【文章內(nèi)容簡介】 止非法用戶進入網(wǎng)絡，減少網(wǎng)絡的安全風險。　?。?） 定期進行漏洞掃描，審計跟蹤，及時發(fā)現(xiàn)問題，解決問題?！　。?） 通過入侵檢測等方式實現(xiàn)實時安全監(jiān)控，提供快速響應故障的手段，同時具備很好的安全取證措施。（4）使網(wǎng)絡管理者能夠很快重新組織被破壞了的文件或應用。使系統(tǒng)重新恢復到破壞前的狀態(tài)，最大限度地減少損失。　?。?）在工作站、服務器上安裝相應的防病毒軟件，由中央控制臺統(tǒng)一控制和管理，實現(xiàn)全網(wǎng)統(tǒng)一防病毒。 設計模型及系統(tǒng)結(jié)構(gòu)（新的拓撲圖）在原拓撲圖的基礎上，增加了重要的防火墻，并把工廠辦公子網(wǎng)的連接換到主交換機上，避免了員工子網(wǎng)交換機如果出現(xiàn)問題故障，導致重要生產(chǎn)線子網(wǎng)不能工作的問題。即是完全把企業(yè)的拓撲改成主流的星形拓撲結(jié)構(gòu)。員工辦公子網(wǎng)中間也可多增加一些交換機，減輕負擔，對里面的部門分化也比較容易管理，再加上只要制定健全的安全管理制度，做好備份，并且加強網(wǎng)絡設備和機房的管理，就能達到在現(xiàn)有設備基礎上，實現(xiàn)網(wǎng)絡安全的目標。硬件選擇: 安全配置:在出口路由:1. 配置ACL訪問控制列表。2. 配置NAT轉(zhuǎn)換,硬件防火墻由于內(nèi)部主機是通過地址轉(zhuǎn)換方式連接internet,有效隱藏了內(nèi)部主機,同時,防火墻通過封鎖部分病毒傳播端口,可以在一定程度上防止病毒的感染和傳播。將防火墻的規(guī)則配置分對內(nèi)和對外兩個部分。對外開放服務的規(guī)則，一般細化到每個服務器的每個端口，這樣才可以保護服務器，不會被黑客利用操作系統(tǒng)或者開放的多余服務端口的漏洞進行攻擊。3. 對內(nèi)規(guī)則，要根據(jù)自身的實際情況進行合理配置，在本網(wǎng)絡拓撲結(jié)構(gòu)中，我們根據(jù)不同的部門和人員設置不同的權(quán)限，工廠辦公地點不能上網(wǎng)，員工辦公階段時間性的上網(wǎng)，領導辦公沒有限制。4. 配置遠程連入。5. 配置外網(wǎng)對內(nèi)外訪問的VPN。6. 數(shù)據(jù)庫冗余。7. 日志服務器和日志分析系統(tǒng)。防火墻配置：1. 配置ACL訪問控制列表，防火墻設置智能化的規(guī)則，以便關閉那些有可能成為黑客入侵途徑的端口。2. 配置遠程連入。3. 入侵檢測IDS配置。4. 配置防火墻的DMZ區(qū)域的規(guī)則，DMZ，即非軍事化緩沖區(qū)，是網(wǎng)絡內(nèi)部有服務需要開放給公網(wǎng)用戶時而設置的獨立區(qū)域。由于這些開放服務器要面對的是大量公網(wǎng)的任意未知用戶，因此，需要設置嚴格的防火墻控制策略，以防止入侵者破壞。企業(yè)網(wǎng)絡拓撲主要使用的設備1. PC機。2. 數(shù)據(jù)庫服務器。3. 核心交換機。4. 匯聚層交換機。5. 防火墻。6. 打印機等輔助設備。7. 物理隔離區(qū)閘。交換機路由配置: 交換機在網(wǎng)絡中占有重要地位,病毒肆掠的網(wǎng)絡時代,作為核心交換機也理所當然要承擔起網(wǎng)絡安全的一部分責任。1. 流量控制,能實現(xiàn)風暴控制,.2. 訪問控制列表(ACL)ACL可以限制網(wǎng)絡流量、提高網(wǎng)絡性能, 提供對通信流量的控制手段ACL可以在路由器端口處決定哪種類型的通信流量被轉(zhuǎn)發(fā)或被阻塞3. 虛擬局域網(wǎng)(VLAN)技術(shù) VLAN網(wǎng)絡可以是有混合的網(wǎng)絡類型設備組成，比如：10M以太網(wǎng)、100M以太網(wǎng)、令牌網(wǎng)、FDDI、CDDI等等，可以是工作站、服務器、集線器、網(wǎng)絡上行主干等等。VLAN除了能將網(wǎng)絡劃分為多個廣播域，從而有效地控制廣播風暴的發(fā)生，以及使網(wǎng)絡的拓撲結(jié)構(gòu)變得非常靈活的優(yōu)點外，還可以用于控制網(wǎng)絡中不同部門、不同站點之間的互相訪問。VLAN是為解決以太網(wǎng)的廣播問題和安全性而提出的一種協(xié)議，它在以太網(wǎng)幀的基礎上增加了VLAN頭，用VLAN ID把用戶劃分為更小的工作組，限制不同工作組間的用戶互訪，每個工作組就是一個虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動態(tài)管理網(wǎng)絡。 VPN技術(shù)一個完全私有的網(wǎng)絡可以解決許多安全問題，因為很多惡意攻擊者根本無法進入網(wǎng)絡實施攻擊。但是，對于一個普通的地理覆蓋范圍廣的企業(yè)或公司，要搭建物理上私有的網(wǎng)絡，往往在財政預算上是不合理的。VPN技術(shù)就是為了解決這樣一種安全需求的技術(shù)。VPN的英文全稱是“Virtual Private Network”，翻譯過來就是“虛擬專用網(wǎng)絡”。顧名思義，虛擬專用網(wǎng)絡我們可以把它理解成是虛擬出來的企業(yè)內(nèi)部專線。它可以通過特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設了一條專線一樣，但是它并不需要真正的去鋪設光纜之類的物理線路。這就好比去電信局申請專線，但是不用給鋪設線路的費用，也不用購買路由器等硬件設備。本方案為局域網(wǎng)網(wǎng)絡安全解決方案，包括原有網(wǎng)絡系統(tǒng)分析、安全需求分析、安全目標的確立、安全體系結(jié)構(gòu)的設計、等。本安全解決方案的目標是在不影響企業(yè)局域網(wǎng)當前業(yè)務的前提下，實現(xiàn)對他們局域網(wǎng)全面的安全管理：　?。?）將安全策略、硬件設備及軟件等方法結(jié)合起來，構(gòu)成一個統(tǒng)一的防御系統(tǒng)，有效阻止非法用戶進入網(wǎng)絡，減少網(wǎng)絡的安全風險。　?。?） 定期進行漏洞掃描，審計跟蹤，及時發(fā)現(xiàn)問題，解決問題?！　。?） 通過入侵檢測等方式實現(xiàn)實時安全監(jiān)控，提供快速響應故障的手段，同時具備很好的安全取證措施。（4） 使網(wǎng)絡管理者能夠很快重新組織被破壞了的文件或應用。使系統(tǒng)重新恢復到破壞前的狀態(tài)，最大限度地減少損失?！　。?）在工作站、服務器上安裝相應的防病毒軟件，由中央控制臺統(tǒng)一控制和管理，實現(xiàn)全網(wǎng)統(tǒng)一防病毒。 4. 系統(tǒng)實現(xiàn)技術(shù)概述確?，F(xiàn)有的設備穩(wěn)定安全的基礎上，對交換機路由器等，采用一些