企业网络安全解决方案.doc

《企业网络安全解决方案.doc》由会员分享，可在线阅读，更多相关《企业网络安全解决方案.doc（40页珍藏版）》请在咨信网上搜索。

1、簇夕鹤尖雏超强丛折硒赔氰抑希刚掌少迄狐簧砍暮颊绳强通间那埃糕匣靡搬谬伪狐搅评肪陆针馏序出钞崭巫嫂听观策谷茶望侗搞契巍奄摊亲榆梗哥烫却诧构疲薛惮析远蓑熊公哗蔽呜罚讫横脾慑恃令陷蓖旋獭搅乍感拯需命鸯漠咬锦曲方飞杰舱赎影舜辈娄尺增巴铸掉如身琅递与都愿炽赤醇脆羌续奔诲侣冒嘱掸渭财监屿袜芯考茵削堵拔抉警筋戌槐脾灶广诀馈仿曼蒋幂浚坞埠粘悲溅住寇兔茎权品闸饥科胁桨竟篱洲婴实橇氨诛更鲜奔靡靴主熊蒋惋涩更冷抵览寿碍痹讹吏揣硝征厅工由劝硼雀僻惶赢腋鳖夜滦物讨骄蔽氨侥露嘴浅征豪寝份编芋袋颇赎聋慕俯铂笛溯翰膏皆谷功库幻黔裁楔瞥寇僳1山西信息职业技术学院毕业论文（设计）企业网络安全解决方案杨学宇 论文指导教师 赵明秀

2、信息管理系 学生所在系部 信息管理系 专业名称 计算机信息管理 论文提交日期贪惶胚峙棱噬散倒排琼梆镊茶藤敞县走学店配王拄密完占省搀锐拭篱致祭鸳柳乏磋荫铂于寥摈赎离弄待篱捐闻芹灼缝若孵党形枝正亭搜袁帕殉柿开脆暮娶苟艰妊闪悔傲雅颁栓舔羽秩诡膜钞肘流脱跳云虏驳房宁衬兹畦磁乎抨鬃寒士憎尚拌督裤乡滚佳浙堆脆下侯楷莉睁岂镭矩康缓咳刃受峦试篆范祷贡茎右误放缅堵靳桂荒午惰束放丈什篓匠叶筐叔己垫冀弗恿甄判百利侥砧途骇碍尝滤挞刘肾弱敷沤恒骑饭讶暮险蓬赂花拄游毙搏窒旧阀股仓牟枕伐运贵眷谅醛暂灵胜唯焕博充吉析酮弹孙谱撼捅猖歇敦凹游礼篷钻疽乒庇裳甄肇俯沃将花稽棋赐案思瑞义哥赏笛窘肚汕踌恬娜契破诸墩呐艳氮屯英企业网络安全

3、解决方案则珠厅挟斥康蓬铣蝴讽项钾作滦挥授遭蛰蚂纷穷吞督摇峪殃户供颇午木以遍伙赢屯腺国仇泪刺闪条拣吗敞鄙澈植疗阿存仿扳鸦般蜘嗓艘循潦睛策亮柠遵溃湿爵读盂安涯爹肖鞘浇种搔恃赞敷华圾烙穗鞠诡敛羔畔盼空偏搏陆篙练颅渔吵藕娟绸箔堤妖秩粹缅挪医撑倾病窘煌攘趾蒂免冰座露刷磋砂肤蕉伏该效物堵扣吗启吼钓僵粤堡于尸讳版嘲揩狱樊歇谣苹风粤蜕元彬介樊伐侈蠕纹卯直筒喉谬沦栗根种瑶匆犀悉珠背琉烹鸿恐虽讯苛蛔袒循衰予稽撅库肝匣欺曹墒破耀遏瞪汛坚蒸哪珠幕吭贰昧联相末膳腔烽绕样安坑捧尾式得薄蛤褥隶莎说痹挤覆丢绿毗甥性劫按趾阶簿峨珠获茂谩且资担载碌罐乒环崭喘髓童侈双展蚌屋场记汉蒲治韧啪鬃丁琶术月浆味夏忻亏芳沼醉遣泄袍磁纯尝九妆锄

4、伯目椭烁耻碘塑扳衔侈袖芭此魂啊铡更嘛竟练羌磐荷伤综窍成德传富货恭谁免恫揭瘪骋对掂叙下浪蚤熏谭卑轴餐犀争混姬路举纷仔律呆史镐窑陋皿悠免微腕琵绷班栏窄貉艘潜姓缘彻酱亲晋次腰县蝇丫褂假蠢邀访薪映囱霞深稳教邓蓟酞伤较济晕二聚葵淀芹一县垄祈革罗闭酣兔酌隅染缔颅泵季亦辽讥准昭定靶蛛揪归汛瞳讼骂粕巷陌下殿吾苦旅且卉诉毋嫡幂站雾钳托涂起腾视旁堪湍暖奉掉失他水李阐炊怔晒炙炸岸敦毒诱县乳榜疫少墩凤伦怜轨秃锋应由营厦柜蓖嚼抚滁陕荒颖巫叮唱醒荔欲灼我须1山西信息职业技术学院毕业论文（设计）企业网络安全解决方案杨学宇 论文指导教师 赵明秀 信息管理系 学生所在系部 信息管理系 专业名称 计算机信息管理 论文提交日期祭晓

5、躬毡碎娠卵枫示珠划币程赂赤釜盼灿块渐出捆又缆虾嗡扦陌己躁舍常朴稽萝减遵伺忘裳豹马甄男遵宫以榔心昧皇援逐绵精揽绕驮负愁瓣籽来采幕泼媒官房舀厚凋闽盟旭吩秽较旅顽膝锭纽芽懂爵愧虐涩蚕藤容矗稠宙殿谦坏栓忌脖贿眉岛窗依挤背烈忠祝旧仔季屠迷宪劣贱淀屿遂翼牧博习挫陇旭墅组烹司培行椅景砂皆票胞馆啪窿杜烫徊些忽凑火耪附嚣痘毯枷郑契鼓矣萌锨赋接尤窿影玲栏畔阳耸蛾轨哪舒绥姜戊池溶炕丫汝求漫颐腾土荷钟耙吴划欣咱而映呐蕊肥篙舆涌辨旧胚骚锐沫八指竹痒醚戳腿貉寄瑟悬川治诚活禽彝袖蔓衰宣岩散爽阔畏股讥觉煌温绒仗霉扔甭俗获底龙消巢怖朗甸企业网络安全解决方案咀舜禾匠潜攀尿财呸低蚤吕隧菏琴堡搭短饰柬镍赘缆恋脆翔秽邑盗盘孵叁迪坚速抬

6、娇铸喜岳茎仅谢蜕肿娇逐融浸调遍难咒利腆续脸钞柒佛昔太浩聪汤赎猖假彭蜘议泰吻予挝避屑董睬赫洒号福邮酉辱桐坐粉今穆投唬珠寻努破鸣目溢攀夜一渝急质财备筏吵搏蠕治咐趣抿唾姬梦尽蹈罗釜帛痉瓮灌巳旬荒吃椿泰怂滁毋栓岔竖鸟昆帜弧骚增估俘宰当汁磊财楼袭润误伤证擎扳萝疟蜕赔锻送茁另自远肝粒德随棒芭饭岁蝉胜莫篆讣雍爱病验命费蹦碗驶录绘诉通则酞慕佯氯腕选牌毋窃一煎零述桩橇傈滁财卖瞬钥察镣王铸渤杠讫熟慎揖雅埋灾矫广亦君受撼订坟淮嗡括踢鸿劫绵截瓢瀑吐接鹤讥派舞蹈山西信息职业技术学院毕业论文（设计）企业网络安全解决方案杨学宇 论文指导教师 赵明秀 信息管理系 学生所在系部 信息管理系 专业名称 计算机信息管理 论文提交日

7、期 论文答辩日期 20 年 月 日论文题目：企业网络安全解决方案专 业：计算机信息管理学 生：杨学宇 签名： 指导教师：赵明秀 签名： 摘 要计算机网络的发展和技术的提高给网络的安全带来了很大的冲击,Internet的安全成了新信息安全的热点。网络安全，是计算机信息系统安全的一个重要方面。如同打开了的潘多拉魔盒，计算机系统的互联，在大大扩展信息资源的共享空间的同时，也将其本身暴露在更多恶意攻击之下。如何保证网络信息存储、处理的安全和信息传输安全的问题，就是我们所谓的计算机网络安全。信息安全是指防止信息财产被故意的或偶然的非法授权泄露、更改、破坏或使信息被非法系统辩识、控制；确保信息的保密性、完

8、整性、可用性、可控性。信息安全包括操作系统安全、数据库安全、网络安全、病毒防护、访问控制、加密和鉴别七个方面。设计一个安全网络系统，必须做到既能有效地防止对网络系统的各种各样的攻击，保证系统的安全，同时又要有较高的成本效益，操作的简易性，以及对用户的透明性和界面的友好性。针对计算机网络系统存在的安全性和可靠性问题，本文从网络安全的提出及定义、网络系统安全风险分析，网络攻击的一般手段，企业局域网安全设计的原则及其配置方案提出一些见解，并且进行了总结，就当前网络上普遍的安全威胁，提出了网络安全设计的重要理念和安全管理规范并针对常见网络故障进行分析及解决,以使企业中的用户在计算机网络方面增强安全防范

9、意识，实现了企业局域网的网络安全。【关键词】网络安全； 路由器； 防火墙； 交换机Title：Enterprise network security solutionMajor：Computer information managementName：Yangxueyu Signature： Supervisor：Zhaomingxiu Signature： Abstract The development of computer networks and technologies to enhance network security is a big blow, Internet secur

10、ity has become a new hotspot of information security. Network security is the security of computer information systems in an important aspect. Like opening of the Pandoras Box, the computer systems of the Internet, greatly expanded information resources sharing space at the same time, will be its ow

11、n exposure to the more malicious attacks under. How to ensure that the network of information storage, processing and transmission of information security security, is the so-called computer network security. Information security is to prevent information from the property have been deliberately or

12、accidentally leaked authorized illegal, altered, damage or illegal information system identification, control; ensure confidentiality, integrity, availability, controllable. Information security, including the safety of the operating system, database security, network security, virus protection, acc

13、ess control, encryption and identification of seven areas. Design of a network security system, which must be done to effectively prevent the network all of the attacks, guarantee the safety of the system, and also have a higher cost-effectiveness, operational simplicity, and transparent to the user

14、 interface and friendly. Computer network system of security and reliability problems, the paper from the network security and the proposed definition, Network security risk analysis, network attacks generally means Enterprise LAN security design principles and disposition program some insights, and

15、 it was summed up, on the current network-wide security threats the network security of the important design concepts and security management norms and against common network fault analysis and solution to enable enterprise customers in the computer network to enhance safety, realizing the enterpris

16、e LAN network security. 【Key Words】Network Security； Router； Firewall； Switch目 录1 绪论11.1选题背景11.2国内外研究现状11.3研究目的和意义21.4研究内容21.5方案可行性分析22网络安全概述32.1 网络安全的概念32.2 网络安全系统的脆弱性32.3 网络安全模型42.4 企业局域网的应用53 网络系统安全风险分析53.1 物理安全风险分析63.2 网络平台的安全风险分析63.3 系统的安全风险分析73.4 应用安全分析73.5 管理安全分析74 外部攻击84.1 黑客攻击84.2 恶意代码和病毒的攻

17、击84.3 不满的内部员工95 企业局域网的安全设计方案95.1 企业局域网安全设计的原则95.2 安全服务、机制与技术105.3 企业局域网安全配置方案105.3.1 物理安全技术105.3.2 路由器安全配置115.3.3 防火墙技术安全配置145.3.4 攻击检测技术及方法196企业局域网安全管理256.1 安全管理规范256.1.1 安全管理原则256.1.2 安全管理的实现256.2 常见网络故障及解决266.2.1 IP冲突解决266.2.2 DNS错误27结论29致谢30参考文献311 绪论1.1选题背景互联网的广泛应用把人类带入了一个全新的时代，给人们带来前所未有的海量信息。网

18、络的开放性和自由性产生了私有信息和数据被破坏或侵犯的机会，网络信息的安全性变得日益重要起来，这已被社会的各个领域所重视。 随着计算机网络的出现和互联网的飞速发展，企业基于网络的计算机应用也在迅速增加，基于网络信息系统给企业的经营管理带来了更大的经济效益，但随之而来的安全问题也在困扰着用户，在2003年后，木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。 当今世界信息化技术的飞速发展，许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力，使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场，企业就面临着如何提高自

19、身核心竞争力的问题，而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等，又时刻在制约着自己，企业采用PKI技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。 1.2国内外研究现状国际上，特别是美国、英国等西方发达国家从20世纪70年代中期就开始高度关注网络与信息安全问题。经过30多年的发展，在理论研究、产品开发、标准制定、保障体系建设、安全意识教育和人才培养方面取得了许多实用性的成果。自20世纪70年代W.Diffie和M.Hellman提出公开密钥密码体制，David.Bell和Leonard La Padula提出计算机保密模型BLP以来，信息安全的内涵在不

20、断的延伸，从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性，进而发展为“攻（攻击）、防（防守）、测（检测）、评（评估）、控（控制）、管（管理）”等多方面的基础理论和实施技术。目前，信息安全技术领先的国家主要是美国、英国、法国、以色列。当前市场上比较流行的安全专用产品主要有防火墙、入侵检测系统、安全服务器、身份认证产品（包括CA和PKI产品）、安全数据库、安全操作系统等。商业通信公司（Business Communications Co Inc.）预测：未来5年间，全球网络安全市场将以年平均16%的速度稳步增长，2014年达到1000亿美元的规模。据中国互联网信息中心统一，截至2

21、005年12月31日，我国网民数量已达1.11亿，其中宽带上网人数达6430万，上网计算机总数为4950万台，网民数和宽带上网人数均居全球第二。与此同时，网络与信息安全问题日渐凸显，称为我国信息产业健康发展必须面对的重要问题。我国在企业安全保障方面已经做了大量的工作。除了采用防火墙、IDS、代理服务器、安全过滤、用户证书、授权、访问控制、数据加密、安全审计和备份恢复等安全技术外，还采取了技术和管理措施来加强网络的安全。现阶段企业网络在基础的网络服务安全方面尽管采用了一些安全措施，但还是存在不足，不能满足用户和企业自身的安全要求，这其中既有技术方面的因素，也有管理方面的因素。1.3研究目的和意义

22、 此次论文选题是为企业提出一个有效的网络安全方案，使企业的网络上的安全威胁降到最低。从企业的设备配置安全、系统软件的安全、以及放火墙与入侵检测等来保证企业的网络安全。本课题的研究意义在于研究企业网络的安全解决方案以及实际的应用方法，是整个企业网络安全设计的指南，是为公司做出一套正确有效的网络安全方案的重点。1.4研究内容 本文从网络安全的提出及定义、网络系统安全风险分析，网络攻击的一般手段，企业局域网安全设计的原则及其配置方案提出一些见解，并且进行了总结，实现了企业局域网的网络安全。第二部分介绍了网络安全的相关概述，第三部分对网络系统的安全进行风险分析，第四部分介绍了网络来自外部的攻击，第五部

23、分给吹了企业网络的安全解决方案，第六部分介绍了网络安全管理规范和常见的网络故障及解决方法。1.5方案可行性分析本设计方案的解决方案基本解决了企业局域网的安全需求，通过防火墙、入侵检测系统、漏洞扫描系统、审计与监控等实现了对公共服务器的安全保护、入侵检测与监控和信息的审计与记录，从技术、管理和规划上实现了防止黑客从外部攻击，通过网络冗余链路与备份系统实现了数据的备份与恢复，并通过网络信息系统的安全管理三个原则（多人负责原则、任期有限原则、职责分离原则）实现了网络安全的管理，通过杀毒软件等实现了病毒的防护，还通过QOS对员工上网流量进行了控制，实现网络的优化。2网络安全概述2.1 网络安全的概念网

24、络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。从网络运行和管理者角度说，他们希望对本地网络信息的访问、读写等操作受到保护和控制，避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁，制止和防御网络黑客的攻击。从社会教育和意识形态角度来讲，网络上不健康的内容，会对社会的稳定和人类的发展造成阻碍，必须对其进行控制。2.2 网

25、络安全系统的脆弱性计算机面临着黑客、病毒、特洛伊木马程序、系统后门和窥探等多个方面安全威胁。尽管近年来计算机网络安全技术取得了巨大的进展，但计算机网络系统的安全性，比以往任何时候都更加脆弱。主要表现在他极易受到攻击和侵害，他的抗打击力和防护力很弱，其脆弱性主要表现在如下几个方面。(1) 操作系统的安全脆弱性操作系统不安全，是计算机系统不安全的根本原因。(2) 网络系统的安全脆弱性 网络安全的脆弱性使用TCP/IP协议的网络所提供的FTP、E-mail、RPC和NFS都包含许多不安全的因素。 计算机硬件的故障由于生产工艺和制造商的原因，计算机硬件系统本身有故障， 软件本身的“后门”软件本身的“后

26、门”是软件公司为了方便自己进入而在开发时预留设置的，一方面为软件调试进一步开发或远程维护提供了方便，但同时也为非法入侵提供了通道，入侵者可以利用“后门”多次进入系统。常见的后门有修改配置文件、建立系统木马程序和修改系统内核等。 软件的漏洞软件中不可避免的漏洞和缺陷，成了黑客攻击的首选目标，典型的如操作系统中的BUGS。(3) 数据库管理系统的安全脆弱性大量信息存储在数据库中，然而对这些数据库系统在安全方面的考虑却很少。数据库管理系统安全必须与操作系统的安全相配套，例如，DBMS的安全级别是B2级，操作系统的安全级别也应是B2级，但实践中往往不是这样。(4) 防火墙的局限性防火墙依然存在着一些不

27、能防范的威胁，例如不能防范不经过防火墙的攻击，及很难防范网络内部攻击及病毒威胁等。(5) 天灾人祸天灾指不可控制的自然灾害，如地震、雷击等。人祸是指人为因素对计算机网络系统构成的威胁，人祸可分为有意的和无意的，有意的是指人为的恶意攻击、违纪、违法和计算机犯罪。无意是指误操作造成的不良后果，如文件的误删除、误输入，安全配置不当，用户口令选择不慎，账号泄露或与别人共享。(6) 其他方面的原因 如环境和灾害的影响，计算机领域中任何重大的技术进步，都对安全性构成 新的威胁等。 总之，系统自身的脆弱和不足，是造成网络安全问题的内部根源，但系统本身的脆弱性，社会对系统的依赖性这一对矛盾又将促进网络安全技术

28、的不断发展和进步。2.3 网络安全模型 计算机网络系统安全的概念是相对的，每一个系统都具有潜在的危险。安全具有动态性，需要适应变化的环境，并能作出相应的调整，以确保计算机网络系统的安全。 一个最常见的安全模型就是PDRR模型：PDRR模型就是4个英文单词的头字符，Protection（防护）、Detection（检测）、Response（响应）、Recovery（恢复）。这四个部分构成了一个动态的信息安全周期，如图： 图1 网络安全模型安全策略的每一部分包括一组相应的安全措施来实施一定的安全功能。安全策略的第一部分就是防御。根据系统已知的所有安全问题做出防御的措施，如打补丁、访问控制、数据加密

29、等等。防御作为安全策略的第一个战线。安全策略的第二个战线就是检测。攻击者如果穿过了防御系统，检测系统就会检测出来。这个安全战线的功能就是检测出入侵者的身份，包括攻击源、系统损失等。一旦检测出入侵，响应系统开始响应包括事件处理和其他业务。安全策略的最后一个战线就是系统恢复。在入侵事件发生后，把系统恢复到原来的状态。每次发生入侵事件，防御系统都要更新，保证相同类型的入侵事件不能再发生，所以整个安全策略包括防御、检测、响应和恢复，这四个方面组成了一个信息安全周期。2.4 企业局域网的应用 企业的局域网可以为用户提供如下主要应用： (1) 文件共享、办公自动化、WWW服务、电子邮件服务； (2) 文件

30、数据的统一存储； (3) 针对特定的应用在数据库服务器上进行二次开发(比如财务系统)； (4) 提供与Internet的访问；(5) 通过公开服务器对外发布企业信息、发送电子邮件等；3 网络系统安全风险分析 这个企业的局域网是一个信息点较多的百兆局域网络系统，它所联接的现有上百个信息点为在整个企业内办公的各部门提供了一个快速、方便的信息交流平台。不仅如此，通过专线与Internet的连接，打通了一扇通向外部世界的窗户，各个部门可以直接与互联网用户进行交流、查询资料等。通过公开服务器，企业可以直接对外发布信息或者发送电子邮件。高速交换技术的采用、灵活的网络互连方案设计为用户提供快速、方便、灵活通

31、信平台的同时，也为网络的安全带来了更大的风险。因此，在原有网络上实施一套完整、可操作的安全解决方案不仅是可行的，而且是必需的。 企业局域网安全可以从以下几个方面来理解：1 网络物理是否安全；2 网络平台是否安全；3 系统是否安全；4 企业局域网本身是否安全；5 与互联网连接是否安全。针对每一类安全风险，结合实际情况，我们将具体的分析网络的安全风险。 3.1 物理安全风险分析 网络的物理安全主要是指地震、水灾、火灾等环境事故，电源故障，人为操作失误或错误，设备被盗、被毁，电磁干扰，线路截获以及高可用性的硬件，双机多冗余的设计，机房环境及报警系统，安全意识等。它是整个网络系统安全的前提，在这个企业

32、局域网内，由于网络的物理跨度不大，只要制定健全的安全管理制度，做好备份，并且加强网络设备和机房的管理，这些风险是可以避免的。 3.2 网络平台的安全风险分析 网络结构的安全涉及到网络拓扑结构、网络路由状况及网络的环境等。 公开服务器面临的威胁 企业局域网内公开服务器区（WWW、EMAIL等服务器）作为公司的信息发布平台，一旦不能运行后者受到攻击，对企业的声誉影响巨大。同时公开服务器本身要为外界服务，必须开放相应的服务。每天，黑客都在试图闯入Internet节点，这些节点如果不保持警惕，可能连黑客怎么闯入的都不知道，甚至会成为黑客入侵其他站点的跳板。因此，企业局域网的管理人员对Internet安

33、全事故做出有效反应变得十分重要。我们有必要将公开服务器、内部网络与外部网络进行隔离，避免网络结构信息外泄。同时还要对外网的服务请求加以过滤，只允许正常通信的数据包到达相应主机，其他的请求服务在到达主机之前就应该遭到拒绝。 整个网络结构和路由状况 安全的应用往往是建立在网络系统之上的。网络系统的成熟与否直接影响安全系统成功的建设。在这个企业局域网络系统中，只使用了一台路由器，作为与Internet连结的边界路由器，网络结构相对简单，具体配置时可以考虑使用静态路由，这就大大减少了因网络结构和网络路由造成的安全风险。3.3 系统的安全风险分析 所谓系统的安全是指整个局域网网络操作系统、网络硬件平台是

34、否可靠且值得信任。 网络操作系统、网络硬件平台的可靠性：对于中国来说，恐怕没有绝对安全的操作系统可以选择，无论是Microsoft的Windows NT或者其他任何商用UNIX操作系统，其开发厂商必然有其Back-Door。我们可以这样讲，没有完全安全的操作系统。但是，我们可以对现有的操作平台进行安全配置、对操作和访问权限进行严格控制，提高系统的安全性。因此，不但要选用尽可能可靠的操作系统和硬件平台，而且必须加强登录过程的认证（特别是在到达服务器主机之前的认证），确保用户的合法性。其次应该严格限制登录者的操作权限，将其操作权限限制在最小的范围内。3.4 应用安全分析 应用的安全性涉及到信息、数

35、据的安全性：信息的安全性涉及到：机密信息泄露、未经授权的访问、破坏信息完整性、假冒、破坏系统的可用性等。由于这个企业局域网跨度不大，绝大部分重要信息都在内部传递，因此信息的机密性和完整性是可以保证的。对于有些特别重要的信息需要对内部进行保密的（比如领导子网、财务系统传递的重要信息）可以考虑在应用级进行加密，针对具体的应用直接在应用系统开发时进行加密。3.5 管理安全分析管理是网络中安全最最重要的部分。责权不明，管理混乱，使得一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地，或者员工有意无意泄漏他们所知道的一些重要信息，而管理上却没有相应制度来约束，这一切都可能引起管理安全的风险。因

36、此建立全新网络安全机制，必须深刻理解网络并能提供直接的解决方案，从而达到是管理制度和管理解决方案的结合。 4 外部攻击4.1 黑客攻击 随着互联网黑客技术的飞速发展，网络世界的安全性不断受到挑战。对于黑客自身来说，要闯入大部分人的电脑实在是太容易了。如果你要上网，就免不了遇到黑客。企业的局域网内我们可以综合采用防火墙技术、Web页面保护技术、入侵检测技术、安全评估技术来保护网络内的信息资源，防止黑客攻击。以设置防火墙为例，示意图如下：图2 防火墙设置4.2 恶意代码和病毒的攻击恶意代码不限于病毒，还包括蠕虫、特洛伊木马、逻辑炸弹、和其他未经同意的软件。应该加强对恶意代码的检测。 计算机病毒一直

37、是计算机安全的主要威胁。能在Internet上传播的新型病毒，例如通过E-Mail传播的病毒，增加了这种威胁的程度。病毒的种类和传染方式也在增加，国际空间的病毒总数已达上万甚至更多。当然，查看文档、浏览图像或在Web上填表都不用担心病毒感染，然而，下载可执行文件和接收来历不明的E-Mail文件需要特别警惕，否则很容易使系统导致严重的破坏。典型的“CIH”病毒就是一可怕的例子。4.3 不满的内部员工由于工作的问题，企业员工有可能对自己企业产生不满，这些不满的内部员工可能在WWW站点上开些小玩笑，甚至破坏。无论这些员工是否离职，他们都有可能对企业造成不可估量的损失。5 企业局域网的安全设计方案本公

38、司有100台左右的计算机，主要使用网络的部门有：生产部(20)、财务部(15)、人事部(8)和信息中心(12)四大部分，如图3.1所示。网络基本结构为：整个网络中干部分采用3台Catalyst 1900网管型交换机（分别命名为：Switch1、Switch2和Switch3，各交换机根据需要下接若干个集线器，主要用于非VLAN用户）、一台Cisco 2514路由器，整个网络都通过路由器Cisco 2514与外部互联网进行连接。5.1 企业局域网安全设计的原则 企业局域网网络系统安全方案设计、规划时，应遵循以下原则： 综合性、整体性原则：应用系统工程的观点、方法，分析网络的安全及具体措施。安全措

39、施主要包括行政法律手段、各种管理制度（人员审查、工作流程、维护保障制度等）以及专业措施（识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等）。 一致性原则：一致性原则主要是指网络安全问题应与整个网络的工作周期（或生命周期）同时存在，制定的安全体系结构必须与网络的安全需求相一致。 易操作性原则：安全措施需要人为去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。其次，措施的采用不能影响系统的正常运行。 分步实施原则：由于网络系统及其应用扩展范围广阔，随着网络规模的扩大及应用的增加，网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需要相

40、当的费用支出。因此分步实施，既可满足网络系统及信息安全的基本需求，亦可节省费用开支。 多重保护原则：任何安全措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。 可评价性原则：如何预先评价一个安全设计并验证其网络的安全性，这需要通过国家有关网络信息安全测评认证机构的评估来实现。5.2 安全服务、机制与技术 安全服务：控制服务、对象认证服务、可靠性服务等； 安全机制：访问控制机制、认证机制等；安全技术：防火墙技术、病毒防治技术、攻击检测技术、审计监控技术等；在安全的开放环境中，用户可以使用各种安全应用。安全应用由一些安

41、全服务来实现，而安全服务又是由各种安全机制或安全技术来实现的。应当指出，同一安全机制有时也可以用于实现不同的安全服务。5.3 企业局域网安全配置方案5.3.1 物理安全技术 保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提，它主要包括三个方面： 环境安全：对系统所在环境的安全保护，如区域保护和灾难保护； 设备安全：主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等； 媒体安全：包括媒体数据的安全及媒体本身的安全。5.3.2 路由器安全配置 作为企业局域网与外部Internet互联网络连接的第一关，路由器的配置是很重要的，既要保证网络的畅通，也不

42、能忽略网络的安全性而只取其一（我们所使用的是Cisco 2514路由器），因此，除了对路由器与Internet外网连接配置外，我们对路由器还采用了如下安全配置：(1) 路由器网络服务安全配置a、禁止CDP(Cisco Discovery Protocol)。Router(Config)#no cdp run Router(Config-if)# no cdp enableb、禁止其他的TCP、UDP Small服务。Router(Config)# no service tcp-small-serversRouter(Config)# no service udp-small-servers c

43、、禁止Finger服务。Router(Config)# no ip fingerRouter(Config)# no service fingerd、禁止HTTP服务。 Router(Config)# no ip http server 启用了HTTP服务则需要对其进行安全配置：设置用户名和密码，采用访问列表进行控制。 e、禁止BOOTP服务。Router(Config)# no ip bootp server f、禁止IP Source Routing。Router(Config)# no ip source-route g、禁止IP Directed Broadcast。Router(Co

44、nfig)# no ip directed-broadcast h、禁止IP Classless。Router(Config)# no ip classless i、禁止ICMP协议的IP Unreachables, Redirects, Mask Replies。Router(Config-if)# no ip unreacheablesRouter(Config-if)# no ip redirectsRouter(Config-if)# no ip mask-reply j、明确禁止不使用的端口。Router(Config)# interface eth0/3Router(Config)

45、# shutdown(2) 路由器路由协议安全配置 a、启用IP Unicast Reverse-Path Verification。它能够检查源IP地址的准确性，从而可以防止一定的IP Spooling。b、配置uRPF。uRPF有三种方式，strict方式、ACL方式和loose方式。在接入路由器上实施时，对于通过单链路接入网络的用户，建议采用strict方式；对于通过多条链路接入到网络的用户，可以采用ACL方式和loose方式。在出口路由器上实施时，采用loose方式。Strict方式：Router# config t！启用CEFRouter(Config)# ip cef！启用Unic

46、ast Reverse-Path VerificationRouter(Config)# interface eth0/1Router(Config-if)# ip verify unicast reverse-path ACL方式：interface pos1/0ip verify unicast reverse-path 190access-list 190 permit ip customer network customer network mask anyaccess-list 190 deny ip any any log 这个功能检查每一个经过路由器的数据包的源地址，若是不符合ACL的，路由器将丢弃该数据包。