【正文】 [15]黃勁榮：無線局域網(wǎng)在校園網(wǎng)的應用[J].教育信息化,2022(15):1。［6］Cisco Systems 公司：《無線局域網(wǎng)基礎》 ，人民郵電出版社，2022 年，第 3 頁。然后，從企業(yè)級防火墻體系建設、企業(yè)級防病毒軟件體系建設、入侵檢測系統(tǒng)的聯(lián)動機制設計以及企業(yè)數(shù)據(jù)存儲和備份等幾個主要方面，細致論述了一種企業(yè)網(wǎng)絡安全建設中技術(shù)上可行的解決方案。工作人員要不定期換崗，強制休假，為保證工作效率還要對工作人員進行輪流培訓。iptable 能夠阻止某些 DOS 攻擊，例如 SYS 洪泛攻擊。①數(shù)據(jù)包過濾技術(shù)；數(shù)據(jù)包過濾是一種訪問控制技術(shù), 用于控制流入流出網(wǎng)絡的數(shù)據(jù)。當然，嵌入式防火墻系統(tǒng)，也是一種專用的防火墻設備。如下圖 所示：圖 防火墻在企業(yè)網(wǎng)絡中的位置（2）企業(yè)級防火墻的功能。經(jīng)過對企業(yè)的網(wǎng)絡特點和存在的問題進行認真細致的分析后，考慮到不同層次的安全需求以及整體安全的需求以及企業(yè)的可承載能力，設計了一個網(wǎng)絡安全體系建設的整體方案，（2）網(wǎng)絡拓撲結(jié)構(gòu)部署的要點。本系統(tǒng)在設計中，融合網(wǎng)絡拓撲技術(shù)、防火墻技術(shù)、反病毒技術(shù)、VPN 技術(shù)、數(shù)字簽名、認證和授權(quán)技術(shù)、加密傳輸技術(shù)、VLAN 技術(shù)等等，構(gòu)建出企業(yè)安全網(wǎng)絡架構(gòu)，其架構(gòu)如圖 44 所示的企業(yè)網(wǎng)絡安全系統(tǒng)架構(gòu)：圖 企業(yè)安全架構(gòu)（3）企業(yè)安全層次模型設計。①把入侵檢測系統(tǒng) IDS 與入侵防御系統(tǒng) IPS 結(jié)合起來部署在關(guān)鍵節(jié)點；②把防火墻與防水墻相結(jié)合保護關(guān)鍵子網(wǎng)；③安裝漏洞掃描工具對應用層和系統(tǒng)層進行定期的漏洞掃描；（3）完善的網(wǎng)絡管理能力。域名服務器 DNS 系統(tǒng)，作為互聯(lián)網(wǎng)的神經(jīng)系統(tǒng)，關(guān)乎網(wǎng)絡層服務數(shù)據(jù)能否成功到達的問題。 網(wǎng)絡層安全防護需求分析 網(wǎng)絡層主要是指 IP 協(xié)議簇。網(wǎng)絡交換設備主要包括路由器和 ATM。 傳輸層安全防護需求分析傳輸層處于通信子網(wǎng)和資源子網(wǎng)之間，起著承上啟下的作用。8 數(shù)據(jù)鏈路層安全防護需求分析 數(shù)據(jù)鏈路層位于物理硬件層網(wǎng)絡層之間，擔負起第一道數(shù)據(jù)監(jiān)控和過濾的重任。（3）垃圾郵件成為傳播病毒的主要手段。保證同時運行的多個進程和線程之間是相互隔離的,即各個進程和線程分別調(diào)用不同的系統(tǒng)資源。而 Windows 平臺更是推出了 Windows Server 系列，滿足網(wǎng)絡服務的需求。 網(wǎng)絡安全體系的層次劃分 網(wǎng)絡安全中安全措施劃分，主要有如下幾個方面：（1）數(shù)據(jù)源鑒別。 網(wǎng)絡安全管理制度和措施不健全在網(wǎng)絡的管理上，國家有關(guān)部門也頒布了一些法律法規(guī)，比如《計算機信息網(wǎng)絡國際互聯(lián)網(wǎng)安全保護管理辦法》 。這需要針對企業(yè)網(wǎng)絡的性能，需要特定的優(yōu)化設計。桌面殺毒軟件并不適用于復雜的網(wǎng)絡環(huán)境。出于成本的壓力，中小企業(yè)一般在網(wǎng)絡建設的投入上不足。另一方面，是指各個網(wǎng)絡終端結(jié)點設備以及搭載其上的軟件系統(tǒng)。最常見的安全隱患主要有未授權(quán)訪問、破壞數(shù)據(jù)完整性、拒絕服務攻擊、計算機病毒傳播、缺乏完整的安全策略、缺乏監(jiān)控和防范技術(shù)手段、缺乏有效的手段來評估網(wǎng)絡系統(tǒng)和操作系統(tǒng)的安全性、缺乏自動化的集中數(shù)據(jù)備份及災難恢復措施等。企業(yè)網(wǎng)絡一般都是接入 Inter 的，其網(wǎng)絡環(huán)境的開放性，可以增強網(wǎng)絡系統(tǒng)的應用性，但也對企業(yè)網(wǎng)絡信息安全提出了更多更高的要求。企業(yè)網(wǎng)絡作為一種復雜而集成的網(wǎng)絡系統(tǒng)出現(xiàn)的同時，傳統(tǒng)的網(wǎng)絡安全威脅依舊存在，病毒、木馬、蠕蟲等肆虐，網(wǎng)絡攻擊手段日趨多樣化，破壞力巨大并具有隱蔽性，時刻威脅著企業(yè)的網(wǎng)絡安全。 畢 業(yè) 論 文論文題目： 企業(yè)局域網(wǎng)的組建與應用 內(nèi) 容 摘 要本文結(jié)合當今企業(yè)網(wǎng)絡安全的發(fā)展趨勢，通過對當前中小企業(yè)存在的一些安全隱患和安全建設的需求分析，提出了一種針對企業(yè)網(wǎng)絡安全的解決方案。本文針對企業(yè)網(wǎng)絡的安全建設問題，重點分析了如何構(gòu)建一個可靠的網(wǎng)絡安全防御體系。一般企業(yè)網(wǎng)絡的都是基于Windows 平臺的應用系統(tǒng)，主要有 WEB 服務、Email 系統(tǒng)、MIS、進貨和銷售系統(tǒng)、財務統(tǒng)計系統(tǒng)、人事管理系統(tǒng)等。 網(wǎng)絡的復雜型及其表現(xiàn)計算機和電子技術(shù)的發(fā)展使得計算機網(wǎng)絡技術(shù)不斷融合新的技術(shù)，企業(yè)網(wǎng)絡也因此發(fā)展和進步，具備了許多新特性，這給網(wǎng)絡建設帶來了更大難度。網(wǎng)絡軟件在鏈路層、傳輸層和應用層都可以發(fā)揮數(shù)據(jù)檢測作用，單機操作系統(tǒng)可以選擇服務器版本，并安裝防火墻軟件和殺毒軟件，同時根據(jù)網(wǎng)絡特性配置過濾規(guī)則。中小企業(yè)網(wǎng)絡一般只有十幾到幾十臺客戶端，網(wǎng)絡互聯(lián)產(chǎn)品一般選用 24 口交換機，帶動其他的交換機，選用家用級別的路由器接入互聯(lián)網(wǎng)，從而組成一個小型辦公網(wǎng)絡環(huán)境，事實上，這種接入方式和網(wǎng)絡拓撲結(jié)構(gòu)，會導致網(wǎng)速非常慢，堵塞嚴重，掉包頻繁。一旦有惡性病毒大規(guī)模爆發(fā)時，網(wǎng)絡病毒在內(nèi)部局域網(wǎng)瘋狂流竄，一方面病毒的肆虐傳播造成網(wǎng)絡堵塞，破壞系統(tǒng)文件使電腦不能正常工作，另一方面，會導致病毒感染網(wǎng)絡內(nèi)部主機，潛伏下來，借助網(wǎng)絡漏洞，伺機在網(wǎng)絡內(nèi)部傳輸，普通的殺毒軟件并不能消滅干凈。另一方面，對于網(wǎng)絡安全，更需要一體化的管理和安全防御體系建設，在防御軟件上，要針對特定的網(wǎng)絡應用，部署專門的網(wǎng)絡防火墻和殺毒軟件。各個企業(yè)也有自己的一套管理辦法，具體到不同的網(wǎng)絡部門，也應該有自己的一套經(jīng)過實踐檢驗并行之有效的網(wǎng)絡安全設計規(guī)程。在連接和傳送數(shù)據(jù)時鑒別相應的協(xié)議實體，而后決定提供或者拒絕服務。用戶的應用系統(tǒng)和安全工具軟件都在操作系統(tǒng)上運行，操作系統(tǒng)為各工具軟件提供支持，因此操作系統(tǒng)的安全與否直接影響到網(wǎng)絡系統(tǒng)的安全。作為終端使用者的用戶，直接面對應用層，應該確切落實網(wǎng)絡管理規(guī)章制度的要求，杜絕安全隱患。收到垃圾郵件的用戶往往由于對郵件缺乏了解而不幸激活病毒卻不知情，網(wǎng)絡犯罪將更多地采用這種介質(zhì)發(fā)布木馬病毒。與數(shù)據(jù)鏈路層的安全有兩方面內(nèi)容：一是涉及到數(shù)據(jù)傳輸過程中的加密和數(shù)據(jù)的修改，也就是影響到數(shù)據(jù)的完整性；另一個是涉及到物理地址的盜用問題，影響到網(wǎng)絡管理。無論是局域網(wǎng)還是廣域網(wǎng)，目前最為流行的傳輸層協(xié)議主要有 TCP 和 UDP 協(xié)議族許多安全協(xié)議也運行于 TCP之上，為不安全的通信雙方建立數(shù)據(jù)傳輸?shù)目煽客ǖ溃沟脭?shù)據(jù)避免被竊聽、篡改或假冒。由于路由器普遍采用無連接存儲轉(zhuǎn)發(fā)技術(shù) ,一旦某一個路由器發(fā)生故障或出現(xiàn)問題，將迅速波及到與該路由器聯(lián)系的網(wǎng)絡區(qū)域。IP 地址是在網(wǎng)絡層標識一臺計算機的唯一身份識別碼，無論是企業(yè)內(nèi)網(wǎng)還是外部互聯(lián)網(wǎng)，都需要有獨立的 IP 地址。針對 DNS 系統(tǒng)的攻擊比較突出的為 DoS 攻擊、DNS 投毒、域名劫持及重定向等,DNS 系統(tǒng)的安全防護需要部署流量清洗設備，保障 DNS 業(yè)務系統(tǒng)的正常運行。①引入先進的防病毒軟件，加強網(wǎng)絡安全；②使用網(wǎng)絡系統(tǒng)管理軟件對服務器和終端系統(tǒng)進行統(tǒng)一的管理；③配置 VPN 以提供統(tǒng)一的外部入口，達到隔離內(nèi)網(wǎng)與外網(wǎng)的效果；④以關(guān)鍵業(yè)務為中心的網(wǎng)絡管理模型，保證關(guān)鍵業(yè)務持續(xù)性；⑤單一網(wǎng)絡設備管理到融合式應用網(wǎng)絡管理；（4）完善的數(shù)據(jù)安全保障機制。由于網(wǎng)絡安全實際是在不同的安全模型和網(wǎng)絡層次實現(xiàn)的，因此，針對開放系統(tǒng)互聯(lián)參考模型（OSI）網(wǎng)絡安全特性，可以可以分別在分層參考模型協(xié)議棧的不同協(xié)議層中實 現(xiàn)。①網(wǎng)絡系統(tǒng)數(shù)據(jù)處理能力強。①數(shù)據(jù)流量監(jiān)控和數(shù)據(jù)安全防護；防火墻適用于用戶網(wǎng)絡系統(tǒng)的邊界，屬于用戶網(wǎng)絡邊界的安全保護設備。本系統(tǒng)設計中，企業(yè)內(nèi)網(wǎng)通過網(wǎng)通的公共網(wǎng)絡線路與 Inter 互聯(lián)，網(wǎng)絡內(nèi)部郵件服務器，實現(xiàn)郵件的收發(fā)，內(nèi)部的 WWW 服務器，對外提供網(wǎng)頁訪問服務。包過濾技術(shù)可以允許或不允許某些包在網(wǎng)絡上傳遞，它依據(jù)以下的根據(jù)：將包的目的地址作為判斷依據(jù)；將包的源地址作為判斷依據(jù)；將包的傳送協(xié)議作為判斷依據(jù)。iptabl