【導(dǎo)讀】出了計算機分層的安全防護設(shè)計思想及其實現(xiàn)方案。根據(jù)該企業(yè)的情況，論。與配置、VPN的應(yīng)用、訪問控制程序等內(nèi)容。管理制度的建立和實施給出了說明。可擴展性良好等優(yōu)點。

　　

【正文】 防火墻技術(shù)， VPN 系統(tǒng)在維護網(wǎng)絡(luò)系統(tǒng)的安全方面也顯得尤為的重要。因此，現(xiàn)代網(wǎng)絡(luò)系統(tǒng)基礎(chǔ)設(shè)施的重要部分就該屬于防火墻系統(tǒng)和 VPN 應(yīng)用系統(tǒng)，在企業(yè)網(wǎng)絡(luò)安全系統(tǒng)第一階段就是要確保這兩項工作做好。在網(wǎng)絡(luò)安全的防范過程中， VPN 系統(tǒng)的應(yīng)用發(fā)揮著重要的作用，幾乎每一個企業(yè)網(wǎng)都會選擇 VPN 技術(shù)來確保整個網(wǎng)絡(luò)的安全性。 在具體的應(yīng)用系統(tǒng)或網(wǎng)絡(luò)資源訪問的過程中，為了進一步確保其安全性 ，動態(tài)認證系統(tǒng)作為加強手段也發(fā)揮著重要的作用。通過前面章節(jié)的研究表明，內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)不能公開化，一定要做好加密封閉方面的工作，一些敏感數(shù)據(jù)都是只允許在虛擬的公網(wǎng)隧道進行傳送的，一般很難被人侵襲獲取的。因此，只要安裝防火墻之后作用才能被體現(xiàn)；另一方面，具體應(yīng)用的訪問控制才是動態(tài)認證系統(tǒng)的目標(biāo)，應(yīng)用系統(tǒng)的要求發(fā)生改變，那么將直接影響系統(tǒng)的實施范圍和規(guī)模大小的。因此，在防火墻系統(tǒng)實施完成后的第二階段，某企業(yè)防火墻技術(shù)分析與應(yīng)用部署設(shè)計與實施 37 選擇實施動態(tài)認證系統(tǒng)將會取得更好的結(jié)果。 入侵檢測技術(shù)：入侵檢測方法已經(jīng)在入侵檢測系統(tǒng)中發(fā)揮著實際性的作用。阻止 病毒的侵犯，可以通過病毒檢測技術(shù)來實現(xiàn)，或者在企業(yè)局域網(wǎng)上，這些電腦病毒 能夠利用網(wǎng)絡(luò)版殺毒軟件來進行清除。 安全掃描技術(shù)：幫助網(wǎng)絡(luò)管理員了解網(wǎng)絡(luò)的安全配置和運行的應(yīng)用服務(wù)，及時發(fā)現(xiàn)安全漏洞，客觀評估網(wǎng)絡(luò)風(fēng)險等級。 網(wǎng)絡(luò)物理安全管理：保護計算機網(wǎng)絡(luò)設(shè)備、設(shè)施以及其他媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故和人為地操作失誤導(dǎo)致的破壞。 1. 入侵檢測技術(shù)概述 Intrusion Detection Systems 技術(shù)其目的是為了保證計算機系統(tǒng)的安全，它能夠及時發(fā)現(xiàn)報告計算機網(wǎng)絡(luò)系統(tǒng)中異?，F(xiàn)象和未經(jīng)授權(quán)的命 令程序，它還能夠檢測出網(wǎng)絡(luò)中一些違背安全策略的行為。 Intrusion Detection Systems 能夠檢測出每一個計算機網(wǎng)絡(luò)管理員不希望有的來自計算機網(wǎng)絡(luò)內(nèi)部和外部的活動。 Intrusion Detection Systems 能趕在入侵攻擊對目標(biāo)系統(tǒng)產(chǎn)生有效危害之前，檢測到入侵攻擊，及時報警并進行抵御、驅(qū)逐。這樣就可以減少系統(tǒng)分被入侵攻擊造成的損失。在系統(tǒng)被入侵攻擊之后，幫助系統(tǒng)某企業(yè)防火墻技術(shù)分析與應(yīng)用部署設(shè)計與實施 38 收集入侵攻擊的有關(guān)信息，用來作為防范系統(tǒng)的知識，添加進防范系統(tǒng)知識庫內(nèi)，這樣就逐漸的增強系統(tǒng)自身的防范能力。 在 當(dāng)下， Intrusion Detection Systems 只不過是計算機網(wǎng)絡(luò)系統(tǒng)方案的一個重要組成部分，因為它還需要與其他系統(tǒng)安全設(shè)備之間進行緊密的聯(lián)系，來共同解決計算機網(wǎng)絡(luò)的安全問題。 Intrusion Detection Systems 在計算機網(wǎng)絡(luò)中的位置一般選擇在： （ 1）盡可能靠近攻擊源 （ 2）盡可能靠近受保護資源 這些位置通常是：計算機服務(wù)器區(qū)域的交換機上；因特網(wǎng)接入路由器之后的第一臺交換機上；重點受保護網(wǎng)段的局域網(wǎng)的交換機上，入侵檢測系統(tǒng)的部署方 式如圖 47 所示： 入侵檢測系統(tǒng)部署圖 某企業(yè)防火墻技術(shù)分析與應(yīng)用部署設(shè)計與實施 39 根據(jù)企業(yè)內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，在計算機網(wǎng)絡(luò)的 key point 設(shè)置 Intrusion Detection Systems。在企業(yè)中心局域網(wǎng)的中心交換機和計算機服務(wù)器群前的分組交換機上各安裝一套 Intrusion Detection Systems。把 Intrusion Detection Systems 接在交換機的鏡像端口上，就可以自動復(fù)制該交換機的所有數(shù)據(jù)流量，這樣的操作，中心交換機的所有數(shù)據(jù)通信以及通過重要服務(wù)器群的所有數(shù)據(jù)都都能夠被監(jiān)聽到，進而實現(xiàn)其功能。 現(xiàn)在網(wǎng)絡(luò)的危險侵 襲途徑越來越多，從而促進入侵檢測方法也不斷的發(fā)展，包括基于專家系統(tǒng)入侵檢測方法、基于神經(jīng)網(wǎng)絡(luò)的入侵檢測方法等各式各樣。目前，在應(yīng)用層一些入侵檢測方法已經(jīng)在入侵檢測系統(tǒng)中發(fā)揮著實際性的作用。在防火墻、代理服務(wù)器或網(wǎng)絡(luò)服務(wù)器上，為了阻止病毒的侵犯，可以通過病毒檢測技術(shù)來實現(xiàn)，或者在企業(yè)局域網(wǎng)上，這些電腦病毒能夠利用網(wǎng)絡(luò)版殺毒軟件來進行清除。 2. 安全掃描技術(shù)概述 安全掃描技術(shù)和入侵檢測系統(tǒng)、防火墻直接的相互協(xié)作，才能真正的維護好計算機網(wǎng)絡(luò)的安全。通過對計算機網(wǎng)絡(luò)的安全掃描，計算機網(wǎng)絡(luò)的各項工作和安全某企業(yè)防火墻技術(shù)分析與應(yīng)用部署設(shè)計與實施 40 配置的 應(yīng)用服務(wù)都能被計算機網(wǎng)絡(luò)管理員掌控，以及時的發(fā)現(xiàn)計算機網(wǎng)絡(luò)的安全漏洞，這樣就可以客觀的評估計算機網(wǎng)絡(luò)的風(fēng)險等級。計算機網(wǎng)絡(luò)管理員還可以根據(jù)安全掃描的結(jié)果來更正系統(tǒng)中的錯誤配置和計算機網(wǎng)絡(luò)的安全漏洞，得以在黑客進行攻擊前進行防范。安全掃描技術(shù)主要分為兩大類：計算機網(wǎng)絡(luò)安全掃描技術(shù)和計算機主機安全掃描技術(shù)。計算機網(wǎng)絡(luò)安全掃描技術(shù)主要針對系統(tǒng)中設(shè)置比較脆弱的口令，和針對其它同安全規(guī)則相互抵觸的目標(biāo)進行檢查等；計算機主機安全掃描技術(shù)則是通過執(zhí)行腳本文件來模擬對系統(tǒng)進行攻擊的行為并實時記錄系統(tǒng)的反應(yīng)，從而發(fā)現(xiàn)隱藏在整 個系統(tǒng)中的漏洞。 計算機網(wǎng)絡(luò)安全掃描技術(shù)和工具提供了一種計算機網(wǎng)絡(luò)安全性評估分析手段，計算機網(wǎng)絡(luò)系統(tǒng)的安全性，都是借助于各項實踐性掃描技術(shù)來維護的，系統(tǒng)中只要一出現(xiàn)漏洞和病毒，掃描系統(tǒng)馬上會顯示結(jié)果報告，并自動采取一定的安全策略進行修護，從而起到增強計算機網(wǎng)絡(luò)安全的作用。 online 評估安全掃描系統(tǒng)能夠借在中心交換機上的每個端口上，這樣就可以掃描計算機網(wǎng)絡(luò)中可以到達的任意計算機網(wǎng)絡(luò)節(jié)點的設(shè)備。 安全掃描評估系統(tǒng)可以適應(yīng)整個計算機網(wǎng)絡(luò)安全管理某企業(yè)防火墻技術(shù)分析與應(yīng)用部署設(shè)計與實施 41 體系的結(jié)構(gòu)，為企業(yè)建立計算機網(wǎng)絡(luò)監(jiān)控中心，實現(xiàn)以下計算機網(wǎng) 絡(luò)安全的目標(biāo) : (1)具備計算機網(wǎng)絡(luò)分析、監(jiān)控和自動響應(yīng)功能 (2)確保計算機網(wǎng)絡(luò)安全的有關(guān)指數(shù)的正常 在企業(yè)計算機網(wǎng)絡(luò)中安裝的 online 評估安全掃描系統(tǒng)可以實現(xiàn)以下幾個功能 : online 評估系統(tǒng)具有強大的掃描和分析的能力。 online 評估系統(tǒng)具有計算機網(wǎng)絡(luò)安全策略的自定義能力。 online 評估系統(tǒng)能準(zhǔn)確全面報告網(wǎng)絡(luò)存在的弱點和漏洞； online 評估系統(tǒng)報告掃描對象相關(guān)信息和對外提供的服務(wù)； online 評估系統(tǒng)向客戶提供修補弱點和漏洞的建議和措施； online 評估系統(tǒng)有生成并分析計算機網(wǎng)絡(luò)安全報告的能力； online 評估系統(tǒng)有較好的自我防御能力。 3. 計算機機房的安全技術(shù)管理 計算機機房的安全保衛(wèi)技術(shù)是機房安全技術(shù)的重要組成部分，主要的安全技術(shù)措施是：報警、防盜、實時監(jiān)控等。計算機機房安全等級分為 A 類、 B 類和 C 類 某企業(yè)防火墻技術(shù)分析與應(yīng)用部署設(shè)計與實施 42 三個基本級別： A 類：對機房有嚴(yán)格要求，有完善的機房安全措施。 B 類：對機房有較嚴(yán)格要求，有完善的機房安全措施。 C 類：對機房有基本的要求，有基本的機房安全措施。 對計算機機房的安全管理有以下幾方面的要求： （ a）電梯和樓梯不能直接進入機房； （ b）計算機機房所在建筑物應(yīng)有足夠的照明設(shè)施和防止非法進入的安全設(shè)施； （ c）計算機機房所在建筑物外部容易接近的進出口應(yīng)有防盜柵欄和監(jiān)控措施，周邊應(yīng)有屏障和監(jiān)視系統(tǒng)； （ d）計算機機房內(nèi)須設(shè)應(yīng)急電話； （ e）計算機機房供電系統(tǒng)要將照明用電系統(tǒng)和計算機供電系統(tǒng)分開； （ f）計算機機房 250m 內(nèi)不應(yīng)有其他危險建筑物； （ g）計算機機房門和窗須具備優(yōu)秀的防盜性能。 （ h）計算機機房還應(yīng)做好防水、防火、防雷等其他相關(guān)措施。 如果計算機網(wǎng)絡(luò)的通信系統(tǒng)連接到室外，就會有相應(yīng)的安全問題，這就需要要采取相應(yīng)的安全防范措施。只要用一種比較簡單的高技術(shù)加壓電纜，就可以獲得計算機網(wǎng)絡(luò)通信線路上的物理安全。將通信電纜封閉在塑管中，并在計算機通信電纜兩端充氣加大壓力。某企業(yè)防火墻技術(shù)分析與應(yīng)用部署設(shè)計與實施 43 線上連接了帶有報警系統(tǒng)的監(jiān)示器，用來測量壓力。如果壓力下降，則意味著電纜可能被破壞了，于此同時，還能檢測出破點的所在位置，以便及時進行修復(fù)。 硬件設(shè)備安全管理包括計算機網(wǎng)絡(luò)相關(guān)硬件設(shè)備的維護和管理、電磁兼容和電磁輻射的防護、信息媒體的安全管理。 ① 計算機硬件設(shè)備的維護和管理 。 ② 磁兼容以及電磁輻射的防護。 ③ 遵守“嚴(yán)格管理、確保安全、周密防備、方便工作” 4 項基本工作原則。與此同時，還應(yīng)對移動硬盤等存儲媒介做好防震工作。 本章小結(jié) 本章詳細敘述了企業(yè)網(wǎng)絡(luò)攻擊的入侵方式和種類，如口令入侵；利用軟件系統(tǒng)的漏洞“后門”入侵網(wǎng)絡(luò)監(jiān)聽；拒絕服務(wù)攻擊；偽裝 IP 攻擊；特洛伊木馬；計算機病毒；蠕蟲程序，同時詳細介紹了防止網(wǎng)絡(luò)攻擊的技術(shù)實現(xiàn)方式，如防火墻； )入侵檢測系統(tǒng)；安全掃描技術(shù)；安全漏洞評估工具；網(wǎng)絡(luò)管理技術(shù)；多層次的、立體的病毒防護體系；安全審計；線路數(shù)據(jù) 加密。 某企業(yè)防火墻技術(shù)分析與應(yīng)用部署設(shè)計與實施 44 第三章 杭州數(shù)媒企訓(xùn)科技有限公司網(wǎng)絡(luò)安全應(yīng)用需求分析 杭州數(shù)媒企訓(xùn)科技有限公司是一家多網(wǎng)整合 (電視、電話、衛(wèi)星轉(zhuǎn)播、互聯(lián)網(wǎng)絡(luò)、移動通信 )提供企業(yè)服務(wù)運營的高科技公司。目前主要從事通過 IPTV 向企業(yè)及個人提供知識與信息服務(wù)，主要支持單位包括 :浙江省中小企業(yè)局、上海文廣新聞傳媒集團、中國電信。目前公司下設(shè)三個事業(yè)部 :網(wǎng)絡(luò)視訊事業(yè)部、管理咨詢事業(yè)部、教育事業(yè)部 ,分別致力于網(wǎng)絡(luò)視訊、管理咨詢、教育的市場開發(fā)和運營管理。 企業(yè)網(wǎng)絡(luò)目前的應(yīng)用系統(tǒng)結(jié)構(gòu)是 C/S 和 B/S 兩種應(yīng)用結(jié)構(gòu)的混合形式，主要的業(yè)務(wù)應(yīng)用系統(tǒng)現(xiàn)在是分布式的 C/S 結(jié)構(gòu)。現(xiàn)在正在進行的已有應(yīng)用系統(tǒng)升級開發(fā)將使應(yīng)用系統(tǒng)從 C/S 結(jié)構(gòu)向 B/S 結(jié)構(gòu)遷移；新增加的應(yīng)用系統(tǒng)開發(fā)，也是集中式的 B/S 結(jié)構(gòu)。在未來一兩年內(nèi)，企業(yè)的應(yīng)用系統(tǒng)將大部分實現(xiàn)集中式的 B/S 結(jié)構(gòu)模式。同時公司規(guī)模也越來越多，所涉及某企業(yè)防火墻技術(shù)分析與應(yīng)用部署設(shè)計與實施 45 的范圍也越來越廣，目前，很多企業(yè)網(wǎng)絡(luò)系統(tǒng)內(nèi)應(yīng)用的網(wǎng)絡(luò)視頻會議系統(tǒng)（對網(wǎng)絡(luò)的傳輸性能要求很高的應(yīng)用系統(tǒng)）會隨著系統(tǒng)應(yīng)用規(guī)模的擴大，為網(wǎng)絡(luò)系統(tǒng)帶來越來越大的數(shù)據(jù)傳輸壓力。 公司網(wǎng)絡(luò)安全現(xiàn)狀分析 VLAN 技術(shù)能有效隔離局域網(wǎng)，防止網(wǎng)內(nèi)的攻擊，所以杭州數(shù)媒企訓(xùn)科技有限公司網(wǎng)絡(luò)中按部門進行了 VLAN 劃分，劃分為以下兩個 VLAN： 財務(wù)部門 VLAN 10 交換機 S1 接入交換機（神州數(shù)碼 DCS3950） 業(yè)務(wù)部門 VLAN 20 交換機 S2 接入交換機（神州數(shù)碼 DCS3950） 核心交換機 VLAN 間路由 核心交換機 S3（神州數(shù)碼 DCRS5526） S1 配置如下 : switch switchena switchcon switch(Config)vlan 10 switch(ConfigVlan10)sw int e 0/0/120 switch(ConfigVlan10)exit 某企業(yè)防火墻技術(shù)分析與應(yīng)用部署設(shè)計與實施 46 switch(Config)exit switchcon switch(Config)int e 0/0/24 switch(ConfigEther0/0/24)sw m t Set the port Ether0/0/24 mode TRUNK successfully switch(ConfigEther0/0/24)sw t a v a set the port Ether0/0/24 allowed vlan successfully switch(ConfigEther0/0/24)exit switch(Config)ip dhcp pool vlan10 switch(dhcpvlan10config)workaddress switch(dhcpvlan10config)lease 3 switch(dhcpvlan10config)defaultrouter switch(dhcpvlan10config)dnsserver switch(dhcpvlan10config)exit switch(config)ip dhcp excludedaddress S2 配置如下 : 某企業(yè)防火墻技術(shù)分析與應(yīng)用部署設(shè)計與實施 47 Switch Switchena Switchcon switch(Config)vlan 20 switch(ConfigVlan20)sw int e 0/0/120 switch(ConfigVlan20)exit switch(Config)exit swit