲(chǔ)，都應(yīng)當(dāng)適當(dāng)?shù)乇Ｗo(hù)起來(lái)。

因此信息安全的特征包括如下特性：

? 保密性(confidentiality)：保證信息只讓合法用戶訪問(wèn)；

? 完整性(integrity)：保障信息及其處理方法的準(zhǔn)確性（accuracy）、完全性（completeness）；

? 可用性(availability)：保證合法用戶在需要時(shí)可以訪問(wèn)到信息及相關(guān)資產(chǎn)。

實(shí)現(xiàn)信息安全要有一套合適的控制（controls），如策略（policies）、慣例(practices)、程序(procedures)、組織的機(jī)構(gòu)(organizational structures)和軟件功能(software functions)。這些控制需要被建立以保證機(jī)構(gòu)的安全目標(biāo)能夠最終實(shí)現(xiàn)。

信息安全意義

信息及其支持進(jìn)程、系統(tǒng)和網(wǎng)絡(luò)是機(jī)構(gòu)的重要資產(chǎn)。信息的保密性、完整性和可用性對(duì)機(jī)構(gòu)保持競(jìng)爭(zhēng)能力、現(xiàn)金流、利潤(rùn)、守法及商業(yè)形象至關(guān)重要。

但機(jī)構(gòu)及其信息系統(tǒng)和網(wǎng)絡(luò)也越來(lái)越要面對(duì)來(lái)自四面八方的威脅，如計(jì)算機(jī)輔助的詐騙、間諜、破壞、火災(zāi)及水災(zāi)等。損失的來(lái)源如計(jì)算機(jī)病毒、計(jì)算機(jī)黑客及拒絕服務(wù)攻擊等手段變得更普遍、大膽和復(fù)雜。

機(jī)構(gòu)對(duì)信息系統(tǒng)及服務(wù)的依賴意味著更容易受到攻擊。公網(wǎng)和專網(wǎng)的互聯(lián)以及信息資源的共享增加了訪問(wèn)控制的難度。分布式計(jì)算的趨勢(shì)已經(jīng)削弱了集中管理的效果。

很多信息系統(tǒng)沒(méi)有設(shè)計(jì)得很安全。利用技術(shù)手段獲得的安全是受限制的，因而還應(yīng)該得到相應(yīng)管理和程序的支持。選擇使用那些安全控制需要事前小心周密計(jì)劃和對(duì)細(xì)節(jié)的關(guān)注。信息安全管理至少需要機(jī)構(gòu)全體員工的參與，同時(shí)也應(yīng)讓供應(yīng)商、客戶或股東參與，如果有必要，可以向外界尋求專家的建議。

對(duì)信息安全的控制如果融合到需求分析和系統(tǒng)設(shè)計(jì)階段，則效果會(huì)更好，成本也更便宜。

1.1 信息安全原理

絕對(duì)安全與可靠的信息系統(tǒng)并不存在。一個(gè)所謂的安全系統(tǒng)實(shí)際上應(yīng)該是“使入侵者花費(fèi)不可接受的時(shí)間與金錢，并且承受很高的風(fēng)險(xiǎn)才能闖入”系統(tǒng)。安全性的增加通常導(dǎo)致企業(yè)費(fèi)用的增長(zhǎng)，這些費(fèi)用包括系統(tǒng)性能下降、系統(tǒng)復(fù)雜性增加、系統(tǒng)可用性降低和操作與維護(hù)成本增加等等。安全是一個(gè)過(guò)程而不是目的。弱點(diǎn)與威脅隨時(shí)間變化。安全的努力依賴于許多因素，例如職員的調(diào)整、新業(yè)務(wù)應(yīng)用的實(shí)施、新攻擊技術(shù)與工具的導(dǎo)入和安全漏洞。

1.1.1 系統(tǒng)生命周期

系統(tǒng)生命周期通常由以下階段組成：概念與需求定義、系統(tǒng)功能設(shè)計(jì)、系統(tǒng)開(kāi)發(fā)與獲取、系統(tǒng)實(shí)現(xiàn)與測(cè)試、系統(tǒng)的持久操作支持和最終系統(tǒng)處理。在過(guò)去的幾年里，實(shí)現(xiàn)系統(tǒng)生命周期支持的途徑已經(jīng)轉(zhuǎn)變，以適應(yīng)將安全組成部分和安全過(guò)程綜合到系統(tǒng)工程過(guò)程中的需要。與系統(tǒng)生命周期相對(duì)應(yīng)，安全生命周期由以

下幾個(gè)階段構(gòu)成：安全概念和需求定義、安全機(jī)制設(shè)計(jì)、安全集成與實(shí)現(xiàn)、安全管理解決方案和安全風(fēng)險(xiǎn)分析。

涉及到任何功能和系統(tǒng)級(jí)別的需求，通過(guò)理解安全需求、參加安全產(chǎn)品評(píng)估并最終在工程設(shè)計(jì)和實(shí)現(xiàn)系統(tǒng)等方式，應(yīng)該在生命周期過(guò)程的早期便提出安全問(wèn)題。近年來(lái)發(fā)現(xiàn)，在系統(tǒng)開(kāi)發(fā)之后實(shí)現(xiàn)系統(tǒng)安全非常困難，而且已經(jīng)有了不少教訓(xùn)。因此，必須在發(fā)掘需求和定義系統(tǒng)時(shí)便考慮安全需求。為了在系統(tǒng)工程過(guò)程中有效地集成安全方法與控制，設(shè)計(jì)者與開(kāi)發(fā)者應(yīng)該調(diào)整現(xiàn)有的過(guò)程模型，以產(chǎn)生一個(gè)交互的系統(tǒng)開(kāi)發(fā)生命周期。該周期更關(guān)注使系統(tǒng)獲得安全性的安全控制和保護(hù)機(jī)制。

1.1.2 3S安全體系

3S安全體系由三部分組成：安全解決方案（Security Solution）、安全應(yīng)用（Security Application）和安全服務(wù)（Security Service）。這三部分又都以客戶價(jià)值為中心。

安全解決方案（Security Solution）包括安全解決方案的設(shè)計(jì)與實(shí)施，安全產(chǎn)品選型與系統(tǒng)集成。安全應(yīng)用（Security Application）包括根據(jù)用戶的實(shí)際應(yīng)用環(huán)境，為用戶定制應(yīng)用安全系統(tǒng)。安全服務(wù)（Security Service）則貫穿了整個(gè)安全建設(shè)的始終，從最初的安全風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)管理，幫助用戶制定信息安全管理系統(tǒng)，系統(tǒng)安全加固，緊急安全響應(yīng)，到安全項(xiàng)目實(shí)施后的安全培訓(xùn)教育。

附圖1.3S安全體系

1.1.3 關(guān)注資產(chǎn)的安全風(fēng)險(xiǎn)

安全技術(shù)涉及到方方面面的問(wèn)題。對(duì)各種系統(tǒng)和設(shè)備的安全管理必然是一個(gè)復(fù)雜的、高負(fù)荷的工作。在若干的安全事件中，我們關(guān)注的是那些針對(duì)關(guān)鍵資產(chǎn)的安全漏洞發(fā)起的攻擊，這些攻擊才會(huì)對(duì)資產(chǎn)形成威脅。因此，對(duì)于企業(yè)資產(chǎn)和資產(chǎn)風(fēng)險(xiǎn)的管理應(yīng)該是整個(gè)安全管理的第一步，即通過(guò)對(duì)這些資產(chǎn)的安全評(píng)估，了解資產(chǎn)安全狀況的水準(zhǔn)。這些工作是其他安全保護(hù)技術(shù)的基礎(chǔ)，也是有效管理企業(yè)IT安全的基石。

安全弱點(diǎn)管理平臺(tái)可以智能發(fā)現(xiàn)關(guān)鍵IT業(yè)務(wù)資產(chǎn)和經(jīng)營(yíng)這些資產(chǎn)的技術(shù)（操作系統(tǒng)、應(yīng)用程序、硬件版本等等），將其與確認(rèn)的弱點(diǎn)進(jìn)行對(duì)比，并提供包含逐步修補(bǔ)指導(dǎo)說(shuō)明的基于風(fēng)險(xiǎn)的弱點(diǎn)管理任務(wù)列表，指導(dǎo)IT管理員合理及時(shí)處理安全弱點(diǎn)，從而顯著地降低風(fēng)險(xiǎn)。

安全對(duì)抗平臺(tái)對(duì)關(guān)鍵網(wǎng)段進(jìn)行監(jiān)視，并且可以隨時(shí)準(zhǔn)備轉(zhuǎn)移到安全事件的突發(fā)區(qū)，進(jìn)行事件分析，幫助管理員和專家抵抗、反擊攻擊者。在安全事件發(fā)生后，可以重建安全事件過(guò)程、恢復(fù)關(guān)鍵數(shù)據(jù)，能夠極大地提高系統(tǒng)的生存能力，并且起到威懾攻擊者的目的。

1.1.4 統(tǒng)一管理

安全事件不是獨(dú)立的、偶然的。一次成功的攻擊事件，必然會(huì)在網(wǎng)絡(luò)的相關(guān)設(shè)備和系統(tǒng)中有所反應(yīng)。不論是人為發(fā)起的攻擊，還是來(lái)自病毒的攻擊行為，都可以從防火墻、路由器、交換機(jī)、入侵檢測(cè)和主機(jī)系統(tǒng)中獲取相關(guān)的證據(jù)。攻擊的證據(jù)零散地分布在這些系統(tǒng)中，如果能夠有效地、智能地加以整合，我們就可以清晰地了解到整個(gè)安全事件的過(guò)程，幫助管理員更好地管理信息系統(tǒng)的安全。

來(lái)自管理方面的需求也迫切地需要一個(gè)安全統(tǒng)一管理平臺(tái)。從廣義的角度來(lái)看，網(wǎng)絡(luò)設(shè)備應(yīng)該也屬于網(wǎng)絡(luò)安全的一部分。在一個(gè)大型的網(wǎng)絡(luò)中，對(duì)于分布在不同網(wǎng)段、不同地理位臵的網(wǎng)絡(luò)設(shè)備、安全設(shè)備的管理會(huì)消耗管理員大量的精力。而安全系統(tǒng)往往會(huì)部署在異構(gòu)平臺(tái)上，對(duì)于這些異構(gòu)平臺(tái)的掌握、對(duì)于安全系統(tǒng) 的掌握也會(huì)浪費(fèi)管理員的時(shí)間和精力。

安全統(tǒng)一管理自動(dòng)整合來(lái)自運(yùn)行路由器、交換機(jī)、入侵檢測(cè)、防病毒、防火墻等安全產(chǎn)品的事件數(shù)據(jù)，同時(shí)通過(guò)其客戶端以及SAPI有效收集第三方安全檢測(cè)產(chǎn)品產(chǎn)生的安全事件數(shù)據(jù)，并將其存儲(chǔ)在中心數(shù)據(jù)庫(kù)中以便方便地進(jìn)行訪問(wèn)和編寫報(bào)表。管理員使用安全統(tǒng)一管理平臺(tái)管理、監(jiān)視、報(bào)警和報(bào)告跨平臺(tái)的用戶活動(dòng)信息。有了這些信息，系統(tǒng)管理員將可以在出現(xiàn)可能對(duì)關(guān)鍵電子商務(wù)系統(tǒng)造成負(fù)面影響的襲擊和問(wèn)題之前，立即做出反應(yīng)。

1.1.5 安全 = 管理 + 技術(shù)

信息和支持進(jìn)程、系統(tǒng)以及網(wǎng)絡(luò)都是重要的業(yè)務(wù)資產(chǎn)。為保證企業(yè)富有競(jìng)爭(zhēng)力，保持現(xiàn)金流順暢和組織贏利，以及遵紀(jì)守法和維護(hù)組織的良好商業(yè)形象，信息的保密性、完整性和可用性是至關(guān)重要的。很多信息系統(tǒng)在設(shè)計(jì)時(shí)，沒(méi)有考慮到安全問(wèn)題。通過(guò)技術(shù)手段獲得安全保障十分有限，必須輔之以相應(yīng)的管理手段和操作程序才能得到真正的安全保障。確定需要使用什么控制措施需要周密計(jì)劃，并對(duì)細(xì)節(jié)問(wèn)題加以注意。

作為信息安全管理的最基本要求，企業(yè)內(nèi)所有的雇員都應(yīng)參與信息安全管理。信息安全管理還需要供應(yīng)商、客戶或股東的參與。也需要參考來(lái)自組織之外的專家的建議。

如果在制定安全需求規(guī)范和設(shè)計(jì)階段時(shí)就考慮到了信息安全的控制措施，那么信息安全控制的成本會(huì)很低，并更有效率。

1.2 計(jì)算機(jī)系統(tǒng)安全問(wèn)題

目前，計(jì)算機(jī)系統(tǒng)和信息安全問(wèn)題是IT業(yè)最為關(guān)心和關(guān)注的焦點(diǎn)之一。據(jù)ICSA統(tǒng)計(jì)，有11％的安全問(wèn)題導(dǎo)致網(wǎng)絡(luò)數(shù)據(jù)被破壞，14％導(dǎo)致數(shù)據(jù)失密，15％的攻擊來(lái)自系統(tǒng)外部，來(lái)自系統(tǒng)內(nèi)部的安全威脅高達(dá)60％。由于受到內(nèi)部心懷不滿的職工安放的程序炸彈侵害，Omega Engineering公司蒙受了價(jià)值300萬(wàn)美元的銷售收入和合同損失，由于受到來(lái)自網(wǎng)絡(luò)的侵襲，Citibank銀行被竊了1000萬(wàn)美元，后來(lái)他們雖然追回了750萬(wàn)美元損失，但卻因此失去了7％的重要客戶，其聲譽(yù)受到了沉重打擊。這只是人們知道的兩個(gè)因安全問(wèn)題造成巨大損失的例子，實(shí)際上，更多的安全入侵事件沒(méi)有報(bào)告。據(jù)美國(guó)聯(lián)邦調(diào)查局估計(jì)，僅有7％的入侵事件被報(bào)告了，而澳大利亞聯(lián)邦警察局則認(rèn)為這個(gè)數(shù)字只有5％。因?yàn)樵S多入侵根本沒(méi)有被檢測(cè)到，還有一些受到侵襲的企業(yè)由于害怕失去客戶的信任而沒(méi)有報(bào)告。

那么，為什么當(dāng)今信息系統(tǒng)中存在如此之多的安全隱患，安全問(wèn)題如此突出呢？這是與計(jì)算機(jī)系統(tǒng)的發(fā)展、當(dāng)今流行系統(tǒng)的設(shè)計(jì)思路、當(dāng)前IT系統(tǒng)的使用狀況緊密相關(guān)的。下面，我們從以下幾個(gè)方面簡(jiǎn)要論述。

1.2.1 從計(jì)算機(jī)系統(tǒng)的發(fā)展看安全問(wèn)題

安全問(wèn)題如此突出和嚴(yán)重是與IT技術(shù)和環(huán)境的發(fā)展分不開(kāi)的。早期的業(yè)務(wù)系統(tǒng)是局限于大型主機(jī)上的集中式應(yīng)用，與外界聯(lián)系較少，能夠接觸和使用系統(tǒng)的人員也很少，系統(tǒng)安全隱患尚不明顯?，F(xiàn)在業(yè)務(wù)系統(tǒng)大多是基于客戶/服務(wù)器模式和Internet/Intranet網(wǎng)絡(luò)計(jì)算模式的分布式應(yīng)用，用戶、程序和數(shù)據(jù)可能分布在世界的各個(gè)角落，給系統(tǒng)的安全管理造成了很大困難。早期的網(wǎng)絡(luò)大多限于企業(yè)內(nèi)部，與外界的物理連接很少，對(duì)于外部入侵的防范較為容易，現(xiàn)在，網(wǎng)絡(luò)已發(fā)展到全球一體化的Internet，每個(gè)企業(yè)的Intranet都會(huì)有許多與外部連接的鏈路，如通過(guò)專線連入Internet，提供遠(yuǎn)程接入服務(wù)供業(yè)務(wù)伙伴和出差員工訪問(wèn)等等。在這樣一個(gè)分布式應(yīng)用的環(huán)境中，企業(yè)的數(shù)據(jù)庫(kù)服務(wù)器、電子郵件服務(wù)器、WWW服務(wù)器、文件服務(wù)器、應(yīng)用服務(wù)器等等每一個(gè)都是一個(gè)供人出入的“門戶”，只要有一個(gè)“門戶”沒(méi)有完全保護(hù)好－忘了上鎖或不很牢固，“黑客”就會(huì)通過(guò)這道門進(jìn)入系統(tǒng)，竊取或破壞所有系統(tǒng)資源。隨著系統(tǒng)和網(wǎng)絡(luò)的不斷開(kāi)放，供黑客攻擊系統(tǒng)的簡(jiǎn)單易用的“黑客工具”和“黑客程序”不斷出現(xiàn)，一個(gè)人不必掌握很高深的計(jì)算機(jī)技術(shù)就可以成為黑客，黑客的平均年齡越來(lái)越小，現(xiàn)在是14－16歲。

1.2.2 從計(jì)算機(jī)系統(tǒng)的特點(diǎn)看安全問(wèn)題

在現(xiàn)代典型的計(jì)算機(jī)系統(tǒng)中，大都采用TCP/IP作為主要的網(wǎng)絡(luò)通訊協(xié)議，主要服務(wù)器為UNIX或Windows NT操作系統(tǒng)。眾所周知，TCP/IP和UNIX都

是以開(kāi)放性著稱的。系統(tǒng)之間易于互聯(lián)和共享信息的設(shè)計(jì)思路貫穿與系統(tǒng)的方方面面，對(duì)訪問(wèn)控制、用戶驗(yàn)證授權(quán)、實(shí)時(shí)和事后審計(jì)等安全內(nèi)容考慮較少，只實(shí)現(xiàn)了基本安全控制功能，實(shí)現(xiàn)時(shí)還存在一些這樣那樣的漏洞。

TCP/IP的結(jié)構(gòu)與基于專用主機(jī)(如IBM ES/3000、AS/400)和網(wǎng)絡(luò)(如SNA網(wǎng)絡(luò))的體系結(jié)構(gòu)相比，靈活性、易用性、開(kāi)發(fā)性都很好，但是，在安全性方面卻存在很多隱患。TCP/IP的網(wǎng)絡(luò)結(jié)構(gòu)沒(méi)有集中的控制，每個(gè)節(jié)點(diǎn)的地址由自己配臵，節(jié)點(diǎn)之間的路由可任意改變。服務(wù)器很難驗(yàn)證某客戶機(jī)的真實(shí)性。IP協(xié)議是一種無(wú)連接的通訊協(xié)議，無(wú)安全控制機(jī)制，存在IP Spoofing、TCP sequence number prediction attacks、Source outing attacks、RIP attacks、ICMP attacks、Data-driven attacks(SMTP and MIME)、Domain Name Service attacks、Fragment attacks、Tiny fragment attacks、Hijacking attacks、Data integrity attacks、Encapsulated IP attacks等各種各樣的攻擊手段。實(shí)際上，從TCP/IP的網(wǎng)絡(luò)層，人們很難區(qū)分合法信息流和入侵?jǐn)?shù)據(jù)，DoS(Denial of Services，拒絕服務(wù))就是其中明顯的例子。

UNIX操作系統(tǒng)更是以開(kāi)放性著稱的，在安全性方面存在許多缺限。如用戶認(rèn)證和授權(quán)管理方面，UNIX操作系統(tǒng)對(duì)用戶登錄的管理是靠用戶名和口令實(shí)現(xiàn)的，存在很多安全上的隱患；在對(duì)資源的訪問(wèn)控制管理方面，UNIX只有讀、寫和執(zhí)行三種權(quán)限，無(wú)法對(duì)文件進(jìn)行更為細(xì)致的控制，且缺乏完善有效的跟蹤審計(jì)能力。嚴(yán)格的控制需要復(fù)雜的配臵過(guò)程，不同系統(tǒng)上配臵方法也很不一致，實(shí)際上無(wú)法全面有效地實(shí)施。另外UNIX中的root用戶為特權(quán)用戶，擁有至高無(wú)上的特權(quán)，它也成為黑客窺視的主要目標(biāo)，給系統(tǒng)安全造成了極大危害。

2.物理安全

2.1 設(shè)備的安全

目的： 防止資產(chǎn)丟失、損失或被破壞，防止業(yè)務(wù)活動(dòng)的停頓。設(shè)備應(yīng)有物理保護(hù)不受安全威脅及環(huán)境事故的影響。

要保護(hù)設(shè)備（包括用在離線的地方）以減少非法訪問(wèn)數(shù)據(jù)的風(fēng)險(xiǎn)，和保護(hù)不

會(huì)丟失或損失，也要考慮設(shè)備應(yīng)放在什么地方及如何處理掉?？赡苄枰貏e的控制來(lái)保護(hù)故障或非法訪問(wèn)，和保障支援設(shè)備，例如電力供應(yīng)和線纜架構(gòu)。

2.1.1設(shè)備的放置及保護(hù)

設(shè)備應(yīng)放在安全的地方，保護(hù)減少來(lái)自環(huán)境威脅及事故的風(fēng)險(xiǎn)，減少非法訪問(wèn)的機(jī)會(huì)。要考慮的有：

? 設(shè)備的位臵，應(yīng)是盡量減少不必要的到工作地方的訪問(wèn)；

? 處理敏感數(shù)據(jù)的信息處理及儲(chǔ)存設(shè)備應(yīng)該好好放臵，以減少使用時(shí)被俯瞰的風(fēng)險(xiǎn)；

? 需要特別保護(hù)的東西，應(yīng)被隔離； ? 應(yīng)控制并減少潛在威脅出現(xiàn)的風(fēng)險(xiǎn)： ? 偷竊； ? 火； ? 爆炸物； ? 煙；

? 水（或供水有問(wèn)題）； ? 塵埃； ? 震動(dòng)； ? 化學(xué)效應(yīng)； ? 電力供應(yīng)干擾； ? 電磁輻射；

? 機(jī)構(gòu)應(yīng)考慮在信息處理設(shè)備附近的飲食及吸煙策略； ? 應(yīng)監(jiān)控那些嚴(yán)重影響信息處理設(shè)備操作的環(huán)境；

? 考慮在工業(yè)環(huán)境設(shè)備的特殊保護(hù)方法，例如采用鍵盤薄膜；

? 應(yīng)考慮在大廈附近發(fā)生災(zāi)難的后果，例如隔離大廈著火、房頂漏水，地下層滲水、街道發(fā)生爆炸。

2.1.2電力的供應(yīng)

應(yīng)保證設(shè)備電源不會(huì)出現(xiàn)故障，或其它電力異常。應(yīng)有適當(dāng)?shù)摹⒎显O(shè)備生產(chǎn)商規(guī)格的電力供應(yīng)。關(guān)于連續(xù)性供電的選項(xiàng)有：

? 多個(gè)輸電點(diǎn)，避免單點(diǎn)輸電導(dǎo)致全部停電； ? 不間斷電源（UPS）； ? 備份發(fā)電機(jī)。

建議為那些支持重要業(yè)務(wù)操作的設(shè)備配備UPS，保持有次序的停電或連續(xù)性供電。應(yīng)急計(jì)劃應(yīng)包括UPS 發(fā)生故障時(shí)應(yīng)采取什么行動(dòng)。UPS設(shè)備應(yīng)定期檢查，保證有足夠的容量，并按生產(chǎn)商的建議進(jìn)行測(cè)試。

如果發(fā)生長(zhǎng)時(shí)間電源失敗還要繼續(xù)信息處理的話，請(qǐng)考慮配備后備發(fā)電機(jī)。發(fā)電機(jī)安裝后，應(yīng)按生產(chǎn)商的指示定期進(jìn)行測(cè)試。應(yīng)提供足夠的燃料保證發(fā)電機(jī)可以長(zhǎng)時(shí)間發(fā)電。

此外，緊急電力開(kāi)關(guān)應(yīng)放臵設(shè)備房緊急出口的附近，以便一旦發(fā)生緊急事故馬上關(guān)閉電源。也要考慮一旦電源失敗時(shí)的應(yīng)急燈。要保護(hù)全大廈的燈，及在所有外部通訊線路都要裝上燈光保護(hù)過(guò)濾器。

2.1.3電纜線路的安全

應(yīng)保護(hù)帶有數(shù)據(jù)或支持信息服務(wù)的電力及電訊電纜，使之不被偵聽(tīng)或破壞。要注意的有：

? 進(jìn)入信息處理設(shè)備的電力及電訊電纜線路應(yīng)放在地下下面，如可能，也可以考慮其它有足夠保護(hù)能力的辦法；

? 網(wǎng)絡(luò)布線應(yīng)受到保護(hù)，不要被非法截取或被破壞，舉例，使用管道或避免通過(guò)公眾地方的路徑；

? 電源電纜應(yīng)與通訊電纜分開(kāi)，避免干擾；

? 至于敏感或重要的系統(tǒng)，更要考慮更多的控制，包括： ? 安裝裝甲管道，加了鎖的作為檢查及終點(diǎn)的房間或盒子； ? 使用可選路由或者傳輸介質(zhì)； ? 光纖光纜；

? 清除附加在電纜上的未授權(quán)設(shè)備。

2.1.4設(shè)備的維護(hù)

設(shè)備應(yīng)正確維護(hù)來(lái)保證連續(xù)性可用合完整性。以下是要注意的： ? 設(shè)備應(yīng)按供應(yīng)商的建議服務(wù)間隔及規(guī)格維護(hù)； ? 只有授權(quán)的維護(hù)人員才可以修理設(shè)備；

? 記錄所有可疑的或真實(shí)的故障，以及所有防范及改正措施； ? 實(shí)施適當(dāng)?shù)目刂迫绾伟言O(shè)備送出大廈進(jìn)行修理

2.1.4設(shè)備離開(kāi)大廈的安全

無(wú)論是誰(shuí)擁有的，在機(jī)構(gòu)外面使用任何設(shè)備處理信息應(yīng)有管理層的授權(quán)。所提供的安全保護(hù)應(yīng)與設(shè)備在大廈內(nèi)使用時(shí)相同。還要考慮在機(jī)構(gòu)大廈外面工作的風(fēng)險(xiǎn)。信息處理設(shè)備包括所有形式的個(gè)人計(jì)算機(jī)、商務(wù)通、移動(dòng)電話紙張或其它表格，放在家里或從日常工作地方搬走。要考慮的有：

? 從大廈取走的設(shè)備及介質(zhì)，不應(yīng)放在公眾地方無(wú)人看管。筆記本計(jì)算機(jī)應(yīng)當(dāng)作手提行李隨身，及在外時(shí)盡量遮蔽，不要顯露在外被人看到；

? 應(yīng)時(shí)常注意生產(chǎn)商保護(hù)設(shè)備的指示，例如不要暴露在強(qiáng)大的電磁場(chǎng)內(nèi)； ? 在家工作的控制，應(yīng)在評(píng)估風(fēng)險(xiǎn)后確定，并適當(dāng)?shù)貙?shí)施，舉例，可上鎖的文件柜、清除桌子的策略及計(jì)算機(jī)的訪問(wèn)控制；

? 應(yīng)有足夠的保險(xiǎn)保護(hù)不在大廈的設(shè)備。

安全風(fēng)險(xiǎn)，例如損壞、被盜及偷聽(tīng)，可能每個(gè)地方都不同，所以應(yīng)仔細(xì)考慮

后確定最適當(dāng)?shù)目刂?。參?.8.1的關(guān)于如何保護(hù)移動(dòng)設(shè)備。

2.1.5設(shè)備的安全清除或重用

信息可以通過(guò)不小心清除或重復(fù)使用設(shè)備而被破壞（參看8.6.4），有敏感信息的存儲(chǔ)設(shè)備應(yīng)該物理被銷毀或安全地覆蓋，而不是使用標(biāo)準(zhǔn)的刪除功能。

所有儲(chǔ)存設(shè)備，例如固定硬盤，應(yīng)被檢查以保證已清除所有敏感數(shù)據(jù)及授權(quán)軟件，或在清除前已被覆蓋。損壞了、有敏感數(shù)據(jù)的儲(chǔ)存設(shè)備可能需要評(píng)估風(fēng)險(xiǎn)后確定是否把設(shè)備銷毀、修理或丟掉。

3.訪問(wèn)控制

3.1訪問(wèn)控制的業(yè)務(wù)需求

目的：控制信息的訪問(wèn)。

應(yīng)按照業(yè)務(wù)及安全要求控制信息及業(yè)務(wù)程序的訪問(wèn)，應(yīng)把信息發(fā)布及授權(quán)的策略內(nèi)容加入到考慮范圍之內(nèi)。

3.1.1訪問(wèn)控制策略 3.1.1.1策略及業(yè)務(wù)需求

首先要定義業(yè)務(wù)需求的訪問(wèn)控制，并記錄下來(lái)。訪問(wèn)策略的文件應(yīng)清楚寫明每個(gè)用戶或每組用戶應(yīng)有的訪問(wèn)控制規(guī)定及權(quán)限，用戶及服務(wù)提供商都應(yīng)有一份這樣的文件，明白訪問(wèn)控制要達(dá)到什么業(yè)務(wù)需求。訪問(wèn)控制策略應(yīng)包括以下內(nèi)容： ? 每個(gè)業(yè)務(wù)應(yīng)用系統(tǒng)的安全要求； ? 確認(rèn)所有與業(yè)務(wù)應(yīng)用系統(tǒng)有關(guān)的信息；

? 信息發(fā)布及授權(quán)的策略，例如：安全級(jí)別及原則，以及信息分類的需要； ? 不同系統(tǒng)及網(wǎng)絡(luò)之間的訪問(wèn)控制及信息分類策略的一致性； ? 關(guān)于保護(hù)訪問(wèn)數(shù)據(jù)或服務(wù)的相關(guān)法律或任何合同規(guī)定； ? 一般作業(yè)類的標(biāo)準(zhǔn)用戶訪問(wèn)配臵；

? 在分布式及互聯(lián)的環(huán)境中，管理所有類別的連接的訪問(wèn)權(quán)限。

3.1.1.2訪問(wèn)控制規(guī)定

在制定訪問(wèn)控制規(guī)定時(shí)，應(yīng)小心考慮以下：

? 將必須實(shí)施的規(guī)定和可以選擇實(shí)施或有條件實(shí)施的規(guī)定分開(kāi)考慮； ? 根據(jù)“除非有明文準(zhǔn)可，否則一般是被禁止”的原則建立規(guī)定，而不是“在一般情況下全都可以，除非有明文禁止”的模糊概念；

? 由信息處理設(shè)備自動(dòng)啟動(dòng)與經(jīng)過(guò)用戶判斷啟動(dòng)的信息標(biāo)記改動(dòng)； ? 由信息系統(tǒng)自動(dòng)啟動(dòng)的與由管理員啟動(dòng)的用戶許可的變動(dòng)。? 需要與不需要管理員或其它批準(zhǔn)才能頒布的規(guī)定。

3.2用戶訪問(wèn)的管理

目的：防止非法訪問(wèn)信息系統(tǒng)。

應(yīng)有一套正式程序來(lái)控制分配信息系統(tǒng)及服務(wù)的訪問(wèn)權(quán)限。

手續(xù)應(yīng)包括用戶訪問(wèn)生命周期的所有階段，從一開(kāi)始注冊(cè)新用戶直到最后注銷那些不再需要訪問(wèn)信息安全及服務(wù)的用戶。應(yīng)特別注意控制分配特級(jí)訪問(wèn)權(quán)限，因?yàn)檫@些特級(jí)權(quán)限讓用戶越過(guò)系統(tǒng)的控制。

3.2.1用戶登記

應(yīng)有一套正式的用戶注冊(cè)及注銷手續(xù)，以便授予訪問(wèn)所有多用戶信息系統(tǒng)及服務(wù)。

多用戶信息服務(wù)的訪問(wèn)應(yīng)通過(guò)正式的用戶注冊(cè)手續(xù)控制，內(nèi)容應(yīng)包括： ? 使用唯一的用戶ID，以便鑒定是誰(shuí)做什么操作，并予以追究責(zé)任； ? 檢查用戶是否已被系統(tǒng)擁有者授權(quán)使用信息系統(tǒng)或服務(wù)。有時(shí)，還需要管理個(gè)別批準(zhǔn)訪問(wèn)權(quán)限；

? 檢查所準(zhǔn)許的訪問(wèn)級(jí)別是否適用于業(yè)務(wù)目的（參看3.1），是否與機(jī)構(gòu)的安全策略一致，例如不會(huì)破壞責(zé)任的分開(kāi)；

? 發(fā)送用戶訪問(wèn)權(quán)限聲明書給用戶；

? 要求用戶在聲明書上簽字，表示明白了訪問(wèn)的條件； ? 確保服務(wù)提供者不能訪問(wèn)，直到授權(quán)手續(xù)已完成； ? 保存一份所有注冊(cè)使用服務(wù)的正式名單；

? 馬上取消已更換崗位、或已離開(kāi)機(jī)構(gòu)的用戶的訪問(wèn)權(quán)限； ? 定期檢查是否有多余的用戶ID及賬號(hào)，并予以除掉； ? 確保多余的用戶ID不會(huì)發(fā)給其它用戶。

此外，應(yīng)仔細(xì)研究員工合同及服務(wù)合同中涉及員工或服務(wù)商試圖非法訪問(wèn)后所受到的制裁的條款。

3.2.2特權(quán)管理

應(yīng)禁止及控制特權(quán)（指任何一種功能或設(shè)備會(huì)讓用戶可以越過(guò)系統(tǒng)或應(yīng)用系統(tǒng)控制的多用戶信息系統(tǒng)）的分配與使用。不適當(dāng)使用系統(tǒng)特權(quán)往往是系統(tǒng)安全被破壞的主要原因。

需要保護(hù)不被非法訪問(wèn)的多用戶系統(tǒng)應(yīng)有正式授權(quán)手續(xù)控制特權(quán)的分配，應(yīng)考慮以下的步驟：

? 認(rèn)與每個(gè)系統(tǒng)產(chǎn)品（例如操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)以及每個(gè)應(yīng)用系統(tǒng)，以關(guān)聯(lián)的特權(quán)，以及找出那些應(yīng)配有特權(quán)的員工。

? 權(quán)應(yīng)按照“需要使用”及“按事件”的原則分配，即只在需要時(shí)所賦有的最低功能角色要求。

? 應(yīng)有一套授權(quán)程序，及記錄所有被分配的特權(quán)。不應(yīng)授予特權(quán)，直到完成整個(gè)授權(quán)程序。

? 鼓勵(lì)開(kāi)發(fā)及使用系統(tǒng)例行程序，以避免授予用戶特權(quán)的需要 ? 特權(quán)應(yīng)賦予不同的用戶ID，與用作業(yè)務(wù)的ID分開(kāi)

3.2.3用戶口令的管理

口令是一個(gè)常用方法，來(lái)核查訪問(wèn)某個(gè)信息系統(tǒng)或服務(wù)的用戶身份。所以，應(yīng)通過(guò)正式的管理程序分配口令，辦法以下：

? 要求用戶在聲明書上簽字，保證不泄露個(gè)人口令，以及只讓在同一組的組員知道作業(yè)組的口令；

? 當(dāng)需要用戶保密自己的口令時(shí)，保證在開(kāi)始時(shí)只提供一個(gè)暫時(shí)的口令，強(qiáng)迫用戶馬上更改。當(dāng)用戶忘記自己口令時(shí)，應(yīng)在確認(rèn)清楚用戶身份后才提供臨時(shí)性口令；

? 要求安全地發(fā)給用戶臨時(shí)性口令。應(yīng)避免使用第三方或未加保護(hù)（明文）的電子郵件信息。用戶應(yīng)確認(rèn)收到口令。

? 口令絕不能以不加保護(hù)的形式儲(chǔ)存在計(jì)算機(jī)系統(tǒng)中（參看3.5.4）。其它用來(lái)確認(rèn)及認(rèn)證用戶的技術(shù)，例如生物測(cè)定學(xué)，指紋核查、簽名核查及硬件令牌，例如chip-cards，都可以考慮使用。

3.2.4用戶訪問(wèn)權(quán)限的檢查

為了有效控制數(shù)據(jù)及信息服務(wù)的訪問(wèn)，管理層應(yīng)該定期正式檢查，看看用戶的訪問(wèn)權(quán)限是否：

? 定期（建議是每隔六個(gè)月）及在任何改動(dòng)后（參看3.2.1）接受檢查； ? 更頻繁地檢查特權(quán)訪問(wèn)的授權(quán)（參看3.2.2），建議是每隔三個(gè)月； ? 定期檢查特權(quán)的分配，以確保沒(méi)有用戶取得非法特權(quán)。

3.3用戶責(zé)任

目的：防止非法的用戶訪問(wèn)。

合法用戶的合作對(duì)推行有效的安全非常重要。

用戶應(yīng)知道自己有責(zé)任維護(hù)有效的訪問(wèn)控制，特別是如何使用口令及用戶設(shè)備的安全。

3.3.1口令的使用

用戶應(yīng)遵守良好的選擇及使用口令的安全慣例。

口令提供了一個(gè)核查用戶身份的途徑，從而可以建立信息處理或服務(wù)的訪問(wèn)權(quán)限，建議所有用戶應(yīng)： ? 保密口令；

? 避免書寫記錄口令，除非保存妥當(dāng)；

? 每當(dāng)懷疑系統(tǒng)被破壞或口令被公開(kāi)時(shí)，應(yīng)馬上更改口令； ? 選一個(gè)至少有六個(gè)字的好口令：

? 容易記??；

? 不根據(jù)與個(gè)人有關(guān)的信息如名字、電話號(hào)碼、出生日期等（容易被猜出）訂出口令；

? 不是連續(xù)的同一個(gè)字，或全是數(shù)字或全字母；

? 定期或按訪問(wèn)次數(shù)更改口令（特權(quán)賬號(hào)的口令應(yīng)比一般口令更改更頻繁），避免重復(fù)使用舊口令；

? 第一次登錄后應(yīng)馬上更改臨時(shí)性口令；

? 不要在自動(dòng)登錄程序中把口令納入，例如儲(chǔ)存在宏或函數(shù)密鑰中； ? 不要與別人共享口令。

如果用戶需要使用好幾個(gè)口令來(lái)訪問(wèn)多個(gè)服務(wù)或平臺(tái)，建議他們應(yīng)使用一個(gè)很好的單一口令（參看3.3.1(4)）為這好幾個(gè)口令的存儲(chǔ)提供合理水平的保護(hù)。

3.3.2無(wú)人看管的用戶設(shè)備

用戶應(yīng)檢查無(wú)人看管的設(shè)備是否適當(dāng)?shù)乇Ｗo(hù)起來(lái)了。安裝在用戶使用地方的設(shè)備，例如工作站或文件服務(wù)器，如一段時(shí)間內(nèi)無(wú)人看守時(shí)，更需要格外保護(hù)并使之免于被非法訪問(wèn)。所有用戶及合作伙伴應(yīng)都知道保護(hù)無(wú)人看管設(shè)備的安全要求及手續(xù)，以及有責(zé)任實(shí)施保護(hù)措施。建議用戶應(yīng)：

? 除非有合適的鎖定機(jī)制保護(hù)（例如有口令保護(hù)的屏幕保護(hù)（screensaver），否則應(yīng)終止已完成的活動(dòng)會(huì)話；

? 會(huì)話結(jié)束后應(yīng)退出登錄主機(jī)（即不僅僅是關(guān)閉PC或終端）；

? 當(dāng)PC 或終端不用時(shí)，應(yīng)保護(hù)它們不被非法使用，例如使用密鑰鎖或等同的安全機(jī)制，如口令訪問(wèn)。

3.4網(wǎng)絡(luò)訪問(wèn)控制

目的：互聯(lián)服務(wù)的保護(hù)。

應(yīng)控制內(nèi)部及外部聯(lián)網(wǎng)服務(wù)的訪問(wèn)，以確?？梢栽L問(wèn)網(wǎng)絡(luò)或網(wǎng)絡(luò)服務(wù)的用戶不會(huì)破壞這些網(wǎng)絡(luò)服務(wù)的安全，保證：

? 在機(jī)構(gòu)網(wǎng)及其它機(jī)構(gòu)網(wǎng)或公用網(wǎng)之間要有合適的界面； ? 要有合適的認(rèn)證機(jī)制認(rèn)證用戶及設(shè)備； ? 控制用戶訪問(wèn)信息服務(wù)。

3.4.1網(wǎng)絡(luò)服務(wù)的使用策略

不安全地連接到網(wǎng)絡(luò)服務(wù)會(huì)影響整個(gè)機(jī)構(gòu)的安全，所以，只能讓用戶直接訪問(wèn)已明確授權(quán)使用的服務(wù)。這種安全控制對(duì)連接敏感或重要業(yè)務(wù)的網(wǎng)絡(luò)，或連接到在高風(fēng)險(xiǎn)地方（例如不在機(jī)構(gòu)安全管理及控制范圍的公用或外部地方）的用戶尤其重要。

策略應(yīng)與網(wǎng)絡(luò)及網(wǎng)絡(luò)服務(wù)的使用有關(guān)，應(yīng)覆蓋： ? 容許被訪問(wèn)的網(wǎng)絡(luò)及網(wǎng)絡(luò)服務(wù)；

? 定出誰(shuí)可以訪問(wèn)哪個(gè)網(wǎng)絡(luò)及網(wǎng)絡(luò)服務(wù)的授權(quán)手續(xù)； ? 保護(hù)接入網(wǎng)絡(luò)及網(wǎng)絡(luò)服務(wù)的管理控制及手續(xù)；

? 這個(gè)策略應(yīng)與業(yè)務(wù)訪問(wèn)控制策略一致（參看3.1）。

3.4.2強(qiáng)制式路徑

從用戶終端到計(jì)算機(jī)服務(wù)的路徑應(yīng)受到控制。網(wǎng)絡(luò)是用來(lái)在最大范圍之內(nèi)共

享資源及提供最大程度的路由，但網(wǎng)絡(luò)這樣的功能也同時(shí)提供機(jī)會(huì)非法訪問(wèn)業(yè)務(wù)應(yīng)用系統(tǒng)或非法使用信息設(shè)備，所以，在用戶終端與計(jì)算機(jī)服務(wù)之間設(shè)臵路由控制（例如，建立一條強(qiáng)制式路徑）會(huì)減少這樣的風(fēng)險(xiǎn)。

強(qiáng)制式路徑的目的是阻止用戶選擇一條不是用戶終端與用戶可訪問(wèn)服務(wù)之間的路由。這樣，就需要在路由的不同點(diǎn)上實(shí)施多個(gè)安全控制，控制原則是按事先定義的選擇限制每個(gè)網(wǎng)點(diǎn)的路由選擇，這方面的例子有： ? 分配專用線或電話號(hào)碼；

? 自動(dòng)把端口連接到指定的應(yīng)用系統(tǒng)或安全網(wǎng)關(guān)； ? 限制供每個(gè)用戶使用的菜單及子菜單； ? 禁止無(wú)限量的網(wǎng)絡(luò)漫游；

? 強(qiáng)迫外部網(wǎng)絡(luò)用戶使用指定的應(yīng)用系統(tǒng) 及/或 安全網(wǎng)關(guān)；

? 通過(guò)安全網(wǎng)關(guān)（例如防火墻）嚴(yán)格控制從源地址到目的地址的通訊； ? 設(shè)臵不同的邏輯域（例如VPN）限制機(jī)構(gòu)內(nèi)用戶組對(duì)網(wǎng)絡(luò)的訪問(wèn)（請(qǐng)參看3.4.6）。

? 對(duì)強(qiáng)制式路徑的需求應(yīng)該基于業(yè)務(wù)訪問(wèn)控制策略（參看3.1）

3.4.3外部連接的用戶認(rèn)證

外部的連接（例如撥號(hào)訪問(wèn)）是非法訪問(wèn)業(yè)務(wù)信息的隱患。所以，遠(yuǎn)程用戶的訪問(wèn)應(yīng)被認(rèn)證。認(rèn)證方法有很多種，保護(hù)的程度也有強(qiáng)弱之分，例如使用密碼技術(shù)的方法提供非常安全的認(rèn)證。所以，應(yīng)在風(fēng)險(xiǎn)評(píng)估后決定需要哪一級(jí)別的保護(hù)，然后決定需要哪種認(rèn)證機(jī)制。

認(rèn)證遠(yuǎn)程用戶的方法可以基于密碼技術(shù)、硬件令牌或是一個(gè)挑戰(zhàn)/響應(yīng)（challenge/response）的協(xié)議。專用線或網(wǎng)絡(luò)用戶地址的檢查設(shè)備也可以被用來(lái)提供源地址的保障。

回?fù)埽╠ial-back）的程序及控制（如使用回?fù)苷{(diào)制解調(diào)器），可以拒絕非法或不受歡迎的連接到達(dá)機(jī)構(gòu)的信息處理設(shè)備。這樣的控制可以對(duì)試圖從遠(yuǎn)程地點(diǎn)與機(jī)構(gòu)網(wǎng)絡(luò)建立連接的用戶進(jìn)行認(rèn)證。使用這種控制的機(jī)構(gòu)就不要使用有呼叫傳

送（call forwarding）功能的網(wǎng)絡(luò)服務(wù)，如果堅(jiān)持要使用的話，機(jī)構(gòu)應(yīng)中止使用這樣的功能，避免因call forwarding 所帶來(lái)的安全隱患。同時(shí)，在回?fù)苓M(jìn)程中包括保證機(jī)構(gòu)確實(shí)斷絕連接的功能是很重要的，要不然，遠(yuǎn)程用戶便可以把線路一直保持是通的，假裝已確實(shí)發(fā)生了回?fù)茯?yàn)證。應(yīng)仔細(xì)檢查回?fù)艿某绦蚺c控制是否會(huì)可能有此情況發(fā)生。

3.4.4 網(wǎng)點(diǎn)認(rèn)證

能夠自動(dòng)連接到遠(yuǎn)程計(jì)算機(jī)間接等于是提供非法訪問(wèn)業(yè)務(wù)應(yīng)用系統(tǒng)的機(jī)會(huì)，所以要有認(rèn)證機(jī)制來(lái)認(rèn)證到遠(yuǎn)程計(jì)算機(jī)系統(tǒng)的連接，尤其是使用機(jī)構(gòu)安全管理控制范圍之外的網(wǎng)絡(luò)連接。以上的3.4.3 舉了幾個(gè)認(rèn)證例子，以及實(shí)現(xiàn)這些機(jī)制的建議。

網(wǎng)點(diǎn)認(rèn)證也可以當(dāng)作是另一方法去認(rèn)證一組連接到安全、共享的計(jì)算機(jī)設(shè)備的遠(yuǎn)程用戶。（參看3.4.3）

3.4.5遠(yuǎn)程診斷端口的保護(hù)

應(yīng)安全地控制診斷端口的訪問(wèn)。很多計(jì)算機(jī)及通訊系統(tǒng)已安裝撥號(hào)遠(yuǎn)程診斷設(shè)備為維護(hù)工程師使用。如果不好好保護(hù)，這些診斷端口就變成非法訪問(wèn)的途徑，所以，應(yīng)有合適的安全機(jī)制保護(hù)這些端口，例如，有一個(gè)密鑰鎖及程序，保證只能使用通過(guò)計(jì)算機(jī)服務(wù)管理員與需要訪問(wèn)的軟硬件技術(shù)支持人員商量后所同意的訪問(wèn)方法訪問(wèn)。

3.4.6網(wǎng)絡(luò)的隔離

網(wǎng)絡(luò)不斷擴(kuò)大，已超出傳統(tǒng)的機(jī)構(gòu)式范圍，業(yè)務(wù)伙伴的相繼形成，同時(shí)也要求大家互聯(lián)或共享信息處理及聯(lián)網(wǎng)設(shè)施。這樣的擴(kuò)大，也增加了非法訪問(wèn)現(xiàn)有網(wǎng)絡(luò)信息系統(tǒng)的風(fēng)險(xiǎn)，而這些系統(tǒng)因有敏感信息或是非常重要的不能讓別的網(wǎng)絡(luò)用戶訪問(wèn)的信息，在這樣的情況下，應(yīng)考慮在網(wǎng)絡(luò)設(shè)臵控制，把不同的信息服務(wù)組、用戶及信息系統(tǒng)隔離。

一種控制大網(wǎng)絡(luò)安全的方法是把網(wǎng)絡(luò)分成幾個(gè)邏輯網(wǎng)域，例如，機(jī)構(gòu)的內(nèi)部

網(wǎng)域及外部網(wǎng)域，每個(gè)網(wǎng)域都有特別指定的安全邊界，實(shí)現(xiàn)這樣的安全邊界是在兩個(gè)要聯(lián)網(wǎng)的網(wǎng)絡(luò)之間安裝一個(gè)安全的網(wǎng)關(guān)，來(lái)控制兩個(gè)網(wǎng)域之間的訪問(wèn)及信息流量。網(wǎng)關(guān)的設(shè)臵應(yīng)該是過(guò)濾這些網(wǎng)域之間的流量（參看3.4.7 及3.4.8），以及按機(jī)構(gòu)的訪問(wèn)控制策略（參看3.1）阻截非法訪問(wèn)，一個(gè)這樣的網(wǎng)關(guān)例子是防火墻。

把網(wǎng)絡(luò)分隔成網(wǎng)域的標(biāo)準(zhǔn)，應(yīng)該是按照訪問(wèn)控制策略及訪問(wèn)機(jī)制（參看3.1），還要考慮成本及因設(shè)臵網(wǎng)絡(luò)路由或網(wǎng)關(guān)技術(shù)（參看3.4.7 及3.4.8）后所引致的性能沖擊。

3.4.7網(wǎng)絡(luò)連接控制

共享網(wǎng)絡(luò)的訪問(wèn)控制策略的要求，特別是超出機(jī)構(gòu)范圍的網(wǎng)絡(luò)，可能需要有另外的控制來(lái)禁止用戶的連接能力。這樣的控制可以使用事先定義的表或規(guī)定過(guò)濾流量的網(wǎng)關(guān)實(shí)現(xiàn)。制定禁止規(guī)定應(yīng)按訪問(wèn)策略及業(yè)務(wù)需求（參看3.1），并時(shí)常更新。

應(yīng)制定禁止規(guī)定的例子是： ? 電子郵件； ? 單向的文件傳輸； ? 雙向的文件傳輸； ? 交互訪問(wèn)；

? 有時(shí)間日期的網(wǎng)絡(luò)訪問(wèn)。

3.4.8網(wǎng)絡(luò)路由的控制

共享網(wǎng)絡(luò)，特別是超出機(jī)構(gòu)范圍的網(wǎng)絡(luò)，需要設(shè)臵路由控制，以保證計(jì)算機(jī)連接及信息流不會(huì)破壞業(yè)務(wù)系統(tǒng)的訪問(wèn)控制策略（參看3.1）。那些與第三方（非機(jī)構(gòu)）用戶共享的網(wǎng)絡(luò)更需要有這些控制。

路由控制應(yīng)該是按正確檢查源及目的地址的機(jī)制制定。網(wǎng)絡(luò)地址翻譯是一個(gè)很有用的機(jī)制來(lái)隔離網(wǎng)絡(luò)，以及阻止路由從一個(gè)機(jī)構(gòu)網(wǎng)絡(luò)傳播到另一個(gè)機(jī)構(gòu)的網(wǎng)

絡(luò)。機(jī)制可以用軟件或硬件實(shí)現(xiàn)，但實(shí)現(xiàn)者要注意機(jī)制的安全程度。

3.4.3 網(wǎng)絡(luò)服務(wù)的安全

現(xiàn)在有很多不同類別的公私網(wǎng)絡(luò)服務(wù)供使用，有些服務(wù)是增殖服務(wù)，而網(wǎng)絡(luò)服務(wù)應(yīng)有獨(dú)特或者復(fù)雜的安全特征。使用網(wǎng)絡(luò)服務(wù)的機(jī)構(gòu)應(yīng)清楚知道所用服務(wù)的安全屬性。

3.5操作系統(tǒng)的訪問(wèn)控制

目的：防止不合法的計(jì)算機(jī)訪問(wèn)。

操作系統(tǒng)級(jí)別的安全設(shè)施應(yīng)被用來(lái)限制計(jì)算機(jī)資源的訪問(wèn)。這些設(shè)施應(yīng)有以下功能：

? 標(biāo)識(shí)及檢查身份，如有需要，應(yīng)把每個(gè)合法用戶的終端或地點(diǎn)都納入檢查之列；

? 記錄成功及失敗的系統(tǒng)訪問(wèn)；

? 提供合適認(rèn)證方法：如果使用口令管理系統(tǒng)，應(yīng)保證是在用良好的口令（參看3.3.1（4））；

? 如有需要，限制用戶的連接時(shí)間。

其它訪問(wèn)控制方法，例如challenge-response, 如果可以減低業(yè)務(wù)風(fēng)險(xiǎn)，也可以考慮使用。

3.5.1自動(dòng)認(rèn)證終端

在認(rèn)證連接到指定地點(diǎn)及便攜式設(shè)備時(shí)，可以考慮使用自動(dòng)認(rèn)證終端。自動(dòng)認(rèn)證終端是一種用于只能從某個(gè)地點(diǎn)或計(jì)算機(jī)終端啟動(dòng)會(huì)話的技術(shù)。一個(gè)在終端中，或附在終端的標(biāo)識(shí)符可以顯示這終端是否可以啟動(dòng)或接收交易。如有需要，考慮用物理方法保護(hù)終端，以維持終端標(biāo)識(shí)符的安全。認(rèn)證用戶的方法有很多（請(qǐng)參看3.4.3）。

3.5.2終端的登錄程序

正常情況是應(yīng)該可以通過(guò)安全的登錄過(guò)程進(jìn)入信息服務(wù)，登錄進(jìn)入計(jì)算機(jī)系統(tǒng)的程序應(yīng)把非法訪問(wèn)的機(jī)會(huì)減到最低，為了避免提供非法用戶不必要的幫助，登錄程序應(yīng)只公開(kāi)最少量的系統(tǒng)信息。一個(gè)良好的登錄程序應(yīng)： ? 不顯示系統(tǒng)或應(yīng)用系統(tǒng)的標(biāo)識(shí)符，直到登錄成功完成； ? 顯示一個(gè)通知，警告只有合用用戶才可進(jìn)入系統(tǒng)； ? 在登錄過(guò)程中不提供幫助信息，以免被不合法用戶利用；

? 只有完成輸入數(shù)據(jù)后才核查登錄信息。如有出錯(cuò)，系統(tǒng)應(yīng)指出哪部分的數(shù)據(jù)是正確，哪部分不正確；

? 限制登錄失敗的次數(shù)（建議是三次），以及考慮： ? 記錄不成功的登錄；

? 強(qiáng)迫在繼續(xù)嘗試登錄前有時(shí)間間隔，或者在沒(méi)有特定授權(quán)之下拒絕任何登錄嘗試；

? 限制登錄程序的最長(zhǎng)及最短時(shí)間。限定時(shí)間一過(guò)，系統(tǒng)應(yīng)停止登錄程序； ? 完成成功登錄后顯示以下信息： ? 前一次成功登錄的日期及時(shí)間；

? 自上次成功登錄后任何不成功登錄嘗試的詳情。

3.5.3用戶標(biāo)識(shí)及認(rèn)證

所有用戶（包括技術(shù)支持員工，例如操作員、網(wǎng)管、系統(tǒng)程序員及數(shù)據(jù)庫(kù)管理員）應(yīng)有各自的標(biāo)識(shí)符（用戶ID），只為自己使用，以確認(rèn)誰(shuí)在操作，及予以追究責(zé)任。用戶ID應(yīng)沒(méi)有任何跡象顯示用戶的權(quán)限（參看3.2.2），例如經(jīng)理、主管等。

在特殊情況下，如有清晰的業(yè)務(wù)利益，可以考慮為一組用戶或某個(gè)作業(yè)共享用戶ID，但一定要有管理層的書面批準(zhǔn)才行。如有需要，可以增加管理措施來(lái)貫徹責(zé)任。

有很多種認(rèn)證程序可以被用來(lái)充實(shí)某個(gè)用戶所稱述的身份。口令（參看3.3.1及以下）是提供標(biāo)識(shí)及認(rèn)證的最常見(jiàn)方法，認(rèn)證原則是基于只有用戶知道的秘密。但認(rèn)證也可以使用密碼及認(rèn)證協(xié)議來(lái)完成。

用戶擁有的對(duì)象，例如內(nèi)存令牌或智能卡，也是標(biāo)識(shí)及認(rèn)證的方法之一。認(rèn)證某人的身份也可使用生物特征認(rèn)證，一種利用用戶某個(gè)獨(dú)特特征或?qū)傩缘恼J(rèn)證技術(shù)。強(qiáng)大的認(rèn)證可以通過(guò)安全組合多個(gè)認(rèn)證技術(shù)或機(jī)制來(lái)實(shí)現(xiàn)。

3.5.4口令管理系統(tǒng)

口令是一種基本方法檢查用戶訪問(wèn)某個(gè)計(jì)算機(jī)服務(wù)的權(quán)限，所以，口令管理系統(tǒng)應(yīng)提供一個(gè)有效交互的措施，確保是在使用健全的口令（參看3.3.1的使用口令指引）。

一些應(yīng)用系統(tǒng)要求用戶口令由某個(gè)獨(dú)立機(jī)構(gòu)制定，但大部分情況是由用戶選擇及保存自己的口令。

一個(gè)良好的口令管理系統(tǒng)應(yīng)是： ? 強(qiáng)制使用個(gè)人口令來(lái)維護(hù)責(zé)任；

? 在適當(dāng)情況下，容許用戶選擇及更改自己的口令，并提供確認(rèn)程序確認(rèn)輸入正確；

? 強(qiáng)令執(zhí)行要選擇健全的口令，如在3.3.1所述；

? 如果是用戶維護(hù)自己的口令，要強(qiáng)迫口令的變化，如3.3.1所述； ? 如果是用戶選擇口令，強(qiáng)迫他們第一次登錄后要更改臨時(shí)的口令（參看3.2.3）；

? 記錄用戶用過(guò)的口令，例如12個(gè)月前用的口令，以防止重復(fù)使用； ? 進(jìn)入系統(tǒng)后不要在屏幕上顯示口令； ? 把口令文件與應(yīng)用系統(tǒng)數(shù)據(jù)分開(kāi)儲(chǔ)存； ? 使用單向加密算法把口令加密儲(chǔ)存； ? 安裝軟件后把供應(yīng)商的缺省口令改掉。

3.5.5系統(tǒng)工具的使用

很多計(jì)算機(jī)的安裝都有一個(gè)以上的系統(tǒng)工具程序，來(lái)越過(guò)系統(tǒng)及應(yīng)用程序的控制，所以，有必要限制及嚴(yán)格控制這些工具的使用。以下的控制可以被考慮： ? 使用認(rèn)證程序認(rèn)證系統(tǒng)工具； ? 把系統(tǒng)工具與應(yīng)用軟件分開(kāi)；

? 把系統(tǒng)工具的使用限制到只有最少數(shù)的可信任合法用戶使用； ? 授權(quán)在特別情況下使用系統(tǒng)工具；

? 限制系統(tǒng)工具的使用期限，例如只在合法更改的期間內(nèi)使用； ? 記錄所有使用系統(tǒng)工具的活動(dòng)； ? 定義及記錄所有系統(tǒng)工具的授權(quán)級(jí)別； ? 取消所有不必要的工具軟件及系統(tǒng)軟件；

3.5.6為保障安全的人員配備強(qiáng)迫警鐘

是否應(yīng)為保障安全用戶提供警鐘，應(yīng)在評(píng)估風(fēng)險(xiǎn)后決定，同時(shí)，要定義負(fù)責(zé)什么責(zé)任及反應(yīng)警鐘的程序。

3.5.7終端超時(shí)

在高風(fēng)險(xiǎn)地方（例如公用地方，或超出機(jī)構(gòu)安全管理范圍之外的地方）的交互終端，或?yàn)楦唢L(fēng)險(xiǎn)系統(tǒng)服務(wù)的交互終端，應(yīng)在一段沒(méi)有活動(dòng)的時(shí)間后關(guān)閉，以免被非法用戶訪問(wèn)。這種超時(shí)措施應(yīng)在一段休止時(shí)間后清除終端屏幕的內(nèi)容及關(guān)閉應(yīng)用系統(tǒng)及網(wǎng)絡(luò)會(huì)話。超時(shí)的延遲應(yīng)能反映這地方的安全風(fēng)險(xiǎn)以及誰(shuí)是終端的使用者。

可以在某些PC上實(shí)行部分的終端超時(shí)措施，即清除屏幕內(nèi)容防止非法訪問(wèn)，但不關(guān)閉應(yīng)用系統(tǒng)或網(wǎng)絡(luò)會(huì)話。

3.5.8連接時(shí)間的限制

限制連接時(shí)間在某種程度上加強(qiáng)高風(fēng)險(xiǎn)應(yīng)用程序的安全。限制那段時(shí)間準(zhǔn)許

終端連接到計(jì)算機(jī)服務(wù)的做法，會(huì)減少非法訪問(wèn)的時(shí)限。這樣的限制應(yīng)考慮在敏感的計(jì)算機(jī)應(yīng)用系統(tǒng)上實(shí)行，特別是安裝在高風(fēng)險(xiǎn)地方（例如公用地方，或超出機(jī)構(gòu)安全管理范圍之外的地方）的終端。

這樣的限制方法例子可以是：

? 使用已定的時(shí)間段，例如傳輸批文件的時(shí)間，或短時(shí)間的定期交互會(huì)話； ? 如果沒(méi)有加班或延長(zhǎng)工作的要求，限定連接時(shí)間在正常的工作時(shí)間之內(nèi)。

3.6應(yīng)用系統(tǒng)的訪問(wèn)控制

目的：防止非法訪問(wèn)放在信息系統(tǒng)中的信息。應(yīng)有安全設(shè)備來(lái)禁止訪問(wèn)應(yīng)用系統(tǒng)并只容許合法用戶邏輯訪問(wèn)軟件及信息。應(yīng)用系統(tǒng)應(yīng)該是：

? 按已定的業(yè)務(wù)訪問(wèn)控制策略，控制用戶進(jìn)入信息系統(tǒng)及訪問(wèn)應(yīng)用系統(tǒng)功能； ? 防止可以越過(guò)系統(tǒng)或應(yīng)用系統(tǒng)控制的工具及操作系統(tǒng)非法訪問(wèn)； ? 不破壞其它共享信息資源的系統(tǒng)的安全；

? 只讓擁有者、其它合法用戶或指定的用戶組訪問(wèn)信息；

3.6.1信息訪問(wèn)的限制

應(yīng)用系統(tǒng)的用戶，包括技術(shù)支持人員，應(yīng)按訪問(wèn)控制策略、個(gè)別業(yè)務(wù)的應(yīng)用要求及機(jī)構(gòu)的信息訪問(wèn)策略訪問(wèn)信息及應(yīng)用系統(tǒng)功能。要符合訪問(wèn)限制的要求，應(yīng)考慮以下的控制：

? 提供菜單來(lái)控制對(duì)應(yīng)用系統(tǒng)功能的訪問(wèn)；

? 適當(dāng)編輯用戶說(shuō)明書，把用戶不該知道的信息或應(yīng)用系統(tǒng)的功能去掉； ? 控制用戶的訪問(wèn)權(quán)限，例如閱讀、寫入、刪除及執(zhí)行；

? 保證處理敏感信息的應(yīng)用系統(tǒng)的輸出只有與輸出使用有關(guān)的信息，并只發(fā)送給合法的終端及地點(diǎn)，同時(shí)，也要定期檢查這些輸出確實(shí)沒(méi)有多余的信息。

3.6.2敏感系統(tǒng)的隔離

敏感系統(tǒng)需要有專用（隔離）的計(jì)算機(jī)環(huán)境。一些應(yīng)用系統(tǒng)的信息非常敏感，需要特別的處理以防止損失。應(yīng)用系統(tǒng)的敏感程度暗示需要在專用的計(jì)算機(jī)上運(yùn)行，只能與可信任的應(yīng)用系統(tǒng)共享資源。要考慮的問(wèn)題有：

? 應(yīng)明確標(biāo)明應(yīng)用系統(tǒng)的敏感程度，并由這系統(tǒng)的擁有者記錄保存； ? 當(dāng)一個(gè)敏感應(yīng)用系統(tǒng)要在共享環(huán)境下運(yùn)行，應(yīng)標(biāo)明有哪些應(yīng)用系統(tǒng)與它共享資源，并得到敏感應(yīng)用系統(tǒng)擁有者的同意。

3.7系統(tǒng)訪問(wèn)和使用的監(jiān)控

目的： 檢測(cè)非法活動(dòng)。

系統(tǒng)應(yīng)被監(jiān)控來(lái)檢測(cè)違反訪問(wèn)控制策略的活動(dòng)，以及記錄可檢測(cè)的事件，以便在發(fā)生安全事件時(shí)提供證據(jù)。

系統(tǒng)監(jiān)控能夠檢查所通過(guò)的管理是否有效，是否與訪問(wèn)控制模型（參看3.1）一致。

3.7.1事件記錄

應(yīng)有一個(gè)記錄異常事件及其它安全事件的審計(jì)日志，并在一段已定的時(shí)間內(nèi)保存?zhèn)溆?。審?jì)日志應(yīng)包括以下： ? 用戶ID；

? 登錄與推出登錄的日期時(shí)間； ? 終端或地點(diǎn)（如可能）的身份； ? 成功及拒絕的系統(tǒng)訪問(wèn)的日志； ? 成功及拒絕的數(shù)據(jù)及其它資源的訪問(wèn)。

? 某些審計(jì)日志因?yàn)楸４娌呗缘男枰蛘咭驗(yàn)橐占C據(jù)而需要?dú)w檔。

3.7.2監(jiān)控系統(tǒng)的使用 3.7.2.1風(fēng)險(xiǎn)的程序及區(qū)域

應(yīng)建立監(jiān)控信息處理設(shè)備使用情況的程序，以保證用戶只進(jìn)行明確授權(quán)了的

活動(dòng)。所需的監(jiān)控級(jí)別應(yīng)在評(píng)估風(fēng)險(xiǎn)后確定。

要考慮的區(qū)域有：

? 合法訪問(wèn)，包括詳細(xì)情況，如：

? 用戶ID；

? 重要事件發(fā)生的日期時(shí)間； ? 事件的種類； ? 所訪問(wèn)的文件； ? 所使用的進(jìn)程/工具。? 所有特權(quán)操作，例如：

? 管理賬號(hào)的使用； ? 系統(tǒng)的啟動(dòng)及停止；

? I/O 設(shè)備的附加裝臵/分離裝臵。? 非法訪問(wèn)的嘗試，例如：

? 失敗的嘗試；

? 網(wǎng)關(guān)及防火墻的違反訪問(wèn)策略的訪問(wèn)及通知； ? 入侵檢測(cè)系統(tǒng)的預(yù)警。? 系統(tǒng)預(yù)警或失敗，例如：

? 控制臺(tái)預(yù)警或消息； ? 系統(tǒng)日志的異常； ? 網(wǎng)絡(luò)管理的警報(bào)。

3.7.2.2風(fēng)險(xiǎn)因素

應(yīng)定期審查監(jiān)控活動(dòng)的結(jié)果，審查的頻率應(yīng)依賴于涉及的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)因素有： ? 應(yīng)用進(jìn)程的重要性；

? 所處理的信息的價(jià)值、敏感程度及重要性； ? 過(guò)去系統(tǒng)滲透及誤用的經(jīng)驗(yàn)；

? 系統(tǒng)聯(lián)網(wǎng)的范圍（特別是公用網(wǎng)）。

3.7.2.3對(duì)事件進(jìn)行日志記錄和審查

日志檢查包括了解系統(tǒng)所面臨的威脅，以及這些威脅在什么情況下會(huì)出現(xiàn)。3.7.1 是如果有安全事件發(fā)生時(shí)應(yīng)注意哪一類事件的例子。

系統(tǒng)日志的內(nèi)容一般是非常多，有很多是與安全監(jiān)控?zé)o關(guān)。要找出重要的事件，應(yīng)考慮自動(dòng)把合適的消息種類拷貝到第二個(gè)日志，以及/或使用合適的系統(tǒng)工具或?qū)徲?jì)工具檢查文件。

當(dāng)指定日志檢查的責(zé)任時(shí)，應(yīng)該把進(jìn)行檢查的人員和活動(dòng)被監(jiān)控的人員的角色分開(kāi)。特別要注意日志設(shè)備的安全，因?yàn)槿绻淮鄹?，日志等于是提供不真?shí)的安全，所以，要注意不要被非法更改及操作出錯(cuò)，如： ? 日志設(shè)備的停用；

? 所記錄的對(duì)消息種類的更改； ? 被編輯或刪除的日志文件；

? 日志文件儲(chǔ)存介質(zhì)的用盡，或者不能繼續(xù)記錄日志或者覆蓋自己。

3.7.3時(shí)鐘的同步

計(jì)算機(jī)時(shí)鐘的正確設(shè)臵是非常重要的，以保證審計(jì)日志的準(zhǔn)確性，留待日后調(diào)查或當(dāng)作法庭證據(jù)，不準(zhǔn)確的審計(jì)日志會(huì)妨礙這樣的調(diào)查工作，以及有損證據(jù)的可信性。

如果是計(jì)算機(jī)或通訊設(shè)備能夠?qū)崟r(shí)操作時(shí)鐘，應(yīng)把時(shí)鐘時(shí)間設(shè)成已認(rèn)可的標(biāo)準(zhǔn)，例如統(tǒng)一協(xié)同時(shí)間（Universal Co-ordinated Time）或當(dāng)?shù)貥?biāo)準(zhǔn)時(shí)間。因?yàn)橛行r(shí)鐘會(huì)隨時(shí)間變快或變慢，所以，應(yīng)有一個(gè)程序檢查時(shí)鐘的時(shí)間，如發(fā)現(xiàn)不對(duì)，可以予以改正。

3.8移動(dòng)終端操作及遠(yuǎn)程辦公

目的：保證信息安全在移動(dòng)環(huán)境及遠(yuǎn)程工作的設(shè)備上實(shí)現(xiàn)。應(yīng)考慮在這些情況有哪些風(fēng)險(xiǎn)后才決定要指定那些策略。移動(dòng)環(huán)境是個(gè)沒(méi)有保護(hù)的環(huán)境，應(yīng)仔細(xì)考慮會(huì)有什么風(fēng)險(xiǎn)，以及應(yīng)有哪方面的安全措施。至于遠(yuǎn)程工作模式，機(jī)構(gòu)應(yīng)保護(hù)遠(yuǎn)程工作的地點(diǎn)，并保證有合適的措施，保護(hù)在這樣的環(huán)境工作的安全。

3.8.1移動(dòng)操作

當(dāng)使用移動(dòng)計(jì)算機(jī)設(shè)備，例如筆記本、掌上寶、移動(dòng)電話等，應(yīng)小心業(yè)務(wù)信息不被破壞。應(yīng)頒布正式的策略，對(duì)付移動(dòng)操作的風(fēng)險(xiǎn)，舉例，策略應(yīng)包括物理保護(hù)的要求、訪問(wèn)控制和密碼控制技術(shù)、備份、防病毒等等，以及連接移動(dòng)設(shè)備到網(wǎng)絡(luò)的規(guī)定及建議，如何在公共場(chǎng)所使用這些設(shè)備的指引。

應(yīng)小心在公共場(chǎng)所、會(huì)議室及其它沒(méi)有保護(hù)的不在機(jī)構(gòu)辦公地點(diǎn)的地方使用移動(dòng)設(shè)備，應(yīng)保護(hù)不被非法訪問(wèn)或泄露被該設(shè)備儲(chǔ)存或處理的信息，方法之一是使用密碼技術(shù)。

重要的是，要注意在公共場(chǎng)所使用移動(dòng)設(shè)備時(shí)，小心不要被不認(rèn)識(shí)的人在后面偷看。同時(shí)，也要有防止惡意軟件程序，并要時(shí)常保持最新版本（參看8.3）。應(yīng)有隨時(shí)可用的設(shè)備，以便快速、輕松地備份信息。這些備份應(yīng)有很好的保護(hù)，不被盜取或丟失。

應(yīng)保護(hù)移動(dòng)設(shè)備到網(wǎng)絡(luò)的連接。使用移動(dòng)設(shè)備在公用網(wǎng)上遠(yuǎn)程訪問(wèn)業(yè)務(wù)信息時(shí)，只有在成功標(biāo)識(shí)及認(rèn)證并經(jīng)過(guò)訪問(wèn)控制機(jī)制（參看3.4）后才準(zhǔn)許連接。

移動(dòng)計(jì)算機(jī)的設(shè)備應(yīng)保護(hù)不被盜取，特別是放在汽車或其它交通工具、飯店房間、會(huì)議中心等情況下。不要把有重要敏感 及/或 重要業(yè)務(wù)信息的移動(dòng)設(shè)備擱在一旁，如可能的話，最好放在加鎖的地方，或是使用特別的鎖把設(shè)備鎖住。更多關(guān)于如何物理保護(hù)移動(dòng)設(shè)備的方法

應(yīng)提供培訓(xùn)給使用移動(dòng)設(shè)備的員工，提高他們的認(rèn)識(shí)，明白這樣的工作方式所帶來(lái)的風(fēng)險(xiǎn)，以及有什么管理辦法可以使移動(dòng)工作更安全。

3.8.2遠(yuǎn)程工作

遠(yuǎn)程工作是指使用通訊技術(shù)使員工在一個(gè)不在機(jī)構(gòu)的固定地方遠(yuǎn)程工作，為了安全，所以要保護(hù)遠(yuǎn)程工作的地點(diǎn)，例如保護(hù)設(shè)備及信息不要被盜取，不要非法公開(kāi)信息，不要非法遠(yuǎn)程訪問(wèn)機(jī)構(gòu)的內(nèi)部系統(tǒng)或?yàn)E用設(shè)備。要注意由管理層授權(quán)及管理遠(yuǎn)程工作，保證實(shí)施了保護(hù)措施使遠(yuǎn)程工作安全。

機(jī)構(gòu)應(yīng)制定一套策略，程序及標(biāo)準(zhǔn)來(lái)管理遠(yuǎn)程工作的活動(dòng)。機(jī)構(gòu)應(yīng)只授權(quán)已有合適的安全安排及管理的遠(yuǎn)程工作活動(dòng)，并要求要與機(jī)構(gòu)的安全策略一致，要考慮的有：

? 現(xiàn)有遠(yuǎn)程工作地點(diǎn)的物理安全，包括大廈及當(dāng)?shù)丨h(huán)境的物理安全； ? 建議的遠(yuǎn)程工作環(huán)境；

? 安全通訊的要求，包括遠(yuǎn)程訪問(wèn)機(jī)構(gòu)內(nèi)部網(wǎng)的需要、被訪問(wèn)信息的敏感程度、內(nèi)部系統(tǒng)的敏感程度等；

? 工作環(huán)境內(nèi)的其他人（例如親人及朋友）非法訪問(wèn)信息或資源的威脅

要考慮的管理及安排有：

? 遠(yuǎn)程工作活動(dòng)有沒(méi)有合適的設(shè)備及保存設(shè)備；

? 定義什么工作可以進(jìn)行、工作的時(shí)間、要保存的信息分類以及遠(yuǎn)程工作者被授權(quán)可以訪問(wèn)的內(nèi)部系統(tǒng)及服務(wù)；

? 配備合適的通訊設(shè)備，包括安全遠(yuǎn)程訪問(wèn)的方法； ? 物理安全；

? 朋友或親人進(jìn)入設(shè)備或信息的規(guī)定及指引； ? 配備軟硬件的支持及維護(hù)； ? 備份及業(yè)務(wù)連續(xù)性的程序； ? 審計(jì)及安全監(jiān)控；

? 停止遠(yuǎn)程工作活動(dòng)后授權(quán)、訪問(wèn)權(quán)限的注銷及設(shè)備的歸還。4.網(wǎng)絡(luò)與通信安全 4.1網(wǎng)絡(luò)中面臨的威脅

4.1.1針對(duì)網(wǎng)絡(luò)設(shè)備的攻擊 4.1.1.1 交換機(jī)-針對(duì)CDP攻擊

說(shuō)明: Cisco專用協(xié)議，用來(lái)發(fā)現(xiàn)周邊相鄰的網(wǎng)絡(luò)設(shè)備

鏈路層幀，30s發(fā)送一次可以得到相鄰設(shè)備名稱，操作系統(tǒng)版本，接口數(shù)量和類型，接口IP地址等關(guān)鍵信息在所有接口上默認(rèn)打開(kāi) 危害: 任何人可以輕松得到整個(gè)網(wǎng)絡(luò)信息,可以被利用發(fā)起DoS攻擊：http://www.phenoelit.de/irpas/ 對(duì)策: 如不需要，禁止CDP,禁止User-End端口的CDP 4.1.1.2 交換機(jī)-針對(duì)STP攻擊

說(shuō)明: Spanning Tree Protocol防止交換網(wǎng)絡(luò)產(chǎn)生回路Root BridgeBPDU--bridge ID, path cost, interface 攻擊: 強(qiáng)制接管root bridge，導(dǎo)致網(wǎng)絡(luò)邏輯結(jié)構(gòu)改變，在重新生成STP時(shí)，可以導(dǎo)致某些端口暫時(shí)失效，可以監(jiān)聽(tīng)大部份網(wǎng)絡(luò)流量。BPDU Flood：消耗帶寬，拒絕服務(wù) 對(duì)策: 對(duì)User-End端口，禁止發(fā)送BPDU

4.1.1.3 路由器-發(fā)現(xiàn)路由

通過(guò)tracertroute命令,最后一個(gè)路由容易成為DoS攻擊目標(biāo).4.1.1.4路由器-猜測(cè)路由器類型

端口掃描,操作系統(tǒng)堆棧指紋,登陸旗標(biāo)（banner）,其它特征：如Cisco路由器1999端口的ack分組信息，會(huì)有cisco字樣提示

4.1.2拒絕服務(wù)（DoS）攻擊

DoS（Denial of Service）

拒絕服務(wù)攻擊是用來(lái)顯著降低系統(tǒng)提供服務(wù)的質(zhì)量或可用性的一種有目的行為。

DDoS（Distributed Denial of service）

分布式拒絕服務(wù)攻擊使用了分布式客戶服務(wù)器功能，加密技術(shù)及其它類的功能，它能被用于控制任意數(shù)量的遠(yuǎn)程機(jī)器，以產(chǎn)生隨機(jī)匿名的拒絕服務(wù)攻擊和遠(yuǎn)程訪問(wèn)。

4.1.2.1 DoS攻擊舉例 ? Syn Flood ? Icmp Smurf（directed broadcast）? Udp Flood ? Icmp Ping Flood ? TARGA3(堆棧突破)

? 操作系統(tǒng)級(jí)別的拒絕服務(wù)（SMBDie）? 應(yīng)用級(jí)別的拒絕服務(wù)（pcanywhere）DDoS攻擊類型

? Trinoo ? TFN ? TFN2K ? FunTime Apocalypse Syn Flood SYN Flood是當(dāng)前最流行的DoS（拒絕服務(wù)攻擊）與DDoS（分布式拒絕服務(wù)攻擊）的方式之一，這是一種利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請(qǐng)求，從而使得被攻擊方資源耗盡（CPU滿負(fù)荷或內(nèi)存不足）的攻擊方式。

Icmp Smurf Smurf攻擊是以最初發(fā)動(dòng)這種攻擊的程序名Smurf來(lái)命名。這種攻擊方法結(jié)合使用了IP欺騙和ICMP回復(fù)方法使大量網(wǎng)絡(luò)傳輸充斥目標(biāo)系統(tǒng)，引起目標(biāo)系統(tǒng)拒絕為正常系統(tǒng)進(jìn)行服務(wù)。

攻擊的過(guò)程是這樣的：Attacker向一個(gè)具有大量主機(jī)和因特網(wǎng)連接的網(wǎng)絡(luò)的廣播地址發(fā)送一個(gè)欺騙性Ping分組（echo 請(qǐng)求），這個(gè)目標(biāo)網(wǎng)絡(luò)被稱為反彈站點(diǎn)，而欺騙性Ping分組的源地址就是攻擊者希望攻擊的系統(tǒng)。

網(wǎng)段中的所有主機(jī)都會(huì)向欺騙性分組的IP地址發(fā)送echo響應(yīng)信息。如果這是一個(gè)很大的以太網(wǎng)段，可以會(huì)有500個(gè)以上的主機(jī)對(duì)收到的echo請(qǐng)求進(jìn)行回復(fù)。

由于多數(shù)系統(tǒng)都會(huì)盡快地處理ICMP傳輸信息，Attacker把分組的源地址設(shè)臵為目標(biāo)系統(tǒng)，因些目標(biāo)系統(tǒng)都很快就會(huì)被大量的echo信息吞沒(méi)，這樣輕而易舉地就能夠阻止該系統(tǒng)處理其它任何網(wǎng)絡(luò)傳輸，從而引起拒絕為正常系統(tǒng)服務(wù)。

這種攻擊不僅影響目標(biāo)系統(tǒng)，還影響目標(biāo)系統(tǒng)的網(wǎng)絡(luò)狀況。阻塞Smurf攻擊的源頭

Smurf攻擊依靠攻擊者的力量使用欺騙性源地址發(fā)送echo請(qǐng)求。用戶可以使用路由路的訪問(wèn)保證內(nèi)部網(wǎng)絡(luò)中發(fā)出的所有傳輸信息都具有合法的源地址，以防止這種攻擊。這樣可以使欺騙性分組無(wú)法找到反彈站點(diǎn)。

阻塞Smurf的反彈站點(diǎn)

用戶可以有兩種選擇以阻塞Smurf攻擊的反彈站點(diǎn)。第一種方法可以簡(jiǎn)單地阻塞所有入站echo請(qǐng)求，這們可以防止這些分組到達(dá)自己的網(wǎng)絡(luò)。

如果不能阻塞所有入站echo請(qǐng)求，用戶就需要將自己的路由器把網(wǎng)絡(luò)廣播地址映射成為L(zhǎng)AN廣播地址。制止了這個(gè)映射過(guò)程，自己的系統(tǒng)就不會(huì)再收到這些echo請(qǐng)求。

Udp Flood UDP攻擊的原理是使兩個(gè)或兩個(gè)以上的系統(tǒng)之間產(chǎn)生巨大的UDP數(shù)據(jù)包。首先使這兩種UDP服務(wù)都產(chǎn)生輸出，然后讓這兩種UDP服務(wù)之間互相通信，使一方的輸出成為另一方的輸入。這樣會(huì)形成很大的數(shù)據(jù)流量。當(dāng)多個(gè)系統(tǒng)之間互相產(chǎn)生UDP數(shù)據(jù)包時(shí)，最終將導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓。如果涉及的主機(jī)數(shù)目少，那么只有這幾臺(tái)主機(jī)會(huì)癱瘓

一些被惡意利用的UDP服務(wù)，如echo和chargen服務(wù)，它會(huì)顯示接收到的每一個(gè)數(shù)據(jù)包，而原本作為測(cè)試功能的chargen服務(wù)會(huì)在收到每一個(gè)數(shù)據(jù)包時(shí)隨機(jī)反饋一些字符，如果惡意攻擊者將這2個(gè)UDP服務(wù)互指，則網(wǎng)絡(luò)可用帶寬將很快耗盡

禁止相關(guān)服務(wù) 與網(wǎng)絡(luò)設(shè)備配合 Icmp Ping Flood Ping是通過(guò)發(fā)送ICMP報(bào)文(類型8代碼0)探尋網(wǎng)絡(luò)主機(jī)是否存在的一個(gè)工具。部分操作系統(tǒng)（例如win95），不能很好處理過(guò)大的Ping包，導(dǎo)致出現(xiàn)了Ping to Death的攻擊方式（用大Ping包搞垮對(duì)方或者塞滿網(wǎng)絡(luò)），由于在早期的階段，路由器對(duì)包的最大尺寸都有限制，許多操作系統(tǒng)對(duì)TCP/IP

棧的實(shí)現(xiàn)在ICMP包上都是規(guī)定64KB，并且在對(duì)包的標(biāo)題頭進(jìn)行讀取之后，要根據(jù)該標(biāo)題頭里包含的信息來(lái)為有效載荷生成緩沖區(qū)，當(dāng)產(chǎn)生畸形的，聲稱自己的尺寸超過(guò)ICMP上限的包也就是加載的尺寸超過(guò)64K上限時(shí)，就會(huì)出現(xiàn)內(nèi)存分配錯(cuò)誤，導(dǎo)致TCP/IP堆棧崩潰，致使接受方當(dāng)機(jī)。如果對(duì)方的操作系統(tǒng)已經(jīng)可以防御堆棧崩潰，也占去許多帶寬。

如TFN2K會(huì)產(chǎn)生大量的進(jìn)程，每個(gè)進(jìn)程都不停地發(fā)送PING包，從而導(dǎo)致被攻擊目標(biāo)的無(wú)法正常工作。

正常情況下，Ping的流程是這樣的: 主機(jī)A發(fā)送ICMP 8,0報(bào)文給主機(jī)B 主機(jī)B回送ICMp 0,0報(bào)文給主機(jī)A 因?yàn)镮CMP基于無(wú)連結(jié)，假設(shè)現(xiàn)在主機(jī)A偽裝成主機(jī)C發(fā) 送ICMP 8,0報(bào)文，結(jié)果會(huì)怎么樣呢?顯然，主機(jī)B會(huì)以為 是主機(jī)C發(fā)送的報(bào)文而去回應(yīng)主機(jī)C，結(jié)構(gòu)如下：

偽裝為主機(jī)C 錯(cuò)誤的回復(fù)

主機(jī)A--------------------->主機(jī)B------------------>主機(jī)C 這種情況下，由于主機(jī)A只需要不斷發(fā)送Ping報(bào)文而不 需要處理返回的EchoReply，所以攻擊力度成倍的增 加，同時(shí)實(shí)際上主機(jī)B和主機(jī)C都是被進(jìn)攻的目標(biāo)，而 且不會(huì)留下攻擊者的痕跡。

4.1.2.2 Cisco基于拒絕服務(wù)攻擊HTTP的漏洞

Cisco路由啟用(enable)遠(yuǎn)程WEB管理，很容易遭受DoS。這種DoS能導(dǎo)致路由器停止對(duì)網(wǎng)絡(luò)請(qǐng)求的響應(yīng)。這是功能是Cisco路由的內(nèi)嵌功能。但啟用

這個(gè)特性，通過(guò)構(gòu)造一個(gè)簡(jiǎn)單的Http請(qǐng)求就會(huì)造成DoS攻擊：

http:///%% 這種請(qǐng)求導(dǎo)致路由停止響應(yīng)，甚至引起路由器執(zhí)行硬重臵(hard reset)。如果http起用，瀏覽：

http://route_ip_addr/anytest?/ 并且提供特權(quán)口令，則可以導(dǎo)致DoS攻擊，導(dǎo)致路由停機(jī)或者重啟。

4.1.2.3 Cisco的WEB服務(wù)的越權(quán)訪問(wèn)漏洞：

幾乎所有的版本的Cisco設(shè)備IOS都有這個(gè)問(wèn)題存在，攻擊者只需要構(gòu)造一個(gè)如下的URL:http://IP/level/xx/exec/......即可!這里的xx是一個(gè)從16-99之間的整數(shù)。對(duì)于不同的設(shè)備，這個(gè)數(shù)值可能是不同的，但是攻擊者僅需要測(cè)試84次即可找到正確的數(shù)值。如果不能進(jìn)入，嘗試：http://10.10.10.10/level/20/exec/show config 試試這個(gè)連接地址，就會(huì)發(fā)現(xiàn)結(jié)果好象是不一樣了，我們已經(jīng)按照剛才的漏洞描述成功的繞過(guò)了Cisco的密碼檢查機(jī)制，現(xiàn)在擁有的是設(shè)備的管理員權(quán)限。

4.1.2.4 DDoS攻擊特性

? DDoS攻擊將越來(lái)越多地采用IP欺騙的技術(shù)；

? DDoS攻擊呈現(xiàn)由單一攻擊源發(fā)起進(jìn)攻，轉(zhuǎn)變?yōu)橛啥鄠€(gè)攻擊源對(duì)單一目標(biāo)進(jìn)攻的趨勢(shì);

? DDoS攻擊將會(huì)變得越來(lái)越智能化，試圖躲過(guò)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的檢測(cè)跟蹤，并試圖繞過(guò)防火墻防御體系;? 針對(duì)路由器的弱點(diǎn)的DDoS攻擊將會(huì)增多;

? DDoS攻擊利用路由器的多點(diǎn)傳送功能可以將攻擊效果擴(kuò)大若干倍;

? 采用半連接技術(shù)SYN攻擊，和針對(duì)TCP/IP協(xié)議先天缺陷的的ACK攻擊。

? 采用ICMP攻擊。

? 采用smurf攻擊 ? 采用UDP攻擊。

4.1.3欺騙攻擊 4.1.3.1 IP欺騙

原理: ? IP是網(wǎng)絡(luò)層的一個(gè)非面向連接的協(xié)議，偽造IP地址相對(duì)容易。? TCP三次握手 ? DoS攻擊 ? 序列號(hào)取樣和猜測(cè) 預(yù)防: ? 拋棄基于地址的信任策略 ? 進(jìn)行包過(guò)濾 ? 加密

? 使用隨機(jī)化初始序列號(hào)

4.1.3.2 ARP欺騙

實(shí)現(xiàn)簡(jiǎn)易:指定ARP包中的源IP、目標(biāo)IP、源MAC、目標(biāo)MAC Arp_send.c導(dǎo)致windows 9x、NT IP沖突死機(jī),Flooding,導(dǎo)致網(wǎng)絡(luò)異常

4.1.4網(wǎng)絡(luò)嗅探

共享環(huán)境下的嗅探技術(shù) 原理: 在以太網(wǎng)中是基于廣播方式傳送數(shù)據(jù)

網(wǎng)卡臵于混雜模式下可以接收所有經(jīng)的數(shù)據(jù) 工具

Sniffer pro、IRIS、netxray tcpdump、snoop、dsniff 4.1.5 拒絕服務(wù)攻擊的防御策略 4.1.5.1 Syn Flood 解決辦法

? 第一種是縮短SYN Timeout時(shí)間，由于SYN Flood攻擊的效果取決于服務(wù)器上保持的SYN半連接數(shù)，這個(gè)值=SYN攻擊的頻度 x SYN Timeout，所以通過(guò)縮短從接收到SYN報(bào)文到確定這個(gè)報(bào)文無(wú)效并丟棄改連接的時(shí)間，例如設(shè)臵為20秒以下（過(guò)低的SYN Timeout設(shè)臵可能會(huì)影響客戶的正常訪問(wèn)），可以成倍的降低服務(wù)器的負(fù)荷。

? 第二種方法是設(shè)臵SYN Cookie，就是給每一個(gè)請(qǐng)求連接的IP地址分配一個(gè)Cookie，如果短時(shí)間內(nèi)連續(xù)受到某個(gè)IP的重復(fù)SYN報(bào)文，就認(rèn)定是受到了攻擊，以后從這個(gè)IP地址來(lái)的包會(huì)被一概丟棄。

動(dòng)態(tài)分析

受到攻擊時(shí)在線分析TCP SYN報(bào)文的所有細(xì)節(jié)。如源地址、IP首部中的標(biāo)識(shí)、TCP首部中的序列號(hào)、TTL值等，特別是TTL值，如果大量的攻擊包似乎來(lái)自不同的IP但是TTL值卻相同，往往能推斷出攻擊者與目標(biāo)之間的路由器距離，至少也可以通過(guò)過(guò)濾特定TTL值的報(bào)文降低被攻擊系統(tǒng)的負(fù)荷（在這種情況下TTL值與攻擊報(bào)文不同的用戶就可以恢復(fù)正常訪問(wèn)）網(wǎng)絡(luò)設(shè)備配合

專業(yè)級(jí)的抗DOS攻擊產(chǎn)品。負(fù)載均衡

基于DNS解析的負(fù)載均衡本身就擁有對(duì)SYN Flood的免疫力，基于

DNS解析的負(fù)載均衡能將用戶的請(qǐng)求分配到不同IP的服務(wù)器主機(jī)上，SYN Flood程序有兩種攻擊方式，基于IP的和基于域名的，前者是攻擊者自己進(jìn)行域名解析并將IP地址傳遞給攻擊程序，后者是攻擊程序自動(dòng)進(jìn)行域名解析，但是它們有一點(diǎn)是相同的，就是一旦攻擊開(kāi)始，將不會(huì)再進(jìn)行域名解析。攻擊者攻擊的永遠(yuǎn)只是其中一臺(tái)服務(wù)器。

4.1.5.2 檢測(cè)DDoS攻擊

使用DDoS檢測(cè)工具 1.使用工具可以發(fā)現(xiàn)攻擊者植入系統(tǒng)的代理程序，并可以把它從系統(tǒng)中刪除。

使用ngrep監(jiān)聽(tīng)工具。經(jīng)過(guò)修改的ngrep可以監(jiān)聽(tīng)大約五種類型的tfn2k拒絕服務(wù)攻擊(targa3, SYN flood, UDP flood, ICMP flood 和 smurf)，它還有一個(gè)循環(huán)使用的緩存用來(lái)記錄DNS和ICMP請(qǐng)求。如果ngrep發(fā)覺(jué)有攻擊行為的話，它會(huì)將其緩存中的內(nèi)容打印出來(lái)并繼續(xù)記錄ICMP回應(yīng)請(qǐng)求。假如攻擊者通過(guò)ping目標(biāo)主機(jī)的手段來(lái)鉚定攻擊目標(biāo)的話，在攻擊過(guò)程中或之后記錄ICMP的回應(yīng)請(qǐng)求是一種捕獲粗心的攻擊者的方法。由于攻擊者還很可能使用其他的服務(wù)來(lái)核實(shí)其攻擊的效果（例如web），所以對(duì)其他的標(biāo)準(zhǔn)服務(wù)也應(yīng)當(dāng)有盡量詳細(xì)的日志記錄。

2.與網(wǎng)絡(luò)服務(wù)提供商協(xié)作 能否與上一級(jí)的網(wǎng)絡(luò)主干服務(wù)提供商進(jìn)行良好的合作是非常重要的事情。DDoS攻擊對(duì)帶寬的使用是非常嚴(yán)格的，無(wú)論使用什么方法都無(wú)法使自己的網(wǎng)絡(luò)對(duì)它的上一級(jí)進(jìn)行控制。最好能夠與網(wǎng)絡(luò)服務(wù)供應(yīng)商進(jìn)行協(xié)商，請(qǐng)求他們幫助實(shí)現(xiàn)路由的訪問(wèn)控制，以實(shí)現(xiàn)對(duì)帶寬總量的限制以及不同的訪問(wèn)地址在同一時(shí)間對(duì)帶寬的占有率。最好請(qǐng)求服務(wù)提供商幫監(jiān)視網(wǎng)絡(luò)流量，并在遭受攻擊時(shí)允許訪問(wèn)他們的路由器。3.安裝IDS和監(jiān)控異常流量。在防衛(wèi)攻擊方面，安裝IDS可以發(fā)現(xiàn)是否有入侵行動(dòng)正在進(jìn)行，立即對(duì)

入侵行動(dòng)進(jìn)行報(bào)警。以最快時(shí)間內(nèi)對(duì)入侵做成反應(yīng)。此外，也要時(shí)常監(jiān)控網(wǎng)絡(luò)流量，注意是否有異常的流量產(chǎn)生。4.優(yōu)化對(duì)外提供服務(wù)的主機(jī) 對(duì)于潛在的有可能遭受攻擊的主機(jī)也要同樣進(jìn)行設(shè)臵保護(hù)。在服務(wù)器上禁止一切不必要的服務(wù)，打補(bǔ)丁，進(jìn)行安全配臵。此外，用防火墻對(duì)提供服務(wù)的主機(jī)進(jìn)行保護(hù)，對(duì)訪問(wèn)量大的主機(jī)進(jìn)行負(fù)載均衡。將網(wǎng)站分布在多個(gè)不同的物理主機(jī)上，這樣每一臺(tái)主機(jī)只包含了網(wǎng)站的一部分，防止了網(wǎng)站在遭受攻擊時(shí)全部癱瘓。

5.立即啟動(dòng)應(yīng)付策略，盡可能快的向回追蹤攻擊包 如果發(fā)現(xiàn)攻擊并非來(lái)自內(nèi)部應(yīng)當(dāng)立即與服務(wù)提供商取得聯(lián)系。由于攻擊包的源地址很有可能是被攻擊者偽裝的，因此不必過(guò)分的相信該地址。應(yīng)當(dāng)迅速的判斷是否遭到了拒絕服務(wù)攻擊，因?yàn)樵诠敉Ｖ购?，只有很短的一段時(shí)間您可以向回追蹤攻擊包，這最好和安全公司或組織一道來(lái)追查攻擊者。6.與信息安全監(jiān)察部門聯(lián)系

由于系統(tǒng)日志屬于電子證據(jù)，可以被非法修改。所以一旦攻擊發(fā)生，應(yīng)該及時(shí)與信息安全監(jiān)察部門聯(lián)系，及時(shí)提供系統(tǒng)日志作為證據(jù)保全，以利于追查和起訴攻擊者，便于日后用法律手段追回經(jīng)濟(jì)損失

4.1.5.3 DDoS預(yù)防方法

1.限制ICMP數(shù)據(jù)包出站速率 Interface xx rate-limit output access-group 102 256000 8000 8000 conform-action transmit exceed-action drop Access-list 102 permit icmp any any echo Access-list 102 permit icmp any any echo-reply 2.限制SYN數(shù)據(jù)包連接速率

Interface xx Rete-limit input access-group 103 8000 8000 8000 conform-action transmit exceed-action drop Access-list 103 deny tcp any host xx.xx.xx.xx established Access-list 103 permit tcp any host xx.xx.xx.xx 3.RFC1918約定過(guò)濾 Interface xx Ip access-group 101 in Access-list 101 deny ip 10.0.0.0 0.255.255.255 any Access-list 101 deny ip 172.16.0.0 0.0.255.255 any Access-list 101 deny ip 192.168.0.0 0.0.0.255 any Access-list 101 permit ip any any

5.安全設(shè)計(jì)方案

絕對(duì)安全與可靠的信息系統(tǒng)并不存在。一個(gè)所謂的安全系統(tǒng)實(shí)際上應(yīng)該是“使入侵者花費(fèi)不可接受的時(shí)間與金錢，并且承受很高的風(fēng)險(xiǎn)才能闖入”系統(tǒng)。安全性的增加通常導(dǎo)致企業(yè)費(fèi)用的增長(zhǎng)，這些費(fèi)用包括系統(tǒng)性能下降、系統(tǒng)復(fù)雜性增加、系統(tǒng)可用性降低和操作與維護(hù)成本增加等等。安全是一個(gè)過(guò)程而不是目的。弱點(diǎn)與威脅隨時(shí)間變化。安全的努力依賴于許多因素，例如職員的調(diào)整、新業(yè)務(wù)應(yīng)用的實(shí)施、新攻擊技術(shù)與工具的導(dǎo)入和安全漏洞。

5.1系統(tǒng)安全設(shè)計(jì)原則

在具體進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)的安全設(shè)計(jì)、規(guī)劃時(shí)，一般應(yīng)遵循以下原則： 1）需求、風(fēng)險(xiǎn)、代價(jià)平衡分析的原則：對(duì)任一網(wǎng)絡(luò)來(lái)說(shuō)，絕對(duì)安全難

以達(dá)到，也不一定必要。對(duì)一個(gè)網(wǎng)絡(luò)要進(jìn)行實(shí)際分析，對(duì)網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險(xiǎn)進(jìn)行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施，確定本系統(tǒng)的安全策略。保護(hù)成本、被保護(hù)信息的價(jià)值必須平衡，價(jià)值僅1萬(wàn)元的信息如果用5萬(wàn)元的技術(shù)和設(shè)備去保護(hù)是一種不適當(dāng)?shù)谋Ｗo(hù)。

2）綜合性、整體性原則：運(yùn)用系統(tǒng)工程的觀點(diǎn)、方法，分析網(wǎng)絡(luò)的安全問(wèn)題，并制定具體措施。一個(gè)較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)包括個(gè)人、設(shè)備、軟件、數(shù)據(jù)等環(huán)節(jié)。它們?cè)诰W(wǎng)絡(luò)安全中的地位和影響作用，只有從系統(tǒng)綜合的整體角度去看待和分析，才可能獲得有效、可行的措施。

3）一致性原則：這主要是指網(wǎng)絡(luò)安全問(wèn)題應(yīng)與整個(gè)網(wǎng)絡(luò)的工作周期（或生命周期）同時(shí)存在，制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致。實(shí)際上，在網(wǎng)絡(luò)建設(shè)之初就考慮網(wǎng)絡(luò)安全對(duì)策，比等網(wǎng)絡(luò)建設(shè)好后再考慮，不但容易，而且花費(fèi)也少得多。

4）易操作性原則：安全措施要由人來(lái)完成，如果措施過(guò)于復(fù)雜，對(duì)操作人員的要求過(guò)高，本身就降低了安全性。其次，采用的措施不能影響系統(tǒng)的正常運(yùn)行。

5）適應(yīng)性、靈活性原則：安全措施必須能隨著網(wǎng)絡(luò)性能及安全需求的變化而變化，要容易適應(yīng)、容易修改，并能切合系統(tǒng)的狀況，滿足分階段實(shí)施的要求。

5.2建設(shè)目標(biāo)

網(wǎng)絡(luò)安全是一個(gè)循序漸進(jìn)的過(guò)程，不可能一蹴而就。所以，要求我們首先定位關(guān)鍵資源和關(guān)鍵的安全風(fēng)險(xiǎn)，以此為基點(diǎn)，先對(duì)關(guān)鍵資源和高危風(fēng)險(xiǎn)進(jìn)行保護(hù)，然后按照發(fā)散性的思路進(jìn)行縱深層面的安全分析和擴(kuò)展保護(hù)。

目前內(nèi)網(wǎng)網(wǎng)絡(luò)系統(tǒng)中最為迫切的安全需求包括病毒防御、網(wǎng)絡(luò)邊界防御、關(guān)鍵業(yè)務(wù)系統(tǒng)保護(hù)、應(yīng)用系統(tǒng)保護(hù)和基本安全管理制度實(shí)現(xiàn)。通過(guò)這些安全產(chǎn)品的部署和安全機(jī)制的實(shí)現(xiàn)，主要解決以下安全問(wèn)題：

? 通用安全防護(hù)，如對(duì)病毒的檢測(cè)，移動(dòng)代碼過(guò)濾等。

? 內(nèi)外網(wǎng)絡(luò)系統(tǒng)間的入侵檢測(cè)、信息過(guò)濾（惡意代碼、非法信息的傳播）。

? 內(nèi)部人員濫用權(quán)利，有意犯罪，越權(quán)訪問(wèn)機(jī)密信息或惡意篡改等問(wèn)題。

? 內(nèi)外部人員針對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施、主機(jī)系統(tǒng)和應(yīng)用服務(wù)的各種攻擊，造成網(wǎng)絡(luò)和系統(tǒng)服務(wù)不可用、信息泄密、數(shù)據(jù)被篡改等。

? 缺少必要的安全管理制度來(lái)保證系統(tǒng)安全的實(shí)現(xiàn)。針對(duì)這些安全問(wèn)題，我們可以采用的安全防護(hù)技術(shù)包括： 病毒防御 － 企業(yè)級(jí)防病毒系統(tǒng)

內(nèi)網(wǎng)網(wǎng)絡(luò)系統(tǒng)中應(yīng)該部署網(wǎng)絡(luò)級(jí)防病毒軟件，實(shí)現(xiàn)統(tǒng)一、跨平臺(tái)的分級(jí)管理，即：管理策略、病毒特征代碼可以進(jìn)行統(tǒng)一的管理和分發(fā)，并可以實(shí)現(xiàn)分級(jí)管理。

對(duì)病毒的防御不應(yīng)該僅僅停留在查殺病毒和將病毒抵御在系統(tǒng)之外。更高層次的病毒防御目標(biāo)是對(duì)病毒感染、發(fā)作、爆發(fā)的追蹤和控制。從紅色代碼、nimda等蠕蟲(chóng)病毒開(kāi)始，新型的病毒已經(jīng)表現(xiàn)出一些新的特征，如利用網(wǎng)絡(luò)快速傳播、利用系統(tǒng)漏洞進(jìn)行感染和結(jié)合黑客手段等，因此在病毒爆發(fā)時(shí)，如果我們不能對(duì)病毒的傳播源和傳播途徑進(jìn)行控制，勢(shì)必?zé)o法完全防范病毒的發(fā)作。

5.3總體方案

內(nèi)網(wǎng)系統(tǒng)設(shè)計(jì)的安全防護(hù)系統(tǒng)主要考慮以下幾個(gè)方面： 1)整體和各級(jí)網(wǎng)絡(luò)結(jié)構(gòu)的正確規(guī)劃，網(wǎng)絡(luò)中設(shè)備的正確配臵；

2)整體安全規(guī)范制度的確立，各級(jí)系統(tǒng)進(jìn)行信息進(jìn)行時(shí)需要正確依照安全通訊規(guī)則；

3)數(shù)據(jù)傳輸?shù)囊恢滦?、完整性以及保密性，確保數(shù)據(jù)在各級(jí)網(wǎng)絡(luò)中傳輸?shù)?/p>

安全，以及明確各級(jí)信息的重要程度與不可否認(rèn)性；

4)網(wǎng)絡(luò)安全防護(hù)，即數(shù)據(jù)出入各級(jí)網(wǎng)絡(luò)的安全檢查以及網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)傳輸?shù)陌踩珜徲?jì)與管理如，安全網(wǎng)關(guān)，入侵檢測(cè)系統(tǒng)，網(wǎng)絡(luò)審計(jì)等技術(shù)的實(shí)施。

5)關(guān)鍵設(shè)備的重點(diǎn)保護(hù)，即對(duì)于承擔(dān)系統(tǒng)中重要工作如，數(shù)據(jù)計(jì)算，數(shù)據(jù)存儲(chǔ)，信息傳輸?shù)确?wù)器進(jìn)行有針對(duì)性的系統(tǒng)安全操作規(guī)則的制定；

6)人員管理，對(duì)于使用系統(tǒng)的所有人員進(jìn)行統(tǒng)一管理，明確劃分其在不同網(wǎng)絡(luò)中的職責(zé)權(quán)力；

7)通用安全防護(hù)，如對(duì)個(gè)人PC機(jī)的病毒檢測(cè)，移動(dòng)代碼過(guò)濾等。

5.4總體設(shè)計(jì)思想

網(wǎng)絡(luò)安全是一個(gè)循序漸進(jìn)的過(guò)程，不可能一蹴而就。所以，本著首先定位關(guān)鍵資源，然后以主動(dòng)保護(hù)關(guān)鍵資源為基點(diǎn)，先對(duì)關(guān)鍵資源進(jìn)行保護(hù), 然后按照發(fā)散性的思路進(jìn)行縱深層面的安全分析和擴(kuò)展保護(hù)。

5.4.1內(nèi)網(wǎng)設(shè)計(jì)原則

? 信息系統(tǒng)安全與保密的“木桶原則”：對(duì)信息均衡、全面地進(jìn)行安全保護(hù)。

? 信息安全系統(tǒng)的“整體性原則”：包括安全防護(hù)、監(jiān)測(cè)和應(yīng)急恢復(fù)。? 信息安全系統(tǒng)的“有效性與實(shí)用性”原則：不影響系統(tǒng)正常運(yùn)行和合法用戶的操作活動(dòng)。

? 信息安全系統(tǒng)的“安全性評(píng)價(jià)”原則：實(shí)用安全性與用戶需求和應(yīng)用環(huán)境緊密相關(guān)。

? 信息安全系統(tǒng)的“等級(jí)性”原則

? 信息安全系統(tǒng)的“動(dòng)態(tài)化”原則：引入盡可能多的可變因素，并具有良好的擴(kuò)展性。

? 設(shè)計(jì)為本原則：安全與保密系統(tǒng)的設(shè)計(jì)應(yīng)與網(wǎng)絡(luò)設(shè)計(jì)相結(jié)合，即在

網(wǎng)絡(luò)進(jìn)行總體設(shè)計(jì)時(shí)考慮安全系統(tǒng)的設(shè)計(jì)，二者合二為一。

? 自主和可控性原則：解決網(wǎng)絡(luò)安全產(chǎn)品的自主權(quán)和自控權(quán)問(wèn)題，建立我們自主的網(wǎng)絡(luò)安全產(chǎn)品和產(chǎn)業(yè)。

? 權(quán)限分割、互相制約、最小化原則：實(shí)現(xiàn)權(quán)限最小原則。? 有的放矢、各取所需原則：考慮性能價(jià)格的平衡，根據(jù)不同的網(wǎng)絡(luò)系統(tǒng)，側(cè)重不同求的安全需求。

5.4.2有步驟、分階段實(shí)現(xiàn)安全建設(shè)

安全產(chǎn)品的部署應(yīng)該是一個(gè)有步驟、分階段的過(guò)程，因此內(nèi)網(wǎng)的信息安全系統(tǒng)設(shè)計(jì)了三個(gè)階段的建設(shè)過(guò)程。

? 在安全建設(shè)初期，我們考慮立竿見(jiàn)影的安全效果，著重保護(hù)重點(diǎn)資產(chǎn)。因此關(guān)鍵服務(wù)器和網(wǎng)絡(luò)主干設(shè)備等是我們考慮的重點(diǎn)。在這個(gè)階段，防火墻、入侵檢測(cè)和防病毒等技術(shù)是需要優(yōu)先考慮的技術(shù)?？蛻舳说谋Ｗo(hù)側(cè)重在防病毒和終端用戶管理方面，隨著安全管理的需求增加，我們建議考慮建立一個(gè)基本的安全管理制度。

? 在安全建設(shè)中期，我們考慮關(guān)鍵服務(wù)器、客戶端和網(wǎng)絡(luò)主干設(shè)備的進(jìn)一步保護(hù)。漏洞掃描技術(shù)和終端安全管理系統(tǒng)，安全管理制度的進(jìn)一步完善是本階段的工作重點(diǎn)，安全審計(jì)技術(shù)也為安全管理制度的落實(shí)提供了技術(shù)上的保證。客戶端的保護(hù)也是本階段的重點(diǎn)。在內(nèi)網(wǎng)的信息系統(tǒng)運(yùn)行了一至兩年后，各種應(yīng)用基本趨于完善，業(yè)務(wù)流程也基本穩(wěn)定，建議考慮建設(shè)CA認(rèn)證系統(tǒng)，強(qiáng)調(diào)對(duì)客戶端的完整管理和保護(hù)。

? 最后，在整個(gè)信息系統(tǒng)允許3至5年后，整個(gè)信息系統(tǒng)的運(yùn)行已經(jīng)比較成熟，系統(tǒng)管理員對(duì)于整個(gè)網(wǎng)絡(luò)架構(gòu)有了深入的理解，網(wǎng)絡(luò)設(shè)備、安全產(chǎn)品的數(shù)量也不斷增加。我們建議在這個(gè)階段考慮實(shí)現(xiàn)完整的安全生命周期和建設(shè)統(tǒng)一的安全管理平臺(tái)。完整的安全生命周期遵循安全的動(dòng)態(tài)性原則。安全統(tǒng)一管理平臺(tái)實(shí)現(xiàn)對(duì)所有安全設(shè)備和網(wǎng)絡(luò)設(shè)備的單點(diǎn)、集中管理，并在更高的層面上接收各種安全事件對(duì)這些事件進(jìn)行深

層的分析，統(tǒng)計(jì)和關(guān)聯(lián)，提供處理方法和建議，實(shí)現(xiàn)專家分析系統(tǒng)。

5.4.3完整的安全生命周期

完整的安全生命周期應(yīng)該是由評(píng)估、檢測(cè)、預(yù)防和管理幾個(gè)部分組成的動(dòng)態(tài)系統(tǒng)。數(shù)量眾多的設(shè)備、系統(tǒng)和應(yīng)用是導(dǎo)致安全隱患不斷出現(xiàn)的根本原因，我們不能指望通過(guò)一次的安全建設(shè)就達(dá)到完全的安全保護(hù)效果。安全檢測(cè)、預(yù)防和管理可以通過(guò)入侵檢測(cè)、防火墻等手段實(shí)現(xiàn)，安全評(píng)估則可以通過(guò)漏洞掃描工具和人工評(píng)估的方式實(shí)現(xiàn)。因此我們建議在項(xiàng)目建設(shè)的中期或后期采用安全評(píng)估和安全加固服務(wù)，在漏洞掃描系統(tǒng)供管理員日常對(duì)系統(tǒng)進(jìn)行安全掃描的基礎(chǔ)上，根據(jù)掃描報(bào)告的加固建議進(jìn)行安全隱患修復(fù)，還通過(guò)人工服務(wù)的方式進(jìn)行安全隱患的發(fā)現(xiàn)和修復(fù)。

5.5 網(wǎng)絡(luò)區(qū)域劃分與安全隱患

作為一個(gè)整體的安全防護(hù)體系，我們首先對(duì)內(nèi)網(wǎng)信息系統(tǒng)進(jìn)行區(qū)域劃分，針對(duì)不同區(qū)域的特點(diǎn)來(lái)部署不同的安全技術(shù)和安全產(chǎn)品。同時(shí)，各個(gè)不同區(qū)域的安全管理制度也應(yīng)該根據(jù)區(qū)域的特點(diǎn)而有所不同。

6.0網(wǎng)絡(luò)安全部署

保護(hù)目標(biāo)

內(nèi)部網(wǎng)絡(luò)的各類服務(wù)器、網(wǎng)絡(luò)設(shè)備和客戶端。服務(wù)器和網(wǎng)絡(luò)設(shè)備是我們保護(hù)的主要目標(biāo)，但實(shí)際發(fā)生的安全問(wèn)題往往是由于客戶端的安全問(wèn)題引起的。因此，不應(yīng)該忽視對(duì)客戶端的完善防護(hù)。

威脅來(lái)源

來(lái)自內(nèi)部環(huán)境的安全威脅主要有：

? 感染病毒，病毒、惡意代碼的傳播，并導(dǎo)致系統(tǒng)遭到破壞；

? 口令管理不善會(huì)造成來(lái)自內(nèi)部用戶的對(duì)服務(wù)器的入侵和破壞；

? UNIX和NT系統(tǒng)的缺陷和漏洞也為內(nèi)部用戶的入侵創(chuàng)造了條件；

? 數(shù)據(jù)庫(kù)的安全隱患使內(nèi)部用戶有機(jī)會(huì)篡改或破壞數(shù)據(jù)，或在數(shù)據(jù)庫(kù)系統(tǒng)中隱藏邏輯炸彈，構(gòu)成對(duì)企業(yè)核心業(yè)務(wù)的重大威脅；

? 內(nèi)部用戶濫用權(quán)利、越權(quán)訪問(wèn)； ? 內(nèi)部用戶的網(wǎng)絡(luò)濫用和非法網(wǎng)絡(luò)行為； ? 重要數(shù)據(jù)在傳輸過(guò)程中可能被泄密或被篡改； ? 硬件故障等災(zāi)難性事故。

安全策略

在初期的安全部署中，我們建議采用以下技術(shù)防范上述的安全威脅：

1.網(wǎng)絡(luò)防病毒技術(shù)

在系統(tǒng)內(nèi)所有服務(wù)器和客戶端部署統(tǒng)一管理的企業(yè)級(jí)防病毒系統(tǒng)。通過(guò)防病毒系統(tǒng)的統(tǒng)一部署，可以防止病毒的感染和傳播。這可以解決常見(jiàn)的計(jì)算機(jī)癱瘓、網(wǎng)絡(luò)阻塞等安全問(wèn)題。

2.網(wǎng)關(guān)過(guò)濾技術(shù)

在之間通過(guò)網(wǎng)關(guān)過(guò)濾系統(tǒng)進(jìn)行隔離，并合理的配臵限制來(lái)自多種協(xié)議的病毒蠕蟲(chóng)等攻擊，減少網(wǎng)絡(luò)和主機(jī)受攻擊的風(fēng)險(xiǎn)。尤其是實(shí)現(xiàn)自動(dòng)的更新和升級(jí)，即使防御最新型的混合型威脅。此外，還可以通過(guò)網(wǎng)關(guān)過(guò)濾系統(tǒng)來(lái)保護(hù)免遭垃圾郵件的威脅。

3.入侵檢測(cè)技術(shù)

在核心交換機(jī)上安裝一臺(tái)硬件入侵檢測(cè)系統(tǒng)對(duì)核心交換區(qū)域進(jìn)行實(shí)時(shí)的入侵行為發(fā)現(xiàn)。入侵檢測(cè)系統(tǒng)可以實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)上和主機(jī)上的事件，基于入侵的知識(shí)庫(kù)，可以有效的防止大多數(shù)的攻擊手段和訪問(wèn)異常，并

提供報(bào)警機(jī)和在線監(jiān)控能力，使管理員隨時(shí)獲得服務(wù)器網(wǎng)絡(luò)的安裝狀況的信息。入侵檢測(cè)和強(qiáng)化的訪問(wèn)控制機(jī)制可以為系統(tǒng)提供堅(jiān)固的審計(jì)功能。這樣的可靠和完備的審計(jì)機(jī)制對(duì)內(nèi)部入侵可以起到良好的預(yù)防作用，能夠被系統(tǒng)記錄下操作的痕跡，并有可能被追究責(zé)任而受到嚴(yán)厲的懲罰，對(duì)企圖破壞系統(tǒng)的內(nèi)部員工會(huì)起到威懾力量。

在中期和遠(yuǎn)期的安全部署中，我們建議考慮以下技術(shù)，進(jìn)一步完善安全體系。

1.身份認(rèn)證技術(shù)

用戶的訪問(wèn)權(quán)限和口令的保護(hù)是提高系統(tǒng)安全性的重要保障。但目前的用戶認(rèn)證和訪問(wèn)控制系統(tǒng)仍存在很多的安全隱患，如對(duì)用戶訪問(wèn)權(quán)限的定義比較模糊，采用的用戶名/口令的保護(hù)仍屬于弱認(rèn)證機(jī)制等。這些安全隱患必須從應(yīng)用系統(tǒng)本身進(jìn)行保護(hù)，實(shí)現(xiàn)統(tǒng)一用戶管理和統(tǒng)一授權(quán)。

2.第三方主機(jī)保護(hù)和審計(jì)技術(shù)

主機(jī)保護(hù)軟件的口令策略機(jī)制統(tǒng)一服務(wù)器的口令質(zhì)量、口令生命周期等，并在全網(wǎng)絡(luò)范圍內(nèi)部署策略。主機(jī)保護(hù)軟件分割管理員權(quán)限，實(shí)施集中管理的強(qiáng)制訪問(wèn)控制。這種強(qiáng)制的訪問(wèn)控制和對(duì)root權(quán)限的分割可以增強(qiáng)對(duì)系統(tǒng)中的審計(jì)機(jī)制的保護(hù)，而在普通的操作系統(tǒng)，獲得管理員身份的入侵者可疑任意刪除和修改系統(tǒng)的審計(jì)信息。管理員能夠通過(guò)一個(gè)中央控制臺(tái)實(shí)現(xiàn)對(duì)所有的主機(jī)進(jìn)行安全保護(hù)。

6.1防火墻系統(tǒng)

6.1.1 防火墻系統(tǒng)的設(shè)計(jì)思想

在計(jì)算機(jī)網(wǎng)絡(luò)中，一個(gè)網(wǎng)絡(luò)防火墻扮演著防備潛在的惡意的活動(dòng)的屏障，并可通過(guò)一個(gè)”門”來(lái)允許人們?cè)谀愕陌踩W(wǎng)絡(luò)和開(kāi)放的不安全的網(wǎng)絡(luò)之間通信。原來(lái)，一個(gè)防火墻是由一個(gè)單獨(dú)的機(jī)器組成的，放臵在你的私有網(wǎng)絡(luò)和公網(wǎng)之間。近些年來(lái)，防火墻機(jī)制已發(fā)展到不僅僅是”firlwall box”，更多提及到的是堡壘主

第二篇：電子政務(wù)網(wǎng)絡(luò)安全解決方案

電子政務(wù)網(wǎng)絡(luò)安全解決方案

電子政務(wù)網(wǎng)絡(luò)安全概述

以Internet為代表的全球性信息化浪潮日益深刻，信息網(wǎng)絡(luò)技術(shù)的應(yīng)用正日益普及和廣泛，應(yīng)用層次正在深入，應(yīng)用領(lǐng)域從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展，典型的如行政部門業(yè)務(wù)系統(tǒng)、金融業(yè)務(wù)系統(tǒng)、政府機(jī)關(guān)商務(wù)系統(tǒng)等。伴隨網(wǎng)絡(luò)的普及，安全日益成為影響網(wǎng)絡(luò)效能的重要問(wèn)題，而Internet所具有的開(kāi)放性、國(guó)際性和自由性在增加應(yīng)用自由度的同時(shí)，對(duì)安全提出了更高的要求。如何使信息網(wǎng)絡(luò)系統(tǒng)不受黑客和工業(yè)間諜的入侵，已成為政府機(jī)構(gòu)、企事業(yè)單位信息化健康發(fā)展所要考慮的重要事情之一。

網(wǎng)絡(luò)規(guī)劃

各級(jí)網(wǎng)絡(luò)

利用現(xiàn)有線路及網(wǎng)絡(luò)進(jìn)行完善擴(kuò)充，建成互聯(lián)互通、標(biāo)準(zhǔn)統(tǒng)一、結(jié)構(gòu)簡(jiǎn)單、功能完善、安全可靠、高速實(shí)用、先進(jìn)穩(wěn)定的級(jí)別分明卻又統(tǒng)一的網(wǎng)絡(luò)。數(shù)據(jù)中心

建設(shè)集中的數(shù)據(jù)中心，對(duì)所有的信息資源、空間、信用等數(shù)據(jù)進(jìn)行集中存放、集中管理。為省及各市部門、單位的關(guān)鍵應(yīng)用及關(guān)鍵設(shè)施提供機(jī)房、安全管理與維護(hù)。網(wǎng)絡(luò)總體結(jié)構(gòu)

政府機(jī)構(gòu)從事的行業(yè)性質(zhì)是跟國(guó)家緊密聯(lián)系的，所涉及信息可以說(shuō)都帶有機(jī)密性，所以其信息安全問(wèn)題，如敏感信息的泄露、黑客的侵?jǐn)_、網(wǎng)絡(luò)資源的非法使用以及計(jì)算機(jī)病毒等。都將對(duì)政府機(jī)構(gòu)信息安全構(gòu)成威脅。為保證政府網(wǎng)絡(luò)系統(tǒng)的安全，有必要對(duì)其網(wǎng)絡(luò)進(jìn)行專門安全設(shè)計(jì)。

所謂電子政務(wù)就是政府機(jī)構(gòu)運(yùn)用現(xiàn)代計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)，將其管理和服務(wù)的職能轉(zhuǎn)移到網(wǎng)絡(luò)上完成，同時(shí)實(shí)現(xiàn)政府組織結(jié)構(gòu)和工作流程的重組優(yōu)化，超越時(shí)間、空間和部門分隔的制約，向全社會(huì)提供高效、優(yōu)質(zhì)、規(guī)范、透明和全方位的管理與服務(wù)。

實(shí)現(xiàn)電子政務(wù)的意義在于突破了傳統(tǒng)的工業(yè)時(shí)代“一站式”的政府辦公模式，建立了適應(yīng)網(wǎng)絡(luò)時(shí)代的“一網(wǎng)式”和“一表式”的新模式，開(kāi)辟了推動(dòng)社會(huì)信息化的新途徑，創(chuàng)造了政府實(shí)施產(chǎn)業(yè)政策的新手段。電子政務(wù)的出現(xiàn)有利于政府轉(zhuǎn)變職能，提高運(yùn)作效率。

圖示：原有電子政務(wù)網(wǎng)絡(luò)情況

電子政務(wù)網(wǎng)絡(luò)的應(yīng)用系統(tǒng)和網(wǎng)絡(luò)連接方式多樣，由于網(wǎng)絡(luò)本身及應(yīng)用系統(tǒng)的復(fù)雜性，無(wú)論是有意的攻擊，還是無(wú)意的誤操作，都將會(huì)給系統(tǒng)帶來(lái)不可估量的損失。非法進(jìn)入的攻擊者可能竊聽(tīng)網(wǎng)絡(luò)上的信息、竊取用戶的口令、數(shù)據(jù)庫(kù)的信息；還可以篡改數(shù)據(jù)庫(kù)內(nèi)容、偽造用戶身份、否認(rèn)自己的簽名；更有甚者，攻擊者可以刪除數(shù)據(jù)庫(kù)內(nèi)容、摧毀網(wǎng)絡(luò)節(jié)點(diǎn)等等。

因此在電子政務(wù)網(wǎng)絡(luò)的建設(shè)中，構(gòu)建網(wǎng)絡(luò)安全系統(tǒng)以確保網(wǎng)絡(luò)信息的安全可靠是非常必要的。

物理安全風(fēng)險(xiǎn)分析

網(wǎng)絡(luò)物理安全是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。物理安全的風(fēng)險(xiǎn)主要有： ◆地震、水災(zāi)、火災(zāi)等環(huán)境事故造成整個(gè)系統(tǒng)毀滅；

◆電源故障造成設(shè)備斷電以至操作系統(tǒng)引導(dǎo)失敗或數(shù)據(jù)庫(kù)信息丟失； ◆設(shè)備被盜、被毀造成數(shù)據(jù)丟失或信息泄漏； ◆電磁輻射可能造成數(shù)據(jù)信息被竊取或偷閱；

◆報(bào)警系統(tǒng)的設(shè)計(jì)不足可能造成原本可以防止但實(shí)際發(fā)生了的事故。鏈路傳輸風(fēng)險(xiǎn)分析

網(wǎng)絡(luò)安全不僅是入侵者到政府機(jī)關(guān)內(nèi)部網(wǎng)上進(jìn)行攻擊、竊取或其它破壞，他們完全有可能在傳輸線路上安裝竊聽(tīng)裝置，竊取你在網(wǎng)上傳輸?shù)闹匾獢?shù)據(jù)，再通過(guò)一些技術(shù)讀出數(shù)據(jù)信息，造成泄密或者做一些篡改來(lái)破壞數(shù)據(jù)的完整性；以上種種不安全因素都對(duì)網(wǎng)絡(luò)構(gòu)成嚴(yán)重的安全威脅。因此，對(duì)于政府這樣帶有重要信息傳輸?shù)木W(wǎng)絡(luò)，數(shù)據(jù)在鏈路上傳輸必須加密。并通過(guò)數(shù)字簽名及認(rèn)證技術(shù)來(lái)保障數(shù)據(jù)在網(wǎng)上傳輸?shù)恼鎸?shí)性、機(jī)密性、可靠性及完整性。

遠(yuǎn)程辦公安全接入 目前，政府網(wǎng)絡(luò)應(yīng)用環(huán)境紛亂復(fù)雜，既有內(nèi)部的應(yīng)用如：內(nèi)部OA系統(tǒng)、文件共享、Email等應(yīng)用服務(wù)，又有眾多面向下屬單位、合作伙伴等對(duì)外的應(yīng)用。如何地有效解決遠(yuǎn)程用戶安全訪問(wèn)網(wǎng)絡(luò)內(nèi)部資源？

虛擬專用網(wǎng)技術(shù)(VPN，Virtual PrivateNetwork)是指在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)，數(shù)據(jù)通過(guò)安全的“加密通道”在公共網(wǎng)絡(luò)中傳播。政府機(jī)關(guān)只需要租用本地的數(shù)據(jù)專線，連接上本地的公眾信息網(wǎng)，那么各地的機(jī)構(gòu)就可以互相傳遞信息。使用VPN有節(jié)約成本、擴(kuò)展性強(qiáng)、便于管理和實(shí)現(xiàn)全面控制等好處。在虛擬專用網(wǎng)中，任意兩個(gè)節(jié)點(diǎn)之間的連接并沒(méi)有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動(dòng)態(tài)組成的，是通過(guò)私有的隧道技術(shù)在公共數(shù)據(jù)網(wǎng)絡(luò)上仿真一條點(diǎn)到點(diǎn)的專線技術(shù)。所謂虛擬，是指用戶不再需要擁有實(shí)際的長(zhǎng)途數(shù)據(jù)線路，而是使用Internet公眾數(shù)據(jù)網(wǎng)絡(luò)的長(zhǎng)途數(shù)據(jù)線路。所謂專用網(wǎng)絡(luò)，是指用戶可以為自己制定一個(gè)最符合自己需求的網(wǎng)絡(luò)。根據(jù)國(guó)家有關(guān)規(guī)定，政府網(wǎng)絡(luò)可以通過(guò)現(xiàn)有公有平臺(tái)搭建自己的內(nèi)部網(wǎng)絡(luò)，但必須通過(guò)認(rèn)證和加密技術(shù)，保證數(shù)據(jù)傳輸?shù)陌踩浴?/p>

單獨(dú)的VPN網(wǎng)關(guān)的主要功能是IPSec數(shù)據(jù)包的加密/解密處理和身份認(rèn)證，但它沒(méi)有很強(qiáng)的訪問(wèn)控制功能，例如狀態(tài)包過(guò)濾、網(wǎng)絡(luò)內(nèi)容過(guò)濾、防DDoS攻擊等。在這種獨(dú)立的防火墻和VPN部署方式下，防火墻無(wú)法對(duì)VPN的數(shù)據(jù)流量進(jìn)行任何訪問(wèn)控制，由此帶來(lái)安全性、性能、管理上的一系列問(wèn)題。因此，在防火墻安全網(wǎng)關(guān)上集成VPN是當(dāng)前安全產(chǎn)品的發(fā)展趨勢(shì)，能提供一個(gè)靈活、高效、完整的安全方案。

集成VPN的防火墻安全網(wǎng)關(guān)的優(yōu)點(diǎn)是，它可以保證加密的流量在解密后，同樣需要經(jīng)過(guò)嚴(yán)格的訪問(wèn)控制策略的檢查，保護(hù)VPN網(wǎng)關(guān)免受DDoS攻擊和入侵威脅；提供更好的處理性能，簡(jiǎn)化網(wǎng)絡(luò)管理的任務(wù)，快速適應(yīng)動(dòng)態(tài)、變化的網(wǎng)絡(luò)環(huán)境。因此，當(dāng)前VPN技術(shù)已經(jīng)成為安全網(wǎng)關(guān)產(chǎn)品的組成部分。

政府機(jī)關(guān)Intranet網(wǎng)絡(luò)建設(shè)的VPN連接方案，利用IPsec安全協(xié)議的VPN和加密能力，實(shí)現(xiàn)兩個(gè)或多個(gè)政府機(jī)關(guān)之間跨越因特網(wǎng)的政府機(jī)關(guān)內(nèi)部網(wǎng)絡(luò)連接，實(shí)現(xiàn)了安全的政府機(jī)關(guān)內(nèi)部的數(shù)據(jù)通信。通過(guò)防火墻內(nèi)部策略控制體系，對(duì)VPN的數(shù)據(jù)可以進(jìn)行有效的控制和管理，使政府機(jī)關(guān)的內(nèi)部網(wǎng)絡(luò)通信具有良好的擴(kuò)展性和管理性。

圖示：政府機(jī)關(guān)Intranet網(wǎng)VPN解決方案

如上圖示，原始的數(shù)據(jù)經(jīng)過(guò)加密封裝在另外一個(gè)IP通道內(nèi)，通道頭部地址就是防火墻外部端口的IP地址，以實(shí)現(xiàn)在公網(wǎng)鏈路上的傳輸。利用高強(qiáng)度的、動(dòng)態(tài)變換的密鑰來(lái)保證數(shù)據(jù)的安全，168位的3DES算法更提供了業(yè)界最高級(jí)別的安全防御體系，使政府機(jī)關(guān)的內(nèi)部數(shù)據(jù)可以無(wú)憂地在公網(wǎng)上傳輸，以達(dá)到政府機(jī)關(guān)內(nèi)部網(wǎng)絡(luò)安全擴(kuò)展的目的。

網(wǎng)絡(luò)結(jié)構(gòu)的安全風(fēng)險(xiǎn)分析

（一）來(lái)自與公網(wǎng)互聯(lián)的安全威脅

如果政府內(nèi)部網(wǎng)絡(luò)與Internet公網(wǎng)有互連?；贗nternet公網(wǎng)的開(kāi)放性、國(guó)際性與自由性，內(nèi)部網(wǎng)絡(luò)將面臨更加嚴(yán)重的安全威脅。因?yàn)?，每天黑客都在試圖闖入Internet節(jié)點(diǎn)，假如我們的網(wǎng)絡(luò)不保持警惕，可能連黑客怎么闖入的都不知道，甚至?xí)蔀楹诳腿肭制渌W(wǎng)絡(luò)的跳板。政府行業(yè)內(nèi)部網(wǎng)絡(luò)中其辦公系統(tǒng)及各人主機(jī)上都有涉密信息。

假如內(nèi)部網(wǎng)絡(luò)的一臺(tái)機(jī)器安全受損（被攻擊或者被病毒感染），就會(huì)同時(shí)影響在同一網(wǎng)絡(luò)上的許多其他系統(tǒng)。透過(guò)網(wǎng)絡(luò)傳播，還會(huì)影響到與本系統(tǒng)網(wǎng)絡(luò)有連接的外單位網(wǎng)絡(luò)；影響所及，還可能涉及法律、金融等安全敏感領(lǐng)域。對(duì)于政府行業(yè)網(wǎng)絡(luò)系統(tǒng)，國(guó)家也有規(guī)定是不能與互聯(lián)網(wǎng)直接或間接與相連。

內(nèi)部網(wǎng)絡(luò)與系統(tǒng)外部網(wǎng)互聯(lián)安全威脅

如果系統(tǒng)內(nèi)部局域網(wǎng)絡(luò)與系統(tǒng)外部網(wǎng)絡(luò)間沒(méi)有采取一定的安全防護(hù)措施，內(nèi)部網(wǎng)絡(luò)容易遭到來(lái)自外部網(wǎng)絡(luò)不懷好意的入侵者的攻擊。如：

入侵者通過(guò)Sniffer等程序來(lái)探測(cè)掃描網(wǎng)絡(luò)及操作系統(tǒng)存在的安全漏洞，如網(wǎng)絡(luò)IP地址、應(yīng)用操作系統(tǒng)的類型、開(kāi)放哪些TCP端口號(hào)、系統(tǒng)保存用戶名和口令等安全信息的關(guān)鍵文件等，并通過(guò)相應(yīng)攻擊程序?qū)?nèi)網(wǎng)進(jìn)行攻擊。

入侵者通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng)等先進(jìn)手段獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息，進(jìn)而假冒內(nèi)部合法身份進(jìn)行非法登錄，竊取內(nèi)部網(wǎng)重要信息。

惡意攻擊：入侵者通過(guò)發(fā)送大量PING包對(duì)內(nèi)部網(wǎng)重要服務(wù)器進(jìn)行攻擊，使得服務(wù)器超負(fù)荷工作以至拒絕服務(wù)甚至系統(tǒng)癱瘓。

（三）內(nèi)部局域網(wǎng)的安全威脅

據(jù)調(diào)查在已有的網(wǎng)絡(luò)安全攻擊事件中約70%是來(lái)自內(nèi)部網(wǎng)絡(luò)的侵犯。比如內(nèi)部人員故意泄漏內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)；安全管理員有意透露其用戶名及口令；內(nèi)部員工編些具有破壞力的程序在內(nèi)部網(wǎng)上傳播或者內(nèi)部人員通過(guò)各種方式盜取他人涉密信息傳播出去。種種因素都對(duì)整體的網(wǎng)絡(luò)安全構(gòu)成很大的威脅。

系統(tǒng)的安全風(fēng)險(xiǎn)分析

所謂系統(tǒng)安全通常是指網(wǎng)絡(luò)操作系統(tǒng)、應(yīng)用系統(tǒng)的安全。目前的操作系統(tǒng)或應(yīng)用系統(tǒng)無(wú)論是Windows還是其它任何商用UNIX操作系統(tǒng)以及其它廠商開(kāi)發(fā)的應(yīng)用系統(tǒng)，其開(kāi)發(fā)廠商必然有其Back-Door（后門）。而且系統(tǒng)本身必定存在安全漏洞。這些“后門”或安全漏洞都將存在重大安全隱患。但是從實(shí)際應(yīng)用上，系統(tǒng)的安全程度跟對(duì)其進(jìn)行安全配置及系統(tǒng)的應(yīng)用面有很大關(guān)系，操作系統(tǒng)如果沒(méi)有采用相應(yīng)的安全配置，則其是漏洞百出，掌握一般攻擊技術(shù)的人都可能入侵得手。

如果進(jìn)行安全配置，比如，填補(bǔ)安全漏洞，關(guān)閉一些不常用的服務(wù)，禁止開(kāi)放一些不常用而又比較敏感的端口等，那么入侵者要成功進(jìn)行內(nèi)部網(wǎng)是不容易，這需要相當(dāng)高的技術(shù)水平及相當(dāng)長(zhǎng)時(shí)間。因此應(yīng)正確估價(jià)自己的網(wǎng)絡(luò)風(fēng)險(xiǎn)并根據(jù)自己的網(wǎng)絡(luò)風(fēng)險(xiǎn)大小做出相應(yīng)的安全解決方案。

應(yīng)用的安全風(fēng)險(xiǎn)分析

應(yīng)用系統(tǒng)的安全涉及很多方面。應(yīng)用系統(tǒng)是動(dòng)態(tài)的、不斷變化的。應(yīng)用的安全性也是動(dòng)態(tài)的。這就需要我們對(duì)不同的應(yīng)用，檢測(cè)安全漏洞，采取相應(yīng)的安全措施，降低應(yīng)用的安全風(fēng)險(xiǎn)。

（一）資源共享

政府網(wǎng)絡(luò)系統(tǒng)內(nèi)部必有自動(dòng)化辦公系統(tǒng)。而辦公網(wǎng)絡(luò)應(yīng)用通常是共享網(wǎng)絡(luò)資源，比如文件、打印機(jī)共享等。由此就可能存在著：?jiǎn)T工有意、無(wú)意把硬盤中重要信息目錄共享，長(zhǎng)期暴露在網(wǎng)絡(luò)鄰居上，可能被外部人員輕易偷取或被內(nèi)部其他員工竊取并傳播出去造成泄密，因?yàn)槿鄙俦匾脑L問(wèn)控制策略。

電子郵件系統(tǒng)

電子郵件為網(wǎng)系統(tǒng)用戶提供電子郵件應(yīng)用。內(nèi)部網(wǎng)用戶可通過(guò)拔號(hào)或其它方式進(jìn)行電子郵件發(fā)送和接收這就存在被黑客跟蹤或收到一些特洛伊木馬、病毒程序等，由于許多用戶安全意識(shí)比較淡薄，對(duì)一些來(lái)歷不明的郵件，沒(méi)有警惕性，給入侵者提供機(jī)會(huì)，給系統(tǒng)帶來(lái)不安全因素。

病毒侵害

自從1983年世界上第一個(gè)計(jì)算機(jī)病毒出現(xiàn)以來(lái)，在20多年的時(shí)間里，計(jì)算機(jī)病毒已到了無(wú)孔不入的地步，有些甚至給我們?cè)斐闪司薮蟮钠茐摹?/p>

隨著網(wǎng)絡(luò)的普及和網(wǎng)速的提高，計(jì)算機(jī)之間的遠(yuǎn)程控制越來(lái)越方便，傳輸文件也變得非常快捷，正因?yàn)槿绱耍《九c黑客程序（木馬病毒）結(jié)合以后的危害更為嚴(yán)重，病毒的發(fā)作往往伴隨著用戶機(jī)密資料的丟失。病毒的傳播可能會(huì)具有一定的方向性，按照制作者的要求侵蝕固定的內(nèi)容。

由于網(wǎng)絡(luò)的普及，使得編寫病毒的知識(shí)越來(lái)越容易獲得。同時(shí)，各種功能強(qiáng)大而易學(xué)的編程工具讓用戶可以輕松編寫一個(gè)具有極強(qiáng)殺傷力的病毒程序。用戶通過(guò)網(wǎng)絡(luò)甚至可以獲得專門編寫病毒的工具軟件，只需要通過(guò)簡(jiǎn)單的操作就可以生成破壞性的病毒。

網(wǎng)絡(luò)是病毒傳播的最好、最快的途徑之一。病毒程序可以通過(guò)網(wǎng)上下載、電子郵件、使用盜版光盤或軟盤、人為投放等傳播途徑潛入內(nèi)部網(wǎng)。因此，病毒的危害的不可以輕視的。網(wǎng)絡(luò)中一旦有一臺(tái)主機(jī)受病毒感染，則病毒程序就完全可能在極短的時(shí)間內(nèi)迅速擴(kuò)散，傳播到網(wǎng)絡(luò)上的所有主機(jī)，可能造成信息泄漏、文件丟失、機(jī)器死機(jī)等不安全因素。

數(shù)據(jù)信息

數(shù)據(jù)安全對(duì)政府行業(yè)來(lái)說(shuō)尤其重要，數(shù)據(jù)在廣域網(wǎng)線路上傳輸，很難保證在傳輸過(guò)程中不被非法竊取，篡改?，F(xiàn)今很多先進(jìn)技術(shù)，黑客或一些工業(yè)間諜會(huì)通過(guò)一些手段，設(shè)法在線路上做些手腳，獲得在網(wǎng)上傳輸?shù)臄?shù)據(jù)信息。也就造成的泄密。這對(duì)政府行業(yè)用戶來(lái)說(shuō)，是決不允許的。

管理的安全風(fēng)險(xiǎn)分析

內(nèi)部管理人員或員工把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員用戶名及口令以及系統(tǒng)的一些重要信息傳播給外人帶來(lái)信息泄漏風(fēng)險(xiǎn)。

機(jī)房重地卻是任何都可以進(jìn)進(jìn)出出，來(lái)去自由。存有惡意的入侵者便有機(jī)會(huì)得到入侵的條件。

內(nèi)部不滿的員工有的可能熟悉服務(wù)器、小程序、腳本和系統(tǒng)的弱點(diǎn)。利用網(wǎng)絡(luò)開(kāi)些小玩笑，甚至破壞。如傳出至關(guān)重要的信息、錯(cuò)誤地進(jìn)入數(shù)據(jù)庫(kù)、刪除數(shù)據(jù)等等。這些都將給網(wǎng)絡(luò)造成極大的安全風(fēng)險(xiǎn)。

管理是網(wǎng)絡(luò)中安全得到保證的重要組成部分，是防止來(lái)自內(nèi)部網(wǎng)絡(luò)入侵必須的部分。責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。即除了從技術(shù)上下功夫外，還得依靠安全管理來(lái)實(shí)現(xiàn)。

防火墻系統(tǒng)設(shè)計(jì)方案

（一）防火墻系統(tǒng)

1、在各網(wǎng)絡(luò)出口處安裝曙光天羅防火墻。防火墻在這里首先起到網(wǎng)絡(luò)隔離、劃分不同安全域，進(jìn)行訪問(wèn)控制的功能。通過(guò)防火墻的多網(wǎng)口結(jié)構(gòu)設(shè)計(jì)，控制授權(quán)合法用戶可以訪問(wèn)到授權(quán)服務(wù)，而限制非授權(quán)的訪問(wèn)。曙光天羅防火墻分為百兆和千兆兩個(gè)系列，可以根據(jù)各局內(nèi)部網(wǎng)的規(guī)模大小選擇適合自己的產(chǎn)品。

2、曙光天羅防火墻自帶的入侵檢測(cè)功能采用了基于模式匹配的入侵檢測(cè)系統(tǒng)，超越了傳統(tǒng)防火墻中的基于統(tǒng)計(jì)異常的入侵檢測(cè)功能，實(shí)現(xiàn)了可擴(kuò)展的攻擊檢測(cè)庫(kù)，真正實(shí)現(xiàn)了抵御目前已知的各種攻擊方法。防火墻的入侵檢測(cè)模塊，可以自動(dòng)檢測(cè)網(wǎng)絡(luò)數(shù)據(jù)流中潛在的入侵、攻擊和濫用方式，通知管理員調(diào)整控制規(guī)則，為整個(gè)網(wǎng)絡(luò)提供動(dòng)態(tài)的網(wǎng)絡(luò)保護(hù)。

3、利用曙光天羅防火墻自帶的VPN功能，實(shí)現(xiàn)多級(jí)VPN系統(tǒng)。防火墻VPN模塊支持兩種用戶模式：遠(yuǎn)程訪問(wèn)虛擬網(wǎng)(撥號(hào)VPN)和政府機(jī)關(guān)內(nèi)部虛擬網(wǎng)(網(wǎng)關(guān)對(duì)網(wǎng)關(guān)VPN)。如上圖所示，在省地市三級(jí)網(wǎng)絡(luò)出口處安裝曙光天羅防火墻，利用防火墻的VPN模塊，實(shí)現(xiàn)他們之間分層次的政府機(jī)關(guān)內(nèi)部虛擬網(wǎng)(網(wǎng)關(guān)對(duì)網(wǎng)關(guān)VPN)；而對(duì)于一些規(guī)模比較小的區(qū)線或移動(dòng)用戶，通過(guò)安裝VPN客戶端，實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)虛擬網(wǎng)(撥號(hào)VPN)，整個(gè)構(gòu)成一個(gè)安全的虛擬內(nèi)部局域網(wǎng)，保障電子政務(wù)網(wǎng)絡(luò)的數(shù)據(jù)安全傳輸。

（二）防火墻的VPN功能

VPN是平衡Internet的適用性和價(jià)格優(yōu)勢(shì)的最有前途的新興通信手段之一。利用共享的IP網(wǎng)建立VPN連接，可以使服務(wù)對(duì)象減少對(duì)昂貴租用線路和復(fù)雜遠(yuǎn)程訪問(wèn)方案的依賴性。

也是至關(guān)重要的一點(diǎn)，它可以使移動(dòng)用戶和一些小型的分支機(jī)構(gòu)的網(wǎng)絡(luò)開(kāi)銷減少達(dá)50%或更多；

政府機(jī)關(guān)新增的分支機(jī)構(gòu)或站點(diǎn)可以非常迅速方便地加入政府機(jī)關(guān)已建的基于VPN的INTRANET，所以VPN的可擴(kuò)展性大大優(yōu)于傳統(tǒng)構(gòu)建政府機(jī)關(guān)INTRANET的技術(shù)手段，如點(diǎn)對(duì)點(diǎn)專線或長(zhǎng)途撥號(hào)；

VPN不僅可以大幅度削減傳輸數(shù)據(jù)的開(kāi)銷，同時(shí)可以削減傳輸話音的開(kāi)銷；

VPN創(chuàng)造了多種伴隨著Web發(fā)展而出現(xiàn)的新的商業(yè)機(jī)會(huì)，包括：進(jìn)行全球電子商務(wù)，可以在減少銷售成本的同時(shí)增加銷售量；實(shí)現(xiàn)外連網(wǎng)，可以使用戶獲得關(guān)鍵的信息，更加貼近世界；可以訪問(wèn)全球任何角落的電子通勤人員和移動(dòng)用戶。

在當(dāng)今全球激烈競(jìng)爭(zhēng)的環(huán)境下，最先實(shí)現(xiàn)VPN的政府機(jī)關(guān)將在競(jìng)爭(zhēng)獲得優(yōu)勢(shì)已經(jīng)是不爭(zhēng)的事實(shí)，許多政府機(jī)關(guān)也開(kāi)始紛紛利用經(jīng)濟(jì)有效的VPN來(lái)傳送話音業(yè)務(wù)，并從中受益：

◆ 減少用于相關(guān)的調(diào)制解調(diào)器和終端服務(wù)設(shè)備的資金及費(fèi)用，簡(jiǎn)化網(wǎng)絡(luò)； ◆ 實(shí)現(xiàn)本地?fù)芴?hào)接入的功能來(lái)取代遠(yuǎn)距離接入，這樣能顯著降低遠(yuǎn)距離通信的費(fèi)用； ◆ 遠(yuǎn)端驗(yàn)證撥入用戶服務(wù)基于標(biāo)準(zhǔn)，基于策略功能的安全服務(wù)；

◆ 將工作重心從管理和保留運(yùn)作撥號(hào)網(wǎng)絡(luò)的工作人員轉(zhuǎn)到公司的核心業(yè)務(wù)上來(lái)； ◆ 強(qiáng)大的基于 Web的VPN管理工具提供基于策略的 VPN配置和監(jiān)控，可以優(yōu)化網(wǎng)絡(luò)資源；

◆ 極大的可擴(kuò)展性，簡(jiǎn)便地對(duì)加入網(wǎng)絡(luò)的新用戶進(jìn)行調(diào)度。用戶不需改變網(wǎng)絡(luò)的原來(lái)架構(gòu)，只須安裝客戶端軟件并且設(shè)置此軟件的一些參數(shù)即可。同時(shí)也支持傳統(tǒng)的應(yīng)用，可以從小的政府機(jī)關(guān)擴(kuò)展到最大的政府機(jī)關(guān)；

◆ 更大的網(wǎng)絡(luò)靈活性，可以管理和發(fā)布不同類型的數(shù)據(jù)進(jìn)入同一Internet連接。VPN代表了當(dāng)今網(wǎng)絡(luò)發(fā)展演化的最高形式，它綜合了傳統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)的性能優(yōu)點(diǎn)（安全和QoS）和共享數(shù)據(jù)網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)點(diǎn)（簡(jiǎn)單和低成本），必將成為未來(lái)傳輸完全匯聚業(yè)務(wù)的主要工具。

用戶可以通過(guò)硬件和軟件的方式來(lái)實(shí)現(xiàn)VPN功能，一般用戶都會(huì)使用硬件設(shè)備。在總部架設(shè)一個(gè)帶有VPN功能的防火墻，就可以讓地方聯(lián)到總部的內(nèi)部局域網(wǎng)了。使用這種具有VPN功能的防火墻都具有較高的安全性和穩(wěn)定性，因一個(gè)最大的優(yōu)點(diǎn)是既可以抵御外部的攻擊又可以提高自身網(wǎng)絡(luò)的安全性。

防火墻對(duì)服務(wù)器的保護(hù)

網(wǎng)絡(luò)中應(yīng)用的服務(wù)器，信息量大、處理能力強(qiáng)，往往是攻擊的主要對(duì)象。另外，服務(wù)器提供的各種服務(wù)本身有可能成為“黑客”攻擊的突破口，因此，在實(shí)施方案時(shí)要對(duì)服務(wù)器的安全進(jìn)行一系列安全保護(hù)。

如果服務(wù)器沒(méi)有加任何安全防護(hù)措施而直接放在公網(wǎng)上提供對(duì)外服務(wù)，就會(huì)面臨著“黑客”各種方式的攻擊，安全級(jí)別很低。因此當(dāng)安裝防火墻后，所有訪問(wèn)服務(wù)器的請(qǐng)求都要經(jīng)過(guò)防火墻安全規(guī)則的詳細(xì)檢測(cè)。只有訪問(wèn)服務(wù)器的請(qǐng)求符合防火墻安全規(guī)則后，才能通過(guò)防火墻到達(dá)內(nèi)部服務(wù)器。防火墻本身抵御了絕大部分對(duì)服務(wù)器的攻擊，外界只能接觸到防火墻上的特定服務(wù)，從而防止了絕大部分外界攻擊。

（四）防火墻對(duì)內(nèi)網(wǎng)的保護(hù)

網(wǎng)絡(luò)內(nèi)部的環(huán)境比較復(fù)雜，而且各子網(wǎng)的分布地域廣闊，網(wǎng)絡(luò)用戶、設(shè)備接入的可控性比較差，因此，內(nèi)部網(wǎng)絡(luò)用戶的可靠性并不能得到完全的保證。特別是對(duì)于存放敏感數(shù)據(jù)的主機(jī)的攻擊往往發(fā)自內(nèi)部用戶，如何對(duì)內(nèi)部用戶進(jìn)行訪問(wèn)控制和安全防范就顯得特別重要。為了保障內(nèi)部網(wǎng)絡(luò)運(yùn)行的可靠性和安全性，我們必須要對(duì)它進(jìn)行詳盡的分析，盡可能防護(hù)到網(wǎng)絡(luò)的每一節(jié)點(diǎn)。

對(duì)于一般的網(wǎng)絡(luò)應(yīng)用，內(nèi)部用戶可以直接接觸到網(wǎng)絡(luò)內(nèi)部幾乎所有的服務(wù)，網(wǎng)絡(luò)服務(wù)器對(duì)于內(nèi)部用戶缺乏基本的安全防范，特別是在內(nèi)部網(wǎng)絡(luò)上，大部分的主機(jī)沒(méi)有進(jìn)行基本的安全防范處理，整個(gè)系統(tǒng)的安全性容易受到內(nèi)部用戶攻擊的威脅，安全等級(jí)不高。根據(jù)國(guó)際上流行的處理方法，我們把內(nèi)部用戶跨網(wǎng)段的訪問(wèn)分為兩大類：其一，是內(nèi)部網(wǎng)絡(luò)用戶之間的訪問(wèn)，即單機(jī)到單機(jī)訪問(wèn)。這一層次上的應(yīng)用主要有用戶共享文件的傳輸（NETBIOS）應(yīng)用；其次，是內(nèi)部網(wǎng)絡(luò)用戶對(duì)內(nèi)部服務(wù)器的訪問(wèn)，這一類應(yīng)用主要發(fā)生在內(nèi)部用戶的業(yè)務(wù)處理時(shí)。一般內(nèi)部用戶對(duì)于網(wǎng)絡(luò)安全防范的意識(shí)不高，如果內(nèi)部人員發(fā)起攻擊，內(nèi)部網(wǎng)絡(luò)主機(jī)將無(wú)法避免地遭到損害，特別是針對(duì)于NETBIOS文件共享協(xié)議，已經(jīng)有很多的漏洞在網(wǎng)上公開(kāi)報(bào)道，如果網(wǎng)絡(luò)主機(jī)保護(hù)不完善，就可能被內(nèi)部用戶利用“黑客”工具造成嚴(yán)重破壞。

由于網(wǎng)絡(luò)環(huán)境的復(fù)雜化和網(wǎng)絡(luò)應(yīng)用的多樣化日益明顯，對(duì)于內(nèi)部網(wǎng)絡(luò)除了必要的防攻擊設(shè)置外還必須防止內(nèi)部用戶的欺騙行為，比如IP地址欺騙、網(wǎng)絡(luò)連接的欺騙等。由于物理層上的原因，內(nèi)部用戶接觸網(wǎng)絡(luò)服務(wù)的機(jī)會(huì)、方法很多，如果沒(méi)有專門的安全防護(hù)，“黑客”就可以比較容易地實(shí)施欺騙、偽造身份及暴力攻擊（CRACK），對(duì)于內(nèi)部網(wǎng)絡(luò)的用戶，防范攻擊的難度較大。我們主要從以下幾個(gè)方面考慮：

1)內(nèi)部網(wǎng)絡(luò)風(fēng)險(xiǎn)分析：由于內(nèi)部攻擊發(fā)生的比較頻繁，因此我們首先要分析內(nèi)部網(wǎng)絡(luò)的安全隱患，把可能發(fā)生的不安定因素找出來(lái)進(jìn)行專門的安全處理；

2)內(nèi)部用戶網(wǎng)絡(luò)和網(wǎng)絡(luò)的隔離：把內(nèi)部比較重要的數(shù)據(jù)服務(wù)器放在專門的區(qū)域，加上獨(dú)立的控制體系，對(duì)于內(nèi)部網(wǎng)的訪問(wèn)同樣要進(jìn)行相應(yīng)的安全控制；

3)內(nèi)部網(wǎng)絡(luò)安全保護(hù)：結(jié)合物理層和鏈路層的特點(diǎn)，在物理層和鏈路層的接口處實(shí)施安全控制，實(shí)施IP/MAC綁定。

IDS詳述

IDS（入侵檢測(cè)系統(tǒng)）對(duì)于關(guān)心網(wǎng)絡(luò)安全防護(hù)的人們來(lái)說(shuō)已不再是一個(gè)陌生的名詞，在許多行業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)安全防御工程中除了采用防病毒、防火墻或認(rèn)證加密等系統(tǒng)外，有近15%的安全項(xiàng)目會(huì)涉及到IDS系統(tǒng)，而且這些項(xiàng)目一般都對(duì)安全等級(jí)的要求非常高，對(duì)數(shù)據(jù)信息的保密性也有特別的要求。

IDS系統(tǒng)

要想高效使用IDS首先要對(duì)它進(jìn)行合理部署。通常IDS監(jiān)控保護(hù)的基本單位是一個(gè)網(wǎng)段，單個(gè)網(wǎng)段的最小組成元素是各臺(tái)主機(jī)，政府機(jī)關(guān)對(duì)各主機(jī)、各網(wǎng)段的安全性要求程度一般都不相同，所以確定IDS的保護(hù)對(duì)象是合理使用IDS的關(guān)鍵。

在優(yōu)先保護(hù)的網(wǎng)段中部署IDS系統(tǒng)，并配置合適的檢測(cè)策略，如在防火墻之內(nèi)部署IDS則可把安全策略配置得緊一些，即使用最大化的檢測(cè)策略，而在防火墻之外部署則可采用較為寬松的策略，因?yàn)榻?jīng)過(guò)防火墻過(guò)濾后，內(nèi)部網(wǎng)絡(luò)的安全狀況相對(duì)比較簡(jiǎn)單，而外部的情況則較為復(fù)雜，誤報(bào)的可能性也較大。另外，在一定的情況下有些內(nèi)部信任的主機(jī)也可能會(huì)觸發(fā)IDS的檢測(cè)引擎，從而形成報(bào)警，而對(duì)于用戶來(lái)說(shuō)，這些報(bào)警事件是沒(méi)有什么參考價(jià)值的，所以需要在檢測(cè)范圍中排除這些主機(jī)的IP地址；通常IDS系統(tǒng)中都有一個(gè)過(guò)濾器（FILTER）模塊或像KIDS那樣所具有的“非阻斷列表”的功能選項(xiàng)，可以允許用戶加入所有他們所信任的主機(jī)IP地址。

目前大多數(shù)的IDS系統(tǒng)主要采用基于包特征的檢測(cè)技術(shù)來(lái)組建，它們的基本原理是對(duì)網(wǎng)絡(luò)上的所有數(shù)據(jù)包進(jìn)行復(fù)制并檢測(cè)，然后與內(nèi)部的攻擊特征數(shù)據(jù)庫(kù)（規(guī)則庫(kù)）進(jìn)行匹配比較，如果相符即產(chǎn)生報(bào)警或響應(yīng)。這種檢測(cè)方式雖然比異常統(tǒng)計(jì)檢測(cè)技術(shù)要更加精確，但會(huì)給IDS帶來(lái)較大的負(fù)載，所以需要對(duì)檢測(cè)策略作進(jìn)一步的調(diào)整和優(yōu)化。具體做法是根據(jù)政府機(jī)關(guān)自身網(wǎng)絡(luò)的業(yè)務(wù)應(yīng)用情況，選擇最適合的檢測(cè)策略（可根據(jù)操作系統(tǒng)、應(yīng)用服務(wù)或部署位置等），并對(duì)所選的策略進(jìn)行修改，選擇具有參考價(jià)值的檢測(cè)規(guī)則，而去除一些無(wú)關(guān)緊要的選項(xiàng)，如對(duì)于全部是Windows的應(yīng)用環(huán)境，則完全可以把UNIX的規(guī)則去掉。有些IDS除了提供攻擊特征檢測(cè)規(guī)則的定制功能外，還提供了對(duì)端口掃描檢測(cè)規(guī)則的自定義，如在KIDS中就可定義端口掃描的監(jiān)控范圍、信任主機(jī)地址排除和掃描模式等參數(shù)，這些參數(shù)的合理配置都能將IDS的檢測(cè)能力優(yōu)化到最理想的狀態(tài)。

IDS監(jiān)控

IDS除了能對(duì)網(wǎng)絡(luò)上各種非法行為產(chǎn)生報(bào)警外還能對(duì)一些特定的事件進(jìn)行實(shí)時(shí)的響應(yīng)，因?yàn)橹挥胁扇〖皶r(shí)的響應(yīng)才能有效阻止重要的資源被破壞或被盜用。目前最常用的響應(yīng)方式是對(duì)網(wǎng)絡(luò)中的非法連接進(jìn)行阻斷，如利用防火墻阻斷、列入黑名單阻斷或HTTP阻斷等。在利用IDS進(jìn)行監(jiān)控時(shí)，不但需要查看它的報(bào)警提示，而且需要參考它所提供的實(shí)時(shí)狀態(tài)信息。因?yàn)樵诰W(wǎng)絡(luò)中發(fā)生異常行為時(shí)，網(wǎng)絡(luò)中的許多狀態(tài)信息一般都與正常情況下的狀態(tài)不一樣。如主機(jī)正遭到拒絕服務(wù)攻擊時(shí)（DoS或DDoS），網(wǎng)絡(luò)中的數(shù)據(jù)流量便可能會(huì)急速上升，這時(shí)可以從包流量或字節(jié)流量等實(shí)時(shí)的狀態(tài)圖表中發(fā)現(xiàn)這樣的異常情況。所以參考IDS所顯示的狀態(tài)信息也是非常重要的。實(shí)時(shí)狀態(tài)信息還包括當(dāng)前的活動(dòng)TCP連接、TCP/UDP/IP/ICMP等協(xié)議的包或字節(jié)流量等。IDS的最重要價(jià)值之一是它能提供事后統(tǒng)計(jì)分析，所有安全事件或?qū)徲?jì)事件的信息都將被記錄在數(shù)據(jù)庫(kù)中，可以從各個(gè)角度來(lái)對(duì)這些事件進(jìn)行分析歸類，以總結(jié)出被保護(hù)網(wǎng)絡(luò)的安全狀態(tài)的現(xiàn)狀和趨勢(shì)，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)或主機(jī)中存在的問(wèn)題或漏洞，并可歸納出相應(yīng)的解決方案。

電子政務(wù)整體網(wǎng)絡(luò)安全解決方案

電子政務(wù)系統(tǒng)中存在大量敏感數(shù)據(jù)和應(yīng)用，因此必須設(shè)計(jì)一個(gè)高安全性、高可靠性及高性能的防火墻安全保護(hù)系統(tǒng)，確保數(shù)據(jù)和應(yīng)用萬(wàn)無(wú)一失。

各局的局域網(wǎng)計(jì)算機(jī)工作站包括終端、廣域網(wǎng)路由器、服務(wù)器群都直接匯接到本局的主干交換機(jī)上。由于工作站分布較廣且全部連接，可以通過(guò)電子政務(wù)網(wǎng)絡(luò)進(jìn)行相互訪問(wèn)，服務(wù)器就有可能收到攻擊。因此，必須在各局之間相互進(jìn)行隔離防護(hù)。

如下圖，我們?cè)诟骶致酚善骱蟀惭b曙光TLFW千兆防火墻，以有三千用戶在同時(shí)上Internet網(wǎng)計(jì)算，千兆防火墻的并發(fā)連接超過(guò)600,000，完全可以滿足整個(gè)網(wǎng)絡(luò)的需求，穩(wěn)定性上也滿足要求。同時(shí)，將局內(nèi)網(wǎng)與其他區(qū)域邏輯隔離開(kāi)來(lái)，在數(shù)據(jù)中心內(nèi)，根據(jù)不同的服務(wù)器對(duì)安全性的不同需求，將它們分等級(jí)劃分為不同的區(qū)域，并通過(guò)詳細(xì)的包過(guò)濾規(guī)則制定，將這些服務(wù)器徹底保護(hù)起來(lái)，保證它們之間不能跨級(jí)別訪問(wèn)，這樣實(shí)現(xiàn)分級(jí)的安全性。

通過(guò)安裝防火墻，可以實(shí)現(xiàn)下列的安全目標(biāo)：

1)利用防火墻將內(nèi)部網(wǎng)絡(luò)、Internet外部網(wǎng)絡(luò)進(jìn)行有效隔離，避免與外部網(wǎng)絡(luò)直接通信；

2)利用防火墻建立網(wǎng)絡(luò)各終端和服務(wù)器的安全保護(hù)措施，保證系統(tǒng)安全；

3)利用防火墻對(duì)來(lái)自非內(nèi)部網(wǎng)的服務(wù)請(qǐng)求進(jìn)行控制，使非法訪問(wèn)在到達(dá)主機(jī)前被拒絕； 4)利用防火墻使用IP與MAC地址綁定功能，加強(qiáng)終端用戶的訪問(wèn)認(rèn)證，同時(shí)在不影響用戶正常訪問(wèn)的基礎(chǔ)上將用戶的訪問(wèn)權(quán)限控制在最低限度內(nèi)；

5)利用防火墻全面監(jiān)視對(duì)服務(wù)器的訪問(wèn)，及時(shí)發(fā)現(xiàn)和阻止非法操作；

6)利用防火墻及服務(wù)器上的審計(jì)記錄，形成一個(gè)完善的審計(jì)體系，建立第二條防線； 7)根據(jù)需要設(shè)置流量控制規(guī)則，實(shí)現(xiàn)網(wǎng)絡(luò)流量控制，并設(shè)置基于時(shí)間段的訪問(wèn)控制。下圖是電子政務(wù)網(wǎng)絡(luò)安全解決方案設(shè)計(jì)拓?fù)鋱D：

圖示：電子政務(wù)網(wǎng)絡(luò)安全總體拓?fù)?/p>

根據(jù)以上的分析，在整個(gè)政府網(wǎng)絡(luò)安全體系中，除了負(fù)責(zé)邊界安全的防火墻設(shè)備以外，還選擇了入侵檢測(cè)系統(tǒng)進(jìn)行共同防范，達(dá)到整個(gè)系統(tǒng)的高安全性。

同時(shí)因?yàn)橛脩粲袚芴?hào)VPN的需求，而曙光的天羅防火墻自身具備了VPN的功能，可以滿足遠(yuǎn)程連接用戶的安全要求。

具備了高安全性、高可靠性、高性能、高適用性、易管理、高度集成、靈活擴(kuò)展等產(chǎn)品特色。易于安裝和使用，網(wǎng)絡(luò)性能和透明性好，擁有自行設(shè)計(jì)的全中文化WWW管理界面，通過(guò)直觀、易用的界面來(lái)管理強(qiáng)大、復(fù)雜的系統(tǒng)功能。

可根據(jù)系統(tǒng)管理者設(shè)定的安全規(guī)則（Security Rules）把守網(wǎng)絡(luò)的大門，提供強(qiáng)大的訪問(wèn)控制、網(wǎng)絡(luò)地址轉(zhuǎn)換(Network Address Translation)、帶寬控制、P2P協(xié)議過(guò)濾等功能。

根據(jù)電子政務(wù)的實(shí)際需要，充分利用了曙光天羅防火墻的各功能模塊，實(shí)現(xiàn)了各功能模塊(防火墻模塊、入侵檢測(cè)模塊、VPN模塊等)的協(xié)同工作，再加上NIDS網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的重點(diǎn)防護(hù)，構(gòu)建了一個(gè)整合的動(dòng)態(tài)安全門戶，以比較經(jīng)濟(jì)實(shí)惠的方式，實(shí)現(xiàn)了對(duì)電子政務(wù)網(wǎng)絡(luò)的整體安全防護(hù)。

第三篇：企業(yè)網(wǎng)絡(luò)安全解決方案畢業(yè)論文

婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

宏錦網(wǎng)絡(luò)有限公司 企業(yè)網(wǎng)絡(luò)安全解決方案

摘 要

近幾年來(lái)，Internet技術(shù)日趨成熟，已經(jīng)開(kāi)始了從以提供和保證網(wǎng)絡(luò)聯(lián)通性為主要目標(biāo)的第一代Internet技術(shù)向以提供網(wǎng)絡(luò)數(shù)據(jù)信息服務(wù)為特征的第二代Internet技術(shù)的過(guò)渡。這些都促使了計(jì)算機(jī)網(wǎng)絡(luò)互聯(lián)技術(shù)迅速的大規(guī)模使用。眾所周知，作為全球使用范圍最大的信息網(wǎng)，Internet自身協(xié)議的開(kāi)放性極大地方便了各種計(jì)算機(jī)連網(wǎng)，拓寬了共享資源。但是，由于在早期網(wǎng)絡(luò)協(xié)議設(shè)計(jì)上對(duì)安全問(wèn)題的忽視，以及在管理和使用上的無(wú)政府狀態(tài)，逐漸使Internet自身安全受到嚴(yán)重威脅，與它有關(guān)的安全事故屢有發(fā)生。網(wǎng)絡(luò)安全的威脅主要表現(xiàn)在：非授權(quán)訪問(wèn)，冒充合法用戶，破壞數(shù)據(jù)完整性，干擾系統(tǒng)正常運(yùn)行，利用網(wǎng)絡(luò)傳播病毒，線路竊聽(tīng)等方面。因此本論文為企業(yè)（宏錦企業(yè)網(wǎng)絡(luò)）構(gòu)架網(wǎng)絡(luò)安全體系，主要運(yùn)用vlan劃分、防火墻技術(shù)、vpn、病毒防護(hù)等技術(shù)，來(lái)實(shí)現(xiàn)企業(yè)的網(wǎng)絡(luò)安全。

關(guān)鍵詞： 網(wǎng)絡(luò)，安全，VPN，防火墻，防病毒

I

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

Abstract In recent years, Internet technology has matured, has begun to provide and guarantee from the network connectivity as the main target of the first generation of Internet technology to provide network data services for the characteristics of the second generation of Internet technology transition.These all contributed to the rapid computer networking technology of large-scale use.As we all know, the world's largest information network use of, Internet openness of their agreement greatly facilitate a variety of computer networking to broaden the sharing of resources.However, in the early design of network protocols on security issues of neglect, as well as in management and use of the anarchy, the Internet increasingly serious threat to their security, and its related security incidents happened quite frequently.Network security threats mainly in: unauthorized access, posing as legitimate users, damage to data integrity, interfere with the normal operation of the system, using the Internet spread the virus, line tapping and so on.Therefore, this paper for the enterprise(Hong Jin corporate network)architecture network security system, mainly by the use of vlan, firewall, vpn, virus protection and other technologies to achieve corporate network security.Keywords: network, security, VPN, firewall, anti-virus

II

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

目 錄

緒 論....................................................................................................................................................................1 第一章 企業(yè)網(wǎng)絡(luò)安全概述...................................................................................................................................2 1.1 企業(yè)網(wǎng)絡(luò)的主要安全隱患.......................................................................................................................2

1.2 企業(yè)網(wǎng)絡(luò)的安全誤區(qū)...............................................................................................................................2 第二章 企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀分析.........................................................................................................................4 2.1 公司背景.....................................................................................................................................................4 2.2 企業(yè)網(wǎng)絡(luò)安全需求.....................................................................................................................................4 2.3 需求分析.....................................................................................................................................................4 2.4 企業(yè)網(wǎng)絡(luò)結(jié)構(gòu).............................................................................................................................................5 第三章 企業(yè)網(wǎng)絡(luò)安全解決實(shí)施...........................................................................................................................6 3.1 宏錦網(wǎng)絡(luò)企業(yè)物理安全.............................................................................................................................6 3.2宏錦企業(yè)網(wǎng)絡(luò)VLAN劃分............................................................................................................................7 3.4 宏錦企業(yè)網(wǎng)絡(luò)防火墻配置.........................................................................................................................9 3.4 宏錦企業(yè)網(wǎng)絡(luò)VPN配置...........................................................................................................................12 3.5 宏錦企業(yè)網(wǎng)絡(luò)防病毒措施.......................................................................................................................13 第四章 宏錦企業(yè)的網(wǎng)絡(luò)管理.............................................................................................................................16 4.1宏錦企業(yè)網(wǎng)絡(luò)管理的問(wèn)題........................................................................................................................16 4.2 宏錦企業(yè)網(wǎng)絡(luò)管理實(shí)施...........................................................................................................................16 總 結(jié)..................................................................................................................................................................18 致 謝..................................................................................................................................................................19 參考文獻(xiàn)...............................................................................................................................................................20

III

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

緒 論

隨著信息化技術(shù)的飛速發(fā)展，許多有遠(yuǎn)見(jiàn)的企業(yè)都認(rèn)識(shí)到依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營(yíng)平臺(tái)將極大地提升企業(yè)的核心競(jìng)爭(zhēng)力，使企業(yè)在殘酷的競(jìng)爭(zhēng)環(huán)境中脫穎而出。經(jīng)營(yíng)管理對(duì)計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng)，計(jì)算機(jī)應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對(duì)網(wǎng)絡(luò)安全提出了更高的要求。信息安全防范應(yīng)做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對(duì)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個(gè)動(dòng)態(tài)的過(guò)程，事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備，安全管理應(yīng)貫穿安全防范活動(dòng)的始終。

網(wǎng)絡(luò)安全問(wèn)題伴隨著網(wǎng)絡(luò)的產(chǎn)生而產(chǎn)生，可以說(shuō)，有網(wǎng)絡(luò)的地方就存在網(wǎng)絡(luò)安全隱患。像病毒入侵和黑客攻擊之類的網(wǎng)絡(luò)安全事件，目前主要是通過(guò)網(wǎng)絡(luò)進(jìn)行的，而且?guī)缀趺繒r(shí)每刻都在發(fā)生，遍及全球。除此之外，像惡意軟件入侵、攻擊，用戶的非法訪問(wèn)和操作，用戶郵件的非法截取和更改等都是普遍存在的安全事實(shí)。網(wǎng)絡(luò)安全事件所帶來(lái)的危害，相信我們每個(gè)計(jì)算機(jī)用戶都或多或少地親身體驗(yàn)過(guò)一些：輕則使電腦系統(tǒng)運(yùn)行不正常，重則使整個(gè)計(jì)算機(jī)系統(tǒng)中的磁盤數(shù)據(jù)全部覆滅，甚至導(dǎo)致磁盤、計(jì)算機(jī)等硬件的損壞。

為了防范這些網(wǎng)絡(luò)安全事故的發(fā)生，每個(gè)計(jì)算機(jī)用戶，特別是企業(yè)網(wǎng)絡(luò)用戶，必須采取足夠的安全防范措施，甚至可以說(shuō)要在利益均衡情況下不惜一切代價(jià)。但要注意，企業(yè)網(wǎng)絡(luò)安全策略的實(shí)施是一項(xiàng)系統(tǒng)工程，它涉及許多方面。因此既要充分考慮到那些平時(shí)經(jīng)常提及的外部網(wǎng)絡(luò)威脅，又要對(duì)來(lái)自內(nèi)部網(wǎng)絡(luò)和網(wǎng)絡(luò)管理本身所帶來(lái)的安全隱患有足夠的重視，不能孤立地看待任何一個(gè)安全隱患和安全措施。因?yàn)檫@些安全隱患爆發(fā)的途徑可以是多方面的，而許多安全措施都是相輔相成的。

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

第一章 企業(yè)網(wǎng)絡(luò)安全概述

1.1 企業(yè)網(wǎng)絡(luò)的主要安全隱患

現(xiàn)在網(wǎng)絡(luò)安全系統(tǒng)所要防范的不再僅是病毒感染，更多的是基于網(wǎng)絡(luò)的非法入侵、攻擊和訪問(wèn)，同時(shí)企業(yè)網(wǎng)絡(luò)安全隱患的來(lái)源有內(nèi)、外網(wǎng)之分，很多情況下內(nèi)部網(wǎng)絡(luò)安全威脅要遠(yuǎn)遠(yuǎn)大于外部網(wǎng)絡(luò)，因?yàn)閮?nèi)部中實(shí)施入侵和攻擊更加容易，企業(yè)網(wǎng)絡(luò)安全威脅的主要來(lái)源主要包括。

1)病毒、木馬和惡意軟件的入侵。2)網(wǎng)絡(luò)黑客的攻擊。

3)重要文件或郵件的非法竊取、訪問(wèn)與操作。4)關(guān)鍵部門的非法訪問(wèn)和敏感信息外泄。5)外網(wǎng)的非法入侵。

6)備份數(shù)據(jù)和存儲(chǔ)媒體的損壞、丟失。

針對(duì)這些安全隱患，所采取的安全策略可以通過(guò)安裝專業(yè)的網(wǎng)絡(luò)版病毒防護(hù)系統(tǒng)，同時(shí)也要加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全管理，配置好防火墻過(guò)濾策略和系統(tǒng)本身的各項(xiàng)安全措施，及時(shí)安裝系統(tǒng)安全補(bǔ)丁，有條件的還可以在內(nèi)、外網(wǎng)之間安裝網(wǎng)絡(luò)掃描檢測(cè)、網(wǎng)絡(luò)嗅探器、IDS、IPS系統(tǒng)，甚至配置網(wǎng)絡(luò)安全隔離系統(tǒng)，對(duì)內(nèi)、外網(wǎng)絡(luò)進(jìn)行安全隔離；加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全管理，嚴(yán)格實(shí)行“最小權(quán)限”原則，為各個(gè)用戶配置好恰當(dāng)?shù)挠脩魴?quán)限；同時(shí)對(duì)一些敏感數(shù)據(jù)進(jìn)行加密保護(hù)，對(duì)數(shù)據(jù)還可以進(jìn)行數(shù)字簽名措施；根據(jù)企業(yè)實(shí)際需要配置好相應(yīng)的數(shù)據(jù)策略，并按策略認(rèn)真執(zhí)行。

1.2 企業(yè)網(wǎng)絡(luò)的安全誤區(qū)

(一)安裝防火墻就安全了

防火墻主要工作都是控制存取與過(guò)濾封包，所以對(duì)DoS攻擊、非法存取與篡改封包等攻擊模式的防范極為有效，可以提供網(wǎng)絡(luò)周邊的安全防護(hù)。但如果攻擊行為不經(jīng)過(guò)防火墻，或是將應(yīng)用層的攻擊程序隱藏在正常的封包內(nèi)，便力不從心了，許多防火墻只是工作在網(wǎng)絡(luò)層。

防火墻的原理是“防外不防內(nèi)”，對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)不進(jìn)行任何阻撓，而事實(shí)上，企業(yè)網(wǎng)絡(luò)安全事件絕大部分還是源于企業(yè)內(nèi)部。

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

(二)安裝了最新的殺毒軟件就不怕病毒了

安裝殺毒軟件的目的是為了預(yù)防病毒的入侵和查殺系統(tǒng)中已感染的計(jì)算機(jī)病毒，但這并不能保證就沒(méi)有病毒入侵了，因?yàn)闅⒍拒浖闅⒛骋徊《镜哪芰偸菧笥谠摬《镜某霈F(xiàn)。

(三)在每臺(tái)計(jì)算機(jī)上安裝單機(jī)版殺毒軟件和網(wǎng)絡(luò)版殺毒軟件等效

網(wǎng)絡(luò)版殺毒軟件核心就是集中的網(wǎng)絡(luò)防毒系統(tǒng)管理。網(wǎng)絡(luò)版殺毒軟件可以在一臺(tái)服務(wù)器上通過(guò)安全中心控制整個(gè)網(wǎng)絡(luò)的客戶端殺毒軟件同步病毒查殺、監(jiān)控整個(gè)網(wǎng)絡(luò)的病毒。同時(shí)對(duì)于整個(gè)網(wǎng)絡(luò)，管理非常方便，對(duì)于單機(jī)版是不可能做到的。

(四)只要不上網(wǎng)就不會(huì)中毒

雖然不少病毒是通過(guò)網(wǎng)頁(yè)傳播的，但像QQ聊天接發(fā)郵件同樣是病毒傳播的主要途徑，而且盜版光盤以及U盤等也會(huì)存在著病毒。所以只要計(jì)算機(jī)開(kāi)著，就要防范病毒。

(五)文件設(shè)置只讀就可以避免感染病毒

設(shè)置只讀只是調(diào)用系統(tǒng)的幾個(gè)命令，而病毒或黑客程序也可以做到這一點(diǎn)，設(shè)置只讀并不能有效防毒，不過(guò)在局域網(wǎng)中為了共享安全，放置誤刪除，還是比較有用的。

(六)網(wǎng)絡(luò)安全主要來(lái)自外部

基于內(nèi)部的網(wǎng)絡(luò)攻擊更加容易，不需要借助于其他的網(wǎng)絡(luò)連接方式，就可以直接在內(nèi)部網(wǎng)絡(luò)中實(shí)施攻擊。所以，加強(qiáng)內(nèi)部網(wǎng)絡(luò)安全管理，特別是用戶帳戶管理，如帳戶密碼、臨時(shí)帳戶、過(guò)期帳戶和權(quán)限等方面的管理非常必要了。

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

第二章 企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀分析

2.1 公司背景

宏錦網(wǎng)絡(luò)有限公司是一家有100名員工的中小型網(wǎng)絡(luò)公司，主要以手機(jī)應(yīng)用開(kāi)發(fā)為主營(yíng)項(xiàng)目的軟件企業(yè)。公司有一個(gè)局域網(wǎng)，約100臺(tái)計(jì)算機(jī)，服務(wù)器的操作系統(tǒng)是 Windows Server 2003,客戶機(jī)的操作系統(tǒng)是 Windows XP，在工作組的模式下一人一機(jī)辦公。公司對(duì)網(wǎng)絡(luò)的依賴性很強(qiáng)，主要業(yè)務(wù)都要涉及互聯(lián)網(wǎng)以及內(nèi)部網(wǎng)絡(luò)。隨著公司的發(fā)展現(xiàn)有的網(wǎng)絡(luò)安全已經(jīng)不能滿足公司的需要，因此構(gòu)建健全的網(wǎng)絡(luò)安全體系是當(dāng)前的重中之重。

2.2 企業(yè)網(wǎng)絡(luò)安全需求

宏錦網(wǎng)絡(luò)有限公司根據(jù)業(yè)務(wù)發(fā)展需求，建設(shè)一個(gè)小型的企業(yè)網(wǎng)，有Web、Mail等服務(wù)器和辦公區(qū)客戶機(jī)。企業(yè)分為財(cái)務(wù)部門和業(yè)務(wù)部門，需要他們之間相互隔離。同時(shí)由于考慮到Inteneter的安全性，以及網(wǎng)絡(luò)安全等一些因素，如DDoS、ARP等。因此本企業(yè)的網(wǎng)絡(luò)安全構(gòu)架要求如下：

（1）根據(jù)公司現(xiàn)有的網(wǎng)絡(luò)設(shè)備組網(wǎng)規(guī)劃（2）保護(hù)網(wǎng)絡(luò)系統(tǒng)的可用性（3）保護(hù)網(wǎng)絡(luò)系統(tǒng)服務(wù)的連續(xù)性

（4）防范網(wǎng)絡(luò)資源的非法訪問(wèn)及非授權(quán)訪問(wèn)（5）防范入侵者的惡意攻擊與破壞

（6）保護(hù)企業(yè)信息通過(guò)網(wǎng)上傳輸過(guò)程中的機(jī)密性、完整性（7）防范病毒的侵害（8）實(shí)現(xiàn)網(wǎng)絡(luò)的安全管理。

2.3 需求分析

通過(guò)了解宏錦網(wǎng)絡(luò)公司的需求與現(xiàn)狀，為實(shí)現(xiàn)宏錦網(wǎng)絡(luò)公司的網(wǎng)絡(luò)安全建設(shè)實(shí)施網(wǎng)絡(luò)系統(tǒng)改造，提高企業(yè)網(wǎng)絡(luò)系統(tǒng)運(yùn)行的穩(wěn)定性，保證企業(yè)各種設(shè)計(jì)信息的安全性，避免圖紙、文檔的丟失和外泄。通過(guò)軟件或安全手段對(duì)客戶端的計(jì)算機(jī)加以保護(hù)，記錄用戶對(duì)客戶端計(jì)算機(jī)中關(guān)鍵目錄和文件的操作，使企業(yè)有手段對(duì)用戶在客戶端計(jì)算機(jī)的使用

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

情況進(jìn)行追蹤，防范外來(lái)計(jì)算機(jī)的侵入而造成破壞。通過(guò)網(wǎng)絡(luò)的改造，使管理者更加便于對(duì)網(wǎng)絡(luò)中的服務(wù)器、客戶端、登陸用戶的權(quán)限以及應(yīng)用軟件的安裝進(jìn)行全面的監(jiān)控和管理。因此需要

（1）構(gòu)建良好的環(huán)境確保企業(yè)物理設(shè)備的安全（2）劃分VLAN控制內(nèi)網(wǎng)安全（3）安裝防火墻體系

（4）建立VPN(虛擬專用網(wǎng)絡(luò))確保數(shù)據(jù)安全（5）安裝防病毒服務(wù)器（6）加強(qiáng)企業(yè)對(duì)網(wǎng)絡(luò)資源的管理

2.4 企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)

宏錦網(wǎng)絡(luò)公司網(wǎng)絡(luò)拓?fù)鋱D，如圖2-1所示:

圖2-1 企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)

由于宏錦網(wǎng)絡(luò)公司是直接從電信接入IP為58.192.65.62 255.255.255.0，直接經(jīng)由防火墻分為DMZ區(qū)域和普通區(qū)域。防火墻上做NAT轉(zhuǎn)換，分別給客戶機(jī)端的地址為10.1.1.0 255.255.255.0。防火墻接客戶區(qū)端口地址為10.1.1.1 255.255.255.0。DMZ內(nèi)主要有各類的服務(wù)器，地址分配為10.1.2.0 255.255.255.0。防火墻DMZ區(qū)的接口地址為10.1.2.1 255.255.255.0。內(nèi)網(wǎng)主要由3層交換機(jī)作為核心交換機(jī)，下面有兩臺(tái)2層交換機(jī)做接入。

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

第三章 企業(yè)網(wǎng)絡(luò)安全解決實(shí)施

3.1 宏錦網(wǎng)絡(luò)企業(yè)物理安全

宏錦企業(yè)網(wǎng)絡(luò)中保護(hù)網(wǎng)絡(luò)設(shè)備的物理安全是其整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的前提，物理安全是指保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其他媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故、人為操作失誤或各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞。

針對(duì)宏錦網(wǎng)絡(luò)企業(yè)的物理安全主要考慮的問(wèn)題是環(huán)境、場(chǎng)地和設(shè)備的安全及物理訪問(wèn)控制和應(yīng)急處置計(jì)劃等。物理安全在整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全中占有重要地位。它主要包括以下幾個(gè)方面： 1)保證機(jī)房環(huán)境安全

信息系統(tǒng)中的計(jì)算機(jī)硬件、網(wǎng)絡(luò)設(shè)施以及運(yùn)行環(huán)境是信息系統(tǒng)運(yùn)行的最基本的環(huán)境。要從一下三個(gè)方面考慮：a.自然災(zāi)害、物理?yè)p壞和設(shè)備故障 b.電磁輻射、乘機(jī)而入、痕跡泄漏等 c.操作失誤、意外疏漏等 2)選用合適的傳輸介質(zhì)

屏蔽式雙絞線的抗干擾能力更強(qiáng)，且要求必須配有支持屏蔽功能的連接器件和要求介質(zhì)有良好的接地（最好多處接地），對(duì)于干擾嚴(yán)重的區(qū)域應(yīng)使用屏蔽式雙絞線，并將其放在金屬管內(nèi)以增強(qiáng)抗干擾能力。

光纖是超長(zhǎng)距離和高容量傳輸系統(tǒng)最有效的途徑，從傳輸特性等分析，無(wú)論何種光纖都有傳輸頻帶寬、速率高、傳輸損耗低、傳輸距離遠(yuǎn)、抗雷電和電磁的干擾性好保密性好，不易被竊聽(tīng)或被截獲數(shù)據(jù)、傳輸?shù)恼`碼率很低，可靠性高，體積小和重量輕等特點(diǎn)。與雙絞線或同軸電纜不同的是光纖不輻射能量，能夠有效地阻止竊聽(tīng)。3)保證供電安全可靠

計(jì)算機(jī)和網(wǎng)絡(luò)主干設(shè)備對(duì)交流電源的質(zhì)量要求十分嚴(yán)格，對(duì)交流電的電壓和頻率，對(duì)電源波形的正弦性，對(duì)三相電源的對(duì)稱性，對(duì)供電的連續(xù)性、可靠性穩(wěn)定性和抗干擾性等各項(xiàng)指標(biāo)，都要求保持在允許偏差范圍內(nèi)。機(jī)房的供配電系統(tǒng)設(shè)計(jì)既要滿足設(shè)備自身運(yùn)轉(zhuǎn)的要求，又要滿足網(wǎng)絡(luò)應(yīng)用的要求，必須做到保證網(wǎng)絡(luò)系統(tǒng)運(yùn)行的可靠性，保證設(shè)備的設(shè)計(jì)壽命保證信息安全保證機(jī)房人員的工作環(huán)境。

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

3.2宏錦企業(yè)網(wǎng)絡(luò)VLAN劃分

VLAN技術(shù)能有效隔離局域網(wǎng)，防止網(wǎng)內(nèi)的攻擊，所以宏錦網(wǎng)絡(luò)有限公司網(wǎng)絡(luò)中按部門進(jìn)行了VLAN劃分，劃分為以下兩個(gè)VLAN：

財(cái)務(wù)部門 VLAN 10

交換機(jī)S1接入交換機(jī)（神州數(shù)碼DCS-3950）業(yè)務(wù)部門 VLAN 20

交換機(jī)S2接入交換機(jī)（神州數(shù)碼DCS-3950）核心交換機(jī) VLAN間路由 核心交換機(jī)S3（神州數(shù)碼DCRS-5526）S1配置如下: switch> switch>ena switch#con switch(Config)#vlan 10 switch(Config-Vlan10)#sw int e 0/0/1-20 switch(Config-Vlan10)#exit switch(Config)#exit switch#con switch(Config)#int e 0/0/24 switch(Config-Ethernet0/0/24)#sw m t Set the port Ethernet0/0/24 mode TRUNK successfully switch(Config-Ethernet0/0/24)#sw t a v a set the port Ethernet0/0/24 allowed vlan successfully switch(Config-Ethernet0/0/24)#exit switch(Config)#ip dhcp pool vlan10 switch(dhcp-vlan10-config)#network-address 192.168.10.0 255.255.255.0 switch(dhcp-vlan10-config)#lease 3 switch(dhcp-vlan10-config)#default-router 192.168.1.1 switch(dhcp-vlan10-config)#dns-server 61.177.7.1 switch(dhcp-vlan10-config)#exit switch(config)ip dhcp excluded-address 192.168.10.1 S2配置如下: Switch> Switch>ena Switch#con

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

switch(Config)#vlan 20 switch(Config-Vlan20)#sw int e 0/0/1-20 switch(Config-Vlan20)#exit switch(Config)#exit switch#con switch(Config)#int e 0/0/24 switch(Config-Ethernet0/0/24)#sw m t Set the port Ethernet0/0/24 mode TRUNK successfully switch(Config-Ethernet0/0/24)#sw t a v a set the port Ethernet0/0/24 allowed vlan successfully switch(Config-Ethernet0/0/24)#exit switch(Config)#ip dhcp pool vlan20 switch(dhcp-vlan20-config)#network-address 192.168.20.0 255.255.255.0 switch(dhcp-vlan20-config)#lease 3 switch(dhcp-vlan20-config)#default-router 192.168.1.1 switch(dhcp-vlan20-config)#dns-server 61.177.7.1 switch(dhcp-vlan20-config)#exit switch(config)ip dhcp excluded-address 192.168.20.1 switch(config)ip dhcp excluded-address 192.168.20.150-192.168.20.240 S0配置如下: switch> switch>enable switch#config switch(Config)#hostname S0 S0(Config)#vlan 10 S0(Config-Vlan10)#vlan 20 S0(Config-Vlan20)#exit S0(Config)#int e 0/0/1-2 S0(Config-Port-Range)#sw m t S0(Config-Port-Range)#sw t a v a S0(Config-Port-Range)#exit S0(Config)#int vlan 10 S0(Config-If-Vlan10)#ip address 192.168.10.1 255.255.255.0 S0(Config-If-Vlan10)#no shutdown

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

S0(Config-If-Vlan10)#exit S0(Config)#int vlan 20 00:04:23: %LINK-5-CHANGED: Interface Vlan20, changed state to UP %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed state to UP S0(Config-If-Vlan20)#ip address 192.168.20.1 255.255.255.0 S0(Config-If-Vlan20)#no shutdown S0(Config-If-Vlan20)#exit S0(Config)#exit S0(Config-If-Vlan1)#ip address 192.168.1.1 255.255.255.0 S0(Config-If-Vlan1)#no shutdown S0(Config-If-Vlan1)#exit S0(Config)#exit S0#show ip route S0#con S0(Config)#ip route 58.192.65.0 255.255.255.0 10.1.1.1 3.4 宏錦企業(yè)網(wǎng)絡(luò)防火墻配置

宏錦企業(yè)網(wǎng)絡(luò)中使用的是神州數(shù)碼的DCFW-1800S UTM，里面包含了防火墻和VPN等功能。以下為配置過(guò)程：

在防火墻NAT策略下面，新增NAT。如圖3-1:

圖3-1 新增企業(yè)防火墻策略示意圖

源域：untrust； 源地址對(duì)象：any； 目的域：trust； 目的地址對(duì)象：any；

在全局安全策略設(shè)置里面如圖3-2和圖3-3所示:

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

圖3-2企業(yè)防火墻策略配置示意圖

圖 3-3 企業(yè)防火墻策略配置示意圖

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

圖3-4企業(yè)防火墻策略配置示意圖

可以設(shè)置全局下面訪問(wèn)策略，以及域內(nèi)和域間的訪問(wèn)策略。這里我們?cè)O(shè)置，內(nèi)部網(wǎng)絡(luò)為信任區(qū)域（trust），Inteneter為不信任區(qū)域（untrust），服務(wù)器區(qū)域?yàn)镈MZ區(qū)域。動(dòng)作包括permit允許，拒絕deny，以及其他的特定的服務(wù)。這里允許內(nèi)部訪問(wèn)外部和DMZ區(qū)域，而DMZ和Inteneter不允許訪問(wèn)內(nèi)部。但是處于中間位置的DMZ可以允許Inteneter的訪問(wèn)。所以要添加好幾條NAT策略。

在網(wǎng)絡(luò)接口處如圖3-5所示:

圖3-5 網(wǎng)絡(luò)接口處配置示意圖

要配置3個(gè)以太網(wǎng)接口為up，安全區(qū)域分別為eth1：l2-trust，eth0：l2-untrust，eth2：l2-DMZ。其中接外網(wǎng)的eth0工作模式為路由模式，其余接DMZ和內(nèi)部的都為NAT模式。如圖3-6所示:

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

圖3-6 以太網(wǎng)接口配置示意圖

同時(shí)為他們配好相應(yīng)的網(wǎng)絡(luò)地址，eth0為58.192.65.62，eth1：10.1.1.1，eth2 10.1.2.1。

3.4 宏錦企業(yè)網(wǎng)絡(luò)VPN配置

宏錦企業(yè)網(wǎng)絡(luò)的VPN功能主要也是通過(guò)上面的防火墻實(shí)現(xiàn)的。如圖3-7,圖3-8所示:

圖3-7 PPTP協(xié)議示意圖

圖3-8 PPTP示意圖

這里我們使用PPTP協(xié)議來(lái)實(shí)現(xiàn)VPN，首先是新增PPTP地址池，范圍為192.168.20.150-192.168.20.240 如圖3-9所示:

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

圖3-9 PPTP協(xié)議實(shí)現(xiàn)VPN示意圖

在PPTP設(shè)置里面，選擇Chap加密認(rèn)證，加密方式mppe-128。DNS分別為61.177.7.1，MTU為500。

3.5 宏錦企業(yè)網(wǎng)絡(luò)防病毒措施

針對(duì)宏錦企業(yè)網(wǎng)絡(luò)的現(xiàn)狀，在綜合考慮了公司對(duì)防病毒系統(tǒng)的性能要求、成本和安全性以后，我選用江民殺毒軟件KV網(wǎng)絡(luò)版來(lái)在內(nèi)網(wǎng)中進(jìn)行防病毒系統(tǒng)的建立。產(chǎn)品特點(diǎn): KV網(wǎng)絡(luò)版是為各種簡(jiǎn)單或復(fù)雜網(wǎng)絡(luò)環(huán)境設(shè)計(jì)的計(jì)算機(jī)病毒網(wǎng)絡(luò)防護(hù)系統(tǒng)，即適用于包含若干臺(tái)主機(jī)的單一網(wǎng)段網(wǎng)絡(luò)，也適用于包含各種WEB服務(wù)器、郵件服務(wù)器、應(yīng)用服務(wù)器，以及分布在不同城市，包含數(shù)十萬(wàn)臺(tái)主機(jī)的超大型網(wǎng)絡(luò)。KV網(wǎng)絡(luò)版具有以下顯著特點(diǎn)：

(1)先進(jìn)的體系結(jié)構(gòu)(2)超強(qiáng)的殺毒能力(3)完備的遠(yuǎn)程控制(4)方便的分級(jí)、分組管理

宏錦企業(yè)網(wǎng)絡(luò)KV網(wǎng)絡(luò)版的主控制中心部署在DMZ服務(wù)器區(qū)，子控制中心部署在3層交換機(jī)的一臺(tái)服務(wù)器上。

網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖3-10所示:

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

圖3-10 主控制中心部署圖

子控制中心與主控制中心關(guān)系: 控制中心負(fù)責(zé)整個(gè)KV網(wǎng)絡(luò)版的管理與控制，是整個(gè)KV網(wǎng)絡(luò)版的核心，在部署KV網(wǎng)絡(luò)時(shí)，必須首先安裝。除了對(duì)網(wǎng)絡(luò)中的計(jì)算機(jī)進(jìn)行日常的管理與控制外，它還實(shí)時(shí)地記錄著KV網(wǎng)絡(luò)版防護(hù)體系內(nèi)每臺(tái)計(jì)算機(jī)上的病毒監(jiān)控、查殺病毒和升級(jí)等信息。在1個(gè)網(wǎng)段內(nèi)僅允許安裝1臺(tái)控制中心。根據(jù)控制中心所處的網(wǎng)段的不同，可以將控制中心劃分為主控制中心和子控制中心，子控制中心除了要 完成控制中心的功能外，還要負(fù)責(zé)與它的上級(jí)——主控制中心進(jìn)行通信。這里的“主”和“子”是一個(gè) 相對(duì)的概念：每個(gè)控制中心對(duì)于它的下級(jí)的網(wǎng)段來(lái)說(shuō)都是主控制中心，對(duì)于它的上級(jí)的網(wǎng)段來(lái)說(shuō)又是子控制中心，這種控制結(jié)構(gòu)可以根據(jù)網(wǎng)絡(luò)的需要無(wú)限的延伸下去。

為宏錦企業(yè)網(wǎng)絡(luò)安裝好KV網(wǎng)絡(luò)版殺毒軟件后，為期配置軟件的安全策略。對(duì)宏錦企業(yè)客戶端計(jì)算機(jī)的KV軟件實(shí)現(xiàn)更為完善的遠(yuǎn)程控制功能，利用KV軟件控制中心的“策略設(shè)置”功能組來(lái)實(shí)現(xiàn)。在此功能中可以針對(duì)單一客戶端、邏輯組、全網(wǎng)進(jìn)行具有針對(duì)性的安全策略設(shè)置。在“策略設(shè)置”下拉菜單中，我們可以找到“掃描設(shè)置”、“反垃圾郵件”、“網(wǎng)址過(guò)濾”等與平時(shí)安全應(yīng)用密切相關(guān)的各項(xiàng)應(yīng)用配置選項(xiàng)，如圖3-11所示。

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

圖3-11 “策略設(shè)置”命令菜單

為宏錦企業(yè)網(wǎng)絡(luò)KV網(wǎng)絡(luò)版殺毒軟件配置“掃描設(shè)置”，掃描設(shè)置可對(duì)當(dāng)前選擇的任意組或者任意節(jié)點(diǎn)的客戶端進(jìn)行更加細(xì)化的掃描設(shè)置。宏錦企業(yè)可以自己設(shè)定適合于自己網(wǎng)絡(luò)環(huán)境的掃描方案，針對(duì)不同的策略對(duì)不同的客戶端進(jìn)行分發(fā)不同的掃描命令?？梢韵掳l(fā)以下命令到節(jié)點(diǎn)計(jì)算機(jī)：掃描目標(biāo)，定時(shí)掃描，分類掃描，不掃描文件夾，掃描報(bào)告，簡(jiǎn)單而實(shí)用的設(shè)置頁(yè)大大的增加了網(wǎng)絡(luò)管理的易用性。其中掃描目標(biāo)的設(shè)置界面如圖3-12所示。

圖3-12 掃描目標(biāo)配置

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

第四章 宏錦企業(yè)的網(wǎng)絡(luò)管理

4.1宏錦企業(yè)網(wǎng)絡(luò)管理的問(wèn)題

（1）計(jì)算機(jī)軟、硬件數(shù)量無(wú)法確實(shí)掌握，盤點(diǎn)困難；（2）單位的計(jì)算機(jī)數(shù)量越來(lái)越多，無(wú)法集中管理；

（3）無(wú)法有效防止員工私裝軟件，造成非法版權(quán)使用威脅；（4）硬件設(shè)備私下挪用、竊取，造成財(cái)產(chǎn)損失；（5）使用者計(jì)算機(jī)IP隨易變更，造成故障頻傳；（6）軟件單機(jī)安裝浪費(fèi)人力，應(yīng)用軟件版本不易控制；（7）重要資料遭非法拷貝，資料外泄，無(wú)法監(jiān)督；（8）設(shè)備故障或資源不足，無(wú)法事先得到預(yù)警；

（9）應(yīng)用軟件購(gòu)買后，員工真正使用狀況如何，無(wú)從分析； 居高不下的信息化資源成本，不知如何改善。

4.2 宏錦企業(yè)網(wǎng)絡(luò)管理實(shí)施

針對(duì)宏錦企業(yè)網(wǎng)絡(luò)的需求，給企業(yè)安裝SmartIPVIew管理軟件實(shí)現(xiàn)宏錦企業(yè)網(wǎng)絡(luò)對(duì)公司內(nèi)部的設(shè)備以及IP網(wǎng)絡(luò)資源管理。實(shí)施步驟安裝SmartIPVIew管理軟件，運(yùn)行軟件添加宏錦企業(yè)的IP網(wǎng)段如圖4-1.火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

圖4-1 添加企業(yè)IP網(wǎng)段

單擊確認(rèn)，添加宏錦企業(yè)內(nèi)部IP網(wǎng)段便于企業(yè)管理企業(yè)內(nèi)部用戶。對(duì)宏錦企業(yè)網(wǎng)絡(luò)內(nèi)部設(shè)備的管理如下圖4-2所示。

圖4-2 添加網(wǎng)絡(luò)設(shè)備

如圖4-2添加宏錦企業(yè)的網(wǎng)絡(luò)設(shè)備，以實(shí)現(xiàn)企業(yè)對(duì)內(nèi)部網(wǎng)絡(luò)設(shè)備的監(jiān)控和方便管理能有效的提高辦公效率。

SmartIPVIew管理軟件獨(dú)創(chuàng)的IP地址資源管理技術(shù)，通過(guò)保護(hù)IP地址資源的安全使用，以及對(duì)IP地址資源的回收再利用，使有限的IP地址資源得到合理合法的使用，從而可以保證整個(gè)網(wǎng)絡(luò)資源的有效利用和安全。

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

總 結(jié)

隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全逐漸成為一個(gè)潛在的巨大問(wèn)題。網(wǎng)絡(luò)安全性是一個(gè)涉及面很廣泛的問(wèn)題，其中也會(huì)涉及到是否構(gòu)成犯罪行為的問(wèn)題。在其最簡(jiǎn)單的形式中，它主要關(guān)心的是確保無(wú)關(guān)人員不能讀取，更不能修改傳送給其他接收者的信息。此時(shí)，它關(guān)心的對(duì)象是那些無(wú)權(quán)使用，但卻試圖獲得遠(yuǎn)程服務(wù)的人。安全性也處理合法消息被截獲和重播的問(wèn)題，以及發(fā)送者是否曾發(fā)送過(guò)該條消息的問(wèn)題。

本論文從企業(yè)角度描述了網(wǎng)絡(luò)安全的解決方案，目的在于為用戶提供信息的保密，認(rèn)證和完整性保護(hù)機(jī)制，使網(wǎng)絡(luò)中的服務(wù)，數(shù)據(jù)以及系統(tǒng)免受侵?jǐn)_和破壞。比如防火墻，認(rèn)證，加密技術(shù)等都是當(dāng)今常用的方法，本論文從這些方法入手深入研究各個(gè)方面的網(wǎng)絡(luò)安全問(wèn)題的解決，可以使讀者有對(duì)網(wǎng)絡(luò)安全技術(shù)的更深刻的了解。

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

致 謝

在這幾個(gè)多月的畢業(yè)設(shè)計(jì)中，我真誠(chéng)的感謝老師的指導(dǎo)，在老師的幫助下我才順利的完成畢業(yè)設(shè)計(jì)。

做畢業(yè)實(shí)際就需要把平時(shí)學(xué)到的東西在復(fù)習(xí)一遍，因?yàn)槠綍r(shí)上課還有課后自己的學(xué)習(xí)，都主要在基于理論方面的，雖然也做很多實(shí)驗(yàn)，但當(dāng)把畢業(yè)設(shè)計(jì)當(dāng)作一個(gè)實(shí)際的工程來(lái)做的時(shí)候就會(huì)發(fā)現(xiàn)很多的問(wèn)題，這就需要老師的指導(dǎo)了，特別是老師讓我們?cè)趯?shí)訓(xùn)機(jī)房里面，直接就各個(gè)硬件進(jìn)行操作，這樣我們就不會(huì)空談就會(huì)做的更深層次。

所以很感謝老師的幫助，讓我更好的將理論和實(shí)踐相結(jié)合，最后完成了此次畢業(yè)設(shè)計(jì)，同時(shí)也為以后工作做了很好的準(zhǔn)備。

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

參考文獻(xiàn)

[ 1 ] 王達(dá).網(wǎng)管員必讀—網(wǎng)絡(luò)安全.北京：機(jī)械工業(yè)出版社，2009． [ 2 ] 黃傳河.網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)師教程.北京：機(jī)械工業(yè)出版社，2009． [ 3 ] 張千里，陳光英.網(wǎng)絡(luò)安全新技術(shù).北京：人民郵電出版社，2003 [ 4 ] 王衛(wèi)紅，李曉明.計(jì)算機(jī)網(wǎng)絡(luò)與互聯(lián)網(wǎng).北京：機(jī)械工業(yè)出版社，2009． [ 5 ] 易建勛.計(jì)算機(jī)網(wǎng)絡(luò)技術(shù).北京：人民郵電出版社，2007.[ 6 ] 揚(yáng)衛(wèi)東.網(wǎng)絡(luò)系統(tǒng)集成與工程設(shè)計(jì)，2007.[ 7 ] 張千里，陳光英.網(wǎng)絡(luò)安全新技術(shù).北京：人民郵電出版社，2003 [ 8 ] 徐超汗.計(jì)算機(jī)網(wǎng)絡(luò)安全實(shí)用技術(shù)，電子工業(yè)出版社，2005年3月 [ 9 ] 萬(wàn)博公司技術(shù)部.網(wǎng)絡(luò)系統(tǒng)集成行業(yè)使用方案,海洋出版社，2006年 [10 ] 高永強(qiáng)，郭世澤.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用大典.北京：人民郵電出版社，2003

火龍果?整理 uml.org.cn

第四篇：XX校園網(wǎng)網(wǎng)絡(luò)安全解決方案

網(wǎng)絡(luò)安全課程設(shè)計(jì)

目錄

一、校園網(wǎng)概況

二、校園網(wǎng)安全需求分析

三、產(chǎn)品選型和網(wǎng)絡(luò)拓?fù)鋱D介紹

四、操作系統(tǒng)安全配置與測(cè)試

五、應(yīng)用服務(wù)器（WWW）安全配置

六、防病毒體系設(shè)計(jì)

七、防火墻設(shè)計(jì)、配置與測(cè)試

一、校園網(wǎng)概況 該校園網(wǎng)始建于2000年8月，至今已經(jīng)歷了四個(gè)主要發(fā)展階段，網(wǎng)絡(luò)覆蓋已遍及現(xiàn)有的教學(xué)辦公區(qū)和學(xué)生宿舍區(qū)。截止目前，校園網(wǎng)光纜鋪設(shè)約一萬(wàn)二千米，信息點(diǎn)鋪設(shè)接近一萬(wàn)，開(kāi)設(shè)上網(wǎng)帳號(hào)8000多個(gè)，辦理學(xué)校免費(fèi)郵箱2000左右。

校園網(wǎng)主干現(xiàn)為雙千兆環(huán)網(wǎng)結(jié)構(gòu)。校園網(wǎng)接入均為千兆光纖到大樓，百兆交換到桌面，具有良好的網(wǎng)絡(luò)性能。

校園網(wǎng)現(xiàn)有三條寬帶出口并行接入Internet，500兆中國(guó)電信、100兆中國(guó)網(wǎng)通和100兆中國(guó)教育科研網(wǎng)，通過(guò)合理的路由策略，為校園網(wǎng)用戶提供了良好的出口帶寬。

校園網(wǎng)資源建設(shè)成效顯著，現(xiàn)有資源服務(wù)包括大學(xué)門戶網(wǎng)站、新聞網(wǎng)站、各學(xué)院和職能部門網(wǎng)站、安農(nóng)科技網(wǎng)站、郵件服務(wù)、電子校務(wù)、畢博輔助教學(xué)平臺(tái)、在線電視、VOD點(diǎn)播、音樂(lè)欣賞、公用FTP、文檔下載、軟件下載、知識(shí)園地、站點(diǎn)導(dǎo)航、在線幫助、系統(tǒng)補(bǔ)丁、網(wǎng)絡(luò)安全、個(gè)人主頁(yè)、計(jì)費(fèi)服務(wù)、VPN、DHCP、域名服務(wù)等。還有外語(yǔ)學(xué)習(xí)的平臺(tái)，圖書館豐富的電子圖書資源，教務(wù)處的學(xué)分制教學(xué)信息服務(wù)網(wǎng)、科技處的科研管理平臺(tái)等。眾多的資源服務(wù)構(gòu)成了校園網(wǎng)的資源子網(wǎng)，為廣大師生提供了良好的資源服務(wù)。

二、校園網(wǎng)安全需求分析

將安全策略、硬件及軟件等方法結(jié)合起來(lái)，構(gòu)成一個(gè)統(tǒng)一的防御系統(tǒng)，有效阻止非法用戶進(jìn)入網(wǎng)絡(luò)，減少網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。

定期進(jìn)行漏洞掃描，審計(jì)跟蹤，及時(shí)發(fā)現(xiàn)問(wèn)題，解決問(wèn)題。

通過(guò)入侵檢測(cè)等方式實(shí)現(xiàn)實(shí)時(shí)安全監(jiān)控，提供快速響應(yīng)故障的手段，同時(shí)具備很好的安全取證措施。

使網(wǎng)絡(luò)管理者能夠很快重新組織被破壞了的文件或應(yīng)用。使系統(tǒng)重新恢復(fù)到破壞前的狀態(tài)，最大限度地減少損失。

在工作站、服務(wù)器上安裝相應(yīng)的防病毒軟件，由中央控制臺(tái)統(tǒng)一控制和管理，實(shí)現(xiàn)全網(wǎng)統(tǒng)一防病毒。

通過(guò)對(duì)校園網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用及安全威脅分析，可以看出其安全問(wèn)題主要集中在對(duì)服務(wù)器的安全保護(hù)、防黑客和病毒、重要網(wǎng)段的保護(hù)以及管理安全上。因此，我們必須采取相應(yīng)的安全措施杜絕安全隱患，其中應(yīng)該做到：

公開(kāi)服務(wù)器的安全保護(hù)

防止黑客從外部攻擊

入侵檢測(cè)與監(jiān)控

信息審計(jì)與記錄

病毒防護(hù)

數(shù)據(jù)安全保護(hù)

數(shù)據(jù)備份與恢復(fù)

網(wǎng)絡(luò)的安全管理

針對(duì)這個(gè)企業(yè)局域網(wǎng)絡(luò)系統(tǒng)的實(shí)際情況，在系統(tǒng)考慮如何解決上述安全問(wèn)題的設(shè)計(jì)時(shí)應(yīng)滿足如下要求：

1.大幅度地提高系統(tǒng)的安全性（重點(diǎn)是可用性和可控性）；

2.保持網(wǎng)絡(luò)原有的能特點(diǎn)，即對(duì)網(wǎng)絡(luò)的協(xié)議和傳輸具有很好的透明性，能透明接入，無(wú)需更改網(wǎng)絡(luò)設(shè)置；

3.易于操作、維護(hù)，并便于自動(dòng)化管理，而不增加或少增加附加操作；

4.盡量不影響原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，同時(shí)便于系統(tǒng)及系統(tǒng)功能的擴(kuò)展；

5.安全保密系統(tǒng)具有較好的性能價(jià)格比，一次性投資，可以長(zhǎng)期使用；

6.安全產(chǎn)品具有合法性，及經(jīng)過(guò)國(guó)家有關(guān)管理部門的認(rèn)可或認(rèn)證； 7.分布實(shí)施。

三、產(chǎn)品選型和網(wǎng)絡(luò)拓?fù)鋱D介紹

該校園網(wǎng)現(xiàn)行核心區(qū)選用銳捷核心交換機(jī)RG-S5750S系列，24端口10/100/1000M自適應(yīng)端口（支持PoE遠(yuǎn)程供電），12個(gè)復(fù)用的SFP接口，2個(gè)擴(kuò)展槽。支持4K個(gè)802.1Q VLAN 支持Super VLAN、支持Protocol VLAN、支持Private VLAN、支持Voice VLAN(*)、支持基于MAC地址的VLAN(*)、支持QinQ、支持STP、RSTP、MSTP。

防火墻采用深信服M5400VPN防火墻。2個(gè)LAN口，4個(gè)WAN口，2個(gè)串口。IPSec VPN隧道數(shù)：5200 條/并發(fā)SSL用戶數(shù)：800 /每秒新建用戶數(shù)：80 /每秒新建會(huì)話數(shù)：500/最大并發(fā)會(huì)話數(shù)目：600,000。接入層采用H3C S1048交換機(jī)，提供48個(gè)符合IEEE802.3u標(biāo)準(zhǔn)的10/100M自適應(yīng)以太網(wǎng)接口，所有端口均支持全線速無(wú)阻塞交換以及端口自動(dòng)翻轉(zhuǎn)功能，外形采用19英寸標(biāo)準(zhǔn)機(jī)架設(shè)計(jì)。符合IEEE802.3、IEEE802.3u和IEEE802.3x標(biāo)準(zhǔn)； 提供48個(gè)10/100M自適應(yīng)以太網(wǎng)端口； 每個(gè)端口都支持Auto-MDI/MDIX功能； 每個(gè)端口都提供Speed和Link/Act指示燈，顯示端口的工作狀態(tài)。

校園網(wǎng)拓?fù)鋱D：

（四、五、）操作系統(tǒng)安全配置與測(cè)試，WWW配置與測(cè)試。

操作系統(tǒng)采用server 03，并在其上配置IIS、WWW、DHCP、DNS等。配置圖例如下：

然后建立網(wǎng)站文件夾目錄：

性能與目錄安全性配置：

可以通過(guò)IP地址和域名限制，創(chuàng)建虛擬文件目錄，更改端口號(hào)燈多種方法來(lái)提高WWW服務(wù)器的安全性。通過(guò)局域網(wǎng)網(wǎng)內(nèi)不同主機(jī)對(duì)服務(wù)器的訪問(wèn)來(lái)測(cè)試配置情況。

六、防病毒體系設(shè)計(jì)

防病毒體系總體規(guī)劃：

防病毒系統(tǒng)不僅是檢測(cè)和清除病毒，還應(yīng)加強(qiáng)對(duì)病毒的防護(hù)工作，在網(wǎng)絡(luò)中不僅要部署被動(dòng)防御體系（防病毒系統(tǒng)）還要采用主動(dòng)防御機(jī)制（防火墻、安全策略、漏洞修復(fù)等），將病毒隔離在網(wǎng)絡(luò)大門之外。通過(guò)管理控制臺(tái)統(tǒng)一部署防病毒系統(tǒng)，保證不出現(xiàn)防病毒漏洞。因此，遠(yuǎn)程安裝、集中管理、統(tǒng)一防病毒策略成為企業(yè)級(jí)防病毒產(chǎn)品的重要需求。

在跨區(qū)域的廣域網(wǎng)內(nèi)，要保證整個(gè)廣域網(wǎng)安全無(wú)毒，首先要保證每一個(gè)局域網(wǎng)的安全無(wú)毒。也就是說(shuō)，一個(gè)企業(yè)網(wǎng)的防病毒系統(tǒng)是建立在每個(gè)局域網(wǎng)的防病毒系統(tǒng)上的。應(yīng)該根據(jù)每個(gè)局域網(wǎng)的防病毒要求，建立局域網(wǎng)防病毒控制系統(tǒng)，分別設(shè)置有針對(duì)性的防病毒策略。從總部到分支機(jī)構(gòu)，由上到下，各個(gè)局域網(wǎng)的防病毒系統(tǒng)相結(jié)合，最終形成一個(gè)立體的、完整的病毒防護(hù)體系。

1.構(gòu)建控管中心集中管理架構(gòu)

保證網(wǎng)絡(luò)中的所有客戶端計(jì)算機(jī)、服務(wù)器可以從管理系統(tǒng)中及時(shí)得到更新，同時(shí)系統(tǒng)管理人員可以在任何時(shí)間、任何地點(diǎn)通過(guò)瀏覽器對(duì)整個(gè)防毒系統(tǒng)進(jìn)行管理，使整個(gè)系統(tǒng)中任何一個(gè)節(jié)點(diǎn)都可以被系統(tǒng)管理人員隨時(shí)管理，保證整個(gè)防毒系統(tǒng)有效、及時(shí)地?cái)r截病毒。2.構(gòu)建全方位、多層次的防毒體系

結(jié)合企業(yè)實(shí)際網(wǎng)絡(luò)防毒需求，構(gòu)建了多層次病毒防線，分別是網(wǎng)絡(luò)層防毒、郵件網(wǎng)關(guān)防毒、Web網(wǎng)關(guān)防毒、群件防毒、應(yīng)用服務(wù)器防毒、客戶端防毒，保證斬?cái)嗖《究梢詡鞑?、寄生的每一個(gè)節(jié)點(diǎn)，實(shí)現(xiàn)病毒的全面布控。3.構(gòu)建高效的網(wǎng)關(guān)防毒子系統(tǒng)

網(wǎng)關(guān)防毒是最重要的一道防線，一方面消除外來(lái)郵件SMTP、POP3病毒的威脅，另一方面消除通過(guò)HTTP、FTP等應(yīng)用的病毒風(fēng)險(xiǎn)，同時(shí)對(duì)郵件中的關(guān)鍵字、垃圾郵件進(jìn)行阻擋，有效阻斷病毒最主要傳播途徑。

4.構(gòu)建高效的網(wǎng)絡(luò)層防毒子系統(tǒng)

企業(yè)中網(wǎng)絡(luò)病毒的防范是最重要的防范工作，通過(guò)在網(wǎng)絡(luò)接口和重要安全區(qū)域部署網(wǎng)絡(luò)病毒系統(tǒng)，在網(wǎng)絡(luò)層全面消除外來(lái)病毒的威脅，使得網(wǎng)絡(luò)病毒不再肆意傳播，同時(shí)結(jié)合病毒所利用的傳播途徑，結(jié)合安全策略進(jìn)行主動(dòng)防御。

5.構(gòu)建覆蓋病毒發(fā)作生命周期的控制體系 當(dāng)一個(gè)惡性病毒入侵時(shí)，防毒系統(tǒng)不僅僅使用病毒代碼來(lái)防范病毒，而是具備完善的預(yù)警機(jī)制、清除機(jī)制、修復(fù)機(jī)制來(lái)實(shí)現(xiàn)病毒的高效處理，特別是對(duì)利用系統(tǒng)漏洞、端口攻擊為手段癱瘓整個(gè)網(wǎng)絡(luò)的新型病毒具有很好的防護(hù)手段。防毒系統(tǒng)在病毒代碼到來(lái)之前，可以通過(guò)網(wǎng)關(guān)可疑信息過(guò)濾、端口屏蔽、共享控制、重要文件/文件夾寫保護(hù)等多種手段來(lái)對(duì)病毒進(jìn)行有效控制，使得新病毒未進(jìn)來(lái)的進(jìn)不來(lái)、進(jìn)來(lái)后又沒(méi)有擴(kuò)散的途徑。在清除與修復(fù)階段又可以對(duì)發(fā)現(xiàn)的病毒高效清除，快速恢復(fù)系統(tǒng)至正常狀態(tài)。6.病毒防護(hù)能力

防病毒能力要強(qiáng)、產(chǎn)品穩(wěn)定、操作系統(tǒng)兼容性好、占用系統(tǒng)資源少、不影響應(yīng)用程序的正常運(yùn)行，減少誤報(bào)的幾率。7.系統(tǒng)服務(wù)

系統(tǒng)服務(wù)是整體防毒系統(tǒng)中極為重要的一環(huán)。防病毒體系建立起來(lái)之后，能否對(duì)病毒進(jìn)行有效的防范，與病毒廠商能否提供及時(shí)、全面的服務(wù)有著極為重要的關(guān)系。這一方面要求軟件提供商要有全球化的防毒體系為基礎(chǔ)，另一方面也要求廠商能有精良的本地化技術(shù)人員作依托，不管是對(duì)系統(tǒng)使用中出現(xiàn)的問(wèn)題，還是用戶發(fā)現(xiàn)的可疑文件，都能進(jìn)行快速的分析和方案提供。如果有新病毒爆發(fā)及其它網(wǎng)絡(luò)安全事件，需要防病毒廠商具有較強(qiáng)的應(yīng)急處理能力及售后服務(wù)保障，并且做出具體、詳細(xì)的應(yīng)急處理機(jī)制計(jì)劃表和完善的售后服務(wù)保障體系。防病毒體系的管理功能：

防病毒系統(tǒng)能夠?qū)崿F(xiàn)分級(jí)、分組管理，不同組及客戶端執(zhí)行不同病毒查殺策略，全網(wǎng)定時(shí)/定級(jí)查殺病毒、全網(wǎng)遠(yuǎn)程查殺策略設(shè)置、遠(yuǎn)程報(bào)警、移動(dòng)式管理、集中式授權(quán)管理、全面監(jiān)控主流郵件服務(wù)器、全面監(jiān)控郵件客戶端、統(tǒng)一的管理界面，直接監(jiān)視和操縱服務(wù)器端/客戶端，根據(jù)實(shí)際需要，添加自定義任務(wù)（例如更新和掃描任務(wù)等），支持大型網(wǎng)絡(luò)統(tǒng)一管理的多級(jí)中心系統(tǒng)等多種復(fù)雜的管理功能。8.資源占用率 防病毒系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)控或多或少地要占用部分系統(tǒng)資源，這就不可避免地要帶來(lái)系統(tǒng)性能的降低。尤其是對(duì)郵件、網(wǎng)頁(yè)和FTP文件的監(jiān)控掃描，由于工作量相當(dāng)大，因此對(duì)系統(tǒng)資源的占用較大。因此，防病毒系統(tǒng)占用系統(tǒng)資源要較低，不影響系統(tǒng)的正常運(yùn)行。8.系統(tǒng)兼容性

防病毒系統(tǒng)要具備良好的兼容性，將支持以下操作系統(tǒng)：Windows NT、Windows2000、Windows 9X/Me、Windows XP/Vista、Windows 2000/2003 /2008 Server、Unix、Linux等X86和X64架構(gòu)的操作系統(tǒng)。

9.病毒庫(kù)組件升級(jí)

防病毒系統(tǒng)提供多種升級(jí)方式以及自動(dòng)分發(fā)的功能，支持多種網(wǎng)絡(luò)連接方式，具有升級(jí)方便、更新及時(shí)等特點(diǎn)，管理員可以十分輕松地按照預(yù)先設(shè)定的升級(jí)方式實(shí)現(xiàn)全網(wǎng)內(nèi)的統(tǒng)一升級(jí)，減少病毒庫(kù)增量升級(jí)對(duì)網(wǎng)絡(luò)資源的占用，并且采用均衡流量的策略，盡快將新版本部署到全部計(jì)算機(jī)上，時(shí)刻保證病毒庫(kù)都是最新的，且版本一致，杜絕因版本不一致而可能造成的安全漏洞和安全隱患。10.軟件商的企業(yè)實(shí)力

軟件商的實(shí)力一方面指它對(duì)現(xiàn)有產(chǎn)品的技術(shù)支持和服務(wù)能力，另一方面是指它的后續(xù)發(fā)展能力。因?yàn)槠髽I(yè)級(jí)防毒軟件實(shí)際是用戶企業(yè)與防病毒廠商的長(zhǎng)期合作，企業(yè)實(shí)力將會(huì)影響這種合作的持續(xù)性，從而影響到用戶企業(yè)在此方面的投入成本。

七、防火墻設(shè)計(jì)、配置

對(duì)于深信服M5400可以做以下方面的配置：

1、用戶與策略管理配置：

WEB、HTTP URL過(guò)濾：

郵件過(guò)濾：

網(wǎng)頁(yè)內(nèi)容審計(jì)：

認(rèn)證方式：

第五篇：大型企業(yè)網(wǎng)絡(luò)安全解決方案畢業(yè)論文

XXXXXXXXXXXXXXX 畢 業(yè) 論 文

企業(yè)網(wǎng)絡(luò)安全解決方案

姓 名：

學(xué) 號(hào)：

指導(dǎo)老師：

系 名：

專 業(yè)：

班 級(jí)：

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

摘

要

隨著社會(huì)的飛速發(fā)展，網(wǎng)絡(luò)技術(shù)的也在飛速的發(fā)展之中，現(xiàn)如今網(wǎng)絡(luò)已經(jīng)無(wú)所不在的影響著社會(huì)的政治、經(jīng)濟(jì)、文化、軍事、意識(shí)形態(tài)和社會(huì)生活等各個(gè)方面。同時(shí)在全球范圍內(nèi)，針對(duì)重要信息資源和網(wǎng)絡(luò)基礎(chǔ)設(shè)施的入侵行為和企圖入侵行為的數(shù)量仍然不斷增加，網(wǎng)絡(luò)攻擊與入侵行為對(duì)國(guó)家安全、經(jīng)濟(jì)和社會(huì)生活造成了極大的威脅。計(jì)算機(jī)病毒的不斷的通過(guò)網(wǎng)絡(luò)產(chǎn)生和傳播，計(jì)算機(jī)網(wǎng)絡(luò)被不斷地非法入侵，重要情報(bào)、資料被竊取，甚至造成網(wǎng)絡(luò)系統(tǒng)的癱瘓等等，諸如此類的事件已經(jīng)給政府以及企業(yè)造成了巨大的損失，甚至危害到國(guó)家的安全。網(wǎng)絡(luò)安全已經(jīng)成為世界各國(guó)當(dāng)今共同關(guān)注的焦點(diǎn)，網(wǎng)絡(luò)安全的重要性是不言而喻的。

本文是構(gòu)思了一個(gè)虛擬的企業(yè)網(wǎng)絡(luò)的設(shè)計(jì)，重點(diǎn)研究了公司不同分部之間通過(guò)VPN技術(shù)來(lái)實(shí)現(xiàn)在廣域網(wǎng)中的加密連接。以及詳細(xì)的設(shè)計(jì)了總公司的網(wǎng)絡(luò)安全策略，保證了內(nèi)部服務(wù)器等的信息安全，按照需求對(duì)企業(yè)網(wǎng)絡(luò)安全進(jìn)行了系統(tǒng)的規(guī)劃，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全進(jìn)行了全面的分析。在滿足了各個(gè)子網(wǎng)連通的前提下，提出了包括AAA認(rèn)證、SSH登陸、Easy VPN、訪問(wèn)控制限制、NAT技術(shù)、入侵檢測(cè)部署、病毒防護(hù)、掃描系統(tǒng)管理措施和安全技術(shù)在內(nèi)的整套方案。目的是建設(shè)一個(gè)完整的、安全的網(wǎng)絡(luò)體系，是網(wǎng)絡(luò)安全系統(tǒng)真正獲得較好的效果。關(guān)鍵詞： 網(wǎng)絡(luò)，安全，VPN，防火墻，防病毒

I

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

Abstract

With the rapid development of society and also the rapid development of network technology, is now the network has been the ubiquitous influence of society in all aspects of political, economic, cultural, military, ideological and social life.Worldwide for the intrusion and the number of attempted intrusions of the important information resources and network infrastructure is still growing, network attacks and intrusions caused a grave threat to national security, economic and social life.Computer virus continues through the network and dissemination, computer networks are the illegal invasion, important information, data theft, and even cause paralysis of the network system, such events have caused huge losses to the government and enterprises, and even harm to national security.Network security has become the focus of attention today in the world, the importance of network security is self-evident.This article is the idea of a virtual enterprise network design, focusing on the encrypted connection between the different segments of the company through VPN technology to achieve WAN.And detailed design of the network security policy of the Corporation to ensure the internal server, such as information security, in accordance with the needs of enterprise network security planning of the system, conducted a comprehensive analysis of computer network security.Satisfy the premise that each subnet connectivity, including the AAA authentication, SSH login to the Easy VPN, access control restrictions, the NAT technology, intrusion detection deployment, virus protection, scanning system management measures and security technologies, including the package.The purpose is to build a complete, secure network architecture, network security systems really get better results.Keywords: network, security, VPN, firewall, anti-virus

II

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

目錄

摘

要............................................................................................................................................................I 第一章 緒

論...............................................................................................................................................1 1.1 網(wǎng)絡(luò)的起源......................................................................................................................................1 1.2網(wǎng)絡(luò)安全的重要性...........................................................................................................................1 第二章 企業(yè)網(wǎng)絡(luò)安全概述...........................................................................................................................3 2.1 企業(yè)網(wǎng)絡(luò)的主要安全隱患............................................................................................................3 2.2 企業(yè)網(wǎng)絡(luò)的安全誤區(qū)....................................................................................................................3 第三章

企業(yè)網(wǎng)絡(luò)總體設(shè)計(jì)方案.................................................................................................................5 3.1 公司背景..........................................................................................................................................5 3.2 企業(yè)網(wǎng)絡(luò)安全需求..........................................................................................................................5 3.3 需求分析..........................................................................................................................................5 3.4 企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)..................................................................................................................................6 3.5 企業(yè)IP地址的劃分........................................................................................................................9 第四章 企業(yè)網(wǎng)絡(luò)安全技術(shù)介紹...................................................................................................................9 4.1 Easy VPN..........................................................................................................................................9 4.1.1 什么是VPN..........................................................................................................................9 4.1.2 VPN 的分類........................................................................................................................10 4.1.3 Easy VPN.............................................................................................................................10 4.2 SSH.................................................................................................................................................11 4.2.1 SSH介紹..............................................................................................................................11 4.2.2 SSH與Telnet的區(qū)別..........................................................................................................11 4.3 AAA服務(wù)器...................................................................................................................................12 4.3.1 AAA介紹............................................................................................................................12 4.3.2 認(rèn)證(Authentication)...........................................................................................................12 4.3.3 授權(quán)(Authorization)............................................................................................................12 4.3.4 審計(jì)(Accounting)................................................................................................................13 4.4 IDS 入侵檢測(cè)系統(tǒng).....................................................................................................................13 4.5 firewall 防火墻...........................................................................................................................13 4.5.1 什么是防火墻.....................................................................................................................13 4.5.2 防火墻類型.........................................................................................................................14 第五章 企業(yè)網(wǎng)絡(luò)設(shè)備實(shí)施方案.................................................................................................................14 5.1 企業(yè)物理安全規(guī)劃......................................................................................................................14 5.2 設(shè)備選型........................................................................................................................................15 5.3 設(shè)備配置........................................................................................................................................16 5.3.1 交換機(jī).................................................................................................................................16 5.3.2 路由器與防火墻.................................................................................................................25 5.3.3 服務(wù)器.................................................................................................................................28 第六章 項(xiàng)目測(cè)試.........................................................................................................................................30 6.1 DHCP驗(yàn)證.....................................................................................................................................32 6.2 網(wǎng)絡(luò)連通性....................................................................................................................................35 6.3 網(wǎng)絡(luò)安全性....................................................................................................................................37 6.3.1 SSH與console的權(quán)限.......................................................................................................37 6.3.2 網(wǎng)絡(luò)連通安全性.................................................................................................................40 6.4 分公司與總公司安全性................................................................................................................42 總

結(jié)...........................................................................................................................................................45 致

謝...........................................................................................................................................................46 參考文獻(xiàn).......................................................................................................................................................47

III

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

IV

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

第一章 緒

論

1.1 網(wǎng)絡(luò)的起源

與很多人的想象相反，Internet并非某一完美計(jì)劃的結(jié)果，Internet的創(chuàng)始人也絕不會(huì)想到它能發(fā)展成目前的規(guī)模和影響。在Internet面世之初，沒(méi)有人能想到它會(huì)進(jìn)入千家萬(wàn)戶，也沒(méi)有人能想到它的商業(yè)用途。

1969年12月，Internet的前身--美國(guó)的ARPA網(wǎng)（為了能在爆發(fā)核戰(zhàn)爭(zhēng)時(shí)保障通信聯(lián)絡(luò)，美國(guó)國(guó)防部高級(jí)研究計(jì)劃署ARPA資助建立了世界上第一個(gè)分組交換試驗(yàn)網(wǎng)ARPANET）投入運(yùn)行，它標(biāo)志著我們常稱的計(jì)算機(jī)網(wǎng)絡(luò)的興起。這個(gè)計(jì)算機(jī)互聯(lián)的網(wǎng)絡(luò)系統(tǒng)是一種分組交換網(wǎng)。分組交換技術(shù)使計(jì)算機(jī)網(wǎng)絡(luò)的概念、結(jié)構(gòu)和網(wǎng)絡(luò)設(shè)計(jì)方面都發(fā)生了根本性的變化，它為后來(lái)的計(jì)算機(jī)網(wǎng)絡(luò)打下了基礎(chǔ)。

八十年代初，隨著PC個(gè)人微機(jī)應(yīng)用的推廣，PC聯(lián)網(wǎng)的需求也隨之增大，各種基于PC互聯(lián)的微機(jī)局域網(wǎng)紛紛出臺(tái)。這個(gè)時(shí)期微機(jī)局域網(wǎng)系統(tǒng)的典型結(jié)構(gòu)是在共享介質(zhì)通信網(wǎng)平臺(tái)上的共享文件服務(wù)器結(jié)構(gòu)，即為所有聯(lián)網(wǎng)PC設(shè)置一臺(tái)專用的可共享的網(wǎng)絡(luò)文件服務(wù)器。PC是一臺(tái)“麻雀雖小，五臟俱全”的小計(jì)算機(jī)，每個(gè)PC機(jī)用戶的主要任務(wù)仍在自己的PC機(jī)上運(yùn)行，僅在需要訪問(wèn)共享磁盤文件時(shí)才通過(guò)網(wǎng)絡(luò)訪問(wèn)文件服務(wù)器，體現(xiàn)了計(jì)算機(jī)網(wǎng)絡(luò)中各計(jì)算機(jī)之間的協(xié)同工作。由于使用了較PSTN速率高得多的同軸電纜（費(fèi)用少，傳輸距離100米）、光纖等高速傳輸介質(zhì)，使PC網(wǎng)上訪問(wèn)共享資源的速率和效率大大提高。這種基于文件服務(wù)器的微機(jī)網(wǎng)絡(luò)對(duì)網(wǎng)內(nèi)計(jì)算機(jī)進(jìn)行了分工：PC機(jī)面向用戶，微機(jī)服務(wù)器專用于提供共享文件資源。所以它實(shí)際上就是一種客戶機(jī)/服務(wù)器模式。

進(jìn)入九十年代，計(jì)算機(jī)技術(shù)、通信技術(shù)以及建立在計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)基礎(chǔ)上的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)得到了迅猛的發(fā)展。特別是1993年美國(guó)宣布建立國(guó)家信息基礎(chǔ)設(shè)施NII后，全世界許多國(guó)家紛紛制定和建立本國(guó)的NII，從而極大地推動(dòng)了計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，使計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)入了一個(gè)嶄新的階段。目前，全球以美國(guó)為核心的高速計(jì)算機(jī)互聯(lián)網(wǎng)絡(luò)即Internet已經(jīng)形成，Internet已經(jīng)成為人類最重要的、最大的知識(shí)寶庫(kù)。而美國(guó)政府又分別于1996年和1997年開(kāi)始研究發(fā)展更加快速可靠的互聯(lián)網(wǎng)2（Internet 2）和下一代互聯(lián)網(wǎng)（Next Generation Internet）。可以說(shuō)，網(wǎng)絡(luò)互聯(lián)和高速計(jì)算機(jī)網(wǎng)絡(luò)正成為最新一代的計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展方向。

1.2網(wǎng)絡(luò)安全的重要性

隨著信息化技術(shù)的飛速發(fā)展，許多有遠(yuǎn)見(jiàn)的企業(yè)都認(rèn)識(shí)到依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營(yíng)平臺(tái)將極大地提升企業(yè)的核心競(jìng)爭(zhēng)力，使企業(yè)在殘酷的競(jìng)爭(zhēng)環(huán)境中脫穎而出。經(jīng)營(yíng)管理對(duì)

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng)，計(jì)算機(jī)應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對(duì)網(wǎng)絡(luò)安全提出了更高的要求。信息安全防范應(yīng)做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對(duì)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個(gè)動(dòng)態(tài)的過(guò)程，事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備，安全管理應(yīng)貫穿安全防范活動(dòng)的始終。

網(wǎng)絡(luò)安全問(wèn)題伴隨著網(wǎng)絡(luò)的產(chǎn)生而產(chǎn)生，可以說(shuō)，有網(wǎng)絡(luò)的地方就存在網(wǎng)絡(luò)安全隱患。像病毒入侵和黑客攻擊之類的網(wǎng)絡(luò)安全事件，目前主要是通過(guò)網(wǎng)絡(luò)進(jìn)行的，而且?guī)缀趺繒r(shí)每刻都在發(fā)生，遍及全球。除此之外，像惡意軟件入侵、攻擊，用戶的非法訪問(wèn)和操作，用戶郵件的非法截取和更改等都是普遍存在的安全事實(shí)。網(wǎng)絡(luò)安全事件所帶來(lái)的危害，相信我們每個(gè)計(jì)算機(jī)用戶都或多或少地親身體驗(yàn)過(guò)一些：輕則使電腦系統(tǒng)運(yùn)行不正常，重則使整個(gè)計(jì)算機(jī)系統(tǒng)中的磁盤數(shù)據(jù)全部覆滅，甚至導(dǎo)致磁盤、計(jì)算機(jī)等硬件的損壞。

為了防范這些網(wǎng)絡(luò)安全事故的發(fā)生，每個(gè)計(jì)算機(jī)用戶，特別是企業(yè)網(wǎng)絡(luò)用戶，必須采取足夠的安全防范措施，甚至可以說(shuō)要在利益均衡情況下不惜一切代價(jià)。但要注意，企業(yè)網(wǎng)絡(luò)安全策略的實(shí)施是一項(xiàng)系統(tǒng)工程，它涉及許多方面。因此既要充分考慮到那些平時(shí)經(jīng)常提及的外部網(wǎng)絡(luò)威脅，又要對(duì)來(lái)自內(nèi)部網(wǎng)絡(luò)和網(wǎng)絡(luò)管理本身所帶來(lái)的安全隱患有足夠的重視，不能孤立地看待任何一個(gè)安全隱患和安全措施。因?yàn)檫@些安全隱患爆發(fā)的途徑可以是多方面的，而許多安全措施都是相輔相成的。

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

第二章 企業(yè)網(wǎng)絡(luò)安全概述

2.1 企業(yè)網(wǎng)絡(luò)的主要安全隱患

現(xiàn)在網(wǎng)絡(luò)安全系統(tǒng)所要防范的不再僅是病毒感染，更多的是基于網(wǎng)絡(luò)的非法入侵、攻擊和訪問(wèn)，由于企業(yè)在各地可能有不同公司，但是公司之間信息通過(guò)廣域網(wǎng)相連，所以信息很容易被黑客等截下。現(xiàn)如今企業(yè)網(wǎng)絡(luò)安全威脅的主要來(lái)源主要包括。

1)病毒、木馬和惡意軟件的入侵。2)網(wǎng)絡(luò)黑客的攻擊。

3)重要文件或郵件的非法竊取、訪問(wèn)與操作。4)關(guān)鍵部門的非法訪問(wèn)和敏感信息外泄。5)外網(wǎng)的非法入侵。

6)備份數(shù)據(jù)和存儲(chǔ)媒體的損壞、丟失。

針對(duì)這些安全隱患，所采取的安全策略可以通過(guò)安裝專業(yè)的網(wǎng)絡(luò)版病毒防護(hù)系統(tǒng)，同時(shí)也要加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全管理，配置好防火墻過(guò)濾策略和系統(tǒng)本身的各項(xiàng)安全措施，及時(shí)安裝系統(tǒng)安全補(bǔ)丁，本部與分部之間運(yùn)行VPN等防護(hù)通信信息的安全性，加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全管理，嚴(yán)格實(shí)行“最小權(quán)限”原則，為各個(gè)用戶配置好恰當(dāng)?shù)挠脩魴?quán)限；同時(shí)對(duì)一些敏感數(shù)據(jù)進(jìn)行加密保護(hù)，如財(cái)政部等要設(shè)立訪問(wèn)權(quán)限；根據(jù)企業(yè)實(shí)際需要配置好相應(yīng)的數(shù)據(jù)策略，并按策略認(rèn)真執(zhí)行。

2.2 企業(yè)網(wǎng)絡(luò)的安全誤區(qū)

(一)安裝防火墻就安全了

防火墻主要工作都是控制存取與過(guò)濾封包，所以對(duì)DoS攻擊、非法存取與篡改封包等攻擊模式的防范極為有效，可以提供網(wǎng)絡(luò)周邊的安全防護(hù)。但如果攻擊行為不經(jīng)過(guò)防火墻，或是將應(yīng)用層的攻擊程序隱藏在正常的封包內(nèi)，便力不從心了，許多防火墻只是工作在網(wǎng)絡(luò)層。

防火墻的原理是“防外不防內(nèi)”，對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)不進(jìn)行任何阻撓，而事實(shí)上，企業(yè)網(wǎng)絡(luò)安全事件絕大部分還是源于企業(yè)內(nèi)部。

(二)安裝了最新的殺毒軟件就不怕病毒了

安裝殺毒軟件的目的是為了預(yù)防病毒的入侵和查殺系統(tǒng)中已感染的計(jì)算機(jī)病毒，但這并不能保證就沒(méi)有病毒入侵了，因?yàn)闅⒍拒浖闅⒛骋徊《镜哪芰偸菧笥谠摬《镜某霈F(xiàn)。

(三)在每臺(tái)計(jì)算機(jī)上安裝單機(jī)版殺毒軟件和網(wǎng)絡(luò)版殺毒軟件等效

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

網(wǎng)絡(luò)版殺毒軟件核心就是集中的網(wǎng)絡(luò)防毒系統(tǒng)管理。網(wǎng)絡(luò)版殺毒軟件可以在一臺(tái)服務(wù)器上通過(guò)安全中心控制整個(gè)網(wǎng)絡(luò)的客戶端殺毒軟件同步病毒查殺、監(jiān)控整個(gè)網(wǎng)絡(luò)的病毒。同時(shí)對(duì)于整個(gè)網(wǎng)絡(luò)，管理非常方便，對(duì)于單機(jī)版是不可能做到的。

(四)只要不上網(wǎng)就不會(huì)中毒

雖然不少病毒是通過(guò)網(wǎng)頁(yè)傳播的，但像QQ聊天接發(fā)郵件同樣是病毒傳播的主要途徑，而且盜版光盤以及U盤等也會(huì)存在著病毒。所以只要計(jì)算機(jī)開(kāi)著，就要防范病毒。

(五)文件設(shè)置只讀就可以避免感染病毒

設(shè)置只讀只是調(diào)用系統(tǒng)的幾個(gè)命令，而病毒或黑客程序也可以做到這一點(diǎn)，設(shè)置只讀并不能有效防毒，不過(guò)在局域網(wǎng)中為了共享安全，放置誤刪除，還是比較有用的。

(六)網(wǎng)絡(luò)安全主要來(lái)自外部

基于內(nèi)部的網(wǎng)絡(luò)攻擊更加容易，不需要借助于其他的網(wǎng)絡(luò)連接方式，就可以直接在內(nèi)部網(wǎng)絡(luò)中實(shí)施攻擊。所以，加強(qiáng)內(nèi)部網(wǎng)絡(luò)安全管理，特別是用戶帳戶管理，如帳戶密碼、臨時(shí)帳戶、過(guò)期帳戶和權(quán)限等方面的管理非常必要了。

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

第三章

企業(yè)網(wǎng)絡(luò)總體設(shè)計(jì)方案

3.1 公司背景

公司北京總部有一棟大樓，員工人數(shù)大約800人，在全國(guó)設(shè)有4個(gè)分公司（上海、廣州、重慶和西安）?？偛颗c分公司利用當(dāng)?shù)氐腎SP連接。通過(guò)網(wǎng)絡(luò)安全方案設(shè)計(jì)，加固企業(yè)網(wǎng)絡(luò)，避免因?yàn)榘踩珕?wèn)題導(dǎo)致的業(yè)務(wù)停滯；同時(shí)保證總部與分公司之間高安全、低成本的要求。公司對(duì)網(wǎng)絡(luò)的依賴性很強(qiáng)，主要業(yè)務(wù)都要涉及互聯(lián)網(wǎng)以及內(nèi)部網(wǎng)絡(luò)。面對(duì)對(duì)頻繁出現(xiàn)的黑客入侵和網(wǎng)絡(luò)故障，直接危害網(wǎng)絡(luò)的運(yùn)行和業(yè)務(wù)的正常開(kāi)展。因此構(gòu)建健全的網(wǎng)絡(luò)安全體系是當(dāng)前的重中之重。

3.2 企業(yè)網(wǎng)絡(luò)安全需求

公司根據(jù)網(wǎng)絡(luò)需求，建設(shè)一個(gè)企業(yè)網(wǎng)絡(luò)，北京總部存儲(chǔ)主要機(jī)密信息在服務(wù)器中，有AAA服務(wù)器、內(nèi)部DNS服務(wù)器、FTP服務(wù)器、HTTP服務(wù)器。企業(yè)分經(jīng)理辦公室、財(cái)政部、市場(chǎng)部、軟件部、系統(tǒng)集成部以及外來(lái)接待廳，需要各部門隔開(kāi)，同時(shí)除了經(jīng)理辦公室外其余不能訪問(wèn)財(cái)政部，而接待廳不能訪問(wèn)公司內(nèi)部網(wǎng)絡(luò)，只能連通外網(wǎng)。同時(shí)由于考慮到Inteneter的安全性，以及網(wǎng)絡(luò)安全等一些因素，如VPN、NAT等。因此本企業(yè)的網(wǎng)絡(luò)安全構(gòu)架要求如下：

（1）根據(jù)公司需求組建網(wǎng)絡(luò)（2）保證網(wǎng)絡(luò)的連通性（3）保護(hù)網(wǎng)絡(luò)信息的安全性

（4）防范網(wǎng)絡(luò)資源的非法訪問(wèn)及非授權(quán)訪問(wèn)（5）防范入侵者的惡意攻擊與破壞

（6）保護(hù)企業(yè)本部與分部之間通信信息的完整與安全性（7）防范病毒的侵害（8）實(shí)現(xiàn)網(wǎng)絡(luò)的安全管理。

3.3 需求分析

通過(guò)對(duì)公司的實(shí)際需求來(lái)規(guī)劃網(wǎng)絡(luò)設(shè)計(jì)，為公司的網(wǎng)絡(luò)安全建設(shè)實(shí)施網(wǎng)絡(luò)系統(tǒng)改造，提高企業(yè)網(wǎng)絡(luò)系統(tǒng)運(yùn)行的穩(wěn)定性，保證企業(yè)各種設(shè)計(jì)信息的安全性，避免圖紙、文檔的丟失和外泄。通過(guò)軟件或安全手段對(duì)客戶端的計(jì)算機(jī)加以保護(hù)，記錄用戶對(duì)客戶端計(jì)算機(jī)中關(guān)鍵目錄和文件的操作，使企業(yè)有手段對(duì)用戶在客戶端計(jì)算機(jī)的使用情況進(jìn)行追蹤，防范外來(lái)計(jì)算機(jī)的侵入而造成破壞。通過(guò)

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

網(wǎng)絡(luò)的改造，使管理者更加便于對(duì)網(wǎng)絡(luò)中的服務(wù)器、客戶端、登陸用戶的權(quán)限以及應(yīng)用軟件的安裝進(jìn)行全面的監(jiān)控和管理。因此需要

（1）構(gòu)建良好的環(huán)境確保企業(yè)物理設(shè)備的安全（2）IP地址域的劃分與管理（3）劃分VLAN控制內(nèi)網(wǎng)安全（4）安裝防火墻體系

（5）建立VPN(虛擬專用網(wǎng)絡(luò))確保數(shù)據(jù)安全（6）安裝防病毒服務(wù)器（7）加強(qiáng)企業(yè)對(duì)網(wǎng)絡(luò)資源的管理（8）做好訪問(wèn)控制權(quán)限配置（9）做好對(duì)網(wǎng)絡(luò)設(shè)備訪問(wèn)的權(quán)限

3.4 企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)

北京總公司網(wǎng)絡(luò)拓?fù)鋱D，如圖2-1所示:

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

服務(wù)器群IDS入侵檢測(cè)經(jīng)理辦公室匯聚交換機(jī)核心交換機(jī)接入交換機(jī)財(cái)務(wù)部匯聚交換機(jī)匯聚交換機(jī)防火墻接入交換機(jī)接入交換機(jī)接入交換機(jī)軟件部市場(chǎng)部系統(tǒng)集成部接待部

圖2-1 北京總部網(wǎng)絡(luò)結(jié)構(gòu)

分公司網(wǎng)絡(luò)拓?fù)?如圖2.2所示：

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

上海分公司廣州分公司重慶分公司西安分公司Internet廣域網(wǎng)Web服務(wù)器

圖2-2 公司分部網(wǎng)絡(luò)結(jié)構(gòu)

圖2.1與2.2通過(guò)防火墻相連，防火墻上做NAT轉(zhuǎn)換，Easy VPN等。核心交換機(jī)配置基于VLAN的DHCP，網(wǎng)絡(luò)設(shè)備僅僅只能由網(wǎng)絡(luò)管理員進(jìn)行遠(yuǎn)程控制，就算是Console控制也需要特定的密碼，外部分公司通過(guò)VPN連接能夠訪問(wèn)北京總公司內(nèi)部網(wǎng)絡(luò)，北京總公司內(nèi)網(wǎng)中，接待廳網(wǎng)絡(luò)設(shè)備僅僅能訪問(wèn)外部網(wǎng)絡(luò)，無(wú)法訪問(wèn)公司內(nèi)網(wǎng)。

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

3.5 企業(yè)IP地址的劃分

由于是現(xiàn)實(shí)中，公網(wǎng)IP地址需要向ISP運(yùn)行商申請(qǐng)，而本解決方案是虛擬題，故公網(wǎng)IP為虛擬的，由于現(xiàn)如今IPv4地址及其短缺，而IPv6技術(shù)還不是很成熟，所以公司內(nèi)部使用私有地址網(wǎng)段，本著節(jié)省地址的原則，北京公司內(nèi)部一共有800左右終端，所以由192.168.0.0/22網(wǎng)絡(luò)段劃分。由于本課題重點(diǎn)為總公司內(nèi)部網(wǎng)絡(luò)安全，以及總公司與分公司之間連通性的網(wǎng)絡(luò)安全，所以分公司內(nèi)部沒(méi)有詳細(xì)化，所以分公司地址一律192.168.1.1/24網(wǎng)段，ip地址分配為一下：

總公司總網(wǎng)段：192.168.0.0/22

名稱 VLAN ID IPv4地址段 網(wǎng)關(guān)地址

經(jīng)理辦公室 10 192.168.3.192/26 192.168.3.193 財(cái)政部 20 192.168.3.128/26 192.168.3.129 軟件部 30 192.168.0.0/24 192.168.0.1 市場(chǎng)部 40 192.168.1.0/24 192.168.1.1 系統(tǒng)集成中心 50 192.168.2.0/24 192.168.2.1 參觀中心 60 192.168.3.0/25 192.168.3.1 網(wǎng)管中心 99 192.168.3.240/30 192.168.3.241 服務(wù)器集群 100 192.168.3.224/28 192.168.3.225 核心與路由器 無(wú) 192.168.3.244/30 路由器與防火墻 無(wú) 192.168.3.248/29 其他分公司 1 192.168.1.0/24 192.168.1.1

第四章 企業(yè)網(wǎng)絡(luò)安全技術(shù)介紹

4.1 Easy VPN 4.1.1 什么是VPN 虛擬專用網(wǎng)絡(luò)（Virtual Private Network，簡(jiǎn)稱VPN)指的是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)。其之所以稱為虛擬網(wǎng)，主要是因?yàn)檎麄€(gè)VPN網(wǎng)絡(luò)的任意兩個(gè)節(jié)點(diǎn)之間的連接并沒(méi)有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺(tái)，如Internet、ATM(異步傳

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

輸模式〉、Frame Relay（幀中繼）等之上的邏輯網(wǎng)絡(luò)，用戶數(shù)據(jù)在邏輯鏈路中傳輸。它涵蓋了跨共享網(wǎng)絡(luò)或公共網(wǎng)絡(luò)的封裝、加密和身份驗(yàn)證鏈接的專用網(wǎng)絡(luò)的擴(kuò)展。VPN主要采用了隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和使用者與設(shè)備身份認(rèn)證技術(shù)。

4.1.2 VPN 的分類

根據(jù)不同的劃分標(biāo)準(zhǔn)，VPN可以按幾個(gè)標(biāo)準(zhǔn)進(jìn)行分類劃分

1.按VPN的協(xié)議分類 VPN的隧道協(xié)議主要有三種，PPTP，L2TP和IPSec，其中PPTP和L2TP協(xié)議工作在OSI模型的第二層，又稱為二層隧道協(xié)議；IPSec是第三層隧道協(xié)議，也是最常見(jiàn)的協(xié)議。L2TP和IPSec配合使用是目前性能最好，應(yīng)用最廣泛的一種。

2.按VPN的應(yīng)用分類

1)Access VPN（遠(yuǎn)程接入VPN）：客戶端到網(wǎng)關(guān)，使用公網(wǎng)作為骨干網(wǎng)在設(shè)備之間傳輸VPN的數(shù)據(jù)流量。從PSTN、ISDN或PLMN接入。

2)Intranet VPN（內(nèi)聯(lián)網(wǎng)VPN）：網(wǎng)關(guān)到網(wǎng)關(guān)，通過(guò)公司的網(wǎng)絡(luò)架構(gòu)連接來(lái)自同公司的資源。

3)Extranet VPN（外聯(lián)網(wǎng)VPN）：與合作伙伴企業(yè)網(wǎng)構(gòu)成Extranet,將一個(gè)公司與另一個(gè)公司的資源進(jìn)行連接

3.按所用的設(shè)備類型進(jìn)行分類

網(wǎng)絡(luò)設(shè)備提供商針對(duì)不同客戶的需求，開(kāi)發(fā)出不同的VPN網(wǎng)絡(luò)設(shè)備，主要為交換機(jī)，路由器，和防火墻

1）路由器式VPN：路由器式VPN部署較容易，只要在路由器上添加VPN服務(wù)即可 只支持簡(jiǎn)單的PPTP或IPSEC。

2）交換機(jī)式VPN：主要應(yīng)用于連接用戶較少的VPN網(wǎng)絡(luò)

3）防火墻式VPN：防火墻式VPN是最常見(jiàn)的一種VPN的實(shí)現(xiàn)方式，許多廠商都提供這種配置類型

4.1.3 Easy VPN easy VPN又名EzVPN，是Cisco專用VPN技術(shù)。它分為EASY VPN SERVER和EASY VPN REMOTE兩種，EASY VPN SERVER 是REMOT--ACCESS VPN專業(yè)設(shè)備。配置復(fù)雜，支持POLICY PUSHING等特性，此技術(shù)基于IPsec協(xié)議為基礎(chǔ)，擴(kuò)展的的cisco私有協(xié)議，支持遠(yuǎn)程登錄，并且根據(jù)自己的AAA的服務(wù)器去認(rèn)證其可靠性，如認(rèn)證通過(guò)，會(huì)為訪問(wèn)者分配自己內(nèi)部IP地址，保證其訪問(wèn)內(nèi)部信息。在Easy VPN連接成功后，對(duì)于ISP運(yùn)行商來(lái)說(shuō)總公司與分公司數(shù)據(jù)的傳輸是透明的，就像拉了一根專線一樣，通過(guò)抓包等方式捕獲數(shù)據(jù)包會(huì)發(fā)現(xiàn)全為ESP數(shù)據(jù)，無(wú)法從數(shù)據(jù)包中獲得任何信息，由于其加密方式為HASH速算，根據(jù)其雪崩效應(yīng)想通過(guò)加密包算出真是數(shù)據(jù)的可能性幾乎為0，所以數(shù)據(jù)的傳輸上的安全性被大大地保證了。

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

4.2 SSH 4.2.1 SSH介紹

SSH 為 Secure Shell 的縮寫，由 IETF 的網(wǎng)絡(luò)工作小組（Network Working Group）所制定；SSH 為建立在應(yīng)用層和傳輸層基礎(chǔ)上的安全協(xié)議。

SSH 主要有三部分組成：

1）傳輸層協(xié)議 [SSH-TRANS]

提供了服務(wù)器認(rèn)證，保密性及完整性。此外它有時(shí)還提供壓縮功能。SSH-TRANS 通常運(yùn)行在 TCP/IP連接上，也可能用于其它可靠數(shù)據(jù)流上。SSH-TRANS 提供了強(qiáng)力的加密技術(shù)、密碼主機(jī)認(rèn)證及完整性保護(hù)。該協(xié)議中的認(rèn)證基于主機(jī)，并且該協(xié)議不執(zhí)行用戶認(rèn)證。更高層的用戶認(rèn)證協(xié)議可以設(shè)計(jì)為在此協(xié)議之上。

2）用戶認(rèn)證協(xié)議 [SSH-USERAUTH]

用于向服務(wù)器提供客戶端用戶鑒別功能。它運(yùn)行在傳輸層協(xié)議 SSH-TRANS 上面。當(dāng)SSH-USERAUTH 開(kāi)始后，它從低層協(xié)議那里接收會(huì)話標(biāo)識(shí)符（從第一次密鑰交換中的交換哈希H）。會(huì)話標(biāo)識(shí)符唯一標(biāo)識(shí)此會(huì)話并且適用于標(biāo)記以證明私鑰的所有權(quán)。SSH-USERAUTH 也需要知道低層協(xié)議是否提供保密性保護(hù)。

3）連接協(xié)議 [SSH-CONNECT]

4.2.2 SSH與Telnet的區(qū)別

傳統(tǒng)的網(wǎng)絡(luò)服務(wù)程序，如：ftp、pop和telnet在本質(zhì)上都是不安全的，因?yàn)樗鼈冊(cè)诰W(wǎng)絡(luò)上用明文傳送口令和數(shù)據(jù)，別有用心的人非常容易就可以截獲這些口令和數(shù)據(jù)。而且，這些服務(wù)程序的安全驗(yàn)證方式也是有其弱點(diǎn)的，就是很容易受到“中間人”（man-in-the-middle）這種方式的攻擊。所謂“中間人”的攻擊方式，就是“中間人”冒充真正的服務(wù)器接收你傳給服務(wù)器的數(shù)據(jù)，然后再冒充你把數(shù)據(jù)傳給真正的服務(wù)器。服務(wù)器和你之間的數(shù)據(jù)傳送被“中間人”一轉(zhuǎn)手做了手腳之后，就會(huì)出現(xiàn)很嚴(yán)重的問(wèn)題。

SSH是替代Telnet和其他遠(yuǎn)程控制臺(tái)管理應(yīng)用程序的行業(yè)標(biāo)準(zhǔn)。SSH命令是加密的并以幾種方式進(jìn)行保密。

在使用SSH的時(shí)候，一個(gè)數(shù)字證書將認(rèn)證客戶端(你的工作站)和服務(wù)器(你的網(wǎng)絡(luò)設(shè)備)之間的連接，并加密受保護(hù)的口令。SSH1使用RSA加密密鑰，SSH2使用數(shù)字簽名算法(DSA)密鑰保護(hù)連接和認(rèn)證。加密算法包括Blowfish，數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)，以及三重DES(3DES)。SSH保護(hù)并且有助于防止欺騙，“中間人”攻擊，以及數(shù)據(jù)包監(jiān)聽(tīng)。

通過(guò)使用SSH，你可以把所有傳輸?shù)臄?shù)據(jù)進(jìn)行加密，這樣“中間人”這種攻擊方式就不可能實(shí)現(xiàn)了，而且也能夠防止DNS欺騙和IP欺騙。使用SSH，還有一個(gè)額外的好處就是傳輸?shù)臄?shù)據(jù)是經(jīng)過(guò)壓縮的，所以可以加快傳輸?shù)乃俣取SH有很多功能，它既可以代替Telnet，又可以為FTP、PoP、甚至為PPP提供一個(gè)安全的“通道”。

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

4.3 AAA服務(wù)器

4.3.1 AAA介紹

AAA是認(rèn)證、授權(quán)和記賬（Authentication、Authorization、Accounting）三個(gè)英文單詞的簡(jiǎn)稱。其主要目的是管理哪些用戶可以訪問(wèn)網(wǎng)絡(luò)服務(wù)器，具有訪問(wèn)權(quán)的用戶可以得到哪些服務(wù)，如何對(duì)正在使用網(wǎng)絡(luò)資源的用戶進(jìn)行記賬。具體為：

1、認(rèn)證(Authentication): 驗(yàn)證用戶是否可以獲得訪問(wèn)權(quán)限；

2、授權(quán)(Authorization): 授權(quán)用戶可以使用哪些服務(wù)；

3、審計(jì)(Accounting): 記錄用戶使用網(wǎng)絡(luò)資源的情況。

4.3.2 認(rèn)證(Authentication)認(rèn)證負(fù)責(zé)在用戶訪問(wèn)網(wǎng)絡(luò)或網(wǎng)絡(luò)服務(wù)器以前，對(duì)用戶進(jìn)行認(rèn)證。

如需配置AAA認(rèn)證，管理員可以創(chuàng)建一個(gè)命名的認(rèn)證列表，然后把這個(gè)列表應(yīng)用到各種接口上。這個(gè)方法列表可以定義所要執(zhí)行的認(rèn)證類型和他們的順序。管理員需要基于每個(gè)接口來(lái)應(yīng)用這些方法。然而，當(dāng)管理員沒(méi)有定義其他認(rèn)證方法是，cisco路由器和交換機(jī)上的所有接口都關(guān)聯(lián)了一個(gè)默認(rèn)的方法列表，名為Default。但管理員定義的方法列表會(huì)覆蓋默認(rèn)方法列表。

除了本地認(rèn)證、線路密碼的Enable認(rèn)證以外，其他所有的認(rèn)證方法都需要使用AAA。

4.3.3 授權(quán)(Authorization)授權(quán)為遠(yuǎn)程訪問(wèn)控制提供了方法。這里所說(shuō)的遠(yuǎn)程訪問(wèn)控制包括一次性授權(quán)，或者基于每個(gè)用戶賬號(hào)列表或用戶組為每個(gè)服務(wù)進(jìn)行授權(quán)。

交換機(jī)或路由器上的AAA授權(quán)是通過(guò)連接一個(gè)通用的集中式數(shù)據(jù)庫(kù)，并訪問(wèn)其中的一系列屬性來(lái)工作的，這些說(shuō)性描述了網(wǎng)絡(luò)用戶的授權(quán)服務(wù)，比如訪問(wèn)網(wǎng)絡(luò)中的不同部分。交換機(jī)或路由器會(huì)向服務(wù)器詢問(wèn)用戶真實(shí)的能力和限制，集中式服務(wù)器向其返回授權(quán)結(jié)果，告知用戶所能夠使用的服務(wù)。這個(gè)數(shù)據(jù)庫(kù)通常是位于中心位置的服務(wù)器，比如RADIUS或者TACACS+安全服務(wù)器。但管理員也可以使用本地?cái)?shù)據(jù)庫(kù)。遠(yuǎn)程安全服務(wù)器（比如RADIUS和TACACS+）通過(guò)把用戶與相應(yīng)的AVP（屬性值對(duì)）相關(guān)聯(lián)，來(lái)收與用戶具體的權(quán)限。RADIUS和TACACS+把這些AVP配置應(yīng)用給用戶或者用戶組。每個(gè)AVP由一個(gè)類型識(shí)別符和一個(gè)或多個(gè)分配給它的值組成。AVP在用戶配置文件（User Profile）和組配置文件（Group Profile）中指定的AVP，為相應(yīng)的用戶和組定義了認(rèn)證和授權(quán)特性。

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

4.3.4 審計(jì)(Accounting)審計(jì)為收集和發(fā)送安全服務(wù)器信息提供了方法，這些信息可以用于計(jì)費(fèi)（billing）、查賬（auditing）和報(bào)告（reporting）。這類信息包括用戶身份、網(wǎng)絡(luò)訪問(wèn)開(kāi)始和結(jié)束的時(shí)間、執(zhí)行過(guò)的命令（比如PPP）、數(shù)據(jù)包的數(shù)量和字節(jié)數(shù)量。這些信息是交換機(jī)和路由器能夠檢測(cè)登錄的用戶，從而對(duì)于查賬和增強(qiáng)安全性有很大幫助。

在很多環(huán)境中，AAA都會(huì)使用多種協(xié)議來(lái)管理其安全功能，比如RADIUS、TACACS+或者802.1x。如果網(wǎng)絡(luò)中的交換機(jī)充當(dāng)網(wǎng)絡(luò)接入服務(wù)器角色，那么AAA就是網(wǎng)絡(luò)訪問(wèn)服務(wù)器與RADIUS、TACACS+或者802.1x安全服務(wù)器之間建立連接的方法。

AAA是動(dòng)態(tài)配置的，它允許管理員基于每條線路（每個(gè)用戶）或者每個(gè)服務(wù)（比如IP、IPX或VPDN[虛擬私有撥號(hào)網(wǎng)絡(luò)]）來(lái)配置認(rèn)證和授權(quán)。管理員先要?jiǎng)?chuàng)建方法列表，然后把這些方法列表應(yīng)用到指定的服務(wù)或接口上，以針對(duì)每條線路或每個(gè)用戶進(jìn)行運(yùn)作。

4.4 IDS 入侵檢測(cè)系統(tǒng)

由于Cisco packet Tracer 5.3無(wú)法模擬IDS設(shè)備，又由于IDS在實(shí)際企業(yè)網(wǎng)絡(luò)中作用很大，所以在拓?fù)鋱D中將其設(shè)計(jì)進(jìn)去，在這里做一些基本介紹。

IDS是英文“Intrusion Detection Systems”的縮寫，中文意思是“入侵檢測(cè)系統(tǒng)”。專業(yè)上講就是依照一定的安全策略，通過(guò)軟、硬件，對(duì)網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。做一個(gè)形象的比喻：假如防火墻是一幢大樓的門鎖，那么IDS就是這幢大樓里的監(jiān)視系統(tǒng)。一旦小偷爬窗進(jìn)入大樓，或內(nèi)部人員有越界行為，只有實(shí)時(shí)監(jiān)視系統(tǒng)才能發(fā)現(xiàn)情況并發(fā)出警告。

入侵檢測(cè)可分為實(shí)時(shí)入侵檢測(cè)和事后入侵檢測(cè)兩種。

實(shí)時(shí)入侵檢測(cè)在網(wǎng)絡(luò)連接過(guò)程中進(jìn)行，系統(tǒng)根據(jù)用戶的歷史行為模型、存儲(chǔ)在計(jì)算機(jī)中的專家知識(shí)以及神經(jīng)網(wǎng)絡(luò)模型對(duì)用戶當(dāng)前的操作進(jìn)行判斷，一旦發(fā)現(xiàn)入侵跡象立即斷開(kāi)入侵者與主機(jī)的連接，并收集證據(jù)和實(shí)施數(shù)據(jù)恢復(fù)。這個(gè)檢測(cè)過(guò)程是不斷循環(huán)進(jìn)行的。

事后入侵檢測(cè)則是由具有網(wǎng)絡(luò)安全專業(yè)知識(shí)的網(wǎng)絡(luò)管理人員來(lái)進(jìn)行的，是管理員定期或不定期進(jìn)行的，不具有實(shí)時(shí)性，因此防御入侵的能力不如實(shí)時(shí)入侵檢測(cè)系統(tǒng)。

4.5 firewall 防火墻

4.5.1 什么是防火墻

所謂防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障.是一種獲取安全性方法的形象說(shuō)法，它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個(gè)安全網(wǎng)關(guān)（Security Gateway），從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問(wèn)規(guī)則、驗(yàn)證工具、包過(guò)濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成，防火墻就是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件或硬件。該計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信和數(shù)據(jù)包均要經(jīng)過(guò)此防火墻。

在網(wǎng)絡(luò)中，所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問(wèn)網(wǎng)(如Internet)分開(kāi)的方法，它實(shí)際

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

上是一種隔離技術(shù)。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問(wèn)控制尺度，它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時(shí)將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來(lái)訪問(wèn)你的網(wǎng)絡(luò)。換句話說(shuō)，如果不通過(guò)防火墻，公司內(nèi)部的人就無(wú)法訪問(wèn)Internet，Internet上的人也無(wú)法和公司內(nèi)部的人進(jìn)行通信。

4.5.2 防火墻類型

主要有2中，網(wǎng)絡(luò)防火墻和應(yīng)用防火墻。

1）網(wǎng)絡(luò)層防火墻

網(wǎng)絡(luò)層防火墻可視為一種 IP 封包過(guò)濾器，運(yùn)作在底層的 TCP/IP 協(xié)議堆棧上。我們可以以枚舉的方式，只允許符合特定規(guī)則的封包通過(guò)，其余的一概禁止穿越防火墻（病毒除外，防火墻不能防止病毒侵入）。這些規(guī)則通?？梢越?jīng)由管理員定義或修改，不過(guò)某些防火墻設(shè)備可能只能套用內(nèi)置的規(guī)則。

我們也能以另一種較寬松的角度來(lái)制定防火墻規(guī)則，只要封包不符合任何一項(xiàng)“否定規(guī)則”就予以放行?，F(xiàn)在的操作系統(tǒng)及網(wǎng)絡(luò)設(shè)備大多已內(nèi)置防火墻功能。

較新的防火墻能利用封包的多樣屬性來(lái)進(jìn)行過(guò)濾，例如：來(lái)源 IP 地址、來(lái)源端口號(hào)、目的 IP 地址或端口號(hào)、服務(wù)類型(如 004km.cn hostname SWc!enable password cisco！ip dhcp excluded-address 192.168.0.1 DHCPip dhcp excluded-address 192.168.3.129 ip dhcp excluded-address 192.168.3.1 ip dhcp excluded-address 192.168.1.1 ip dhcp excluded-address 192.168.2.1 ip dhcp excluded-address 192.168.3.193!ip dhcp pool vlan30 network 192.168.0.0 255.255.255.0 default-router 192.168.0.1 dns-server 192.168.3.227 DNSip dhcp pool vlan40 network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 dns-server 192.168.3.227 ip dhcp pool vlan50 network 192.168.2.0 255.255.255.0 default-router 192.168.2.1 dns-server 192.168.3.227 ip dhcp pool vlan10

設(shè)置交換機(jī)域名，與SSH驗(yàn)證有關(guān)用戶登入特權(quán)模式密碼 在分配時(shí)排除該IP地址 這些地址為網(wǎng)段的網(wǎng)關(guān)地址 開(kāi)啟一個(gè)DHCP地址池 分配的網(wǎng)絡(luò)段 默認(rèn)網(wǎng)關(guān)IP地址 地址 21

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

network 192.168.3.192 255.255.255.224 default-router 192.168.3.193 dns-server 192.168.3.227 ip dhcp pool vlan60 network 192.168.3.0 255.255.255.128 default-router 192.168.3.1 dns-server 192.168.3.227 ip dhcp pool vlan20 network 192.168.3.128 255.255.255.192 default-router 192.168.3.129 dns-server 192.168.3.227 ip routing 開(kāi)啟路由功能，這條很重，不然無(wú)法啟動(dòng)路由協(xié)議等！username beijiangong password 0 cisco 設(shè)置遠(yuǎn)程登錄時(shí)用戶名與密碼！interface FastEthernet0/1 switchport access vlan 100 switchport mode access!interface FastEthernet0/2 switchport trunk encapsulation dot1q 配置trunk的封裝格式 switchport mode trunk!interface FastEthernet0/3 switchport trunk encapsulation dot1q switchport mode trunk!interface FastEthernet0/4 switchport trunk encapsulation dot1q switchport mode trunk!interface FastEthernet0/5 no switchport 啟動(dòng)3層接口

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

ip address 192.168.3.245 255.255.255.252 duplex auto 自動(dòng)協(xié)商雙工 speed auto 自動(dòng)協(xié)商速率!interface FastEthernet0/6 switchport access vlan 99！interface Vlan1 no ip address shutdown!interface Vlan10 ip address 192.168.3.193 255.255.255.224!interface Vlan20 ip address 192.168.3.129 255.255.255.192 ip access-group 20 out 在此接口的出方向啟動(dòng)acl 20!interface Vlan30 ip address 192.168.0.1 255.255.255.0!interface Vlan40 ip address 192.168.1.1 255.255.255.0!interface Vlan50 ip address 192.168.2.1 255.255.255.0!interface Vlan60 ip address 192.168.3.1 255.255.255.128 ip access-group 101 out 在此接口的出方向啟動(dòng)acl 101!interface Vlan99

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

ip address 192.168.3.241 255.255.255.252!interface Vlan100 ip address 192.168.3.230 255.255.255.240!router ospf 10 啟動(dòng)OSPF 進(jìn)程號(hào)為10 router-id 1.1.1.1 為本設(shè)備配置ID標(biāo)示符 log-adjacency-changes 開(kāi)啟系統(tǒng)日志關(guān)于ospf變化 network 192.168.3.245 0.0.0.0 area 0 宣告網(wǎng)絡(luò)，與其區(qū)域 network 192.168.3.193 0.0.0.0 area 1 network 192.168.3.129 0.0.0.0 area 1 network 192.168.0.1 0.0.0.0 area 2 network 192.168.1.1 0.0.0.0 area 2 network 192.168.2.1 0.0.0.0 area 3 network 192.168.3.1 0.0.0.0 area 3 network 192.168.3.230 0.0.0.0 area 4 network 192.168.3.241 0.0.0.0 area 5!ip classless！access-list 10 permit host 192.168.3.242 acl 10 允許該主機(jī)地址 access-list 20 deny 192.168.0.0 0.0.0.255 acl 20 拒絕該網(wǎng)段 access-list 20 deny 192.168.1.0 0.0.0.255 access-list 20 deny 192.168.2.0 0.0.0.255 access-list 20 deny 192.168.3.0 0.0.0.255 access-list 101 deny ip 192.168.3.0 0.0.0.127 192.168.0.0 0.0.3.255（擴(kuò)展acl 101 拒絕該網(wǎng)段的ip協(xié)議去訪問(wèn)192.168.0.0/22網(wǎng)段）access-list 101 permit ip any any 允許所有ip協(xié)議的任何源目訪問(wèn)!crypto key generate rsa 設(shè)置SSH的加密算法為rsa（隱藏命令，在show run中看不到！!

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

line con 0 password cisco 設(shè)置console密碼

line vty 0 4 進(jìn)入vty接口 默認(rèn)登入人數(shù)為5 access-class 10 in 在該接口入方向啟動(dòng)acl 10 password cisco 密碼為cisco login local 登入方式為本地認(rèn)證 transport input ssh 更改登錄方式為SSH！end 5.3.2 路由器與防火墻

R1： hostname r1!enable password cisco！username beijiangong password 0 cisco!interface FastEthernet0/0 ip address 192.168.3.246 255.255.255.252 duplex auto speed auto!interface FastEthernet0/1 ip address 192.168.3.249 255.255.255.248 duplex auto speed auto!router ospf 10 router-id 2.2.2.2 log-adjacency-changes network 192.168.3.246 0.0.0.0 area 0

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

network 192.168.3.249 0.0.0.0 area 6!ip classless！access-list 10 permit host 192.168.3.242!no cdp run!line con 0 password cisco line vty 0 4 access-class 10 in password cisco login local！!end Firewall: hostname ASA!enable password cisco!aaa new-model 開(kāi)啟AAA功能!aaa authentication login eza group radius 啟動(dòng)認(rèn)證登錄組名為eza分類為radius!

aaa authorization network ezo group radius啟動(dòng)授權(quán)組名為eza分類為radius!username beijiangong password 0 cisco!crypto isakmp policy 10 設(shè)置加密密鑰策略 encr 3des 啟動(dòng)3重加密算法 hash md5 啟動(dòng)MD5認(rèn)證 authentication pre-share 認(rèn)證方式為共享 group 2 優(yōu)先級(jí)組別為2!crypto isakmp client configuration group myez 設(shè)置密鑰客戶端等級(jí)組 key 123 為等級(jí)組設(shè)置密碼

pool ez 為客戶分配內(nèi)部IP地址池!

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

crypto ipsec transform-set tim esp-3des esp-md5-hmac 傳輸隧道封裝類型!crypto dynamic-map ezmap 10 進(jìn)入隧道封裝策略模式

set transform-set tim 調(diào)用上面設(shè)置的封裝組tim reverse-route 開(kāi)啟vpn的反向路由!crypto map tom client authentication list eza 加密組tom的客戶認(rèn)證調(diào)用上面的eza組

crypto map tom isakmp authorization list ezo 加密組tom的密鑰授權(quán)管理方式調(diào)用上面的eza組

crypto map tom client configuration address respond 加密組tom為客戶分配IP地址

crypto map tom 10 ipsec-isakmp dynamic ezmap 加密組tom調(diào)用隧道加密格式名稱為ezmap!interface FastEthernet0/0 ip address 192.168.3.250 255.255.255.248 ip nat inside duplex auto speed auto!interface FastEthernet0/1 no ip address duplex auto speed auto shutdown!interface Serial0/2/0 ip address 100.1.1.1 255.255.255.0 ip nat outside crypto map tom!interface Serial0/3/0 no ip address shutdown!interface Vlan1 no ip address shutdown!router ospf 10 router-id 3.3.3.3 log-adjacency-changes network 192.168.3.250 0.0.0.0 area 6 default-information originate 向其他ospf鄰居宣告默認(rèn)路由!ip local pool ez 192.168.3.251 192.168.3.254 配置VPN登入進(jìn)來(lái)后分配的IP地址池

ip nat inside source list 1 interface Serial0/2/0 overload 設(shè)置動(dòng)態(tài)NAT將acl 1的地址轉(zhuǎn)化為s0/2/0并多路復(fù)用 ip classless ip route 0.0.0.0 0.0.0.0 Serial0/2/0 默認(rèn)路由 都走s0/2/0

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

！access-list 1 permit 192.168.0.0 0.0.3.255 access-list 10 permit host 192.168.3.242!no cdp run 關(guān)閉鄰居發(fā)現(xiàn)協(xié)議！radius-server host 192.168.3.225 auth-port 1645 key 123 指定AAA服務(wù)器地址與Easy VPN 端口號(hào)以及對(duì)應(yīng)密鑰!line con 0 password cisco login line vty 0 4 access-class 10 in password cisco login local!End

5.3.3 服務(wù)器

AAA服務(wù)器配置：

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

HTTP服務(wù)器：

DNS服務(wù)器：

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

第六章 項(xiàng)目測(cè)試

Packet Tracer 模擬器實(shí)驗(yàn)拓?fù)鋱D

所有設(shè)備的用戶名為：beijiangong 密碼：cisco

VPN 登錄配置： 組名：beijiangong Key:123 服務(wù)器IP：100.1.1.1 用戶名：123 密碼：123

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

北京總公司 圖A

分公司以及ISP網(wǎng)絡(luò) 圖B

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

6.1 DHCP驗(yàn)證

北京總公司內(nèi)網(wǎng)所有設(shè)備都是通過(guò)DHCP獲取的IP地址，但是不同VLAN所獲得的IP地址段是不同的，驗(yàn)證其在不同VLAN下是否獲得正確的IP地址、網(wǎng)關(guān)、掩碼和DNS。

1）經(jīng)理辦公室 VLAN 10 配置方法，首先在Packet Tracer下，點(diǎn)擊相應(yīng)的PC，如圖6-1-1

圖6-1-1 點(diǎn)擊左上角第一欄，ip Configuration 進(jìn)入IP地址配置畫面 如圖6-1-2

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

IP地址配置畫面 圖6-1-2

點(diǎn)擊DHCP，獲取IP地址，等待1-2S后查看結(jié)果 如圖6-1-3

圖6-1-3 根據(jù)提示可以看出獲得了正確的IP地址。

2）財(cái)政部 VLAN 20 如圖6-1-4

圖6-1-4

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

3）軟件部 VLAN 30 如圖6-1-5

圖6-1-5 4）市場(chǎng)部 VLAN 40 如圖 6-1-6

圖6-1-6 5）系統(tǒng)集成部 VLAN 50 如圖6-1-7

圖6-1-7

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

6)參觀中心 VLAN 60 如圖 6-1-8

圖6-1-8

6.2 網(wǎng)絡(luò)連通性

建立好網(wǎng)絡(luò)后，最重要的一點(diǎn)就是網(wǎng)絡(luò)連通性，根據(jù)公司需求，內(nèi)部計(jì)算機(jī)獲得自己IP地址，自己的DNS服務(wù)器與網(wǎng)關(guān)，那應(yīng)該可以去訪問(wèn)外網(wǎng)服務(wù)器，以達(dá)到訪問(wèn)公網(wǎng)的目的。

1）隨便開(kāi)啟一臺(tái)PC機(jī)，如經(jīng)理辦公室PC 圖6-2-1

圖6-2-1 點(diǎn)擊Command prompt 進(jìn)入其電腦的CMD命令格式

圖6-2-2

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

圖6-2-2

輸入ping 命令，在虛擬網(wǎng)絡(luò)中，如圖Ａ 運(yùn)行商IP地址為100.1.1.2 所以先ping運(yùn)行商網(wǎng)關(guān)。在命令行中輸入ping 100.1.1.2，可能第一個(gè)包會(huì)因?yàn)锳RP的關(guān)系而丟失，但是后續(xù)會(huì)很穩(wěn)定。如圖6-2-3

圖6-2-3

2）檢查網(wǎng)絡(luò)內(nèi)部DNS的正確性

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

打開(kāi)PC機(jī)瀏覽器，如下圖所示6-2-4

圖6-2-4 如圖B所示，在公網(wǎng)中，有一個(gè)百度的服務(wù)器，域名為004km.cn 通過(guò)瀏覽器訪問(wèn)百度看是否成功。如圖6-2-5

圖6-2-5 如圖所示，訪問(wèn)成功，表示公司內(nèi)部網(wǎng)絡(luò)連通性已經(jīng)保證暢通。

6.3 網(wǎng)絡(luò)安全性

在保證了連通性的基礎(chǔ)上，驗(yàn)證其安全性

6.3.1 SSH 與console的權(quán)限

在設(shè)備安裝完畢后，公司內(nèi)部不可能派專門的保安去看護(hù)，所以網(wǎng)絡(luò)設(shè)備的安全就需要有所保證，不能讓人們輕易的進(jìn)入其配置模式，輕易的去更改配置，所以要設(shè)置用戶名密碼。如圖6-3-1所示，一臺(tái)PC需要console核心交換機(jī)

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

圖6-3-1 如圖6-2-7所示，需要點(diǎn)擊下圖所示單元進(jìn)入console連接模式

圖6-3-2 選好會(huì)話數(shù)，速率等基本參數(shù)后點(diǎn)擊OK連接設(shè)備的控制臺(tái) 如圖6-3-3

圖6-3-3

發(fā)現(xiàn)需要輸入用戶名密碼，否側(cè)無(wú)法進(jìn)入控制界面，輸入用戶名密碼后進(jìn)入用戶模式，進(jìn)入特權(quán)模式需要輸入特權(quán)密碼，輸入正確用戶名密碼后才能進(jìn)入。如圖6-3-4

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

圖6-3-4

當(dāng)然console的限制很大，有監(jiān)控設(shè)備，與機(jī)柜鎖，能夠最大限度的保證其安全性，所以console的安全性問(wèn)題不是很大，而telnet 的控制起來(lái)就需要用策略來(lái)限制了。

如果想telnet設(shè)備需要知道其設(shè)備上的IP地址，而本公司DHCP中的網(wǎng)關(guān)地址基本都是在核心上，所以設(shè)備上的IP地址基本誰(shuí)都知道，而核心設(shè)備僅僅需要網(wǎng)絡(luò)管理員去管理，所以加了acl去選擇telnet 的對(duì)象。而在加密方面我選擇了SSH而不是非加密的Telnet.如圖所示，僅有網(wǎng)絡(luò)管理員才能ssh設(shè)備，其他員工無(wú)法ssh設(shè)備。這是管理員ssh的效果，輸入正確的用戶名密碼后，進(jìn)入其配置界面。如圖6-3-5

圖6-2-10 這是其他設(shè)備ssh的效果，無(wú)論嘗試幾個(gè)設(shè)備上的地址都被拒絕了，這樣就能保證設(shè)備控制的安全性。雖然能夠訪問(wèn)其地址，但是無(wú)法取得其TCP端口號(hào)22的訪問(wèn)權(quán) 如圖6-3-6

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

圖6-3-6

6.3.2 網(wǎng)絡(luò)連通安全性

在一個(gè)公司內(nèi)部，雖然大家共享上網(wǎng)資源，但是各部門之間的資料還是有一些機(jī)密的，特別是財(cái)政部，一個(gè)公司財(cái)政信息都是很機(jī)密的，所以不希望其他公司內(nèi)部Pc能夠連通到此部門，所以也要通過(guò)acl去限制，去隔離一些區(qū)域。

財(cái)政部IP 192.168.3.130 軟件部IP 192.168.0.2 市場(chǎng)部IP 192.168.1.2

正常情況下，三個(gè)部門是可以正常ping通的，但是財(cái)政部的安全性，所以其他2個(gè)部門無(wú)法訪問(wèn)財(cái)政部，但是可以互相訪問(wèn)。

如圖6-3-7所示，軟件部無(wú)法訪問(wèn)財(cái)政部，但是可以訪問(wèn)市場(chǎng)部

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

圖6-3-7 這樣就保證了財(cái)政部的獨(dú)立性，保證了其安全，由于公司內(nèi)部需要有客人訪問(wèn)，而客人往往需要上網(wǎng)，所以需要控制其上網(wǎng)行為，如果有惡意行為，盜取公司其他部門資料，那也會(huì)造成嚴(yán)重的損失，所以，要保證其在公司參觀中心上網(wǎng)，只能訪問(wèn)外網(wǎng)，不能訪問(wèn)公司內(nèi)部其他主機(jī)。

如圖6-3-8所示，參觀中心的終端能夠訪問(wèn)外網(wǎng)百度服務(wù)器，但是無(wú)法訪問(wèn)內(nèi)部市場(chǎng)部PC設(shè)備。

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

圖6-3-8

6.4 分公司與總公司安全性

由于分公司之間通過(guò)ISP與總公司通信，所以數(shù)據(jù)通信需要安全性，在這里我選擇了EASY VPN，由于各分公司內(nèi)部全部使用私網(wǎng)地址，所以無(wú)法與總公司內(nèi)部通信，因?yàn)樗骄W(wǎng)地址無(wú)法宣告到公網(wǎng)中，而通過(guò)easy vpn連接后，本部通過(guò)給客戶分配總公司自己的私網(wǎng)地址，使其能夠訪問(wèn)公司內(nèi)部，而通信過(guò)程中數(shù)據(jù)時(shí)加密的，無(wú)法竊取，保證了其安全性。

如圖6-4-1連接easy vpn首先要在客戶端PC打開(kāi)VPN連接。

圖6-4-1 在這里設(shè)置好用戶組、用戶名、總公司的公網(wǎng)地址以及密碼后連接VPN 如圖6-4-2

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

圖6-4-2 連接后需要等2-3秒，即連接成功，而且顯示被分配的IP地址 如圖6-4-3

圖6-4-3

進(jìn)行Ping命令就可以訪問(wèn)北京總部的內(nèi)網(wǎng)地址終端了。如圖6-4-4

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

圖6-4-4 這樣網(wǎng)絡(luò)的安全性就得到了很大的提升。

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

總

結(jié)

隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全逐漸成為一個(gè)潛在的巨大問(wèn)題。網(wǎng)絡(luò)安全性是一個(gè)涉及面很廣泛的問(wèn)題，其中也會(huì)涉及到是否構(gòu)成犯罪行為的問(wèn)題。在其最簡(jiǎn)單的形式中，它主要關(guān)心的是確保無(wú)關(guān)人員不能讀取，更不能修改傳送給其他接收者的信息。此時(shí)，它關(guān)心的對(duì)象是那些無(wú)權(quán)使用，但卻試圖獲得遠(yuǎn)程服務(wù)的人。安全性也處理合法消息被截獲和重播的問(wèn)題，以及發(fā)送者是否曾發(fā)送過(guò)該條消息的問(wèn)題。

本論文從企業(yè)角度描述了網(wǎng)絡(luò)安全的解決方案，目的在于為用戶提供信息的保密，認(rèn)證和完整性保護(hù)機(jī)制，使網(wǎng)絡(luò)中的服務(wù)，數(shù)據(jù)以及系統(tǒng)免受侵?jǐn)_和破壞。比如防火墻，認(rèn)證，加密技術(shù)等都是當(dāng)今常用的方法，本論文從這些方法入手深入研究各個(gè)方面的網(wǎng)絡(luò)安全問(wèn)題的解決，可以使讀者有對(duì)網(wǎng)絡(luò)安全技術(shù)的更深刻的了解。

在本方案設(shè)計(jì)之初，我對(duì)網(wǎng)絡(luò)安全的理解還是很淺，包括到了現(xiàn)在我對(duì)它的還是只有一點(diǎn)點(diǎn)的認(rèn)知，但是通過(guò)這次設(shè)計(jì)，讓我對(duì)網(wǎng)絡(luò)安全產(chǎn)生了很濃厚的興趣，很高興能夠選到這個(gè)課題，但這只是一次虛擬題，希望以后有機(jī)會(huì)在工作中能夠得到真實(shí)的項(xiàng)目去完成網(wǎng)絡(luò)安全的設(shè)計(jì)方案，但是，路還很長(zhǎng)，需要學(xué)習(xí)的知識(shí)還很多，但是有興趣才是王道。