為了確保我們的努力取得實效，就不得不需要事先制定方案，方案是書面計劃，具有內容條理清楚、步驟清晰的特點。方案對于我們的幫助很大，所以我們要好好寫一篇方案。以下是小編精心整理的方案策劃范文，僅供參考，歡迎大家閱讀。

企業網絡安全建設方案篇一

1.充分滿足現在以及未來3-5年內的網絡需求，既要保證校園網能很好的為學校服務，又要保護學校的投資。

2.強大的安全管理措施，四分建設、六分管理，管理維護的好壞是校園網正常運行的關鍵

3.在滿足學校的需求的前提下，建出自己的特色 1.2網絡建設需求 網絡的穩定性要求

? 整個網絡需要具有高度的穩定性，能夠滿足不同用戶對網絡訪問的不同要求

網絡高性能需求

? 整個網絡系統需要具有很高的性能，能夠滿足各種流媒體的無障礙傳輸，保證校園網各種應用的暢通無阻

? 認證計費效率高，對用戶的認證和計費不會對網絡性能造成瓶頸 網絡安全需求 ? 防止ip地址沖突 ? 非法站點訪問過濾 ? 非法言論的準確追蹤 ? 惡意攻擊的實時處理 ? 記錄訪問日志提供完整審計 網絡管理需求

? 需要方便的進行用戶管理，包括開戶、銷戶、資料修改和查詢 ? 需要能夠對網絡設備進行集中的統一管理 ? 需要對網絡故障進行快速高效的處理 第二章、某校園網方案設計 2.1校園網現網拓撲圖 整個網絡采用二級的網絡架構：核心、接入。

核心采用一臺rg－s4909，負責整個校園網的數據轉發，同時為接入交換機s1926f+、內部服務器提供百兆接口。網絡出口采用rg-wall1200防火墻。原有網絡設備功能較少，無法進行安全防護，已經不能滿足應用的需求。

2.2校園網設備更新方案

方案一：不更換核心設備

核心仍然采用銳捷網絡s4909交換機，在中校區增加一臺sam服務器，部署sam系統，同時東校區和西校區各用3臺s2126g替換原有s1926f+,其中匯聚交換機各采用一臺新增的s2126g，剩余的兩臺s2126g用于加強對關鍵機器的保護，中校區的網絡結構也做相應的調整，采用現有的兩臺s2126g做為匯聚設備，其它交換機分別接入這兩臺交換機，從而實現所有匯聚層交換機都能進行安全控制，重點區域在接入層進行安全控制的網絡布局。

方案二：更換核心設備

核心采用一臺銳捷網絡面向10萬兆平臺設計的多業務ipv6路由交換機rg-s8606，負責整個校園網的數據轉發。在中校區增加一臺sam服務器，部署sam系統，同時東校區和西校區各用3臺s2126g替換原有s1926f+。將原有的s4909放到東校區做為匯聚設備，下接三臺s2126g實現安全控制，其它二層交換機分別接入相應的s2126g。西校區匯聚采用一臺s2126g，剩余兩臺s2126g用于保護重點機器，其它交換機接入對應的s2126g。中校區的網絡結構也做相應的調整，采用現有的兩臺s2126g做為匯聚設備，其它交換機分別接入這兩臺交換機，從而實現所有匯聚層交換機都能進行安全控制，重點區域在接入層進行安全控制的網絡布局。

2.3骨干網絡設計

骨干網絡由rg-s8606構成，核心交換機rg-s8606主要具有5特性：

1、骨干網帶寬設計：千兆骨干，可平滑升級到萬兆

整個骨干網采用千兆雙規線路的設計，二條線路通過vrrp冗余路由協議和ospf動態路由協議實現負載分擔和冗余備份，以后，隨著網絡流量的增加，可以將鏈路升級到萬兆。

2、骨干設備的安全設計：css安全體系架構

3、css之硬件cpp cpp即cpu protect policy，rg-s8606采用硬件來實現，cpp提供管理模塊和線卡cpu的保護功能，對發往cpu的數據流進行帶寬限制（總帶寬、qos隊列帶寬、類型報文帶寬），這樣，對于arp攻擊的數據流、針對cpu的網絡攻擊和病毒數據流，rg-s8606分配給其的帶寬非常的有限，不會影響其正常工作。

由于銳捷10萬兆產品rg-s8606采用硬件的方式實現，不影響整機的運行效率

4、css之spoh技術

現在的網絡需要更安全、需要為不同的業務提供不同的處理優先級，這樣，大量的acl和qos需要部署，需要核心交換機來處理，而這些應用屬于對交換機硬件資源消耗非常大的，核心交換機rg-s8606通過在交換機的每一個用戶端口上增加一個ffp(快速過濾處理器)，專門用來處理acl和qos，相當于把交換機的每一個端口都變成了一臺獨立的交換機，可以保證在非常復雜的網絡環境中核心交換機的高性

能。

2.4網絡安全設計

2.4.1某校園網網絡安全需求分析

1、網絡病毒的防范

病毒產生的原因：某校園網很重要的一個特征就是用戶數比較多，會有很多的pc機缺乏有效的病毒防范手段，這樣，當用戶在頻繁的訪問internet的時候，通過局域網共享文件的時候，通過u盤，光盤拷貝文件的時候，系統都會感染上病毒，當某個學生感染上病毒后，他會向校園網的每一個角落發送，發送給其他用戶，發送給服務器。

病毒對校園網的影響：校園網萬兆、千兆、百兆的網絡帶寬都被大量的病毒數據包所消耗，用戶正常的網絡訪問得不到響應，辦公平臺不能使用；資源庫、vod不能點播；internet上不了，學生、老師面臨著看著豐富的校園網資源卻不能使用的 尷尬境地。

2、防止ip、mac地址的盜用

ip、mac地址的盜用的原因：某校園網采用靜態ip地址方案，如果缺乏有效的ip、mac地址管理手段，用戶可以隨意的更改ip地址，在網卡屬性的高級選項中可以隨意的更改mac地址。如果用戶有意無意的更改自己的ip、mac地址，會引起多方沖突，如果與網關地址沖突，同一網段內的所有用戶都不能使用網絡；如果惡意用戶發送虛假的ip、mac的對應關系，用戶的大量上網數據包都落入惡意用戶的手中，造成arp欺騙攻擊。

ip、mac地址的盜用對校園網的影響：在用戶看來，校園網絡是一個很不可靠是會給我帶來很多麻煩的網絡，因為大量的ip、mac沖突的現象導致了用戶經常不能使用網絡上的資源，而且，用戶在正常工作和學習時候，自己的電腦上會經常彈出mac地址沖突的對話框。由于擔心一些機密信息比如銀行卡賬戶、密碼、郵箱密碼泄漏，用戶會盡量減少網絡的使用，這樣，學生、老師對校園網以及網絡中心的信心會逐漸減弱，投入幾百萬的校園網也就不能充分發揮其服務于教學的作用，造成很大程度上的資源浪費。

3、安全事故發生時候，需要準確定位到用戶 安全事故發生時候，需要準確定位到用戶原因：

? 國家的要求：2002年，朱镕基簽署了282號令，要求各大internet運營機構（包括高校）必須要保存60天的用戶上網記錄，以待相關部門審計。

? 校園網正常運行的需求：如果說不能準確的定位到用戶，學生會在網絡中肆無忌彈進行各種非法的活動，會使得校園網變成“黑客”娛樂的天堂，更嚴重的是，如

果當某個學生在校外的某個站點發布了大量涉及政治的言論，這時候公安部門的網絡信息安全監察科找到我們的時候，我們無法處理，學校或者說網絡中心只有替學生背這個黑鍋。

4、安全事故發生時候，不能準確定位到用戶的影響：

一旦發生這種涉及到政治的安全事情發生后，很容易在社會上廣泛傳播，上級主管部門會對學校做出處理；同時也會大大降低學校在社會上的影響力，降低家長、學生對學校的滿意度，對以后學生的招生也是大有影響的。

5、用戶上網時間的控制

無法控制學生上網時間的影響：如果缺乏有效的機制來限制用戶的上網時間，學生可能會利用一切機會上網，會曠課。學生家長會對學校產生強烈的不滿，會認為學校及其的不負責任，不是在教書育人。這對學校的聲譽以及學校的長期發展是及其不利的。

6、用戶網絡權限的控制

在校園網中，不同用戶的訪問權限應該是不一樣的，比如學生應該只能夠訪問資源服務器，上網，不能訪問辦公網絡、財務網絡。辦公網絡的用戶因該不能訪問財務網絡。因此，需要對用戶網絡權限進行嚴格的控制。

7、各種網絡攻擊的有效屏蔽

校園網中常見的網絡攻擊比如mac flood、syn flood、dos攻擊、掃描攻擊、arp欺騙攻擊、流量攻擊、非法組播源、非法dhcp服務器及dhcp攻擊、竊取交換機的管理員密碼、發送大量的廣播報文，這些攻擊的存在，會擾亂網絡的正常運行，降低了校園網的效率。

2.4.2某校園網網絡安全方案設計思想 2.4.2.1安全到邊緣的設計思想

用戶在訪問網絡的過程中，首先要經過的就是交換機，如果我們能在用戶試圖進入網絡的時候，也就是在接入層交換機上部署網絡安全無疑是達到更好的效果。2.4.2.2全局安全的設計思想

銳捷網絡提倡的是從全局的角度來把控網絡安全，安全不是某一個設備的事情，應該讓網絡中的所有設備都發揮其安全功能，互相協作，形成一個全民皆兵的網絡，最終從全局的角度把控網絡安全。2.4.2.3全程安全的設計思想

用戶的網絡訪問行為可以分為三個階段，包括訪問網絡前、訪問網絡的時候、訪問網絡后。對著每一個階段，都應該有嚴格的安全控制措施。2.4.3某校園網網絡安全方案

銳捷網絡結合sam系統和交換機嵌入式安全防護機制設計的特點，從三個方面實現網絡安全：事前的準確身份認證、事中的實時處理、事后的完整審計。2.4.3.1事前的身份認證

對于每一個需要訪問網絡的用戶，我們需要對其身份進行驗證，身份驗證信息包括用戶的用戶名/密碼、用戶pc的ip地址、用戶pc的mac地址、用戶pc所在交換機的ip地址、用戶pc所在交換機的端口號、用戶被系統定義的允許訪問網絡的時間，通過以上信息的綁定，可以達到如下的效果：

? 每一個用戶的身份在整個校園網中是唯一，避免了個人信息被盜用.? 當安全事故發生的時候，只要能夠發現肇事者的一項信息比如ip地址，就可以準確定位到該用戶，便于事情的處理。

? 只有經過網絡中心授權的用戶才能夠訪問校園網，防止非法用戶的非法接入，這也切斷了惡意用戶企圖向校園網中傳播網絡病毒、黑客程序的通道。2.4.3.2網絡攻擊的防范

1、常見網絡病毒的防范

對于常見的比如沖擊波、振蕩波等對網絡危害特別嚴重的網絡病毒，通過部署擴展的acl，能夠對這些病毒所使用的tcp、udp的端口進行防范，一旦某個用戶不小心感染上了這種類型的病毒，不會影響到網絡中的其他用戶，保證了校園網網絡帶寬的合理使用。

2、未知網絡病毒的防范

對于未知的網絡病毒，通過在網絡中部署基于數據流類型的帶寬控制功能，為不同的網絡應用分配不同的網絡帶寬，保證了關鍵應用比如web、課件資源庫、郵件數據流有足夠可用的帶寬，當新的病毒產生時，不會影響到主要網絡應用的運行，從而保證了網絡的高可用性。

3、防止ip地址盜用和arp攻擊

通過對每一個arp報文進行深度的檢測，即檢測arp報文中的源ip和源mac是否和端口安全規則一致，如果不一致，視為更改了ip地址，所有的數據包都不能進入網絡，這樣可有效防止安全端口上的arp欺騙，防止非法信息點冒充網絡關鍵設備的ip（如服務器），造成網絡通訊混亂。

4、防止假冒ip、mac發起的mac floodsyn flood攻擊 通過部署ip、mac、端口綁定和ip+mac綁定（只需簡單的一個命令就可以實現）。并實現端口反查功能，追查源ip、mac訪問，追查惡意用戶。有效的防止通過假冒源ip/mac地址進行網絡的攻擊，進一步增強網絡的安全性。

5、非法組播源的屏蔽

銳捷產品均支持imgp源端口檢查，實現全網杜絕非法組播源，指嚴格限定igmp組播流的進入端口。當igmp源端口檢查關閉時，從任何端口進入的視頻流均是合法的，交換機會把它們轉發到已注冊的端口。當igmp源端口檢查打開時，只有從路由連接口進入的視頻流才是合法的，交換機把它們轉發向已注冊的端口；而從非路由連接口進入的視頻流被視為是非法的，將被丟棄。銳捷產品支持igmp源端口檢查，有效控制非法組播，實現全網杜絕非法組播源，更好地提高了網絡的安全性和全網的性能，同時可以有效杜絕以組播方式的傳播病毒.在校園網流媒體應用多元化和潮流下具有明顯的優勢，而且也是網絡帶寬合理的分配所必須的。同時igmp源端口檢查，具有效率更高、配置更簡單、更加實用的特點，更加適用于校園運營網絡大規模的應用環境。

6、對dos攻擊，掃描攻擊的屏蔽

通過在校園網中部署防止dos攻擊，掃描攻擊，能夠有效的避免這二種攻擊行為，節省了網絡帶寬，避免了網絡設備、服務器遭受到此類攻擊時導致的網絡中斷。

2.4.3.3事后的完整審計

當用戶訪問完網絡后，會保存有完備的用戶上網日志紀錄，包括某個用戶名，使用那個ip地址，mac地址是多少，通過那一臺交換機的哪一個端口，什么時候開始訪問網絡，什么時候結束，產生了多少流量。如果安全事故發生，可以通過查詢該日志，來唯一的確定該用戶的身份，便于了事情的處理。2.5網絡管理設計

網絡管理包括設備管理、用戶管理、網絡故障管理 2.5.1網絡用戶管理

網絡用戶管理見網絡運營設計開戶部分 2.5.2網絡設備管理

網絡設備的管理通過starview實現，主要提供以下功能，這些功能也是我們常見的解決問題的思路：

1、網絡現狀及故障的自動發現和了解

starview能自動發現網絡拓撲結構，讓網絡管理員對整個校園網了如指掌，對于用戶私自掛接的hub、交換機等設備能及時地發現，提前消除各種安全隱患。對于網絡中的異常故障，比如某臺交換機的cpu利用率過高，某條鏈路上的流量負載過大，starview都可以以不同的顏色進行顯示，方便管理員及時地發現網絡中的異常情況。

2、網絡流量的查看

starview在網絡初步異常的情況下，能進一步的察看網絡中的詳細流量，從而為網絡故障的定位提供了豐富的數據支持。

3、網絡故障的信息自動報告

starview支持故障信息的自動告警，當網絡設備出現故障時，會通過trap的方式進行告警，網絡管理員的界面上能看到各種故障信息，這些信息同樣為管理員的故

障排除提供了豐富的信息。

4、設備面板管理

starview的設備面板管理能夠很清楚的看到校園中設備的面板，包括端口數量、狀態等等，同時可以很方便的登陸到設備上，進行配置的修改，完善以及各種信息

的察看。

5、rgnos操作系統的批量升級

校園網很大的一個特點就是規模大，需要使用大量的接入層交換機，如果需要對這些交換機進行升級，一臺一臺的操作，會給管理員的工作帶來很大的壓力，starview提供的操作系統的批量升級功能，能夠很方便的一次對所有的相同型號的交換機進行升級，加大的較少了網絡管理員的工作量。

2.5.3網絡故障管理

隨著校園網用戶數的增多，尤其是宿舍網運營的開始，用戶網絡故障的排除會成為校園網管理工作的重點和難點，傳統的網絡故障解決方式主要是這樣一個流程：

2.6流量管理系統設計

網絡中的流量情況是網絡是否正常的關鍵，網絡中大量的p2p軟件的使用，已經對各種網絡業務的正常開展產生了非常嚴重的影響，有的學校甚至因為p2p軟件的泛濫，直接導致了網絡出口的癱瘓。2.6.1方案一：傳統的流量管理方案

傳統的流量管理方案的做法很多就是簡單的封堵這些p2p軟件，從而達到控制流量的目的，這有三大弊端，? 第一：這些軟件之所以有如此強大的生命力，是因為用戶通過使用這些軟件的確能快速的獲取各種有用的資源，如果簡單的通過禁止的方式，用戶的意見會非常的大，同時，各種有用的資源我們很難獲取。

? 第二：各種新型的，對網絡帶寬消耗更大的應用軟件也在不斷的出現。所謂道高一尺，魔高一丈，一味的封堵這些軟件，我們永遠處于被動的局面，顯然不能從根本上解決這個問題。

? 第三：我們無法獲取網絡中的流量信息，無法為校園網的優化，網絡管理，網絡故障預防和排除提供數據支撐。

2.6.2方案二：銳捷的流量管理與控制方案

銳捷網絡的流量管理主要通過rg-ntd+日志處理軟件+rg-sam系統來實現。

ntd是銳捷流量管理解決方案的重要組成部分，我們希望能為用戶提供一種流量控制和管理的方法而不單純是流量計費，銳捷的流量管理方案有三大功能：

? 第一：為sam系統對用戶進行流量計費提供原始數據，這是我們已經實現了的功能。該功能能滿足不同消費層次的用戶對帶寬的需求，經濟條件好一點，可以多用點流量，提高了用戶的滿意度。而且，對于以后新出現的功能更加強大的下載軟件，都不必擔心用戶任意使用造成帶寬擁塞。

? 第二：提供日志審計和帶寬管理功能，通過ntd、sam、日志系統的結合，能夠做到基于用戶身份對用戶進行管理，做到將用戶名、源ip、目的ip直接關聯，通過目的ip，可以直接定位到用戶名，安全事件處理起來非常的方便，同時還能提供p2p的限速，帶寬管理等功能，這一部分的功能我們會在明年4月份提供。? 第三：能夠對網絡中的各種流量了如指掌，可以對用戶經常訪問的資源進行分析對比，為應用系統的建設、服務器的升級改造提供數據支持；能夠及時的發現網絡中的病毒、惡意流量，從而進行有效的防范，結合認證計費系統sam，能夠捕捉到事件源頭，并于做出處理。

總體來說，流量控制和管理和日志系統的整體解決方案對于校園網的長期健康可持續發展是很有幫助的。

網絡防火墻設計中的問題

1．方案：硬件？還是軟件？

現在防火墻的功能越來越多越花哨，如此多的功能必然要求系統有一個高效的處理能力。

防火墻從實現上可以分為軟件防火墻和硬件防火墻。軟件防火墻以checkpoint 公司的firewall-i為代表，其實現是通過 dev_add_pack的辦法加載過濾函數（linux，其他操作系統沒有作分析，估計類似），通過在操作系統底層做工作來實現防火墻的各種功能和優 化。國內也有一些所謂的軟件防火墻，但據了解大多是所謂“個人”防火墻，而且功能及其有限，故不在此討論范圍。

在國內目前已通過公安部檢驗的防火墻中，硬件防火墻占絕大多數。硬件防火墻一種是從硬件到軟件都單獨設計，典型如netscreen防火墻不但軟件部分單獨設計，硬件部分也采用專門的asic集成電路。

另外一種就是基于pc架構的使用經過定制的通用操作系統的所謂硬件防火墻。目前國內絕大

多數防火墻都屬于這種類型。

雖然都號稱硬件防火墻，國內廠家和國外廠家還是存在著巨大區別。硬件防火墻需要在硬 件和軟件兩方面同時下功夫，國外廠家的通常做法是軟件運算硬件化，其所設計或選用的運行平臺本身的性能可能并不高，但它將主要的運算程序（查表運算是防火 墻的主要工作）做成芯片，以減少主機cpu的運算壓力。國內廠家的防火墻硬件平臺基本上采用通用pc系統或工業pc架構（直接原因是可以節省硬件開發成 本），在提高硬件性能方面所能做的工作僅僅是提升系統cpu的處理能力，增大內存容量而已。現在國內防火墻的一個典型結構就是：工業主板+x86+128（256）m內存+doc/dom+硬盤（或不要硬盤而另增加一個日志服務器）+百兆網卡 這 樣一個工業pc結構。

在軟件性能方面，國內外廠家的差別就更大了，國外（一些著名）廠家均是采用專用的操 作系統，自行設計防火墻。而國內所有廠家操作系統系統都是基于通用的 linux，無一例外。各廠家的區別僅僅在于對linux系統本身和防火墻部分（2.2內核為ipchains，2.4以后內核為netfilter）所 作的改動量有多大。

事實上，linux只是一個通用操作系統，它并沒有針對防火墻功能做什么優化，而且 其處理大數據量通信方面的能力一直并不突出，甚至比較低下（這也是 linux一直只是低端服務器的寵兒的重要原因，我自己認為，在這一點上它還不如bsd系列，據說國外有用bsd做防火墻的，國內尚未見到）。現在絕大部 分廠家，甚至包括號稱國內最大的天融信，在軟件方面所作的工作無非也就是系統有針對性的裁減、防火墻部分代碼的少量改動（絕大部分還是沒有什么改動）和少 量的系統補丁。而且我們在分析各廠家產品時可以注意這一點，如果哪個廠家對系統本身做了什么大的改動，它肯定會把這個視為一個重要的賣點，大吹特吹，遺憾 的是似乎還沒有什么廠家有能力去做宣傳（天融信似乎有一個類似于checkpoint的功能：開放式的安全應用接口 topsec，但它究竟做了多少工作，還需要去仔細了解）。

目前國內廠家也已經認識到這個問題，有些在做一些底層的工作，但有明顯成效的，似乎還沒有。

在此我們僅針對以linux（或其他通用操作系統）為基礎的、以pc架構為硬件載體的防火墻做討論，以下如不特別提出，均同。2．內核和防火墻設計

現在有一種商業賣點，即所謂“建立在安全操作系統之上的第四代防火墻”（關于防火墻 分代的問題，目前有很多討論，比較一致的是把包過濾防火墻稱為第一代防火墻，把應用型防火墻（一般結合了包過濾功能，因此也成為混合型防火墻）稱為第二代 防火墻，有些廠家把增加了檢測通信信息、狀態檢測和應用監測的防火墻稱為第三代防火墻，更有甚者在此基礎上提出了采用安全操作系統的防火墻，并把這個稱為 第四代防火墻）。所謂安全操作系統，其實大多用的還是linux，所不同的是需要做一些內核加固和簡單改造的工作，主要有以下： 取消危險的系統調用，或者截獲系統調用，稍加改動（如加載一些llkm）； 限制命令執行權限； 取消ip轉發功能； 檢查每個分組的接口； 采用隨機連接序號； 駐留分組過濾模塊； 取消動態路由功能；

采用多個安全內核（這個只見有人提出，但未見到實例，對此不是很清楚）。以上諸多工作，其實基本上都沒有對內核源碼做太大改動，因此從個人角度來看算不上可以太夸大的地方。

對于防火墻部分，國內大部分已經升級到2.4內核所支持的netfilter。netfilter已經是一個功能比較完善的防火墻框架，它已經支持基于狀態的監測（通過connection track模塊實現）。而且netfilter是一個設計很合理的框架，可以在適當的位置上登記一些需要的處理函數，正式代碼中已經登記了許多處理函數，如在nf_ip_forward點上登記了裝發的包過濾功能（包過濾等功能便是由這些正式登記的函數實現的）。我們也可以登記自己的處理函數，在功能上作 擴展（如加入簡單的ids功能等等）。這一點是國內廠家可以做文章的地方，至于netfilter源碼的修改，對國內廠家來說似乎不太現實。

至于采用其它防火墻模型的，目前還沒有看到（可能是netfilter已經設計的很成功，不需要我們再去做太多工作）。3．自我保護能力（安全性）

由于防火墻的特殊功能和特殊位置，它自然是眾多攻擊者的目標，因此它的自我包括能力在設計過程中應該放在首要的位置。a．管理上的安全性

防火墻需要一個管理界面，而管理過程如何設計的更安全，是一個很重要的問題。目前有兩種方案。

a．設置專門的服務端口

為了減少管理上的風險和降低設計上的難度，有一些防火墻（如東方龍馬）在防火墻上專 門添加了一個服務端口，這個端口只是用來和管理主機連接。除了專用的服務口外，防火墻不接受來自任何其它端口的直接訪問。這樣做的顯著特點就是降低了設計 上的難度，由于管理通信是單獨的通道，無論是內網主機、外網主機還是dmz內主機都無法竊聽到該通信，安全性顯然很高，而且設計時也無需考慮通信過程加密 的問題。

然而這樣做，我們需要單獨設置一臺管理主機，顯然太過浪費，而且這樣管理起來的靈活性也不好。b．通信過程加密

這樣無需一個專門的端口，內網任意一臺主機都可以在適當的情況下成為管理主機，管理主

機和防火墻之間采用加密的方式通信。

目前國內有采用的是使用自定義協議、一次性口令認證。對加密這個領域了解不多，不做詳 細討論。

b．對來自外部（和內部）攻擊的反應能力 目前常見的來自外部的攻擊方式主要有： a．dos（ddos）攻擊

（分布式）拒絕服務攻擊是目前一種很普遍的攻擊方式，在預防上也是非常困難的。目前 防火墻對于這種攻擊似乎沒有太多的解決辦法，主要是提高防火墻本身的健壯性（如增加緩沖區大小）。在linux內核中有一個防止syn flooding攻擊的選項：config_syn_cookies，它是通過為每一個syn建立一個緩沖（cookie）來分辨可信請求和不可信請求。另外對于icmp攻擊，可以通過關閉icmp 回應來實現。

b．ip假冒（ip spoofing）

ip假冒是指一個非法的主機假冒內部的主機地址，騙取服務器的“信任”，從而達到對網絡的攻擊目的。

第一，防火墻設計上應該知道網絡內外的ip地址分配，從而丟棄所有來自網絡外部但卻有內部地址的數據包。實際實現起來非常簡單，只要在內核中打開rp_filter功能即可。

第二，防火墻將內網的實際地址隱蔽起來，外網很難知道內部的ip地址，攻擊難度加大。ip假冒主要來自外部，對內網無需考慮此問題（其實同時內網的ip假冒情況也可以得到遏制）。c．特洛伊木馬

防火墻本身預防木馬比較簡單，只要不讓系統不能執行下載的程序即可。

一個需要說明的地方是必須指出的是，防火墻能抗特洛伊木馬的攻擊并不意味著內網主機 也能防止木馬攻擊。事實上，內網主機可能會透過防火墻下載執行攜帶木馬的程序而感染。內網主機的在預防木馬方面的安全性仍然需要主機自己解決（防火墻只能 在內網主機感染木馬以后起一定的防范作用）。d．口令字攻擊

口令字攻擊既可能來自外部，也可能來自內部，主要是來自內部。（在管理主機與防火墻通過單獨接口通信的情況下，口令字攻擊是不存在的）

來自外部的攻擊即用窮舉的辦法猜測防火墻管理的口令字，這個很容易解決，只要不把管理部分提供給外部接口即可。

內部的口令字攻擊主要是窮舉和嗅探，其中以嗅探危害最大。嗅探指監測網絡截獲管理主機給防火墻的口令字，如果口令字已加密，則解密得到口令字。目前一般采用一次性口令和禁止直接登錄防火墻的措施來防止對口令字的攻擊。e．郵件詐騙

郵件詐騙是目前越來越突出的攻擊方式。防火墻本身防止郵件詐騙非常簡單，不接收任何郵件就可以了。然而象木馬攻擊一樣，內網主機仍可收發郵件，郵件詐騙的危險仍然存在，其解決辦法一個是內網主機本身采取措施防止郵件詐騙，另一個是在防火墻上做過濾。

f．對抗防火墻（anti-firewall）

目前一個網絡安全中一個研究的熱點就是對抗網絡安全產品如防火墻。一種是分析防火墻 功能和探測防火墻內部網絡結構，典型的如firewalk。另外有一些其他的網絡安全性分析工具本身具有雙刃性，這類工具用于攻擊網絡，也可能會很有效的 探測到防火墻和內部網絡的安全缺陷，典型的如satan和iss公司的 internet security scanner。目前對于這種探測（攻擊）手段，尚無有效的預防措施，因為防火墻本身是一個被動的東西，它只能靠隱藏內部網絡結構和提高自身的安全性來對 抗這些攻擊。

c．透明代理的采用 應用代理防火墻一般是通過設置不同用戶的訪問權限來實現，這樣就需要有用戶認證體 系。以前的防火墻在訪問方式上主要是要求用戶登錄進系統（如果采用 sock代理的方式則需要修改客戶應用）。透明代理的采用，可以降低系統登錄固有的安全風險和出錯概率，從而提高了防火墻的安全性。4．透明性

防火墻的透明性指防火墻對于用戶是透明的，在防火墻接入網絡時，網絡和用戶無需做任何設置和改動，也根本意識不到防火墻的存在。

防火墻作為一個實際存在的物理設備，要想放入已存在地網絡中又不對網絡有任何影響，就必須以網橋的方式置入網絡。傳統方式下，防火墻安裝時，更象是一臺路由器或者網關，原有網絡拓撲結構往往需要改變，網絡設備（包括主機和路由器）的設置（ip和網關、dns、路由表等等）也需要改變。但如果防火墻采用了透明模式，即采用類似網橋的方式運行，用戶將不必重新設定和修改路由，也不需要知道防 火墻的位置，防火墻就可以直接安裝和放置到網絡中使用。

透明模式最大的好處在于現有網絡無需做任何改動，這就方便了很多客戶，再者，從透明 模式轉換到非透明模式又很容易，適用性顯然較廣。當然，此時的防火墻僅僅起到一個防火墻的作用，其他網關位置的功能如nat、vpn功能不再適用，當然，其他功能如透明代理還可以 繼續使用。

目前透明模式的實現上可采用arp代理和路由技術實現。此時防火墻相當于一個arp代理的功能。內網（可以仍含有路由器或子網，依次類推）、防火墻、路由器的位置大致如下：

內網―――――防火墻―――――路由器

（需要說明的是，這種方式是絕大多數校園網級網絡的實現方式）

內網主機要想實現透明訪問，必須能夠透明的傳送內網和路由器之間的arp包，而此時 由于事實上內網和路由器之間無法連通，防火墻就必須配置成一個arp代理（arp proxy）在內網主機和路由器之間傳遞arp包。防火墻所要做的就是當路由器發送arp廣播包詢問內網內的某一主機的硬件地址時，防火墻用和路由器相連 接口的mac地址回送arp包；內網內某一主機發送arp廣播包詢問路由器的硬件地址時，防火墻用和內網相連接口的mac地址回送arp包，因此路由器和 內網主機都認為將數據包發給了對方，而實際上是發給了防火墻轉發。

顯然，此時防火墻還必須實現路由轉發，使內外網之間的數據包能夠透明的轉發。另外，防火墻要起到防火墻的作用，顯然還需要把數據包上傳給本身應用層處理（此時實現應用層代理、過濾等功能），此時需要端口轉發來實現（？這個地方不是十分清 楚，也沒找到相關資料）。透明模式和非透明模式在網絡拓撲結構上的最大區別就是：透明模式的兩塊網卡（與路由器相連的和與內網相連的）在一個網段（也和子 網在同一個網段）；而非透明模式的兩塊網卡分別屬于兩個網段（內網可能是內部不可路由地址，外網則是合法地址）。這個過程如下：

1.用arp代理實現路由器和子網的透明連接（網絡層）2.用路由轉發在ip層實現數據包傳遞（ip層）3.用端口重定向實現ip包上傳到應用層（ip層）

前邊我們討論過透明代理，和這里所說的防火墻的透明模式是兩個概念。透明代理主要是 為實現內網主機可以透明的訪問外網，而無需考慮自己是不可路由地址還是可路由地址。內網主機在使用內部網絡地址的情況下仍然可以使用透明代理，此時防火墻 既起到網關的作用又起到代理服務器的作用（顯然此時不是透明模式）。

需要澄清的一點是，內外網地址的轉換（即nat，透明代理也是一種特殊的地址轉換）和透明模式之間并沒有必然的聯系。透明模式下的防火墻能實現透明代理，非透明模式下的防火墻（此時它必然又是一個網關）也能實現透明代理。它們的共同點在于可以簡化內網客戶的設置而已。

目前國內大多防火墻都實現了透明代理，但實現了透明模式的并不多。這些防火墻可以很明顯的從其廣告中看出來：如果哪個防火墻實現了透明模式，它的廣告中肯定會和透明代理區分開而大書特書的。5．可靠性

防火墻系統處于網絡的關鍵部位，其可靠性顯然非常重要。一個故障頻頻、可靠性很差的 產品顯然不可能讓人放心，而且防火墻居于內外網交界的關鍵位置，一旦防火墻出現問題，整個內網的主機都將根本無法訪問外網，這甚至比路由器故障（路由器的 拓撲結構一般都是冗余設計）更讓人無法承受。防火墻的可靠性也表現在兩個方面：硬件和軟件。

國外成熟廠商的防火墻產品硬件方面的可靠性一般較高，采用專門硬件架構且不必多說，采用pc架構的其硬件也多是專門設計，系統各個部分從網絡接口到存儲設備（一般為電子硬盤）集成在一起（一塊板子），這樣自然提高了產品的可靠性。國內則明顯參差不齊，大相徑庭，大多直接使用pc架構，且多為工業pc，采用現成的網卡，doc/dom作為存儲設備。工業pc雖然可靠性比普通pc要高不少，但是畢竟其仍然是拼湊式的，設備各部分分立，從可靠性的角度看顯然不如集成的（著名的水桶原理）。

國內已經有部分廠家意識到了這個問題，開始自行設計硬件。但大多數廠家還是從成本的角度考慮使用通用pc架構。

另外一方面，軟件可靠性的提高也是防火墻優劣的主要差別所在。而國內整個軟件行業的 可靠性體系還沒有成熟，軟件可靠性測試大多處于極其初級的水平（可靠性測試和bug測試完全是兩個概念）。一方面是可靠性體系建立不起來，一方面是為了迎 合用戶的需求和跟隨網絡應用的不斷發展，多數防火墻廠商一直處于不斷的擴充和修改中，其可靠性更不能讓人恭維。

總的來說，如同國內大多數行業（除了少數如航天、航空）一樣，網絡安全產品特別是防火墻的可靠性似乎還沒有引起人們的重視。6．市場定位

市場上防火墻的售價極為懸殊，從數萬元到數十萬元，甚至到百萬元不等。由于用戶數量不同，用戶安全要求不同，功能要求不同，因此防火墻的價格也不盡相同。廠商因而也有所區分，多數廠家還推出模塊化產品，以符合各種不同用戶的要求。總的說來，防火墻是以用戶數量作為大的分界線。如checkpoint的一個報價： checkpoint firewall-1 4.1 25user 19000.00 checkpoint firewall-1 4.1 50user 31000.00 checkpoint firewall-1 4.1 100user 51000.00 checkpoint firewall-1 4.1 250user 64000.00 checkpoint firewall-1 4.1 無限用戶 131000.00 從用戶量上防火墻可以分為： a． 10－25用戶：

這個區間主要用戶為單一用戶、家庭、小型辦公室等小型網絡環境。防火墻一般為10m（針對

硬件防火墻而言），兩網絡接口，涵蓋防火墻基本功能：包過濾、透明模式、網絡地址轉換、狀態檢測、管理、實時報警、日志。一般另有可選功能：vpn、帶寬管理等等。

這個區間的防火墻報價一般在萬元以上2萬元以下（沒有vpn和帶寬管理的價格更低）。

據調查，這個區間的防火墻反而種類不多，也許是國內廠商不屑于這個市場的緣故？

b． 25－100用戶

這個區間用戶主要為小型企業網。防火墻開始升級到100m，三或更多網絡接口。vpn、帶寬管

理往往成為標準模塊。

這個區間的防火墻報價從3萬到15萬不等，根據功能價格有較大區別。相對來說，這個區間上

硬件防火墻價格明顯高于軟件防火墻。

目前國內防火墻絕大部分集中在這個區間中。c． 100－數百用戶

這個區間主要為中型企業網，重要網站、isp、asp、數據中心等使用。這個區間的 防火墻較多考慮高容量、高速度、低延遲、高可靠性以及防火墻本身的健壯性。并且開始支持雙機熱備份。這個區間的防火墻報價一般在20萬以上。這樣的中高端 防火墻國內較少，有也是25－100用戶的升級版，其可用性令人懷疑。d． 數百用戶以上

這個區間是高端防火墻，主要用于校園網、大型idc等等。我們接觸較少，不多做討論。當然其價格也很高端，從數十萬到數百萬不等。

總的來說，防火墻的價格和用戶數量、功能模塊密切相關，在用戶數量相同的情況下，功 能越多，價格就越貴。如netscreen的百兆防火墻： netscreen-100f(ac power)-帶防火墻+流量控制等功能,交流電源,沒有vpn功能報價在￥260,000而在此基礎上增加了128位vpn功能的報價則高出5萬元： ￥317,500 7． 研發費用

如同其他網絡安全產品一樣，防火墻的研發費用也是很高的。防火墻由于技術含量較高，人員技術儲備要求較高，防火墻核心部分的研發必須要對操作系統有相當的熟悉，所需為unix系統下開發人員，而目前國內真正能拿的出手的unix程序員數 量還是太少（遠遠少于windows平臺下開發人員），人員成本很高。

總的來說，防火墻的研發是一個大項目，而且其前期定位一定要準確，該做什么、不該做什么，哪些功能得實現，哪些功能不必實現、哪些功能可以在后期實現，一定要清楚，否則費用會遠遠超出預計。

下邊對一個中小型企業級防火墻的研發費用作個簡單的估計。研發時，防火墻可以細分為（當然在具體操作時往往需要再具體劃分）： 內核模塊

防火墻模塊（含狀態檢測模塊）nat模塊 帶寬管理模塊 通信協議模塊 管理模塊

圖形用戶界面模塊（或者web界面模塊）透明代理模塊（實質屬于nat模塊）

透明模式模塊（包括arp代理子模塊、路由轉發子模塊等）各應用代理模塊（包括url過濾模塊）vpn模塊

流量統計與計費模塊 審計模塊

其他模塊（如mac、ip地址綁定模塊、簡單的ids、自我保護等等）

上邊把防火墻劃分為12個模塊，其中每一個模塊都有相當的工作量要做，除了彈性較大 的內核模塊和防火墻模塊（它們的工作量可能異常的大，視設計目標不同），其他模塊暫定10人周的話就需要120周（vpn的工作量也相當大），兩個主模塊 各按20人周計算，防火墻實現總共需要150人周。加上前期10－ 15人周論證、定方案，后期20人周（保守數字）集成、測試，前后總共需要約210人周。按每人周1200元開發費用（折合工資5000月，但由于有運行 費用、保險等費用攤分，個人工資應遠低于這個數字），開發費用約需25萬。

顯然，這個數字只是一個局外人估計的下限，實際的研發應該超出這個數字很多。8． 可升級能力（適用性）和靈活性

對用戶來說，防火墻作為大成本投入的商品，勢必要考慮到可升級性的問題，如果防火墻 不能升級，那它的可用性和可選擇余地勢必要大打折扣。目前國內防火墻一般都是軟件可升級的，這是因為大多數防火墻采用電子硬盤（少數采用磁盤），實現升級 功能只要很小的工作量要做。但究竟升級些什么內容？升級周期多長一次？這就涉及到一個靈活性的問題。防火墻的靈活性主要體現在以下幾點： a． 易于升級

b． 支持大量協議

c． 易于管理（如納入通用設備管理體系（支持snmp）而不是單列出來）d． 功能可擴展

這里對功能可擴展做一簡單討論。一般情況下，防火墻在設計完成以后，其過濾規則都是 定死的，用戶可定制的余地很小。特別如url過濾規則（對支持url過濾的防火墻而言），當前網絡中的漏洞是不斷發現的，如最近很猖獗的codered攻 擊的就是windows機器iis服務器的ida漏洞，而我們如果能夠及時定義過濾規則，對于“get /”的請求及時過濾，那么內網主機（此時一般為dmz內主機）的安全性就會高很多，內網管理人員也不必時時密切關注網絡漏洞（這是 個工作量很大，既耗費體力又容易出現遺漏的工作）。這樣大部分工作留給防火墻廠家來做（相應需要有一個漏洞監測體系），用戶肯定會滿意很多。另外，靈活性 一開始也往往不是前期設計所能設計的很完美的，它需要和用戶具體實踐相配合。另外靈活性也是和具體環境密切結合的，往往需要在不同的用戶環境里考慮。

如何構建網絡整體安全方案

整體的安全方案分成技術方案、服務方案以及支持方案三部分。

一、技術解決方案

安全產品是網絡安全的基石，通過在網絡中安裝一定的安全設備，能夠使得網絡的結構更加清晰，安全性得到顯著增強;同時能夠有效降低安全管理的難度，提高安全管理的有效性。

下面介紹在局域網中增加的安全設備的安裝位置以及他們的作用。

1、防火墻

安裝位置：局域網與路由器之間;%3fid%3d1974 上下載stick，其編譯起來并不麻煩，只需查看幫助即可。需要指出的是，絕大多數的ids都是從snort得到眾多借鑒的，建議用戶試用一下 stick。

2．ids漏報

和ids誤報相比，漏報其實更危險。采用ids技術就是為了在發現入侵時給出告警信息。如果入侵者入侵成功而ids尚未告警，ids便失去存在的意義。筆者從國外網站上看到一篇文章，它對利用tcp連接特點讓 ids做漏報進行了詳細的描述，同時還給出一些實現漏報的辦法，給筆者提供了一種新思路: ids想要防止欺騙，就要盡可能地模仿tcp/ip棧的實現。但是從效率和實現的復雜性考慮，ids并不能很容易地做到這一點。

這種方法比較適合智能化的ids，好的ids一般為了減少誤報，會像現在一些高端的防火墻一樣基于狀態進行判斷，而不是根據單個的報文進行判斷。這樣上面談到的stick對這種ids一般不起作用。但是用戶應該注意到，這種簡單的ids只是字符串匹配，一旦匹配成功，即可報警。

2001年4月，又出了一個讓ids漏報的程序admmutate，據說它可以動態改變shellcode。本來ids依靠提取公開的溢出程序的特征碼來報警，特征碼變了以后，ids就報不出來了。但是程序還一樣起作用，服務器一樣被黑。這個程序的作者是ktwo(http: //)，我們可以從http:///c/上下載該程序。用戶不妨也試試它，以檢測自己的ids產品性能。不過，admmutate只能對依靠檢查字符串匹配告警的ids起作用，如果ids還依靠長度和可打印字符等綜合指標，則admmutate將很容易被ids監控到。

企業網絡安全建設方案篇二

企業網絡安全綜合設計方案 企業網絡分析

此處請根據用戶實際情況做簡要分析

網絡威脅、風險分析

針對xxx企業現階段網絡系統的網絡結構和業務流程，結合xxx企業今后進行的網絡化應用范圍的拓展考慮，xxx企業網主要的安全威脅和安全漏洞包括以下幾方面：

2.1內部竊密和破壞

由于xxx企業網絡上同時接入了其它部門的網絡系統，因此容易出現其它部門不懷好意的人員(或外部非法人員利用其它部門的計算機)通過網絡進入內部網絡，并進一步竊取和破壞其中的重要信息(如領導的網絡帳號和口令、重要文件等)，因此這種風險是必須采取措施進行防范的。

2.2 搭線(網絡)竊聽

這種威脅是網絡最容易發生的。攻擊者可以采用如sniffer等網絡協議分析工具，在internet網絡安全的薄弱處進入internet，并非常容易地在信息傳輸過程中獲取所有信息(尤其是敏感信息)的內容。對xxx企業網絡系統來講，由于存在跨越internet的內部通信(與上級、下級)這種威脅等級是相當高的，因此也是本方案考慮的重點。

2.3 假冒

這種威脅既可能來自xxx企業網內部用戶，也可能來自internet內的其它用戶。如系統內部攻擊者偽裝成系統內部的其他正確用戶。攻擊者可能通過冒充合法系統用戶，誘騙其他用戶或系統管理員，從而獲得用戶名/口令等敏感信息，進一步竊取用戶網絡內的重要信息。或者內部用戶通過假冒的方式獲取其不能閱讀的秘密信息。

2.4 完整性破壞

這種威脅主要指信息在傳輸過程中或者存儲期間被篡改或修改，使得信息/數據失去了原有的真實性，從而變得不可用或造成廣泛的負面影響。由于xxx企業網內有許多重要信息，因此那些不懷好意的用戶和非法用戶就會通過網絡對沒有采取安全措施的服務器上的重要文件進行修改或傳達一些虛假信息，從而影響工作的正常進行。

2.5 其它網絡的攻擊

xxx企業網絡系統是接入到internet上的，這樣就有可能會遭到internet上黑客、惡意用戶等的網絡攻擊，如試圖進入網絡系統、竊取敏感信息、破壞系統數據、設置惡意代碼、使系統服務嚴重降低或癱瘓等。因此這也是需要采取相應的安全措施進行防范。

2.6 管理及操作人員缺乏安全知識

由于信息和網絡技術發展迅猛，信息的應用和安全技術相對滯后，用戶在引入和采用安全設備和系統時，缺乏全面和深入的培訓和學習，對信息安全的重要性與技術認識不足，很容易使安全設備/系統成為擺設，不能使其發揮正確的作用。如本來對某些通信和操作需要限制，為了方便，設置成全開放狀態等等，從而出現網絡漏洞。

由于網絡安全產品的技術含量大，因此，對操作管理人員的培訓顯得尤為重要。這樣，使安全設備能夠盡量發揮其作用，避免使用上的漏洞。

2.7 雷擊

由于網絡系統中涉及很多的網絡設備、終端、線路等，而這些都是通過通信電纜進行傳輸，因此極易受到雷擊，造成連鎖反應，使整個網絡癱瘓，設備損壞，造成嚴重后果。因此，為避免遭受感應雷擊的危害和靜電干擾、電磁輻射干擾等引起的瞬間電壓浪涌電壓的損壞，有必要對整個網絡系統采取相應的防雷措施。

注：部分描述地方需要進行調整，請根據用戶實際情況敘述。

安全系統建設原則

xxx企業網絡系統安全建設原則為：

1)系統性原則

xxx企業網絡系統整個安全系統的建設要有系統性和適應性，不因網絡和應用技術的發展、信息系統攻防技術的深化和演變、系統升級和配置的變化，而導致在系統的整個生命期內的安全保護能力和抗御風險的能力降低。

2)技術先進性原則

xxx企業網絡系統整個安全系統的設計采用先進的安全體系進行結構性設計，選用先進、成熟的安全技術和設備，實施中采用先進可靠的工藝和技術，提高系統運行的可靠性和穩定性。

3)管理可控性原則

系統的所有安全設備(管理、維護和配置)都應自主可控;系統安全設備的采購必須有嚴格的手續;安全設備必須有相應機構的認證或許可標記;安全設備供應商應具備相應資質并可信。

安全系統實施方案的設計和施工單位應具備相應資質并可信。

4)適度安全性原則

系統安全方案應充分考慮保護對象的價值與保護成本之間的平衡性，在允許的風險范圍內盡量減少安全服務的規模和復雜性，使之具有可操作性，避免超出用戶所能理解的范圍，變得很難執行或無法執行。

5)技術與管理相結合原則

xxx企業網絡系統安全建設是一個復雜的系統工程，它包括產品、過程和人的因素，因此它的安全解決方案，必須在考慮技術解決方案的同時充分考慮管理、法律、法規方面的制約和調控作用。單靠技術或單靠管理都不可能真正解決安全問題的，必須堅持技術和管理相結合的原則。

6)測評認證原則

xxx企業網絡系統作為重要的政務系統，其系統的安全方案和工程設計必須通過國家有關部門的評審，采用的安全產品和保密設備需經過國家主管理部門的認可。

7)系統可伸縮性原則

xxx企業網絡系統將隨著網絡和應用技術的發展而發生變化，同時信息安全技術也在發展，因此安全系統的建設必須考慮系統可升級性和可伸縮性。重要和關鍵的安全設備不因網絡變化或更換而廢棄。

網絡安全總體設計

一個網絡系統的安全建設通常包括許多方面，包括物理安全、數據安全、網絡安全、系統安全、安全管理等，而一個安全系統的安全等級，又是按照木桶原理來實現的。根據xxx企業各級內部網絡機構、廣域網結構、和三級網絡管理、應用業務系統的特點，本方案主要從以下幾個方面進行安全設計：

l 網絡系統安全;

l 應用系統安全;

l 物理安全;

l 安全管理;

4.1 安全設計總體考慮

根據xxx企業網絡現狀及發展趨勢，主要安全措施從以下幾個方面進行考慮：

l 網絡傳輸保護

主要是數據加密保護

l 主要網絡安全隔離

通用措施是采用防火墻

l 網絡病毒防護

采用網絡防病毒系統

l 廣域網接入部分的入侵檢測

采用入侵檢測系統

l 系統漏洞分析

采用漏洞分析設備

l 定期安全審計

主要包括兩部分：內容審計和網絡通信審計

l 重要數據的備份

l 重要信息點的防電磁泄露

l 網絡安全結構的可伸縮性

包括安全設備的可伸縮性，即能根據用戶的需要隨時進行規模、功能擴展

l 網絡防雷

4.2 網絡安全

作為xxx企業應用業務系統的承載平臺，網絡系統的安全顯得尤為重要。由于許多重要的信息都通過網絡進行交換，4.2.1 網絡傳輸

由于xxx企業中心內部網絡存在兩套網絡系統，其中一套為企業內部網絡，主要運行的是內部辦公、業務系統等;另一套是與internet相連，通過adsl接入，并與企業系統內部的上、下級機構網絡相連。通過公共線路建立跨越internet的企業集團內部局域網，并通過網絡進行數據交換、信息共享。而internet本身就缺乏有效的安全保護，如果不采取相應的安全措施，易受到來自網絡上任意主機的監聽而造成重要信息的泄密或非法篡改，產生嚴重的后果。

由于現在越來越多的政府、金融機構、企業等用戶采用vpn技術來構建它們的跨越公共網絡的內聯網系統，因此在本解決方案中對網絡傳輸安全部分推薦采用vpn設備來構建內聯網。可在每級管理域內設置一套vpn設備，由vpn設備實現網絡傳輸的加密保護。根據xxx企業三級網絡結構，vpn設置如下圖所示：

圖4-1三級 vpn設置拓撲圖

每一級的設置及管理方法相同。即在每一級的中心網絡安裝一臺vpn設備和一臺vpn認證服務器(vpn-ca)，在所屬的直屬單位的網絡接入處安裝一臺vpn設備，由上級的vpn認證服務器通過網絡對下一級的vpn設備進行集中統一的網絡化管理。可達到以下幾個目的：

l 網絡傳輸數據保護;

由安裝在網絡上的vpn設備實現各內部網絡之間的數據傳輸加密保護，并可同時采取加密或隧道的方式進行傳輸

l 網絡隔離保護;

與internet進行隔離，控制內網與internet的相互訪問

l 集中統一管理，提高網絡安全性;

l 降低成本(設備成本和維護成本);

其中，在各級中心網絡的vpn設備設置如下圖：

圖4-2 中心網絡vpn設置圖

由一臺vpn管理機對ca、中心vpn設備、分支機構vpn設備進行統一網絡管理。將對外服務器放置于vpn設備的dmz口與內部網絡進行隔離，禁止外網直接訪問內網，控制內網的對外訪問、記錄日志。這樣即使服務器被攻破，內部網絡仍然安全。

下級單位的vpn設備放置如下圖所示：

圖4-3 下級單位vpn設置圖

從圖4-4可知，下屬機構的vpn設備放置于內部網絡與路由器之間，其配置、管理由上級機構通過網絡實現，下屬機構不需要做任何的管理，僅需要檢查是否通電即可。由于安全設備屬于特殊的網絡設備，其維護、管理需要相應的專業人員，而采取這種管理方式以后，就可以降低下屬機構的維護成本和對專業技術人員的要求，這對有著龐大下屬、分支機構的單位來講將是一筆不小的費用。

由于網絡安全的是一個綜合的系統工程，是由許多因素決定的，而不是僅僅采用高檔的安全產品就能解決，因此對安全設備的管理就顯得尤為重要。由于一般的安全產品在管理上是各自管理，因而很容易因為某個設備的設置不當，而使整個網絡出現重大的安全隱患。而用戶的技術人員往往不可能都是專業的，因此，容易出現上述現象;同時，每個維護人員的水平也有差異，容易出現相互配置上的錯誤使網絡中斷。所以，在安全設備的選擇上應當選擇可以進行網絡化集中管理的設備，這樣，由少量的專業人員對主要安全設備進行管理、配置，提高整體網絡的安全性和穩定性。

4.2.2 訪問控制

由于xxx企業廣域網網絡部分通過公共網絡建立，其在網絡上必定會受到來自internet上許多非法用戶的攻擊和訪問，如試圖進入網絡系統、竊取敏感信息、破壞系統數據、設置惡意代碼、使系統服務嚴重降低或癱瘓等，因此，采取相應的安全措施是必不可少的。通常，對網絡的訪問控制最成熟的是采用防火墻技術來實現的，本方案中選擇帶防火墻功能的vpn設備來實現網絡安全隔離，可滿足以下幾個方面的要求：

l 控制外部合法用戶對內部網絡的網絡訪問;

l 控制外部合法用戶對服務器的訪問;

l 禁止外部非法用戶對內部網絡的訪問;

l 控制內部用戶對外部網絡的網絡;

l 阻止外部用戶對內部的網絡攻擊;

l 防止內部主機的ip欺騙;

l 對外隱藏內部ip地址和網絡拓撲結構;

l 網絡監控;

l 網絡日志審計;

詳細配置拓撲圖見圖4-

1、圖4-

2、圖4-3。

由于采用防火墻、vpn技術融為一體的安全設備，并采取網絡化的統一管理，因此具有以下幾個方面的優點：

l 管理、維護簡單、方便;

l 安全性高(可有效降低在安全設備使用上的配置漏洞);

l 硬件成本和維護成本低;

l 網絡運行的穩定性更高

由于是采用一體化設備，比之傳統解決方案中采用防火墻和加密機兩個設備而言，其穩定性更高，故障率更低。

4.2.3 入侵檢測

網絡安全不可能完全依靠單一產品來實現，網絡安全是個整體的，必須配相應的安全產品。作為必要的補充，入侵檢測系統(ids)可與安全vpn系統形成互補。入侵檢測系統是根據已有的、最新的和可預見的攻擊手段的信息代碼對進出網絡的所有操作行為進行實時監控、記錄，并按制定的策略實行響應(阻斷、報警、發送e-mail)。從而防止針對網絡的攻擊與犯罪行為。入侵檢測系統一般包括控制臺和探測器(網絡引擎)。控制臺用作制定及管理所有探測器(網絡引擎)。探測器(網絡引擎)用作監聽進出網絡的訪問行為，根據控制臺的指令執行相應行為。由于探測器采取的是監聽而不是過濾數據包，因此，入侵檢測系統的應用不會對網絡系統性能造成多大影響。

入侵檢測系統的設置如下圖：

從上圖可知，入侵檢測儀在網絡接如上與vpn設備并接使用。入侵檢測儀在使用上是獨立網絡使用的，網絡數據全部通過vpn設備，而入侵檢測設備在網絡上進行疹聽，監控網絡狀況，一旦發現攻擊行為將通過報警、通知vpn設備中斷網絡(即ids與vpn聯動功能)等方式進行控制(即安全設備自適應機制)，最后將攻擊行為進行日志記錄以供以后審查。

企業網絡安全建設方案篇三

題

目：大連理工大學網絡高等教育畢業論文

——網絡安全設計

學習中心：xxx

層 次： 高中起點專科

專 業： 網絡計算機

年 級： 200x年秋季 學 號： 200x106329xx

學 生： xx 指導教師： 孫晰銳 完成日期： 20xx年 0x月 1x 日

目錄

1、網絡安全問題………………………………………………3

2、設計的安全性………………………………………………3 可用性…………………………………………………………..3 機密性…………………………………………………………..3 完整性…………………………………………………………..3 可控性…………………………………………………………..3 可審查性………………………………………………………..3 訪問控制………………………………………………………..3 數據加密………………………………………………………..3 安全審計………………………………………………………..3

3、安全設計方案………………………………………………5 設備選型………………………………………………………..5 網絡安全………………………………………………………..7 訪問控制………………………………………………………...9 入侵檢測………………………………………………………..104、總結…………………………………………………………111、網絡安全問題

隨著互聯網的飛速發展，網絡安全逐漸成為一個潛在的巨大問題。網絡安全性是一個涉及面很廣泛的問題，其中也會涉及到是否構成犯罪行為的問題。在其最簡單的形式中，它主要關心的是確保無關人員不能讀取，更不能修改傳送給其他接收者的信息。此時，它關心的對象是那些無權使用，但卻試圖獲得遠程服務的人。安全性也處理合法消息被截獲和重播的問題，以及發送者是否曾發送過該條消息的問題。

大多數安全性問題的出現都是由于有惡意的人試圖獲得某種好處或損害某些人而故意引起的。可以看出保證網絡安全不僅僅是使它沒有編程錯誤。它包括要防范那些聰明的，通常也是狡猾的、專業的，并且在時間和金錢上是很充足、富有的人。同時，必須清楚地認識到，能夠制止偶然實施破壞行為的敵人的方法對那些慣于作案的老手來說，收效甚微。

網絡安全性可以被粗略地分為4個相互交織的部分：保密、鑒別、反拒認以及完整性控制。保密是保護信息不被未授權者訪問，這是人們提到的網絡安全性時最常想到的內容。鑒別主要指在揭示敏感信息或進行事務處理之前先確認對方的身份。反拒認主要與簽名有關。保密和完整性通過使用注冊過的郵件和文件鎖來

2、設計的安全性

通過對網絡系統的風險分析及需要解決的安全問題，我們需要制定合理的安全策略及安全方案來確保網絡系統的機密性、完整性、可用性、可控性與可審查性。即，可用性： 授權實體有權訪問數據

機密性： 信息不暴露給未授權實體或進程

完整性： 保證數據不被未授權修改

可控性： 控制授權范圍內的信息流向及操作方式

可審查性：對出現的安全問題提供依據與手段

訪問控制：需要由防火墻將內部網絡與外部不可信任的網絡隔離，對與外部網絡交換數據的內部網絡及其主機、所交換的數據進行嚴格的訪問控制。同樣，對內部網絡，由于不同的應用業務以及不同的安全級別，也需要使用防火墻將不同的lan或網段進行隔離，并實現相互的訪問控制。

數據加密：數據加密是在數據傳輸、存儲過程中防止非法竊取、篡改信息的有效手段。

安全審計： 是識別與防止網絡攻擊行為、追查網絡泄密行為的重要措施之一。具體包括兩方面的內容，一是采用網絡監控與入侵防范系統，識別網絡各種違規操作與攻擊行為，即時響應（如報警）并進行阻斷；二是對信息內容的審計，可以防止內部機密或敏感信息的非法泄漏

針對企業現階段網絡系統的網絡結構和業務流程，結合企業今后進行的網絡

化應用范圍的拓展考慮，企業網主要的安全威脅和安全漏洞包括以下幾方面：

（1）內部竊密和破壞

由于企業網絡上同時接入了其它部門的網絡系統，因此容易出現其它部門不懷好意的人員(或外部非法人員利用其它部門的計算機)通過網絡進入內部網絡，并進一步竊取和破壞其中的重要信息(如領導的網絡帳號和口令、重要文件等)，因此這種風險是必須采取措施進行防范的。

（2）搭線(網絡)竊聽

這種威脅是網絡最容易發生的。攻擊者可以采用如sniffer等網絡協議分析工具，在internet網絡安全的薄弱處進入internet，并非常容易地在信息傳輸過程中獲取所有信息(尤其是敏感信息)的內容。對企業網絡系統來講，由于存在跨越internet的內部通信(與上級、下級)這種威脅等級是相當高的，因此也是本方案考慮的重點。

（3）假冒

這種威脅既可能來自企業網內部用戶，也可能來自internet內的其它用戶。如系統內部攻擊者偽裝成系統內部的其他正確用戶。攻擊者可能通過冒充合法系統用戶，誘騙其他用戶或系統管理員，從而獲得用戶名/口令等敏感信息，進一步竊取用戶網絡內的重要信息。或者內部用戶通過假冒的方式獲取其不能閱讀的秘密信息。

（4）完整性破壞

這種威脅主要指信息在傳輸過程中或者存儲期間被篡改或修改，使得信息/數據失去了原有的真實性，從而變得不可用或造成廣泛的負面影響。由于xxx企業網內有許多重要信息，因此那些不懷好意的用戶和非法用戶就會通過網絡對沒有采取安全措施的服務器上的重要文件進行修改或傳達一些虛假信息，從而影響工作的正常進行。

（5）其它網絡的攻擊

企業網絡系統是接入到internet上的，這樣就有可能會遭到internet上黑客、惡意用戶等的網絡攻擊，如試圖進入網絡系統、竊取敏感信息、破壞系統數據、設置惡意代碼、使系統服務嚴重降低或癱瘓等。因此這也是需要采取相應的安全措施進行防范。

（6）管理及操作人員缺乏安全知識

由于信息和網絡技術發展迅猛，信息的應用和安全技術相對滯后，用戶在引入和采用安全設備和系統時，缺乏全面和深入的培訓和學習，對信息安全的重要性與技術認識不足，很容易使安全設備/系統成為擺設，不能使其發揮正確的作用。如本來對某些通信和操作需要限制，為了方便，設置成全開放狀態等等，從而出現網絡漏洞。

由于網絡安全產品的技術含量大，因此，對操作管理人員的培訓顯得尤為重要。這樣，使安全設備能夠盡量發揮其作用，避免使用上的漏洞。

（7）雷擊

由于網絡系統中涉及很多的網絡設備、終端、線路等，而這些都是通過通信電纜進行傳輸，因此極易受到雷擊，造成連鎖反應，使整個網絡癱瘓，設備損壞，造成嚴重后果。因此，為避免遭受感應雷擊的危害和靜電干擾、電磁輻射干擾等引起的瞬間電壓浪涌電壓的損壞，有必要對整個網絡系統采取相應的防雷措施。

3、網絡安全設計方案

（1）網絡拓撲結構圖

設備選型

傳統的組網已經不能滿足現在網絡應用的變化了，在組網的初期必須考慮到安全和網絡的問題，考慮到這個問題我們就不能不考慮免疫網絡的作用以及前景如何。

免疫網絡——

免疫網絡是企業信息網絡的一種安全形式。“免疫”是生物醫學的名詞，它指的是人體所具有的“生理防御、自身穩定與免疫監視”的特定功能。

就像我們耳熟能詳的電腦病毒一樣，在電腦行業，“病毒”就是對醫學名詞形象的借用。同樣，“免疫”也被借用于說明計算機網絡的一種能力和作用。免疫就是讓企業的內部網絡也像人體一樣具備“防御、穩定、監視”的功能。這樣的網絡就稱之為免疫網絡。

免疫網絡的主要理念是自主防御和管理，它通過源頭抑制、群防群控、全網聯動使網絡內每一個節點都具有安全功能，在面臨攻擊時調動各種安全資源進行應對。

它具有安全和網絡功能融合、全網設備聯動、可信接入、深度防御和控制、精細帶寬管理、業務感知、全網監測評估等主要特征。下面讓我們看看這幾個特征的距離內容 安全和網絡功能的融合

①網絡架構的融合，主要包括網關和終端的融合

網關方面：arp先天免疫原理—nat表中添加源mac地址濾窗防火墻—封包檢測，ip分片檢查

udp洪水終端方面：驅動部分—免疫標記 ②網絡協議的融合—行為特征和網絡行為的融合 全網設備的聯動

①驅動與運營中心的聯動分收策略 ②驅動與驅動的聯動ip地址沖突 ③網關和驅動的聯動群防群控

④運營中心和網關的聯動（外網攻擊，上下線 可信接入

①mac地址的可信（類似于dna），生物身份 ②傳輸的可信（免疫標記）深度防御和控制

①深入到每個終端的網卡 深入到協議的最低層

深入到二級路由，多級路由器下 精細帶寬管理

①身份精細—ip/mac的精確 ②位置精確—終端驅動 ③路徑細分（特殊的ip）④流量去向（內，公網）⑤應用流控（qq,msn）業務感知

協議區分和應用感知

它與防火墻（fw）、入侵檢測系統（ids）、防病毒等“老三樣”組成的安全網絡相比，突破了被動防御、邊界防護的局限，著重從內網的角度解決攻擊問題，應對目前網絡攻擊復雜性、多樣性、更多從內網發起的趨勢，更有效地解決網絡威脅。

同時，安全和管理密不可分。免疫網絡對基于可信身份的帶寬管理、業務感知和控制，以及對全網安全問題和工作效能的監測、分析、統計、評估，保證了企業網絡的可管可控，大大提高了通信效率和可靠性。

安全架構分析

根據企業網絡現狀及發展趨勢，主要安全措施從以下幾個方面進行考慮：

網絡傳輸保護

主要是數據加密保護

主要網絡安全隔離

通用措施是采用防火墻

網絡病毒防護

采用網絡防病毒系統

廣域網接入部分的入侵檢測

采用入侵檢測系統

系統漏洞分析

采用漏洞分析設備

定期安全審計

主要包括兩部分：內容審計和網絡通信審計

重要數據的備份

重要信息點的防電磁泄露

網絡安全結構的可伸縮性

包括安全設備的可伸縮性，即能根據用戶的需要隨時進行規模、功能擴展

網絡防雷

（2）網絡安全

作為企業應用業務系統的承載平臺，網絡系統的安全顯得尤為重要。由于許多重要的信息都通過網絡進行交換，網絡傳輸

由于企業中心內部網絡存在兩套網絡系統，其中一套為企業內部網絡，主要運行的是內部辦公、業務系統等;另一套是與internet相連，通過adsl接入，并與企業系統內部的上、下級機構網絡相連。通過公共線路建立跨越internet的企業集團內部局域網，并通過網絡進行數據交換、信息共享。而internet本身就缺乏有效的安全保護，如果不采取相應的安全措施，易受到來自網絡上任意主機的監聽而造成重要信息的泄密或非法篡改，產生嚴重的后果。

由于現在越來越多的政府、金融機構、企業等用戶采用vpn技術來構建它們的跨越公共網絡的內聯網系統，因此在本解決方案中對網絡傳輸安全部分推薦采用vpn設備來構建內聯網。可在每級管理域內設置一套vpn設備，由vpn設備實現網絡傳輸的加密保護。根據企業三級網絡結構，vpn設置如下圖所示：

圖為三級 vpn設置拓撲圖

每一級的設置及管理方法相同。即在每一級的中心網絡安裝一臺vpn設備和一臺vpn認證服務器(vpn-ca)，在所屬的直屬單位的網絡接入處安裝一臺vpn設備，由上級的vpn認證服務器通過網絡對下一級的vpn設備進行集中統一的網絡化管理。可達到以下幾個目的：

網絡傳輸數據保護

由安裝在網絡上的vpn設備實現各內部網絡之間的數據傳輸加密保護，并可同時采取加密或隧道的方式進行傳輸

網絡隔離保護

與internet進行隔離，控制內網與internet的相互訪問

集中統一管理，提高網絡安全性

降低成本(設備成本和維護成本)

其中，在各級中心網絡的vpn設備設置如下圖：

圖為中心網絡vpn設置圖

由一臺vpn管理機對ca、中心vpn設備、分支機構vpn設備進行統一網絡管理。將對外服務器放置于vpn設備的dmz口與內部網絡進行隔離，禁止外網直接訪問內網，控制內網的對外訪問、記錄日志。這樣即使服務器被攻破，內部網絡仍然安全。

下級單位的vpn設備放置如下圖所示：

圖為下級單位vpn設置圖

從圖可知，下屬機構的vpn設備放置于內部網絡與路由器之間，其配置、管理由上級機構通過網絡實現，下屬機構不需要做任何的管理，僅需要檢查是否通電即可。由于安全設備屬于特殊的網絡設備，其維護、管理需要相應的專業人員，而采取這種管理方式以后，就可以降低下屬機構的維護成本和對專業技術人員的要求，這對有著龐大下屬、分支機構的單位來講將是一筆不小的費用。

由于網絡安全的是一個綜合的系統工程，是由許多因素決定的，而不是僅僅采用高檔的安全產品就能解決，因此對安全設備的管理就顯得尤為重要。由于一般的安全產品在管理上是各自管理，因而很容易因為某個設備的設置不當，而使整個網絡出現重大的安全隱患。而用戶的技術人員往往不可能都是專業的，因此，容易出現上述現象;同時，每個維護人員的水平也有差異，容易出現相互配置上的錯誤使網絡中斷。所以，在安全設備的選擇上應當選擇可以進行網絡化集中管理的設備，這樣，由少量的專業人員對主要安全設備進行管理、配置，提高整體網絡的安全性和穩定性。

（3）訪問控制

由于企業廣域網網絡部分通過公共網絡建立，其在網絡上必定會受到來自internet上許多非法用戶的攻擊和訪問，如試圖進入網絡系統、竊取敏感信息、破壞系統數據、設置惡意代碼、使系統服務嚴重降低或癱瘓等，因此，采取相應的安全措施是必不可少的。通常，對網絡的訪問控制最成熟的是采用防火墻技術來實現的，本方案中選擇帶防火墻功能的vpn設備來實現網絡安全隔離，可滿足以下幾個方面的要求：

控制外部合法用戶對內部網絡的網絡訪問;

控制外部合法用戶對服務器的訪問;

禁止外部非法用戶對內部網絡的訪問;

控制內部用戶對外部網絡的網絡;

阻止外部用戶對內部的網絡攻擊;

防止內部主機的ip欺騙;

對外隱藏內部ip地址和網絡拓撲結構;

網絡監控;

網絡日志審計;

詳細配置拓撲圖見圖

由于采用防火墻、vpn技術融為一體的安全設備，并采取網絡化的統一管理，因此具有以下幾個方面的優點：

管理、維護簡單、方便;

安全性高(可有效降低在安全設備使用上的配置漏洞);

硬件成本和維護成本低;

網絡運行的穩定性更高

由于是采用一體化設備，比之傳統解決方案中采用防火墻和加密機兩個設備而言，其穩定性更高，故障率更低。

（4）入侵檢測

網絡安全不可能完全依靠單一產品來實現，網絡安全是個整體的，必須配相應的安全產品。作為必要的補充，入侵檢測系統(ids)可與安全vpn系統形成互補。入侵檢測系統是根據已有的、最新的和可預見的攻擊手段的信息代碼對進出網絡的所有操作行為進行實時監控、記錄，并按制定的策略實行響應(阻斷、報警、發送e-mail)。從而防止針對網絡的攻擊與犯罪行為。入侵檢測系統一般包括控制臺和探測器(網絡引擎)。控制臺用作制定及管理所有探測器(網絡引擎)。探測器(網絡引擎)用作監聽進出網絡的訪問行為，根據控制臺的指令執行相應行為。由于探測器采取的是監聽而不是過濾數據包，因此，入侵檢測系統的應用不會對網絡系統性能造成多大影響。

入侵檢測系統的設置如下圖：

從上圖可知，入侵檢測儀在網絡接如上與vpn設備并接使用。入侵檢測儀在使用上是獨立網絡使用的，網絡數據全部通過vpn設備，而入侵檢測設備在網絡上進行疹聽，監控網絡狀況，一旦發現攻擊行為將通過報警、通知vpn設備中斷網絡(即ids與vpn聯動功能)等方式進行控制(即安全設備自適應機制)，最后將攻擊行為進行日志記錄以供以后審查。

4、總結

隨著互聯網的飛速發展，網絡安全逐漸成為一個潛在的巨大問題。網絡安全性是一個涉及面很廣泛的問題，其中也會涉及到是否構成犯罪行為的問題。在其最簡單的形式中，它主要關心的是確保無關人員不能讀取，更不能修改傳送給其他接收者的信息。此時，它關心的對象是那些無權使用，但卻試圖獲得遠程服務的人。安全性也處理合法消息被截獲和重播的問題，以及發送者是否曾發送過該條消息的問題。

企業網絡安全建設方案篇四

[摘要] 計算機網絡安全建設是涉及我國經濟發展、社會發展和國家安全的重大問題。本文結合網絡安全建設的全面信息，在對網絡系統詳細的需求分析基礎上，依照計算機網絡安全設計目標和計算機網絡安全系統的總體規劃，設計了一個完整的、立體的、多層次的網絡安全防御體系。

[關鍵詞] 網絡安全方案設計實現

一、計算機網絡安全方案設計與實現概述

影響網絡安全的因素很多，全的主要技術有防火墻技術、入侵檢測技術、安全評估技術、防病毒技術、加密技術、身份認證技術，等等。為了保護網絡系統的安全，行整合，建立一個完整的、立體的、解決方案，可以防止安全風險的各個方面的問題。

二、計算機網絡安全方案設計并實現

1.桌面安全系統

用戶的重要信息都是以文件的形式存儲在磁盤上，這樣可以提高辦公的效率，動辦公的情況更是如此。件泄密等安全隱患。

本設計方案采用清華紫光公司出品的紫光信息安全保護系統”的商品名稱。紫光算協處理器（cau）、只讀存儲器（儲器（e2prom）等，以及固化在tem）、硬件id號、各種密鑰和加密算法等。紫光artcos，其安全模塊可防止非法數據的侵入和數據的篡改，2.病毒防護系統

基于單位目前網絡的現狀，在網絡中添加一臺服務器，用于安裝必須結合網絡的具體需求，將多種安全措施進多層次的網絡安全防御體系，ss鎖的內部集成了包括中央處理器（rom），隨機存儲器（rom內部的芯片操作系統這樣一個全面的網絡安全使用戶可以方便地存取、修改、分發。造成泄密。特別是對于移防止文“紫光s鎖”是清華紫光“桌面計算機cpu）、加密運ram）、電可擦除可編程只讀存cos（chip operating syss鎖采用了通過中國人民銀行認證的sm防止非法軟件對s鎖進行操作。imss。

保護網絡安全的技術、手段也很多。一般來說，保護網絡安但同時也造成用戶的信息易受到攻擊，因此，需要對移動用戶的文件及文件夾進行本地安全管理，鎖產品，（1)郵件防毒。采用趨勢科技的scanmail for notes。該產品可以和domino的群件服務器無縫相結合并內嵌到notes的數據庫中，可防止病毒入侵到lotuenotes的數據庫及電子郵件，實時掃描并清除隱藏于數據庫及信件附件中的病毒。可通過任何notes工作站或web界面遠程控管防毒管理工作，并提供實時監控病毒流量的活動記錄報告。scanmail是notes domino server使用率最高的防病毒軟件。

（2)服務器防毒。采用趨勢科技的serverprotect。該產品的最大特點是內含集中管理的概念，防毒模塊和管理模塊可分開安裝。一方面使所有服務器的防毒系統可以從單點進行部署，管理和更新。（3)客戶端防毒。采用趨勢科技的使管理者通過單點控制所有客戶機上的防毒模塊，更新。其最大特點是擁有靈活的產品集中部署方式，不受支持sms，登錄域腳本，共享安裝以外，還支持純（4)集中控管tvcs。管理員可以通過此工具在整個趨勢科技的防病毒軟件，支持跨域和跨網段的管理，無論運行于何種平臺和位置，裝和分發代理部署，網絡的分析和病毒統計功能以及自動下載病毒代碼文件和病毒爆發警報，給管理帶來極大的便利。3.動態口令身份認證系統動態口令系統在國際公開的密碼算法基礎上，通過十次以上的非線性迭代運算，先進的身份認證及加解密流程、先進的密鑰管理方式，從整體上保證了系統的安全性。4.訪問控制“防火墻”

單位安全網由多個具有不同安全信任度的網絡部分構成，訪問、辨別身份偽裝等方面存在著很大的缺陷，方案選用四臺網御防火墻，這些重要部門的訪問控制。通過在核心交換機和高性能服務器群之間及核心交換機和重要部門之間部署防火墻，過防火墻將網絡內部不同部門的網絡或關鍵服務器劃分為不同的網段，保護了單位網絡服務器，使其不受來自內部的攻擊，來自單位網內部其他部門的網絡的攻擊。一方面減少了整個防毒系統對原系統的影響，另

officescan。該產品作為網絡版的客戶端防毒系統，并可以自動對所有客戶端的防毒模塊進行windows域管理模式的約束，除web的部署方式。

企業范圍內進行配置、監視和維護并能顯示基于服務器的防病毒產品狀態。tvcs在整個網絡中總起一個單一管理控制臺作用。簡便的安

結合生成動態口令的特點，加以精心修改，完成時間參數與密鑰充分的混合擴散。在此基礎上，采用在控制不可信連接、分辨非法從而構成了對網絡安全的重要隱患。本設計實現通彼此隔離。這樣不僅也保護了各部門網絡和數據服務器不受如果有人闖進您的一個部門，或者如果病毒開始蔓

分別配置在高性能服務器和三個重要部門的局域網出入口，延，網段能夠限制造成的損壞進一步擴大。5.信息加密、信息完整性校驗

為有效解決辦公區之間信息的傳輸安全，可以在多個子網之間建立起獨立的安全通道，通過嚴格的加密和認證措施來保證通道中傳送的數據的完整性、真實性和私有性。sjw-22網絡密碼機系統組成網絡密碼機（硬件）:是一個基于專用內核，具有自主版權的高級通信保護控制系統。本地管理器（軟件）絡密碼機本地管理系統軟件。中心管理器（軟件）機設備進行統一管理的系統軟件。6.安全審計系統根據以上多層次安全防范的策略，安全網的安全建設可采取的方法，“內審息是否泄密，以解決內層安全。安全審計系統能幫助用戶對安全網的安全進行實時監控，及時發現整個網絡上的動態，發現網絡入侵和違規行為，重要的一種手段，安全審計系統包括識別、記錄、存儲、分析與安全相關行為有關的信息。

在安全網中使用的安全審計系統應實現如下功能：成、安全審計分析、安全審計瀏覽、安全審計事件存儲、安全審計事件選擇等。本設計方案選用漢邦安全審計系統是針對目前網絡發展現狀及存在的安全問題，人員而設計的一套網絡安全產品，制系統。

（1）安全審計系統由安全監控中心和主機傳感器兩個部分構成。主機傳感器安裝在要監視的目標主機上，其監視目標主機的人機界面操作、監控及共享資源的使用情況。心為主機傳感器設定監控規則，文件保護審計和主機信息審計。①文件保護審計：:是一個安裝于密碼機本地管理平臺上的基于網絡或串口方式的網

:是一個安裝于中心管理平臺（忠實記錄網絡上發生的一切，”的安全審計系統作為安全審計工具。是一個分布在整個安全網范圍內的網絡安全監視監測、同時獲得監控結果、windows系統）上的對全網的密碼“加密”、“外防”、“內審”相結合提供取證手段。作為網絡安全十分安全審計數據生

面向企事業的網絡管理控ras連接、監控網絡連接情況網絡管理員通過安全監控中主要功能有

”是對系統內部進行監視、審查，識別系統是否正在受到攻擊以及內部機密信安全審計自動響應、“漢邦軟科安全監控中心是管理平臺和監控平臺，報警信息以及日志的審計。文件保護安裝在審計中心，可有效的對被審計主機端的文件進行管理

規則設置，包括禁止讀、禁止寫、禁止刪除、禁止修改屬性、禁止重命名、記錄日志、提供報警等功能。以及對文件保護進行用戶管理。

②主機信息審計:對網絡內公共資源中，所有主機進行審計，可以審計到主機的機器名、當前用戶、操作系統類型、ip地址信息。

（2)資源監控系統主要有四類功能。①監視屏幕:在用戶指定的時間段內，系統自動每隔數秒或數分截獲一次屏幕;用戶實時控制屏幕截獲的開始和結束。

②監視鍵盤:在用戶指定的時間段內，截獲戶實時控制鍵盤截獲的開始和結束。③監測監控ras連接：在用戶指定的時間段內，記錄所有的時控制ass連接信息截獲的開始和結束。當連接的操作。

④監測監控網絡連接：在用戶指定的時間段內，記錄所有的網絡連接信息udp，netbios）。用戶實時控制網絡連接信息截獲的開始和結束。由用戶指定非法的網絡連接列表，當出現非法連接時，系統將自動進行報警或掛斷連接的操作。單位內網中安全審計系統采集的數據來源于安全傳感器，保證探頭能夠采集進出網絡的所有數據。上，負責為主機傳感器設定監控規則，同時獲得監控結果、報警信息以及日志的審計。內網中的安全計算機為600臺，需要安裝7.入侵檢測系統ids

入侵檢測作為一種積極主動的安全防護技術，實時保護，在網絡系統受到危害之前攔截和響應入侵。的角度出發，入侵檢測理應受到人們的高度重視，可以看出。

根據網絡流量和保護數據的重要程度，選擇的交換機處放置，核心交換機放置控制臺，和誤操作的實時保護，在網絡系統受到危害之前攔截和響應入侵。在單位安全內網中，入侵檢測系統運行于有敏感數據的幾個要害部門子網和其他部門子網之間，通過實時截取網絡上的是數據流，他網絡違規活動。8.漏洞掃描系統

本內網網絡的安全性決定了整個系統的安全性。患掃描i型聯動型產品。i型聯動型產品適用于該內網這樣的高端用戶，持式掃描儀和機架型掃描服務器結合一體，網管人員就可以很方便的實現了集中管理的功能。網絡人員使用i型聯動型產品，程較高的掃描速度的掃描，可以實現和策略。同時移動式掃描儀可以跨越網段、支持定時和多ip地址的自動掃描，網管人員可以很輕松的就可以進行整個網絡的掃描，根據系統提供的掃描報告，配合我們提供的三級服務體系，高了工作效率。

聯動掃描系統支持多線程掃描，網管人員可以很輕松的對自己的網絡進行掃描和漏洞的彌補。同時提供了host sensor programgas連接非法時，系統將自動進行報警或掛斷計算機，所以應在安全計算機安裝主機安全監控中心安裝在信息中心的一臺主機600個傳感器。提供了對內部攻擊、從網絡安全的立體縱深、這從國際入侵檢測產品市場的蓬勃ids探測器（百兆）配置在內部關鍵子網監控和管理所有的探測器因此提供了對內部攻擊分析網絡通訊會話軌跡，在內網高性能服務器處配置一臺網絡隱200信息點以上的多個網絡進行多線ids、防火墻聯動，尤其適合于制定全網統一的安全穿透防火墻，實現分布式掃描，服務器和掃描儀都大大的減輕了工作負擔，支持定時和多ras連接信息。用戶實(外部攻擊和誤操作的 尋找網絡攻擊模式和其i型聯動型產品由手ip地址的自動掃描，web，單位發展就用戶的所有鍵盤輸入，用

包括:tcp多層次防御 就可以很方便的對極大的提有較高的掃描速度，方式的遠程

管理，網管不需要改變如何的網絡拓撲結構和添加其他的應用程序就可以輕輕松松的保證了網絡的安全性。另外對于信息點少、網絡環境變化大的內網配置網絡隱患掃描ii型移動式掃描儀。移動式掃描儀使用靈活，可以跨越網段、穿透防火墻，對重點的服務器和網絡設備直接掃描防護，這樣保證了網絡安全隱患掃描儀和其他網絡安全產品的合作和協調性，最大可能地消除安全隱患。

在防火墻處部署聯動掃描系統，在部門交換機處部署移動式掃描儀，實現放火墻、聯動掃描系統和移動式掃描儀之間的聯動，保證了網絡安全隱患掃描儀和其他網絡安全產品的合作和協調性，最大可能的消除安全隱患，盡可能早地發現安全漏洞并進行修補，優化資源，提高網絡的運行效率和安全性。

三、結束語

隨著網絡應用的深入普及，網絡安全越來越重要，有了更高的要求。一個特定系統的網絡安全方案，系統的實際應用而做。由于各個系統的應用不同，化為一個模式，用這個模子去套所有的信息系統。本文根據網絡安全系統設計的總體規劃控制、信息加密、信息完整性校驗、抗抵賴、安全審計、入侵檢測、漏洞掃描等方面安全技術和管理措施設計出一整套解決方案，目的是建立一個完整的、防御體系。

論文參考

國家和企業都對建立一個安全的網絡應建立在對網絡風險分析的基礎上，結合不能簡單地把信息系統的網絡安全方案固,從桌面系統安全、病毒防護、身份鑒別、訪問立體的、多層次的網絡安全

企業網絡安全建設方案篇五

編號：abs20160501

企業網絡設計方案

關鍵字：網絡，安全，vpn，防火墻，防病毒

班 級：ay 姓 名：ay 日 期：2016-05-19

目 錄

摘 要..........................................................3 第一章 企業網絡安全概述........................................4 1.1 企業網絡的主要安全隱患...................................4 1.2 企業網絡的安全誤區.......................................4 第二章 企業網絡安全現狀分析...................................6 2.1 公司背景.................................................6 2.2 企業網絡安全需求.........................................6 2.3 需求分析.................................................6 2.4 企業網絡結構.............................................7 第三章 企業網絡安全解決實施....................................9 3.1物理安全..................................................9 3.2企業網絡接入配置.........................................10 3.3網絡防火墻配置...........................................13 3.4配置驗證查看.............................................21 3.5網絡防病毒措施...........................................24 總 結........................................................26

摘 要

近幾年來，internet技術日趨成熟，已經開始了從以提供和保證網絡聯通性為主要目標的第一代internet技術向以提供網絡數據信息服務為特征的第二代internet技術的過渡。這些都促使了計算機網絡互聯技術迅速的大規模使用。眾所周知，作為全球使用范圍最大的信息網，internet自身協議的開放性極大地方便了各種計算機連網，拓寬了共享資源。但是，由于在早期網絡協議設計上對安全問題的忽視，以及在管理和使用上的無政府狀態，逐漸使internet自身安全受到嚴重威脅，與它有關的安全事故屢有發生。網絡安全的威脅主要表現在：非授權訪問，冒充合法用戶，破壞數據完整性，干擾系統正常運行，利用網絡傳播病毒，線路竊聽等方面。因此本論文為企業構架網絡安全體系，主要運用vlan劃分、防火墻技術、vpn、病毒防護等技術，來實現企業的網絡安全。

第一章 企業網絡安全概述

1.1 企業網絡的主要安全隱患

現在網絡安全系統所要防范的不再僅是病毒感染，更多的是基于網絡的非法入侵、攻擊和訪問，同時企業網絡安全隱患的來源有內、外網之分，很多情況下內部網絡安全威脅要遠遠大于外部網絡，因為內部中實施入侵和攻擊更加容易，企業網絡安全威脅的主要來源主要包括。

1)病毒、木馬和惡意軟件的入侵。2)網絡黑客的攻擊。

3)重要文件或郵件的非法竊取、訪問與操作。4)關鍵部門的非法訪問和敏感信息外泄。5)外網的非法入侵。

6)備份數據和存儲媒體的損壞、丟失。

針對這些安全隱患，所采取的安全策略可以通過安裝專業的網絡版病毒防護系統，同時也要加強內部網絡的安全管理，配置好防火墻過濾策略和系統本身的各項安全措施，及時安裝系統安全補丁，有條件的還可以在內、外網之間安裝網絡掃描檢測、網絡嗅探器、ids、ips系統，甚至配置網絡安全隔離系統，對內、外網絡進行安全隔離；加強內部網絡的安全管理，嚴格實行“最小權限”原則，為各個用戶配置好恰當的用戶權限；同時對一些敏感數據進行加密保護，對數據還可以進行數字簽名措施；根據企業實際需要配置好相應的數據策略，并按策略認真執行。

1.2 企業網絡的安全誤區

(一)安裝防火墻就安全了

防火墻主要工作都是控制存取與過濾封包，所以對dos攻擊、非法存取與篡改封包等攻擊模式的防范極為有效，可以提供網絡周邊的安全防護。但如果攻擊行為不經過防火墻，或是將應用層的攻擊程序隱藏在正常的封包內，便力不從心了，許多防火墻只是工作在網絡層。

防火墻的原理是“防外不防內”，對內部網絡的訪問不進行任何阻撓，而事實上，企業網絡安全事件絕大部分還是源于企業內部。

(二)安裝了最新的殺毒軟件就不怕病毒了

安裝殺毒軟件的目的是為了預防病毒的入侵和查殺系統中已感染的計算機病毒，但這并不能保證就沒有病毒入侵了，因為殺毒軟件查殺某一病毒的能力總是滯后于該病毒的出現。

(三)在每臺計算機上安裝單機版殺毒軟件和網絡版殺毒軟件等效

網絡版殺毒軟件核心就是集中的網絡防毒系統管理。網絡版殺毒軟件可以在一臺服務器上通過安全中心控制整個網絡的客戶端殺毒軟件同步病毒查殺、監控整個網絡的病毒。同時對于整個網絡，管理非常方便，對于單機版是不可能做到的。

(四)只要不上網就不會中毒

雖然不少病毒是通過網頁傳播的，但像qq聊天接發郵件同樣是病毒傳播的主要途徑，而且盜版光盤以及u盤等也會存在著病毒。所以只要計算機開著，就要防范病毒。

(五)文件設置只讀就可以避免感染病毒

設置只讀只是調用系統的幾個命令，而病毒或黑客程序也可以做到這一點，設置只讀并不能有效防毒，不過在局域網中為了共享安全，放置誤刪除，還是比較有用的。

(六)網絡安全主要來自外部

基于內部的網絡攻擊更加容易，不需要借助于其他的網絡連接方式，就可以直接在內部網絡中實施攻擊。所以，加強內部網絡安全管理，特別是用戶帳戶管理，如帳戶密碼、臨時帳戶、過期帳戶和權限等方面的管理非常必要了。

第二章 企業網絡安全現狀分析

2.1 公司背景

xx科技有限公司是一家有100名員工的中小型科技公司，主要以軟件應用開發為主營項目的軟件企業。公司有一個局域網，約100臺計算機，服務器的操作系統是 windows server 2008,客戶機的操作系統是 windows 7，在工作組的模式下一人一機辦公。公司對網絡的依賴性很強，主要業務都要涉及互聯網以及內部網絡。隨著公司的發展現有的網絡安全已經不能滿足公司的需要，因此構建健全的網絡安全體系是當前的重中之重。

2.2 企業網絡安全需求

xx科技有限公司根據業務發展需求，建設一個小型的企業網，有web、mail等服務器和辦公區客戶機。企業分為財務部門和業務部門，需要他們之間相互隔離。同時由于考慮到inteneter的安全性，以及網絡安全等一些因素，如ddos、arp等。因此本企業的網絡安全構架要求如下：

（1）根據公司現有的網絡設備組網規劃（2）保護網絡系統的可用性（3）保護網絡系統服務的連續性

（4）防范網絡資源的非法訪問及非授權訪問（5）防范入侵者的惡意攻擊與破壞

（6）保護企業信息通過網上傳輸過程中的機密性、完整性（7）防范病毒的侵害（8）實現網絡的安全管理。

2.3 需求分析

通過了解xx科技有限公司的需求與現狀，為實現xx科技有限公司的網絡安全建設實施網絡系統改造，提高企業網絡系統運行的穩定性，保證企業各種設計信息的安全性，避免圖紙、文檔的丟失和外泄。通過軟件或安全手段對客戶端的計算機加以保護，記錄用戶對客戶端計算機中關鍵目錄和文件的操作，使企業有手段對用戶在客戶端計算機的使用情況進行追蹤，防范外來計算機的侵入而造成破壞。通過網絡的改造，使管理

者更加便于對網絡中的服務器、客戶端、登陸用戶的權限以及應用軟件的安裝進行全面的監控和管理。因此需要

（1）構建良好的環境確保企業物理設備的安全（2）劃分vlan控制內網安全（3）安裝防火墻體系

（4）建立vpn(虛擬專用網絡)確保數據安全（5）安裝防病毒服務器（6）加強企業對網絡資源的管理

2.4 企業網絡結構

網絡拓撲圖，如下圖所示:

總部網絡情況：

防火墻fw1作為出口nat設備，從網絡運營商處獲得接入固定ip為202.10.1.2/30，網關ip為202.10.1.1/30，經由防火墻分為dmz區域和trust區域。

防火墻上fw1做nat轉換。分配給trust區域的地址為10.1.1.0 /24,通過fw1上ge0/0/0端口連接網絡，接口地址為10.1.1.1/24。dmz內主要有各類的服務器，地址分配為10.1.2.0 /24。通過fw1上ge0/0/1端口連接網絡，接口地址為10.1.2.1 /24。

建立ipsec隧道，使總部和分支可以互訪。

分部網絡情況：

防火墻fw2作為出口nat設備，從網絡運營商處獲得接入固定ip為202.20.1.2/30，網關ip為202.20.1.1/30。通過fw1上ge0/0/1端口連接內部網絡，接口地址為10.1.1.1/24。

建立ipsec隧道，使分部和總部可以互訪。

第三章 企業網絡安全解決實施

3.1物理安全

企業網絡中保護網絡設備的物理安全是其整個計算機網絡系統安全的前提，物理安全是指保護計算機網絡設備、設施以及其他媒體免遭地震、水災、火災等環境事故、人為操作失誤或各種計算機犯罪行為導致的破壞。

針對網絡的物理安全主要考慮的問題是環境、場地和設備的安全及物理訪問控制和應急處置計劃等。物理安全在整個計算機網絡信息系統安全中占有重要地位。它主要包括以下幾個方面： 1)保證機房環境安全

信息系統中的計算機硬件、網絡設施以及運行環境是信息系統運行的最基本的環境。要從一下三個方面考慮：a.自然災害、物理損壞和設備故障 b.電磁輻射、乘機而入、痕跡泄漏等 c.操作失誤、意外疏漏等 2)選用合適的傳輸介質

屏蔽式雙絞線的抗干擾能力更強，且要求必須配有支持屏蔽功能的連接器件和要求介質有良好的接地（最好多處接地），對于干擾嚴重的區域應使用屏蔽式雙絞線，并將其放在金屬管內以增強抗干擾能力。

光纖是超長距離和高容量傳輸系統最有效的途徑，從傳輸特性等分析，無論何種光纖都有傳輸頻帶寬、速率高、傳輸損耗低、傳輸距離遠、抗雷電和電磁的干擾性好保密性好，不易被竊聽或被截獲數據、傳輸的誤碼率很低，可靠性高，體積小和重量輕等特點。與雙絞線或同軸電纜不同的是光纖不輻射能量，能夠有效地阻止竊聽。3)保證供電安全可靠

計算機和網絡主干設備對交流電源的質量要求十分嚴格，對交流電的電壓和頻率，對電源波形的正弦性，對三相電源的對稱性，對供電的連續性、可靠性穩定性和抗干擾性等各項指標，都要求保持在允許偏差范圍內。機房的供配電系統設計既要滿足設備自身運轉的要求，又要滿足網絡應用的要求，必須做到保證網絡系統運行的可靠性，保證設備的設計壽命保證信息安全保證機房人員的工作環境。

3.2企業網絡接入配置

vlan技術能有效隔離局域網，防止網內的攻擊，所以部署網絡中按部門進行了vlan劃分，劃分為以下兩個vlan：

業務部門 vlan 10

交換機sw1接入核心交換機 財務部門 vlan 20

交換機sw2接入核心交換機 核心交換機 vlan間路由 核心交換機hsw1 核心交換機hsw1配置步驟: 1)建立vlan 10 20 100 2)ge0/0/1加入vlan10, ge0/0/2加入vlan30, ge0/0/24加入vlan100 3)建立svi并配置相應ip地址: vlanif10:192.168.1.1/24 vlanif20:192.168.2.1/24 vlanif100:10.1.1.2/24 4)配置rip路由協議：

network 192.168.1.0 network 192.168.2.0 network 10.1.1.0 5)配置acl拒絕其它部門對財務部訪問，outbound→ge0/0/2。

詳細配置：

# sysname hsw1 # info-center source ds channel 0 log state off trap state off # vlan batch 10 20 100 # cluster enable ntdp enable ndp enable # drop illegal-mac alarm # dhcp enable # diffserv domain default

# acl number 3001 rule 5 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 rule 15 deny ip source 20.0.0.0 0.255.255.255 destination 192.168.2.0 0.0.0.255 # traffic classifier tc1 operator and if-match acl 3001 # traffic behavior tb1 deny # traffic policy tp1 classifier tc1 behavior tb1 # drop-profile default # ip pool qqww gateway-list 192.168.1.1 network 192.168.1.0 mask 255.255.255.0 excluded-ip-address 192.168.1.254 # ip pool vlan20 gateway-list 192.168.2.1 network 192.168.2.0 mask 255.255.255.0 excluded-ip-address 192.168.2.200 192.168.2.254 # aaa authentication-scheme default authorization-scheme default accounting-scheme default domain default domain default_admin local-user admin password simple admin local-user admin service-type http # interface vlanif1 # interface vlanif10 ip address 192.168.1.1 255.255.255.0 dhcp select global # interface vlanif20 ip address 192.168.2.1 255.255.255.0 dhcp select global

# interface vlanif100 ip address 10.1.1.2 255.255.255.0 # interface meth0/0/1 # interface gigabitethernet0/0/1 port link-type access port default vlan 10 # interface gigabitethernet0/0/2 port link-type access port default vlan 20 traffic-policy tp1 outbound # interface gigabitethernet0/0/3 # interface gigabitethernet0/0/4 # interface gigabitethernet0/0/5 # interface gigabitethernet0/0/6 # interface gigabitethernet0/0/7 # interface gigabitethernet0/0/8 # interface gigabitethernet0/0/9 # interface gigabitethernet0/0/10 # interface gigabitethernet0/0/11 # interface gigabitethernet0/0/12 # interface gigabitethernet0/0/13 # interface gigabitethernet0/0/14 # interface gigabitethernet0/0/15 # interface gigabitethernet0/0/16 # interface gigabitethernet0/0/17 # interface gigabitethernet0/0/18

# interface gigabitethernet0/0/19 # interface gigabitethernet0/0/20 # interface gigabitethernet0/0/21 # interface gigabitethernet0/0/22 # interface gigabitethernet0/0/23 # interface gigabitethernet0/0/24 port link-type access port default vlan 100 # interface null0 # rip 1 version 2 network 192.168.1.0 network 192.168.2.0 network 10.0.0.0 # ip route-static 0.0.0.0 0.0.0.0 10.1.1.1 # user-interface con 0 user-interface vty 0 4 # port-group de # return 3.3網絡防火墻配置

防火墻fw1基本配置步驟：

1)配置ge0/0/0的ip地址10.1.1.1/24，并加入trust區域；

配置ge0/0/1的ip地址10.1.2.1/24，并加入dmz區域；

配置ge0/0/2的ip地址202.10.1.2/30，并加入untrust區域；

2)配置允許安全區域間包過濾。3)配置rip路由協議：

network 10.0.0.0 network 202.10.1.0

4)配置nat，出口ge0/0/2。

5)配置總部至分部的點到點ipsce隧道：

? 配置acl，匹配ipsec流量 ? 配置ipsec安全提議1 ? 配置ike安全提議 ? 配置ike peer ? 配置ipsec安全策略 ? 在接口ge 0/0/2上應用策略

詳細配置：

# cli_version=v300r001

# last configuration was changed at 2016/05/18 16:22:21 from console0 #*****begin****public****# # stp region-configuration region-name b05fe31530c0 active region-configuration # acl number 3002 rule 5 permit ip source 192.168.0.0 0.0.255.255 destination 20.1.0.0 0.0.255.255 rule 10 permit ip source 10.1.0.0 0.0.255.255 destination 20.1.0.0 0.0.255.255 # ike proposal 1 # ike peer 1 exchange-mode aggressive pre-shared-key %$%$upiwvoh!8>qmd(cfw@>f+,#w%$%$ ike-proposal 1 remote-address 202.20.1.2 # ipsec proposal 1 # ipsec policy map 1 isakmp security acl 3002 ike-peer 1 proposal 1 # interface gigabitethernet0/0/0 alias ge0/mgmt

ip address 10.1.1.1 255.255.255.0 # interface gigabitethernet0/0/1 ip address 10.1.2.1 255.255.255.0 # interface gigabitethernet0/0/2 ip address 202.10.1.2 255.255.255.252 ipsec policy map # interface gigabitethernet0/0/3 # interface gigabitethernet0/0/4 # interface gigabitethernet0/0/5 # interface gigabitethernet0/0/6 # interface gigabitethernet0/0/7 # interface gigabitethernet0/0/8 # interface null0 alias null0 # firewall zone local set priority 100 # firewall zone trust set priority 85 add interface gigabitethernet0/0/0 # firewall zone untrust set priority 5 add interface gigabitethernet0/0/2 # firewall zone dmz set priority 50 add interface gigabitethernet0/0/1 # aaa local-user admin password cipher %$%$i$6`rbf34,paqv9b&7i4*“vm%$%$ local-user admin service-type web terminal telnet local-user admin level 15 authentication-scheme default # authorization-scheme default

# accounting-scheme default # domain default # # rip 1 version 2 network 10.0.0.0 network 202.10.1.0 # nqa-jitter tag-version 1 # banner enable # user-interface con 0 authentication-mode none user-interface vty 0 4 authentication-mode none protocol inbound all # slb # right-manager server-group # sysname fw1 # l2tp domain suffix-separator @ # firewall packet-filter default permit interzone local trust direction inbound firewall packet-filter default permit interzone local trust direction outbound firewall packet-filter default permit interzone local untrust direction outbound firewall packet-filter default permit interzone local dmz direction outbound # ip df-unreachables enable # firewall ipv6 session link-state check firewall ipv6 statistic system enable # dns resolve #

firewall statistic system enable # pki ocsp response cache refresh interval 0 pki ocsp response cache number 0 # undo dns proxy # license-server domain # web-manager enable # policy interzone local untrust inbound policy 1 action permit # policy interzone local dmz inbound policy 1 action permit # policy interzone trust untrust inbound policy 1 action permit # policy interzone trust untrust outbound policy 1 action permit # policy interzone trust dmz inbound policy 1 action permit # policy interzone trust dmz outbound policy 1 action permit # nat-policy interzone trust untrust outbound policy 1 action source-nat policy source 192.168.0.0 0.0.255.255 policy source 10.1.0.0 0.0.255.255 easy-ip gigabitethernet0/0/2 # return #-----end----#

防火墻fw2基本配置步驟如下：

1)配置ge0/0/0的ip地址202.20.1.2/30，并加入untrust區域；

配置ge0/0/1的ip地址20.1.1.1/24，并加入trust區域；

2)配置允許安全區域間包過濾。3)配置rip路由協議：

network 20.0.0.0 network 202.10.1.0 4)配置nat，出口ge0/0/0。

5)配置分部至總部的點到點ipsce隧道：

? 配置acl，匹配ipsec流量 ? 配置ipsec安全提議1 ? 配置ike安全提議 ? 配置ike peer ? 配置ipsec安全策略 ? 在接口ge 0/0/2上應用策略

詳細配置：

# cli_version=v300r001 # last configuration was changed at 2016/05/18 16:22:59 from console0 #*****begin****public****# # stp region-configuration region-name 405fd915c0bf active region-configuration # acl number 3002 rule 5 permit ip source 20.1.0.0 0.0.255.255 destination 10.1.0.0 0.0.255.255 rule 10 permit ip source 20.1.0.0 0.0.255.255 destination 192.168.0.0 0.0.255.255 # ike proposal 1 # ike peer 1 exchange-mode aggressive pre-shared-key %$%$;3c|#{7es#ud2ws|”x<6+=4+%$%$ ike-proposal 1 remote-address 202.10.1.2 #

ipsec proposal 1 # ipsec policy map 1 isakmp security acl 3002 ike-peer 1 proposal 1 # interface gigabitethernet0/0/0 alias ge0/mgmt ip address 202.20.1.2 255.255.255.252 ipsec policy map # interface gigabitethernet0/0/1 ip address 20.1.1.1 255.255.255.0 # interface gigabitethernet0/0/2 # interface gigabitethernet0/0/3 # interface gigabitethernet0/0/4 # interface gigabitethernet0/0/5 # interface gigabitethernet0/0/6 # interface gigabitethernet0/0/7 # interface gigabitethernet0/0/8 # interface null0 alias null0 # firewall zone local set priority 100 # firewall zone trust set priority 85 add interface gigabitethernet0/0/1 # firewall zone untrust set priority 5 add interface gigabitethernet0/0/0 # firewall zone dmz set priority 50 #

aaa local-user admin password cipher %$%$dj“t@”dxqh@383<@pql#*~6-%$%$ local-user admin service-type web terminal telnet local-user admin level 15 authentication-scheme default # authorization-scheme default # accounting-scheme default # domain default # # rip 1 version 2 network 202.20.1.0 network 20.0.0.0 # nqa-jitter tag-version 1 # banner enable # user-interface con 0 authentication-mode none user-interface vty 0 4 authentication-mode none protocol inbound all # slb # right-manager server-group # sysname fw2 # l2tp domain suffix-separator @ # firewall packet-filter default permit interzone local trust direction inbound firewall packet-filter default permit interzone local trust direction outbound firewall packet-filter default permit interzone local untrust direction outbound firewall packet-filter default permit interzone local dmz direction outbound #

ip df-unreachables enable # firewall ipv6 session link-state check firewall ipv6 statistic system enable # dns resolve # firewall statistic system enable # pki ocsp response cache refresh interval 0 pki ocsp response cache number 0 # undo dns proxy # license-server domain # web-manager enable # policy interzone local untrust inbound policy 1 action permit # policy interzone local dmz inbound policy 1 action permit # policy interzone trust untrust inbound policy 1 action permit # policy interzone trust untrust outbound policy 1 action permit # return #-----end----# 3.4配置驗證查看

? 驗證路由：

? 連通性測試

分部網絡至總部業務部網絡正常連通，至服務器網絡正常連通：

分部網絡至總部財務部網絡不能到達：

3.5網絡防病毒措施

針對網絡的現狀，在綜合考慮了公司對防病毒系統的性能要求、成本和安全性以后，我選用瑞星殺毒軟件網絡版來在內網中進行防病毒系統的建立。產品特點: 瑞星殺毒軟件網絡版是為各種簡單或復雜網絡環境設計的計算機病毒網絡防護系統，即適用于包含若干臺主機的單一網段網絡，也適用于包含各種web服務器、郵件服務器、應用服務器，以及分布在不同城市，包含數十萬臺主機的超大型網絡。網絡版具有以下顯著特點：

(1)先進的體系結構(2)超強的殺毒能力(3)完備的遠程控制(4)方便的分級、分組管理

網絡瑞星殺毒軟件網絡版的主控制中心部署在dmz服務器區，子控制中心部署在核心層交換機的一臺服務器上。

控制中心負責整個網絡版的管理與控制，是整個網絡版的核心，在部署網絡時，必須首先安裝。除了對網絡中的計算機進行日常的管理與控制外，它還實時地記錄著 網絡版防護體系內每臺計算機上的病毒監控、查殺病毒和升級等信息。在1個網段內僅允許安裝1臺控制中心。根據控制中心所處的網段的不同，可以將控制中心劃分為主控制中心和子控制中心，子控制中心除了要 完成控制中心的功能外，還要負責與它的上級——主控制中心進行通信。這里的“主”和“子”是一個 相對的概念：每個控制中心對于它的下級的網段來說都是主控制中心，對于它的上級的網段來說又是子控制中心，這種控制結構可以根據網絡的需要無限的延伸下去。

為企業網絡安裝好網絡版殺毒軟件后，為期配置軟件的安全策略。對企業客戶端計算機的軟件實現更為完善的遠程控制功能，利用軟件控制中心的“策略設置”功能組來實現。在此功能中可以針對單一客戶端、邏輯組、全網進行具有針對性的安全策略設置。在“策略設置”下拉菜單中，我們可以找到“掃描設置”、“反垃圾郵件”、“網址過濾”等與平時安全應用密切相關的各項應用配置選項。

為企業網絡 網絡版殺毒軟件配置“掃描設置”，掃描設置可對當前選擇的任意組或者任意節點的客戶端進行更加細化的掃描設置。企業可以自己設定適合于自己網絡環境的掃描方案，針對不同的策略對不同的客戶端進行分發不同的掃描命令。可以下發以下命令到節點計算機：掃描目標，定時掃描，分類掃描，不掃描文件夾，掃描報告，簡單而實用的設置頁大大的增加了網絡管理的易用性。

總 結

隨著互聯網的飛速發展，網絡安全逐漸成為一個潛在的巨大問題。網絡安全性是一個涉及面很廣泛的問題，其中也會涉及到是否構成犯罪行為的問題。在其最簡單的形式中，它主要關心的是確保無關人員不能讀取，更不能修改傳送給其他接收者的信息。此時，它關心的對象是那些無權使用，但卻試圖獲得遠程服務的人。安全性也處理合法消息被截獲和重播的問題，以及發送者是否曾發送過該條消息的問題。

本論文從企業角度描述了網絡安全的解決方案，目的在于為用戶提供信息的保密，認證和完整性保護機制，使網絡中的服務，數據以及系統免受侵擾和破壞。比如防火墻，認證，加密技術等都是當今常用的方法，本論文從這些方法入手深入研究各個方面的網絡安全問題的解決，可以使讀者有對網絡安全技術的更深刻的了解。