IPS-IDS网络安全解决方案—具有参考价值

第一篇：IPS-IDS网络安全解决方案—具有参考价值

目录........................................................................................................................1 1.信息安全介绍.....................................................................................................4 何为信息安全？....................................................................................................4 信息安全意义........................................................................................................4 1.1 信息安全原理.................................................................................................5

1.1.1 系统生命周期.............................................................................5 1.1.2 3S安全体系.................................................................................6 1.1.3 关注资产的安全风险.................................................................7 1.1.4 统一管理.....................................................................................7 1.1.5 安全 = 管理 + 技术................................................................8

1.2 计算机系统安全问题.....................................................................................8

1.2.1 从计算机系统的发展看安全问题............................................9 1.2.2 从计算机系统的特点看安全问题..............................................9

2.物理安全...........................................................................................................10 2.1 设备的安全...................................................................................................10 3.访问控制...........................................................................................................14 3.1访问控制的业务需求....................................................................................14 3.2用户访问的管理............................................................................................15 3.3用户责任........................................................................................................17 3.4网络访问控制................................................................................................19 3.5操作系统的访问控制....................................................................................23

3.6应用系统的访问控制....................................................................................27 3.7系统访问和使用的监控................................................................................28 3.8移动操作及远程办公....................................................................................30 4.网络与通信安全...............................................................................................32

4.1网络中面临的威胁................................................................................32 5.系统安全设计方案...........................................................................................43 5.1系统安全设计原则........................................................................................43 5.2建设目标........................................................................................................44 5.3总体方案........................................................................................................45 5.4总体设计思想................................................................................................46

5.4.1内网设计原则.............................................................................46 5.4.2有步骤、分阶段实现安全建设.................................................47 5.4.3完整的安全生命周期.................................................................48

5.5 网络区域划分与安全隐患.....................................................................48

6.0网络安全部署................................................................................................48

保护目标..............................................................................................48 威胁来源..............................................................................................48 安全策略..............................................................................................49

6.1防火墙系统....................................................................................................50

6.1.1 防火墙系统的设计思想...........................................................50 6.1.2 防火墙的目的............................................................................51 6.1.3 防火墙的控制能力....................................................................52

6.1.4 防火墙特征................................................................................52 6.1.5 第四代防火墙的抗攻击能力....................................................54 6.1.6 防火墙产品的选型与推荐........................................................55

6.2 入侵检测系统.........................................................................................60 6.2.1 什么是入侵检测系统...............................................................60 6.2.2 如何选择合适的入侵检测系统...............................................61 6.2.3 IDS的实现方式-----网络IDS..................................................61 6.2.4 IDS的实现方式-----主机IDS..................................................62 6.2.5 基于网络的入侵检测系统的主要优点有：...........................63 6.2.6 入侵检测系统的设计思想.......................................................64 6.2.7 入侵检测产品的选型与推荐...................................................65

6.3 漏洞扫描系统.........................................................................................70 6.3.1 漏洞扫描系统产品选型与推荐...............................................71 6.3.2 漏洞扫描系统的部署方案.......................................................72

6.4 网络信息监控与取证系统.....................................................................73 6.4.1 网络信息监控与取证系统产品的选型与推荐.......................73 6.4.2 网络信息监控与取证系统的部署方案...................................76

6.5 内部安全管理系统（防水墙系统）.....................................................78 6.5.1 内部安全管理系统产品选型与推荐.......................................79 6.5.2 内部安全管理系统的部署方案...............................................85

6.6 其他计算机系统安全产品介绍.............................................................86 6.6.1 天镜系—漏洞扫描...................................................................86

6.6.2 数据库审计系统.......................................................................89 6.6.3 iGuard网页防篡改系统............................................................93 6.6.4 防垃圾邮件网关.......................................................................99 6.6.5 集中安全管理平台 GSMDesktop 7.1...................................106 6.6.6 中软运行管理系统2.0R2......................................................110

1.信息安全介绍

何为信息安全？

信息安全的作用是保护信息不受大范围威胁所干扰，使机构业务能够畅顺，减少损失及提供最大的投资回报和商机。

信息可以有多种存在方式，可以写在纸上、储存在电子文档里，也可以用邮递或电子手段发送，可以在电影上放映或者说话中提到。无论信息以何种方式表示、共享和存储，都应当适当地保护起来。

因此信息安全的特征包括如下特性：

 保密性(confidentiality)：保证信息只让合法用户访问；

 完整性(integrity)：保障信息及其处理方法的准确性（accuracy）、完全性（completeness）；

 可用性(availability)：保证合法用户在需要时可以访问到信息及相关资产。

实现信息安全要有一套合适的控制（controls），如策略（policies）、惯例(practices)、程序(procedures)、组织的机构(organizational structures)和软件功能(software functions)。这些控制需要被建立以保证机构的安全目标能够最终实现。

信息安全意义

信息及其支持进程、系统和网络是机构的重要资产。信息的保密性、完整性和可用性对机构保持竞争能力、现金流、利润、守法及商业形象至关重要。

但机构及其信息系统和网络也越来越要面对来自四面八方的威胁，如计算机辅助的诈骗、间谍、破坏、火灾及水灾等。损失的来源如计算机病毒、计算机黑客及拒绝服务攻击等手段变得更普遍、大胆和复杂。

机构对信息系统及服务的依赖意味着更容易受到攻击。公网和专网的互联以及信息资源的共享增加了访问控制的难度。分布式计算的趋势已经削弱了集中管理的效果。

很多信息系统没有设计得很安全。利用技术手段获得的安全是受限制的，因而还应该得到相应管理和程序的支持。选择使用那些安全控制需要事前小心周密计划和对细节的关注。信息安全管理至少需要机构全体员工的参与，同时也应让供应商、客户或股东参与，如果有必要，可以向外界寻求专家的建议。

对信息安全的控制如果融合到需求分析和系统设计阶段，则效果会更好，成本也更便宜。

1.1 信息安全原理

绝对安全与可靠的信息系统并不存在。一个所谓的安全系统实际上应该是“使入侵者花费不可接受的时间与金钱，并且承受很高的风险才能闯入”系统。安全性的增加通常导致企业费用的增长，这些费用包括系统性能下降、系统复杂性增加、系统可用性降低和操作与维护成本增加等等。安全是一个过程而不是目的。弱点与威胁随时间变化。安全的努力依赖于许多因素，例如职员的调整、新业务应用的实施、新攻击技术与工具的导入和安全漏洞。

1.1.1 系统生命周期

系统生命周期通常由以下阶段组成：概念与需求定义、系统功能设计、系统开发与获取、系统实现与测试、系统的持久操作支持和最终系统处理。在过去的几年里，实现系统生命周期支持的途径已经转变，以适应将安全组成部分和安全过程综合到系统工程过程中的需要。与系统生命周期相对应，安全生命周期由以

下几个阶段构成：安全概念和需求定义、安全机制设计、安全集成与实现、安全管理解决方案和安全风险分析。

涉及到任何功能和系统级别的需求，通过理解安全需求、参加安全产品评估并最终在工程设计和实现系统等方式，应该在生命周期过程的早期便提出安全问题。近年来发现，在系统开发之后实现系统安全非常困难，而且已经有了不少教训。因此，必须在发掘需求和定义系统时便考虑安全需求。为了在系统工程过程中有效地集成安全方法与控制，设计者与开发者应该调整现有的过程模型，以产生一个交互的系统开发生命周期。该周期更关注使系统获得安全性的安全控制和保护机制。

1.1.2 3S安全体系

3S安全体系由三部分组成：安全解决方案（Security Solution）、安全应用（Security Application）和安全服务（Security Service）。这三部分又都以客户价值为中心。

安全解决方案（Security Solution）包括安全解决方案的设计与实施，安全产品选型与系统集成。安全应用（Security Application）包括根据用户的实际应用环境，为用户定制应用安全系统。安全服务（Security Service）则贯穿了整个安全建设的始终，从最初的安全风险评估与风险管理，帮助用户制定信息安全管理系统，系统安全加固，紧急安全响应，到安全项目实施后的安全培训教育。

附图1.3S安全体系

1.1.3 关注资产的安全风险

安全技术涉及到方方面面的问题。对各种系统和设备的安全管理必然是一个复杂的、高负荷的工作。在若干的安全事件中，我们关注的是那些针对关键资产的安全漏洞发起的攻击，这些攻击才会对资产形成威胁。因此，对于企业资产和资产风险的管理应该是整个安全管理的第一步，即通过对这些资产的安全评估，了解资产安全状况的水准。这些工作是其他安全保护技术的基础，也是有效管理企业IT安全的基石。

安全弱点管理平台可以智能发现关键IT业务资产和经营这些资产的技术（操作系统、应用程序、硬件版本等等），将其与确认的弱点进行对比，并提供包含逐步修补指导说明的基于风险的弱点管理任务列表，指导IT管理员合理及时处理安全弱点，从而显著地降低风险。

安全对抗平台对关键网段进行监视，并且可以随时准备转移到安全事件的突发区，进行事件分析，帮助管理员和专家抵抗、反击攻击者。在安全事件发生后，可以重建安全事件过程、恢复关键数据，能够极大地提高系统的生存能力，并且起到威慑攻击者的目的。

1.1.4 统一管理

安全事件不是独立的、偶然的。一次成功的攻击事件，必然会在网络的相关设备和系统中有所反应。不论是人为发起的攻击，还是来自病毒的攻击行为，都可以从防火墙、路由器、交换机、入侵检测和主机系统中获取相关的证据。攻击的证据零散地分布在这些系统中，如果能够有效地、智能地加以整合，我们就可以清晰地了解到整个安全事件的过程，帮助管理员更好地管理信息系统的安全。

来自管理方面的需求也迫切地需要一个安全统一管理平台。从广义的角度来看，网络设备应该也属于网络安全的一部分。在一个大型的网络中，对于分布在不同网段、不同地理位臵的网络设备、安全设备的管理会消耗管理员大量的精力。而安全系统往往会部署在异构平台上，对于这些异构平台的掌握、对于安全系统的掌握也会浪费管理员的时间和精力。

安全统一管理自动整合来自运行路由器、交换机、入侵检测、防病毒、防火墙等安全产品的事件数据，同时通过其客户端以及SAPI有效收集第三方安全检测产品产生的安全事件数据，并将其存储在中心数据库中以便方便地进行访问和编写报表。管理员使用安全统一管理平台管理、监视、报警和报告跨平台的用户活动信息。有了这些信息，系统管理员将可以在出现可能对关键电子商务系统造成负面影响的袭击和问题之前，立即做出反应。

1.1.5 安全 = 管理 + 技术

信息和支持进程、系统以及网络都是重要的业务资产。为保证企业富有竞争力，保持现金流顺畅和组织赢利，以及遵纪守法和维护组织的良好商业形象，信息的保密性、完整性和可用性是至关重要的。很多信息系统在设计时，没有考虑到安全问题。通过技术手段获得安全保障十分有限，必须辅之以相应的管理手段和操作程序才能得到真正的安全保障。确定需要使用什么控制措施需要周密计划，并对细节问题加以注意。

作为信息安全管理的最基本要求，企业内所有的雇员都应参与信息安全管理。信息安全管理还需要供应商、客户或股东的参与。也需要参考来自组织之外的专家的建议。

如果在制定安全需求规范和设计阶段时就考虑到了信息安全的控制措施，那么信息安全控制的成本会很低，并更有效率。

1.2 计算机系统安全问题

目前，计算机系统和信息安全问题是IT业最为关心和关注的焦点之一。据ICSA统计，有11％的安全问题导致网络数据被破坏，14％导致数据失密，15％的攻击来自系统外部，来自系统内部的安全威胁高达60％。由于受到内部心怀不满的职工安放的程序炸弹侵害，Omega Engineering公司蒙受了价值300万美元的销售收入和合同损失，由于受到来自网络的侵袭，Citibank银行被窃了1000万美元，后来他们虽然追回了750万美元损失，但却因此失去了7％的重要客户，其声誉受到了沉重打击。这只是人们知道的两个因安全问题造成巨大损失的例子，实际上，更多的安全入侵事件没有报告。据美国联邦调查局估计，仅有7％的入侵事件被报告了，而澳大利亚联邦警察局则认为这个数字只有5％。因为许多入侵根本没有被检测到，还有一些受到侵袭的企业由于害怕失去客户的信任而没有报告。

那么，为什么当今信息系统中存在如此之多的安全隐患，安全问题如此突出呢？这是与计算机系统的发展、当今流行系统的设计思路、当前IT系统的使用状况紧密相关的。下面，我们从以下几个方面简要论述。

1.2.1 从计算机系统的发展看安全问题

安全问题如此突出和严重是与IT技术和环境的发展分不开的。早期的业务系统是局限于大型主机上的集中式应用，与外界联系较少，能够接触和使用系统的人员也很少，系统安全隐患尚不明显。现在业务系统大多是基于客户/服务器模式和Internet/Intranet网络计算模式的分布式应用，用户、程序和数据可能分布在世界的各个角落，给系统的安全管理造成了很大困难。早期的网络大多限于企业内部，与外界的物理连接很少，对于外部入侵的防范较为容易，现在，网络已发展到全球一体化的Internet，每个企业的Intranet都会有许多与外部连接的链路，如通过专线连入Internet，提供远程接入服务供业务伙伴和出差员工访问等等。在这样一个分布式应用的环境中，企业的数据库服务器、电子邮件服务器、WWW服务器、文件服务器、应用服务器等等每一个都是一个供人出入的“门户”，只要有一个“门户”没有完全保护好－忘了上锁或不很牢固，“黑客”就会通过这道门进入系统，窃取或破坏所有系统资源。随着系统和网络的不断开放，供黑客攻击系统的简单易用的“黑客工具”和“黑客程序”不断出现，一个人不必掌握很高深的计算机技术就可以成为黑客，黑客的平均年龄越来越小，现在是14－16岁。

1.2.2 从计算机系统的特点看安全问题

在现代典型的计算机系统中，大都采用TCP/IP作为主要的网络通讯协议，主要服务器为UNIX或Windows NT操作系统。众所周知，TCP/IP和UNIX都

是以开放性著称的。系统之间易于互联和共享信息的设计思路贯穿与系统的方方面面，对访问控制、用户验证授权、实时和事后审计等安全内容考虑较少，只实现了基本安全控制功能，实现时还存在一些这样那样的漏洞。

TCP/IP的结构与基于专用主机(如IBM ES/3000、AS/400)和网络(如SNA网络)的体系结构相比，灵活性、易用性、开发性都很好，但是，在安全性方面却存在很多隐患。TCP/IP的网络结构没有集中的控制，每个节点的地址由自己配臵，节点之间的路由可任意改变。服务器很难验证某客户机的真实性。IP协议是一种无连接的通讯协议，无安全控制机制，存在IP Spoofing、TCP sequence number prediction attacks、Source outing attacks、RIP attacks、ICMP attacks、Data-driven attacks(SMTP and MIME)、Domain Name Service attacks、Fragment attacks、Tiny fragment attacks、Hijacking attacks、Data integrity attacks、Encapsulated IP attacks等各种各样的攻击手段。实际上，从TCP/IP的网络层，人们很难区分合法信息流和入侵数据，DoS(Denial of Services，拒绝服务)就是其中明显的例子。

UNIX操作系统更是以开放性著称的，在安全性方面存在许多缺限。如用户认证和授权管理方面，UNIX操作系统对用户登录的管理是靠用户名和口令实现的，存在很多安全上的隐患；在对资源的访问控制管理方面，UNIX只有读、写和执行三种权限，无法对文件进行更为细致的控制，且缺乏完善有效的跟踪审计能力。严格的控制需要复杂的配臵过程，不同系统上配臵方法也很不一致，实际上无法全面有效地实施。另外UNIX中的root用户为特权用户，拥有至高无上的特权，它也成为黑客窥视的主要目标，给系统安全造成了极大危害。

2.物理安全

2.1 设备的安全

目的：防止资产丢失、损失或被破坏，防止业务活动的停顿。设备应有物理保护不受安全威胁及环境事故的影响。

要保护设备（包括用在离线的地方）以减少非法访问数据的风险，和保护不

会丢失或损失，也要考虑设备应放在什么地方及如何处理掉。可能需要特别的控制来保护故障或非法访问，和保障支援设备，例如电力供应和线缆架构。

2.1.1设备的放置及保护

设备应放在安全的地方，保护减少来自环境威胁及事故的风险，减少非法访问的机会。要考虑的有：

 设备的位臵，应是尽量减少不必要的到工作地方的访问；

 处理敏感数据的信息处理及储存设备应该好好放臵，以减少使用时被俯瞰的风险；

 需要特别保护的东西，应被隔离；  应控制并减少潜在威胁出现的风险：  偷窃；  火；  爆炸物；  烟；

 水（或供水有问题）；  尘埃；  震动；  化学效应；  电力供应干扰；  电磁辐射；

 机构应考虑在信息处理设备附近的饮食及吸烟策略；  应监控那些严重影响信息处理设备操作的环境；

 考虑在工业环境设备的特殊保护方法，例如采用键盘薄膜；

 应考虑在大厦附近发生灾难的后果，例如隔离大厦着火、房顶漏水，地下层渗水、街道发生爆炸。

2.1.2电力的供应

应保证设备电源不会出现故障，或其它电力异常。应有适当的、符合设备生产商规格的电力供应。关于连续性供电的选项有：

 多个输电点，避免单点输电导致全部停电；  不间断电源（UPS）；  备份发电机。

建议为那些支持重要业务操作的设备配备UPS，保持有次序的停电或连续性供电。应急计划应包括UPS 发生故障时应采取什么行动。UPS设备应定期检查，保证有足够的容量，并按生产商的建议进行测试。

如果发生长时间电源失败还要继续信息处理的话，请考虑配备后备发电机。发电机安装后，应按生产商的指示定期进行测试。应提供足够的燃料保证发电机可以长时间发电。

此外，紧急电力开关应放臵设备房紧急出口的附近，以便一旦发生紧急事故马上关闭电源。也要考虑一旦电源失败时的应急灯。要保护全大厦的灯，及在所有外部通讯线路都要装上灯光保护过滤器。

2.1.3电缆线路的安全

应保护带有数据或支持信息服务的电力及电讯电缆，使之不被侦听或破坏。要注意的有：

 进入信息处理设备的电力及电讯电缆线路应放在地下下面，如可能，也可以考虑其它有足够保护能力的办法；

 网络布线应受到保护，不要被非法截取或被破坏，举例，使用管道或避免通过公众地方的路径；

 电源电缆应与通讯电缆分开，避免干扰；

 至于敏感或重要的系统，更要考虑更多的控制，包括：  安装装甲管道，加了锁的作为检查及终点的房间或盒子；  使用可选路由或者传输介质；  光纤光缆；

 清除附加在电缆上的未授权设备。

2.1.4设备的维护

设备应正确维护来保证连续性可用合完整性。以下是要注意的：  设备应按供应商的建议服务间隔及规格维护；  只有授权的维护人员才可以修理设备；

 记录所有可疑的或真实的故障，以及所有防范及改正措施；  实施适当的控制如何把设备送出大厦进行修理

2.1.4设备离开大厦的安全

无论是谁拥有的，在机构外面使用任何设备处理信息应有管理层的授权。所提供的安全保护应与设备在大厦内使用时相同。还要考虑在机构大厦外面工作的风险。信息处理设备包括所有形式的个人计算机、商务通、移动电话纸张或其它表格，放在家里或从日常工作地方搬走。要考虑的有：

 从大厦取走的设备及介质，不应放在公众地方无人看管。笔记本计算机应当作手提行李随身，及在外时尽量遮蔽，不要显露在外被人看到；

 应时常注意生产商保护设备的指示，例如不要暴露在强大的电磁场内；  在家工作的控制，应在评估风险后确定，并适当地实施，举例，可上锁的文件柜、清除桌子的策略及计算机的访问控制；

 应有足够的保险保护不在大厦的设备。

安全风险，例如损坏、被盗及偷听，可能每个地方都不同，所以应仔细考虑

后确定最适当的控制。参看3.8.1的关于如何保护移动设备。

2.1.5设备的安全清除或重用

信息可以通过不小心清除或重复使用设备而被破坏（参看8.6.4），有敏感信息的存储设备应该物理被销毁或安全地覆盖，而不是使用标准的删除功能。

所有储存设备，例如固定硬盘，应被检查以保证已清除所有敏感数据及授权软件，或在清除前已被覆盖。损坏了、有敏感数据的储存设备可能需要评估风险后确定是否把设备销毁、修理或丢掉。

3.访问控制

3.1访问控制的业务需求

目的：控制信息的访问。

应按照业务及安全要求控制信息及业务程序的访问，应把信息发布及授权的策略内容加入到考虑范围之内。

3.1.1访问控制策略 3.1.1.1策略及业务需求

首先要定义业务需求的访问控制，并记录下来。访问策略的文件应清楚写明每个用户或每组用户应有的访问控制规定及权限，用户及服务提供商都应有一份这样的文件，明白访问控制要达到什么业务需求。访问控制策略应包括以下内容：  每个业务应用系统的安全要求；  确认所有与业务应用系统有关的信息；

 信息发布及授权的策略，例如：安全级别及原则，以及信息分类的需要；  不同系统及网络之间的访问控制及信息分类策略的一致性；  关于保护访问数据或服务的相关法律或任何合同规定；  一般作业类的标准用户访问配臵；

 在分布式及互联的环境中，管理所有类别的连接的访问权限。

3.1.1.2访问控制规定

在制定访问控制规定时，应小心考虑以下：

 将必须实施的规定和可以选择实施或有条件实施的规定分开考虑；  根据“除非有明文准可，否则一般是被禁止”的原则建立规定，而不是“在一般情况下全都可以，除非有明文禁止”的模糊概念；

 由信息处理设备自动启动与经过用户判断启动的信息标记改动；  由信息系统自动启动的与由管理员启动的用户许可的变动。 需要与不需要管理员或其它批准才能颁布的规定。

3.2用户访问的管理

目的：防止非法访问信息系统。

应有一套正式程序来控制分配信息系统及服务的访问权限。

手续应包括用户访问生命周期的所有阶段，从一开始注册新用户直到最后注销那些不再需要访问信息安全及服务的用户。应特别注意控制分配特级访问权限，因为这些特级权限让用户越过系统的控制。

3.2.1用户登记

应有一套正式的用户注册及注销手续，以便授予访问所有多用户信息系统及服务。

多用户信息服务的访问应通过正式的用户注册手续控制，内容应包括：  使用唯一的用户ID，以便鉴定是谁做什么操作，并予以追究责任；  检查用户是否已被系统拥有者授权使用信息系统或服务。有时，还需要管理个别批准访问权限；

 检查所准许的访问级别是否适用于业务目的（参看3.1），是否与机构的安全策略一致，例如不会破坏责任的分开；

 发送用户访问权限声明书给用户；

 要求用户在声明书上签字，表示明白了访问的条件；  确保服务提供者不能访问，直到授权手续已完成；  保存一份所有注册使用服务的正式名单；

 马上取消已更换岗位、或已离开机构的用户的访问权限；  定期检查是否有多余的用户ID及账号，并予以除掉；  确保多余的用户ID不会发给其它用户。

此外，应仔细研究员工合同及服务合同中涉及员工或服务商试图非法访问后所受到的制裁的条款。

3.2.2特权管理

应禁止及控制特权（指任何一种功能或设备会让用户可以越过系统或应用系统控制的多用户信息系统）的分配与使用。不适当使用系统特权往往是系统安全被破坏的主要原因。

需要保护不被非法访问的多用户系统应有正式授权手续控制特权的分配，应考虑以下的步骤：

 认与每个系统产品（例如操作系统、数据库管理系统以及每个应用系统，以关联的特权，以及找出那些应配有特权的员工。

 权应按照“需要使用”及“按事件”的原则分配，即只在需要时所赋有的最低功能角色要求。

 应有一套授权程序，及记录所有被分配的特权。不应授予特权，直到完成整个授权程序。

 鼓励开发及使用系统例行程序，以避免授予用户特权的需要  特权应赋予不同的用户ID，与用作业务的ID分开

3.2.3用户口令的管理

口令是一个常用方法，来核查访问某个信息系统或服务的用户身份。所以，应通过正式的管理程序分配口令，办法以下：

 要求用户在声明书上签字，保证不泄露个人口令，以及只让在同一组的组员知道作业组的口令；

 当需要用户保密自己的口令时，保证在开始时只提供一个暂时的口令，强迫用户马上更改。当用户忘记自己口令时，应在确认清楚用户身份后才提供临时性口令；

 要求安全地发给用户临时性口令。应避免使用第三方或未加保护（明文）的电子邮件信息。用户应确认收到口令。

 口令绝不能以不加保护的形式储存在计算机系统中（参看3.5.4）。其它用来确认及认证用户的技术，例如生物测定学，指纹核查、签名核查及硬件令牌，例如chip-cards，都可以考虑使用。

3.2.4用户访问权限的检查

为了有效控制数据及信息服务的访问，管理层应该定期正式检查，看看用户的访问权限是否：

 定期（建议是每隔六个月）及在任何改动后（参看3.2.1）接受检查；  更频繁地检查特权访问的授权（参看3.2.2），建议是每隔三个月；  定期检查特权的分配，以确保没有用户取得非法特权。

3.3用户责任

目的：防止非法的用户访问。

合法用户的合作对推行有效的安全非常重要。

用户应知道自己有责任维护有效的访问控制，特别是如何使用口令及用户设备的安全。

3.3.1口令的使用

用户应遵守良好的选择及使用口令的安全惯例。

口令提供了一个核查用户身份的途径，从而可以建立信息处理或服务的访问权限，建议所有用户应：  保密口令；

 避免书写记录口令，除非保存妥当；

 每当怀疑系统被破坏或口令被公开时，应马上更改口令；  选一个至少有六个字的好口令：

 容易记住；

 不根据与个人有关的信息如名字、电话号码、出生日期等（容易被猜出）订出口令；

 不是连续的同一个字，或全是数字或全字母；

 定期或按访问次数更改口令（特权账号的口令应比一般口令更改更频繁），避免重复使用旧口令；

 第一次登录后应马上更改临时性口令；

 不要在自动登录程序中把口令纳入，例如储存在宏或函数密钥中；  不要与别人共享口令。

如果用户需要使用好几个口令来访问多个服务或平台，建议他们应使用一个很好的单一口令（参看3.3.1(4)）为这好几个口令的存储提供合理水平的保护。

3.3.2无人看管的用户设备

用户应检查无人看管的设备是否适当地保护起来了。安装在用户使用地方的设备，例如工作站或文件服务器，如一段时间内无人看守时，更需要格外保护并使之免于被非法访问。所有用户及合作伙伴应都知道保护无人看管设备的安全要求及手续，以及有责任实施保护措施。建议用户应：

 除非有合适的锁定机制保护（例如有口令保护的屏幕保护（screensaver），否则应终止已完成的活动会话；

 会话结束后应退出登录主机（即不仅仅是关闭PC或终端）；

 当PC 或终端不用时，应保护它们不被非法使用，例如使用密钥锁或等同的安全机制，如口令访问。

3.4网络访问控制

目的：互联服务的保护。

应控制内部及外部联网服务的访问，以确保可以访问网络或网络服务的用户不会破坏这些网络服务的安全，保证：

 在机构网及其它机构网或公用网之间要有合适的界面；  要有合适的认证机制认证用户及设备；  控制用户访问信息服务。

3.4.1网络服务的使用策略

不安全地连接到网络服务会影响整个机构的安全，所以，只能让用户直接访问已明确授权使用的服务。这种安全控制对连接敏感或重要业务的网络，或连接到在高风险地方（例如不在机构安全管理及控制范围的公用或外部地方）的用户尤其重要。

策略应与网络及网络服务的使用有关，应覆盖：  容许被访问的网络及网络服务；

 定出谁可以访问哪个网络及网络服务的授权手续；  保护接入网络及网络服务的管理控制及手续；

 这个策略应与业务访问控制策略一致（参看3.1）。

3.4.2强制式路径

从用户终端到计算机服务的路径应受到控制。网络是用来在最大范围之内共

享资源及提供最大程度的路由，但网络这样的功能也同时提供机会非法访问业务应用系统或非法使用信息设备，所以，在用户终端与计算机服务之间设臵路由控制（例如，建立一条强制式路径）会减少这样的风险。

强制式路径的目的是阻止用户选择一条不是用户终端与用户可访问服务之间的路由。这样，就需要在路由的不同点上实施多个安全控制，控制原则是按事先定义的选择限制每个网点的路由选择，这方面的例子有：  分配专用线或电话号码；

 自动把端口连接到指定的应用系统或安全网关；  限制供每个用户使用的菜单及子菜单；  禁止无限量的网络漫游；

 强迫外部网络用户使用指定的应用系统及/或安全网关；

 通过安全网关（例如防火墙）严格控制从源地址到目的地址的通讯；  设臵不同的逻辑域（例如VPN）限制机构内用户组对网络的访问（请参看3.4.6）。

 对强制式路径的需求应该基于业务访问控制策略（参看3.1）

3.4.3外部连接的用户认证

外部的连接（例如拨号访问）是非法访问业务信息的隐患。所以，远程用户的访问应被认证。认证方法有很多种，保护的程度也有强弱之分，例如使用密码技术的方法提供非常安全的认证。所以，应在风险评估后决定需要哪一级别的保护，然后决定需要哪种认证机制。

认证远程用户的方法可以基于密码技术、硬件令牌或是一个挑战/响应（challenge/response）的协议。专用线或网络用户地址的检查设备也可以被用来提供源地址的保障。

回拨（dial-back）的程序及控制（如使用回拨调制解调器），可以拒绝非法或不受欢迎的连接到达机构的信息处理设备。这样的控制可以对试图从远程地点与机构网络建立连接的用户进行认证。使用这种控制的机构就不要使用有呼叫传

送（call forwarding）功能的网络服务，如果坚持要使用的话，机构应中止使用这样的功能，避免因call forwarding 所带来的安全隐患。同时，在回拨进程中包括保证机构确实断绝连接的功能是很重要的，要不然，远程用户便可以把线路一直保持是通的，假装已确实发生了回拨验证。应仔细检查回拨的程序与控制是否会可能有此情况发生。

3.4.4 网点认证

能够自动连接到远程计算机间接等于是提供非法访问业务应用系统的机会，所以要有认证机制来认证到远程计算机系统的连接，尤其是使用机构安全管理控制范围之外的网络连接。以上的3.4.3 举了几个认证例子，以及实现这些机制的建议。

网点认证也可以当作是另一方法去认证一组连接到安全、共享的计算机设备的远程用户。（参看3.4.3）

3.4.5远程诊断端口的保护

应安全地控制诊断端口的访问。很多计算机及通讯系统已安装拨号远程诊断设备为维护工程师使用。如果不好好保护，这些诊断端口就变成非法访问的途径，所以，应有合适的安全机制保护这些端口，例如，有一个密钥锁及程序，保证只能使用通过计算机服务管理员与需要访问的软硬件技术支持人员商量后所同意的访问方法访问。

3.4.6网络的隔离

网络不断扩大，已超出传统的机构式范围，业务伙伴的相继形成，同时也要求大家互联或共享信息处理及联网设施。这样的扩大，也增加了非法访问现有网络信息系统的风险，而这些系统因有敏感信息或是非常重要的不能让别的网络用户访问的信息，在这样的情况下，应考虑在网络设臵控制，把不同的信息服务组、用户及信息系统隔离。

一种控制大网络安全的方法是把网络分成几个逻辑网域，例如，机构的内部

网域及外部网域，每个网域都有特别指定的安全边界，实现这样的安全边界是在两个要联网的网络之间安装一个安全的网关，来控制两个网域之间的访问及信息流量。网关的设臵应该是过滤这些网域之间的流量（参看3.4.7 及3.4.8），以及按机构的访问控制策略（参看3.1）阻截非法访问，一个这样的网关例子是防火墙。

把网络分隔成网域的标准，应该是按照访问控制策略及访问机制（参看3.1），还要考虑成本及因设臵网络路由或网关技术（参看3.4.7 及3.4.8）后所引致的性能冲击。

3.4.7网络连接控制

共享网络的访问控制策略的要求，特别是超出机构范围的网络，可能需要有另外的控制来禁止用户的连接能力。这样的控制可以使用事先定义的表或规定过滤流量的网关实现。制定禁止规定应按访问策略及业务需求（参看3.1），并时常更新。

应制定禁止规定的例子是：  电子邮件；  单向的文件传输；  双向的文件传输；  交互访问；

 有时间日期的网络访问。

3.4.8网络路由的控制

共享网络，特别是超出机构范围的网络，需要设臵路由控制，以保证计算机连接及信息流不会破坏业务系统的访问控制策略（参看3.1）。那些与第三方（非机构）用户共享的网络更需要有这些控制。

路由控制应该是按正确检查源及目的地址的机制制定。网络地址翻译是一个很有用的机制来隔离网络，以及阻止路由从一个机构网络传播到另一个机构的网

络。机制可以用软件或硬件实现，但实现者要注意机制的安全程度。

3.4.3 网络服务的安全

现在有很多不同类别的公私网络服务供使用，有些服务是增殖服务，而网络服务应有独特或者复杂的安全特征。使用网络服务的机构应清楚知道所用服务的安全属性。

3.5操作系统的访问控制

目的：防止不合法的计算机访问。

操作系统级别的安全设施应被用来限制计算机资源的访问。这些设施应有以下功能：

 标识及检查身份，如有需要，应把每个合法用户的终端或地点都纳入检查之列；

 记录成功及失败的系统访问；

 提供合适认证方法：如果使用口令管理系统，应保证是在用良好的口令（参看3.3.1（4））；

 如有需要，限制用户的连接时间。

其它访问控制方法，例如challenge-response, 如果可以减低业务风险，也可以考虑使用。

3.5.1自动认证终端

在认证连接到指定地点及便携式设备时，可以考虑使用自动认证终端。自动认证终端是一种用于只能从某个地点或计算机终端启动会话的技术。一个在终端中，或附在终端的标识符可以显示这终端是否可以启动或接收交易。如有需要，考虑用物理方法保护终端，以维持终端标识符的安全。认证用户的方法有很多（请参看3.4.3）。

3.5.2终端的登录程序

正常情况是应该可以通过安全的登录过程进入信息服务，登录进入计算机系统的程序应把非法访问的机会减到最低，为了避免提供非法用户不必要的帮助，登录程序应只公开最少量的系统信息。一个良好的登录程序应：  不显示系统或应用系统的标识符，直到登录成功完成；  显示一个通知，警告只有合用用户才可进入系统；  在登录过程中不提供帮助信息，以免被不合法用户利用；

 只有完成输入数据后才核查登录信息。如有出错，系统应指出哪部分的数据是正确，哪部分不正确；

 限制登录失败的次数（建议是三次），以及考虑：  记录不成功的登录；

 强迫在继续尝试登录前有时间间隔，或者在没有特定授权之下拒绝任何登录尝试；

 限制登录程序的最长及最短时间。限定时间一过，系统应停止登录程序；  完成成功登录后显示以下信息：  前一次成功登录的日期及时间；

 自上次成功登录后任何不成功登录尝试的详情。

3.5.3用户标识及认证

所有用户（包括技术支持员工，例如操作员、网管、系统程序员及数据库管理员）应有各自的标识符（用户ID），只为自己使用，以确认谁在操作，及予以追究责任。用户ID应没有任何迹象显示用户的权限（参看3.2.2），例如经理、主管等。

在特殊情况下，如有清晰的业务利益，可以考虑为一组用户或某个作业共享用户ID，但一定要有管理层的书面批准才行。如有需要，可以增加管理措施来贯彻责任。

有很多种认证程序可以被用来充实某个用户所称述的身份。口令（参看3.3.1及以下）是提供标识及认证的最常见方法，认证原则是基于只有用户知道的秘密。但认证也可以使用密码及认证协议来完成。

用户拥有的对象，例如内存令牌或智能卡，也是标识及认证的方法之一。认证某人的身份也可使用生物特征认证，一种利用用户某个独特特征或属性的认证技术。强大的认证可以通过安全组合多个认证技术或机制来实现。

3.5.4口令管理系统

口令是一种基本方法检查用户访问某个计算机服务的权限，所以，口令管理系统应提供一个有效交互的措施，确保是在使用健全的口令（参看3.3.1的使用口令指引）。

一些应用系统要求用户口令由某个独立机构制定，但大部分情况是由用户选择及保存自己的口令。

一个良好的口令管理系统应是：  强制使用个人口令来维护责任；

 在适当情况下，容许用户选择及更改自己的口令，并提供确认程序确认输入正确；

 强令执行要选择健全的口令，如在3.3.1所述；

 如果是用户维护自己的口令，要强迫口令的变化，如3.3.1所述；  如果是用户选择口令，强迫他们第一次登录后要更改临时的口令（参看3.2.3）；

 记录用户用过的口令，例如12个月前用的口令，以防止重复使用；  进入系统后不要在屏幕上显示口令；  把口令文件与应用系统数据分开储存；  使用单向加密算法把口令加密储存；  安装软件后把供应商的缺省口令改掉。

3.5.5系统工具的使用

很多计算机的安装都有一个以上的系统工具程序，来越过系统及应用程序的控制，所以，有必要限制及严格控制这些工具的使用。以下的控制可以被考虑：  使用认证程序认证系统工具；  把系统工具与应用软件分开；

 把系统工具的使用限制到只有最少数的可信任合法用户使用；  授权在特别情况下使用系统工具；

 限制系统工具的使用期限，例如只在合法更改的期间内使用；  记录所有使用系统工具的活动；  定义及记录所有系统工具的授权级别；  取消所有不必要的工具软件及系统软件；

3.5.6为保障安全的人员配备强迫警钟

是否应为保障安全用户提供警钟，应在评估风险后决定，同时，要定义负责什么责任及反应警钟的程序。

3.5.7终端超时

在高风险地方（例如公用地方，或超出机构安全管理范围之外的地方）的交互终端，或为高风险系统服务的交互终端，应在一段没有活动的时间后关闭，以免被非法用户访问。这种超时措施应在一段休止时间后清除终端屏幕的内容及关闭应用系统及网络会话。超时的延迟应能反映这地方的安全风险以及谁是终端的使用者。

可以在某些PC上实行部分的终端超时措施，即清除屏幕内容防止非法访问，但不关闭应用系统或网络会话。

3.5.8连接时间的限制

限制连接时间在某种程度上加强高风险应用程序的安全。限制那段时间准许

终端连接到计算机服务的做法，会减少非法访问的时限。这样的限制应考虑在敏感的计算机应用系统上实行，特别是安装在高风险地方（例如公用地方，或超出机构安全管理范围之外的地方）的终端。

这样的限制方法例子可以是：

 使用已定的时间段，例如传输批文件的时间，或短时间的定期交互会话；  如果没有加班或延长工作的要求，限定连接时间在正常的工作时间之内。

3.6应用系统的访问控制

目的：防止非法访问放在信息系统中的信息。应有安全设备来禁止访问应用系统并只容许合法用户逻辑访问软件及信息。应用系统应该是：

 按已定的业务访问控制策略，控制用户进入信息系统及访问应用系统功能；  防止可以越过系统或应用系统控制的工具及操作系统非法访问；  不破坏其它共享信息资源的系统的安全；

 只让拥有者、其它合法用户或指定的用户组访问信息；

3.6.1信息访问的限制

应用系统的用户，包括技术支持人员，应按访问控制策略、个别业务的应用要求及机构的信息访问策略访问信息及应用系统功能。要符合访问限制的要求，应考虑以下的控制：

 提供菜单来控制对应用系统功能的访问；

 适当编辑用户说明书，把用户不该知道的信息或应用系统的功能去掉；  控制用户的访问权限，例如阅读、写入、删除及执行；

 保证处理敏感信息的应用系统的输出只有与输出使用有关的信息，并只发送给合法的终端及地点，同时，也要定期检查这些输出确实没有多余的信息。

3.6.2敏感系统的隔离

敏感系统需要有专用（隔离）的计算机环境。一些应用系统的信息非常敏感，需要特别的处理以防止损失。应用系统的敏感程度暗示需要在专用的计算机上运行，只能与可信任的应用系统共享资源。要考虑的问题有：

 应明确标明应用系统的敏感程度，并由这系统的拥有者记录保存；  当一个敏感应用系统要在共享环境下运行，应标明有哪些应用系统与它共享资源，并得到敏感应用系统拥有者的同意。

3.7系统访问和使用的监控

目的：检测非法活动。

系统应被监控来检测违反访问控制策略的活动，以及记录可检测的事件，以便在发生安全事件时提供证据。

系统监控能够检查所通过的管理是否有效，是否与访问控制模型（参看3.1）一致。

3.7.1事件记录

应有一个记录异常事件及其它安全事件的审计日志，并在一段已定的时间内保存备用。审计日志应包括以下：  用户ID；

 登录与推出登录的日期时间；  终端或地点（如可能）的身份；  成功及拒绝的系统访问的日志；  成功及拒绝的数据及其它资源的访问。

 某些审计日志因为保存策略的需要或者因为要收集证据而需要归档。

3.7.2监控系统的使用 3.7.2.1风险的程序及区域

应建立监控信息处理设备使用情况的程序，以保证用户只进行明确授权了的

活动。所需的监控级别应在评估风险后确定。

要考虑的区域有：

 合法访问，包括详细情况，如：

 用户ID；

 重要事件发生的日期时间；  事件的种类；  所访问的文件；  所使用的进程/工具。 所有特权操作，例如：

 管理账号的使用；  系统的启动及停止；

 I/O 设备的附加装臵/分离装臵。 非法访问的尝试，例如：

 失败的尝试；

 网关及防火墙的违反访问策略的访问及通知；  入侵检测系统的预警。 系统预警或失败，例如：

 控制台预警或消息；  系统日志的异常；  网络管理的警报。

3.7.2.2风险因素

应定期审查监控活动的结果，审查的频率应依赖于涉及的风险。风险因素有：  应用进程的重要性；

 所处理的信息的价值、敏感程度及重要性；  过去系统渗透及误用的经验；

 系统联网的范围（特别是公用网）。

3.7.2.3对事件进行日志记录和审查

日志检查包括了解系统所面临的威胁，以及这些威胁在什么情况下会出现。3.7.1 是如果有安全事件发生时应注意哪一类事件的例子。

系统日志的内容一般是非常多，有很多是与安全监控无关。要找出重要的事件，应考虑自动把合适的消息种类拷贝到第二个日志，以及/或使用合适的系统工具或审计工具检查文件。

当指定日志检查的责任时，应该把进行检查的人员和活动被监控的人员的角色分开。特别要注意日志设备的安全，因为如果被篡改，日志等于是提供不真实的安全，所以，要注意不要被非法更改及操作出错，如：  日志设备的停用；

 所记录的对消息种类的更改；  被编辑或删除的日志文件；

 日志文件储存介质的用尽，或者不能继续记录日志或者覆盖自己。

3.7.3时钟的同步

计算机时钟的正确设臵是非常重要的，以保证审计日志的准确性，留待日后调查或当作法庭证据，不准确的审计日志会妨碍这样的调查工作，以及有损证据的可信性。

如果是计算机或通讯设备能够实时操作时钟，应把时钟时间设成已认可的标准，例如统一协同时间（Universal Co-ordinated Time）或当地标准时间。因为有些时钟会随时间变快或变慢，所以，应有一个程序检查时钟的时间，如发现不对，可以予以改正。

3.8移动终端操作及远程办公

目的：保证信息安全在移动环境及远程工作的设备上实现。应考虑在这些情况有哪些风险后才决定要指定那些策略。移动环境是个没有保护的环境，应仔细考虑会有什么风险，以及应有哪方面的安全措施。至于远程工作模式，机构应保护远程工作的地点，并保证有合适的措施，保护在这样的环境工作的安全。

3.8.1移动操作

当使用移动计算机设备，例如笔记本、掌上宝、移动电话等，应小心业务信息不被破坏。应颁布正式的策略，对付移动操作的风险，举例，策略应包括物理保护的要求、访问控制和密码控制技术、备份、防病毒等等，以及连接移动设备到网络的规定及建议，如何在公共场所使用这些设备的指引。

应小心在公共场所、会议室及其它没有保护的不在机构办公地点的地方使用移动设备，应保护不被非法访问或泄露被该设备储存或处理的信息，方法之一是使用密码技术。

重要的是，要注意在公共场所使用移动设备时，小心不要被不认识的人在后面偷看。同时，也要有防止恶意软件程序，并要时常保持最新版本（参看8.3）。应有随时可用的设备，以便快速、轻松地备份信息。这些备份应有很好的保护，不被盗取或丢失。

应保护移动设备到网络的连接。使用移动设备在公用网上远程访问业务信息时，只有在成功标识及认证并经过访问控制机制（参看3.4）后才准许连接。

移动计算机的设备应保护不被盗取，特别是放在汽车或其它交通工具、饭店房间、会议中心等情况下。不要把有重要敏感及/或重要业务信息的移动设备搁在一旁，如可能的话，最好放在加锁的地方，或是使用特别的锁把设备锁住。更多关于如何物理保护移动设备的方法

应提供培训给使用移动设备的员工，提高他们的认识，明白这样的工作方式所带来的风险，以及有什么管理办法可以使移动工作更安全。

3.8.2远程工作

远程工作是指使用通讯技术使员工在一个不在机构的固定地方远程工作，为了安全，所以要保护远程工作的地点，例如保护设备及信息不要被盗取，不要非法公开信息，不要非法远程访问机构的内部系统或滥用设备。要注意由管理层授权及管理远程工作，保证实施了保护措施使远程工作安全。

机构应制定一套策略，程序及标准来管理远程工作的活动。机构应只授权已有合适的安全安排及管理的远程工作活动，并要求要与机构的安全策略一致，要考虑的有：

 现有远程工作地点的物理安全，包括大厦及当地环境的物理安全；  建议的远程工作环境；

 安全通讯的要求，包括远程访问机构内部网的需要、被访问信息的敏感程度、内部系统的敏感程度等；

 工作环境内的其他人（例如亲人及朋友）非法访问信息或资源的威胁

要考虑的管理及安排有：

 远程工作活动有没有合适的设备及保存设备；

 定义什么工作可以进行、工作的时间、要保存的信息分类以及远程工作者被授权可以访问的内部系统及服务；

 配备合适的通讯设备，包括安全远程访问的方法；  物理安全；

 朋友或亲人进入设备或信息的规定及指引；  配备软硬件的支持及维护；  备份及业务连续性的程序；  审计及安全监控；

 停止远程工作活动后授权、访问权限的注销及设备的归还。4.网络与通信安全 4.1网络中面临的威胁

4.1.1针对网络设备的攻击 4.1.1.1 交换机-针对CDP攻击

说明: Cisco专用协议，用来发现周边相邻的网络设备

链路层帧，30s发送一次可以得到相邻设备名称，操作系统版本，接口数量和类型，接口IP地址等关键信息在所有接口上默认打开危害: 任何人可以轻松得到整个网络信息,可以被利用发起DoS攻击：http://www.phenoelit.de/irpas/ 对策: 如不需要，禁止CDP,禁止User-End端口的CDP 4.1.1.2 交换机-针对STP攻击

说明: Spanning Tree Protocol防止交换网络产生回路Root BridgeBPDU--bridge ID, path cost, interface 攻击: 强制接管root bridge，导致网络逻辑结构改变，在重新生成STP时，可以导致某些端口暂时失效，可以监听大部份网络流量。BPDU Flood：消耗带宽，拒绝服务对策: 对User-End端口，禁止发送BPDU

4.1.1.3 路由器-发现路由

通过tracertroute命令,最后一个路由容易成为DoS攻击目标.4.1.1.4路由器-猜测路由器类型

端口扫描,操作系统堆栈指纹,登陆旗标（banner）,其它特征：如Cisco路由器1999端口的ack分组信息，会有cisco字样提示

4.1.2拒绝服务（DoS）攻击

DoS（Denial of Service）

拒绝服务攻击是用来显著降低系统提供服务的质量或可用性的一种有目的行为。

DDoS（Distributed Denial of service）

分布式拒绝服务攻击使用了分布式客户服务器功能，加密技术及其它类的功能，它能被用于控制任意数量的远程机器，以产生随机匿名的拒绝服务攻击和远程访问。

4.1.2.1 DoS攻击举例  Syn Flood  Icmp Smurf（directed broadcast） Udp Flood  Icmp Ping Flood  TARGA3(堆栈突破)

 操作系统级别的拒绝服务（SMBDie） 应用级别的拒绝服务（pcanywhere）DDoS攻击类型

 Trinoo  TFN  TFN2K  FunTime Apocalypse Syn Flood SYN Flood是当前最流行的DoS（拒绝服务攻击）与DDoS（分布式拒绝服务攻击）的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式。

Icmp Smurf Smurf攻击是以最初发动这种攻击的程序名Smurf来命名。这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统，引起目标系统拒绝为正常系统进行服务。

攻击的过程是这样的：Attacker向一个具有大量主机和因特网连接的网络的广播地址发送一个欺骗性Ping分组（echo 请求），这个目标网络被称为反弹站点，而欺骗性Ping分组的源地址就是攻击者希望攻击的系统。

网段中的所有主机都会向欺骗性分组的IP地址发送echo响应信息。如果这是一个很大的以太网段，可以会有500个以上的主机对收到的echo请求进行回复。

由于多数系统都会尽快地处理ICMP传输信息，Attacker把分组的源地址设臵为目标系统，因些目标系统都很快就会被大量的echo信息吞没，这样轻而易举地就能够阻止该系统处理其它任何网络传输，从而引起拒绝为正常系统服务。

这种攻击不仅影响目标系统，还影响目标系统的网络状况。阻塞Smurf攻击的源头

Smurf攻击依靠攻击者的力量使用欺骗性源地址发送echo请求。用户可以使用路由路的访问保证内部网络中发出的所有传输信息都具有合法的源地址，以防止这种攻击。这样可以使欺骗性分组无法找到反弹站点。

阻塞Smurf的反弹站点

用户可以有两种选择以阻塞Smurf攻击的反弹站点。第一种方法可以简单地阻塞所有入站echo请求，这们可以防止这些分组到达自己的网络。

如果不能阻塞所有入站echo请求，用户就需要将自己的路由器把网络广播地址映射成为LAN广播地址。制止了这个映射过程，自己的系统就不会再收到这些echo请求。

Udp Flood UDP攻击的原理是使两个或两个以上的系统之间产生巨大的UDP数据包。首先使这两种UDP服务都产生输出，然后让这两种UDP服务之间互相通信，使一方的输出成为另一方的输入。这样会形成很大的数据流量。当多个系统之间互相产生UDP数据包时，最终将导致整个网络瘫痪。如果涉及的主机数目少，那么只有这几台主机会瘫痪

一些被恶意利用的UDP服务，如echo和chargen服务，它会显示接收到的每一个数据包，而原本作为测试功能的chargen服务会在收到每一个数据包时随机反馈一些字符，如果恶意攻击者将这2个UDP服务互指，则网络可用带宽将很快耗尽

禁止相关服务与网络设备配合 Icmp Ping Flood Ping是通过发送ICMP报文(类型8代码0)探寻网络主机是否存在的一个工具。部分操作系统（例如win95），不能很好处理过大的Ping包，导致出现了Ping to Death的攻击方式（用大Ping包搞垮对方或者塞满网络），由于在早期的阶段，路由器对包的最大尺寸都有限制，许多操作系统对TCP/IP

栈的实现在ICMP包上都是规定64KB，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区，当产生畸形的，声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时，就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使接受方当机。如果对方的操作系统已经可以防御堆栈崩溃，也占去许多带宽。

如TFN2K会产生大量的进程，每个进程都不停地发送PING包，从而导致被攻击目标的无法正常工作。

正常情况下，Ping的流程是这样的: 主机A发送ICMP 8,0报文给主机B 主机B回送ICMp 0,0报文给主机A 因为ICMP基于无连结，假设现在主机A伪装成主机C发送ICMP 8,0报文，结果会怎么样呢?显然，主机B会以为是主机C发送的报文而去回应主机C，结构如下：

伪装为主机C 错误的回复

主机A--------------------->主机B------------------>主机C 这种情况下，由于主机A只需要不断发送Ping报文而不需要处理返回的EchoReply，所以攻击力度成倍的增加，同时实际上主机B和主机C都是被进攻的目标，而且不会留下攻击者的痕迹。

4.1.2.2 Cisco基于拒绝服务攻击HTTP的漏洞

Cisco路由启用(enable)远程WEB管理，很容易遭受DoS。这种DoS能导致路由器停止对网络请求的响应。这是功能是Cisco路由的内嵌功能。但启用

这个特性，通过构造一个简单的Http请求就会造成DoS攻击：

http:///%% 这种请求导致路由停止响应，甚至引起路由器执行硬重臵(hard reset)。如果http起用，浏览：

http://route_ip_addr/anytest?/ 并且提供特权口令，则可以导致DoS攻击，导致路由停机或者重启。

4.1.2.3 Cisco的WEB服务的越权访问漏洞：

几乎所有的版本的Cisco设备IOS都有这个问题存在，攻击者只需要构造一个如下的URL:http://IP/level/xx/exec/......即可!这里的xx是一个从16-99之间的整数。对于不同的设备，这个数值可能是不同的，但是攻击者仅需要测试84次即可找到正确的数值。如果不能进入，尝试：http://10.10.10.10/level/20/exec/show config 试试这个连接地址，就会发现结果好象是不一样了，我们已经按照刚才的漏洞描述成功的绕过了Cisco的密码检查机制，现在拥有的是设备的管理员权限。

4.1.2.4 DDoS攻击特性

 DDoS攻击将越来越多地采用IP欺骗的技术；

 DDoS攻击呈现由单一攻击源发起进攻，转变为由多个攻击源对单一目标进攻的趋势;

 DDoS攻击将会变得越来越智能化，试图躲过网络入侵检测系统的检测跟踪，并试图绕过防火墙防御体系; 针对路由器的弱点的DDoS攻击将会增多;

 DDoS攻击利用路由器的多点传送功能可以将攻击效果扩大若干倍;

 采用半连接技术SYN攻击，和针对TCP/IP协议先天缺陷的的ACK攻击。

 采用ICMP攻击。

 采用smurf攻击  采用UDP攻击。

4.1.3欺骗攻击 4.1.3.1 IP欺骗

原理:  IP是网络层的一个非面向连接的协议，伪造IP地址相对容易。 TCP三次握手  DoS攻击  序列号取样和猜测预防:  抛弃基于地址的信任策略  进行包过滤  加密

 使用随机化初始序列号

4.1.3.2 ARP欺骗

实现简易:指定ARP包中的源IP、目标IP、源MAC、目标MAC Arp_send.c导致windows 9x、NT IP冲突死机,Flooding,导致网络异常

4.1.4网络嗅探

共享环境下的嗅探技术原理: 在以太网中是基于广播方式传送数据

网卡臵于混杂模式下可以接收所有经的数据工具

Sniffer pro、IRIS、netxray tcpdump、snoop、dsniff 4.1.5 拒绝服务攻击的防御策略 4.1.5.1 Syn Flood 解决办法

 第一种是缩短SYN Timeout时间，由于SYN Flood攻击的效果取决于服务器上保持的SYN半连接数，这个值=SYN攻击的频度 x SYN Timeout，所以通过缩短从接收到SYN报文到确定这个报文无效并丢弃改连接的时间，例如设臵为20秒以下（过低的SYN Timeout设臵可能会影响客户的正常访问），可以成倍的降低服务器的负荷。

 第二种方法是设臵SYN Cookie，就是给每一个请求连接的IP地址分配一个Cookie，如果短时间内连续受到某个IP的重复SYN报文，就认定是受到了攻击，以后从这个IP地址来的包会被一概丢弃。

动态分析

受到攻击时在线分析TCP SYN报文的所有细节。如源地址、IP首部中的标识、TCP首部中的序列号、TTL值等，特别是TTL值，如果大量的攻击包似乎来自不同的IP但是TTL值却相同，往往能推断出攻击者与目标之间的路由器距离，至少也可以通过过滤特定TTL值的报文降低被攻击系统的负荷（在这种情况下TTL值与攻击报文不同的用户就可以恢复正常访问）网络设备配合

专业级的抗DOS攻击产品。负载均衡

基于DNS解析的负载均衡本身就拥有对SYN Flood的免疫力，基于

DNS解析的负载均衡能将用户的请求分配到不同IP的服务器主机上，SYN Flood程序有两种攻击方式，基于IP的和基于域名的，前者是攻击者自己进行域名解析并将IP地址传递给攻击程序，后者是攻击程序自动进行域名解析，但是它们有一点是相同的，就是一旦攻击开始，将不会再进行域名解析。攻击者攻击的永远只是其中一台服务器。

4.1.5.2 检测DDoS攻击

使用DDoS检测工具 1.使用工具可以发现攻击者植入系统的代理程序，并可以把它从系统中删除。

使用ngrep监听工具。经过修改的ngrep可以监听大约五种类型的tfn2k拒绝服务攻击(targa3, SYN flood, UDP flood, ICMP flood 和 smurf)，它还有一个循环使用的缓存用来记录DNS和ICMP请求。如果ngrep发觉有攻击行为的话，它会将其缓存中的内容打印出来并继续记录ICMP回应请求。假如攻击者通过ping目标主机的手段来铆定攻击目标的话，在攻击过程中或之后记录ICMP的回应请求是一种捕获粗心的攻击者的方法。由于攻击者还很可能使用其他的服务来核实其攻击的效果（例如web），所以对其他的标准服务也应当有尽量详细的日志记录。

2.与网络服务提供商协作能否与上一级的网络主干服务提供商进行良好的合作是非常重要的事情。DDoS攻击对带宽的使用是非常严格的，无论使用什么方法都无法使自己的网络对它的上一级进行控制。最好能够与网络服务供应商进行协商，请求他们帮助实现路由的访问控制，以实现对带宽总量的限制以及不同的访问地址在同一时间对带宽的占有率。最好请求服务提供商帮监视网络流量，并在遭受攻击时允许访问他们的路由器。3.安装IDS和监控异常流量。在防卫攻击方面，安装IDS可以发现是否有入侵行动正在进行，立即对

入侵行动进行报警。以最快时间内对入侵做成反应。此外，也要时常监控网络流量，注意是否有异常的流量产生。4.优化对外提供服务的主机对于潜在的有可能遭受攻击的主机也要同样进行设臵保护。在服务器上禁止一切不必要的服务，打补丁，进行安全配臵。此外，用防火墙对提供服务的主机进行保护，对访问量大的主机进行负载均衡。将网站分布在多个不同的物理主机上，这样每一台主机只包含了网站的一部分，防止了网站在遭受攻击时全部瘫痪。

5.立即启动应付策略，尽可能快的向回追踪攻击包如果发现攻击并非来自内部应当立即与服务提供商取得联系。由于攻击包的源地址很有可能是被攻击者伪装的，因此不必过分的相信该地址。应当迅速的判断是否遭到了拒绝服务攻击，因为在攻击停止后，只有很短的一段时间您可以向回追踪攻击包，这最好和安全公司或组织一道来追查攻击者。6.与信息安全监察部门联系

由于系统日志属于电子证据，可以被非法修改。所以一旦攻击发生，应该及时与信息安全监察部门联系，及时提供系统日志作为证据保全，以利于追查和起诉攻击者，便于日后用法律手段追回经济损失

4.1.5.3 DDoS预防方法

1.限制ICMP数据包出站速率 Interface xx rate-limit output access-group 102 256000 8000 8000 conform-action transmit exceed-action drop Access-list 102 permit icmp any any echo Access-list 102 permit icmp any any echo-reply 2.限制SYN数据包连接速率

Interface xx Rete-limit input access-group 103 8000 8000 8000 conform-action transmit exceed-action drop Access-list 103 deny tcp any host xx.xx.xx.xx established Access-list 103 permit tcp any host xx.xx.xx.xx 3.RFC1918约定过滤 Interface xx Ip access-group 101 in Access-list 101 deny ip 10.0.0.0 0.255.255.255 any Access-list 101 deny ip 172.16.0.0 0.0.255.255 any Access-list 101 deny ip 192.168.0.0 0.0.0.255 any Access-list 101 permit ip any any

5.安全设计方案

5.1系统安全设计原则

在具体进行计算机网络的安全设计、规划时，一般应遵循以下原则： 1）需求、风险、代价平衡分析的原则：对任一网络来说，绝对安全难

以达到，也不一定必要。对一个网络要进行实际分析，对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。保护成本、被保护信息的价值必须平衡，价值仅1万元的信息如果用5万元的技术和设备去保护是一种不适当的保护。

2）综合性、整体性原则：运用系统工程的观点、方法，分析网络的安全问题，并制定具体措施。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络包括个人、设备、软件、数据等环节。它们在网络安全中的地位和影响作用，只有从系统综合的整体角度去看待和分析，才可能获得有效、可行的措施。

3）一致性原则：这主要是指网络安全问题应与整个网络的工作周期（或生命周期）同时存在，制定的安全体系结构必须与网络的安全需求相一致。实际上，在网络建设之初就考虑网络安全对策，比等网络建设好后再考虑，不但容易，而且花费也少得多。

4）易操作性原则：安全措施要由人来完成，如果措施过于复杂，对操作人员的要求过高，本身就降低了安全性。其次，采用的措施不能影响系统的正常运行。

5）适应性、灵活性原则：安全措施必须能随着网络性能及安全需求的变化而变化，要容易适应、容易修改，并能切合系统的状况，满足分阶段实施的要求。

5.2建设目标

网络安全是一个循序渐进的过程，不可能一蹴而就。所以，要求我们首先定位关键资源和关键的安全风险，以此为基点，先对关键资源和高危风险进行保护，然后按照发散性的思路进行纵深层面的安全分析和扩展保护。

目前内网网络系统中最为迫切的安全需求包括病毒防御、网络边界防御、关键业务系统保护、应用系统保护和基本安全管理制度实现。通过这些安全产品的部署和安全机制的实现，主要解决以下安全问题：

 通用安全防护，如对病毒的检测，移动代码过滤等。

 内外网络系统间的入侵检测、信息过滤（恶意代码、非法信息的传播）。

 内部人员滥用权利，有意犯罪，越权访问机密信息或恶意篡改等问题。

 内外部人员针对网络基础设施、主机系统和应用服务的各种攻击，造成网络和系统服务不可用、信息泄密、数据被篡改等。

 缺少必要的安全管理制度来保证系统安全的实现。针对这些安全问题，我们可以采用的安全防护技术包括：病毒防御－企业级防病毒系统

内网网络系统中应该部署网络级防病毒软件，实现统一、跨平台的分级管理，即：管理策略、病毒特征代码可以进行统一的管理和分发，并可以实现分级管理。

对病毒的防御不应该仅仅停留在查杀病毒和将病毒抵御在系统之外。更高层次的病毒防御目标是对病毒感染、发作、爆发的追踪和控制。从红色代码、nimda等蠕虫病毒开始，新型的病毒已经表现出一些新的特征，如利用网络快速传播、利用系统漏洞进行感染和结合黑客手段等，因此在病毒爆发时，如果我们不能对病毒的传播源和传播途径进行控制，势必无法完全防范病毒的发作。

5.3总体方案

内网系统设计的安全防护系统主要考虑以下几个方面： 1)整体和各级网络结构的正确规划，网络中设备的正确配臵；

2)整体安全规范制度的确立，各级系统进行信息进行时需要正确依照安全通讯规则；

3)数据传输的一致性、完整性以及保密性，确保数据在各级网络中传输的

安全，以及明确各级信息的重要程度与不可否认性；

4)网络安全防护，即数据出入各级网络的安全检查以及网络内部数据传输的安全审计与管理如，安全网关，入侵检测系统，网络审计等技术的实施。

5)关键设备的重点保护，即对于承担系统中重要工作如，数据计算，数据存储，信息传输等服务器进行有针对性的系统安全操作规则的制定；

6)人员管理，对于使用系统的所有人员进行统一管理，明确划分其在不同网络中的职责权力；

7)通用安全防护，如对个人PC机的病毒检测，移动代码过滤等。

5.4总体设计思想

网络安全是一个循序渐进的过程，不可能一蹴而就。所以，本着首先定位关键资源，然后以主动保护关键资源为基点，先对关键资源进行保护, 然后按照发散性的思路进行纵深层面的安全分析和扩展保护。

5.4.1内网设计原则

 信息系统安全与保密的“木桶原则”：对信息均衡、全面地进行安全保护。

 信息安全系统的“整体性原则”：包括安全防护、监测和应急恢复。 信息安全系统的“有效性与实用性”原则：不影响系统正常运行和合法用户的操作活动。

 信息安全系统的“安全性评价”原则：实用安全性与用户需求和应用环境紧密相关。

 信息安全系统的“等级性”原则

 信息安全系统的“动态化”原则：引入尽可能多的可变因素，并具有良好的扩展性。

 设计为本原则：安全与保密系统的设计应与网络设计相结合，即在

网络进行总体设计时考虑安全系统的设计，二者合二为一。

 自主和可控性原则：解决网络安全产品的自主权和自控权问题，建立我们自主的网络安全产品和产业。

 权限分割、互相制约、最小化原则：实现权限最小原则。 有的放矢、各取所需原则：考虑性能价格的平衡，根据不同的网络系统，侧重不同求的安全需求。

5.4.2有步骤、分阶段实现安全建设

安全产品的部署应该是一个有步骤、分阶段的过程，因此内网的信息安全系统设计了三个阶段的建设过程。

 在安全建设初期，我们考虑立竿见影的安全效果，着重保护重点资产。因此关键服务器和网络主干设备等是我们考虑的重点。在这个阶段，防火墙、入侵检测和防病毒等技术是需要优先考虑的技术。客户端的保护侧重在防病毒和终端用户管理方面，随着安全管理的需求增加，我们建议考虑建立一个基本的安全管理制度。

 在安全建设中期，我们考虑关键服务器、客户端和网络主干设备的进一步保护。漏洞扫描技术和终端安全管理系统，安全管理制度的进一步完善是本阶段的工作重点，安全审计技术也为安全管理制度的落实提供了技术上的保证。客户端的保护也是本阶段的重点。在内网的信息系统运行了一至两年后，各种应用基本趋于完善，业务流程也基本稳定，建议考虑建设CA认证系统，强调对客户端的完整管理和保护。

 最后，在整个信息系统允许3至5年后，整个信息系统的运行已经比较成熟，系统管理员对于整个网络架构有了深入的理解，网络设备、安全产品的数量也不断增加。我们建议在这个阶段考虑实现完整的安全生命周期和建设统一的安全管理平台。完整的安全生命周期遵循安全的动态性原则。安全统一管理平台实现对所有安全设备和网络设备的单点、集中管理，并在更高的层面上接收各种安全事件对这些事件进行深

层的分析，统计和关联，提供处理方法和建议，实现专家分析系统。

5.4.3完整的安全生命周期

完整的安全生命周期应该是由评估、检测、预防和管理几个部分组成的动态系统。数量众多的设备、系统和应用是导致安全隐患不断出现的根本原因，我们不能指望通过一次的安全建设就达到完全的安全保护效果。安全检测、预防和管理可以通过入侵检测、防火墙等手段实现，安全评估则可以通过漏洞扫描工具和人工评估的方式实现。因此我们建议在项目建设的中期或后期采用安全评估和安全加固服务，在漏洞扫描系统供管理员日常对系统进行安全扫描的基础上，根据扫描报告的加固建议进行安全隐患修复，还通过人工服务的方式进行安全隐患的发现和修复。

5.5 网络区域划分与安全隐患

作为一个整体的安全防护体系，我们首先对内网信息系统进行区域划分，针对不同区域的特点来部署不同的安全技术和安全产品。同时，各个不同区域的安全管理制度也应该根据区域的特点而有所不同。

6.0网络安全部署

保护目标

内部网络的各类服务器、网络设备和客户端。服务器和网络设备是我们保护的主要目标，但实际发生的安全问题往往是由于客户端的安全问题引起的。因此，不应该忽视对客户端的完善防护。

威胁来源

来自内部环境的安全威胁主要有：

 感染病毒，病毒、恶意代码的传播，并导致系统遭到破坏；

 口令管理不善会造成来自内部用户的对服务器的入侵和破坏；

 UNIX和NT系统的缺陷和漏洞也为内部用户的入侵创造了条件；

 数据库的安全隐患使内部用户有机会篡改或破坏数据，或在数据库系统中隐藏逻辑炸弹，构成对企业核心业务的重大威胁；

 内部用户滥用权利、越权访问；  内部用户的网络滥用和非法网络行为；  重要数据在传输过程中可能被泄密或被篡改；  硬件故障等灾难性事故。

安全策略

在初期的安全部署中，我们建议采用以下技术防范上述的安全威胁：

1.网络防病毒技术

在系统内所有服务器和客户端部署统一管理的企业级防病毒系统。通过防病毒系统的统一部署，可以防止病毒的感染和传播。这可以解决常见的计算机瘫痪、网络阻塞等安全问题。

2.网关过滤技术

在之间通过网关过滤系统进行隔离，并合理的配臵限制来自多种协议的病毒蠕虫等攻击，减少网络和主机受攻击的风险。尤其是实现自动的更新和升级，即使防御最新型的混合型威胁。此外，还可以通过网关过滤系统来保护免遭垃圾邮件的威胁。

3.入侵检测技术

在核心交换机上安装一台硬件入侵检测系统对核心交换区域进行实时的入侵行为发现。入侵检测系统可以实时监控网络上和主机上的事件，基于入侵的知识库，可以有效的防止大多数的攻击手段和访问异常，并

提供报警机和在线监控能力，使管理员随时获得服务器网络的安装状况的信息。入侵检测和强化的访问控制机制可以为系统提供坚固的审计功能。这样的可靠和完备的审计机制对内部入侵可以起到良好的预防作用，能够被系统记录下操作的痕迹，并有可能被追究责任而受到严厉的惩罚，对企图破坏系统的内部员工会起到威慑力量。

在中期和远期的安全部署中，我们建议考虑以下技术，进一步完善安全体系。

1.身份认证技术

用户的访问权限和口令的保护是提高系统安全性的重要保障。但目前的用户认证和访问控制系统仍存在很多的安全隐患，如对用户访问权限的定义比较模糊，采用的用户名/口令的保护仍属于弱认证机制等。这些安全隐患必须从应用系统本身进行保护，实现统一用户管理和统一授权。

2.第三方主机保护和审计技术

主机保护软件的口令策略机制统一服务器的口令质量、口令生命周期等，并在全网络范围内部署策略。主机保护软件分割管理员权限，实施集中管理的强制访问控制。这种强制的访问控制和对root权限的分割可以增强对系统中的审计机制的保护，而在普通的操作系统，获得管理员身份的入侵者可疑任意删除和修改系统的审计信息。管理员能够通过一个中央控制台实现对所有的主机进行安全保护。

6.1防火墙系统

6.1.1 防火墙系统的设计思想

在计算机网络中，一个网络防火墙扮演着防备潜在的恶意的活动的屏障，并可通过一个”门”来允许人们在你的安全网络和开放的不安全的网络之间通信。原来，一个防火墙是由一个单独的机器组成的，放臵在你的私有网络和公网之间。近些年来，防火墙机制已发展到不仅仅是”firlwall box”，更多提及到的是堡垒主

第二篇：电子政务网络安全解决方案

电子政务网络安全解决方案

电子政务网络安全概述

以Internet为代表的全球性信息化浪潮日益深刻，信息网络技术的应用正日益普及和广泛，应用层次正在深入，应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展，典型的如行政部门业务系统、金融业务系统、政府机关商务系统等。伴随网络的普及，安全日益成为影响网络效能的重要问题，而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时，对安全提出了更高的要求。如何使信息网络系统不受黑客和工业间谍的入侵，已成为政府机构、企事业单位信息化健康发展所要考虑的重要事情之一。

网络规划

各级网络

利用现有线路及网络进行完善扩充，建成互联互通、标准统一、结构简单、功能完善、安全可靠、高速实用、先进稳定的级别分明却又统一的网络。数据中心

建设集中的数据中心，对所有的信息资源、空间、信用等数据进行集中存放、集中管理。为省及各市部门、单位的关键应用及关键设施提供机房、安全管理与维护。网络总体结构

政府机构从事的行业性质是跟国家紧密联系的，所涉及信息可以说都带有机密性，所以其信息安全问题，如敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等。都将对政府机构信息安全构成威胁。为保证政府网络系统的安全，有必要对其网络进行专门安全设计。

所谓电子政务就是政府机构运用现代计算机技术和网络技术，将其管理和服务的职能转移到网络上完成，同时实现政府组织结构和工作流程的重组优化，超越时间、空间和部门分隔的制约，向全社会提供高效、优质、规范、透明和全方位的管理与服务。

实现电子政务的意义在于突破了传统的工业时代“一站式”的政府办公模式，建立了适应网络时代的“一网式”和“一表式”的新模式，开辟了推动社会信息化的新途径，创造了政府实施产业政策的新手段。电子政务的出现有利于政府转变职能，提高运作效率。

图示：原有电子政务网络情况

电子政务网络的应用系统和网络连接方式多样，由于网络本身及应用系统的复杂性，无论是有意的攻击，还是无意的误操作，都将会给系统带来不可估量的损失。非法进入的攻击者可能窃听网络上的信息、窃取用户的口令、数据库的信息；还可以篡改数据库内容、伪造用户身份、否认自己的签名；更有甚者，攻击者可以删除数据库内容、摧毁网络节点等等。

因此在电子政务网络的建设中，构建网络安全系统以确保网络信息的安全可靠是非常必要的。

物理安全风险分析

网络物理安全是整个网络系统安全的前提。物理安全的风险主要有： ◆地震、水灾、火灾等环境事故造成整个系统毁灭；

◆电源故障造成设备断电以至操作系统引导失败或数据库信息丢失； ◆设备被盗、被毁造成数据丢失或信息泄漏； ◆电磁辐射可能造成数据信息被窃取或偷阅；

◆报警系统的设计不足可能造成原本可以防止但实际发生了的事故。链路传输风险分析

网络安全不仅是入侵者到政府机关内部网上进行攻击、窃取或其它破坏，他们完全有可能在传输线路上安装窃听装置，窃取你在网上传输的重要数据，再通过一些技术读出数据信息，造成泄密或者做一些篡改来破坏数据的完整性；以上种种不安全因素都对网络构成严重的安全威胁。因此，对于政府这样带有重要信息传输的网络，数据在链路上传输必须加密。并通过数字签名及认证技术来保障数据在网上传输的真实性、机密性、可靠性及完整性。

远程办公安全接入目前，政府网络应用环境纷乱复杂，既有内部的应用如：内部OA系统、文件共享、Email等应用服务，又有众多面向下属单位、合作伙伴等对外的应用。如何地有效解决远程用户安全访问网络内部资源？

虚拟专用网技术(VPN，Virtual PrivateNetwork)是指在公共网络中建立专用网络，数据通过安全的“加密通道”在公共网络中传播。政府机关只需要租用本地的数据专线，连接上本地的公众信息网，那么各地的机构就可以互相传递信息。使用VPN有节约成本、扩展性强、便于管理和实现全面控制等好处。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的，是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用Internet公众数据网络的长途数据线路。所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络。根据国家有关规定，政府网络可以通过现有公有平台搭建自己的内部网络，但必须通过认证和加密技术，保证数据传输的安全性。

单独的VPN网关的主要功能是IPSec数据包的加密/解密处理和身份认证，但它没有很强的访问控制功能，例如状态包过滤、网络内容过滤、防DDoS攻击等。在这种独立的防火墙和VPN部署方式下，防火墙无法对VPN的数据流量进行任何访问控制，由此带来安全性、性能、管理上的一系列问题。因此，在防火墙安全网关上集成VPN是当前安全产品的发展趋势，能提供一个灵活、高效、完整的安全方案。

集成VPN的防火墙安全网关的优点是，它可以保证加密的流量在解密后，同样需要经过严格的访问控制策略的检查，保护VPN网关免受DDoS攻击和入侵威胁；提供更好的处理性能，简化网络管理的任务，快速适应动态、变化的网络环境。因此，当前VPN技术已经成为安全网关产品的组成部分。

政府机关Intranet网络建设的VPN连接方案，利用IPsec安全协议的VPN和加密能力，实现两个或多个政府机关之间跨越因特网的政府机关内部网络连接，实现了安全的政府机关内部的数据通信。通过防火墙内部策略控制体系，对VPN的数据可以进行有效的控制和管理，使政府机关的内部网络通信具有良好的扩展性和管理性。

图示：政府机关Intranet网VPN解决方案

如上图示，原始的数据经过加密封装在另外一个IP通道内，通道头部地址就是防火墙外部端口的IP地址，以实现在公网链路上的传输。利用高强度的、动态变换的密钥来保证数据的安全，168位的3DES算法更提供了业界最高级别的安全防御体系，使政府机关的内部数据可以无忧地在公网上传输，以达到政府机关内部网络安全扩展的目的。

网络结构的安全风险分析

（一）来自与公网互联的安全威胁

如果政府内部网络与Internet公网有互连。基于Internet公网的开放性、国际性与自由性，内部网络将面临更加严重的安全威胁。因为，每天黑客都在试图闯入Internet节点，假如我们的网络不保持警惕，可能连黑客怎么闯入的都不知道，甚至会成为黑客入侵其他网络的跳板。政府行业内部网络中其办公系统及各人主机上都有涉密信息。

假如内部网络的一台机器安全受损（被攻击或者被病毒感染），就会同时影响在同一网络上的许多其他系统。透过网络传播，还会影响到与本系统网络有连接的外单位网络；影响所及，还可能涉及法律、金融等安全敏感领域。对于政府行业网络系统，国家也有规定是不能与互联网直接或间接与相连。

内部网络与系统外部网互联安全威胁

如果系统内部局域网络与系统外部网络间没有采取一定的安全防护措施，内部网络容易遭到来自外部网络不怀好意的入侵者的攻击。如：

入侵者通过Sniffer等程序来探测扫描网络及操作系统存在的安全漏洞，如网络IP地址、应用操作系统的类型、开放哪些TCP端口号、系统保存用户名和口令等安全信息的关键文件等，并通过相应攻击程序对内网进行攻击。

入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息，进而假冒内部合法身份进行非法登录，窃取内部网重要信息。

恶意攻击：入侵者通过发送大量PING包对内部网重要服务器进行攻击，使得服务器超负荷工作以至拒绝服务甚至系统瘫痪。

（三）内部局域网的安全威胁

据调查在已有的网络安全攻击事件中约70%是来自内部网络的侵犯。比如内部人员故意泄漏内部网络的网络结构；安全管理员有意透露其用户名及口令；内部员工编些具有破坏力的程序在内部网上传播或者内部人员通过各种方式盗取他人涉密信息传播出去。种种因素都对整体的网络安全构成很大的威胁。

系统的安全风险分析

所谓系统安全通常是指网络操作系统、应用系统的安全。目前的操作系统或应用系统无论是Windows还是其它任何商用UNIX操作系统以及其它厂商开发的应用系统，其开发厂商必然有其Back-Door（后门）。而且系统本身必定存在安全漏洞。这些“后门”或安全漏洞都将存在重大安全隐患。但是从实际应用上，系统的安全程度跟对其进行安全配置及系统的应用面有很大关系，操作系统如果没有采用相应的安全配置，则其是漏洞百出，掌握一般攻击技术的人都可能入侵得手。

如果进行安全配置，比如，填补安全漏洞，关闭一些不常用的服务，禁止开放一些不常用而又比较敏感的端口等，那么入侵者要成功进行内部网是不容易，这需要相当高的技术水平及相当长时间。因此应正确估价自己的网络风险并根据自己的网络风险大小做出相应的安全解决方案。

应用的安全风险分析

应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的安全性也是动态的。这就需要我们对不同的应用，检测安全漏洞，采取相应的安全措施，降低应用的安全风险。

（一）资源共享

政府网络系统内部必有自动化办公系统。而办公网络应用通常是共享网络资源，比如文件、打印机共享等。由此就可能存在着：员工有意、无意把硬盘中重要信息目录共享，长期暴露在网络邻居上，可能被外部人员轻易偷取或被内部其他员工窃取并传播出去造成泄密，因为缺少必要的访问控制策略。

电子邮件系统

电子邮件为网系统用户提供电子邮件应用。内部网用户可通过拔号或其它方式进行电子邮件发送和接收这就存在被黑客跟踪或收到一些特洛伊木马、病毒程序等，由于许多用户安全意识比较淡薄，对一些来历不明的邮件，没有警惕性，给入侵者提供机会，给系统带来不安全因素。

病毒侵害

自从1983年世界上第一个计算机病毒出现以来，在20多年的时间里，计算机病毒已到了无孔不入的地步，有些甚至给我们造成了巨大的破坏。

随着网络的普及和网速的提高，计算机之间的远程控制越来越方便，传输文件也变得非常快捷，正因为如此，病毒与黑客程序（木马病毒）结合以后的危害更为严重，病毒的发作往往伴随着用户机密资料的丢失。病毒的传播可能会具有一定的方向性，按照制作者的要求侵蚀固定的内容。

由于网络的普及，使得编写病毒的知识越来越容易获得。同时，各种功能强大而易学的编程工具让用户可以轻松编写一个具有极强杀伤力的病毒程序。用户通过网络甚至可以获得专门编写病毒的工具软件，只需要通过简单的操作就可以生成破坏性的病毒。

网络是病毒传播的最好、最快的途径之一。病毒程序可以通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径潜入内部网。因此，病毒的危害的不可以轻视的。网络中一旦有一台主机受病毒感染，则病毒程序就完全可能在极短的时间内迅速扩散，传播到网络上的所有主机，可能造成信息泄漏、文件丢失、机器死机等不安全因素。

数据信息

数据安全对政府行业来说尤其重要，数据在广域网线路上传输，很难保证在传输过程中不被非法窃取，篡改。现今很多先进技术，黑客或一些工业间谍会通过一些手段，设法在线路上做些手脚，获得在网上传输的数据信息。也就造成的泄密。这对政府行业用户来说，是决不允许的。

管理的安全风险分析

内部管理人员或员工把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。

机房重地却是任何都可以进进出出，来去自由。存有恶意的入侵者便有机会得到入侵的条件。

内部不满的员工有的可能熟悉服务器、小程序、脚本和系统的弱点。利用网络开些小玩笑，甚至破坏。如传出至关重要的信息、错误地进入数据库、删除数据等等。这些都将给网络造成极大的安全风险。

管理是网络中安全得到保证的重要组成部分，是防止来自内部网络入侵必须的部分。责权不明，管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。即除了从技术上下功夫外，还得依靠安全管理来实现。

防火墙系统设计方案

（一）防火墙系统

1、在各网络出口处安装曙光天罗防火墙。防火墙在这里首先起到网络隔离、划分不同安全域，进行访问控制的功能。通过防火墙的多网口结构设计，控制授权合法用户可以访问到授权服务，而限制非授权的访问。曙光天罗防火墙分为百兆和千兆两个系列，可以根据各局内部网的规模大小选择适合自己的产品。

2、曙光天罗防火墙自带的入侵检测功能采用了基于模式匹配的入侵检测系统，超越了传统防火墙中的基于统计异常的入侵检测功能，实现了可扩展的攻击检测库，真正实现了抵御目前已知的各种攻击方法。防火墙的入侵检测模块，可以自动检测网络数据流中潜在的入侵、攻击和滥用方式，通知管理员调整控制规则，为整个网络提供动态的网络保护。

3、利用曙光天罗防火墙自带的VPN功能，实现多级VPN系统。防火墙VPN模块支持两种用户模式：远程访问虚拟网(拨号VPN)和政府机关内部虚拟网(网关对网关VPN)。如上图所示，在省地市三级网络出口处安装曙光天罗防火墙，利用防火墙的VPN模块，实现他们之间分层次的政府机关内部虚拟网(网关对网关VPN)；而对于一些规模比较小的区线或移动用户，通过安装VPN客户端，实现远程访问虚拟网(拨号VPN)，整个构成一个安全的虚拟内部局域网，保障电子政务网络的数据安全传输。

（二）防火墙的VPN功能

VPN是平衡Internet的适用性和价格优势的最有前途的新兴通信手段之一。利用共享的IP网建立VPN连接，可以使服务对象减少对昂贵租用线路和复杂远程访问方案的依赖性。

也是至关重要的一点，它可以使移动用户和一些小型的分支机构的网络开销减少达50%或更多；

政府机关新增的分支机构或站点可以非常迅速方便地加入政府机关已建的基于VPN的INTRANET，所以VPN的可扩展性大大优于传统构建政府机关INTRANET的技术手段，如点对点专线或长途拨号；

VPN不仅可以大幅度削减传输数据的开销，同时可以削减传输话音的开销；

VPN创造了多种伴随着Web发展而出现的新的商业机会，包括：进行全球电子商务，可以在减少销售成本的同时增加销售量；实现外连网，可以使用户获得关键的信息，更加贴近世界；可以访问全球任何角落的电子通勤人员和移动用户。

在当今全球激烈竞争的环境下，最先实现VPN的政府机关将在竞争获得优势已经是不争的事实，许多政府机关也开始纷纷利用经济有效的VPN来传送话音业务，并从中受益：

◆ 减少用于相关的调制解调器和终端服务设备的资金及费用，简化网络； ◆ 实现本地拨号接入的功能来取代远距离接入，这样能显著降低远距离通信的费用； ◆ 远端验证拨入用户服务基于标准，基于策略功能的安全服务；

◆ 将工作重心从管理和保留运作拨号网络的工作人员转到公司的核心业务上来； ◆ 强大的基于 Web的VPN管理工具提供基于策略的 VPN配置和监控，可以优化网络资源；

◆ 极大的可扩展性，简便地对加入网络的新用户进行调度。用户不需改变网络的原来架构，只须安装客户端软件并且设置此软件的一些参数即可。同时也支持传统的应用，可以从小的政府机关扩展到最大的政府机关；

◆ 更大的网络灵活性，可以管理和发布不同类型的数据进入同一Internet连接。VPN代表了当今网络发展演化的最高形式，它综合了传统数据网络的性能优点（安全和QoS）和共享数据网络结构的优点（简单和低成本），必将成为未来传输完全汇聚业务的主要工具。

用户可以通过硬件和软件的方式来实现VPN功能，一般用户都会使用硬件设备。在总部架设一个带有VPN功能的防火墙，就可以让地方联到总部的内部局域网了。使用这种具有VPN功能的防火墙都具有较高的安全性和稳定性，因一个最大的优点是既可以抵御外部的攻击又可以提高自身网络的安全性。

防火墙对服务器的保护

网络中应用的服务器，信息量大、处理能力强，往往是攻击的主要对象。另外，服务器提供的各种服务本身有可能成为“黑客”攻击的突破口，因此，在实施方案时要对服务器的安全进行一系列安全保护。

如果服务器没有加任何安全防护措施而直接放在公网上提供对外服务，就会面临着“黑客”各种方式的攻击，安全级别很低。因此当安装防火墙后，所有访问服务器的请求都要经过防火墙安全规则的详细检测。只有访问服务器的请求符合防火墙安全规则后，才能通过防火墙到达内部服务器。防火墙本身抵御了绝大部分对服务器的攻击，外界只能接触到防火墙上的特定服务，从而防止了绝大部分外界攻击。

（四）防火墙对内网的保护

网络内部的环境比较复杂，而且各子网的分布地域广阔，网络用户、设备接入的可控性比较差，因此，内部网络用户的可靠性并不能得到完全的保证。特别是对于存放敏感数据的主机的攻击往往发自内部用户，如何对内部用户进行访问控制和安全防范就显得特别重要。为了保障内部网络运行的可靠性和安全性，我们必须要对它进行详尽的分析，尽可能防护到网络的每一节点。

对于一般的网络应用，内部用户可以直接接触到网络内部几乎所有的服务，网络服务器对于内部用户缺乏基本的安全防范，特别是在内部网络上，大部分的主机没有进行基本的安全防范处理，整个系统的安全性容易受到内部用户攻击的威胁，安全等级不高。根据国际上流行的处理方法，我们把内部用户跨网段的访问分为两大类：其一，是内部网络用户之间的访问，即单机到单机访问。这一层次上的应用主要有用户共享文件的传输（NETBIOS）应用；其次，是内部网络用户对内部服务器的访问，这一类应用主要发生在内部用户的业务处理时。一般内部用户对于网络安全防范的意识不高，如果内部人员发起攻击，内部网络主机将无法避免地遭到损害，特别是针对于NETBIOS文件共享协议，已经有很多的漏洞在网上公开报道，如果网络主机保护不完善，就可能被内部用户利用“黑客”工具造成严重破坏。

由于网络环境的复杂化和网络应用的多样化日益明显，对于内部网络除了必要的防攻击设置外还必须防止内部用户的欺骗行为，比如IP地址欺骗、网络连接的欺骗等。由于物理层上的原因，内部用户接触网络服务的机会、方法很多，如果没有专门的安全防护，“黑客”就可以比较容易地实施欺骗、伪造身份及暴力攻击（CRACK），对于内部网络的用户，防范攻击的难度较大。我们主要从以下几个方面考虑：

1)内部网络风险分析：由于内部攻击发生的比较频繁，因此我们首先要分析内部网络的安全隐患，把可能发生的不安定因素找出来进行专门的安全处理；

2)内部用户网络和网络的隔离：把内部比较重要的数据服务器放在专门的区域，加上独立的控制体系，对于内部网的访问同样要进行相应的安全控制；

3)内部网络安全保护：结合物理层和链路层的特点，在物理层和链路层的接口处实施安全控制，实施IP/MAC绑定。

IDS详述

IDS（入侵检测系统）对于关心网络安全防护的人们来说已不再是一个陌生的名词，在许多行业的计算机网络安全防御工程中除了采用防病毒、防火墙或认证加密等系统外，有近15%的安全项目会涉及到IDS系统，而且这些项目一般都对安全等级的要求非常高，对数据信息的保密性也有特别的要求。

IDS系统

要想高效使用IDS首先要对它进行合理部署。通常IDS监控保护的基本单位是一个网段，单个网段的最小组成元素是各台主机，政府机关对各主机、各网段的安全性要求程度一般都不相同，所以确定IDS的保护对象是合理使用IDS的关键。

在优先保护的网段中部署IDS系统，并配置合适的检测策略，如在防火墙之内部署IDS则可把安全策略配置得紧一些，即使用最大化的检测策略，而在防火墙之外部署则可采用较为宽松的策略，因为经过防火墙过滤后，内部网络的安全状况相对比较简单，而外部的情况则较为复杂，误报的可能性也较大。另外，在一定的情况下有些内部信任的主机也可能会触发IDS的检测引擎，从而形成报警，而对于用户来说，这些报警事件是没有什么参考价值的，所以需要在检测范围中排除这些主机的IP地址；通常IDS系统中都有一个过滤器（FILTER）模块或像KIDS那样所具有的“非阻断列表”的功能选项，可以允许用户加入所有他们所信任的主机IP地址。

目前大多数的IDS系统主要采用基于包特征的检测技术来组建，它们的基本原理是对网络上的所有数据包进行复制并检测，然后与内部的攻击特征数据库（规则库）进行匹配比较，如果相符即产生报警或响应。这种检测方式虽然比异常统计检测技术要更加精确，但会给IDS带来较大的负载，所以需要对检测策略作进一步的调整和优化。具体做法是根据政府机关自身网络的业务应用情况，选择最适合的检测策略（可根据操作系统、应用服务或部署位置等），并对所选的策略进行修改，选择具有参考价值的检测规则，而去除一些无关紧要的选项，如对于全部是Windows的应用环境，则完全可以把UNIX的规则去掉。有些IDS除了提供攻击特征检测规则的定制功能外，还提供了对端口扫描检测规则的自定义，如在KIDS中就可定义端口扫描的监控范围、信任主机地址排除和扫描模式等参数，这些参数的合理配置都能将IDS的检测能力优化到最理想的状态。

IDS监控

IDS除了能对网络上各种非法行为产生报警外还能对一些特定的事件进行实时的响应，因为只有采取及时的响应才能有效阻止重要的资源被破坏或被盗用。目前最常用的响应方式是对网络中的非法连接进行阻断，如利用防火墙阻断、列入黑名单阻断或HTTP阻断等。在利用IDS进行监控时，不但需要查看它的报警提示，而且需要参考它所提供的实时状态信息。因为在网络中发生异常行为时，网络中的许多状态信息一般都与正常情况下的状态不一样。如主机正遭到拒绝服务攻击时（DoS或DDoS），网络中的数据流量便可能会急速上升，这时可以从包流量或字节流量等实时的状态图表中发现这样的异常情况。所以参考IDS所显示的状态信息也是非常重要的。实时状态信息还包括当前的活动TCP连接、TCP/UDP/IP/ICMP等协议的包或字节流量等。IDS的最重要价值之一是它能提供事后统计分析，所有安全事件或审计事件的信息都将被记录在数据库中，可以从各个角度来对这些事件进行分析归类，以总结出被保护网络的安全状态的现状和趋势，及时发现网络或主机中存在的问题或漏洞，并可归纳出相应的解决方案。

电子政务整体网络安全解决方案

电子政务系统中存在大量敏感数据和应用，因此必须设计一个高安全性、高可靠性及高性能的防火墙安全保护系统，确保数据和应用万无一失。

各局的局域网计算机工作站包括终端、广域网路由器、服务器群都直接汇接到本局的主干交换机上。由于工作站分布较广且全部连接，可以通过电子政务网络进行相互访问，服务器就有可能收到攻击。因此，必须在各局之间相互进行隔离防护。

如下图，我们在各局路由器后安装曙光TLFW千兆防火墙，以有三千用户在同时上Internet网计算，千兆防火墙的并发连接超过600,000，完全可以满足整个网络的需求，稳定性上也满足要求。同时，将局内网与其他区域逻辑隔离开来，在数据中心内，根据不同的服务器对安全性的不同需求，将它们分等级划分为不同的区域，并通过详细的包过滤规则制定，将这些服务器彻底保护起来，保证它们之间不能跨级别访问，这样实现分级的安全性。

通过安装防火墙，可以实现下列的安全目标：

1)利用防火墙将内部网络、Internet外部网络进行有效隔离，避免与外部网络直接通信；

2)利用防火墙建立网络各终端和服务器的安全保护措施，保证系统安全；

3)利用防火墙对来自非内部网的服务请求进行控制，使非法访问在到达主机前被拒绝； 4)利用防火墙使用IP与MAC地址绑定功能，加强终端用户的访问认证，同时在不影响用户正常访问的基础上将用户的访问权限控制在最低限度内；

5)利用防火墙全面监视对服务器的访问，及时发现和阻止非法操作；

6)利用防火墙及服务器上的审计记录，形成一个完善的审计体系，建立第二条防线； 7)根据需要设置流量控制规则，实现网络流量控制，并设置基于时间段的访问控制。下图是电子政务网络安全解决方案设计拓扑图：

图示：电子政务网络安全总体拓扑

根据以上的分析，在整个政府网络安全体系中，除了负责边界安全的防火墙设备以外，还选择了入侵检测系统进行共同防范，达到整个系统的高安全性。

同时因为用户有拨号VPN的需求，而曙光的天罗防火墙自身具备了VPN的功能，可以满足远程连接用户的安全要求。

具备了高安全性、高可靠性、高性能、高适用性、易管理、高度集成、灵活扩展等产品特色。易于安装和使用，网络性能和透明性好，拥有自行设计的全中文化WWW管理界面，通过直观、易用的界面来管理强大、复杂的系统功能。

可根据系统管理者设定的安全规则（Security Rules）把守网络的大门，提供强大的访问控制、网络地址转换(Network Address Translation)、带宽控制、P2P协议过滤等功能。

根据电子政务的实际需要，充分利用了曙光天罗防火墙的各功能模块，实现了各功能模块(防火墙模块、入侵检测模块、VPN模块等)的协同工作，再加上NIDS网络入侵检测系统的重点防护，构建了一个整合的动态安全门户，以比较经济实惠的方式，实现了对电子政务网络的整体安全防护。

第三篇：企业网络安全解决方案毕业论文

娄底职业技术学院网络专业毕业设计

宏锦网络有限公司企业网络安全解决方案

摘要

近几年来，Internet技术日趋成熟，已经开始了从以提供和保证网络联通性为主要目标的第一代Internet技术向以提供网络数据信息服务为特征的第二代Internet技术的过渡。这些都促使了计算机网络互联技术迅速的大规模使用。众所周知，作为全球使用范围最大的信息网，Internet自身协议的开放性极大地方便了各种计算机连网，拓宽了共享资源。但是，由于在早期网络协议设计上对安全问题的忽视，以及在管理和使用上的无政府状态，逐渐使Internet自身安全受到严重威胁，与它有关的安全事故屡有发生。网络安全的威胁主要表现在：非授权访问，冒充合法用户，破坏数据完整性，干扰系统正常运行，利用网络传播病毒，线路窃听等方面。因此本论文为企业（宏锦企业网络）构架网络安全体系，主要运用vlan划分、防火墙技术、vpn、病毒防护等技术，来实现企业的网络安全。

关键词：网络，安全，VPN，防火墙，防病毒

火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计

Abstract In recent years, Internet technology has matured, has begun to provide and guarantee from the network connectivity as the main target of the first generation of Internet technology to provide network data services for the characteristics of the second generation of Internet technology transition.These all contributed to the rapid computer networking technology of large-scale use.As we all know, the world's largest information network use of, Internet openness of their agreement greatly facilitate a variety of computer networking to broaden the sharing of resources.However, in the early design of network protocols on security issues of neglect, as well as in management and use of the anarchy, the Internet increasingly serious threat to their security, and its related security incidents happened quite frequently.Network security threats mainly in: unauthorized access, posing as legitimate users, damage to data integrity, interfere with the normal operation of the system, using the Internet spread the virus, line tapping and so on.Therefore, this paper for the enterprise(Hong Jin corporate network)architecture network security system, mainly by the use of vlan, firewall, vpn, virus protection and other technologies to achieve corporate network security.Keywords: network, security, VPN, firewall, anti-virus

火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计

绪论....................................................................................................................................................................1 第一章企业网络安全概述...................................................................................................................................2 1.1 企业网络的主要安全隐患.......................................................................................................................2

1.2 企业网络的安全误区...............................................................................................................................2 第二章企业网络安全现状分析.........................................................................................................................4 2.1 公司背景.....................................................................................................................................................4 2.2 企业网络安全需求.....................................................................................................................................4 2.3 需求分析.....................................................................................................................................................4 2.4 企业网络结构.............................................................................................................................................5 第三章企业网络安全解决实施...........................................................................................................................6 3.1 宏锦网络企业物理安全.............................................................................................................................6 3.2宏锦企业网络VLAN划分............................................................................................................................7 3.4 宏锦企业网络防火墙配置.........................................................................................................................9 3.4 宏锦企业网络VPN配置...........................................................................................................................12 3.5 宏锦企业网络防病毒措施.......................................................................................................................13 第四章宏锦企业的网络管理.............................................................................................................................16 4.1宏锦企业网络管理的问题........................................................................................................................16 4.2 宏锦企业网络管理实施...........................................................................................................................16 总结..................................................................................................................................................................18 致谢..................................................................................................................................................................19 参考文献...............................................................................................................................................................20

III

火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计

绪论

随着信息化技术的飞速发展，许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力，使企业在残酷的竞争环境中脱颖而出。经营管理对计算机应用系统的依赖性增强，计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大，网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。信息安全防范应做整体的考虑，全面覆盖信息系统的各层次，针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程，事前、事中和事后的技术手段应当完备，安全管理应贯穿安全防范活动的始终。

网络安全问题伴随着网络的产生而产生，可以说，有网络的地方就存在网络安全隐患。像病毒入侵和黑客攻击之类的网络安全事件，目前主要是通过网络进行的，而且几乎每时每刻都在发生，遍及全球。除此之外，像恶意软件入侵、攻击，用户的非法访问和操作，用户邮件的非法截取和更改等都是普遍存在的安全事实。网络安全事件所带来的危害，相信我们每个计算机用户都或多或少地亲身体验过一些：轻则使电脑系统运行不正常，重则使整个计算机系统中的磁盘数据全部覆灭，甚至导致磁盘、计算机等硬件的损坏。

为了防范这些网络安全事故的发生，每个计算机用户，特别是企业网络用户，必须采取足够的安全防范措施，甚至可以说要在利益均衡情况下不惜一切代价。但要注意，企业网络安全策略的实施是一项系统工程，它涉及许多方面。因此既要充分考虑到那些平时经常提及的外部网络威胁，又要对来自内部网络和网络管理本身所带来的安全隐患有足够的重视，不能孤立地看待任何一个安全隐患和安全措施。因为这些安全隐患爆发的途径可以是多方面的，而许多安全措施都是相辅相成的。

火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计

第一章企业网络安全概述

1.1 企业网络的主要安全隐患

现在网络安全系统所要防范的不再仅是病毒感染，更多的是基于网络的非法入侵、攻击和访问，同时企业网络安全隐患的来源有内、外网之分，很多情况下内部网络安全威胁要远远大于外部网络，因为内部中实施入侵和攻击更加容易，企业网络安全威胁的主要来源主要包括。

1)病毒、木马和恶意软件的入侵。2)网络黑客的攻击。

3)重要文件或邮件的非法窃取、访问与操作。4)关键部门的非法访问和敏感信息外泄。5)外网的非法入侵。

6)备份数据和存储媒体的损坏、丢失。

针对这些安全隐患，所采取的安全策略可以通过安装专业的网络版病毒防护系统，同时也要加强内部网络的安全管理，配置好防火墙过滤策略和系统本身的各项安全措施，及时安装系统安全补丁，有条件的还可以在内、外网之间安装网络扫描检测、网络嗅探器、IDS、IPS系统，甚至配置网络安全隔离系统，对内、外网络进行安全隔离；加强内部网络的安全管理，严格实行“最小权限”原则，为各个用户配置好恰当的用户权限；同时对一些敏感数据进行加密保护，对数据还可以进行数字签名措施；根据企业实际需要配置好相应的数据策略，并按策略认真执行。

1.2 企业网络的安全误区

(一)安装防火墙就安全了

防火墙主要工作都是控制存取与过滤封包，所以对DoS攻击、非法存取与篡改封包等攻击模式的防范极为有效，可以提供网络周边的安全防护。但如果攻击行为不经过防火墙，或是将应用层的攻击程序隐藏在正常的封包内，便力不从心了，许多防火墙只是工作在网络层。

防火墙的原理是“防外不防内”，对内部网络的访问不进行任何阻挠，而事实上，企业网络安全事件绝大部分还是源于企业内部。

火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计

(二)安装了最新的杀毒软件就不怕病毒了

安装杀毒软件的目的是为了预防病毒的入侵和查杀系统中已感染的计算机病毒，但这并不能保证就没有病毒入侵了，因为杀毒软件查杀某一病毒的能力总是滞后于该病毒的出现。

(三)在每台计算机上安装单机版杀毒软件和网络版杀毒软件等效

网络版杀毒软件核心就是集中的网络防毒系统管理。网络版杀毒软件可以在一台服务器上通过安全中心控制整个网络的客户端杀毒软件同步病毒查杀、监控整个网络的病毒。同时对于整个网络，管理非常方便，对于单机版是不可能做到的。

(四)只要不上网就不会中毒

虽然不少病毒是通过网页传播的，但像QQ聊天接发邮件同样是病毒传播的主要途径，而且盗版光盘以及U盘等也会存在着病毒。所以只要计算机开着，就要防范病毒。

(五)文件设置只读就可以避免感染病毒

设置只读只是调用系统的几个命令，而病毒或黑客程序也可以做到这一点，设置只读并不能有效防毒，不过在局域网中为了共享安全，放置误删除，还是比较有用的。

(六)网络安全主要来自外部

基于内部的网络攻击更加容易，不需要借助于其他的网络连接方式，就可以直接在内部网络中实施攻击。所以，加强内部网络安全管理，特别是用户帐户管理，如帐户密码、临时帐户、过期帐户和权限等方面的管理非常必要了。

火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计

第二章企业网络安全现状分析

2.1 公司背景

宏锦网络有限公司是一家有100名员工的中小型网络公司，主要以手机应用开发为主营项目的软件企业。公司有一个局域网，约100台计算机，服务器的操作系统是 Windows Server 2003,客户机的操作系统是 Windows XP，在工作组的模式下一人一机办公。公司对网络的依赖性很强，主要业务都要涉及互联网以及内部网络。随着公司的发展现有的网络安全已经不能满足公司的需要，因此构建健全的网络安全体系是当前的重中之重。

2.2 企业网络安全需求

宏锦网络有限公司根据业务发展需求，建设一个小型的企业网，有Web、Mail等服务器和办公区客户机。企业分为财务部门和业务部门，需要他们之间相互隔离。同时由于考虑到Inteneter的安全性，以及网络安全等一些因素，如DDoS、ARP等。因此本企业的网络安全构架要求如下：

（1）根据公司现有的网络设备组网规划（2）保护网络系统的可用性（3）保护网络系统服务的连续性

（4）防范网络资源的非法访问及非授权访问（5）防范入侵者的恶意攻击与破坏

（6）保护企业信息通过网上传输过程中的机密性、完整性（7）防范病毒的侵害（8）实现网络的安全管理。

2.3 需求分析

通过了解宏锦网络公司的需求与现状，为实现宏锦网络公司的网络安全建设实施网络系统改造，提高企业网络系统运行的稳定性，保证企业各种设计信息的安全性，避免图纸、文档的丢失和外泄。通过软件或安全手段对客户端的计算机加以保护，记录用户对客户端计算机中关键目录和文件的操作，使企业有手段对用户在客户端计算机的使用

火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计

情况进行追踪，防范外来计算机的侵入而造成破坏。通过网络的改造，使管理者更加便于对网络中的服务器、客户端、登陆用户的权限以及应用软件的安装进行全面的监控和管理。因此需要

（1）构建良好的环境确保企业物理设备的安全（2）划分VLAN控制内网安全（3）安装防火墙体系

（4）建立VPN(虚拟专用网络)确保数据安全（5）安装防病毒服务器（6）加强企业对网络资源的管理

2.4 企业网络结构

宏锦网络公司网络拓扑图，如图2-1所示:

图2-1 企业网络结构

由于宏锦网络公司是直接从电信接入IP为58.192.65.62 255.255.255.0，直接经由防火墙分为DMZ区域和普通区域。防火墙上做NAT转换，分别给客户机端的地址为10.1.1.0 255.255.255.0。防火墙接客户区端口地址为10.1.1.1 255.255.255.0。DMZ内主要有各类的服务器，地址分配为10.1.2.0 255.255.255.0。防火墙DMZ区的接口地址为10.1.2.1 255.255.255.0。内网主要由3层交换机作为核心交换机，下面有两台2层交换机做接入。

火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计

第三章企业网络安全解决实施

3.1 宏锦网络企业物理安全

宏锦企业网络中保护网络设备的物理安全是其整个计算机网络系统安全的前提，物理安全是指保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故、人为操作失误或各种计算机犯罪行为导致的破坏。

针对宏锦网络企业的物理安全主要考虑的问题是环境、场地和设备的安全及物理访问控制和应急处置计划等。物理安全在整个计算机网络信息系统安全中占有重要地位。它主要包括以下几个方面： 1)保证机房环境安全

信息系统中的计算机硬件、网络设施以及运行环境是信息系统运行的最基本的环境。要从一下三个方面考虑：a.自然灾害、物理损坏和设备故障 b.电磁辐射、乘机而入、痕迹泄漏等 c.操作失误、意外疏漏等 2)选用合适的传输介质

屏蔽式双绞线的抗干扰能力更强，且要求必须配有支持屏蔽功能的连接器件和要求介质有良好的接地（最好多处接地），对于干扰严重的区域应使用屏蔽式双绞线，并将其放在金属管内以增强抗干扰能力。

光纤是超长距离和高容量传输系统最有效的途径，从传输特性等分析，无论何种光纤都有传输频带宽、速率高、传输损耗低、传输距离远、抗雷电和电磁的干扰性好保密性好，不易被窃听或被截获数据、传输的误码率很低，可靠性高，体积小和重量轻等特点。与双绞线或同轴电缆不同的是光纤不辐射能量，能够有效地阻止窃听。3)保证供电安全可靠

计算机和网络主干设备对交流电源的质量要求十分严格，对交流电的电压和频率，对电源波形的正弦性，对三相电源的对称性，对供电的连续性、可靠性稳定性和抗干扰性等各项指标，都要求保持在允许偏差范围内。机房的供配电系统设计既要满足设备自身运转的要求，又要满足网络应用的要求，必须做到保证网络系统运行的可靠性，保证设备的设计寿命保证信息安全保证机房人员的工作环境。

火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计

3.2宏锦企业网络VLAN划分

VLAN技术能有效隔离局域网，防止网内的攻击，所以宏锦网络有限公司网络中按部门进行了VLAN划分，划分为以下两个VLAN：

财务部门 VLAN 10

交换机S1接入交换机（神州数码DCS-3950）业务部门 VLAN 20

交换机S2接入交换机（神州数码DCS-3950）核心交换机 VLAN间路由核心交换机S3（神州数码DCRS-5526）S1配置如下: switch> switch>ena switch#con switch(Config)#vlan 10 switch(Config-Vlan10)#sw int e 0/0/1-20 switch(Config-Vlan10)#exit switch(Config)#exit switch#con switch(Config)#int e 0/0/24 switch(Config-Ethernet0/0/24)#sw m t Set the port Ethernet0/0/24 mode TRUNK successfully switch(Config-Ethernet0/0/24)#sw t a v a set the port Ethernet0/0/24 allowed vlan successfully switch(Config-Ethernet0/0/24)#exit switch(Config)#ip dhcp pool vlan10 switch(dhcp-vlan10-config)#network-address 192.168.10.0 255.255.255.0 switch(dhcp-vlan10-config)#lease 3 switch(dhcp-vlan10-config)#default-router 192.168.1.1 switch(dhcp-vlan10-config)#dns-server 61.177.7.1 switch(dhcp-vlan10-config)#exit switch(config)ip dhcp excluded-address 192.168.10.1 S2配置如下: Switch> Switch>ena Switch#con

火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计

switch(Config)#vlan 20 switch(Config-Vlan20)#sw int e 0/0/1-20 switch(Config-Vlan20)#exit switch(Config)#exit switch#con switch(Config)#int e 0/0/24 switch(Config-Ethernet0/0/24)#sw m t Set the port Ethernet0/0/24 mode TRUNK successfully switch(Config-Ethernet0/0/24)#sw t a v a set the port Ethernet0/0/24 allowed vlan successfully switch(Config-Ethernet0/0/24)#exit switch(Config)#ip dhcp pool vlan20 switch(dhcp-vlan20-config)#network-address 192.168.20.0 255.255.255.0 switch(dhcp-vlan20-config)#lease 3 switch(dhcp-vlan20-config)#default-router 192.168.1.1 switch(dhcp-vlan20-config)#dns-server 61.177.7.1 switch(dhcp-vlan20-config)#exit switch(config)ip dhcp excluded-address 192.168.20.1 switch(config)ip dhcp excluded-address 192.168.20.150-192.168.20.240 S0配置如下: switch> switch>enable switch#config switch(Config)#hostname S0 S0(Config)#vlan 10 S0(Config-Vlan10)#vlan 20 S0(Config-Vlan20)#exit S0(Config)#int e 0/0/1-2 S0(Config-Port-Range)#sw m t S0(Config-Port-Range)#sw t a v a S0(Config-Port-Range)#exit S0(Config)#int vlan 10 S0(Config-If-Vlan10)#ip address 192.168.10.1 255.255.255.0 S0(Config-If-Vlan10)#no shutdown

火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计

S0(Config-If-Vlan10)#exit S0(Config)#int vlan 20 00:04:23: %LINK-5-CHANGED: Interface Vlan20, changed state to UP %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed state to UP S0(Config-If-Vlan20)#ip address 192.168.20.1 255.255.255.0 S0(Config-If-Vlan20)#no shutdown S0(Config-If-Vlan20)#exit S0(Config)#exit S0(Config-If-Vlan1)#ip address 192.168.1.1 255.255.255.0 S0(Config-If-Vlan1)#no shutdown S0(Config-If-Vlan1)#exit S0(Config)#exit S0#show ip route S0#con S0(Config)#ip route 58.192.65.0 255.255.255.0 10.1.1.1 3.4 宏锦企业网络防火墙配置

宏锦企业网络中使用的是神州数码的DCFW-1800S UTM，里面包含了防火墙和VPN等功能。以下为配置过程：

在防火墙NAT策略下面，新增NAT。如图3-1:

图3-1 新增企业防火墙策略示意图

源域：untrust；源地址对象：any；目的域：trust；目的地址对象：any；

在全局安全策略设置里面如图3-2和图3-3所示:

火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计

图3-2企业防火墙策略配置示意图

图 3-3 企业防火墙策略配置示意图

火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计

图3-4企业防火墙策略配置示意图

可以设置全局下面访问策略，以及域内和域间的访问策略。这里我们设置，内部网络为信任区域（trust），Inteneter为不信任区域（untrust），服务器区域为DMZ区域。动作包括permit允许，拒绝deny，以及其他的特定的服务。这里允许内部访问外部和DMZ区域，而DMZ和Inteneter不允许访问内部。但是处于中间位置的DMZ可以允许Inteneter的访问。所以要添加好几条NAT策略。

在网络接口处如图3-5所示:

图3-5 网络接口处配置示意图

要配置3个以太网接口为up，安全区域分别为eth1：l2-trust，eth0：l2-untrust，eth2：l2-DMZ。其中接外网的eth0工作模式为路由模式，其余接DMZ和内部的都为NAT模式。如图3-6所示:

火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计

图3-6 以太网接口配置示意图

同时为他们配好相应的网络地址，eth0为58.192.65.62，eth1：10.1.1.1，eth2 10.1.2.1。

3.4 宏锦企业网络VPN配置

宏锦企业网络的VPN功能主要也是通过上面的防火墙实现的。如图3-7,图3-8所示:

图3-7 PPTP协议示意图

图3-8 PPTP示意图

这里我们使用PPTP协议来实现VPN，首先是新增PPTP地址池，范围为192.168.20.150-192.168.20.240 如图3-9所示:

火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计

图3-9 PPTP协议实现VPN示意图

在PPTP设置里面，选择Chap加密认证，加密方式mppe-128。DNS分别为61.177.7.1，MTU为500。

3.5 宏锦企业网络防病毒措施

针对宏锦企业网络的现状，在综合考虑了公司对防病毒系统的性能要求、成本和安全性以后，我选用江民杀毒软件KV网络版来在内网中进行防病毒系统的建立。产品特点: KV网络版是为各种简单或复杂网络环境设计的计算机病毒网络防护系统，即适用于包含若干台主机的单一网段网络，也适用于包含各种WEB服务器、邮件服务器、应用服务器，以及分布在不同城市，包含数十万台主机的超大型网络。KV网络版具有以下显著特点：

(1)先进的体系结构(2)超强的杀毒能力(3)完备的远程控制(4)方便的分级、分组管理

宏锦企业网络KV网络版的主控制中心部署在DMZ服务器区，子控制中心部署在3层交换机的一台服务器上。

网络拓扑结构如图3-10所示:

火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计

图3-10 主控制中心部署图

子控制中心与主控制中心关系: 控制中心负责整个KV网络版的管理与控制，是整个KV网络版的核心，在部署KV网络时，必须首先安装。除了对网络中的计算机进行日常的管理与控制外，它还实时地记录着KV网络版防护体系内每台计算机上的病毒监控、查杀病毒和升级等信息。在1个网段内仅允许安装1台控制中心。根据控制中心所处的网段的不同，可以将控制中心划分为主控制中心和子控制中心，子控制中心除了要完成控制中心的功能外，还要负责与它的上级——主控制中心进行通信。这里的“主”和“子”是一个相对的概念：每个控制中心对于它的下级的网段来说都是主控制中心，对于它的上级的网段来说又是子控制中心，这种控制结构可以根据网络的需要无限的延伸下去。

为宏锦企业网络安装好KV网络版杀毒软件后，为期配置软件的安全策略。对宏锦企业客户端计算机的KV软件实现更为完善的远程控制功能，利用KV软件控制中心的“策略设置”功能组来实现。在此功能中可以针对单一客户端、逻辑组、全网进行具有针对性的安全策略设置。在“策略设置”下拉菜单中，我们可以找到“扫描设置”、“反垃圾邮件”、“网址过滤”等与平时安全应用密切相关的各项应用配置选项，如图3-11所示。

火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计

图3-11 “策略设置”命令菜单

为宏锦企业网络KV网络版杀毒软件配置“扫描设置”，扫描设置可对当前选择的任意组或者任意节点的客户端进行更加细化的扫描设置。宏锦企业可以自己设定适合于自己网络环境的扫描方案，针对不同的策略对不同的客户端进行分发不同的扫描命令。可以下发以下命令到节点计算机：扫描目标，定时扫描，分类扫描，不扫描文件夹，扫描报告，简单而实用的设置页大大的增加了网络管理的易用性。其中扫描目标的设置界面如图3-12所示。

图3-12 扫描目标配置

火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计

第四章宏锦企业的网络管理

4.1宏锦企业网络管理的问题

（1）计算机软、硬件数量无法确实掌握，盘点困难；（2）单位的计算机数量越来越多，无法集中管理；

（3）无法有效防止员工私装软件，造成非法版权使用威胁；（4）硬件设备私下挪用、窃取，造成财产损失；（5）使用者计算机IP随易变更，造成故障频传；（6）软件单机安装浪费人力，应用软件版本不易控制；（7）重要资料遭非法拷贝，资料外泄，无法监督；（8）设备故障或资源不足，无法事先得到预警；

（9）应用软件购买后，员工真正使用状况如何，无从分析；居高不下的信息化资源成本，不知如何改善。

4.2 宏锦企业网络管理实施

针对宏锦企业网络的需求，给企业安装SmartIPVIew管理软件实现宏锦企业网络对公司内部的设备以及IP网络资源管理。实施步骤安装SmartIPVIew管理软件，运行软件添加宏锦企业的IP网段如图4-1.火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计

图4-1 添加企业IP网段

单击确认，添加宏锦企业内部IP网段便于企业管理企业内部用户。对宏锦企业网络内部设备的管理如下图4-2所示。

图4-2 添加网络设备

如图4-2添加宏锦企业的网络设备，以实现企业对内部网络设备的监控和方便管理能有效的提高办公效率。

SmartIPVIew管理软件独创的IP地址资源管理技术，通过保护IP地址资源的安全使用，以及对IP地址资源的回收再利用，使有限的IP地址资源得到合理合法的使用，从而可以保证整个网络资源的有效利用和安全。

火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计

总结

随着互联网的飞速发展，网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题，其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中，它主要关心的是确保无关人员不能读取，更不能修改传送给其他接收者的信息。此时，它关心的对象是那些无权使用，但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题，以及发送者是否曾发送过该条消息的问题。

本论文从企业角度描述了网络安全的解决方案，目的在于为用户提供信息的保密，认证和完整性保护机制，使网络中的服务，数据以及系统免受侵扰和破坏。比如防火墙，认证，加密技术等都是当今常用的方法，本论文从这些方法入手深入研究各个方面的网络安全问题的解决，可以使读者有对网络安全技术的更深刻的了解。

火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计

致谢

在这几个多月的毕业设计中，我真诚的感谢老师的指导，在老师的帮助下我才顺利的完成毕业设计。

做毕业实际就需要把平时学到的东西在复习一遍，因为平时上课还有课后自己的学习，都主要在基于理论方面的，虽然也做很多实验，但当把毕业设计当作一个实际的工程来做的时候就会发现很多的问题，这就需要老师的指导了，特别是老师让我们在实训机房里面，直接就各个硬件进行操作，这样我们就不会空谈就会做的更深层次。

所以很感谢老师的帮助，让我更好的将理论和实践相结合，最后完成了此次毕业设计，同时也为以后工作做了很好的准备。

火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计

参考文献

[ 1 ] 王达.网管员必读—网络安全.北京：机械工业出版社，2009． [ 2 ] 黄传河.网络规划设计师教程.北京：机械工业出版社，2009． [ 3 ] 张千里，陈光英.网络安全新技术.北京：人民邮电出版社，2003 [ 4 ] 王卫红，李晓明.计算机网络与互联网.北京：机械工业出版社，2009． [ 5 ] 易建勋.计算机网络技术.北京：人民邮电出版社，2007.[ 6 ] 扬卫东.网络系统集成与工程设计，2007.[ 7 ] 张千里，陈光英.网络安全新技术.北京：人民邮电出版社，2003 [ 8 ] 徐超汗.计算机网络安全实用技术，电子工业出版社，2005年3月 [ 9 ] 万博公司技术部.网络系统集成行业使用方案,海洋出版社，2006年 [10 ] 高永强，郭世泽.网络安全技术与应用大典.北京：人民邮电出版社，2003

火龙果整理 uml.org.cn

第四篇：XX校园网网络安全解决方案

网络安全课程设计

一、校园网概况

二、校园网安全需求分析

三、产品选型和网络拓扑图介绍

四、操作系统安全配置与测试

五、应用服务器（WWW）安全配置

六、防病毒体系设计

七、防火墙设计、配置与测试

一、校园网概况该校园网始建于2000年8月，至今已经历了四个主要发展阶段，网络覆盖已遍及现有的教学办公区和学生宿舍区。截止目前，校园网光缆铺设约一万二千米，信息点铺设接近一万，开设上网帐号8000多个，办理学校免费邮箱2000左右。

校园网主干现为双千兆环网结构。校园网接入均为千兆光纤到大楼，百兆交换到桌面，具有良好的网络性能。

校园网现有三条宽带出口并行接入Internet，500兆中国电信、100兆中国网通和100兆中国教育科研网，通过合理的路由策略，为校园网用户提供了良好的出口带宽。

校园网资源建设成效显著，现有资源服务包括大学门户网站、新闻网站、各学院和职能部门网站、安农科技网站、邮件服务、电子校务、毕博辅助教学平台、在线电视、VOD点播、音乐欣赏、公用FTP、文档下载、软件下载、知识园地、站点导航、在线帮助、系统补丁、网络安全、个人主页、计费服务、VPN、DHCP、域名服务等。还有外语学习的平台，图书馆丰富的电子图书资源，教务处的学分制教学信息服务网、科技处的科研管理平台等。众多的资源服务构成了校园网的资源子网，为广大师生提供了良好的资源服务。

二、校园网安全需求分析

将安全策略、硬件及软件等方法结合起来，构成一个统一的防御系统，有效阻止非法用户进入网络，减少网络的安全风险。

定期进行漏洞扫描，审计跟踪，及时发现问题，解决问题。

通过入侵检测等方式实现实时安全监控，提供快速响应故障的手段，同时具备很好的安全取证措施。

使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态，最大限度地减少损失。

在工作站、服务器上安装相应的防病毒软件，由中央控制台统一控制和管理，实现全网统一防病毒。

通过对校园网网络结构、应用及安全威胁分析，可以看出其安全问题主要集中在对服务器的安全保护、防黑客和病毒、重要网段的保护以及管理安全上。因此，我们必须采取相应的安全措施杜绝安全隐患，其中应该做到：

公开服务器的安全保护

防止黑客从外部攻击

入侵检测与监控

信息审计与记录

病毒防护

数据安全保护

数据备份与恢复

网络的安全管理

针对这个企业局域网络系统的实际情况，在系统考虑如何解决上述安全问题的设计时应满足如下要求：

1.大幅度地提高系统的安全性（重点是可用性和可控性）；

2.保持网络原有的能特点，即对网络的协议和传输具有很好的透明性，能透明接入，无需更改网络设置；

3.易于操作、维护，并便于自动化管理，而不增加或少增加附加操作；

4.尽量不影响原网络拓扑结构，同时便于系统及系统功能的扩展；

5.安全保密系统具有较好的性能价格比，一次性投资，可以长期使用；

6.安全产品具有合法性，及经过国家有关管理部门的认可或认证； 7.分布实施。

三、产品选型和网络拓扑图介绍

该校园网现行核心区选用锐捷核心交换机RG-S5750S系列，24端口10/100/1000M自适应端口（支持PoE远程供电），12个复用的SFP接口，2个扩展槽。支持4K个802.1Q VLAN 支持Super VLAN、支持Protocol VLAN、支持Private VLAN、支持Voice VLAN(*)、支持基于MAC地址的VLAN(*)、支持QinQ、支持STP、RSTP、MSTP。

防火墙采用深信服M5400VPN防火墙。2个LAN口，4个WAN口，2个串口。IPSec VPN隧道数：5200 条/并发SSL用户数：800 /每秒新建用户数：80 /每秒新建会话数：500/最大并发会话数目：600,000。接入层采用H3C S1048交换机，提供48个符合IEEE802.3u标准的10/100M自适应以太网接口，所有端口均支持全线速无阻塞交换以及端口自动翻转功能，外形采用19英寸标准机架设计。符合IEEE802.3、IEEE802.3u和IEEE802.3x标准；提供48个10/100M自适应以太网端口；每个端口都支持Auto-MDI/MDIX功能；每个端口都提供Speed和Link/Act指示灯，显示端口的工作状态。

校园网拓扑图：

（四、五、）操作系统安全配置与测试，WWW配置与测试。

操作系统采用server 03，并在其上配置IIS、WWW、DHCP、DNS等。配置图例如下：

然后建立网站文件夹目录：

性能与目录安全性配置：

可以通过IP地址和域名限制，创建虚拟文件目录，更改端口号灯多种方法来提高WWW服务器的安全性。通过局域网网内不同主机对服务器的访问来测试配置情况。

六、防病毒体系设计

防病毒体系总体规划：

防病毒系统不仅是检测和清除病毒，还应加强对病毒的防护工作，在网络中不仅要部署被动防御体系（防病毒系统）还要采用主动防御机制（防火墙、安全策略、漏洞修复等），将病毒隔离在网络大门之外。通过管理控制台统一部署防病毒系统，保证不出现防病毒漏洞。因此，远程安装、集中管理、统一防病毒策略成为企业级防病毒产品的重要需求。

在跨区域的广域网内，要保证整个广域网安全无毒，首先要保证每一个局域网的安全无毒。也就是说，一个企业网的防病毒系统是建立在每个局域网的防病毒系统上的。应该根据每个局域网的防病毒要求，建立局域网防病毒控制系统，分别设置有针对性的防病毒策略。从总部到分支机构，由上到下，各个局域网的防病毒系统相结合，最终形成一个立体的、完整的病毒防护体系。

1.构建控管中心集中管理架构

保证网络中的所有客户端计算机、服务器可以从管理系统中及时得到更新，同时系统管理人员可以在任何时间、任何地点通过浏览器对整个防毒系统进行管理，使整个系统中任何一个节点都可以被系统管理人员随时管理，保证整个防毒系统有效、及时地拦截病毒。2.构建全方位、多层次的防毒体系

结合企业实际网络防毒需求，构建了多层次病毒防线，分别是网络层防毒、邮件网关防毒、Web网关防毒、群件防毒、应用服务器防毒、客户端防毒，保证斩断病毒可以传播、寄生的每一个节点，实现病毒的全面布控。3.构建高效的网关防毒子系统

网关防毒是最重要的一道防线，一方面消除外来邮件SMTP、POP3病毒的威胁，另一方面消除通过HTTP、FTP等应用的病毒风险，同时对邮件中的关键字、垃圾邮件进行阻挡，有效阻断病毒最主要传播途径。

4.构建高效的网络层防毒子系统

企业中网络病毒的防范是最重要的防范工作，通过在网络接口和重要安全区域部署网络病毒系统，在网络层全面消除外来病毒的威胁，使得网络病毒不再肆意传播，同时结合病毒所利用的传播途径，结合安全策略进行主动防御。

5.构建覆盖病毒发作生命周期的控制体系当一个恶性病毒入侵时，防毒系统不仅仅使用病毒代码来防范病毒，而是具备完善的预警机制、清除机制、修复机制来实现病毒的高效处理，特别是对利用系统漏洞、端口攻击为手段瘫痪整个网络的新型病毒具有很好的防护手段。防毒系统在病毒代码到来之前，可以通过网关可疑信息过滤、端口屏蔽、共享控制、重要文件/文件夹写保护等多种手段来对病毒进行有效控制，使得新病毒未进来的进不来、进来后又没有扩散的途径。在清除与修复阶段又可以对发现的病毒高效清除，快速恢复系统至正常状态。6.病毒防护能力

防病毒能力要强、产品稳定、操作系统兼容性好、占用系统资源少、不影响应用程序的正常运行，减少误报的几率。7.系统服务

系统服务是整体防毒系统中极为重要的一环。防病毒体系建立起来之后，能否对病毒进行有效的防范，与病毒厂商能否提供及时、全面的服务有着极为重要的关系。这一方面要求软件提供商要有全球化的防毒体系为基础，另一方面也要求厂商能有精良的本地化技术人员作依托，不管是对系统使用中出现的问题，还是用户发现的可疑文件，都能进行快速的分析和方案提供。如果有新病毒爆发及其它网络安全事件，需要防病毒厂商具有较强的应急处理能力及售后服务保障，并且做出具体、详细的应急处理机制计划表和完善的售后服务保障体系。防病毒体系的管理功能：

防病毒系统能够实现分级、分组管理，不同组及客户端执行不同病毒查杀策略，全网定时/定级查杀病毒、全网远程查杀策略设置、远程报警、移动式管理、集中式授权管理、全面监控主流邮件服务器、全面监控邮件客户端、统一的管理界面，直接监视和操纵服务器端/客户端，根据实际需要，添加自定义任务（例如更新和扫描任务等），支持大型网络统一管理的多级中心系统等多种复杂的管理功能。8.资源占用率防病毒系统进行实时监控或多或少地要占用部分系统资源，这就不可避免地要带来系统性能的降低。尤其是对邮件、网页和FTP文件的监控扫描，由于工作量相当大，因此对系统资源的占用较大。因此，防病毒系统占用系统资源要较低，不影响系统的正常运行。8.系统兼容性

防病毒系统要具备良好的兼容性，将支持以下操作系统：Windows NT、Windows2000、Windows 9X/Me、Windows XP/Vista、Windows 2000/2003 /2008 Server、Unix、Linux等X86和X64架构的操作系统。

9.病毒库组件升级

防病毒系统提供多种升级方式以及自动分发的功能，支持多种网络连接方式，具有升级方便、更新及时等特点，管理员可以十分轻松地按照预先设定的升级方式实现全网内的统一升级，减少病毒库增量升级对网络资源的占用，并且采用均衡流量的策略，尽快将新版本部署到全部计算机上，时刻保证病毒库都是最新的，且版本一致，杜绝因版本不一致而可能造成的安全漏洞和安全隐患。10.软件商的企业实力

软件商的实力一方面指它对现有产品的技术支持和服务能力，另一方面是指它的后续发展能力。因为企业级防毒软件实际是用户企业与防病毒厂商的长期合作，企业实力将会影响这种合作的持续性，从而影响到用户企业在此方面的投入成本。

七、防火墙设计、配置

对于深信服M5400可以做以下方面的配置：

1、用户与策略管理配置：

WEB、HTTP URL过滤：

邮件过滤：

网页内容审计：

认证方式：

第五篇：大型企业网络安全解决方案毕业论文

XXXXXXXXXXXXXXX 毕业论文

企业网络安全解决方案

姓名：

学号：

指导老师：

系名：

专业：

班级：

XXXXXXXXXX计算机专业毕业设计

摘

要

随着社会的飞速发展，网络技术的也在飞速的发展之中，现如今网络已经无所不在的影响着社会的政治、经济、文化、军事、意识形态和社会生活等各个方面。同时在全球范围内，针对重要信息资源和网络基础设施的入侵行为和企图入侵行为的数量仍然不断增加，网络攻击与入侵行为对国家安全、经济和社会生活造成了极大的威胁。计算机病毒的不断的通过网络产生和传播，计算机网络被不断地非法入侵，重要情报、资料被窃取，甚至造成网络系统的瘫痪等等，诸如此类的事件已经给政府以及企业造成了巨大的损失，甚至危害到国家的安全。网络安全已经成为世界各国当今共同关注的焦点，网络安全的重要性是不言而喻的。

本文是构思了一个虚拟的企业网络的设计，重点研究了公司不同分部之间通过VPN技术来实现在广域网中的加密连接。以及详细的设计了总公司的网络安全策略，保证了内部服务器等的信息安全，按照需求对企业网络安全进行了系统的规划，对计算机网络安全进行了全面的分析。在满足了各个子网连通的前提下，提出了包括AAA认证、SSH登陆、Easy VPN、访问控制限制、NAT技术、入侵检测部署、病毒防护、扫描系统管理措施和安全技术在内的整套方案。目的是建设一个完整的、安全的网络体系，是网络安全系统真正获得较好的效果。关键词：网络，安全，VPN，防火墙，防病毒

XXXXXXXXXX计算机专业毕业设计

Abstract

With the rapid development of society and also the rapid development of network technology, is now the network has been the ubiquitous influence of society in all aspects of political, economic, cultural, military, ideological and social life.Worldwide for the intrusion and the number of attempted intrusions of the important information resources and network infrastructure is still growing, network attacks and intrusions caused a grave threat to national security, economic and social life.Computer virus continues through the network and dissemination, computer networks are the illegal invasion, important information, data theft, and even cause paralysis of the network system, such events have caused huge losses to the government and enterprises, and even harm to national security.Network security has become the focus of attention today in the world, the importance of network security is self-evident.This article is the idea of a virtual enterprise network design, focusing on the encrypted connection between the different segments of the company through VPN technology to achieve WAN.And detailed design of the network security policy of the Corporation to ensure the internal server, such as information security, in accordance with the needs of enterprise network security planning of the system, conducted a comprehensive analysis of computer network security.Satisfy the premise that each subnet connectivity, including the AAA authentication, SSH login to the Easy VPN, access control restrictions, the NAT technology, intrusion detection deployment, virus protection, scanning system management measures and security technologies, including the package.The purpose is to build a complete, secure network architecture, network security systems really get better results.Keywords: network, security, VPN, firewall, anti-virus

XXXXXXXXXX计算机专业毕业设计

摘

要............................................................................................................................................................I 第一章绪

论...............................................................................................................................................1 1.1 网络的起源......................................................................................................................................1 1.2网络安全的重要性...........................................................................................................................1 第二章企业网络安全概述...........................................................................................................................3 2.1 企业网络的主要安全隐患............................................................................................................3 2.2 企业网络的安全误区....................................................................................................................3 第三章

企业网络总体设计方案.................................................................................................................5 3.1 公司背景..........................................................................................................................................5 3.2 企业网络安全需求..........................................................................................................................5 3.3 需求分析..........................................................................................................................................5 3.4 企业网络结构..................................................................................................................................6 3.5 企业IP地址的划分........................................................................................................................9 第四章企业网络安全技术介绍...................................................................................................................9 4.1 Easy VPN..........................................................................................................................................9 4.1.1 什么是VPN..........................................................................................................................9 4.1.2 VPN 的分类........................................................................................................................10 4.1.3 Easy VPN.............................................................................................................................10 4.2 SSH.................................................................................................................................................11 4.2.1 SSH介绍..............................................................................................................................11 4.2.2 SSH与Telnet的区别..........................................................................................................11 4.3 AAA服务器...................................................................................................................................12 4.3.1 AAA介绍............................................................................................................................12 4.3.2 认证(Authentication)...........................................................................................................12 4.3.3 授权(Authorization)............................................................................................................12 4.3.4 审计(Accounting)................................................................................................................13 4.4 IDS 入侵检测系统.....................................................................................................................13 4.5 firewall 防火墙...........................................................................................................................13 4.5.1 什么是防火墙.....................................................................................................................13 4.5.2 防火墙类型.........................................................................................................................14 第五章企业网络设备实施方案.................................................................................................................14 5.1 企业物理安全规划......................................................................................................................14 5.2 设备选型........................................................................................................................................15 5.3 设备配置........................................................................................................................................16 5.3.1 交换机.................................................................................................................................16 5.3.2 路由器与防火墙.................................................................................................................25 5.3.3 服务器.................................................................................................................................28 第六章项目测试.........................................................................................................................................30 6.1 DHCP验证.....................................................................................................................................32 6.2 网络连通性....................................................................................................................................35 6.3 网络安全性....................................................................................................................................37 6.3.1 SSH与console的权限.......................................................................................................37 6.3.2 网络连通安全性.................................................................................................................40 6.4 分公司与总公司安全性................................................................................................................42 总

结...........................................................................................................................................................45 致

谢...........................................................................................................................................................46 参考文献.......................................................................................................................................................47

III

XXXXXXXXXX计算机专业毕业设计

第一章绪

论

1.1 网络的起源

与很多人的想象相反，Internet并非某一完美计划的结果，Internet的创始人也绝不会想到它能发展成目前的规模和影响。在Internet面世之初，没有人能想到它会进入千家万户，也没有人能想到它的商业用途。

1969年12月，Internet的前身--美国的ARPA网（为了能在爆发核战争时保障通信联络，美国国防部高级研究计划署ARPA资助建立了世界上第一个分组交换试验网ARPANET）投入运行，它标志着我们常称的计算机网络的兴起。这个计算机互联的网络系统是一种分组交换网。分组交换技术使计算机网络的概念、结构和网络设计方面都发生了根本性的变化，它为后来的计算机网络打下了基础。

八十年代初，随着PC个人微机应用的推广，PC联网的需求也随之增大，各种基于PC互联的微机局域网纷纷出台。这个时期微机局域网系统的典型结构是在共享介质通信网平台上的共享文件服务器结构，即为所有联网PC设置一台专用的可共享的网络文件服务器。PC是一台“麻雀虽小，五脏俱全”的小计算机，每个PC机用户的主要任务仍在自己的PC机上运行，仅在需要访问共享磁盘文件时才通过网络访问文件服务器，体现了计算机网络中各计算机之间的协同工作。由于使用了较PSTN速率高得多的同轴电缆（费用少，传输距离100米）、光纤等高速传输介质，使PC网上访问共享资源的速率和效率大大提高。这种基于文件服务器的微机网络对网内计算机进行了分工：PC机面向用户，微机服务器专用于提供共享文件资源。所以它实际上就是一种客户机/服务器模式。

进入九十年代，计算机技术、通信技术以及建立在计算机和网络技术基础上的计算机网络技术得到了迅猛的发展。特别是1993年美国宣布建立国家信息基础设施NII后，全世界许多国家纷纷制定和建立本国的NII，从而极大地推动了计算机网络技术的发展，使计算机网络进入了一个崭新的阶段。目前，全球以美国为核心的高速计算机互联网络即Internet已经形成，Internet已经成为人类最重要的、最大的知识宝库。而美国政府又分别于1996年和1997年开始研究发展更加快速可靠的互联网2（Internet 2）和下一代互联网（Next Generation Internet）。可以说，网络互联和高速计算机网络正成为最新一代的计算机网络的发展方向。

1.2网络安全的重要性

随着信息化技术的飞速发展，许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力，使企业在残酷的竞争环境中脱颖而出。经营管理对

XXXXXXXXXX计算机专业毕业设计

计算机应用系统的依赖性增强，计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大，网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。信息安全防范应做整体的考虑，全面覆盖信息系统的各层次，针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程，事前、事中和事后的技术手段应当完备，安全管理应贯穿安全防范活动的始终。

XXXXXXXXXX计算机专业毕业设计

第二章企业网络安全概述

2.1 企业网络的主要安全隐患

现在网络安全系统所要防范的不再仅是病毒感染，更多的是基于网络的非法入侵、攻击和访问，由于企业在各地可能有不同公司，但是公司之间信息通过广域网相连，所以信息很容易被黑客等截下。现如今企业网络安全威胁的主要来源主要包括。

1)病毒、木马和恶意软件的入侵。2)网络黑客的攻击。

3)重要文件或邮件的非法窃取、访问与操作。4)关键部门的非法访问和敏感信息外泄。5)外网的非法入侵。

6)备份数据和存储媒体的损坏、丢失。

针对这些安全隐患，所采取的安全策略可以通过安装专业的网络版病毒防护系统，同时也要加强内部网络的安全管理，配置好防火墙过滤策略和系统本身的各项安全措施，及时安装系统安全补丁，本部与分部之间运行VPN等防护通信信息的安全性，加强内部网络的安全管理，严格实行“最小权限”原则，为各个用户配置好恰当的用户权限；同时对一些敏感数据进行加密保护，如财政部等要设立访问权限；根据企业实际需要配置好相应的数据策略，并按策略认真执行。

2.2 企业网络的安全误区

(一)安装防火墙就安全了

防火墙的原理是“防外不防内”，对内部网络的访问不进行任何阻挠，而事实上，企业网络安全事件绝大部分还是源于企业内部。

(二)安装了最新的杀毒软件就不怕病毒了

(三)在每台计算机上安装单机版杀毒软件和网络版杀毒软件等效

XXXXXXXXXX计算机专业毕业设计

(四)只要不上网就不会中毒

(五)文件设置只读就可以避免感染病毒

(六)网络安全主要来自外部

XXXXXXXXXX计算机专业毕业设计

第三章

企业网络总体设计方案

3.1 公司背景

公司北京总部有一栋大楼，员工人数大约800人，在全国设有4个分公司（上海、广州、重庆和西安）。总部与分公司利用当地的ISP连接。通过网络安全方案设计，加固企业网络，避免因为安全问题导致的业务停滞；同时保证总部与分公司之间高安全、低成本的要求。公司对网络的依赖性很强，主要业务都要涉及互联网以及内部网络。面对对频繁出现的黑客入侵和网络故障，直接危害网络的运行和业务的正常开展。因此构建健全的网络安全体系是当前的重中之重。

3.2 企业网络安全需求

公司根据网络需求，建设一个企业网络，北京总部存储主要机密信息在服务器中，有AAA服务器、内部DNS服务器、FTP服务器、HTTP服务器。企业分经理办公室、财政部、市场部、软件部、系统集成部以及外来接待厅，需要各部门隔开，同时除了经理办公室外其余不能访问财政部，而接待厅不能访问公司内部网络，只能连通外网。同时由于考虑到Inteneter的安全性，以及网络安全等一些因素，如VPN、NAT等。因此本企业的网络安全构架要求如下：

（1）根据公司需求组建网络（2）保证网络的连通性（3）保护网络信息的安全性

（4）防范网络资源的非法访问及非授权访问（5）防范入侵者的恶意攻击与破坏

（6）保护企业本部与分部之间通信信息的完整与安全性（7）防范病毒的侵害（8）实现网络的安全管理。

3.3 需求分析

通过对公司的实际需求来规划网络设计，为公司的网络安全建设实施网络系统改造，提高企业网络系统运行的稳定性，保证企业各种设计信息的安全性，避免图纸、文档的丢失和外泄。通过软件或安全手段对客户端的计算机加以保护，记录用户对客户端计算机中关键目录和文件的操作，使企业有手段对用户在客户端计算机的使用情况进行追踪，防范外来计算机的侵入而造成破坏。通过

XXXXXXXXXX计算机专业毕业设计

网络的改造，使管理者更加便于对网络中的服务器、客户端、登陆用户的权限以及应用软件的安装进行全面的监控和管理。因此需要

（1）构建良好的环境确保企业物理设备的安全（2）IP地址域的划分与管理（3）划分VLAN控制内网安全（4）安装防火墙体系

（5）建立VPN(虚拟专用网络)确保数据安全（6）安装防病毒服务器（7）加强企业对网络资源的管理（8）做好访问控制权限配置（9）做好对网络设备访问的权限

3.4 企业网络结构

北京总公司网络拓扑图，如图2-1所示:

XXXXXXXXXX计算机专业毕业设计

服务器群IDS入侵检测经理办公室汇聚交换机核心交换机接入交换机财务部汇聚交换机汇聚交换机防火墙接入交换机接入交换机接入交换机软件部市场部系统集成部接待部

图2-1 北京总部网络结构

分公司网络拓扑,如图2.2所示：

XXXXXXXXXX计算机专业毕业设计

上海分公司广州分公司重庆分公司西安分公司Internet广域网Web服务器

图2-2 公司分部网络结构

图2.1与2.2通过防火墙相连，防火墙上做NAT转换，Easy VPN等。核心交换机配置基于VLAN的DHCP，网络设备仅仅只能由网络管理员进行远程控制，就算是Console控制也需要特定的密码，外部分公司通过VPN连接能够访问北京总公司内部网络，北京总公司内网中，接待厅网络设备仅仅能访问外部网络，无法访问公司内网。

XXXXXXXXXX计算机专业毕业设计

3.5 企业IP地址的划分

由于是现实中，公网IP地址需要向ISP运行商申请，而本解决方案是虚拟题，故公网IP为虚拟的，由于现如今IPv4地址及其短缺，而IPv6技术还不是很成熟，所以公司内部使用私有地址网段，本着节省地址的原则，北京公司内部一共有800左右终端，所以由192.168.0.0/22网络段划分。由于本课题重点为总公司内部网络安全，以及总公司与分公司之间连通性的网络安全，所以分公司内部没有详细化，所以分公司地址一律192.168.1.1/24网段，ip地址分配为一下：

总公司总网段：192.168.0.0/22

名称 VLAN ID IPv4地址段网关地址

经理办公室 10 192.168.3.192/26 192.168.3.193 财政部 20 192.168.3.128/26 192.168.3.129 软件部 30 192.168.0.0/24 192.168.0.1 市场部 40 192.168.1.0/24 192.168.1.1 系统集成中心 50 192.168.2.0/24 192.168.2.1 参观中心 60 192.168.3.0/25 192.168.3.1 网管中心 99 192.168.3.240/30 192.168.3.241 服务器集群 100 192.168.3.224/28 192.168.3.225 核心与路由器无 192.168.3.244/30 路由器与防火墙无 192.168.3.248/29 其他分公司 1 192.168.1.0/24 192.168.1.1

第四章企业网络安全技术介绍

4.1 Easy VPN 4.1.1 什么是VPN 虚拟专用网络（Virtual Private Network，简称VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，如Internet、ATM(异步传

XXXXXXXXXX计算机专业毕业设计

输模式〉、Frame Relay（帧中继）等之上的逻辑网络，用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。

4.1.2 VPN 的分类

根据不同的划分标准，VPN可以按几个标准进行分类划分

1.按VPN的协议分类 VPN的隧道协议主要有三种，PPTP，L2TP和IPSec，其中PPTP和L2TP协议工作在OSI模型的第二层，又称为二层隧道协议；IPSec是第三层隧道协议，也是最常见的协议。L2TP和IPSec配合使用是目前性能最好，应用最广泛的一种。

2.按VPN的应用分类

1)Access VPN（远程接入VPN）：客户端到网关，使用公网作为骨干网在设备之间传输VPN的数据流量。从PSTN、ISDN或PLMN接入。

2)Intranet VPN（内联网VPN）：网关到网关，通过公司的网络架构连接来自同公司的资源。

3)Extranet VPN（外联网VPN）：与合作伙伴企业网构成Extranet,将一个公司与另一个公司的资源进行连接

3.按所用的设备类型进行分类

网络设备提供商针对不同客户的需求，开发出不同的VPN网络设备，主要为交换机，路由器，和防火墙

1）路由器式VPN：路由器式VPN部署较容易，只要在路由器上添加VPN服务即可只支持简单的PPTP或IPSEC。

2）交换机式VPN：主要应用于连接用户较少的VPN网络

3）防火墙式VPN：防火墙式VPN是最常见的一种VPN的实现方式，许多厂商都提供这种配置类型

4.1.3 Easy VPN easy VPN又名EzVPN，是Cisco专用VPN技术。它分为EASY VPN SERVER和EASY VPN REMOTE两种，EASY VPN SERVER 是REMOT--ACCESS VPN专业设备。配置复杂，支持POLICY PUSHING等特性，此技术基于IPsec协议为基础，扩展的的cisco私有协议，支持远程登录，并且根据自己的AAA的服务器去认证其可靠性，如认证通过，会为访问者分配自己内部IP地址，保证其访问内部信息。在Easy VPN连接成功后，对于ISP运行商来说总公司与分公司数据的传输是透明的，就像拉了一根专线一样，通过抓包等方式捕获数据包会发现全为ESP数据，无法从数据包中获得任何信息，由于其加密方式为HASH速算，根据其雪崩效应想通过加密包算出真是数据的可能性几乎为0，所以数据的传输上的安全性被大大地保证了。

XXXXXXXXXX计算机专业毕业设计

4.2 SSH 4.2.1 SSH介绍

SSH 为 Secure Shell 的缩写，由 IETF 的网络工作小组（Network Working Group）所制定；SSH 为建立在应用层和传输层基础上的安全协议。

SSH 主要有三部分组成：

1）传输层协议 [SSH-TRANS]

提供了服务器认证，保密性及完整性。此外它有时还提供压缩功能。SSH-TRANS 通常运行在 TCP/IP连接上，也可能用于其它可靠数据流上。SSH-TRANS 提供了强力的加密技术、密码主机认证及完整性保护。该协议中的认证基于主机，并且该协议不执行用户认证。更高层的用户认证协议可以设计为在此协议之上。

2）用户认证协议 [SSH-USERAUTH]

用于向服务器提供客户端用户鉴别功能。它运行在传输层协议 SSH-TRANS 上面。当SSH-USERAUTH 开始后，它从低层协议那里接收会话标识符（从第一次密钥交换中的交换哈希H）。会话标识符唯一标识此会话并且适用于标记以证明私钥的所有权。SSH-USERAUTH 也需要知道低层协议是否提供保密性保护。

3）连接协议 [SSH-CONNECT]

4.2.2 SSH与Telnet的区别

传统的网络服务程序，如：ftp、pop和telnet在本质上都是不安全的，因为它们在网络上用明文传送口令和数据，别有用心的人非常容易就可以截获这些口令和数据。而且，这些服务程序的安全验证方式也是有其弱点的，就是很容易受到“中间人”（man-in-the-middle）这种方式的攻击。所谓“中间人”的攻击方式，就是“中间人”冒充真正的服务器接收你传给服务器的数据，然后再冒充你把数据传给真正的服务器。服务器和你之间的数据传送被“中间人”一转手做了手脚之后，就会出现很严重的问题。

SSH是替代Telnet和其他远程控制台管理应用程序的行业标准。SSH命令是加密的并以几种方式进行保密。

在使用SSH的时候，一个数字证书将认证客户端(你的工作站)和服务器(你的网络设备)之间的连接，并加密受保护的口令。SSH1使用RSA加密密钥，SSH2使用数字签名算法(DSA)密钥保护连接和认证。加密算法包括Blowfish，数据加密标准(DES)，以及三重DES(3DES)。SSH保护并且有助于防止欺骗，“中间人”攻击，以及数据包监听。

通过使用SSH，你可以把所有传输的数据进行加密，这样“中间人”这种攻击方式就不可能实现了，而且也能够防止DNS欺骗和IP欺骗。使用SSH，还有一个额外的好处就是传输的数据是经过压缩的，所以可以加快传输的速度。SSH有很多功能，它既可以代替Telnet，又可以为FTP、PoP、甚至为PPP提供一个安全的“通道”。

XXXXXXXXXX计算机专业毕业设计

4.3 AAA服务器

4.3.1 AAA介绍

AAA是认证、授权和记账（Authentication、Authorization、Accounting）三个英文单词的简称。其主要目的是管理哪些用户可以访问网络服务器，具有访问权的用户可以得到哪些服务，如何对正在使用网络资源的用户进行记账。具体为：

1、认证(Authentication): 验证用户是否可以获得访问权限；

2、授权(Authorization): 授权用户可以使用哪些服务；

3、审计(Accounting): 记录用户使用网络资源的情况。

4.3.2 认证(Authentication)认证负责在用户访问网络或网络服务器以前，对用户进行认证。

如需配置AAA认证，管理员可以创建一个命名的认证列表，然后把这个列表应用到各种接口上。这个方法列表可以定义所要执行的认证类型和他们的顺序。管理员需要基于每个接口来应用这些方法。然而，当管理员没有定义其他认证方法是，cisco路由器和交换机上的所有接口都关联了一个默认的方法列表，名为Default。但管理员定义的方法列表会覆盖默认方法列表。

除了本地认证、线路密码的Enable认证以外，其他所有的认证方法都需要使用AAA。

4.3.3 授权(Authorization)授权为远程访问控制提供了方法。这里所说的远程访问控制包括一次性授权，或者基于每个用户账号列表或用户组为每个服务进行授权。

交换机或路由器上的AAA授权是通过连接一个通用的集中式数据库，并访问其中的一系列属性来工作的，这些说性描述了网络用户的授权服务，比如访问网络中的不同部分。交换机或路由器会向服务器询问用户真实的能力和限制，集中式服务器向其返回授权结果，告知用户所能够使用的服务。这个数据库通常是位于中心位置的服务器，比如RADIUS或者TACACS+安全服务器。但管理员也可以使用本地数据库。远程安全服务器（比如RADIUS和TACACS+）通过把用户与相应的AVP（属性值对）相关联，来收与用户具体的权限。RADIUS和TACACS+把这些AVP配置应用给用户或者用户组。每个AVP由一个类型识别符和一个或多个分配给它的值组成。AVP在用户配置文件（User Profile）和组配置文件（Group Profile）中指定的AVP，为相应的用户和组定义了认证和授权特性。

XXXXXXXXXX计算机专业毕业设计

4.3.4 审计(Accounting)审计为收集和发送安全服务器信息提供了方法，这些信息可以用于计费（billing）、查账（auditing）和报告（reporting）。这类信息包括用户身份、网络访问开始和结束的时间、执行过的命令（比如PPP）、数据包的数量和字节数量。这些信息是交换机和路由器能够检测登录的用户，从而对于查账和增强安全性有很大帮助。

在很多环境中，AAA都会使用多种协议来管理其安全功能，比如RADIUS、TACACS+或者802.1x。如果网络中的交换机充当网络接入服务器角色，那么AAA就是网络访问服务器与RADIUS、TACACS+或者802.1x安全服务器之间建立连接的方法。

AAA是动态配置的，它允许管理员基于每条线路（每个用户）或者每个服务（比如IP、IPX或VPDN[虚拟私有拨号网络]）来配置认证和授权。管理员先要创建方法列表，然后把这些方法列表应用到指定的服务或接口上，以针对每条线路或每个用户进行运作。

4.4 IDS 入侵检测系统

由于Cisco packet Tracer 5.3无法模拟IDS设备，又由于IDS在实际企业网络中作用很大，所以在拓扑图中将其设计进去，在这里做一些基本介绍。

IDS是英文“Intrusion Detection Systems”的缩写，中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略，通过软、硬件，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。做一个形象的比喻：假如防火墙是一幢大楼的门锁，那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。

入侵检测可分为实时入侵检测和事后入侵检测两种。

实时入侵检测在网络连接过程中进行，系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断，一旦发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复。这个检测过程是不断循环进行的。

事后入侵检测则是由具有网络安全专业知识的网络管理人员来进行的，是管理员定期或不定期进行的，不具有实时性，因此防御入侵的能力不如实时入侵检测系统。

4.5 firewall 防火墙

4.5.1 什么是防火墙

所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。

在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际

XXXXXXXXXX计算机专业毕业设计

上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。

4.5.2 防火墙类型

主要有2中，网络防火墙和应用防火墙。

1）网络层防火墙

网络层防火墙可视为一种 IP 封包过滤器，运作在底层的 TCP/IP 协议堆栈上。我们可以以枚举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙（病毒除外，防火墙不能防止病毒侵入）。这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用内置的规则。

我们也能以另一种较宽松的角度来制定防火墙规则，只要封包不符合任何一项“否定规则”就予以放行。现在的操作系统及网络设备大多已内置防火墙功能。

较新的防火墙能利用封包的多样属性来进行过滤，例如：来源 IP 地址、来源端口号、目的 IP 地址或端口号、服务类型(如 www.xiexiebang.com hostname SWc!enable password cisco！ip dhcp excluded-address 192.168.0.1 DHCPip dhcp excluded-address 192.168.3.129 ip dhcp excluded-address 192.168.3.1 ip dhcp excluded-address 192.168.1.1 ip dhcp excluded-address 192.168.2.1 ip dhcp excluded-address 192.168.3.193!ip dhcp pool vlan30 network 192.168.0.0 255.255.255.0 default-router 192.168.0.1 dns-server 192.168.3.227 DNSip dhcp pool vlan40 network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 dns-server 192.168.3.227 ip dhcp pool vlan50 network 192.168.2.0 255.255.255.0 default-router 192.168.2.1 dns-server 192.168.3.227 ip dhcp pool vlan10

设置交换机域名，与SSH验证有关用户登入特权模式密码在分配时排除该IP地址这些地址为网段的网关地址开启一个DHCP地址池分配的网络段默认网关IP地址地址 21

XXXXXXXXXX计算机专业毕业设计

network 192.168.3.192 255.255.255.224 default-router 192.168.3.193 dns-server 192.168.3.227 ip dhcp pool vlan60 network 192.168.3.0 255.255.255.128 default-router 192.168.3.1 dns-server 192.168.3.227 ip dhcp pool vlan20 network 192.168.3.128 255.255.255.192 default-router 192.168.3.129 dns-server 192.168.3.227 ip routing 开启路由功能，这条很重，不然无法启动路由协议等！username beijiangong password 0 cisco 设置远程登录时用户名与密码！interface FastEthernet0/1 switchport access vlan 100 switchport mode access!interface FastEthernet0/2 switchport trunk encapsulation dot1q 配置trunk的封装格式 switchport mode trunk!interface FastEthernet0/3 switchport trunk encapsulation dot1q switchport mode trunk!interface FastEthernet0/4 switchport trunk encapsulation dot1q switchport mode trunk!interface FastEthernet0/5 no switchport 启动3层接口

XXXXXXXXXX计算机专业毕业设计

ip address 192.168.3.245 255.255.255.252 duplex auto 自动协商双工 speed auto 自动协商速率!interface FastEthernet0/6 switchport access vlan 99！interface Vlan1 no ip address shutdown!interface Vlan10 ip address 192.168.3.193 255.255.255.224!interface Vlan20 ip address 192.168.3.129 255.255.255.192 ip access-group 20 out 在此接口的出方向启动acl 20!interface Vlan30 ip address 192.168.0.1 255.255.255.0!interface Vlan40 ip address 192.168.1.1 255.255.255.0!interface Vlan50 ip address 192.168.2.1 255.255.255.0!interface Vlan60 ip address 192.168.3.1 255.255.255.128 ip access-group 101 out 在此接口的出方向启动acl 101!interface Vlan99

XXXXXXXXXX计算机专业毕业设计

ip address 192.168.3.241 255.255.255.252!interface Vlan100 ip address 192.168.3.230 255.255.255.240!router ospf 10 启动OSPF 进程号为10 router-id 1.1.1.1 为本设备配置ID标示符 log-adjacency-changes 开启系统日志关于ospf变化 network 192.168.3.245 0.0.0.0 area 0 宣告网络，与其区域 network 192.168.3.193 0.0.0.0 area 1 network 192.168.3.129 0.0.0.0 area 1 network 192.168.0.1 0.0.0.0 area 2 network 192.168.1.1 0.0.0.0 area 2 network 192.168.2.1 0.0.0.0 area 3 network 192.168.3.1 0.0.0.0 area 3 network 192.168.3.230 0.0.0.0 area 4 network 192.168.3.241 0.0.0.0 area 5!ip classless！access-list 10 permit host 192.168.3.242 acl 10 允许该主机地址 access-list 20 deny 192.168.0.0 0.0.0.255 acl 20 拒绝该网段 access-list 20 deny 192.168.1.0 0.0.0.255 access-list 20 deny 192.168.2.0 0.0.0.255 access-list 20 deny 192.168.3.0 0.0.0.255 access-list 101 deny ip 192.168.3.0 0.0.0.127 192.168.0.0 0.0.3.255（扩展acl 101 拒绝该网段的ip协议去访问192.168.0.0/22网段）access-list 101 permit ip any any 允许所有ip协议的任何源目访问!crypto key generate rsa 设置SSH的加密算法为rsa（隐藏命令，在show run中看不到！!

XXXXXXXXXX计算机专业毕业设计

line con 0 password cisco 设置console密码

line vty 0 4 进入vty接口默认登入人数为5 access-class 10 in 在该接口入方向启动acl 10 password cisco 密码为cisco login local 登入方式为本地认证 transport input ssh 更改登录方式为SSH！end 5.3.2 路由器与防火墙

R1： hostname r1!enable password cisco！username beijiangong password 0 cisco!interface FastEthernet0/0 ip address 192.168.3.246 255.255.255.252 duplex auto speed auto!interface FastEthernet0/1 ip address 192.168.3.249 255.255.255.248 duplex auto speed auto!router ospf 10 router-id 2.2.2.2 log-adjacency-changes network 192.168.3.246 0.0.0.0 area 0

XXXXXXXXXX计算机专业毕业设计

network 192.168.3.249 0.0.0.0 area 6!ip classless！access-list 10 permit host 192.168.3.242!no cdp run!line con 0 password cisco line vty 0 4 access-class 10 in password cisco login local！!end Firewall: hostname ASA!enable password cisco!aaa new-model 开启AAA功能!aaa authentication login eza group radius 启动认证登录组名为eza分类为radius!

aaa authorization network ezo group radius启动授权组名为eza分类为radius!username beijiangong password 0 cisco!crypto isakmp policy 10 设置加密密钥策略 encr 3des 启动3重加密算法 hash md5 启动MD5认证 authentication pre-share 认证方式为共享 group 2 优先级组别为2!crypto isakmp client configuration group myez 设置密钥客户端等级组 key 123 为等级组设置密码

pool ez 为客户分配内部IP地址池!

XXXXXXXXXX计算机专业毕业设计

crypto ipsec transform-set tim esp-3des esp-md5-hmac 传输隧道封装类型!crypto dynamic-map ezmap 10 进入隧道封装策略模式

set transform-set tim 调用上面设置的封装组tim reverse-route 开启vpn的反向路由!crypto map tom client authentication list eza 加密组tom的客户认证调用上面的eza组

crypto map tom isakmp authorization list ezo 加密组tom的密钥授权管理方式调用上面的eza组

crypto map tom client configuration address respond 加密组tom为客户分配IP地址

crypto map tom 10 ipsec-isakmp dynamic ezmap 加密组tom调用隧道加密格式名称为ezmap!interface FastEthernet0/0 ip address 192.168.3.250 255.255.255.248 ip nat inside duplex auto speed auto!interface FastEthernet0/1 no ip address duplex auto speed auto shutdown!interface Serial0/2/0 ip address 100.1.1.1 255.255.255.0 ip nat outside crypto map tom!interface Serial0/3/0 no ip address shutdown!interface Vlan1 no ip address shutdown!router ospf 10 router-id 3.3.3.3 log-adjacency-changes network 192.168.3.250 0.0.0.0 area 6 default-information originate 向其他ospf邻居宣告默认路由!ip local pool ez 192.168.3.251 192.168.3.254 配置VPN登入进来后分配的IP地址池

ip nat inside source list 1 interface Serial0/2/0 overload 设置动态NAT将acl 1的地址转化为s0/2/0并多路复用 ip classless ip route 0.0.0.0 0.0.0.0 Serial0/2/0 默认路由都走s0/2/0

XXXXXXXXXX计算机专业毕业设计

！access-list 1 permit 192.168.0.0 0.0.3.255 access-list 10 permit host 192.168.3.242!no cdp run 关闭邻居发现协议！radius-server host 192.168.3.225 auth-port 1645 key 123 指定AAA服务器地址与Easy VPN 端口号以及对应密钥!line con 0 password cisco login line vty 0 4 access-class 10 in password cisco login local!End

5.3.3 服务器

AAA服务器配置：

XXXXXXXXXX计算机专业毕业设计

HTTP服务器：

DNS服务器：

XXXXXXXXXX计算机专业毕业设计

第六章项目测试

Packet Tracer 模拟器实验拓扑图

所有设备的用户名为：beijiangong 密码：cisco

VPN 登录配置：组名：beijiangong Key:123 服务器IP：100.1.1.1 用户名：123 密码：123

XXXXXXXXXX计算机专业毕业设计

北京总公司图A

分公司以及ISP网络图B

XXXXXXXXXX计算机专业毕业设计

6.1 DHCP验证

北京总公司内网所有设备都是通过DHCP获取的IP地址，但是不同VLAN所获得的IP地址段是不同的，验证其在不同VLAN下是否获得正确的IP地址、网关、掩码和DNS。

1）经理办公室 VLAN 10 配置方法，首先在Packet Tracer下，点击相应的PC，如图6-1-1

图6-1-1 点击左上角第一栏，ip Configuration 进入IP地址配置画面如图6-1-2

XXXXXXXXXX计算机专业毕业设计

IP地址配置画面图6-1-2

点击DHCP，获取IP地址，等待1-2S后查看结果如图6-1-3

图6-1-3 根据提示可以看出获得了正确的IP地址。

2）财政部 VLAN 20 如图6-1-4

图6-1-4

XXXXXXXXXX计算机专业毕业设计

3）软件部 VLAN 30 如图6-1-5

图6-1-5 4）市场部 VLAN 40 如图 6-1-6

图6-1-6 5）系统集成部 VLAN 50 如图6-1-7

图6-1-7

XXXXXXXXXX计算机专业毕业设计

6)参观中心 VLAN 60 如图 6-1-8

图6-1-8

6.2 网络连通性

建立好网络后，最重要的一点就是网络连通性，根据公司需求，内部计算机获得自己IP地址，自己的DNS服务器与网关，那应该可以去访问外网服务器，以达到访问公网的目的。

1）随便开启一台PC机，如经理办公室PC 图6-2-1

图6-2-1 点击Command prompt 进入其电脑的CMD命令格式

图6-2-2

XXXXXXXXXX计算机专业毕业设计

图6-2-2

输入ping 命令，在虚拟网络中，如图Ａ运行商IP地址为100.1.1.2 所以先ping运行商网关。在命令行中输入ping 100.1.1.2，可能第一个包会因为ARP的关系而丢失，但是后续会很稳定。如图6-2-3

图6-2-3

2）检查网络内部DNS的正确性

XXXXXXXXXX计算机专业毕业设计

打开PC机浏览器，如下图所示6-2-4

图6-2-4 如图B所示，在公网中，有一个百度的服务器，域名为www.xiexiebang.com 通过浏览器访问百度看是否成功。如图6-2-5

图6-2-5 如图所示，访问成功，表示公司内部网络连通性已经保证畅通。

6.3 网络安全性

在保证了连通性的基础上，验证其安全性

6.3.1 SSH 与console的权限

在设备安装完毕后，公司内部不可能派专门的保安去看护，所以网络设备的安全就需要有所保证，不能让人们轻易的进入其配置模式，轻易的去更改配置，所以要设置用户名密码。如图6-3-1所示，一台PC需要console核心交换机

XXXXXXXXXX计算机专业毕业设计

图6-3-1 如图6-2-7所示，需要点击下图所示单元进入console连接模式

图6-3-2 选好会话数，速率等基本参数后点击OK连接设备的控制台如图6-3-3

图6-3-3

发现需要输入用户名密码，否侧无法进入控制界面，输入用户名密码后进入用户模式，进入特权模式需要输入特权密码，输入正确用户名密码后才能进入。如图6-3-4

XXXXXXXXXX计算机专业毕业设计

图6-3-4

当然console的限制很大，有监控设备，与机柜锁，能够最大限度的保证其安全性，所以console的安全性问题不是很大，而telnet 的控制起来就需要用策略来限制了。

如果想telnet设备需要知道其设备上的IP地址，而本公司DHCP中的网关地址基本都是在核心上，所以设备上的IP地址基本谁都知道，而核心设备仅仅需要网络管理员去管理，所以加了acl去选择telnet 的对象。而在加密方面我选择了SSH而不是非加密的Telnet.如图所示，仅有网络管理员才能ssh设备，其他员工无法ssh设备。这是管理员ssh的效果，输入正确的用户名密码后，进入其配置界面。如图6-3-5

图6-2-10 这是其他设备ssh的效果，无论尝试几个设备上的地址都被拒绝了，这样就能保证设备控制的安全性。虽然能够访问其地址，但是无法取得其TCP端口号22的访问权如图6-3-6

XXXXXXXXXX计算机专业毕业设计

图6-3-6

6.3.2 网络连通安全性

在一个公司内部，虽然大家共享上网资源，但是各部门之间的资料还是有一些机密的，特别是财政部，一个公司财政信息都是很机密的，所以不希望其他公司内部Pc能够连通到此部门，所以也要通过acl去限制，去隔离一些区域。

财政部IP 192.168.3.130 软件部IP 192.168.0.2 市场部IP 192.168.1.2

正常情况下，三个部门是可以正常ping通的，但是财政部的安全性，所以其他2个部门无法访问财政部，但是可以互相访问。

如图6-3-7所示，软件部无法访问财政部，但是可以访问市场部

XXXXXXXXXX计算机专业毕业设计

图6-3-7 这样就保证了财政部的独立性，保证了其安全，由于公司内部需要有客人访问，而客人往往需要上网，所以需要控制其上网行为，如果有恶意行为，盗取公司其他部门资料，那也会造成严重的损失，所以，要保证其在公司参观中心上网，只能访问外网，不能访问公司内部其他主机。

如图6-3-8所示，参观中心的终端能够访问外网百度服务器，但是无法访问内部市场部PC设备。

XXXXXXXXXX计算机专业毕业设计

图6-3-8

6.4 分公司与总公司安全性

由于分公司之间通过ISP与总公司通信，所以数据通信需要安全性，在这里我选择了EASY VPN，由于各分公司内部全部使用私网地址，所以无法与总公司内部通信，因为私网地址无法宣告到公网中，而通过easy vpn连接后，本部通过给客户分配总公司自己的私网地址，使其能够访问公司内部，而通信过程中数据时加密的，无法窃取，保证了其安全性。

如图6-4-1连接easy vpn首先要在客户端PC打开VPN连接。

图6-4-1 在这里设置好用户组、用户名、总公司的公网地址以及密码后连接VPN 如图6-4-2

XXXXXXXXXX计算机专业毕业设计

图6-4-2 连接后需要等2-3秒，即连接成功，而且显示被分配的IP地址如图6-4-3

图6-4-3

进行Ping命令就可以访问北京总部的内网地址终端了。如图6-4-4

XXXXXXXXXX计算机专业毕业设计

图6-4-4 这样网络的安全性就得到了很大的提升。

XXXXXXXXXX计算机专业毕业设计

总

结

在本方案设计之初，我对网络安全的理解还是很浅，包括到了现在我对它的还是只有一点点的认知，但是通过这次设计，让我对网络安全产生了很浓厚的兴趣，很高兴能够选到这个课题，但这只是一次虚拟题，希望以后有机会在工作中能够得到真实的项目去完成网络安全的设计方案，但是，路还很长，需要学习的知识还很多，但是有兴趣才是王道。

IPS-IDS网络安全解决方案—具有参考价值

第一篇：IPS-IDS网络安全解决方案—具有参考价值

第二篇：电子政务网络安全解决方案

第三篇：企业网络安全解决方案毕业论文

第四篇：XX校园网网络安全解决方案

第五篇：大型企业网络安全解决方案毕业论文

相关范文推荐

中小企业网络安全解决方案五篇范文

银行外联网络安全解决方案全攻略（大全）

政府网络安全方案和企业网络安全解决方案（大全）

51CTO下载-证券行业网络安全解决方案

电信网络安全应对策略解决方案[最终版]

A市政府网络安全与网站防护解决方案

新型建筑材料绿色环保具有时代价值

优秀的简历具有怎样的价值（合集五篇）