第 1 頁(yè) 商丘職業(yè)技術(shù)學(xué)院 畢 業(yè) 論 文 建材公司網(wǎng)絡(luò)安全設(shè)計(jì)與實(shí)施 2012 年 3 月 20 日 學(xué)生姓 名 張超朋 專業(yè)名 稱 計(jì)算機(jī)信息管理 班 級(jí) 計(jì)管一班 院（系）名 稱 商丘職業(yè)技術(shù)學(xué)院 學(xué) 號(hào)： 0901020108 指 導(dǎo) 老 師 毛自民老師 第 2 頁(yè) 摘要 隨著信息化技術(shù)的飛速發(fā)展，許多有遠(yuǎn)見(jiàn)的企業(yè)都認(rèn)識(shí)到依托先進(jìn)的 IT 技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn) 營(yíng)平臺(tái)將極大地提升企業(yè)的核心競(jìng)爭(zhēng)力，使企業(yè)在殘酷的競(jìng)爭(zhēng)環(huán)境中脫穎而出。經(jīng)營(yíng)管理對(duì)計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng)，計(jì)算機(jī)應(yīng)用系統(tǒng)對(duì) 網(wǎng)絡(luò) 的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對(duì)網(wǎng)絡(luò)安全提出了更高的要求。信息安全防范應(yīng)做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對(duì)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個(gè)動(dòng)態(tài)的過(guò)程，事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完 備，安全管理應(yīng)貫穿安全防范活動(dòng)的始終。 網(wǎng)絡(luò)安全問(wèn)題伴隨著網(wǎng)絡(luò)的產(chǎn)生而產(chǎn)生，可以說(shuō)，有網(wǎng)絡(luò)的地方就存在網(wǎng)絡(luò)安全隱患。像病毒入侵和黑客攻擊之類的網(wǎng)絡(luò)安全事件，目前主要是通過(guò)網(wǎng)絡(luò)進(jìn)行的，而且?guī)缀趺繒r(shí)每刻都在發(fā)生，遍及全球。除此之外，像惡意軟件入侵、攻擊，用戶的非法訪問(wèn)和操作，用戶郵件的非法截取和更改等都是普遍存在的安全事實(shí)。網(wǎng)絡(luò)安全事件所帶來(lái)的危害，相信我們每個(gè)計(jì)算機(jī)用戶都或多或少地親身體驗(yàn)過(guò)一些：輕則使電腦系統(tǒng)運(yùn)行不正常，重則使整個(gè)計(jì)算機(jī)系統(tǒng)中的磁盤(pán)數(shù)據(jù)全部覆滅，甚至導(dǎo)致磁盤(pán)、計(jì)算機(jī)等硬件的損壞。 為了防范這 些網(wǎng)絡(luò)安全事故的發(fā)生，每個(gè)計(jì)算機(jī)用戶，特別是企業(yè)網(wǎng)絡(luò)用戶，必須采取足夠的安全防范措施，甚至可以說(shuō)要在利益均衡情況下不惜一切代價(jià)。但要注意，企業(yè)網(wǎng)絡(luò)安全策略的實(shí)施是一項(xiàng)系統(tǒng)工程，它涉及許多方面。因此既要充分考慮到那些平時(shí)經(jīng)常提及的外部網(wǎng)絡(luò)威脅，又要對(duì)來(lái)自內(nèi)部網(wǎng)絡(luò)和網(wǎng)絡(luò)管理本身所帶來(lái)的安全隱患有足夠的重視，不能孤立地看待任何一個(gè)安全隱患和安全措施。因?yàn)檫@些安全隱患爆發(fā)的途徑可以是多方面的，而許多安全措施都是相輔相成的。 關(guān)鍵字 ： 計(jì)算機(jī)網(wǎng)絡(luò)；病毒入侵；網(wǎng)絡(luò)威脅；安全防范措施 第 3 頁(yè) Abstract With the rapid development of information technology, many of the visionary companies recognize that relying on advanced IT technologies to build their own business and operational platform will greatly enhance the core competitiveness of enterprises, companies stand out in a brutally competitive environment. Dependent enhancement of management of computer applications, computer applications on the network-dependent enhancement. Computer networks have been expanding, increasingly complex network structure. Information security should be done as a whole to consider, comprehensive coverage of the various levels of information systems for networks, systems, applications, data, comprehensive prevention. Information security system model shows that security is a dynamic process, before, during and after the technical means should be complete, and safety management through the activities of security always. Network security issues along with the generation of the network can be said that the network where the network security risks. Such as infected by viruses and hacker attacks, network security events, mainly through the network, and almost all the time in the event throughout the world. In addition, like malicious software attacks, unauthorized access and operation of the user, the unlawful interception of user messages, and changes are common safety facts. Harm network security incidents, I believe each of us computer users are more or less know at: ranging from the computer system is not functioning properly, while in the disk all the data collapse of the entire computer system, even lead to damage of the disk, the computer hardware. In order to prevent the occurrence of network security incidents, each computer user, especially the corporate network users must take adequate safety precautions, and can even be said to be in the balance of interests at all costs. But we know that implementation of the corporate network security policy is a systematic project, which involves many aspects. Therefore it is necessary to fully take into account who was often referred to the external network threats, but also brings its own security risks from the internal network and network management sufficient attention, can not be viewed in isolation of any safety hazards and safety measures. Since the outbreak of the way of these security risks are many, many security measures are complementary to each other. Keyword ： Computer networks；Virus attacks；Network threats；Safety precautions 第 4 頁(yè) 商丘職業(yè)技術(shù)學(xué)院學(xué)生開(kāi)題報(bào)告表 課題名稱 建材公司網(wǎng)絡(luò)安全設(shè)計(jì)與實(shí)施 課題來(lái)源 自行命題 課題類型 網(wǎng)絡(luò)安全設(shè)計(jì) 導(dǎo) 師 學(xué)生姓名 張超朋 學(xué) 號(hào) 0901020108 專 業(yè) 計(jì)算機(jī)信息管理 開(kāi)題報(bào)告內(nèi)容：（調(diào)研資料的準(zhǔn)備，設(shè)計(jì)目的、要求、思路與預(yù)期成果；任務(wù)完成的階段 內(nèi)容及時(shí)間安排；完成設(shè)計(jì)（論文）所具備的條件 因素等。） 1.畢業(yè)設(shè)計(jì)資料準(zhǔn)備 在畢業(yè)設(shè)計(jì)之前，通過(guò)學(xué)校圖書(shū)館和網(wǎng)絡(luò)進(jìn)行了大量的查閱工作，對(duì)課題有了初步的認(rèn)識(shí)。并且閱讀了相關(guān)資料。如： (1) 張堯?qū)W，計(jì)算機(jī)操作系統(tǒng)教程（ C）。北京：清華大學(xué)出版社。 (2) 姜全生，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)應(yīng)用（ B）。北京：清華大學(xué)出版社。 （ 3）微軟公司，網(wǎng)絡(luò)安全的實(shí)現(xiàn)和管理（ B）背京：高等教育出版社。 （ 4）微軟公司，操作系統(tǒng) Win XP 和 Win2003 的幫助文檔 (B)。 2.設(shè)計(jì)的目的與要求 設(shè)計(jì)目的 管理和維護(hù)公司現(xiàn)有各種網(wǎng)絡(luò)應(yīng)用服務(wù)，并能夠?qū)崿F(xiàn)針公司 需求，增加相應(yīng) 網(wǎng)絡(luò)服務(wù)。完成日常網(wǎng)絡(luò)的配置和部署，形成公司良好的網(wǎng)絡(luò) 。 設(shè)計(jì)要求 1.根據(jù)建材公司的結(jié)構(gòu)，設(shè)計(jì)網(wǎng)絡(luò)分布方案，完成機(jī)器的安裝與網(wǎng)線的的布置。 2.給公司所有計(jì)算機(jī)分配 IP 地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)，實(shí)現(xiàn)內(nèi)部局域網(wǎng)之間達(dá)到通信。 3.搭建預(yù)控器，將企公司的所有客戶機(jī)加到域中，由域控制器統(tǒng)一管理。 4.配置路由器，實(shí)現(xiàn)內(nèi)部客戶端對(duì)外部網(wǎng)站服務(wù)器的訪問(wèn)。 5.完成防火墻的的規(guī)劃和配置實(shí)現(xiàn)。 3.思路與預(yù)算成果 思路：保持網(wǎng)絡(luò)原有的性能特點(diǎn)，大幅度提高系統(tǒng)的安全性和保密性。 根據(jù)特定的網(wǎng)絡(luò) 管理任務(wù)需求，設(shè)計(jì)相應(yīng)的訪問(wèn)規(guī)則，完成相應(yīng)的管理任務(wù) 。 預(yù)算成果：完成日常網(wǎng)絡(luò)的配置和部署，形成公司良好的網(wǎng)絡(luò)。 4.任務(wù)完成的階段內(nèi)容及時(shí)間安排 第一周 根據(jù)自身的專業(yè)學(xué)習(xí)情況，大致確定自己的畢業(yè)設(shè)計(jì)選題方向， 第二周至 第三周完成“開(kāi)題報(bào)告” 、 第四周至第五 周初步完成系統(tǒng)設(shè)計(jì)； 第六周至第十周 完成初步網(wǎng)絡(luò)方案設(shè)計(jì)，形成畢業(yè)設(shè)計(jì)初稿；第十一周至第十五周進(jìn)一步修改完善畢業(yè)設(shè)計(jì)終稿，進(jìn)行 答辯 的 準(zhǔn)備 ；第十六周畢業(yè)設(shè)計(jì)的總結(jié)工作。 5. 完成設(shè)計(jì)（論文）所具備的條件因素 軟硬件配備齊全，資料準(zhǔn)備充分，教師 適時(shí)督導(dǎo)，學(xué)生們有一定 軟件開(kāi)發(fā)基礎(chǔ) 和很強(qiáng)的 自學(xué)能力。 指導(dǎo)教師簽名： 日期： 指導(dǎo)教師簽名： 日期： 課題類型：（ 1） A 工程設(shè)計(jì)； B 技術(shù)開(kāi)發(fā)； C 軟件工程； D 理論研究； 第 5 頁(yè) （ 2） X 真實(shí)課題； Y 模擬課題； Z 虛擬課題 （ 1）、（ 2）均要填，如 AY、 BX 等。 目 錄 摘 要 . 錯(cuò)誤 !未定義書(shū)簽。 目 錄 . 錯(cuò)誤 !未定義書(shū)簽。 第 1 章 引 言 . 7 1.1 國(guó)內(nèi)外網(wǎng)絡(luò)發(fā)展情況及安全現(xiàn)狀 . 7 1.2 網(wǎng)絡(luò)對(duì)企業(yè)的重要性 . 7 1.3 網(wǎng)絡(luò)安全問(wèn)題的產(chǎn)生 . 8 1.4 公司網(wǎng)絡(luò)的主要安全隱患 . 9 1.5 公司網(wǎng)絡(luò)的安全誤區(qū) . 9 第 2 章 公司網(wǎng)絡(luò)安全設(shè)計(jì) . 11 2.1 網(wǎng)絡(luò)設(shè)計(jì)原則 . 11 2.1.1 公司需求 . 12 2.1.2 結(jié)構(gòu)圖 . 12 2.2 公司網(wǎng)絡(luò)分析 . 12 2.2.1 網(wǎng)絡(luò)安全需求分析 . 12 2.2.2 網(wǎng)絡(luò)內(nèi)容方案 . 13 2.2.3 項(xiàng)目設(shè)計(jì)圖 . 13 第 3 章 公司項(xiàng)目實(shí)施 . 14 3.1 VLAN 的功能和作用 . 14 3.1.1 VLAN 介紹 . 14 3.1.2 VLAN 優(yōu)點(diǎn) . 15 3.1.3 VLAN 分類 . 15 3.1.4 公司 VLAN 劃分 . 15 3.2 VPN 功能和作用 . 17 3.2.1 VPN 介紹 . 17 3.2.2 VPN 優(yōu)點(diǎn) . 17 3.2.3 公司配置 VPN 服務(wù)器 . 18 3.3 操作系統(tǒng)的安全配置 . 19 3.4 防火墻的安裝與管理 . 25 第 6 頁(yè) 3.4.1 防火墻的安裝 . 25 3.4.2 防火墻的管理 . 26 3.4.3 安裝證書(shū) . 28 3.4.4 遠(yuǎn)程監(jiān)控臺(tái)的安裝 . 30 3.5 防火墻的配置 . 30 第 4 章 公司網(wǎng)絡(luò)安全維護(hù) . 34 4.1 公司管理的安全性 . 34 4.2 服務(wù)器防毒技術(shù) . 34 4.3 網(wǎng)絡(luò)環(huán)境下的病毒防護(hù) . 34 結(jié) 論 . 36 參考文獻(xiàn) . 錯(cuò)誤 !未定義書(shū)簽。 致 謝 . 37 第 7 頁(yè) 第 1 章 緒 論 1.1 國(guó)內(nèi)外網(wǎng)絡(luò)發(fā)展情況及安全現(xiàn)狀 計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展很快，經(jīng)歷了一個(gè)從簡(jiǎn)單到復(fù)雜的演變過(guò)程。計(jì)算機(jī)的應(yīng)用也不斷地發(fā)展，滲透在人們生活的方方面面。在全球網(wǎng)絡(luò)革命如火如荼、飛速發(fā)展的時(shí)代潮流面前 ,中國(guó)的網(wǎng)絡(luò)業(yè)也不甘居人之后。我國(guó)政府從 20 世紀(jì) 90 年代初開(kāi)始 ,便相繼實(shí)施了“金橋”、“金卡”等一系列金字工程。在發(fā)達(dá)國(guó)家建設(shè)“信息高速公路”的世界背景下 ,我國(guó)的一批信息技術(shù)專家根據(jù)中國(guó)國(guó)情 ,提出了我們自己的“高速信息網(wǎng)計(jì)劃 (CHINA) ” ,1993 年 10 月 15 日 ,當(dāng)時(shí)世界上最長(zhǎng)的通信光纜 ,縱貫中國(guó)南北的京漢廣通信“大動(dòng)脈”全線開(kāi)通 ,拉開(kāi)了我國(guó)網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)的序幕。我國(guó)企業(yè)從 1994 年開(kāi)始涉足電子商務(wù) ,并取得了喜人的成績(jī)。 1998 年是世界電子商務(wù)年 ,中國(guó)也掀起了一股電子商務(wù)熱 ,我國(guó)的“中國(guó)商品市場(chǎng)”從當(dāng)年 7 月 1 日起 ,正式進(jìn)入 Internet 。 1999 年在上海舉行的“ 99財(cái)富全球論壇”年會(huì)又傳出消息 :到 2003 年 ,中國(guó)將成為世界上最大的信息網(wǎng)絡(luò)市場(chǎng)。由此不難推斷 ,中國(guó)經(jīng)濟(jì)也必將融入全球網(wǎng)絡(luò)經(jīng)濟(jì)的大潮之中。 隨著計(jì)算機(jī)網(wǎng) 絡(luò)技術(shù)的廣泛應(yīng)用和飛速發(fā)展 ,計(jì)算機(jī)信息網(wǎng)絡(luò)已成為現(xiàn)代信息社會(huì)的基礎(chǔ)設(shè)施。它作為進(jìn)行信息交流、開(kāi)展各種社會(huì)活動(dòng)的基礎(chǔ)工具，已深入人們工作和生活當(dāng)中。同時(shí)，網(wǎng)絡(luò)安全問(wèn)題也成為信息時(shí)代人們共同面臨的挑戰(zhàn)，國(guó)內(nèi)的網(wǎng)絡(luò)安全問(wèn)題也日益突出。具體表現(xiàn)為：計(jì)算機(jī)系統(tǒng)受病毒感染和破壞的情況相當(dāng)嚴(yán)重；電腦黑客活動(dòng)已成為重要威脅；信息基礎(chǔ)設(shè)施面臨網(wǎng)絡(luò)安全的挑戰(zhàn)；網(wǎng)絡(luò)政治顛覆活動(dòng)頻繁等，為了更好地應(yīng)對(duì)這些網(wǎng)絡(luò)安全問(wèn)題。 網(wǎng)絡(luò)環(huán)境的復(fù)雜性、多變性，以及信息系統(tǒng)的脆弱性，決定了網(wǎng)絡(luò)安全威脅的客觀存在。我國(guó)日益開(kāi)放并融入世界，但加強(qiáng)安全 監(jiān)管和建立保護(hù)屏障不可或缺。國(guó)家科技部部長(zhǎng)徐冠華曾在某市信息安全工作會(huì)議上說(shuō)：“信息安全是涉及我國(guó)經(jīng)濟(jì)發(fā)展、社會(huì)發(fā)展和國(guó)家安全的重大問(wèn)題。近年來(lái)，隨著國(guó)際政治形勢(shì)的發(fā)展，以及經(jīng)濟(jì)全球化過(guò)程的加快，人們?cè)絹?lái)越清楚，信息時(shí)代所引發(fā)的信息安全問(wèn)題不僅涉及國(guó)家的經(jīng)濟(jì)安全、金融安全，同時(shí)也涉及國(guó)家的國(guó)防安全、政治安全和文化安全。因此，可以說(shuō)，在信息化社會(huì)里，沒(méi)有信息安全的保障，國(guó)家就沒(méi)有安全的屏障。信息安全的重要性怎么強(qiáng)調(diào)也不過(guò)分?！蹦壳拔覈?guó)政府、相關(guān)部門和有識(shí)之士都把網(wǎng)絡(luò)監(jiān)管提到新的高度，上海市負(fù)責(zé)信息安全工作的部 門提出 采用非對(duì)稱戰(zhàn)略構(gòu)建上海信息安全防御體系，其核心是在技術(shù)處于弱勢(shì)的情況下，用強(qiáng)化管理體系來(lái)提高網(wǎng)絡(luò)安全整體水平。 Internet 是各行各業(yè)的展示與和另一種發(fā)展平臺(tái) ,同時(shí)必須建立一個(gè)安全穩(wěn)定的環(huán)境維護(hù)產(chǎn)業(yè)的可持續(xù)快速發(fā)展。衷心希望在不久的將來(lái)，我國(guó)信息安全工作能跟隨信息化發(fā)展，上一個(gè)新臺(tái)階。 1.2 網(wǎng)絡(luò)對(duì)企業(yè)的重要性 隨著經(jīng)濟(jì)的飛速發(fā)展和社會(huì)信息化建設(shè)的大力推進(jìn)，網(wǎng)絡(luò)平臺(tái)已經(jīng)成為企業(yè)進(jìn)行業(yè)務(wù)拓展、經(jīng)營(yíng)管理和進(jìn)行形象宣傳的一個(gè)獨(dú)特的窗口。建立企業(yè)網(wǎng) 絡(luò) ，早已不再是為了趕潮流或是博取好聽(tīng)的名聲，而是把網(wǎng)絡(luò) 技術(shù)同企業(yè)管理體系、工作流程和商務(wù)運(yùn)作等緊密地聯(lián)系在了一起，充分利用互聯(lián)網(wǎng)不受時(shí)空限制的信息平臺(tái)，建立最直接、豐富、快捷的商務(wù)溝通平臺(tái)和管理平臺(tái)，從而搭建高效的經(jīng)營(yíng)管理機(jī)制和商務(wù)運(yùn)作平臺(tái)。 第 8 頁(yè) 企業(yè)對(duì)信息的需求 全球信息網(wǎng)的出現(xiàn)和信息化社會(huì)的來(lái)臨，使得社會(huì)的生產(chǎn)方式發(fā)生深刻的變化。面對(duì)著激烈的市場(chǎng)競(jìng)爭(zhēng)，公司對(duì)信息的收集、傳輸、加工、存貯、查詢以及預(yù)測(cè)決策等工作量越來(lái)越大，原來(lái)的電腦只是停留在單機(jī)工作的模式，各科室間的數(shù)據(jù)不能實(shí)現(xiàn)共享，致使工作效率大大下降，純粹手工管理方式和手段已不能適應(yīng)需求，這將嚴(yán)重妨礙公 司的生存和發(fā)展。 對(duì)企業(yè)經(jīng)營(yíng)的影響 它正全方位地改變企業(yè)的經(jīng)營(yíng)方式：企業(yè)可以進(jìn)行網(wǎng)上廣告宣傳，可以及時(shí)獲取重要的有關(guān)市場(chǎng)信息和企業(yè)間的競(jìng)爭(zhēng)情報(bào)，還可利用網(wǎng)絡(luò)的電子郵件功能和有業(yè)務(wù)往來(lái)的客戶進(jìn)行方便、快捷的遠(yuǎn)程通信。另外，企業(yè)還可在網(wǎng)上進(jìn)行人才招聘，通過(guò)上網(wǎng)招聘可以引進(jìn)更優(yōu)秀的人才。企業(yè)通過(guò)把因特網(wǎng)技術(shù)引進(jìn)企業(yè)內(nèi)部，建立企業(yè)內(nèi)部管理信息系統(tǒng) (局域網(wǎng) )，這樣的局域網(wǎng)既具有因特網(wǎng)的功能，又為企業(yè)全部擁有。 從企業(yè)管理和業(yè)務(wù)發(fā)展的角度出發(fā) 通過(guò)網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)資源的共用來(lái)改善企業(yè)內(nèi)部和企業(yè)與客戶之間的信息交流方式，滿 足業(yè)務(wù)部門對(duì)信息存儲(chǔ)、檢索、處理和共享需求，使企業(yè)能迅速掌握瞬息萬(wàn)變的市場(chǎng)行情，使企業(yè)信息更有效地發(fā)揮效力；提高辦公自動(dòng)化水平，提高工作效率，降低管理成本，提高企業(yè)在市場(chǎng)上的競(jìng)爭(zhēng)力；通過(guò)對(duì)每項(xiàng)業(yè)務(wù)的跟蹤，企業(yè)管理者可以了解業(yè)務(wù)進(jìn)展情況，掌握第一手資料，及時(shí)掌握市場(chǎng)動(dòng)態(tài)，為企業(yè)提供投資導(dǎo)向信息，為領(lǐng)導(dǎo)決策提供數(shù)據(jù)支持；通過(guò)企業(yè)內(nèi)部網(wǎng)建立，企業(yè)各業(yè)務(wù)部門可以有更方便的交流溝通，管理者可隨時(shí)了解每一位員工的情況，并加強(qiáng)對(duì)企業(yè)人力資源合理調(diào)度，切實(shí)做到系統(tǒng)的集成化設(shè)計(jì)，使原有的設(shè)備、投資得到有效利用。 1.3 網(wǎng)絡(luò) 安全問(wèn)題的產(chǎn)生 可以從不同角度對(duì)網(wǎng)絡(luò)安全作出不同的解釋。一般意義上，網(wǎng)絡(luò)安全是指信息安全和控制安全兩部分。國(guó)際標(biāo)準(zhǔn)化組織把信息安全定義為“信息的完整性、可用性、保密性和可靠性”；控制安全則指身份認(rèn)證、不可否認(rèn)性、授權(quán)和訪問(wèn)控制。 互聯(lián)網(wǎng)與生俱有的開(kāi)放性、交互性和分散性特征使人類所憧憬的信息共享、開(kāi)放、靈活和快速等需求得到滿足。網(wǎng)絡(luò)環(huán)境為信息共享、信息交流、信息服務(wù)創(chuàng)造了理想空間，網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和廣泛應(yīng)用，為人類社會(huì)的進(jìn)步提供了巨大推動(dòng)力。然而，正是由于互聯(lián)網(wǎng)的上述特性，產(chǎn)生了許多安全問(wèn)題： a）信息 泄漏、信息污染、信息不易受控。例如，資源未授權(quán)侵用、未授權(quán)信息流出現(xiàn)、系統(tǒng)拒絕信息流和系統(tǒng)否認(rèn)等，這些都是信息安全的技術(shù)難點(diǎn)。 b）在網(wǎng)絡(luò)環(huán)境中，一些組織或個(gè)人出于某種特殊目的，進(jìn)行信息泄密、信息破壞、信息侵權(quán)和意識(shí)形態(tài)的信息滲透，甚至通過(guò)網(wǎng)絡(luò)進(jìn)行政治顛覆等活動(dòng)，使國(guó)家利益、社會(huì)公共利益和各類主體的合法權(quán)益受到威脅。 C）網(wǎng)絡(luò)運(yùn)用的趨勢(shì)是全社會(huì)廣泛參與，隨之而來(lái)的是控制權(quán)分散的管理問(wèn) 第 9 頁(yè) 題。由于人們利益、目標(biāo)、價(jià)值的分歧，使信息資源的保護(hù)和管理出現(xiàn)脫節(jié)和真空，從而使信息安全問(wèn)題變得廣泛而復(fù)雜。 d）隨 著社會(huì)重要基礎(chǔ)設(shè)施的高度信息化，社會(huì)的“命脈”和核心控制系統(tǒng)有可能面臨惡意攻擊而導(dǎo)致?lián)p壞和癱瘓，包括國(guó)防通信設(shè)施、動(dòng)力控制網(wǎng)、金融系統(tǒng)和政府網(wǎng)站等。 1.4 公司網(wǎng)絡(luò)的主要安全隱患 現(xiàn)在網(wǎng)絡(luò)安全系統(tǒng)所要防范的不再僅是病毒感染，更多的是基于網(wǎng)絡(luò)的非法入侵、攻擊和訪問(wèn)，同時(shí)企業(yè)網(wǎng)絡(luò)安全隱患的來(lái)源有內(nèi)、外網(wǎng)之分，很多情況下內(nèi)部網(wǎng)絡(luò)安全威脅要遠(yuǎn)遠(yuǎn)大于外部網(wǎng)絡(luò)，因?yàn)閮?nèi)部中實(shí)施入侵和攻擊更加容易，企業(yè)網(wǎng)絡(luò)安全威脅的主要來(lái)源主要包括。 1.病毒、木馬和惡意軟件的入侵。 2.網(wǎng)絡(luò)黑客的攻擊。 3.重要文件或郵件的非法竊取 、訪問(wèn)與操作。 4.關(guān)鍵部門的非法訪問(wèn)和敏感信息外泄。 5.外網(wǎng)的非法入侵。 6.備份數(shù)據(jù)和存儲(chǔ)媒體的損壞、丟失。 針對(duì)這些安全隱患，所采取的安全策略可以通過(guò)安裝專業(yè)的網(wǎng)絡(luò)版病毒防護(hù)系統(tǒng)，同時(shí)也要加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全管理，配置好防火墻過(guò)濾策略和系統(tǒng)本身的各項(xiàng)安全措施，及時(shí)安裝系統(tǒng)安全補(bǔ)丁，有條件的還可以在內(nèi)、外網(wǎng)之間安裝網(wǎng)絡(luò)掃描檢測(cè)、網(wǎng)絡(luò)嗅探器、 IDS、 IPS 系統(tǒng)，甚至配置網(wǎng)絡(luò)安全隔離系統(tǒng)，對(duì)內(nèi)、外網(wǎng)絡(luò)進(jìn)行安全隔離；加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全管理，嚴(yán)格實(shí)行“最小權(quán)限”原則，為各個(gè)用戶配置好恰當(dāng)?shù)挠脩魴?quán)限；同時(shí)對(duì)一些敏 感數(shù)據(jù)進(jìn)行加密保護(hù)，對(duì)數(shù)據(jù)還可以進(jìn)行數(shù)字簽名措施；根據(jù)企業(yè)實(shí)際需要配置好相應(yīng)的數(shù)據(jù)策略，并按策略認(rèn)真執(zhí)行。 1.5 公司網(wǎng)絡(luò)的安全誤區(qū) 1.安裝防火墻就安全了 防火墻主要工作都是控制存取與過(guò)濾封包，所以對(duì) DoS 攻擊、非法存取與篡改封包等攻擊模式的防范極為有效，可以提供網(wǎng)絡(luò)周邊的安全防護(hù)。但如果攻擊行為不經(jīng)過(guò)防火墻，或是將應(yīng)用層的攻擊程序隱藏在正常的封包內(nèi)，便力不從心了，許多防火墻只是工作在網(wǎng)絡(luò)層。 防火墻的原理是“防外不防內(nèi)”，對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)不進(jìn)行任何阻撓，而事實(shí)上，企業(yè)網(wǎng)絡(luò)安全事件絕大部分還是源于企 業(yè)內(nèi)部。 2.安裝了最新的殺毒軟件就不怕病毒了 安裝殺毒軟件的目的是為了預(yù)防病毒的入侵和查殺系統(tǒng)中已感染的計(jì)算機(jī)病毒，但這并不能保證就沒(méi)有病毒入侵了，因?yàn)闅⒍拒浖闅⒛骋徊《镜哪芰偸菧笥谠摬《镜某霈F(xiàn)。 3.在每臺(tái)計(jì)算機(jī)上安裝單機(jī)版殺毒軟件和網(wǎng)絡(luò)版殺毒軟件等效 網(wǎng)絡(luò)版殺毒軟件核心就是集中的網(wǎng)絡(luò)防毒系統(tǒng)管理。網(wǎng)絡(luò)版殺毒軟件可以在 第 10 頁(yè) 一臺(tái)服務(wù)器上通過(guò)安全中心控制整個(gè)網(wǎng)絡(luò)的客戶端殺毒軟件同步病毒查殺、監(jiān)控整個(gè)網(wǎng)絡(luò)的病毒。同時(shí)對(duì)于整個(gè)網(wǎng)絡(luò)，管理非常方便，對(duì)于單機(jī)版是不可能做到的。 4.只要不上網(wǎng)就不會(huì)中毒 雖然不 少病毒是通過(guò)網(wǎng)頁(yè)傳播的，但像 QQ 聊天接發(fā)郵件同樣是病毒傳播的主要途徑，而且盜版光盤(pán)以及 U 盤(pán)等也會(huì)存在著病毒。所以只要計(jì)算機(jī)開(kāi)著，就要防范病毒。 5.文件設(shè)置只讀就可以避免感染病毒 設(shè)置只讀只是調(diào)用系統(tǒng)的幾個(gè)命令，而病毒或黑客程序也可以做到這一點(diǎn)，設(shè)置只讀并不能有效防毒，不過(guò)在局域網(wǎng)中為了共享安全，放置誤刪除，還是比較有用的。 6.網(wǎng)絡(luò)安全主要來(lái)自外部 基于內(nèi)部的網(wǎng)絡(luò)攻擊更加容易，不需要借助于其他的網(wǎng)絡(luò)連接方式，就可以直接在內(nèi)部網(wǎng)絡(luò)中實(shí)施攻擊。所以，加強(qiáng)內(nèi)部網(wǎng)絡(luò)安全管理，特別是用戶帳戶管理，如帳戶密碼、臨 時(shí)帳戶、過(guò)期帳戶和權(quán)限等方面的管理非常必要了。 第 2 章 公司網(wǎng)絡(luò)安全設(shè)計(jì) 2.1 網(wǎng)絡(luò)設(shè)計(jì)原則 網(wǎng)絡(luò)的安全 設(shè)計(jì) 對(duì)網(wǎng)絡(luò)設(shè)計(jì)是非常重要的，合理的網(wǎng)絡(luò)安全控制，可以使應(yīng)用環(huán)境中的信息資源得到有效的保護(hù)可以有效的控制網(wǎng)絡(luò)的訪問(wèn)，靈活的實(shí)施網(wǎng)絡(luò)的安全控制策略。 網(wǎng)絡(luò)規(guī)劃是對(duì)擬建網(wǎng)絡(luò)的初步設(shè)計(jì)，應(yīng)該遵循網(wǎng)絡(luò)設(shè)計(jì)的一般原則和方法，并提出相應(yīng)的解決方案為后續(xù)的設(shè)計(jì)和實(shí)現(xiàn)工作的依據(jù)。網(wǎng)絡(luò)總體規(guī)劃反映了網(wǎng)絡(luò)設(shè)計(jì)“總體規(guī)劃、分布實(shí)施”的網(wǎng)絡(luò)建設(shè)原則，是從網(wǎng)絡(luò)需求分析到網(wǎng)絡(luò)具體設(shè)計(jì)之間必須的階段，網(wǎng)絡(luò)規(guī)劃通過(guò)對(duì)企業(yè)網(wǎng)絡(luò)需求的調(diào) 查、分析、歸納，吧企業(yè)現(xiàn)在和對(duì)網(wǎng)絡(luò)的需求轉(zhuǎn)換成對(duì)網(wǎng)絡(luò)結(jié)構(gòu)、功能、性能、協(xié)議等技術(shù)指標(biāo)的具體要求。網(wǎng)絡(luò)規(guī)劃的主要原則一般有一下幾個(gè)特點(diǎn)： （ 1） 實(shí)用性和經(jīng)濟(jì)性。 系統(tǒng)建設(shè)應(yīng)始終貫徹面向應(yīng)用，注重實(shí)效的方針，堅(jiān)持實(shí)用、經(jīng)濟(jì)的原則，建設(shè)企業(yè)的網(wǎng)絡(luò)系統(tǒng)。 （ 2）開(kāi)放性和兼容性。 整個(gè)網(wǎng)絡(luò)系統(tǒng)應(yīng)當(dāng)選用標(biāo)準(zhǔn)的兼容性強(qiáng)的網(wǎng)絡(luò)通信協(xié)議、主機(jī)系統(tǒng)結(jié)構(gòu)、網(wǎng)絡(luò)服務(wù)器通信協(xié)議、網(wǎng)絡(luò)管理網(wǎng)絡(luò)劃分交換端口分配策略等。 （ 3）可靠性和穩(wěn)定性。 在考慮技術(shù)先進(jìn)性和開(kāi)放性的同時(shí)，還應(yīng)從系統(tǒng)結(jié)構(gòu)、技術(shù)措施、設(shè)備性能、系統(tǒng)管理、廠商技術(shù)支 持及維修能力等方面著手，確保系統(tǒng)運(yùn)行的可靠性和穩(wěn)定性，達(dá)到最大的平均無(wú)故障時(shí)間， TP-LINK 網(wǎng)絡(luò)作為國(guó)內(nèi)知名品牌，網(wǎng)絡(luò)領(lǐng)導(dǎo)廠商，其產(chǎn)品的可靠性和穩(wěn)定性是一流的。 （ 4）先進(jìn)性和成熟性。 網(wǎng)絡(luò)建設(shè)應(yīng)適合企業(yè)自身發(fā)展的特點(diǎn)及網(wǎng)絡(luò)通信技術(shù)的更新?lián)Q代，在主機(jī)選擇、網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)、網(wǎng)絡(luò)設(shè)備配置、網(wǎng)絡(luò)管理方式等方面應(yīng)具有一定的先進(jìn)性，采用國(guó)際上先進(jìn)同時(shí)又是成熟的技術(shù)。 （ 5）安全性和保密性。 在系統(tǒng)設(shè)計(jì)中，既考慮信息資源的充分共享，更要注意信息的保護(hù)和隔離，因此系統(tǒng)應(yīng)分別針對(duì)不同的應(yīng)用和不同的網(wǎng)絡(luò)通信環(huán)境，采取不 同的措施，包括系統(tǒng)安全機(jī)制、數(shù)據(jù)存取的權(quán)限控制等， TP-LINK 網(wǎng)絡(luò)充分考慮安全性，針對(duì)小型企業(yè)的各種應(yīng)用，有多種的保護(hù)機(jī)制，如劃分 VLAN、 MAC 地址綁定、 802.1x、 802.1d 等。 （ 6）可維護(hù)性和可管理性。 網(wǎng)絡(luò)設(shè)備應(yīng)具備安裝方便、配置方便、使用方便等特點(diǎn)， 同時(shí)要求有較強(qiáng)的網(wǎng)絡(luò)管理手段，能夠合理地配置和調(diào)整網(wǎng)絡(luò)資源，監(jiān)視網(wǎng)絡(luò)狀態(tài)，控 制網(wǎng)絡(luò)運(yùn)行。 2.1.1 公司需求 建材公司根據(jù)業(yè)務(wù)發(fā)展需求，建設(shè)一個(gè)小型的企業(yè)網(wǎng)，有 Web、 Mail 等服務(wù)器和辦公區(qū)客戶機(jī)。公司已經(jīng)完成了綜合布線工程的施工與網(wǎng) 絡(luò)設(shè)備的架設(shè)。企業(yè)分為財(cái)務(wù)部門和業(yè)務(wù)部門，需要他們之間相互隔離。 網(wǎng)絡(luò)管理員在實(shí)際維護(hù)公司網(wǎng)絡(luò)的過(guò)程中，常遇到各種網(wǎng)絡(luò)安全問(wèn)題，例如：網(wǎng)絡(luò)黑客攻擊、網(wǎng)絡(luò)蠕蟲(chóng)病毒泛濫、各種木馬程序等等。由于考慮到 Inteneter 的安全性，以及網(wǎng)絡(luò)安全等一些因素，如 DDoS、 ARP 等。需要在防火墻設(shè)置相關(guān)的策略和其他一些安全策略。 網(wǎng)絡(luò)管理員需要隨時(shí)排除企業(yè)網(wǎng)絡(luò)在日常運(yùn)轉(zhuǎn)中出現(xiàn)的各種網(wǎng)絡(luò)安全問(wèn)題，保證企業(yè)網(wǎng)絡(luò)的穩(wěn)定工作。 2.1.2 結(jié)構(gòu)圖 根據(jù)建材公司的整體網(wǎng)絡(luò)情況，簡(jiǎn)單的網(wǎng)絡(luò)結(jié)構(gòu)圖如圖 2-1 所示： 圖 2-1 網(wǎng)絡(luò)結(jié)構(gòu)圖 2.2 公司網(wǎng)絡(luò)分析 網(wǎng)絡(luò)安全需求網(wǎng)絡(luò)安全需求網(wǎng)絡(luò)安全需求網(wǎng)絡(luò)安全需求 現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)提供更完善的網(wǎng)絡(luò)安全解決方案，以阻擊病毒和黑客的攻擊，減少企業(yè)的經(jīng)濟(jì)損失。傳統(tǒng)企業(yè)網(wǎng)絡(luò)的安全措施主要是通過(guò)部署防火墻、 IDS、殺毒軟件，以及配合交換機(jī)或路由 器的 ACL來(lái)實(shí)現(xiàn)對(duì)病毒和黑客攻擊的防御，但實(shí)踐證明這些被動(dòng)的防御措施并不能有效地解決企業(yè)網(wǎng)絡(luò)的安全問(wèn)題。在企業(yè)網(wǎng)絡(luò)已經(jīng)成為公司生產(chǎn)運(yùn)營(yíng)的重要組成部分的今天，現(xiàn)代企業(yè)網(wǎng)絡(luò)必須要有一整套從用戶接入控制，病毒報(bào)文識(shí)別到主動(dòng)抑制的一系列安全控制手段，這樣才能有效地保證企業(yè)網(wǎng)絡(luò)的穩(wěn)定運(yùn)行 2.2.1 網(wǎng)絡(luò)安全需求分析 我們針對(duì)建材公司的網(wǎng)絡(luò)安全狀況和網(wǎng)絡(luò)結(jié)構(gòu)來(lái)進(jìn)行需求分析。 建材公司的第一個(gè)網(wǎng)絡(luò)安全需求是根據(jù)部門需要?jiǎng)澐?VLAN，使用 VPN 技術(shù)。 建材公司的第二個(gè)網(wǎng)絡(luò)安全需求是要安裝一個(gè)基于安全的操作系統(tǒng)平臺(tái)的高 級(jí)通信保護(hù)控制系統(tǒng) -網(wǎng)絡(luò)防火墻，保護(hù)公司內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)免遭來(lái)自國(guó)際互聯(lián)網(wǎng)的黑客攻擊、病毒侵?jǐn)_。 建材公司的第三個(gè)網(wǎng)絡(luò)安全需求是企業(yè)內(nèi)部的計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題。建材公司網(wǎng)內(nèi)有很多計(jì)算機(jī)均有上網(wǎng)需求，這就導(dǎo)致常出現(xiàn)網(wǎng)絡(luò)黑客攻擊、網(wǎng)絡(luò)蠕蟲(chóng)病毒泛濫、各種木馬程序盜取密碼等網(wǎng)絡(luò)安全問(wèn)題。因此，依據(jù)建材公司內(nèi)計(jì)算機(jī)的使用狀況，分別安裝軟件防火墻、殺毒軟件、網(wǎng)絡(luò)安全軟件。 2.2.2 網(wǎng)絡(luò)內(nèi)容方案 1、為了 提高了網(wǎng)絡(luò)的利用率，確保了網(wǎng)絡(luò)的安全保密性 。建材公司建立 虛擬局域網(wǎng)實(shí)現(xiàn)數(shù)據(jù)安全和共享，提高建材公司主要兩大部門 順利實(shí)效。 2、通過(guò)多方調(diào)研，建材公司決定采用國(guó)內(nèi)網(wǎng)絡(luò)安全行業(yè)的領(lǐng)先企業(yè) -遠(yuǎn)東網(wǎng)安科技有限公司 的遠(yuǎn)東網(wǎng)安防火墻。 使用該防火墻隔離公司內(nèi)部網(wǎng)絡(luò)和國(guó)際互聯(lián)網(wǎng)。在不改變網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的情況下，使公司內(nèi)部的計(jì)算機(jī)訪問(wèn)國(guó)際互聯(lián)網(wǎng)的時(shí)候，經(jīng)過(guò)包過(guò)濾安全設(shè)置。 3、針對(duì)建材公司各個(gè)部門計(jì)算機(jī)的應(yīng)用環(huán)境，分別安裝網(wǎng)絡(luò)安全軟件、殺毒軟件、軟件防火墻等。網(wǎng)絡(luò)管理員的須知。 4、對(duì)建材公司計(jì)算機(jī)操作系統(tǒng)進(jìn)行研究，操作系統(tǒng)的安裝以正常工作為目標(biāo)，一般很少考慮其安全性，因此安裝通常都是以缺省選項(xiàng)進(jìn)行設(shè)置。從安全角度考慮，其變現(xiàn)為裝了很多用不到的服務(wù)模塊，開(kāi)放了很多不必開(kāi)放的端口，其中可能隱含了安全風(fēng)險(xiǎn)。 目前的操作系統(tǒng)無(wú)論是 windows 還是 Unix 操作系統(tǒng)以及其他廠商開(kāi)發(fā)的應(yīng)用系統(tǒng)，某開(kāi)發(fā)廠商必然有其 Back Door。而且系統(tǒng)本身必然存在安全漏洞。這些后門和安全漏洞都將存在重大安全隱患。系統(tǒng)的安全程度跟安全配置及系統(tǒng)的應(yīng)用有很大關(guān)系，操作系統(tǒng)如果進(jìn)行安全配置，填補(bǔ)安全漏洞，關(guān)閉一些不常用的服務(wù)，禁止開(kāi)發(fā)一些不常用而又比較敏感的端口等，那么入侵者要成功進(jìn)入內(nèi)部網(wǎng)是不容易的，這需要相當(dāng)高的技術(shù)水平及相當(dāng)長(zhǎng)時(shí)間。 2.2.3 項(xiàng)目設(shè)計(jì)圖 服務(wù)器二 層 交 換 機(jī)D M Z三 層 交 換 機(jī)二 層 交 換 機(jī)客 戶 機(jī)客 戶 機(jī) 圖 2-2 項(xiàng)目設(shè)計(jì)圖 企業(yè) VLAN 劃分 企業(yè)主要分兩個(gè)部門，所以只要?jiǎng)澐謨蓚€(gè) VLAN，分別為： 財(cái)務(wù)部門 VLAN 10 交換機(jī) S1 接入交換機(jī)（神州數(shù)碼 DCS-5526） 業(yè)務(wù)部門 VLAN 20 交換機(jī) S2 接入交換機(jī)（神州數(shù)碼 DCS-5526） 核心交換機(jī) S3 核心交換機(jī)（神州數(shù)碼 DCRS-5526） 圖 2-3 網(wǎng)絡(luò)拓?fù)鋱D 客戶機(jī)的地址范圍： - 54 建材公司內(nèi)網(wǎng)中管理遠(yuǎn)東網(wǎng)安防火墻主機(jī)的計(jì)算機(jī)地址： 外網(wǎng)的網(wǎng)關(guān)： 54 防火墻的 LAN（ eth0）口的 IP： （默認(rèn)） 直接管理遠(yuǎn)東網(wǎng)安防火墻的計(jì)算機(jī)地址： 1 第 3 章 公司項(xiàng)目實(shí)施 3.1 VLAN 的功能和作用 虛擬局域網(wǎng)，應(yīng)該就是我們平常聽(tīng)到的 VPN，也叫虛擬英特網(wǎng)。它實(shí)際上不是真正過(guò)一定范圍之內(nèi)的幾臺(tái)電腦互相用網(wǎng)線，通過(guò)交換機(jī)等相連，而是通過(guò)遠(yuǎn)程的一種訪問(wèn)形式，比如你公司有 VPN，你在外 地出差，這時(shí)候，你只要可以上英特網(wǎng)，就可以利用你的賬號(hào)和密碼訪問(wèn)到你們公司的內(nèi)部網(wǎng)絡(luò)。就可以像平常在局域網(wǎng)內(nèi)工作是一樣的，可以訪問(wèn)網(wǎng)上鄰居、打印文件等。 它的作用也就是提供了遠(yuǎn)程的系統(tǒng)管理、文件傳輸、打印等功能，提高了工作效率。 3.1.1 VLAN 介紹 VLAN 即虛擬局域網(wǎng)。 VLAN 是對(duì)連接到的第二層交換機(jī)端口的網(wǎng)絡(luò)用戶的邏輯分段，不受網(wǎng)絡(luò)用戶的物理位置限制而根據(jù)用戶需求進(jìn)行網(wǎng)絡(luò)分段。一個(gè) VLAN 可以在一個(gè)交換機(jī)或者跨交換機(jī)實(shí)現(xiàn)。 VLAN 可以根據(jù)網(wǎng)絡(luò)用戶的位置、作用、部門或者根據(jù)網(wǎng)絡(luò)用戶所使用的應(yīng)用程序 和協(xié)議來(lái)進(jìn)行分組。基于交換機(jī)的虛擬局域網(wǎng)能夠?yàn)榫钟蚓W(wǎng)解決沖突域、 廣播域、帶寬問(wèn)題。一方面， VLAN 建立在局域網(wǎng)交換機(jī)的基礎(chǔ)之上；另一方面， VLAN是局域交換網(wǎng)的靈魂。這是因?yàn)橥ㄟ^(guò) VLAN 用戶能方便地在網(wǎng)絡(luò)中移動(dòng)和快捷地組建寬帶網(wǎng)絡(luò)，而無(wú)需改變?nèi)魏斡布屯ㄐ啪€路。這樣，網(wǎng)絡(luò)管理員就能從邏輯上對(duì)用戶和網(wǎng)絡(luò)資源進(jìn)行分配，而無(wú)需考慮物理連接方式。 VLAN 充分體現(xiàn)了現(xiàn)代網(wǎng)絡(luò)技術(shù)的重要特征：高速、靈活、管理簡(jiǎn)便和擴(kuò)展容易。是否具有 VLAN 功能是衡量局域網(wǎng)交換機(jī)的一項(xiàng)重要指標(biāo)。 3.1.2 VLAN 優(yōu)點(diǎn) 1、 增加了 網(wǎng)絡(luò)的連接靈活性 借助 VLAN 技術(shù)，能將不同地點(diǎn)、不同網(wǎng)絡(luò)、不同用戶組合在一起，形成一個(gè)虛擬的網(wǎng)絡(luò)環(huán)境 ，就像使用本地 LAN 一樣方便 。 2、 控制網(wǎng)絡(luò)上的安全 VLAN 可以提供建立防火墻的機(jī)制，防止交換網(wǎng)絡(luò)的過(guò)量廣播。相鄰的端口不會(huì)收到其他VLAN 產(chǎn)生的廣播。這樣可以減少?gòu)V播流量，釋放帶寬給用戶 使 用，減少?gòu)V播的產(chǎn)生 。 3、 增加網(wǎng)絡(luò)的安全性 因?yàn)橐粋€(gè) VLAN 就是一個(gè)單獨(dú)的廣播域， VLAN 之間相互隔離，這大大提高了網(wǎng)絡(luò)的利用率，確保了網(wǎng)絡(luò)的安全保密性。 3.1.3 VLAN 分類 1、 基于端口的 VLAN； 2、 基于 MAC 地址的 VLAN； 3、 基于第 3 層的 VLAN； 4、 基于策略的 VLAN； 3.1.4 公司 VLAN 劃分 財(cái)務(wù)部門 VLAN 10 交換機(jī) S1 接入交換機(jī)（神州數(shù)碼 DCS-5526） 業(yè)務(wù)部門 VLAN 20 交換機(jī) S2 接入交換機(jī)（神州數(shù)碼 DCS-5526） 核心交換機(jī) S3 核心交換機(jī)（神州數(shù)碼 DCRS-5526） S1 配置如下 : switch switchena switch#con switch(Config)#vlan 10 switch(Config-Vlan10)#swithport interface ethernet 0/0/1-20 switch(Config-Vlan10)#exit switch(Config)#exit switch#con switch(Config)#interface vlan 10 switch(Config-if-vlan10)#ip address switch(Config-if-vlan10)#no shutdown switch(Config-if-vlan10)#exit switch(Config)#int e 0/0/24 switch(Config-Ethernet0/0/24)#swithport mode trunk Set the port Ethernet0/0/24 mode TRUNK successfully switch(Config-Ethernet0/0/24)#sw t a v a set the port Ethernet0/0/24 allowed vlan successfully switch(Config-Ethernet0/0/24)#exit S2 配置如下 : Switch Switchena Switch#con switch(Config)#vlan 20 switch(Config-Vlan20)#sw int e 0/0/1-20 switch(Config-Vlan20)#exit switch(Config)#exit switch#con switch(Config)#interface vlan 20 switch(Config-if-vlan20)#ip address switch(Config-if-vlan20)#no shutdown switch(Config-if-vlan20)#exit switch(Config)#int e 0/0/24 switch(Config-Ethernet0/0/24)#sw m t Set the port Ethernet0/0/24 mode TRUNK successfully switch(Config-Ethernet0/0/24)#sw t a v a set the port Ethernet0/0/24 allowed vlan successfully switch(Config-Ethernet0/0/24)#exit S3 配置如下 : switch switchena switch# switch#con switch(Config)#hostname S3 S3(Config)#vlan 10 S3(Config-Vlan10)#vlan 20 S3(Config-Vlan20)#exit S3(Config)#int e 0/0/1-2 S3(Config-Port-Range)#sw m t S3(Config-Port-Range)#sw t a v a S3(Config-Port-Range)#exit S3(Config)#int vlan 10 S3(Config-If-Vlan10)#ip address S3(Config-If-Vlan10)#no shutdown S3(Config-If-Vlan10)#exit S3(Config)#int vlan 20 00:04:23: %LINK-5-CHANGED: Interface Vlan20, changed state to UP %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed state to UP S3(Config-If-Vlan20)#ip address S3(Config-If-Vlan20)#no shutdown S3(Config-If-Vlan20)#exit S3(Config)#exit S3(Config-If-Vlan1)#ip address S3(Config-If-Vlan1)#no shutdown S3(Config-If-Vlan1)#exit S3(Config)#exit S3#show ip route S3#con S3(Config)#ip route 3.2 VPN 功能和作用 3.2.1 VPN 介紹 VPN （虛擬專用網(wǎng)絡(luò)）是指利用公共網(wǎng)絡(luò)建立私有專用網(wǎng)絡(luò)。數(shù)據(jù)通過(guò)安全的“加密隧道”在公共網(wǎng)絡(luò)中傳播。連接在 Internet 上的位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通信線路 ，就好比是架設(shè)了一條專線一樣，但是它并不需要真正地去鋪設(shè)光纜之類的物理線路。 VPN 利用公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施為企業(yè)各部門提供安全的網(wǎng)絡(luò)互聯(lián)服務(wù)，能夠使運(yùn)行在 VPN 之上的商業(yè)應(yīng)用享有幾乎和專用網(wǎng)絡(luò)同樣的安全性、可靠性、優(yōu)先級(jí)別和可管理性。企業(yè)只需要租用本地的數(shù)據(jù)專線，連接上本地的公共信息網(wǎng)，各地的機(jī)構(gòu)就可以互相傳遞信息。同時(shí)企業(yè)還可以利用公共信息網(wǎng)的撥號(hào)接入設(shè)備，讓自己的用戶撥號(hào)到公眾信息網(wǎng)上，就可以安全地連接進(jìn)入企業(yè)網(wǎng)中。使用 VPN 有節(jié)省成本、提供遠(yuǎn)程訪問(wèn)擴(kuò)展性強(qiáng)、便于管理和實(shí)現(xiàn)全面控制等好處，是目前和今后企業(yè)網(wǎng)絡(luò)發(fā)展的趨勢(shì)。 3.2.2 VPN 優(yōu)點(diǎn) 1.節(jié)約成本 2.增強(qiáng)的安全性 3.網(wǎng)絡(luò)協(xié)議支持 4.容易擴(kuò)展 5.可隨意與合作伙伴聯(lián)網(wǎng) 6.完全控制主動(dòng)權(quán) 7.安全的 IP 地址 3.2.3 公司配置 VPN 服務(wù)器 公司 VPN 服務(wù)器端使用 Win2000；客戶機(jī)端使用 Win98 來(lái)設(shè)置 VPN。 （ 1）尚未配置： Win2K 中的 VPN 包含在 路由和遠(yuǎn)程訪問(wèn)服務(wù) 中。當(dāng) Win2K 服務(wù)器安裝好之后，它也就隨之自動(dòng)存在了！不過(guò)此時(shí)當(dāng)打開(kāi) 管理工具 中的 路由和遠(yuǎn)程訪問(wèn)項(xiàng)進(jìn)入其主窗口后，在左邊的 樹(shù) 欄中選中 服務(wù)器準(zhǔn)狀態(tài) ，即可從右邊看到其 狀態(tài) 正處于 已停止（未配置） 的情況下。 （ 2）開(kāi)始配置：要想讓計(jì)算機(jī)能接受客戶機(jī)的 VPN 撥入，必須對(duì) VPN 服務(wù)器進(jìn)行配置。在左邊窗口中選中 SERVER（服務(wù)器名），在其上單擊右鍵，選 配置并啟用路由和遠(yuǎn)程訪問(wèn) 。 配置并啟用路由和遠(yuǎn)程訪問(wèn) ，如圖 3-1 所示。 圖 3-1 設(shè)置路由和遠(yuǎn)程訪問(wèn) （ 3）如果以前已經(jīng)配置過(guò)這臺(tái)服務(wù)器，現(xiàn)在需要重新開(kāi)始，則在 SERVER（服務(wù)器名）上單擊右鍵，選 禁用路由和遠(yuǎn)程訪問(wèn) ，即可停止此服務(wù)，以便重新配置！ （ 4）當(dāng)進(jìn)入配置向?qū)е?，?公共設(shè)置 中，點(diǎn)選中 虛擬專用網(wǎng)絡(luò)（ VPN）服務(wù)器，以便讓用戶能通過(guò)公共網(wǎng)絡(luò)（比如 Internet）來(lái)訪問(wèn)此服務(wù)器。 虛擬專用網(wǎng)絡(luò)（ VPN）服務(wù)器 ，如圖 3-2 所示。 圖 3-2 設(shè)置虛擬專用網(wǎng) （ 5）在 遠(yuǎn)程客戶協(xié)議 的對(duì)話框中，一般來(lái)說(shuō)，這里面至少應(yīng)該已經(jīng)有了 TCP/IP協(xié)議，則只需直接點(diǎn)選 是，所有可用的協(xié)議都在列表上 再 下一步 即可。 （ 6）之后系統(tǒng) 會(huì)要求你再選擇一個(gè)此服務(wù)器所使用的 Internet 連接，在其下的列表中選擇所用的連接方式（比如已建立好的撥號(hào)連接或通過(guò)指定的網(wǎng)卡進(jìn)行連接等）再 下一步 。 （ 7）接著在回答 您想如何對(duì)遠(yuǎn)程客戶機(jī)分配 IP 地址 的詢問(wèn)時(shí)，除非你已在服務(wù)器端安裝好了 DHCP 服務(wù)器，否則請(qǐng)?jiān)诖颂庍x 來(lái)自一個(gè)指定的 IP 地址范圍 （推薦）。 （ 8）然后再根據(jù)提示輸入你要分配給客戶端使用的起始 IP 地址， 添加 進(jìn)列表中，比如此處為 00。（請(qǐng)注意，此 IP 地址范圍要同服務(wù)器本身的IP 地址處在 同一個(gè)網(wǎng)段中，即前面的 192.168.1部分一定要相同！） （ 9）最后再選 不，現(xiàn)在不想設(shè)置此服務(wù)器使用 RADIUS即可完成最后的設(shè)置。此時(shí)屏幕上將自動(dòng)出現(xiàn)一個(gè)正在開(kāi)戶 路由和遠(yuǎn)程訪問(wèn)服務(wù) 的小窗口，當(dāng)它消失之后，打開(kāi) 管理工具 中的 服務(wù) ，即可以看到 Routing and Remote Access（路由和遠(yuǎn)程訪問(wèn)）項(xiàng) 自動(dòng) 處于 已啟動(dòng) 狀態(tài)了！ 已啟動(dòng)狀態(tài) ,如圖 3-3 所示。 圖 3-3 啟動(dòng)狀態(tài) 3.3 操作系統(tǒng)的安全配置 操作系統(tǒng)安全策略 利用 Windows 2000 的安全配置工具來(lái)配置安全策略，微軟提供了一套的基于管理控 制臺(tái)的安全配置和分析工具，可以配置服務(wù)器的安全策略。 在 管理工具中可以找到 “ 本地安全策略 ” ，主界面如圖 3-4 所示。 圖 3-4 本地安全設(shè)置主界面 可配置四類安全策略：帳戶策略、本地策略、公鑰策略和 IP 安全策略。默認(rèn)的情況下，這些策略都沒(méi)有開(kāi)啟。 關(guān)閉不必要的服務(wù) Windows 2000 的 Terminal Services（終端服務(wù)）和 IIS（ Internet 信息服務(wù)）等都可能給系統(tǒng)帶來(lái)安全漏洞。 為了能夠遠(yuǎn)程方便的管理服務(wù)器，很多機(jī)器的終端服務(wù)都是開(kāi)著，如果開(kāi)了，要確認(rèn)已經(jīng)正確的配置了終端服務(wù)。 有些惡意的程序也能以服務(wù)方式悄悄的運(yùn)行服務(wù)器上的終端服務(wù)。要留意服務(wù)器上開(kāi)啟的所有服務(wù)并每天檢查。 方法一：程序 -運(yùn)行 -打開(kāi) services.msc 方法二：我的電腦 -鼠標(biāo)右鍵下拉菜單 -管理 方法三：控制面板 -性能和維護(hù) -管理工具 -服務(wù) 圖 3-5 計(jì)算機(jī)管理 關(guān)閉不必要的端口 關(guān)閉端口意味著減少功能，如果服務(wù)器安裝在防火墻的后面，被入侵的機(jī)會(huì)就會(huì)少一些，但不可認(rèn)為高枕無(wú)憂了。用端口掃描器掃描系統(tǒng)所開(kāi)放的端口，在Winntsystem32driversetcservices 文件中有知名端口和服務(wù)的對(duì)照表可供參考。該文件用記事本打開(kāi)如圖 3-6 所示。 圖 3-6 端口掃描表 設(shè)置本機(jī)開(kāi)放的端口和服務(wù)，在 IP 地址設(shè)置窗口中點(diǎn)擊按鈕 “ 高級(jí) ” ，在出現(xiàn)的對(duì)話框中選擇選項(xiàng)卡 “ 選項(xiàng) ” ，選中 “TCP/IP 篩選 ” ，點(diǎn)擊按鈕 “ 屬性 ” ， 設(shè)置端口界面如圖圖 3-7 所示。 圖 3-7 TCP/IP 篩選 一臺(tái) Web 服務(wù)器只允許 TCP 的 80 端口通過(guò)就可以了。 TCP/IP 篩選器是 Windows 自帶的防火墻，功能比較強(qiáng)大，可以替代防火墻的部分功能。 開(kāi)啟審核策略 安全審核是 Windows 2000 最基本的入侵檢測(cè)方法。當(dāng)有人嘗試對(duì)系統(tǒng)進(jìn)行某種方式（如嘗試用戶密碼，改變帳戶策略和未經(jīng) 許可的文件訪問(wèn)等等）入侵的時(shí)候，都會(huì)被安全審核記錄下來(lái)。審核策略在默認(rèn)的情況下都是沒(méi)有開(kāi)啟的。如圖 3-8 所示。 圖 3-8 審核策略 雙擊審核列表的某一項(xiàng)，出現(xiàn)設(shè)置對(duì)話框，將復(fù)選框 “ 成功 ” 和 “ 失敗 ” 都 選中，如圖 3-9 所示。 圖 3-9 本地安全策略設(shè)置 開(kāi)啟密碼策略 密碼對(duì)系統(tǒng)安全非常重要。本地安全設(shè)置中的密碼策略在默認(rèn)的情況下都沒(méi)有開(kāi)啟。設(shè)置選項(xiàng)如圖 3-10 所示。 圖 3-10 密碼策略設(shè)置 開(kāi)啟帳戶策略 開(kāi)啟帳戶策略可以有效的防止字典式攻擊。設(shè)置選項(xiàng)如圖 3-11 所示。 圖 3-11 賬戶策略設(shè)置 備份敏感文件 把敏感文件存放在另外的文件服務(wù)器中，雖然服務(wù)器的硬盤(pán)容量都很大，但是還是應(yīng)該考慮把一些重要的用戶數(shù)據(jù)（文件，數(shù)據(jù)表和項(xiàng)目文件等）存放在另外一個(gè)安全的服務(wù)器中，并且經(jīng)常備份它們。 不顯示上次登錄名 默認(rèn)情況下，終端服務(wù)接入服務(wù)器時(shí)，登陸對(duì)話框中會(huì)顯示上次登陸的帳戶名，本地的登陸對(duì)話框也是一樣。黑客們可以得到系統(tǒng)的一些用戶名，進(jìn)而做密碼猜測(cè)。 修 改 注 冊(cè) 表 ， 在 HKEY_LOCAL_MACHINESoftware MicrosoftWindows NTCurrentVersionWinlogon。將 DontDisplayLastUserName 鍵值改成 1，如圖 3-12所示。 圖 3-12 注冊(cè)表編輯器 打開(kāi)管理工具 -本地安全策略 -本地策略 -安全選項(xiàng)，在打開(kāi)窗口右側(cè)列 表中選擇 “ 登錄屏幕上不要顯示上次登錄的用戶名 ” 選項(xiàng)，在彈出對(duì)話框選擇 “ 已啟用 ” ，如圖 3-13 所示。 圖 3-13 安全選項(xiàng) 備份注冊(cè)表 注冊(cè)表是不能隨便改動(dòng)的，除非特別有把握。注冊(cè)表更改處理不好的話，可能會(huì)導(dǎo)致計(jì)算機(jī)不能正常啟動(dòng)或計(jì)算機(jī)某些功能不能用， 甚至當(dāng)將原來(lái)的更改還原回去也一樣不能用。 所以在更改注冊(cè)表的任何一項(xiàng)之前，最好將注冊(cè)表備份。當(dāng)系統(tǒng)因?yàn)楦淖?cè)表而出問(wèn)題時(shí)，可以采用恢復(fù)注冊(cè)表的方式來(lái)恢復(fù)系統(tǒng)。 禁止建立空連接 默認(rèn)情況下，任何用戶通過(guò)空連接連上服務(wù)器，進(jìn)而可以枚舉出帳號(hào)，猜測(cè)密碼。 修改注冊(cè)表，在 HKEY_LOCAL_MACHINESystem CurrentControlSetControlLSA，將 RestrictAnonymous 鍵值改成 “1” 即可。如圖 3-14 所示。 圖 3-14 修改注冊(cè)表 下載最新的補(bǔ)丁 很多網(wǎng)絡(luò)管理員沒(méi)有訪問(wèn)安全站點(diǎn)的習(xí)慣，以至于一些漏洞都出了很久，還放著服務(wù)器的漏洞未打補(bǔ)丁。誰(shuí)也不敢保證數(shù)百萬(wàn)行以上代碼的 Windows 2000 不出一 點(diǎn)安全漏洞。 經(jīng)常訪問(wèn)微軟和一些安全站點(diǎn)，下載最新的 Service Pack 和漏洞補(bǔ)丁，是保障服務(wù)器長(zhǎng)久安全的唯一方法?？梢允褂靡恍┏Ｓ玫穆┒磼呙柢浖∠葤呙璩雎┒?。 3.4 防火墻的安裝與管理 防火墻是計(jì)算機(jī)網(wǎng)絡(luò)上一類防范措施的總稱，它使得內(nèi)部 網(wǎng) 絡(luò)與 Internet 之間或其它外部網(wǎng)絡(luò)互相隔離、限制網(wǎng)絡(luò)互訪，用來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)。防火墻簡(jiǎn)單的可以只用路由器實(shí)現(xiàn)，復(fù)雜的則可以用主機(jī)甚至一個(gè)子網(wǎng)來(lái)實(shí)現(xiàn)，設(shè)置防火墻的目的都是為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)立惟一的通道來(lái)自簡(jiǎn)化網(wǎng)絡(luò)的安全管理。防火墻的功能主要是過(guò)濾掉不安全服務(wù)和非法用戶與控制對(duì)特殊站點(diǎn)的訪問(wèn)以及提供監(jiān)視 Internet 安全和預(yù)警的方便端點(diǎn)。 實(shí)現(xiàn)防火墻技術(shù)從層次上大概可以分為報(bào)文過(guò)濾和應(yīng)用層網(wǎng)關(guān)。報(bào)文過(guò)濾是在 IP 層實(shí)現(xiàn)的，它的原理是根據(jù)報(bào)文的源 IP 地址、目的 IP 地址、源端口、目的端口報(bào)文信息來(lái)判斷是否允許報(bào)文通過(guò)，因此它可以只用路由器完成。 在建材公司內(nèi)部網(wǎng)絡(luò)的出口處，放置防火墻，通過(guò)包過(guò)濾安全設(shè)置，保護(hù)建材公司內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)免遭來(lái)自國(guó)際互聯(lián)網(wǎng)的黑客攻擊、病毒侵?jǐn)_。 3.4.1 防火墻的安裝 安裝防火墻的 WEB 管理終端 遠(yuǎn)東網(wǎng)安防火墻的管理操作主要在 WEB 管理終端提供。安裝 WEB 管理終端不需要特殊的附加軟件，只要 具有管理權(quán)限并安裝了 WEB 瀏覽器，任何一臺(tái)內(nèi)部主機(jī)都可以作為WEB 管理終端來(lái)使用。 安裝遠(yuǎn)東網(wǎng)安防火墻 WEB 管理終端： 使用一臺(tái)基于 Windows XP 平臺(tái)或 Linux 平臺(tái)的計(jì)算機(jī) A 。 在計(jì)算機(jī) A上安裝 WEB瀏覽器 可以是任何標(biāo)準(zhǔn)的客戶端軟件，如： Internet Explorer ( Windows )； Netscape ( Windows, UNIX )； Mozilla ( UNIX )。 配置計(jì)算機(jī) A 的網(wǎng)絡(luò)地址，使其與遠(yuǎn)東網(wǎng)安防火墻中心系統(tǒng)的某個(gè)網(wǎng)口 E 的網(wǎng)址在同個(gè)網(wǎng)段（如果計(jì)算 機(jī) A 的網(wǎng)絡(luò)接口與遠(yuǎn)東網(wǎng)安防火墻中心系統(tǒng)的網(wǎng)口 E（ eth0）連接，則網(wǎng)絡(luò)地址可以設(shè)置為 1/）。防火墻初始網(wǎng)址為： eth0: / eth1: / eth2: / eth3: / 將計(jì)算機(jī) A 的網(wǎng)絡(luò)接口與遠(yuǎn)東網(wǎng)安防火墻中心系統(tǒng)的網(wǎng)口 E（ eth0）連接起來(lái)，如果是直接相連 則必須使用反接的雙絞線 (背對(duì)背線 )。 在計(jì)算機(jī) A 上打開(kāi) WEB 瀏覽器，在地址欄輸入 E 的網(wǎng)址： /。 (或者另外三個(gè)防火墻的初始網(wǎng)址 ) 注意 WEB 瀏覽器的地址欄中是以 https 開(kāi)頭而不是http，表示加密的 http 通信。 如果網(wǎng)絡(luò)連接配置無(wú)誤，就可以在計(jì)算機(jī) A 上訪問(wèn)遠(yuǎn)東網(wǎng)安防火墻中心系統(tǒng)的 WEB管理界面了，如圖 3-15 所示。 圖 3-15 WEB 管理界面 3.4.2 防火墻的管理 管理權(quán)限： 通過(guò) WEB 管理終端對(duì)遠(yuǎn)東網(wǎng)安防火墻進(jìn)行管理操作需要有管理權(quán)限。防火墻的出廠缺省配置給予內(nèi)部網(wǎng)保留地址的主機(jī)所有管理權(quán)限。 防火墻的管理權(quán)限是按功能范圍劃分的。獲得管理權(quán)限可以在客戶端運(yùn)行用戶認(rèn)證客戶端 SecureKey,，然后輸入用戶名 /口令，驗(yàn)證成功后即獲得該用戶的管理權(quán)限。 用戶認(rèn)證客戶端 SecureKey 用戶登錄遠(yuǎn)東網(wǎng)安防火墻使用用戶認(rèn)證客戶端 SecureKey。 SecureKey 是隨遠(yuǎn)東網(wǎng)安防火墻附帶的登錄認(rèn)證軟件。使用 SecureKey 登錄到防火墻后，就可以訪問(wèn)防火墻的 WEB管理終端 并利用登錄用戶的管理權(quán)限范圍執(zhí)行若干功能模塊的管理操作。安裝了 SecureKey 之后，就可以在程序菜單中點(diǎn)擊 SecureKey 或者直接執(zhí)行桌面的快捷方式打開(kāi) SecureKey，如圖 3-16 所示。 圖 3-16 一次性口令認(rèn)證 輸入遠(yuǎn)東網(wǎng)安防火墻的 IP 信息、登錄用戶名、用戶密碼，然后點(diǎn)擊“連接”按鈕，SecureKey 就會(huì)與防火墻建立加密的 SSL 通道，進(jìn)行用戶名和口令驗(yàn)證。 如果用戶登錄有錯(cuò)誤，比如防火墻 IP 無(wú)法連接、用戶不存在、用戶密碼錯(cuò)誤、超過(guò)最大用戶登錄人數(shù)、該用戶已登錄、本主機(jī)已由其他用戶登錄等等 錯(cuò)誤時(shí)， SecureKey會(huì)彈出提示框顯示相應(yīng)的錯(cuò)誤信息。如果各參數(shù)無(wú)誤，成功登錄后 SecureKey 窗口會(huì)自動(dòng)最小化并在系統(tǒng)任務(wù)欄中顯示圖標(biāo)，雙擊該圖標(biāo)可以重新打開(kāi) SecureKey 窗口，此時(shí)顯示已登錄狀態(tài)，如圖 3-17 所示。 圖 3-17 一次性口令認(rèn)證 使用 SecureKey 登錄，有幾點(diǎn)注意事項(xiàng)： 如果指定了綁定的 IP 和 MASK，則該只能在綁定的 IP 范圍內(nèi)使用 SecureKey 登錄。 一臺(tái)主機(jī)同一時(shí)刻只能由一個(gè)用戶登錄。 一個(gè)用戶同一時(shí)刻只能在一臺(tái)主機(jī)上登錄，也就是說(shuō)，已登錄的用戶無(wú)法 在任一主機(jī)上再次登錄。 如果已經(jīng)登錄的用戶數(shù)達(dá)到了最大限制數(shù)，其它用戶也無(wú)法再登錄。 用戶登錄可以由用戶主動(dòng)注銷，也可以由管理員在 WEB 管理終端強(qiáng)行切斷。 已登錄的用戶如果其主機(jī)與防火墻中心系統(tǒng)斷開(kāi)網(wǎng)絡(luò)連接超過(guò)定義的時(shí)間，防火墻也會(huì)主動(dòng)將該登錄取消并作記錄。 3.4.3 安裝證書(shū) 遠(yuǎn)東網(wǎng)安防火墻的 WEB 管理終端與中心系統(tǒng)的通信是加密的 HTTPS 協(xié)議，第一次訪問(wèn) WEB 管理界面的時(shí)候，瀏覽器會(huì)提示此加密通信的證書(shū)沒(méi)有得到信任，如圖 3-18 所示。點(diǎn)擊“是”按鈕可以忽略驗(yàn)證過(guò)程，對(duì) WEB 管理過(guò)程沒(méi)有影 響。如果在安裝 WEB 管理終端的主機(jī)上安裝防火墻的根證書(shū)，以后就不會(huì)出現(xiàn)此警報(bào)。 圖 3-18 安全警報(bào) 安裝根證書(shū)的方法是將遠(yuǎn)東網(wǎng)安防火墻隨機(jī)附帶光盤(pán)中的根證書(shū) (FarEastCA.cer文件 )復(fù)制到安裝 WEB 管理終端的主機(jī)上，雙擊打開(kāi)此文件查看證書(shū)信息，如圖 3-19 所示，并點(diǎn)擊安裝證書(shū)按鈕： 圖 3-19 證書(shū) 點(diǎn)擊安裝證書(shū)按鈕就打開(kāi)了證書(shū)導(dǎo)入向?qū)?，如圖 3-20 所示。 圖 3-20 證書(shū)導(dǎo)入向?qū)?保持向?qū)У娜笔∵x項(xiàng)不變，依次點(diǎn)擊確認(rèn)按鈕如“下一步”、“完成”、“是”等往后安裝，最后完成根證書(shū) FarEastCA 的導(dǎo)入過(guò)程。 完成了證書(shū)的驗(yàn)證工作后，還要使證書(shū)上的名稱與防火墻站點(diǎn)名稱匹配，也就是在用 WEB瀏覽器訪問(wèn)遠(yuǎn)東網(wǎng)安防火墻時(shí)。這要求安裝 WEB 管理終端的主機(jī)上對(duì) FEFW 有域名解析，可以通過(guò)編輯 c:winntsystem32driversetchosts 文件來(lái)實(shí)現(xiàn)，在該文件末尾添加 一行： FEFW 其中 是防火墻的網(wǎng)址，如果 WEB 管理終端連接的是另一個(gè)防火墻網(wǎng)址，或者防火墻網(wǎng)址做了更改，則需要將 改成相應(yīng)的網(wǎng)址。 3.4.4 遠(yuǎn)程監(jiān)控臺(tái)的安裝 遠(yuǎn)程監(jiān)控臺(tái) RemoteMonitor 是一個(gè)防火墻狀態(tài)實(shí)時(shí)監(jiān)控軟件，可以在網(wǎng)絡(luò)中集中的監(jiān)控多臺(tái)遠(yuǎn)東網(wǎng)安防火墻，實(shí)時(shí)的反映各臺(tái)防火墻的狀態(tài)信息，如圖 3-21 所示。 圖 3-21 遠(yuǎn)程監(jiān)控臺(tái) 遠(yuǎn)程監(jiān)控臺(tái)運(yùn)行于 Windows 平臺(tái)，安裝文件在遠(yuǎn)東網(wǎng)安防火墻隨機(jī)附帶的軟件光盤(pán)上，運(yùn)行“遠(yuǎn)程監(jiān)控臺(tái)”目錄下的 setup.exe 文件，就可以按照安裝向?qū)У闹甘疽徊讲酵瓿蛇h(yuǎn)程監(jiān)控臺(tái)的安裝。 3.5 防火墻的配置 配置遠(yuǎn)東網(wǎng)安防火墻的 NAT 工作模式 配置目的：在不改變網(wǎng)絡(luò)拓?fù)涞那闆r下，使建材公司內(nèi)部的 計(jì)算機(jī)訪問(wèn)國(guó)際互聯(lián)網(wǎng)的時(shí)候，經(jīng)過(guò)包過(guò)濾安全設(shè)置。 初始工作環(huán)境說(shuō)明：管理主機(jī)的 IP： 5 外網(wǎng)的網(wǎng)關(guān)是： 54 防火墻的 LAN（ eth0）口的 IP： （默認(rèn)） 網(wǎng)卡說(shuō)明： eth0: eth1: eth2: eth3: （ 1）按照系統(tǒng)管理員 手冊(cè)的說(shuō)明，用超級(jí)終端連上防火墻的操作臺(tái)。將管理主機(jī)與防火墻的 eth0 口相連，并設(shè)置 ip 地址設(shè)為 5，在瀏覽器地址欄中輸入https:/ 即可訪問(wèn) web 管理終端。在彈出的安全警報(bào)窗口中選“是”，如圖 3-22 所示。 圖 3-22 安全警報(bào) 出現(xiàn)管理終端，如圖 3-23 所示。 圖 3-23 管理終端 （ 2）在“網(wǎng)絡(luò)管理”選項(xiàng)的“網(wǎng)絡(luò)地址欄”對(duì)話框內(nèi)輸入 IP 地址，如圖 3-24 所示。 圖 3-24 網(wǎng)絡(luò)地址 （ 3）在“防火墻”選項(xiàng)的“地址轉(zhuǎn)換”對(duì)話框內(nèi)，為“靜態(tài) NAT”添加一個(gè)默認(rèn)的規(guī)則，出口為 ETH1:WAN 口，如圖 3-25 所示。 圖 3-25 靜態(tài) NAT （ 4）在“防火墻”選項(xiàng)的“訪問(wèn)控制”對(duì)話框內(nèi)添加一個(gè)默認(rèn)的規(guī)則，如圖 3-26所示。 圖 3-26 訪問(wèn)控制 （ 5）配置訪問(wèn)控制規(guī)則： 首先點(diǎn)擊包過(guò)濾（ any-any），配置如圖 3-27 所示。 圖 3-27 包過(guò)濾規(guī)則配置 然后點(diǎn)擊“規(guī)則修改完成”。 點(diǎn)擊“動(dòng)作”（ default） ,配置動(dòng)作為通過(guò)，再點(diǎn)擊“保存”按鈕，如圖 3-28 所示。 圖 3-28 動(dòng)作變量 （ 6）配置客戶主機(jī)網(wǎng)絡(luò)參數(shù)。 使客戶主 機(jī)的地址和 eth0:lan 同一個(gè)網(wǎng)段，外網(wǎng)的網(wǎng)關(guān)是： 54。 現(xiàn)在，經(jīng)過(guò)連通性測(cè)試，如圖 3-29 所示，就可以正常登錄國(guó)際互聯(lián)網(wǎng)了。 圖 3-29 網(wǎng)絡(luò)測(cè)試 第 4 章 公司網(wǎng)絡(luò)安全維護(hù) 4.1 公司管理的安全性 管理方面的安全隱患包括：內(nèi)部管理人員或員工圖方便省事，不設(shè)置用戶口令，或者設(shè)置的口令過(guò)短和過(guò)于簡(jiǎn)單，導(dǎo)致很容易破解。責(zé)任不清，使用相同的用戶名、口令，導(dǎo)致權(quán)限管理混亂，信息泄密。把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員用戶名及口令以及系統(tǒng)的一些重要信息傳播給外人帶來(lái)信息泄漏風(fēng)險(xiǎn)。內(nèi)部不滿 的員工有的可能造成極大的安全風(fēng)險(xiǎn)。 管理是網(wǎng)絡(luò)中安全得到保證的重要組成部分，是防止來(lái)自內(nèi)部網(wǎng)絡(luò)入侵必須的部分。責(zé)權(quán)不明，管理上混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。即除了從技術(shù)上下功夫外，還得依靠安全管理來(lái)實(shí)現(xiàn)。 安全管理包括安全技術(shù)和設(shè)備的管理，安全管理制度，部門與人員的組織規(guī)則等。管理的制度化程度極大地影響著整個(gè)網(wǎng)絡(luò)的安全，嚴(yán)格的安全管理制度、明確的部門安全職責(zé)劃分、合理的人員角色定義都可以在很大程度上降低其