【文章內(nèi)容簡(jiǎn)介】 信息的安全和各種應(yīng)用系統(tǒng)的安全，在規(guī)劃時(shí)就要為局域網(wǎng)考慮一個(gè)周全的安全保密方案 。 婁底職業(yè)技術(shù)學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專業(yè)畢業(yè)論文 5 第 2 章 小型企業(yè)安全分析 小型企業(yè)網(wǎng)絡(luò)安全分析 局域網(wǎng)由于通過(guò)交換機(jī)和服務(wù)器連接網(wǎng)內(nèi)每一臺(tái)電腦，因此局域網(wǎng)內(nèi)信息的傳輸速率比較高，同時(shí)局域網(wǎng)采用的技術(shù)比較簡(jiǎn)單，安全措施較少，同樣也給病毒傳播提供了有 效的通道和數(shù)據(jù)信息的安全埋下了隱患。局域網(wǎng)的網(wǎng)絡(luò)安全威脅通常有以下幾類： （ 1） 欺騙性的軟件使數(shù)據(jù)安全性降低 由于局域網(wǎng)很大的一部分用處是資源共享，而正是由于共享資源的“數(shù)據(jù)開放性”，導(dǎo)致數(shù)據(jù)信息容易被篡改和刪除，數(shù)據(jù)安全性較低。例如“網(wǎng)絡(luò)釣魚攻擊”，釣魚工具是通過(guò)大量發(fā)送聲稱來(lái)自于一些知名機(jī)構(gòu)的欺騙性垃圾郵件，意圖引誘收信人給出敏感信息：如用戶名、口令、賬號(hào) ID、 ATM PIN 碼或信用卡詳細(xì)信息等的一種攻擊方式。 （ 2）服務(wù)器區(qū)域沒(méi)有進(jìn)行獨(dú)立防護(hù) 局域網(wǎng)內(nèi)計(jì)算機(jī)的數(shù)據(jù)快速、便捷的傳遞，造就了病毒感染的直 接性和快速性，如果局域網(wǎng)中服務(wù)器區(qū)域不進(jìn)行獨(dú)立保護(hù)，其中一臺(tái)電腦感染病毒，并且通過(guò)服務(wù)器進(jìn)行信息傳遞，就會(huì)感染服務(wù)器，這樣局域網(wǎng)中任何一臺(tái)通過(guò)服務(wù)器信息傳遞的電腦，就有可能會(huì)感染病毒。 （ 3） 計(jì)算機(jī)病毒及惡意代碼的威脅 由于網(wǎng)絡(luò)用戶不及時(shí)安裝防病毒軟件和操作系統(tǒng)補(bǔ)丁，或未及時(shí)更新防病毒 軟件的病毒庫(kù)而造成計(jì)算機(jī)病毒的入侵。許多網(wǎng)絡(luò)寄生犯罪軟件的攻擊，正是利 用了用戶的這個(gè)弱點(diǎn)。寄生軟件可以修改磁盤上現(xiàn)有的軟件，在自己寄生的文件中注入新的代碼。 （ 4） 局域網(wǎng)用戶安全意識(shí)不強(qiáng) 許多用戶使用移 動(dòng)存儲(chǔ)設(shè)備來(lái)進(jìn)行數(shù)據(jù)的傳遞，經(jīng)常將外部數(shù)據(jù)不經(jīng)過(guò)必要的安全檢查通過(guò)移動(dòng)存儲(chǔ)設(shè)備帶入內(nèi)部局域網(wǎng)，同時(shí)將內(nèi)部數(shù)據(jù)帶出局域網(wǎng)，這給木馬、蠕蟲等病毒的進(jìn)入提供了方便同時(shí)增加了數(shù)據(jù)泄密的可能性。 小型企業(yè)網(wǎng)絡(luò)安全控制與病毒防治策略 加強(qiáng)人員的網(wǎng)絡(luò)安全培訓(xùn) （ 1）加強(qiáng)安全意識(shí)培訓(xùn)，讓每個(gè)工作人員明白數(shù)據(jù)信息安全的重要性，理解保證數(shù)據(jù)信息安全是所有 計(jì)算機(jī)使用者共同的責(zé)任。 小型企業(yè)網(wǎng)絡(luò)組建 6 （ 2）加強(qiáng)安全知識(shí)培訓(xùn)，使每個(gè)計(jì)算機(jī)使用者掌握一定的安全知識(shí)，至少能夠掌握如何備份本地的數(shù)據(jù)，保證 本地?cái)?shù)據(jù)信息的安全可靠。 （ 3） 加強(qiáng)網(wǎng)絡(luò)知識(shí)培訓(xùn)，通過(guò)培訓(xùn)掌握一定的網(wǎng)絡(luò)知識(shí)，能夠掌握 IP 地址的配置、數(shù)據(jù)的共享等網(wǎng)絡(luò)基本知識(shí)，樹立良好的計(jì)算機(jī)使用習(xí)慣。 局域網(wǎng)安全控制策略 （ 1） 利用桌面管理系統(tǒng)控制用戶入網(wǎng)。 入網(wǎng)訪問(wèn)控制是保證網(wǎng)絡(luò)資源不被非法使用，是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略。它為網(wǎng)絡(luò)訪問(wèn)提供了第一層訪問(wèn)控制。它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制用戶入網(wǎng)的時(shí)間和在哪臺(tái)工作站入網(wǎng)。用戶和用戶組被賦予一定的權(quán)限，網(wǎng)絡(luò)控制用戶和用戶組可以訪問(wèn)的目錄、文件和其他資源，可以指定用戶對(duì)這些文件、目錄、設(shè)備 能夠執(zhí)行的操作。 （ 2） 采用防火墻技術(shù)。 防火墻技術(shù)是通常安裝在單獨(dú)的計(jì)算機(jī)上，與網(wǎng)絡(luò)的其余部分隔開，它使內(nèi)部網(wǎng)絡(luò)與 Inter 之間或與其他外部網(wǎng)絡(luò)互相隔離，限制網(wǎng)絡(luò)互訪，用來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)資源免遭非法使用者的侵入，執(zhí)行安全管制措施，記錄所有可疑事件。它是在兩個(gè)網(wǎng)絡(luò)之間實(shí)行控制策略的系統(tǒng)，是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)。 （ 3） 屬性安全控制。 它能控制以下幾個(gè)方面的權(quán)限：防止用戶對(duì)目錄和文件的誤刪除、執(zhí)行修改、查看目錄和文件、顯示向某個(gè)文件寫數(shù)據(jù)、拷貝、刪除目錄或文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等。網(wǎng)絡(luò)的屬性可以保護(hù)重要的目錄和文件。 病毒防治 （ 1） 增加安全意識(shí)和安全知識(shí)，對(duì)工作人員定期培訓(xùn)。 首先明確病毒的危害，文件共享的時(shí)候盡量控制權(quán)限和增加密碼，對(duì)來(lái)歷不明的文件運(yùn)行前進(jìn)行查殺等，都可以很好地防止病毒在網(wǎng)絡(luò)中的傳播。這些措施對(duì)杜絕病毒，主觀能動(dòng)性起到很重要的作用。 （ 2） 小心使用移動(dòng)存儲(chǔ)設(shè)備。 在使用移動(dòng)存儲(chǔ)設(shè)備之前進(jìn)行病毒的掃描和查殺，也可把病毒拒絕在外。 （ 3） 挑選網(wǎng)絡(luò)版殺毒軟件。 一般而言，查殺是否徹底，界面是否友好、方便，能否實(shí)現(xiàn)遠(yuǎn)程控制、 集中管理是決定一個(gè)網(wǎng)絡(luò)殺毒軟件的三大要素。 婁底職業(yè)技術(shù)學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專業(yè)畢業(yè)論文 7 第 3 章 企業(yè)網(wǎng)規(guī)劃 每個(gè)公司都有機(jī)密文件，為保障這些文件不被竊取，網(wǎng)絡(luò)組建的主要要求： 每個(gè)部門之間不能相互訪問(wèn)但可以訪問(wèn)服務(wù)器組和打印機(jī) 網(wǎng)絡(luò)技術(shù)的選擇 在各種局域網(wǎng)技術(shù)中，以太網(wǎng)以其造價(jià)低、技術(shù)成熟、產(chǎn)品豐富、可靠性高、可擴(kuò)展性好、傳輸介質(zhì)豐富和易于管理等有點(diǎn)而成為建設(shè)局域網(wǎng)的主流技術(shù)。以太網(wǎng)使用 CSMA/CD 協(xié)議，它是一種基于沖突檢測(cè)機(jī)制的網(wǎng)絡(luò)協(xié)議。 網(wǎng)站結(jié)構(gòu)設(shè)計(jì) 無(wú)論 企業(yè) 規(guī)模大小 ,企業(yè) 的網(wǎng)絡(luò)層次 都應(yīng) 采取核心層（網(wǎng)絡(luò)的高速交換主干）、匯 聚層（提供基于策略的連接）、接入層（將工作站接入網(wǎng)絡(luò)）三個(gè)網(wǎng)絡(luò)層次的設(shè)計(jì)理念。使用層次清晰的網(wǎng)絡(luò)模式 ,一是方便日后的升級(jí) ,二是可以減少維護(hù)成本。 （ 1） 三層交換與 VLAN 結(jié)合 三層交換技術(shù)，也稱多層交換技術(shù)或 IP 交換技術(shù)，是相對(duì)于二層交換技術(shù)提出的，因工作在 OSI 七層網(wǎng)絡(luò)標(biāo)準(zhǔn)模型中的第三層而得名。傳統(tǒng)的路由器也工作在第三層，它可以處理大量的跨越 IP 子網(wǎng)的數(shù)據(jù)包，但是它的轉(zhuǎn)發(fā)效率比較低，而三層交換技術(shù)在網(wǎng)絡(luò)標(biāo)準(zhǔn)模型中的第三層實(shí)現(xiàn)了分組的高速轉(zhuǎn)發(fā)，效率大大提高。簡(jiǎn)單地說(shuō)，三層交換技術(shù)就是 “ 二層交換技術(shù) + 路由 轉(zhuǎn)發(fā) ” 。它的出現(xiàn)，解決了二層交換技術(shù)不能處理不同 IP 子網(wǎng)之間的數(shù)據(jù)交換的缺點(diǎn)，又解決了傳統(tǒng)路由器低速、復(fù)雜所造成的網(wǎng)絡(luò)瓶頸問(wèn)題。 VLAN 即虛擬局域網(wǎng)，是一種通過(guò)將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)不同的網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組的技術(shù)。它不受網(wǎng)絡(luò)用戶的物理位置限制，而是根據(jù)用戶需求進(jìn)行網(wǎng)絡(luò)分段。 IEEE 于 1999 年頒布了用以標(biāo)準(zhǔn)化VLAN 實(shí)現(xiàn)方案的 。不同 VLAN之間的數(shù)據(jù)傳輸是通過(guò)第三層（網(wǎng)絡(luò)層）的路由來(lái)實(shí)現(xiàn)的，因此，使用 VLAN 技術(shù)，結(jié)合數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層的交換設(shè)備， 可搭建安全可靠的網(wǎng)絡(luò)。 劃分 VLAN 的目的：一是提高網(wǎng)絡(luò)安全性，不同 VLAN 的數(shù)據(jù)不能自由交流，需要接受第三層的檢驗(yàn)，因此，在一定程度上加強(qiáng)了虛網(wǎng)間的隔離，有效防止外部用戶入侵，提高了安全性。二是隔離廣播信息，劃分 VLAN 后，廣播域縮小，有利于改善網(wǎng)絡(luò)性能，能夠?qū)V播風(fēng)暴控制在一個(gè) VLAN 內(nèi)部，同時(shí)使網(wǎng)絡(luò)管理趨于簡(jiǎn)單。三是增強(qiáng)網(wǎng)絡(luò)應(yīng)用的靈活性， VLAN 是在一個(gè)有多臺(tái)交換機(jī)的局域網(wǎng)中統(tǒng)一設(shè)定的，這使得用戶可以不受所連交換機(jī)的限制，不論用戶節(jié)點(diǎn)移動(dòng)到局域網(wǎng)中哪一臺(tái)交換機(jī)上，只要仍屬于原來(lái)的虛網(wǎng)，則應(yīng)用環(huán)境沒(méi)有任 何改變。在劃分 VLAN 時(shí)，要考慮 VLAN 對(duì)于網(wǎng)絡(luò)流量的影響，單個(gè) VLAN 不宜過(guò)大。 小型企業(yè)網(wǎng)絡(luò)組建 8 （ 2） 層次化架構(gòu)三層網(wǎng)絡(luò) 三層網(wǎng)絡(luò)架構(gòu)采用層次化模型設(shè)計(jì)，即將復(fù)雜的網(wǎng)絡(luò)設(shè)計(jì)分成幾個(gè)層次，每個(gè)層次著重于某些特定的功能，這樣就能夠使一個(gè)復(fù)雜的大問(wèn)題變成許多簡(jiǎn)單的小問(wèn)題。三層網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)的網(wǎng)絡(luò)有三個(gè)層次：核心層（網(wǎng)絡(luò)的高速交換主干）、匯聚層（提供基于策略的連接）、接入層（將工作站接入網(wǎng)絡(luò)）。 核心層是網(wǎng)絡(luò)的高速交換主干，對(duì)整個(gè)網(wǎng)絡(luò)的連通起到至關(guān)重要的作用。核心層應(yīng)該具有如下幾個(gè)特性：可靠性、高效性、冗余性、容錯(cuò)性、可 管理性、適應(yīng)性、低延時(shí)性等。在核心層中，應(yīng)該采用高帶寬的千兆以上交換機(jī)。因?yàn)楹诵膶邮蔷W(wǎng)絡(luò)的樞紐中心，重要性突出。核心層設(shè)備采用雙機(jī)冗余熱備份是非常必要的，也可以使用負(fù)載均衡功能，來(lái)改善網(wǎng)絡(luò)性能。 匯聚層是網(wǎng)絡(luò)接入層和核心層的 “ 中介 ” ，就是在工作站接入核心層前先做匯聚，以減輕核心層設(shè)備的負(fù)荷。匯聚層具有實(shí)施策略、安全、工作組接入、虛擬局域網(wǎng)（ VLAN）之間的路由、源地址或目的地址過(guò)濾等多種功能。在匯聚層中，應(yīng)該采用支持三層交換技術(shù)和 VLAN 的交換機(jī)，以達(dá)到網(wǎng)絡(luò)隔離和分段的目的。 接入層向本地網(wǎng)段提供 工作站接入。在接入層中，減少同一網(wǎng)段的工作站數(shù)量，能夠向工作組提供高速帶寬。接入層可以選擇不支持 VLAN 和三層交換技術(shù)的普通交換機(jī) 網(wǎng)絡(luò)設(shè)備的選擇 核心層：思科的 Cisco Catalyst 3560G24TS242 全千兆三層交換機(jī) ,如圖 所示 : 圖 思科 Cisco Catalyst 3560G24TS242 匯聚層換機(jī)選擇： Catalyst 295024 交換機(jī) ,如圖 所示 : 圖 Catalyst 295024 思科 PIX501 防火墻 ,如圖 所示 : 婁底職業(yè)技術(shù)學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專業(yè)畢業(yè)論文 9 圖 思科 PIX501 防火墻 IP 及 VLAN 的劃分 網(wǎng)段及 VLAN 的劃分如表 所示 : 表 網(wǎng)段及 VLAN 的劃分 部 門 所屬 VLAN IP 地 址 辦公樓 經(jīng)理辦公室 Vlan11 財(cái)務(wù)部 Vlan12 技術(shù)部 Vlan13 銷售部 Vlan14 人事部 Vlan15 服務(wù)器組 Vlan16 共享打印機(jī) Vlan17 拓?fù)鋱D的設(shè)計(jì) 環(huán)境拓?fù)鋱D ,如圖 所示： 小型企業(yè)網(wǎng)絡(luò)組建 10 圖 企業(yè)網(wǎng)拓?fù)鋱D 設(shè)備的配置 配置核心層交換機(jī) 配置 Switch3 交換機(jī) ， 設(shè)置交換機(jī)主機(jī)名 Switchenable Switchconfigure t Switch(config)hostname S3 S3(config)exit 創(chuàng)建 VTP 管理域，并設(shè)置為 server 模式 S3vlan database S3(vlan)vtp server S3(vlan)exit 創(chuàng)建 VLAN,配置 VLAN 名， S3vlan database 配置經(jīng)理辦公室 VLAN S3(vlan)vlan 11 name jinglibangongshi 配置財(cái)務(wù)處 VLAN 婁底職業(yè)技術(shù)學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專業(yè)畢業(yè)論文 11 S3(vlan)vlan 12 name caiwuchu 配置技術(shù)部 VLAN S3(vlan)vlan 13 name jishubu 配置銷售部 VLAN S3(vlan)vlan 14 name xiaoshoubu 配置人事部 VLAN S3（ vlan） vlan 15 name renshibu 配置服務(wù)器 VLAN S3(vlan)vlan 16 name fuwuqizu 配置共享打印機(jī) VLAN S3(vlan)vlan 17 name gonxiangdayinji 將端口 F0/1,F0/2 設(shè)置為 VLAN 中繼模式 F0/1 進(jìn)入端口配置模式