信息安全體系結(jié)構(gòu)報告自制版

PAGE19制作：學(xué)號制作：學(xué)號姓名學(xué)號姓名學(xué)號姓名指導(dǎo)教師： 完成日期：TOC\o"1-3"\h\u目錄324171系統(tǒng)需求分析 4255981.1企業(yè)需求 4179581.2網(wǎng)絡(luò)實(shí)現(xiàn)功能 420831.3網(wǎng)絡(luò)系統(tǒng)安全分析 4274521.3.1物理層安全風(fēng)險 5244361.3.2系統(tǒng)層安全風(fēng)險 582391.3.3網(wǎng)絡(luò)層安全風(fēng)險 5256081.3.4數(shù)據(jù)傳輸?shù)陌踩L(fēng)險 5112151.3.5病毒的安全風(fēng)險 5271931.3.6管理的安全風(fēng)險 6160441.4企業(yè)網(wǎng)的安全目標(biāo) 6244311.5網(wǎng)絡(luò)安全策略 7315552網(wǎng)絡(luò)設(shè)計(jì)原則 7256293網(wǎng)絡(luò)安全的方案設(shè)計(jì) 842223.1總體設(shè)計(jì)方案 8170903.2網(wǎng)絡(luò)拓?fù)浞桨冈O(shè)計(jì) 93003.2.1網(wǎng)絡(luò)拓?fù)鋱D設(shè)計(jì) 951123.2.2IP地址分配策略 9185373.2.3內(nèi)部網(wǎng)絡(luò)IP地址分配 981363.2.4外部網(wǎng)絡(luò)IP地址分配 10189514設(shè)備選型及配置 10201964.1防火墻 10141974.1.1產(chǎn)品概述 10211114.1.2配置過程 1153114.2路由器 1181054.2.1產(chǎn)品概述 1198764.2.2配置過程 1210344.3中心交換機(jī) 1265194.4二級交換機(jī) 136334.5入侵檢測系統(tǒng)（IDS） 13295744.5.1產(chǎn)品概述 13256834.5.2配置過程 13116515服務(wù)器的安裝和配置 1422705.1Web/DNS服務(wù)器的配置 14299465.2郵件服務(wù)器的配置 1434095.3文件服務(wù)器的配置 15268076安全管理規(guī)則 15312166.1使用中的網(wǎng)絡(luò)安全問題 15271266.1.1網(wǎng)絡(luò)安全的外部問題 15176696.1.2網(wǎng)絡(luò)安全的內(nèi)部問題 16122616.2網(wǎng)絡(luò)防護(hù) 16170996.2.1登陸控制 16308406.2.2防火墻 1744826.3后期安全服務(wù) 17185936.3.1網(wǎng)絡(luò)拓?fù)浞治?17192646.3.2操作系統(tǒng)補(bǔ)丁升級 18326066.3.3防病毒軟件病毒庫定期升級 18213166.3.4服務(wù)器定期掃描加固 18231116.3.5防火墻日志備份、分析 187156.3.6入侵檢測等安全設(shè)備日志備份 18162596.3.7服務(wù)器日志備份 18229786.3.8設(shè)備備份系統(tǒng) 18646.3.9信息備份系統(tǒng) 19147896.4網(wǎng)絡(luò)管理員的責(zé)任 1982356.5公司內(nèi)部制定安全規(guī)章 19

簡介本文結(jié)合中小型網(wǎng)絡(luò)安全系統(tǒng)建設(shè)的實(shí)例，重點(diǎn)研究計(jì)算機(jī)網(wǎng)絡(luò)的安全問題，對不同的網(wǎng)絡(luò)安全方案進(jìn)行優(yōu)化、集中和協(xié)同，從而盡可能的使本網(wǎng)絡(luò)安全系統(tǒng)保持可擴(kuò)展性、健壯性，使網(wǎng)絡(luò)安全系統(tǒng)真正獲得較好的結(jié)果。主要研究工作有：1.查找和收集網(wǎng)絡(luò)安全相關(guān)的資料，剖析網(wǎng)絡(luò)攻擊的手段，分析影響網(wǎng)絡(luò)安全的因素。2.詳細(xì)闡述網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)的目標(biāo)和總體規(guī)劃。3.詳細(xì)分析中小型公司物理層安全風(fēng)險、網(wǎng)絡(luò)層安全風(fēng)險、系統(tǒng)層安全風(fēng)險、病毒的安全風(fēng)險、數(shù)據(jù)傳輸?shù)陌踩L(fēng)險、管理的安全風(fēng)險，提出了具體的需求和設(shè)計(jì)依據(jù)。4.根據(jù)中小型公司網(wǎng)絡(luò)現(xiàn)狀、中小型公司的需求、網(wǎng)絡(luò)安全的風(fēng)險分析及網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)目標(biāo)和總體規(guī)劃，設(shè)計(jì)了中小型網(wǎng)絡(luò)安全系統(tǒng)方案，運(yùn)用先進(jìn)的網(wǎng)絡(luò)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品對方案進(jìn)行了實(shí)現(xiàn)，探討了今后網(wǎng)絡(luò)安全系統(tǒng)的發(fā)展方向。1系統(tǒng)需求分析1.1企業(yè)需求該中小型企業(yè)大約需要100臺計(jì)算機(jī)；其中包含了三個部門（研發(fā)部，財(cái)務(wù)部，市場部）；通過專線接入到Internet，已經(jīng)獲得10個真實(shí)IP地址；企業(yè)有獨(dú)立對外的Web服務(wù)器、E-mail服務(wù)器，內(nèi)部有專用私有文件服務(wù)器，保存企業(yè)研發(fā)重要文檔，每個員工有自己獨(dú)立的企業(yè)郵箱。1.2網(wǎng)絡(luò)實(shí)現(xiàn)功能（1）資源共享功能：網(wǎng)絡(luò)內(nèi)的各個計(jì)算機(jī)可共享文件服務(wù)器，實(shí)現(xiàn)研發(fā)文檔的上傳下載，實(shí)現(xiàn)辦公自動化系統(tǒng)中的各項(xiàng)功能。（2）安全通信功能：企業(yè)可通過專線接入到Internet，企業(yè)員工有獨(dú)立的企業(yè)郵箱，并可以通過廣域網(wǎng)連接可以收發(fā)電子郵件、實(shí)現(xiàn)Web應(yīng)用、接入互聯(lián)網(wǎng)、進(jìn)行對廣域網(wǎng)的訪問。同時，在所有通信過程中應(yīng)當(dāng)保證客戶端與服務(wù)器端，以及內(nèi)部和外部和內(nèi)部與內(nèi)部的所有通信是安全的和透明的。1.3網(wǎng)絡(luò)系統(tǒng)安全分析正確的風(fēng)險分析是保證網(wǎng)絡(luò)環(huán)境安全的非常重要的一環(huán)，一個性能優(yōu)良的安全系統(tǒng)結(jié)構(gòu)和安全系統(tǒng)平臺，能夠以低的安全代價換得高的安全強(qiáng)度。下面對中小型公司的具體狀況從物理層安全、網(wǎng)絡(luò)層安全、系統(tǒng)層安全、數(shù)據(jù)傳輸安全、病毒的安全威脅及管理安全進(jìn)行分類描述網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險。1.3.1物理層安全風(fēng)險因?yàn)榫W(wǎng)絡(luò)物理層安全是整個網(wǎng)絡(luò)系統(tǒng)安全的前提。一般的物理安全風(fēng)險主要有：1.電源故障造成設(shè)備斷電以至操作系統(tǒng)引導(dǎo)失敗或數(shù)據(jù)庫信息丟失。2.地震、水災(zāi)、火災(zāi)等環(huán)境事故造成整個系統(tǒng)毀滅。3.電磁輻射可能造成數(shù)據(jù)信息被竊取或偷閱。4.不能保證幾個不同機(jī)密程度網(wǎng)絡(luò)的物理隔離。針對中小型公司物理層安全是指由于網(wǎng)絡(luò)系統(tǒng)中大量地使用了網(wǎng)絡(luò)設(shè)備如移動設(shè)備、服務(wù)器如PC服務(wù)器、交換機(jī)，那么這些設(shè)備的自身安全性也會直接影響信息系統(tǒng)和各種網(wǎng)絡(luò)應(yīng)用的正常運(yùn)轉(zhuǎn)。物理安全的威脅可以直接造成設(shè)備的損壞，系統(tǒng)和網(wǎng)絡(luò)的不可用，數(shù)據(jù)的直接損壞或丟失等等。為了保證中小型公司系統(tǒng)的物理安全，首先要保證系統(tǒng)滿足相應(yīng)的國家標(biāo)準(zhǔn)，同時對重要的網(wǎng)絡(luò)設(shè)備采用UPS不間斷穩(wěn)壓電源，對重要的設(shè)備如數(shù)據(jù)庫服務(wù)器、中心交換機(jī)等采用雙機(jī)熱備份，對安全計(jì)算機(jī)電磁泄漏發(fā)射距離不符合安全距離的應(yīng)采取電磁泄漏發(fā)射防護(hù)措施，對重要的通訊線路采用備份等等。1.3.2系統(tǒng)層安全風(fēng)險中小型企業(yè)網(wǎng)絡(luò)采用的操作系統(tǒng)（主要為UNIX，WindowsNT/Workstation，Windows2000server/professional，WindowsME）本身在安全方面考慮的較少，服務(wù)器的安全級別較低，存在若干安全隱患。同時病毒也是系統(tǒng)安全的主要威脅，所有這些都造成了系統(tǒng)安全的脆弱性。在中小型公司的網(wǎng)絡(luò)系統(tǒng)中，包含的設(shè)備有：交換機(jī)，服務(wù)器，工作站等。在服務(wù)器上主要有操作系統(tǒng)、軟件系統(tǒng)和數(shù)據(jù)庫系統(tǒng)，交換機(jī)上也有相應(yīng)的操作系統(tǒng)。所有的這些設(shè)備、軟件系統(tǒng)都可能會存在著各種各樣的漏洞，這些都是重大安全隱患。一旦被利用并攻擊，將帶來不可估量的損失。1.3.3網(wǎng)絡(luò)層安全風(fēng)險網(wǎng)絡(luò)邊界的安全風(fēng)險分析：該中小型公司校園網(wǎng)絡(luò)由教學(xué)區(qū)網(wǎng)絡(luò)、計(jì)算機(jī)機(jī)房網(wǎng)絡(luò)和學(xué)校資源服務(wù)器群組成。由于存在外聯(lián)服務(wù)的要求應(yīng)在網(wǎng)絡(luò)出口處安裝防火墻對訪問加以控制[6]。2、由于中小型公司中小型公司校園網(wǎng)絡(luò)中大量使用了網(wǎng)絡(luò)設(shè)備，如交換機(jī)、路由器等。使得這些設(shè)備的自身安全性也會直接關(guān)系的學(xué)校業(yè)務(wù)系統(tǒng)和各種網(wǎng)絡(luò)應(yīng)用的正常運(yùn)轉(zhuǎn)。3、網(wǎng)絡(luò)傳輸?shù)陌踩L(fēng)險分析：中小型公司中小型公司校園網(wǎng)絡(luò)與其他院校的遠(yuǎn)程傳輸安全的威脅來自如下兩個方面：內(nèi)部業(yè)務(wù)數(shù)據(jù)明文傳送帶來的威脅;線路竊聽。1.3.4數(shù)據(jù)傳輸?shù)陌踩L(fēng)險由于在中小型企業(yè)內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)傳輸線路之間存在被竊聽的威脅，同時局域網(wǎng)絡(luò)內(nèi)部也存在著內(nèi)部攻擊行為，其中包括登錄密碼和一些敏感信息，可能被侵襲者搭線竊取和篡改，造成泄密。如果沒有專門的軟件或硬件對數(shù)據(jù)進(jìn)行控制，所有的通信都將不受限制地進(jìn)行傳輸，因此任何一個對通信進(jìn)行監(jiān)測的人都可以對通信數(shù)據(jù)進(jìn)行截取。這種形式的“攻擊”是相對比較容易成功的。造成泄密或者做一些篡改來破壞數(shù)據(jù)的完整性。1.3.5病毒的安全風(fēng)險傳統(tǒng)的計(jì)算機(jī)病毒傳播手段是通過存儲介質(zhì)進(jìn)行的，當(dāng)企業(yè)員工在交換存儲著數(shù)據(jù)的介質(zhì)時，隱藏在其中的計(jì)算機(jī)病毒就從一臺計(jì)算機(jī)轉(zhuǎn)移到另外的計(jì)算機(jī)中。而現(xiàn)代的病毒傳播手段主要是通過網(wǎng)絡(luò)實(shí)現(xiàn)的，一臺客戶機(jī)被病毒感染，迅速通過網(wǎng)絡(luò)傳染到同一網(wǎng)絡(luò)的上百臺機(jī)器。員工們在上網(wǎng)瀏覽網(wǎng)頁、收發(fā)電子郵件，下載資料的時候，都有可能被病毒傳染。1.3.6管理的安全風(fēng)險管理混亂、安全管理制度不健全，責(zé)權(quán)不明及缺乏可操作性等都可能引起管理安全的風(fēng)險。因此，最可行的做法是管理制度和管理解決方案相結(jié)合。管理方面的安全隱患包括：內(nèi)部管理人員或師生為了方便省事，設(shè)置的口令過短和過于簡單，甚至不設(shè)置用戶口令，導(dǎo)致很容易破解。責(zé)任不清，使用相同的口令、用戶名，導(dǎo)致權(quán)限管理混亂，信息泄密。把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員用戶名及口令以及系統(tǒng)的一些重要信息傳播給外人帶來信息泄漏風(fēng)險。內(nèi)部不滿的人員有的可能造成極大的安全風(fēng)險[10]。網(wǎng)絡(luò)安全管理是防止來自內(nèi)部網(wǎng)絡(luò)入侵的必須部分，管理上混亂、責(zé)權(quán)不明、安全管理制度缺乏可操作性及不健全等都可能引起管理安全的風(fēng)險。即除了從技術(shù)上功夫外，還得靠安全管理來實(shí)現(xiàn)。隨著中小型公司整個網(wǎng)絡(luò)安全系統(tǒng)的建設(shè)，必須建立嚴(yán)格的、完整的、健全的安全管理制度。網(wǎng)絡(luò)的安全管理制度策略包括：確定安全管理等級和安全管理范圍;制訂有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和出入機(jī)房管理制度;制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施等。通過制度的約束，確定不同學(xué)員的網(wǎng)絡(luò)訪問權(quán)限，提高管理人員的安全防范意識，做到實(shí)時監(jiān)控檢測網(wǎng)絡(luò)的活動，并在危害發(fā)生時，做到及時報警。1.4企業(yè)網(wǎng)的安全目標(biāo)從技術(shù)角度來說，網(wǎng)絡(luò)信息安全與保密的目標(biāo)主要表現(xiàn)在系統(tǒng)的保密性、完整性、真實(shí)性、可用性、不可抵賴性等方面。網(wǎng)絡(luò)安全的意義，就在于資料、信賴關(guān)系和網(wǎng)絡(luò)的傳輸能力與端系統(tǒng)的處理能力三個要素的保護(hù)，保證這三者能為所適合的用戶服務(wù)。而且，只為合適的用戶服務(wù)。與此同時，由于計(jì)算機(jī)網(wǎng)絡(luò)自身存在的局限性和信息系統(tǒng)的脆弱性，使得計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)上的硬件資源，通信資源，軟件及信息資源等因可預(yù)見或不可預(yù)見的甚至是惡意的原因而遭到破壞，更改、泄露或功能失效，使信息系統(tǒng)處于異常狀態(tài)，甚至引起系統(tǒng)的崩潰癱瘓，造成巨大的經(jīng)濟(jì)損失。在這樣的形勢下，以保護(hù)網(wǎng)絡(luò)中的信息免受各種攻擊為根本目的網(wǎng)絡(luò)安全變得越來越重要。計(jì)算機(jī)網(wǎng)絡(luò)改變著人們賴以行動的社會信息結(jié)構(gòu)，改變著人們獲取利用信息的方式，從而引起人類生活方式的全面改觀。網(wǎng)絡(luò)安全威脅一般分為外部闖入、內(nèi)部滲透和不當(dāng)行為三種類型。外部闖入是指未經(jīng)授權(quán)計(jì)算機(jī)系統(tǒng)用戶的入侵;內(nèi)部突破是指己授權(quán)的計(jì)算機(jī)系統(tǒng)用戶訪問未經(jīng)授權(quán)的數(shù)據(jù);不正當(dāng)行為是指用戶雖經(jīng)授權(quán)，但對授權(quán)數(shù)據(jù)和資源的使用不合法或?yàn)E用授權(quán)。網(wǎng)絡(luò)自身的缺陷、開放性以及黑客的攻擊是造成網(wǎng)絡(luò)不安全的主要原因。由于計(jì)算機(jī)網(wǎng)絡(luò)最重要的資源是它向用戶提供的服務(wù)及所擁有的信息，因而計(jì)算機(jī)網(wǎng)絡(luò)的安全性可以定義為：保障網(wǎng)絡(luò)服務(wù)的可用性和網(wǎng)絡(luò)信息的完整性。前者要求網(wǎng)絡(luò)向所有用戶有選擇地隨時提供各自應(yīng)得到的網(wǎng)絡(luò)服務(wù)，后者則要求網(wǎng)絡(luò)保證信息資源的保密性、完整性、可用性和準(zhǔn)確性?？梢娊踩木W(wǎng)絡(luò)系統(tǒng)要解決的根本問題是如何在保證網(wǎng)絡(luò)的連通性、可用性的同時對網(wǎng)絡(luò)服務(wù)的種類、范圍等行使適當(dāng)程度的控制以保障系統(tǒng)的可用性和信息的完整性不受影響[2]。一個安全的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)該具有以下幾個特點(diǎn)：(1)可靠性是網(wǎng)絡(luò)系統(tǒng)安全最基本的要求?？煽啃灾饕侵妇W(wǎng)絡(luò)系統(tǒng)硬件和軟件無故障運(yùn)行的性能。(2)可用性是指網(wǎng)絡(luò)信息可被授權(quán)用戶訪問的特性，即網(wǎng)絡(luò)信息服務(wù)在需要時，能夠保證授權(quán)用戶使用。(3)保密性是指網(wǎng)絡(luò)信息不被泄露的特性。保密性是在可靠性和可用性的基礎(chǔ)上保證網(wǎng)絡(luò)信息安全的非常重要的手段。保密性可以保證信息即使泄露，非授權(quán)用戶在有限的時間內(nèi)也不能識別真正的信息內(nèi)容。(4)完整性是指網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進(jìn)行改變的特性，即網(wǎng)絡(luò)信息在存儲和傳輸過程中不被刪除、修改、偽造、亂序、重放和插入等操作，保也稱做不可否認(rèn)性，主要用于網(wǎng)絡(luò)信息的交換過程，保證信息交換的參與者都不可能否認(rèn)或抵賴曾進(jìn)行的操作，類似于在發(fā)文或收文過程中的簽名和簽收的過程。從技術(shù)角度看，網(wǎng)絡(luò)安全的內(nèi)容大體包括4個方面：1.網(wǎng)絡(luò)實(shí)體安全2.軟件安全3.網(wǎng)絡(luò)數(shù)據(jù)安全4.網(wǎng)絡(luò)安全管理由此可見，計(jì)算機(jī)網(wǎng)絡(luò)安全不僅要保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全，還要保護(hù)數(shù)據(jù)安全等。其特征是針對計(jì)算機(jī)網(wǎng)絡(luò)本身可能存在的安全問題，實(shí)施網(wǎng)絡(luò)安全保護(hù)方案，以保證算機(jī)網(wǎng)絡(luò)自身的安全性為目標(biāo)。1.5網(wǎng)絡(luò)安全策略網(wǎng)絡(luò)中的所有計(jì)算機(jī)都應(yīng)能抵御來自于外部和內(nèi)部的攻擊?；谝陨系陌踩繕?biāo)，我們可以制定如下安全策略：利用路由器，防火墻，VPN，實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的隔離、審查和過濾。同時在內(nèi)部不同部門之間，利用VLAN技術(shù)，劃分虛擬局域網(wǎng)，實(shí)現(xiàn)內(nèi)部各個部門的隔離。網(wǎng)絡(luò)安全策略目的是決定一個計(jì)算機(jī)網(wǎng)絡(luò)的組織結(jié)構(gòu)怎樣來保護(hù)自己的網(wǎng)絡(luò)及其信息，一般來說，安全策略包括兩個部分：一個總體的策略和具體的規(guī)則?？傮w的策略用于闡明公司安全政策的總體思想，而具體的規(guī)則用于說明什么活動是被允許的，什么活動是被禁止的。1.網(wǎng)絡(luò)安全策略的等級網(wǎng)絡(luò)安全策略可分為以下4個等級：(1)不把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)相連，因此一切都被禁止。(2)除那些被明確允許之外，一切都被禁止。(3)除那些被明確禁止之外，一切都被允許。(4)一切都被允許，當(dāng)然也包括那些本來被禁止的?？梢愿鶕?jù)實(shí)際情況，在這4個等級之間找出符合自己的安全策略。當(dāng)系統(tǒng)自身的情況發(fā)生變化時，必須注意及時修改相應(yīng)的安全策略。2網(wǎng)絡(luò)設(shè)計(jì)原則中小型企業(yè)網(wǎng)絡(luò)的規(guī)模通常較小，結(jié)構(gòu)相對簡單，對性能的要求則因應(yīng)用的不同而差別較大。許多中小型企業(yè)的網(wǎng)絡(luò)技術(shù)人員較少，因而對網(wǎng)絡(luò)的依賴性很高，要求網(wǎng)絡(luò)盡可能簡單，可靠，易用，降低網(wǎng)絡(luò)的使用和維護(hù)成本，提高產(chǎn)品的性價比就顯得尤為重要?；谝陨咸攸c(diǎn)：在進(jìn)行系統(tǒng)設(shè)計(jì)時應(yīng)當(dāng)遵循以下設(shè)計(jì)原則：實(shí)用性和經(jīng)濟(jì)性。方案設(shè)計(jì)應(yīng)始終貫徹面向應(yīng)用，注重實(shí)效的方針，堅(jiān)持實(shí)用、經(jīng)濟(jì)的原則，建設(shè)企業(yè)的網(wǎng)絡(luò)系統(tǒng)。先進(jìn)性和成熟性。當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)發(fā)展很快，設(shè)備更新淘汰也很快。這就要求網(wǎng)絡(luò)建設(shè)在系統(tǒng)設(shè)計(jì)時既要采用先進(jìn)的概念、技術(shù)和方法，又要注意結(jié)構(gòu)、設(shè)備、工具的相對成熟。只有采用當(dāng)前符合國際標(biāo)準(zhǔn)的成熟先進(jìn)的技術(shù)和設(shè)備，才能確保網(wǎng)絡(luò)絡(luò)能夠適應(yīng)將來網(wǎng)絡(luò)技術(shù)發(fā)展的需要，保證在未來幾年內(nèi)占主導(dǎo)地位?？煽啃院头€(wěn)定性。在考慮技術(shù)先進(jìn)性和開放性的同時，還應(yīng)從系統(tǒng)結(jié)構(gòu)、技術(shù)措施、設(shè)備性能、系統(tǒng)管理、廠商技術(shù)支持及維修能力等方面著手，確保系統(tǒng)運(yùn)行的可靠性和穩(wěn)定性，達(dá)到最大的平均無故障時間。安全性和保密性。在方案設(shè)計(jì)中，既考慮信息資源的充分共享，更要注意信息的保護(hù)和隔離，因此方案應(yīng)分別針對不同的應(yīng)用和不同的網(wǎng)絡(luò)通信環(huán)境，采取不同的措施，包括系統(tǒng)安全機(jī)制、數(shù)據(jù)存取的權(quán)限控制等。（5）可擴(kuò)展性和易維護(hù)性。為了適應(yīng)系統(tǒng)變化的要求，必須充分考慮以最簡便的方法、最低的投資，實(shí)現(xiàn)系統(tǒng)的擴(kuò)展和維護(hù)，采用可網(wǎng)管產(chǎn)品，降低了人力資源的費(fèi)用，提高網(wǎng)絡(luò)的易用性。把當(dāng)前先進(jìn)性、未來可擴(kuò)展性和經(jīng)濟(jì)可行性結(jié)合起來，保護(hù)以往投資，實(shí)現(xiàn)較高的總體性能價格比。3網(wǎng)絡(luò)安全的方案設(shè)計(jì)3.1總體設(shè)計(jì)方案企業(yè)網(wǎng)絡(luò)建設(shè)的基本目標(biāo)就是在網(wǎng)絡(luò)中心和各部門的局域網(wǎng)建設(shè)、及其廣域網(wǎng)互聯(lián)的基礎(chǔ)上，將互聯(lián)網(wǎng)技術(shù)引入企業(yè)內(nèi)部網(wǎng)，從而建立起統(tǒng)一、快捷、高效的內(nèi)部網(wǎng)絡(luò)系統(tǒng)。整個系統(tǒng)在安全、可靠、穩(wěn)定的前提下，實(shí)現(xiàn)合理投入，最大產(chǎn)出，即符合最優(yōu)經(jīng)濟(jì)的原則。中小型網(wǎng)絡(luò)安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排，統(tǒng)一標(biāo)準(zhǔn)、相互配套“的原則進(jìn)行，采用先進(jìn)的”平臺化“建設(shè)思想，避免重復(fù)投入、重復(fù)建設(shè)，充分考慮整體和局部的利益，堅(jiān)持近期目標(biāo)與遠(yuǎn)期目標(biāo)相結(jié)合。在實(shí)際建設(shè)中遵循以下指導(dǎo)思想：宏觀上統(tǒng)一規(guī)劃，同步開展，相互配套;在實(shí)現(xiàn)上分步實(shí)施，漸進(jìn)獲取;在具體設(shè)計(jì)中結(jié)構(gòu)上一體化，標(biāo)準(zhǔn)化，平臺化;安全保密功能上多級化，對信道適應(yīng)多元化。針對中小型公司系統(tǒng)在實(shí)際運(yùn)行中所面臨的各種威脅，采用防護(hù)、檢測、反應(yīng)、恢復(fù)四方面行之有效的安全措施，建立一個全方位并易于管理的安全體系，確保中小型公司系統(tǒng)安全可靠的運(yùn)行?？蛻魴C(jī)/服務(wù)器（C/S）網(wǎng)有著突出的優(yōu)點(diǎn)：網(wǎng)絡(luò)系統(tǒng)穩(wěn)定，信息管理安全，網(wǎng)絡(luò)用戶擴(kuò)展方便，易于升級。客戶機(jī)服務(wù)器網(wǎng)的缺點(diǎn)是：需專用文件服務(wù)器和相應(yīng)的外部連接設(shè)備，建設(shè)網(wǎng)絡(luò)的成本較高，網(wǎng)絡(luò)管理上也較復(fù)雜。這種網(wǎng)絡(luò)結(jié)構(gòu)適用于計(jì)算機(jī)數(shù)量較多，位置相對分散，且傳輸?shù)男畔⒘枯^大的情況。對于具有一定規(guī)模，并且在內(nèi)部已經(jīng)有了幾個部門的企業(yè)，如果所有部門的用戶無差別地處于對等網(wǎng)中，不僅使許多敏感數(shù)據(jù)容易被無關(guān)人員獲取，使網(wǎng)絡(luò)數(shù)據(jù)的安全性下降，而且部門內(nèi)的大量通信也會占用大量的網(wǎng)絡(luò)資源，使整個網(wǎng)絡(luò)的效率變低，甚至引起崩潰，降低了網(wǎng)絡(luò)的可用性。為了克服這個缺點(diǎn)，需要將經(jīng)常進(jìn)行通信的計(jì)算機(jī)組成一個子網(wǎng)，使大量的內(nèi)部數(shù)據(jù)局限在子網(wǎng)內(nèi)傳播，然后將各個子網(wǎng)連接在一起，形成局域網(wǎng)。3.2網(wǎng)絡(luò)拓?fù)浞桨冈O(shè)計(jì)3.2.1網(wǎng)絡(luò)拓?fù)鋱D設(shè)計(jì)圖3-2-13.2.2IP地址分配策略由于本網(wǎng)中局域網(wǎng)的規(guī)模不是很大，因此出于網(wǎng)絡(luò)安全的角度考慮，在網(wǎng)絡(luò)設(shè)計(jì)中采用靜態(tài)地址分配的方法。并結(jié)合中心交換機(jī)的第三層交換功能，進(jìn)行子網(wǎng)的劃分，一方面可以降低網(wǎng)絡(luò)風(fēng)暴的發(fā)生，另一方面也加強(qiáng)了網(wǎng)絡(luò)的安全性。使用靜態(tài)IP地址分配可以對各部門進(jìn)行合理的IP地址規(guī)劃，能夠在第三層上方便地跟蹤管理，再加上對網(wǎng)卡MAC地址的管理，網(wǎng)絡(luò)就會具有更好的可管理性，可通過固定IP地址及MAC地址直接定位內(nèi)部的某臺PC機(jī)，對于內(nèi)部入侵有著較好的防御力。3.2.3內(nèi)部網(wǎng)絡(luò)IP地址分配內(nèi)部網(wǎng)部分可以使用保留地址。根據(jù)IANA的規(guī)定，以下地址為保留地址，并可以由用戶自由使用，只需保證企業(yè)范圍內(nèi)的地址唯一性。保留地址如下：~（256個C類地址）。內(nèi)部網(wǎng)絡(luò)采用保留IP地址192.168.x.x，子網(wǎng)掩碼，則最多可以提供254×254=64516個IP地址，254個子網(wǎng)，在可以預(yù)見的將來基本能夠滿足信息點(diǎn)增長的要求。分配原則：把192.168.x.0（x=1…254）稱作一個二級子網(wǎng)（VLAN），分別分給財(cái)務(wù)部、市場部、研發(fā)部等部門的網(wǎng)段可以是其中的任意三個，如：，，，子網(wǎng)掩碼為。根據(jù)部門的規(guī)模和信息點(diǎn)的數(shù)量，可以按需調(diào)整。每個部門需指定專人負(fù)責(zé)本子網(wǎng)的IP地址分配和管理工作，并和網(wǎng)絡(luò)管理員協(xié)同工作，確保IP地址管理的效率。對于重要的IP地址（例如領(lǐng)導(dǎo)使用的IP地址和各個服務(wù)器使用的IP地址），采取IP地址和MAC地址綁定的方法，來保證IP地址不被盜用。3.2.4外部網(wǎng)絡(luò)IP地址分配Web服務(wù)器、電子郵件服務(wù)器都需要與外圍網(wǎng)絡(luò)通訊，需要申請一定數(shù)量的InternetIP地址，并綁定在在防火墻的外部網(wǎng)卡上，然后通過IP映射，使發(fā)給其中某一個IP地址的包轉(zhuǎn)發(fā)至Web服務(wù)器上，然后再將該Web服務(wù)器響應(yīng)包偽裝成該合法IP發(fā)出的包。假設(shè)以下情況：分配Web服務(wù)器的IP為：內(nèi)部IP：00，真實(shí)IP：00。分配給電子郵件服務(wù)器的IP為：內(nèi)部IP：00，真實(shí)IP：00。PIX防火墻的IP地址分別為：內(nèi)網(wǎng)接口e1：，外網(wǎng)接口e0：。通過設(shè)置PIX把真實(shí)IP綁定到防火墻的外網(wǎng)接口，并在PTX上定義好NAT規(guī)則，這樣，所有目的IP為00和00的數(shù)據(jù)包都將分別被轉(zhuǎn)發(fā)給00和00；而所有來自00和00的數(shù)據(jù)包都將分別被偽裝成00和00，從而也就實(shí)現(xiàn)了IP映射。NAT地址轉(zhuǎn)換過程如圖2：圖3-2-4需要申請合法IP地址的服務(wù)器包括：Internet接入路由器、Web服務(wù)器、電子郵件服務(wù)器、防火墻。4設(shè)備選型及配置4.1防火墻4.1.1產(chǎn)品概述本方案采用CISCO公司的防火墻系列產(chǎn)品PIX中的CISCOSECUREPIX525，它很好的支持了多媒體信息的傳輸，使用與管理更方便。主要起到策略過濾，隔離內(nèi)外網(wǎng)，根據(jù)用戶實(shí)際需求設(shè)置DMZ。CISCO提供防火墻運(yùn)行自己定制的操作系統(tǒng)，事實(shí)證明，它可以有效地防止非法攻擊。該產(chǎn)品經(jīng)過了美國安全事務(wù)處（NSA）的認(rèn)證，同時通過中國公安部安全檢測中心的認(rèn)證。另外，實(shí)時嵌入式系統(tǒng)還能進(jìn)一步提高CiscoSecurePIX防火墻系列的安全性。雖然UNIX服務(wù)器是廣泛采用公開源代碼的理想開放開發(fā)平臺，但通用的操作系統(tǒng)并不能提供最佳的性能和安全性。而專用的CiscoSecurePIX防火墻是為了實(shí)現(xiàn)安全、高性能的保護(hù)而專門設(shè)計(jì)。而且考慮到是中小企業(yè)所以我們選擇了CISCOPIX-525-UR-B。無論從安全要求還是價格方面CISCOPIX-525-UR-B它都符合我們的要求。設(shè)備配置：1）CISCOSECUREPIX525；2）4個100M以太網(wǎng)端口；3）128M內(nèi)存；4）600MHZCPU。4.1.2配置過程基本配置策略:1）對外的IP地址只有一個，即防火墻的IP地址，對內(nèi)部網(wǎng)絡(luò)的訪問，都通過防火墻的IP地址轉(zhuǎn)換（NAT）；2）內(nèi)部網(wǎng)絡(luò)使用保留的IP地址192.168.x.x。當(dāng)內(nèi)部某一用戶要訪問Internet時，Internet上看見的這個用戶的IP地址就是防火墻的地址；3）外部網(wǎng)絡(luò)的用戶只有通過防火墻來才能訪問WEB服務(wù)器和郵件服務(wù)器，由防火墻來完成IP地址的映射。4）外部網(wǎng)絡(luò)用戶不允許直接訪問其他服務(wù)器。5）不必要的端口被禁止。PIX防火墻配置：ipaddressoutsideipaddressinsideglobal1-00nat1static00conduit514udp0055mailhost00telnet00syslogfacility20.7sysloghost004.2路由器4.2.1產(chǎn)品概述為保證Internet連接的可靠性和將來的流量擴(kuò)展，選用高性能的CISC02811路由器作為Internet接入服務(wù)平臺。CISCO2811系列是適合大中型企業(yè)較小型Internet服務(wù)供應(yīng)商的一系列模塊化多服務(wù)訪問平臺。CISCO281具有先進(jìn)、集成的端到端安全性，以用于提供融合服務(wù)和應(yīng)用。憑借思科IOS軟件高級安全特性集，它在一個解決方案集中提供了一系列強(qiáng)大的通用安全特性。CISCO2811提供了2個10Mbps/100Mbps端口，它能以線速為多條T1/E1/xDSL連接提供多種高質(zhì)量并發(fā)服務(wù)。這些路由器提供了內(nèi)嵌加密加速和主板話音數(shù)字信號處理器（DSP）插槽；入侵保護(hù)和防火墻功能；集成化呼叫處理和語音留言；用于多種連接需求的高密度接口；以及充足的性能和插槽密度，以用于未來網(wǎng)絡(luò)擴(kuò)展和高級應(yīng)用設(shè)備配置：2個板載AIM（內(nèi)部）插槽4個接口卡插槽1個插槽（支持NM和NME模塊）4.2.2配置過程路由器RTRA：RTRA是外部防護(hù)路由器（直接連接Internet），它必須保護(hù)PIX防火墻免受直接攻擊，保護(hù)FTP/HTTP服務(wù)器，同時作為一個警報系統(tǒng)，如果有人攻入此路由器，管理可以立即被通知。只允許網(wǎng)管工作站遠(yuǎn)程登錄到此路由器，當(dāng)用戶想從Internet管理此路由器時，應(yīng)對此存取控制列表進(jìn)行修改。按以上設(shè)置配置好PIX防火墻和路由器后，PIX防火墻外部的攻擊者將無法在外部連接上找到可以連接的開放端口，也不可能判斷出內(nèi)部任何一臺主機(jī)的IP地址，即使告訴了內(nèi)部主機(jī)的IP地址，要想直接對它們進(jìn)行Ping和連接也是不可能的。這樣就可以對整個內(nèi)部網(wǎng)進(jìn)行有效的保護(hù)，防止外部的非法攻擊。路由器配置：noservicetcpsmall-serversloggingtrapdebuggingloggingenablesecretinterfaceEthernet0ipaddressinterfaceSerial0ipunnumberedethernet0ipaccess-group110inaccess-list110denyip55anylogaccess-list110denyipanyhostIogaccess-Iist110permittcpany.055establishedaccess-list110permittcpanyhosteqaccess-list110permittcpanyhosteqaccess-listI10permittcpanyhost00wwwaccess-list110denyipanyhost00logaccess-1ist110permitipany55linevty04loginpasswordXXXxaccess-class10inaccess-list10permitip192.168..5.1004.3中心交換機(jī)中心交換機(jī)選用CISCOCatalyst6500系列交換機(jī)。Catalyst6500提供3插槽、6插槽、9插槽和13插槽的機(jī)箱，以及多種集成式服務(wù)模塊，包括數(shù)千兆位網(wǎng)絡(luò)安全性、內(nèi)容交換、語音和網(wǎng)絡(luò)分析模塊。能感知網(wǎng)絡(luò)內(nèi)容和網(wǎng)絡(luò)應(yīng)用的第2～7層交換服務(wù)。CiscoCatalyst6500系列交換機(jī)提供3插槽、6插槽、9插槽和13插槽的機(jī)箱，以及多種集成式服務(wù)模塊，包括數(shù)千兆位網(wǎng)絡(luò)安全性、內(nèi)容交換、語音和網(wǎng)絡(luò)分析模塊。Catalyst6500系列中的所有型號都使用了統(tǒng)一的模塊和操作系統(tǒng)軟件，形成了能夠適應(yīng)未來發(fā)展的體系結(jié)構(gòu)，由于能提供操作一致性，因而能提高IT基礎(chǔ)設(shè)施的利用率，并增加投資回報。從48端口到576端口的10/100/1000以太網(wǎng)布線室到能夠支持192個1Gbps或32個10Gbps骨干端口，提供每秒數(shù)億個數(shù)據(jù)包處理能力的網(wǎng)絡(luò)核心，CiscoCatalyst6500系列能夠借助冗余路由與轉(zhuǎn)發(fā)引擎之間的故障切換功能提高網(wǎng)絡(luò)正常運(yùn)行時間。設(shè)備配置：1）Catalyst65009插槽交換機(jī)機(jī)箱；2）Catalyst60001300W交流電源及冗余電源；3）帶2個1000MGBIC上聯(lián)接口，增強(qiáng)QoS及PFC卡和MSFC卡；4）1塊WS-X6408-GBICB口千兆以太網(wǎng)卡+10個WS-65486千兆模塊；5）Catalyst600048口10/100模塊（RJ-45）。以上配置提供了電源的冗余，充分保證中心交換機(jī)的高可用性。4.4二級交換機(jī)二級交換機(jī)選用CISCO3548XL交換機(jī)，與中心交換機(jī)采用單模百兆連接。CISCOSystemsCatalyst3500XL系列是一系列可伸縮的堆疊10/100和GigabitEthernet交換機(jī)，提供優(yōu)異的性能、可管理性和靈活性。CATALYST3548XL的背板交換能力為10G，最高轉(zhuǎn)發(fā)速率每秒鐘740萬個數(shù)據(jù)包，最大轉(zhuǎn)發(fā)帶寬5Gb/s，提供了2端口的千兆以太網(wǎng)以及48端口快速以太網(wǎng)，保證了強(qiáng)大的端口數(shù)量、以及向千兆網(wǎng)絡(luò)的延伸能力。CATALYST3548XL支持FEC（FASTETHERNETCHANNEL）技術(shù)、ISL（INTERSWITCHLINK）技術(shù)。通過ISL可支持跨設(shè)備的VLAN劃分；FEC技術(shù)可支持在交換機(jī)、路由器和服務(wù)器之間捆綁4條鏈路共高達(dá)800MBPS的帶寬。設(shè)備配置：1）CISCO3548交換機(jī)，2口千兆、48口10/100M自適應(yīng)；2）1000Base-LX/LHGBICWS-5486（長波/長途，單模）（SC接口）。4.5入侵檢測系統(tǒng)（IDS）4.5.1產(chǎn)品概述CISCOIDS4200系列設(shè)備檢測器是專用型高性能網(wǎng)絡(luò)安全“設(shè)備”能夠阻止網(wǎng)絡(luò)上的非法惡意行為。CISCOSecureIDS-4235傳感器能夠通過實(shí)時分析流量檢測出網(wǎng)絡(luò)上的非法活動，如黑客攻擊。當(dāng)非法活動被檢測到以后，傳感器向管理控制臺發(fā)出帶有活動詳細(xì)內(nèi)容的告警信息，然后控制其它系統(tǒng)，如路由器斷開非法對話；檢測器可以向管理控制臺通報行為細(xì)節(jié)另外CISCOIDS主動響應(yīng)系統(tǒng)，還能控制路由器、防火墻和交換機(jī)等，及時中斷非法操作。在200Mbps速度下CISCOIDS-4235可以在交換環(huán)境中多個T3子網(wǎng)上，以及在10/100/1000接口的支持下提供保護(hù)。4.5.2配置過程CISCOIDS4235實(shí)際上是一臺安裝了CISCO操作系統(tǒng)的主機(jī)其配置過程均可采用類似路由器交換機(jī)的命令行命令來實(shí)現(xiàn)。以下為幾個常用配置命令：（1）使用有效權(quán)限登陸配置端口sensor#configureterminal、sensor（config）#serviceinterface（2）顯示有效端口sensor（config-int）#physical-interfacesGigabitEthernet0/0GigabitEthernet0/0physicalinterfaceGigabitEthernet0/1GigabitEthernet0/1physicalinterface、GigabitEthernet0/2GigabitEthernet0/2physicalinterface。GigabitEthernet0/3GigabitEthernet0/3physicalinterface、Management0/0Management0/0physicalinterface。（3）啟用一個端口的promiscuous模式sensor（config-int）#physical-interfacesGigabitEthernet0/2（4）進(jìn)行端口設(shè)置sensor（config-int-phy）#duplexfull5服務(wù)器的安裝和配置5.1Web/DNS服務(wù)器的配置在服務(wù)器上安裝操作系統(tǒng)，由于操作系統(tǒng)的差別整個配置過程會有所不同，在WindowsServer2003上Web服務(wù)器的配置過程。先通過控制面板中的“添加或刪除程序”中安裝IIS6.0。接著設(shè)置Web服務(wù)器，具體做法為:（1）在“控制面板”中選擇“管理工具→Internet信息服務(wù)（IIS）管理器”。（2）在“Internet信息服務(wù)（IIS）管理器”中雙擊“本地計(jì)算機(jī)”。（3）右擊“網(wǎng)站”，在菜單中選擇“新建→網(wǎng)站”，打開“網(wǎng)站創(chuàng)建向?qū)А?。?）依次填寫“網(wǎng)站描述”、“IP地址”、“端口號”、“路徑”和“網(wǎng)站訪問權(quán)限”等。（5）為了便于訪問還應(yīng)設(shè)置默認(rèn)文檔（Index.asp、Index.htm）。為了能正常顯示基于ASP的動態(tài)網(wǎng)頁內(nèi)容，啟用ASP支持。域名服務(wù)器的設(shè)置:首先，向域名服務(wù)商申請了域名，在DNS域名服務(wù)器上區(qū)域名稱設(shè)為相應(yīng)值，IP地址為Web服務(wù)器的IP地址，建立域名映射IP地址的主機(jī)記錄。為主Web站點(diǎn)設(shè)置域名。在轉(zhuǎn)發(fā)器中配置IP地址為ISP的DNS服務(wù)器的地址。5.2郵件服務(wù)器的配置（1）安裝POP3和SMTP服務(wù)組件以系統(tǒng)管理員身份登錄系統(tǒng)，在“Windows組件向?qū)А睂υ捒蛑羞x中“電子郵件服務(wù)”選項(xiàng)，點(diǎn)擊“詳細(xì)信息”按鈕，選中“POP3服務(wù)Web管理”。選中“應(yīng)用程序服務(wù)器”選項(xiàng)，點(diǎn)擊“詳細(xì)信息”按鈕，接著在“Internet信息服務(wù)（IIS）”選項(xiàng)中查看詳細(xì)信息，選中“SMTPService”選項(xiàng)，最后點(diǎn)擊“確定”按鈕。（2）配置POP3服務(wù)器創(chuàng)建郵件域：點(diǎn)擊“開始→管理工具→POP3服務(wù)”，彈出POP3服務(wù)控制臺窗口。選中左欄中POP3服務(wù)后，點(diǎn)擊右欄中的“新域”，彈出“添加域”對話框，接著在“域名”欄中輸入郵件服務(wù)器的域名。（3）配置SMTP服務(wù)器完成POP3服務(wù)器的配置后，就可開始配置SMTP服務(wù)器了。點(diǎn)擊“開始→程序→管理工具→Internet信息服務(wù)（IIS）管理器”，在“IIS管理器”窗口中右鍵點(diǎn)擊“默認(rèn)SMTP虛擬服務(wù)器”選項(xiàng)，在彈出的菜單中選中“屬性”，進(jìn)入“默認(rèn)SMTP虛擬服務(wù)器”窗口，切換到“常規(guī)”標(biāo)簽頁，在“IP地址”下拉列表框中選中郵件服務(wù)器的IP地址即可。5.3文件服務(wù)器的配置微軟的IIS提供Web服務(wù)之外，還提供FTP的服務(wù)，我們用它架設(shè)文件服務(wù)器。（1）啟動IIS，并啟動IIS上的FTP服務(wù)。在默認(rèn)的情況下，F(xiàn)TP服務(wù)器已經(jīng)搭建好。（2）鼠標(biāo)右擊IIS中的“默認(rèn)FTP站點(diǎn)”項(xiàng)，選擇“屬性”菜單。（3）選擇“主目錄”的標(biāo)簽，在FTP站點(diǎn)目錄的“本地路徑”處填上你要設(shè)置的共享文件路徑。默認(rèn)情況下，此處的文件夾位置為“C:\Inetpub\Ftproot”。如果臨時想改變共享目錄，隨時都可在此處修改；在“主目錄”的標(biāo)簽處，可設(shè)置FTP服務(wù)器的文件訪問權(quán)限，分別有讀取、寫入和日志訪問；（4）設(shè)置登錄的用戶。（5）在“消息”標(biāo)簽處，有“歡迎”、“退出”和“最大連接數(shù)”3個輸入框，分別代表別人在登錄、退出時FTP服務(wù)器上給出的提示信息，可根據(jù)需要設(shè)置。此外，最大連接數(shù)是設(shè)置同時連接本地FTP的最大主機(jī)臺數(shù)。（6）在“FTP站點(diǎn)”的標(biāo)簽處設(shè)置FTP標(biāo)識，包括說明、IP地址和端口。6安全管理規(guī)則6.1使用中的網(wǎng)絡(luò)安全問題在平時使用過程中，網(wǎng)絡(luò)安全主要涉及到內(nèi)部網(wǎng)絡(luò)安全與外部網(wǎng)絡(luò)安全兩個部分的，主要存在安全風(fēng)險的對象包括網(wǎng)絡(luò)內(nèi)的硬件設(shè)備，傳輸及存儲的數(shù)據(jù)。存在風(fēng)險的途徑同時存在網(wǎng)絡(luò)的內(nèi)部與外部、人為與自然，存在風(fēng)險的原因分為主動與被動。網(wǎng)絡(luò)安全問題的特征有：拒絕服務(wù)攻擊頻繁，黑客活動，安全防范意識不夠，安全措施使用不當(dāng)?shù)鹊取?.1.1網(wǎng)絡(luò)安全的外部問題人為物理攻擊物理攻擊，即人為的竊取、破壞網(wǎng)絡(luò)線路或關(guān)鍵服務(wù)器。網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)外部攻擊，已達(dá)到竊取或篡改網(wǎng)絡(luò)內(nèi)部文件數(shù)據(jù)，破壞網(wǎng)絡(luò)的安全性，使部門內(nèi)部無法正常工作；通過拒絕服務(wù)等攻擊手段使網(wǎng)絡(luò)服務(wù)器無法向內(nèi)內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)請求，破壞網(wǎng)絡(luò)的可用性。如駭客的竊取造成損失數(shù)據(jù)或者因?yàn)閻阂夤粼斐煞?wù)器不可用的狀態(tài)。天災(zāi)地震、閃電、洪水、火災(zāi)等可以造成大面積物理毀壞的災(zāi)害對于本地內(nèi)部網(wǎng)絡(luò)無疑是毀滅性的打擊，若災(zāi)害不是很嚴(yán)重可能導(dǎo)致內(nèi)部網(wǎng)絡(luò)線路斷連，使內(nèi)部工作網(wǎng)絡(luò)癱瘓；若更嚴(yán)重些可能導(dǎo)致數(shù)據(jù)服務(wù)器破壞，從而導(dǎo)致數(shù)據(jù)丟失。其他原因硬件驅(qū)動不完善、硬件器材自身的損耗以及電磁輻射等原因造成的硬件系統(tǒng)的不可用和功能故障。6.1.2網(wǎng)絡(luò)安全的內(nèi)部問題再好的防御也頂不住內(nèi)部堡壘的攻破。同樣對于一個網(wǎng)絡(luò)安全來說，外部網(wǎng)絡(luò)安全可通過網(wǎng)絡(luò)本身的健壯性及網(wǎng)絡(luò)安全管理員的管理和認(rèn)真負(fù)責(zé)來解決，但網(wǎng)絡(luò)內(nèi)部若存在隱患的話，只能通過制定相應(yīng)的政策來強(qiáng)制約束內(nèi)部網(wǎng)絡(luò)的使用者，才能盡可能避免網(wǎng)絡(luò)內(nèi)部有意或無意攻擊使外部健壯的網(wǎng)絡(luò)不堪一擊。因?yàn)榫S護(hù)網(wǎng)絡(luò)安全即需要建立一個可信任、可控制的內(nèi)部安全網(wǎng)絡(luò)。然而在建立內(nèi)網(wǎng)時候我們通常會遇到如下問題：非法另辟外聯(lián)問題網(wǎng)絡(luò)中，之所以有內(nèi)外網(wǎng)絡(luò)之分，是因?yàn)樵诔鋈肟谖覀兗訌?qiáng)了戒備從而保證內(nèi)部網(wǎng)絡(luò)的安全。內(nèi)網(wǎng)和外網(wǎng)之間有防火墻等安全設(shè)備保障內(nèi)網(wǎng)的安全性，對于保密網(wǎng)絡(luò)，甚至是要求絕對安全的與外網(wǎng)物理隔絕的部門（研發(fā)部）。但如果內(nèi)部人員使用撥號、寬帶等方式接入外網(wǎng)，使內(nèi)網(wǎng)與外網(wǎng)間開出新的連接通道，外部的黑客攻擊或者病毒就能夠繞過原本連接在內(nèi)、外網(wǎng)之間的防護(hù)屏障，順利侵入非法外聯(lián)的計(jì)算機(jī)，盜竊內(nèi)網(wǎng)的敏感信息和機(jī)密數(shù)據(jù)，造成泄密事件，甚至利用該機(jī)作為跳板，攻擊、傳染內(nèi)網(wǎng)的重要服務(wù)器，導(dǎo)致整個內(nèi)網(wǎng)工作癱瘓。軟件使用不當(dāng)問題內(nèi)部人員在計(jì)算機(jī)上安裝使用盜版軟件，不但引入了潛在的安全漏洞，降低了計(jì)算機(jī)系統(tǒng)的安全系數(shù)，還有可能惹來版權(quán)訴訟的麻煩。而一些內(nèi)部人員出于好奇心或者惡意破壞的目的，在計(jì)算機(jī)上安裝使用一些黑客軟件，從內(nèi)部發(fā)起攻擊。還有一些內(nèi)部人員安全意識淡薄，不安裝指定的防毒軟件等等。這些行為都對內(nèi)網(wǎng)構(gòu)成了重大的安全威脅。安全防護(hù)配置不當(dāng)問題部分內(nèi)部人員因?yàn)闅⒍拒浖劝踩雷o(hù)措施占用部分系統(tǒng)資源，他們?yōu)榱俗非笠欢ǖ脢蕵沸Ч鴮⑦@些安全措施廢棄不用，甚至某些內(nèi)部員工為非法分子大開方便之門，將防火墻和其他安全防范軟件關(guān)閉從而導(dǎo)致內(nèi)部其他機(jī)器完全暴露于威脅之下。6.2網(wǎng)絡(luò)防護(hù) 由于以上內(nèi)外部網(wǎng)絡(luò)安全問題的存在，我們需要通過增加安全模塊、制定安全規(guī)則及安全政策等等來規(guī)范使用和應(yīng)對干擾。6.2.1登陸控制用于控制用戶對網(wǎng)絡(luò)系統(tǒng)和資源的訪問。該功能由安裝有網(wǎng)絡(luò)操作系統(tǒng)WindowsServer2008的服務(wù)器提供，它采用域（Domain）模式建立網(wǎng)絡(luò)安全環(huán)境。在主域控制器PDC（PrimaryDomainController）上，對用戶實(shí)施身份驗(yàn)證和訪問控制。提供的功能：（1）身份驗(yàn)證：WindowsServer2008通過用戶名和口令來驗(yàn)證登陸網(wǎng)絡(luò)的用戶身份，對非法用戶拒之門外；（2）訪問控制：用戶登入網(wǎng)后，因?yàn)橛脩魴?quán)限不一樣所以有限制的訪問系統(tǒng)資源。（3）操作審核：對用戶操作行為跟蹤，管理員可根據(jù)審核結(jié)果來控制用戶的操作。6.2.2防火墻防火墻就是根據(jù)一定的安全策略和規(guī)則對外來的信息流進(jìn)行安全檢查，然后確定是否將信息流轉(zhuǎn)發(fā)給內(nèi)網(wǎng)。采用的防火墻應(yīng)用模式是屏蔽子網(wǎng)網(wǎng)關(guān)（ScreenedHostGateway）：在內(nèi)部網(wǎng)和Internet之間設(shè)置獨(dú)立的屏蔽子網(wǎng)，在內(nèi)部網(wǎng)和屏蔽子網(wǎng)之間和屏蔽子網(wǎng)與Internet之間都設(shè)置一個屏蔽路由器，堡壘主機(jī)連在屏蔽子網(wǎng)上。因此，內(nèi)部網(wǎng)服務(wù)器設(shè)有三道安全屏障，入侵者代價更高。外部屏蔽路由器的作用是保證外部網(wǎng)發(fā)來的數(shù)據(jù)包只能達(dá)到屏蔽子網(wǎng)，并且只能將屏蔽子網(wǎng)中的數(shù)據(jù)包輸出到外部網(wǎng)上。內(nèi)部屏蔽路由器的作用是保證內(nèi)部網(wǎng)發(fā)來的數(shù)據(jù)包只能輸出到屏蔽子網(wǎng)上，而不能到達(dá)外部網(wǎng)。另外，內(nèi)部屏蔽路由器還提供網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）功能，它允許在內(nèi)部網(wǎng)絡(luò)中使用私有IP地址。這樣，在屏蔽內(nèi)部子網(wǎng)結(jié)構(gòu)的同時，還解決了公用IP地址短缺問題。功能：（1）單向控制訪問：允許局域網(wǎng)用戶訪問互聯(lián)網(wǎng)資源，但是嚴(yán)格限制互聯(lián)網(wǎng)用戶對局域網(wǎng)資源的訪問；（2