【文章內(nèi)容簡(jiǎn)介】 配置好防火墻過濾策略和系統(tǒng)本身的各項(xiàng)安全措施，及時(shí)安裝系統(tǒng)安全補(bǔ)丁，有條件的還可以在內(nèi)、外網(wǎng)之間安裝網(wǎng)絡(luò)掃描檢測(cè)、網(wǎng)絡(luò)嗅探器、IDS、IPS 系統(tǒng)，甚至配置網(wǎng)絡(luò)安全隔離系統(tǒng)，對(duì)內(nèi)、外網(wǎng)絡(luò)進(jìn)行安全隔離；加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全管理，嚴(yán)格實(shí)行“最小權(quán)限”原則，為各個(gè)用戶配置好恰當(dāng)?shù)挠脩魴?quán)限；同時(shí)對(duì)一些敏感數(shù)據(jù)進(jìn)行加密保護(hù)，對(duì)數(shù)據(jù)還可以進(jìn)行數(shù)字簽名措施；根據(jù)企業(yè)實(shí)際需要配置好相應(yīng)的數(shù)據(jù)策略，并按策略認(rèn)真執(zhí)行。 企業(yè)網(wǎng)絡(luò)的安全誤區(qū)(一) 安裝防火墻就安全了防火墻主要工作都是控制存取與過濾封包，所以對(duì) DoS 攻擊、非法存取與篡改封包等攻擊模式的防范極為有效，可以提供網(wǎng)絡(luò)周邊的安全防護(hù)。但如果攻擊行為不經(jīng)過防火墻，或是將應(yīng)用層的攻擊程序隱藏在正常的封包內(nèi)，便力不從心了，許多防火墻只是工作在網(wǎng)絡(luò)層。防火墻的原理是“防外不防內(nèi)” ，對(duì)內(nèi)部網(wǎng)絡(luò)的訪問不進(jìn)行任何阻撓，而事實(shí)上，企業(yè)網(wǎng)絡(luò)安全事件絕大部分還是源于企業(yè)內(nèi)部。(二) 安裝了最新的殺毒軟件就不怕病毒了安裝殺毒軟件的目的是為了預(yù)防病毒的入侵和查殺系統(tǒng)中已感染的計(jì)算機(jī)病毒，但這并不能保證就沒有病毒入侵了，因?yàn)闅⒍拒浖闅⒛骋徊《镜哪芰偸菧笥谠摬《镜某霈F(xiàn)。(三) 在每臺(tái)計(jì)算機(jī)上安裝單機(jī)版殺毒軟件和網(wǎng)絡(luò)版殺毒軟件等效網(wǎng)絡(luò)版殺毒軟件核心就是集中的網(wǎng)絡(luò)防毒系統(tǒng)管理。網(wǎng)絡(luò)版殺毒軟件可以在一臺(tái)服務(wù)器上通過安全中心控制整個(gè)網(wǎng)絡(luò)的客戶端殺毒軟件同步病毒查殺、監(jiān)控整個(gè)網(wǎng)絡(luò)的病毒。同時(shí)對(duì)于整個(gè)網(wǎng)絡(luò)，管理非常方便，對(duì)于單機(jī)版是不可能做到的。(四) 只要不上網(wǎng)就不會(huì)中毒雖然不少病毒是通過網(wǎng)頁傳播的，但像 聊天接發(fā)郵件同樣是病毒傳播的主要途徑，而且盜版光盤以及 U 盤等也會(huì)存在著病毒。所以只要計(jì)算機(jī)開著，就要防范病毒。(五) 文件設(shè)置只讀就可以避免感染病毒設(shè)置只讀只是調(diào)用系統(tǒng)的幾個(gè)命令，而病毒或黑客程序也可以做到這一點(diǎn)，設(shè)置只讀并不能有效防毒，不過在局域網(wǎng)中為了共享安全，放置誤刪除，還是比較有用的。(六) 網(wǎng)絡(luò)安全主要來自外部基于內(nèi)部的網(wǎng)絡(luò)攻擊更加容易，不需要借助于其他的網(wǎng)絡(luò)連接方式，就可以直接在內(nèi)部網(wǎng)絡(luò)中實(shí)施攻擊。所以，加強(qiáng)內(nèi)部網(wǎng)絡(luò)安全管理，特別是用戶帳戶管理，如帳戶密碼、臨時(shí)帳戶、過期帳戶和權(quán)限等方面的管理非常必要了。第二章 企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀分析 公司背景宏錦網(wǎng)絡(luò)有限公司是一家有 100 名員工的中小型網(wǎng)絡(luò)公司，主要以手機(jī)應(yīng)用開發(fā)為主營項(xiàng)目的軟件企業(yè)。公司有一個(gè)局域網(wǎng)，約 100 臺(tái)計(jì)算機(jī)，服務(wù)器的操作系統(tǒng)是 Windows Server 2022,客戶機(jī)的操作系統(tǒng)是 Windows XP，在工作組的模式下一人一機(jī)辦公。公司對(duì)網(wǎng)絡(luò)的依賴性很強(qiáng)，主要業(yè)務(wù)都要涉及互聯(lián)網(wǎng)以及內(nèi)部網(wǎng)絡(luò)。隨著公司的發(fā)展現(xiàn)有的網(wǎng)絡(luò)安全已經(jīng)不能滿足公司的需要，因此構(gòu)建健全的網(wǎng)絡(luò)安全體系是當(dāng)前的重中之重。 企業(yè)網(wǎng)絡(luò)安全需求宏錦網(wǎng)絡(luò)有限公司根據(jù)業(yè)務(wù)發(fā)展需求，建設(shè)一個(gè)小型的企業(yè)網(wǎng)，有 Web、Mail 等服務(wù)器和辦公區(qū)客戶機(jī)。企業(yè)分為財(cái)務(wù)部門和業(yè)務(wù)部門，需要他們之間相互隔離。同時(shí)由于考慮到 Inteer 的安全性，以及網(wǎng)絡(luò)安全等一些因素，如 DDoS、ARP 等。因此本企業(yè)的網(wǎng)絡(luò)安全構(gòu)架要求如下：（1） 根據(jù)公司現(xiàn)有的網(wǎng)絡(luò)設(shè)備組網(wǎng)規(guī)劃（2） 保護(hù)網(wǎng)絡(luò)系統(tǒng)的可用性（3） 保護(hù)網(wǎng)絡(luò)系統(tǒng)服務(wù)的連續(xù)性（4） 防范網(wǎng)絡(luò)資源的非法訪問及非授權(quán)訪問（5） 防范入侵者的惡意攻擊與破壞（6） 保護(hù)企業(yè)信息通過網(wǎng)上傳輸過程中的機(jī)密性、完整性（7） 防范病毒的侵害（8） 實(shí)現(xiàn)網(wǎng)絡(luò)的安全管理。 需求分析通過了解宏錦網(wǎng)絡(luò)公司的需求與現(xiàn)狀，為實(shí)現(xiàn)宏錦網(wǎng)絡(luò)公司的網(wǎng)絡(luò)安全建設(shè)實(shí)施網(wǎng)絡(luò)系統(tǒng)改造，提高企業(yè)網(wǎng)絡(luò)系統(tǒng)運(yùn)行的穩(wěn)定性，保證企業(yè)各種設(shè)計(jì)信息的安全性，避免圖紙、文檔的丟失和外泄。通過軟件或安全手段對(duì)客戶端的計(jì)算機(jī)加以保護(hù)，記錄用戶對(duì)客戶端計(jì)算機(jī)中關(guān)鍵目錄和文件的操作，使企業(yè)有手段對(duì)用戶在客戶端計(jì)算機(jī)的使用情況進(jìn)行追蹤，防范外來計(jì)算機(jī)的侵入而造成破壞。通過網(wǎng)絡(luò)的改造，使管理者更加便于對(duì)網(wǎng)絡(luò)中的服務(wù)器、客戶端、登陸用戶的權(quán)限以及應(yīng)用軟件的安裝進(jìn)行全面的監(jiān)控和管理。因此需要（1） 構(gòu)建良好的環(huán)境確保企業(yè)物理設(shè)備的安全（2） 劃分 VLAN 控制內(nèi)網(wǎng)安全（3） 安裝防火墻體系（4） 建立 VPN(虛擬專用網(wǎng)絡(luò))確保數(shù)據(jù)安全（5） 安裝防病毒服務(wù)器（6） 加強(qiáng)企業(yè)對(duì)網(wǎng)絡(luò)資源的管理 企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)宏錦網(wǎng)絡(luò)公司網(wǎng)絡(luò)拓?fù)鋱D，如圖 21 所示:圖 21 企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)由于宏錦網(wǎng)絡(luò)公司是直接從電信接入 IP 為 ，直接經(jīng)由防火墻分為 DMZ 區(qū)域和普通區(qū)域。防火墻上做 NAT 轉(zhuǎn)換，分別給客戶機(jī)端的地址為 。防火墻接客戶區(qū)端口地址為 。DMZ內(nèi)主要有各類的服務(wù)器，地址分配為 。防火墻 DMZ 區(qū)的接口地址為 。內(nèi)網(wǎng)主要由 3 層交換機(jī)作為核心交換機(jī)，下面有兩臺(tái) 2 層交換機(jī)做接入。第三章 企業(yè)網(wǎng)絡(luò)安全解決實(shí)施 宏錦網(wǎng)絡(luò)企業(yè)物理安全宏錦企業(yè)網(wǎng)絡(luò)中保護(hù)網(wǎng)絡(luò)設(shè)備的物理安全是其整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的前提，物理安全是指保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其他媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故、人為操作失誤或各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞。針對(duì)宏錦網(wǎng)絡(luò)企業(yè)的物理安全主要考慮的問題是環(huán)境、場(chǎng)地和設(shè)備的安全及物理訪問控制和應(yīng)急處置計(jì)劃等。物理安全在整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全中占有重要地位。它主要包括以下幾個(gè)方面：1) 保證機(jī)房環(huán)境安全信息系統(tǒng)中的計(jì)算機(jī)硬件、網(wǎng)絡(luò)設(shè)施以及運(yùn)行環(huán)境是信息系統(tǒng)運(yùn)行的最基本的環(huán)境。要從一下三個(gè)方面考慮：、物理損壞和設(shè)備故障 、乘機(jī)而入、痕跡泄漏等 、意外疏漏等2) 選用合適的傳輸介質(zhì)屏蔽式雙絞線的抗干擾能力更強(qiáng)，且要求必須配有支持屏蔽功能的連接器件和要求介質(zhì)有良好的接地（最好多處接地），對(duì)于干擾嚴(yán)重的區(qū)域應(yīng)使用屏蔽式雙絞線，并將其放在金屬管內(nèi)以增強(qiáng)抗干擾能力。光纖是超長距離和高容量傳輸系統(tǒng)最有效的途徑，從傳輸特性等分析，無論何種光纖都有傳輸頻帶寬、速率高、傳輸損耗低、傳輸距離遠(yuǎn)、抗雷電和電磁的干擾性好保密性好，不易被竊聽或被截獲數(shù)據(jù)、傳輸?shù)恼`碼率很低，可靠性高，體積小和重量輕等特點(diǎn)。與雙絞線或同軸電纜不同的是光纖不輻射能量，能夠有效地阻止竊聽。3) 保證供電安全可靠計(jì)算機(jī)和網(wǎng)絡(luò)主干設(shè)備對(duì)交流電源的質(zhì)量要求十分嚴(yán)格，對(duì)交流電的電壓和頻率，對(duì)電源波形的正弦性，對(duì)三相電源的對(duì)稱性，對(duì)供電的連續(xù)性、可靠性穩(wěn)定性和抗干擾性等各項(xiàng)指標(biāo)，都要求保持在允許偏差范圍內(nèi)。機(jī)房的供配電系統(tǒng)設(shè)計(jì)既要滿足設(shè)備自身運(yùn)轉(zhuǎn)的要求，又要滿足網(wǎng)絡(luò)應(yīng)用的要求，必須做到保證網(wǎng)絡(luò)系統(tǒng)運(yùn)行的可靠性，保證設(shè)備的設(shè)計(jì)壽命保證信息安全保證機(jī)房人員的工作環(huán)境。 宏錦企業(yè)網(wǎng)絡(luò) VLAN 劃分VLAN 技術(shù)能有效隔離局域網(wǎng)，防止網(wǎng)內(nèi)的攻擊，所以宏錦網(wǎng)絡(luò)有限公司網(wǎng)絡(luò)中按部門進(jìn)行了 VLAN 劃分，劃分為以