【正文】 傳送的，一般很難被人侵襲獲取的。 VPN 技術 VPN 應用是為網絡通信提供有效的信息加密手段。 防火墻系統(tǒng)在網絡層安全系統(tǒng)中發(fā)揮重要的作用，包某企業(yè)防火墻技術分析與應用部署設計與實施 30 括（帶 VPN 功能）實現訪問控制、網絡信息檢查、通信加密、非法入侵檢測和攔截，異常情況告警和審計幾大功能目標。 安全策略體系應包括網絡安全的目標、方針、策略、規(guī)范、標準及流程等，并通過在組織內對安全策略的發(fā)布和落實來保證對網絡安全的承諾與支持。它應維護網絡的正常運行，當網絡出現故障時能及時報告和處理，并協(xié)調、保持網絡系統(tǒng)的高效運行等。網絡管理員可以根據掃描的結果更正網絡安全漏洞和系統(tǒng)中的錯誤配置，在黑客攻擊前進行防范。一旦小偷爬窗進入大樓，或內部人員有越界行為，只有實時監(jiān)視系統(tǒng)才能發(fā)現情況并發(fā)出警告。對于來自知情者的威脅只能要求加強內部管 理，如主機安全和用戶教育等。 系統(tǒng)單元維（ Z 軸）描述了信息網絡基礎構件的各個成分。 9．易操作性原則 第一個方面，任何一項安全措施都離不開 人的操作，因此，為了提高安全性，在采取措施方面要傾向于操作的簡便性。 3．安全性評價與平衡原則 安全體系設計的過程并不是隨便盲目的，這個過程中一定要權衡好需求、風險與代價方面的重要性，要保證在確保安全 性的情況下，還具有很好的可用性，在操作是具有可行性。例如，如果企業(yè)的客戶數據（如信用卡信息）被竊并被公布到其他 Web 站點上，該企業(yè)可能會陷入難以使客戶對其品牌恢復信任的困境。一旦受到攻擊，某企業(yè)防火墻技術分析與應用部署設計與實施 17 企業(yè)通常 會部署解決團隊來幫助客戶、員工以及合作伙伴盡快恢復業(yè)務。木馬也可以通過 Script、 ActiveX 及 Asp、 Cgi 交互腳本的方式植入。 服務攻擊 : 拒絕服務攻擊即攻擊者想辦法讓目標機器停止提供服務，是黑客常用的攻擊手段之一。大多數攻擊成功的范例還是利用了系統(tǒng)軟件本身的漏洞。 第五章為公司網絡安全系統(tǒng)的實施測試，主要對整合式網絡系統(tǒng)的安全防護性能做了測試，以此改善該公司的網絡安全問題和提升公司的網絡運行環(huán)境。所以本文通過對 50100 個員工規(guī)模的杭州數媒企訓科技有限公司網絡安全系某企業(yè)防火墻技術分析與應用部署設計與實施 10 統(tǒng)的深層次研究，從層次結構的角度詳細分析了該企業(yè)內部各個層次可能存在的安全隱患及風險，按照 整 體，平衡，技管結合等原則，提出了一個符合企業(yè)要求的網絡安全目標，并以此為基礎提出了一個整體網絡安全方案。 研究目的 事實上，目前采用整合安全策略的企業(yè)在利用下一階段的整合安全技術（即集成并集中管理所有的網絡層）方面將占據非常有利的形勢。因此，系統(tǒng)的備份與恢復對整個網絡的安全方面發(fā)揮著至關重要的作用，即使是出現了災難性的障故對計某企業(yè)防火墻技術分析與應用部署設計與實施 8 算機系統(tǒng)并不會造成很大的影響。 防火墻主要是將內部網絡與 Inter 之間或者與其他外部網絡之間不存在連接接觸的關系，所以一般它的位置一般都是選擇在企業(yè)網絡的邊緣，這樣一來網絡之間的互訪就會受到限制從而達到保護網絡安全的目地。通過這四個層次就可以組建成一個比較完善的安全技術防范系統(tǒng)，針對網絡安全方面發(fā)某企業(yè)防火墻技術分析與應用部署設計與實施 5 展起來了一系列的企業(yè)網安全技術，先對各項技術分析如下： (虛擬局域網 )技術 網絡安全保障方面的工作做好了，對網絡的整體性安全有著重要的影響，而保障方面的工作要做好最基本的就是鏈路層，鏈路層的安全一般選擇 VLAN 技術來確保。 國內外企業(yè)網絡安全研究現狀 國際咨詢服務機構 FrostandSullivan 近日宣稱，逾七成亞洲企業(yè)遭遇過網絡安全入侵，由于經濟的飛速發(fā)展和隨之而來的與日俱增的網絡攻擊行為，亞太地區(qū)的網絡安全市場在未來三年內將以 %的年增長率向前發(fā)展。于那些包含對商務至關重要的敏感信息資產的系統(tǒng)和設備，企業(yè)可以應用統(tǒng)一的方法，從而確保能夠對病毒特征文件、入侵檢測特征、防火墻配置以及安全系統(tǒng)的其它關鍵方面進行集成式某企業(yè)防火墻技術分析與應用部署設計與實施 3 更新。據我國公安部統(tǒng)計， 70%的泄密犯罪來自于內部，電腦應用 80%未設立相應的安全管理系統(tǒng)、技術措施和制度。分層防護 。某企業(yè)防火墻技術分析與應用部署設計與實施 I 摘 要 本文作者根據計算機網絡安全的基本理論及知識，提出了計算機分層的安全防護設計思想及其實現方案。安全體系 。網絡安全問題 著因特網的迅速普及而激增，據美國 FBI 統(tǒng)某企業(yè)防火墻技術分析與應用部署設計與實施 2 計， 83%的信息安全事故為內部人員和內外勾結所為。因此，只有不斷獲得病毒和其他軟件的最近更新才能確保安全性。這點對于維持安全的關鍵基礎架構非常重要。對企業(yè)網安全保障體系進行層次 劃分，一般可以 可以分為 4 個層次，最高層次上企業(yè)安全策略層，最低的層次上是安全服務層，也是最基本的層次，中間的兩個層次分別是企業(yè)用戶層、企業(yè)網 絡與信息資源層。 3. 硬件防火墻技術 在網絡安全的防范過程中，硬件防火墻技術發(fā)揮著重要的作用，幾乎每一個企業(yè)網都會選擇硬件防火墻技術來確保整個網絡的安全性。 7. 系統(tǒng)備份和恢復技術 防范手段無論做的有多么的細致還是會存在一定的疏漏之處，突發(fā)性事 件是不可避免的，也是人們不可預測的，同時帶來的后果有些可能是巨大的災難般。它使用的是深入的防護原理，并在 IT 基礎架構內的多個層次中都采用了補充的安全功能。 本文主要工作 整合網絡安全解決方案結合了多個網絡安全功能，可以更有效地防范每一層上的各種威脅，從而將計算機網絡攻擊的威脅降至最小。 第四章為 杭州數媒企訓科技有限公司 整合式網絡安全解決方案，結合該公司的網絡安全現狀和需求，制定了整合式的網絡安全解 決方案，從防火墻、 VPN 和其 他輔助安全系統(tǒng)進行了整合說明。 “后門”入侵 : 前面提到過許多軟件系統(tǒng)都有這樣那樣的安全漏洞 (Bugs)，其中某些是操作系統(tǒng)或應用軟件本身具有的。 用戶帳號和口令具有一定的局限性，但監(jiān)聽者往往能夠獲得其所在網段的所有用戶帳號及口令。攻擊者要通過木馬攻擊你的系統(tǒng)，他所做的第一步是要把木馬的服務器端程序植入到你的電腦里面。 商務運作中斷：由于攻擊造成的停工會導致生產率降低和收入損失，而與恢復受攻擊的網絡相關的花費又會增加處理攻擊事件的總體財務成本。 品牌資產被損害：對企業(yè)品牌的損害可能會有多種形式，但每種形式都會降低企業(yè)在市場中的地位。關于安全恢復機制的作用，顧名思義就是對已經出現的攻擊行為進行挽救，及時應急處理和盡快、及時對損失破壞的信息進行恢復，以阻止進一步的損害。 某企業(yè)防火墻技術分析與應用部署設計與實施 21 8．動態(tài)發(fā)展原則 采用安全措施就是為了維護網絡安全，所以當網絡環(huán)境發(fā)生變動，網絡安全需求也會發(fā)生變化，為了適應新的網絡環(huán)境，必須要調整新的安全策略，因此，安全措施并不是保持一成不變的，是處于動態(tài)變化中的。與 TCP/IP 層次對應，可以把會話層、表示、應用層統(tǒng)一為“應用層”。內部用戶偷竊數據，破壞硬件和軟件，并且巧妙地修改程序而不接近防火墻。假如防火墻是一幢大樓的門衛(wèi)，那么 IDS 就是這幢大樓里的監(jiān)視系統(tǒng)。通過對網絡的掃描，網絡管理員可以了解網絡的安全配置和運行的應用服務，及時發(fā)現安全漏洞，客觀評估網絡風險等級。其目的很明確，就是使網絡中的資源得到更加有效的利用。 某企業(yè)防火墻技術分析與應用部署設計與實施 28 2. 安全管理體系 單純依靠網絡安全技術的革新，不可能完全解決網絡安全的隱患，想從根本上克服網絡安全問題，網絡安全的任何一項工作，都必須在網絡安全策略、網絡安全組織、網絡安全技術、網絡安全運行體系的綜合作用下才能取得成效。防火墻技術主要是起到隔離控制作用，因此，在不同網絡或網絡安全域之間都可以安裝防火墻來作為信息的出入口，網絡的信息流能夠被掌控。 4. 防火墻是一個安全策略的檢查站 任何的信息在傳送，保持的過程中，都需要經過防火墻進行檢查的，安全系統(tǒng)中作為檢查點的防火墻為網絡的安全性發(fā)揮著重要的作用。在虛擬某企業(yè)防火墻技術分析與應用部署設計與實施 33 專用網中的主機將不會覺察到公共網絡的存在，仿佛所有的主機都處于一個內部網絡中一樣。通過 VPN 所必需的已驗證的訪問、加密和用戶數據壓縮，可以確保安全地訪問專用數據。因此，現代網絡系統(tǒng)基礎設施的重要部分就該屬于防火墻系統(tǒng)和 VPN 應用系統(tǒng)，在企業(yè)網絡安全系統(tǒng)第一階段就是要確保這兩項工作做好。 安全掃描技術：幫助網絡管理員了解網絡的安全配置和運行的應用服務，及時發(fā)現安全漏洞，客觀評估網絡風險等級。 Intrusion Detection Systems 在計算機網絡中的位置一般選擇在： （ 1）盡可能靠近攻擊源 （ 2）盡可能靠近受保護資源 這些位置通常是：計算機服務器區(qū)域的交換機上；因特網接入路由器之后的第一臺交換機上；重點受保護網段的局域網的交換機上，入侵檢測系統(tǒng)的部署方 式如圖 47 所示： 入侵檢測系統(tǒng)部署圖 某企業(yè)防火墻技術分析與應用部署設計與實施 39 根據企業(yè)內部網絡結構，在計算機網絡的 key point 設置 Intrusion Detection Systems。計算機網絡管理員還可以根據安全掃描的結果來更正系統(tǒng)中的錯誤配置和計算機網絡的安全漏洞，得以在黑客進行攻擊前進行防范。 3. 計算機機房的安全技術管理 計算機機房的安全保衛(wèi)技術是機房安全技術的重要組成部分，主要的安全技術措施是：報警、防盜、實時監(jiān)控等。將通信電纜封閉在塑管中，并在計算機通信電纜兩端充氣加大壓力。 本章小結 本章詳細敘述了企業(yè)網絡攻擊的入侵方式和種類，如口令入侵；利用軟件系統(tǒng)的漏洞“后門”入侵網絡監(jiān)聽；拒絕服務攻擊；偽裝 IP 攻擊；特洛伊木馬；計算機病毒；蠕蟲程序，同時詳細介紹了防止網絡攻擊的技術實現方式，如防火墻； )入侵檢測系統(tǒng)；安全掃描技術；安全漏洞評估工具；網絡管理技術；多層次的、立體的病毒防護體系；安全審計；線路數據 加密。 公司網絡安全現狀分析 VLAN 技術能有效隔離局域網，防止網內的攻擊，所以杭州數媒企訓科技有限公司網絡中按部門進行了 VLAN 劃分，劃分為以下兩個 VLAN： 財務部門 VLAN 10 交換機 S1 接入交換機（神州數碼 DCS3950） 業(yè)務部門 VLAN 20 交換機 S2 接入交換機（神州數碼 DCS3950） 核心交換機 VLAN 間路由 核心交換機 S3（神州數碼 DCRS5526） S1 配置如下 : switch switchena switchcon switch(Config)vlan 10 switch(ConfigVlan10)sw int e 0/0/120 switch(ConfigVlan10)exit 某企業(yè)防火墻技術分析與應用部署設計與實施 46 switch(Config)exit switchcon switch(Config)int e 0/0/24 switch(ConfigEther0/0/24)sw m t Set the port Ether0/0/24 mode TRUNK successfully switch(ConfigEther0/0/24)sw t a v a set the port Ether0/0/24 allowed vlan successfully switch(ConfigEther0/0/24)exit switch(Config)ip dhcp pool vlan10 switch(dhcpvlan10config)workaddress switch(dhcpvlan10config)lease 3 switch(dhcpvlan10config)defaultrouter switch(dhcpvlan10config)dnsserver switch(dhcpvlan10config)exit switch(config)ip dhcp excludedaddress S2 配置如下 : 某企業(yè)防火墻技術分析與應用部署設計與實施 47 Switch Switchena Switchcon switch(Config)vlan 20 switch(ConfigVlan20)sw int e 0/0/120 switch(ConfigVlan20)exit switch(Config)exit switc