【正文】 。關鍵詞：網(wǎng)絡安全； 路由器； 防火墻； 交換機； VLAN東華理工大學畢業(yè)設計（論文） ABSTRACTIAbstract The development of puter works and technologies to enhance work security is a big blow, Inter security has bee a new hotspot of information security. Network security is the security of puter information systems in an important aspect. Like opening of the Pandora39。信息安全是指防止信息財產被故意的或偶然的非法授權泄露、更改、破壞或使信息被非法系統(tǒng)辯識、控制；確保信息的保密性、完整性、可用性、可控性。東華理工大學畢業(yè)設計（論文） 摘要I摘 要計算機網(wǎng)絡的發(fā)展和技術的提高給網(wǎng)絡的安全帶來了很大的沖擊,Inter 的安全成了新信息安全的熱點。如何保證網(wǎng)絡信息存儲、處理的安全和信息傳輸安全的問題，就是我們所謂的計算機網(wǎng)絡安全。針對計算機網(wǎng)絡系統(tǒng)存在的安全性和可靠性問題，本文從網(wǎng)絡安全的提出及定義、網(wǎng)絡系統(tǒng)安全風險分析，網(wǎng)絡攻擊的一般手段，企業(yè)局域網(wǎng)安全設計的原則及其配置方案提出一些見解，并且進行了總結，就當前網(wǎng)絡上普遍的安全威脅，提出了網(wǎng)絡安全設計的重要理念和安全管理規(guī)范并針對常見網(wǎng)絡故障進行分析及解決,以使企業(yè)中的用戶在計算機網(wǎng)絡方面增強安全防范意識，實現(xiàn)了企業(yè)局域網(wǎng)的網(wǎng)絡安全。盡管企業(yè)現(xiàn)在依賴許多種安全技術來保護知識產權，但它們經(jīng)常會遇到這些技術所固有的限制因素難題。 有效的安全信息管理主要關鍵是要求企業(yè)管理其企業(yè)安全，并同時在風險與性能改進間做到最佳平衡。本安全解決方案是在不影響該企業(yè)局域網(wǎng)當前業(yè)務的前提下，實現(xiàn)對局域網(wǎng)全面的安全管理。 (4) 使網(wǎng)絡管理者能夠很快重新組織被破壞了的文件或應用。網(wǎng)絡安全從其本質上來講就是網(wǎng)絡上的信息安全。 網(wǎng)絡安全系統(tǒng)的脆弱性計算機面臨著黑客、病毒、特洛伊木馬程序、系統(tǒng)后門和窺探等多個方面安全威脅。(2) 網(wǎng)絡系統(tǒng)的安全脆弱性? 網(wǎng)絡安全的脆弱性使用 TCP/IP 協(xié)議的網(wǎng)絡所提供的 FTP、Email、RPC 和 NFS 都包含許多不安全的因素。(3) 數(shù)據(jù)庫管理系統(tǒng)的安全脆弱性大量信息存儲在數(shù)據(jù)庫中，然而對這些數(shù)據(jù)庫系統(tǒng)在安全方面的考慮卻很少。人禍是指人為因素對計算機網(wǎng)絡系統(tǒng)構成的威脅，人禍可分為有意的和無意的，有意的是指人為的惡意攻擊、違紀、違法和計算機犯罪。 網(wǎng)絡安全模型 計算機網(wǎng)絡系統(tǒng)安全的概念是相對的，每一個系統(tǒng)都具有潛在的危險。安全策略的第一部分就是防御。攻擊者如果穿過了防御系統(tǒng)，檢測系統(tǒng)就會檢測出來。在入侵事件發(fā)生后，把系統(tǒng)恢復到原來的狀態(tài)。通過公開服務器，企業(yè)可以直接對外發(fā)布信息或者發(fā)送電子郵件。針對每一類安全風險，結合實際情況，我們將具體的分析網(wǎng)絡的安全風險。 公開服務器面臨的威脅 企業(yè)局域網(wǎng)內公開服務器區(qū)（WWW、EMAIL 等服務器）作為公司的信息發(fā)布平臺，一旦不能運行后者受到攻擊，對企業(yè)的聲譽影響巨大。我們有必要將公開服務器、內部網(wǎng)絡與外部網(wǎng)絡進行隔離，避免網(wǎng)絡結構信息外泄。在這個企業(yè)局域網(wǎng)絡系統(tǒng)中，只使用了一臺路由器，作為與Inter 連結的邊界路由器，網(wǎng)絡結構相對簡單，具體配置時可以考慮使用靜態(tài)路由，這就大大減少了因網(wǎng)絡結構和網(wǎng)絡路由造成的安全風險。但是，我們可以對現(xiàn)有的操作平臺進行安全配置、對操作和訪問權限進行嚴格控制，提高系統(tǒng)的安全性。因此，保證應用系統(tǒng)的安全也是一個隨網(wǎng)絡發(fā)展不斷完善的過程。對于有些特別重要的信息需要對內部進行保密的可以考慮在應用級進行加密，針對具體的應用直接在應用系統(tǒng)開發(fā)時進行加密。當網(wǎng)絡出現(xiàn)攻擊行為或網(wǎng)絡受到其它一些安全威脅時（如內部人員的違規(guī)操作等），無法進行實時的檢測、監(jiān)控、報告與預警。 (3) 不滿的內部員工 不滿的內部員工可能在 WWW 站點上開些小玩笑，甚至破壞。公開服務器存在漏洞的一個典型例證，是黑客可以輕易地騙過公開服務器軟件，得到服務器的口令文件并將之送回。這時為了防止黑客，需要設置公開服務器，使得它不離開自己的空間而進入另外的目錄。所以應該加強對惡意代碼的檢測。能在Inter 上傳播的新型病毒，例如通過 EMail 傳播的病毒，增加了這種威脅的程度。 拒絕服務攻擊：它不斷對網(wǎng)絡服務系統(tǒng)進行干擾，改變其正常的作業(yè)流程，執(zhí)行無關程序使系統(tǒng)響應減慢甚至癱瘓，影響正常用戶的使用，甚至使合法用戶被排斥而不能進入計算機網(wǎng)絡系統(tǒng)或不能得到相應的服務。圖 企業(yè)局域網(wǎng)的安全設計方案東華理工大學畢業(yè)設計（論文） 企業(yè)局域網(wǎng)的安全設計方案9 企業(yè)局域網(wǎng)安全設計的原則 企業(yè)局域網(wǎng)網(wǎng)絡系統(tǒng)安全方案設計、規(guī)劃時，應遵循以下原則： 綜合性、整體性原則：應用系統(tǒng)工程的觀點、方法，分析網(wǎng)絡的安全及具體措施。其次，措施的采用不能影響系統(tǒng)的正常運行。因此分步實施，既可滿足網(wǎng)絡系統(tǒng)及信息安全的基本需求，亦可節(jié)省費用開支。 安全服務、機制與技術 安全服務：控制服務、對象認證服務、可靠性服務等； 安全機制：訪問控制機制、認證機制等；安全技術：防火墻技術、病毒防治技術、攻擊檢測技術、審計監(jiān)控技術等；在安全的開放環(huán)境中，用戶可以使用各種安全應用。 路由器安全配置 作為企業(yè)局域網(wǎng)與外部 Inter 互聯(lián)網(wǎng)絡連接的第一關，路由器的配置是很重要的，既要保證網(wǎng)絡的暢通，也不能忽略網(wǎng)絡的安全性而只取其一（我們所使用的是 Cisco 2514 路由器），因此，除了對路由器與 Inter 外網(wǎng)連接配置外，我們對路由器還采用了如下安全配置：(1) 路由器網(wǎng)絡服務安全配置a、禁止 CDP(Cisco Discovery Protocol)。 Router(Config) no ip server 啟用了 HTTP 服務則需要對其進行安全配置：設置用戶名和密碼，采用訪問列表進行控制。Router(Config) no ip directedbroadcast h、禁止 IP Classless。它能夠檢查源 IP 地址的準確性，從而可以防止一定的 IP Spooling。在出口路由器上實施時，采用 loose 方式。默認的 OSPF 認證密碼是明文傳輸?shù)?，建議啟用 MD5 認證。建議啟用 RIPV2。建議對于不需要路由的端口，啟用 passiveinterface。如：Router(Config) accesslist 10 deny 東華理工大學畢業(yè)設計（論文） 企業(yè)局域網(wǎng)的安全設計方案12Router(Config) accesslist 10 permit any ！禁止路由器接收更新 網(wǎng)絡的路由信息Router(Config) router ospf 100Router(Configrouter) distributelist 10 in！禁止路由器轉發(fā)傳播 網(wǎng)絡的路由信息Router(Config) router ospf 100Router(Configrouter) distributelist 10 out/PP(3) 路由器其他安全配置 a、IP 欺騙簡單防護。Router(Config) accesslist 100 deny ip any Router(Config) accesslist 100 deny ip any Router(Config) accesslist 100 deny ip any Router(Config) accesslist 100 deny ip any Router(Config) accesslist 100 deny ip any Router(Config) accesslist 100 deny ip any Router(Config) accesslist 100 deny ip any Router(Config) accesslist 100 deny ip any Router(Config) accesslist 100 deny ip any Router(Config) accesslist 100 deny ip any Router(Config) accesslist 100 permit ip any anyRouter(Configif) ip accessgroup 100 in/PP b、采用訪問列表控制流出內部網(wǎng)絡的地址必須是屬于內部網(wǎng)絡的。進入防火墻初始化配置，在其中主要設置有：Date(日期)、time(時間)、hostname(主機名稱)、inside ip address(內部網(wǎng)卡 IP 地址)、domain(主域)等，完成后也就建立了一個初始化設置了。Encrypted 選項是確定所加密碼是否需要加密。Inside 端口可以做 tel 就能用了,但 outside 端口還跟一些安全配置有關。其中重定向后的地址可以是單一外部地址、共享的外部地址轉換端口（PAT），或者是共享的外部端口。 ● 外部用戶向 的主機發(fā)出 FTP 請求時，重定向到 。 ● 外部用戶向防火墻的外部地址 的 8080 端口發(fā)出 HTTP 請求時，重定向到 的 80 號端口。 內部網(wǎng)絡隔離為了減少企業(yè)局域網(wǎng)內部的威脅，我們利用 VLAN 技術來實現(xiàn)對內部子網(wǎng)的物理隔離。通過將信任網(wǎng)段與不信任網(wǎng)段劃分在不同的 VLAN 段內，就可以限制局部網(wǎng)絡安全問題對全局網(wǎng)絡造成的影響。VLAN 的配置過程其實非常簡單，只需兩步：（1）為各 VLAN 組命名；（2）把相應的 VLAN 對應到相應的交換機端口。第 3 步：在上一步提示符下輸入進入特權模式命令 enable，進入特權模式，命令格式為enable，此時就進入了交換機配置的特權模式提示符：config tEnter configuration mands,one per with CNTL/Z(config)第 4 步：為了安全和方便起見，我們分別給這 3 個 Catalyst 1900 交換機起個名字，并且設置特權模式的登陸密碼。Level 1 是進入命令行界面的密碼，也就是說，設置了 level 1 的密碼后，你下次連上交換機，并輸入 K 后，就會讓你輸入密碼，這個密碼就是 level 1 設置的密碼。第 6 步：上一步我們對各交換機配置了 VLAN 組，現(xiàn)在要把這些 VLAN 對應于表1 所規(guī)定的交換機端口號。VLAN 端口號應用配置如下：(1) 名為 Switch1 的交換機的 VLAN 端口號配置如下：Switch1(config)int e0/2Switch1(configif)vlanmembership static 2……Switch1(configif)int e0/21Switch1(configif)vlanmembership static 2Switch1(configif)【注】int 是 interface 命令縮寫，是接口的意思。 企業(yè)局域網(wǎng)防病毒設置隨著網(wǎng)絡病毒的泛濫，對于一個局域網(wǎng)來說，以前各掃門前雪的防病毒方式經(jīng)顯得力不從心了，如果僅靠局域網(wǎng)中部分計算機的單機版防病毒軟件，根本不可能做到對病毒的及時防御。按照安裝說明提示，安裝 Symantec　Antivirus 防病毒軟件的服務器端，其過程是全中文提示，并且自動安裝的，因此，安裝過程不作詳細介紹了。也可以監(jiān)視服務器組中成員計算機病毒軟件的運行情況。雙擊 Symantec 系統(tǒng)中心，列表項，將其展開。選擇解除服務器組的鎖定菜單項。接下來，可以看到服務器組下列出了剛剛安裝的 Norton　Antivirus 防病毒服務器計算機名?！咀ⅰ吭赟ymantec 系統(tǒng)中心中選擇服務器組對象并設置其選項后，所做的設置將被存到該服務器組的一級服務器上，之后，同一服務器組中的其他服務器將使用新的配置，由于一級服務器的作用很重要，所以應該選擇一臺性能穩(wěn)定、能夠持續(xù)運轉的服務器來充當。在彈出的有鍵菜單上選擇所有任務Norton　AntiVirus病毒定義管理器菜單項，在彈出的病毒定義管理器對話框中，選中只更新此服務器的一級服務器單選框，并單擊后面的“設置”按鈕，在彈出的設置一級服務器更新對話框中，單擊調度按錘，在新彈出的病毒定義更新調度對話框中根據(jù)需要設置病毒定義的更新頻率和時間即可。打開光盤中的東華理工大學畢業(yè)設計（論文） 企業(yè)局域網(wǎng)的安全設計方案22NAVMSE25 文件夾。更新完成后，單擊完成按鈕，關閉安裝程序。在 Norton AntiVirus for Microsoft Exchange 服務器的管理界面左側導航欄中，單擊全局選項按鈕，右側內容窗口