【正文】 .人民郵電出版社， ,3752. ［ 7］陳錦花 .網(wǎng)絡(luò)安全策略研究 [D].中國論文下載中心， ,6365. ［ 8］周碧英 .淺析計算機(jī)網(wǎng)絡(luò)安全技術(shù) [M].甘肅科技， ， 1819. ［ 9］方剛，江寶釧 .網(wǎng)絡(luò)安全技術(shù)與應(yīng)用 [J].月刊， ， 3738. ［ 10］孫曉南 .防火墻技術(shù)與網(wǎng)絡(luò)安全 [C].科技信息， ,199200. ［ 11］趙立志，林偉 .淺析網(wǎng)絡(luò)安全技術(shù) [EB/OL].民營科技， ， 193. ［ 12］潘號良 .面向基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全措施工探討 [J].軟件導(dǎo)刊， ,7475. ［ 13］謝希仁 .計算機(jī)網(wǎng)絡(luò)（第 4 版） [M].電子工業(yè)出版社， 20xx,45. ［ 14］申血琴，祁昌平 .局域網(wǎng)的安全控制與病毒防治策略 [D].中國論文下載中心，,18. ［ 15］郭世澤 .網(wǎng)絡(luò)安全 — 取證與密罐 [M]人民郵電出版社， ,1214. 致 謝 ： 經(jīng)過半年的忙碌和工作，本次畢業(yè)論文設(shè)計已經(jīng)接近尾聲，作為一個本科生的畢業(yè)論文，由于經(jīng)驗的匱乏，難免有許多考慮不周全的地方，如果沒有導(dǎo)師的督促指導(dǎo)，以及一起工作的同學(xué)們的支持，想要完成這個設(shè)計是難以想象的。為此網(wǎng)絡(luò)安全管理，應(yīng)從以下幾個方面著手： （ 1）提升組織的整體安全意識，加強(qiáng)信息系統(tǒng)的軟硬件建設(shè)的同時，對信息安全管理工作也不能松懈和忽視。因為許多安全問題不是因為產(chǎn)品的功能不佳造 成的。 首先我們必須明確防火墻在網(wǎng)絡(luò)中的位置。網(wǎng)絡(luò)本身就不是一種安全的信息傳輸通道，網(wǎng)絡(luò)上的任何信息都是經(jīng)過重重 節(jié)點分段傳送到目的地的。 非對稱密鑰加密技術(shù)中，加密和解密使用不同的密鑰，每個用戶有一對密鑰：公開密鑰 PK 和私人密鑰 SK， PK 可以公開， SK 由用戶自己保存。 數(shù)據(jù)加密技術(shù)就是對信息進(jìn)行重新編碼，從而隱藏信息內(nèi)容，使非法用戶無 法獲取信息的真實內(nèi)容的一種技術(shù)手段。 密碼技術(shù)可以隱藏和保護(hù)需要保密的信息，未經(jīng)授權(quán)者不允許 提取信息。最常見的是數(shù)據(jù)業(yè)務(wù)，在總部和分支機(jī)構(gòu)之間實現(xiàn)數(shù)據(jù)傳輸，如運行信息管理系統(tǒng)，架設(shè)內(nèi)部網(wǎng)站，郵件系統(tǒng)等。 （ 8） 配置總部和分支機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)，將它們的默認(rèn)網(wǎng)關(guān)設(shè)置為各自的 VPN 路由器的內(nèi)部網(wǎng)卡地址即可。 3．在 [常規(guī) ]選項卡上單擊 [入站篩選器 ]按鈕。 圖 5 圖 6 (5) 配置路由 創(chuàng)建了請求撥號接口之后，需要添加指向分支機(jī)構(gòu) A 的路由，打開 [路由和遠(yuǎn)程訪問 ]控制臺，用鼠標(biāo)右擊 [IP 路由選擇 ]，選擇 [靜態(tài)路由 ]，如圖 7 所示，為 請求撥號接口添加指向分支機(jī)構(gòu) A 的路由。 6．在 [協(xié)議及安全措施 ]對話框中，如圖 5 所示， 選中 [在此接口上路由選擇IP 數(shù)據(jù)包 ]和 [添加一個用戶賬戶使遠(yuǎn)程路由器可以接入 ]。 2．在 [接口名稱 ]對話框中，輸入連接分支機(jī)構(gòu) A 的接口名稱（以branchvpnserver 為例）。 圖 1 圖 2 圖 2 （ 3） 配置 PPTP 端口 在 [路由和遠(yuǎn)程訪問 ]控制臺中，所有端口都作為一個獨立的端口列在 [端口 ]列表中。 （ 2）啟用和配置 Windows 20xx 路由器 1 在 [常規(guī) ]選項卡，確認(rèn)選中了 [路由器 ]復(fù)選框和 [用于局域網(wǎng)和請求撥號連接 ]單選鈕，如圖 1 所示。通常連接到公網(wǎng)（寬帶城域網(wǎng)）的 IP 地址由電信運營商指定，連接到內(nèi)網(wǎng)的 IP 地址自己分配，要使用保留的內(nèi)網(wǎng)地址，可采取動態(tài)分配或指定靜態(tài)ＩＰ地址。 IPSec 基于 IP 網(wǎng)絡(luò)，安全性高，兼容性好，是網(wǎng)絡(luò)互聯(lián)的首選。使用單向初始化連接，一個 VPN 路由器是 VPN 服務(wù)器（或稱為撥入路由器、應(yīng)答路由器），另一個路由器是 VPN 客戶機(jī)（或稱為撥出路由器、呼叫路由器）， VPN 服務(wù)器只能接受隧道建立請求， VPN 客戶機(jī)只能 請求建立隧道。 VPN 架構(gòu)中采用了多種安全機(jī)制，如 隧道技術(shù)（ Tunneling ）、加解密技術(shù)（ Encryption ）、 密鑰管理技術(shù) 、 身份認(rèn)證技術(shù)（ Authentication ）等，通過上述的各項 網(wǎng)絡(luò)安全技術(shù) ，確保資料在公眾網(wǎng)絡(luò)中傳輸時不被竊取，或是即使被竊取了，對方亦無法讀取數(shù)據(jù)包內(nèi)所傳送的資料。由于代理服務(wù)器工作于 Inter 應(yīng)用層，因此對不同的 Inter 服務(wù)應(yīng)有相應(yīng)的代理服務(wù)器，常見的代理服務(wù)器有 Web、 Ftp、 Tel 代理等。應(yīng)用層網(wǎng)關(guān)位于 TCP/IP 協(xié)議的應(yīng)用層，實現(xiàn)對用戶身份的驗證，接收被保護(hù)網(wǎng)絡(luò)和外部之間的數(shù)據(jù)流并對之進(jìn)行檢查。每條包過濾的準(zhǔn)則包括兩個部分：執(zhí)行動作和選擇準(zhǔn)則，執(zhí)行動作包括拒絕和準(zhǔn)許，分別表示拒絕或者允許數(shù)據(jù)包通 行；選擇準(zhǔn)則包括數(shù)據(jù)包的源地址和目的地址、源端口和目的端口、協(xié)議和傳輸方向等。包過濾技術(shù)是在網(wǎng)絡(luò)層中對數(shù)據(jù)流中的每個數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的源地址、目標(biāo)地址、以及包所使用的端口確定是否允許該類數(shù)據(jù)包通過；狀態(tài)檢測技術(shù)采用的是一種基于連接的狀態(tài)檢測機(jī)制，將屬于同一連接的所有包作為一個整體的數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表，通過規(guī)則表與狀態(tài)表的共同配合，對表中的各個連接狀態(tài)因素加以識別，與傳統(tǒng)包過濾防火墻的靜態(tài)過濾規(guī)則表相比，它具有更好的靈活性和安全性；應(yīng)用網(wǎng)關(guān)技術(shù)在應(yīng)用層實現(xiàn)，它使用一個運行特殊的“通信數(shù)據(jù)安全檢查”軟 件的工作站來連接被保護(hù)網(wǎng)絡(luò)和其他網(wǎng)絡(luò)，其目的在于隱蔽被保護(hù)網(wǎng)絡(luò)的具體細(xì)節(jié)，保護(hù)其中的主機(jī)及其數(shù)據(jù)。我們可以通過一系列的安全技術(shù)來做到這些。因此對于數(shù)據(jù)的安全保護(hù)，理想的辦法是在內(nèi)部網(wǎng)絡(luò)中采用基于密碼技術(shù)的數(shù)字身份認(rèn)證和高強(qiáng)度的加密數(shù)據(jù)傳輸技術(shù)，同時采用安全的密鑰分發(fā)技術(shù)，這樣既防止用戶對業(yè)務(wù)的否認(rèn)和抵賴，同時又防止數(shù)據(jù)遭到竊聽后被破解，保證了數(shù)據(jù)在網(wǎng)上傳輸?shù)目煽啃?。真正的安全策略的最佳工具?yīng)包括實時審查目錄和服務(wù)器的功能，具體包括：不斷地自動監(jiān)視目錄，檢查用戶權(quán)限和用戶組帳戶有無變更；警惕地監(jiān)視服務(wù)器，檢查有無可疑的文件活動。 積極主動的安全策略把入侵檢測概念提升到了更有效、更合理的入侵者檢測(甚至是內(nèi)部入侵者 )層面。 在網(wǎng)絡(luò)安全方面系統(tǒng)內(nèi)大多企業(yè)或是根據(jù)自己對安全的認(rèn)識，或是根據(jù)國家和系統(tǒng)內(nèi)部的相關(guān)規(guī)定，購置部分網(wǎng)絡(luò)安全產(chǎn)品，如 防火墻、防病毒、入侵檢測等產(chǎn)品來配置在網(wǎng)絡(luò)上，然而這些產(chǎn)品主要是針對外部網(wǎng)絡(luò)可能遭受到安全威脅而采取的措施，在內(nèi)部網(wǎng)絡(luò)上的使用雖然針對性強(qiáng)，但往往有很大的局限性。服務(wù)器對使用者的管理也不是很嚴(yán)格，對于那些如記錄鍵盤敲擊的黑客工具比較容易得逞。由于網(wǎng)絡(luò)速度快，百兆甚至千兆的帶寬，能讓黑客工具大顯身手。也由于內(nèi)部擁有更多的應(yīng)用和不同的系統(tǒng)平臺，自然有更多的系統(tǒng)漏洞。來自內(nèi)部的數(shù)據(jù)失竊和破壞，遠(yuǎn)遠(yuǎn)高 于外部黑客的攻擊！事實上，來自內(nèi)部的攻擊更易奏效！ 4． 1 內(nèi)部網(wǎng)絡(luò)更容易受到攻擊 為什么內(nèi)部網(wǎng)絡(luò)更容易受到攻擊呢 ?主要原因如下： (1)信息網(wǎng)絡(luò)技術(shù)的應(yīng)用正日益普及，應(yīng)用層次正在深入，應(yīng)用領(lǐng)域從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展。 4 局域網(wǎng)安全危險分析 局域網(wǎng)是指在小范圍內(nèi)由服務(wù)器和多臺電腦組成的工作組互聯(lián)網(wǎng)絡(luò)。 （ 2） 用戶級別的劃分，將可進(jìn)入到設(shè)備的管理用戶分為多個級別，對不同級別的用戶具有不同的訪問權(quán)限。使用人員在使用時，要嚴(yán)格按照使用操作程序進(jìn)行。 3． 5 應(yīng)用安全 應(yīng)用安全問題通常是指主機(jī)上所安裝的應(yīng)用軟件的安全問題以及使用人員的人為因素造成的安全問題 。在網(wǎng)絡(luò)服務(wù)中，網(wǎng)絡(luò)操作系統(tǒng)起著非常重要的組織作用，所以操作系統(tǒng)的安全關(guān)系到網(wǎng)絡(luò)的整體性能。帶寬攻擊指以極大的通信量沖擊網(wǎng)絡(luò)，使得所有可用網(wǎng)絡(luò)資源都被消耗殆盡，最后導(dǎo)致合法的用戶請求就無法通過。它主要有以下幾種形式：假冒、身份攻擊、非法用戶進(jìn)入網(wǎng)絡(luò)系統(tǒng)進(jìn)行違法操作、合法用戶以未授權(quán)方式進(jìn)行操作等。 3． 3 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)的安全是指通過采用各種技術(shù)和管理措施，使網(wǎng)絡(luò)系統(tǒng)正常運行，從而確保網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性。 （ 4）硬件故障。局域網(wǎng)物理安全主要包括因為服務(wù)器、網(wǎng)絡(luò)設(shè)備硬件、線路和信息存儲設(shè)備等物理介質(zhì)造成的信息泄露、丟失或服務(wù)中斷。相反來自網(wǎng)絡(luò)內(nèi)部的計算機(jī)客戶端的安全威脅缺乏必要的安全管理措施，安全威脅較大。只是無線局域網(wǎng)采用的傳輸介質(zhì)不是雙絞線或者光纖，而是紅外或者無線電波，且以后者使用較多。之所以還稱是局域網(wǎng)，是因為會受到無線連接設(shè)備與電腦之間距離的遠(yuǎn)近限制而影 響傳輸范圍，所以必須要在區(qū)域范圍之內(nèi)才可以連上網(wǎng)絡(luò)。 （ 2） 可以控制廣播活動 。 VLAN 是一種將局域網(wǎng)設(shè)備從邏輯上劃分成一個個 網(wǎng)段 ，從而實現(xiàn)虛擬工作組的新興 數(shù)據(jù)交換技術(shù) 。 2． 3 常見的幾種局域網(wǎng)類型 隨著計算機(jī)網(wǎng)絡(luò)與通信技術(shù)的高速發(fā)展，局域網(wǎng)技術(shù)也在不停的發(fā)展，不斷地更新?lián)Q代，我們常見的局域網(wǎng)類型主要有以下幾種： 2． 3． 1 傳統(tǒng)以太網(wǎng) 傳統(tǒng)以太網(wǎng)分類見下表 1 傳統(tǒng)以太網(wǎng)分類圖 表 1 傳統(tǒng)以太網(wǎng)分類圖 傳統(tǒng)以太網(wǎng)分類 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 傳輸介質(zhì) 介質(zhì)訪問控制協(xié)議 信息編碼 傳輸速率 最大網(wǎng)段長度 標(biāo)準(zhǔn)以太網(wǎng) 總線型 50Ω的粗同軸電纜 RG11或 RG8 CSMA/CD 曼切斯特編碼 10Mbit/s 500M 細(xì)纜以太網(wǎng) 總線型 50Ω的粗同軸電纜RG58A/U 10Mbit/s 185M 雙絞線以太網(wǎng) 星型 非屏蔽雙絞線，線直徑46mm，阻抗100Ω 10100Mbit/s 100M 2． 3． 2 高速局域網(wǎng) 隨著個人計算機(jī)處理能力的增強(qiáng)，