【正文】 網(wǎng)絡(luò)的安全管理是一個(gè)動(dòng)態(tài)的、不斷完善的過(guò)程，即使忽略了很小的一個(gè)細(xì)節(jié)，也可能帶來(lái)意想不到的危險(xiǎn)。網(wǎng)絡(luò)反病毒包括預(yù)防病毒、檢測(cè)病毒和殺毒： （ 1）預(yù)防病毒：加密可執(zhí)行程序、引導(dǎo)區(qū)保護(hù)、系統(tǒng)監(jiān)控與讀寫(xiě)控制； （ 2）檢測(cè)病毒：它是通過(guò)對(duì)病毒的特征來(lái)進(jìn)行判斷的技術(shù)，如自身校驗(yàn)、關(guān)鍵字、文件長(zhǎng)度的變化、注冊(cè)表的改變等。 安全防護(hù)配置不當(dāng)問(wèn)題 部分內(nèi)部人員因?yàn)闅⒍拒浖劝踩雷o(hù)措施占用部分系統(tǒng)資源，他們?yōu)榱俗非笠欢ǖ?娛樂(lè)效果而將這些安全措施廢棄不用，甚至某些內(nèi)部員工為非法分子大開(kāi)方便之門(mén)，將防火墻和其他安全防范軟件關(guān)閉從而導(dǎo)致內(nèi)部其他機(jī)器完全暴露于威脅之下。 網(wǎng)絡(luò)安全問(wèn)題的特征有：拒 絕服務(wù)攻擊頻繁，黑客活動(dòng)，安全防范意識(shí)不夠，安全措施使用不當(dāng)?shù)鹊取? （ 2）配置 POP3 服務(wù)器 創(chuàng)建郵件域：點(diǎn)擊 “開(kāi)始 → 管理工具 →POP3 服務(wù) ”，彈出 POP3 服務(wù)控制臺(tái)窗口。 配置過(guò)程 CISCO IDS 4235實(shí)際上是一臺(tái)安裝了 CISCO操作系統(tǒng)的主機(jī)其配置過(guò)程均可采用類似路由器交換機(jī)的命令行命令來(lái)實(shí)現(xiàn)。 能感知網(wǎng)絡(luò)內(nèi)容和網(wǎng)絡(luò)應(yīng)用的第 2～ 7 層交換服務(wù)。 設(shè)備配置： 1） CISCO SECURE PIX 525； 2） 4 個(gè) 100M 以太網(wǎng)端口； 3） 128M 內(nèi)存； 4） 600MHZ CPU。對(duì) 于重要的 IP 地址（例如領(lǐng)導(dǎo)使用的 IP 地址和各個(gè)服務(wù)器使用的 IP 地址），采取 IP 地址和 MAC 地址綁定的方法，來(lái)保證 IP 地址不被盜用。針對(duì)中小型公司系統(tǒng)在實(shí)際運(yùn)行中所面臨的各種威脅，采用防護(hù)、檢測(cè)、反應(yīng)、恢復(fù)四方面行之有效的安全措施，建立一個(gè)全方位并易于管理的安全體系，確保中小型公司系統(tǒng)安全可靠的運(yùn)行。這就要求網(wǎng)絡(luò)建設(shè)在系統(tǒng)設(shè)計(jì)時(shí)既要采用先進(jìn)的概念、技術(shù)和方法，又要注意結(jié)構(gòu)、設(shè)備、工具的相對(duì)成熟。基于以上的安全目標(biāo)，我們可以制定如下安全策略：利用路由器，防火墻， VPN，實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的隔離、審查和過(guò)濾。內(nèi)部突破是指己 授權(quán)的計(jì)算機(jī)系統(tǒng)用戶訪問(wèn)未經(jīng)授權(quán)的數(shù)據(jù) 。內(nèi)部不滿的人員有的可能造成極大的安全風(fēng)險(xiǎn) [10]。 由于中小型公司中小型公司校園網(wǎng)絡(luò)中大量使用了網(wǎng)絡(luò)設(shè)備，如交換機(jī)、路由器等。 物理層安全風(fēng)險(xiǎn) 因?yàn)榫W(wǎng)絡(luò)物理層安全是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。 絡(luò)現(xiàn)狀、中小型公司的需求、網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)分析及網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)目標(biāo)和總體規(guī)劃，設(shè)計(jì)了中小型網(wǎng) 絡(luò)安全系統(tǒng)方案，運(yùn)用先進(jìn)的網(wǎng)絡(luò)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品對(duì)方案進(jìn)行了實(shí)現(xiàn)，探討了今后網(wǎng)絡(luò)安全系統(tǒng)的發(fā)展方向。同時(shí)病毒也是系統(tǒng)安全的主要威脅，所有這些都造成了系統(tǒng)安全的脆弱性。而現(xiàn)代的病毒傳播手段主要是通過(guò)網(wǎng)絡(luò)實(shí)現(xiàn)的，一臺(tái)客戶機(jī)被病毒感染，迅速通過(guò)網(wǎng)絡(luò)傳染到同一網(wǎng)絡(luò)的上百臺(tái)機(jī)器。網(wǎng)絡(luò)安全的意義，就在于資料、信賴關(guān)系和網(wǎng)絡(luò)的傳輸能力與端系統(tǒng)的處理能力三個(gè)要素的保護(hù)，保證這三者能為所適合的用戶服務(wù)。 (3) 保密性是指網(wǎng)絡(luò)信息不被泄露的特性。當(dāng)系統(tǒng)自身的情況發(fā)生變化時(shí)，必須注意及時(shí)修改相應(yīng)的安全策略。 3 網(wǎng)絡(luò)安全的方案設(shè)計(jì) 總體設(shè)計(jì)方案 企業(yè)網(wǎng)絡(luò)建設(shè)的基本目標(biāo)就是在網(wǎng)絡(luò)中心和各部門(mén)的局域網(wǎng)建設(shè)、及其廣域網(wǎng)互聯(lián)的基礎(chǔ)上，將互聯(lián)網(wǎng)技術(shù)引入企業(yè)內(nèi)部網(wǎng)，從而建立起統(tǒng)一、快捷、高效的內(nèi)部網(wǎng)絡(luò)系統(tǒng)。 內(nèi)部網(wǎng)絡(luò) IP 地址分配 內(nèi)部網(wǎng)部分可以使用保留地址。 CISCO提供防火墻運(yùn)行自己定制的操作系統(tǒng)，事實(shí)證明，它可以有效地防止非法攻擊。 CISCO 2811 提供了 2 個(gè) 10Mbps/100Mbps 端口，它能以線速為多條 T1/E1/xDSL 連接提供多種高質(zhì)量并發(fā)服務(wù)。 CATALYST 3548XL 支持 FEC（ FAST ETHERNET CHANNEL）技術(shù)、 ISL（ INTER SWITCH LINK）技術(shù)。 （ 5）為了便于訪問(wèn)還應(yīng)設(shè)置默認(rèn)文檔（ 、 ）。默認(rèn)情況下，此處的文件夾位置為 “C:\Ipub\Ftproot”。然而在建立內(nèi)網(wǎng)時(shí)候我們通常會(huì)遇到如下問(wèn)題： 非法 另辟 外聯(lián)問(wèn)題 網(wǎng)絡(luò)中， 之所以有內(nèi)外網(wǎng)絡(luò)之分，是因?yàn)樵诔鋈肟谖覀兗訌?qiáng)了戒備從而保證內(nèi)部網(wǎng)絡(luò)的安全。因此，內(nèi)部網(wǎng)服務(wù)器設(shè)有三道安全屏障，入侵者代價(jià)更高。 防火墻日志備份、分析 對(duì)象：防火墻設(shè)備；周期：一周一次； 內(nèi)容：導(dǎo)出防火墻日志并進(jìn)行分析。 （ 7）不允許私自介入外部網(wǎng)絡(luò) （ 8）要求各項(xiàng)安全軟件正常啟用不得進(jìn)行不當(dāng)配置。 防病毒軟件病毒庫(kù)定期升級(jí) 對(duì)象：安裝防病毒客戶端的終端；周期：每 半 周一次； 內(nèi)容：防病毒服務(wù)器通過(guò) Inter 更新病毒庫(kù)；防病毒服務(wù)器強(qiáng)制所有在線客戶端更新病毒庫(kù)。 17 防火墻 防火墻就是 根據(jù)一定的安全策略和規(guī)則對(duì)外來(lái)的信息流進(jìn)行安全檢查，然后確定是否將信息流轉(zhuǎn)發(fā)給內(nèi)網(wǎng)。同樣 對(duì)于一個(gè)網(wǎng)絡(luò)安全來(lái)說(shuō)，外部網(wǎng)絡(luò)安全可通過(guò)網(wǎng)絡(luò)本身的健壯性及網(wǎng)絡(luò)安全管理員的管理 和認(rèn)真負(fù)責(zé) 來(lái)解決，但網(wǎng)絡(luò)內(nèi)部若存在隱患的話，只能通過(guò)制定相應(yīng)的政策來(lái)強(qiáng)制約束內(nèi)部網(wǎng)絡(luò)的使用者，才能盡可能避免網(wǎng)絡(luò)內(nèi)部有意或無(wú)意攻擊使外部健壯的網(wǎng)絡(luò)不堪一擊。 （ 2）鼠標(biāo)右擊 IIS 中的 “默認(rèn) FTP 站點(diǎn) ”項(xiàng)，選擇 “屬性 ”菜單。 （ 3）右擊 “網(wǎng)站 ”，在菜單中選擇 “新建 → 網(wǎng)站 ”，打開(kāi) “網(wǎng)站創(chuàng)建向?qū)?”。 CISCO Systems Catalyst 3500 XL 系列是一系列可伸縮的堆疊 10/100 和 Gigabit Ether 交換機(jī)，提供優(yōu)異的 性能、可管理性和靈活性。CISCO 281 具有先進(jìn)、集成的端到端安全性，以用于提供融合服務(wù)和應(yīng)用。 4 設(shè)備選型及配置 防火墻 產(chǎn)品概述 本方案采用 CISCO 公司的防火墻系列產(chǎn)品 PIX 中的 CISCO SECURE PIX 525，它很好的支持了多媒體信息的傳輸，使用與管理更方便。并結(jié)合中心交換機(jī)的第三層交換功能，進(jìn)行子網(wǎng)的劃分，一方面可以降低網(wǎng)絡(luò)風(fēng)暴的發(fā)生，另一方面也加強(qiáng)了網(wǎng)絡(luò)的安全性。 為了適應(yīng)系統(tǒng)變化的要求，必須充分考 慮以最簡(jiǎn)便的方法、最低的投資，實(shí)現(xiàn)系統(tǒng)的擴(kuò)展和維護(hù)，采用可網(wǎng)管產(chǎn)品，降低了人力資源的費(fèi)用，提高網(wǎng)絡(luò)的易用性。 (4)一切都被允許，當(dāng)然也包括那些本來(lái)被禁止的?？煽啃灾饕侵妇W(wǎng)絡(luò)系統(tǒng)硬件和軟件無(wú)故障運(yùn)行的性能。通過(guò)制度的約束，確定不同學(xué)員的網(wǎng)絡(luò)訪問(wèn)權(quán)限，提高管理人員的安全防范意識(shí)，做到實(shí)時(shí)監(jiān)控檢測(cè)網(wǎng)絡(luò)的活動(dòng)，并在危害發(fā)生時(shí)，做到及時(shí)報(bào)警。造成泄密或者做一些篡改來(lái)破壞數(shù)據(jù)的完整性。為了保證中小型公司系統(tǒng)的物理安全，首先要保證系統(tǒng)滿足相應(yīng)的國(guó)家標(biāo)準(zhǔn)，同時(shí)對(duì)重要的網(wǎng)絡(luò)設(shè)備采用 UPS 不間斷穩(wěn)壓電源，對(duì)重要的設(shè)備如數(shù)據(jù)庫(kù)服務(wù)器、中心交換機(jī)等采用雙機(jī)熱備份，對(duì)安全計(jì)算機(jī)電磁泄漏發(fā)射距離不符合安全距離的應(yīng)采取電磁泄漏發(fā)射防護(hù)措施，對(duì)重要的通訊線路采用備份等等。 。 、水災(zāi)、火災(zāi)等環(huán)境事故造成整個(gè)系統(tǒng)毀滅。 網(wǎng)絡(luò)傳輸?shù)陌踩L(fēng)險(xiǎn)分析：中小型公司中小型公司校園網(wǎng)絡(luò)與其他院校的遠(yuǎn)程傳輸安全的威脅來(lái)自如下兩個(gè)方面：內(nèi)部業(yè)務(wù)數(shù)據(jù)明文傳送帶來(lái)的威脅 。即除了從技術(shù)上功夫外，還得靠安全管理來(lái)實(shí)現(xiàn)。網(wǎng)絡(luò)自身的缺陷、開(kāi)放性以及黑客的攻擊是造成網(wǎng)絡(luò)不安全的主要原因。 網(wǎng)絡(luò)安全策略目的是決定一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)的組織結(jié)構(gòu)怎樣來(lái)保護(hù)自己的網(wǎng)絡(luò)及其信息，一般來(lái)說(shuō)，安全策略包括兩個(gè)部分：一個(gè)總體的策略和具體的規(guī)則。 （ 3） 可靠性和穩(wěn)定性 。 客戶機(jī)服務(wù)器網(wǎng)的缺點(diǎn)是：需專用文件服務(wù)器和相應(yīng)的外部連接設(shè)備，建設(shè)網(wǎng)絡(luò)的成本較高，網(wǎng)絡(luò)管理上也較復(fù)雜。 假設(shè)以下情況： 分配 Web 服務(wù)器的 IP 為：內(nèi)部 IP： ，真實(shí) IP： . 。當(dāng)內(nèi)部某一用戶要訪問(wèn) Inter 時(shí)， Inter 上看見(jiàn)的這個(gè)用戶的 IP 地址就是防火墻的地址； 3）外部網(wǎng)絡(luò)的用戶只有通過(guò)防火墻來(lái)才能訪問(wèn) WEB 服務(wù)器和郵件服務(wù)器，由防火墻來(lái)完成 IP 地址的映射。 Catalyst 6500 系列中的所有型號(hào)都使用了統(tǒng)一的模塊和操作系統(tǒng)軟件，形 成了能夠適應(yīng)未來(lái)發(fā)展的體系結(jié)構(gòu)，由于能提供操作一致性，因而能提高 IT 基礎(chǔ)設(shè)施的利用率，并增加投資回報(bào)。 GigabitEther0/3 GigabitEther0/3 physical interface 、 Management0/0 Management0/0 physical interface。 （ 3）配置 SMTP 服務(wù)器 完成 POP3 服務(wù)器的配置后，就可開(kāi)始配置 SMTP 服務(wù)器了。 網(wǎng)絡(luò)攻擊 網(wǎng)絡(luò)外部攻擊，已達(dá)到竊取或篡改網(wǎng)絡(luò)內(nèi)部文件數(shù)據(jù)，破壞網(wǎng)絡(luò)的安全性，使部門(mén)內(nèi)部無(wú)法正常工作；通過(guò)拒絕服務(wù)等攻擊手段使網(wǎng)絡(luò)服務(wù)器無(wú)法向內(nèi)內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)請(qǐng)求，破壞網(wǎng)絡(luò)的可用性。 登陸 控制 用于控制用戶對(duì)網(wǎng)絡(luò)系統(tǒng)和資源的訪問(wèn)。 對(duì)網(wǎng)絡(luò)服務(wù)器中的文件進(jìn)行頻繁地掃描和監(jiān)測(cè)；在用戶機(jī)器裝可受服務(wù)控制的客戶端殺毒軟件和對(duì)網(wǎng)絡(luò)目錄及文件設(shè)置訪問(wèn)權(quán)限。 因此在選聘的時(shí)候要認(rèn)真嚴(yán)謹(jǐn)選取可靠專業(yè)細(xì)心地人員擔(dān)當(dāng)。 19 信息備份系統(tǒng) 對(duì)象：所有重要信息；周期：根據(jù)網(wǎng)絡(luò)情況定完全備份和增量備份的時(shí)間； 內(nèi)容：定期備份電子信息。 功能： （ 1）單向 控制 訪問(wèn)：允許局域網(wǎng)用戶訪問(wèn)互聯(lián)網(wǎng)資源，但是嚴(yán)格限制互聯(lián)網(wǎng)用戶對(duì)局域網(wǎng)資源的訪問(wèn)； （ 2）區(qū)域 協(xié)調(diào) 劃分：通過(guò)防火墻，將整個(gè)局域網(wǎng)劃分互聯(lián)網(wǎng)， DMZ 區(qū)，內(nèi)網(wǎng)訪問(wèn)區(qū)這三個(gè)邏輯上分開(kāi)的區(qū)域； （ 3）整體 安全 防護(hù)：局域網(wǎng)所有工作站和服務(wù)器處于防火墻地整體 安全 防護(hù)之下； （ 4）流量 精確 控制：確保重要業(yè)務(wù)對(duì)流量 和帶寬 的要求 優(yōu)先輔助完成 ； （ 5）過(guò)濾 完美 規(guī)則：通過(guò)防火墻的過(guò)濾規(guī)則，實(shí)現(xiàn)端口級(jí)別控制，限制局域網(wǎng)用戶對(duì)互聯(lián)網(wǎng)的訪問(wèn)；以時(shí)間為控制要素，限 制大流量網(wǎng)絡(luò)應(yīng)用在上班時(shí)間的使用；限制互聯(lián)網(wǎng)用戶對(duì) WEB 服務(wù)器的訪問(wèn)，將訪問(wèn)權(quán)限控制在最小的限度；對(duì)遠(yuǎn)程更新的時(shí)間、來(lái)源（通過(guò) IP 地址）進(jìn)行限制。還有一些內(nèi)部人員安全意識(shí)淡薄，不安裝指定的防毒軟件等等。 6 安全管理規(guī)則 使用中的 網(wǎng)絡(luò)安全問(wèn)題 在平時(shí)使用過(guò)程中， 網(wǎng)絡(luò)安全主要 涉及 到內(nèi)部網(wǎng)絡(luò)安全與外部網(wǎng)絡(luò)安全 兩個(gè)部分的 ，主要存在安全風(fēng)險(xiǎn)的對(duì)象包括網(wǎng)絡(luò)內(nèi)的硬件設(shè)備，傳輸及存儲(chǔ)的數(shù)據(jù)。 郵件服務(wù)器的配置 （ 1）安裝 POP3 和 SMTP 服務(wù) 組件 以系統(tǒng)管理員身份登錄系統(tǒng)，在 “Windows 組件向?qū)?”對(duì)話框中選中 “電子郵件服務(wù) ”選項(xiàng)，點(diǎn)擊 “詳細(xì)信息 ”按鈕，選中 “POP3 服務(wù) Web 管理 ”。當(dāng)非法活動(dòng)被檢測(cè)到以后，傳感器向管理控制臺(tái)發(fā)出帶有活動(dòng)詳細(xì)內(nèi)容的告警信息，然后控 制其它系統(tǒng)，如路由器斷開(kāi)非法對(duì)話；檢測(cè)器可以向管理控制臺(tái)通報(bào)行為細(xì)節(jié)另外 CISCO IDS 主動(dòng)響應(yīng)系統(tǒng)，還能控制路由器、防火墻和交換機(jī)等，及時(shí)中斷非法操作。 路由器配置： no service tcp smallservers logging trap debugging logging enable secret interface Ether 0 ip address interface Serial 0 ip unnumbered ether 0 ip accessgroup 110 in accesslist 110 deny ip any log accesslist 110 deny ip any host Iog accessIist 110 permit tcp any established accesslist 110 permit tcp any host eq accesslist 110 permit tcp any host eq accesslist I10 permit tcp any host