【文章內容簡介】 管理。常見的郵件服務器軟件有很多，例如：微軟 Exchange Server 、MDaemon Server、WinWebMail 、IMail Server等等。在這里我們選用微軟exchange server 2003作為服務器端軟件，該版本也是Microsoft exchange server中應用最廣泛，功能最穩(wěn)定的一個版本。exchange server 2003常見的任務包括：備份與還原、建立新郵箱、恢復、移動、安裝新的硬件、存儲區(qū)、軟件和工具，以及應用更新和修補程序等。新工具和改進的工具可幫助 網(wǎng)絡管理員更有效地完成工作。例如，一位管理人員可能需要恢復幾個月以前刪除的一封非常重要的舊電子郵件，通過使用“恢復存儲組”功能，管理員可以恢復個人用戶的郵箱，以便查找以前刪除的重要電子郵件。其他新的管理功能包括： 并行移動多個郵箱。 改進的消息跟蹤和 Outlook 客戶端性能記錄功能。 增強的隊列查看器，它使用戶能夠從同一控制臺同時查看 SMTP 和 隊列。 新的基于查詢的通訊組列表，它現(xiàn)在支持動態(tài)地實時查找成員。 此外，用于 Microsoft Operations Manager 的 Exchange 管理包可自動監(jiān)視整個 Exchange 環(huán)境，從而使用戶能夠對 Exchange 問題預先采取管理措施并快速予以解決。在部署exchange 2003郵件服務器之前，首先為公司申請合法的域名，建立域控服務器，打開“運行”對話框，輸入dcpromo命令，然后根據(jù)向導創(chuàng)建域控服務器。圖23 建立域控服務器將公司內的所有PC機加入該域。為了防止主域控服務器出現(xiàn)故障而導致通信故障和信息丟失，所以我們還需要一臺輔助域控。當然，還需要在DNS服務器中寫入記錄，這樣發(fā)出的郵件才知道去處。郵件服務器硬件的選擇根據(jù)企業(yè)本身業(yè)務的應用情況和資金投入來決定。從該公司來看，公司用戶在幾百個以下，但是郵件來往比較多，所以要選擇專業(yè)的PC服務器才能滿足基本的性能要求。 WEB服務器 WEB服務器也稱為WWW（WORLD WIDE WEB）服務器，主要功能是提供網(wǎng)上信息瀏覽服務。本方案中web服務器主要是向外發(fā)布公司網(wǎng)站，時時更新公司以及金融市場信息以供用戶網(wǎng)上參考。本方案中，我們選擇Linux作為web服務器的操作系統(tǒng)，所以服務器端軟件則用Apache。Apache是世界上用的最多的Web服務器，市場占有率達60%左右，它源于NCSAd服務器。Apache有多種產品，可以支持SSL技術，支持多個虛擬主機。它是以進程為基礎的結構，進程要比線程消耗更多的系統(tǒng)開支。因為它是自由軟件，所以不斷有人來為它開發(fā)新的功能、新的特性、修改原來的缺陷。Apache的特點是簡單、速度快、性能穩(wěn)定，并可做代理服務器來使用。它的成功之處主要在于它的源代碼開放、有一支開放的開發(fā)隊伍、支持跨平臺的應用（可以運行在幾乎所有的Unix、Windows、Linux系統(tǒng)平臺上）以及它的可移植性等方面。16東華理工大學軟件學院畢業(yè)設計（論文） 安全策略3. 安全策略 網(wǎng)絡威脅因素分析對于金融業(yè)來說，網(wǎng)絡的安全性是相當重要的。而金融網(wǎng)上交易，信息發(fā)布等業(yè)務使得公司網(wǎng)絡必須與公網(wǎng)相連，這樣必然存在著安全風險。并且公司內部網(wǎng)絡，由于各部門職能不同，某些部門網(wǎng)絡可能也要求很高的安全性。公司網(wǎng)絡的安全風險可能包括以下幾個：（1） 公司網(wǎng)絡與公網(wǎng)連接，可能遭到來自各地的越權訪問，還可能遭到網(wǎng)絡黑客的惡意攻擊和計算機病毒的入侵；（2） 內部的各個子網(wǎng)通過骨干交換相互連接，這樣的話，某些重要的部門可能會遭到來自其它部門的越權訪問。這些越權訪問可能包括惡意攻擊、誤操作 等，據(jù)統(tǒng)計約有70％左右的攻擊來自內部用戶，相比外部攻擊來說，內部用戶具有更得天獨厚的優(yōu)勢，但是無論怎樣，結果都將導致重要信息的泄露或者網(wǎng)絡的癱瘓；（3） 設備的自身安全性也會直接關系到網(wǎng)絡系統(tǒng)和各種網(wǎng)絡應用的正常運轉。例如，路由設備存在路由信息泄漏、交換機和路由器設備配置風險等。重要服務器或操作系統(tǒng)自身存在安全的漏洞，如果管理員沒有及時的發(fā)現(xiàn)并且進行修復，將會為網(wǎng)絡的安全帶來很多不安定的因素。重要服務器的當機或者重要數(shù)據(jù)的意外丟失，都將會造成公司日常辦公無法進行。 安全要求（1） 物理安全：包括保護計算機網(wǎng)絡設備設施以及數(shù)據(jù)庫資料免遭地震、水災、火災等環(huán)境事故以及人為操作失誤導致系統(tǒng)損壞，同時要避免由于電磁泄漏引起的信息失密。（2） 網(wǎng)絡安全：主要包括系統(tǒng)安全和網(wǎng)絡運行安全，檢測到系統(tǒng)安全漏洞和對于網(wǎng)絡訪問的控制。（3） 信息安全：包括信息傳輸?shù)陌踩?、信息存儲的安全以及對用戶的授權和鑒別。 安全規(guī)劃安全方面分為內網(wǎng)和外網(wǎng)兩部分。內網(wǎng)方面安全區(qū)域劃分五個區(qū)域：外網(wǎng)（黨政信息內網(wǎng)）、DMZ區(qū)域（服務器區(qū)域）、內部用戶區(qū)域、行業(yè)其他單位連接、公網(wǎng)區(qū)域。安全定義：（1） 外網(wǎng)區(qū)域為不可信任區(qū)；（2） DMZ區(qū)域為中立區(qū)域，允許部分外網(wǎng)用戶連接（比如：網(wǎng)站對外服務等）但受到防火墻嚴格控制；（3） 內部用戶區(qū)域為信任區(qū)域；（4） 行業(yè)其他單位連接區(qū)域，由于無法管理，使用網(wǎng)閘物理隔離；（5） 公網(wǎng)區(qū)域，威脅最大區(qū)域，使用網(wǎng)閘物理隔離。在防火墻上進行設置，包括用ACL進行流量控制、關閉病毒端口、NAT的轉換等。外網(wǎng)安全方面主體是在防火墻上進行設置，外網(wǎng)安全劃分為三個區(qū)域，公網(wǎng)區(qū)域（Internet、黨政外網(wǎng)）、DMZ區(qū)域（服務器區(qū)域）、內部用戶區(qū)域。安全級別定義：（1） 公網(wǎng)區(qū)域為不可信任區(qū)；（2） DMZ區(qū)域為中立區(qū)域，允許部分外網(wǎng)用戶連接（比如：網(wǎng)站對外服務等）但受到防火墻嚴格控制；（3） 內部用戶區(qū)域為信任區(qū)域。IPS對進出數(shù)據(jù)進行訪問檢測，本項目中外網(wǎng)中IPS劃分兩條物理隔離的鏈路分別檢測內部用戶數(shù)據(jù)流量和DMZ區(qū)域數(shù)據(jù)流量。上網(wǎng)行為管理只對用戶區(qū)域的數(shù)據(jù)進行監(jiān)控和管理。內網(wǎng)安全策略：（1） 報文阻斷策略，通過設置報文阻斷策略，實現(xiàn)對二、三層的訪問控制；（2） 訪問控制規(guī)則，通過設置訪問控制規(guī)則，實現(xiàn)對三到七層的訪問控制；（3） IP/MAC 地址綁定，將IP 地址與MAC 地址綁定從而防止非法用戶冒充IP 地址進行非法訪問；（4） 病毒防御。能夠對使用HTTP、FTP 傳輸?shù)奈募约皩κ褂肧MTP、POP3 和IMAP 協(xié)議傳送的郵件正文、附件進行病毒檢查過濾，并可根據(jù)文件擴展名選擇過濾或者不過濾的附件類型等。外網(wǎng)安全策略：（1） 地址轉換，進行源、目的地址轉換以及雙向地址轉換；（2） 報文阻斷策略，通過設置報文阻斷策略，實現(xiàn)對二、三層的訪問控制；（3） 訪問控制規(guī)則，通過設置訪問控制規(guī)則，實現(xiàn)對三到七層的訪問控制；（4） IP/MAC 地址綁定，將IP 地址與MAC 地址綁定從而防止非法用戶冒充IP 地址進行非法訪問，（5） 病毒防御，能夠對使用HTTP、FTP 傳輸?shù)奈募约皩κ褂肧MTP、POP3 和IMAP 協(xié)議傳送的郵件正文、附件進行病毒檢查過濾，并可根據(jù)文件擴展名選擇過濾或者不過濾的附件類型等。 安全產品選型原則XX金融公司網(wǎng)絡屬于一個行業(yè)的專用網(wǎng)絡，因此在安全產品的選型上，必須慎重。選型的原則包括：（1） 安全保密產品的接入應不明顯影響網(wǎng)絡系統(tǒng)運行效率，并且滿足工作的要求，不影響正常的網(wǎng)上金融交易和辦公；（2） 安全保密產品必須通過國家主管部門指定的測評機構的檢測； （3） 產品必須具備自我保護能力；（4） 安全保密產品必須符合國家和國際上的相關標準；（5） 安全產品必須操作簡單易用，便于簡單部署和集中管理。 安全策略部署 VLAN技術VLAN（Virtual Local Area Network）的中文名為“虛擬局域網(wǎng)”。VLAN是一種將局域網(wǎng)設備從邏輯上劃分成一個個網(wǎng)段，從而實現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術。VLAN要為了解決交換機在進行局域網(wǎng)互連時無法限制廣播的問題。這種技術可以把一個LAN劃分成多個邏輯的VLAN，每個VLAN是一個廣播域，VLAN內的主機間通信就和在一個LAN內一樣，而VLAN間則不能直接互通，這樣，廣播報文被限制在一個VLAN內，這樣就大大的增加了局域網(wǎng)內部的此信息安全性。將各部門劃屬不同的VLAN，它們之間是不能通信的，這樣能有效避免部門間的越權訪問，特別是資產管理部這樣的數(shù)據(jù)比較敏感的部門，對于那些與他不屬于一個VLAN的電腦是無法訪問它的。同時，這樣還防止廣播風暴的發(fā)生，避免過多廣播包占據(jù)帶寬造成網(wǎng)絡擁塞。另外，VLAN為網(wǎng)絡管理帶來了很大的方便，將每個部門劃分為一個VLAN，每個VLAN內的客戶終端需求是基本相似的，對于故障排查或者軟件升級等都比較方便，大大提高了網(wǎng)絡管理人員的工作效率。各個VLAN之間數(shù)據(jù)的傳輸，必須經(jīng)過Trunk鏈路。Trunk是一種封裝技術，它是一條點到點的鏈路，鏈路的兩端可以都是交換機，也可以是交換機和路由器?；诙丝趨R聚的功能，允許交換機與交換機、交換機與路由器、交換機與主機或路由之間通過兩個或多個端口并行連接同時傳輸以提供更高帶寬、更大吞吐量，大幅度提高整個網(wǎng)絡的能力。Trunk端口一般為交換機和交換機之間的級聯(lián)端口，用于傳遞所有vlan信息。Trunk鏈路配置命令：Switch(config)interface range [interfacenumber] Switch (configifrange)switchport trunk encapsulation dot1q Switch (configifrange)switchport mode trunkSwitch (configifrange)switchport allow trunk all 訪問控制列表訪問控制是網(wǎng)絡安全防范和保護的主要策略，它的主要任務是保證網(wǎng)絡資源不被非法使用和訪問。它是保證網(wǎng)絡安全最重要的核心策略之一。訪問控制涉及的技術也比較廣，包括入網(wǎng)訪問控制、網(wǎng)絡權限控制、目錄級控制以及屬性控制等多種手段。訪問控制列表（ACL）是應用在路由器接口的指令列表。這些指令列表用來告訴路由器哪些數(shù)據(jù)包可以收、哪些數(shù)據(jù)包需要拒絕。使用訪問控制列表不但能過濾通過路由器的數(shù)據(jù)包，而且也是控制網(wǎng)絡中數(shù)據(jù)流量的一個重要方法。圖31 ACL示意圖訪問控制列表分為兩類，一個是標準訪問列表，一個是擴展訪問列表。標準訪問列表的編號是從1—99，它只使用數(shù)據(jù)包的源IP地址作為條件測試，只有允許或拒絕兩個操作，通常是對一個協(xié)議產生作用，不區(qū)分IP流量類型。而編號100以上的稱作擴展訪問列表，它可測試IP包的第3層和第4層報頭中的其他字段，比標準訪問列表具有更多的匹配項，例如協(xié)議類型、源地址、目的地址、源端口、目的端口、建立連接的和IP優(yōu)先級等。 標準訪問列表配置命令：Router(config)accesslist [accesslistnumber] {permit|deny} source [mask]/*為訪問列表設置參數(shù)，IP 標準訪問列表編號 1 到 99，缺省的通配符掩碼 = */Router(configif)ip accessgroup [accesslistnumber] { in | out }/*在端口上應用訪問列表，指明是進方向還是出方向*/擴展訪問列表配置命令：Router(config) accesslist [accesslistnumber] { permit | deny } protocol source sourcewildcard [operator port] destination destinationwildcard [ operator port ] [ established ] [log] /*為標準訪問列表設置參數(shù)，可具體到某個端口，某種協(xié)議*/根據(jù)公司各部門的性質，我們可根據(jù)需要在匯聚層的設備上配置訪問控制。如財務部、資產管理部信息數(shù)據(jù)機密度較高，我們就可以編寫訪問控制列表，禁止其它網(wǎng)段也就是其它VLAN的用戶訪問這些部門的電腦，無論是以什么樣的形式，即使用標準訪問控制列表。當然，寫完訪問列表后，要將其應用在相應的端口上。有的部門可能對信息的保密要求沒有那么高，那么就可以使用擴展訪問列表，只對某一端口的數(shù)據(jù)進行控制，如 telnet等。東華理工大學軟件學院畢業(yè)設計（論文） 防火墻配置4. 防火墻配置飛速發(fā)展的信息時代，在殘酷競爭的市場，誰先掌握了信息誰就先掌握了契機，Internet的迅猛發(fā)展?jié)M足了人們對信息的渴求，同時Internet里也存在著許多不安全的因素，網(wǎng)絡信息的非法獲