【正文】 [15]黃勁榮：無線局域網(wǎng)在校園網(wǎng)的應(yīng)用[J].教育信息化,2022(15):1。［6］Cisco Systems 公司：《無線局域網(wǎng)基礎(chǔ)》 ，人民郵電出版社，2022 年，第 3 頁。然后，從企業(yè)級防火墻體系建設(shè)、企業(yè)級防病毒軟件體系建設(shè)、入侵檢測系統(tǒng)的聯(lián)動機(jī)制設(shè)計(jì)以及企業(yè)數(shù)據(jù)存儲和備份等幾個主要方面，細(xì)致論述了一種企業(yè)網(wǎng)絡(luò)安全建設(shè)中技術(shù)上可行的解決方案。工作人員要不定期換崗，強(qiáng)制休假，為保證工作效率還要對工作人員進(jìn)行輪流培訓(xùn)。iptable 能夠阻止某些 DOS 攻擊，例如 SYS 洪泛攻擊。①數(shù)據(jù)包過濾技術(shù)；數(shù)據(jù)包過濾是一種訪問控制技術(shù), 用于控制流入流出網(wǎng)絡(luò)的數(shù)據(jù)。當(dāng)然，嵌入式防火墻系統(tǒng)，也是一種專用的防火墻設(shè)備。如下圖 所示：圖 防火墻在企業(yè)網(wǎng)絡(luò)中的位置（2）企業(yè)級防火墻的功能。經(jīng)過對企業(yè)的網(wǎng)絡(luò)特點(diǎn)和存在的問題進(jìn)行認(rèn)真細(xì)致的分析后，考慮到不同層次的安全需求以及整體安全的需求以及企業(yè)的可承載能力，設(shè)計(jì)了一個網(wǎng)絡(luò)安全體系建設(shè)的整體方案，（2）網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)部署的要點(diǎn)。本系統(tǒng)在設(shè)計(jì)中，融合網(wǎng)絡(luò)拓?fù)浼夹g(shù)、防火墻技術(shù)、反病毒技術(shù)、VPN 技術(shù)、數(shù)字簽名、認(rèn)證和授權(quán)技術(shù)、加密傳輸技術(shù)、VLAN 技術(shù)等等，構(gòu)建出企業(yè)安全網(wǎng)絡(luò)架構(gòu)，其架構(gòu)如圖 44 所示的企業(yè)網(wǎng)絡(luò)安全系統(tǒng)架構(gòu)：圖 企業(yè)安全架構(gòu)（3）企業(yè)安全層次模型設(shè)計(jì)。①把入侵檢測系統(tǒng) IDS 與入侵防御系統(tǒng) IPS 結(jié)合起來部署在關(guān)鍵節(jié)點(diǎn)；②把防火墻與防水墻相結(jié)合保護(hù)關(guān)鍵子網(wǎng)；③安裝漏洞掃描工具對應(yīng)用層和系統(tǒng)層進(jìn)行定期的漏洞掃描；（3）完善的網(wǎng)絡(luò)管理能力。域名服務(wù)器 DNS 系統(tǒng)，作為互聯(lián)網(wǎng)的神經(jīng)系統(tǒng)，關(guān)乎網(wǎng)絡(luò)層服務(wù)數(shù)據(jù)能否成功到達(dá)的問題。 網(wǎng)絡(luò)層安全防護(hù)需求分析 網(wǎng)絡(luò)層主要是指 IP 協(xié)議簇。網(wǎng)絡(luò)交換設(shè)備主要包括路由器和 ATM。 傳輸層安全防護(hù)需求分析傳輸層處于通信子網(wǎng)和資源子網(wǎng)之間，起著承上啟下的作用。8 數(shù)據(jù)鏈路層安全防護(hù)需求分析 數(shù)據(jù)鏈路層位于物理硬件層網(wǎng)絡(luò)層之間，擔(dān)負(fù)起第一道數(shù)據(jù)監(jiān)控和過濾的重任。（3）垃圾郵件成為傳播病毒的主要手段。保證同時運(yùn)行的多個進(jìn)程和線程之間是相互隔離的,即各個進(jìn)程和線程分別調(diào)用不同的系統(tǒng)資源。而 Windows 平臺更是推出了 Windows Server 系列，滿足網(wǎng)絡(luò)服務(wù)的需求。 網(wǎng)絡(luò)安全體系的層次劃分 網(wǎng)絡(luò)安全中安全措施劃分，主要有如下幾個方面：（1）數(shù)據(jù)源鑒別。 網(wǎng)絡(luò)安全管理制度和措施不健全在網(wǎng)絡(luò)的管理上，國家有關(guān)部門也頒布了一些法律法規(guī)，比如《計(jì)算機(jī)信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護(hù)管理辦法》 。這需要針對企業(yè)網(wǎng)絡(luò)的性能，需要特定的優(yōu)化設(shè)計(jì)。桌面殺毒軟件并不適用于復(fù)雜的網(wǎng)絡(luò)環(huán)境。出于成本的壓力，中小企業(yè)一般在網(wǎng)絡(luò)建設(shè)的投入上不足。另一方面，是指各個網(wǎng)絡(luò)終端結(jié)點(diǎn)設(shè)備以及搭載其上的軟件系統(tǒng)。最常見的安全隱患主要有未授權(quán)訪問、破壞數(shù)據(jù)完整性、拒絕服務(wù)攻擊、計(jì)算機(jī)病毒傳播、缺乏完整的安全策略、缺乏監(jiān)控和防范技術(shù)手段、缺乏有效的手段來評估網(wǎng)絡(luò)系統(tǒng)和操作系統(tǒng)的安全性、缺乏自動化的集中數(shù)據(jù)備份及災(zāi)難恢復(fù)措施等。企業(yè)網(wǎng)絡(luò)一般都是接入 Inter 的，其網(wǎng)絡(luò)環(huán)境的開放性，可以增強(qiáng)網(wǎng)絡(luò)系統(tǒng)的應(yīng)用性，但也對企業(yè)網(wǎng)絡(luò)信息安全提出了更多更高的要求。企業(yè)網(wǎng)絡(luò)作為一種復(fù)雜而集成的網(wǎng)絡(luò)系統(tǒng)出現(xiàn)的同時，傳統(tǒng)的網(wǎng)絡(luò)安全威脅依舊存在，病毒、木馬、蠕蟲等肆虐，網(wǎng)絡(luò)攻擊手段日趨多樣化，破壞力巨大并具有隱蔽性，時刻威脅著企業(yè)的網(wǎng)絡(luò)安全。 畢 業(yè) 論 文論文題目： 企業(yè)局域網(wǎng)的組建與應(yīng)用 內(nèi) 容 摘 要本文結(jié)合當(dāng)今企業(yè)網(wǎng)絡(luò)安全的發(fā)展趨勢，通過對當(dāng)前中小企業(yè)存在的一些安全隱患和安全建設(shè)的需求分析，提出了一種針對企業(yè)網(wǎng)絡(luò)安全的解決方案。本文針對企業(yè)網(wǎng)絡(luò)的安全建設(shè)問題，重點(diǎn)分析了如何構(gòu)建一個可靠的網(wǎng)絡(luò)安全防御體系。一般企業(yè)網(wǎng)絡(luò)的都是基于Windows 平臺的應(yīng)用系統(tǒng)，主要有 WEB 服務(wù)、Email 系統(tǒng)、MIS、進(jìn)貨和銷售系統(tǒng)、財(cái)務(wù)統(tǒng)計(jì)系統(tǒng)、人事管理系統(tǒng)等。 網(wǎng)絡(luò)的復(fù)雜型及其表現(xiàn)計(jì)算機(jī)和電子技術(shù)的發(fā)展使得計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)不斷融合新的技術(shù)，企業(yè)網(wǎng)絡(luò)也因此發(fā)展和進(jìn)步，具備了許多新特性，這給網(wǎng)絡(luò)建設(shè)帶來了更大難度。網(wǎng)絡(luò)軟件在鏈路層、傳輸層和應(yīng)用層都可以發(fā)揮數(shù)據(jù)檢測作用，單機(jī)操作系統(tǒng)可以選擇服務(wù)器版本，并安裝防火墻軟件和殺毒軟件，同時根據(jù)網(wǎng)絡(luò)特性配置過濾規(guī)則。中小企業(yè)網(wǎng)絡(luò)一般只有十幾到幾十臺客戶端，網(wǎng)絡(luò)互聯(lián)產(chǎn)品一般選用 24 口交換機(jī)，帶動其他的交換機(jī)，選用家用級別的路由器接入互聯(lián)網(wǎng)，從而組成一個小型辦公網(wǎng)絡(luò)環(huán)境，事實(shí)上，這種接入方式和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，會導(dǎo)致網(wǎng)速非常慢，堵塞嚴(yán)重，掉包頻繁。一旦有惡性病毒大規(guī)模爆發(fā)時，網(wǎng)絡(luò)病毒在內(nèi)部局域網(wǎng)瘋狂流竄，一方面病毒的肆虐傳播造成網(wǎng)絡(luò)堵塞，破壞系統(tǒng)文件使電腦不能正常工作，另一方面，會導(dǎo)致病毒感染網(wǎng)絡(luò)內(nèi)部主機(jī)，潛伏下來，借助網(wǎng)絡(luò)漏洞，伺機(jī)在網(wǎng)絡(luò)內(nèi)部傳輸，普通的殺毒軟件并不能消滅干凈。另一方面，對于網(wǎng)絡(luò)安全，更需要一體化的管理和安全防御體系建設(shè)，在防御軟件上，要針對特定的網(wǎng)絡(luò)應(yīng)用，部署專門的網(wǎng)絡(luò)防火墻和殺毒軟件。各個企業(yè)也有自己的一套管理辦法，具體到不同的網(wǎng)絡(luò)部門，也應(yīng)該有自己的一套經(jīng)過實(shí)踐檢驗(yàn)并行之有效的網(wǎng)絡(luò)安全設(shè)計(jì)規(guī)程。在連接和傳送數(shù)據(jù)時鑒別相應(yīng)的協(xié)議實(shí)體，而后決定提供或者拒絕服務(wù)。用戶的應(yīng)用系統(tǒng)和安全工具軟件都在操作系統(tǒng)上運(yùn)行，操作系統(tǒng)為各工具軟件提供支持，因此操作系統(tǒng)的安全與否直接影響到網(wǎng)絡(luò)系統(tǒng)的安全。作為終端使用者的用戶，直接面對應(yīng)用層，應(yīng)該確切落實(shí)網(wǎng)絡(luò)管理規(guī)章制度的要求，杜絕安全隱患。收到垃圾郵件的用戶往往由于對郵件缺乏了解而不幸激活病毒卻不知情，網(wǎng)絡(luò)犯罪將更多地采用這種介質(zhì)發(fā)布木馬病毒。與數(shù)據(jù)鏈路層的安全有兩方面內(nèi)容：一是涉及到數(shù)據(jù)傳輸過程中的加密和數(shù)據(jù)的修改，也就是影響到數(shù)據(jù)的完整性；另一個是涉及到物理地址的盜用問題，影響到網(wǎng)絡(luò)管理。無論是局域網(wǎng)還是廣域網(wǎng)，目前最為流行的傳輸層協(xié)議主要有 TCP 和 UDP 協(xié)議族許多安全協(xié)議也運(yùn)行于 TCP之上，為不安全的通信雙方建立數(shù)據(jù)傳輸?shù)目煽客ǖ?，使得?shù)據(jù)避免被竊聽、篡改或假冒。由于路由器普遍采用無連接存儲轉(zhuǎn)發(fā)技術(shù) ,一旦某一個路由器發(fā)生故障或出現(xiàn)問題，將迅速波及到與該路由器聯(lián)系的網(wǎng)絡(luò)區(qū)域。IP 地址是在網(wǎng)絡(luò)層標(biāo)識一臺計(jì)算機(jī)的唯一身份識別碼，無論是企業(yè)內(nèi)網(wǎng)還是外部互聯(lián)網(wǎng)，都需要有獨(dú)立的 IP 地址。針對 DNS 系統(tǒng)的攻擊比較突出的為 DoS 攻擊、DNS 投毒、域名劫持及重定向等,DNS 系統(tǒng)的安全防護(hù)需要部署流量清洗設(shè)備，保障 DNS 業(yè)務(wù)系統(tǒng)的正常運(yùn)行。①引入先進(jìn)的防病毒軟件，加強(qiáng)網(wǎng)絡(luò)安全；②使用網(wǎng)絡(luò)系統(tǒng)管理軟件對服務(wù)器和終端系統(tǒng)進(jìn)行統(tǒng)一的管理；③配置 VPN 以提供統(tǒng)一的外部入口，達(dá)到隔離內(nèi)網(wǎng)與外網(wǎng)的效果；④以關(guān)鍵業(yè)務(wù)為中心的網(wǎng)絡(luò)管理模型，保證關(guān)鍵業(yè)務(wù)持續(xù)性；⑤單一網(wǎng)絡(luò)設(shè)備管理到融合式應(yīng)用網(wǎng)絡(luò)管理；（4）完善的數(shù)據(jù)安全保障機(jī)制。由于網(wǎng)絡(luò)安全實(shí)際是在不同的安全模型和網(wǎng)絡(luò)層次實(shí)現(xiàn)的，因此，針對開放系統(tǒng)互聯(lián)參考模型（OSI）網(wǎng)絡(luò)安全特性，可以可以分別在分層參考模型協(xié)議棧的不同協(xié)議層中實(shí) 現(xiàn)。①網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)處理能力強(qiáng)。①數(shù)據(jù)流量監(jiān)控和數(shù)據(jù)安全防護(hù)；防火墻適用于用戶網(wǎng)絡(luò)系統(tǒng)的邊界，屬于用戶網(wǎng)絡(luò)邊界的安全保護(hù)設(shè)備。本系統(tǒng)設(shè)計(jì)中，企業(yè)內(nèi)網(wǎng)通過網(wǎng)通的公共網(wǎng)絡(luò)線路與 Inter 互聯(lián)，網(wǎng)絡(luò)內(nèi)部郵件服務(wù)器，實(shí)現(xiàn)郵件的收發(fā)，內(nèi)部的 WWW 服務(wù)器，對外提供網(wǎng)頁訪問服務(wù)。包過濾技術(shù)可以允許或不允許某些包在網(wǎng)絡(luò)上傳遞，它依據(jù)以下的根據(jù)：將包的目的地址作為判斷依據(jù)；將包的源地址作為判斷依據(jù)；將包的傳送協(xié)議作為判斷依據(jù)。iptabl