【文章內(nèi)容簡(jiǎn)介】 管理。常見(jiàn)的郵件服務(wù)器軟件有很多，例如：微軟 Exchange Server 、MDaemon Server、WinWebMail 、IMail Server等等。在這里我們選用微軟exchange server 2003作為服務(wù)器端軟件，該版本也是Microsoft exchange server中應(yīng)用最廣泛，功能最穩(wěn)定的一個(gè)版本。exchange server 2003常見(jiàn)的任務(wù)包括：備份與還原、建立新郵箱、恢復(fù)、移動(dòng)、安裝新的硬件、存儲(chǔ)區(qū)、軟件和工具，以及應(yīng)用更新和修補(bǔ)程序等。新工具和改進(jìn)的工具可幫助 網(wǎng)絡(luò)管理員更有效地完成工作。例如，一位管理人員可能需要恢復(fù)幾個(gè)月以前刪除的一封非常重要的舊電子郵件，通過(guò)使用“恢復(fù)存儲(chǔ)組”功能，管理員可以恢復(fù)個(gè)人用戶的郵箱，以便查找以前刪除的重要電子郵件。其他新的管理功能包括： 并行移動(dòng)多個(gè)郵箱。 改進(jìn)的消息跟蹤和 Outlook 客戶端性能記錄功能。 增強(qiáng)的隊(duì)列查看器，它使用戶能夠從同一控制臺(tái)同時(shí)查看 SMTP 和 隊(duì)列。 新的基于查詢的通訊組列表，它現(xiàn)在支持動(dòng)態(tài)地實(shí)時(shí)查找成員。 此外，用于 Microsoft Operations Manager 的 Exchange 管理包可自動(dòng)監(jiān)視整個(gè) Exchange 環(huán)境，從而使用戶能夠?qū)?Exchange 問(wèn)題預(yù)先采取管理措施并快速予以解決。在部署exchange 2003郵件服務(wù)器之前，首先為公司申請(qǐng)合法的域名，建立域控服務(wù)器，打開“運(yùn)行”對(duì)話框，輸入dcpromo命令，然后根據(jù)向?qū)?chuàng)建域控服務(wù)器。圖23 建立域控服務(wù)器將公司內(nèi)的所有PC機(jī)加入該域。為了防止主域控服務(wù)器出現(xiàn)故障而導(dǎo)致通信故障和信息丟失，所以我們還需要一臺(tái)輔助域控。當(dāng)然，還需要在DNS服務(wù)器中寫入記錄，這樣發(fā)出的郵件才知道去處。郵件服務(wù)器硬件的選擇根據(jù)企業(yè)本身業(yè)務(wù)的應(yīng)用情況和資金投入來(lái)決定。從該公司來(lái)看，公司用戶在幾百個(gè)以下，但是郵件來(lái)往比較多，所以要選擇專業(yè)的PC服務(wù)器才能滿足基本的性能要求。 WEB服務(wù)器 WEB服務(wù)器也稱為WWW（WORLD WIDE WEB）服務(wù)器，主要功能是提供網(wǎng)上信息瀏覽服務(wù)。本方案中web服務(wù)器主要是向外發(fā)布公司網(wǎng)站，時(shí)時(shí)更新公司以及金融市場(chǎng)信息以供用戶網(wǎng)上參考。本方案中，我們選擇Linux作為web服務(wù)器的操作系統(tǒng)，所以服務(wù)器端軟件則用Apache。Apache是世界上用的最多的Web服務(wù)器，市場(chǎng)占有率達(dá)60%左右，它源于NCSAd服務(wù)器。Apache有多種產(chǎn)品，可以支持SSL技術(shù)，支持多個(gè)虛擬主機(jī)。它是以進(jìn)程為基礎(chǔ)的結(jié)構(gòu)，進(jìn)程要比線程消耗更多的系統(tǒng)開支。因?yàn)樗亲杂绍浖?，所以不斷有人?lái)為它開發(fā)新的功能、新的特性、修改原來(lái)的缺陷。Apache的特點(diǎn)是簡(jiǎn)單、速度快、性能穩(wěn)定，并可做代理服務(wù)器來(lái)使用。它的成功之處主要在于它的源代碼開放、有一支開放的開發(fā)隊(duì)伍、支持跨平臺(tái)的應(yīng)用（可以運(yùn)行在幾乎所有的Unix、Windows、Linux系統(tǒng)平臺(tái)上）以及它的可移植性等方面。16東華理工大學(xué)軟件學(xué)院畢業(yè)設(shè)計(jì)（論文） 安全策略3. 安全策略 網(wǎng)絡(luò)威脅因素分析對(duì)于金融業(yè)來(lái)說(shuō)，網(wǎng)絡(luò)的安全性是相當(dāng)重要的。而金融網(wǎng)上交易，信息發(fā)布等業(yè)務(wù)使得公司網(wǎng)絡(luò)必須與公網(wǎng)相連，這樣必然存在著安全風(fēng)險(xiǎn)。并且公司內(nèi)部網(wǎng)絡(luò)，由于各部門職能不同，某些部門網(wǎng)絡(luò)可能也要求很高的安全性。公司網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)可能包括以下幾個(gè)：（1） 公司網(wǎng)絡(luò)與公網(wǎng)連接，可能遭到來(lái)自各地的越權(quán)訪問(wèn)，還可能遭到網(wǎng)絡(luò)黑客的惡意攻擊和計(jì)算機(jī)病毒的入侵；（2） 內(nèi)部的各個(gè)子網(wǎng)通過(guò)骨干交換相互連接，這樣的話，某些重要的部門可能會(huì)遭到來(lái)自其它部門的越權(quán)訪問(wèn)。這些越權(quán)訪問(wèn)可能包括惡意攻擊、誤操作 等，據(jù)統(tǒng)計(jì)約有70％左右的攻擊來(lái)自內(nèi)部用戶，相比外部攻擊來(lái)說(shuō)，內(nèi)部用戶具有更得天獨(dú)厚的優(yōu)勢(shì)，但是無(wú)論怎樣，結(jié)果都將導(dǎo)致重要信息的泄露或者網(wǎng)絡(luò)的癱瘓；（3） 設(shè)備的自身安全性也會(huì)直接關(guān)系到網(wǎng)絡(luò)系統(tǒng)和各種網(wǎng)絡(luò)應(yīng)用的正常運(yùn)轉(zhuǎn)。例如，路由設(shè)備存在路由信息泄漏、交換機(jī)和路由器設(shè)備配置風(fēng)險(xiǎn)等。重要服務(wù)器或操作系統(tǒng)自身存在安全的漏洞，如果管理員沒(méi)有及時(shí)的發(fā)現(xiàn)并且進(jìn)行修復(fù)，將會(huì)為網(wǎng)絡(luò)的安全帶來(lái)很多不安定的因素。重要服務(wù)器的當(dāng)機(jī)或者重要數(shù)據(jù)的意外丟失，都將會(huì)造成公司日常辦公無(wú)法進(jìn)行。 安全要求（1） 物理安全：包括保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備設(shè)施以及數(shù)據(jù)庫(kù)資料免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤導(dǎo)致系統(tǒng)損壞，同時(shí)要避免由于電磁泄漏引起的信息失密。（2） 網(wǎng)絡(luò)安全：主要包括系統(tǒng)安全和網(wǎng)絡(luò)運(yùn)行安全，檢測(cè)到系統(tǒng)安全漏洞和對(duì)于網(wǎng)絡(luò)訪問(wèn)的控制。（3） 信息安全：包括信息傳輸?shù)陌踩?、信息存?chǔ)的安全以及對(duì)用戶的授權(quán)和鑒別。 安全規(guī)劃安全方面分為內(nèi)網(wǎng)和外網(wǎng)兩部分。內(nèi)網(wǎng)方面安全區(qū)域劃分五個(gè)區(qū)域：外網(wǎng)（黨政信息內(nèi)網(wǎng)）、DMZ區(qū)域（服務(wù)器區(qū)域）、內(nèi)部用戶區(qū)域、行業(yè)其他單位連接、公網(wǎng)區(qū)域。安全定義：（1） 外網(wǎng)區(qū)域?yàn)椴豢尚湃螀^(qū)；（2） DMZ區(qū)域?yàn)橹辛^(qū)域，允許部分外網(wǎng)用戶連接（比如：網(wǎng)站對(duì)外服務(wù)等）但受到防火墻嚴(yán)格控制；（3） 內(nèi)部用戶區(qū)域?yàn)樾湃螀^(qū)域；（4） 行業(yè)其他單位連接區(qū)域，由于無(wú)法管理，使用網(wǎng)閘物理隔離；（5） 公網(wǎng)區(qū)域，威脅最大區(qū)域，使用網(wǎng)閘物理隔離。在防火墻上進(jìn)行設(shè)置，包括用ACL進(jìn)行流量控制、關(guān)閉病毒端口、NAT的轉(zhuǎn)換等。外網(wǎng)安全方面主體是在防火墻上進(jìn)行設(shè)置，外網(wǎng)安全劃分為三個(gè)區(qū)域，公網(wǎng)區(qū)域（Internet、黨政外網(wǎng)）、DMZ區(qū)域（服務(wù)器區(qū)域）、內(nèi)部用戶區(qū)域。安全級(jí)別定義：（1） 公網(wǎng)區(qū)域?yàn)椴豢尚湃螀^(qū)；（2） DMZ區(qū)域?yàn)橹辛^(qū)域，允許部分外網(wǎng)用戶連接（比如：網(wǎng)站對(duì)外服務(wù)等）但受到防火墻嚴(yán)格控制；（3） 內(nèi)部用戶區(qū)域?yàn)樾湃螀^(qū)域。IPS對(duì)進(jìn)出數(shù)據(jù)進(jìn)行訪問(wèn)檢測(cè)，本項(xiàng)目中外網(wǎng)中IPS劃分兩條物理隔離的鏈路分別檢測(cè)內(nèi)部用戶數(shù)據(jù)流量和DMZ區(qū)域數(shù)據(jù)流量。上網(wǎng)行為管理只對(duì)用戶區(qū)域的數(shù)據(jù)進(jìn)行監(jiān)控和管理。內(nèi)網(wǎng)安全策略：（1） 報(bào)文阻斷策略，通過(guò)設(shè)置報(bào)文阻斷策略，實(shí)現(xiàn)對(duì)二、三層的訪問(wèn)控制；（2） 訪問(wèn)控制規(guī)則，通過(guò)設(shè)置訪問(wèn)控制規(guī)則，實(shí)現(xiàn)對(duì)三到七層的訪問(wèn)控制；（3） IP/MAC 地址綁定，將IP 地址與MAC 地址綁定從而防止非法用戶冒充IP 地址進(jìn)行非法訪問(wèn)；（4） 病毒防御。能夠?qū)κ褂肏TTP、FTP 傳輸?shù)奈募约皩?duì)使用SMTP、POP3 和IMAP 協(xié)議傳送的郵件正文、附件進(jìn)行病毒檢查過(guò)濾，并可根據(jù)文件擴(kuò)展名選擇過(guò)濾或者不過(guò)濾的附件類型等。外網(wǎng)安全策略：（1） 地址轉(zhuǎn)換，進(jìn)行源、目的地址轉(zhuǎn)換以及雙向地址轉(zhuǎn)換；（2） 報(bào)文阻斷策略，通過(guò)設(shè)置報(bào)文阻斷策略，實(shí)現(xiàn)對(duì)二、三層的訪問(wèn)控制；（3） 訪問(wèn)控制規(guī)則，通過(guò)設(shè)置訪問(wèn)控制規(guī)則，實(shí)現(xiàn)對(duì)三到七層的訪問(wèn)控制；（4） IP/MAC 地址綁定，將IP 地址與MAC 地址綁定從而防止非法用戶冒充IP 地址進(jìn)行非法訪問(wèn)，（5） 病毒防御，能夠?qū)κ褂肏TTP、FTP 傳輸?shù)奈募约皩?duì)使用SMTP、POP3 和IMAP 協(xié)議傳送的郵件正文、附件進(jìn)行病毒檢查過(guò)濾，并可根據(jù)文件擴(kuò)展名選擇過(guò)濾或者不過(guò)濾的附件類型等。 安全產(chǎn)品選型原則XX金融公司網(wǎng)絡(luò)屬于一個(gè)行業(yè)的專用網(wǎng)絡(luò)，因此在安全產(chǎn)品的選型上，必須慎重。選型的原則包括：（1） 安全保密產(chǎn)品的接入應(yīng)不明顯影響網(wǎng)絡(luò)系統(tǒng)運(yùn)行效率，并且滿足工作的要求，不影響正常的網(wǎng)上金融交易和辦公；（2） 安全保密產(chǎn)品必須通過(guò)國(guó)家主管部門指定的測(cè)評(píng)機(jī)構(gòu)的檢測(cè)； （3） 產(chǎn)品必須具備自我保護(hù)能力；（4） 安全保密產(chǎn)品必須符合國(guó)家和國(guó)際上的相關(guān)標(biāo)準(zhǔn)；（5） 安全產(chǎn)品必須操作簡(jiǎn)單易用，便于簡(jiǎn)單部署和集中管理。 安全策略部署 VLAN技術(shù)VLAN（Virtual Local Area Network）的中文名為“虛擬局域網(wǎng)”。VLAN是一種將局域網(wǎng)設(shè)備從邏輯上劃分成一個(gè)個(gè)網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。VLAN要為了解決交換機(jī)在進(jìn)行局域網(wǎng)互連時(shí)無(wú)法限制廣播的問(wèn)題。這種技術(shù)可以把一個(gè)LAN劃分成多個(gè)邏輯的VLAN，每個(gè)VLAN是一個(gè)廣播域，VLAN內(nèi)的主機(jī)間通信就和在一個(gè)LAN內(nèi)一樣，而VLAN間則不能直接互通，這樣，廣播報(bào)文被限制在一個(gè)VLAN內(nèi)，這樣就大大的增加了局域網(wǎng)內(nèi)部的此信息安全性。將各部門劃屬不同的VLAN，它們之間是不能通信的，這樣能有效避免部門間的越權(quán)訪問(wèn)，特別是資產(chǎn)管理部這樣的數(shù)據(jù)比較敏感的部門，對(duì)于那些與他不屬于一個(gè)VLAN的電腦是無(wú)法訪問(wèn)它的。同時(shí)，這樣還防止廣播風(fēng)暴的發(fā)生，避免過(guò)多廣播包占據(jù)帶寬造成網(wǎng)絡(luò)擁塞。另外，VLAN為網(wǎng)絡(luò)管理帶來(lái)了很大的方便，將每個(gè)部門劃分為一個(gè)VLAN，每個(gè)VLAN內(nèi)的客戶終端需求是基本相似的，對(duì)于故障排查或者軟件升級(jí)等都比較方便，大大提高了網(wǎng)絡(luò)管理人員的工作效率。各個(gè)VLAN之間數(shù)據(jù)的傳輸，必須經(jīng)過(guò)Trunk鏈路。Trunk是一種封裝技術(shù)，它是一條點(diǎn)到點(diǎn)的鏈路，鏈路的兩端可以都是交換機(jī)，也可以是交換機(jī)和路由器。基于端口匯聚的功能，允許交換機(jī)與交換機(jī)、交換機(jī)與路由器、交換機(jī)與主機(jī)或路由之間通過(guò)兩個(gè)或多個(gè)端口并行連接同時(shí)傳輸以提供更高帶寬、更大吞吐量，大幅度提高整個(gè)網(wǎng)絡(luò)的能力。Trunk端口一般為交換機(jī)和交換機(jī)之間的級(jí)聯(lián)端口，用于傳遞所有vlan信息。Trunk鏈路配置命令：Switch(config)interface range [interfacenumber] Switch (configifrange)switchport trunk encapsulation dot1q Switch (configifrange)switchport mode trunkSwitch (configifrange)switchport allow trunk all 訪問(wèn)控制列表訪問(wèn)控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問(wèn)。它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問(wèn)控制涉及的技術(shù)也比較廣，包括入網(wǎng)訪問(wèn)控制、網(wǎng)絡(luò)權(quán)限控制、目錄級(jí)控制以及屬性控制等多種手段。訪問(wèn)控制列表（ACL）是應(yīng)用在路由器接口的指令列表。這些指令列表用來(lái)告訴路由器哪些數(shù)據(jù)包可以收、哪些數(shù)據(jù)包需要拒絕。使用訪問(wèn)控制列表不但能過(guò)濾通過(guò)路由器的數(shù)據(jù)包，而且也是控制網(wǎng)絡(luò)中數(shù)據(jù)流量的一個(gè)重要方法。圖31 ACL示意圖訪問(wèn)控制列表分為兩類，一個(gè)是標(biāo)準(zhǔn)訪問(wèn)列表，一個(gè)是擴(kuò)展訪問(wèn)列表。標(biāo)準(zhǔn)訪問(wèn)列表的編號(hào)是從1—99，它只使用數(shù)據(jù)包的源IP地址作為條件測(cè)試，只有允許或拒絕兩個(gè)操作，通常是對(duì)一個(gè)協(xié)議產(chǎn)生作用，不區(qū)分IP流量類型。而編號(hào)100以上的稱作擴(kuò)展訪問(wèn)列表，它可測(cè)試IP包的第3層和第4層報(bào)頭中的其他字段，比標(biāo)準(zhǔn)訪問(wèn)列表具有更多的匹配項(xiàng)，例如協(xié)議類型、源地址、目的地址、源端口、目的端口、建立連接的和IP優(yōu)先級(jí)等。 標(biāo)準(zhǔn)訪問(wèn)列表配置命令：Router(config)accesslist [accesslistnumber] {permit|deny} source [mask]/*為訪問(wèn)列表設(shè)置參數(shù)，IP 標(biāo)準(zhǔn)訪問(wèn)列表編號(hào) 1 到 99，缺省的通配符掩碼 = */Router(configif)ip accessgroup [accesslistnumber] { in | out }/*在端口上應(yīng)用訪問(wèn)列表，指明是進(jìn)方向還是出方向*/擴(kuò)展訪問(wèn)列表配置命令：Router(config) accesslist [accesslistnumber] { permit | deny } protocol source sourcewildcard [operator port] destination destinationwildcard [ operator port ] [ established ] [log] /*為標(biāo)準(zhǔn)訪問(wèn)列表設(shè)置參數(shù)，可具體到某個(gè)端口，某種協(xié)議*/根據(jù)公司各部門的性質(zhì)，我們可根據(jù)需要在匯聚層的設(shè)備上配置訪問(wèn)控制。如財(cái)務(wù)部、資產(chǎn)管理部信息數(shù)據(jù)機(jī)密度較高，我們就可以編寫訪問(wèn)控制列表，禁止其它網(wǎng)段也就是其它VLAN的用戶訪問(wèn)這些部門的電腦，無(wú)論是以什么樣的形式，即使用標(biāo)準(zhǔn)訪問(wèn)控制列表。當(dāng)然，寫完訪問(wèn)列表后，要將其應(yīng)用在相應(yīng)的端口上。有的部門可能對(duì)信息的保密要求沒(méi)有那么高，那么就可以使用擴(kuò)展訪問(wèn)列表，只對(duì)某一端口的數(shù)據(jù)進(jìn)行控制，如 telnet等。東華理工大學(xué)軟件學(xué)院畢業(yè)設(shè)計(jì)（論文） 防火墻配置4. 防火墻配置飛速發(fā)展的信息時(shí)代，在殘酷競(jìng)爭(zhēng)的市場(chǎng)，誰(shuí)先掌握了信息誰(shuí)就先掌握了契機(jī)，Internet的迅猛發(fā)展?jié)M足了人們對(duì)信息的渴求，同時(shí)Internet里也存在著許多不安全的因素，網(wǎng)絡(luò)信息的非法獲