【正文】 防火墻開放的合法端口進入內(nèi)部網(wǎng)絡(luò)，竊取商業(yè)機密。 面對這些隱藏在 IP 數(shù)據(jù)包應(yīng)用層的攻擊和信息，傳統(tǒng)的 網(wǎng)絡(luò)安全 技術(shù)顯得無能為力。 面對 在如此復(fù)雜多變的惡意攻擊和網(wǎng)絡(luò)應(yīng)用下孕育而生的， 我們需要將 防火墻、VPN、入侵檢測、防病毒、內(nèi)容過濾 和應(yīng)用控制等功能結(jié)合于一體，提供從物理層到應(yīng)用層 7 層安全 的 防護。 關(guān)鍵詞： 防火墻 ； IP； 規(guī)則 ； 入侵防御 ； VPN； 網(wǎng)絡(luò)結(jié)構(gòu) ； 應(yīng)用層 江西師范大學(xué) 本科畢業(yè)設(shè)計（論文） 2 Abstract With the popularization and application of work technology, work security issues have bee increasingly prominent, hacker attacks from the previous TCP/IP protocol vulnerabilities to attack based on operating system and application software and intrusion. for example： Hackers can open through the legal port of the router into the internal work, causing huge losses to the user； Worms, Trojans can be opened through the legitimate port work into the internal work, resulting in work paralysis。 Spyware and other malicious programs can be opened through the firewall to the legitimate port into the internal work, to steal trade secrets. In the face of these attacks and information hiding in the application layer of IP data packets, the traditional work security technology is powerless. In the face of such a plex and changeable malicious attacks and work application birth, we need a firewall, VPN, antivirus, intrusion detection, content filtering and application control functions together, providing protection from physical layer to application layer 7 layer security. Key words： Firewall。 IP。 rule。 intrusion prevention。 VPN。 work structure。 application layer 江西師范大學(xué) 本科畢業(yè)設(shè)計（論文） 3 第 一 章 引言 本論文 研究企業(yè) 背景 美國獨資 麥迪格醫(yī)療保健品（濟南）有限公司 (以下簡稱麥迪格公司 )成立于1997 年，是一家集科技開發(fā)、生產(chǎn)貿(mào)易于一體的美國獨資企業(yè)?？偛课挥?美國舊金山 、并在中國濟南、上海等地建設(shè)有一流的，達到國際先進水平的科研、生產(chǎn)基地。2021 年以來麥迪格對公司辦公、原材料采購、生 產(chǎn)、銷售、服務(wù)流程逐步進行信息化建設(shè)。并對全國 31 個分公司及 200 多家聯(lián)營經(jīng)營行為全部納入到信息化操作范圍。在濟南、南京兩地分別建立數(shù)據(jù)管理中心。全國分公司、聯(lián)營店根據(jù)互聯(lián)網(wǎng) +的設(shè)計要求實現(xiàn)全國的信息共享與聯(lián)動。 目前麥迪格 南京、濟南數(shù)據(jù)中心；濟南公司總部。分別是 100M 聯(lián)通、電信 雙線接入；全國各 地分公司分別通過 VPN 設(shè)備，共享訪問南京、濟南兩地的服務(wù)器數(shù)據(jù)。麥迪格公司目前共有服務(wù)器 8 臺，分別是辦公 OA、郵件 、收銀、財務(wù)、進銷存、生產(chǎn) ERP、 WEB 網(wǎng)站、微商城。 安全威脅不僅來自外部，企業(yè)內(nèi)部的不當(dāng)互聯(lián)網(wǎng)訪 問、濫用互聯(lián)網(wǎng)以及泄密行為等等，同樣會帶來安全問題。據(jù) IDC 報告， 70%的安全損失是由企業(yè)內(nèi)部原因造成的，而不當(dāng)?shù)馁Y源利用及員工上網(wǎng)行為往往是 “ 罪魁禍首 ” 。比如：網(wǎng)頁瀏覽、 BT 下載、IM 實時通信、 P2P 文件共享等行為。不當(dāng)?shù)馁Y源利用及員工上網(wǎng)行為帶來了間諜軟件、惡意程序和計算機病毒，導(dǎo)致了企業(yè)網(wǎng)絡(luò)資源耗盡、機密信息泄漏、內(nèi)網(wǎng)病毒泛濫等一系列安全問題。 同時，隨著互聯(lián)網(wǎng)的吸引力和互動性與日俱增，員工正花費越來越多的辦公時間上網(wǎng)處理私人事務(wù)。據(jù)公布的最新統(tǒng)計顯示，中國員工每周上班花在網(wǎng)上處理私人事務(wù)的時間高達 小時，平均每天超過 1 小時。有 60%的中國員工在工作時間上網(wǎng)瀏覽個人信件，有 83%中層管理人員由于在辦公時間內(nèi)瀏覽與工作無關(guān)的網(wǎng)站，使得企業(yè)遭受到仿冒詐騙、間諜軟件和其它網(wǎng)上攻擊的威脅增大。在中國，大約有 8%的員工在上班時間上網(wǎng)進入聊天室，大約有 16%的員工上網(wǎng)下載音樂，大約有 12%員工在上班時間玩游戲的?；ヂ?lián)網(wǎng)濫用，造成工作效率下降，給中國企業(yè)帶來了巨大的損失。 本論文研究企業(yè)所面臨的實際問題 麥迪格公司的網(wǎng)絡(luò)現(xiàn)狀：總部的出口設(shè)備是一臺普通的 TPLINK 路由器，進線有兩條，電信（ CTC）、 聯(lián)通（ CUC）各 100M 光纖，辦公 系統(tǒng)共 有 約 120 臺 PC 終端，文江西師范大學(xué) 本科畢業(yè)設(shè)計（論文） 4 件服務(wù)器， OA 服務(wù)器， 數(shù)據(jù) 服務(wù)器，三臺服務(wù)器直接連到路由器上面。全國共計還有 31 處分部，這些分部通過 VPN 接入總部的辦公系統(tǒng)，共享文件服務(wù)器。 麥迪格公司的現(xiàn)有出口安全功能缺乏，存在以下幾點問題： 1. 整個公司網(wǎng)絡(luò)通過一臺普通路由器和外網(wǎng)互聯(lián)互動，沒有防護措施。整個計算機網(wǎng)絡(luò)等同于毫無防護的“暴露”在互聯(lián)網(wǎng)中。 2. 公司 三臺服務(wù)器直連到路由器下面，接入到內(nèi)網(wǎng)中，很容易遭受來自 外網(wǎng)的入侵和 攻擊，導(dǎo)致服務(wù)器 文件內(nèi)容外泄和系統(tǒng) 故障，一旦這三臺服務(wù) 器出現(xiàn)故障，那么 31 處分部與總部辦公系統(tǒng)之間的信息交互就會完全斷掉，嚴重影響工作效率。 3. 對整個網(wǎng)絡(luò)內(nèi)運行的關(guān)鍵業(yè)務(wù)帶寬不能夠得到有效的保證，空有兩條 100M的帶寬，但是缺乏有效管控運用。麥迪格公司網(wǎng)絡(luò)系統(tǒng)中包含有許多關(guān)鍵業(yè)務(wù)的運行，包括 ERP、辦公應(yīng)用服務(wù)系統(tǒng)等，一旦內(nèi)部有大量的下載或者其他帶寬被占用，這樣就會導(dǎo)致關(guān)鍵應(yīng)用帶寬不能得到保證，麥迪格公司的業(yè)務(wù)不能良好運行。 總之，為了達到網(wǎng)絡(luò)安全的要求對整個網(wǎng)絡(luò)采用一些可靠的網(wǎng)絡(luò)安全技術(shù)手段和措施是非常有必要的。為了加強網(wǎng)絡(luò)安全防護措施，增強網(wǎng)絡(luò)安全防護 意識，必須對網(wǎng)絡(luò)安全建設(shè)進行統(tǒng)一規(guī)劃和建設(shè)。因此必須要配置一臺 全 新的安全設(shè)備。 本論文的 理論依據(jù) 本論文 設(shè)計過程理論依據(jù)： 《 計算機網(wǎng)絡(luò)原理 》 《 計算機系統(tǒng)結(jié)構(gòu) 》 《 操作系統(tǒng) 》 《 計算機網(wǎng)絡(luò)與通信 》 《 軟件工程 》 《互聯(lián)網(wǎng)信息服務(wù)管理辦法》 《計算機信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護管理辦法》 《互聯(lián)網(wǎng)安全保護技術(shù)措施規(guī)定》 《互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定》 《計算機信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護管理辦法》 江西師范大學(xué) 本科畢業(yè)設(shè)計（論文） 5 第二章 安全網(wǎng)關(guān)應(yīng)用的 理論研究 2． 1 完善出口安全管理 抵御 DoS\DDoS 攻擊 入 侵者可能對內(nèi)部網(wǎng)重要服務(wù)器、主機進行 DoS（拒絕服務(wù)攻擊）、 DDoS（分布式拒絕服務(wù)攻擊）攻擊，使得服務(wù)器、主機拒絕正常的服務(wù)甚至癱瘓。這種攻擊的原理是：攻擊者利用 TCP 連接時通過三次握手方式建立而進行的攻擊，入侵者向服務(wù)器發(fā)送大量