【正文】 的主要任務(wù)是加強物理層傳輸原始比特的功能，數(shù)據(jù)鏈路層有一些適用于有線、無線網(wǎng)絡(luò)的 MAC層安全協(xié)議，網(wǎng)絡(luò)層建立端到端的路由，利用 IPSec（互聯(lián)網(wǎng)安全協(xié)議）增強其安全性能。應(yīng)用系統(tǒng)數(shù)據(jù)量龐大適宜數(shù)據(jù)集中存儲；③網(wǎng)絡(luò)結(jié)構(gòu)健壯性強。 ②被保護子網(wǎng)和信息的隱藏；由于所有進出網(wǎng)絡(luò)的信息，都要經(jīng)過防火墻的審核，因此防火墻為網(wǎng)絡(luò)安全起到了看門人的作用。典型的硬件防火墻如 Cisco PIX 525 等。不符合規(guī)則的包會被路由器丟棄。有些信息處理工作不能由一個人負責(zé)，比如：系統(tǒng)軟件與應(yīng)用軟件的開發(fā)、機密文件的傳送與接收、信息處理系統(tǒng)相關(guān)媒介的保管與電腦操作、電腦操作與編程、系統(tǒng)管理與安全管理、管理訪問證件與其它工作等等。綜上所述，企業(yè)管理策略和管理方案是確保人員素質(zhì)和網(wǎng)絡(luò)可靠運行的有力保障。因此，本文對企業(yè)網(wǎng)絡(luò)的構(gòu)建和企業(yè)網(wǎng)絡(luò)安全建設(shè)具有一定的參考價值。［10］楊義先、鈕心忻：《網(wǎng)絡(luò)安全理論與技術(shù)》 ，北京人民郵電出版社，2022 年，第 24 頁。我會在以后的工作、學(xué)習(xí)和生活中取得更加優(yōu)秀的成績來感謝和報答你們。 [12]赫爾利、楊青：無線網(wǎng)安全 科學(xué)出版社，2022，4,1。［2］麻信洛：《無線局域網(wǎng)構(gòu)建及應(yīng)用》 ，北京國防工業(yè)出版社，2022 年，第 3 頁。165結(jié)論本文深入分析了當前中小企業(yè)的網(wǎng)絡(luò)安全建設(shè)存在的問題，從網(wǎng)絡(luò)的復(fù)雜性以及網(wǎng)絡(luò)安全意識欠缺給企業(yè)帶來安全風(fēng)險的角度，探討了網(wǎng)絡(luò)安全建設(shè)的必要性。由主管人指派一些忠誠可靠，可以勝任此項工作的人參加。它可以代替昂貴的商業(yè)防火墻解決方案，完成封包過濾、封包重定向和網(wǎng)絡(luò)地址轉(zhuǎn)換 NAT 等功能。它以專門的硬件化的操作系統(tǒng)為中心，以命令的方式實現(xiàn)配置和管理。因此，防火期可以限制局部網(wǎng)絡(luò)安全問題對整個網(wǎng)絡(luò)的影響。防火墻(firewall)是一項協(xié)助確保信息安全的設(shè)備或者軟件，會依照特定的規(guī)則，允許在具體應(yīng)用中,一方面，從硬件層級上講， 防火墻是位于被保護網(wǎng)和外部網(wǎng)之間的一組硬件設(shè)備，位于路由器和各個計算機之間，一般是由系統(tǒng)管理員控制防火墻的規(guī)則，確保在能夠提供訪問的同時,保護內(nèi)部網(wǎng)絡(luò)。針對特定的安全應(yīng)用，設(shè)計合理的防護措施并部署到環(huán)境中。圖 43 就是典型的中小企業(yè)網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖。企業(yè)網(wǎng)絡(luò)總體規(guī)劃如圖 41 所示： 圖 企業(yè)網(wǎng)絡(luò)總體規(guī)劃11對于企業(yè)來說，網(wǎng)絡(luò)管理已經(jīng)從最初的單一網(wǎng)管需求發(fā)展到 IT 綜合管理需求,這些管理都是緊密關(guān)聯(lián)、如圖42 所示：（1）合理規(guī)劃的拓撲結(jié)構(gòu)。對于網(wǎng)絡(luò)層的防護，主要包含以下幾個方面：（1）WEB 網(wǎng)站安全防護需求。它對用戶進行權(quán)限的分配，控制不同用戶對網(wǎng)絡(luò)資源的訪問或者服務(wù)器訪問的權(quán)限，為用戶指定能夠訪問的對象和獲取的資源。企業(yè)網(wǎng)絡(luò)對于傳輸層的需求一般有：（1）文件傳輸?shù)陌踩枨?。?）針對 MAC 地址的泛洪攻擊。（3）保證存儲或存檔的所有數(shù)據(jù)的完整性、真實性和可用性。 （2）信息竊取和網(wǎng)絡(luò)攻擊危害網(wǎng)絡(luò)數(shù)據(jù)安全。（2）安全檢測保護。包含網(wǎng)絡(luò)協(xié)議不受篡改，確保服務(wù)順利完成。6企業(yè)網(wǎng)絡(luò)安全建設(shè)需求分析通過第二章中對網(wǎng)絡(luò)安全和企業(yè)網(wǎng)絡(luò)安全建設(shè)的現(xiàn)狀分析，可知構(gòu)建一個合理有效的企業(yè)網(wǎng)絡(luò)安全體系和規(guī)則，對于解決網(wǎng)絡(luò)安全建設(shè)中所暴露出來的諸多問題是大有必要的。企業(yè)對外部互聯(lián)網(wǎng)的接入，應(yīng)該設(shè)計系統(tǒng)化的防護體系,這并非是簡簡單單的防火墻就可以完成的，應(yīng)由專業(yè)認識進行設(shè)計。因此內(nèi)部安全威脅已經(jīng)上升為主要矛盾。這種情況下，即使有網(wǎng)絡(luò)攻擊或者病毒的入侵，網(wǎng)絡(luò)使用者也很難及時發(fā)現(xiàn)以阻止入侵，更不用說挽回損失了。他一方面要負責(zé)通過各種網(wǎng)絡(luò)管理軟件，對網(wǎng)絡(luò)上進行數(shù)據(jù)訪問和存儲的用戶行為進行監(jiān)控，另一方面要制定各種網(wǎng)絡(luò)訪問策略和監(jiān)控策略，比如過濾規(guī)則，路由規(guī)則等。各式各樣的設(shè)備互連設(shè)備，又同時將整個企業(yè)網(wǎng)絡(luò)劃分為幾個小局域網(wǎng)，組成了網(wǎng)絡(luò)互連結(jié)構(gòu)。對接入互聯(lián)網(wǎng)的子網(wǎng)，要采取嚴格的訪問控制策略和入侵檢測措施。企業(yè)網(wǎng)絡(luò)安全建設(shè)方案，也包括內(nèi)部的安全系統(tǒng)建設(shè)和外部入侵的防御檢測系統(tǒng)建設(shè)兩個方面。但隨著企業(yè)網(wǎng)絡(luò)化和信息化進程的推進，對網(wǎng)絡(luò)安全問題的認識也會在管理體制上、理論研究上、技術(shù)儲備上不斷地深化和改進，為提出解決網(wǎng)絡(luò)安全問題的更加有效的可行性方案提供思路和途徑。任何一個安全體系的設(shè)計方案都不能完全解決所有的安全問題?；诖耍髽I(yè)網(wǎng)絡(luò)安全也要從內(nèi)部和外部，也就是 Intra和 Inter 兩個方面來考量。整個企業(yè)的網(wǎng)絡(luò)系統(tǒng)存在兩個方面的安全問題：（1）企業(yè)網(wǎng)絡(luò)接入互聯(lián)網(wǎng)的安全性。網(wǎng)絡(luò)互聯(lián)是個拓撲結(jié)構(gòu)，除掉各個計算機終端節(jié)3點之外，還需要各種互連設(shè)備，比如交換機、路由器等。網(wǎng)絡(luò)管理一般由專人負責(zé)，稱為網(wǎng)絡(luò)管理員。這必然會導(dǎo)致技術(shù)基礎(chǔ)和技術(shù)儲備的匱乏，使得網(wǎng)絡(luò)管理在軟硬件方面上都有先天缺陷，在網(wǎng)絡(luò)穩(wěn)定性和安全性方面存在嚴重隱患。 網(wǎng)絡(luò)防護體系建設(shè)缺乏有效重視和投入企業(yè)網(wǎng)絡(luò)中，用戶主要來自于內(nèi)部，由受信任的內(nèi)部用戶發(fā)起的攻擊是最危險的一種形式。然而，企業(yè)特別是中小型企業(yè)，在網(wǎng)絡(luò)安全體系的建設(shè)中還存在以下不足：傳統(tǒng)防護體系在系統(tǒng)化設(shè)計上存在欠缺。構(gòu)建一套合理的網(wǎng)絡(luò)安全管理規(guī)章和制度，是一個企業(yè)在制度上落實網(wǎng)絡(luò)安全建設(shè)5的重要環(huán)節(jié)，也是經(jīng)過許多企業(yè)網(wǎng)絡(luò)建設(shè)的成功和失敗的經(jīng)驗教訓(xùn)檢測之后的行之有效的舉措之一。（3）完整性服務(wù)。分析所有針對受保護對象的訪問,過濾惡意攻擊以及可能帶來不安全因素的非法訪問。常見的危害應(yīng)用層安全的的因素如下：（1）網(wǎng)絡(luò)蠕蟲、病毒等危害網(wǎng)絡(luò)信息安全。（2）能夠?qū)τ脩羯矸葸M行鑒別與認證。通過偽造 IP 地址和 MAC 地址實現(xiàn) ARP 欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的 ARP 通信量使網(wǎng)絡(luò)阻塞。傳輸層主要有兩個安全協(xié)議：SSL （Secure Sockets Layer）和 PCT（Private Communications Technology） 。內(nèi)網(wǎng)的訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制。一般而言，設(shè)計網(wǎng)絡(luò)時，內(nèi)部網(wǎng)絡(luò)自成體系，有自己的子網(wǎng)網(wǎng)段，各子網(wǎng)必須通過中間設(shè)備進行連接，利用這些中間設(shè)備的安全機制來控制各子網(wǎng)之間的訪問。內(nèi)部網(wǎng)絡(luò)建設(shè)以搭建各種應(yīng)用服務(wù)器集群，包括 WEB、Mail、FTP 等服務(wù)，以及提供數(shù)據(jù)存儲和備份服務(wù)的數(shù)據(jù)庫服務(wù)器集群，數(shù)據(jù)服務(wù)中心包括業(yè)務(wù)管理和網(wǎng)絡(luò)管理兩種功能，控制和監(jiān)控整個網(wǎng)絡(luò)的運行情況并采取相應(yīng)的措施，各網(wǎng)絡(luò)模塊之間通過交換機、路由器等互連設(shè)備聯(lián)系在一起。拓撲圖給出網(wǎng)絡(luò)服務(wù)器、工作站的網(wǎng)絡(luò)配置和相互間的連接。第五層以上（含第五層）的安全機制根據(jù)不同應(yīng)用的安全性需求，需要系統(tǒng)設(shè)計者根據(jù)自身需求量身定做。根據(jù)應(yīng)用系統(tǒng)的廣泛性，業(yè)務(wù)運算及傳輸對系統(tǒng)的處理能力13以及網(wǎng)絡(luò)的負載能力提出了非常高的要求； 企業(yè)網(wǎng)絡(luò)的防火墻防護設(shè)計（1）企業(yè)級防火墻的概念。結(jié)合授權(quán)訪問，防火墻可以有效的屏蔽內(nèi)部信息不為外部可見，防火墻可以限制被保護子網(wǎng)的暴露。Cisco PIX 525 使用思科的專用自適應(yīng)算法 ASA 與狀態(tài)表進行會話以及進行其他事務(wù)的處理。②iptables 防火墻設(shè)計； iptables 防火墻是 LINUX 下的免費防火墻，它是 LINUX 內(nèi)核中 filter 架構(gòu)的一種策略管理工具，隨著 LINUX 發(fā)行版的推廣而流行開來。（2）責(zé)任原則每項與安全相關(guān)的活動，須多人在場（兩人及兩人以上） 。良好的管理策略對于企業(yè)網(wǎng)絡(luò)安全狀況的提升具有積極的促進意義。17注釋［1］段水福：《無線局域網(wǎng)(WLAN)設(shè)計與實踐》 ，杭州浙江大學(xué)出版社，2022 年，第 3 頁。［11］賀雪晨：信息對抗與網(wǎng)絡(luò)安全 清華大學(xué)出版社(第 2 版) ，2022,5