第一篇：企業(yè)網(wǎng)絡(luò)安全解決方案畢業(yè)論文

婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

宏錦網(wǎng)絡(luò)有限公司 企業(yè)網(wǎng)絡(luò)安全解決方案

摘 要

近幾年來，Internet技術(shù)日趨成熟，已經(jīng)開始了從以提供和保證網(wǎng)絡(luò)聯(lián)通性為主要目標(biāo)的第一代Internet技術(shù)向以提供網(wǎng)絡(luò)數(shù)據(jù)信息服務(wù)為特征的第二代Internet技術(shù)的過渡。這些都促使了計(jì)算機(jī)網(wǎng)絡(luò)互聯(lián)技術(shù)迅速的大規(guī)模使用。眾所周知，作為全球使用范圍最大的信息網(wǎng)，Internet自身協(xié)議的開放性極大地方便了各種計(jì)算機(jī)連網(wǎng)，拓寬了共享資源。但是，由于在早期網(wǎng)絡(luò)協(xié)議設(shè)計(jì)上對(duì)安全問題的忽視，以及在管理和使用上的無政府狀態(tài)，逐漸使Internet自身安全受到嚴(yán)重威脅，與它有關(guān)的安全事故屢有發(fā)生。網(wǎng)絡(luò)安全的威脅主要表現(xiàn)在：非授權(quán)訪問，冒充合法用戶，破壞數(shù)據(jù)完整性，干擾系統(tǒng)正常運(yùn)行，利用網(wǎng)絡(luò)傳播病毒，線路竊聽等方面。因此本論文為企業(yè)（宏錦企業(yè)網(wǎng)絡(luò)）構(gòu)架網(wǎng)絡(luò)安全體系，主要運(yùn)用vlan劃分、防火墻技術(shù)、vpn、病毒防護(hù)等技術(shù)，來實(shí)現(xiàn)企業(yè)的網(wǎng)絡(luò)安全。

關(guān)鍵詞： 網(wǎng)絡(luò)，安全，VPN，防火墻，防病毒

I

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

Abstract In recent years, Internet technology has matured, has begun to provide and guarantee from the network connectivity as the main target of the first generation of Internet technology to provide network data services for the characteristics of the second generation of Internet technology transition.These all contributed to the rapid computer networking technology of large-scale use.As we all know, the world's largest information network use of, Internet openness of their agreement greatly facilitate a variety of computer networking to broaden the sharing of resources.However, in the early design of network protocols on security issues of neglect, as well as in management and use of the anarchy, the Internet increasingly serious threat to their security, and its related security incidents happened quite frequently.Network security threats mainly in: unauthorized access, posing as legitimate users, damage to data integrity, interfere with the normal operation of the system, using the Internet spread the virus, line tapping and so on.Therefore, this paper for the enterprise(Hong Jin corporate network)architecture network security system, mainly by the use of vlan, firewall, vpn, virus protection and other technologies to achieve corporate network security.Keywords: network, security, VPN, firewall, anti-virus

II

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

目 錄

緒 論....................................................................................................................................................................1 第一章 企業(yè)網(wǎng)絡(luò)安全概述...................................................................................................................................2 1.1 企業(yè)網(wǎng)絡(luò)的主要安全隱患.......................................................................................................................2

1.2 企業(yè)網(wǎng)絡(luò)的安全誤區(qū)...............................................................................................................................2 第二章 企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀分析.........................................................................................................................4 2.1 公司背景.....................................................................................................................................................4 2.2 企業(yè)網(wǎng)絡(luò)安全需求.....................................................................................................................................4 2.3 需求分析.....................................................................................................................................................4 2.4 企業(yè)網(wǎng)絡(luò)結(jié)構(gòu).............................................................................................................................................5 第三章 企業(yè)網(wǎng)絡(luò)安全解決實(shí)施...........................................................................................................................6 3.1 宏錦網(wǎng)絡(luò)企業(yè)物理安全.............................................................................................................................6 3.2宏錦企業(yè)網(wǎng)絡(luò)VLAN劃分............................................................................................................................7 3.4 宏錦企業(yè)網(wǎng)絡(luò)防火墻配置.........................................................................................................................9 3.4 宏錦企業(yè)網(wǎng)絡(luò)VPN配置...........................................................................................................................12 3.5 宏錦企業(yè)網(wǎng)絡(luò)防病毒措施.......................................................................................................................13 第四章 宏錦企業(yè)的網(wǎng)絡(luò)管理.............................................................................................................................16 4.1宏錦企業(yè)網(wǎng)絡(luò)管理的問題........................................................................................................................16 4.2 宏錦企業(yè)網(wǎng)絡(luò)管理實(shí)施...........................................................................................................................16 總 結(jié)..................................................................................................................................................................18 致 謝..................................................................................................................................................................19 參考文獻(xiàn)...............................................................................................................................................................20

III

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

緒 論

隨著信息化技術(shù)的飛速發(fā)展，許多有遠(yuǎn)見的企業(yè)都認(rèn)識(shí)到依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營(yíng)平臺(tái)將極大地提升企業(yè)的核心競(jìng)爭(zhēng)力，使企業(yè)在殘酷的競(jìng)爭(zhēng)環(huán)境中脫穎而出。經(jīng)營(yíng)管理對(duì)計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng)，計(jì)算機(jī)應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對(duì)網(wǎng)絡(luò)安全提出了更高的要求。信息安全防范應(yīng)做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對(duì)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個(gè)動(dòng)態(tài)的過程，事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備，安全管理應(yīng)貫穿安全防范活動(dòng)的始終。

網(wǎng)絡(luò)安全問題伴隨著網(wǎng)絡(luò)的產(chǎn)生而產(chǎn)生，可以說，有網(wǎng)絡(luò)的地方就存在網(wǎng)絡(luò)安全隱患。像病毒入侵和黑客攻擊之類的網(wǎng)絡(luò)安全事件，目前主要是通過網(wǎng)絡(luò)進(jìn)行的，而且?guī)缀趺繒r(shí)每刻都在發(fā)生，遍及全球。除此之外，像惡意軟件入侵、攻擊，用戶的非法訪問和操作，用戶郵件的非法截取和更改等都是普遍存在的安全事實(shí)。網(wǎng)絡(luò)安全事件所帶來的危害，相信我們每個(gè)計(jì)算機(jī)用戶都或多或少地親身體驗(yàn)過一些：輕則使電腦系統(tǒng)運(yùn)行不正常，重則使整個(gè)計(jì)算機(jī)系統(tǒng)中的磁盤數(shù)據(jù)全部覆滅，甚至導(dǎo)致磁盤、計(jì)算機(jī)等硬件的損壞。

為了防范這些網(wǎng)絡(luò)安全事故的發(fā)生，每個(gè)計(jì)算機(jī)用戶，特別是企業(yè)網(wǎng)絡(luò)用戶，必須采取足夠的安全防范措施，甚至可以說要在利益均衡情況下不惜一切代價(jià)。但要注意，企業(yè)網(wǎng)絡(luò)安全策略的實(shí)施是一項(xiàng)系統(tǒng)工程，它涉及許多方面。因此既要充分考慮到那些平時(shí)經(jīng)常提及的外部網(wǎng)絡(luò)威脅，又要對(duì)來自內(nèi)部網(wǎng)絡(luò)和網(wǎng)絡(luò)管理本身所帶來的安全隱患有足夠的重視，不能孤立地看待任何一個(gè)安全隱患和安全措施。因?yàn)檫@些安全隱患爆發(fā)的途徑可以是多方面的，而許多安全措施都是相輔相成的。

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

第一章 企業(yè)網(wǎng)絡(luò)安全概述

1.1 企業(yè)網(wǎng)絡(luò)的主要安全隱患

現(xiàn)在網(wǎng)絡(luò)安全系統(tǒng)所要防范的不再僅是病毒感染，更多的是基于網(wǎng)絡(luò)的非法入侵、攻擊和訪問，同時(shí)企業(yè)網(wǎng)絡(luò)安全隱患的來源有內(nèi)、外網(wǎng)之分，很多情況下內(nèi)部網(wǎng)絡(luò)安全威脅要遠(yuǎn)遠(yuǎn)大于外部網(wǎng)絡(luò)，因?yàn)閮?nèi)部中實(shí)施入侵和攻擊更加容易，企業(yè)網(wǎng)絡(luò)安全威脅的主要來源主要包括。

1)病毒、木馬和惡意軟件的入侵。2)網(wǎng)絡(luò)黑客的攻擊。

3)重要文件或郵件的非法竊取、訪問與操作。4)關(guān)鍵部門的非法訪問和敏感信息外泄。5)外網(wǎng)的非法入侵。

6)備份數(shù)據(jù)和存儲(chǔ)媒體的損壞、丟失。

針對(duì)這些安全隱患，所采取的安全策略可以通過安裝專業(yè)的網(wǎng)絡(luò)版病毒防護(hù)系統(tǒng)，同時(shí)也要加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全管理，配置好防火墻過濾策略和系統(tǒng)本身的各項(xiàng)安全措施，及時(shí)安裝系統(tǒng)安全補(bǔ)丁，有條件的還可以在內(nèi)、外網(wǎng)之間安裝網(wǎng)絡(luò)掃描檢測(cè)、網(wǎng)絡(luò)嗅探器、IDS、IPS系統(tǒng)，甚至配置網(wǎng)絡(luò)安全隔離系統(tǒng)，對(duì)內(nèi)、外網(wǎng)絡(luò)進(jìn)行安全隔離；加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全管理，嚴(yán)格實(shí)行“最小權(quán)限”原則，為各個(gè)用戶配置好恰當(dāng)?shù)挠脩魴?quán)限；同時(shí)對(duì)一些敏感數(shù)據(jù)進(jìn)行加密保護(hù)，對(duì)數(shù)據(jù)還可以進(jìn)行數(shù)字簽名措施；根據(jù)企業(yè)實(shí)際需要配置好相應(yīng)的數(shù)據(jù)策略，并按策略認(rèn)真執(zhí)行。

1.2 企業(yè)網(wǎng)絡(luò)的安全誤區(qū)

(一)安裝防火墻就安全了

防火墻主要工作都是控制存取與過濾封包，所以對(duì)DoS攻擊、非法存取與篡改封包等攻擊模式的防范極為有效，可以提供網(wǎng)絡(luò)周邊的安全防護(hù)。但如果攻擊行為不經(jīng)過防火墻，或是將應(yīng)用層的攻擊程序隱藏在正常的封包內(nèi)，便力不從心了，許多防火墻只是工作在網(wǎng)絡(luò)層。

防火墻的原理是“防外不防內(nèi)”，對(duì)內(nèi)部網(wǎng)絡(luò)的訪問不進(jìn)行任何阻撓，而事實(shí)上，企業(yè)網(wǎng)絡(luò)安全事件絕大部分還是源于企業(yè)內(nèi)部。

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

(二)安裝了最新的殺毒軟件就不怕病毒了

安裝殺毒軟件的目的是為了預(yù)防病毒的入侵和查殺系統(tǒng)中已感染的計(jì)算機(jī)病毒，但這并不能保證就沒有病毒入侵了，因?yàn)闅⒍拒浖闅⒛骋徊《镜哪芰偸菧笥谠摬《镜某霈F(xiàn)。

(三)在每臺(tái)計(jì)算機(jī)上安裝單機(jī)版殺毒軟件和網(wǎng)絡(luò)版殺毒軟件等效

網(wǎng)絡(luò)版殺毒軟件核心就是集中的網(wǎng)絡(luò)防毒系統(tǒng)管理。網(wǎng)絡(luò)版殺毒軟件可以在一臺(tái)服務(wù)器上通過安全中心控制整個(gè)網(wǎng)絡(luò)的客戶端殺毒軟件同步病毒查殺、監(jiān)控整個(gè)網(wǎng)絡(luò)的病毒。同時(shí)對(duì)于整個(gè)網(wǎng)絡(luò)，管理非常方便，對(duì)于單機(jī)版是不可能做到的。

(四)只要不上網(wǎng)就不會(huì)中毒

雖然不少病毒是通過網(wǎng)頁(yè)傳播的，但像QQ聊天接發(fā)郵件同樣是病毒傳播的主要途徑，而且盜版光盤以及U盤等也會(huì)存在著病毒。所以只要計(jì)算機(jī)開著，就要防范病毒。

(五)文件設(shè)置只讀就可以避免感染病毒

設(shè)置只讀只是調(diào)用系統(tǒng)的幾個(gè)命令，而病毒或黑客程序也可以做到這一點(diǎn)，設(shè)置只讀并不能有效防毒，不過在局域網(wǎng)中為了共享安全，放置誤刪除，還是比較有用的。

(六)網(wǎng)絡(luò)安全主要來自外部

基于內(nèi)部的網(wǎng)絡(luò)攻擊更加容易，不需要借助于其他的網(wǎng)絡(luò)連接方式，就可以直接在內(nèi)部網(wǎng)絡(luò)中實(shí)施攻擊。所以，加強(qiáng)內(nèi)部網(wǎng)絡(luò)安全管理，特別是用戶帳戶管理，如帳戶密碼、臨時(shí)帳戶、過期帳戶和權(quán)限等方面的管理非常必要了。

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

第二章 企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀分析

2.1 公司背景

宏錦網(wǎng)絡(luò)有限公司是一家有100名員工的中小型網(wǎng)絡(luò)公司，主要以手機(jī)應(yīng)用開發(fā)為主營(yíng)項(xiàng)目的軟件企業(yè)。公司有一個(gè)局域網(wǎng)，約100臺(tái)計(jì)算機(jī)，服務(wù)器的操作系統(tǒng)是 Windows Server 2003,客戶機(jī)的操作系統(tǒng)是 Windows XP，在工作組的模式下一人一機(jī)辦公。公司對(duì)網(wǎng)絡(luò)的依賴性很強(qiáng)，主要業(yè)務(wù)都要涉及互聯(lián)網(wǎng)以及內(nèi)部網(wǎng)絡(luò)。隨著公司的發(fā)展現(xiàn)有的網(wǎng)絡(luò)安全已經(jīng)不能滿足公司的需要，因此構(gòu)建健全的網(wǎng)絡(luò)安全體系是當(dāng)前的重中之重。

2.2 企業(yè)網(wǎng)絡(luò)安全需求

宏錦網(wǎng)絡(luò)有限公司根據(jù)業(yè)務(wù)發(fā)展需求，建設(shè)一個(gè)小型的企業(yè)網(wǎng)，有Web、Mail等服務(wù)器和辦公區(qū)客戶機(jī)。企業(yè)分為財(cái)務(wù)部門和業(yè)務(wù)部門，需要他們之間相互隔離。同時(shí)由于考慮到Inteneter的安全性，以及網(wǎng)絡(luò)安全等一些因素，如DDoS、ARP等。因此本企業(yè)的網(wǎng)絡(luò)安全構(gòu)架要求如下：

（1）根據(jù)公司現(xiàn)有的網(wǎng)絡(luò)設(shè)備組網(wǎng)規(guī)劃（2）保護(hù)網(wǎng)絡(luò)系統(tǒng)的可用性（3）保護(hù)網(wǎng)絡(luò)系統(tǒng)服務(wù)的連續(xù)性

（4）防范網(wǎng)絡(luò)資源的非法訪問及非授權(quán)訪問（5）防范入侵者的惡意攻擊與破壞

（6）保護(hù)企業(yè)信息通過網(wǎng)上傳輸過程中的機(jī)密性、完整性（7）防范病毒的侵害（8）實(shí)現(xiàn)網(wǎng)絡(luò)的安全管理。

2.3 需求分析

通過了解宏錦網(wǎng)絡(luò)公司的需求與現(xiàn)狀，為實(shí)現(xiàn)宏錦網(wǎng)絡(luò)公司的網(wǎng)絡(luò)安全建設(shè)實(shí)施網(wǎng)絡(luò)系統(tǒng)改造，提高企業(yè)網(wǎng)絡(luò)系統(tǒng)運(yùn)行的穩(wěn)定性，保證企業(yè)各種設(shè)計(jì)信息的安全性，避免圖紙、文檔的丟失和外泄。通過軟件或安全手段對(duì)客戶端的計(jì)算機(jī)加以保護(hù)，記錄用戶對(duì)客戶端計(jì)算機(jī)中關(guān)鍵目錄和文件的操作，使企業(yè)有手段對(duì)用戶在客戶端計(jì)算機(jī)的使用

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

情況進(jìn)行追蹤，防范外來計(jì)算機(jī)的侵入而造成破壞。通過網(wǎng)絡(luò)的改造，使管理者更加便于對(duì)網(wǎng)絡(luò)中的服務(wù)器、客戶端、登陸用戶的權(quán)限以及應(yīng)用軟件的安裝進(jìn)行全面的監(jiān)控和管理。因此需要

（1）構(gòu)建良好的環(huán)境確保企業(yè)物理設(shè)備的安全（2）劃分VLAN控制內(nèi)網(wǎng)安全（3）安裝防火墻體系

（4）建立VPN(虛擬專用網(wǎng)絡(luò))確保數(shù)據(jù)安全（5）安裝防病毒服務(wù)器（6）加強(qiáng)企業(yè)對(duì)網(wǎng)絡(luò)資源的管理

2.4 企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)

宏錦網(wǎng)絡(luò)公司網(wǎng)絡(luò)拓?fù)鋱D，如圖2-1所示:

圖2-1 企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)

由于宏錦網(wǎng)絡(luò)公司是直接從電信接入IP為58.192.65.62 255.255.255.0，直接經(jīng)由防火墻分為DMZ區(qū)域和普通區(qū)域。防火墻上做NAT轉(zhuǎn)換，分別給客戶機(jī)端的地址為10.1.1.0 255.255.255.0。防火墻接客戶區(qū)端口地址為10.1.1.1 255.255.255.0。DMZ內(nèi)主要有各類的服務(wù)器，地址分配為10.1.2.0 255.255.255.0。防火墻DMZ區(qū)的接口地址為10.1.2.1 255.255.255.0。內(nèi)網(wǎng)主要由3層交換機(jī)作為核心交換機(jī)，下面有兩臺(tái)2層交換機(jī)做接入。

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

第三章 企業(yè)網(wǎng)絡(luò)安全解決實(shí)施

3.1 宏錦網(wǎng)絡(luò)企業(yè)物理安全

宏錦企業(yè)網(wǎng)絡(luò)中保護(hù)網(wǎng)絡(luò)設(shè)備的物理安全是其整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的前提，物理安全是指保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其他媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故、人為操作失誤或各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞。

針對(duì)宏錦網(wǎng)絡(luò)企業(yè)的物理安全主要考慮的問題是環(huán)境、場(chǎng)地和設(shè)備的安全及物理訪問控制和應(yīng)急處置計(jì)劃等。物理安全在整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全中占有重要地位。它主要包括以下幾個(gè)方面： 1)保證機(jī)房環(huán)境安全

信息系統(tǒng)中的計(jì)算機(jī)硬件、網(wǎng)絡(luò)設(shè)施以及運(yùn)行環(huán)境是信息系統(tǒng)運(yùn)行的最基本的環(huán)境。要從一下三個(gè)方面考慮：a.自然災(zāi)害、物理?yè)p壞和設(shè)備故障 b.電磁輻射、乘機(jī)而入、痕跡泄漏等 c.操作失誤、意外疏漏等 2)選用合適的傳輸介質(zhì)

屏蔽式雙絞線的抗干擾能力更強(qiáng)，且要求必須配有支持屏蔽功能的連接器件和要求介質(zhì)有良好的接地（最好多處接地），對(duì)于干擾嚴(yán)重的區(qū)域應(yīng)使用屏蔽式雙絞線，并將其放在金屬管內(nèi)以增強(qiáng)抗干擾能力。

光纖是超長(zhǎng)距離和高容量傳輸系統(tǒng)最有效的途徑，從傳輸特性等分析，無論何種光纖都有傳輸頻帶寬、速率高、傳輸損耗低、傳輸距離遠(yuǎn)、抗雷電和電磁的干擾性好保密性好，不易被竊聽或被截獲數(shù)據(jù)、傳輸?shù)恼`碼率很低，可靠性高，體積小和重量輕等特點(diǎn)。與雙絞線或同軸電纜不同的是光纖不輻射能量，能夠有效地阻止竊聽。3)保證供電安全可靠

計(jì)算機(jī)和網(wǎng)絡(luò)主干設(shè)備對(duì)交流電源的質(zhì)量要求十分嚴(yán)格，對(duì)交流電的電壓和頻率，對(duì)電源波形的正弦性，對(duì)三相電源的對(duì)稱性，對(duì)供電的連續(xù)性、可靠性穩(wěn)定性和抗干擾性等各項(xiàng)指標(biāo)，都要求保持在允許偏差范圍內(nèi)。機(jī)房的供配電系統(tǒng)設(shè)計(jì)既要滿足設(shè)備自身運(yùn)轉(zhuǎn)的要求，又要滿足網(wǎng)絡(luò)應(yīng)用的要求，必須做到保證網(wǎng)絡(luò)系統(tǒng)運(yùn)行的可靠性，保證設(shè)備的設(shè)計(jì)壽命保證信息安全保證機(jī)房人員的工作環(huán)境。

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

3.2宏錦企業(yè)網(wǎng)絡(luò)VLAN劃分

VLAN技術(shù)能有效隔離局域網(wǎng)，防止網(wǎng)內(nèi)的攻擊，所以宏錦網(wǎng)絡(luò)有限公司網(wǎng)絡(luò)中按部門進(jìn)行了VLAN劃分，劃分為以下兩個(gè)VLAN：

財(cái)務(wù)部門 VLAN 10

交換機(jī)S1接入交換機(jī)（神州數(shù)碼DCS-3950）業(yè)務(wù)部門 VLAN 20

交換機(jī)S2接入交換機(jī)（神州數(shù)碼DCS-3950）核心交換機(jī) VLAN間路由 核心交換機(jī)S3（神州數(shù)碼DCRS-5526）S1配置如下: switch> switch>ena switch#con switch(Config)#vlan 10 switch(Config-Vlan10)#sw int e 0/0/1-20 switch(Config-Vlan10)#exit switch(Config)#exit switch#con switch(Config)#int e 0/0/24 switch(Config-Ethernet0/0/24)#sw m t Set the port Ethernet0/0/24 mode TRUNK successfully switch(Config-Ethernet0/0/24)#sw t a v a set the port Ethernet0/0/24 allowed vlan successfully switch(Config-Ethernet0/0/24)#exit switch(Config)#ip dhcp pool vlan10 switch(dhcp-vlan10-config)#network-address 192.168.10.0 255.255.255.0 switch(dhcp-vlan10-config)#lease 3 switch(dhcp-vlan10-config)#default-router 192.168.1.1 switch(dhcp-vlan10-config)#dns-server 61.177.7.1 switch(dhcp-vlan10-config)#exit switch(config)ip dhcp excluded-address 192.168.10.1 S2配置如下: Switch> Switch>ena Switch#con

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

switch(Config)#vlan 20 switch(Config-Vlan20)#sw int e 0/0/1-20 switch(Config-Vlan20)#exit switch(Config)#exit switch#con switch(Config)#int e 0/0/24 switch(Config-Ethernet0/0/24)#sw m t Set the port Ethernet0/0/24 mode TRUNK successfully switch(Config-Ethernet0/0/24)#sw t a v a set the port Ethernet0/0/24 allowed vlan successfully switch(Config-Ethernet0/0/24)#exit switch(Config)#ip dhcp pool vlan20 switch(dhcp-vlan20-config)#network-address 192.168.20.0 255.255.255.0 switch(dhcp-vlan20-config)#lease 3 switch(dhcp-vlan20-config)#default-router 192.168.1.1 switch(dhcp-vlan20-config)#dns-server 61.177.7.1 switch(dhcp-vlan20-config)#exit switch(config)ip dhcp excluded-address 192.168.20.1 switch(config)ip dhcp excluded-address 192.168.20.150-192.168.20.240 S0配置如下: switch> switch>enable switch#config switch(Config)#hostname S0 S0(Config)#vlan 10 S0(Config-Vlan10)#vlan 20 S0(Config-Vlan20)#exit S0(Config)#int e 0/0/1-2 S0(Config-Port-Range)#sw m t S0(Config-Port-Range)#sw t a v a S0(Config-Port-Range)#exit S0(Config)#int vlan 10 S0(Config-If-Vlan10)#ip address 192.168.10.1 255.255.255.0 S0(Config-If-Vlan10)#no shutdown

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

S0(Config-If-Vlan10)#exit S0(Config)#int vlan 20 00:04:23: %LINK-5-CHANGED: Interface Vlan20, changed state to UP %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed state to UP S0(Config-If-Vlan20)#ip address 192.168.20.1 255.255.255.0 S0(Config-If-Vlan20)#no shutdown S0(Config-If-Vlan20)#exit S0(Config)#exit S0(Config-If-Vlan1)#ip address 192.168.1.1 255.255.255.0 S0(Config-If-Vlan1)#no shutdown S0(Config-If-Vlan1)#exit S0(Config)#exit S0#show ip route S0#con S0(Config)#ip route 58.192.65.0 255.255.255.0 10.1.1.1 3.4 宏錦企業(yè)網(wǎng)絡(luò)防火墻配置

宏錦企業(yè)網(wǎng)絡(luò)中使用的是神州數(shù)碼的DCFW-1800S UTM，里面包含了防火墻和VPN等功能。以下為配置過程：

在防火墻NAT策略下面，新增NAT。如圖3-1:

圖3-1 新增企業(yè)防火墻策略示意圖

源域：untrust； 源地址對(duì)象：any； 目的域：trust； 目的地址對(duì)象：any；

在全局安全策略設(shè)置里面如圖3-2和圖3-3所示:

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

圖3-2企業(yè)防火墻策略配置示意圖

圖 3-3 企業(yè)防火墻策略配置示意圖

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

圖3-4企業(yè)防火墻策略配置示意圖

可以設(shè)置全局下面訪問策略，以及域內(nèi)和域間的訪問策略。這里我們?cè)O(shè)置，內(nèi)部網(wǎng)絡(luò)為信任區(qū)域（trust），Inteneter為不信任區(qū)域（untrust），服務(wù)器區(qū)域?yàn)镈MZ區(qū)域。動(dòng)作包括permit允許，拒絕deny，以及其他的特定的服務(wù)。這里允許內(nèi)部訪問外部和DMZ區(qū)域，而DMZ和Inteneter不允許訪問內(nèi)部。但是處于中間位置的DMZ可以允許Inteneter的訪問。所以要添加好幾條NAT策略。

在網(wǎng)絡(luò)接口處如圖3-5所示:

圖3-5 網(wǎng)絡(luò)接口處配置示意圖

要配置3個(gè)以太網(wǎng)接口為up，安全區(qū)域分別為eth1：l2-trust，eth0：l2-untrust，eth2：l2-DMZ。其中接外網(wǎng)的eth0工作模式為路由模式，其余接DMZ和內(nèi)部的都為NAT模式。如圖3-6所示:

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

圖3-6 以太網(wǎng)接口配置示意圖

同時(shí)為他們配好相應(yīng)的網(wǎng)絡(luò)地址，eth0為58.192.65.62，eth1：10.1.1.1，eth2 10.1.2.1。

3.4 宏錦企業(yè)網(wǎng)絡(luò)VPN配置

宏錦企業(yè)網(wǎng)絡(luò)的VPN功能主要也是通過上面的防火墻實(shí)現(xiàn)的。如圖3-7,圖3-8所示:

圖3-7 PPTP協(xié)議示意圖

圖3-8 PPTP示意圖

這里我們使用PPTP協(xié)議來實(shí)現(xiàn)VPN，首先是新增PPTP地址池，范圍為192.168.20.150-192.168.20.240 如圖3-9所示:

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

圖3-9 PPTP協(xié)議實(shí)現(xiàn)VPN示意圖

在PPTP設(shè)置里面，選擇Chap加密認(rèn)證，加密方式mppe-128。DNS分別為61.177.7.1，MTU為500。

3.5 宏錦企業(yè)網(wǎng)絡(luò)防病毒措施

針對(duì)宏錦企業(yè)網(wǎng)絡(luò)的現(xiàn)狀，在綜合考慮了公司對(duì)防病毒系統(tǒng)的性能要求、成本和安全性以后，我選用江民殺毒軟件KV網(wǎng)絡(luò)版來在內(nèi)網(wǎng)中進(jìn)行防病毒系統(tǒng)的建立。產(chǎn)品特點(diǎn): KV網(wǎng)絡(luò)版是為各種簡(jiǎn)單或復(fù)雜網(wǎng)絡(luò)環(huán)境設(shè)計(jì)的計(jì)算機(jī)病毒網(wǎng)絡(luò)防護(hù)系統(tǒng)，即適用于包含若干臺(tái)主機(jī)的單一網(wǎng)段網(wǎng)絡(luò)，也適用于包含各種WEB服務(wù)器、郵件服務(wù)器、應(yīng)用服務(wù)器，以及分布在不同城市，包含數(shù)十萬臺(tái)主機(jī)的超大型網(wǎng)絡(luò)。KV網(wǎng)絡(luò)版具有以下顯著特點(diǎn)：

(1)先進(jìn)的體系結(jié)構(gòu)(2)超強(qiáng)的殺毒能力(3)完備的遠(yuǎn)程控制(4)方便的分級(jí)、分組管理

宏錦企業(yè)網(wǎng)絡(luò)KV網(wǎng)絡(luò)版的主控制中心部署在DMZ服務(wù)器區(qū)，子控制中心部署在3層交換機(jī)的一臺(tái)服務(wù)器上。

網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖3-10所示:

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

圖3-10 主控制中心部署圖

子控制中心與主控制中心關(guān)系: 控制中心負(fù)責(zé)整個(gè)KV網(wǎng)絡(luò)版的管理與控制，是整個(gè)KV網(wǎng)絡(luò)版的核心，在部署KV網(wǎng)絡(luò)時(shí)，必須首先安裝。除了對(duì)網(wǎng)絡(luò)中的計(jì)算機(jī)進(jìn)行日常的管理與控制外，它還實(shí)時(shí)地記錄著KV網(wǎng)絡(luò)版防護(hù)體系內(nèi)每臺(tái)計(jì)算機(jī)上的病毒監(jiān)控、查殺病毒和升級(jí)等信息。在1個(gè)網(wǎng)段內(nèi)僅允許安裝1臺(tái)控制中心。根據(jù)控制中心所處的網(wǎng)段的不同，可以將控制中心劃分為主控制中心和子控制中心，子控制中心除了要 完成控制中心的功能外，還要負(fù)責(zé)與它的上級(jí)——主控制中心進(jìn)行通信。這里的“主”和“子”是一個(gè) 相對(duì)的概念：每個(gè)控制中心對(duì)于它的下級(jí)的網(wǎng)段來說都是主控制中心，對(duì)于它的上級(jí)的網(wǎng)段來說又是子控制中心，這種控制結(jié)構(gòu)可以根據(jù)網(wǎng)絡(luò)的需要無限的延伸下去。

為宏錦企業(yè)網(wǎng)絡(luò)安裝好KV網(wǎng)絡(luò)版殺毒軟件后，為期配置軟件的安全策略。對(duì)宏錦企業(yè)客戶端計(jì)算機(jī)的KV軟件實(shí)現(xiàn)更為完善的遠(yuǎn)程控制功能，利用KV軟件控制中心的“策略設(shè)置”功能組來實(shí)現(xiàn)。在此功能中可以針對(duì)單一客戶端、邏輯組、全網(wǎng)進(jìn)行具有針對(duì)性的安全策略設(shè)置。在“策略設(shè)置”下拉菜單中，我們可以找到“掃描設(shè)置”、“反垃圾郵件”、“網(wǎng)址過濾”等與平時(shí)安全應(yīng)用密切相關(guān)的各項(xiàng)應(yīng)用配置選項(xiàng)，如圖3-11所示。

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

圖3-11 “策略設(shè)置”命令菜單

為宏錦企業(yè)網(wǎng)絡(luò)KV網(wǎng)絡(luò)版殺毒軟件配置“掃描設(shè)置”，掃描設(shè)置可對(duì)當(dāng)前選擇的任意組或者任意節(jié)點(diǎn)的客戶端進(jìn)行更加細(xì)化的掃描設(shè)置。宏錦企業(yè)可以自己設(shè)定適合于自己網(wǎng)絡(luò)環(huán)境的掃描方案，針對(duì)不同的策略對(duì)不同的客戶端進(jìn)行分發(fā)不同的掃描命令?？梢韵掳l(fā)以下命令到節(jié)點(diǎn)計(jì)算機(jī)：掃描目標(biāo)，定時(shí)掃描，分類掃描，不掃描文件夾，掃描報(bào)告，簡(jiǎn)單而實(shí)用的設(shè)置頁(yè)大大的增加了網(wǎng)絡(luò)管理的易用性。其中掃描目標(biāo)的設(shè)置界面如圖3-12所示。

圖3-12 掃描目標(biāo)配置

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

第四章 宏錦企業(yè)的網(wǎng)絡(luò)管理

4.1宏錦企業(yè)網(wǎng)絡(luò)管理的問題

（1）計(jì)算機(jī)軟、硬件數(shù)量無法確實(shí)掌握，盤點(diǎn)困難；（2）單位的計(jì)算機(jī)數(shù)量越來越多，無法集中管理；

（3）無法有效防止員工私裝軟件，造成非法版權(quán)使用威脅；（4）硬件設(shè)備私下挪用、竊取，造成財(cái)產(chǎn)損失；（5）使用者計(jì)算機(jī)IP隨易變更，造成故障頻傳；（6）軟件單機(jī)安裝浪費(fèi)人力，應(yīng)用軟件版本不易控制；（7）重要資料遭非法拷貝，資料外泄，無法監(jiān)督；（8）設(shè)備故障或資源不足，無法事先得到預(yù)警；

（9）應(yīng)用軟件購(gòu)買后，員工真正使用狀況如何，無從分析； 居高不下的信息化資源成本，不知如何改善。

4.2 宏錦企業(yè)網(wǎng)絡(luò)管理實(shí)施

針對(duì)宏錦企業(yè)網(wǎng)絡(luò)的需求，給企業(yè)安裝SmartIPVIew管理軟件實(shí)現(xiàn)宏錦企業(yè)網(wǎng)絡(luò)對(duì)公司內(nèi)部的設(shè)備以及IP網(wǎng)絡(luò)資源管理。實(shí)施步驟安裝SmartIPVIew管理軟件，運(yùn)行軟件添加宏錦企業(yè)的IP網(wǎng)段如圖4-1.火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

圖4-1 添加企業(yè)IP網(wǎng)段

單擊確認(rèn)，添加宏錦企業(yè)內(nèi)部IP網(wǎng)段便于企業(yè)管理企業(yè)內(nèi)部用戶。對(duì)宏錦企業(yè)網(wǎng)絡(luò)內(nèi)部設(shè)備的管理如下圖4-2所示。

圖4-2 添加網(wǎng)絡(luò)設(shè)備

如圖4-2添加宏錦企業(yè)的網(wǎng)絡(luò)設(shè)備，以實(shí)現(xiàn)企業(yè)對(duì)內(nèi)部網(wǎng)絡(luò)設(shè)備的監(jiān)控和方便管理能有效的提高辦公效率。

SmartIPVIew管理軟件獨(dú)創(chuàng)的IP地址資源管理技術(shù)，通過保護(hù)IP地址資源的安全使用，以及對(duì)IP地址資源的回收再利用，使有限的IP地址資源得到合理合法的使用，從而可以保證整個(gè)網(wǎng)絡(luò)資源的有效利用和安全。

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

總 結(jié)

隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全逐漸成為一個(gè)潛在的巨大問題。網(wǎng)絡(luò)安全性是一個(gè)涉及面很廣泛的問題，其中也會(huì)涉及到是否構(gòu)成犯罪行為的問題。在其最簡(jiǎn)單的形式中，它主要關(guān)心的是確保無關(guān)人員不能讀取，更不能修改傳送給其他接收者的信息。此時(shí)，它關(guān)心的對(duì)象是那些無權(quán)使用，但卻試圖獲得遠(yuǎn)程服務(wù)的人。安全性也處理合法消息被截獲和重播的問題，以及發(fā)送者是否曾發(fā)送過該條消息的問題。

本論文從企業(yè)角度描述了網(wǎng)絡(luò)安全的解決方案，目的在于為用戶提供信息的保密，認(rèn)證和完整性保護(hù)機(jī)制，使網(wǎng)絡(luò)中的服務(wù)，數(shù)據(jù)以及系統(tǒng)免受侵?jǐn)_和破壞。比如防火墻，認(rèn)證，加密技術(shù)等都是當(dāng)今常用的方法，本論文從這些方法入手深入研究各個(gè)方面的網(wǎng)絡(luò)安全問題的解決，可以使讀者有對(duì)網(wǎng)絡(luò)安全技術(shù)的更深刻的了解。

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

致 謝

在這幾個(gè)多月的畢業(yè)設(shè)計(jì)中，我真誠(chéng)的感謝老師的指導(dǎo)，在老師的幫助下我才順利的完成畢業(yè)設(shè)計(jì)。

做畢業(yè)實(shí)際就需要把平時(shí)學(xué)到的東西在復(fù)習(xí)一遍，因?yàn)槠綍r(shí)上課還有課后自己的學(xué)習(xí)，都主要在基于理論方面的，雖然也做很多實(shí)驗(yàn)，但當(dāng)把畢業(yè)設(shè)計(jì)當(dāng)作一個(gè)實(shí)際的工程來做的時(shí)候就會(huì)發(fā)現(xiàn)很多的問題，這就需要老師的指導(dǎo)了，特別是老師讓我們?cè)趯?shí)訓(xùn)機(jī)房里面，直接就各個(gè)硬件進(jìn)行操作，這樣我們就不會(huì)空談就會(huì)做的更深層次。

所以很感謝老師的幫助，讓我更好的將理論和實(shí)踐相結(jié)合，最后完成了此次畢業(yè)設(shè)計(jì)，同時(shí)也為以后工作做了很好的準(zhǔn)備。

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

參考文獻(xiàn)

[ 1 ] 王達(dá).網(wǎng)管員必讀—網(wǎng)絡(luò)安全.北京：機(jī)械工業(yè)出版社，2009． [ 2 ] 黃傳河.網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)師教程.北京：機(jī)械工業(yè)出版社，2009． [ 3 ] 張千里，陳光英.網(wǎng)絡(luò)安全新技術(shù).北京：人民郵電出版社，2003 [ 4 ] 王衛(wèi)紅，李曉明.計(jì)算機(jī)網(wǎng)絡(luò)與互聯(lián)網(wǎng).北京：機(jī)械工業(yè)出版社，2009． [ 5 ] 易建勛.計(jì)算機(jī)網(wǎng)絡(luò)技術(shù).北京：人民郵電出版社，2007.[ 6 ] 揚(yáng)衛(wèi)東.網(wǎng)絡(luò)系統(tǒng)集成與工程設(shè)計(jì)，2007.[ 7 ] 張千里，陳光英.網(wǎng)絡(luò)安全新技術(shù).北京：人民郵電出版社，2003 [ 8 ] 徐超汗.計(jì)算機(jī)網(wǎng)絡(luò)安全實(shí)用技術(shù)，電子工業(yè)出版社，2005年3月 [ 9 ] 萬博公司技術(shù)部.網(wǎng)絡(luò)系統(tǒng)集成行業(yè)使用方案,海洋出版社，2006年 [10 ] 高永強(qiáng)，郭世澤.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用大典.北京：人民郵電出版社，2003

火龍果?整理 uml.org.cn

第二篇：大型企業(yè)網(wǎng)絡(luò)安全解決方案畢業(yè)論文

XXXXXXXXXXXXXXX 畢 業(yè) 論 文

企業(yè)網(wǎng)絡(luò)安全解決方案

姓 名：

學(xué) 號(hào)：

指導(dǎo)老師：

系 名：

專 業(yè)：

班 級(jí)：

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

摘

要

隨著社會(huì)的飛速發(fā)展，網(wǎng)絡(luò)技術(shù)的也在飛速的發(fā)展之中，現(xiàn)如今網(wǎng)絡(luò)已經(jīng)無所不在的影響著社會(huì)的政治、經(jīng)濟(jì)、文化、軍事、意識(shí)形態(tài)和社會(huì)生活等各個(gè)方面。同時(shí)在全球范圍內(nèi)，針對(duì)重要信息資源和網(wǎng)絡(luò)基礎(chǔ)設(shè)施的入侵行為和企圖入侵行為的數(shù)量仍然不斷增加，網(wǎng)絡(luò)攻擊與入侵行為對(duì)國(guó)家安全、經(jīng)濟(jì)和社會(huì)生活造成了極大的威脅。計(jì)算機(jī)病毒的不斷的通過網(wǎng)絡(luò)產(chǎn)生和傳播，計(jì)算機(jī)網(wǎng)絡(luò)被不斷地非法入侵，重要情報(bào)、資料被竊取，甚至造成網(wǎng)絡(luò)系統(tǒng)的癱瘓等等，諸如此類的事件已經(jīng)給政府以及企業(yè)造成了巨大的損失，甚至危害到國(guó)家的安全。網(wǎng)絡(luò)安全已經(jīng)成為世界各國(guó)當(dāng)今共同關(guān)注的焦點(diǎn)，網(wǎng)絡(luò)安全的重要性是不言而喻的。

本文是構(gòu)思了一個(gè)虛擬的企業(yè)網(wǎng)絡(luò)的設(shè)計(jì)，重點(diǎn)研究了公司不同分部之間通過VPN技術(shù)來實(shí)現(xiàn)在廣域網(wǎng)中的加密連接。以及詳細(xì)的設(shè)計(jì)了總公司的網(wǎng)絡(luò)安全策略，保證了內(nèi)部服務(wù)器等的信息安全，按照需求對(duì)企業(yè)網(wǎng)絡(luò)安全進(jìn)行了系統(tǒng)的規(guī)劃，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全進(jìn)行了全面的分析。在滿足了各個(gè)子網(wǎng)連通的前提下，提出了包括AAA認(rèn)證、SSH登陸、Easy VPN、訪問控制限制、NAT技術(shù)、入侵檢測(cè)部署、病毒防護(hù)、掃描系統(tǒng)管理措施和安全技術(shù)在內(nèi)的整套方案。目的是建設(shè)一個(gè)完整的、安全的網(wǎng)絡(luò)體系，是網(wǎng)絡(luò)安全系統(tǒng)真正獲得較好的效果。關(guān)鍵詞： 網(wǎng)絡(luò)，安全，VPN，防火墻，防病毒

I

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

Abstract

With the rapid development of society and also the rapid development of network technology, is now the network has been the ubiquitous influence of society in all aspects of political, economic, cultural, military, ideological and social life.Worldwide for the intrusion and the number of attempted intrusions of the important information resources and network infrastructure is still growing, network attacks and intrusions caused a grave threat to national security, economic and social life.Computer virus continues through the network and dissemination, computer networks are the illegal invasion, important information, data theft, and even cause paralysis of the network system, such events have caused huge losses to the government and enterprises, and even harm to national security.Network security has become the focus of attention today in the world, the importance of network security is self-evident.This article is the idea of a virtual enterprise network design, focusing on the encrypted connection between the different segments of the company through VPN technology to achieve WAN.And detailed design of the network security policy of the Corporation to ensure the internal server, such as information security, in accordance with the needs of enterprise network security planning of the system, conducted a comprehensive analysis of computer network security.Satisfy the premise that each subnet connectivity, including the AAA authentication, SSH login to the Easy VPN, access control restrictions, the NAT technology, intrusion detection deployment, virus protection, scanning system management measures and security technologies, including the package.The purpose is to build a complete, secure network architecture, network security systems really get better results.Keywords: network, security, VPN, firewall, anti-virus

II

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

目錄

摘

要............................................................................................................................................................I 第一章 緒

論...............................................................................................................................................1 1.1 網(wǎng)絡(luò)的起源......................................................................................................................................1 1.2網(wǎng)絡(luò)安全的重要性...........................................................................................................................1 第二章 企業(yè)網(wǎng)絡(luò)安全概述...........................................................................................................................3 2.1 企業(yè)網(wǎng)絡(luò)的主要安全隱患............................................................................................................3 2.2 企業(yè)網(wǎng)絡(luò)的安全誤區(qū)....................................................................................................................3 第三章

企業(yè)網(wǎng)絡(luò)總體設(shè)計(jì)方案.................................................................................................................5 3.1 公司背景..........................................................................................................................................5 3.2 企業(yè)網(wǎng)絡(luò)安全需求..........................................................................................................................5 3.3 需求分析..........................................................................................................................................5 3.4 企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)..................................................................................................................................6 3.5 企業(yè)IP地址的劃分........................................................................................................................9 第四章 企業(yè)網(wǎng)絡(luò)安全技術(shù)介紹...................................................................................................................9 4.1 Easy VPN..........................................................................................................................................9 4.1.1 什么是VPN..........................................................................................................................9 4.1.2 VPN 的分類........................................................................................................................10 4.1.3 Easy VPN.............................................................................................................................10 4.2 SSH.................................................................................................................................................11 4.2.1 SSH介紹..............................................................................................................................11 4.2.2 SSH與Telnet的區(qū)別..........................................................................................................11 4.3 AAA服務(wù)器...................................................................................................................................12 4.3.1 AAA介紹............................................................................................................................12 4.3.2 認(rèn)證(Authentication)...........................................................................................................12 4.3.3 授權(quán)(Authorization)............................................................................................................12 4.3.4 審計(jì)(Accounting)................................................................................................................13 4.4 IDS 入侵檢測(cè)系統(tǒng).....................................................................................................................13 4.5 firewall 防火墻...........................................................................................................................13 4.5.1 什么是防火墻.....................................................................................................................13 4.5.2 防火墻類型.........................................................................................................................14 第五章 企業(yè)網(wǎng)絡(luò)設(shè)備實(shí)施方案.................................................................................................................14 5.1 企業(yè)物理安全規(guī)劃......................................................................................................................14 5.2 設(shè)備選型........................................................................................................................................15 5.3 設(shè)備配置........................................................................................................................................16 5.3.1 交換機(jī).................................................................................................................................16 5.3.2 路由器與防火墻.................................................................................................................25 5.3.3 服務(wù)器.................................................................................................................................28 第六章 項(xiàng)目測(cè)試.........................................................................................................................................30 6.1 DHCP驗(yàn)證.....................................................................................................................................32 6.2 網(wǎng)絡(luò)連通性....................................................................................................................................35 6.3 網(wǎng)絡(luò)安全性....................................................................................................................................37 6.3.1 SSH與console的權(quán)限.......................................................................................................37 6.3.2 網(wǎng)絡(luò)連通安全性.................................................................................................................40 6.4 分公司與總公司安全性................................................................................................................42 總

結(jié)...........................................................................................................................................................45 致

謝...........................................................................................................................................................46 參考文獻(xiàn).......................................................................................................................................................47

III

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

IV

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

第一章 緒

論

1.1 網(wǎng)絡(luò)的起源

與很多人的想象相反，Internet并非某一完美計(jì)劃的結(jié)果，Internet的創(chuàng)始人也絕不會(huì)想到它能發(fā)展成目前的規(guī)模和影響。在Internet面世之初，沒有人能想到它會(huì)進(jìn)入千家萬戶，也沒有人能想到它的商業(yè)用途。

1969年12月，Internet的前身--美國(guó)的ARPA網(wǎng)（為了能在爆發(fā)核戰(zhàn)爭(zhēng)時(shí)保障通信聯(lián)絡(luò)，美國(guó)國(guó)防部高級(jí)研究計(jì)劃署ARPA資助建立了世界上第一個(gè)分組交換試驗(yàn)網(wǎng)ARPANET）投入運(yùn)行，它標(biāo)志著我們常稱的計(jì)算機(jī)網(wǎng)絡(luò)的興起。這個(gè)計(jì)算機(jī)互聯(lián)的網(wǎng)絡(luò)系統(tǒng)是一種分組交換網(wǎng)。分組交換技術(shù)使計(jì)算機(jī)網(wǎng)絡(luò)的概念、結(jié)構(gòu)和網(wǎng)絡(luò)設(shè)計(jì)方面都發(fā)生了根本性的變化，它為后來的計(jì)算機(jī)網(wǎng)絡(luò)打下了基礎(chǔ)。

八十年代初，隨著PC個(gè)人微機(jī)應(yīng)用的推廣，PC聯(lián)網(wǎng)的需求也隨之增大，各種基于PC互聯(lián)的微機(jī)局域網(wǎng)紛紛出臺(tái)。這個(gè)時(shí)期微機(jī)局域網(wǎng)系統(tǒng)的典型結(jié)構(gòu)是在共享介質(zhì)通信網(wǎng)平臺(tái)上的共享文件服務(wù)器結(jié)構(gòu)，即為所有聯(lián)網(wǎng)PC設(shè)置一臺(tái)專用的可共享的網(wǎng)絡(luò)文件服務(wù)器。PC是一臺(tái)“麻雀雖小，五臟俱全”的小計(jì)算機(jī)，每個(gè)PC機(jī)用戶的主要任務(wù)仍在自己的PC機(jī)上運(yùn)行，僅在需要訪問共享磁盤文件時(shí)才通過網(wǎng)絡(luò)訪問文件服務(wù)器，體現(xiàn)了計(jì)算機(jī)網(wǎng)絡(luò)中各計(jì)算機(jī)之間的協(xié)同工作。由于使用了較PSTN速率高得多的同軸電纜（費(fèi)用少，傳輸距離100米）、光纖等高速傳輸介質(zhì)，使PC網(wǎng)上訪問共享資源的速率和效率大大提高。這種基于文件服務(wù)器的微機(jī)網(wǎng)絡(luò)對(duì)網(wǎng)內(nèi)計(jì)算機(jī)進(jìn)行了分工：PC機(jī)面向用戶，微機(jī)服務(wù)器專用于提供共享文件資源。所以它實(shí)際上就是一種客戶機(jī)/服務(wù)器模式。

進(jìn)入九十年代，計(jì)算機(jī)技術(shù)、通信技術(shù)以及建立在計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)基礎(chǔ)上的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)得到了迅猛的發(fā)展。特別是1993年美國(guó)宣布建立國(guó)家信息基礎(chǔ)設(shè)施NII后，全世界許多國(guó)家紛紛制定和建立本國(guó)的NII，從而極大地推動(dòng)了計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，使計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)入了一個(gè)嶄新的階段。目前，全球以美國(guó)為核心的高速計(jì)算機(jī)互聯(lián)網(wǎng)絡(luò)即Internet已經(jīng)形成，Internet已經(jīng)成為人類最重要的、最大的知識(shí)寶庫(kù)。而美國(guó)政府又分別于1996年和1997年開始研究發(fā)展更加快速可靠的互聯(lián)網(wǎng)2（Internet 2）和下一代互聯(lián)網(wǎng)（Next Generation Internet）?？梢哉f，網(wǎng)絡(luò)互聯(lián)和高速計(jì)算機(jī)網(wǎng)絡(luò)正成為最新一代的計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展方向。

1.2網(wǎng)絡(luò)安全的重要性

隨著信息化技術(shù)的飛速發(fā)展，許多有遠(yuǎn)見的企業(yè)都認(rèn)識(shí)到依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營(yíng)平臺(tái)將極大地提升企業(yè)的核心競(jìng)爭(zhēng)力，使企業(yè)在殘酷的競(jìng)爭(zhēng)環(huán)境中脫穎而出。經(jīng)營(yíng)管理對(duì)

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng)，計(jì)算機(jī)應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對(duì)網(wǎng)絡(luò)安全提出了更高的要求。信息安全防范應(yīng)做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對(duì)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個(gè)動(dòng)態(tài)的過程，事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備，安全管理應(yīng)貫穿安全防范活動(dòng)的始終。

網(wǎng)絡(luò)安全問題伴隨著網(wǎng)絡(luò)的產(chǎn)生而產(chǎn)生，可以說，有網(wǎng)絡(luò)的地方就存在網(wǎng)絡(luò)安全隱患。像病毒入侵和黑客攻擊之類的網(wǎng)絡(luò)安全事件，目前主要是通過網(wǎng)絡(luò)進(jìn)行的，而且?guī)缀趺繒r(shí)每刻都在發(fā)生，遍及全球。除此之外，像惡意軟件入侵、攻擊，用戶的非法訪問和操作，用戶郵件的非法截取和更改等都是普遍存在的安全事實(shí)。網(wǎng)絡(luò)安全事件所帶來的危害，相信我們每個(gè)計(jì)算機(jī)用戶都或多或少地親身體驗(yàn)過一些：輕則使電腦系統(tǒng)運(yùn)行不正常，重則使整個(gè)計(jì)算機(jī)系統(tǒng)中的磁盤數(shù)據(jù)全部覆滅，甚至導(dǎo)致磁盤、計(jì)算機(jī)等硬件的損壞。

為了防范這些網(wǎng)絡(luò)安全事故的發(fā)生，每個(gè)計(jì)算機(jī)用戶，特別是企業(yè)網(wǎng)絡(luò)用戶，必須采取足夠的安全防范措施，甚至可以說要在利益均衡情況下不惜一切代價(jià)。但要注意，企業(yè)網(wǎng)絡(luò)安全策略的實(shí)施是一項(xiàng)系統(tǒng)工程，它涉及許多方面。因此既要充分考慮到那些平時(shí)經(jīng)常提及的外部網(wǎng)絡(luò)威脅，又要對(duì)來自內(nèi)部網(wǎng)絡(luò)和網(wǎng)絡(luò)管理本身所帶來的安全隱患有足夠的重視，不能孤立地看待任何一個(gè)安全隱患和安全措施。因?yàn)檫@些安全隱患爆發(fā)的途徑可以是多方面的，而許多安全措施都是相輔相成的。

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

第二章 企業(yè)網(wǎng)絡(luò)安全概述

2.1 企業(yè)網(wǎng)絡(luò)的主要安全隱患

現(xiàn)在網(wǎng)絡(luò)安全系統(tǒng)所要防范的不再僅是病毒感染，更多的是基于網(wǎng)絡(luò)的非法入侵、攻擊和訪問，由于企業(yè)在各地可能有不同公司，但是公司之間信息通過廣域網(wǎng)相連，所以信息很容易被黑客等截下。現(xiàn)如今企業(yè)網(wǎng)絡(luò)安全威脅的主要來源主要包括。

1)病毒、木馬和惡意軟件的入侵。2)網(wǎng)絡(luò)黑客的攻擊。

3)重要文件或郵件的非法竊取、訪問與操作。4)關(guān)鍵部門的非法訪問和敏感信息外泄。5)外網(wǎng)的非法入侵。

6)備份數(shù)據(jù)和存儲(chǔ)媒體的損壞、丟失。

針對(duì)這些安全隱患，所采取的安全策略可以通過安裝專業(yè)的網(wǎng)絡(luò)版病毒防護(hù)系統(tǒng)，同時(shí)也要加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全管理，配置好防火墻過濾策略和系統(tǒng)本身的各項(xiàng)安全措施，及時(shí)安裝系統(tǒng)安全補(bǔ)丁，本部與分部之間運(yùn)行VPN等防護(hù)通信信息的安全性，加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全管理，嚴(yán)格實(shí)行“最小權(quán)限”原則，為各個(gè)用戶配置好恰當(dāng)?shù)挠脩魴?quán)限；同時(shí)對(duì)一些敏感數(shù)據(jù)進(jìn)行加密保護(hù)，如財(cái)政部等要設(shè)立訪問權(quán)限；根據(jù)企業(yè)實(shí)際需要配置好相應(yīng)的數(shù)據(jù)策略，并按策略認(rèn)真執(zhí)行。

2.2 企業(yè)網(wǎng)絡(luò)的安全誤區(qū)

(一)安裝防火墻就安全了

防火墻主要工作都是控制存取與過濾封包，所以對(duì)DoS攻擊、非法存取與篡改封包等攻擊模式的防范極為有效，可以提供網(wǎng)絡(luò)周邊的安全防護(hù)。但如果攻擊行為不經(jīng)過防火墻，或是將應(yīng)用層的攻擊程序隱藏在正常的封包內(nèi)，便力不從心了，許多防火墻只是工作在網(wǎng)絡(luò)層。

防火墻的原理是“防外不防內(nèi)”，對(duì)內(nèi)部網(wǎng)絡(luò)的訪問不進(jìn)行任何阻撓，而事實(shí)上，企業(yè)網(wǎng)絡(luò)安全事件絕大部分還是源于企業(yè)內(nèi)部。

(二)安裝了最新的殺毒軟件就不怕病毒了

安裝殺毒軟件的目的是為了預(yù)防病毒的入侵和查殺系統(tǒng)中已感染的計(jì)算機(jī)病毒，但這并不能保證就沒有病毒入侵了，因?yàn)闅⒍拒浖闅⒛骋徊《镜哪芰偸菧笥谠摬《镜某霈F(xiàn)。

(三)在每臺(tái)計(jì)算機(jī)上安裝單機(jī)版殺毒軟件和網(wǎng)絡(luò)版殺毒軟件等效

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

網(wǎng)絡(luò)版殺毒軟件核心就是集中的網(wǎng)絡(luò)防毒系統(tǒng)管理。網(wǎng)絡(luò)版殺毒軟件可以在一臺(tái)服務(wù)器上通過安全中心控制整個(gè)網(wǎng)絡(luò)的客戶端殺毒軟件同步病毒查殺、監(jiān)控整個(gè)網(wǎng)絡(luò)的病毒。同時(shí)對(duì)于整個(gè)網(wǎng)絡(luò)，管理非常方便，對(duì)于單機(jī)版是不可能做到的。

(四)只要不上網(wǎng)就不會(huì)中毒

雖然不少病毒是通過網(wǎng)頁(yè)傳播的，但像QQ聊天接發(fā)郵件同樣是病毒傳播的主要途徑，而且盜版光盤以及U盤等也會(huì)存在著病毒。所以只要計(jì)算機(jī)開著，就要防范病毒。

(五)文件設(shè)置只讀就可以避免感染病毒

設(shè)置只讀只是調(diào)用系統(tǒng)的幾個(gè)命令，而病毒或黑客程序也可以做到這一點(diǎn)，設(shè)置只讀并不能有效防毒，不過在局域網(wǎng)中為了共享安全，放置誤刪除，還是比較有用的。

(六)網(wǎng)絡(luò)安全主要來自外部

基于內(nèi)部的網(wǎng)絡(luò)攻擊更加容易，不需要借助于其他的網(wǎng)絡(luò)連接方式，就可以直接在內(nèi)部網(wǎng)絡(luò)中實(shí)施攻擊。所以，加強(qiáng)內(nèi)部網(wǎng)絡(luò)安全管理，特別是用戶帳戶管理，如帳戶密碼、臨時(shí)帳戶、過期帳戶和權(quán)限等方面的管理非常必要了。

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

第三章

企業(yè)網(wǎng)絡(luò)總體設(shè)計(jì)方案

3.1 公司背景

公司北京總部有一棟大樓，員工人數(shù)大約800人，在全國(guó)設(shè)有4個(gè)分公司（上海、廣州、重慶和西安）?？偛颗c分公司利用當(dāng)?shù)氐腎SP連接。通過網(wǎng)絡(luò)安全方案設(shè)計(jì)，加固企業(yè)網(wǎng)絡(luò)，避免因?yàn)榘踩珕栴}導(dǎo)致的業(yè)務(wù)停滯；同時(shí)保證總部與分公司之間高安全、低成本的要求。公司對(duì)網(wǎng)絡(luò)的依賴性很強(qiáng)，主要業(yè)務(wù)都要涉及互聯(lián)網(wǎng)以及內(nèi)部網(wǎng)絡(luò)。面對(duì)對(duì)頻繁出現(xiàn)的黑客入侵和網(wǎng)絡(luò)故障，直接危害網(wǎng)絡(luò)的運(yùn)行和業(yè)務(wù)的正常開展。因此構(gòu)建健全的網(wǎng)絡(luò)安全體系是當(dāng)前的重中之重。

3.2 企業(yè)網(wǎng)絡(luò)安全需求

公司根據(jù)網(wǎng)絡(luò)需求，建設(shè)一個(gè)企業(yè)網(wǎng)絡(luò)，北京總部存儲(chǔ)主要機(jī)密信息在服務(wù)器中，有AAA服務(wù)器、內(nèi)部DNS服務(wù)器、FTP服務(wù)器、HTTP服務(wù)器。企業(yè)分經(jīng)理辦公室、財(cái)政部、市場(chǎng)部、軟件部、系統(tǒng)集成部以及外來接待廳，需要各部門隔開，同時(shí)除了經(jīng)理辦公室外其余不能訪問財(cái)政部，而接待廳不能訪問公司內(nèi)部網(wǎng)絡(luò)，只能連通外網(wǎng)。同時(shí)由于考慮到Inteneter的安全性，以及網(wǎng)絡(luò)安全等一些因素，如VPN、NAT等。因此本企業(yè)的網(wǎng)絡(luò)安全構(gòu)架要求如下：

（1）根據(jù)公司需求組建網(wǎng)絡(luò)（2）保證網(wǎng)絡(luò)的連通性（3）保護(hù)網(wǎng)絡(luò)信息的安全性

（4）防范網(wǎng)絡(luò)資源的非法訪問及非授權(quán)訪問（5）防范入侵者的惡意攻擊與破壞

（6）保護(hù)企業(yè)本部與分部之間通信信息的完整與安全性（7）防范病毒的侵害（8）實(shí)現(xiàn)網(wǎng)絡(luò)的安全管理。

3.3 需求分析

通過對(duì)公司的實(shí)際需求來規(guī)劃網(wǎng)絡(luò)設(shè)計(jì)，為公司的網(wǎng)絡(luò)安全建設(shè)實(shí)施網(wǎng)絡(luò)系統(tǒng)改造，提高企業(yè)網(wǎng)絡(luò)系統(tǒng)運(yùn)行的穩(wěn)定性，保證企業(yè)各種設(shè)計(jì)信息的安全性，避免圖紙、文檔的丟失和外泄。通過軟件或安全手段對(duì)客戶端的計(jì)算機(jī)加以保護(hù)，記錄用戶對(duì)客戶端計(jì)算機(jī)中關(guān)鍵目錄和文件的操作，使企業(yè)有手段對(duì)用戶在客戶端計(jì)算機(jī)的使用情況進(jìn)行追蹤，防范外來計(jì)算機(jī)的侵入而造成破壞。通過

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

網(wǎng)絡(luò)的改造，使管理者更加便于對(duì)網(wǎng)絡(luò)中的服務(wù)器、客戶端、登陸用戶的權(quán)限以及應(yīng)用軟件的安裝進(jìn)行全面的監(jiān)控和管理。因此需要

（1）構(gòu)建良好的環(huán)境確保企業(yè)物理設(shè)備的安全（2）IP地址域的劃分與管理（3）劃分VLAN控制內(nèi)網(wǎng)安全（4）安裝防火墻體系

（5）建立VPN(虛擬專用網(wǎng)絡(luò))確保數(shù)據(jù)安全（6）安裝防病毒服務(wù)器（7）加強(qiáng)企業(yè)對(duì)網(wǎng)絡(luò)資源的管理（8）做好訪問控制權(quán)限配置（9）做好對(duì)網(wǎng)絡(luò)設(shè)備訪問的權(quán)限

3.4 企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)

北京總公司網(wǎng)絡(luò)拓?fù)鋱D，如圖2-1所示:

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

服務(wù)器群IDS入侵檢測(cè)經(jīng)理辦公室匯聚交換機(jī)核心交換機(jī)接入交換機(jī)財(cái)務(wù)部匯聚交換機(jī)匯聚交換機(jī)防火墻接入交換機(jī)接入交換機(jī)接入交換機(jī)軟件部市場(chǎng)部系統(tǒng)集成部接待部

圖2-1 北京總部網(wǎng)絡(luò)結(jié)構(gòu)

分公司網(wǎng)絡(luò)拓?fù)?如圖2.2所示：

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

上海分公司廣州分公司重慶分公司西安分公司Internet廣域網(wǎng)Web服務(wù)器

圖2-2 公司分部網(wǎng)絡(luò)結(jié)構(gòu)

圖2.1與2.2通過防火墻相連，防火墻上做NAT轉(zhuǎn)換，Easy VPN等。核心交換機(jī)配置基于VLAN的DHCP，網(wǎng)絡(luò)設(shè)備僅僅只能由網(wǎng)絡(luò)管理員進(jìn)行遠(yuǎn)程控制，就算是Console控制也需要特定的密碼，外部分公司通過VPN連接能夠訪問北京總公司內(nèi)部網(wǎng)絡(luò)，北京總公司內(nèi)網(wǎng)中，接待廳網(wǎng)絡(luò)設(shè)備僅僅能訪問外部網(wǎng)絡(luò)，無法訪問公司內(nèi)網(wǎng)。

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

3.5 企業(yè)IP地址的劃分

由于是現(xiàn)實(shí)中，公網(wǎng)IP地址需要向ISP運(yùn)行商申請(qǐng)，而本解決方案是虛擬題，故公網(wǎng)IP為虛擬的，由于現(xiàn)如今IPv4地址及其短缺，而IPv6技術(shù)還不是很成熟，所以公司內(nèi)部使用私有地址網(wǎng)段，本著節(jié)省地址的原則，北京公司內(nèi)部一共有800左右終端，所以由192.168.0.0/22網(wǎng)絡(luò)段劃分。由于本課題重點(diǎn)為總公司內(nèi)部網(wǎng)絡(luò)安全，以及總公司與分公司之間連通性的網(wǎng)絡(luò)安全，所以分公司內(nèi)部沒有詳細(xì)化，所以分公司地址一律192.168.1.1/24網(wǎng)段，ip地址分配為一下：

總公司總網(wǎng)段：192.168.0.0/22

名稱 VLAN ID IPv4地址段 網(wǎng)關(guān)地址

經(jīng)理辦公室 10 192.168.3.192/26 192.168.3.193 財(cái)政部 20 192.168.3.128/26 192.168.3.129 軟件部 30 192.168.0.0/24 192.168.0.1 市場(chǎng)部 40 192.168.1.0/24 192.168.1.1 系統(tǒng)集成中心 50 192.168.2.0/24 192.168.2.1 參觀中心 60 192.168.3.0/25 192.168.3.1 網(wǎng)管中心 99 192.168.3.240/30 192.168.3.241 服務(wù)器集群 100 192.168.3.224/28 192.168.3.225 核心與路由器 無 192.168.3.244/30 路由器與防火墻 無 192.168.3.248/29 其他分公司 1 192.168.1.0/24 192.168.1.1

第四章 企業(yè)網(wǎng)絡(luò)安全技術(shù)介紹

4.1 Easy VPN 4.1.1 什么是VPN 虛擬專用網(wǎng)絡(luò)（Virtual Private Network，簡(jiǎn)稱VPN)指的是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)。其之所以稱為虛擬網(wǎng)，主要是因?yàn)檎麄€(gè)VPN網(wǎng)絡(luò)的任意兩個(gè)節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺(tái)，如Internet、ATM(異步傳

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

輸模式〉、Frame Relay（幀中繼）等之上的邏輯網(wǎng)絡(luò)，用戶數(shù)據(jù)在邏輯鏈路中傳輸。它涵蓋了跨共享網(wǎng)絡(luò)或公共網(wǎng)絡(luò)的封裝、加密和身份驗(yàn)證鏈接的專用網(wǎng)絡(luò)的擴(kuò)展。VPN主要采用了隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和使用者與設(shè)備身份認(rèn)證技術(shù)。

4.1.2 VPN 的分類

根據(jù)不同的劃分標(biāo)準(zhǔn)，VPN可以按幾個(gè)標(biāo)準(zhǔn)進(jìn)行分類劃分

1.按VPN的協(xié)議分類 VPN的隧道協(xié)議主要有三種，PPTP，L2TP和IPSec，其中PPTP和L2TP協(xié)議工作在OSI模型的第二層，又稱為二層隧道協(xié)議；IPSec是第三層隧道協(xié)議，也是最常見的協(xié)議。L2TP和IPSec配合使用是目前性能最好，應(yīng)用最廣泛的一種。

2.按VPN的應(yīng)用分類

1)Access VPN（遠(yuǎn)程接入VPN）：客戶端到網(wǎng)關(guān)，使用公網(wǎng)作為骨干網(wǎng)在設(shè)備之間傳輸VPN的數(shù)據(jù)流量。從PSTN、ISDN或PLMN接入。

2)Intranet VPN（內(nèi)聯(lián)網(wǎng)VPN）：網(wǎng)關(guān)到網(wǎng)關(guān)，通過公司的網(wǎng)絡(luò)架構(gòu)連接來自同公司的資源。

3)Extranet VPN（外聯(lián)網(wǎng)VPN）：與合作伙伴企業(yè)網(wǎng)構(gòu)成Extranet,將一個(gè)公司與另一個(gè)公司的資源進(jìn)行連接

3.按所用的設(shè)備類型進(jìn)行分類

網(wǎng)絡(luò)設(shè)備提供商針對(duì)不同客戶的需求，開發(fā)出不同的VPN網(wǎng)絡(luò)設(shè)備，主要為交換機(jī)，路由器，和防火墻

1）路由器式VPN：路由器式VPN部署較容易，只要在路由器上添加VPN服務(wù)即可 只支持簡(jiǎn)單的PPTP或IPSEC。

2）交換機(jī)式VPN：主要應(yīng)用于連接用戶較少的VPN網(wǎng)絡(luò)

3）防火墻式VPN：防火墻式VPN是最常見的一種VPN的實(shí)現(xiàn)方式，許多廠商都提供這種配置類型

4.1.3 Easy VPN easy VPN又名EzVPN，是Cisco專用VPN技術(shù)。它分為EASY VPN SERVER和EASY VPN REMOTE兩種，EASY VPN SERVER 是REMOT--ACCESS VPN專業(yè)設(shè)備。配置復(fù)雜，支持POLICY PUSHING等特性，此技術(shù)基于IPsec協(xié)議為基礎(chǔ)，擴(kuò)展的的cisco私有協(xié)議，支持遠(yuǎn)程登錄，并且根據(jù)自己的AAA的服務(wù)器去認(rèn)證其可靠性，如認(rèn)證通過，會(huì)為訪問者分配自己內(nèi)部IP地址，保證其訪問內(nèi)部信息。在Easy VPN連接成功后，對(duì)于ISP運(yùn)行商來說總公司與分公司數(shù)據(jù)的傳輸是透明的，就像拉了一根專線一樣，通過抓包等方式捕獲數(shù)據(jù)包會(huì)發(fā)現(xiàn)全為ESP數(shù)據(jù)，無法從數(shù)據(jù)包中獲得任何信息，由于其加密方式為HASH速算，根據(jù)其雪崩效應(yīng)想通過加密包算出真是數(shù)據(jù)的可能性幾乎為0，所以數(shù)據(jù)的傳輸上的安全性被大大地保證了。

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

4.2 SSH 4.2.1 SSH介紹

SSH 為 Secure Shell 的縮寫，由 IETF 的網(wǎng)絡(luò)工作小組（Network Working Group）所制定；SSH 為建立在應(yīng)用層和傳輸層基礎(chǔ)上的安全協(xié)議。

SSH 主要有三部分組成：

1）傳輸層協(xié)議 [SSH-TRANS]

提供了服務(wù)器認(rèn)證，保密性及完整性。此外它有時(shí)還提供壓縮功能。SSH-TRANS 通常運(yùn)行在 TCP/IP連接上，也可能用于其它可靠數(shù)據(jù)流上。SSH-TRANS 提供了強(qiáng)力的加密技術(shù)、密碼主機(jī)認(rèn)證及完整性保護(hù)。該協(xié)議中的認(rèn)證基于主機(jī)，并且該協(xié)議不執(zhí)行用戶認(rèn)證。更高層的用戶認(rèn)證協(xié)議可以設(shè)計(jì)為在此協(xié)議之上。

2）用戶認(rèn)證協(xié)議 [SSH-USERAUTH]

用于向服務(wù)器提供客戶端用戶鑒別功能。它運(yùn)行在傳輸層協(xié)議 SSH-TRANS 上面。當(dāng)SSH-USERAUTH 開始后，它從低層協(xié)議那里接收會(huì)話標(biāo)識(shí)符（從第一次密鑰交換中的交換哈希H）。會(huì)話標(biāo)識(shí)符唯一標(biāo)識(shí)此會(huì)話并且適用于標(biāo)記以證明私鑰的所有權(quán)。SSH-USERAUTH 也需要知道低層協(xié)議是否提供保密性保護(hù)。

3）連接協(xié)議 [SSH-CONNECT]

4.2.2 SSH與Telnet的區(qū)別

傳統(tǒng)的網(wǎng)絡(luò)服務(wù)程序，如：ftp、pop和telnet在本質(zhì)上都是不安全的，因?yàn)樗鼈冊(cè)诰W(wǎng)絡(luò)上用明文傳送口令和數(shù)據(jù)，別有用心的人非常容易就可以截獲這些口令和數(shù)據(jù)。而且，這些服務(wù)程序的安全驗(yàn)證方式也是有其弱點(diǎn)的，就是很容易受到“中間人”（man-in-the-middle）這種方式的攻擊。所謂“中間人”的攻擊方式，就是“中間人”冒充真正的服務(wù)器接收你傳給服務(wù)器的數(shù)據(jù)，然后再冒充你把數(shù)據(jù)傳給真正的服務(wù)器。服務(wù)器和你之間的數(shù)據(jù)傳送被“中間人”一轉(zhuǎn)手做了手腳之后，就會(huì)出現(xiàn)很嚴(yán)重的問題。

SSH是替代Telnet和其他遠(yuǎn)程控制臺(tái)管理應(yīng)用程序的行業(yè)標(biāo)準(zhǔn)。SSH命令是加密的并以幾種方式進(jìn)行保密。

在使用SSH的時(shí)候，一個(gè)數(shù)字證書將認(rèn)證客戶端(你的工作站)和服務(wù)器(你的網(wǎng)絡(luò)設(shè)備)之間的連接，并加密受保護(hù)的口令。SSH1使用RSA加密密鑰，SSH2使用數(shù)字簽名算法(DSA)密鑰保護(hù)連接和認(rèn)證。加密算法包括Blowfish，數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)，以及三重DES(3DES)。SSH保護(hù)并且有助于防止欺騙，“中間人”攻擊，以及數(shù)據(jù)包監(jiān)聽。

通過使用SSH，你可以把所有傳輸?shù)臄?shù)據(jù)進(jìn)行加密，這樣“中間人”這種攻擊方式就不可能實(shí)現(xiàn)了，而且也能夠防止DNS欺騙和IP欺騙。使用SSH，還有一個(gè)額外的好處就是傳輸?shù)臄?shù)據(jù)是經(jīng)過壓縮的，所以可以加快傳輸?shù)乃俣?。SSH有很多功能，它既可以代替Telnet，又可以為FTP、PoP、甚至為PPP提供一個(gè)安全的“通道”。

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

4.3 AAA服務(wù)器

4.3.1 AAA介紹

AAA是認(rèn)證、授權(quán)和記賬（Authentication、Authorization、Accounting）三個(gè)英文單詞的簡(jiǎn)稱。其主要目的是管理哪些用戶可以訪問網(wǎng)絡(luò)服務(wù)器，具有訪問權(quán)的用戶可以得到哪些服務(wù)，如何對(duì)正在使用網(wǎng)絡(luò)資源的用戶進(jìn)行記賬。具體為：

1、認(rèn)證(Authentication): 驗(yàn)證用戶是否可以獲得訪問權(quán)限；

2、授權(quán)(Authorization): 授權(quán)用戶可以使用哪些服務(wù)；

3、審計(jì)(Accounting): 記錄用戶使用網(wǎng)絡(luò)資源的情況。

4.3.2 認(rèn)證(Authentication)認(rèn)證負(fù)責(zé)在用戶訪問網(wǎng)絡(luò)或網(wǎng)絡(luò)服務(wù)器以前，對(duì)用戶進(jìn)行認(rèn)證。

如需配置AAA認(rèn)證，管理員可以創(chuàng)建一個(gè)命名的認(rèn)證列表，然后把這個(gè)列表應(yīng)用到各種接口上。這個(gè)方法列表可以定義所要執(zhí)行的認(rèn)證類型和他們的順序。管理員需要基于每個(gè)接口來應(yīng)用這些方法。然而，當(dāng)管理員沒有定義其他認(rèn)證方法是，cisco路由器和交換機(jī)上的所有接口都關(guān)聯(lián)了一個(gè)默認(rèn)的方法列表，名為Default。但管理員定義的方法列表會(huì)覆蓋默認(rèn)方法列表。

除了本地認(rèn)證、線路密碼的Enable認(rèn)證以外，其他所有的認(rèn)證方法都需要使用AAA。

4.3.3 授權(quán)(Authorization)授權(quán)為遠(yuǎn)程訪問控制提供了方法。這里所說的遠(yuǎn)程訪問控制包括一次性授權(quán)，或者基于每個(gè)用戶賬號(hào)列表或用戶組為每個(gè)服務(wù)進(jìn)行授權(quán)。

交換機(jī)或路由器上的AAA授權(quán)是通過連接一個(gè)通用的集中式數(shù)據(jù)庫(kù)，并訪問其中的一系列屬性來工作的，這些說性描述了網(wǎng)絡(luò)用戶的授權(quán)服務(wù)，比如訪問網(wǎng)絡(luò)中的不同部分。交換機(jī)或路由器會(huì)向服務(wù)器詢問用戶真實(shí)的能力和限制，集中式服務(wù)器向其返回授權(quán)結(jié)果，告知用戶所能夠使用的服務(wù)。這個(gè)數(shù)據(jù)庫(kù)通常是位于中心位置的服務(wù)器，比如RADIUS或者TACACS+安全服務(wù)器。但管理員也可以使用本地?cái)?shù)據(jù)庫(kù)。遠(yuǎn)程安全服務(wù)器（比如RADIUS和TACACS+）通過把用戶與相應(yīng)的AVP（屬性值對(duì)）相關(guān)聯(lián)，來收與用戶具體的權(quán)限。RADIUS和TACACS+把這些AVP配置應(yīng)用給用戶或者用戶組。每個(gè)AVP由一個(gè)類型識(shí)別符和一個(gè)或多個(gè)分配給它的值組成。AVP在用戶配置文件（User Profile）和組配置文件（Group Profile）中指定的AVP，為相應(yīng)的用戶和組定義了認(rèn)證和授權(quán)特性。

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

4.3.4 審計(jì)(Accounting)審計(jì)為收集和發(fā)送安全服務(wù)器信息提供了方法，這些信息可以用于計(jì)費(fèi)（billing）、查賬（auditing）和報(bào)告（reporting）。這類信息包括用戶身份、網(wǎng)絡(luò)訪問開始和結(jié)束的時(shí)間、執(zhí)行過的命令（比如PPP）、數(shù)據(jù)包的數(shù)量和字節(jié)數(shù)量。這些信息是交換機(jī)和路由器能夠檢測(cè)登錄的用戶，從而對(duì)于查賬和增強(qiáng)安全性有很大幫助。

在很多環(huán)境中，AAA都會(huì)使用多種協(xié)議來管理其安全功能，比如RADIUS、TACACS+或者802.1x。如果網(wǎng)絡(luò)中的交換機(jī)充當(dāng)網(wǎng)絡(luò)接入服務(wù)器角色，那么AAA就是網(wǎng)絡(luò)訪問服務(wù)器與RADIUS、TACACS+或者802.1x安全服務(wù)器之間建立連接的方法。

AAA是動(dòng)態(tài)配置的，它允許管理員基于每條線路（每個(gè)用戶）或者每個(gè)服務(wù)（比如IP、IPX或VPDN[虛擬私有撥號(hào)網(wǎng)絡(luò)]）來配置認(rèn)證和授權(quán)。管理員先要?jiǎng)?chuàng)建方法列表，然后把這些方法列表應(yīng)用到指定的服務(wù)或接口上，以針對(duì)每條線路或每個(gè)用戶進(jìn)行運(yùn)作。

4.4 IDS 入侵檢測(cè)系統(tǒng)

由于Cisco packet Tracer 5.3無法模擬IDS設(shè)備，又由于IDS在實(shí)際企業(yè)網(wǎng)絡(luò)中作用很大，所以在拓?fù)鋱D中將其設(shè)計(jì)進(jìn)去，在這里做一些基本介紹。

IDS是英文“Intrusion Detection Systems”的縮寫，中文意思是“入侵檢測(cè)系統(tǒng)”。專業(yè)上講就是依照一定的安全策略，通過軟、硬件，對(duì)網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。做一個(gè)形象的比喻：假如防火墻是一幢大樓的門鎖，那么IDS就是這幢大樓里的監(jiān)視系統(tǒng)。一旦小偷爬窗進(jìn)入大樓，或內(nèi)部人員有越界行為，只有實(shí)時(shí)監(jiān)視系統(tǒng)才能發(fā)現(xiàn)情況并發(fā)出警告。

入侵檢測(cè)可分為實(shí)時(shí)入侵檢測(cè)和事后入侵檢測(cè)兩種。

實(shí)時(shí)入侵檢測(cè)在網(wǎng)絡(luò)連接過程中進(jìn)行，系統(tǒng)根據(jù)用戶的歷史行為模型、存儲(chǔ)在計(jì)算機(jī)中的專家知識(shí)以及神經(jīng)網(wǎng)絡(luò)模型對(duì)用戶當(dāng)前的操作進(jìn)行判斷，一旦發(fā)現(xiàn)入侵跡象立即斷開入侵者與主機(jī)的連接，并收集證據(jù)和實(shí)施數(shù)據(jù)恢復(fù)。這個(gè)檢測(cè)過程是不斷循環(huán)進(jìn)行的。

事后入侵檢測(cè)則是由具有網(wǎng)絡(luò)安全專業(yè)知識(shí)的網(wǎng)絡(luò)管理人員來進(jìn)行的，是管理員定期或不定期進(jìn)行的，不具有實(shí)時(shí)性，因此防御入侵的能力不如實(shí)時(shí)入侵檢測(cè)系統(tǒng)。

4.5 firewall 防火墻

4.5.1 什么是防火墻

所謂防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障.是一種獲取安全性方法的形象說法，它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個(gè)安全網(wǎng)關(guān)（Security Gateway），從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問規(guī)則、驗(yàn)證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成，防火墻就是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件或硬件。該計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信和數(shù)據(jù)包均要經(jīng)過此防火墻。

在網(wǎng)絡(luò)中，所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如Internet)分開的方法，它實(shí)際

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

上是一種隔離技術(shù)。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時(shí)將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)。換句話說，如果不通過防火墻，公司內(nèi)部的人就無法訪問Internet，Internet上的人也無法和公司內(nèi)部的人進(jìn)行通信。

4.5.2 防火墻類型

主要有2中，網(wǎng)絡(luò)防火墻和應(yīng)用防火墻。

1）網(wǎng)絡(luò)層防火墻

網(wǎng)絡(luò)層防火墻可視為一種 IP 封包過濾器，運(yùn)作在底層的 TCP/IP 協(xié)議堆棧上。我們可以以枚舉的方式，只允許符合特定規(guī)則的封包通過，其余的一概禁止穿越防火墻（病毒除外，防火墻不能防止病毒侵入）。這些規(guī)則通常可以經(jīng)由管理員定義或修改，不過某些防火墻設(shè)備可能只能套用內(nèi)置的規(guī)則。

我們也能以另一種較寬松的角度來制定防火墻規(guī)則，只要封包不符合任何一項(xiàng)“否定規(guī)則”就予以放行?，F(xiàn)在的操作系統(tǒng)及網(wǎng)絡(luò)設(shè)備大多已內(nèi)置防火墻功能。

較新的防火墻能利用封包的多樣屬性來進(jìn)行過濾，例如：來源 IP 地址、來源端口號(hào)、目的 IP 地址或端口號(hào)、服務(wù)類型(如 004km.cn hostname SWc!enable password cisco！ip dhcp excluded-address 192.168.0.1 DHCPip dhcp excluded-address 192.168.3.129 ip dhcp excluded-address 192.168.3.1 ip dhcp excluded-address 192.168.1.1 ip dhcp excluded-address 192.168.2.1 ip dhcp excluded-address 192.168.3.193!ip dhcp pool vlan30 network 192.168.0.0 255.255.255.0 default-router 192.168.0.1 dns-server 192.168.3.227 DNSip dhcp pool vlan40 network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 dns-server 192.168.3.227 ip dhcp pool vlan50 network 192.168.2.0 255.255.255.0 default-router 192.168.2.1 dns-server 192.168.3.227 ip dhcp pool vlan10

設(shè)置交換機(jī)域名，與SSH驗(yàn)證有關(guān)用戶登入特權(quán)模式密碼 在分配時(shí)排除該IP地址 這些地址為網(wǎng)段的網(wǎng)關(guān)地址 開啟一個(gè)DHCP地址池 分配的網(wǎng)絡(luò)段 默認(rèn)網(wǎng)關(guān)IP地址 地址 21

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

network 192.168.3.192 255.255.255.224 default-router 192.168.3.193 dns-server 192.168.3.227 ip dhcp pool vlan60 network 192.168.3.0 255.255.255.128 default-router 192.168.3.1 dns-server 192.168.3.227 ip dhcp pool vlan20 network 192.168.3.128 255.255.255.192 default-router 192.168.3.129 dns-server 192.168.3.227 ip routing 開啟路由功能，這條很重，不然無法啟動(dòng)路由協(xié)議等！username beijiangong password 0 cisco 設(shè)置遠(yuǎn)程登錄時(shí)用戶名與密碼！interface FastEthernet0/1 switchport access vlan 100 switchport mode access!interface FastEthernet0/2 switchport trunk encapsulation dot1q 配置trunk的封裝格式 switchport mode trunk!interface FastEthernet0/3 switchport trunk encapsulation dot1q switchport mode trunk!interface FastEthernet0/4 switchport trunk encapsulation dot1q switchport mode trunk!interface FastEthernet0/5 no switchport 啟動(dòng)3層接口

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

ip address 192.168.3.245 255.255.255.252 duplex auto 自動(dòng)協(xié)商雙工 speed auto 自動(dòng)協(xié)商速率!interface FastEthernet0/6 switchport access vlan 99！interface Vlan1 no ip address shutdown!interface Vlan10 ip address 192.168.3.193 255.255.255.224!interface Vlan20 ip address 192.168.3.129 255.255.255.192 ip access-group 20 out 在此接口的出方向啟動(dòng)acl 20!interface Vlan30 ip address 192.168.0.1 255.255.255.0!interface Vlan40 ip address 192.168.1.1 255.255.255.0!interface Vlan50 ip address 192.168.2.1 255.255.255.0!interface Vlan60 ip address 192.168.3.1 255.255.255.128 ip access-group 101 out 在此接口的出方向啟動(dòng)acl 101!interface Vlan99

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

ip address 192.168.3.241 255.255.255.252!interface Vlan100 ip address 192.168.3.230 255.255.255.240!router ospf 10 啟動(dòng)OSPF 進(jìn)程號(hào)為10 router-id 1.1.1.1 為本設(shè)備配置ID標(biāo)示符 log-adjacency-changes 開啟系統(tǒng)日志關(guān)于ospf變化 network 192.168.3.245 0.0.0.0 area 0 宣告網(wǎng)絡(luò)，與其區(qū)域 network 192.168.3.193 0.0.0.0 area 1 network 192.168.3.129 0.0.0.0 area 1 network 192.168.0.1 0.0.0.0 area 2 network 192.168.1.1 0.0.0.0 area 2 network 192.168.2.1 0.0.0.0 area 3 network 192.168.3.1 0.0.0.0 area 3 network 192.168.3.230 0.0.0.0 area 4 network 192.168.3.241 0.0.0.0 area 5!ip classless！access-list 10 permit host 192.168.3.242 acl 10 允許該主機(jī)地址 access-list 20 deny 192.168.0.0 0.0.0.255 acl 20 拒絕該網(wǎng)段 access-list 20 deny 192.168.1.0 0.0.0.255 access-list 20 deny 192.168.2.0 0.0.0.255 access-list 20 deny 192.168.3.0 0.0.0.255 access-list 101 deny ip 192.168.3.0 0.0.0.127 192.168.0.0 0.0.3.255（擴(kuò)展acl 101 拒絕該網(wǎng)段的ip協(xié)議去訪問192.168.0.0/22網(wǎng)段）access-list 101 permit ip any any 允許所有ip協(xié)議的任何源目訪問!crypto key generate rsa 設(shè)置SSH的加密算法為rsa（隱藏命令，在show run中看不到！!

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

line con 0 password cisco 設(shè)置console密碼

line vty 0 4 進(jìn)入vty接口 默認(rèn)登入人數(shù)為5 access-class 10 in 在該接口入方向啟動(dòng)acl 10 password cisco 密碼為cisco login local 登入方式為本地認(rèn)證 transport input ssh 更改登錄方式為SSH！end 5.3.2 路由器與防火墻

R1： hostname r1!enable password cisco！username beijiangong password 0 cisco!interface FastEthernet0/0 ip address 192.168.3.246 255.255.255.252 duplex auto speed auto!interface FastEthernet0/1 ip address 192.168.3.249 255.255.255.248 duplex auto speed auto!router ospf 10 router-id 2.2.2.2 log-adjacency-changes network 192.168.3.246 0.0.0.0 area 0

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

network 192.168.3.249 0.0.0.0 area 6!ip classless！access-list 10 permit host 192.168.3.242!no cdp run!line con 0 password cisco line vty 0 4 access-class 10 in password cisco login local！!end Firewall: hostname ASA!enable password cisco!aaa new-model 開啟AAA功能!aaa authentication login eza group radius 啟動(dòng)認(rèn)證登錄組名為eza分類為radius!

aaa authorization network ezo group radius啟動(dòng)授權(quán)組名為eza分類為radius!username beijiangong password 0 cisco!crypto isakmp policy 10 設(shè)置加密密鑰策略 encr 3des 啟動(dòng)3重加密算法 hash md5 啟動(dòng)MD5認(rèn)證 authentication pre-share 認(rèn)證方式為共享 group 2 優(yōu)先級(jí)組別為2!crypto isakmp client configuration group myez 設(shè)置密鑰客戶端等級(jí)組 key 123 為等級(jí)組設(shè)置密碼

pool ez 為客戶分配內(nèi)部IP地址池!

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

crypto ipsec transform-set tim esp-3des esp-md5-hmac 傳輸隧道封裝類型!crypto dynamic-map ezmap 10 進(jìn)入隧道封裝策略模式

set transform-set tim 調(diào)用上面設(shè)置的封裝組tim reverse-route 開啟vpn的反向路由!crypto map tom client authentication list eza 加密組tom的客戶認(rèn)證調(diào)用上面的eza組

crypto map tom isakmp authorization list ezo 加密組tom的密鑰授權(quán)管理方式調(diào)用上面的eza組

crypto map tom client configuration address respond 加密組tom為客戶分配IP地址

crypto map tom 10 ipsec-isakmp dynamic ezmap 加密組tom調(diào)用隧道加密格式名稱為ezmap!interface FastEthernet0/0 ip address 192.168.3.250 255.255.255.248 ip nat inside duplex auto speed auto!interface FastEthernet0/1 no ip address duplex auto speed auto shutdown!interface Serial0/2/0 ip address 100.1.1.1 255.255.255.0 ip nat outside crypto map tom!interface Serial0/3/0 no ip address shutdown!interface Vlan1 no ip address shutdown!router ospf 10 router-id 3.3.3.3 log-adjacency-changes network 192.168.3.250 0.0.0.0 area 6 default-information originate 向其他ospf鄰居宣告默認(rèn)路由!ip local pool ez 192.168.3.251 192.168.3.254 配置VPN登入進(jìn)來后分配的IP地址池

ip nat inside source list 1 interface Serial0/2/0 overload 設(shè)置動(dòng)態(tài)NAT將acl 1的地址轉(zhuǎn)化為s0/2/0并多路復(fù)用 ip classless ip route 0.0.0.0 0.0.0.0 Serial0/2/0 默認(rèn)路由 都走s0/2/0

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

！access-list 1 permit 192.168.0.0 0.0.3.255 access-list 10 permit host 192.168.3.242!no cdp run 關(guān)閉鄰居發(fā)現(xiàn)協(xié)議！radius-server host 192.168.3.225 auth-port 1645 key 123 指定AAA服務(wù)器地址與Easy VPN 端口號(hào)以及對(duì)應(yīng)密鑰!line con 0 password cisco login line vty 0 4 access-class 10 in password cisco login local!End

5.3.3 服務(wù)器

AAA服務(wù)器配置：

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

HTTP服務(wù)器：

DNS服務(wù)器：

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

第六章 項(xiàng)目測(cè)試

Packet Tracer 模擬器實(shí)驗(yàn)拓?fù)鋱D

所有設(shè)備的用戶名為：beijiangong 密碼：cisco

VPN 登錄配置： 組名：beijiangong Key:123 服務(wù)器IP：100.1.1.1 用戶名：123 密碼：123

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

北京總公司 圖A

分公司以及ISP網(wǎng)絡(luò) 圖B

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

6.1 DHCP驗(yàn)證

北京總公司內(nèi)網(wǎng)所有設(shè)備都是通過DHCP獲取的IP地址，但是不同VLAN所獲得的IP地址段是不同的，驗(yàn)證其在不同VLAN下是否獲得正確的IP地址、網(wǎng)關(guān)、掩碼和DNS。

1）經(jīng)理辦公室 VLAN 10 配置方法，首先在Packet Tracer下，點(diǎn)擊相應(yīng)的PC，如圖6-1-1

圖6-1-1 點(diǎn)擊左上角第一欄，ip Configuration 進(jìn)入IP地址配置畫面 如圖6-1-2

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

IP地址配置畫面 圖6-1-2

點(diǎn)擊DHCP，獲取IP地址，等待1-2S后查看結(jié)果 如圖6-1-3

圖6-1-3 根據(jù)提示可以看出獲得了正確的IP地址。

2）財(cái)政部 VLAN 20 如圖6-1-4

圖6-1-4

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

3）軟件部 VLAN 30 如圖6-1-5

圖6-1-5 4）市場(chǎng)部 VLAN 40 如圖 6-1-6

圖6-1-6 5）系統(tǒng)集成部 VLAN 50 如圖6-1-7

圖6-1-7

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

6)參觀中心 VLAN 60 如圖 6-1-8

圖6-1-8

6.2 網(wǎng)絡(luò)連通性

建立好網(wǎng)絡(luò)后，最重要的一點(diǎn)就是網(wǎng)絡(luò)連通性，根據(jù)公司需求，內(nèi)部計(jì)算機(jī)獲得自己IP地址，自己的DNS服務(wù)器與網(wǎng)關(guān)，那應(yīng)該可以去訪問外網(wǎng)服務(wù)器，以達(dá)到訪問公網(wǎng)的目的。

1）隨便開啟一臺(tái)PC機(jī)，如經(jīng)理辦公室PC 圖6-2-1

圖6-2-1 點(diǎn)擊Command prompt 進(jìn)入其電腦的CMD命令格式

圖6-2-2

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

圖6-2-2

輸入ping 命令，在虛擬網(wǎng)絡(luò)中，如圖Ａ 運(yùn)行商IP地址為100.1.1.2 所以先ping運(yùn)行商網(wǎng)關(guān)。在命令行中輸入ping 100.1.1.2，可能第一個(gè)包會(huì)因?yàn)锳RP的關(guān)系而丟失，但是后續(xù)會(huì)很穩(wěn)定。如圖6-2-3

圖6-2-3

2）檢查網(wǎng)絡(luò)內(nèi)部DNS的正確性

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

打開PC機(jī)瀏覽器，如下圖所示6-2-4

圖6-2-4 如圖B所示，在公網(wǎng)中，有一個(gè)百度的服務(wù)器，域名為004km.cn 通過瀏覽器訪問百度看是否成功。如圖6-2-5

圖6-2-5 如圖所示，訪問成功，表示公司內(nèi)部網(wǎng)絡(luò)連通性已經(jīng)保證暢通。

6.3 網(wǎng)絡(luò)安全性

在保證了連通性的基礎(chǔ)上，驗(yàn)證其安全性

6.3.1 SSH 與console的權(quán)限

在設(shè)備安裝完畢后，公司內(nèi)部不可能派專門的保安去看護(hù)，所以網(wǎng)絡(luò)設(shè)備的安全就需要有所保證，不能讓人們輕易的進(jìn)入其配置模式，輕易的去更改配置，所以要設(shè)置用戶名密碼。如圖6-3-1所示，一臺(tái)PC需要console核心交換機(jī)

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

圖6-3-1 如圖6-2-7所示，需要點(diǎn)擊下圖所示單元進(jìn)入console連接模式

圖6-3-2 選好會(huì)話數(shù)，速率等基本參數(shù)后點(diǎn)擊OK連接設(shè)備的控制臺(tái) 如圖6-3-3

圖6-3-3

發(fā)現(xiàn)需要輸入用戶名密碼，否側(cè)無法進(jìn)入控制界面，輸入用戶名密碼后進(jìn)入用戶模式，進(jìn)入特權(quán)模式需要輸入特權(quán)密碼，輸入正確用戶名密碼后才能進(jìn)入。如圖6-3-4

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

圖6-3-4

當(dāng)然console的限制很大，有監(jiān)控設(shè)備，與機(jī)柜鎖，能夠最大限度的保證其安全性，所以console的安全性問題不是很大，而telnet 的控制起來就需要用策略來限制了。

如果想telnet設(shè)備需要知道其設(shè)備上的IP地址，而本公司DHCP中的網(wǎng)關(guān)地址基本都是在核心上，所以設(shè)備上的IP地址基本誰都知道，而核心設(shè)備僅僅需要網(wǎng)絡(luò)管理員去管理，所以加了acl去選擇telnet 的對(duì)象。而在加密方面我選擇了SSH而不是非加密的Telnet.如圖所示，僅有網(wǎng)絡(luò)管理員才能ssh設(shè)備，其他員工無法ssh設(shè)備。這是管理員ssh的效果，輸入正確的用戶名密碼后，進(jìn)入其配置界面。如圖6-3-5

圖6-2-10 這是其他設(shè)備ssh的效果，無論嘗試幾個(gè)設(shè)備上的地址都被拒絕了，這樣就能保證設(shè)備控制的安全性。雖然能夠訪問其地址，但是無法取得其TCP端口號(hào)22的訪問權(quán) 如圖6-3-6

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

圖6-3-6

6.3.2 網(wǎng)絡(luò)連通安全性

在一個(gè)公司內(nèi)部，雖然大家共享上網(wǎng)資源，但是各部門之間的資料還是有一些機(jī)密的，特別是財(cái)政部，一個(gè)公司財(cái)政信息都是很機(jī)密的，所以不希望其他公司內(nèi)部Pc能夠連通到此部門，所以也要通過acl去限制，去隔離一些區(qū)域。

財(cái)政部IP 192.168.3.130 軟件部IP 192.168.0.2 市場(chǎng)部IP 192.168.1.2

正常情況下，三個(gè)部門是可以正常ping通的，但是財(cái)政部的安全性，所以其他2個(gè)部門無法訪問財(cái)政部，但是可以互相訪問。

如圖6-3-7所示，軟件部無法訪問財(cái)政部，但是可以訪問市場(chǎng)部

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

圖6-3-7 這樣就保證了財(cái)政部的獨(dú)立性，保證了其安全，由于公司內(nèi)部需要有客人訪問，而客人往往需要上網(wǎng)，所以需要控制其上網(wǎng)行為，如果有惡意行為，盜取公司其他部門資料，那也會(huì)造成嚴(yán)重的損失，所以，要保證其在公司參觀中心上網(wǎng)，只能訪問外網(wǎng)，不能訪問公司內(nèi)部其他主機(jī)。

如圖6-3-8所示，參觀中心的終端能夠訪問外網(wǎng)百度服務(wù)器，但是無法訪問內(nèi)部市場(chǎng)部PC設(shè)備。

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

圖6-3-8

6.4 分公司與總公司安全性

由于分公司之間通過ISP與總公司通信，所以數(shù)據(jù)通信需要安全性，在這里我選擇了EASY VPN，由于各分公司內(nèi)部全部使用私網(wǎng)地址，所以無法與總公司內(nèi)部通信，因?yàn)樗骄W(wǎng)地址無法宣告到公網(wǎng)中，而通過easy vpn連接后，本部通過給客戶分配總公司自己的私網(wǎng)地址，使其能夠訪問公司內(nèi)部，而通信過程中數(shù)據(jù)時(shí)加密的，無法竊取，保證了其安全性。

如圖6-4-1連接easy vpn首先要在客戶端PC打開VPN連接。

圖6-4-1 在這里設(shè)置好用戶組、用戶名、總公司的公網(wǎng)地址以及密碼后連接VPN 如圖6-4-2

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

圖6-4-2 連接后需要等2-3秒，即連接成功，而且顯示被分配的IP地址 如圖6-4-3

圖6-4-3

進(jìn)行Ping命令就可以訪問北京總部的內(nèi)網(wǎng)地址終端了。如圖6-4-4

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

圖6-4-4 這樣網(wǎng)絡(luò)的安全性就得到了很大的提升。

XXXXXXXXXX計(jì)算機(jī)專業(yè)畢業(yè)設(shè)計(jì)

總

結(jié)

隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全逐漸成為一個(gè)潛在的巨大問題。網(wǎng)絡(luò)安全性是一個(gè)涉及面很廣泛的問題，其中也會(huì)涉及到是否構(gòu)成犯罪行為的問題。在其最簡(jiǎn)單的形式中，它主要關(guān)心的是確保無關(guān)人員不能讀取，更不能修改傳送給其他接收者的信息。此時(shí)，它關(guān)心的對(duì)象是那些無權(quán)使用，但卻試圖獲得遠(yuǎn)程服務(wù)的人。安全性也處理合法消息被截獲和重播的問題，以及發(fā)送者是否曾發(fā)送過該條消息的問題。

本論文從企業(yè)角度描述了網(wǎng)絡(luò)安全的解決方案，目的在于為用戶提供信息的保密，認(rèn)證和完整性保護(hù)機(jī)制，使網(wǎng)絡(luò)中的服務(wù)，數(shù)據(jù)以及系統(tǒng)免受侵?jǐn)_和破壞。比如防火墻，認(rèn)證，加密技術(shù)等都是當(dāng)今常用的方法，本論文從這些方法入手深入研究各個(gè)方面的網(wǎng)絡(luò)安全問題的解決，可以使讀者有對(duì)網(wǎng)絡(luò)安全技術(shù)的更深刻的了解。

在本方案設(shè)計(jì)之初，我對(duì)網(wǎng)絡(luò)安全的理解還是很淺，包括到了現(xiàn)在我對(duì)它的還是只有一點(diǎn)點(diǎn)的認(rèn)知，但是通過這次設(shè)計(jì)，讓我對(duì)網(wǎng)絡(luò)安全產(chǎn)生了很濃厚的興趣，很高興能夠選到這個(gè)課題，但這只是一次虛擬題，希望以后有機(jī)會(huì)在工作中能夠得到真實(shí)的項(xiàng)目去完成網(wǎng)絡(luò)安全的設(shè)計(jì)方案，但是，路還很長(zhǎng)，需要學(xué)習(xí)的知識(shí)還很多，但是有興趣才是王道。

第三篇：電子政務(wù)網(wǎng)絡(luò)安全解決方案

電子政務(wù)網(wǎng)絡(luò)安全解決方案

電子政務(wù)網(wǎng)絡(luò)安全概述

以Internet為代表的全球性信息化浪潮日益深刻，信息網(wǎng)絡(luò)技術(shù)的應(yīng)用正日益普及和廣泛，應(yīng)用層次正在深入，應(yīng)用領(lǐng)域從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展，典型的如行政部門業(yè)務(wù)系統(tǒng)、金融業(yè)務(wù)系統(tǒng)、政府機(jī)關(guān)商務(wù)系統(tǒng)等。伴隨網(wǎng)絡(luò)的普及，安全日益成為影響網(wǎng)絡(luò)效能的重要問題，而Internet所具有的開放性、國(guó)際性和自由性在增加應(yīng)用自由度的同時(shí)，對(duì)安全提出了更高的要求。如何使信息網(wǎng)絡(luò)系統(tǒng)不受黑客和工業(yè)間諜的入侵，已成為政府機(jī)構(gòu)、企事業(yè)單位信息化健康發(fā)展所要考慮的重要事情之一。

網(wǎng)絡(luò)規(guī)劃

各級(jí)網(wǎng)絡(luò)

利用現(xiàn)有線路及網(wǎng)絡(luò)進(jìn)行完善擴(kuò)充，建成互聯(lián)互通、標(biāo)準(zhǔn)統(tǒng)一、結(jié)構(gòu)簡(jiǎn)單、功能完善、安全可靠、高速實(shí)用、先進(jìn)穩(wěn)定的級(jí)別分明卻又統(tǒng)一的網(wǎng)絡(luò)。數(shù)據(jù)中心

建設(shè)集中的數(shù)據(jù)中心，對(duì)所有的信息資源、空間、信用等數(shù)據(jù)進(jìn)行集中存放、集中管理。為省及各市部門、單位的關(guān)鍵應(yīng)用及關(guān)鍵設(shè)施提供機(jī)房、安全管理與維護(hù)。網(wǎng)絡(luò)總體結(jié)構(gòu)

政府機(jī)構(gòu)從事的行業(yè)性質(zhì)是跟國(guó)家緊密聯(lián)系的，所涉及信息可以說都帶有機(jī)密性，所以其信息安全問題，如敏感信息的泄露、黑客的侵?jǐn)_、網(wǎng)絡(luò)資源的非法使用以及計(jì)算機(jī)病毒等。都將對(duì)政府機(jī)構(gòu)信息安全構(gòu)成威脅。為保證政府網(wǎng)絡(luò)系統(tǒng)的安全，有必要對(duì)其網(wǎng)絡(luò)進(jìn)行專門安全設(shè)計(jì)。

所謂電子政務(wù)就是政府機(jī)構(gòu)運(yùn)用現(xiàn)代計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)，將其管理和服務(wù)的職能轉(zhuǎn)移到網(wǎng)絡(luò)上完成，同時(shí)實(shí)現(xiàn)政府組織結(jié)構(gòu)和工作流程的重組優(yōu)化，超越時(shí)間、空間和部門分隔的制約，向全社會(huì)提供高效、優(yōu)質(zhì)、規(guī)范、透明和全方位的管理與服務(wù)。

實(shí)現(xiàn)電子政務(wù)的意義在于突破了傳統(tǒng)的工業(yè)時(shí)代“一站式”的政府辦公模式，建立了適應(yīng)網(wǎng)絡(luò)時(shí)代的“一網(wǎng)式”和“一表式”的新模式，開辟了推動(dòng)社會(huì)信息化的新途徑，創(chuàng)造了政府實(shí)施產(chǎn)業(yè)政策的新手段。電子政務(wù)的出現(xiàn)有利于政府轉(zhuǎn)變職能，提高運(yùn)作效率。

圖示：原有電子政務(wù)網(wǎng)絡(luò)情況

電子政務(wù)網(wǎng)絡(luò)的應(yīng)用系統(tǒng)和網(wǎng)絡(luò)連接方式多樣，由于網(wǎng)絡(luò)本身及應(yīng)用系統(tǒng)的復(fù)雜性，無論是有意的攻擊，還是無意的誤操作，都將會(huì)給系統(tǒng)帶來不可估量的損失。非法進(jìn)入的攻擊者可能竊聽網(wǎng)絡(luò)上的信息、竊取用戶的口令、數(shù)據(jù)庫(kù)的信息；還可以篡改數(shù)據(jù)庫(kù)內(nèi)容、偽造用戶身份、否認(rèn)自己的簽名；更有甚者，攻擊者可以刪除數(shù)據(jù)庫(kù)內(nèi)容、摧毀網(wǎng)絡(luò)節(jié)點(diǎn)等等。

因此在電子政務(wù)網(wǎng)絡(luò)的建設(shè)中，構(gòu)建網(wǎng)絡(luò)安全系統(tǒng)以確保網(wǎng)絡(luò)信息的安全可靠是非常必要的。

物理安全風(fēng)險(xiǎn)分析

網(wǎng)絡(luò)物理安全是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。物理安全的風(fēng)險(xiǎn)主要有： ◆地震、水災(zāi)、火災(zāi)等環(huán)境事故造成整個(gè)系統(tǒng)毀滅；

◆電源故障造成設(shè)備斷電以至操作系統(tǒng)引導(dǎo)失敗或數(shù)據(jù)庫(kù)信息丟失； ◆設(shè)備被盜、被毀造成數(shù)據(jù)丟失或信息泄漏； ◆電磁輻射可能造成數(shù)據(jù)信息被竊取或偷閱；

◆報(bào)警系統(tǒng)的設(shè)計(jì)不足可能造成原本可以防止但實(shí)際發(fā)生了的事故。鏈路傳輸風(fēng)險(xiǎn)分析

網(wǎng)絡(luò)安全不僅是入侵者到政府機(jī)關(guān)內(nèi)部網(wǎng)上進(jìn)行攻擊、竊取或其它破壞，他們完全有可能在傳輸線路上安裝竊聽裝置，竊取你在網(wǎng)上傳輸?shù)闹匾獢?shù)據(jù)，再通過一些技術(shù)讀出數(shù)據(jù)信息，造成泄密或者做一些篡改來破壞數(shù)據(jù)的完整性；以上種種不安全因素都對(duì)網(wǎng)絡(luò)構(gòu)成嚴(yán)重的安全威脅。因此，對(duì)于政府這樣帶有重要信息傳輸?shù)木W(wǎng)絡(luò)，數(shù)據(jù)在鏈路上傳輸必須加密。并通過數(shù)字簽名及認(rèn)證技術(shù)來保障數(shù)據(jù)在網(wǎng)上傳輸?shù)恼鎸?shí)性、機(jī)密性、可靠性及完整性。

遠(yuǎn)程辦公安全接入 目前，政府網(wǎng)絡(luò)應(yīng)用環(huán)境紛亂復(fù)雜，既有內(nèi)部的應(yīng)用如：內(nèi)部OA系統(tǒng)、文件共享、Email等應(yīng)用服務(wù)，又有眾多面向下屬單位、合作伙伴等對(duì)外的應(yīng)用。如何地有效解決遠(yuǎn)程用戶安全訪問網(wǎng)絡(luò)內(nèi)部資源？

虛擬專用網(wǎng)技術(shù)(VPN，Virtual PrivateNetwork)是指在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)，數(shù)據(jù)通過安全的“加密通道”在公共網(wǎng)絡(luò)中傳播。政府機(jī)關(guān)只需要租用本地的數(shù)據(jù)專線，連接上本地的公眾信息網(wǎng)，那么各地的機(jī)構(gòu)就可以互相傳遞信息。使用VPN有節(jié)約成本、擴(kuò)展性強(qiáng)、便于管理和實(shí)現(xiàn)全面控制等好處。在虛擬專用網(wǎng)中，任意兩個(gè)節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動(dòng)態(tài)組成的，是通過私有的隧道技術(shù)在公共數(shù)據(jù)網(wǎng)絡(luò)上仿真一條點(diǎn)到點(diǎn)的專線技術(shù)。所謂虛擬，是指用戶不再需要擁有實(shí)際的長(zhǎng)途數(shù)據(jù)線路，而是使用Internet公眾數(shù)據(jù)網(wǎng)絡(luò)的長(zhǎng)途數(shù)據(jù)線路。所謂專用網(wǎng)絡(luò)，是指用戶可以為自己制定一個(gè)最符合自己需求的網(wǎng)絡(luò)。根據(jù)國(guó)家有關(guān)規(guī)定，政府網(wǎng)絡(luò)可以通過現(xiàn)有公有平臺(tái)搭建自己的內(nèi)部網(wǎng)絡(luò)，但必須通過認(rèn)證和加密技術(shù)，保證數(shù)據(jù)傳輸?shù)陌踩浴?/p>

單獨(dú)的VPN網(wǎng)關(guān)的主要功能是IPSec數(shù)據(jù)包的加密/解密處理和身份認(rèn)證，但它沒有很強(qiáng)的訪問控制功能，例如狀態(tài)包過濾、網(wǎng)絡(luò)內(nèi)容過濾、防DDoS攻擊等。在這種獨(dú)立的防火墻和VPN部署方式下，防火墻無法對(duì)VPN的數(shù)據(jù)流量進(jìn)行任何訪問控制，由此帶來安全性、性能、管理上的一系列問題。因此，在防火墻安全網(wǎng)關(guān)上集成VPN是當(dāng)前安全產(chǎn)品的發(fā)展趨勢(shì)，能提供一個(gè)靈活、高效、完整的安全方案。

集成VPN的防火墻安全網(wǎng)關(guān)的優(yōu)點(diǎn)是，它可以保證加密的流量在解密后，同樣需要經(jīng)過嚴(yán)格的訪問控制策略的檢查，保護(hù)VPN網(wǎng)關(guān)免受DDoS攻擊和入侵威脅；提供更好的處理性能，簡(jiǎn)化網(wǎng)絡(luò)管理的任務(wù)，快速適應(yīng)動(dòng)態(tài)、變化的網(wǎng)絡(luò)環(huán)境。因此，當(dāng)前VPN技術(shù)已經(jīng)成為安全網(wǎng)關(guān)產(chǎn)品的組成部分。

政府機(jī)關(guān)Intranet網(wǎng)絡(luò)建設(shè)的VPN連接方案，利用IPsec安全協(xié)議的VPN和加密能力，實(shí)現(xiàn)兩個(gè)或多個(gè)政府機(jī)關(guān)之間跨越因特網(wǎng)的政府機(jī)關(guān)內(nèi)部網(wǎng)絡(luò)連接，實(shí)現(xiàn)了安全的政府機(jī)關(guān)內(nèi)部的數(shù)據(jù)通信。通過防火墻內(nèi)部策略控制體系，對(duì)VPN的數(shù)據(jù)可以進(jìn)行有效的控制和管理，使政府機(jī)關(guān)的內(nèi)部網(wǎng)絡(luò)通信具有良好的擴(kuò)展性和管理性。

圖示：政府機(jī)關(guān)Intranet網(wǎng)VPN解決方案

如上圖示，原始的數(shù)據(jù)經(jīng)過加密封裝在另外一個(gè)IP通道內(nèi)，通道頭部地址就是防火墻外部端口的IP地址，以實(shí)現(xiàn)在公網(wǎng)鏈路上的傳輸。利用高強(qiáng)度的、動(dòng)態(tài)變換的密鑰來保證數(shù)據(jù)的安全，168位的3DES算法更提供了業(yè)界最高級(jí)別的安全防御體系，使政府機(jī)關(guān)的內(nèi)部數(shù)據(jù)可以無憂地在公網(wǎng)上傳輸，以達(dá)到政府機(jī)關(guān)內(nèi)部網(wǎng)絡(luò)安全擴(kuò)展的目的。

網(wǎng)絡(luò)結(jié)構(gòu)的安全風(fēng)險(xiǎn)分析

（一）來自與公網(wǎng)互聯(lián)的安全威脅

如果政府內(nèi)部網(wǎng)絡(luò)與Internet公網(wǎng)有互連。基于Internet公網(wǎng)的開放性、國(guó)際性與自由性，內(nèi)部網(wǎng)絡(luò)將面臨更加嚴(yán)重的安全威脅。因?yàn)?，每天黑客都在試圖闖入Internet節(jié)點(diǎn)，假如我們的網(wǎng)絡(luò)不保持警惕，可能連黑客怎么闖入的都不知道，甚至?xí)蔀楹诳腿肭制渌W(wǎng)絡(luò)的跳板。政府行業(yè)內(nèi)部網(wǎng)絡(luò)中其辦公系統(tǒng)及各人主機(jī)上都有涉密信息。

假如內(nèi)部網(wǎng)絡(luò)的一臺(tái)機(jī)器安全受損（被攻擊或者被病毒感染），就會(huì)同時(shí)影響在同一網(wǎng)絡(luò)上的許多其他系統(tǒng)。透過網(wǎng)絡(luò)傳播，還會(huì)影響到與本系統(tǒng)網(wǎng)絡(luò)有連接的外單位網(wǎng)絡(luò)；影響所及，還可能涉及法律、金融等安全敏感領(lǐng)域。對(duì)于政府行業(yè)網(wǎng)絡(luò)系統(tǒng)，國(guó)家也有規(guī)定是不能與互聯(lián)網(wǎng)直接或間接與相連。

內(nèi)部網(wǎng)絡(luò)與系統(tǒng)外部網(wǎng)互聯(lián)安全威脅

如果系統(tǒng)內(nèi)部局域網(wǎng)絡(luò)與系統(tǒng)外部網(wǎng)絡(luò)間沒有采取一定的安全防護(hù)措施，內(nèi)部網(wǎng)絡(luò)容易遭到來自外部網(wǎng)絡(luò)不懷好意的入侵者的攻擊。如：

入侵者通過Sniffer等程序來探測(cè)掃描網(wǎng)絡(luò)及操作系統(tǒng)存在的安全漏洞，如網(wǎng)絡(luò)IP地址、應(yīng)用操作系統(tǒng)的類型、開放哪些TCP端口號(hào)、系統(tǒng)保存用戶名和口令等安全信息的關(guān)鍵文件等，并通過相應(yīng)攻擊程序?qū)?nèi)網(wǎng)進(jìn)行攻擊。

入侵者通過網(wǎng)絡(luò)監(jiān)聽等先進(jìn)手段獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息，進(jìn)而假冒內(nèi)部合法身份進(jìn)行非法登錄，竊取內(nèi)部網(wǎng)重要信息。

惡意攻擊：入侵者通過發(fā)送大量PING包對(duì)內(nèi)部網(wǎng)重要服務(wù)器進(jìn)行攻擊，使得服務(wù)器超負(fù)荷工作以至拒絕服務(wù)甚至系統(tǒng)癱瘓。

（三）內(nèi)部局域網(wǎng)的安全威脅

據(jù)調(diào)查在已有的網(wǎng)絡(luò)安全攻擊事件中約70%是來自內(nèi)部網(wǎng)絡(luò)的侵犯。比如內(nèi)部人員故意泄漏內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)；安全管理員有意透露其用戶名及口令；內(nèi)部員工編些具有破壞力的程序在內(nèi)部網(wǎng)上傳播或者內(nèi)部人員通過各種方式盜取他人涉密信息傳播出去。種種因素都對(duì)整體的網(wǎng)絡(luò)安全構(gòu)成很大的威脅。

系統(tǒng)的安全風(fēng)險(xiǎn)分析

所謂系統(tǒng)安全通常是指網(wǎng)絡(luò)操作系統(tǒng)、應(yīng)用系統(tǒng)的安全。目前的操作系統(tǒng)或應(yīng)用系統(tǒng)無論是Windows還是其它任何商用UNIX操作系統(tǒng)以及其它廠商開發(fā)的應(yīng)用系統(tǒng)，其開發(fā)廠商必然有其Back-Door（后門）。而且系統(tǒng)本身必定存在安全漏洞。這些“后門”或安全漏洞都將存在重大安全隱患。但是從實(shí)際應(yīng)用上，系統(tǒng)的安全程度跟對(duì)其進(jìn)行安全配置及系統(tǒng)的應(yīng)用面有很大關(guān)系，操作系統(tǒng)如果沒有采用相應(yīng)的安全配置，則其是漏洞百出，掌握一般攻擊技術(shù)的人都可能入侵得手。

如果進(jìn)行安全配置，比如，填補(bǔ)安全漏洞，關(guān)閉一些不常用的服務(wù)，禁止開放一些不常用而又比較敏感的端口等，那么入侵者要成功進(jìn)行內(nèi)部網(wǎng)是不容易，這需要相當(dāng)高的技術(shù)水平及相當(dāng)長(zhǎng)時(shí)間。因此應(yīng)正確估價(jià)自己的網(wǎng)絡(luò)風(fēng)險(xiǎn)并根據(jù)自己的網(wǎng)絡(luò)風(fēng)險(xiǎn)大小做出相應(yīng)的安全解決方案。

應(yīng)用的安全風(fēng)險(xiǎn)分析

應(yīng)用系統(tǒng)的安全涉及很多方面。應(yīng)用系統(tǒng)是動(dòng)態(tài)的、不斷變化的。應(yīng)用的安全性也是動(dòng)態(tài)的。這就需要我們對(duì)不同的應(yīng)用，檢測(cè)安全漏洞，采取相應(yīng)的安全措施，降低應(yīng)用的安全風(fēng)險(xiǎn)。

（一）資源共享

政府網(wǎng)絡(luò)系統(tǒng)內(nèi)部必有自動(dòng)化辦公系統(tǒng)。而辦公網(wǎng)絡(luò)應(yīng)用通常是共享網(wǎng)絡(luò)資源，比如文件、打印機(jī)共享等。由此就可能存在著：?jiǎn)T工有意、無意把硬盤中重要信息目錄共享，長(zhǎng)期暴露在網(wǎng)絡(luò)鄰居上，可能被外部人員輕易偷取或被內(nèi)部其他員工竊取并傳播出去造成泄密，因?yàn)槿鄙俦匾脑L問控制策略。

電子郵件系統(tǒng)

電子郵件為網(wǎng)系統(tǒng)用戶提供電子郵件應(yīng)用。內(nèi)部網(wǎng)用戶可通過拔號(hào)或其它方式進(jìn)行電子郵件發(fā)送和接收這就存在被黑客跟蹤或收到一些特洛伊木馬、病毒程序等，由于許多用戶安全意識(shí)比較淡薄，對(duì)一些來歷不明的郵件，沒有警惕性，給入侵者提供機(jī)會(huì)，給系統(tǒng)帶來不安全因素。

病毒侵害

自從1983年世界上第一個(gè)計(jì)算機(jī)病毒出現(xiàn)以來，在20多年的時(shí)間里，計(jì)算機(jī)病毒已到了無孔不入的地步，有些甚至給我們?cè)斐闪司薮蟮钠茐摹?/p>

隨著網(wǎng)絡(luò)的普及和網(wǎng)速的提高，計(jì)算機(jī)之間的遠(yuǎn)程控制越來越方便，傳輸文件也變得非?？旖?，正因?yàn)槿绱耍《九c黑客程序（木馬病毒）結(jié)合以后的危害更為嚴(yán)重，病毒的發(fā)作往往伴隨著用戶機(jī)密資料的丟失。病毒的傳播可能會(huì)具有一定的方向性，按照制作者的要求侵蝕固定的內(nèi)容。

由于網(wǎng)絡(luò)的普及，使得編寫病毒的知識(shí)越來越容易獲得。同時(shí)，各種功能強(qiáng)大而易學(xué)的編程工具讓用戶可以輕松編寫一個(gè)具有極強(qiáng)殺傷力的病毒程序。用戶通過網(wǎng)絡(luò)甚至可以獲得專門編寫病毒的工具軟件，只需要通過簡(jiǎn)單的操作就可以生成破壞性的病毒。

網(wǎng)絡(luò)是病毒傳播的最好、最快的途徑之一。病毒程序可以通過網(wǎng)上下載、電子郵件、使用盜版光盤或軟盤、人為投放等傳播途徑潛入內(nèi)部網(wǎng)。因此，病毒的危害的不可以輕視的。網(wǎng)絡(luò)中一旦有一臺(tái)主機(jī)受病毒感染，則病毒程序就完全可能在極短的時(shí)間內(nèi)迅速擴(kuò)散，傳播到網(wǎng)絡(luò)上的所有主機(jī)，可能造成信息泄漏、文件丟失、機(jī)器死機(jī)等不安全因素。

數(shù)據(jù)信息

數(shù)據(jù)安全對(duì)政府行業(yè)來說尤其重要，數(shù)據(jù)在廣域網(wǎng)線路上傳輸，很難保證在傳輸過程中不被非法竊取，篡改。現(xiàn)今很多先進(jìn)技術(shù)，黑客或一些工業(yè)間諜會(huì)通過一些手段，設(shè)法在線路上做些手腳，獲得在網(wǎng)上傳輸?shù)臄?shù)據(jù)信息。也就造成的泄密。這對(duì)政府行業(yè)用戶來說，是決不允許的。

管理的安全風(fēng)險(xiǎn)分析

內(nèi)部管理人員或員工把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員用戶名及口令以及系統(tǒng)的一些重要信息傳播給外人帶來信息泄漏風(fēng)險(xiǎn)。

機(jī)房重地卻是任何都可以進(jìn)進(jìn)出出，來去自由。存有惡意的入侵者便有機(jī)會(huì)得到入侵的條件。

內(nèi)部不滿的員工有的可能熟悉服務(wù)器、小程序、腳本和系統(tǒng)的弱點(diǎn)。利用網(wǎng)絡(luò)開些小玩笑，甚至破壞。如傳出至關(guān)重要的信息、錯(cuò)誤地進(jìn)入數(shù)據(jù)庫(kù)、刪除數(shù)據(jù)等等。這些都將給網(wǎng)絡(luò)造成極大的安全風(fēng)險(xiǎn)。

管理是網(wǎng)絡(luò)中安全得到保證的重要組成部分，是防止來自內(nèi)部網(wǎng)絡(luò)入侵必須的部分。責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。即除了從技術(shù)上下功夫外，還得依靠安全管理來實(shí)現(xiàn)。

防火墻系統(tǒng)設(shè)計(jì)方案

（一）防火墻系統(tǒng)

1、在各網(wǎng)絡(luò)出口處安裝曙光天羅防火墻。防火墻在這里首先起到網(wǎng)絡(luò)隔離、劃分不同安全域，進(jìn)行訪問控制的功能。通過防火墻的多網(wǎng)口結(jié)構(gòu)設(shè)計(jì)，控制授權(quán)合法用戶可以訪問到授權(quán)服務(wù)，而限制非授權(quán)的訪問。曙光天羅防火墻分為百兆和千兆兩個(gè)系列，可以根據(jù)各局內(nèi)部網(wǎng)的規(guī)模大小選擇適合自己的產(chǎn)品。

2、曙光天羅防火墻自帶的入侵檢測(cè)功能采用了基于模式匹配的入侵檢測(cè)系統(tǒng)，超越了傳統(tǒng)防火墻中的基于統(tǒng)計(jì)異常的入侵檢測(cè)功能，實(shí)現(xiàn)了可擴(kuò)展的攻擊檢測(cè)庫(kù)，真正實(shí)現(xiàn)了抵御目前已知的各種攻擊方法。防火墻的入侵檢測(cè)模塊，可以自動(dòng)檢測(cè)網(wǎng)絡(luò)數(shù)據(jù)流中潛在的入侵、攻擊和濫用方式，通知管理員調(diào)整控制規(guī)則，為整個(gè)網(wǎng)絡(luò)提供動(dòng)態(tài)的網(wǎng)絡(luò)保護(hù)。

3、利用曙光天羅防火墻自帶的VPN功能，實(shí)現(xiàn)多級(jí)VPN系統(tǒng)。防火墻VPN模塊支持兩種用戶模式：遠(yuǎn)程訪問虛擬網(wǎng)(撥號(hào)VPN)和政府機(jī)關(guān)內(nèi)部虛擬網(wǎng)(網(wǎng)關(guān)對(duì)網(wǎng)關(guān)VPN)。如上圖所示，在省地市三級(jí)網(wǎng)絡(luò)出口處安裝曙光天羅防火墻，利用防火墻的VPN模塊，實(shí)現(xiàn)他們之間分層次的政府機(jī)關(guān)內(nèi)部虛擬網(wǎng)(網(wǎng)關(guān)對(duì)網(wǎng)關(guān)VPN)；而對(duì)于一些規(guī)模比較小的區(qū)線或移動(dòng)用戶，通過安裝VPN客戶端，實(shí)現(xiàn)遠(yuǎn)程訪問虛擬網(wǎng)(撥號(hào)VPN)，整個(gè)構(gòu)成一個(gè)安全的虛擬內(nèi)部局域網(wǎng)，保障電子政務(wù)網(wǎng)絡(luò)的數(shù)據(jù)安全傳輸。

（二）防火墻的VPN功能

VPN是平衡Internet的適用性和價(jià)格優(yōu)勢(shì)的最有前途的新興通信手段之一。利用共享的IP網(wǎng)建立VPN連接，可以使服務(wù)對(duì)象減少對(duì)昂貴租用線路和復(fù)雜遠(yuǎn)程訪問方案的依賴性。

也是至關(guān)重要的一點(diǎn)，它可以使移動(dòng)用戶和一些小型的分支機(jī)構(gòu)的網(wǎng)絡(luò)開銷減少達(dá)50%或更多；

政府機(jī)關(guān)新增的分支機(jī)構(gòu)或站點(diǎn)可以非常迅速方便地加入政府機(jī)關(guān)已建的基于VPN的INTRANET，所以VPN的可擴(kuò)展性大大優(yōu)于傳統(tǒng)構(gòu)建政府機(jī)關(guān)INTRANET的技術(shù)手段，如點(diǎn)對(duì)點(diǎn)專線或長(zhǎng)途撥號(hào)；

VPN不僅可以大幅度削減傳輸數(shù)據(jù)的開銷，同時(shí)可以削減傳輸話音的開銷；

VPN創(chuàng)造了多種伴隨著Web發(fā)展而出現(xiàn)的新的商業(yè)機(jī)會(huì)，包括：進(jìn)行全球電子商務(wù)，可以在減少銷售成本的同時(shí)增加銷售量；實(shí)現(xiàn)外連網(wǎng)，可以使用戶獲得關(guān)鍵的信息，更加貼近世界；可以訪問全球任何角落的電子通勤人員和移動(dòng)用戶。

在當(dāng)今全球激烈競(jìng)爭(zhēng)的環(huán)境下，最先實(shí)現(xiàn)VPN的政府機(jī)關(guān)將在競(jìng)爭(zhēng)獲得優(yōu)勢(shì)已經(jīng)是不爭(zhēng)的事實(shí)，許多政府機(jī)關(guān)也開始紛紛利用經(jīng)濟(jì)有效的VPN來傳送話音業(yè)務(wù)，并從中受益：

◆ 減少用于相關(guān)的調(diào)制解調(diào)器和終端服務(wù)設(shè)備的資金及費(fèi)用，簡(jiǎn)化網(wǎng)絡(luò)； ◆ 實(shí)現(xiàn)本地?fù)芴?hào)接入的功能來取代遠(yuǎn)距離接入，這樣能顯著降低遠(yuǎn)距離通信的費(fèi)用； ◆ 遠(yuǎn)端驗(yàn)證撥入用戶服務(wù)基于標(biāo)準(zhǔn)，基于策略功能的安全服務(wù)；

◆ 將工作重心從管理和保留運(yùn)作撥號(hào)網(wǎng)絡(luò)的工作人員轉(zhuǎn)到公司的核心業(yè)務(wù)上來； ◆ 強(qiáng)大的基于 Web的VPN管理工具提供基于策略的 VPN配置和監(jiān)控，可以優(yōu)化網(wǎng)絡(luò)資源；

◆ 極大的可擴(kuò)展性，簡(jiǎn)便地對(duì)加入網(wǎng)絡(luò)的新用戶進(jìn)行調(diào)度。用戶不需改變網(wǎng)絡(luò)的原來架構(gòu)，只須安裝客戶端軟件并且設(shè)置此軟件的一些參數(shù)即可。同時(shí)也支持傳統(tǒng)的應(yīng)用，可以從小的政府機(jī)關(guān)擴(kuò)展到最大的政府機(jī)關(guān)；

◆ 更大的網(wǎng)絡(luò)靈活性，可以管理和發(fā)布不同類型的數(shù)據(jù)進(jìn)入同一Internet連接。VPN代表了當(dāng)今網(wǎng)絡(luò)發(fā)展演化的最高形式，它綜合了傳統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)的性能優(yōu)點(diǎn)（安全和QoS）和共享數(shù)據(jù)網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)點(diǎn)（簡(jiǎn)單和低成本），必將成為未來傳輸完全匯聚業(yè)務(wù)的主要工具。

用戶可以通過硬件和軟件的方式來實(shí)現(xiàn)VPN功能，一般用戶都會(huì)使用硬件設(shè)備。在總部架設(shè)一個(gè)帶有VPN功能的防火墻，就可以讓地方聯(lián)到總部的內(nèi)部局域網(wǎng)了。使用這種具有VPN功能的防火墻都具有較高的安全性和穩(wěn)定性，因一個(gè)最大的優(yōu)點(diǎn)是既可以抵御外部的攻擊又可以提高自身網(wǎng)絡(luò)的安全性。

防火墻對(duì)服務(wù)器的保護(hù)

網(wǎng)絡(luò)中應(yīng)用的服務(wù)器，信息量大、處理能力強(qiáng)，往往是攻擊的主要對(duì)象。另外，服務(wù)器提供的各種服務(wù)本身有可能成為“黑客”攻擊的突破口，因此，在實(shí)施方案時(shí)要對(duì)服務(wù)器的安全進(jìn)行一系列安全保護(hù)。

如果服務(wù)器沒有加任何安全防護(hù)措施而直接放在公網(wǎng)上提供對(duì)外服務(wù)，就會(huì)面臨著“黑客”各種方式的攻擊，安全級(jí)別很低。因此當(dāng)安裝防火墻后，所有訪問服務(wù)器的請(qǐng)求都要經(jīng)過防火墻安全規(guī)則的詳細(xì)檢測(cè)。只有訪問服務(wù)器的請(qǐng)求符合防火墻安全規(guī)則后，才能通過防火墻到達(dá)內(nèi)部服務(wù)器。防火墻本身抵御了絕大部分對(duì)服務(wù)器的攻擊，外界只能接觸到防火墻上的特定服務(wù)，從而防止了絕大部分外界攻擊。

（四）防火墻對(duì)內(nèi)網(wǎng)的保護(hù)

網(wǎng)絡(luò)內(nèi)部的環(huán)境比較復(fù)雜，而且各子網(wǎng)的分布地域廣闊，網(wǎng)絡(luò)用戶、設(shè)備接入的可控性比較差，因此，內(nèi)部網(wǎng)絡(luò)用戶的可靠性并不能得到完全的保證。特別是對(duì)于存放敏感數(shù)據(jù)的主機(jī)的攻擊往往發(fā)自內(nèi)部用戶，如何對(duì)內(nèi)部用戶進(jìn)行訪問控制和安全防范就顯得特別重要。為了保障內(nèi)部網(wǎng)絡(luò)運(yùn)行的可靠性和安全性，我們必須要對(duì)它進(jìn)行詳盡的分析，盡可能防護(hù)到網(wǎng)絡(luò)的每一節(jié)點(diǎn)。

對(duì)于一般的網(wǎng)絡(luò)應(yīng)用，內(nèi)部用戶可以直接接觸到網(wǎng)絡(luò)內(nèi)部幾乎所有的服務(wù)，網(wǎng)絡(luò)服務(wù)器對(duì)于內(nèi)部用戶缺乏基本的安全防范，特別是在內(nèi)部網(wǎng)絡(luò)上，大部分的主機(jī)沒有進(jìn)行基本的安全防范處理，整個(gè)系統(tǒng)的安全性容易受到內(nèi)部用戶攻擊的威脅，安全等級(jí)不高。根據(jù)國(guó)際上流行的處理方法，我們把內(nèi)部用戶跨網(wǎng)段的訪問分為兩大類：其一，是內(nèi)部網(wǎng)絡(luò)用戶之間的訪問，即單機(jī)到單機(jī)訪問。這一層次上的應(yīng)用主要有用戶共享文件的傳輸（NETBIOS）應(yīng)用；其次，是內(nèi)部網(wǎng)絡(luò)用戶對(duì)內(nèi)部服務(wù)器的訪問，這一類應(yīng)用主要發(fā)生在內(nèi)部用戶的業(yè)務(wù)處理時(shí)。一般內(nèi)部用戶對(duì)于網(wǎng)絡(luò)安全防范的意識(shí)不高，如果內(nèi)部人員發(fā)起攻擊，內(nèi)部網(wǎng)絡(luò)主機(jī)將無法避免地遭到損害，特別是針對(duì)于NETBIOS文件共享協(xié)議，已經(jīng)有很多的漏洞在網(wǎng)上公開報(bào)道，如果網(wǎng)絡(luò)主機(jī)保護(hù)不完善，就可能被內(nèi)部用戶利用“黑客”工具造成嚴(yán)重破壞。

由于網(wǎng)絡(luò)環(huán)境的復(fù)雜化和網(wǎng)絡(luò)應(yīng)用的多樣化日益明顯，對(duì)于內(nèi)部網(wǎng)絡(luò)除了必要的防攻擊設(shè)置外還必須防止內(nèi)部用戶的欺騙行為，比如IP地址欺騙、網(wǎng)絡(luò)連接的欺騙等。由于物理層上的原因，內(nèi)部用戶接觸網(wǎng)絡(luò)服務(wù)的機(jī)會(huì)、方法很多，如果沒有專門的安全防護(hù)，“黑客”就可以比較容易地實(shí)施欺騙、偽造身份及暴力攻擊（CRACK），對(duì)于內(nèi)部網(wǎng)絡(luò)的用戶，防范攻擊的難度較大。我們主要從以下幾個(gè)方面考慮：

1)內(nèi)部網(wǎng)絡(luò)風(fēng)險(xiǎn)分析：由于內(nèi)部攻擊發(fā)生的比較頻繁，因此我們首先要分析內(nèi)部網(wǎng)絡(luò)的安全隱患，把可能發(fā)生的不安定因素找出來進(jìn)行專門的安全處理；

2)內(nèi)部用戶網(wǎng)絡(luò)和網(wǎng)絡(luò)的隔離：把內(nèi)部比較重要的數(shù)據(jù)服務(wù)器放在專門的區(qū)域，加上獨(dú)立的控制體系，對(duì)于內(nèi)部網(wǎng)的訪問同樣要進(jìn)行相應(yīng)的安全控制；

3)內(nèi)部網(wǎng)絡(luò)安全保護(hù)：結(jié)合物理層和鏈路層的特點(diǎn)，在物理層和鏈路層的接口處實(shí)施安全控制，實(shí)施IP/MAC綁定。

IDS詳述

IDS（入侵檢測(cè)系統(tǒng)）對(duì)于關(guān)心網(wǎng)絡(luò)安全防護(hù)的人們來說已不再是一個(gè)陌生的名詞，在許多行業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)安全防御工程中除了采用防病毒、防火墻或認(rèn)證加密等系統(tǒng)外，有近15%的安全項(xiàng)目會(huì)涉及到IDS系統(tǒng)，而且這些項(xiàng)目一般都對(duì)安全等級(jí)的要求非常高，對(duì)數(shù)據(jù)信息的保密性也有特別的要求。

IDS系統(tǒng)

要想高效使用IDS首先要對(duì)它進(jìn)行合理部署。通常IDS監(jiān)控保護(hù)的基本單位是一個(gè)網(wǎng)段，單個(gè)網(wǎng)段的最小組成元素是各臺(tái)主機(jī)，政府機(jī)關(guān)對(duì)各主機(jī)、各網(wǎng)段的安全性要求程度一般都不相同，所以確定IDS的保護(hù)對(duì)象是合理使用IDS的關(guān)鍵。

在優(yōu)先保護(hù)的網(wǎng)段中部署IDS系統(tǒng)，并配置合適的檢測(cè)策略，如在防火墻之內(nèi)部署IDS則可把安全策略配置得緊一些，即使用最大化的檢測(cè)策略，而在防火墻之外部署則可采用較為寬松的策略，因?yàn)榻?jīng)過防火墻過濾后，內(nèi)部網(wǎng)絡(luò)的安全狀況相對(duì)比較簡(jiǎn)單，而外部的情況則較為復(fù)雜，誤報(bào)的可能性也較大。另外，在一定的情況下有些內(nèi)部信任的主機(jī)也可能會(huì)觸發(fā)IDS的檢測(cè)引擎，從而形成報(bào)警，而對(duì)于用戶來說，這些報(bào)警事件是沒有什么參考價(jià)值的，所以需要在檢測(cè)范圍中排除這些主機(jī)的IP地址；通常IDS系統(tǒng)中都有一個(gè)過濾器（FILTER）模塊或像KIDS那樣所具有的“非阻斷列表”的功能選項(xiàng)，可以允許用戶加入所有他們所信任的主機(jī)IP地址。

目前大多數(shù)的IDS系統(tǒng)主要采用基于包特征的檢測(cè)技術(shù)來組建，它們的基本原理是對(duì)網(wǎng)絡(luò)上的所有數(shù)據(jù)包進(jìn)行復(fù)制并檢測(cè)，然后與內(nèi)部的攻擊特征數(shù)據(jù)庫(kù)（規(guī)則庫(kù)）進(jìn)行匹配比較，如果相符即產(chǎn)生報(bào)警或響應(yīng)。這種檢測(cè)方式雖然比異常統(tǒng)計(jì)檢測(cè)技術(shù)要更加精確，但會(huì)給IDS帶來較大的負(fù)載，所以需要對(duì)檢測(cè)策略作進(jìn)一步的調(diào)整和優(yōu)化。具體做法是根據(jù)政府機(jī)關(guān)自身網(wǎng)絡(luò)的業(yè)務(wù)應(yīng)用情況，選擇最適合的檢測(cè)策略（可根據(jù)操作系統(tǒng)、應(yīng)用服務(wù)或部署位置等），并對(duì)所選的策略進(jìn)行修改，選擇具有參考價(jià)值的檢測(cè)規(guī)則，而去除一些無關(guān)緊要的選項(xiàng)，如對(duì)于全部是Windows的應(yīng)用環(huán)境，則完全可以把UNIX的規(guī)則去掉。有些IDS除了提供攻擊特征檢測(cè)規(guī)則的定制功能外，還提供了對(duì)端口掃描檢測(cè)規(guī)則的自定義，如在KIDS中就可定義端口掃描的監(jiān)控范圍、信任主機(jī)地址排除和掃描模式等參數(shù)，這些參數(shù)的合理配置都能將IDS的檢測(cè)能力優(yōu)化到最理想的狀態(tài)。

IDS監(jiān)控

IDS除了能對(duì)網(wǎng)絡(luò)上各種非法行為產(chǎn)生報(bào)警外還能對(duì)一些特定的事件進(jìn)行實(shí)時(shí)的響應(yīng)，因?yàn)橹挥胁扇〖皶r(shí)的響應(yīng)才能有效阻止重要的資源被破壞或被盜用。目前最常用的響應(yīng)方式是對(duì)網(wǎng)絡(luò)中的非法連接進(jìn)行阻斷，如利用防火墻阻斷、列入黑名單阻斷或HTTP阻斷等。在利用IDS進(jìn)行監(jiān)控時(shí)，不但需要查看它的報(bào)警提示，而且需要參考它所提供的實(shí)時(shí)狀態(tài)信息。因?yàn)樵诰W(wǎng)絡(luò)中發(fā)生異常行為時(shí)，網(wǎng)絡(luò)中的許多狀態(tài)信息一般都與正常情況下的狀態(tài)不一樣。如主機(jī)正遭到拒絕服務(wù)攻擊時(shí)（DoS或DDoS），網(wǎng)絡(luò)中的數(shù)據(jù)流量便可能會(huì)急速上升，這時(shí)可以從包流量或字節(jié)流量等實(shí)時(shí)的狀態(tài)圖表中發(fā)現(xiàn)這樣的異常情況。所以參考IDS所顯示的狀態(tài)信息也是非常重要的。實(shí)時(shí)狀態(tài)信息還包括當(dāng)前的活動(dòng)TCP連接、TCP/UDP/IP/ICMP等協(xié)議的包或字節(jié)流量等。IDS的最重要價(jià)值之一是它能提供事后統(tǒng)計(jì)分析，所有安全事件或?qū)徲?jì)事件的信息都將被記錄在數(shù)據(jù)庫(kù)中，可以從各個(gè)角度來對(duì)這些事件進(jìn)行分析歸類，以總結(jié)出被保護(hù)網(wǎng)絡(luò)的安全狀態(tài)的現(xiàn)狀和趨勢(shì)，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)或主機(jī)中存在的問題或漏洞，并可歸納出相應(yīng)的解決方案。

電子政務(wù)整體網(wǎng)絡(luò)安全解決方案

電子政務(wù)系統(tǒng)中存在大量敏感數(shù)據(jù)和應(yīng)用，因此必須設(shè)計(jì)一個(gè)高安全性、高可靠性及高性能的防火墻安全保護(hù)系統(tǒng)，確保數(shù)據(jù)和應(yīng)用萬無一失。

各局的局域網(wǎng)計(jì)算機(jī)工作站包括終端、廣域網(wǎng)路由器、服務(wù)器群都直接匯接到本局的主干交換機(jī)上。由于工作站分布較廣且全部連接，可以通過電子政務(wù)網(wǎng)絡(luò)進(jìn)行相互訪問，服務(wù)器就有可能收到攻擊。因此，必須在各局之間相互進(jìn)行隔離防護(hù)。

如下圖，我們?cè)诟骶致酚善骱蟀惭b曙光TLFW千兆防火墻，以有三千用戶在同時(shí)上Internet網(wǎng)計(jì)算，千兆防火墻的并發(fā)連接超過600,000，完全可以滿足整個(gè)網(wǎng)絡(luò)的需求，穩(wěn)定性上也滿足要求。同時(shí)，將局內(nèi)網(wǎng)與其他區(qū)域邏輯隔離開來，在數(shù)據(jù)中心內(nèi)，根據(jù)不同的服務(wù)器對(duì)安全性的不同需求，將它們分等級(jí)劃分為不同的區(qū)域，并通過詳細(xì)的包過濾規(guī)則制定，將這些服務(wù)器徹底保護(hù)起來，保證它們之間不能跨級(jí)別訪問，這樣實(shí)現(xiàn)分級(jí)的安全性。

通過安裝防火墻，可以實(shí)現(xiàn)下列的安全目標(biāo)：

1)利用防火墻將內(nèi)部網(wǎng)絡(luò)、Internet外部網(wǎng)絡(luò)進(jìn)行有效隔離，避免與外部網(wǎng)絡(luò)直接通信；

2)利用防火墻建立網(wǎng)絡(luò)各終端和服務(wù)器的安全保護(hù)措施，保證系統(tǒng)安全；

3)利用防火墻對(duì)來自非內(nèi)部網(wǎng)的服務(wù)請(qǐng)求進(jìn)行控制，使非法訪問在到達(dá)主機(jī)前被拒絕； 4)利用防火墻使用IP與MAC地址綁定功能，加強(qiáng)終端用戶的訪問認(rèn)證，同時(shí)在不影響用戶正常訪問的基礎(chǔ)上將用戶的訪問權(quán)限控制在最低限度內(nèi)；

5)利用防火墻全面監(jiān)視對(duì)服務(wù)器的訪問，及時(shí)發(fā)現(xiàn)和阻止非法操作；

6)利用防火墻及服務(wù)器上的審計(jì)記錄，形成一個(gè)完善的審計(jì)體系，建立第二條防線； 7)根據(jù)需要設(shè)置流量控制規(guī)則，實(shí)現(xiàn)網(wǎng)絡(luò)流量控制，并設(shè)置基于時(shí)間段的訪問控制。下圖是電子政務(wù)網(wǎng)絡(luò)安全解決方案設(shè)計(jì)拓?fù)鋱D：

圖示：電子政務(wù)網(wǎng)絡(luò)安全總體拓?fù)?/p>

根據(jù)以上的分析，在整個(gè)政府網(wǎng)絡(luò)安全體系中，除了負(fù)責(zé)邊界安全的防火墻設(shè)備以外，還選擇了入侵檢測(cè)系統(tǒng)進(jìn)行共同防范，達(dá)到整個(gè)系統(tǒng)的高安全性。

同時(shí)因?yàn)橛脩粲袚芴?hào)VPN的需求，而曙光的天羅防火墻自身具備了VPN的功能，可以滿足遠(yuǎn)程連接用戶的安全要求。

具備了高安全性、高可靠性、高性能、高適用性、易管理、高度集成、靈活擴(kuò)展等產(chǎn)品特色。易于安裝和使用，網(wǎng)絡(luò)性能和透明性好，擁有自行設(shè)計(jì)的全中文化WWW管理界面，通過直觀、易用的界面來管理強(qiáng)大、復(fù)雜的系統(tǒng)功能。

可根據(jù)系統(tǒng)管理者設(shè)定的安全規(guī)則（Security Rules）把守網(wǎng)絡(luò)的大門，提供強(qiáng)大的訪問控制、網(wǎng)絡(luò)地址轉(zhuǎn)換(Network Address Translation)、帶寬控制、P2P協(xié)議過濾等功能。

根據(jù)電子政務(wù)的實(shí)際需要，充分利用了曙光天羅防火墻的各功能模塊，實(shí)現(xiàn)了各功能模塊(防火墻模塊、入侵檢測(cè)模塊、VPN模塊等)的協(xié)同工作，再加上NIDS網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的重點(diǎn)防護(hù)，構(gòu)建了一個(gè)整合的動(dòng)態(tài)安全門戶，以比較經(jīng)濟(jì)實(shí)惠的方式，實(shí)現(xiàn)了對(duì)電子政務(wù)網(wǎng)絡(luò)的整體安全防護(hù)。

第四篇：政府網(wǎng)絡(luò)安全方案和企業(yè)網(wǎng)絡(luò)安全解決方案

政府網(wǎng)絡(luò)安全方案和企業(yè)網(wǎng)絡(luò)安全解決方案

關(guān)鍵詞：政府網(wǎng)絡(luò)安全方案政府網(wǎng)絡(luò)安全解決方案企業(yè)安全解決方案企業(yè)網(wǎng)絡(luò)安全方案企業(yè)信息化解決方案

概述

隨著信息網(wǎng)絡(luò)的迅速發(fā)展，網(wǎng)絡(luò)資源共享的進(jìn)一步加強(qiáng)，如何利用信息網(wǎng)絡(luò)進(jìn)行安全通信的同時(shí)又要保護(hù)網(wǎng)絡(luò)信息的安全，成為網(wǎng)絡(luò)建設(shè)中迫在眉睫的問題。目前政府機(jī)關(guān)和企業(yè)的各種業(yè)務(wù)工作對(duì)信息網(wǎng)絡(luò)的依賴性越來越強(qiáng)，對(duì)信息網(wǎng)絡(luò)安全的要求也越來越高，如果不能解決，勢(shì)必將影響到政府機(jī)關(guān)和企業(yè)的信息網(wǎng)絡(luò)化建設(shè)的發(fā)展和生存。目前政府機(jī)關(guān)網(wǎng)絡(luò)存在如下幾方面的問題：

?內(nèi)部網(wǎng)絡(luò)的辦公信息和國(guó)家機(jī)密的泄漏。

?內(nèi)部網(wǎng)絡(luò)資源的權(quán)限訪問控制。

?網(wǎng)絡(luò)被外部非法入侵，造成網(wǎng)絡(luò)性能下降或服務(wù)中斷。

?政府對(duì)外網(wǎng)站被篡改、破壞，嚴(yán)重影響政府形象。

?政府網(wǎng)絡(luò)被病毒、木馬所感染。

國(guó)家保密局2000年1月1日起頒布實(shí)施的《計(jì)算機(jī)信息系統(tǒng)國(guó)際互聯(lián)網(wǎng)保密管理規(guī)定》對(duì)國(guó)家機(jī)要部門使用互聯(lián)網(wǎng)規(guī)定如下：

“涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)，不得直接或間接的與國(guó)際互聯(lián)網(wǎng)或其他公共信息網(wǎng)絡(luò)相連接，必須實(shí)行”物理隔離“。

防火墻也是一種被人們廣泛使用的連接互聯(lián)網(wǎng)的網(wǎng)絡(luò)安全設(shè)備。然而，人們常常發(fā)現(xiàn)被防火墻防護(hù)的網(wǎng)絡(luò)依然常常被黑客和病毒攻擊。現(xiàn)在有很多網(wǎng)絡(luò)攻擊都是發(fā)生在有防火墻的情況下。有關(guān)防火墻的弊病以及與網(wǎng)絡(luò)安全隔離網(wǎng)閘的區(qū)別請(qǐng)參閱我公司網(wǎng)站的技術(shù)專欄文章《物理隔離網(wǎng)閘與防火墻的對(duì)比》。

物理隔離卡是另一種常用的解決方案。采用物理隔離卡進(jìn)行隔離。有關(guān)隔離卡的弊病可參閱我公司網(wǎng)站的技術(shù)文章《物理隔離網(wǎng)閘與隔離卡的對(duì)比》

北京數(shù)碼星辰科技有限公司研制的網(wǎng)絡(luò)安全物理隔離裝置就是為解決政府和企業(yè)所面臨的各種網(wǎng)絡(luò)安全和信息安全問題，專門設(shè)計(jì)了針對(duì)不同網(wǎng)絡(luò)安全要求的政府網(wǎng)絡(luò)安全解決方案和企業(yè)安全解決方案。這些解決方案使用宇宙盾網(wǎng)絡(luò)安全隔離與信息交換系列產(chǎn)品。網(wǎng)絡(luò)安全隔離與信息交換系列產(chǎn)品的設(shè)計(jì)遵循高安全性、高可靠性和方便用戶的原則進(jìn)行設(shè)計(jì)。同時(shí)把保護(hù)網(wǎng)絡(luò)和設(shè)備的絕對(duì)安全作為最高的設(shè)計(jì)準(zhǔn)則?！鼻Ю镏虧⒂谙佈ā?，一個(gè)防護(hù)再嚴(yán)密的網(wǎng)絡(luò)安全裝置，如果有一個(gè)漏洞被忽略就會(huì)使整個(gè)安全防護(hù)系統(tǒng)崩潰。數(shù)碼星辰清楚地認(rèn)識(shí)到 這一問題的重要性和嚴(yán)重性，率先提出了”整體安全防護(hù)技術(shù)“新理念。在系統(tǒng)硬件、操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議、訪問控制以及用戶界面等所有的層次均進(jìn)行了安全設(shè)計(jì)，形成了一個(gè)完整的、無懈可擊的網(wǎng)絡(luò)安全設(shè)備。這一理念不僅僅考慮了來自網(wǎng)絡(luò)的攻擊和破壞，而且也考慮了來自非網(wǎng)絡(luò)的破壞。其中對(duì)于防止國(guó)外芯片”后門"、操作系統(tǒng)防加載技術(shù)、防止用戶界面的攻擊等等均是基于這一理念的獨(dú)特的設(shè)計(jì)思路。這一獨(dú)創(chuàng)的設(shè)計(jì)理念，使得網(wǎng)絡(luò)安全防護(hù)的安全度提升到

了一個(gè)無可比擬的新高度。宇宙盾網(wǎng)絡(luò)隔離網(wǎng)閘系列產(chǎn)品分別獲得公安部、和國(guó)家保密局的認(rèn)證。

如您需要進(jìn)一步的幫助，請(qǐng)撥打010-82896300，我們的技術(shù)人員將根據(jù)您的具體要求，為您制定符合您要求的網(wǎng)絡(luò)安全解決方案和信息安全解決方案。

第五篇：XX校園網(wǎng)網(wǎng)絡(luò)安全解決方案

網(wǎng)絡(luò)安全課程設(shè)計(jì)

目錄

一、校園網(wǎng)概況

二、校園網(wǎng)安全需求分析

三、產(chǎn)品選型和網(wǎng)絡(luò)拓?fù)鋱D介紹

四、操作系統(tǒng)安全配置與測(cè)試

五、應(yīng)用服務(wù)器（WWW）安全配置

六、防病毒體系設(shè)計(jì)

七、防火墻設(shè)計(jì)、配置與測(cè)試

一、校園網(wǎng)概況 該校園網(wǎng)始建于2000年8月，至今已經(jīng)歷了四個(gè)主要發(fā)展階段，網(wǎng)絡(luò)覆蓋已遍及現(xiàn)有的教學(xué)辦公區(qū)和學(xué)生宿舍區(qū)。截止目前，校園網(wǎng)光纜鋪設(shè)約一萬二千米，信息點(diǎn)鋪設(shè)接近一萬，開設(shè)上網(wǎng)帳號(hào)8000多個(gè)，辦理學(xué)校免費(fèi)郵箱2000左右。

校園網(wǎng)主干現(xiàn)為雙千兆環(huán)網(wǎng)結(jié)構(gòu)。校園網(wǎng)接入均為千兆光纖到大樓，百兆交換到桌面，具有良好的網(wǎng)絡(luò)性能。

校園網(wǎng)現(xiàn)有三條寬帶出口并行接入Internet，500兆中國(guó)電信、100兆中國(guó)網(wǎng)通和100兆中國(guó)教育科研網(wǎng)，通過合理的路由策略，為校園網(wǎng)用戶提供了良好的出口帶寬。

校園網(wǎng)資源建設(shè)成效顯著，現(xiàn)有資源服務(wù)包括大學(xué)門戶網(wǎng)站、新聞網(wǎng)站、各學(xué)院和職能部門網(wǎng)站、安農(nóng)科技網(wǎng)站、郵件服務(wù)、電子校務(wù)、畢博輔助教學(xué)平臺(tái)、在線電視、VOD點(diǎn)播、音樂欣賞、公用FTP、文檔下載、軟件下載、知識(shí)園地、站點(diǎn)導(dǎo)航、在線幫助、系統(tǒng)補(bǔ)丁、網(wǎng)絡(luò)安全、個(gè)人主頁(yè)、計(jì)費(fèi)服務(wù)、VPN、DHCP、域名服務(wù)等。還有外語(yǔ)學(xué)習(xí)的平臺(tái)，圖書館豐富的電子圖書資源，教務(wù)處的學(xué)分制教學(xué)信息服務(wù)網(wǎng)、科技處的科研管理平臺(tái)等。眾多的資源服務(wù)構(gòu)成了校園網(wǎng)的資源子網(wǎng)，為廣大師生提供了良好的資源服務(wù)。

二、校園網(wǎng)安全需求分析

將安全策略、硬件及軟件等方法結(jié)合起來，構(gòu)成一個(gè)統(tǒng)一的防御系統(tǒng)，有效阻止非法用戶進(jìn)入網(wǎng)絡(luò)，減少網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。

定期進(jìn)行漏洞掃描，審計(jì)跟蹤，及時(shí)發(fā)現(xiàn)問題，解決問題。

通過入侵檢測(cè)等方式實(shí)現(xiàn)實(shí)時(shí)安全監(jiān)控，提供快速響應(yīng)故障的手段，同時(shí)具備很好的安全取證措施。

使網(wǎng)絡(luò)管理者能夠很快重新組織被破壞了的文件或應(yīng)用。使系統(tǒng)重新恢復(fù)到破壞前的狀態(tài)，最大限度地減少損失。

在工作站、服務(wù)器上安裝相應(yīng)的防病毒軟件，由中央控制臺(tái)統(tǒng)一控制和管理，實(shí)現(xiàn)全網(wǎng)統(tǒng)一防病毒。

通過對(duì)校園網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用及安全威脅分析，可以看出其安全問題主要集中在對(duì)服務(wù)器的安全保護(hù)、防黑客和病毒、重要網(wǎng)段的保護(hù)以及管理安全上。因此，我們必須采取相應(yīng)的安全措施杜絕安全隱患，其中應(yīng)該做到：

公開服務(wù)器的安全保護(hù)

防止黑客從外部攻擊

入侵檢測(cè)與監(jiān)控

信息審計(jì)與記錄

病毒防護(hù)

數(shù)據(jù)安全保護(hù)

數(shù)據(jù)備份與恢復(fù)

網(wǎng)絡(luò)的安全管理

針對(duì)這個(gè)企業(yè)局域網(wǎng)絡(luò)系統(tǒng)的實(shí)際情況，在系統(tǒng)考慮如何解決上述安全問題的設(shè)計(jì)時(shí)應(yīng)滿足如下要求：

1.大幅度地提高系統(tǒng)的安全性（重點(diǎn)是可用性和可控性）；

2.保持網(wǎng)絡(luò)原有的能特點(diǎn)，即對(duì)網(wǎng)絡(luò)的協(xié)議和傳輸具有很好的透明性，能透明接入，無需更改網(wǎng)絡(luò)設(shè)置；

3.易于操作、維護(hù)，并便于自動(dòng)化管理，而不增加或少增加附加操作；

4.盡量不影響原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，同時(shí)便于系統(tǒng)及系統(tǒng)功能的擴(kuò)展；

5.安全保密系統(tǒng)具有較好的性能價(jià)格比，一次性投資，可以長(zhǎng)期使用；

6.安全產(chǎn)品具有合法性，及經(jīng)過國(guó)家有關(guān)管理部門的認(rèn)可或認(rèn)證； 7.分布實(shí)施。

三、產(chǎn)品選型和網(wǎng)絡(luò)拓?fù)鋱D介紹

該校園網(wǎng)現(xiàn)行核心區(qū)選用銳捷核心交換機(jī)RG-S5750S系列，24端口10/100/1000M自適應(yīng)端口（支持PoE遠(yuǎn)程供電），12個(gè)復(fù)用的SFP接口，2個(gè)擴(kuò)展槽。支持4K個(gè)802.1Q VLAN 支持Super VLAN、支持Protocol VLAN、支持Private VLAN、支持Voice VLAN(*)、支持基于MAC地址的VLAN(*)、支持QinQ、支持STP、RSTP、MSTP。

防火墻采用深信服M5400VPN防火墻。2個(gè)LAN口，4個(gè)WAN口，2個(gè)串口。IPSec VPN隧道數(shù)：5200 條/并發(fā)SSL用戶數(shù)：800 /每秒新建用戶數(shù)：80 /每秒新建會(huì)話數(shù)：500/最大并發(fā)會(huì)話數(shù)目：600,000。接入層采用H3C S1048交換機(jī)，提供48個(gè)符合IEEE802.3u標(biāo)準(zhǔn)的10/100M自適應(yīng)以太網(wǎng)接口，所有端口均支持全線速無阻塞交換以及端口自動(dòng)翻轉(zhuǎn)功能，外形采用19英寸標(biāo)準(zhǔn)機(jī)架設(shè)計(jì)。符合IEEE802.3、IEEE802.3u和IEEE802.3x標(biāo)準(zhǔn)； 提供48個(gè)10/100M自適應(yīng)以太網(wǎng)端口； 每個(gè)端口都支持Auto-MDI/MDIX功能； 每個(gè)端口都提供Speed和Link/Act指示燈，顯示端口的工作狀態(tài)。

校園網(wǎng)拓?fù)鋱D：

（四、五、）操作系統(tǒng)安全配置與測(cè)試，WWW配置與測(cè)試。

操作系統(tǒng)采用server 03，并在其上配置IIS、WWW、DHCP、DNS等。配置圖例如下：

然后建立網(wǎng)站文件夾目錄：

性能與目錄安全性配置：

可以通過IP地址和域名限制，創(chuàng)建虛擬文件目錄，更改端口號(hào)燈多種方法來提高WWW服務(wù)器的安全性。通過局域網(wǎng)網(wǎng)內(nèi)不同主機(jī)對(duì)服務(wù)器的訪問來測(cè)試配置情況。

六、防病毒體系設(shè)計(jì)

防病毒體系總體規(guī)劃：

防病毒系統(tǒng)不僅是檢測(cè)和清除病毒，還應(yīng)加強(qiáng)對(duì)病毒的防護(hù)工作，在網(wǎng)絡(luò)中不僅要部署被動(dòng)防御體系（防病毒系統(tǒng)）還要采用主動(dòng)防御機(jī)制（防火墻、安全策略、漏洞修復(fù)等），將病毒隔離在網(wǎng)絡(luò)大門之外。通過管理控制臺(tái)統(tǒng)一部署防病毒系統(tǒng)，保證不出現(xiàn)防病毒漏洞。因此，遠(yuǎn)程安裝、集中管理、統(tǒng)一防病毒策略成為企業(yè)級(jí)防病毒產(chǎn)品的重要需求。

在跨區(qū)域的廣域網(wǎng)內(nèi)，要保證整個(gè)廣域網(wǎng)安全無毒，首先要保證每一個(gè)局域網(wǎng)的安全無毒。也就是說，一個(gè)企業(yè)網(wǎng)的防病毒系統(tǒng)是建立在每個(gè)局域網(wǎng)的防病毒系統(tǒng)上的。應(yīng)該根據(jù)每個(gè)局域網(wǎng)的防病毒要求，建立局域網(wǎng)防病毒控制系統(tǒng)，分別設(shè)置有針對(duì)性的防病毒策略。從總部到分支機(jī)構(gòu)，由上到下，各個(gè)局域網(wǎng)的防病毒系統(tǒng)相結(jié)合，最終形成一個(gè)立體的、完整的病毒防護(hù)體系。

1.構(gòu)建控管中心集中管理架構(gòu)

保證網(wǎng)絡(luò)中的所有客戶端計(jì)算機(jī)、服務(wù)器可以從管理系統(tǒng)中及時(shí)得到更新，同時(shí)系統(tǒng)管理人員可以在任何時(shí)間、任何地點(diǎn)通過瀏覽器對(duì)整個(gè)防毒系統(tǒng)進(jìn)行管理，使整個(gè)系統(tǒng)中任何一個(gè)節(jié)點(diǎn)都可以被系統(tǒng)管理人員隨時(shí)管理，保證整個(gè)防毒系統(tǒng)有效、及時(shí)地?cái)r截病毒。2.構(gòu)建全方位、多層次的防毒體系

結(jié)合企業(yè)實(shí)際網(wǎng)絡(luò)防毒需求，構(gòu)建了多層次病毒防線，分別是網(wǎng)絡(luò)層防毒、郵件網(wǎng)關(guān)防毒、Web網(wǎng)關(guān)防毒、群件防毒、應(yīng)用服務(wù)器防毒、客戶端防毒，保證斬?cái)嗖《究梢詡鞑?、寄生的每一個(gè)節(jié)點(diǎn)，實(shí)現(xiàn)病毒的全面布控。3.構(gòu)建高效的網(wǎng)關(guān)防毒子系統(tǒng)

網(wǎng)關(guān)防毒是最重要的一道防線，一方面消除外來郵件SMTP、POP3病毒的威脅，另一方面消除通過HTTP、FTP等應(yīng)用的病毒風(fēng)險(xiǎn)，同時(shí)對(duì)郵件中的關(guān)鍵字、垃圾郵件進(jìn)行阻擋，有效阻斷病毒最主要傳播途徑。

4.構(gòu)建高效的網(wǎng)絡(luò)層防毒子系統(tǒng)

企業(yè)中網(wǎng)絡(luò)病毒的防范是最重要的防范工作，通過在網(wǎng)絡(luò)接口和重要安全區(qū)域部署網(wǎng)絡(luò)病毒系統(tǒng)，在網(wǎng)絡(luò)層全面消除外來病毒的威脅，使得網(wǎng)絡(luò)病毒不再肆意傳播，同時(shí)結(jié)合病毒所利用的傳播途徑，結(jié)合安全策略進(jìn)行主動(dòng)防御。

5.構(gòu)建覆蓋病毒發(fā)作生命周期的控制體系 當(dāng)一個(gè)惡性病毒入侵時(shí)，防毒系統(tǒng)不僅僅使用病毒代碼來防范病毒，而是具備完善的預(yù)警機(jī)制、清除機(jī)制、修復(fù)機(jī)制來實(shí)現(xiàn)病毒的高效處理，特別是對(duì)利用系統(tǒng)漏洞、端口攻擊為手段癱瘓整個(gè)網(wǎng)絡(luò)的新型病毒具有很好的防護(hù)手段。防毒系統(tǒng)在病毒代碼到來之前，可以通過網(wǎng)關(guān)可疑信息過濾、端口屏蔽、共享控制、重要文件/文件夾寫保護(hù)等多種手段來對(duì)病毒進(jìn)行有效控制，使得新病毒未進(jìn)來的進(jìn)不來、進(jìn)來后又沒有擴(kuò)散的途徑。在清除與修復(fù)階段又可以對(duì)發(fā)現(xiàn)的病毒高效清除，快速恢復(fù)系統(tǒng)至正常狀態(tài)。6.病毒防護(hù)能力

防病毒能力要強(qiáng)、產(chǎn)品穩(wěn)定、操作系統(tǒng)兼容性好、占用系統(tǒng)資源少、不影響應(yīng)用程序的正常運(yùn)行，減少誤報(bào)的幾率。7.系統(tǒng)服務(wù)

系統(tǒng)服務(wù)是整體防毒系統(tǒng)中極為重要的一環(huán)。防病毒體系建立起來之后，能否對(duì)病毒進(jìn)行有效的防范，與病毒廠商能否提供及時(shí)、全面的服務(wù)有著極為重要的關(guān)系。這一方面要求軟件提供商要有全球化的防毒體系為基礎(chǔ)，另一方面也要求廠商能有精良的本地化技術(shù)人員作依托，不管是對(duì)系統(tǒng)使用中出現(xiàn)的問題，還是用戶發(fā)現(xiàn)的可疑文件，都能進(jìn)行快速的分析和方案提供。如果有新病毒爆發(fā)及其它網(wǎng)絡(luò)安全事件，需要防病毒廠商具有較強(qiáng)的應(yīng)急處理能力及售后服務(wù)保障，并且做出具體、詳細(xì)的應(yīng)急處理機(jī)制計(jì)劃表和完善的售后服務(wù)保障體系。防病毒體系的管理功能：

防病毒系統(tǒng)能夠?qū)崿F(xiàn)分級(jí)、分組管理，不同組及客戶端執(zhí)行不同病毒查殺策略，全網(wǎng)定時(shí)/定級(jí)查殺病毒、全網(wǎng)遠(yuǎn)程查殺策略設(shè)置、遠(yuǎn)程報(bào)警、移動(dòng)式管理、集中式授權(quán)管理、全面監(jiān)控主流郵件服務(wù)器、全面監(jiān)控郵件客戶端、統(tǒng)一的管理界面，直接監(jiān)視和操縱服務(wù)器端/客戶端，根據(jù)實(shí)際需要，添加自定義任務(wù)（例如更新和掃描任務(wù)等），支持大型網(wǎng)絡(luò)統(tǒng)一管理的多級(jí)中心系統(tǒng)等多種復(fù)雜的管理功能。8.資源占用率 防病毒系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)控或多或少地要占用部分系統(tǒng)資源，這就不可避免地要帶來系統(tǒng)性能的降低。尤其是對(duì)郵件、網(wǎng)頁(yè)和FTP文件的監(jiān)控掃描，由于工作量相當(dāng)大，因此對(duì)系統(tǒng)資源的占用較大。因此，防病毒系統(tǒng)占用系統(tǒng)資源要較低，不影響系統(tǒng)的正常運(yùn)行。8.系統(tǒng)兼容性

防病毒系統(tǒng)要具備良好的兼容性，將支持以下操作系統(tǒng)：Windows NT、Windows2000、Windows 9X/Me、Windows XP/Vista、Windows 2000/2003 /2008 Server、Unix、Linux等X86和X64架構(gòu)的操作系統(tǒng)。

9.病毒庫(kù)組件升級(jí)

防病毒系統(tǒng)提供多種升級(jí)方式以及自動(dòng)分發(fā)的功能，支持多種網(wǎng)絡(luò)連接方式，具有升級(jí)方便、更新及時(shí)等特點(diǎn)，管理員可以十分輕松地按照預(yù)先設(shè)定的升級(jí)方式實(shí)現(xiàn)全網(wǎng)內(nèi)的統(tǒng)一升級(jí)，減少病毒庫(kù)增量升級(jí)對(duì)網(wǎng)絡(luò)資源的占用，并且采用均衡流量的策略，盡快將新版本部署到全部計(jì)算機(jī)上，時(shí)刻保證病毒庫(kù)都是最新的，且版本一致，杜絕因版本不一致而可能造成的安全漏洞和安全隱患。10.軟件商的企業(yè)實(shí)力

軟件商的實(shí)力一方面指它對(duì)現(xiàn)有產(chǎn)品的技術(shù)支持和服務(wù)能力，另一方面是指它的后續(xù)發(fā)展能力。因?yàn)槠髽I(yè)級(jí)防毒軟件實(shí)際是用戶企業(yè)與防病毒廠商的長(zhǎng)期合作，企業(yè)實(shí)力將會(huì)影響這種合作的持續(xù)性，從而影響到用戶企業(yè)在此方面的投入成本。

七、防火墻設(shè)計(jì)、配置

對(duì)于深信服M5400可以做以下方面的配置：

1、用戶與策略管理配置：

WEB、HTTP URL過濾：

郵件過濾：

網(wǎng)頁(yè)內(nèi)容審計(jì)：

認(rèn)證方式：