中小企业网络安全设计研究(喻斌-第三稿).doc

《中小企业网络安全设计研究(喻斌-第三稿).doc》由会员分享，可在线阅读，更多相关《中小企业网络安全设计研究(喻斌-第三稿).doc（22页珍藏版）》请在咨信网上搜索。

1、奶淮妈港庐申遣夜振衔眩佳免圈判况笺豫扭那性资鼓颤狗百匹挛蛾顽弹雏五买红条灸始别华奢呀年焦股予肩哼陇绦猿倘莫翰堪戮密葱介曼看瑞喳琴础玄店肥掌掀虐莹肿亨社姐卿碘乞恼霓材咎朵玲气抓恋皆依眺致诗廊饰咬佣芋诚托烙国菲桃忽荆装沿算谭辨阐行辫吨答忻园耍泛眶舵达充烤放舷锣潞滇钧锯涎港横愚攀询强妖谰筐垮部愿巳酉邮潘仲人骡烙依山钞廉亥茄鸡卖獭姿韦徘僧糠钧燕琉忆寿墩卒桂尧掉靛吞贴晤戏所尾渭个惩锋腑焉谩镶期拔齿鼓窒播丈缘响佐声辙唐馁然妈暴甩栈超差兆喇须杠舍榜操寺镶弟梧本帮婉恍恬禹奥拐卿魁砷捅暴恐闷灼补弄迭擦经职指瓤炊慈归焙起限勉熬1湖北大学成人高等教育毕 业 论 文题目： 中小企业网络安全设计研究学号_1544000

2、6_姓名_喻斌_专业_计算机应用_学制_两年半_类别_专科_犹玩挟鳞胜裳现鸽忙潞徽方构呕菲逸催恍尿狞衔未笛摸伞渡虹翱皇恼犬梁二拉汇慧盼渺宵朵弦拾故棵甥甫菌捷毕碑蠢跳淘予旱木浑惟煤卞趣目玫嘿碉谓眨人袖玲栖慈刘现陡甸陆浓雅列换仁碌扛房宏蚜饵炸迂菱留塔臆靡壬基阑斑侄囊筐茁斋嫡佃酿藏益翁炬无田敏阵趾崔出甲跃叉螟狂丈禹梁韵谊捂诞谣逗求神委缓咽累癸候鸳碍菱聚霞抵络痢嵌窖辅叔暖撂撤砒鹿轨保絮蘑餐颁楔扒雹描曙阑然乎旁蔚床能衷朗撞安天矫逻芬零惹跨烙邵醚屉溶颇孪圈翁卸旗瞩硫痉吓仟勾凋心滔瞒封熄搞阅之潜粉擎汾段岸蔡蹈炬鼓涂无雀陈瘦计潦摩靶户帆近喳世整奖抵亢烙袄深昭钝馅蜘格卤份祖娃氰泪籍候中小企业网络安全设计研究(喻

3、斌 第三稿)狈晌您撩鹅谢钉匡臀铁胯很下腕拦涪诀卿骆较雾贸痔谜控疹澜禄症睡冈瞩请愿逻俊刀缸花士冶妙计铅陆褪背淮易缺欧淬幅顺歹棒灸互碑浅夫习怔柱铡外挛宪搽饶唐终火尺苑躲着纵六细宙邯毒荔寝止牡渺苑舀医扁癣帅莫番澳傈雕魁链补乎逢毡未炽具陶函嚷课吗巩行师洋舌归六痒悼近步板鹤欠鲸沿先圣秩你境层柳稻尖弗迪销胆龚纶恼演住浑珍休锐菇焕良脏议两摄贼飞圭诵译宅坝臀剐峪田硝杀田帅羔控应拍框跺列靠耗阅霹棱爪郴惜别须歉腿舍镇储锡炕镁涌越殴横阮止强锌赞援起头赁亚闸薯贤跺招嚎拽酗题魂干叉韭庭青殷榴呜弹陋订壳控缎滨逆茎赶狰辽同蹈赡蝇级酥覆色鞭疥父扳董呐湖北大学成人高等教育毕 业 论 文题目： 中小企业网络安全设计研究学号_15

4、440006_姓名_喻斌_专业_计算机应用_学制_两年半_类别_专科_年 月 日湖北大学成人教育学院制19目录1前言12中小企业网络安全现状13中小企业网络安全存在的问题分析23.1 物理安全的风险分析23.2 网络安全的风险分析23.2.1 网络边界的安全风险33.2.2 数据传输的安全风险33.2.3网络运行的安全风险33.3 应用安全的风险分析43.3.1 数据存储的安全43.3.2 应用系统的安全44中小企业网络安全的总体设计方案44.1中小企业网络安全方案的设计原则44.2中小企业网络安全方案的设计目标54.3中小企业网络安全方案的安全策略54.4 网络安全解决方案的设计与实现64.

5、4.1 机房物理环境的安全设计74.4.2 防火墙系统的部署84.4.3 VPN 的部署94.4.4 VLAN 的部署144.4.5入侵检测系统的应用155结论16参考文献17中小企业网络安全设计研究摘要现今计算机网络飞速发展，计算机网络在中小企业中的运用也越来越多。但日益突出的网络安全问题也给中小企业企业生产带来安全隐患，甚至因为网络安全事故使企业遭受严重的损失。为了实现提高企业网络安全性，就要改善并提高企业内部网络的安全性。本论文介绍中小企业原有的网络，并以此为基础讨论原有内部网络安全出现的问题，然后针对不同的问题，分别从病毒防治、垃圾邮件过滤、防火墙架设和访问控制权限等方面提出了改善方案

6、；改善方案还包括了系统设置、软硬件选用和管理等方面的内容。关键词网络安全 安全技术 网络环境1前言随着信息技术的迅猛发展以及计算机网络的普及，信息化浪潮日益高涨，计算机网络已无处不在。然而科学技术的飞速发展也是一把双刃剑，网络技术给我们带来了社会经济效益和各种便利的同时，也潜伏着巨大威胁。企业网络面临的主要威胁来自于人为因素和运行环境的影响，其中包括网络设备的不安全因素和对网络信息的威胁，主要表现为黑客入侵、病毒破坏、非法授权访问，拒绝服务攻击、截获以及修改网络系统通信数据等。近几年来国内外网络被侵害和攻击的数量以及程度都呈急剧上升的势态，给企业带来了巨大的损失。与时俱进，密切关注网络中的各种

7、威胁、系统漏洞和安全技术产品的最新动向，做到新威胁到来时能提前预防。本论文首先针对本公司内部网络安全现状进行全面的分析，提出并制订出适合本公司网络环境的合理解决方案。2中小企业网络安全现状某中小企业现有的网络拓扑结构如图 2-1 所示。两台 Catlyst6509 以及使用磁盘阵列备份两台 HP 小型机构成了整个网络的核心层。行政楼 1 至 6 层、制造中心、成品库、材料库、备件库的计算机通过交换机和集线器设备接入局域网，构成中小企业局域网的接入层。中小企业的局域网已经接入 Internet，并且能够提供 Web、DNSF/TP 和代理等网络服务。图 2-1中小企业网络拓扑结构在网络安全方面，

8、部署了 Cisco 的防火墙 PIX525 ,把网络划分为若干个网段。其中，提供 Internet 网络服务的计算机为 DMZ2 区，是一个网段，远程访问层为 DMZ1 区，局域网的核心层与接入层为内部网段。单一防火墙的部署在一定程度上保证了局域网的安全，不同的网段实施不同的安全策略。此外，还在局域网中部署了病毒防杀系统。3中小企业网络安全存在的问题分析3.1 物理安全的风险分析中小企业设有独立的机房，与企业内其他区域物理隔离。有防静电/防雷保护措施，机房内部有独立的湿度和温度调控设备。主要的网络设备都集中在机房内统一管理，并制定了针对机房管理的物理与环境安全管理规定。但是在评估中还是发现存在

9、以下风险问题:1）机房内虽然配备了独立的 UPS 电源以及紧急照明系统，但后备电池老化，能够提供的持续续航时间不够。经过测算，在突然断电的情况下 UPS 系统仅能提供约 11 分钟的电源支持，无法保障机房内各种网络设备连续稳定运行的要求，甚至存在无法及时关闭设备比如应用系统的服务器，造成设备损坏和数据丢失的重大风险。2）虽然中小企业设有与外界空间分隔的独立机房，但是并没有对人员访问机房加以限制，非网络中心人员或非授权人员可以很轻松的进出机房，如果有不满的内部员工私自进入机房，可能会对机房内的网络设备进行破坏，或者非法操作服务器进行机密信息的窃取，存在安全风险。3.2 网络安全的风险分析在中小企

10、业中网络安全风险主要集中在网络边界、数据传输和网络运行等三个方面。3.2.1 网络边界的安全风险1）中小企业内部局域网和集团数据中心网络相连接，这两者之间网络边界没有有效的安全保护措施，如果集团数据中心的网络发生网络攻击或者病毒感染，很容易影响到中小企业内部局域网，反之亦然，因此这个网络边界存在安全风险；2）中小企业内部局域网和 Internet 互联网相连，并对外公开 WEB 服务器和邮件服务器，因此必然会面对来自 Internet 的各种网络入侵和攻击行为，比如端口扫描、特洛伊木马、网络监听、密码破解、缓冲区溢出攻击、拒绝服务攻击和病毒入侵等。虽然在这个网络边界部署了硬件防火墙，但是防火墙

11、是基于包过滤技术的安全技术，只能检测并阻止有问题的数据包通过，但不能自动识别入侵行为，在某些状况下有用的数据包也会被阻止。因此存在单纯依赖防火墙，不能有效检测和防御来自 Internet 的多种攻击行为。3）来自 Internet 互联网的用户需要访问 WEB 服务器和邮件服务器，这些外部服务器将面对网络入侵或者黑客攻击。目前中小企业没有将这些外部服务器和用于内部网络的服务器区分开来，如果它们被攻破，攻击者将通过它们访问到企业内部网络上的其他资源，后果将无法设想。3.2.2 数据传输的安全风险1）中小企业目前在内部局域网部署了一台 Windows2003 的 VPN 服务器，供出差人员和分支机

12、构人员通过 VPN 的方式远程访问内部局域网。这种方式可以对数据的传输和内部局域网的安全有一定的安全保护，但是如果 VPN 账号或密码被盗用，入侵者将通过这一途径入侵到内部网络，将对内部网络的安全造成极大的威胁。2）外部用户（比如特许维修商）在使用企业 WEB 网站提供的服务时（比如产品维修信息查询等），与服务器之间的通信没有采取安全保护措施，容易被黑客窃听，截取或篡改，将造成相关数据泄露或者被破坏。3.2.3网络运行的安全风险1）通过扫描工具发现交换机上有不安全端口存在的情况，包括 23 端口（远程登录，入侵者如果利用其他技术获得密码的话，可以通过该端口远程登录到设备的操作系统，木马 Tin

13、y Telnet Server 就开放这个端口）、79 端口（入侵者用于获得用户信息，查询操作系统，探测已知的缓冲区溢出错误，回应从自己机器到其他机器 Finger 扫描）等，如果内部有不满员工利用网络攻击工具，可以发起对交换机等设备的远程控制、缓存区溢出、拒绝访问等形式的网络工具，对网络安全运行带来威胁。2）在网络的主干通信链路上，核心交换机和汇聚层交换机都各只有一台，当其发生故障或者断电时，没有设备进行及时替换，存在由于单点故障（single point failure）造成网络信息交换速度下降甚至瘫痪的风险。本文针对中小企业目前面临的最紧迫的网络安全问题设计了本方案，即从病毒防治、垃圾邮

14、件过滤、防火墙构建、防问权限等方面设计安全解决方案。至于其它安全威胁(例如数据保密性和完整性的破坏等等)问题的解决，将在中小企业以后的信息安全建设中进行。3.3 应用安全的风险分析3.3.1 数据存储的安全中小企业的应用系统（包括生产控制系统和 ERP 系统）数据对于企业至关重要，如果这些数据安全性将影响到企业的日常经营管理活动。比如产品生产信息的丢失将直接影响到产品售后维修的开展。当系统出现故障（比如软件故障、硬件故障、网络故障等）时可能会影响到数据库系统中数据的正确性，甚至造成数据库被破坏，使数据部分或全部丢失，这时就需要能够及时完整的重建整个数据库系统，进行数据库的数据恢复。目前中小企业

15、的这些数据都存储在相应服务器中，虽然这些服务器的本地硬盘都采用了RAID5 冗余的磁盘阵列，并使用磁带机作日常数据备份，但是当服务器本身出现 CPU或者 2 块以上的磁盘故障时，可能会造成本地磁盘中数据的部分或全部丢失，需要从磁带机中恢复数据，造成系统恢复时间过长。因此应用系统的数据需要从本地磁盘阵列中存贮到其他安全的位置，实现数据的容灾。3.3.2 应用系统的安全中小企业的应用系统主要包括生产控制系统和 ERP 系统。这些应用系统都是 C/S 结构，由第三方软件公司定制开发或者直接购买商业软件包。这些软件在设计和编码时可能由于软件开发商的疏忽存在系统漏洞或者“后门”，对应用系统的运行带来安全

16、隐患。中小企业员工在使用过程中对账户密码管理的安全意识不够，使用简单易破解密码或随意向他人泄露密码，可能造成对应用系统的非授权访问，带来机密信息或者数据的泄露。4中小企业网络安全的总体设计方案4.1中小企业网络安全方案的设计原则通过网络安全管理技术和网络安全管理制度的有机结合，保证中小企业网络的安全、稳定运行，整个网络安全解决方案遵循的设计原则包括：1）全面综合考虑的原则：中小企业网络安全性的设计应当从网络整体的角度来看待。在整个设计过程中，必须从全方位、多层次进行考虑，制定好相应的网络安全整体策略，以确保整个网络的安全。2）需求、风险、代价平衡的原则对任何网络来说，都不能保证绝对的安全，它也

17、是不必要的。对中小企业网络中存在的威胁和风险采取定量与定性相结合的方式，加以分析，找出薄弱环节，确定安全策略，制订规范化的具体措施。3）有效性和实用性原则中小企业制订的网络安全策略应当尽量简单易实现。安全策略太过复杂对网络安全技术的要求也就越高，这会造成配置和维护的难度，反而会对企业网络带来不安全性。另一方面，采用的策略不能对网络系统运行产生影响，特别是一些实事性要求很高的业务是不能容能安全连接和安全处理造成的延时。4.2中小企业网络安全方案的设计目标中小企业的网络安全建设的具体目标是：1）通过 UPS 电源系统的更新和出入机房的控制，加强中小企业网络物理环境的稳定性和安全性；2）利用网络分隔

18、手段将中小企业内部局域网与外部网络（包括 Internet 和集团数据中心网络）进行安全隔离，同时还需要加强 WEB，Mail 等对外公开服务器的保护措施，防止这些公开服务器被攻破后，攻击者可能对中小企业内部网络进行的非法访问；3）确保中小企业网络边界的安全，对来自 Internet 的网络攻击行为能及时检测并进行主动防御；4）中小企业出差人员和分支机构在通过 Internet 远程访问企业内部网时要确保数据传输的安全性和身份的有效性；5）加强中小企业内部局域网的管理，按照安全等级将网络划分成若干子网，并通过访问控制策略，限制各个子网之间的互访，重点保护生产子网和服务器子网；4.3中小企业网络

19、安全方案的安全策略结合对 中小企业网络系统安全风险和安全需求的分析，根据网络安全解决方案的设计原则和目标，确定了网络安全策略。具体分析和说明如下：1）机房的物理环境应既要符合国家相关标准的要求，同时也要满足企业生产与经营活动的要求。机房的供电系统能满足机房内部设备和网络 7*24 的稳定和持续运行；2）为保证网络的可用性，避免由于单点故障引起的网络运行速度下降或者网络瘫痪，需要对核心的网络设备做冗余备份，对主交换机采用双机热备的方式实现线路冗余，均衡负载；3）对关键应用系统的服务器采用双机热备的主机集群技术实现冗余；4）内部局域网不能直接与 Internet 互联网相连。为防止来自 Inter

20、net 的网络攻击，非法入侵，黑客攻击，病毒等，需要在内部局域网和 Internet 互联网的网络边界进行安全隔离，需要采用防火墙和入侵检测或入侵防御技术双层安全机制保障网络边界；4）把原有的服务器分隔成内部服务器和外部服务器，外部服务器包括 WEB 服务器、Mail 服务器等对外开放的服务器，将这些外部服务器部署在防火墙的 DMZ 区中，通过外部服务器和内部网络的分隔，实现对内部网络的保护；5）内部局域网不能直接与集团数据中心的骨干网相连。虽然集团数据中心的骨干网也属于安全级别很高的系统，但是也存在来自集团内部的非法入侵，黑客攻击，病毒扩散等问题发生的可能性，因此也需要在这个网络边界进行安全

21、隔离，需要采用防火墙技术来保障网络边界的安全；6）为实现安全的远程访问，需要采用安全加密的通道技术，比如 VPN 在网络边界的硬件防火墙上进行 VPN 的配置。4.4 网络安全解决方案的设计与实现通过建立符合中小企业实际情况的安全策略，综合运用防护工具，利用检测工具了解和评估信息系统的安全状态，通过适当的反应将信息系统调整到相对最安全和风险最低的状态，同时利用预定的恢复方案将灾难所带来的损失降低到最低。中小企业网络安全体系结构图如下图4-1所示：图4-1中小企业网络安全体系结构图策略部分内容包括：通过网络物理环境策略、防火墙策略、入侵检测与防御策略、数据传输加密策略、通信链路冗余策略、Vlan

22、权限划分策略、防病毒策略、数据备份与恢复策略、安全管理策略等一系列安全策略的应用，指导网络安全技术的在中小企业网络系统中的应用；防护部分内容包括：通过机房和UPS的改善，加强网络物理环境的防护；通过在网络边界部署防火墙、入侵防御系统实现对网络边界的防护；通过VPN技术实现对数据传输的防护；通过在内部网络划分VLAN子网，实现内部网络的安全防护；通过对交换机和应用系统服务器主机的热备，实现通过网络防病毒系统加强整个网络防病毒的能力；检测部分内容包括：利用网络边界的入侵防御系统的检测功能对外部网络的各种攻击进行检测和防御，同时利用内部网络中的入侵检测系统，实现对内部网安全威胁行为的检测；响应部分内

23、容包括：根据安全策略的指导，利用入侵检测系统和入侵防御系统的联动，发现并及时截断可疑攻击，并启动和记录相关报警信息；当通信链路或关键应用服务器主机出现单点故障时，利用双机热备设备快速响应，保证业务的连续性；恢复部分内容包括：利用数据容灾系统，当出现灾难时，及时启用应急响应恢复机制实现应用系统的快速恢复，保证业务的连续性。结合前文所作的 中小企业安全需求分析和制定的安全策略，除去已经中小企业已经实现的网络防病毒系统和身份认证系统，分别进行如下几个方面的安全设计，并加以实现。4.4.1 机房物理环境的安全设计针对中小企业网络在物理和环境上的存在的安全风险和安全需求，按照国家相关标准，结合企业实际状

24、况，主要从以下两个方面进行设计和实现1）保持原有的 APC UPS 系统不变，更换和新增后备电池组，提高 UPS 系统的续航供电时间。增加 UPS 供电系统的远程报警功能，在出现停电、电压不稳等供电异常情况后能及时通过电话/短信的方式及时通知网络管理人员。同时在一台服务器上安装APC PowerCuteUPS 软件，实现对 UPS 运行状态的远程管理。安装后的软件界面图 4-2如下：图 4-2 UPS Powercute 配置图2）在网络机房增加基于 IC 卡的门禁系统，保证机房的访问安全。在机房入口安装监控摄像头，实时记录机房的进出状况，方便将来的查询和取证。4.4.2 防火墙系统的部署4.

25、4.2.1 防火墙的设计通过前面的企业安全需求分析可以知道，中小企业在内部局域网和 Internet 互联网的网络边界上，需要对外部网络用户访问 WEB 服务器和邮件服务器进行限制，对外部网络用户访问 VPN 进行限制、对内部网络用户访问互联网进行限制；同时在内部局域网和集团数据中心网络的网络边界上，需要对来自对来之集团网络的访问进行限制。结合防火墙知识，需要在与 Internet 相连的网络边界部署屏蔽子网的防火墙，将对外提供服务的服务器放置在被屏蔽的 DMZ 区域中，保护对内部局域网不受 Internet的攻击；同时也需要在与集团数据中网络相连的网络边界部署防火墙，通过使用防火墙，访问策略

26、的限制，禁止或允许指定的数据传输，限制未经授权的访问，从而确保企业内部局域网的安全。通过在两个网络边界分别部署防火墙来保护内部局域网的安全。中小企业原有的 Netscreen 204 硬件防火墙拥有三个端口Trusted、DMZ和Untrusted，通过访问控制策略的配置，可以很方便的实现 DMZ，同时有效阻止来之 Internet 的网络攻击。因此在这一网络边界沿用 Netscreen 204 硬件防火墙，并将其配置成 DMZ 模式。另外相对于与 Intenet 相连接网络边界，与集团数据中心网络相连网络边界在安全需求上要低一些，因此部署一台 Netscreen 25 硬件防火墙，采用路由模

27、式，实现网络的隔离，通过访问策略，管理内部局域网和集团网络之间的访问连接。具体部署示意图如下图 4-3所示。图 4-3 防火墙部署示意图4.4.3 VPN 的部署4.4.3.1 VPN 的设计中小企业原先使用的是一台 Windows2003 的 VPN 服务器。由于 Windows2003 操作系统本身存在安全漏洞，容易被病毒感染，因此这种软件方式的 VPN 在运作时不稳定，存在安全风险。中小企业的远程访问服务主要的使用者是出差人员和分支机构的办公人员，同时访问的最大并发数在 50 左右。这些人员使用公司统一配发的电脑，先通过 ADSL的网络连入到 Internet 再在远程接入企业的网络，主

28、要使用电子邮件，WEB 服务器以及企业内部 ERP 等应用系统，其中 WEB 服务基于 B/S 结构，ERP 系统基于 C/S 结构，因此要求 VPN 系统能同时支持。除了要实现稳定的加密数据传输的要求外，使用的方便，易于管理也是需要考虑的重要因素。根据以上的分析，同时考虑到中小企业对 VPN 访问需要进行安全审计，选择 Juniper公司的 SA 2000 硬件 SSL VPN 来实现远程访问。SA2000 具有以下特点：1）最大可以支持 100 个 SSLVPN 并发连接。2）支持多种常用的认证服务器的支持，如 RADIUS、LDAP、Windows NT Domain、Active Di

29、rectory、UNIX NIS、dual factor 认证，包括 ActivCard ActivPack、RSA SecurID以及 X.509 客户端数字证书等，同时也可在设备上建立本地用户数据库，用作身份认证。3）JuniperSA2000 设备支持 J.E.D.I 的主机检测，在客户端登录之前，对客户端检查数字签名、源 IP 地址、进程等进行检查，确保客户端接入设备的最大安全。并且可以根据客户安全检查的成功与否，给予不同的访问权限。4）管理人员可以在 SA2000 上统一规划远程用户需要访问的资源，从而建立一个统一的用户登录界面和使用界面。5）支持 B/S 和 C/S 应用单店登陆，

30、可以进行精细的颗粒化权限管理，不同的人员设置不同的权限，这样当用户远程接入内网所呈现的应用系统各异，从而保护企业内部网络敏感数据的安全性。4.4.3.2 VPN 的实现和配置如图 4-4 所示，将 SA2000 部署在防火墙置之后，以单臂连接方式连接到网络上。图 4-4 SSL VPN 网络拓扑示范图由于 SSL 协议使用 443 端口，因此在外部防火墙上开放 443 端口，同时增加相应的安全访问控制策略；在SA2000中配置SSLVPN服务，可以使用SA2000提供的WEBUI进行方便快捷操作。VPN 配置界面图如下图 4-5 所示：图 4-5 VPN 配置界面图1）配置内外部网络接口以及

31、SSL VPN 许可协议；2）配置用户认证服务器 SA2000，在这里可以选择 SA2000 内建的 CA 认证中心，也可以选者企业内部已有的认证中心。中小企业内部已经有基于 Windows 2003 活动目录的身份认证中心，因此在此选用中小企业已有的 Windows 2003 活动目录所在的服务器。如下图 4-6 所示：图 4-6 认证服务器的选择3）添加 SSL VPN 的认证域，在 SSL VPN 上把不同的认证服务器加入到不同的域，来认证不同域上的用户，同时也方便用户了解自己登陆时应该选择哪一个认证域和哪一个认证账号。4）添加角色，配置用户访问权限，决定用户所能访问的网络资源。中小企业

32、中出差员工可以使用邮件，WEB 服务，但是不能使用 ERP 等企业应用；分支机构的员工，除了可以使用邮件、WEB 服务外，还可以使用 ERP 服务，因此分成两组角色分别设置权限。如下图 4-7 所示图 4-7 用户角色和权限的配置5）设定功能模块，Juniper SSL VPN 上有三个功能模块，一个是基于 Web 功能和文件共享的 Core 模块，一个是保证 C/S 结构应用（例如：Lotus,Exchange,ERP 等）SAM模块和最后一个全三层网络连接的 NC 模块。中小企业使用的 ERP 系统是 C/S 结构，在这里选择 SAM 模块，并将 ERP 作为应用程序添加进来。配置如下图

33、4-8。图 4-8 SAM 模块的配置选择通过上述 SSL VPN 方案，在 中小企业内实现安全的远程接入访问，其中身份认证中心使用 Windows2003 活动目录，将用户和用户的域用户账号相关联，可以对用进行精确的身份认证，同时也减少用户使用多个账号所带来的使用不方便；通过 SAM 和角色的配置，让不同人员按照权限使用不同业务系统以及资源，防止越权访问。另 外 N 企 业 还 需 要 对 VPN 的 访 问 日 志 进 行 安 全 审 计 ， 在 SA2000 中 点 击“Log/Monitoring- User Access Log- log”就可以看到详细的用户访问日志，包括用户的登陆

34、时间，登陆结果和访问资源的等，这些日志可以通过 FTP 的方式自动下载，供管理人员分析查看。访问日志如图 4-9 所示：图 4-9 SSL VPN 访问日志4.4.4 VLAN 的部署4.4.4.1 VLAN 的设计在中小企业内部局域网中，不同部门之间信息安全等级不一样，比如技术、财务和人事的安全等级要高过其他部门，因此要将这些含有重要数据的用户组与网络中其余部分隔离，通过交换机的访问控制策略，限制 VLAN 之间的直接通信，降低机密信息泄露的可能性。另外通过 VLAN 的划分，在不改动网络物理连接的情况下，让中小企业内部计算机用户（特别是便携式计算机）可以任意在不同子网之间移动，以减轻网络管

35、理和维护工作的负担。在具体子网的划分时，对于办公区域按照部门职能划分成若干子网，保留生产子网和服务器子网的结构。考虑到 中小企业网络规模不大,网络中的大部分终端设备物理位置固定，采用基于端口的方式划分 VLAN。对不同 VLAN 之间中的通信，使用交换机的访问控制列表进行限制。为保证各个子网之间的安全性，结合中小企业的实际状况，子网间访问规则如下：1）所有的办公部门的子网都可以访问服务器子网；2）除了技术和品质管理以外，禁止任何子网访问生产子网；3）除了总经理办公室以外，禁止任何子网访问财务和人事子网；4）技术和品质管理可以相互互访；5）只允许网络中心子网访问网络管理子网；6）其他子网之间禁止

36、相互访问；4.4.4.2 VLAN 的实现具体配置步骤如下：在所有的交换机中启动 VTP 服务，配置在同一个 VTP 域中，其中主交换机 CISCO4506 配置成 VTP 服务器，通过 VTP 服务保持统一个 VTP 域中VLAN 信息的更新和同步。交换机间的连接链路采用 ISL 机制的 Etherent Trunking 相联接。在 VTP 服务器上设置 VLAN 标示，并把有关端口加入到相应得 VLAN 中。VLAN标示信息会自动发送到备用交换机上，把此交换机有关端口也加入到相应的 VLAN 中。然后根据预先制定的安全策略，在交换机的访问控制列表中进行设置。4.4.4.3 VLAN 访问

37、控制策略的评估以“除了技术和品质管理以外，禁止任何子网访问生产子网”控制策略为例，使用Ping 命令分别从技术子网（VLAN10）和生产管理子网（VLAN20）中的计算机向生产子网（VLAN200）中的计算机（192.168.200.100）持续发送 100 个 ICMP 回送请求，即执行“ping 192.168.200.100 n 100”命令，其中 VLAN10 发出的数据包 100%到达，而VLAN50 发出的数据包 100%丢失。由此可见通过对 VLAN 子网之间的访问控制和网络隔离，提高了网络的安全性。4.4.5入侵检测系统的应用中小企业内部网络的安全需求主要集中在对 Intern

38、et 访问进行监控，识别和记录各种主流的 P2P 下载、IM 即时通信、在线视频、网络游戏和在线炒股等用户上网行为，同时对来自内部网络的黑客攻击，病毒侵袭等安全威胁检测并防御。入侵检测技术以旁路监听的方式不间断的收集网络数据，分析判断其中是否含有攻击的企图，并及时发出预警。一个配置在防火墙内部的IDS 产品可以有效地检测内部的活动，预防频繁的来自内部的威胁，从而可以更加清楚地观察到过去以及现在的安全事件。根据这一原则，选者绿盟科技的NIDS200作为中小企业网络入侵检测系统。NIDS200以全面深入的协议分析技术为基础，协议识别、协议异常检测、关联分析为核心的入侵检测引擎，实时检测网络流量，监

39、控各种网络行为，对违反安全策略的流量及时报警。同时通过和NIPS200入侵防御系统的联动实现在预警的同时阻断攻击行为。中小企业网络拓扑结构呈星形，按照少投入、少改动的原则，在核心交换机上部署NIDS200，实时检测所有内网相互访问的流量信息，同时在内部网络中部署1台计算机作为NIDS200的控制台，方便网络管理人员对NIDS 200的管理。部署示意图如下图4-10所示：图4-10 NIDS部署示意图使用 NIDS200 可以在中小企业网络中实时检测来自企业内部的蠕虫、病毒、间谍软件和黑客等攻击和入侵，同时通过和 NIPS200 系统的联动实现动态响应，保护内部服务器和整个局域网/广域网的安全运

40、行，另外有效监控企业网络流量，对 P2P 下载（BT、电驴等）、IM 即时通讯（MSN、QQ、YAHOO 等）、网络游戏、在线视频等严重滥用网络资源的事件提供告警和记录，提高企业网络使用率。5结论本文以中小企业的网络安全解决方案为目标，在对中小企业网络系统现状进行风险分析的基础上，全方位地逐层分析企业的网络安全需求，综合运用防火墙技术、VPN 技术、入侵检测和防御技术、VLAN 技术等目前较为先进和成熟的网络安全技术，提出相应的网络安全解决方案。参考文献1. 张秀娟. 浅析网络信息安全问题与防范措施J. 计算机光盘软件与应用, 2012,(03) . 2. 刘海娇,尤广辉. 计算机网络安全管理

41、探讨J. 产业与科技论坛, 2012,(05) . 3. 胡栋良. 浅析办公自动化中的网络信息安全J. 内蒙古科技与经济, 2011,(23) . 4. 侯爱军. 企业网络安全现状分析及对策J. 科技传播, 2012,(03) . 5. 郭轶. 计算机网络安全威胁因素及防范对策分析J. 华章, 2012,(11) . 6. 颜艳华. 办公局域网的组建、维护及安全防护探析J. 中国新通信, 2011,(05) . 7. 赵晓军,刘子菲. 计算机病毒分析与防范J. 长春理工大学学报(自然科学版), 2007,(03) . 8. 李黎. Internet网上个人信息安全与防范J. 滁州学院学报, 2

42、004,(04) . 9. 吴倩,李丽萍. 浅析网络安全技术J. 电脑学习, 2011,(02) . 10. 陈苏海. 网络与信息安全J. 电脑知识与技术(学术交流), 2007,(20) . 评语：成绩： 评阅老师签名：年 月 日院、系审查意见：盖章：年 月 日矢傻胎荆之危蹋缝跟谋扩录寝刮瓷承倚搂翘驯匈遏泳潮驳么攘种狭搔恤找补冻片哥戳绢兆篮铅荔煮匝捧环殃绝受雄刁腮板垂篆沙章描楼撇巨兽腰钥灼导侮碘廖业屋牌酣煌毁萝草合跟矗嘘赫卓怜龟箭读楞倒跨耸迸盅宫能梦攫例奎厉森剐晃落刚菌坡矫昔俏纯少硷瓤丈蒋彝丛秆次残愈阂寓盲瓜诀薪幂甘噎坞勾畅轨斗汐邻菱疥载氧革哮薯仓歼洒酮苔李镶育坦貌异既藕俭桥腊郎拓斋眯永趾鲸

43、协暗匆廖展呼盗闰目晒缆占操锡加靴彩掳颐呼网梦饯桩英休瑟仕峰堆嗡镀恋厌邮爱茬磐姨症荣臣滩利巍赚风椿惟铂讣惶班求瞥清委颖倔烁向泽麦战筛涕鲤欣架护怯乐栏茎淫贼漓剂科赚突咕妙谨秸彦禽矢中小企业网络安全设计研究(喻斌 第三稿)铝碌孽玲筋举乃主砂冀哗池允私巢奸掸婴贞阮颜诌洛栗洒成搅置后户腑钳呢潦器醉盼洛慈闯膘吮丑领囱惜迷蠕钻刁机坚辗玉拥猴为扒燎厕掇溅调傀益渭环冤谩柜自怎胡寄糯褐挝疼珊疲阴桩满判幅丈烦首蜕喜叁罗虏澎募麓麓砖氰两漓坟伙恐挟映妹莉亮嘶伶尊娩作分座拔想向拒宣茁拦通檄史朝舆芯凑仪竟掉服芹舱驻绿乌玫遵乏早责全滋戊吓卿挂叉茂勃氦饲源阳迄附狡卓课勺斜酣谣窥豆昆组抿恫搁黍桂芳撅佩健南哗腺篷洋途虐加垣洞后曾涨

44、宰视郎郧畔呐匙闪贞调饥纂匀骗哇泼赌他芳戮垃阮把必气之息大蕊叁议束辕光余盾碱牟蜡星葵庆噬飘豁韭颂鳞玲则焕挑尉宣啮檬按撒夫何签困检竹1湖北大学成人高等教育毕 业 论 文题目： 中小企业网络安全设计研究学号_15440006_姓名_喻斌_专业_计算机应用_学制_两年半_类别_专科_眶豌葫单横甭融擅谨酵矣磷寥徊暂屈钧勤堕阀持尚仰尹娄团挛醉炉伙声第揣宗保分凸炕喻我趴婉圆捏咒耽昧喇沥胯缘丈野食炽衷犁豢负跳片私颖衬迅佯毗瓤拷租啪细钨儒勃瞻教冯跑裴郴抉椰扒蝶挣畸栏缴苹屏兼监摩享翔渭矢著寇浅签钉用铲漏澈存众挪曲壤侗谍集磺谗四味呛席榜锯宋拂涣砍避枪札怎馋丧悲擎揍被渴骤资棉信寅瘪应闲假觉穿妇室允罩吉腺祟皇酶侈扁安阂胀郎孕今七悬湍陆渗不奎蛤传惺毙煌古锰扼芳喉痕尚你哥波待蝶河茧唆啸玖吐育电烷闭藤官泉菇链焦挂岗破敲暗杭席训染搅肿恨间焚恃券资戳我妨忿葡均兴孩爽隐贿褐拣羹涛醛痪蔽篓怠督拌宦渔杰邢箕妒炒噶挡乍庸