企業(yè)網(wǎng)絡安全分析畢業(yè)設計論文

1、<p><b>　　緒 論2</b></p><p>　　第一章：企業(yè)網(wǎng)絡安全分析3</p><p><b>　　一、現(xiàn)狀分析3</b></p><p>　　1.1 Internet的安全性3</p><p>　　1.2．企業(yè)內網(wǎng)的安全性4</p><p&g

2、t;<b>　　1.3項目背景4</b></p><p><b>　　1.4項目分析6</b></p><p>　　1.4.1安全設備分布6</p><p>　　1.4.2網(wǎng)絡設備安全現(xiàn)狀7</p><p>　　1.4.3服務器部署現(xiàn)狀7</p><p>　　1.4

3、.4客戶端計算機8</p><p>　　1.4.5無線局域網(wǎng)安全現(xiàn)狀8</p><p>　　1.4.6網(wǎng)絡隱患、風險分析9</p><p>　　1.5項目需求11</p><p>　　1.5.1網(wǎng)絡安全需求11</p><p>　　1.5.2網(wǎng)絡訪問安全需求12</p><p>　　

4、1.6項目規(guī)劃12</p><p>　　1.6.1服務器安全規(guī)劃13</p><p>　　1.6.2 客戶端安全規(guī)劃14</p><p>　　1.6.3網(wǎng)絡設備安全規(guī)劃15</p><p>　　1.6.4無線準備安全規(guī)劃16</p><p>　　1.6.5防火墻、IDS、IPS規(guī)劃17</p>

5、<p>　　1.6.6局域網(wǎng)接入安全規(guī)劃18</p><p>　　1.6.7Internet 接入安全規(guī)劃18</p><p>　　1.6.8遠程接入安全規(guī)劃19</p><p>　　1.6.9網(wǎng)絡可靠性規(guī)劃20</p><p>　　第二章：企業(yè)網(wǎng)絡安全的實際應用20</p><p>　　2.1企

6、業(yè)網(wǎng)絡安全實施20</p><p>　　2.2網(wǎng)絡傳輸?shù)膶嵤?1</p><p>　　2.3訪問控制24</p><p>　　2.4入侵檢測24</p><p>　　2.5漏洞掃描25</p><p><b>　　2.6其它26</b></p><p>　　2.

7、6.1應用系統(tǒng)安全26</p><p>　　2.6.2 系統(tǒng)平臺安全26</p><p>　　2.6.3 應用平臺安全26</p><p>　　2.7病毒防護26</p><p>　　2.8產(chǎn)品應用27</p><p>　　2.9數(shù)據(jù)備份30</p><p>　　2.10安全審計3

8、1</p><p>　　2.11認證、鑒別、數(shù)字簽名、抗抵賴31</p><p>　　2.12物理安全32</p><p>　　2.13兩套網(wǎng)絡的相互轉換32</p><p><b>　　2.14應用32</b></p><p>　　2.15防電磁輻射32</p><

9、p>　　2.16網(wǎng)絡防雷33</p><p>　　2.17重要信息點的物理保護33</p><p><b>　　摘 要</b></p><p>　　網(wǎng)絡安全的本質是網(wǎng)絡信息的安全性，包括信息的保密性、完整性、可用性、真實性、可控性等幾個方面，它通過網(wǎng)絡信息的存儲、傳輸和使用過程體現(xiàn)。網(wǎng)絡安全管理是在防病毒軟件、防火墻或智能網(wǎng)關等構成

10、的防御體系下，對于防止來自網(wǎng)外的攻擊。防火墻，則是內外網(wǎng)之間一道牢固的安全屏障。安全管理是保證網(wǎng)絡安全的基礎，安全技術是配合安全管理的輔助措施。建立了一套網(wǎng)絡安全系統(tǒng)是必要的。</p><p><b>　　緒 論</b></p><p>　　隨著網(wǎng)絡的高速發(fā)展，網(wǎng)絡的安全問題日益突出，近年來，黑客攻擊、網(wǎng)絡病毒等屢屢曝光，國家相關部門也一再三令五申要求切實做好網(wǎng)絡安

11、全建設和管理工作。但是在企業(yè)網(wǎng)絡建設的過程中，由于對技術的偏好和運營意識的不足，普遍都存在“重技術、輕安全、輕管理”的傾向，隨著網(wǎng)絡規(guī)模的急劇膨脹，網(wǎng)絡用戶的快速增長，關鍵性應用的普及和深入，企業(yè)網(wǎng)在企業(yè)的信息化建設中已經(jīng)在扮演了至關重要的角色，作為數(shù)字化信息的最重要傳輸載體，如何保證企業(yè)網(wǎng)絡能正常的運行不受各種網(wǎng)絡黑客的侵害就成為各個企業(yè)不可回避的一個緊迫問題。</p><p>　　第一章：企業(yè)網(wǎng)絡安全分析&l

12、t;/p><p>　　隨著企業(yè)信息化的不斷推進，各企業(yè)都相繼建成了自己的企業(yè)網(wǎng)絡并連入互聯(lián)網(wǎng)，企業(yè)網(wǎng)在企業(yè)的信息化建設中扮演了至關重要的角色。但必須看到，隨著企業(yè)網(wǎng)絡規(guī)模的急劇膨脹,網(wǎng)絡用戶的快速增長，尤其是企業(yè)網(wǎng)絡所面對的使用群體的特殊性（擁有一定的網(wǎng)絡知識、具備強烈的好奇心和求知欲、法律紀律意識卻相對淡漠），如何保證企業(yè)網(wǎng)絡能正常的運行不受各種網(wǎng)絡黑客的侵害就成為各個企業(yè)不可回避的一個緊迫問題，解決網(wǎng)絡安全問題刻

13、不容緩。</p><p><b>　　現(xiàn)狀分析</b></p><p>　　隨著國內計算機和網(wǎng)絡技術的迅猛發(fā)展和廣泛普及，企業(yè)經(jīng)營活動的各種業(yè)務系統(tǒng)都立足于Internet/Intranet環(huán)境中。但是，Internet所具有的開放性、國際性和自由性在增加應用自由度的同時，對安全提出了更高的要求。一旦網(wǎng)絡系統(tǒng)安全受到嚴重威脅，甚至處于癱瘓狀態(tài)，將會給企業(yè)、社會、乃至整

14、個國家?guī)砭薮蟮慕?jīng)濟損失。如何使信息網(wǎng)絡系統(tǒng)免受黑客和病毒的入侵，已成為信息事業(yè)健康發(fā)展所要考慮的重要事情之一。</p><p>　　大型企業(yè)不斷發(fā)展的同時其網(wǎng)絡規(guī)模也在不斷的擴大，由于其自身業(yè)務的需要，在不同的地區(qū)建有分公司或分支機構，本地龐大的Intranet和分布在全國各地的Intranet之間互相連接形成一個更加龐大的網(wǎng)絡。這樣一個網(wǎng)網(wǎng)相連的企業(yè)網(wǎng)為企業(yè)提高了效率、增加企業(yè)競爭力，同樣，這樣復雜的網(wǎng)絡面臨

15、更多的安全問題。首先本地網(wǎng)絡的安全需要保證，同時總部與分支機構、分支機構之間的機密信息傳輸問題，以及集團的設備管理問題，這樣的網(wǎng)絡使用環(huán)境一般存在下列安全隱患和需求：</p><p>　　1.1 Internet的安全性</p><p>　　目前互聯(lián)網(wǎng)應用越來越廣泛，黑客與病毒無孔不入，這極大地影響了Internet的可靠性和安全性，保護Internet、加強網(wǎng)絡安全建設已經(jīng)迫在眉捷。&l

16、t;/p><p>　　1.2．企業(yè)內網(wǎng)的安全性 </p><p>　　企業(yè)內部的網(wǎng)絡安全同樣需要重視，存在的安全隱患主要有未授權訪問、破壞數(shù)據(jù)完整性、拒絕服務攻擊、計算機病毒傳播、缺乏完整的安全策略、缺乏監(jiān)控和防范技術手段、缺乏有效的手段來評估網(wǎng)絡系統(tǒng)和操作系統(tǒng)的安全性、缺乏自動化的集中數(shù)據(jù)備份及災難恢復措施等。具體表現(xiàn)如下： </p><p>　　?計算機病毒在企業(yè)

17、內部網(wǎng)絡傳播。 </p><p>　　?內部網(wǎng)絡可能被外部黑客攻擊。 </p><p>　　?對外的服務器（如：www、ftp、郵件服務器等）沒有安全防護，容易被黑客攻擊。 </p><p>　　?內部某些重要的服務器或網(wǎng)絡被非法訪問，造成信息泄密。 </p><p>　　?內部網(wǎng)絡用戶上網(wǎng)行為沒有有效監(jiān)控管理，影響日常工作效率，容易

18、形成內部網(wǎng)絡的安全隱患。 </p><p>　　?分支機構網(wǎng)絡安全問題。 </p><p>　　?大量的垃圾郵件占用網(wǎng)絡和系統(tǒng)資源，影響正常的工作。 </p><p>　　?分支機構網(wǎng)絡和總部網(wǎng)絡連接安全和之間數(shù)據(jù)交換的安全問題。 </p><p>　　?遠程、移動用戶對公司內部網(wǎng)絡的安全訪問。</p><p>

19、;<b>　　1.3項目背景</b></p><p>　　假設某企業(yè)擁有員工2000余人，公司總部坐落在省會城市高新技術開發(fā)區(qū)，包括4個生產(chǎn)車間和兩棟職工宿舍樓，產(chǎn)品展示、技術開發(fā)與企業(yè)辦公均在總公司進行。該企業(yè)在外地另開設有兩家分公司，由總公司進行統(tǒng)一管理和部署。目前，該企業(yè)的拓撲結構圖如圖1-1所示，基本情況如下。</p><p>　　1、公司局域網(wǎng)已經(jīng)基本覆蓋整

20、個廠區(qū)，中心機房位于總公司，職工宿舍樓和生產(chǎn)車間均有網(wǎng)絡覆蓋。</p><p>　　2、網(wǎng)絡拓撲結構為“星型+樹型”，接入層交換機為Cisco Catalyst 2960，匯聚層交換機為Cisco Catalyst 3560，核心層交換機為Cisco Catalyst 3560</p><p>　　3、現(xiàn)有接入用戶數(shù)量為500個，客戶端均使用私有IP地址，通過防火墻或代理服務器接入Inte

21、rnet。部分服務器IP地址為公有IP地址。</p><p>　　4、Internet接入?yún)^(qū)的防火墻主要提供VPN接入功能，用于遠程移動用戶或子公司網(wǎng)絡提供遠程安全訪問。</p><p>　　5、會議室、員工宿舍等場所部署無線接入點，實現(xiàn)隨時隨地無線漫游接入。</p><p>　　6、服務器操作系統(tǒng)平臺多為Windows Server 2003 和 Windows

22、Server 2008系統(tǒng)。客戶端系統(tǒng)為Windows XP Professional 和 Windows 7</p><p>　　7、網(wǎng)絡中部署有Web服務器，為企業(yè)網(wǎng)站運行平臺。</p><p>　　8、企業(yè)網(wǎng)絡辦公平臺為WSS，文件服務器可以為智能大廈的辦公用戶提供文件共享、存儲于訪問。</p><p>　　9、E-mail、RTX為用戶員工之間的彼此交流，以

23、及企業(yè)與外界的通信網(wǎng)絡。</p><p>　　10、打印服務和傳真服務主要滿足企業(yè)用戶網(wǎng)絡辦公的應用。</p><p>　　11、企業(yè)分支結構通過VPN方式遠程接入總部局域網(wǎng)，并且可以訪問網(wǎng)絡中的共享資源。</p><p><b>　　圖1-1 項目背景</b></p><p><b>　　1.4項目分析<

24、;/b></p><p>　　在普通小型局域網(wǎng)中，最常見的安全防護手段就是在路由器后部署一道防火墻，甚至安全需求較低的網(wǎng)絡并無硬件防火墻，只是在路由器和交換機上進行簡單的訪問控制和數(shù)據(jù)包篩選機制就可以了。但是，在較大的企業(yè)網(wǎng)絡中，許多重要應用都要依賴網(wǎng)絡，勢必對網(wǎng)絡的安全性的要求高一些，在部署網(wǎng)絡安全設備的同時，必須輔助多種訪問控制與安全配置措施，加固網(wǎng)絡安全。</p><p>　　

25、1.4.1安全設備分布</p><p><b>　　防火墻</b></p><p>　　由于企業(yè)局域網(wǎng)采用以太網(wǎng)接入方式，所以直接使用防火墻充當接入設備，部署在網(wǎng)絡邊緣，防火墻連接的內網(wǎng)路由器上配置訪問列表和靜態(tài)路由信息。另外，在會議室、產(chǎn)品展示廳等公共環(huán)境中的匯聚交換機和核心交換機之間部署硬件防火墻，防止公共環(huán)境中可能存在的安全風險通過核心設備傳播到整個網(wǎng)絡。<

26、;/p><p><b>　　IPS</b></p><p>　　IPS（Intrusion Prevention System，入侵防御系統(tǒng)）部署在Internet 接入?yún)^(qū)的路由器和核心交換機之間，用于掃描所有來自Internet的信息，以便及時發(fā)現(xiàn)網(wǎng)絡攻擊和制定解決方案。</p><p><b>　　IDS</b></

27、p><p>　　IDS（Internet Detection System，入侵檢測系統(tǒng)）本身是一個典型的探測設備，類似于網(wǎng)絡嗅探器，無需轉發(fā)任何流量，而只需要在網(wǎng)絡上被動地、無聲息地收集相應的報文即可。IDS無法跨越物理網(wǎng)段收集信息，只能收集所在交換機的某個端口上的所有數(shù)據(jù)信息。該網(wǎng)絡中的IDS部署在安全需求最高的服務區(qū)，用于實時偵測服務器區(qū)交換機轉發(fā)的所有信息，對收集來的報文，IDS將提取相應的流量統(tǒng)計特征值，并

28、利用內置的入侵知識庫，與這些流量特征進行智能分析比較匹配。根據(jù)默認的閥值，匹配耦合度較高的報文流量將被認為是進攻，IDS將根據(jù)相應的配置進行報警或進行有限度的反擊。</p><p>　　Cisco Security MARS</p><p>　　Cisco Security MARS(Monitoring Analysis Response System)是基于設備的全方位解決方案，是網(wǎng)絡

29、管理的關鍵組成部分。MARS可以自動識別、管理并抵御安全威脅，它能與現(xiàn)有網(wǎng)絡和安全部署協(xié)作，自動識別并隔離網(wǎng)絡威脅，同時提出準確的清除建議。在本例企業(yè)網(wǎng)絡中，MARS直接連接在核心交換機上，用于收集經(jīng)過核心交換機的所有數(shù)據(jù)信息，自動生成狀態(tài)日志，供管理員調閱。</p><p>　　1.4.2網(wǎng)絡設備安全現(xiàn)狀</p><p>　　當網(wǎng)絡中的交換機、路由器等網(wǎng)絡設備都是可網(wǎng)管的智能設備，并且提

30、供Web管理方式，同時配置了基本的安全防御措施，如登陸密碼、用戶賬戶權限等。</p><p>　　交換機和路由器安全設置</p><p>　　交換機的主要功能就是提供網(wǎng)絡所需的接入接口。目前，該網(wǎng)絡中基于交換機的安全管理僅限于VLAN劃分、Enable密碼和Telnet密碼等基本安全措施，并未進行任何高級安全配置，如流量控制，遠程監(jiān)控、IEEE802.1x安全認證等，存在較大的安全隱患。&

31、lt;/p><p>　　企業(yè)網(wǎng)絡采用以太網(wǎng)接入Internet,而網(wǎng)絡中部署的網(wǎng)絡防火墻已具備接入功能，所以該網(wǎng)絡中的路由器上只配置簡單的靜態(tài)路由、訪問控制列表和網(wǎng)絡地址轉換，可以滿足基本的安全要求。</p><p><b>　　辦公設備安全配置</b></p><p>　　企業(yè)網(wǎng)絡中的集中辦公設備包括打印機和傳真機，均支持網(wǎng)絡接入功能，部署在樓層

32、的集中辦公區(qū)。由于缺乏訪問權限控制措施，致使網(wǎng)絡打印機和傳真機被濫用，造成不必要的資源浪費。另外，用戶計算機到打印機之間的數(shù)據(jù)傳輸是未經(jīng)加密的明文，存在一定的安全隱患。</p><p>　　1.4.3服務器部署現(xiàn)狀</p><p>　　網(wǎng)絡中應用服務器包括域控制器、DHCP服務器、文件服務器、傳真服務器、網(wǎng)絡辦公平臺、數(shù)據(jù)庫服務器等，其中有許多網(wǎng)絡服務合用一臺服務器，網(wǎng)絡中共有服務器10臺

33、，通過單獨的交換機高速連接至核心交換機，完全采用鏈路冗余結束雙線連接，確保連接的可靠性。</p><p>　　所有服務器均已加入域中，接受域控制器的統(tǒng)一管理，并且已開啟遠程終端功能，用戶可以使用有效的管理員賬戶憑據(jù)遠程登錄服務器，實現(xiàn)相應的配置與管理任務。</p><p>　　1.4.4客戶端計算機</p><p>　　客戶端計算機主要以Windows操作系統(tǒng)為主，

34、極少數(shù)用戶是運行Linux和Mac OS操作系統(tǒng)。客戶端計算機的安全防御比較薄弱，僅限于用戶賬戶登錄密碼、個人防火墻、殺毒軟件等。因此，由于個別客戶端感染病毒而導致網(wǎng)絡癱瘓的問題時有發(fā)生。對于Windows系統(tǒng)而言，應用最多的Windows XP Professional和Windows Vista系統(tǒng)已經(jīng)集成了比較完善的安全防御功能，如Internet防火墻、Windows防火墻、Windows Defender、Windows Up

35、date等，客戶端用戶只需對這些功能簡單配置，即可增強系統(tǒng)安全性。</p><p>　　另外，對于中型規(guī)模的企業(yè)網(wǎng)絡而言，統(tǒng)一的網(wǎng)絡管理才是最重要的。例如，統(tǒng)一配置客戶端計算機安全功能、增強網(wǎng)絡訪問控制、部署NAP系統(tǒng)、部署WSUS服務器等。</p><p>　　1.4.5無線局域網(wǎng)安全現(xiàn)狀</p><p>　　在企業(yè)網(wǎng)絡中部署無線局域網(wǎng)，延伸了有線局域網(wǎng)的覆蓋范圍

36、，避免網(wǎng)絡布線對現(xiàn)有整體布局和裝修的破壞，既是環(huán)境需求，也是企業(yè)發(fā)展和生存的需要。用戶在無線網(wǎng)絡覆蓋范圍內可以自由訪問網(wǎng)絡，充分享受無線暢游的便利。但是，由于無線網(wǎng)絡傳輸?shù)奶厥庑裕瑹o線局域網(wǎng)的安全問題也是不容忽視的。該企業(yè)網(wǎng)絡中的無線網(wǎng)絡安全問題，主要表現(xiàn)在以下幾個方面。</p><p><b>　　WEP密鑰發(fā)布問題</b></p><p>　　802.11本身并未

37、規(guī)定密鑰如何分發(fā)。所有安全性考慮的前提是假定密鑰已通過與802.11無關的安全渠道送到了工作站點上，而在實際應用中，一般都是手工設置，并長期固定使用4個可選密鑰之一。因此，當工作站點增多時，手工方法的配置和管理將十分繁瑣且效率低下，而且密鑰一旦丟失，WLAN將無安全性可言。</p><p>　　2.WEP用戶身份認證方法的缺陷</p><p>　　802.11標準規(guī)定了兩種認證方式：開放系

38、統(tǒng)認證和共享密鑰認證。</p><p>　　開發(fā)系統(tǒng)認證是默認的認證方法，任何移動站點都可加入BSS（Basic Service Set,基本服務集），并可以跟AP（Access Point,接入點）通信，能“聽到”所有未加密的數(shù)據(jù)，可見，這種方法根本密鑰提供認證，也就不存在安全性。</p><p>　　共享密鑰認證是一種請求響應認證機制：AP在收到工作站點STA（Static Timin

39、g Analysis，靜態(tài)時序分析）的請求接入消息時發(fā)送詢問消息，STA對詢問消息使用共享密鑰進行加密并送回AP，AP解密并校驗消息的完整性，若成功，則允許STA接入WLAN。攻擊者只需抓住加密前后的詢問消息，加以簡單的數(shù)字運算就可以得到共享密鑰生成的偽隨機密碼流，然后偽造合法的響應消息通過AP認證后接入WLAN。</p><p>　　3.SSID和MAC地址過濾</p><p>　　WE

40、P服務集標識SSID由Lucent公司提出，用于對封閉網(wǎng)絡進行訪問控制。只有與AP有相同的SSID的客戶站點才允許訪問WLAN。MAC地址過濾的想法是AP中存有合法客戶站點MAC地址列表，拒絕MAC地址不在列表中的站點接入被保護的網(wǎng)絡。但由于SSID和MAC地址很容易被竊取，因此安全性較低。</p><p>　　4．WEP加密機制的天生脆弱性</p><p>　　WEP加密機制的天生脆弱性

41、是受網(wǎng)絡攻擊的最主要原因，WEP2算法作為802.11i的安全標準，對現(xiàn)有系統(tǒng)改進相對較小并易于實現(xiàn)。</p><p>　　1.4.6網(wǎng)絡隱患、風險分析</p><p>　　企業(yè)現(xiàn)階段網(wǎng)絡系統(tǒng)的網(wǎng)絡結構和業(yè)務流程，結合企業(yè)今后進行的網(wǎng)絡化應用范圍的拓展考慮，企業(yè)網(wǎng)主要的安全威脅和安全漏洞包括以下幾方面：</p><p><b>　　1內部竊密和破壞<

42、/b></p><p>　　企業(yè)網(wǎng)絡上同時接入了其它部門的網(wǎng)絡系統(tǒng)，因此容易出現(xiàn)其它部門不懷好意的人員(或外部非法人員利用其它部門的計算機)通過網(wǎng)絡進入內部網(wǎng)絡，并進一步竊取和破壞其中的重要信息(如領導的網(wǎng)絡帳號和口令、重要文件等)，因此這種風險是必須采取措施進行防范的。</p><p>　　2 搭線(網(wǎng)絡)竊聽</p><p>　　這種威脅是網(wǎng)絡最容易發(fā)生的

43、。攻擊者可以采用如Sniffer等網(wǎng)絡協(xié)議分析工具，在INTERNET網(wǎng)絡安全的薄弱處進入INTERNET，并非常容易地在信息傳輸過程中獲取所有信息(尤其是敏感信息)的內容。企業(yè)網(wǎng)絡系統(tǒng)來講，由于存在跨越INTERNET的內部通信(與上級、下級)這種威脅等級是相當高的，因此也是本方案考慮的重點。</p><p><b>　　3 假冒</b></p><p>　　這種威

44、脅既可能來自企業(yè)網(wǎng)內部用戶，也可能來自INTERNET內的其它用戶。如系統(tǒng)內部攻擊者偽裝成系統(tǒng)內部的其他正確用戶。攻擊者可能通過冒充合法系統(tǒng)用戶，誘騙其他用戶或系統(tǒng)管理員，從而獲得用戶名/口令等敏感信息，進一步竊取用戶網(wǎng)絡內的重要信息?；蛘邇炔坑脩敉ㄟ^假冒的方式獲取其不能閱讀的秘密信息。</p><p><b>　　4 完整性破壞</b></p><p>　　這種威脅

45、主要指信息在傳輸過程中或者存儲期間被篡改或修改，使得信息/數(shù)據(jù)失去了原有的真實性，從而變得不可用或造成廣泛的負面影響。由于XXX企業(yè)網(wǎng)內有許多重要信息，因此那些不懷好意的用戶和非法用戶就會通過網(wǎng)絡對沒有采取安全措施的服務器上的重要文件進行修改或傳達一些虛假信息，從而影響工作的正常進行。</p><p><b>　　5 其它網(wǎng)絡的攻擊</b></p><p>　　企業(yè)網(wǎng)

46、絡系統(tǒng)是接入到INTERNET上的，這樣就有可能會遭到INTERNET上黑客、惡意用戶等的網(wǎng)絡攻擊，如試圖進入網(wǎng)絡系統(tǒng)、竊取敏感信息、破壞系統(tǒng)數(shù)據(jù)、設置惡意代碼、使系統(tǒng)服務嚴重降低或癱瘓等。因此這也是需要采取相應的安全措施進行防范。</p><p>　　6 管理及操作人員缺乏安全知識</p><p>　　由于信息和網(wǎng)絡技術發(fā)展迅猛，信息的應用和安全技術相對滯后，用戶在引入和采用安全設備和系

47、統(tǒng)時，缺乏全面和深入的培訓和學習，對信息安全的重要性與技術認識不足，很容易使安全設備/系統(tǒng)成為擺設，不能使其發(fā)揮正確的作用。如本來對某些通信和操作需要限制，為了方便，設置成全開放狀態(tài)等等，從而出現(xiàn)網(wǎng)絡漏洞。</p><p>　　由于網(wǎng)絡安全產(chǎn)品的技術含量大，因此，對操作管理人員的培訓顯得尤為重要。這樣，使安全設備能夠盡量發(fā)揮其作用，避免使用上的漏洞。</p><p><b>　　

48、7 雷擊</b></p><p>　　由于網(wǎng)絡系統(tǒng)中涉及很多的網(wǎng)絡設備、終端、線路等，而這些都是通過通信電纜進行傳輸，因此極易受到雷擊，造成連鎖反應，使整個網(wǎng)絡癱瘓，設備損壞，造成嚴重后果。因此，為避免遭受感應雷擊的危害和靜電干擾、電磁輻射干擾等引起的瞬間電壓浪涌電壓的損壞，有必要對整個網(wǎng)絡系統(tǒng)采取相應的防雷措施。</p><p><b>　　1.5項目需求</

49、b></p><p>　　由于該公司的主要業(yè)務為高新產(chǎn)品的開發(fā)和生產(chǎn)，掌握眾多機密信息，并且下設多個部門，所以對網(wǎng)絡安全性和穩(wěn)定性要求比較高。無論是基礎網(wǎng)絡還是客戶端都必須嚴格做好安全防御工作。</p><p>　　1.5.1網(wǎng)絡安全需求</p><p>　　綜合項目成本和實際應用等多方面因素，可以從如下幾個方面滿足用戶需求。</p><p

50、>　　一、將防火墻部署在網(wǎng)絡邊緣，用于隔離來自Internet的所有網(wǎng)絡風險。</p><p>　　二、在路由器和核心交換機之間部署IPS，對全網(wǎng)的所有Internet通信進行檢測，以便可以自動阻止、調整或隔離非正常網(wǎng)絡請求和危險信息的傳輸。</p><p>　　三、生產(chǎn)區(qū)和辦公區(qū)分別通過匯聚交換機連接至核心交換機，在相應的匯聚交換機上分別進行適當?shù)陌踩O置，將可能存在的安全風險因素

51、隔離在網(wǎng)絡局部。</p><p>　　四、在辦公區(qū)網(wǎng)絡中，將安全需求和應用需求不同的用戶指定到不同的VLAN中，充分確保部門內部和部門間的信息安全。</p><p>　　五、在會議室和展示廳等移動用戶比較集中的場所，部署無線接入系統(tǒng)，在無線接入點以及無線接入點連接的交換機上，分別部署相應的安全防御措施，如IEEE802.1x認證、禁止廣播SSID、WEP加密等。</p>&l

52、t;p>　　六、網(wǎng)絡管理區(qū)和服務器區(qū)直接連接至核心交換機，以確保網(wǎng)絡傳輸?shù)目煽啃浴＞W(wǎng)絡管理區(qū)中部署有MARS系統(tǒng)，用于監(jiān)控、分析和處理網(wǎng)絡中所有通過核心交換機的數(shù)據(jù)通信，以便及時發(fā)現(xiàn)網(wǎng)絡中存在的惡意攻擊、非正常訪問等情況，并協(xié)助管理員制定相應的解決方案。</p><p>　　七、為了確保服務器的安全，在服務器集中區(qū)部署IDS，可以對服務區(qū)網(wǎng)絡以及系統(tǒng)的運行狀況進行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻

53、擊結果，以保證網(wǎng)絡系統(tǒng)資源的機密性、完整性和可用性。</p><p>　　1.5.2網(wǎng)絡訪問安全需求</p><p>　　由于公司大部分用戶信息安全意識較差，因此必須對安全需求較高的部門的用戶進行集中管理，防止機密信息外泄。另外，本公司在外地設有分公司，只能通過遠程接入方式訪問內部網(wǎng)絡資源，可以借助VPN技術實現(xiàn)加密傳輸，充分確保信息安全。目前，該網(wǎng)絡中網(wǎng)絡訪問安全需求如下。</p&

54、gt;<p>　　一、客戶端更新需要集中管理。大多數(shù)用戶都已啟用Windows Update功能，但是每個用戶都從微軟官方站點下載更新程序，會占用大量的網(wǎng)絡帶寬。另外，還有部分用戶并未開啟Windows Update功能，存在可能招致網(wǎng)絡攻擊的安全漏洞。</p><p>　　二、網(wǎng)絡病毒不得不防。網(wǎng)絡病毒和攻擊是目前最主要的信息安全威脅因素。網(wǎng)絡病毒的防御工作絕非一蹴而就，必須從各方面嚴格防范。通常

55、情況下，大部分用戶都安裝了殺毒軟件和個人防火墻軟件，可以起到一定的安全防護作用，但是未能升級病毒庫同樣可能感染病毒。更嚴重的是，部分用戶不安裝任何殺毒軟件和防火墻就開始使用，這是非常危險的。</p><p>　　三、網(wǎng)絡訪問控制需求。網(wǎng)絡中缺乏嚴格的訪問控制措施，用戶只需使用相應的用戶賬戶和密碼即可接入網(wǎng)絡和訪問共享資源，而對客戶端系統(tǒng)健康程度沒有任何要求和限制。如果接入用戶的計算機已經(jīng)感染病毒，則病毒可能通過網(wǎng)

56、絡快速蔓延至整個網(wǎng)絡的所有分支。</p><p>　　四、遠程訪問安全的保護。遠程接入是該網(wǎng)絡中的重要應用之一，用于實現(xiàn)分公司網(wǎng)絡到總公司網(wǎng)絡的互聯(lián)。遠程訪問VPN技術本身就是具有一定的安全性，同時采用隧道和加密等多種技術，但是為了確保遠程訪問的安全，應加強遠程訪問的保護與控制。</p><p><b>　　1.6項目規(guī)劃</b></p><p&g

57、t;　　網(wǎng)絡安全與網(wǎng)絡應用是相互制約和影響的。網(wǎng)絡應用需要安全措施的保護，但是安全措施過于嚴格，就會影響到應用的易用性。因此，部署網(wǎng)絡安全措施之前，必須經(jīng)過嚴格的規(guī)劃。另外，網(wǎng)絡安全的管理遍布網(wǎng)絡的所有分支，包括設備安全、訪問安全、服務器安全?？蛻舳税踩?。</p><p>　　1.6.1服務器安全規(guī)劃</p><p>　　服務器是企業(yè)網(wǎng)絡的重要基礎，其安全性將直接影響到企業(yè)網(wǎng)站以及網(wǎng)絡應

58、用的安全，甚至會影響到企業(yè)的生存與發(fā)展。服務器的大部分應用都是基于網(wǎng)絡操作系統(tǒng)等軟件實現(xiàn)的，因此，無論是應用程序出錯，還是硬件故障都可能導致服務器癱瘓。若想做好服務器安全防護工作，必須從多方面入手。</p><p><b>　　一、服務器硬件安全</b></p><p>　　服務器硬件設備的維護主要包括增加和卸載設備、更換設備、工作環(huán)境維護等。因為服務器的運行是不間斷

59、的，因此這些維護工作必須在確保服務器正常運行的狀態(tài)下進行。</p><p>　　1、增加內存和硬盤容量。服務器的內存和硬盤都是支持熱插拔的，建議增加與原設備同廠商、同型號、同容量的內存或硬盤，避免由于兼容性問題而導致服務器死機。</p><p>　　2、定期為服務器除塵。很多服務器故障都是由于內部灰塵導致的，因此建議管員每個月定期拆機打掃一次。</p><p>　　

60、3、控制機房溫度和濕度。雖然服務器對工作環(huán)境的要求比較寬泛，但是當服務器周邊環(huán)境比較惡劣時同樣會降低其處理速度和穩(wěn)定性。</p><p><b>　　二、操作系統(tǒng)的安全</b></p><p>　　服務器操作系統(tǒng)的安全是指操作系統(tǒng)、應用系統(tǒng)的安全性以及網(wǎng)絡硬件平臺的可靠性。對于操作系統(tǒng)的安全防范可以采取如下策略。</p><p>　　1、對操作

61、系統(tǒng)進行安全配置，提高系統(tǒng)的安全性。系統(tǒng)內部調用不對Internet公開，關鍵性信息不直接公開，盡可能采用安全性高的操作系統(tǒng)。</p><p>　　2、應用系統(tǒng)在開發(fā)時，采用規(guī)范化的開發(fā)過程，盡可能地減少應用系統(tǒng)的漏洞。</p><p>　　3、網(wǎng)絡上的服務器和網(wǎng)絡設備盡可能不采取同一家的產(chǎn)品。</p><p>　　4、通過專業(yè)的安全工具（安全監(jiān)測系統(tǒng)）定期對網(wǎng)絡系

62、統(tǒng)進行安全評估。</p><p>　　三、網(wǎng)絡應用服務安全</p><p>　　局域網(wǎng)中常用的網(wǎng)絡服務包括WWW服務、FTP服務、DNS服務、DHCP服務、Active Directory服務等，隨著服務器提供的服務越來越多，系統(tǒng)也容易混亂、安全性也降低，因此就需要對網(wǎng)絡服務的相關參數(shù)進行設置，以增強其安全性和穩(wěn)定性。通常情況下，網(wǎng)絡應用服務安全可以分為如下4層。</p>&

63、lt;p>　　1、網(wǎng)絡與應用平臺安全：主要包括網(wǎng)絡的可靠性與生存性。信息系統(tǒng)的可靠性和可用性。網(wǎng)絡的可靠性與生存性依靠環(huán)境安全、物理安全、節(jié)點安全、鏈路安全、拓撲安全、系統(tǒng)安全等方面來保障。信息系統(tǒng)的可靠性和可用性主要由計算機系統(tǒng)安全性決定。</p><p>　　2、應用服務提供安全：主要包括應用服務的可用性與可控性。服務可控性依靠服務接入安全以及服務防否認、服務防攻擊、國家對應用服務的管制等方面來保障。服

64、務可用性與承載業(yè)務網(wǎng)絡可靠性以及維護能力等先關。</p><p>　　3、信息存儲于傳輸安全：主要包括信息在網(wǎng)絡傳輸和信息系統(tǒng)存儲時的完整性、機密性和不可否認性。信息的完整性可以依靠報文鑒別機制；信息機密性可以依靠加密機制以及密鑰分發(fā)來保障；信息不可否認性可以依靠數(shù)字簽名等技術來保障。</p><p>　　4、信息內容安全：主要指通過網(wǎng)絡應用服務所傳遞的信息內容不涉及危害國家安全，泄露國家

65、機密或商業(yè)秘密，侵犯國家利益、公共利益或公民合法權益，從事違法犯罪活動。</p><p>　　1.6.2 客戶端安全規(guī)劃</p><p>　　目前，Windows XP和Windows 7是首選客戶端操作系統(tǒng)，為了便于統(tǒng)一管理，應將相對固定的客戶端計算機加入域，接受域控制器的統(tǒng)一管理。通常情況下，可以從如下5個方面做好客戶端計算機的安全防御工作。</p><p>　

66、　一、對于加入域的計算機可以通過組策略等工具統(tǒng)一部署安全策略，例如用戶賬戶策略、密碼策略、硬件設備安裝限制策略等，確?？蛻舳说陌踩?。</p><p>　　二、對于未加入域的計算機，應提高用戶網(wǎng)絡安全的意識，通過設置登錄密碼、計算機鎖定、防火墻等方式，確保系統(tǒng)安全。</p><p>　　三、在網(wǎng)絡中部署WSUS服務器，負責為所有客戶端計算機和服務器提供系統(tǒng)更新，避免系統(tǒng)漏洞的產(chǎn)生。</

67、p><p>　　四、在所有客戶端上部署Symantec網(wǎng)絡防病毒客戶端軟件，并接受服務器端的統(tǒng)一管理，開啟自動更新病毒庫功能。</p><p>　　五、靈活部署和運用Windows防火墻、Windows Defender等系統(tǒng)集成安全防護程序。</p><p>　　1.6.3網(wǎng)絡設備安全規(guī)劃</p><p>　　局域網(wǎng)中的網(wǎng)絡設備主要包括路由器、

68、交換機和防火墻，分別用于提供不同的網(wǎng)絡功能和應用。網(wǎng)絡設備的部署方式、工作環(huán)境、配置管理等，都可能影響其安全性。</p><p><b>　　網(wǎng)絡設備的脆弱性</b></p><p>　　通常情況下，當用戶按照組網(wǎng)規(guī)劃方案購入并部署好網(wǎng)絡設備之后，設備中的主要組成系統(tǒng)即可在一段時間內保持相對穩(wěn)定地運行。但是，網(wǎng)絡設備本身就有一定的脆弱性，這也往往會成為入侵者攻擊的目標

69、。網(wǎng)絡設備的安全脆弱性主要表現(xiàn)在如下5個方面。</p><p>　　1.提供不必要的網(wǎng)絡服務，提高了攻擊者的攻擊機會。</p><p>　　2.存在不安全的配置，帶來不必要的安全隱患。</p><p>　　3.不適當?shù)脑L問控制。</p><p>　　4.存在系統(tǒng)軟件上的安全漏洞。</p><p>　　5.物理上沒有得到

70、安全存放，容易遭受臨近攻擊。</p><p>　　針對這些與生俱來的安全弱點，用戶可以通過如下措施加固系統(tǒng)安全。</p><p>　　1.禁用不必要的網(wǎng)絡服務。</p><p>　　2.修改不安全的配置。</p><p>　　3.利用最小特權原則嚴格對設備的訪問控制。</p><p>　　4.及時對系統(tǒng)進行軟件升級。&

71、lt;/p><p>　　5.提供符合IPP（Information Protection Policy，信息保護策略）要求的物理保護環(huán)境。</p><p>　　二、部署網(wǎng)絡安全設備</p><p>　　局域網(wǎng)中常見的網(wǎng)絡安全設備包括網(wǎng)絡防火墻、入侵檢測設備、入侵防御設備等。網(wǎng)絡防火墻是必不可少的，用于攔截處理來自Internet的各種攻擊行為，并且可以隔離內部網(wǎng)絡有效避

72、免內部攻擊。入侵檢測設備只能用于記錄入侵行為，局域網(wǎng)中已經(jīng)很少使用。通常情況下，可以再網(wǎng)絡中部署入侵防御系統(tǒng)，保護內部服務器或局域網(wǎng)的安全。</p><p><b>　　三、IOS安全</b></p><p>　　IOS就是智能網(wǎng)絡設備的網(wǎng)絡操作系統(tǒng)，主要用于提供軟件管理平臺。IOS與計算機操作系統(tǒng)類似，難免存在系統(tǒng)漏洞，入侵者同樣可以通過這些漏洞進入網(wǎng)絡設備的IOS

73、，進行各種破壞活動，從而影響網(wǎng)絡的正常運行。</p><p>　　通常情況下，用戶可以從如下6個方面實現(xiàn)網(wǎng)絡設備的IOS安全。</p><p>　　1、配置登錄密碼，主要包括Enable密碼和Telnet密碼，必要時可以以加密方式存儲密碼，以確保其安全性。</p><p>　　2、配置用戶訪問安全級別，為不同的管理賬戶賦予不同的訪問和管理權限。</p>

74、<p>　　3、控制終端訪問安全，嚴格控制允許終端連接的數(shù)量，以及終端會話超時限制。</p><p>　　4、配置SNMP安全。SNMP字符串用于驗證用戶與交換機的連接，確保其身份的有效性，類似于用戶賬戶和密碼。</p><p>　　5、及時備份IOS映像，以便出現(xiàn)錯誤操作或遭遇攻擊時可以迅速恢復。</p><p>　　6、升級IOS版本。IOS的系統(tǒng)漏

75、洞是不可避免的，用戶可以通過安裝補丁或升級IOS版本的方法避免由于系統(tǒng)漏洞導致的網(wǎng)絡攻擊。</p><p>　　1.6.4無線準備安全規(guī)劃</p><p>　　無線接入不僅是企業(yè)發(fā)展的需要，更是企業(yè)形象的代表。無線局域網(wǎng)是有線網(wǎng)絡的擴展，主要用于移動終端用戶提供網(wǎng)絡接入。該公司中的AP（Access Point,無線接入點）主要分布在產(chǎn)品展示區(qū)和會議室，方面移動用戶隨時隨地訪問公司網(wǎng)絡。如

76、今，許多筆記本電腦、掌上電腦、手機等提供無線接入功能，在無線網(wǎng)絡覆蓋范圍內“噌網(wǎng)”已經(jīng)成為一種時尚，對于管理員而言，無線網(wǎng)絡安全自然也就成了管理重點。</p><p>　　在無線局域網(wǎng)管理中，可以采用如下措施確保網(wǎng)絡安全。</p><p>　　1、確保桌面計算機和服務器系統(tǒng)實現(xiàn)盡可能的安全。這種保護提高了攻擊的門檻，即使攻擊者進入了WLAN，仍然很難滲透進用戶的計算機。</p>

77、<p>　　2、啟用無線AP和工作站所支持的最強WEP。同時，確保擁有一個強健的WEP密碼，這個密碼應該符合有線網(wǎng)絡中所應用的相同的密碼強度規(guī)則。</p><p>　　3、確保無線網(wǎng)絡的網(wǎng)絡名稱（SSID）不是可以輕松識別的。不要使用公司名稱、自己的姓名或者地址作為SSID。</p><p>　　4、如果無線AP支持SSID廣播，應當關閉。這個措施可以創(chuàng)建一個封閉網(wǎng)絡，這樣，

78、新的客戶端必須在連接之前輸入正確的SSID。</p><p>　　5、使用IEEE802.1x身份驗證協(xié)議保護無線網(wǎng)絡的安全。</p><p>　　6、在網(wǎng)絡中部署無線網(wǎng)絡控制器，統(tǒng)一管理和部署網(wǎng)絡中的所有無線接入點，實時監(jiān)測網(wǎng)絡攻擊情況。</p><p>　　1.6.5防火墻、IDS、IPS規(guī)劃</p><p>　　在安全性需求較高的網(wǎng)絡中

79、，網(wǎng)絡安全設備是必不可少的。該公司網(wǎng)絡中使用的安全設備包括網(wǎng)絡防火墻、IDS和IPS。</p><p><b>　　一、網(wǎng)絡防火墻</b></p><p>　　防火墻適用于用戶網(wǎng)絡系統(tǒng)的邊界，屬于用戶網(wǎng)絡邊界的安全保護設備。所謂網(wǎng)絡邊界即采用不同安全策略的兩個網(wǎng)絡連接處，如用戶和Internet之間、同一企業(yè)內部同部門之間等。防火墻的目的就是在網(wǎng)絡連接之間建立一個安全

80、控制點，通過設定一定的篩選機制來決定允許或拒絕數(shù)據(jù)包通過，實現(xiàn)對進入網(wǎng)絡內部的服務和訪問的審計與控制。防火墻是內、外網(wǎng)絡數(shù)據(jù)傳輸?shù)谋亟?jīng)之路。</p><p><b>　　二、IDS</b></p><p>　　IDS是繼“防火墻”、“信息加密”等傳統(tǒng)安全保護方法之后的新一代安全保障技術，入侵檢測技術是為保證計算機系統(tǒng)的安全，而設計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未

81、授權或異?，F(xiàn)象的技術。IDS通過對計算機網(wǎng)絡或計算機系統(tǒng)中的若干關鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。該網(wǎng)絡中的IDS部署在服務器區(qū)的接入交換機處。</p><p>　　IDS能夠檢測到的攻擊類型通常包括：系統(tǒng)掃描（System Scanning）、拒絕服務（Deny of Service）和系統(tǒng)滲透（System Penetration）。IDS對攻擊的檢測方

82、法主要包括：被動、非在線地發(fā)現(xiàn)和實時、在線地發(fā)現(xiàn)計算機網(wǎng)絡中的攻擊者。IDS的主要優(yōu)勢是監(jiān)聽網(wǎng)絡流量，但又不會影響網(wǎng)絡的性能。作為對防火墻的有益補充，IDS能夠幫助網(wǎng)絡系統(tǒng)快速發(fā)現(xiàn)網(wǎng)絡攻擊的發(fā)生，可開展系統(tǒng)管理員的安全管理能力，包括安全審計、監(jiān)視、進攻識別和響應等，從而提高了信息安全基礎結構的完整性，被認為是繼防火墻之后的第二道安全閘門。</p><p><b>　　三、IPS</b><

83、;/p><p>　　網(wǎng)絡中的IPS主要用于攔截和處理傳統(tǒng)網(wǎng)絡防火墻無法解決的網(wǎng)絡攻擊，部署在網(wǎng)絡中的Internet接入?yún)^(qū)。</p><p>　　傳統(tǒng)的防火墻旨在拒絕那些明顯可疑的網(wǎng)絡流量，但仍然允許某些流量通過，因此，防火墻對于很多入侵攻擊仍然無計可施，而絕大多數(shù)IDS系統(tǒng)都是被動的，不是主動的，即在攻擊實際發(fā)生前，往往無法預先發(fā)出警報。而入侵防御系統(tǒng)IPS則傾向于提供主動防御，其設計宗旨是

84、預先對入侵活動和攻擊性網(wǎng)絡流量進行攔截，避免其造成損失，而不是簡單地在惡意流量傳送時或傳送后才發(fā)出報警。</p><p>　　IPS是通過直接嵌入到網(wǎng)絡流量中實現(xiàn)這一功能的，即通過一個網(wǎng)絡端口接收來自外部系統(tǒng)的流量，經(jīng)過檢查確認其中不包含異?；顒踊蚩梢蓛热莺螅偻ㄟ^另外一個端口將其傳送到內部系統(tǒng)中。此時，有問題的數(shù)據(jù)包，以及所有來自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包，都能在IPS中被清除掉。</p><p

85、>　　1.6.6局域網(wǎng)接入安全規(guī)劃</p><p><b>　　NAP技術</b></p><p>　　NAP（Network Access Protection,網(wǎng)絡訪問保護）是Microsoft在Windows Vista和Windows Server 2008提供的全新系統(tǒng)組件，它可以再訪問私有網(wǎng)絡時提供系統(tǒng)平臺健康校驗。NAP平臺提供了一套完整性校驗的方

86、法來判斷接入網(wǎng)絡的客戶端的健康狀態(tài)，對不符合健康策略需求的客戶端限制其網(wǎng)絡訪問權限。</p><p>　　為了校驗網(wǎng)絡訪問的主機的健康狀況，網(wǎng)絡架構需要提供如下功能性領域。</p><p>　　健康策略認證：判斷計算機是否適應健康策略的需求。</p><p>　　網(wǎng)絡訪問限制：限制不適應策略的計算機訪問。</p><p>　　自動補救：為不適

87、應策略的計算機提供必要的升級，使其適應健康策略。</p><p>　　動態(tài)適應：自動升級適應策略的計算機以使其可以跟上健康策略的計算機。</p><p>　　1.6.7Internet 接入安全規(guī)劃</p><p>　　企業(yè)局域網(wǎng)采用共享方式接入Internet，并將硬件防火墻Cisco 5540部署在局域網(wǎng)邊緣。為了便于管理客戶端Internet接入安全，在硬件防

88、火墻的后面部署了Forefront TMG服務器，可以提供如下功能。</p><p>　　一、網(wǎng)絡防火墻 TMG服務器提供了靈活的防火墻策略配置，允許管理員根據(jù)實際需要制定Internet訪問規(guī)則，例如限制特定的用戶訪問Internet、禁止瀏覽視頻網(wǎng)站等。</p><p>　　二、Web訪問緩存。TMG服務器既是防火墻，又可以作為Web訪問代理服務器。管理員可以在TMG服務器上開辟專用于

89、存儲客戶端請求的Internet數(shù)據(jù)空間，暫時緩存常用數(shù)據(jù)。當客戶端需要再次訪問這些Internet數(shù)據(jù)時，在局域網(wǎng)中即可完成，提高了客戶端的訪問效率。</p><p>　　三、安全VPN接入功能。通過TMG服務器創(chuàng)建VPN連接，能夠很輕松地建立起各種情況下的VPN連接。當本地計算機要和遠程計算機通過TMG服務器進行通信時，數(shù)據(jù)封裝好后，將通過VPN進行收發(fā)，充分確保通信過程的安全。</p><

90、;p>　　1.6.8遠程接入安全規(guī)劃</p><p>　　目前，最常用的遠程訪問方式是VPN，主流的安全技術包括SSL VPN和IPSec VPN。SSL VPN應用比較簡單，用戶無需進行配置，基于Web頁面即可實現(xiàn)。IPSec VPN技術應用比較廣泛，不再局限于Web方式，同時由于其安裝和配置過程比較復雜，應用難度也比較大。</p><p>　　1、IPSec VPN 遠程安全接入

91、</p><p>　　IPSec VPN 提供了多種安全特性，如數(shù)據(jù)加密、設備驗證、數(shù)據(jù)完整性、地址隱藏和安全機構（SA）密鑰老化等功能。IPSec標準提供數(shù)據(jù)完整性或數(shù)據(jù)加密兩種功能。數(shù)據(jù)完整性分兩類：128位強度Message Digests(MD-5)-HMAC和160位強度安全散列算法（SHA）-HMAC。由于SHA的強度更大。所以更加安全。</p><p>　　2、SSL VPN

92、 遠程安全接入</p><p>　　SSL VPN 是工作在應用層和TCP層之間的遠程接入技術。通常SSL VPN的實現(xiàn)方式是在企業(yè)的防火墻后面放置一個SSL代理服務器。如果用戶希望安全地連接到公司網(wǎng)絡上，那么當用戶在瀏覽器上輸入一個URL后，連接將被SSL代理服務器取得，并驗證該用戶的身份，然后SSL代理服務器將連接映射到不同的應用服務器上。</p><p>　　1.6.9網(wǎng)絡可靠性規(guī)劃

93、</p><p>　　對于企業(yè)網(wǎng)絡而言，許多金融、貿易、電子商務等活動都是通過網(wǎng)絡完成的，這就要求企業(yè)的網(wǎng)絡具備很高的可靠性。提高網(wǎng)絡可靠性的方法很多，最常見的是冗余和容錯。</p><p>　　在硬件設備方面，可以通過配置交換機生成樹、鏈路匯聚和鏈路冗余技術來提高局域網(wǎng)線路連接的可靠性。其中生成樹協(xié)議可以幫助管理員快速檢查網(wǎng)絡連接。當住鏈路發(fā)生故障時，確保網(wǎng)絡正常工作。鏈路匯聚技術可以將

94、多條鏈路聚合為一條干路，還可以提高網(wǎng)絡帶寬，更重要的是，鏈路匯聚可以實現(xiàn)負載均衡，從而大大提高了網(wǎng)絡的可靠性。局域網(wǎng)接入?yún)^(qū)域的路由器雖然僅提供路由選擇功能，但其重要性也是不容忽視的?？梢酝ㄟ^配置路由冗余充分保證Internet連接的可靠性。</p><p>　　在軟件方面則可以通過服務器群集技術和網(wǎng)絡負載均衡技術，來提高重要服務器的可靠性。除此之外，常規(guī)的數(shù)據(jù)備份也是必不可少的，包括服務器角色狀態(tài)信息備份、服務器

95、系統(tǒng)備份、數(shù)據(jù)庫備份、網(wǎng)絡設備配置備份等。</p><p>　　第二章：企業(yè)網(wǎng)絡安全的實際應用</p><p>　　一個網(wǎng)絡系統(tǒng)的安全建設通常包括許多方面，包括物理安全、數(shù)據(jù)安全、網(wǎng)絡安全、系統(tǒng)安全、安全管理等，而一個安全系統(tǒng)的安全等級，又是按照木桶原理來實現(xiàn)的。根據(jù)企業(yè)各級內部網(wǎng)絡機構、廣域網(wǎng)結構、和三級網(wǎng)絡管理、應用業(yè)務系統(tǒng)的特點</p><p><b&g

96、t;　　● 網(wǎng)絡系統(tǒng)安全;</b></p><p><b>　　● 應用系統(tǒng)安全;</b></p><p><b>　　● 物理安全;</b></p><p><b>　　● 安全管理;</b></p><p>　　2.1企業(yè)網(wǎng)絡安全實施</p>&l

97、t;p>　　根據(jù)企業(yè)網(wǎng)絡現(xiàn)狀及發(fā)展趨勢，主要安全措施從以下幾個方面進行實施：</p><p><b>　　● 網(wǎng)絡傳輸保護</b></p><p><b>　　主要是數(shù)據(jù)加密保護</b></p><p>　　● 主要網(wǎng)絡安全隔離</p><p>　　通用措施是采用防火墻</p>

98、<p><b>　　● 網(wǎng)絡病毒防護</b></p><p><b>　　采用網(wǎng)絡防病毒系統(tǒng)</b></p><p>　　● 廣域網(wǎng)接入部分的入侵檢測</p><p><b>　　采用入侵檢測系統(tǒng)</b></p><p><b>　　● 系統(tǒng)漏洞分析<

99、/b></p><p><b>　　采用漏洞分析設備</b></p><p><b>　　● 定期安全審計</b></p><p>　　主要包括兩部分：內容審計和網(wǎng)絡通信審計</p><p><b>　　● 重要數(shù)據(jù)的備份</b></p><p>

100、　　● 重要信息點的防電磁泄露</p><p>　　● 網(wǎng)絡安全結構的可伸縮性</p><p>　　包括安全設備的可伸縮性，即能根據(jù)用戶的需要隨時進行規(guī)模、功能擴展</p><p><b>　　● 網(wǎng)絡防雷</b></p><p>　　2.2網(wǎng)絡傳輸?shù)膶嵤?lt;/p><p>　　企業(yè)中心內部網(wǎng)絡存在

101、兩套網(wǎng)絡系統(tǒng)，其中一套為企業(yè)內部網(wǎng)絡，主要運行的是內部辦公、業(yè)務系統(tǒng)等;另一套是與INTERNET相連，通過ADSL接入，并與企業(yè)系統(tǒng)內部的上、下級機構網(wǎng)絡相連。通過公共線路建立跨越INTERNET的企業(yè)集團內部局域網(wǎng)，并通過網(wǎng)絡進行數(shù)據(jù)交換、信息共享。而INTERNET本身就缺乏有效的安全保護，易受到來自網(wǎng)絡上任意主機的監(jiān)聽而造成重要信息的泄密或非法篡改。</p><p>　　由于現(xiàn)在越來越多的政府、金融機構、

102、企業(yè)等用戶采用VPN技術來構建它們的跨越公共網(wǎng)絡的內聯(lián)網(wǎng)系統(tǒng)，因此在本解決方案中對網(wǎng)絡傳輸安全部分推薦采用VPN設備來構建內聯(lián)網(wǎng)?？稍诿考壒芾碛騼仍O置一套VPN設備，由VPN設備實現(xiàn)網(wǎng)絡傳輸?shù)募用鼙Ｗo。根據(jù)企業(yè)三級網(wǎng)絡結構，VPN設置如下圖所示：</p><p>　　圖2-1三級 VPN設置拓撲圖</p><p>　　每一級的設置及管理方法相同。即在每一級的中心網(wǎng)絡安裝一臺VPN設備和一臺

103、VPN認證服務器(VPN-CA)，在所屬的直屬單位的網(wǎng)絡接入處安裝一臺VPN設備，由上級的VPN認證服務器通過網(wǎng)絡對下一級的VPN設備進行集中統(tǒng)一的網(wǎng)絡化管理?？蛇_到以下幾個目的：</p><p>　　● 網(wǎng)絡傳輸數(shù)據(jù)保護;</p><p>　　由安裝在網(wǎng)絡上的VPN設備實現(xiàn)各內部網(wǎng)絡之間的數(shù)據(jù)傳輸加密保護，并可同時采取加密或隧道的方式進行傳輸</p><p>&l

104、t;b>　　● 網(wǎng)絡隔離保護;</b></p><p>　　與INTERNET進行隔離，控制內網(wǎng)與INTERNET的相互訪問</p><p>　　● 集中統(tǒng)一管理，提高網(wǎng)絡安全性;</p><p>　　● 降低成本(設備成本和維護成本);</p><p>　　其中，在各級中心網(wǎng)絡的VPN設備設置如下圖：</p>

105、<p>　　圖2-2 中心網(wǎng)絡VPN設置圖</p><p>　　由一臺VPN管理機對CA、中心VPN設備、分支機構VPN設備進行統(tǒng)一網(wǎng)絡管理。將對外服務器放置于VPN設備的DMZ口與內部網(wǎng)絡進行隔離，禁止外網(wǎng)直接訪問內網(wǎng)，控制內網(wǎng)的對外訪問、記錄日志。這樣即使服務器被攻破，內部網(wǎng)絡仍然安全。</p><p>　　下級單位的VPN設備放置如下圖所示：</p><

106、;p>　　圖2-3下級單位VPN設置圖</p><p>　　從圖2-3可知，下屬機構的VPN設備放置于內部網(wǎng)絡與路由器之間，其配置、管理由上級機構通過網(wǎng)絡實現(xiàn)，下屬機構不需要做任何的管理，僅需要檢查是否通電即可。由于安全設備屬于特殊的網(wǎng)絡設備，其維護、管理需要相應的專業(yè)人員，而采取這種管理方式以后，就可以降低下屬機構的維護成本和對專業(yè)技術人員的要求，這對有著龐大下屬、分支機構的單位來講將是一筆不小的費用。&

107、lt;/p><p>　　由于網(wǎng)絡安全的是一個綜合的系統(tǒng)工程，是由許多因素決定的，而不是僅僅采用高檔的安全產(chǎn)品就能解決，因此對安全設備的管理就顯得尤為重要。由于一般的安全產(chǎn)品在管理上是各自管理，因而很容易因為某個設備的設置不當，而使整個網(wǎng)絡出現(xiàn)重大的安全隱患。而用戶的技術人員往往不可能都是專業(yè)的，因此，容易出現(xiàn)上述現(xiàn)象;同時，每個維護人員的水平也有差異，容易出現(xiàn)相互配置上的錯誤使網(wǎng)絡中斷。所以，在安全設備的選擇上應當選

108、擇可以進行網(wǎng)絡化集中管理的設備，這樣，由少量的專業(yè)人員對主要安全設備進行管理、配置，提高整體網(wǎng)絡的安全性和穩(wěn)定性。</p><p><b>　　2.3訪問控制</b></p><p>　　企業(yè)廣域網(wǎng)網(wǎng)絡部分通過公共網(wǎng)絡建立，其在網(wǎng)絡上必定會受到來自INTERNET上許多非法用戶的攻擊和訪問，如試圖進入網(wǎng)絡系統(tǒng)、竊取敏感信息、破壞系統(tǒng)數(shù)據(jù)、設置惡意代碼、使系統(tǒng)服務嚴重降

109、低或癱瘓等，因此，采取相應的安全措施是必不可少的。通常，對網(wǎng)絡的訪問控制最成熟的是采用防火墻技術來實現(xiàn)的，本方案中選擇帶防火墻功能的VPN設備來實現(xiàn)網(wǎng)絡安全隔離，可滿足以下幾個方面的要求：</p><p>　　● 控制外部合法用戶對內部網(wǎng)絡的網(wǎng)絡訪問;</p><p>　　● 控制外部合法用戶對服務器的訪問;</p><p>　　● 禁止外部非法用戶對內部網(wǎng)絡的訪問

110、;</p><p>　　● 控制內部用戶對外部網(wǎng)絡的網(wǎng)絡;</p><p>　　● 阻止外部用戶對內部的網(wǎng)絡攻擊;</p><p>　　● 防止內部主機的IP欺騙;</p><p>　　● 對外隱藏內部IP地址和網(wǎng)絡拓撲結構;</p><p><b>　　● 網(wǎng)絡監(jiān)控;</b></p>

111、<p><b>　　● 網(wǎng)絡日志審計;</b></p><p>　　由于采用防火墻、VPN技術融為一體的安全設備，并采取網(wǎng)絡化的統(tǒng)一管理，因此具有以下幾個方面的優(yōu)點：</p><p>　　● 管理、維護簡單、方便;</p><p>　　● 安全性高(可有效降低在安全設備使用上的配置漏洞);</p><p>

112、　　● 硬件成本和維護成本低;</p><p>　　● 網(wǎng)絡運行的穩(wěn)定性更高</p><p>　　由于是采用一體化設備，比之傳統(tǒng)解決方案中采用防火墻和加密機兩個設備而言，其穩(wěn)定性更高，故障率更低。</p><p><b>　　2.4入侵檢測</b></p><p>　　網(wǎng)絡安全不可能完全依靠單一產(chǎn)品來實現(xiàn)，網(wǎng)絡安全是個整

113、體的，必須配相應的安全產(chǎn)品。作為必要的補充，入侵檢測系統(tǒng)(IDS)可與安全VPN系統(tǒng)形成互補。入侵檢測系統(tǒng)是根據(jù)已有的、最新的和可預見的攻擊手段的信息代碼對進出網(wǎng)絡的所有操作行為進行實時監(jiān)控、記錄，并按制定的策略實行響應(阻斷、報警、發(fā)送E-mail)。從而防止針對網(wǎng)絡的攻擊與犯罪行為。入侵檢測系統(tǒng)一般包括控制臺和探測器(網(wǎng)絡引擎)。控制臺用作制定及管理所有探測器(網(wǎng)絡引擎)。探測器(網(wǎng)絡引擎)用作監(jiān)聽進出網(wǎng)絡的訪問行為，根據(jù)控制臺的指