第一篇：影響大型企業(yè)辦公網(wǎng)絡(luò)安全的主要因素及防范措施

影響大型企業(yè)辦公網(wǎng)絡(luò)安全的主要因素及防范措施

摘要：隨著信息時代的發(fā)展，當(dāng)前大型企業(yè)基本都建立起了自己企業(yè)內(nèi)部的辦公網(wǎng)絡(luò)，其網(wǎng)絡(luò)結(jié)構(gòu)一般較為復(fù)雜，用戶多且素質(zhì)差異較大，使得辦公網(wǎng)絡(luò)面臨很多網(wǎng)絡(luò)安全問題。本文針對大型企業(yè)辦公網(wǎng)絡(luò)的安全問題，分析了其主要影響因素，并提出了相應(yīng)的防范措施和策略。

關(guān)鍵詞：企業(yè)辦公網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 影響因素 防范措施

前言

在互聯(lián)網(wǎng)的體系結(jié)構(gòu)中，企業(yè)辦公網(wǎng)絡(luò)（局域網(wǎng)）處于網(wǎng)絡(luò)結(jié)構(gòu)的最底層，是與用戶最為接近的一個環(huán)節(jié)，具有最廣的用戶面。由于企業(yè)局域網(wǎng)的通信具有多樣性的特點(diǎn)，使得局域網(wǎng)協(xié)議缺陷以及其他諸多方面的因素威脅著企業(yè)用戶上網(wǎng)的安全。大型企業(yè)的業(yè)務(wù)能否順利運(yùn)行、企業(yè)的效能以及企業(yè)核心競爭力的發(fā)揮都與辦公網(wǎng)絡(luò)的安全有重要關(guān)聯(lián)。因此，企業(yè)辦公人員應(yīng)當(dāng)提高辦公網(wǎng)絡(luò)安全意識，了解企業(yè)局域網(wǎng)安全的相關(guān)防范措施。企業(yè)辦公網(wǎng)絡(luò)的結(jié)構(gòu)及特點(diǎn)簡介

1.1 企業(yè)辦公網(wǎng)絡(luò)的分區(qū)

企業(yè)辦公網(wǎng)絡(luò)的合理分區(qū)，有助于對不同局域網(wǎng)區(qū)域安全問題采取不同的措施或策略。企業(yè)辦公局域網(wǎng)一般可分為核心區(qū)、DMZ區(qū)(緩沖區(qū))以及接入?yún)^(qū)三個區(qū)域，如圖1所示。核心區(qū)放置存儲系統(tǒng)、備份服務(wù)器以及數(shù)據(jù)庫服務(wù)器等關(guān)鍵服務(wù)器；接入?yún)^(qū)用于internet、其它系統(tǒng)等的接入；而DMZ區(qū)則實(shí)現(xiàn)核心區(qū)同接入?yún)^(qū)間的緩沖連接，用于需提供外部訪問的代理服務(wù)器、DNS等服務(wù)器。

圖1 企業(yè)辦公網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖

1.2 大型企業(yè)辦公網(wǎng)絡(luò)特點(diǎn)

大型企業(yè)辦公網(wǎng)絡(luò)一般具有網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜、覆蓋范圍廣、辦公網(wǎng)絡(luò)的用戶眾多、用戶素質(zhì)水平差異大等特點(diǎn)。企業(yè)局域網(wǎng)內(nèi)商業(yè)信息、機(jī)密文件的傳輸量很大，而企業(yè)辦公網(wǎng)絡(luò)用戶的網(wǎng)絡(luò)安全意識普遍較低，使得企業(yè)機(jī)密容易泄露或者遭遇惡意篡改等網(wǎng)絡(luò)安全問題。而且，企業(yè)辦公局域網(wǎng)同互聯(lián)網(wǎng)一般都存在一定程度的連接，因此，企業(yè)局域網(wǎng)同時也受到來自互聯(lián)網(wǎng)的網(wǎng)絡(luò)威脅。影響企業(yè)辦公網(wǎng)絡(luò)安全的因素

2.1 計算機(jī)病毒的感染、傳播

網(wǎng)絡(luò)安全最主要的影響因素之一就是計算機(jī)病毒。早期的病毒主要是感染存儲設(shè)備中的文件，并通過移動設(shè)備傳播，病毒的“發(fā)作”會損壞軟、硬件系統(tǒng)。計算機(jī)病毒發(fā)展到現(xiàn)在，破壞性變得更強(qiáng)，且隱蔽性更好、感染性更強(qiáng)、傳播效率更高。病毒的傳播除通過U盤、惡意網(wǎng)頁、電子郵件等途徑外，還能利用網(wǎng)絡(luò)共享、操作系統(tǒng)漏洞等在局域網(wǎng)內(nèi)快速的擴(kuò)散。同時由于其強(qiáng)隱蔽性的特點(diǎn)，用戶很難發(fā)現(xiàn)。此外，新病毒及病毒變種的產(chǎn)生速度非常快以至于很多殺毒軟件都不能很好的起到作用。

2.2 管理、制度漏洞

企業(yè)網(wǎng)絡(luò)管理漏洞會使企業(yè)外部人員有機(jī)會通過一定途徑取得本企業(yè)相關(guān)權(quán)限，非法竊取企業(yè)信息、數(shù)據(jù)，破壞企業(yè)網(wǎng)絡(luò)，對企業(yè)網(wǎng)絡(luò)系統(tǒng)安全造成威脅。

2.3 黑客入侵

盡管大型企業(yè)的辦公網(wǎng)絡(luò)同互聯(lián)網(wǎng)的連接相對較少，但黑客入侵企業(yè)網(wǎng)絡(luò)的可能性仍很高。一旦遭遇黑客的入侵，整個企業(yè)網(wǎng)絡(luò)將面臨巨大的安全風(fēng)險。

2.4 設(shè)備軟硬件故障

服務(wù)器硬件故障、應(yīng)用軟件故障、操作系統(tǒng)崩潰等故障都會導(dǎo)致企業(yè)用戶無法正常使用網(wǎng)絡(luò)，負(fù)荷不均或過重會使系統(tǒng)響應(yīng)能力降低。路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備、光纖、雙絞線等傳輸介質(zhì)等故障都會引起網(wǎng)絡(luò)通信故障。

2.5 數(shù)據(jù)的破壞、竊取

企業(yè)用戶由于操作疏忽或不熟練造成的誤操作會導(dǎo)致部分?jǐn)?shù)據(jù)的丟失或破壞，外在因素如自然災(zāi)害和設(shè)備硬件的損壞也會引起數(shù)據(jù)損壞。安全防范措施

3.1 服務(wù)器安全

要把握最小服務(wù)的原則配置服務(wù)器，關(guān)閉非必要網(wǎng)絡(luò)服務(wù)，從而降低安全風(fēng)險。服務(wù)可用性的保障，可采取負(fù)載均衡+主機(jī)備份的模式部署，對日常數(shù)據(jù)建立備份。定期檢測維護(hù)硬件，以提高服務(wù)器的安全性、穩(wěn)定性。

3.2 調(diào)整、優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)

按照企業(yè)地理位置或組織架構(gòu)劃分為相互獨(dú)立的多個子網(wǎng)，以減小企業(yè)不同區(qū)域、部門網(wǎng)絡(luò)間的相互影響。對子網(wǎng)間網(wǎng)絡(luò)設(shè)備的訪問設(shè)置特定的規(guī)則，使其能按管理的要求約束各個子網(wǎng)間的訪問權(quán)限，防止外部用戶非法訪問機(jī)密數(shù)據(jù)。

3.3 安全意識

依靠技術(shù)、建立安全設(shè)施解決企業(yè)的網(wǎng)絡(luò)安全問題僅僅是企業(yè)網(wǎng)絡(luò)安全的第一步，在安全體系中能有效的貫徹安全制度、不斷提高企業(yè)用戶的安全意識才能全面提高企業(yè)的網(wǎng)絡(luò)安全。

3.4 管理要求

企業(yè)管理層要從根本上加強(qiáng)對網(wǎng)絡(luò)安全的重視。對企業(yè)辦公網(wǎng)絡(luò)的應(yīng)用系統(tǒng)建立嚴(yán)格的、完善的帳號管理和審查制度。對員工定期培訓(xùn)，提高企業(yè)員工整體網(wǎng)絡(luò)安全意識。完善企業(yè)網(wǎng)絡(luò)安全保密制度，規(guī)范員工的網(wǎng)絡(luò)使用行為，杜絕人為破壞網(wǎng)絡(luò)以及企業(yè)信息泄密現(xiàn)象的發(fā)生。

3.5 設(shè)備的配置

企業(yè)網(wǎng)絡(luò)的第一道防線是防火墻，防火墻的配置可僅允許外部用戶訪問公開的網(wǎng)絡(luò)服務(wù)，屏蔽常見病毒用到的IP地址、端口等，降低病毒感染和被木馬攻擊的機(jī)率。VPN防火墻利用VPN功能能保證企業(yè)內(nèi)部辦公網(wǎng)絡(luò)的安全，而且用戶遠(yuǎn)程訪問也更安全。合理配置交換機(jī)、路由器，設(shè)置滿足安全規(guī)范的使用密碼也是十分有效的防范措施。

3.6 機(jī)密數(shù)據(jù)的安全

要備份機(jī)密數(shù)據(jù)，不能在網(wǎng)絡(luò)中傳播機(jī)密數(shù)據(jù)，應(yīng)當(dāng)用高強(qiáng)度加密算法對機(jī)密數(shù)據(jù)加密，然后通過安全渠道傳輸數(shù)據(jù)，接觸機(jī)密數(shù)據(jù)的人員越少越好。此外，密鑰的安全管理、鑰分發(fā)方式以及更換的及時性都對數(shù)據(jù)的安全有重要影響。

3.7 終端安全

計算機(jī)病毒木馬通常以終端作為實(shí)施破壞和攻擊的柄息地，病毒攻擊途徑可通過關(guān)閉非必要的網(wǎng)絡(luò)服務(wù)來減少，系統(tǒng)的安全性則可通過定期更換、禁用Guest用戶來提高。網(wǎng)絡(luò)共享服務(wù)盡量關(guān)閉，傳送文件采取其他較為安全的方式。系統(tǒng)補(bǔ)丁要及時更新，安裝性能優(yōu)異的殺毒軟件以提高終端的安全防護(hù)。

結(jié)束語

信息時代大環(huán)境下的企業(yè)網(wǎng)絡(luò)安全問題隨時變化，企業(yè)辦公網(wǎng)絡(luò)安全的維護(hù)不僅要從技術(shù)、設(shè)備上采取防范措施，還應(yīng)當(dāng)更加重視企業(yè)網(wǎng)絡(luò)的安全管理和提高企業(yè)員工的網(wǎng)絡(luò)安全意識，這樣才能全面提高企業(yè)辦公網(wǎng)絡(luò)的安全性。

參考文獻(xiàn)：

[1] 張桂紅.企業(yè)辦公網(wǎng)絡(luò)安全的研究與實(shí)踐.武漢交通職業(yè)學(xué)院學(xué)報，2009，11

（3）：77~79

[2] 黃婷，鄒鵬.大型企業(yè)辦公網(wǎng)絡(luò)安全.科技資訊，2009，33：152

[3] 巴虎.淺談企業(yè)網(wǎng)絡(luò)安全風(fēng)險及其對策.企業(yè)技術(shù)開發(fā)，2009，28:20~21

第二篇：淺析網(wǎng)絡(luò)安全的威脅因素及防范措施

淺析網(wǎng)絡(luò)安全的威脅因素及防范措施

摘要：

網(wǎng)絡(luò)安全問題一直是計算機(jī)良好發(fā)展的關(guān)鍵性因素。隨著網(wǎng)絡(luò)的飛速發(fā)展,網(wǎng)絡(luò)安全問題日趨凸現(xiàn)。本文通過對網(wǎng)絡(luò)安全的主要威脅因素進(jìn)行分析,著重闡述了幾種常用的網(wǎng)絡(luò)安全的防范措施。

關(guān)鍵詞：網(wǎng)絡(luò)安全；威脅因素；防范措施

一、網(wǎng)絡(luò)安全的威脅因素分析

隨著網(wǎng)絡(luò)的飛速發(fā)展，網(wǎng)絡(luò)安全問題日趨凸顯，目前的網(wǎng)絡(luò)安全技術(shù)主要有以下幾種：

1、計算機(jī)軟件的漏洞

每一個網(wǎng)絡(luò)軟件或操作系統(tǒng)的存在都不可能是沒有缺陷、沒有漏洞的,這就是說每一臺計算機(jī)都是不安全的,只要計算機(jī)室連接入網(wǎng)的,都將成為眾矢之的。

2、相關(guān)軟件配置不當(dāng)

對于沒有做好安全配置的電腦同樣會造成網(wǎng)絡(luò)安全的漏洞,諸如,如果防火墻軟件配置不正確,那防火墻就起不到應(yīng)有的作用。對計算機(jī)上的某些網(wǎng)絡(luò)應(yīng)用程序,當(dāng)它打開時,就相應(yīng)的打開了一些安全缺口,同樣的與該軟件捆綁在一起的應(yīng)用軟件也會被打開。除非用戶不讓該程序運(yùn)行或?qū)ζ溥M(jìn)行正確配置,否則,計算機(jī)始終存在安全隱患。

3、用戶個人安全意識不強(qiáng)

安全意識的問題主要針對用戶本人，對與用戶口令選擇或?qū)①~號隨意告知他人或與別人共享等,都會給計算機(jī)帶來網(wǎng)絡(luò)安全威脅。

4、網(wǎng)絡(luò)病毒

目前計算機(jī)病毒是數(shù)據(jù)安全的頭號大敵,它是制造者在計算機(jī)程序中植入的損壞計算機(jī)數(shù)據(jù)或功能,對計算機(jī)軟硬件的正常運(yùn)行造成影響并能夠自我復(fù)制的計算機(jī)程序代碼或指令。計算機(jī)病毒具有觸發(fā)性、破壞性、寄生性、傳染性、隱蔽性等特點(diǎn)。因此,針對計算機(jī)病毒的防范尤為重要。

5、電腦黑客

電腦黑客(Cracker)是對計算機(jī)數(shù)據(jù)安全構(gòu)成威脅的另一個重要方面。電腦黑客是利用系統(tǒng)中的安全漏洞非法進(jìn)入他人的系統(tǒng),是一種甚至比病毒更危害的安全因素。

二、網(wǎng)絡(luò)安全的防范措施

目前常用的幾種網(wǎng)絡(luò)安全技術(shù)防范措施有以下幾種：

1、防火墻(Fire Wall)安全技術(shù)

防火墻是指Internet之間通過預(yù)定的安全策略,對計算機(jī)內(nèi)外網(wǎng)通信強(qiáng)制實(shí)施的訪問控制的安全應(yīng)用措施。它按照一定的安全策略對網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包實(shí)施檢查,以裁決網(wǎng)絡(luò)之間的通信是否應(yīng)該被允許,并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。由于它透明度高且簡單實(shí)用,目前被廣泛應(yīng)用。據(jù)統(tǒng)計,近五年防火墻需求的年增長率為174%。目前,市面上防火墻種類很多,有些廠商甚至把防火墻植入其硬件產(chǎn)品中?？梢詳喽ǎ阑饓夹g(shù)將得到進(jìn)一步發(fā)展。但是,防火墻也并非想象的那樣不可安全。統(tǒng)計顯示,曾被黑客入侵的網(wǎng)絡(luò)用戶有33%是有防火墻的,所以還必須有其它安全措施保證網(wǎng)絡(luò)信息,諸如對數(shù)據(jù)的加密處理。而且防火墻無法保護(hù)對企業(yè)內(nèi)部網(wǎng)絡(luò)的安全，只能針對外部網(wǎng)絡(luò)的侵?jǐn)_。

2、用戶數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密是對數(shù)據(jù)信息重新編碼,從而隱匿信息內(nèi)容,讓非法用戶無法得知信息本身內(nèi)容的手段。信息系統(tǒng)及數(shù)據(jù)的安全性和保密性主要手段之一就是數(shù)據(jù)加密。數(shù)據(jù)加密的種類有數(shù)據(jù)傳輸、數(shù)據(jù)完整性鑒別、數(shù)據(jù)存儲以及密鑰管理四種。數(shù)據(jù)傳輸加密的目的是對傳輸中的數(shù)據(jù)流加密,常用的有線路加密和端口加密兩種;數(shù)據(jù)完整性鑒別的目的是對介入信息傳送、存取、處理人的身份和相關(guān)數(shù)據(jù)內(nèi)容進(jìn)行驗證,達(dá)到保密的要求,系統(tǒng)通過對比驗證對象輸入的特征值是否符合預(yù)先設(shè)定的參數(shù),實(shí)現(xiàn)對數(shù)據(jù)的安全保護(hù);數(shù)據(jù)存儲加密是以防止在存儲環(huán)節(jié)上的數(shù)據(jù)失密為目的,可分為密文存儲和存取控制兩種。數(shù)據(jù)加密技術(shù)現(xiàn)多表現(xiàn)為密鑰的應(yīng)用,密鑰管理實(shí)際上是為了數(shù)據(jù)使用方便。密鑰管理技術(shù)包括密鑰的產(chǎn)生、分配保存、更換與銷毀等各環(huán)節(jié)上的保密措施。另外,數(shù)字加密也廣泛地被應(yīng)用于數(shù)字簽名、信息鑒別等技術(shù)中,這對系統(tǒng)的信息處理安全起到尤為重要的作用。

3、計算機(jī)系統(tǒng)容災(zāi)技術(shù)

災(zāi)難容忍和系統(tǒng)恢復(fù)能力彌補(bǔ)了網(wǎng)絡(luò)安全體系僅有的防范和檢測措施的不足。由于沒有哪一種網(wǎng)絡(luò)安全設(shè)施是萬無一失的,一旦發(fā)生安全漏洞事件,其后果

將是不可設(shè)想的。還有,人為等不可預(yù)料導(dǎo)致的事件也會對信息系統(tǒng)造成巨大的毀壞。所以一個安全體系就算發(fā)生滅難,也能對系統(tǒng)和數(shù)據(jù)快速地恢復(fù),進(jìn)而完整地保護(hù)網(wǎng)絡(luò)信息系統(tǒng)。目前系統(tǒng)容災(zāi)技術(shù)主要有數(shù)據(jù)備份。但對于離線介質(zhì)不能保證系統(tǒng)安全。數(shù)據(jù)容災(zāi)通過IP容災(zāi)技術(shù)來保證數(shù)據(jù)的安全。數(shù)據(jù)容災(zāi)是在兩個存儲器（一個在本地，一個在異地）之間建立復(fù)制關(guān)系。本地存儲器供本地備份系統(tǒng)使用,異地存儲器對本地備份存儲器的關(guān)鍵數(shù)據(jù)實(shí)時復(fù)制。兩者通過IP相聯(lián)系,組成完整的數(shù)據(jù)容災(zāi)系統(tǒng)。系統(tǒng)容錯技術(shù)還有一種就是集群技術(shù),是通過對系統(tǒng)的容錯和整體冗余來解決不可用和系統(tǒng)死機(jī)問題。本地集群網(wǎng)絡(luò)、異地集群網(wǎng)絡(luò)和雙機(jī)熱備份是集群系統(tǒng)多種形式實(shí)現(xiàn),提供了不同的系統(tǒng)可用性和容災(zāi)性。其中容災(zāi)性是最好的是異地集群網(wǎng)絡(luò)。數(shù)據(jù)存儲系統(tǒng)集成了存儲、備份和容災(zāi)技術(shù)。是數(shù)據(jù)技術(shù)發(fā)展的重要階段。伴著存儲網(wǎng)絡(luò)化時代的發(fā)展, 一體化的多功能網(wǎng)絡(luò)存儲器勢必將取代傳統(tǒng)的功能單一的存儲器。

4、軟件漏洞掃描技術(shù)

自動檢測本地主機(jī)或遠(yuǎn)端安全的技術(shù)就是漏洞掃描,它隨時查詢TCP/IP服務(wù)的端口, 收集關(guān)于某些特定項目的有用信息，并記錄目標(biāo)主機(jī)的響應(yīng)。漏洞掃面技術(shù)是通過安全掃描程序來實(shí)現(xiàn)。掃描程序可以迅速的檢查出現(xiàn)存的安全脆弱點(diǎn)。掃描程序吧可得到的攻擊方法集成到整個掃描中,之后以統(tǒng)計的格式輸出供以后參考和分析。

5、物理安全技術(shù)

系統(tǒng)信息還有可能在空間擴(kuò)散，這就需要信息網(wǎng)絡(luò)系統(tǒng)的物理安全。為減少或干擾擴(kuò)散出去的空間信號，一般是在物理上采取一定的防護(hù)措施。物理安全方面一般的措施如下：

（1）產(chǎn)品保障：主要指產(chǎn)品采購、運(yùn)輸、安裝等方面的安全措施。

（2）運(yùn)行安全方：網(wǎng)絡(luò)中的產(chǎn)品在使用過程中,必須能夠從生成廠家或供貨單位得到迅速的技術(shù)支持和服務(wù)。對一些關(guān)鍵設(shè)備和系統(tǒng),應(yīng)設(shè)置備份系統(tǒng)。

（3）防電磁輻射方面：針對所有重要涉密的設(shè)備都需安裝防電磁輻射產(chǎn)品,如輻射干擾機(jī)等。

（4）安保方面：主要是防盜、防火等,還包括網(wǎng)絡(luò)系統(tǒng)所有網(wǎng)絡(luò)設(shè)備、計算機(jī)、安全設(shè)備的安全防護(hù)。

計算機(jī)網(wǎng)絡(luò)安全是個具有復(fù)雜性和綜合性的問題。針對各種各樣的挑戰(zhàn)以及整個社會愈來愈快的信息化發(fā)展進(jìn)程,相關(guān)的網(wǎng)絡(luò)安全的各種新的防范措施將會不斷出現(xiàn)和應(yīng)用。

參考文獻(xiàn)：

[1] 唐曦光.朱梅梅．計算機(jī)網(wǎng)絡(luò)安全的威脅因素及防范技術(shù)．現(xiàn)代化農(nóng)業(yè)．2010.[2] 劉采利.淺析計算機(jī)網(wǎng)絡(luò)安全隱患.科技天地.2010.[3] 張?zhí)N卿.丁際交．計算機(jī)網(wǎng)絡(luò)安全的威脅因素及防范技術(shù)．實(shí)用技術(shù).2010.[4] 劉學(xué)輝.計算機(jī)網(wǎng)絡(luò)安全的威脅因素及防范技術(shù)．信息科技.2007．

第三篇：大型企業(yè)網(wǎng)絡(luò)安全解決方案畢業(yè)論文

XXXXXXXXXXXXXXX 畢 業(yè) 論 文

企業(yè)網(wǎng)絡(luò)安全解決方案

姓 名：

學(xué) 號：

指導(dǎo)老師：

系 名：

專 業(yè)：

班 級：

XXXXXXXXXX計算機(jī)專業(yè)畢業(yè)設(shè)計

摘

要

隨著社會的飛速發(fā)展，網(wǎng)絡(luò)技術(shù)的也在飛速的發(fā)展之中，現(xiàn)如今網(wǎng)絡(luò)已經(jīng)無所不在的影響著社會的政治、經(jīng)濟(jì)、文化、軍事、意識形態(tài)和社會生活等各個方面。同時在全球范圍內(nèi)，針對重要信息資源和網(wǎng)絡(luò)基礎(chǔ)設(shè)施的入侵行為和企圖入侵行為的數(shù)量仍然不斷增加，網(wǎng)絡(luò)攻擊與入侵行為對國家安全、經(jīng)濟(jì)和社會生活造成了極大的威脅。計算機(jī)病毒的不斷的通過網(wǎng)絡(luò)產(chǎn)生和傳播，計算機(jī)網(wǎng)絡(luò)被不斷地非法入侵，重要情報、資料被竊取，甚至造成網(wǎng)絡(luò)系統(tǒng)的癱瘓等等，諸如此類的事件已經(jīng)給政府以及企業(yè)造成了巨大的損失，甚至危害到國家的安全。網(wǎng)絡(luò)安全已經(jīng)成為世界各國當(dāng)今共同關(guān)注的焦點(diǎn)，網(wǎng)絡(luò)安全的重要性是不言而喻的。

本文是構(gòu)思了一個虛擬的企業(yè)網(wǎng)絡(luò)的設(shè)計，重點(diǎn)研究了公司不同分部之間通過VPN技術(shù)來實(shí)現(xiàn)在廣域網(wǎng)中的加密連接。以及詳細(xì)的設(shè)計了總公司的網(wǎng)絡(luò)安全策略，保證了內(nèi)部服務(wù)器等的信息安全，按照需求對企業(yè)網(wǎng)絡(luò)安全進(jìn)行了系統(tǒng)的規(guī)劃，對計算機(jī)網(wǎng)絡(luò)安全進(jìn)行了全面的分析。在滿足了各個子網(wǎng)連通的前提下，提出了包括AAA認(rèn)證、SSH登陸、Easy VPN、訪問控制限制、NAT技術(shù)、入侵檢測部署、病毒防護(hù)、掃描系統(tǒng)管理措施和安全技術(shù)在內(nèi)的整套方案。目的是建設(shè)一個完整的、安全的網(wǎng)絡(luò)體系，是網(wǎng)絡(luò)安全系統(tǒng)真正獲得較好的效果。關(guān)鍵詞： 網(wǎng)絡(luò)，安全，VPN，防火墻，防病毒

I

XXXXXXXXXX計算機(jī)專業(yè)畢業(yè)設(shè)計

Abstract

With the rapid development of society and also the rapid development of network technology, is now the network has been the ubiquitous influence of society in all aspects of political, economic, cultural, military, ideological and social life.Worldwide for the intrusion and the number of attempted intrusions of the important information resources and network infrastructure is still growing, network attacks and intrusions caused a grave threat to national security, economic and social life.Computer virus continues through the network and dissemination, computer networks are the illegal invasion, important information, data theft, and even cause paralysis of the network system, such events have caused huge losses to the government and enterprises, and even harm to national security.Network security has become the focus of attention today in the world, the importance of network security is self-evident.This article is the idea of a virtual enterprise network design, focusing on the encrypted connection between the different segments of the company through VPN technology to achieve WAN.And detailed design of the network security policy of the Corporation to ensure the internal server, such as information security, in accordance with the needs of enterprise network security planning of the system, conducted a comprehensive analysis of computer network security.Satisfy the premise that each subnet connectivity, including the AAA authentication, SSH login to the Easy VPN, access control restrictions, the NAT technology, intrusion detection deployment, virus protection, scanning system management measures and security technologies, including the package.The purpose is to build a complete, secure network architecture, network security systems really get better results.Keywords: network, security, VPN, firewall, anti-virus

II

XXXXXXXXXX計算機(jī)專業(yè)畢業(yè)設(shè)計

目錄

摘

要............................................................................................................................................................I 第一章 緒

論...............................................................................................................................................1 1.1 網(wǎng)絡(luò)的起源......................................................................................................................................1 1.2網(wǎng)絡(luò)安全的重要性...........................................................................................................................1 第二章 企業(yè)網(wǎng)絡(luò)安全概述...........................................................................................................................3 2.1 企業(yè)網(wǎng)絡(luò)的主要安全隱患............................................................................................................3 2.2 企業(yè)網(wǎng)絡(luò)的安全誤區(qū)....................................................................................................................3 第三章

企業(yè)網(wǎng)絡(luò)總體設(shè)計方案.................................................................................................................5 3.1 公司背景..........................................................................................................................................5 3.2 企業(yè)網(wǎng)絡(luò)安全需求..........................................................................................................................5 3.3 需求分析..........................................................................................................................................5 3.4 企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)..................................................................................................................................6 3.5 企業(yè)IP地址的劃分........................................................................................................................9 第四章 企業(yè)網(wǎng)絡(luò)安全技術(shù)介紹...................................................................................................................9 4.1 Easy VPN..........................................................................................................................................9 4.1.1 什么是VPN..........................................................................................................................9 4.1.2 VPN 的分類........................................................................................................................10 4.1.3 Easy VPN.............................................................................................................................10 4.2 SSH.................................................................................................................................................11 4.2.1 SSH介紹..............................................................................................................................11 4.2.2 SSH與Telnet的區(qū)別..........................................................................................................11 4.3 AAA服務(wù)器...................................................................................................................................12 4.3.1 AAA介紹............................................................................................................................12 4.3.2 認(rèn)證(Authentication)...........................................................................................................12 4.3.3 授權(quán)(Authorization)............................................................................................................12 4.3.4 審計(Accounting)................................................................................................................13 4.4 IDS 入侵檢測系統(tǒng).....................................................................................................................13 4.5 firewall 防火墻...........................................................................................................................13 4.5.1 什么是防火墻.....................................................................................................................13 4.5.2 防火墻類型.........................................................................................................................14 第五章 企業(yè)網(wǎng)絡(luò)設(shè)備實(shí)施方案.................................................................................................................14 5.1 企業(yè)物理安全規(guī)劃......................................................................................................................14 5.2 設(shè)備選型........................................................................................................................................15 5.3 設(shè)備配置........................................................................................................................................16 5.3.1 交換機(jī).................................................................................................................................16 5.3.2 路由器與防火墻.................................................................................................................25 5.3.3 服務(wù)器.................................................................................................................................28 第六章 項目測試.........................................................................................................................................30 6.1 DHCP驗證.....................................................................................................................................32 6.2 網(wǎng)絡(luò)連通性....................................................................................................................................35 6.3 網(wǎng)絡(luò)安全性....................................................................................................................................37 6.3.1 SSH與console的權(quán)限.......................................................................................................37 6.3.2 網(wǎng)絡(luò)連通安全性.................................................................................................................40 6.4 分公司與總公司安全性................................................................................................................42 總

結(jié)...........................................................................................................................................................45 致

謝...........................................................................................................................................................46 參考文獻(xiàn).......................................................................................................................................................47

III

XXXXXXXXXX計算機(jī)專業(yè)畢業(yè)設(shè)計

IV

XXXXXXXXXX計算機(jī)專業(yè)畢業(yè)設(shè)計

第一章 緒

論

1.1 網(wǎng)絡(luò)的起源

與很多人的想象相反，Internet并非某一完美計劃的結(jié)果，Internet的創(chuàng)始人也絕不會想到它能發(fā)展成目前的規(guī)模和影響。在Internet面世之初，沒有人能想到它會進(jìn)入千家萬戶，也沒有人能想到它的商業(yè)用途。

1969年12月，Internet的前身--美國的ARPA網(wǎng)（為了能在爆發(fā)核戰(zhàn)爭時保障通信聯(lián)絡(luò)，美國國防部高級研究計劃署ARPA資助建立了世界上第一個分組交換試驗網(wǎng)ARPANET）投入運(yùn)行，它標(biāo)志著我們常稱的計算機(jī)網(wǎng)絡(luò)的興起。這個計算機(jī)互聯(lián)的網(wǎng)絡(luò)系統(tǒng)是一種分組交換網(wǎng)。分組交換技術(shù)使計算機(jī)網(wǎng)絡(luò)的概念、結(jié)構(gòu)和網(wǎng)絡(luò)設(shè)計方面都發(fā)生了根本性的變化，它為后來的計算機(jī)網(wǎng)絡(luò)打下了基礎(chǔ)。

八十年代初，隨著PC個人微機(jī)應(yīng)用的推廣，PC聯(lián)網(wǎng)的需求也隨之增大，各種基于PC互聯(lián)的微機(jī)局域網(wǎng)紛紛出臺。這個時期微機(jī)局域網(wǎng)系統(tǒng)的典型結(jié)構(gòu)是在共享介質(zhì)通信網(wǎng)平臺上的共享文件服務(wù)器結(jié)構(gòu)，即為所有聯(lián)網(wǎng)PC設(shè)置一臺專用的可共享的網(wǎng)絡(luò)文件服務(wù)器。PC是一臺“麻雀雖小，五臟俱全”的小計算機(jī)，每個PC機(jī)用戶的主要任務(wù)仍在自己的PC機(jī)上運(yùn)行，僅在需要訪問共享磁盤文件時才通過網(wǎng)絡(luò)訪問文件服務(wù)器，體現(xiàn)了計算機(jī)網(wǎng)絡(luò)中各計算機(jī)之間的協(xié)同工作。由于使用了較PSTN速率高得多的同軸電纜（費(fèi)用少，傳輸距離100米）、光纖等高速傳輸介質(zhì)，使PC網(wǎng)上訪問共享資源的速率和效率大大提高。這種基于文件服務(wù)器的微機(jī)網(wǎng)絡(luò)對網(wǎng)內(nèi)計算機(jī)進(jìn)行了分工：PC機(jī)面向用戶，微機(jī)服務(wù)器專用于提供共享文件資源。所以它實(shí)際上就是一種客戶機(jī)/服務(wù)器模式。

進(jìn)入九十年代，計算機(jī)技術(shù)、通信技術(shù)以及建立在計算機(jī)和網(wǎng)絡(luò)技術(shù)基礎(chǔ)上的計算機(jī)網(wǎng)絡(luò)技術(shù)得到了迅猛的發(fā)展。特別是1993年美國宣布建立國家信息基礎(chǔ)設(shè)施NII后，全世界許多國家紛紛制定和建立本國的NII，從而極大地推動了計算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，使計算機(jī)網(wǎng)絡(luò)進(jìn)入了一個嶄新的階段。目前，全球以美國為核心的高速計算機(jī)互聯(lián)網(wǎng)絡(luò)即Internet已經(jīng)形成，Internet已經(jīng)成為人類最重要的、最大的知識寶庫。而美國政府又分別于1996年和1997年開始研究發(fā)展更加快速可靠的互聯(lián)網(wǎng)2（Internet 2）和下一代互聯(lián)網(wǎng)（Next Generation Internet）。可以說，網(wǎng)絡(luò)互聯(lián)和高速計算機(jī)網(wǎng)絡(luò)正成為最新一代的計算機(jī)網(wǎng)絡(luò)的發(fā)展方向。

1.2網(wǎng)絡(luò)安全的重要性

隨著信息化技術(shù)的飛速發(fā)展，許多有遠(yuǎn)見的企業(yè)都認(rèn)識到依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營平臺將極大地提升企業(yè)的核心競爭力，使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。經(jīng)營管理對

XXXXXXXXXX計算機(jī)專業(yè)畢業(yè)設(shè)計

計算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng)，計算機(jī)應(yīng)用系統(tǒng)對網(wǎng)絡(luò)的依賴性增強(qiáng)。計算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計算機(jī)網(wǎng)絡(luò)和計算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對網(wǎng)絡(luò)安全提出了更高的要求。信息安全防范應(yīng)做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個動態(tài)的過程，事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備，安全管理應(yīng)貫穿安全防范活動的始終。

網(wǎng)絡(luò)安全問題伴隨著網(wǎng)絡(luò)的產(chǎn)生而產(chǎn)生，可以說，有網(wǎng)絡(luò)的地方就存在網(wǎng)絡(luò)安全隱患。像病毒入侵和黑客攻擊之類的網(wǎng)絡(luò)安全事件，目前主要是通過網(wǎng)絡(luò)進(jìn)行的，而且?guī)缀趺繒r每刻都在發(fā)生，遍及全球。除此之外，像惡意軟件入侵、攻擊，用戶的非法訪問和操作，用戶郵件的非法截取和更改等都是普遍存在的安全事實(shí)。網(wǎng)絡(luò)安全事件所帶來的危害，相信我們每個計算機(jī)用戶都或多或少地親身體驗過一些：輕則使電腦系統(tǒng)運(yùn)行不正常，重則使整個計算機(jī)系統(tǒng)中的磁盤數(shù)據(jù)全部覆滅，甚至導(dǎo)致磁盤、計算機(jī)等硬件的損壞。

為了防范這些網(wǎng)絡(luò)安全事故的發(fā)生，每個計算機(jī)用戶，特別是企業(yè)網(wǎng)絡(luò)用戶，必須采取足夠的安全防范措施，甚至可以說要在利益均衡情況下不惜一切代價。但要注意，企業(yè)網(wǎng)絡(luò)安全策略的實(shí)施是一項系統(tǒng)工程，它涉及許多方面。因此既要充分考慮到那些平時經(jīng)常提及的外部網(wǎng)絡(luò)威脅，又要對來自內(nèi)部網(wǎng)絡(luò)和網(wǎng)絡(luò)管理本身所帶來的安全隱患有足夠的重視，不能孤立地看待任何一個安全隱患和安全措施。因為這些安全隱患爆發(fā)的途徑可以是多方面的，而許多安全措施都是相輔相成的。

XXXXXXXXXX計算機(jī)專業(yè)畢業(yè)設(shè)計

第二章 企業(yè)網(wǎng)絡(luò)安全概述

2.1 企業(yè)網(wǎng)絡(luò)的主要安全隱患

現(xiàn)在網(wǎng)絡(luò)安全系統(tǒng)所要防范的不再僅是病毒感染，更多的是基于網(wǎng)絡(luò)的非法入侵、攻擊和訪問，由于企業(yè)在各地可能有不同公司，但是公司之間信息通過廣域網(wǎng)相連，所以信息很容易被黑客等截下?，F(xiàn)如今企業(yè)網(wǎng)絡(luò)安全威脅的主要來源主要包括。

1)病毒、木馬和惡意軟件的入侵。2)網(wǎng)絡(luò)黑客的攻擊。

3)重要文件或郵件的非法竊取、訪問與操作。4)關(guān)鍵部門的非法訪問和敏感信息外泄。5)外網(wǎng)的非法入侵。

6)備份數(shù)據(jù)和存儲媒體的損壞、丟失。

針對這些安全隱患，所采取的安全策略可以通過安裝專業(yè)的網(wǎng)絡(luò)版病毒防護(hù)系統(tǒng)，同時也要加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全管理，配置好防火墻過濾策略和系統(tǒng)本身的各項安全措施，及時安裝系統(tǒng)安全補(bǔ)丁，本部與分部之間運(yùn)行VPN等防護(hù)通信信息的安全性，加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全管理，嚴(yán)格實(shí)行“最小權(quán)限”原則，為各個用戶配置好恰當(dāng)?shù)挠脩魴?quán)限；同時對一些敏感數(shù)據(jù)進(jìn)行加密保護(hù)，如財政部等要設(shè)立訪問權(quán)限；根據(jù)企業(yè)實(shí)際需要配置好相應(yīng)的數(shù)據(jù)策略，并按策略認(rèn)真執(zhí)行。

2.2 企業(yè)網(wǎng)絡(luò)的安全誤區(qū)

(一)安裝防火墻就安全了

防火墻主要工作都是控制存取與過濾封包，所以對DoS攻擊、非法存取與篡改封包等攻擊模式的防范極為有效，可以提供網(wǎng)絡(luò)周邊的安全防護(hù)。但如果攻擊行為不經(jīng)過防火墻，或是將應(yīng)用層的攻擊程序隱藏在正常的封包內(nèi)，便力不從心了，許多防火墻只是工作在網(wǎng)絡(luò)層。

防火墻的原理是“防外不防內(nèi)”，對內(nèi)部網(wǎng)絡(luò)的訪問不進(jìn)行任何阻撓，而事實(shí)上，企業(yè)網(wǎng)絡(luò)安全事件絕大部分還是源于企業(yè)內(nèi)部。

(二)安裝了最新的殺毒軟件就不怕病毒了

安裝殺毒軟件的目的是為了預(yù)防病毒的入侵和查殺系統(tǒng)中已感染的計算機(jī)病毒，但這并不能保證就沒有病毒入侵了，因為殺毒軟件查殺某一病毒的能力總是滯后于該病毒的出現(xiàn)。

(三)在每臺計算機(jī)上安裝單機(jī)版殺毒軟件和網(wǎng)絡(luò)版殺毒軟件等效

XXXXXXXXXX計算機(jī)專業(yè)畢業(yè)設(shè)計

網(wǎng)絡(luò)版殺毒軟件核心就是集中的網(wǎng)絡(luò)防毒系統(tǒng)管理。網(wǎng)絡(luò)版殺毒軟件可以在一臺服務(wù)器上通過安全中心控制整個網(wǎng)絡(luò)的客戶端殺毒軟件同步病毒查殺、監(jiān)控整個網(wǎng)絡(luò)的病毒。同時對于整個網(wǎng)絡(luò)，管理非常方便，對于單機(jī)版是不可能做到的。

(四)只要不上網(wǎng)就不會中毒

雖然不少病毒是通過網(wǎng)頁傳播的，但像QQ聊天接發(fā)郵件同樣是病毒傳播的主要途徑，而且盜版光盤以及U盤等也會存在著病毒。所以只要計算機(jī)開著，就要防范病毒。

(五)文件設(shè)置只讀就可以避免感染病毒

設(shè)置只讀只是調(diào)用系統(tǒng)的幾個命令，而病毒或黑客程序也可以做到這一點(diǎn)，設(shè)置只讀并不能有效防毒，不過在局域網(wǎng)中為了共享安全，放置誤刪除，還是比較有用的。

(六)網(wǎng)絡(luò)安全主要來自外部

基于內(nèi)部的網(wǎng)絡(luò)攻擊更加容易，不需要借助于其他的網(wǎng)絡(luò)連接方式，就可以直接在內(nèi)部網(wǎng)絡(luò)中實(shí)施攻擊。所以，加強(qiáng)內(nèi)部網(wǎng)絡(luò)安全管理，特別是用戶帳戶管理，如帳戶密碼、臨時帳戶、過期帳戶和權(quán)限等方面的管理非常必要了。

XXXXXXXXXX計算機(jī)專業(yè)畢業(yè)設(shè)計

第三章

企業(yè)網(wǎng)絡(luò)總體設(shè)計方案

3.1 公司背景

公司北京總部有一棟大樓，員工人數(shù)大約800人，在全國設(shè)有4個分公司（上海、廣州、重慶和西安）?？偛颗c分公司利用當(dāng)?shù)氐腎SP連接。通過網(wǎng)絡(luò)安全方案設(shè)計，加固企業(yè)網(wǎng)絡(luò)，避免因為安全問題導(dǎo)致的業(yè)務(wù)停滯；同時保證總部與分公司之間高安全、低成本的要求。公司對網(wǎng)絡(luò)的依賴性很強(qiáng)，主要業(yè)務(wù)都要涉及互聯(lián)網(wǎng)以及內(nèi)部網(wǎng)絡(luò)。面對對頻繁出現(xiàn)的黑客入侵和網(wǎng)絡(luò)故障，直接危害網(wǎng)絡(luò)的運(yùn)行和業(yè)務(wù)的正常開展。因此構(gòu)建健全的網(wǎng)絡(luò)安全體系是當(dāng)前的重中之重。

3.2 企業(yè)網(wǎng)絡(luò)安全需求

公司根據(jù)網(wǎng)絡(luò)需求，建設(shè)一個企業(yè)網(wǎng)絡(luò)，北京總部存儲主要機(jī)密信息在服務(wù)器中，有AAA服務(wù)器、內(nèi)部DNS服務(wù)器、FTP服務(wù)器、HTTP服務(wù)器。企業(yè)分經(jīng)理辦公室、財政部、市場部、軟件部、系統(tǒng)集成部以及外來接待廳，需要各部門隔開，同時除了經(jīng)理辦公室外其余不能訪問財政部，而接待廳不能訪問公司內(nèi)部網(wǎng)絡(luò)，只能連通外網(wǎng)。同時由于考慮到Inteneter的安全性，以及網(wǎng)絡(luò)安全等一些因素，如VPN、NAT等。因此本企業(yè)的網(wǎng)絡(luò)安全構(gòu)架要求如下：

（1）根據(jù)公司需求組建網(wǎng)絡(luò)（2）保證網(wǎng)絡(luò)的連通性（3）保護(hù)網(wǎng)絡(luò)信息的安全性

（4）防范網(wǎng)絡(luò)資源的非法訪問及非授權(quán)訪問（5）防范入侵者的惡意攻擊與破壞

（6）保護(hù)企業(yè)本部與分部之間通信信息的完整與安全性（7）防范病毒的侵害（8）實(shí)現(xiàn)網(wǎng)絡(luò)的安全管理。

3.3 需求分析

通過對公司的實(shí)際需求來規(guī)劃網(wǎng)絡(luò)設(shè)計，為公司的網(wǎng)絡(luò)安全建設(shè)實(shí)施網(wǎng)絡(luò)系統(tǒng)改造，提高企業(yè)網(wǎng)絡(luò)系統(tǒng)運(yùn)行的穩(wěn)定性，保證企業(yè)各種設(shè)計信息的安全性，避免圖紙、文檔的丟失和外泄。通過軟件或安全手段對客戶端的計算機(jī)加以保護(hù)，記錄用戶對客戶端計算機(jī)中關(guān)鍵目錄和文件的操作，使企業(yè)有手段對用戶在客戶端計算機(jī)的使用情況進(jìn)行追蹤，防范外來計算機(jī)的侵入而造成破壞。通過

XXXXXXXXXX計算機(jī)專業(yè)畢業(yè)設(shè)計

網(wǎng)絡(luò)的改造，使管理者更加便于對網(wǎng)絡(luò)中的服務(wù)器、客戶端、登陸用戶的權(quán)限以及應(yīng)用軟件的安裝進(jìn)行全面的監(jiān)控和管理。因此需要

（1）構(gòu)建良好的環(huán)境確保企業(yè)物理設(shè)備的安全（2）IP地址域的劃分與管理（3）劃分VLAN控制內(nèi)網(wǎng)安全（4）安裝防火墻體系

（5）建立VPN(虛擬專用網(wǎng)絡(luò))確保數(shù)據(jù)安全（6）安裝防病毒服務(wù)器（7）加強(qiáng)企業(yè)對網(wǎng)絡(luò)資源的管理（8）做好訪問控制權(quán)限配置（9）做好對網(wǎng)絡(luò)設(shè)備訪問的權(quán)限

3.4 企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)

北京總公司網(wǎng)絡(luò)拓?fù)鋱D，如圖2-1所示:

XXXXXXXXXX計算機(jī)專業(yè)畢業(yè)設(shè)計

服務(wù)器群IDS入侵檢測經(jīng)理辦公室匯聚交換機(jī)核心交換機(jī)接入交換機(jī)財務(wù)部匯聚交換機(jī)匯聚交換機(jī)防火墻接入交換機(jī)接入交換機(jī)接入交換機(jī)軟件部市場部系統(tǒng)集成部接待部

圖2-1 北京總部網(wǎng)絡(luò)結(jié)構(gòu)

分公司網(wǎng)絡(luò)拓?fù)?如圖2.2所示：

XXXXXXXXXX計算機(jī)專業(yè)畢業(yè)設(shè)計

上海分公司廣州分公司重慶分公司西安分公司Internet廣域網(wǎng)Web服務(wù)器

圖2-2 公司分部網(wǎng)絡(luò)結(jié)構(gòu)

圖2.1與2.2通過防火墻相連，防火墻上做NAT轉(zhuǎn)換，Easy VPN等。核心交換機(jī)配置基于VLAN的DHCP，網(wǎng)絡(luò)設(shè)備僅僅只能由網(wǎng)絡(luò)管理員進(jìn)行遠(yuǎn)程控制，就算是Console控制也需要特定的密碼，外部分公司通過VPN連接能夠訪問北京總公司內(nèi)部網(wǎng)絡(luò)，北京總公司內(nèi)網(wǎng)中，接待廳網(wǎng)絡(luò)設(shè)備僅僅能訪問外部網(wǎng)絡(luò)，無法訪問公司內(nèi)網(wǎng)。

XXXXXXXXXX計算機(jī)專業(yè)畢業(yè)設(shè)計

3.5 企業(yè)IP地址的劃分

由于是現(xiàn)實(shí)中，公網(wǎng)IP地址需要向ISP運(yùn)行商申請，而本解決方案是虛擬題，故公網(wǎng)IP為虛擬的，由于現(xiàn)如今IPv4地址及其短缺，而IPv6技術(shù)還不是很成熟，所以公司內(nèi)部使用私有地址網(wǎng)段，本著節(jié)省地址的原則，北京公司內(nèi)部一共有800左右終端，所以由192.168.0.0/22網(wǎng)絡(luò)段劃分。由于本課題重點(diǎn)為總公司內(nèi)部網(wǎng)絡(luò)安全，以及總公司與分公司之間連通性的網(wǎng)絡(luò)安全，所以分公司內(nèi)部沒有詳細(xì)化，所以分公司地址一律192.168.1.1/24網(wǎng)段，ip地址分配為一下：

總公司總網(wǎng)段：192.168.0.0/22

名稱 VLAN ID IPv4地址段 網(wǎng)關(guān)地址

經(jīng)理辦公室 10 192.168.3.192/26 192.168.3.193 財政部 20 192.168.3.128/26 192.168.3.129 軟件部 30 192.168.0.0/24 192.168.0.1 市場部 40 192.168.1.0/24 192.168.1.1 系統(tǒng)集成中心 50 192.168.2.0/24 192.168.2.1 參觀中心 60 192.168.3.0/25 192.168.3.1 網(wǎng)管中心 99 192.168.3.240/30 192.168.3.241 服務(wù)器集群 100 192.168.3.224/28 192.168.3.225 核心與路由器 無 192.168.3.244/30 路由器與防火墻 無 192.168.3.248/29 其他分公司 1 192.168.1.0/24 192.168.1.1

第四章 企業(yè)網(wǎng)絡(luò)安全技術(shù)介紹

4.1 Easy VPN 4.1.1 什么是VPN 虛擬專用網(wǎng)絡(luò)（Virtual Private Network，簡稱VPN)指的是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)。其之所以稱為虛擬網(wǎng)，主要是因為整個VPN網(wǎng)絡(luò)的任意兩個節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺，如Internet、ATM(異步傳

XXXXXXXXXX計算機(jī)專業(yè)畢業(yè)設(shè)計

輸模式〉、Frame Relay（幀中繼）等之上的邏輯網(wǎng)絡(luò)，用戶數(shù)據(jù)在邏輯鏈路中傳輸。它涵蓋了跨共享網(wǎng)絡(luò)或公共網(wǎng)絡(luò)的封裝、加密和身份驗證鏈接的專用網(wǎng)絡(luò)的擴(kuò)展。VPN主要采用了隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和使用者與設(shè)備身份認(rèn)證技術(shù)。

4.1.2 VPN 的分類

根據(jù)不同的劃分標(biāo)準(zhǔn)，VPN可以按幾個標(biāo)準(zhǔn)進(jìn)行分類劃分

1.按VPN的協(xié)議分類 VPN的隧道協(xié)議主要有三種，PPTP，L2TP和IPSec，其中PPTP和L2TP協(xié)議工作在OSI模型的第二層，又稱為二層隧道協(xié)議；IPSec是第三層隧道協(xié)議，也是最常見的協(xié)議。L2TP和IPSec配合使用是目前性能最好，應(yīng)用最廣泛的一種。

2.按VPN的應(yīng)用分類

1)Access VPN（遠(yuǎn)程接入VPN）：客戶端到網(wǎng)關(guān)，使用公網(wǎng)作為骨干網(wǎng)在設(shè)備之間傳輸VPN的數(shù)據(jù)流量。從PSTN、ISDN或PLMN接入。

2)Intranet VPN（內(nèi)聯(lián)網(wǎng)VPN）：網(wǎng)關(guān)到網(wǎng)關(guān)，通過公司的網(wǎng)絡(luò)架構(gòu)連接來自同公司的資源。

3)Extranet VPN（外聯(lián)網(wǎng)VPN）：與合作伙伴企業(yè)網(wǎng)構(gòu)成Extranet,將一個公司與另一個公司的資源進(jìn)行連接

3.按所用的設(shè)備類型進(jìn)行分類

網(wǎng)絡(luò)設(shè)備提供商針對不同客戶的需求，開發(fā)出不同的VPN網(wǎng)絡(luò)設(shè)備，主要為交換機(jī)，路由器，和防火墻

1）路由器式VPN：路由器式VPN部署較容易，只要在路由器上添加VPN服務(wù)即可 只支持簡單的PPTP或IPSEC。

2）交換機(jī)式VPN：主要應(yīng)用于連接用戶較少的VPN網(wǎng)絡(luò)

3）防火墻式VPN：防火墻式VPN是最常見的一種VPN的實(shí)現(xiàn)方式，許多廠商都提供這種配置類型

4.1.3 Easy VPN easy VPN又名EzVPN，是Cisco專用VPN技術(shù)。它分為EASY VPN SERVER和EASY VPN REMOTE兩種，EASY VPN SERVER 是REMOT--ACCESS VPN專業(yè)設(shè)備。配置復(fù)雜，支持POLICY PUSHING等特性，此技術(shù)基于IPsec協(xié)議為基礎(chǔ)，擴(kuò)展的的cisco私有協(xié)議，支持遠(yuǎn)程登錄，并且根據(jù)自己的AAA的服務(wù)器去認(rèn)證其可靠性，如認(rèn)證通過，會為訪問者分配自己內(nèi)部IP地址，保證其訪問內(nèi)部信息。在Easy VPN連接成功后，對于ISP運(yùn)行商來說總公司與分公司數(shù)據(jù)的傳輸是透明的，就像拉了一根專線一樣，通過抓包等方式捕獲數(shù)據(jù)包會發(fā)現(xiàn)全為ESP數(shù)據(jù)，無法從數(shù)據(jù)包中獲得任何信息，由于其加密方式為HASH速算，根據(jù)其雪崩效應(yīng)想通過加密包算出真是數(shù)據(jù)的可能性幾乎為0，所以數(shù)據(jù)的傳輸上的安全性被大大地保證了。

XXXXXXXXXX計算機(jī)專業(yè)畢業(yè)設(shè)計

4.2 SSH 4.2.1 SSH介紹

SSH 為 Secure Shell 的縮寫，由 IETF 的網(wǎng)絡(luò)工作小組（Network Working Group）所制定；SSH 為建立在應(yīng)用層和傳輸層基礎(chǔ)上的安全協(xié)議。

SSH 主要有三部分組成：

1）傳輸層協(xié)議 [SSH-TRANS]

提供了服務(wù)器認(rèn)證，保密性及完整性。此外它有時還提供壓縮功能。SSH-TRANS 通常運(yùn)行在 TCP/IP連接上，也可能用于其它可靠數(shù)據(jù)流上。SSH-TRANS 提供了強(qiáng)力的加密技術(shù)、密碼主機(jī)認(rèn)證及完整性保護(hù)。該協(xié)議中的認(rèn)證基于主機(jī)，并且該協(xié)議不執(zhí)行用戶認(rèn)證。更高層的用戶認(rèn)證協(xié)議可以設(shè)計為在此協(xié)議之上。

2）用戶認(rèn)證協(xié)議 [SSH-USERAUTH]

用于向服務(wù)器提供客戶端用戶鑒別功能。它運(yùn)行在傳輸層協(xié)議 SSH-TRANS 上面。當(dāng)SSH-USERAUTH 開始后，它從低層協(xié)議那里接收會話標(biāo)識符（從第一次密鑰交換中的交換哈希H）。會話標(biāo)識符唯一標(biāo)識此會話并且適用于標(biāo)記以證明私鑰的所有權(quán)。SSH-USERAUTH 也需要知道低層協(xié)議是否提供保密性保護(hù)。

3）連接協(xié)議 [SSH-CONNECT]

4.2.2 SSH與Telnet的區(qū)別

傳統(tǒng)的網(wǎng)絡(luò)服務(wù)程序，如：ftp、pop和telnet在本質(zhì)上都是不安全的，因為它們在網(wǎng)絡(luò)上用明文傳送口令和數(shù)據(jù)，別有用心的人非常容易就可以截獲這些口令和數(shù)據(jù)。而且，這些服務(wù)程序的安全驗證方式也是有其弱點(diǎn)的，就是很容易受到“中間人”（man-in-the-middle）這種方式的攻擊。所謂“中間人”的攻擊方式，就是“中間人”冒充真正的服務(wù)器接收你傳給服務(wù)器的數(shù)據(jù)，然后再冒充你把數(shù)據(jù)傳給真正的服務(wù)器。服務(wù)器和你之間的數(shù)據(jù)傳送被“中間人”一轉(zhuǎn)手做了手腳之后，就會出現(xiàn)很嚴(yán)重的問題。

SSH是替代Telnet和其他遠(yuǎn)程控制臺管理應(yīng)用程序的行業(yè)標(biāo)準(zhǔn)。SSH命令是加密的并以幾種方式進(jìn)行保密。

在使用SSH的時候，一個數(shù)字證書將認(rèn)證客戶端(你的工作站)和服務(wù)器(你的網(wǎng)絡(luò)設(shè)備)之間的連接，并加密受保護(hù)的口令。SSH1使用RSA加密密鑰，SSH2使用數(shù)字簽名算法(DSA)密鑰保護(hù)連接和認(rèn)證。加密算法包括Blowfish，數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)，以及三重DES(3DES)。SSH保護(hù)并且有助于防止欺騙，“中間人”攻擊，以及數(shù)據(jù)包監(jiān)聽。

通過使用SSH，你可以把所有傳輸?shù)臄?shù)據(jù)進(jìn)行加密，這樣“中間人”這種攻擊方式就不可能實(shí)現(xiàn)了，而且也能夠防止DNS欺騙和IP欺騙。使用SSH，還有一個額外的好處就是傳輸?shù)臄?shù)據(jù)是經(jīng)過壓縮的，所以可以加快傳輸?shù)乃俣?。SSH有很多功能，它既可以代替Telnet，又可以為FTP、PoP、甚至為PPP提供一個安全的“通道”。

XXXXXXXXXX計算機(jī)專業(yè)畢業(yè)設(shè)計

4.3 AAA服務(wù)器

4.3.1 AAA介紹

AAA是認(rèn)證、授權(quán)和記賬（Authentication、Authorization、Accounting）三個英文單詞的簡稱。其主要目的是管理哪些用戶可以訪問網(wǎng)絡(luò)服務(wù)器，具有訪問權(quán)的用戶可以得到哪些服務(wù)，如何對正在使用網(wǎng)絡(luò)資源的用戶進(jìn)行記賬。具體為：

1、認(rèn)證(Authentication): 驗證用戶是否可以獲得訪問權(quán)限；

2、授權(quán)(Authorization): 授權(quán)用戶可以使用哪些服務(wù)；

3、審計(Accounting): 記錄用戶使用網(wǎng)絡(luò)資源的情況。

4.3.2 認(rèn)證(Authentication)認(rèn)證負(fù)責(zé)在用戶訪問網(wǎng)絡(luò)或網(wǎng)絡(luò)服務(wù)器以前，對用戶進(jìn)行認(rèn)證。

如需配置AAA認(rèn)證，管理員可以創(chuàng)建一個命名的認(rèn)證列表，然后把這個列表應(yīng)用到各種接口上。這個方法列表可以定義所要執(zhí)行的認(rèn)證類型和他們的順序。管理員需要基于每個接口來應(yīng)用這些方法。然而，當(dāng)管理員沒有定義其他認(rèn)證方法是，cisco路由器和交換機(jī)上的所有接口都關(guān)聯(lián)了一個默認(rèn)的方法列表，名為Default。但管理員定義的方法列表會覆蓋默認(rèn)方法列表。

除了本地認(rèn)證、線路密碼的Enable認(rèn)證以外，其他所有的認(rèn)證方法都需要使用AAA。

4.3.3 授權(quán)(Authorization)授權(quán)為遠(yuǎn)程訪問控制提供了方法。這里所說的遠(yuǎn)程訪問控制包括一次性授權(quán)，或者基于每個用戶賬號列表或用戶組為每個服務(wù)進(jìn)行授權(quán)。

交換機(jī)或路由器上的AAA授權(quán)是通過連接一個通用的集中式數(shù)據(jù)庫，并訪問其中的一系列屬性來工作的，這些說性描述了網(wǎng)絡(luò)用戶的授權(quán)服務(wù)，比如訪問網(wǎng)絡(luò)中的不同部分。交換機(jī)或路由器會向服務(wù)器詢問用戶真實(shí)的能力和限制，集中式服務(wù)器向其返回授權(quán)結(jié)果，告知用戶所能夠使用的服務(wù)。這個數(shù)據(jù)庫通常是位于中心位置的服務(wù)器，比如RADIUS或者TACACS+安全服務(wù)器。但管理員也可以使用本地數(shù)據(jù)庫。遠(yuǎn)程安全服務(wù)器（比如RADIUS和TACACS+）通過把用戶與相應(yīng)的AVP（屬性值對）相關(guān)聯(lián)，來收與用戶具體的權(quán)限。RADIUS和TACACS+把這些AVP配置應(yīng)用給用戶或者用戶組。每個AVP由一個類型識別符和一個或多個分配給它的值組成。AVP在用戶配置文件（User Profile）和組配置文件（Group Profile）中指定的AVP，為相應(yīng)的用戶和組定義了認(rèn)證和授權(quán)特性。

XXXXXXXXXX計算機(jī)專業(yè)畢業(yè)設(shè)計

4.3.4 審計(Accounting)審計為收集和發(fā)送安全服務(wù)器信息提供了方法，這些信息可以用于計費(fèi)（billing）、查賬（auditing）和報告（reporting）。這類信息包括用戶身份、網(wǎng)絡(luò)訪問開始和結(jié)束的時間、執(zhí)行過的命令（比如PPP）、數(shù)據(jù)包的數(shù)量和字節(jié)數(shù)量。這些信息是交換機(jī)和路由器能夠檢測登錄的用戶，從而對于查賬和增強(qiáng)安全性有很大幫助。

在很多環(huán)境中，AAA都會使用多種協(xié)議來管理其安全功能，比如RADIUS、TACACS+或者802.1x。如果網(wǎng)絡(luò)中的交換機(jī)充當(dāng)網(wǎng)絡(luò)接入服務(wù)器角色，那么AAA就是網(wǎng)絡(luò)訪問服務(wù)器與RADIUS、TACACS+或者802.1x安全服務(wù)器之間建立連接的方法。

AAA是動態(tài)配置的，它允許管理員基于每條線路（每個用戶）或者每個服務(wù)（比如IP、IPX或VPDN[虛擬私有撥號網(wǎng)絡(luò)]）來配置認(rèn)證和授權(quán)。管理員先要創(chuàng)建方法列表，然后把這些方法列表應(yīng)用到指定的服務(wù)或接口上，以針對每條線路或每個用戶進(jìn)行運(yùn)作。

4.4 IDS 入侵檢測系統(tǒng)

由于Cisco packet Tracer 5.3無法模擬IDS設(shè)備，又由于IDS在實(shí)際企業(yè)網(wǎng)絡(luò)中作用很大，所以在拓?fù)鋱D中將其設(shè)計進(jìn)去，在這里做一些基本介紹。

IDS是英文“Intrusion Detection Systems”的縮寫，中文意思是“入侵檢測系統(tǒng)”。專業(yè)上講就是依照一定的安全策略，通過軟、硬件，對網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。做一個形象的比喻：假如防火墻是一幢大樓的門鎖，那么IDS就是這幢大樓里的監(jiān)視系統(tǒng)。一旦小偷爬窗進(jìn)入大樓，或內(nèi)部人員有越界行為，只有實(shí)時監(jiān)視系統(tǒng)才能發(fā)現(xiàn)情況并發(fā)出警告。

入侵檢測可分為實(shí)時入侵檢測和事后入侵檢測兩種。

實(shí)時入侵檢測在網(wǎng)絡(luò)連接過程中進(jìn)行，系統(tǒng)根據(jù)用戶的歷史行為模型、存儲在計算機(jī)中的專家知識以及神經(jīng)網(wǎng)絡(luò)模型對用戶當(dāng)前的操作進(jìn)行判斷，一旦發(fā)現(xiàn)入侵跡象立即斷開入侵者與主機(jī)的連接，并收集證據(jù)和實(shí)施數(shù)據(jù)恢復(fù)。這個檢測過程是不斷循環(huán)進(jìn)行的。

事后入侵檢測則是由具有網(wǎng)絡(luò)安全專業(yè)知識的網(wǎng)絡(luò)管理人員來進(jìn)行的，是管理員定期或不定期進(jìn)行的，不具有實(shí)時性，因此防御入侵的能力不如實(shí)時入侵檢測系統(tǒng)。

4.5 firewall 防火墻

4.5.1 什么是防火墻

所謂防火墻指的是一個由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障.是一種獲取安全性方法的形象說法，它是一種計算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個安全網(wǎng)關(guān)（Security Gateway），從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問規(guī)則、驗證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個部分組成，防火墻就是一個位于計算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件或硬件。該計算機(jī)流入流出的所有網(wǎng)絡(luò)通信和數(shù)據(jù)包均要經(jīng)過此防火墻。

在網(wǎng)絡(luò)中，所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如Internet)分開的方法，它實(shí)際

XXXXXXXXXX計算機(jī)專業(yè)畢業(yè)設(shè)計

上是一種隔離技術(shù)。防火墻是在兩個網(wǎng)絡(luò)通訊時執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)。換句話說，如果不通過防火墻，公司內(nèi)部的人就無法訪問Internet，Internet上的人也無法和公司內(nèi)部的人進(jìn)行通信。

4.5.2 防火墻類型

主要有2中，網(wǎng)絡(luò)防火墻和應(yīng)用防火墻。

1）網(wǎng)絡(luò)層防火墻

網(wǎng)絡(luò)層防火墻可視為一種 IP 封包過濾器，運(yùn)作在底層的 TCP/IP 協(xié)議堆棧上。我們可以以枚舉的方式，只允許符合特定規(guī)則的封包通過，其余的一概禁止穿越防火墻（病毒除外，防火墻不能防止病毒侵入）。這些規(guī)則通?？梢越?jīng)由管理員定義或修改，不過某些防火墻設(shè)備可能只能套用內(nèi)置的規(guī)則。

我們也能以另一種較寬松的角度來制定防火墻規(guī)則，只要封包不符合任何一項“否定規(guī)則”就予以放行。現(xiàn)在的操作系統(tǒng)及網(wǎng)絡(luò)設(shè)備大多已內(nèi)置防火墻功能。

較新的防火墻能利用封包的多樣屬性來進(jìn)行過濾，例如：來源 IP 地址、來源端口號、目的 IP 地址或端口號、服務(wù)類型(如 004km.cn hostname SWc!enable password cisco！ip dhcp excluded-address 192.168.0.1 DHCPip dhcp excluded-address 192.168.3.129 ip dhcp excluded-address 192.168.3.1 ip dhcp excluded-address 192.168.1.1 ip dhcp excluded-address 192.168.2.1 ip dhcp excluded-address 192.168.3.193!ip dhcp pool vlan30 network 192.168.0.0 255.255.255.0 default-router 192.168.0.1 dns-server 192.168.3.227 DNSip dhcp pool vlan40 network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 dns-server 192.168.3.227 ip dhcp pool vlan50 network 192.168.2.0 255.255.255.0 default-router 192.168.2.1 dns-server 192.168.3.227 ip dhcp pool vlan10

設(shè)置交換機(jī)域名，與SSH驗證有關(guān)用戶登入特權(quán)模式密碼 在分配時排除該IP地址 這些地址為網(wǎng)段的網(wǎng)關(guān)地址 開啟一個DHCP地址池 分配的網(wǎng)絡(luò)段 默認(rèn)網(wǎng)關(guān)IP地址 地址 21

XXXXXXXXXX計算機(jī)專業(yè)畢業(yè)設(shè)計

network 192.168.3.192 255.255.255.224 default-router 192.168.3.193 dns-server 192.168.3.227 ip dhcp pool vlan60 network 192.168.3.0 255.255.255.128 default-router 192.168.3.1 dns-server 192.168.3.227 ip dhcp pool vlan20 network 192.168.3.128 255.255.255.192 default-router 192.168.3.129 dns-server 192.168.3.227 ip routing 開啟路由功能，這條很重，不然無法啟動路由協(xié)議等！username beijiangong password 0 cisco 設(shè)置遠(yuǎn)程登錄時用戶名與密碼！interface FastEthernet0/1 switchport access vlan 100 switchport mode access!interface FastEthernet0/2 switchport trunk encapsulation dot1q 配置trunk的封裝格式 switchport mode trunk!interface FastEthernet0/3 switchport trunk encapsulation dot1q switchport mode trunk!interface FastEthernet0/4 switchport trunk encapsulation dot1q switchport mode trunk!interface FastEthernet0/5 no switchport 啟動3層接口

XXXXXXXXXX計算機(jī)專業(yè)畢業(yè)設(shè)計

ip address 192.168.3.245 255.255.255.252 duplex auto 自動協(xié)商雙工 speed auto 自動協(xié)商速率!interface FastEthernet0/6 switchport access vlan 99！interface Vlan1 no ip address shutdown!interface Vlan10 ip address 192.168.3.193 255.255.255.224!interface Vlan20 ip address 192.168.3.129 255.255.255.192 ip access-group 20 out 在此接口的出方向啟動acl 20!interface Vlan30 ip address 192.168.0.1 255.255.255.0!interface Vlan40 ip address 192.168.1.1 255.255.255.0!interface Vlan50 ip address 192.168.2.1 255.255.255.0!interface Vlan60 ip address 192.168.3.1 255.255.255.128 ip access-group 101 out 在此接口的出方向啟動acl 101!interface Vlan99

XXXXXXXXXX計算機(jī)專業(yè)畢業(yè)設(shè)計

ip address 192.168.3.241 255.255.255.252!interface Vlan100 ip address 192.168.3.230 255.255.255.240!router ospf 10 啟動OSPF 進(jìn)程號為10 router-id 1.1.1.1 為本設(shè)備配置ID標(biāo)示符 log-adjacency-changes 開啟系統(tǒng)日志關(guān)于ospf變化 network 192.168.3.245 0.0.0.0 area 0 宣告網(wǎng)絡(luò)，與其區(qū)域 network 192.168.3.193 0.0.0.0 area 1 network 192.168.3.129 0.0.0.0 area 1 network 192.168.0.1 0.0.0.0 area 2 network 192.168.1.1 0.0.0.0 area 2 network 192.168.2.1 0.0.0.0 area 3 network 192.168.3.1 0.0.0.0 area 3 network 192.168.3.230 0.0.0.0 area 4 network 192.168.3.241 0.0.0.0 area 5!ip classless！access-list 10 permit host 192.168.3.242 acl 10 允許該主機(jī)地址 access-list 20 deny 192.168.0.0 0.0.0.255 acl 20 拒絕該網(wǎng)段 access-list 20 deny 192.168.1.0 0.0.0.255 access-list 20 deny 192.168.2.0 0.0.0.255 access-list 20 deny 192.168.3.0 0.0.0.255 access-list 101 deny ip 192.168.3.0 0.0.0.127 192.168.0.0 0.0.3.255（擴(kuò)展acl 101 拒絕該網(wǎng)段的ip協(xié)議去訪問192.168.0.0/22網(wǎng)段）access-list 101 permit ip any any 允許所有ip協(xié)議的任何源目訪問!crypto key generate rsa 設(shè)置SSH的加密算法為rsa（隱藏命令，在show run中看不到！!

XXXXXXXXXX計算機(jī)專業(yè)畢業(yè)設(shè)計

line con 0 password cisco 設(shè)置console密碼

line vty 0 4 進(jìn)入vty接口 默認(rèn)登入人數(shù)為5 access-class 10 in 在該接口入方向啟動acl 10 password cisco 密碼為cisco login local 登入方式為本地認(rèn)證 transport input ssh 更改登錄方式為SSH！end 5.3.2 路由器與防火墻

R1： hostname r1!enable password cisco！username beijiangong password 0 cisco!interface FastEthernet0/0 ip address 192.168.3.246 255.255.255.252 duplex auto speed auto!interface FastEthernet0/1 ip address 192.168.3.249 255.255.255.248 duplex auto speed auto!router ospf 10 router-id 2.2.2.2 log-adjacency-changes network 192.168.3.246 0.0.0.0 area 0

XXXXXXXXXX計算機(jī)專業(yè)畢業(yè)設(shè)計

network 192.168.3.249 0.0.0.0 area 6!ip classless！access-list 10 permit host 192.168.3.242!no cdp run!line con 0 password cisco line vty 0 4 access-class 10 in password cisco login local！!end Firewall: hostname ASA!enable password cisco!aaa new-model 開啟AAA功能!aaa authentication login eza group radius 啟動認(rèn)證登錄組名為eza分類為radius!

aaa authorization network ezo group radius啟動授權(quán)組名為eza分類為radius!username beijiangong password 0 cisco!crypto isakmp policy 10 設(shè)置加密密鑰策略 encr 3des 啟動3重加密算法 hash md5 啟動MD5認(rèn)證 authentication pre-share 認(rèn)證方式為共享 group 2 優(yōu)先級組別為2!crypto isakmp client configuration group myez 設(shè)置密鑰客戶端等級組 key 123 為等級組設(shè)置密碼

pool ez 為客戶分配內(nèi)部IP地址池!

XXXXXXXXXX計算機(jī)專業(yè)畢業(yè)設(shè)計

crypto ipsec transform-set tim esp-3des esp-md5-hmac 傳輸隧道封裝類型!crypto dynamic-map ezmap 10 進(jìn)入隧道封裝策略模式

set transform-set tim 調(diào)用上面設(shè)置的封裝組tim reverse-route 開啟vpn的反向路由!crypto map tom client authentication list eza 加密組tom的客戶認(rèn)證調(diào)用上面的eza組

crypto map tom isakmp authorization list ezo 加密組tom的密鑰授權(quán)管理方式調(diào)用上面的eza組

crypto map tom client configuration address respond 加密組tom為客戶分配IP地址

crypto map tom 10 ipsec-isakmp dynamic ezmap 加密組tom調(diào)用隧道加密格式名稱為ezmap!interface FastEthernet0/0 ip address 192.168.3.250 255.255.255.248 ip nat inside duplex auto speed auto!interface FastEthernet0/1 no ip address duplex auto speed auto shutdown!interface Serial0/2/0 ip address 100.1.1.1 255.255.255.0 ip nat outside crypto map tom!interface Serial0/3/0 no ip address shutdown!interface Vlan1 no ip address shutdown!router ospf 10 router-id 3.3.3.3 log-adjacency-changes network 192.168.3.250 0.0.0.0 area 6 default-information originate 向其他ospf鄰居宣告默認(rèn)路由!ip local pool ez 192.168.3.251 192.168.3.254 配置VPN登入進(jìn)來后分配的IP地址池

ip nat inside source list 1 interface Serial0/2/0 overload 設(shè)置動態(tài)NAT將acl 1的地址轉(zhuǎn)化為s0/2/0并多路復(fù)用 ip classless ip route 0.0.0.0 0.0.0.0 Serial0/2/0 默認(rèn)路由 都走s0/2/0

XXXXXXXXXX計算機(jī)專業(yè)畢業(yè)設(shè)計

！access-list 1 permit 192.168.0.0 0.0.3.255 access-list 10 permit host 192.168.3.242!no cdp run 關(guān)閉鄰居發(fā)現(xiàn)協(xié)議！radius-server host 192.168.3.225 auth-port 1645 key 123 指定AAA服務(wù)器地址與Easy VPN 端口號以及對應(yīng)密鑰!line con 0 password cisco login line vty 0 4 access-class 10 in password cisco login local!End

5.3.3 服務(wù)器

AAA服務(wù)器配置：

XXXXXXXXXX計算機(jī)專業(yè)畢業(yè)設(shè)計

HTTP服務(wù)器：

DNS服務(wù)器：

XXXXXXXXXX計算機(jī)專業(yè)畢業(yè)設(shè)計

第六章 項目測試

Packet Tracer 模擬器實(shí)驗拓?fù)鋱D

所有設(shè)備的用戶名為：beijiangong 密碼：cisco

VPN 登錄配置： 組名：beijiangong Key:123 服務(wù)器IP：100.1.1.1 用戶名：123 密碼：123

XXXXXXXXXX計算機(jī)專業(yè)畢業(yè)設(shè)計

北京總公司 圖A

分公司以及ISP網(wǎng)絡(luò) 圖B

XXXXXXXXXX計算機(jī)專業(yè)畢業(yè)設(shè)計

6.1 DHCP驗證

北京總公司內(nèi)網(wǎng)所有設(shè)備都是通過DHCP獲取的IP地址，但是不同VLAN所獲得的IP地址段是不同的，驗證其在不同VLAN下是否獲得正確的IP地址、網(wǎng)關(guān)、掩碼和DNS。

1）經(jīng)理辦公室 VLAN 10 配置方法，首先在Packet Tracer下，點(diǎn)擊相應(yīng)的PC，如圖6-1-1

圖6-1-1 點(diǎn)擊左上角第一欄，ip Configuration 進(jìn)入IP地址配置畫面 如圖6-1-2

XXXXXXXXXX計算機(jī)專業(yè)畢業(yè)設(shè)計

IP地址配置畫面 圖6-1-2

點(diǎn)擊DHCP，獲取IP地址，等待1-2S后查看結(jié)果 如圖6-1-3

圖6-1-3 根據(jù)提示可以看出獲得了正確的IP地址。

2）財政部 VLAN 20 如圖6-1-4

圖6-1-4

XXXXXXXXXX計算機(jī)專業(yè)畢業(yè)設(shè)計

3）軟件部 VLAN 30 如圖6-1-5

圖6-1-5 4）市場部 VLAN 40 如圖 6-1-6

圖6-1-6 5）系統(tǒng)集成部 VLAN 50 如圖6-1-7

圖6-1-7

XXXXXXXXXX計算機(jī)專業(yè)畢業(yè)設(shè)計

6)參觀中心 VLAN 60 如圖 6-1-8

圖6-1-8

6.2 網(wǎng)絡(luò)連通性

建立好網(wǎng)絡(luò)后，最重要的一點(diǎn)就是網(wǎng)絡(luò)連通性，根據(jù)公司需求，內(nèi)部計算機(jī)獲得自己IP地址，自己的DNS服務(wù)器與網(wǎng)關(guān)，那應(yīng)該可以去訪問外網(wǎng)服務(wù)器，以達(dá)到訪問公網(wǎng)的目的。

1）隨便開啟一臺PC機(jī)，如經(jīng)理辦公室PC 圖6-2-1

圖6-2-1 點(diǎn)擊Command prompt 進(jìn)入其電腦的CMD命令格式

圖6-2-2

XXXXXXXXXX計算機(jī)專業(yè)畢業(yè)設(shè)計

圖6-2-2

輸入ping 命令，在虛擬網(wǎng)絡(luò)中，如圖Ａ 運(yùn)行商IP地址為100.1.1.2 所以先ping運(yùn)行商網(wǎng)關(guān)。在命令行中輸入ping 100.1.1.2，可能第一個包會因為ARP的關(guān)系而丟失，但是后續(xù)會很穩(wěn)定。如圖6-2-3

圖6-2-3

2）檢查網(wǎng)絡(luò)內(nèi)部DNS的正確性

XXXXXXXXXX計算機(jī)專業(yè)畢業(yè)設(shè)計

打開PC機(jī)瀏覽器，如下圖所示6-2-4

圖6-2-4 如圖B所示，在公網(wǎng)中，有一個百度的服務(wù)器，域名為004km.cn 通過瀏覽器訪問百度看是否成功。如圖6-2-5

圖6-2-5 如圖所示，訪問成功，表示公司內(nèi)部網(wǎng)絡(luò)連通性已經(jīng)保證暢通。

6.3 網(wǎng)絡(luò)安全性

在保證了連通性的基礎(chǔ)上，驗證其安全性

6.3.1 SSH 與console的權(quán)限

在設(shè)備安裝完畢后，公司內(nèi)部不可能派專門的保安去看護(hù)，所以網(wǎng)絡(luò)設(shè)備的安全就需要有所保證，不能讓人們輕易的進(jìn)入其配置模式，輕易的去更改配置，所以要設(shè)置用戶名密碼。如圖6-3-1所示，一臺PC需要console核心交換機(jī)

XXXXXXXXXX計算機(jī)專業(yè)畢業(yè)設(shè)計

圖6-3-1 如圖6-2-7所示，需要點(diǎn)擊下圖所示單元進(jìn)入console連接模式

圖6-3-2 選好會話數(shù)，速率等基本參數(shù)后點(diǎn)擊OK連接設(shè)備的控制臺 如圖6-3-3

圖6-3-3

發(fā)現(xiàn)需要輸入用戶名密碼，否側(cè)無法進(jìn)入控制界面，輸入用戶名密碼后進(jìn)入用戶模式，進(jìn)入特權(quán)模式需要輸入特權(quán)密碼，輸入正確用戶名密碼后才能進(jìn)入。如圖6-3-4

XXXXXXXXXX計算機(jī)專業(yè)畢業(yè)設(shè)計

圖6-3-4

當(dāng)然console的限制很大，有監(jiān)控設(shè)備，與機(jī)柜鎖，能夠最大限度的保證其安全性，所以console的安全性問題不是很大，而telnet 的控制起來就需要用策略來限制了。

如果想telnet設(shè)備需要知道其設(shè)備上的IP地址，而本公司DHCP中的網(wǎng)關(guān)地址基本都是在核心上，所以設(shè)備上的IP地址基本誰都知道，而核心設(shè)備僅僅需要網(wǎng)絡(luò)管理員去管理，所以加了acl去選擇telnet 的對象。而在加密方面我選擇了SSH而不是非加密的Telnet.如圖所示，僅有網(wǎng)絡(luò)管理員才能ssh設(shè)備，其他員工無法ssh設(shè)備。這是管理員ssh的效果，輸入正確的用戶名密碼后，進(jìn)入其配置界面。如圖6-3-5

圖6-2-10 這是其他設(shè)備ssh的效果，無論嘗試幾個設(shè)備上的地址都被拒絕了，這樣就能保證設(shè)備控制的安全性。雖然能夠訪問其地址，但是無法取得其TCP端口號22的訪問權(quán) 如圖6-3-6

XXXXXXXXXX計算機(jī)專業(yè)畢業(yè)設(shè)計

圖6-3-6

6.3.2 網(wǎng)絡(luò)連通安全性

在一個公司內(nèi)部，雖然大家共享上網(wǎng)資源，但是各部門之間的資料還是有一些機(jī)密的，特別是財政部，一個公司財政信息都是很機(jī)密的，所以不希望其他公司內(nèi)部Pc能夠連通到此部門，所以也要通過acl去限制，去隔離一些區(qū)域。

財政部IP 192.168.3.130 軟件部IP 192.168.0.2 市場部IP 192.168.1.2

正常情況下，三個部門是可以正常ping通的，但是財政部的安全性，所以其他2個部門無法訪問財政部，但是可以互相訪問。

如圖6-3-7所示，軟件部無法訪問財政部，但是可以訪問市場部

XXXXXXXXXX計算機(jī)專業(yè)畢業(yè)設(shè)計

圖6-3-7 這樣就保證了財政部的獨(dú)立性，保證了其安全，由于公司內(nèi)部需要有客人訪問，而客人往往需要上網(wǎng)，所以需要控制其上網(wǎng)行為，如果有惡意行為，盜取公司其他部門資料，那也會造成嚴(yán)重的損失，所以，要保證其在公司參觀中心上網(wǎng)，只能訪問外網(wǎng)，不能訪問公司內(nèi)部其他主機(jī)。

如圖6-3-8所示，參觀中心的終端能夠訪問外網(wǎng)百度服務(wù)器，但是無法訪問內(nèi)部市場部PC設(shè)備。

XXXXXXXXXX計算機(jī)專業(yè)畢業(yè)設(shè)計

圖6-3-8

6.4 分公司與總公司安全性

由于分公司之間通過ISP與總公司通信，所以數(shù)據(jù)通信需要安全性，在這里我選擇了EASY VPN，由于各分公司內(nèi)部全部使用私網(wǎng)地址，所以無法與總公司內(nèi)部通信，因為私網(wǎng)地址無法宣告到公網(wǎng)中，而通過easy vpn連接后，本部通過給客戶分配總公司自己的私網(wǎng)地址，使其能夠訪問公司內(nèi)部，而通信過程中數(shù)據(jù)時加密的，無法竊取，保證了其安全性。

如圖6-4-1連接easy vpn首先要在客戶端PC打開VPN連接。

圖6-4-1 在這里設(shè)置好用戶組、用戶名、總公司的公網(wǎng)地址以及密碼后連接VPN 如圖6-4-2

XXXXXXXXXX計算機(jī)專業(yè)畢業(yè)設(shè)計

圖6-4-2 連接后需要等2-3秒，即連接成功，而且顯示被分配的IP地址 如圖6-4-3

圖6-4-3

進(jìn)行Ping命令就可以訪問北京總部的內(nèi)網(wǎng)地址終端了。如圖6-4-4

XXXXXXXXXX計算機(jī)專業(yè)畢業(yè)設(shè)計

圖6-4-4 這樣網(wǎng)絡(luò)的安全性就得到了很大的提升。

XXXXXXXXXX計算機(jī)專業(yè)畢業(yè)設(shè)計

總

結(jié)

隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全逐漸成為一個潛在的巨大問題。網(wǎng)絡(luò)安全性是一個涉及面很廣泛的問題，其中也會涉及到是否構(gòu)成犯罪行為的問題。在其最簡單的形式中，它主要關(guān)心的是確保無關(guān)人員不能讀取，更不能修改傳送給其他接收者的信息。此時，它關(guān)心的對象是那些無權(quán)使用，但卻試圖獲得遠(yuǎn)程服務(wù)的人。安全性也處理合法消息被截獲和重播的問題，以及發(fā)送者是否曾發(fā)送過該條消息的問題。

本論文從企業(yè)角度描述了網(wǎng)絡(luò)安全的解決方案，目的在于為用戶提供信息的保密，認(rèn)證和完整性保護(hù)機(jī)制，使網(wǎng)絡(luò)中的服務(wù)，數(shù)據(jù)以及系統(tǒng)免受侵?jǐn)_和破壞。比如防火墻，認(rèn)證，加密技術(shù)等都是當(dāng)今常用的方法，本論文從這些方法入手深入研究各個方面的網(wǎng)絡(luò)安全問題的解決，可以使讀者有對網(wǎng)絡(luò)安全技術(shù)的更深刻的了解。

在本方案設(shè)計之初，我對網(wǎng)絡(luò)安全的理解還是很淺，包括到了現(xiàn)在我對它的還是只有一點(diǎn)點(diǎn)的認(rèn)知，但是通過這次設(shè)計，讓我對網(wǎng)絡(luò)安全產(chǎn)生了很濃厚的興趣，很高興能夠選到這個課題，但這只是一次虛擬題，希望以后有機(jī)會在工作中能夠得到真實(shí)的項目去完成網(wǎng)絡(luò)安全的設(shè)計方案，但是，路還很長，需要學(xué)習(xí)的知識還很多，但是有興趣才是王道。

第四篇：銀行網(wǎng)絡(luò)安全防范措施

銀行網(wǎng)絡(luò)安全防范措施

銀行網(wǎng)絡(luò)安全防范措施

□ 建行北京分行石景山支行郭亞力

隨著金融業(yè)務(wù)的拓展與金融電子化進(jìn)程的加快，計算機(jī)網(wǎng)絡(luò)通信技術(shù)在金融領(lǐng)域中的應(yīng)用越來越廣。與此同時，金融電子化也帶來了高科技下的新風(fēng)險。計算機(jī)系統(tǒng)本身的不安全和人為的攻擊破壞，以及計算機(jī)安全管理制度的不完善都潛伏著很多安全隱患，嚴(yán)重的可能導(dǎo)致計算機(jī)系統(tǒng)的癱瘓，影響銀行的業(yè)務(wù)和聲譽(yù)，造成巨大的經(jīng)濟(jì)損失和不良的社會影響。因此，加強(qiáng)銀行網(wǎng)絡(luò)系統(tǒng)安全體系的建設(shè)，保證其正常運(yùn)行，防范犯罪分子對它的入侵，已成為金融電子化建設(shè)中極為重要的工作。

網(wǎng)絡(luò)安全的基本要求是保密、完整、可用、可控和可審查。從技術(shù)角度講，銀行網(wǎng)絡(luò)系統(tǒng)的安全體系應(yīng)包括: 操作系統(tǒng)和數(shù)據(jù)庫安全、加密技術(shù)、訪問控制、身份認(rèn)證、攻擊監(jiān)控、防火墻技術(shù)、防病毒技術(shù)、備份和災(zāi)難恢復(fù)等。從管理角度看，應(yīng)著力健全計算機(jī)管理制度和運(yùn)行規(guī)程，加強(qiáng)員工管理，不斷提高員工的安全防范意識和責(zé)任感，杜絕內(nèi)部作案的可能性，建立起良好的故障處理反應(yīng)機(jī)制。

網(wǎng)絡(luò)系統(tǒng)技術(shù)安全措施

1.操作系統(tǒng)及數(shù)據(jù)庫

操作系統(tǒng)是計算機(jī)最重要的系統(tǒng)軟件，它控制和管理著計算機(jī)系統(tǒng)的硬件和軟件資源，是計算機(jī)的指揮中樞。目前銀行網(wǎng)絡(luò)系統(tǒng)常用的操作系統(tǒng)有Unix、Windows NT等，安全等級都是C2級，可以說是相對安全、嚴(yán)密的系統(tǒng)，但并非無懈可擊。

許多銀行業(yè)務(wù)系統(tǒng)使用Unix網(wǎng)絡(luò)系統(tǒng)，黑客可利用網(wǎng)絡(luò)監(jiān)聽工具截取重要數(shù)據(jù);利用用戶使用telnet、ftp、rlogin等服務(wù)時監(jiān)聽這些用戶的明文形式的賬戶名和口令;利用具有suid權(quán)限的系統(tǒng)軟件的安全漏洞;利用Unix平臺提供的工具，如finger命令查找有關(guān)用戶的信息，獲得大部分的用戶名;利用IP欺騙技術(shù);利用exrc文件等獲得對系統(tǒng)的控制權(quán)。針對這些安全缺陷，我們應(yīng)定期檢查日志文件;檢查具有suid權(quán)限的文件;檢查/etc/passwd是否被修改;檢查系統(tǒng)網(wǎng)絡(luò)配置中是否有非法項;檢查系統(tǒng)上非正常的隱藏文件;檢查/etc/inetd.conf和 /etc/rc2.d/*文件，并采取以下措施:

1）及時安裝操作系統(tǒng)的補(bǔ)丁程序;2）將系統(tǒng)的安全級別設(shè)置為最高，停止不必要的服務(wù)，該關(guān)的功能關(guān)閉;3）安裝過濾路由器;4）加強(qiáng)賬號和口令的安全管理，定期檢查/etc/passwd和/etc/shadow文件，經(jīng)常更換各賬號口令，查看su日志文件和拒絕登錄消息日志文件。

對于Windows NT網(wǎng)絡(luò)系統(tǒng)，可采取以下措施: 1）使用NTFS文件系統(tǒng)，它可以對文件和目錄使用ACL存取控制表;2）將系統(tǒng)管理員賬號由原先的“Administrator”改名，使非法登錄用戶不但要猜準(zhǔn)口令，還要先猜出用戶名;3)對于提供Internet公共服務(wù)的計算機(jī)，廢止Guest賬號，移走或限制所有的其他用戶賬號;4）打開審計系統(tǒng)，審計各種操作成功和失敗的情況，及時發(fā)現(xiàn)問題前兆，定期備份日志文件;5）及時安裝補(bǔ)丁程序。

數(shù)據(jù)庫的安全就是要保證數(shù)據(jù)庫信息的完整、保密和可用。通常用安全管理、存取控制和數(shù)據(jù)加密來實(shí)現(xiàn)。安全管理一般分為集中控制和分散控制兩種方式。集中控制就是由單個授權(quán)者來控制系統(tǒng)的整個安全維護(hù)，分散控制則是采用不同的管理程序控制數(shù)據(jù)庫的不同部分。存取控制包括最小特權(quán)策略（用戶只能了解與自己工作有關(guān)的信息，其他信息被屏蔽）、最大共享策略（信息在保密控制條件下得到最大共享，并不是隨意存取信息）、開放與封閉系統(tǒng)（開放: 不明確禁止，即可訪問;封閉: 明確授權(quán)，才能訪問）、按名存取策略、按上下文存取策略、按存取歷史的存取策略等。數(shù)據(jù)加密可從三個方面進(jìn)行，即庫內(nèi)加密（庫內(nèi)的一條記錄或記錄的某一屬性作為文件被加密）、整庫加密（整個數(shù)據(jù)庫包括數(shù)據(jù)結(jié)構(gòu)和內(nèi)容作為文件被加密）和硬件加密。

2.網(wǎng)絡(luò)加密技術(shù)

網(wǎng)絡(luò)加密的目的是保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)、文件、口令和控制信息的安全。

（1）加密方式:

信息加密處理通常有兩種方式: 鏈路加密和端到端加密。

鏈路加密是對兩節(jié)點(diǎn)之間的鏈路上傳送的數(shù)據(jù)進(jìn)行加密，不適用于廣播網(wǎng)。

端到端加密是對源節(jié)點(diǎn)和目的節(jié)點(diǎn)之間傳送的數(shù)據(jù)所經(jīng)歷的各段鏈路和各個中間節(jié)點(diǎn)進(jìn)行全程加密。端到端加密不僅適用于互聯(lián)網(wǎng)，也適用于廣播網(wǎng)。

基于鏈路加密和端到端加密各有特點(diǎn)，為提高網(wǎng)絡(luò)的安全性，可綜合使用這兩種技術(shù)。具體說就是鏈路加密用來對控制信息進(jìn)行加密，而端到端加密僅對數(shù)據(jù)提供全程加密。

（2）加密算法

如果按收發(fā)雙方的密鑰是否相同來分類，可將這些加密算法分為常規(guī)密碼算法（對稱型加密）和公鑰密碼算法（非對稱型加密）。此外，還有一種加密算法是不可逆加密算法。

上述三種信息加密算法在實(shí)際工作中可單獨(dú)或結(jié)合使用。物理層、鏈路層和網(wǎng)絡(luò)層使用的加密設(shè)備一般運(yùn)用常規(guī)加密算法（如DES）;遠(yuǎn)程訪問服務(wù)中使用的一次性口令技術(shù)和Cisco路由器的Enable Secret口令一般采用不可逆加密算法MD5;基于PKI認(rèn)證技術(shù)和SET協(xié)議則綜合采用了不可逆加密、非對稱加密、對稱加密和數(shù)字簽名等多種技術(shù)。

3.網(wǎng)絡(luò)安全訪問控制

訪問控制的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問，也是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全，保護(hù)網(wǎng)絡(luò)資源的重要手段。通過對特定的網(wǎng)段和服務(wù)建立有效的訪問控制體系，可在大多數(shù)的攻擊到達(dá)之前進(jìn)行阻止，從而達(dá)到限制非法訪問的目的。這包括鏈路層和網(wǎng)絡(luò)層的安全訪問控制，以及遠(yuǎn)程用戶訪問的安全訪問控制。可采取的安全措施有: VLAN劃分、訪問控制列表（ACL）、用戶授權(quán)管理、TCP同步攻擊攔截和路由欺騙防范等。

4.身份認(rèn)證

5.網(wǎng)絡(luò)入侵檢測系統(tǒng)

入侵檢測技術(shù)是近年出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù)，是對入侵行為的監(jiān)控，它通過對網(wǎng)絡(luò)或計算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為或被攻擊的跡象。利用實(shí)時入侵檢測技術(shù)，可對特定網(wǎng)段、主機(jī)和服務(wù)建立攻擊監(jiān)控體系，有效阻止外部黑客的入侵和來自內(nèi)部網(wǎng)絡(luò)的攻擊。

6.網(wǎng)絡(luò)防火墻技術(shù)

防火墻就是在內(nèi)部網(wǎng)與外部網(wǎng)之間建立的一種被動式防御的訪問控制技術(shù)，它能夠在網(wǎng)絡(luò)的入口處，根據(jù)IP源地址、IP目標(biāo)地址、協(xié)議端口以及數(shù)據(jù)包的狀態(tài)等信息，對發(fā)送和接受的每一個數(shù)據(jù)包進(jìn)行過濾監(jiān)測，并根據(jù)用戶事先定義好的過濾規(guī)則，拒絕或允許IP數(shù)據(jù)包的通過，在必要時將有關(guān)信息反饋給上層應(yīng)用程序。

防火墻的主要技術(shù)類型包括網(wǎng)絡(luò)級數(shù)據(jù)包過濾和應(yīng)用代理服務(wù)（應(yīng)用網(wǎng)關(guān)）。鑒于兩種防火墻技術(shù)的優(yōu)缺點(diǎn)，在實(shí)際構(gòu)建防火墻系統(tǒng)時，常將兩種技術(shù)配合使用，由過濾路由器提供第一級安全保護(hù)，主要用于防止IP欺騙攻擊，再由代理服務(wù)器提供更高級的安全保護(hù)機(jī)制。

7.防病毒技術(shù)

8.備份和災(zāi)難恢復(fù)

備份和災(zāi)難恢復(fù)是對銀行網(wǎng)絡(luò)系統(tǒng)工作中可能出現(xiàn)的各種災(zāi)難情況（如計算機(jī)病毒、系統(tǒng)故障、自然災(zāi)害、人為破壞等）進(jìn)行的保證系統(tǒng)及數(shù)據(jù)連續(xù)性和可靠性的一種防范措施。銀行網(wǎng)絡(luò)系統(tǒng)業(yè)務(wù)主機(jī)和服務(wù)器的備份方式一般可采取雙機(jī)備份、磁盤鏡像或容錯等技術(shù)，備份機(jī)要遠(yuǎn)離生產(chǎn)機(jī)?？刹捎肊MC智能存儲系統(tǒng)的SRDF遠(yuǎn)程磁盤鏡像技術(shù)等作為數(shù)據(jù)備份技術(shù)，生產(chǎn)中心和備份中心之間通過直連光纜實(shí)現(xiàn)數(shù)據(jù)備份通道。

數(shù)據(jù)備份包括系統(tǒng)數(shù)據(jù)、基礎(chǔ)數(shù)據(jù)、應(yīng)用數(shù)據(jù)等的備份，采用傳統(tǒng)的磁盤、磁帶、光盤作為介質(zhì)，根據(jù)數(shù)據(jù)的重要程度和不同要求分不同的期限實(shí)行本地和異地雙備份保存。

網(wǎng)絡(luò)系統(tǒng)安全管理措施

銀行網(wǎng)絡(luò)系統(tǒng)的安全性不僅與硬件、網(wǎng)絡(luò)、系統(tǒng)等技術(shù)方面有關(guān)，還與它的管理和使用有著極為密切的關(guān)系。

1． 加強(qiáng)基礎(chǔ)設(shè)施和運(yùn)行環(huán)境建設(shè)

計算機(jī)機(jī)房、配電室、交換機(jī)機(jī)房等計算機(jī)系統(tǒng)重要基礎(chǔ)設(shè)施應(yīng)嚴(yán)格管理，配備防盜、防火、防水等設(shè)備;安裝電視監(jiān)控系統(tǒng)、監(jiān)控報警等裝置;計算機(jī)設(shè)備采用UPS不間斷電源供電（重要機(jī)房可采用雙回路供電或配備發(fā)電機(jī)組）;設(shè)備要可靠接地;供電、通信線路要布線整齊、規(guī)范、連接牢靠;機(jī)房環(huán)境要干凈、整潔，保持特定的溫度和濕度。

2． 加強(qiáng)設(shè)備管理和使用工作

建立包括設(shè)備購置管理、設(shè)備使用管理、設(shè)備維修管理和設(shè)備倉儲管理等內(nèi)容的規(guī)章制度。計算機(jī)管理部門要定期對設(shè)備運(yùn)行環(huán)境、設(shè)備運(yùn)行狀況、各項規(guī)章制度、操作規(guī)程的執(zhí)行情況進(jìn)行檢查，對發(fā)現(xiàn)的問題及時解決，確保計算機(jī)系統(tǒng)的安全、可靠運(yùn)行。

3． 建立健全安全管理內(nèi)控制度

建立業(yè)務(wù)部門計算機(jī)系統(tǒng)使用管理規(guī)定、部門主管和業(yè)務(wù)操作人員計算機(jī)密碼管理規(guī)定、違反計算機(jī)管理規(guī)章制度處理辦法等內(nèi)控管理制度;嚴(yán)格實(shí)行運(yùn)行、維護(hù)、開發(fā)分離的崗位責(zé)任制;禁止混崗和代崗，禁止公用和公開密碼;對重要數(shù)據(jù)的改賬處理要經(jīng)過授權(quán)由專人負(fù)責(zé)，并登記日志;建立健全備份制度，核心程序及數(shù)據(jù)結(jié)構(gòu)要嚴(yán)格保密，實(shí)行專人分工保管;對已制定的規(guī)章制度，要專人負(fù)責(zé)，真正落實(shí)，從根本上杜絕內(nèi)部安全隱患。

4． 加強(qiáng)銀行員工思想和安全意識教育

一方面對員工要進(jìn)行經(jīng)常的思想道德水平和法制觀念教育，培養(yǎng)他們自覺抵制各種誘惑的能力，使他們不違法、不犯罪;另一方面要提高員工的安全防范意識和能力，不給犯罪分子以可乘之機(jī)。

第五篇：淺談校園網(wǎng)絡(luò)安全及防范措施

更多資料請訪問：豆丁 教育百科

淺談校園網(wǎng)絡(luò)安全及防范措施

高縣職校 楊兵

[摘要] 隨著校園網(wǎng)的不斷發(fā)展和應(yīng)用，網(wǎng)絡(luò)管理和安全防范問題也越來越復(fù)雜。Internet是一個信息的海洋,雖然給人們帶來了無盡的便捷,大大提高了工作效率,但是由于Intemet所具有的開放性、國際性和自由性,所以每個網(wǎng)絡(luò)用戶同時都面臨著嚴(yán)峻的安全問題。校園網(wǎng)絡(luò)通常是借助主干網(wǎng)絡(luò)將校園內(nèi)分處于不同地域的教學(xué)樓和機(jī)構(gòu)相連接構(gòu)成校園網(wǎng)絡(luò)的整體,然后通過一個出口與Intemet相連接。本文主要是結(jié)合校園網(wǎng)管理工作的實(shí)際，就校園網(wǎng)絡(luò)安全問題的特點(diǎn)，提出一些防范校園網(wǎng)安全的措施。

[關(guān)鍵詞] 校園網(wǎng) 網(wǎng)絡(luò)安全

防范措施

一、前言

當(dāng)前，構(gòu)架在網(wǎng)絡(luò)環(huán)境之上的“校園網(wǎng)”，已成為學(xué)校信息化建設(shè)的焦點(diǎn)。校園網(wǎng)建設(shè)的宗旨，是服務(wù)于教學(xué)、科研和管理，其建設(shè)原則也無外乎先進(jìn)性、實(shí)用性、高性能性、開放性、可擴(kuò)展性、可維護(hù)性、可操作性，但人們大多都忽略了網(wǎng)絡(luò)的安全性，或者說在建設(shè)校園網(wǎng)過程中對安全性的考慮不夠。據(jù)美國FBI統(tǒng)計，美國每年因網(wǎng)絡(luò)安全問題所造成的經(jīng)濟(jì)損失高達(dá)75億美元，而全球平均每20秒鐘就發(fā)生一起Internet 計算機(jī)侵入事件。在我國，每年因黑客入侵、計算機(jī)病毒的破壞給企業(yè)造成的損失令人觸目驚心。人們在享受到網(wǎng)絡(luò)的優(yōu)越性的同時，對網(wǎng)絡(luò)安全問題變得越來越重視。

由此可見，校園網(wǎng)的安全性問題貫穿于校園網(wǎng)建設(shè)、管理、使用的全過程，是非常重要的。

二、校園網(wǎng)絡(luò)安全問題的特點(diǎn)

由于學(xué)校是以教學(xué)活動為中心的場所，網(wǎng)絡(luò)的安全問題也有自己的特點(diǎn)。主要表現(xiàn)在：

1.不良信息的傳播。

在校園網(wǎng)接入Internet后，師生都可以通過校園網(wǎng)絡(luò)在自己的機(jī)器上進(jìn)入Internet。目前Internet上各種信息良莠不齊，有關(guān)色情、暴力、邪教內(nèi)容的網(wǎng)站泛濫。這些有毒的信息違反人類的道德標(biāo)準(zhǔn)和有關(guān)法律法規(guī)，對世界觀和人生觀正在形成的學(xué)生來說，危害非常大。如果安全措施不好，不僅會有部分學(xué)生進(jìn)入這些網(wǎng)站，還會把這些信息在校園內(nèi)傳播。2.病毒的危害。

通過網(wǎng)絡(luò)傳播的病毒無論是在傳播速度、破壞性和傳播范圍等方面都是單機(jī)病毒所不能比擬的。特別是在學(xué)校接入Internet后，為外面病毒進(jìn)入學(xué)校大開方便之門，下載的程序和電子郵件都可能帶有病毒。3.非法訪問。

學(xué)校涉及到的機(jī)密不是很多，來自外部的非法訪問的可能性要少一些，關(guān)鍵是內(nèi)部的非法訪問。一些學(xué)生可能會通過非正常的手段獲得習(xí)題的答案，使正常的教學(xué)練習(xí)失去意義。更有甚者，有的學(xué)生可能在考前獲得考試內(nèi)容，嚴(yán)重地破壞了學(xué)校的管理秩序。4.惡意破壞。

這包括對網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)系統(tǒng)兩個方面的破壞。

網(wǎng)絡(luò)設(shè)備包括服務(wù)器、交換機(jī)、集線器、通信媒體、工作站等，它們分布在更多資料請訪問：豆丁 教育百科

整個校園內(nèi)，管理起來非常困難，某些人員可能出于各種目的，有意或無意地將它們損壞，這樣會造成校園網(wǎng)絡(luò)全部或部分癱瘓。

另一方面是利用黑客技術(shù)對校園網(wǎng)絡(luò)系統(tǒng)進(jìn)行破壞。表現(xiàn)在以下幾個方面：對學(xué)校網(wǎng)站的主頁面進(jìn)行修改，破壞學(xué)校的形象；向服務(wù)器發(fā)送大量信息使整個網(wǎng)絡(luò)陷于癱瘓；利用學(xué)校的BBS轉(zhuǎn)發(fā)各種非法的信息等。5.使用者自身的特點(diǎn)

校園網(wǎng)絡(luò)有別于一般的Intranet。首先，它的主要使用者為處于青少年階段的學(xué)生，他們好奇心強(qiáng)、求勝逞強(qiáng)心重、法律意識比較淡泊，大部分學(xué)校對他們的信息道德教育不到位，使他們產(chǎn)生崇拜黑客的想法，總想一試身手；其次，某些網(wǎng)站為了點(diǎn)擊率及自身的利益，提供黑客軟件及教程下載；此外，學(xué)生精力旺盛，掌握了大量的計算機(jī)和網(wǎng)絡(luò)專業(yè)知識，所以他們易產(chǎn)生黑客行為或編寫病毒程序。

三、校園網(wǎng)安全的防范措施

目前，比較成熟的網(wǎng)絡(luò)安全技術(shù)產(chǎn)品有：防火墻、入侵檢測、身份認(rèn)證、病毒防范、信息過濾、數(shù)據(jù)加密、VPN、VLAN、容錯、數(shù)據(jù)備份、地址綁定等。但網(wǎng)絡(luò)安全不只是這些技術(shù)產(chǎn)品的簡單堆砌，它是包括從系統(tǒng)到應(yīng)用、從設(shè)備到服務(wù)的比較完整的、體系性的安全系列產(chǎn)品的有機(jī)結(jié)合。1.根據(jù)用戶的特性和需求劃分VLAN

校園局域網(wǎng)與其他企事業(yè)單位的局域網(wǎng)相比，聯(lián)網(wǎng)計算機(jī)及網(wǎng)絡(luò)用戶的群體更為復(fù)雜。有教師備課機(jī)、學(xué)生機(jī)房、學(xué)生宿舍、圖書館、家屬區(qū)以及人事、財務(wù)、后勤等行政辦公計算機(jī)等。不同的用戶對于網(wǎng)絡(luò)有著不同的需求，對于自身信息的安全性要求也不同，據(jù)此可以將校園網(wǎng)劃分為多個VLAN。2.在校園網(wǎng)出口設(shè)置防火墻網(wǎng)關(guān)

防火墻網(wǎng)關(guān)能有效隔離校園網(wǎng)和外部互聯(lián)網(wǎng)，使校園網(wǎng)與互聯(lián)網(wǎng)之間的訪問連接得到有效控制，阻止黑客對校園網(wǎng)的非法訪問和攻擊。針對校園網(wǎng)中部分重要的網(wǎng)段(如院長辦公室、教務(wù)、財務(wù)、人事、科研中心、重要實(shí)驗室等)設(shè)置防火墻網(wǎng)關(guān)，將他們和學(xué)生機(jī)房、學(xué)生宿舍及家屬區(qū)的網(wǎng)段隔離，提供最基本的網(wǎng)絡(luò)層的訪問控制，使之不會受到來自校內(nèi)其他網(wǎng)段的攻擊。3.合理運(yùn)用入侵檢測技術(shù)

入侵檢測技術(shù)是主動保護(hù)自己免受攻擊的一種網(wǎng)絡(luò)安全技術(shù)。作為防火墻的合理補(bǔ)充，入侵檢測技術(shù)能夠幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、攻擊識別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性?？梢岳萌肭謾z測技術(shù)構(gòu)架校園網(wǎng)的主動防御體系，加強(qiáng)對校園網(wǎng)特別是行政、教研、服務(wù)器等重點(diǎn)網(wǎng)段的保護(hù)。4.設(shè)置訪問控制管理系統(tǒng)和智能信息過濾系統(tǒng)

在學(xué)生上網(wǎng)比較集中的網(wǎng)段(如學(xué)生機(jī)房、學(xué)生宿舍、圖書館等)，設(shè)置Internet訪問控制管理系統(tǒng)和智能信息過濾系統(tǒng)，從技術(shù)上對學(xué)生的上網(wǎng)行為進(jìn)行管理和監(jiān)控，防止學(xué)生有意無意訪問含有黃、賭、毒、暴力、邪教等內(nèi)容的網(wǎng)站。另外，還要加強(qiáng)對學(xué)生的信息道德教育、法制教育及上網(wǎng)行為的管理，使他們不再主動上網(wǎng)瀏覽、下載、傳播這類信息。5.加強(qiáng)服務(wù)器安全設(shè)置

服務(wù)器是校園網(wǎng)的核心設(shè)備，也是黑客們的主要攻擊對象，所以它們要有最高的安全性。網(wǎng)絡(luò)操作系統(tǒng)是校園網(wǎng)服務(wù)器系統(tǒng)中最重要的組成部分，用戶通過使用網(wǎng)絡(luò)操作系統(tǒng)來使用校園網(wǎng)絡(luò)資源，所以服務(wù)器安全的前提是網(wǎng)絡(luò)操作系統(tǒng)更多資料請訪問：豆丁 教育百科 的安全。

6.加強(qiáng)防范，防止病毒泛濫

要建立一個有效合理的病毒預(yù)防和查殺機(jī)制。通過在網(wǎng)絡(luò)中部署分布式、網(wǎng)絡(luò)化的防病毒系統(tǒng)，不僅可以讓單機(jī)有效地防止病毒侵害，還可以使管理員從中央位置對整個網(wǎng)絡(luò)進(jìn)行實(shí)時狀態(tài)下的病毒防護(hù)。

◆ 及時有效對病毒進(jìn)行查殺。

◆ 保證所有計算機(jī)都安裝了網(wǎng)絡(luò)版殺毒軟件的客戶端，不能漏掉一個，否則就會出現(xiàn)“木桶效應(yīng)”，使整個網(wǎng)絡(luò)重新被病毒感染。

◆ 及時升級服務(wù)器端殺毒軟件的病毒庫，并要求客戶端也要及時升級病毒庫，并定期進(jìn)行全網(wǎng)計算機(jī)病毒掃描。

◆近年爆發(fā)的計算機(jī)病毒如沖擊波、震蕩波、QQ尾巴等都是利用操作系統(tǒng)或應(yīng)用軟件本身的漏洞進(jìn)行傳播，所以要及時安裝系統(tǒng)補(bǔ)丁，截斷病毒傳播的途徑，配合殺毒軟件起到雙重防范病毒的效果。

◆ 要求校園網(wǎng)用戶在安裝了學(xué)校提供的網(wǎng)絡(luò)版殺毒軟件后，不得再私自安裝其他殺毒軟件，以免互相沖突。7.在防火墻內(nèi)口上捆綁IP和MAC地址，在匯聚交換機(jī)上捆綁IP和MAC地址，在接入交換機(jī)上捆綁端口和MAC地址。

通過MAC地址、IP地址、交換機(jī)端口的雙重捆綁，解決校園網(wǎng)中IP地址盜用問題和IP沖突問題。8.容錯和備份

對于重要的服務(wù)器，可以進(jìn)行雙機(jī)熱備、磁盤鏡像；對于重要的數(shù)據(jù)信息，采用數(shù)據(jù)備份技術(shù)，要定期進(jìn)行備份、存儲，做到防患于未然。一旦出現(xiàn)系統(tǒng)癱瘓、崩潰，可通過備份的數(shù)據(jù)信息快速地恢復(fù)系統(tǒng)。9.加強(qiáng)內(nèi)部安全管理，提高用戶的安全意識

為了確保網(wǎng)絡(luò)和系統(tǒng)的正常運(yùn)轉(zhuǎn)，應(yīng)該建立嚴(yán)格的局域網(wǎng)管理制度和機(jī)房上機(jī)管理制度，杜絕人為因素造成網(wǎng)絡(luò)不安全。配備相應(yīng)的網(wǎng)絡(luò)管理人員負(fù)責(zé)整個網(wǎng)絡(luò)安全的日常管理及維護(hù)。

校園網(wǎng)絡(luò)安全問題的解決不僅僅需要先進(jìn)的網(wǎng)絡(luò)安全技術(shù)及網(wǎng)絡(luò)安全設(shè)備，更需要嚴(yán)格的校園網(wǎng)管理制度和校園網(wǎng)安全意識，是一個系統(tǒng)化的工程，涉及范圍很廣。隨著校園網(wǎng)規(guī)模的擴(kuò)大和網(wǎng)絡(luò)應(yīng)用的發(fā)展,還會出現(xiàn)新的網(wǎng)絡(luò)安全問題,所以不會有絕對的和永久的安全，因此網(wǎng)絡(luò)管理員就需要不斷學(xué)習(xí)，提高自身技術(shù)水平。

以上是從事網(wǎng)絡(luò)管理工作中得到的一些經(jīng)驗和理論，但這些仍不足以完全杜絕網(wǎng)絡(luò)危險，維護(hù)網(wǎng)絡(luò)安全的核心是保證用戶數(shù)據(jù)不受損害，所以定期地備份網(wǎng)絡(luò)用戶數(shù)據(jù)，是非常重要的手段，也是切實(shí)有效的方式。