云南工商學(xué)院畢業(yè)設(shè)計PAGEPAGE17云南工商學(xué)院學(xué)生畢業(yè)作業(yè)（設(shè)計）山東香山裝飾工程企業(yè)網(wǎng)絡(luò)安全部署設(shè)計（硬件方向） 設(shè)計小組二級學(xué)院機電信息學(xué)院專業(yè)計算機網(wǎng)絡(luò)技術(shù)專業(yè)年級11級班級網(wǎng)絡(luò)技術(shù)一班學(xué)號11013200001姓名郭臺指導(dǎo)教師何斌穎職稱講師2013山東香山裝飾工程企業(yè)網(wǎng)絡(luò)安全部署設(shè)計（硬件方向）［摘要］于這幾年由信息化技術(shù)的飛速發(fā)展，許多有遠(yuǎn)見的企業(yè)都認(rèn)識到計算機網(wǎng)絡(luò)信息安全在國民生活中受到越來越多的關(guān)注，原因在于：許多重要的信息存儲在網(wǎng)絡(luò)上，一旦這些信息泄露出去將造成無法估量的損失。之所以網(wǎng)絡(luò)信息會泄露出去，一方面有許多入侵者千方百計想“看”到一些關(guān)心的數(shù)據(jù)或者信息；另一方面網(wǎng)絡(luò)自身存在安全隱患才使得入侵者得逞。針對這些問題，該文歸納并提出了一些網(wǎng)絡(luò)信息安全防護的方法和策略。重點研究在物理隔離的情況下計算機網(wǎng)絡(luò)的安全問題。在對網(wǎng)絡(luò)系統(tǒng)有了確切的了解之后，將局域網(wǎng)總體劃分為三個安全等級，每個等級中包含若干子網(wǎng)，各類子網(wǎng)設(shè)置了各自的安全策略。按照計算機網(wǎng)絡(luò)安全設(shè)計的目標(biāo)及其計算機網(wǎng)絡(luò)安全系統(tǒng)的總體規(guī)劃，對計算機網(wǎng)絡(luò)安全問題進行了全面的分析。依照各個安全等級的安全需求，設(shè)計了網(wǎng)絡(luò)的安全方案。在滿足各子網(wǎng)系統(tǒng)建設(shè)的前提下，提出了包括病毒防護、動態(tài)口令身份認(rèn)證、安全審計管理、訪問控制、信息加密策略、入侵檢測系統(tǒng)的部署、漏洞掃描系統(tǒng)等管理措施和安全技術(shù)在內(nèi)的整套解決方案。目的是建立一個完整的、立體的網(wǎng)絡(luò)安全防御體系，使網(wǎng)絡(luò)安全系統(tǒng)真正獲得較好的效果。［關(guān)鍵詞］網(wǎng)絡(luò)安全掃描系統(tǒng)防火墻病毒入侵網(wǎng)絡(luò)威脅安全防范措施。ShandongXiangshandecorationengineeringenterprisenetworksecuritydeploymentdesign(hardware)［Abstract］Becauseoftherapiddevelopmentofinformationtechnologyinthepastfewyears,manyforward-lookingcompaniesrecognizethatthecomputernetworkinformationsecurityispaidmoreandmoreattention,inthenationallifereason:manyimportantinformationinthenetwork,iftheinformationleakedwouldcauseimmeasurablelosses.Thenetworkinformationwillleakout,ononehandmanyinvadersmakeeveryattemptto"look"tosomeconcerneddataorinformation;ontheotherhand,thenetwork'sownexistencesafetyhiddendangermakestheintruder.Aimingattheseproblems,thispapersummarizesandputsforwardsomemethodsandStrategiesofnetworkinformationsecurityprotection.Safetyissuesfocusonthephysicalseparationofthecasesofcomputernetwork.Tohaveapreciseunderstandingofthenetworksystem,theLANisgenerallydividedintothreesecuritylevels,eachlevelincludesseveralsubnetwork,allkindsofnetworktosetuptheirsecuritystrategy.Inaccordancewiththeoverallplanninganddesignofcomputernetworksecuritygoalandsecurityofcomputernetworksystem,thesecurityofcomputernetworkareanalyzed.Accordingtodifferentsecuritylevelsecurityneeds,designthesecurityschemeofnetwork.Inordertomeetthesystemconstructionofeachsubnetwork,includingtheproposedvirusprotection,dynamicpasswordauthentication,secureauditmanagement,accesscontrol,informationencryption,intrusiondetectionsystemdeployment,vulnerabilityscanningsystemandothermanagementmeasuresandsafetytechnology,setofsolutions.Thepurposeistoestablishacomplete,thethree-dimensionalnetworksecuritydefensesystem,sothatthenetworksecuritysystemtrulyachievebettereffect.［Keywords］networksecurityfirewallvirusscanningsystemnetworkthreatsecuritymeasures.［目錄］TOC\o"1-2"\h\z\u第1章緒論 11.1引言 11.2網(wǎng)絡(luò)安全背景知識 11.3網(wǎng)絡(luò)安全的概念和目標(biāo) 2第2章企業(yè)網(wǎng)絡(luò)安全的威脅及需求 32.1物理層安全風(fēng)險 32.2系統(tǒng)層安全風(fēng)險 32.3病毒的安全風(fēng)險 32.4管理的安全風(fēng)險 4第3章安全產(chǎn)品的配置與應(yīng)用 53.1安全產(chǎn)品 53.2訪問控制：防火墻系統(tǒng) 53.3入侵檢測系統(tǒng) 63.4漏洞掃描系統(tǒng) 7第4章公司網(wǎng)絡(luò)安全設(shè)計 94.1網(wǎng)絡(luò)設(shè)計原則 94.2公司需求 94.3項目要求 104.4企業(yè)設(shè)計前網(wǎng)絡(luò)拓?fù)鋱D 114.5企業(yè)項目設(shè)計圖 124.6實施方案 12第5章安全方案測試 145.1測試管理方案 145.2測試安全方案 14第6章結(jié)論 15致謝 16參考文獻 17第1章緒論1.1引言近年來，伴隨著互聯(lián)網(wǎng)技術(shù)在全球迅猛發(fā)展，人們在提供了極大的方便，然而，信息化在給人們帶來種種物質(zhì)和文化享受的同時，我們也正受到日益嚴(yán)重的來自網(wǎng)絡(luò)的安全威脅，諸如網(wǎng)絡(luò)的數(shù)據(jù)竊賊、黑客的侵襲、病毒發(fā)布者，甚至系統(tǒng)內(nèi)部的泄密者。盡管我們正在廣泛地使用各種復(fù)雜的軟件技術(shù)，如防火墻、代理服務(wù)器、侵襲探測器、通道控制機制，但是，無論在發(fā)達(dá)國家，還是在發(fā)展中國家，黑客活動越來越猖狂，他們無孔不入，對社會造成了嚴(yán)重的危害。與此同時，更讓人不安的是，互聯(lián)網(wǎng)上黑客網(wǎng)站還在不斷增加，學(xué)習(xí)黑客技術(shù)、獲得黑客攻擊工具變得輕而易舉。這樣，使原本就十分脆弱的互聯(lián)網(wǎng)越發(fā)顯得不安全。針對各種來自網(wǎng)上的安全威脅，怎樣才能確保網(wǎng)絡(luò)信息的安全性，尤其是網(wǎng)絡(luò)上重要的數(shù)據(jù)的安全性。本文通過對幾起典型的網(wǎng)絡(luò)安全事件的分析，以及對威脅網(wǎng)絡(luò)安全的幾種典型方法研究的結(jié)果，提出實現(xiàn)防護網(wǎng)絡(luò)安全的具體策略。1.2網(wǎng)絡(luò)安全背景知識1.計算機系統(tǒng)遭受病毒感染和破壞的情況相當(dāng)嚴(yán)重。據(jù)國家計算機病毒應(yīng)急處理中心數(shù)據(jù)看，從國家計算機病毒應(yīng)急處理中心日常監(jiān)測結(jié)果看來，計算機病毒呈現(xiàn)出異?；钴S的態(tài)勢。2.電腦黑客活動己形成重要威脅。網(wǎng)絡(luò)信息系統(tǒng)具有致命的脆弱性、易受攻擊性和開放性，從國內(nèi)情況來看，目前我國95%與互聯(lián)網(wǎng)相聯(lián)的網(wǎng)絡(luò)管理中心都遭受過境內(nèi)外黑客的攻擊或侵入。3.信息基礎(chǔ)設(shè)施面臨網(wǎng)絡(luò)安全的挑戰(zhàn)。面對信息安全的嚴(yán)峻形勢，我國的網(wǎng)絡(luò)安全系統(tǒng)在預(yù)測、反應(yīng)、防范和恢復(fù)能力方面存在許多薄弱環(huán)節(jié)。據(jù)英國《簡氏戰(zhàn)略報告》和其它網(wǎng)絡(luò)組織對各國信息防護能力的評估，我國被列入防護能力最低的國家之一，不僅大大低于美國、俄羅斯和以色列等信息安全強國，而且排在印度、韓國之后。近年來，國內(nèi)與網(wǎng)絡(luò)有關(guān)的各類違法行為以每年30%的速度遞增。網(wǎng)絡(luò)環(huán)境的多變性、復(fù)雜性，以及信息系統(tǒng)的脆弱性，決定了網(wǎng)絡(luò)安全威脅的客觀存在。我國日益開放并且走向世界，建立保護屏障和加強安全監(jiān)管不可缺少。近年來，隨著網(wǎng)絡(luò)安全事件的發(fā)生，人們越來越清楚的意識到，信息時代所引發(fā)的信息安全問題涉及到人們生活的方方面面。因此可以說，在信息化社會里，信息安全的重要性再怎么強調(diào)也不過分。

1.3網(wǎng)絡(luò)安全的概念和目標(biāo)一個安全的計算機網(wǎng)絡(luò)應(yīng)該具有以下幾個特點：(1)可靠性是網(wǎng)絡(luò)系統(tǒng)安全最基本的要求?？煽啃灾饕侵妇W(wǎng)絡(luò)系統(tǒng)硬件和軟件無故障運行的性能。(2)可用性是指網(wǎng)絡(luò)信息可被授權(quán)用戶訪問的特性，即網(wǎng)絡(luò)信息服務(wù)在需要時，能夠保證授權(quán)用戶使用。(3)保密性是指網(wǎng)絡(luò)信息不被泄露的特性。保密性是在可靠性和可用性的基礎(chǔ)上保證網(wǎng)絡(luò)信息安全的非常重要的手段。保密性可以保證信息即使泄露，非授權(quán)用戶在有限的時間內(nèi)也不能識別真正的信息內(nèi)容。(4)完整性是指網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進行改變的特性，即網(wǎng)絡(luò)信息在存儲和傳輸過程中不被刪除、修改、偽造、亂序、重放和插入等操作，保也稱做不可否認(rèn)性，主要用于網(wǎng)絡(luò)信息的交換過程，保證信息交換的參與者都不可能否認(rèn)或抵賴曾進行的操作，類似于在發(fā)文或收文過程中的簽名和簽收的過程。從技術(shù)角度看，網(wǎng)絡(luò)安全的內(nèi)容大體包括4個方面：1.網(wǎng)絡(luò)實體安全2.軟件安全3.網(wǎng)絡(luò)數(shù)據(jù)安全4.網(wǎng)絡(luò)安全管理由此可見，計算機網(wǎng)絡(luò)安全不僅要保護計算機網(wǎng)絡(luò)設(shè)備安全，還要保護數(shù)據(jù)安全等。其特征是針對計算機網(wǎng)絡(luò)本身可能存在的安全問題，實施網(wǎng)絡(luò)安全保護方案，以保證算機網(wǎng)絡(luò)自身的安全性為目標(biāo)。

第2章企業(yè)網(wǎng)絡(luò)安全的威脅及需求2.1物理層安全風(fēng)險物理安全是保護計算機網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導(dǎo)致的破壞過程。為保證信息網(wǎng)絡(luò)系統(tǒng)的物理安全，還要防止系統(tǒng)信息在空間的擴散。通常是在物理上采取一定的防護措施，來減少或干擾擴散出去的空間信號。這是政府、軍隊、金融機構(gòu)在興建信息中心時首要的設(shè)置的條件。為保證網(wǎng)絡(luò)的正常運行，在物理安全方面應(yīng)采取如下措施：1．產(chǎn)品保障方面：主要指產(chǎn)品采購、運輸、安裝等方面的安全措施。2．運行安全方面：網(wǎng)絡(luò)中的設(shè)備，特別是安全類產(chǎn)品在使用過程中，必須能夠從生成廠家或供貨單位得到迅速的技術(shù)支持服務(wù)。對一些關(guān)鍵設(shè)備和系統(tǒng)，應(yīng)設(shè)置備份系統(tǒng)。3．防電磁輻射方面：所有重要涉密的設(shè)備都需安裝防電磁輻射產(chǎn)品，如輻射干擾機。4．保安方面：主要是防盜、防火等，還包括網(wǎng)絡(luò)系統(tǒng)所有網(wǎng)絡(luò)設(shè)備、計算機、安全設(shè)備的安全防護。2.2系統(tǒng)層安全風(fēng)險所謂系統(tǒng)安全通常是指網(wǎng)絡(luò)操作系統(tǒng)、應(yīng)用系統(tǒng)的安全。系統(tǒng)級的安全風(fēng)險分析主要針對企業(yè)企業(yè)校園采用的操作系統(tǒng)、數(shù)據(jù)庫、及相關(guān)商用產(chǎn)品的安全漏洞和病毒威脅進行分析。企業(yè)企業(yè)校園網(wǎng)絡(luò)采用的操作系統(tǒng)[7](主要為Windows2000server/professional，Windows.NET/Workstation，WindowsME，Windows95/98、UNIX)本身在安全方面考慮的較少，服務(wù)器、數(shù)據(jù)庫的安全級別較低，存在若干安全隱患。同時病毒也是系統(tǒng)安全的主要威脅，所有這些都造成了系統(tǒng)安全的脆弱性。在企業(yè)的網(wǎng)絡(luò)系統(tǒng)中，包含的設(shè)備有：交換機，服務(wù)器，工作站等。在服務(wù)器上主要有操作系統(tǒng)、軟件系統(tǒng)和數(shù)據(jù)庫系統(tǒng)，交換機上也有相應(yīng)的操作系統(tǒng)。所有的這些設(shè)備、軟件系統(tǒng)都多多少少地存在著各種各樣的漏洞，這些都是重大安全隱患。一旦被利用并攻擊，將帶來不可估量的損失。2.3病毒的安全風(fēng)險計算機病毒是指一種能使自己附加到目標(biāo)機系統(tǒng)的文件上的程序。它在所有破壞性設(shè)備中最具危險性，可以導(dǎo)致服務(wù)拒絕、破壞數(shù)據(jù)，甚至使計算機系統(tǒng)完全癱瘓。當(dāng)病毒被釋放到網(wǎng)絡(luò)環(huán)境時，其無法預(yù)測的擴散能力使它極具危險性。在企業(yè)的網(wǎng)絡(luò)系統(tǒng)中，傳統(tǒng)的計算機病毒傳播手段是通過存儲介質(zhì)進行的，師生在交換存儲著數(shù)據(jù)的介質(zhì)時，隱藏在其中的計算機病毒就從一臺計算機轉(zhuǎn)移到另外的計算機中。而現(xiàn)代的病毒傳播手段主要是通過網(wǎng)絡(luò)實現(xiàn)的，一臺客戶機被病毒感染，迅速通過網(wǎng)絡(luò)傳染到同一網(wǎng)絡(luò)的成百上千臺機器。師生上網(wǎng)瀏覽網(wǎng)頁、收發(fā)電子郵件，下載資料的時候，都有可能被病毒傳染，這種互聯(lián)網(wǎng)和校園內(nèi)聯(lián)網(wǎng)通訊模式下的傳播方式構(gòu)成了企業(yè)病毒傳播途徑的主流。2.4管理的安全風(fēng)險管理混亂、安全管理制度不健全，責(zé)權(quán)不明及缺乏可操作性等都可能引起管理安全的風(fēng)險。因此，最可行的做法是管理制度和管理解決方案相結(jié)合。管理方面的安全隱患包括：內(nèi)部管理人員或師生為了方便省事，設(shè)置的口令過短和過于簡單，甚至不設(shè)置用戶口令，導(dǎo)致很容易破解。責(zé)任不清，使用相同的口令、用戶名，導(dǎo)致權(quán)限管理混亂，信息泄密。把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員用戶名及口令以及系統(tǒng)的一些重要信息傳播給外人帶來信息泄漏風(fēng)險。內(nèi)部不滿的人員有的可能造成極大的安全風(fēng)險。網(wǎng)絡(luò)安全管理是防止來自內(nèi)部網(wǎng)絡(luò)入侵的必須部分，管理上混亂、責(zé)權(quán)不明、安全管理制度缺乏可操作性及不健全等都可能引起管理安全的風(fēng)險。即除了從技術(shù)上功夫外，還得靠安全管理來實現(xiàn)。隨著企業(yè)整個網(wǎng)絡(luò)安全系統(tǒng)的建設(shè)，必須建立嚴(yán)格的、完整的、健全的安全管理制度。網(wǎng)絡(luò)的安全管理制度策略包括：確定安全管理等級和安全管理范圍;制訂有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和出入機房管理制度;制定網(wǎng)絡(luò)系統(tǒng)的維護制度和應(yīng)急措施等。通過制度的約束，確定不同學(xué)員的網(wǎng)絡(luò)訪問權(quán)限，提高管理人員的安全防范意識，做到實時監(jiān)控檢測網(wǎng)絡(luò)的活動，并在危害發(fā)生時，做到及時報警。2.5操作系統(tǒng)的安全風(fēng)險分析所謂系統(tǒng)安全通常是指操作系統(tǒng)的安全。操作系統(tǒng)的安裝以正常工作為目標(biāo)，一般很少考慮其安全性，因此安裝通常都是以缺省選項進行設(shè)置。從安全角度考慮，其表現(xiàn)為裝了很多用不著的服務(wù)模塊，開放了很多不必開放的端口，其中可能隱含了安全風(fēng)險。

目前的操作系統(tǒng)無論是Windows還是UNIX操作系統(tǒng)以及其它廠商開發(fā)的應(yīng)用系統(tǒng)，其開發(fā)廠商必然有其Back-Door。而且系統(tǒng)本身必定存在安全漏洞。這些后門和安全漏洞都將存在重大安全隱患。系統(tǒng)的安全程度跟安全配置及系統(tǒng)的應(yīng)用有很大關(guān)系，操作系統(tǒng)如果沒有采用相應(yīng)的安全配置，則其是漏洞百出，掌握一般攻擊技術(shù)的人都可能入侵得手。如果進行安全配置，填補安全漏洞，關(guān)閉一些不常用的服務(wù)，禁止開放一些不常用而又比較敏感的端口等，那么入侵者要成功進入內(nèi)部網(wǎng)是不容易的，這需要相當(dāng)高的技術(shù)水平及相當(dāng)長時間。

第3章安全產(chǎn)品的配置與應(yīng)用3.1安全產(chǎn)品常用的安全產(chǎn)品有5種：防火墻、防病毒、身份認(rèn)證、傳輸加密的入侵檢測。結(jié)合用戶的網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的實際情況，對安全產(chǎn)品和安全技術(shù)作比較和分析，分析要客觀、結(jié)果要中肯，幫助用戶選擇最能解決他們所遇到的問題的產(chǎn)品，不要求新、求好和求大（1）防火墻：對包過濾技術(shù)、代理技術(shù)和狀態(tài)檢測技術(shù)的防火墻，都做一個概括和比較，結(jié)合用戶網(wǎng)絡(luò)系統(tǒng)的特點，幫助用戶選擇一種安全產(chǎn)品，對于選擇的產(chǎn)品，一定要從中立的角度來說明。（2）防病毒：針對用戶的系統(tǒng)和應(yīng)用的特點，對桌面防病毒、服務(wù)器防病毒和網(wǎng)關(guān)防病毒做一個概括和比較，詳細(xì)指出用戶必須如何做，否則就會帶來什么樣的安全危險，一定要中肯、合適，不要夸大和縮小。(3)身份認(rèn)證：從用戶的系統(tǒng)和用戶的認(rèn)證的情況進行詳細(xì)的分析，指出網(wǎng)絡(luò)和應(yīng)用本身的認(rèn)證法會出現(xiàn)哪些風(fēng)險，結(jié)合相關(guān)的產(chǎn)品和技術(shù)，通過部署這些產(chǎn)品和采用相關(guān)的安全技術(shù)，能夠幫助用戶解決所帶來的危害和風(fēng)險。(4)傳輸加密：要用戶加密技術(shù)來分析，指出明文傳輸?shù)木薮笪：Γㄟ^結(jié)合相關(guān)的加密產(chǎn)品的技術(shù)，能夠指出用戶的現(xiàn)有情況存在哪些危害和風(fēng)險。(5)入侵檢測：對入侵檢測技術(shù)要有一個詳細(xì)的解釋，指出在用戶的網(wǎng)絡(luò)和系統(tǒng)部署了相關(guān)的產(chǎn)品之后，對現(xiàn)有的安全情況會產(chǎn)生一個怎樣的影響要有一個詳細(xì)的分析。結(jié)合相關(guān)的產(chǎn)品和技術(shù)，指出對用戶的系統(tǒng)和網(wǎng)絡(luò)會帶來哪些好處，指出為什么必須要這樣做，不這樣做怎么樣，會帶來什么樣的后果。防病毒及特洛伊木馬軟件3.2訪問控制：防火墻系統(tǒng)防火墻是一種網(wǎng)絡(luò)安全保障手段,是網(wǎng)絡(luò)通信時執(zhí)行的一種訪問控制尺度,其主要目標(biāo)就是通過控制入、出一個網(wǎng)絡(luò)的權(quán)限,并迫使所有的連接都經(jīng)過這樣的檢查,防止一個需要保護的網(wǎng)絡(luò)遭外界因素的干擾和破壞。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)視了內(nèi)部網(wǎng)絡(luò)和Internet之間地任何活動，保證了內(nèi)部網(wǎng)絡(luò)地安全；在物理實現(xiàn)上，防火墻是位于網(wǎng)絡(luò)特殊位置地以組硬件設(shè)備――路由器、計算機或其他特制地硬件設(shè)備。防火墻可以是獨立地系統(tǒng)，也可以在一個進行網(wǎng)絡(luò)互連地路由器上實現(xiàn)防火墻。用防火墻來實現(xiàn)網(wǎng)絡(luò)安全必須考慮防火墻的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)：（1）屏蔽路由器：又稱包過濾防火墻。（2）雙穴主機：雙穴主機是包過濾網(wǎng)關(guān)的一種替代。（3）主機過濾結(jié)構(gòu)：這種結(jié)構(gòu)實際上是包過濾和代理的結(jié)合。（4）屏蔽子網(wǎng)結(jié)構(gòu)：這種防火墻是雙穴主機和被屏蔽主機的變形。根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換—NAT、代理型和監(jiān)測型。包過濾型包過濾型產(chǎn)品是防火墻的初級產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個數(shù)據(jù)包中都會包含一些特定信息,如數(shù)據(jù)的源地址、目標(biāo)地址、TCP/UDP源端口和目標(biāo)端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點,一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包,防火墻便會將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實際情況靈活制訂判斷規(guī)則。包過濾技術(shù)的優(yōu)點是簡單實用,實現(xiàn)成本較低,在應(yīng)用環(huán)境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統(tǒng)的安全。但包過濾技術(shù)的缺陷也是明顯的。包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù),只能根據(jù)數(shù)據(jù)包的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進行判斷,無法識別基于應(yīng)用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經(jīng)驗的黑客很容易偽造IP地址,騙過包過濾型防火墻。3.3入侵檢測系統(tǒng)入侵是指任何企圖破壞資源的完整性、機密性及可用性的活動集合。一般而言，入侵包括嘗試性闖入、偽裝攻擊、安全控制系統(tǒng)滲透、泄漏、拒絕服務(wù)，惡意使用六種類型。概括的說，入侵表示系統(tǒng)發(fā)生了違反系統(tǒng)安全策略的事件。入侵檢測是指通過檢查操作系統(tǒng)的審計數(shù)據(jù)或網(wǎng)絡(luò)數(shù)據(jù)包信息來檢測系統(tǒng)中違背安全策略或危機系統(tǒng)安全的行為或活動，從而保護系統(tǒng)的資源不受攻擊、防止系統(tǒng)數(shù)據(jù)的泄漏、篡改和破壞。入侵檢測系統(tǒng)是指能夠通過分析與系統(tǒng)安全相關(guān)的數(shù)據(jù)來檢測入侵活動的系統(tǒng)，包括入侵檢測的軟件和硬件的組合[20]。從系統(tǒng)所執(zhí)行的功能上來考慮，入侵檢測系統(tǒng)必須包括如下三個功能部件：提供事件記錄流的數(shù)據(jù)收集部件、發(fā)現(xiàn)入侵跡象的分析引擎和基于分析引擎的結(jié)果產(chǎn)生的響應(yīng)部件?！叭肭謾z測”是一種網(wǎng)絡(luò)實時自動攻擊識別和響應(yīng)系統(tǒng)它通過多種途徑收集單位內(nèi)部網(wǎng)的主機和網(wǎng)絡(luò)信息，對這些信息加以分析，查看網(wǎng)絡(luò)安全體系結(jié)構(gòu)是否存在漏洞，主機系統(tǒng)和網(wǎng)絡(luò)上是否有入侵事件發(fā)生，如果發(fā)現(xiàn)有入侵事件，自動對這些事件響應(yīng)，同時給出相應(yīng)提示。企業(yè)辦公部門比較多，內(nèi)部網(wǎng)根據(jù)部門劃分不同的子網(wǎng)網(wǎng)段。每個部門或子網(wǎng)都有一個交換機，設(shè)置網(wǎng)絡(luò)中心，有專門的網(wǎng)絡(luò)管理員。各個子網(wǎng)匯總到網(wǎng)絡(luò)中，自連接到高性能服務(wù)器群，高性能服務(wù)器群放置在防火墻的DMZ區(qū)。根據(jù)網(wǎng)絡(luò)流量和保護數(shù)據(jù)的重要程度，選擇IDS探測器配置在內(nèi)部關(guān)鍵子網(wǎng)的交換機處放置，核心交換機放置控制臺，監(jiān)控和管理所有的探測器因此提供了對內(nèi)部攻擊和誤操作的實時保護，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。IDS部署方案圖在企業(yè)安全內(nèi)網(wǎng)中，入侵檢測系統(tǒng)運行于有敏感數(shù)據(jù)的幾個要害部門子網(wǎng)和其它部門子網(wǎng)之間，通過實時截取網(wǎng)絡(luò)上的是數(shù)據(jù)流，分析網(wǎng)絡(luò)通訊會話軌跡，尋找網(wǎng)絡(luò)攻擊模式和其它網(wǎng)絡(luò)違規(guī)活動。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊或未授權(quán)訪問時，入侵檢測可以進行如下反應(yīng)：(l)控制臺報警。(2)記錄網(wǎng)絡(luò)攻擊事件。(3)實時阻斷網(wǎng)絡(luò)連接。(4)入侵檢測可以過濾和監(jiān)視TCP/工P協(xié)議。系統(tǒng)管理員通過配置入侵檢測，可以按協(xié)議，源端口，目的端口，源工P/目的工P地址過濾。(5)入侵檢測還支持用戶自定義的網(wǎng)絡(luò)安全事件監(jiān)視。(6)入侵檢測能生成系統(tǒng)安全日志以利于系統(tǒng)安全審計并以開放數(shù)據(jù)庫方式支持安全分析決策系統(tǒng)，從而為網(wǎng)絡(luò)安全提供有效的保障。3.4漏洞掃描系統(tǒng)網(wǎng)絡(luò)設(shè)備和軟件在設(shè)計開發(fā)過程中不可避免存在缺陷和漏洞，漏洞隨著時間推移越來越多;攻擊者也從傳統(tǒng)上的黑客高手，變成初學(xué)者用自動程序來完成攻擊，這些都導(dǎo)致黑客攻擊越來越容易實現(xiàn)，威脅程度越來越高。由于網(wǎng)絡(luò)本身及應(yīng)用系統(tǒng)的復(fù)雜性，網(wǎng)絡(luò)管理員失去了對網(wǎng)絡(luò)資源的精確控制。采用網(wǎng)絡(luò)漏洞掃描器對存在的安全隱患進行檢查，幫助管理員找出解決的方法。企業(yè)內(nèi)網(wǎng)網(wǎng)絡(luò)的安全性決定了整個系統(tǒng)的安全性。在企業(yè)內(nèi)網(wǎng)高性能服務(wù)器處配置網(wǎng)絡(luò)隱患掃描聯(lián)動型產(chǎn)品。聯(lián)動型適用于企業(yè)內(nèi)網(wǎng)這樣的高端用戶，聯(lián)動型掃描系統(tǒng)包括掃描服務(wù)器和移動掃描儀。掃描服務(wù)器部署于網(wǎng)絡(luò)中心，高速高效且穩(wěn)定的掃描防護整體網(wǎng)絡(luò);移動掃描儀使用靈活，可以跨越網(wǎng)段、穿透防火墻、主流IDS產(chǎn)品，多種主流聯(lián)動協(xié)議Topsee、Opensec聯(lián)動，與多種安全管理平臺兼容，統(tǒng)一安全策略配置，保障全網(wǎng)安全。通過部署多級聯(lián)動型產(chǎn)品實現(xiàn)榕基分布式整體安全掃描，網(wǎng)絡(luò)管理人員可以方便的通過控制掃描器就可以實現(xiàn)對多級管轄區(qū)域的服務(wù)器進行統(tǒng)一和及時管理，實現(xiàn)對管轄區(qū)域服務(wù)器，網(wǎng)絡(luò)設(shè)備等的安全性，以保證整體網(wǎng)絡(luò)的安全性，整體可控性、整體安全資源共享。網(wǎng)絡(luò)人員使用聯(lián)動型產(chǎn)品，就可以很方便的對200信息點以上的多個網(wǎng)絡(luò)進行多線程較高的掃描速度的掃描，可以實現(xiàn)和IDS、防火墻聯(lián)動，尤其適合于制定全網(wǎng)統(tǒng)一的安全策略。同時移動式掃描儀可以跨越網(wǎng)段、穿透防火墻，實現(xiàn)分布式掃描，服務(wù)器和掃描儀都支持定時和多IP地址的自動掃描，網(wǎng)管人員可以很輕松的就可以進行整個網(wǎng)絡(luò)的掃描，根據(jù)系統(tǒng)提供的掃描報告，配合我們提供的三級服務(wù)體系，大大的減輕了工作負(fù)擔(dān)，極大的提高了工作效率。通過部署漏洞掃描的聯(lián)動設(shè)備，保障企業(yè)內(nèi)網(wǎng)重要部門的網(wǎng)絡(luò)安全的同時，提高每個部門的安全性就顯得尤其重要。只有部門的安全得到保證的前提下，企業(yè)內(nèi)網(wǎng)才能夠安全。我們對這些部門進行合理的規(guī)劃，可以將這些部門根據(jù)統(tǒng)一的配置策略，給下屬部門、網(wǎng)絡(luò)管理應(yīng)用服務(wù)系統(tǒng)配置網(wǎng)絡(luò)聯(lián)動掃描系統(tǒng)來保證各個部門的安全性。這樣就可以很方便的管理信息點多、網(wǎng)絡(luò)環(huán)境較固定、與企業(yè)的業(yè)務(wù)應(yīng)用緊密相關(guān)的內(nèi)網(wǎng)中。聯(lián)動掃描系統(tǒng)支持多線程掃描，有較高的掃描速度，支持定時和多IP地址的自動掃描，網(wǎng)管人員可以很輕松的對自己的網(wǎng)絡(luò)進行掃描和漏洞的彌補。同時提供了Web方式的遠(yuǎn)程管理，網(wǎng)管不需要改變?nèi)绾蔚木W(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和添加其他的應(yīng)用程序就可以輕輕松松的保證了網(wǎng)絡(luò)的安全性。另外對于信息點少、網(wǎng)絡(luò)環(huán)境變化大的內(nèi)網(wǎng)配置網(wǎng)絡(luò)移動式掃描儀。移動式掃描儀手持式設(shè)計，使用簡單、靈活，攜帶方便。隨著網(wǎng)絡(luò)規(guī)模的逐步龐大、復(fù)雜，各個網(wǎng)絡(luò)之間存在著防火墻、交換機等過濾機制的存在，隱患掃描發(fā)送的數(shù)據(jù)包大部分將被這些設(shè)備過濾，降低了掃描的時效性和準(zhǔn)確性。針對這種分布式的復(fù)雜網(wǎng)絡(luò)，移動式掃描儀能夠充分發(fā)揮自身可移動的優(yōu)勢，能夠很好的適應(yīng)這種分布式網(wǎng)絡(luò)掃描，移動掃描，隨時隨處保護網(wǎng)絡(luò)安全。在防火墻處部署聯(lián)動掃描系統(tǒng)，在部門交換機處部署移動式掃描儀，實現(xiàn)防火墻、聯(lián)動掃描系統(tǒng)和移動式掃描儀之間的聯(lián)動，保證了網(wǎng)絡(luò)安全隱患掃描儀和其他網(wǎng)絡(luò)安全產(chǎn)品的合作和協(xié)調(diào)性，最大可能的消除安全隱患，盡可能早地發(fā)現(xiàn)安全漏洞并進行修補，優(yōu)化資源，提高網(wǎng)絡(luò)的運行效率和安全性。

第4章公司網(wǎng)絡(luò)安全設(shè)計4.1網(wǎng)絡(luò)設(shè)計原則對于我們學(xué)網(wǎng)絡(luò)技術(shù)的人來說，網(wǎng)絡(luò)必須有一個整體。整體的意思就是說在整個項目中，有一種總體把握的能力，不能中關(guān)注自己熟悉的某一個領(lǐng)域，從而對別的領(lǐng)域不關(guān)心，甚至不理解，否則就寫不出一份好的安全方案。網(wǎng)絡(luò)設(shè)計安全原則體現(xiàn)5個方面：動態(tài)性、唯一性、整體性、專業(yè)性和嚴(yán)密性。（1）動態(tài)性：不要把安全靜態(tài)化，動態(tài)性是安全的一個重要的原則。網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用會不斷出現(xiàn)新的風(fēng)險和危險，這決定了安全動態(tài)性的重要性。（2）唯一性：安全的動態(tài)性決定了安全的唯一性，針對每個網(wǎng)絡(luò)系統(tǒng)安全的解決，都應(yīng)該是獨一無二的。（3）整體性：對于網(wǎng)絡(luò)系統(tǒng)所遇到的風(fēng)險和危險，要從整體來分析和把握，不能哪里有問題就補哪里，要全面地保護和評估。（4）專業(yè)性：對于用戶的網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用，要從專業(yè)的角度來分析和把握不能是大概的做法。（5）嚴(yán)密性：整個解決方案，要有一種很強的嚴(yán)密性，不要給人一種虛假的感覺，在設(shè)計方案的時候，需要從多方面對方案進行論證。4.2公司需求山東香山裝飾工程有限公司根據(jù)業(yè)務(wù)發(fā)展需求，建設(shè)一個小型的企業(yè)網(wǎng)，有Web、Mail等服務(wù)器和辦公區(qū)客戶機。公司已經(jīng)完成了綜合布線工程的施工與網(wǎng)絡(luò)設(shè)備的架設(shè)。企業(yè)分為財務(wù)部門和業(yè)務(wù)部門，需要他們之間相互隔離。網(wǎng)絡(luò)管理員在實際維護公司網(wǎng)絡(luò)的過程中，常遇到各種網(wǎng)絡(luò)安全問題，例如：網(wǎng)絡(luò)黑客攻擊、網(wǎng)絡(luò)蠕蟲病毒泛濫、各種木馬程序等等。由于考慮到Inteneter的安全性，以及網(wǎng)絡(luò)安全等一些因素，如DDoS、ARP等。需要在防火墻設(shè)置相關(guān)的策略和其他一些安全策略。網(wǎng)絡(luò)管理員需要隨時排除企業(yè)網(wǎng)絡(luò)在日常運轉(zhuǎn)中出現(xiàn)的各種網(wǎng)絡(luò)安全問題，保證企業(yè)網(wǎng)絡(luò)的穩(wěn)定工作。結(jié)構(gòu)圖根據(jù)山東香山裝飾工程有限公司的整體網(wǎng)絡(luò)情況網(wǎng)絡(luò)安全需求分析我們針對山東香山裝飾工程有限公司的網(wǎng)絡(luò)安全狀況和網(wǎng)絡(luò)結(jié)構(gòu)來進行需求分析。山東香山裝飾工程有限公司的第一個網(wǎng)絡(luò)安全需求是根據(jù)部門需要劃分VLAN，使用VPN技術(shù)。山東香山裝飾工程有限公司的第二個網(wǎng)絡(luò)安全需求是要安裝一個基于安全的操作系統(tǒng)平臺的高級通信保護控制系統(tǒng)網(wǎng)絡(luò)防火墻，保護公司內(nèi)部網(wǎng)絡(luò)的計算機免遭來自國際互聯(lián)網(wǎng)的黑客攻擊、病毒侵?jǐn)_。山東香山裝飾工程有限公司的第三個網(wǎng)絡(luò)安全需求是企業(yè)內(nèi)部的計算機網(wǎng)絡(luò)安全問題。山東香山裝飾工程有限公司網(wǎng)內(nèi)有很多計算機均有上網(wǎng)需求，這就導(dǎo)致常出現(xiàn)網(wǎng)絡(luò)黑客攻擊、網(wǎng)絡(luò)蠕蟲病毒泛濫、各種木馬程序盜取密碼等網(wǎng)絡(luò)安全問題。因此，依據(jù)公司內(nèi)計算機的使用狀況，分別安裝軟件防火墻、殺毒軟件、網(wǎng)絡(luò)安全軟件。4.3項目要求山東香山裝飾工程有限公司在網(wǎng)絡(luò)安全方面提出下述5方面的要求。（1）安全性：全面有效地保護企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全，保護計算機硬件、軟件、數(shù)據(jù)、網(wǎng)絡(luò)不因偶然的或惡意破壞的原因遭到更改、泄露和丟失，確保數(shù)據(jù)的完整性。（2）可控性和可管理性：可自動和手動分析網(wǎng)絡(luò)安全狀況，適時檢測并及時發(fā)現(xiàn)危險，制定安全策略，及時報警、阻斷不良行為，具有很強的可控性和可管理性。（3）系統(tǒng)的可用性在某部分系統(tǒng)出現(xiàn)問題時，不影響企業(yè)信息系統(tǒng)的正常運行，具有很強的可用性和及時恢復(fù)性。（4）可持續(xù)發(fā)展性：滿足山東香山裝飾工程有限公司業(yè)務(wù)需求和企業(yè)可持續(xù)發(fā)展的要求，具有很強的可開展性和柔韌性。（5）合法性：所采用的安全設(shè)備和技術(shù)具有我國安全產(chǎn)品管理部門的合法認(rèn)證。4.4企業(yè)設(shè)計前網(wǎng)絡(luò)拓?fù)鋱D圖4-1山東香山裝飾工程有限公司網(wǎng)絡(luò)拓?fù)鋱D4.5企業(yè)項目設(shè)計圖圖4-2山東香山裝飾工程有限公司網(wǎng)絡(luò)設(shè)計圖企業(yè)項目設(shè)計圖企業(yè)VLAN劃分企業(yè)主要分兩個部門，所以只要劃分兩個VLAN，分別為：財務(wù)部門VLAN10交換機S1接入交換機（神州數(shù)碼DCS-5526）業(yè)務(wù)部門VLAN20交換機S2接入交換機（神州數(shù)碼DCS-5526）核心交換機S3核心交換機（神州數(shù)碼DCRS-5526）客戶機的地址范圍：-54山東香山裝飾工程有限公司內(nèi)網(wǎng)中管理遠(yuǎn)東網(wǎng)安防火墻主機的計算機地址：：外網(wǎng)的網(wǎng)關(guān)：54防火墻的LAN（eth0）口的IP：（默認(rèn)）直接管理遠(yuǎn)東網(wǎng)安防火墻的計算機地址：14.6實施方案(1)按照項目要求、項目設(shè)計圖實施，并保證項目順利實施。（2）按照寫出的管理制度，主要是保證項目實施的質(zhì)量，項目管理主要包括人的管理、產(chǎn)品的管理和技術(shù)的管理。（3）按照項目進度圖查看項目實施進度表，作為項目實施的時間標(biāo)準(zhǔn)，要全面考慮完成項目所需要的物質(zhì)條件，計劃出一個比較合適的時間進度表（4）執(zhí)行人員要保證質(zhì)量職責(zé)、項目質(zhì)量的保證措施和項目驗收。執(zhí)行人員如項目經(jīng)理、技術(shù)負(fù)責(zé)人、技術(shù)工程師、后勤人員等，以保證整個安全項目的順利實施。（5）項目質(zhì)量保證嚴(yán)格質(zhì)量保證，主要的內(nèi)容涉及參與項目的相關(guān)人員、項目中所涉及的安全產(chǎn)品和技術(shù)、用戶派出支持該項目的相關(guān)人員管理。（6）根據(jù)項目具體情況，與用戶確定項目驗收的詳細(xì)事項，包括安全產(chǎn)品、技術(shù)、完成情況、達(dá)到的安全目的等驗收。

第5章安全方案測試5.1測試管理方案記得大二上課的時候趙祖應(yīng)老師說過信息安全管理機構(gòu)的職能建設(shè)遵照從上至下的垂直管理原則，即：上級機關(guān)信息安全管理機構(gòu)指導(dǎo)下一級機關(guān)信息系統(tǒng)安全管理機構(gòu)的工作原則：下一級機關(guān)信息系統(tǒng)的安全管理機構(gòu)接受并執(zhí)行上一級機關(guān)信息系統(tǒng)安全管理機構(gòu)的安全策略;信息系統(tǒng)的安全管理機構(gòu)，不隸屬于同級信息系統(tǒng)管理和業(yè)務(wù)機構(gòu)。信息系統(tǒng)安全管理機構(gòu)由系統(tǒng)管理、系統(tǒng)分析、軟件硬件、安全保衛(wèi)、系統(tǒng)稽核、人事、通信等有關(guān)方面的人員組成。能建設(shè)遵照從上至下的垂直管理原則，即：上級機關(guān)信息安全管理機構(gòu)指導(dǎo)下一級機關(guān)信息系統(tǒng)安全管理機構(gòu)的工作原則：下一級機關(guān)信息系統(tǒng)的安全管理機構(gòu)接受并執(zhí)行上一