【文章內(nèi)容簡介】 止非法用戶進(jìn)入網(wǎng)絡(luò)，減少網(wǎng)絡(luò)的安全風(fēng)險?！　。?） 定期進(jìn)行漏洞掃描，審計跟蹤，及時發(fā)現(xiàn)問題，解決問題?！　。?） 通過入侵檢測等方式實現(xiàn)實時安全監(jiān)控，提供快速響應(yīng)故障的手段，同時具備很好的安全取證措施。（4）使網(wǎng)絡(luò)管理者能夠很快重新組織被破壞了的文件或應(yīng)用。使系統(tǒng)重新恢復(fù)到破壞前的狀態(tài)，最大限度地減少損失?！　。?）在工作站、服務(wù)器上安裝相應(yīng)的防病毒軟件，由中央控制臺統(tǒng)一控制和管理，實現(xiàn)全網(wǎng)統(tǒng)一防病毒。 設(shè)計模型及系統(tǒng)結(jié)構(gòu)（新的拓?fù)鋱D）在原拓?fù)鋱D的基礎(chǔ)上，增加了重要的防火墻，并把工廠辦公子網(wǎng)的連接換到主交換機上，避免了員工子網(wǎng)交換機如果出現(xiàn)問題故障，導(dǎo)致重要生產(chǎn)線子網(wǎng)不能工作的問題。即是完全把企業(yè)的拓?fù)涓某芍髁鞯男切瓮負(fù)浣Y(jié)構(gòu)。員工辦公子網(wǎng)中間也可多增加一些交換機，減輕負(fù)擔(dān)，對里面的部門分化也比較容易管理，再加上只要制定健全的安全管理制度，做好備份，并且加強網(wǎng)絡(luò)設(shè)備和機房的管理，就能達(dá)到在現(xiàn)有設(shè)備基礎(chǔ)上，實現(xiàn)網(wǎng)絡(luò)安全的目標(biāo)。硬件選擇: 安全配置:在出口路由:1. 配置ACL訪問控制列表。2. 配置NAT轉(zhuǎn)換,硬件防火墻由于內(nèi)部主機是通過地址轉(zhuǎn)換方式連接internet,有效隱藏了內(nèi)部主機,同時,防火墻通過封鎖部分病毒傳播端口,可以在一定程度上防止病毒的感染和傳播。將防火墻的規(guī)則配置分對內(nèi)和對外兩個部分。對外開放服務(wù)的規(guī)則，一般細(xì)化到每個服務(wù)器的每個端口，這樣才可以保護(hù)服務(wù)器，不會被黑客利用操作系統(tǒng)或者開放的多余服務(wù)端口的漏洞進(jìn)行攻擊。3. 對內(nèi)規(guī)則，要根據(jù)自身的實際情況進(jìn)行合理配置，在本網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)中，我們根據(jù)不同的部門和人員設(shè)置不同的權(quán)限，工廠辦公地點不能上網(wǎng)，員工辦公階段時間性的上網(wǎng)，領(lǐng)導(dǎo)辦公沒有限制。4. 配置遠(yuǎn)程連入。5. 配置外網(wǎng)對內(nèi)外訪問的VPN。6. 數(shù)據(jù)庫冗余。7. 日志服務(wù)器和日志分析系統(tǒng)。防火墻配置：1. 配置ACL訪問控制列表，防火墻設(shè)置智能化的規(guī)則，以便關(guān)閉那些有可能成為黑客入侵途徑的端口。2. 配置遠(yuǎn)程連入。3. 入侵檢測IDS配置。4. 配置防火墻的DMZ區(qū)域的規(guī)則，DMZ，即非軍事化緩沖區(qū)，是網(wǎng)絡(luò)內(nèi)部有服務(wù)需要開放給公網(wǎng)用戶時而設(shè)置的獨立區(qū)域。由于這些開放服務(wù)器要面對的是大量公網(wǎng)的任意未知用戶，因此，需要設(shè)置嚴(yán)格的防火墻控制策略，以防止入侵者破壞。企業(yè)網(wǎng)絡(luò)拓?fù)渲饕褂玫脑O(shè)備1. PC機。2. 數(shù)據(jù)庫服務(wù)器。3. 核心交換機。4. 匯聚層交換機。5. 防火墻。6. 打印機等輔助設(shè)備。7. 物理隔離區(qū)閘。交換機路由配置: 交換機在網(wǎng)絡(luò)中占有重要地位,病毒肆掠的網(wǎng)絡(luò)時代,作為核心交換機也理所當(dāng)然要承擔(dān)起網(wǎng)絡(luò)安全的一部分責(zé)任。1. 流量控制,能實現(xiàn)風(fēng)暴控制,.2. 訪問控制列表(ACL)ACL可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能, 提供對通信流量的控制手段ACL可以在路由器端口處決定哪種類型的通信流量被轉(zhuǎn)發(fā)或被阻塞3. 虛擬局域網(wǎng)(VLAN)技術(shù) VLAN網(wǎng)絡(luò)可以是有混合的網(wǎng)絡(luò)類型設(shè)備組成，比如：10M以太網(wǎng)、100M以太網(wǎng)、令牌網(wǎng)、FDDI、CDDI等等，可以是工作站、服務(wù)器、集線器、網(wǎng)絡(luò)上行主干等等。VLAN除了能將網(wǎng)絡(luò)劃分為多個廣播域，從而有效地控制廣播風(fēng)暴的發(fā)生，以及使網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)變得非常靈活的優(yōu)點外，還可以用于控制網(wǎng)絡(luò)中不同部門、不同站點之間的互相訪問。VLAN是為解決以太網(wǎng)的廣播問題和安全性而提出的一種協(xié)議，它在以太網(wǎng)幀的基礎(chǔ)上增加了VLAN頭，用VLAN ID把用戶劃分為更小的工作組，限制不同工作組間的用戶互訪，每個工作組就是一個虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動態(tài)管理網(wǎng)絡(luò)。 VPN技術(shù)一個完全私有的網(wǎng)絡(luò)可以解決許多安全問題，因為很多惡意攻擊者根本無法進(jìn)入網(wǎng)絡(luò)實施攻擊。但是，對于一個普通的地理覆蓋范圍廣的企業(yè)或公司，要搭建物理上私有的網(wǎng)絡(luò)，往往在財政預(yù)算上是不合理的。VPN技術(shù)就是為了解決這樣一種安全需求的技術(shù)。VPN的英文全稱是“Virtual Private Network”，翻譯過來就是“虛擬專用網(wǎng)絡(luò)”。顧名思義，虛擬專用網(wǎng)絡(luò)我們可以把它理解成是虛擬出來的企業(yè)內(nèi)部專線。它可以通過特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。這就好比去電信局申請專線，但是不用給鋪設(shè)線路的費用，也不用購買路由器等硬件設(shè)備。本方案為局域網(wǎng)網(wǎng)絡(luò)安全解決方案，包括原有網(wǎng)絡(luò)系統(tǒng)分析、安全需求分析、安全目標(biāo)的確立、安全體系結(jié)構(gòu)的設(shè)計、等。本安全解決方案的目標(biāo)是在不影響企業(yè)局域網(wǎng)當(dāng)前業(yè)務(wù)的前提下，實現(xiàn)對他們局域網(wǎng)全面的安全管理：　?。?）將安全策略、硬件設(shè)備及軟件等方法結(jié)合起來，構(gòu)成一個統(tǒng)一的防御系統(tǒng)，有效阻止非法用戶進(jìn)入網(wǎng)絡(luò)，減少網(wǎng)絡(luò)的安全風(fēng)險。　?。?） 定期進(jìn)行漏洞掃描，審計跟蹤，及時發(fā)現(xiàn)問題，解決問題?！　。?） 通過入侵檢測等方式實現(xiàn)實時安全監(jiān)控，提供快速響應(yīng)故障的手段，同時具備很好的安全取證措施。（4） 使網(wǎng)絡(luò)管理者能夠很快重新組織被破壞了的文件或應(yīng)用。使系統(tǒng)重新恢復(fù)到破壞前的狀態(tài)，最大限度地減少損失。　?。?）在工作站、服務(wù)器上安裝相應(yīng)的防病毒軟件，由中央控制臺統(tǒng)一控制和管理，實現(xiàn)全網(wǎng)統(tǒng)一防病毒。 4. 系統(tǒng)實現(xiàn)技術(shù)概述確?，F(xiàn)有的設(shè)備穩(wěn)定安全的基礎(chǔ)上，對交換機路由器等，采用一些