【正文】 實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)安全： 1. 整合網(wǎng)絡(luò)安全解決方案可以將 IT 人員重新分配到其它更具戰(zhàn)略性的項(xiàng)目中，從而使常常負(fù)擔(dān)過重的 IT 部門的效率達(dá)到最高，從而從整體上提高 了計(jì)算機(jī)網(wǎng)絡(luò)安全的可管理性。 本文主要工作 整合網(wǎng)絡(luò)安全解決方案結(jié)合了多個(gè)網(wǎng)絡(luò)安全功能，可以更有效地防范每一層上的各種威脅，從而將計(jì)算機(jī)網(wǎng)絡(luò)攻擊的威脅降至最小。最終使其企業(yè)網(wǎng)絡(luò)安全系統(tǒng)具有通過過濾傳入和傳出網(wǎng)絡(luò)（或 局部網(wǎng)絡(luò)）的信息來控制所有的網(wǎng)絡(luò)通信，有助于確保沒有對(duì)計(jì)算機(jī)和 /或網(wǎng)絡(luò)發(fā)生未 授權(quán)訪問；檢測(cè)未授權(quán)的訪問，并提供可用于進(jìn)行模式和規(guī)劃分析的告警和報(bào)告；識(shí)別并消除不需要的業(yè)務(wù)流；確保企業(yè)范圍之外的連接安全，使企業(yè)可以安全地 與 Inter 上的其他網(wǎng)絡(luò)通信；通過揭示安全漏洞并提供改進(jìn)建議來評(píng)估網(wǎng)絡(luò)安全狀況；防護(hù)病毒、蠕蟲和特洛伊木馬等，這些功能的實(shí)現(xiàn)，為中小企業(yè)網(wǎng)絡(luò) 某企業(yè)防火墻技術(shù)分析與應(yīng)用部署設(shè)計(jì)與實(shí)施 11 安全的構(gòu)建起到全面的防護(hù)措施，同時(shí)也極大降低復(fù)雜性和成本。 第四章為 杭州數(shù)媒企訓(xùn)科技有限公司 整合式網(wǎng)絡(luò)安全解決方案，結(jié)合該公司的網(wǎng)絡(luò)安全現(xiàn)狀和需求，制定了整合式的網(wǎng)絡(luò)安全解 決方案，從防火墻、 VPN 和其 他輔助安全系統(tǒng)進(jìn)行了整合說明。隨著計(jì)算機(jī)技術(shù)的高速發(fā)展，黑客對(duì)網(wǎng)絡(luò)攻擊和入侵的手段和方法也不斷更新。 “后門”入侵 : 前面提到過許多軟件系統(tǒng)都有這樣那樣的安全漏洞 (Bugs)，其中某些是操作系統(tǒng)或應(yīng)用軟件本身具有的。在這其中利用緩沖區(qū)溢出進(jìn)行的攻擊最為普遍，據(jù)權(quán)威組織統(tǒng)計(jì) 80％以上成功的攻擊都是利用了緩沖區(qū)溢出漏洞來獲得非法權(quán)限的。 用戶帳號(hào)和口令具有一定的局限性，但監(jiān)聽者往往能夠獲得其所在網(wǎng)段的所有用戶帳號(hào)及口令。攻擊者進(jìn)行拒絕服務(wù)攻擊，實(shí)際上讓服務(wù)器實(shí)現(xiàn)兩種效果：一是迫使服務(wù)器的緩沖區(qū)滿，不接收新的請(qǐng)求；二是使用 IP 欺騙，迫使服務(wù)器把合法用戶的連接復(fù)位，影響合法 用戶的連接。攻擊者要通過木馬攻擊你的系統(tǒng)，他所做的第一步是要把木馬的服務(wù)器端程序植入到你的電腦里面。病毒發(fā)作時(shí)，能耗盡某企業(yè)防火墻技術(shù)分析與應(yīng)用部署設(shè)計(jì)與實(shí)施 16 系統(tǒng)資源，造成系統(tǒng)死機(jī)或拒絕服務(wù)。 商務(wù)運(yùn)作中斷：由于攻擊造成的停工會(huì)導(dǎo)致生產(chǎn)率降低和收入損失，而與恢復(fù)受攻擊的網(wǎng)絡(luò)相關(guān)的花費(fèi)又會(huì)增加處理攻擊事件的總體財(cái)務(wù)成本。 要求遵守隱私和安全性法規(guī)的企業(yè)（如衛(wèi)生保健企業(yè)和金融機(jī)構(gòu)）可能需要證明其為將網(wǎng)絡(luò)攻擊的威脅降至最小而付出的艱辛努力。 品牌資產(chǎn)被損害：對(duì)企業(yè)品牌的損害可能會(huì)有多種形式，但每種形式都會(huì)降低企業(yè)在市場(chǎng)中的地位。杜絕最常用的攻擊手段成功攻破系統(tǒng)的安全性是安全機(jī)制和安全服務(wù)設(shè)計(jì)的最初動(dòng)力，但是換個(gè)角度來看，實(shí)質(zhì)上是為了確保整個(gè)系統(tǒng)的安全性能，將 安全最低點(diǎn)系數(shù)增加。關(guān)于安全恢復(fù)機(jī)制的作用，顧名思義就是對(duì)已經(jīng)出現(xiàn)的攻擊行為進(jìn)行挽救，及時(shí)應(yīng)急處理和盡快、及時(shí)對(duì)損失破壞的信息進(jìn)行恢復(fù)，以阻止進(jìn)一步的損害。 5．技術(shù)與管理相結(jié)合原則 各種安全技術(shù)要與運(yùn)行管理機(jī)制相結(jié)合起來，相互促進(jìn)，同時(shí)，還可以開展一些人員思想教育與技術(shù)培訓(xùn)的活動(dòng)，將安全規(guī)章制度真正落實(shí)。 某企業(yè)防火墻技術(shù)分析與應(yīng)用部署設(shè)計(jì)與實(shí)施 21 8．動(dòng)態(tài)發(fā)展原則 采用安全措施就是為了維護(hù)網(wǎng)絡(luò)安全，所以當(dāng)網(wǎng)絡(luò)環(huán)境發(fā)生變動(dòng)，網(wǎng)絡(luò)安全需求也會(huì)發(fā)生變化，為了適應(yīng)新的網(wǎng)絡(luò)環(huán)境，必須要調(diào)整新的安全策略，因此，安全措施并不是保持一成不變的，是處于動(dòng)態(tài)變化中的。為了系統(tǒng)、科學(xué)地分析網(wǎng)絡(luò)安全系統(tǒng)涉及的各種安全問題，網(wǎng)絡(luò)安全技術(shù)專家們提出了三維安全體系結(jié)構(gòu)，并在其基礎(chǔ)上抽象地總結(jié)了能夠指導(dǎo)安全系統(tǒng)總體設(shè)計(jì)的三維安全體系（見圖 11），它反映了信息系統(tǒng)安全需求和體系結(jié)構(gòu)的共性。與 TCP/IP 層次對(duì)應(yīng)，可以把會(huì)話層、表示、應(yīng)用層統(tǒng)一為“應(yīng)用層”。 某企業(yè)防火墻技術(shù)分析與應(yīng)用部署設(shè)計(jì)與實(shí)施 24 企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全體系實(shí)現(xiàn) 1. 技術(shù)實(shí)現(xiàn) (l)防火墻：防火墻 (Firewall)是內(nèi)部網(wǎng)與外部網(wǎng)之間的“門戶”， 對(duì)防火墻明確定義來自 ATamp。內(nèi)部用戶偷竊數(shù)據(jù)，破壞硬件和軟件，并且巧妙地修改程序而不接近防火墻。 不能防備全部的威脅：防火墻被用來防備已知的威脅，如果是一個(gè)很好的防火墻設(shè)計(jì)方案，可以防備新的威脅，但沒有一個(gè)防火墻能自動(dòng)防御所有的新的威脅。假如防火墻是一幢大樓的門衛(wèi)，那么 IDS 就是這幢大樓里的監(jiān)視系統(tǒng)。 (3)安全掃描技術(shù)：主要分為兩類，主機(jī)安全掃描技術(shù)某企業(yè)防火墻技術(shù)分析與應(yīng)用部署設(shè)計(jì)與實(shí)施 26 和網(wǎng)絡(luò)安全掃描技術(shù)。通過對(duì)網(wǎng)絡(luò)的掃描，網(wǎng)絡(luò)管理員可以了解網(wǎng)絡(luò)的安全配置和運(yùn)行的應(yīng)用服務(wù)，及時(shí)發(fā)現(xiàn)安全漏洞，客觀評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn)等級(jí)。這些工具不僅在網(wǎng)絡(luò)規(guī)劃前期有用，而且可以深入查看網(wǎng)絡(luò)中哪些服務(wù)在運(yùn)行并發(fā)現(xiàn)已知和潛在的漏洞。其目的很明確，就是使網(wǎng)絡(luò)中的資源得到更加有效的利用。對(duì)妨礙系統(tǒng)運(yùn)行的明顯企圖及時(shí)報(bào)告給安全控制臺(tái)，及時(shí)采取措施。 某企業(yè)防火墻技術(shù)分析與應(yīng)用部署設(shè)計(jì)與實(shí)施 28 2. 安全管理體系 單純依靠網(wǎng)絡(luò)安全技術(shù)的革新，不可能完全解決網(wǎng)絡(luò)安全的隱患，想從根本上克服網(wǎng)絡(luò)安全問題，網(wǎng)絡(luò)安全的任何一項(xiàng)工作，都必須在網(wǎng)絡(luò)安全策略、網(wǎng)絡(luò)安全組織、網(wǎng)絡(luò)安全技術(shù)、網(wǎng)絡(luò)安全運(yùn)行體系的綜合作用下才能取得成效。安全運(yùn)作體系包括安全管理和技術(shù)實(shí)施的操作規(guī)程，實(shí)施手段和考核辦法。防火墻技術(shù)主要是起到隔離控制作用，因此，在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間都可以安裝防火墻來作為信息的出入口，網(wǎng)絡(luò)的信息流能夠被掌控。 防火墻的優(yōu)點(diǎn) 1. 防火墻能強(qiáng)化安全策略 Inter 就是給很多人方便，所以的信息都可以被大家一起共享， 在方便的同時(shí)也是給了那些品德不良的人“作案”的機(jī)會(huì)，然而，防火墻在這個(gè)網(wǎng)絡(luò)安全系統(tǒng)中就扮演著“交通警察”的角色，對(duì)網(wǎng)絡(luò)系統(tǒng)中各某企業(yè)防火墻技術(shù)分析與應(yīng)用部署設(shè)計(jì)與實(shí)施 31 個(gè)站點(diǎn)的訪問權(quán)限都有其相應(yīng)的要求，通過這種安全策略加強(qiáng)系統(tǒng)的安全性。 4. 防火墻是一個(gè)安全策略的檢查站 任何的信息在傳送，保持的過程中，都需要經(jīng)過防火墻進(jìn)行檢查的，安全系統(tǒng)中作為檢查點(diǎn)的防火墻為網(wǎng)絡(luò)的安全性發(fā)揮著重要的作用。 為了增強(qiáng)網(wǎng)絡(luò)系統(tǒng)的安全性，可以應(yīng)用加密技術(shù)作為另一種途徑，加密技術(shù)主要是從網(wǎng)絡(luò)自身的安全焦點(diǎn)來思考的，通過對(duì)所有重要信息進(jìn)行秘密設(shè)置來保證其安全。在虛擬某企業(yè)防火墻技術(shù)分析與應(yīng)用部署設(shè)計(jì)與實(shí)施 33 專用網(wǎng)中的主機(jī)將不會(huì)覺察到公共網(wǎng)絡(luò)的存在，仿佛所有的主機(jī)都處于一個(gè)內(nèi)部網(wǎng)絡(luò)中一樣。遠(yuǎn)程訪問 VPN 主要是連接移動(dòng) 用戶（ Mobile User）及沒有固定地點(diǎn)的公某企業(yè)防火墻技術(shù)分析與應(yīng)用部署設(shè)計(jì)與實(shí)施 34 司辦事處，通過撥號(hào)上網(wǎng)來存取企業(yè)網(wǎng)絡(luò)資源。通過 VPN 所必需的已驗(yàn)證的訪問、加密和用戶數(shù)據(jù)壓縮，可以確保安全地訪問專用數(shù)據(jù)。 (3)IP 地址安全 VPN 經(jīng)過加密技術(shù)處理后，在 Inter 傳送的 VPN 數(shù)據(jù)才能確保其安全，公共的 IP 地址并不會(huì)影響網(wǎng)絡(luò)的安全性，因而只要是 Inter 上的用戶均能查詢得到，但是數(shù)據(jù)包內(nèi)包含的專用網(wǎng)絡(luò)地址是無法被用戶獲悉的。因此，現(xiàn)代網(wǎng)絡(luò)系統(tǒng)基礎(chǔ)設(shè)施的重要部分就該屬于防火墻系統(tǒng)和 VPN 應(yīng)用系統(tǒng)，在企業(yè)網(wǎng)絡(luò)安全系統(tǒng)第一階段就是要確保這兩項(xiàng)工作做好。因此，只要安裝防火墻之后作用才能被體現(xiàn)；另一方面，具體應(yīng)用的訪問控制才是動(dòng)態(tài)認(rèn)證系統(tǒng)的目標(biāo)，應(yīng)用系統(tǒng)的要求發(fā)生改變，那么將直接影響系統(tǒng)的實(shí)施范圍和規(guī)模大小的。 安全掃描技術(shù)：幫助網(wǎng)絡(luò)管理員了解網(wǎng)絡(luò)的安全配置和運(yùn)行的應(yīng)用服務(wù)，及時(shí)發(fā)現(xiàn)安全漏洞，客觀評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn)等級(jí)。 Intrusion Detection Systems 能趕在入侵攻擊對(duì)目標(biāo)系統(tǒng)產(chǎn)生有效危害之前，檢測(cè)到入侵攻擊，及時(shí)報(bào)警并進(jìn)行抵御、驅(qū)逐。 Intrusion Detection Systems 在計(jì)算機(jī)網(wǎng)絡(luò)中的位置一般選擇在： （ 1）盡可能靠近攻擊源 （ 2）盡可能靠近受保護(hù)資源 這些位置通常是：計(jì)算機(jī)服務(wù)器區(qū)域的交換機(jī)上；因特網(wǎng)接入路由器之后的第一臺(tái)交換機(jī)上；重點(diǎn)受保護(hù)網(wǎng)段的局域網(wǎng)的交換機(jī)上，入侵檢測(cè)系統(tǒng)的部署方 式如圖 47 所示： 入侵檢測(cè)系統(tǒng)部署圖 某企業(yè)防火墻技術(shù)分析與應(yīng)用部署設(shè)計(jì)與實(shí)施 39 根據(jù)企業(yè)內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，在計(jì)算機(jī)網(wǎng)絡(luò)的 key point 設(shè)置 Intrusion Detection Systems。目前，在應(yīng)用層一些入侵檢測(cè)方法已經(jīng)在入侵檢測(cè)系統(tǒng)中發(fā)揮著實(shí)際性的作用。計(jì)算機(jī)網(wǎng)絡(luò)管理員還可以根據(jù)安全掃描的結(jié)果來更正系統(tǒng)中的錯(cuò)誤配置和計(jì)算機(jī)網(wǎng)絡(luò)的安全漏洞，得以在黑客進(jìn)行攻擊前進(jìn)行防范。 online 評(píng)估安全掃描系統(tǒng)能夠借在中心交換機(jī)上的每個(gè)端口上，這樣就可以掃描計(jì)算機(jī)網(wǎng)絡(luò)中可以到達(dá)的任意計(jì)算機(jī)網(wǎng)絡(luò)節(jié)點(diǎn)的設(shè)備。 3. 計(jì)算機(jī)機(jī)房的安全技術(shù)管理 計(jì)算機(jī)機(jī)房的安全保衛(wèi)技術(shù)是機(jī)房安全技術(shù)的重要組成部分，主要的安全技術(shù)措施是：報(bào)警、防盜、實(shí)時(shí)監(jiān)控等。 對(duì)計(jì)算機(jī)機(jī)房的安全管理有以下幾方面的要求： （ a）電梯和樓梯不能直接進(jìn)入機(jī)房； （ b）計(jì)算機(jī)機(jī)房所在建筑物應(yīng)有足夠的照明設(shè)施和防止非法進(jìn)入的安全設(shè)施； （ c）計(jì)算機(jī)機(jī)房所在建筑物外部容易接近的進(jìn)出口應(yīng)有防盜柵欄和監(jiān)控措施，周邊應(yīng)有屏障和監(jiān)視系統(tǒng)； （ d）計(jì)算機(jī)機(jī)房?jī)?nèi)須設(shè)應(yīng)急電話； （ e）計(jì)算機(jī)機(jī)房供電系統(tǒng)要將照明用電系統(tǒng)和計(jì)算機(jī)供電系統(tǒng)分開； （ f）計(jì)算機(jī)機(jī)房 250m 內(nèi)不應(yīng)有其他危險(xiǎn)建筑物； （ g）計(jì)算機(jī)機(jī)房門和窗須具備優(yōu)秀的防盜性能。將通信電纜封閉在塑管中，并在計(jì)算機(jī)通信電纜兩端充氣加大壓力。 ① 計(jì)算機(jī)硬件設(shè)備的維護(hù)和管理 。 本章小結(jié) 本章詳細(xì)敘述了企業(yè)網(wǎng)絡(luò)攻擊的入侵方式和種類，如口令入侵；利用軟件系統(tǒng)的漏洞“后門”入侵網(wǎng)絡(luò)監(jiān)聽；拒絕服務(wù)攻擊；偽裝 IP 攻擊；特洛伊木馬；計(jì)算機(jī)病毒；蠕蟲程序，同時(shí)詳細(xì)介紹了防止網(wǎng)絡(luò)攻擊的技術(shù)實(shí)現(xiàn)方式，如防火墻； )入侵檢測(cè)系統(tǒng)；安全掃描技術(shù)；安全漏洞評(píng)估工具；網(wǎng)絡(luò)管理技術(shù)；多層次的、立體的病毒防護(hù)體系；安全審計(jì)；線路數(shù)據(jù) 加密。 企業(yè)網(wǎng)絡(luò)目前的應(yīng)用系統(tǒng)結(jié)構(gòu)是 C/S 和 B/S 兩種應(yīng)用結(jié)構(gòu)的混合形式，主要的業(yè)務(wù)應(yīng)用系統(tǒng)現(xiàn)在是分布式的 C/S 結(jié)構(gòu)。 公司網(wǎng)絡(luò)安全現(xiàn)狀分析 VLAN 技術(shù)能有效隔離局域網(wǎng)，防止網(wǎng)內(nèi)的攻擊，所以杭州數(shù)媒企訓(xùn)科技有限公司網(wǎng)絡(luò)中按部門進(jìn)行了 VLAN 劃分，劃分為以下兩個(gè) VLAN： 財(cái)務(wù)部門 VLAN 10 交換機(jī) S1 接入交換機(jī)（神州數(shù)碼 DCS3950） 業(yè)務(wù)部門 VLAN 20 交換機(jī) S2 接入交換機(jī)（神州數(shù)碼 DCS3950） 核心交換機(jī) VLAN 間路由 核心交換機(jī) S3（神州數(shù)碼 DCRS5526） S1 配置如下 : switch switchena switchcon switch(Config)vlan 10 switch(ConfigVlan10)sw int e 0/0/120 switch(ConfigVlan10)exit 某企業(yè)防火墻技術(shù)分析與應(yīng)用部署設(shè)計(jì)與實(shí)施 46 switch(Config)exit switchcon switch(Config)int e 0/0/24 switch(ConfigEther0/0/24)sw m t Set the port Ether0/0/24 mode TRUNK successfully switch(ConfigEther0/0/24)sw t a v a set the port Ether0/0/24 allowed vlan successfully switch(ConfigEther0/0/24)exit switch(Config)ip dhcp pool vlan10 switch(dhcpvlan10config)workaddress switch(dhcpvlan10config)lease 3 switch(dhcpvlan10config)defaultrouter switch(dhcpvlan10config)dnsserver switch(dhcpvlan10config)exit switch(config)ip dhcp excludedaddress S2 配置如下 : 某企業(yè)防火墻技術(shù)分析與應(yīng)用部署設(shè)計(jì)與實(shí)施 47 Switch Switchena Switchcon switch(Config)vlan 20 switch(ConfigVlan20)sw int e 0/0/120 switch(ConfigVlan20)exit switch(Config)exit switc