【正文】 公司內(nèi)部制定安全 規(guī)章 在使用安全硬件及網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)管理的同時(shí)，還需制定安全政策，對(duì)內(nèi)部硬件、軟件管理，及工作人員有相應(yīng)的安全約束，已達(dá)到網(wǎng)絡(luò)安全的目的。 設(shè)備備份系統(tǒng) 對(duì)象：骨干交換機(jī)、路由器等網(wǎng)絡(luò)骨干設(shè)備；周期：實(shí)時(shí)； 內(nèi)容：根據(jù)用 戶的網(wǎng)絡(luò)情況，提供骨干交換機(jī)、路由器等核心網(wǎng)絡(luò)設(shè)備的備份。在安全服務(wù)方案中，采用不同的安全服務(wù)，定期對(duì)網(wǎng)絡(luò)進(jìn)行檢測(cè)、改進(jìn)，以達(dá)到動(dòng)態(tài)增進(jìn)網(wǎng)絡(luò)安全性，最大限度發(fā)揮安全設(shè)備作用的目的。另外，內(nèi)部屏蔽路由器還提供網(wǎng)絡(luò)地址轉(zhuǎn)換（ NAT）功能，它允許在內(nèi)部網(wǎng)絡(luò)中使用私有 IP 地址。在主域控制器 PDC（ Primary Domain Controller）上，對(duì)用戶實(shí)施身份驗(yàn)證和訪問控制。 軟件使用不當(dāng) 問題 內(nèi)部人員在計(jì)算機(jī)上安裝使用盜版軟件，不但引入了潛在的安全漏洞，降低了計(jì)算機(jī)系統(tǒng)的安全系數(shù)，還有可能惹來版權(quán)訴訟的麻煩。 天災(zāi) 地震、閃電、洪水、火災(zāi)等可以造成大面積物理毀壞的災(zāi)害對(duì)于本地內(nèi)部網(wǎng)絡(luò)無疑是毀滅性的打擊，若災(zāi)害不 是很嚴(yán)重可能導(dǎo)致內(nèi)部網(wǎng)絡(luò)線路斷連，使內(nèi)部工作網(wǎng)絡(luò)癱瘓；若更嚴(yán)重些可能導(dǎo)致數(shù)據(jù)服務(wù)器破壞，從而導(dǎo)致數(shù)據(jù)丟失。此外，最大連接數(shù)是設(shè)置同時(shí)連接本地 FTP 的最大主機(jī)臺(tái)數(shù)。 15 文件服務(wù)器的配置 微軟的 IIS 提供 Web 服務(wù)之外，還提供 FTP 的服務(wù) ，我們用它架設(shè)文件服務(wù)器。為主 Web 站點(diǎn)設(shè)置域名。先通過控制面板中的 “添加或刪除程序 ”中安裝 。 入侵檢測(cè)系統(tǒng)（ IDS） 產(chǎn)品概述 CISCO IDS 4200 系列設(shè)備檢測(cè)器是專用型高性能網(wǎng)絡(luò)安全 “設(shè)備 ”能夠阻止網(wǎng)絡(luò)上的非法惡意行為。 設(shè)備配置： 1） Catalyst 6500 9 插槽交換機(jī)機(jī)箱； 2） Catalyst 6000 1300W 交流電源及冗余電源； 3）帶 2個(gè) 1000M GBIC 上聯(lián)接口，增強(qiáng) QoS 及 PFC 卡和 MSFC 卡； 4） 1 塊 WSX6408GBICB 口千兆以太網(wǎng)卡 +10個(gè) WS65486 千兆模塊； 5） Catalyst 6000 48 口 10/100 模塊（ RJ45）。按以上設(shè)置配置好 PIX 防火墻和路由器后， PIX 防火墻外部的攻擊者將無法在外部連接上找到可以連接的開放端口，也不可能判斷出內(nèi)部任何一臺(tái)主機(jī)的 IP 地址，即使告訴了內(nèi)部主機(jī)的 IP 地址，要想直接對(duì)它們進(jìn)行 Ping 和連接也是不可能的。 5）不必要的端口被禁止。雖然 UNIX 服務(wù)器是廣泛采用公開源代碼的理想開放開發(fā)平臺(tái)，但通用的操作系統(tǒng)并不能提供最佳的性能和安全性。 PIX 防火墻的 IP 地址分別為：內(nèi)網(wǎng)接口 e1： ，外網(wǎng)接口 e0： 。 內(nèi)部網(wǎng)絡(luò)采用保留 IP 地址 ，子網(wǎng)掩碼 ，則最多可以提 供 254 254=64516 個(gè) 10 IP 地址， 254 個(gè)子網(wǎng)，在可以預(yù)見的將來基本能夠滿足信息點(diǎn)增長的要求。 對(duì)于具有一定規(guī)模，并且在內(nèi)部已經(jīng)有了幾個(gè)部門的企業(yè)，如果所有部門的用戶無差別地處于對(duì)等網(wǎng)中，不僅使許多敏感數(shù)據(jù)容易被無關(guān)人員獲取，使網(wǎng)絡(luò)數(shù)據(jù)的安全性下降，而且部門內(nèi)的大量通信也會(huì)占用大量的網(wǎng)絡(luò)資源，使整個(gè)網(wǎng)絡(luò)的效率變低，甚至引起崩潰，降低了 網(wǎng)絡(luò)的可用性。在實(shí)際建設(shè)中遵循以下指導(dǎo)思想：宏觀上統(tǒng)一規(guī)劃，同步開展，相互配套 。 （ 4） 安全性和保密性 。 基于以上特點(diǎn)：在進(jìn)行系統(tǒng)設(shè)計(jì)時(shí)應(yīng)當(dāng)遵循以下設(shè)計(jì)原則： （ 1） 實(shí)用性和經(jīng)濟(jì)性 。 為以下 4 個(gè)等級(jí)： (1)不把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)相連，因此一切都被禁止。 (4)完整性是指 網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進(jìn)行改變的特性，即網(wǎng)絡(luò)信息在存儲(chǔ)和傳輸過程中不被刪除、修改、偽造、亂序、重放和插入等操作，保也稱做不可否認(rèn)性，主要用于網(wǎng)絡(luò)信息的交換過程，保證信息交換的參與者都不可能否認(rèn)或抵賴曾進(jìn)行的操作，類似于在發(fā)文或收文過程中的簽名和簽收的過程。前者要求網(wǎng)絡(luò)向所有用戶有選擇地隨時(shí)提供各自應(yīng)得到的網(wǎng)絡(luò)服務(wù)，后者則要求網(wǎng)絡(luò)保證信息資源的保密性、完整性、可用性和準(zhǔn)確性。在這樣的形勢(shì)下，以保護(hù)網(wǎng)絡(luò)中的信息免受各種攻擊為根本目的網(wǎng)絡(luò)安全變得越來越重要。網(wǎng)絡(luò)的安全管理制度策略包括：確定安全管理等級(jí)和安全管理范圍 。因此，最可行的做法是管理制度和管理解決方案相結(jié)合。 數(shù)據(jù)傳輸?shù)陌踩L(fēng) 險(xiǎn) 由于在中小型企業(yè)內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)傳輸線路之間存在被竊聽的威脅，同時(shí)局域網(wǎng)絡(luò)內(nèi)部也存在著內(nèi)部攻擊行為，其中包括登錄密碼和一些敏感信息，可能被侵襲者搭線竊取和篡改，造成泄密。所有的這些設(shè)備、軟件系統(tǒng)都可能會(huì)存在著各種各樣的漏洞，這些都是重大安全隱患。 。 （ 2）安全通信功能：企業(yè)可通過專線接入到 Inter，企業(yè)員工有獨(dú)立的企業(yè)郵箱，并可以通過廣域網(wǎng)連接可以收發(fā)電子郵件、實(shí)現(xiàn) Web 應(yīng)用、接入互聯(lián)網(wǎng)、進(jìn)行對(duì)廣域網(wǎng)的訪問。 1 制作： 學(xué)號(hào) 姓名 學(xué)號(hào) 姓名 學(xué)號(hào) 姓名 指導(dǎo)教師： 完成日期： 2 目錄 1 系統(tǒng)需求分析 ....................................................................................................................................... 4 企業(yè)需求 ..................................................................................................................................... 4 網(wǎng)絡(luò)實(shí)現(xiàn) 功能 .............................................................................................................................. 4 網(wǎng)絡(luò)系統(tǒng)安全分析 ...................................................................................................................... 4 物理層安全風(fēng)險(xiǎn) ................................................................................................................ 4 系統(tǒng)層安全風(fēng)險(xiǎn) ................................................................................................................ 5 網(wǎng)絡(luò)層安全風(fēng)險(xiǎn) ................................................................................................................ 5 數(shù)據(jù)傳輸?shù)陌踩L(fēng)險(xiǎn) ......................................................................................................... 5 病毒的安全風(fēng)險(xiǎn) ................................................................................................................ 5 管理的安全風(fēng)險(xiǎn) ................................................................................................................ 6 企業(yè)網(wǎng)的安全目標(biāo) ...................................................................................................................... 6 網(wǎng)絡(luò)安全策略 .............................................................................................................................. 7 2 網(wǎng)絡(luò)設(shè)計(jì)原則 ....................................................................................................................................... 7 3 網(wǎng)絡(luò)安全的方案設(shè)計(jì) ............................................................................................................................. 8 總體設(shè)計(jì)方案 .............................................................................................................................. 8 網(wǎng)絡(luò)拓?fù)浞桨冈O(shè)計(jì) ....................................................................................................................... 9 網(wǎng)絡(luò)拓?fù)鋱D設(shè)計(jì) ................................................................................................................. 9 IP 地址分配策略 ................................................................................................................. 9 內(nèi)部網(wǎng)絡(luò) IP 地址分配 ........................................................................................................ 9 外部網(wǎng)絡(luò) IP 地址分配 .......................................................................................................10 4 設(shè)備選型及配置 ...................................................................................................................................10 防火墻 ..........................................................................................................................