【正文】 戶權(quán)限不一樣所以有限制的訪問系統(tǒng) 資源。 網(wǎng)絡(luò)防護(hù) 由于以上內(nèi)外部網(wǎng)絡(luò)安全問題的存在，我們 需要通過增加安全模塊、制定安全規(guī)則及安全政策 等等來規(guī)范使用和應(yīng)對干擾。而一些內(nèi)部人員出于好奇心或者惡意破壞的目的，在計(jì)算機(jī)上安裝使用一些黑客軟件，從內(nèi)部發(fā)起攻擊。然而在建立內(nèi)網(wǎng)時(shí)候我們通常會(huì)遇到如下問題： 非法 另辟 外聯(lián)問題 網(wǎng)絡(luò)中， 之所以有內(nèi)外網(wǎng)絡(luò)之分，是因?yàn)樵诔鋈肟谖覀兗訌?qiáng)了戒備從而保證內(nèi)部網(wǎng)絡(luò)的安全。 其他原因 硬件驅(qū)動(dòng)不完善、硬件器材自身的損耗以及電磁輻射等原因造成的硬件系統(tǒng)的不可用和功能故障。 網(wǎng)絡(luò)安全的 外部問題 人為物理 攻擊 物理攻擊，即人為的竊取、破壞網(wǎng)絡(luò)線路或關(guān)鍵服務(wù)器。 （ 6）在 “FTP 站點(diǎn) ”的標(biāo)簽處設(shè)置 FTP 標(biāo)識，包括說明、 IP 地址和端口。默認(rèn)情況下，此處的文件夾位置為 “C:\Ipub\Ftproot”。 （ 1）啟 動(dòng) IIS，并啟動(dòng) IIS 上的 FTP 服務(wù)。選中左欄中 POP3 服務(wù)后，點(diǎn)擊右欄中的 “新域 ”，彈出 “添加域 ”對話框，接著在 “域名 ”欄中輸入郵件服務(wù)器的域名。在轉(zhuǎn)發(fā)器中配置 IP 地址為 ISP 的 DNS 服務(wù)器的地址。 （ 5）為了便于訪問還應(yīng)設(shè)置默認(rèn)文檔（ 、 ）。接著設(shè)置 Web 服務(wù)器，具體做法為 : （ 1）在 “控制面板 ”中選擇 “管理工具 →Inter 信息服務(wù)（ IIS）管理器 ”。 以下為幾個(gè)常用配置命令： （ 1） 使用有效權(quán)限登陸配置端口 sensor configure terminal、 sensor（ config） service interface （ 2）顯示有效端口 sensor（ configint） physicalinterfaces GigabitEther0/0 GigabitEther0/0 physical interfaceGigabitEther0/1 GigabitEther0/1 physical 14 interface、 GigabitEther0/2 GigabitEther0/2 physical interface。 CISCO Secure IDS4235 傳感器能夠通過實(shí)時(shí)分析流量檢測出網(wǎng)絡(luò)上的非法活動(dòng)，如黑客攻擊。 CATALYST 3548XL 支持 FEC（ FAST ETHERNET CHANNEL）技術(shù)、 ISL（ INTER SWITCH LINK）技術(shù)。 以上配置提供了電源的冗余，充分保證中心交換機(jī)的高可用性。 Cisc o Catalyst 6500 系列交換機(jī)提供 3 插槽、 6 插槽、 9 插槽和 13 插槽的機(jī)箱，以及多種集成式服務(wù)模塊，包括數(shù)千兆位網(wǎng)絡(luò)安全性、內(nèi)容交換、語音和網(wǎng)絡(luò)分析模塊。這樣就可以對整個(gè)內(nèi)部網(wǎng)進(jìn)行有效的保護(hù)，防止外部的非法攻擊。 CISCO 2811 提供了 2 個(gè) 10Mbps/100Mbps 端口，它能以線速為多條 T1/E1/xDSL 連接提供多種高質(zhì)量并發(fā)服務(wù)。 PIX 防火墻配置： ip address outside ip address inside global 1 . nat 1 static conduit 514 udp mailhost tel syslog facility syslog host 路由器 產(chǎn)品概述 為保證 Inter 連接的可靠性和將來的流量 擴(kuò)展，選用高性能的 CISC0 2811 路由器作為 Inter 接入服務(wù)平臺。 配置過程 基本配置策略 : 1）對外的 IP地址只有一個(gè)，即防火墻的 IP 地址，對內(nèi)部網(wǎng)絡(luò)的訪問，都通過防火墻的 IP地址轉(zhuǎn)換（ NAT）； 2）內(nèi)部網(wǎng)絡(luò)使用保留的 IP 地址 。而專用的 Cisco Secure PIX 防 火墻是為了實(shí)現(xiàn)安全、高性能的保護(hù)而專門設(shè)計(jì)。 CISCO提供防火墻運(yùn)行自己定制的操作系統(tǒng)，事實(shí)證明，它可以有效地防止非法攻擊。 通過設(shè)置 PIX 把真實(shí) IP 綁定到防火墻的外網(wǎng)接口，并在 PTX 上定義好 NAT 規(guī)則，這樣，所有目的 IP為 和 的數(shù)據(jù)包都將分別被轉(zhuǎn)發(fā)給 和 ；而所有來自 和 的數(shù)據(jù)包都將分別被偽裝成 202. 和 . ，從而也就實(shí)現(xiàn)了 IP 映射。 外部網(wǎng)絡(luò) IP 地址分配 Web 服務(wù)器、電子郵件服務(wù)器都需要與外圍網(wǎng)絡(luò)通訊，需要申請一定數(shù)量的 Inter IP 地址，并綁定在在防火墻的外部網(wǎng)卡上，然后通過 IP 映射，使發(fā)給其中某一個(gè) IP 地址的包轉(zhuǎn)發(fā)至 Web 服務(wù)器上，然后再將該 Web 服務(wù)器響應(yīng)包偽裝成該合法 IP 發(fā)出的包。分配原則：把 （ x=1… 254）稱作一個(gè)二級子網(wǎng)（ VLAN），分別分給財(cái)務(wù)部、市場部、研發(fā)部等部門的網(wǎng)段可以是其中的任意三個(gè)，如： ， ， ，子網(wǎng)掩碼為 。 內(nèi)部網(wǎng)絡(luò) IP 地址分配 內(nèi)部網(wǎng)部分可以使用保留地址。為了克服這個(gè)缺點(diǎn)，需要將經(jīng)常進(jìn)行通信的計(jì)算機(jī)組成一個(gè)子網(wǎng)，使大量的內(nèi)部數(shù)據(jù)局限在子網(wǎng)內(nèi)傳播，然后將各個(gè)子網(wǎng)連接在一起，形成局域網(wǎng)。 客戶機(jī) /服務(wù)器（ C/S）網(wǎng)有著突出的優(yōu)點(diǎn)：網(wǎng)絡(luò)系統(tǒng)穩(wěn)定，信息管理安全，網(wǎng)絡(luò)用戶擴(kuò)展方便，易于升級。在實(shí)現(xiàn)上分步實(shí)施，漸進(jìn)獲取 。 3 網(wǎng)絡(luò)安全的方案設(shè)計(jì) 總體設(shè)計(jì)方案 企業(yè)網(wǎng)絡(luò)建設(shè)的基本目標(biāo)就是在網(wǎng)絡(luò)中心和各部門的局域網(wǎng)建設(shè)、及其廣域網(wǎng)互聯(lián)的基礎(chǔ)上，將互聯(lián)網(wǎng)技術(shù)引入企業(yè)內(nèi)部網(wǎng)，從而建立起統(tǒng)一、快捷、高效的內(nèi)部網(wǎng)絡(luò)系統(tǒng)。 在方案設(shè)計(jì)中，既考慮信息資源的充分共享，更要注意信息的保護(hù)和隔離，因此方案應(yīng)分別針對不同的應(yīng)用和不同的網(wǎng)絡(luò)通信環(huán)境，采取不同的措施，包括系統(tǒng)安全機(jī)制、數(shù)據(jù)存取的權(quán)限控制等。只有采用當(dāng)前符合國際標(biāo)準(zhǔn)的成熟先進(jìn)的技術(shù)和設(shè)備，才能確保網(wǎng) 絡(luò)絡(luò)能夠適應(yīng)將來網(wǎng)絡(luò)技術(shù)發(fā)展的需要，保證在未來幾年內(nèi)占主導(dǎo)地位。 方案設(shè)計(jì)應(yīng)始終貫徹面向應(yīng)用，注重實(shí)效的方針，堅(jiān)持實(shí)用、經(jīng)濟(jì)的原則，建設(shè)企業(yè)的網(wǎng)絡(luò)系統(tǒng)。當(dāng)系統(tǒng)自身的情況發(fā)生變化時(shí)，必須注意及時(shí)修改相應(yīng)的安全策略。 (2)除那些被明確允許之外，一切都被禁止。同時(shí)在內(nèi)部不同部門之間，利用 VLAN 技術(shù)，劃分虛擬局域網(wǎng)，實(shí)現(xiàn)內(nèi)部各個(gè)部門的隔離。 從技術(shù)角度看，網(wǎng)絡(luò)安全的內(nèi)容大體包括 4 個(gè)方面： 7 由此可見，計(jì)算機(jī)網(wǎng)絡(luò)安全不僅要保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全，還要保護(hù)數(shù)據(jù)安全等。 (3) 保密性是指網(wǎng)絡(luò)信息不被泄露的特性?？梢娊踩木W(wǎng)絡(luò)系統(tǒng)要解決的根本問題是如何在保證網(wǎng)絡(luò)的連通性、可用性的同時(shí)對網(wǎng)絡(luò) 服務(wù)的種類、范圍等行使適當(dāng)程度的控制以保障系統(tǒng)的可用性和信息的完整性不受影響 [2]。不正當(dāng)行為是指用戶雖經(jīng)授權(quán)，但對授權(quán)數(shù)據(jù)和資源的使用不合法或?yàn)E用授權(quán)。計(jì)算機(jī)網(wǎng)絡(luò)改變著人們賴以行動(dòng)的社會(huì)信息結(jié)構(gòu)，改變著人們獲取利用信息的方式，從而引起人類生活方式的全面改觀。網(wǎng)絡(luò)安全的意義，就在于資料、信賴關(guān)系和網(wǎng)絡(luò)的傳輸能力與端系統(tǒng)的處理能力三個(gè)要素的保護(hù)，保證這三者能為所適合的用戶服務(wù)。制訂有關(guān)網(wǎng)絡(luò)操作使用 規(guī)程和出入機(jī)房管理制度 。網(wǎng)絡(luò)安全管理是防止來自內(nèi)部網(wǎng)絡(luò)入侵的必須部分，管理上混亂、責(zé)權(quán)不明、安全管理制度缺乏可操作性及不健全等都可能引起管理安全的風(fēng)險(xiǎn)。管理方面的安全隱患包括：內(nèi)部管理人員或師生為了方便省事，設(shè)置的口令過短和過于簡單，甚至不設(shè)置用戶口令，導(dǎo)致很容易破解。而現(xiàn)代的病毒傳播手段主要是通過網(wǎng)絡(luò)實(shí)現(xiàn)的，一臺客戶機(jī)被病毒感染，迅速通過網(wǎng)絡(luò)傳染到同一網(wǎng)絡(luò)的上百臺機(jī)器。如果沒有專門的軟件或硬件對數(shù)據(jù)進(jìn)行控制，所有的通信都將不受限制地進(jìn)行傳輸，因此任何一個(gè)對通信進(jìn)行監(jiān)測的人都可以對通信數(shù)據(jù)進(jìn)行截取。使得這些設(shè)備的自身安全性也會(huì)直接關(guān)系的學(xué)校業(yè)務(wù)系統(tǒng)和各種網(wǎng)絡(luò)應(yīng)用的正常運(yùn)轉(zhuǎn)。一旦被利用并攻擊，將帶來不可估量的損失。同時(shí)病毒也是系統(tǒng)安全的主要威脅，所有這些都造成了系統(tǒng)安全的脆弱性。針對中小型公司物理層安全是指由于網(wǎng)絡(luò)系統(tǒng)中大量地使用了網(wǎng)絡(luò)設(shè)備如移動(dòng)設(shè)備、服務(wù)器如 PC 服務(wù)器、交換機(jī)，那么這些設(shè)備的自身安全性 也會(huì)直接影響信息系統(tǒng)和各種網(wǎng)絡(luò)應(yīng)用的正常運(yùn)轉(zhuǎn)。一般的物理安全風(fēng)險(xiǎn)主要有： 電以至操作系統(tǒng)引導(dǎo)失敗或數(shù)據(jù)庫信息丟失。同時(shí)，在所有通信過程中應(yīng)當(dāng)保證客戶端與服務(wù)器端，以及內(nèi)部和外部和內(nèi)部與內(nèi)部的所有通信是安全的和透明的。 絡(luò)現(xiàn)狀、中小型公司的需求、網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)分析及網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)目標(biāo)和總體規(guī)劃，設(shè)計(jì)了中小型網(wǎng) 絡(luò)安全系統(tǒng)方案，運(yùn)用先進(jìn)的網(wǎng)絡(luò)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品對方案進(jìn)行了實(shí)現(xiàn)，探討了今后網(wǎng)絡(luò)安全系統(tǒng)的發(fā)展方向。 1 制作： 學(xué)號 姓名 學(xué)號 姓名 學(xué)號 姓名 指導(dǎo)教師： 完成日期： 2 目錄 1 系統(tǒng)需求分析 ....................................................................................................................................... 4 企業(yè)需求 ..................................................................................................................................... 4 網(wǎng)絡(luò)實(shí)現(xiàn) 功能 .............................................................................................................................. 4 網(wǎng)絡(luò)系統(tǒng)安全分析 ...................................................................................................................... 4 物理層安全風(fēng)險(xiǎn) ................................................................................................................ 4 系統(tǒng)層安全風(fēng)險(xiǎn) ................................................................................................................ 5 網(wǎng)絡(luò)層安全風(fēng)險(xiǎn) ................................................................................................................ 5 數(shù)據(jù)傳輸?shù)陌踩L(fēng)險(xiǎn) ......................................................................................................... 5 病毒的安全風(fēng)險(xiǎn) ................................................................................................................ 5 管理的安全風(fēng)險(xiǎn) ...................................................................................