企業(yè)網(wǎng)絡(luò)安全規(guī)劃本科畢業(yè)生論文

1、<p><b>　　摘 要</b></p><p>　　網(wǎng)絡(luò)安全的本質(zhì)是網(wǎng)絡(luò)信息的安全性，包括信息的保密性、完整性、可用性、真實(shí)性、可控性等幾個(gè)方面，它通過網(wǎng)絡(luò)信息的存儲(chǔ)、傳輸和使用過程體現(xiàn)。網(wǎng)絡(luò)安全管理是在防病毒軟件、防火墻或智能網(wǎng)關(guān)等構(gòu)成的防御體系下，對(duì)于防止來自網(wǎng)外的攻擊。防火墻，則是內(nèi)外網(wǎng)之間一道牢固的安全屏障。安全管理是保證網(wǎng)絡(luò)安全的基礎(chǔ)，安全技術(shù)是配合安全管理的輔助措

2、施。建立了一套網(wǎng)絡(luò)安全系統(tǒng)是必要的。</p><p>　　本文從對(duì)網(wǎng)絡(luò)的現(xiàn)狀分析了可能面臨的威脅，從計(jì)算機(jī)的安全策略找出解決方案既用網(wǎng)絡(luò)安全管理加防火墻加設(shè)計(jì)的網(wǎng)絡(luò)安全系統(tǒng)。通過以下三個(gè)步驟來完成網(wǎng)絡(luò)安全系統(tǒng)：1、 建設(shè)規(guī)劃；2、 技術(shù)支持；3、 組建方案。</p><p>　　關(guān)鍵詞：網(wǎng)絡(luò)； 安全； 設(shè)計(jì) </p><p><b>　　ABSTRACT&

3、lt;/b></p><p>　　Network security is the essence of the safety of network information, including information of confidentiality, integrity, and availability, authenticity and controllable etc, it is throug

4、h the network information storage, transport and use process. network security management is in anti-virus software, a firewall or intelligence gateway, etc, the defense system to prevent from outside . A firewall is a f

5、irm between inner and outer net security barrier. Safety management is the basis of network </p><p>　　Based on the analysis of the status of the network could face threats, from the computer security strateg

6、y to find solutions in the network security management is designed with the network firewall security system. Through three steps to complete the campus network security system: 1, the construction plan. 2 and technica

7、l support. 3 and construction scheme.</p><p>　　Keyword: Network, Safe ；Design</p><p><b>　　緒 論</b></p><p>　　隨著網(wǎng)絡(luò)的高速發(fā)展，網(wǎng)絡(luò)的安全問題日益突出，近年來，黑客攻擊、網(wǎng)絡(luò)病毒等屢屢曝光，國家相關(guān)部門也一再三令五申要求切實(shí)做好網(wǎng)

8、絡(luò)安全建設(shè)和管理工作。但是在企業(yè)網(wǎng)絡(luò)建設(shè)的過程中，由于對(duì)技術(shù)的偏好和運(yùn)營意識(shí)的不足，普遍都存在“重技術(shù)、輕安全、輕管理”的傾向，隨著網(wǎng)絡(luò)規(guī)模的急劇膨脹，網(wǎng)絡(luò)用戶的快速增長，關(guān)鍵性應(yīng)用的普及和深入，企業(yè)網(wǎng)在企業(yè)的信息化建設(shè)中已經(jīng)在扮演了至關(guān)重要的角色，作為數(shù)字化信息的最重要傳輸載體，如何保證企業(yè)網(wǎng)絡(luò)能正常的運(yùn)行不受各種網(wǎng)絡(luò)黑客的侵害就成為各個(gè)企業(yè)不可回避的一個(gè)緊迫問題。</p><p>　　隨著企業(yè)信息化的不斷推進(jìn)

9、，各企業(yè)都相繼建成了自己的企業(yè)網(wǎng)絡(luò)并連入互聯(lián)網(wǎng)，企業(yè)網(wǎng)在企業(yè)的信息化建設(shè)中扮演了至關(guān)重要的角色。但必須看到，隨著企業(yè)網(wǎng)絡(luò)規(guī)模的急劇膨脹,網(wǎng)絡(luò)用戶的快速增長，尤其是企業(yè)網(wǎng)絡(luò)所面對(duì)的使用群體的特殊性（擁有一定的網(wǎng)絡(luò)知識(shí)、具備強(qiáng)烈的好奇心和求知欲、法律紀(jì)律意識(shí)卻相對(duì)淡漠），如何保證企業(yè)網(wǎng)絡(luò)能正常的運(yùn)行不受各種網(wǎng)絡(luò)黑客的侵害就成為各個(gè)企業(yè)不可回避的一個(gè)緊迫問題，解決網(wǎng)絡(luò)安全問題刻不容緩。</p><p><b>

10、;　　企業(yè)網(wǎng)絡(luò)安全</b></p><p>　　網(wǎng)絡(luò)安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。網(wǎng)絡(luò)的生命在于其安全性。因此，在現(xiàn)有的技術(shù)條件下，如何規(guī)劃相對(duì)可靠的企業(yè)網(wǎng)絡(luò)安全體系，就成了企業(yè)網(wǎng)絡(luò)管理人員的一個(gè)重要課題。</p><p>　　網(wǎng)絡(luò)的發(fā)展極大地改變了人們的生活和工作方式，Internet更是給

11、人們帶來了無盡的便捷。我們的企業(yè)也正朝著信息化、網(wǎng)絡(luò)化發(fā)展，隨著“企業(yè)通”工程的深入開展，許多企業(yè)都投資建設(shè)了企業(yè)網(wǎng)絡(luò)并投入使用。企業(yè)網(wǎng)絡(luò)在我們的企業(yè)管理、日常管理等方面正扮演著越來越重要的角色。但是，在我們驚嘆于網(wǎng)絡(luò)的強(qiáng)大功能時(shí)，還應(yīng)當(dāng)清醒地看到，網(wǎng)絡(luò)世界并不是一方凈土?！熬W(wǎng)絡(luò)天空（Worm.Netsky）”、“高波（Worm.Agobot）”、“愛情后門（Worm.Lovgate）”及“震蕩波（Worm.Sasser）”等病毒，使人

12、們更加深刻的認(rèn)識(shí)到了網(wǎng)絡(luò)安全的重要性。因此，在現(xiàn)有的技術(shù)條件下，如何規(guī)劃相對(duì)可靠的企業(yè)網(wǎng)絡(luò)安全體系，就成了企業(yè)網(wǎng)絡(luò)管理人員的一個(gè)重要課題。</p><p>　　網(wǎng)絡(luò)安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服

13、務(wù)不中斷。</p><p><b>　　企業(yè)安全網(wǎng)絡(luò)規(guī)劃</b></p><p>　　隨著計(jì)算機(jī)應(yīng)用的日益普及，網(wǎng)絡(luò)已經(jīng)成為大多數(shù)企業(yè)的重要組成部分，許多常用辦公應(yīng)用已經(jīng)開始轉(zhuǎn)向網(wǎng)絡(luò)，例如企業(yè)辦公、視頻會(huì)議、合作伙伴溝通等。隨之而來的網(wǎng)絡(luò)安全問題，也就成為制約企業(yè)生存與發(fā)展的命脈。網(wǎng)絡(luò)安全建設(shè)的總體思路是：以信息資產(chǎn)為核心，以安全戰(zhàn)略為指導(dǎo)，根據(jù)安全需求逐步完善安全基

14、礎(chǔ)措施，為網(wǎng)絡(luò)應(yīng)用提供安全能力支持。</p><p><b>　　項(xiàng)目背景</b></p><p>　　某高新產(chǎn)品研發(fā)企業(yè)擁有員工2000余人，公司總部坐落在省會(huì)城市高新技術(shù)開發(fā)區(qū)，包括4個(gè)生產(chǎn)車間和兩棟職工宿舍樓，產(chǎn)品展示、技術(shù)開發(fā)與企業(yè)辦公均在智能大廈中進(jìn)行。該企業(yè)在外地另開設(shè)有兩家分公司，由總公司進(jìn)行統(tǒng)一管理和部署。目前，該企業(yè)的拓?fù)浣Y(jié)構(gòu)圖如圖1-1所示，基本情

15、況如下。</p><p>　　公司局域網(wǎng)已經(jīng)基本覆蓋整個(gè)廠區(qū)，中心機(jī)房位于智能大廈的第3層（共15層），職工宿舍樓和生產(chǎn)車間均有網(wǎng)絡(luò)覆蓋。</p><p>　　網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)為“星型+樹型”，接入層交換機(jī)為Cisco Catalyst 2960，匯聚層交換機(jī)為Cisco Catalyst 3750，核心層交換機(jī)為Cisco Catalyst 6509。</p><p>

16、;　　現(xiàn)有接入用戶數(shù)量為500個(gè)，客戶端均使用私有IP地址，通過防火墻或代理服務(wù)器接入Internet。部分服務(wù)器IP地址為公有IP地址。</p><p>　　Internet接入?yún)^(qū)的防火墻主要提供VPN接入功能，用于遠(yuǎn)程移動(dòng)用戶或子公司網(wǎng)絡(luò)提供遠(yuǎn)程安全訪問。</p><p>　　會(huì)議室、產(chǎn)品展示大廳等公共場所部署無線接入點(diǎn)，實(shí)現(xiàn)隨時(shí)隨地?zé)o線漫游接入。</p><p&g

17、t;　　服務(wù)器操作系統(tǒng)平臺(tái)多為Windows Server 2003 和 Windows Server 2008系統(tǒng)。客戶端系統(tǒng)為Windows XP Professional 和 Windows Vista。</p><p>　　網(wǎng)絡(luò)中部署有Web服務(wù)器，為企業(yè)網(wǎng)站運(yùn)行平臺(tái)。</p><p>　　企業(yè)網(wǎng)絡(luò)辦公平臺(tái)為WSS，文件服務(wù)器可以為智能大廈的辦公用戶提供文件共享、存儲(chǔ)于訪問。<

18、;/p><p>　　E-mail用戶員工之間的彼此交流，以及企業(yè)與外界的通信網(wǎng)絡(luò)。</p><p>　　打印服務(wù)和傳真服務(wù)主要滿足智能大廈用戶網(wǎng)絡(luò)辦公的應(yīng)用。</p><p>　　企業(yè)分支結(jié)構(gòu)通過VPN方式遠(yuǎn)程接入總部局域網(wǎng)，并且可以訪問網(wǎng)絡(luò)中的共享資源。</p><p><b>　　圖1-1 項(xiàng)目背景</b></p&

19、gt;<p><b>　　項(xiàng)目分析</b></p><p>　　在普通小型局域網(wǎng)中，最常見的安全防護(hù)手段就是在路由器后部署一道防火墻，甚至安全需求較低的網(wǎng)絡(luò)并無硬件防火墻，只是在路由器和交換機(jī)上進(jìn)行簡單的訪問控制和數(shù)據(jù)包篩選機(jī)制就可以了。但是，在該企業(yè)網(wǎng)絡(luò)中，許多重要應(yīng)用都要依賴網(wǎng)絡(luò)，勢必對(duì)網(wǎng)絡(luò)的安全性的要求高一些，在部署網(wǎng)絡(luò)安全設(shè)備的同時(shí)，必須輔助多種訪問控制與安全配置措施，

20、加固網(wǎng)絡(luò)安全。</p><p><b>　　安全設(shè)備分布</b></p><p><b>　　防火墻</b></p><p>　　由于企業(yè)局域網(wǎng)采用以太網(wǎng)接入方式，所以直接使用防火墻充當(dāng)接入設(shè)備，部署在網(wǎng)絡(luò)邊緣，防火墻連接的內(nèi)網(wǎng)路由器上配置訪問列表和靜態(tài)路由信息。另外，在會(huì)議室、產(chǎn)品展示廳等公共環(huán)境中的匯聚交換機(jī)和核心交換

21、機(jī)之間部署硬件防火墻，防止公共環(huán)境中可能存在的安全風(fēng)險(xiǎn)通過核心設(shè)備傳播到整個(gè)網(wǎng)絡(luò)。</p><p><b>　　IPS</b></p><p>　　IPS（Intrusion Prevention System，入侵防御系統(tǒng)）部署在Internet 接入?yún)^(qū)的路由器和核心交換機(jī)之間，用于掃描所有來自Internet的信息，以便及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊和制定解決方案。</p

22、><p><b>　　IDS</b></p><p>　　IDS（Internet Detection System，入侵檢測系統(tǒng)）本身是一個(gè)典型的探測設(shè)備，類似于網(wǎng)絡(luò)嗅探器，無需轉(zhuǎn)發(fā)任何流量，而只需要在網(wǎng)絡(luò)上被動(dòng)地、無聲息地收集相應(yīng)的報(bào)文即可。IDS無法跨越物理網(wǎng)段收集信息，只能收集所在交換機(jī)的某個(gè)端口上的所有數(shù)據(jù)信息。該網(wǎng)絡(luò)中的IDS部署在安全需求最高的服務(wù)區(qū)，用于實(shí)

23、時(shí)偵測服務(wù)器區(qū)交換機(jī)轉(zhuǎn)發(fā)的所有信息，對(duì)收集來的報(bào)文，IDS將提取相應(yīng)的流量統(tǒng)計(jì)特征值，并利用內(nèi)置的入侵知識(shí)庫，與這些流量特征進(jìn)行智能分析比較匹配。根據(jù)默認(rèn)的閥值，匹配耦合度較高的報(bào)文流量將被認(rèn)為是進(jìn)攻，IDS將根據(jù)相應(yīng)的配置進(jìn)行報(bào)警或進(jìn)行有限度的反擊。</p><p>　　Cisco Security MARS</p><p>　　Cisco Security MARS(Monitorin

24、g Analysis Response System)是基于設(shè)備的全方位解決方案，是網(wǎng)絡(luò)管理的關(guān)鍵組成部分。MARS可以自動(dòng)識(shí)別、管理并抵御安全威脅，它能與現(xiàn)有網(wǎng)絡(luò)和安全部署協(xié)作，自動(dòng)識(shí)別并隔離網(wǎng)絡(luò)威脅，同時(shí)提出準(zhǔn)確的清除建議。在本例企業(yè)網(wǎng)絡(luò)中，MARS直接連接在核心交換機(jī)上，用于收集經(jīng)過核心交換機(jī)的所有數(shù)據(jù)信息，自動(dòng)生成狀態(tài)日志，供管理員調(diào)閱。</p><p><b>　　網(wǎng)絡(luò)設(shè)備安全現(xiàn)狀</b

25、></p><p>　　當(dāng)網(wǎng)絡(luò)中的交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備都是可網(wǎng)管的智能設(shè)備，并且提供Web管理方式，同時(shí)配置了基本的安全防御措施，如登陸密碼、用戶賬戶權(quán)限等。</p><p>　　交換機(jī)和路由器安全設(shè)置</p><p>　　交換機(jī)的主要功能就是提供網(wǎng)絡(luò)所需的接入接口。目前，該網(wǎng)絡(luò)中基于交換機(jī)的安全管理僅限于VLAN劃分、Enable密碼和Telnet密碼等

26、基本安全措施，并未進(jìn)行任何高級(jí)安全配置，如流量控制，遠(yuǎn)程監(jiān)控、IEEE802.1x安全認(rèn)證等，存在較大的安全隱患。</p><p>　　企業(yè)網(wǎng)絡(luò)采用以太網(wǎng)接入Internet,而網(wǎng)絡(luò)中部署的網(wǎng)絡(luò)防火墻已具備接入功能，所以該網(wǎng)絡(luò)中的路由器上只配置簡單的靜態(tài)路由、訪問控制列表和網(wǎng)絡(luò)地址轉(zhuǎn)換，可以滿足基本的安全要求。</p><p><b>　　辦公設(shè)備安全配置</b>&l

27、t;/p><p>　　企業(yè)網(wǎng)絡(luò)中的集中辦公設(shè)備包括打印機(jī)和傳真機(jī)，均支持網(wǎng)絡(luò)接入功能，部署在樓層的集中辦公區(qū)。由于缺乏訪問權(quán)限控制措施，致使網(wǎng)絡(luò)打印機(jī)和傳真機(jī)被濫用，造成不必要的資源浪費(fèi)。另外，用戶計(jì)算機(jī)到打印機(jī)之間的數(shù)據(jù)傳輸是未經(jīng)加密的明文，存在一定的安全隱患。</p><p><b>　　服務(wù)器部署現(xiàn)狀</b></p><p>　　網(wǎng)絡(luò)中應(yīng)用服

28、務(wù)器包括域控制器、DHCP服務(wù)器、文件服務(wù)器、傳真服務(wù)器、網(wǎng)絡(luò)辦公平臺(tái)、數(shù)據(jù)庫服務(wù)器等，其中有許多網(wǎng)絡(luò)服務(wù)合用一臺(tái)服務(wù)器，網(wǎng)絡(luò)中共有服務(wù)器10臺(tái)，通過單獨(dú)的交換機(jī)高速連接至核心交換機(jī)，完全采用鏈路冗余結(jié)束雙線連接，確保連接的可靠性。</p><p>　　所有服務(wù)器均已加入域中，接受域控制器的統(tǒng)一管理，并且已開啟遠(yuǎn)程終端功能，用戶可以使用有效的管理員賬戶憑據(jù)遠(yuǎn)程登錄服務(wù)器，實(shí)現(xiàn)相應(yīng)的配置與管理任務(wù)。</p&g

29、t;<p><b>　　客戶端計(jì)算機(jī)</b></p><p>　　客戶端計(jì)算機(jī)主要以Windows操作系統(tǒng)為主，極少數(shù)用戶是運(yùn)行Linux和Mac OS操作系統(tǒng)。客戶端計(jì)算機(jī)的安全防御比較薄弱，僅限于用戶賬戶登錄密碼、個(gè)人防火墻、殺毒軟件等。因此，由于個(gè)別客戶端感染病毒而導(dǎo)致網(wǎng)絡(luò)癱瘓的問題時(shí)有發(fā)生。對(duì)于Windows系統(tǒng)而言，應(yīng)用最多的Windows XP Profession

30、al和Windows Vista系統(tǒng)已經(jīng)集成了比較完善的安全防御功能，如Internet防火墻、Windows防火墻、Windows Defender、Windows Update等，客戶端用戶只需對(duì)這些功能簡單配置，即可增強(qiáng)系統(tǒng)安全性。</p><p>　　另外，對(duì)于中型規(guī)模的企業(yè)網(wǎng)絡(luò)而言，統(tǒng)一的網(wǎng)絡(luò)管理才是最重要的。例如，統(tǒng)一配置客戶端計(jì)算機(jī)安全功能、增強(qiáng)網(wǎng)絡(luò)訪問控制、部署NAP系統(tǒng)、部署WSUS服務(wù)器等。&

31、lt;/p><p><b>　　無線局域網(wǎng)安全現(xiàn)狀</b></p><p>　　在企業(yè)網(wǎng)絡(luò)中部署無線局域網(wǎng)，延伸了有線局域網(wǎng)的覆蓋范圍，避免網(wǎng)絡(luò)布線對(duì)現(xiàn)有整體布局和裝修的破壞，既是環(huán)境需求，也是企業(yè)發(fā)展和生存的需要。用戶在無線網(wǎng)絡(luò)覆蓋范圍內(nèi)可以自由訪問網(wǎng)絡(luò)，充分享受無線暢游的便利。但是，由于無線網(wǎng)絡(luò)傳輸?shù)奶厥庑?，無線局域網(wǎng)的安全問題也是不容忽視的。該企業(yè)網(wǎng)絡(luò)中的無線網(wǎng)絡(luò)安

32、全問題，主要表現(xiàn)在以下幾個(gè)方面。</p><p><b>　　WEP密鑰發(fā)布問題</b></p><p>　　802.11本身并未規(guī)定密鑰如何分發(fā)。所有安全性考慮的前提是假定密鑰已通過與802.11無關(guān)的安全渠道送到了工作站點(diǎn)上，而在實(shí)際應(yīng)用中，一般都是手工設(shè)置，并長期固定使用4個(gè)可選密鑰之一。因此，當(dāng)工作站點(diǎn)增多時(shí)，手工方法的配置和管理將十分繁瑣且效率低下，而且密鑰

33、一旦丟失，WLAN將無安全性可言。</p><p>　　2.WEP用戶身份認(rèn)證方法的缺陷</p><p>　　802.11標(biāo)準(zhǔn)規(guī)定了兩種認(rèn)證方式：開放系統(tǒng)認(rèn)證和共享密鑰認(rèn)證。</p><p>　　開發(fā)系統(tǒng)認(rèn)證是默認(rèn)的認(rèn)證方法，任何移動(dòng)站點(diǎn)都可加入BSS（Basic Service Set,基本服務(wù)集），并可以跟AP（Access Point,接入點(diǎn)）通信，能“聽到”

34、所有未加密的數(shù)據(jù)，可見，這種方法根本密鑰提供認(rèn)證，也就不存在安全性。</p><p>　　共享密鑰認(rèn)證是一種請求響應(yīng)認(rèn)證機(jī)制：AP在收到工作站點(diǎn)STA（Static Timing Analysis，靜態(tài)時(shí)序分析）的請求接入消息時(shí)發(fā)送詢問消息，STA對(duì)詢問消息使用共享密鑰進(jìn)行加密并送回AP，AP解密并校驗(yàn)消息的完整性，若成功，則允許STA接入WLAN。攻擊者只需抓住加密前后的詢問消息，加以簡單的數(shù)字運(yùn)算就可以得到共

35、享密鑰生成的偽隨機(jī)密碼流，然后偽造合法的響應(yīng)消息通過AP認(rèn)證后接入WLAN。</p><p>　　3.SSID和MAC地址過濾</p><p>　　WEP服務(wù)集標(biāo)識(shí)SSID由Lucent公司提出，用于對(duì)封閉網(wǎng)絡(luò)進(jìn)行訪問控制。只有與AP有相同的SSID的客戶站點(diǎn)才允許訪問WLAN。MAC地址過濾的想法是AP中存有合法客戶站點(diǎn)MAC地址列表，拒絕MAC地址不在列表中的站點(diǎn)接入被保護(hù)的網(wǎng)絡(luò)。但由

36、于SSID和MAC地址很容易被竊取，因此安全性較低。</p><p>　　4．WEP加密機(jī)制的天生脆弱性</p><p>　　WEP加密機(jī)制的天生脆弱性是受網(wǎng)絡(luò)攻擊的最主要原因，WEP2算法作為802.11i的安全標(biāo)準(zhǔn)，對(duì)現(xiàn)有系統(tǒng)改進(jìn)相對(duì)較小并易于實(shí)現(xiàn)。</p><p><b>　　項(xiàng)目需求</b></p><p>　　

37、由于該公司的主要業(yè)務(wù)為高新產(chǎn)品的開發(fā)和生產(chǎn)，掌握眾多機(jī)密信息，并且下設(shè)多個(gè)部門，所以對(duì)網(wǎng)絡(luò)安全性和穩(wěn)定性要求比較高。無論是基礎(chǔ)網(wǎng)絡(luò)還是客戶端都必須嚴(yán)格做好安全防御工作。</p><p><b>　　網(wǎng)絡(luò)安全需求</b></p><p>　　綜合項(xiàng)目成本和實(shí)際應(yīng)用等多方面因素，可以從如下幾個(gè)方面滿足用戶需求。</p><p>　　將防火墻部署在網(wǎng)

38、絡(luò)邊緣，用于隔離來自Internet的所有網(wǎng)絡(luò)風(fēng)險(xiǎn)。</p><p>　　在路由器和核心交換機(jī)之間部署IPS，對(duì)全網(wǎng)的所有Internet通信進(jìn)行檢測，以便可以自動(dòng)阻止、調(diào)整或隔離非正常網(wǎng)絡(luò)請求和危險(xiǎn)信息的傳輸。</p><p>　　生產(chǎn)區(qū)和辦公區(qū)分別通過匯聚交換機(jī)連接至核心交換機(jī)，在相應(yīng)的匯聚交換機(jī)上分別進(jìn)行適當(dāng)?shù)陌踩O(shè)置，將可能存在的安全風(fēng)險(xiǎn)因素隔離在網(wǎng)絡(luò)局部。</p>

39、<p>　　在辦公區(qū)網(wǎng)絡(luò)中，將安全需求和應(yīng)用需求不同的用戶指定到不同的VLAN中，充分確保部門內(nèi)部和部門間的信息安全。</p><p>　　在會(huì)議室和展示廳等移動(dòng)用戶比較集中的場所，部署無線接入系統(tǒng)，在無線接入點(diǎn)以及無線接入點(diǎn)連接的交換機(jī)上，分別部署相應(yīng)的安全防御措施，如IEEE802.1x認(rèn)證、禁止廣播SSID、WEP加密等。</p><p>　　網(wǎng)絡(luò)管理區(qū)和服務(wù)器區(qū)直接連接至

40、核心交換機(jī)，以確保網(wǎng)絡(luò)傳輸?shù)目煽啃?。網(wǎng)絡(luò)管理區(qū)中部署有MARS系統(tǒng)，用于監(jiān)控、分析和處理網(wǎng)絡(luò)中所有通過核心交換機(jī)的數(shù)據(jù)通信，以便及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中存在的惡意攻擊、非正常訪問等情況，并協(xié)助管理員制定相應(yīng)的解決方案。</p><p>　　為了確保服務(wù)器的安全，在服務(wù)器集中區(qū)部署IDS，可以對(duì)服務(wù)區(qū)網(wǎng)絡(luò)以及系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。&l

41、t;/p><p><b>　　網(wǎng)絡(luò)訪問安全需求</b></p><p>　　由于公司大部分用戶信息安全意識(shí)較差，因此必須對(duì)安全需求較高的部門的用戶進(jìn)行集中管理，防止機(jī)密信息外泄。另外，本公司在外地設(shè)有分公司，只能通過遠(yuǎn)程接入方式訪問內(nèi)部網(wǎng)絡(luò)資源，可以借助VPN技術(shù)實(shí)現(xiàn)加密傳輸，充分確保信息安全。目前，該網(wǎng)絡(luò)中網(wǎng)絡(luò)訪問安全需求如下。</p><p>

42、　　客戶端更新需要集中管理。大多數(shù)用戶都已啟用Windows Update功能，但是每個(gè)用戶都從微軟官方站點(diǎn)下載更新程序，會(huì)占用大量的網(wǎng)絡(luò)帶寬。另外，還有部分用戶并未開啟Windows Update功能，存在可能招致網(wǎng)絡(luò)攻擊的安全漏洞。</p><p>　　網(wǎng)絡(luò)病毒不得不防。網(wǎng)絡(luò)病毒和攻擊是目前最主要的信息安全威脅因素。網(wǎng)絡(luò)病毒的防御工作絕非一蹴而就，必須從各方面嚴(yán)格防范。通常情況下，大部分用戶都安裝了殺毒軟件和

43、個(gè)人防火墻軟件，可以起到一定的安全防護(hù)作用，但是未能升級(jí)病毒庫同樣可能感染病毒。更嚴(yán)重的是，部分用戶不安裝任何殺毒軟件和防火墻就開始使用，這是非常危險(xiǎn)的。</p><p>　　網(wǎng)絡(luò)訪問控制需求。網(wǎng)絡(luò)中缺乏嚴(yán)格的訪問控制措施，用戶只需使用相應(yīng)的用戶賬戶和密碼即可接入網(wǎng)絡(luò)和訪問共享資源，而對(duì)客戶端系統(tǒng)健康程度沒有任何要求和限制。如果接入用戶的計(jì)算機(jī)已經(jīng)感染病毒，則病毒可能通過網(wǎng)絡(luò)快速蔓延至整個(gè)網(wǎng)絡(luò)的所有分支。<

44、/p><p>　　遠(yuǎn)程訪問安全的保護(hù)。遠(yuǎn)程接入是該網(wǎng)絡(luò)中的重要應(yīng)用之一，用于實(shí)現(xiàn)分公司網(wǎng)絡(luò)到總公司網(wǎng)絡(luò)的互聯(lián)。遠(yuǎn)程訪問VPN技術(shù)本身就是具有一定的安全性，同時(shí)采用隧道和加密等多種技術(shù)，但是為了確保遠(yuǎn)程訪問的安全，應(yīng)加強(qiáng)遠(yuǎn)程訪問的保護(hù)與控制。</p><p><b>　　項(xiàng)目規(guī)劃</b></p><p>　　網(wǎng)絡(luò)安全與網(wǎng)絡(luò)應(yīng)用是相互制約和影響的。網(wǎng)絡(luò)

45、應(yīng)用需要安全措施的保護(hù)，但是安全措施過于嚴(yán)格，就會(huì)影響到應(yīng)用的易用性。因此，部署網(wǎng)絡(luò)安全措施之前，必須經(jīng)過嚴(yán)格的規(guī)劃。另外，網(wǎng)絡(luò)安全的管理遍布網(wǎng)絡(luò)的所有分支，包括設(shè)備安全、訪問安全、服務(wù)器安全?？蛻舳税踩取?lt;/p><p>　　1.4.1服務(wù)器安全規(guī)劃</p><p>　　服務(wù)器是企業(yè)網(wǎng)絡(luò)的重要基礎(chǔ)，其安全性將直接影響到企業(yè)網(wǎng)站以及網(wǎng)絡(luò)應(yīng)用的安全，甚至?xí)绊懙狡髽I(yè)的生存與發(fā)展。服務(wù)器的大

46、部分應(yīng)用都是基于網(wǎng)絡(luò)操作系統(tǒng)等軟件實(shí)現(xiàn)的，因此，無論是應(yīng)用程序出錯(cuò)，還是硬件故障都可能導(dǎo)致服務(wù)器癱瘓。若想做好服務(wù)器安全防護(hù)工作，必須從多方面入手。</p><p><b>　　服務(wù)器硬件安全</b></p><p>　　服務(wù)器硬件設(shè)備的維護(hù)主要包括增加和卸載設(shè)備、更換設(shè)備、工作環(huán)境維護(hù)等。因?yàn)榉?wù)器的運(yùn)行是不間斷的，因此這些維護(hù)工作必須在確保服務(wù)器正常運(yùn)行的狀態(tài)下進(jìn)

47、行。</p><p>　　增加內(nèi)存和硬盤容量。服務(wù)器的內(nèi)存和硬盤都是支持熱插拔的，建議增加與原設(shè)備同廠商、同型號(hào)、同容量的內(nèi)存或硬盤，避免由于兼容性問題而導(dǎo)致服務(wù)器死機(jī)。</p><p>　　定期為服務(wù)器除塵。很多服務(wù)器故障都是由于內(nèi)部灰塵導(dǎo)致的，因此建議管理員每個(gè)月定期拆機(jī)打掃一次。</p><p>　　控制機(jī)房溫度和濕度。雖然服務(wù)器對(duì)工作環(huán)境的要求比較寬泛，但是

48、當(dāng)服務(wù)器周邊環(huán)境比較惡劣時(shí)同樣會(huì)降低其處理速度和穩(wěn)定性。</p><p><b>　　操作系統(tǒng)的安全</b></p><p>　　服務(wù)器操作系統(tǒng)的安全是指操作系統(tǒng)、應(yīng)用系統(tǒng)的安全性以及網(wǎng)絡(luò)硬件平臺(tái)的可靠性。對(duì)于操作系統(tǒng)的安全防范可以采取如下策略。</p><p>　　對(duì)操作系統(tǒng)進(jìn)行安全配置，提高系統(tǒng)的安全性。系統(tǒng)內(nèi)部調(diào)用不對(duì)Internet公開

49、，關(guān)鍵性信息不直接公開，盡可能采用安全性高的操作系統(tǒng)。</p><p>　　應(yīng)用系統(tǒng)在開發(fā)時(shí)，采用規(guī)范化的開發(fā)過程，盡可能地減少應(yīng)用系統(tǒng)的漏洞。</p><p>　　網(wǎng)絡(luò)上的服務(wù)器和網(wǎng)絡(luò)設(shè)備盡可能不采取同一家的產(chǎn)品。</p><p>　　通過專業(yè)的安全工具（安全監(jiān)測系統(tǒng)）定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全評(píng)估。</p><p><b>　　網(wǎng)絡(luò)

50、應(yīng)用服務(wù)安全</b></p><p>　　局域網(wǎng)中常用的網(wǎng)絡(luò)服務(wù)包括WWW服務(wù)、FTP服務(wù)、DNS服務(wù)、DHCP服務(wù)、Active Directory服務(wù)等，隨著服務(wù)器提供的服務(wù)越來越多，系統(tǒng)也容易混亂、安全性也降低，因此就需要對(duì)網(wǎng)絡(luò)服務(wù)的相關(guān)參數(shù)進(jìn)行設(shè)置，以增強(qiáng)其安全性和穩(wěn)定性。通常情況下，網(wǎng)絡(luò)應(yīng)用服務(wù)安全可以分為如下4層。</p><p>　　網(wǎng)絡(luò)與應(yīng)用平臺(tái)安全：主要包括網(wǎng)

51、絡(luò)的可靠性與生存性。信息系統(tǒng)的可靠性和可用性。網(wǎng)絡(luò)的可靠性與生存性依靠環(huán)境安全、物理安全、節(jié)點(diǎn)安全、鏈路安全、拓?fù)浒踩?、系統(tǒng)安全等方面來保障。信息系統(tǒng)的可靠性和可用性主要由計(jì)算機(jī)系統(tǒng)安全性決定。</p><p>　　應(yīng)用服務(wù)提供安全：主要包括應(yīng)用服務(wù)的可用性與可控性。服務(wù)可控性依靠服務(wù)接入安全以及服務(wù)防否認(rèn)、服務(wù)防攻擊、國家對(duì)應(yīng)用服務(wù)的管制等方面來保障。服務(wù)可用性與承載業(yè)務(wù)網(wǎng)絡(luò)可靠性以及維護(hù)能力等先關(guān)。</

52、p><p>　　信息存儲(chǔ)于傳輸安全：主要包括信息在網(wǎng)絡(luò)傳輸和信息系統(tǒng)存儲(chǔ)時(shí)的完整性、機(jī)密性和不可否認(rèn)性。信息的完整性可以依靠報(bào)文鑒別機(jī)制；信息機(jī)密性可以依靠加密機(jī)制以及密鑰分發(fā)來保障；信息不可否認(rèn)性可以依靠數(shù)字簽名等技術(shù)來保障。</p><p>　　信息內(nèi)容安全：主要指通過網(wǎng)絡(luò)應(yīng)用服務(wù)所傳遞的信息內(nèi)容不涉及危害國家安全，泄露國家機(jī)密或商業(yè)秘密，侵犯國家利益、公共利益或公民合法權(quán)益，從事違法犯罪

53、活動(dòng)。</p><p>　　1.4.2 客戶端安全規(guī)劃</p><p>　　目前，Windows XP和Windows Vista是首選客戶端操作系統(tǒng)，為了便于統(tǒng)一管理，應(yīng)將相對(duì)固定的客戶端計(jì)算機(jī)加入域，接受域控制器的統(tǒng)一管理。通常情況下，可以從如下5個(gè)方面做好客戶端計(jì)算機(jī)的安全防御工作。</p><p>　　對(duì)于加入域的計(jì)算機(jī)可以通過組策略等工具統(tǒng)一部署安全策略，

54、例如用戶賬戶策略、密碼策略、硬件設(shè)備安裝限制策略等，確?？蛻舳说陌踩?lt;/p><p>　　對(duì)于未加入域的計(jì)算機(jī)，應(yīng)提高用戶網(wǎng)絡(luò)安全的意識(shí)，通過設(shè)置登錄密碼、計(jì)算機(jī)鎖定、防火墻等方式，確保系統(tǒng)安全。</p><p>　　在網(wǎng)絡(luò)中部署WSUS服務(wù)器，負(fù)責(zé)為所有客戶端計(jì)算機(jī)和服務(wù)器提供系統(tǒng)更新，避免系統(tǒng)漏洞的產(chǎn)生。</p><p>　　在所有客戶端上部署Symantec

55、網(wǎng)絡(luò)防病毒客戶端軟件，并接受服務(wù)器端的統(tǒng)一管理，開啟自動(dòng)更新病毒庫功能。</p><p>　　靈活部署和運(yùn)用Windows防火墻、Windows Defender等系統(tǒng)集成安全防護(hù)程序。</p><p>　　1.4.3 網(wǎng)絡(luò)設(shè)備安全規(guī)劃</p><p>　　局域網(wǎng)中的網(wǎng)絡(luò)設(shè)備主要包括路由器、交換機(jī)和防火墻，分別用于提供不同的網(wǎng)絡(luò)功能和應(yīng)用。網(wǎng)絡(luò)設(shè)備的部署方式、工作環(huán)

56、境、配置管理等，都可能影響其安全性。</p><p><b>　　網(wǎng)絡(luò)設(shè)備的脆弱性</b></p><p>　　通常情況下，當(dāng)用戶按照組網(wǎng)規(guī)劃方案購入并部署好網(wǎng)絡(luò)設(shè)備之后，設(shè)備中的主要組成系統(tǒng)即可在一段時(shí)間內(nèi)保持相對(duì)穩(wěn)定地運(yùn)行。但是，網(wǎng)絡(luò)設(shè)備本身就有一定的脆弱性，這也往往會(huì)成為入侵者攻擊的目標(biāo)。網(wǎng)絡(luò)設(shè)備的安全脆弱性主要表現(xiàn)在如下5個(gè)方面。</p><

57、;p>　　提供不必要的網(wǎng)絡(luò)服務(wù)，提高了攻擊者的攻擊機(jī)會(huì)。</p><p>　　存在不安全的配置，帶來不必要的安全隱患。</p><p><b>　　不適當(dāng)?shù)脑L問控制。</b></p><p>　　存在系統(tǒng)軟件上的安全漏洞。</p><p>　　物理上沒有得到安全存放，容易遭受臨近攻擊。</p><

58、;p>　　針對(duì)這些與生俱來的安全弱點(diǎn)，用戶可以通過如下措施加固系統(tǒng)安全。</p><p>　　禁用不必要的網(wǎng)絡(luò)服務(wù)。</p><p><b>　　修改不安全的配置。</b></p><p>　　利用最小特權(quán)原則嚴(yán)格對(duì)設(shè)備的訪問控制。</p><p>　　及時(shí)對(duì)系統(tǒng)進(jìn)行軟件升級(jí)。</p><p&g

59、t;　　提供符合IPP（Information Protection Policy，信息保護(hù)策略）要求的物理保護(hù)環(huán)境。</p><p><b>　　部署網(wǎng)絡(luò)安全設(shè)備</b></p><p>　　局域網(wǎng)中常見的網(wǎng)絡(luò)安全設(shè)備包括網(wǎng)絡(luò)防火墻、入侵檢測設(shè)備、入侵防御設(shè)備等。網(wǎng)絡(luò)防火墻是必不可少的，用于攔截處理來自Internet的各種攻擊行為，并且可以隔離內(nèi)部網(wǎng)絡(luò)有效避免內(nèi)部

60、攻擊。入侵檢測設(shè)備只能用于記錄入侵行為，局域網(wǎng)中已經(jīng)很少使用。通常情況下，可以再網(wǎng)絡(luò)中部署入侵防御系統(tǒng)，保護(hù)內(nèi)部服務(wù)器或局域網(wǎng)的安全。</p><p><b>　　IOS安全</b></p><p>　　IOS就是智能網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)操作系統(tǒng)，主要用于提供軟件管理平臺(tái)。IOS與計(jì)算機(jī)操作系統(tǒng)類似，難免存在系統(tǒng)漏洞，入侵者同樣可以通過這些漏洞進(jìn)入網(wǎng)絡(luò)設(shè)備的IOS，進(jìn)行各種

61、破壞活動(dòng)，從而影響網(wǎng)絡(luò)的正常運(yùn)行。</p><p>　　通常情況下，用戶可以從如下6個(gè)方面實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的IOS安全。</p><p>　　配置登錄密碼，主要包括Enable密碼和Telnet密碼，必要時(shí)可以以加密方式存儲(chǔ)密碼，以確保其安全性。</p><p>　　配置用戶訪問安全級(jí)別，為不同的管理賬戶賦予不同的訪問和管理權(quán)限。</p><p>

62、;　　控制終端訪問安全，嚴(yán)格控制允許終端連接的數(shù)量，以及終端會(huì)話超時(shí)限制。</p><p>　　配置SNMP安全。SNMP字符串用于驗(yàn)證用戶與交換機(jī)的連接，確保其身份的有效性，類似于用戶賬戶和密碼。</p><p>　　及時(shí)備份IOS映像，以便出現(xiàn)錯(cuò)誤操作或遭遇攻擊時(shí)可以迅速恢復(fù)。</p><p>　　升級(jí)IOS版本。IOS的系統(tǒng)漏洞是不可避免的，用戶可以通過安裝補(bǔ)

63、丁或升級(jí)IOS版本的方法避免由于系統(tǒng)漏洞導(dǎo)致的網(wǎng)絡(luò)攻擊。</p><p>　　1.4.4 無線準(zhǔn)備安全規(guī)劃</p><p>　　無線接入不僅是企業(yè)發(fā)展的需要，更是企業(yè)形象的代表。無線局域網(wǎng)是有線網(wǎng)絡(luò)的擴(kuò)展，主要用于移動(dòng)終端用戶提供網(wǎng)絡(luò)接入。該公司中的AP（Access Point,無線接入點(diǎn)）主要分布在產(chǎn)品展示區(qū)和會(huì)議室，方面移動(dòng)用戶隨時(shí)隨地訪問公司網(wǎng)絡(luò)。如今，許多筆記本電腦、掌上電腦、手

64、機(jī)等提供無線接入功能，在無線網(wǎng)絡(luò)覆蓋范圍內(nèi)“噌網(wǎng)”已經(jīng)成為一種時(shí)尚，對(duì)于管理員而言，無線網(wǎng)絡(luò)安全自然也就成了管理重點(diǎn)。</p><p>　　在無線局域網(wǎng)管理中，可以采用如下措施確保網(wǎng)絡(luò)安全。</p><p>　　確保桌面計(jì)算機(jī)和服務(wù)器系統(tǒng)實(shí)現(xiàn)盡可能的安全。這種保護(hù)提高了攻擊的門檻，即使攻擊者進(jìn)入了WLAN，仍然很難滲透進(jìn)用戶的計(jì)算機(jī)。</p><p>　　啟用無線A

65、P和工作站所支持的最強(qiáng)WEP。同時(shí)，確保擁有一個(gè)強(qiáng)健的WEP密碼，這個(gè)密碼應(yīng)該符合有線網(wǎng)絡(luò)中所應(yīng)用的相同的密碼強(qiáng)度規(guī)則。</p><p>　　確保無線網(wǎng)絡(luò)的網(wǎng)絡(luò)名稱（SSID）不是可以輕松識(shí)別的。不要使用公司名稱、自己的姓名或者地址作為SSID。</p><p>　　如果無線AP支持SSID廣播，應(yīng)當(dāng)關(guān)閉。這個(gè)措施可以創(chuàng)建一個(gè)封閉網(wǎng)絡(luò)，這樣，新的客戶端必須在連接之前輸入正確的SSID。&l

66、t;/p><p>　　使用IEEE802.1x身份驗(yàn)證協(xié)議保護(hù)無線網(wǎng)絡(luò)的安全。</p><p>　　在網(wǎng)絡(luò)中部署無線網(wǎng)絡(luò)控制器，統(tǒng)一管理和部署網(wǎng)絡(luò)中的所有無線接入點(diǎn)，實(shí)時(shí)監(jiān)測網(wǎng)絡(luò)攻擊情況。</p><p>　　1.4.5 安全設(shè)備規(guī)劃</p><p>　　在安全性需求較高的網(wǎng)絡(luò)中，網(wǎng)絡(luò)安全設(shè)備是必不可少的。該公司網(wǎng)絡(luò)中使用的安全設(shè)備包括網(wǎng)絡(luò)防火墻

67、、IDS和IPS。</p><p><b>　　網(wǎng)絡(luò)防火墻</b></p><p>　　防火墻適用于用戶網(wǎng)絡(luò)系統(tǒng)的邊界，屬于用戶網(wǎng)絡(luò)邊界的安全保護(hù)設(shè)備。所謂網(wǎng)絡(luò)邊界即采用不同安全策略的兩個(gè)網(wǎng)絡(luò)連接處，如用戶和Internet之間、同一企業(yè)內(nèi)部同部門之間等。防火墻的目的就是在網(wǎng)絡(luò)連接之間建立一個(gè)安全控制點(diǎn)，通過設(shè)定一定的篩選機(jī)制來決定允許或拒絕數(shù)據(jù)包通過，實(shí)現(xiàn)對(duì)進(jìn)入網(wǎng)絡(luò)

68、內(nèi)部的服務(wù)和訪問的審計(jì)與控制。防火墻是內(nèi)、外網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)谋亟?jīng)之路。</p><p><b>　　IDS</b></p><p>　　IDS是繼“防火墻”、“信息加密”等傳統(tǒng)安全保護(hù)方法之后的新一代安全保障技術(shù)，入侵檢測技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全，而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)。IDS通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信

69、息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。該網(wǎng)絡(luò)中的IDS部署在服務(wù)器區(qū)的接入交換機(jī)處。</p><p>　　IDS能夠檢測到的攻擊類型通常包括：系統(tǒng)掃描（System Scanning）、拒絕服務(wù)（Deny of Service）和系統(tǒng)滲透（System Penetration）。IDS對(duì)攻擊的檢測方法主要包括：被動(dòng)、非在線地發(fā)現(xiàn)和實(shí)時(shí)、在線地發(fā)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)中的攻擊者。IDS

70、的主要優(yōu)勢是監(jiān)聽網(wǎng)絡(luò)流量，但又不會(huì)影響網(wǎng)絡(luò)的性能。作為對(duì)防火墻的有益補(bǔ)充，IDS能夠幫助網(wǎng)絡(luò)系統(tǒng)快速發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的發(fā)生，可開展系統(tǒng)管理員的安全管理能力，包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)等，從而提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性，被認(rèn)為是繼防火墻之后的第二道安全閘門。</p><p><b>　　IPS</b></p><p>　　網(wǎng)絡(luò)中的IPS主要用于攔截和處理傳統(tǒng)網(wǎng)絡(luò)

71、防火墻無法解決的網(wǎng)絡(luò)攻擊，部署在網(wǎng)絡(luò)中的Internet接入?yún)^(qū)。</p><p>　　傳統(tǒng)的防火墻旨在拒絕那些明顯可疑的網(wǎng)絡(luò)流量，但仍然允許某些流量通過，因此，防火墻對(duì)于很多入侵攻擊仍然無計(jì)可施，而絕大多數(shù)IDS系統(tǒng)都是被動(dòng)的，不是主動(dòng)的，即在攻擊實(shí)際發(fā)生前，往往無法預(yù)先發(fā)出警報(bào)。而入侵防御系統(tǒng)IPS則傾向于提供主動(dòng)防御，其設(shè)計(jì)宗旨是預(yù)先對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免其造成損失，而不是簡單地在惡意流量傳

72、送時(shí)或傳送后才發(fā)出報(bào)警。</p><p>　　IPS是通過直接嵌入到網(wǎng)絡(luò)流量中實(shí)現(xiàn)這一功能的，即通過一個(gè)網(wǎng)絡(luò)端口接收來自外部系統(tǒng)的流量，經(jīng)過檢查確認(rèn)其中不包含異常活動(dòng)或可疑內(nèi)容后，再通過另外一個(gè)端口將其傳送到內(nèi)部系統(tǒng)中。此時(shí)，有問題的數(shù)據(jù)包，以及所有來自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包，都能在IPS中被清除掉。</p><p>　　1．4.6 局域網(wǎng)接入安全規(guī)劃</p><p&g

73、t;　　根據(jù)拓?fù)浣Y(jié)構(gòu)，可以將局域網(wǎng)分為核心層、匯聚層和接入層3個(gè)層次。接入層是最終面向用戶的，是局域網(wǎng)用戶進(jìn)入網(wǎng)絡(luò)的接入點(diǎn)，在該層應(yīng)用保障安全的策略能為局域網(wǎng)的安全運(yùn)行提供保障。</p><p><b>　　常規(guī)接入安全措施</b></p><p>　　在傳統(tǒng)有線網(wǎng)絡(luò)中，通?？梢圆捎?02.1x認(rèn)證確保局域網(wǎng)接入的安全，但需要交換機(jī)支持和后臺(tái)的RADIUS服務(wù)器，同時(shí)

74、必須采用國內(nèi)某些網(wǎng)絡(luò)廠商提供的802.1x解決方案，可以實(shí)現(xiàn)用戶名、IP地址、MAC地址、端口、VLAN、交換機(jī)IP等的綁定，從而有效避免網(wǎng)絡(luò)設(shè)備、用戶等的非法接入。除此之外，防火墻類的產(chǎn)品也可以控制局域網(wǎng)接入，但需要額外投資，并且可靠性不是很高。</p><p>　　在無線局域網(wǎng)中，管理員可以通過如下措施確保接入安全。</p><p>　　設(shè)置SSID。SSID是無線局域網(wǎng)的網(wǎng)絡(luò)名稱，通

75、常用于區(qū)分不同的網(wǎng)絡(luò)無線設(shè)備或用戶接入網(wǎng)絡(luò)之前必須提供匹配的SSID，否則無法接入。SSID類似于一個(gè)簡單的口令，阻止非法用戶的接入，保障無線局域網(wǎng)的安全。另外，還需要禁止無線設(shè)備的SSID廣播功能。</p><p>　　配置MAC地址訪問控制列表。每個(gè)網(wǎng)絡(luò)設(shè)備或計(jì)算機(jī)的網(wǎng)卡都有一個(gè)唯一的MAC地址，因此通過配置MAC地址訪問控制列表，可以確保只有經(jīng)過注冊的設(shè)備才可以接入網(wǎng)絡(luò)，阻止未經(jīng)授權(quán)的無線用戶接入。<

76、/p><p>　　配置WEP加密。WEP加密主要是針對(duì)無線網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)而言的，可以用于保護(hù)鏈路層數(shù)據(jù)的安全。WEP使用40位密鑰，采用RSA開發(fā)的RC4對(duì)稱加密算法，在鏈路層加密數(shù)據(jù)。</p><p>　　配置802.1x認(rèn)證。當(dāng)無線設(shè)備或用戶接入無線局域網(wǎng)之前，可以通過802.1x認(rèn)證決定是否允許其繼續(xù)訪問。如果認(rèn)證通過，則AP為無線工作站打開這個(gè)邏輯接口，否則，不允許接入。</p

77、><p><b>　　NAP技術(shù)</b></p><p>　　NAP（Network Access Protection,網(wǎng)絡(luò)訪問保護(hù)）是Microsoft在Windows Vista和Windows Server 2008提供的全新系統(tǒng)組件，它可以再訪問私有網(wǎng)絡(luò)時(shí)提供系統(tǒng)平臺(tái)健康校驗(yàn)。NAP平臺(tái)提供了一套完整性校驗(yàn)的方法來判斷接入網(wǎng)絡(luò)的客戶端的健康狀態(tài)，對(duì)不符合健康策略

78、需求的客戶端限制其網(wǎng)絡(luò)訪問權(quán)限。</p><p>　　為了校驗(yàn)網(wǎng)絡(luò)訪問的主機(jī)的健康狀況，網(wǎng)絡(luò)架構(gòu)需要提供如下功能性領(lǐng)域。</p><p>　　健康策略認(rèn)證：判斷計(jì)算機(jī)是否適應(yīng)健康策略的需求。</p><p>　　網(wǎng)絡(luò)訪問限制：限制不適應(yīng)策略的計(jì)算機(jī)訪問。</p><p>　　自動(dòng)補(bǔ)救：為不適應(yīng)策略的計(jì)算機(jī)提供必要的升級(jí)，使其適應(yīng)健康策略。&l

79、t;/p><p>　　動(dòng)態(tài)適應(yīng)：自動(dòng)升級(jí)適應(yīng)策略的計(jì)算機(jī)以使其可以跟上健康策略的計(jì)算機(jī)。</p><p>　　1.4.7 Internet 接入安全規(guī)劃</p><p>　　企業(yè)局域網(wǎng)采用共享方式接入Internet，并將硬件防火墻Cisco 5540部署在局域網(wǎng)邊緣。為了便于管理客戶端Internet接入安全，在硬件防火墻的后面部署了Forefront TMG服務(wù)器，

80、可以提供如下功能。</p><p>　　網(wǎng)絡(luò)防火墻。TMG服務(wù)器提供了靈活的防火墻策略配置，允許管理員根據(jù)實(shí)際需要制定Internet訪問規(guī)則，例如限制特定的用戶訪問Internet、禁止瀏覽視頻網(wǎng)站等。</p><p>　　Web訪問緩存。TMG服務(wù)器既是防火墻，又可以作為Web訪問代理服務(wù)器。管理員可以在TMG服務(wù)器上開辟專用于存儲(chǔ)客戶端請求的Internet數(shù)據(jù)空間，暫時(shí)緩存常用數(shù)據(jù)

81、。當(dāng)客戶端需要再次訪問這些Internet數(shù)據(jù)時(shí)，在局域網(wǎng)中即可完成，提高了客戶端的訪問效率。</p><p>　　安全VPN接入功能。通過TMG服務(wù)器創(chuàng)建VPN連接，能夠很輕松地建立起各種情況下的VPN連接。當(dāng)本地計(jì)算機(jī)要和遠(yuǎn)程計(jì)算機(jī)通過TMG服務(wù)器進(jìn)行通信時(shí)，數(shù)據(jù)封裝好后，將通過VPN進(jìn)行收發(fā)，充分確保通信過程的安全。</p><p>　　1.4.8 遠(yuǎn)程接入安全規(guī)劃</p>

82、;<p>　　目前，最常用的遠(yuǎn)程訪問方式是VPN，主流的安全技術(shù)包括SSL VPN和IPSec VPN。SSL VPN應(yīng)用比較簡單，用戶無需進(jìn)行配置，基于Web頁面即可實(shí)現(xiàn)。IPSec VPN技術(shù)應(yīng)用比較廣泛，不再局限于Web方式，同時(shí)由于其安裝和配置過程比較復(fù)雜，應(yīng)用難度也比較大。</p><p>　　IPSec VPN 遠(yuǎn)程安全接入</p><p>　　IPSec VPN

83、 提供了多種安全特性，如數(shù)據(jù)加密、設(shè)備驗(yàn)證、數(shù)據(jù)完整性、地址隱藏和安全機(jī)構(gòu)（SA）密鑰老化等功能。IPSec標(biāo)準(zhǔn)提供數(shù)據(jù)完整性或數(shù)據(jù)加密兩種功能。數(shù)據(jù)完整性分兩類：128位強(qiáng)度Message Digests(MD-5)-HMAC和160位強(qiáng)度安全散列算法（SHA）-HMAC。由于SHA的強(qiáng)度更大。所以更加安全。</p><p>　　SSL VPN 遠(yuǎn)程安全接入</p><p>　　SSL

84、VPN 是工作在應(yīng)用層和TCP層之間的遠(yuǎn)程接入技術(shù)。通常SSL VPN的實(shí)現(xiàn)方式是在企業(yè)的防火墻后面放置一個(gè)SSL代理服務(wù)器。如果用戶希望安全地連接到公司網(wǎng)絡(luò)上，那么當(dāng)用戶在瀏覽器上輸入一個(gè)URL后，連接將被SSL代理服務(wù)器取得，并驗(yàn)證該用戶的身份，然后SSL代理服務(wù)器將連接映射到不同的應(yīng)用服務(wù)器上。</p><p>　　1.4.9 網(wǎng)絡(luò)可靠性規(guī)劃</p><p>　　對(duì)于企業(yè)網(wǎng)絡(luò)而言，許

85、多金融、貿(mào)易、電子商務(wù)等活動(dòng)都是通過網(wǎng)絡(luò)完成的，這就要求企業(yè)的網(wǎng)絡(luò)具備很高的可靠性。提高網(wǎng)絡(luò)可靠性的方法很多，最常見的是冗余和容錯(cuò)。</p><p>　　在硬件設(shè)備方面，可以通過配置交換機(jī)生成樹、鏈路匯聚和鏈路冗余技術(shù)來提高局域網(wǎng)線路連接的可靠性。其中生成樹協(xié)議可以幫助管理員快速檢查網(wǎng)絡(luò)連接。當(dāng)住鏈路發(fā)生故障時(shí)，確保網(wǎng)絡(luò)正常工作。鏈路匯聚技術(shù)可以將多條鏈路聚合為一條干路，還可以提高網(wǎng)絡(luò)帶寬，更重要的是，鏈路匯聚可

86、以實(shí)現(xiàn)負(fù)載均衡，從而大大提高了網(wǎng)絡(luò)的可靠性。局域網(wǎng)接入?yún)^(qū)域的路由器雖然僅提供路由選擇功能，但其重要性也是不容忽視的?？梢酝ㄟ^配置路由冗余充分保證Internet連接的可靠性。</p><p>　　在軟件方面則可以通過服務(wù)器群集技術(shù)和網(wǎng)絡(luò)負(fù)載均衡技術(shù)，來提高重要服務(wù)器的可靠性。除此之外，常規(guī)的數(shù)據(jù)備份也是必不可少的，包括服務(wù)器角色狀態(tài)信息備份、服務(wù)器系統(tǒng)備份、數(shù)據(jù)庫備份、網(wǎng)絡(luò)設(shè)備配置備份等。</p>

87、<p><b>　　總 結(jié)</b></p><p>　　沒有安全保證的企業(yè)網(wǎng)絡(luò)就像沒有剎車的車子跑在高速公路上?；ヂ?lián)網(wǎng)絡(luò)的飛速發(fā)展，對(duì)企業(yè)網(wǎng)絡(luò)中用戶的工作和管理已經(jīng)產(chǎn)生了深遠(yuǎn)的影響，網(wǎng)絡(luò)在我們的生活中已經(jīng)無處不在。但在享受高科技帶來的便捷同時(shí)，我們需要清醒的認(rèn)識(shí)到，網(wǎng)絡(luò)安全問題的日益嚴(yán)重也越來越成為網(wǎng)絡(luò)應(yīng)用的巨大阻礙，企業(yè)網(wǎng)絡(luò)安全已經(jīng)到了必須要統(tǒng)一管理和徹底解決的地步，只有很好的

88、解決了網(wǎng)絡(luò)安全問題，企業(yè)網(wǎng)絡(luò)的應(yīng)用才能健康、高速的發(fā)展.</p><p>　　本文分析了企業(yè)網(wǎng)絡(luò)的安全規(guī)劃，并針對(duì)規(guī)劃提出了相應(yīng)的安全解決措施。文中分析認(rèn)為，企業(yè)網(wǎng)絡(luò)安全重點(diǎn)在防病毒和防攻擊。為此．文中針對(duì)病毒的特點(diǎn)和網(wǎng)絡(luò)攻擊的特性，提出了企業(yè)網(wǎng)絡(luò)的相應(yīng)措施。采用上述措施，基本能夠解決企業(yè)網(wǎng)絡(luò)面臨威脅風(fēng)險(xiǎn)，從而建構(gòu)一個(gè)安全、高效的網(wǎng)絡(luò)。</p><p><b>　　【參考文獻(xiàn)】&

89、lt;/b></p><p>　　劉曉輝，李利軍.Windows Server 2008 系統(tǒng)安全管理實(shí)踐指南【M】.北京：清華大學(xué)出版社，2010</p><p>　　劉曉輝.網(wǎng)絡(luò)安全設(shè)計(jì)、配置與管理大全【M】.北京：電子工業(yè)出版社，2009</p><p>　　劉曉輝，李利軍.Windows Server 2008安全內(nèi)幕【M】.北京：清華大學(xué)出版社，20

90、09</p><p>　　劉曉輝.網(wǎng)絡(luò)安全管理實(shí)踐（第2版）【M】.北京：電子工業(yè)出版社，2009</p><p>　　王春海，王淑江.網(wǎng)管經(jīng)驗(yàn)談【M】.北京：電子工業(yè)出版社，2010</p><p>　　唐任威，趙驚人，張宏義，呂政周.Windows Server 2008 網(wǎng)絡(luò)服務(wù)與安全【M】.臺(tái)北：悅知文化，2008</p><p>