【導(dǎo)讀】的競爭環(huán)境中脫穎而出。經(jīng)營管理對計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng)，計(jì)算機(jī)應(yīng)用。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對網(wǎng)絡(luò)安全提出了更高的要求。信息安全防范體系模型顯示安全防范是一個(gè)動態(tài)的過程，事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備，安全管理應(yīng)貫穿安全防范活動的始終。像病毒入侵和黑客攻擊之類的網(wǎng)絡(luò)安全事件，目前主要是通過網(wǎng)絡(luò)進(jìn)。行的，而且?guī)缀趺繒r(shí)每刻都在發(fā)生，遍及全球。除此之外，像惡意軟件入侵、攻。全部覆滅，甚至導(dǎo)致磁盤、計(jì)算機(jī)等硬件的損壞。為了防范這些網(wǎng)絡(luò)安全事故的發(fā)生，每個(gè)計(jì)算機(jī)用戶，特別是企業(yè)網(wǎng)絡(luò)用戶，必須采取足夠的安全防范措施，甚至可以說要在利益均衡情況下不惜一切代價(jià)。但要注意，企業(yè)網(wǎng)絡(luò)安全策略的實(shí)施是一項(xiàng)系統(tǒng)工程，它涉及許多方面。因?yàn)檫@些安全隱患爆發(fā)的途徑可以是多方面的，而許多安全措施都是相

　　

【正文】 建立加密的 SSL 通道，進(jìn)行用戶名和口令驗(yàn)證。 如果用戶登錄有錯(cuò)誤，比如防火墻 IP 無法連接、用戶不存在、用戶密碼錯(cuò)誤、超過最大用戶登錄人數(shù)、該用戶已登錄、本主機(jī)已由其他用戶登錄等等 錯(cuò)誤時(shí)， SecureKey會彈出提示框顯示相應(yīng)的錯(cuò)誤信息。如果各參數(shù)無誤，成功登錄后 SecureKey 窗口會自動最小化并在系統(tǒng)任務(wù)欄中顯示圖標(biāo)，雙擊該圖標(biāo)可以重新打開 SecureKey 窗口，此時(shí)顯示已登錄狀態(tài)，如圖 317 所示。 圖 317 一次性口令認(rèn)證 使用 SecureKey 登錄，有幾點(diǎn)注意事項(xiàng)： ① 如果指定了綁定的 IP 和 MASK，則該只能在綁定的 IP 范圍內(nèi)使用 SecureKey 登錄。 ② 一臺主機(jī)同一時(shí)刻只能由一個(gè)用戶登錄。 ③ 一個(gè)用戶同一時(shí)刻只能在一臺主機(jī)上登錄，也就是說，已登錄的用戶無法 在任一主機(jī)上再次登錄。 ④ 如果已經(jīng)登錄的用戶數(shù)達(dá)到了最大限制數(shù)，其它用戶也無法再登錄。 ⑤ 用戶登錄可以由用戶主動注銷，也可以由管理員在 WEB 管理終端強(qiáng)行切斷。 ⑥ 已登錄的用戶如果其主機(jī)與防火墻中心系統(tǒng)斷開網(wǎng)絡(luò)連接超過定義的時(shí)間，防火墻也會主動將該登錄取消并作記錄。 安裝證書 遠(yuǎn)東網(wǎng)安防火墻的 WEB 管理終端與中心系統(tǒng)的通信是加密的 HTTPS 協(xié)議，第一次訪問 WEB 管理界面的時(shí)候，瀏覽器會提示此加密通信的證書沒有得到信任，如圖 318 所示。點(diǎn)擊“是”按鈕可以忽略驗(yàn)證過程，對 WEB 管理過程沒有影 響。如果在安裝 WEB 管理終端的主機(jī)上安裝防火墻的根證書，以后就不會出現(xiàn)此警報(bào)。 圖 318 安全警報(bào) 安裝根證書的方法是將遠(yuǎn)東網(wǎng)安防火墻隨機(jī)附帶光盤中的根證書 (文件 )復(fù)制到安裝 WEB 管理終端的主機(jī)上，雙擊打開此文件查看證書信息，如圖 319 所示，并點(diǎn)擊安裝證書按鈕： 圖 319 證書 點(diǎn)擊安裝證書按鈕就打開了證書導(dǎo)入向?qū)?，如圖 320 所示。 圖 320 證書導(dǎo)入向?qū)? 保持向?qū)У娜笔∵x項(xiàng)不變，依次點(diǎn)擊確認(rèn)按鈕如“下一步”、“完成”、“是”等往后安裝，最后完成根證書 FarEastCA 的導(dǎo)入過程。 完成了證書的驗(yàn)證工作后，還要使證書上的名稱與防火墻站點(diǎn)名稱匹配，也就是在用 WEB瀏覽器訪問遠(yuǎn)東網(wǎng)安防火墻時(shí)。這要求安裝 WEB 管理終端的主機(jī)上對 FEFW 有域名解析，可以通過編輯 c:\winnt\system32\drivers\etc\hosts 文件來實(shí)現(xiàn)，在該文件末尾添加 一行： FEFW 其中 是防火墻的網(wǎng)址，如果 WEB 管理終端連接的是另一個(gè)防火墻網(wǎng)址，或者防火墻網(wǎng)址做了更改，則需要將 改成相應(yīng)的網(wǎng)址。 遠(yuǎn)程監(jiān)控臺的安裝 遠(yuǎn)程監(jiān)控臺 RemoteMonitor 是一個(gè)防火墻狀態(tài)實(shí)時(shí)監(jiān)控軟件，可以在網(wǎng)絡(luò)中集中的監(jiān)控多臺遠(yuǎn)東網(wǎng)安防火墻，實(shí)時(shí)的反映各臺防火墻的狀態(tài)信息，如圖 321 所示。 圖 321 遠(yuǎn)程監(jiān)控臺 遠(yuǎn)程監(jiān)控臺運(yùn)行于 Windows 平臺，安裝文件在遠(yuǎn)東網(wǎng)安防火墻隨機(jī)附帶的軟件光盤上，運(yùn)行“遠(yuǎn)程監(jiān)控臺”目錄下的 文件，就可以按照安裝向?qū)У闹甘疽徊讲酵瓿蛇h(yuǎn)程監(jiān)控臺的安裝。 防火墻的配置 配置遠(yuǎn)東網(wǎng)安防火墻的 NAT 工作模式 配置目的：在不改變網(wǎng)絡(luò)拓?fù)涞那闆r下，使建材公司內(nèi)部的 計(jì)算機(jī)訪問國際互聯(lián)網(wǎng)的時(shí)候，經(jīng)過包過濾安全設(shè)置。 初始工作環(huán)境說明：管理主機(jī)的 IP： 外網(wǎng)的網(wǎng)關(guān)是： 防火墻的 LAN（ eth0）口的 IP： （默認(rèn)） 網(wǎng)卡說明： eth0: eth1: eth2: eth3: （ 1）按照系統(tǒng)管理員 手冊的說明，用超級終端連上防火墻的操作臺。將管理主機(jī)與防火墻的 eth0 口相連，并設(shè)置 ip 地址設(shè)為 ，在瀏覽器地址欄中輸入 即可訪問 web 管理終端。在彈出的安全警報(bào)窗口中選“是”，如圖 322 所示。 圖 322 安全警報(bào) 出現(xiàn)管理終端，如圖 323 所示。 圖 323 管理終端 （ 2）在“網(wǎng)絡(luò)管理”選項(xiàng)的“網(wǎng)絡(luò)地址欄”對話框內(nèi)輸入 IP 地址，如圖 324 所示。 圖 324 網(wǎng)絡(luò)地址 （ 3）在“防火墻”選項(xiàng)的“地址轉(zhuǎn)換”對話框內(nèi)，為“靜態(tài) NAT”添加一個(gè)默認(rèn)的規(guī)則，出口為 ETH1:WAN 口，如圖 325 所示。 圖 325 靜態(tài) NAT （ 4）在“防火墻”選項(xiàng)的“訪問控制”對話框內(nèi)添加一個(gè)默認(rèn)的規(guī)則，如圖 326所示。 圖 326 訪問控制 （ 5）配置訪問控制規(guī)則： 首先點(diǎn)擊包過濾（ anyany），配置如圖 327 所示。 圖 327 包過濾規(guī)則配置 然后點(diǎn)擊“規(guī)則修改完成”。 點(diǎn)擊“動作”（ default） ,配置動作為通過，再點(diǎn)擊“保存”按鈕，如圖 328 所示。 圖 328 動作變量 （ 6）配置客戶主機(jī)網(wǎng)絡(luò)參數(shù)。 使客戶主 機(jī)的地址和 eth0:lan 同一個(gè)網(wǎng)段，外網(wǎng)的網(wǎng)關(guān)是： 。 現(xiàn)在，經(jīng)過連通性測試，如圖 329 所示，就可以正常登錄國際互聯(lián)網(wǎng)了。 圖 329 網(wǎng)絡(luò)測試 第 4 章 公司網(wǎng)絡(luò)安全維護(hù) 公司管理的安全性 管理方面的安全隱患包括：內(nèi)部管理人員或員工圖方便省事，不設(shè)置用戶口令，或者設(shè)置的口令過短和過于簡單，導(dǎo)致很容易破解。責(zé)任不清，使用相同的用戶名、口令，導(dǎo)致權(quán)限管理混亂，信息泄密。把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員用戶名及口令以及系統(tǒng)的一些重要信息傳播給外人帶來信息泄漏風(fēng)險(xiǎn)。內(nèi)部不滿 的員工有的可能造成極大的安全風(fēng)險(xiǎn)。 管理是網(wǎng)絡(luò)中安全得到保證的重要組成部分，是防止來自內(nèi)部網(wǎng)絡(luò)入侵必須的部分。責(zé)權(quán)不明，管理上混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。即除了從技術(shù)上下功夫外，還得依靠安全管理來實(shí)現(xiàn)。 安全管理包括安全技術(shù)和設(shè)備的管理，安全管理制度，部門與人員的組織規(guī)則等。管理的制度化程度極大地影響著整個(gè)網(wǎng)絡(luò)的安全，嚴(yán)格的安全管理制度、明確的部門安全職責(zé)劃分、合理的人員角色定義都可以在很大程度上降低其它層次的安全漏洞。 業(yè)務(wù)系統(tǒng)的可用性 :中小企業(yè)主機(jī)、 FTP、應(yīng)用服務(wù) 器系統(tǒng)的安全運(yùn)行同樣十分關(guān)鍵，網(wǎng)絡(luò)安全必須保證這些系統(tǒng)不會遭受來自網(wǎng)絡(luò)的非法訪問、惡意入侵和破壞。 數(shù)據(jù)機(jī)密性 :對于中小企業(yè)網(wǎng)絡(luò)，保密數(shù)據(jù)的泄密將直接帶來企業(yè)商業(yè)利益的損失。網(wǎng)絡(luò)安全系統(tǒng)應(yīng)保證機(jī)密信息在存儲與傳輸時(shí)的保密性。 安全管理的主要功能指對安全設(shè)備的管理；監(jiān)視網(wǎng)絡(luò)危險(xiǎn)情況，對危險(xiǎn)進(jìn)行隔離，并把危險(xiǎn)控制在最小范圍內(nèi)；身份認(rèn)證，權(quán)限設(shè)置；對資源的存取權(quán)限的管理；對資源或用戶動態(tài)的或靜態(tài)的審計(jì)；對違規(guī)事件，自動生成報(bào)警或生成事件消息；口令管理（如操作員的口令鑒權(quán)），對無權(quán)操作人員進(jìn)行控制；密鑰管理：對于與 密鑰相關(guān)的服務(wù)器，應(yīng)對其設(shè)置密鑰生命期、密鑰備份等管理功能；冗余備份：為增加網(wǎng)絡(luò)的安全系數(shù)，對于關(guān)鍵的服務(wù)器應(yīng)冗余備份。安全管理應(yīng)該從管理制度和管理平臺技術(shù)實(shí)現(xiàn)兩個(gè)方面來實(shí)現(xiàn)。安全管理產(chǎn)品盡可能的支持統(tǒng)一的中心控制平臺。 服務(wù)器防毒技術(shù) 服務(wù)器是網(wǎng)絡(luò)的核心，一旦服務(wù)器被病毒感染，無法啟動，整個(gè)網(wǎng)絡(luò)就會陷于癱瘓。目前基于服務(wù)器的防治病毒方法主要以 NLM 可裝載模塊技術(shù)進(jìn)行程序設(shè)計(jì)，以服務(wù)器為基礎(chǔ)，提供實(shí)時(shí)掃描病毒能力?；诜?wù)器的防毒技術(shù)一般具有以下功能： 1） 服務(wù)器所有文件掃描。對服務(wù)器中的所有 文件集中檢查是否帶毒，若有帶毒文件，則提供 Supervisory 等幾種處理方法； 2） 實(shí)時(shí)在線掃描。全天 24 小時(shí)臨近網(wǎng)絡(luò)中是否有帶毒文件進(jìn)入服務(wù)器； 3） 服務(wù)器掃描選擇。系統(tǒng)管理員（ Supervisor）定期檢查服務(wù)器中是否帶毒，可按月、周或天集中掃描一下網(wǎng)絡(luò)服務(wù)器； 4） 自動報(bào)告功能及病毒存檔； 5） 工作站掃描。基于服務(wù)器的防病毒軟件不能保護(hù)本地工作站的硬盤，有效方法是在服務(wù)器上安裝防毒軟件，同時(shí)在上網(wǎng)的工作站內(nèi)存中調(diào)入一個(gè)常駐掃毒程序，實(shí)時(shí)檢測在工作站中運(yùn)行的程序； 6） 對用戶開放的特征接口， 對用戶遇到的帶毒文件，經(jīng)過病毒特征分析程序，自動將病毒特征加入特征庫，以隨時(shí)增強(qiáng)抗毒能力。 網(wǎng)絡(luò)環(huán)境下的病毒防護(hù) 安裝和維護(hù)整個(gè) PC 系統(tǒng)的防毒軟件是一項(xiàng)昂貴和復(fù)雜的工作。因此，所有針對網(wǎng)絡(luò)環(huán)境的防毒方案都應(yīng)該提供從一個(gè)網(wǎng)絡(luò)工作站對防毒軟件進(jìn)行安裝和維護(hù)的設(shè)施。我們應(yīng)該可以對所有網(wǎng)絡(luò)元素的防毒軟件進(jìn)行安裝、升級、設(shè)置以及監(jiān)視它們的防毒情況。 一個(gè)好的網(wǎng)絡(luò)防毒軟件，除了能有效殺除病毒外。 筆者 認(rèn)為它還必須有以下特點(diǎn)： *自動為網(wǎng)絡(luò)服務(wù)器安裝防毒軟件：你只需在服務(wù)器列表中選擇需要保護(hù)的服務(wù)器，防毒軟件就 會自動安裝常駐內(nèi)存病毒保護(hù)軟件。 *自動為網(wǎng)絡(luò)工作站安裝防毒軟件：選擇一個(gè)服務(wù)器，那么所有與這個(gè)服務(wù)器相連的工作站都會馬上完成安裝。防毒軟件會確保所有工作站都有常駐內(nèi)存保護(hù)，既使某些工作站在安裝過程中沒有連到網(wǎng)絡(luò)上。 *自動更新服務(wù)器和工作站上的防毒軟件：防毒程序必須能自動進(jìn)行更新，并將最新的升級文件自動分發(fā)到網(wǎng)絡(luò)上的每個(gè)工作站。 *設(shè)置服務(wù)器和工作站上的防毒軟件：可以設(shè)置定期分析、掃描某種擴(kuò)展名的文件、CPU 占用等級、報(bào)警信息的接收者等等。 *監(jiān)視整個(gè)網(wǎng)絡(luò)的防毒動向：防毒軟件還必須可以顯示所有服務(wù)器 和工作站的防毒情況報(bào)告。有必要的話可在服務(wù)器或者主交換機(jī)上設(shè)置流量控制，因?yàn)楹枚嗖《臼且詳?shù)據(jù)包形式傳送的 。 結(jié) 論 隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全逐漸成為一個(gè)潛在的巨大問題。在網(wǎng)絡(luò)設(shè)計(jì)中，沒有一種設(shè)計(jì)方案可以適合所以的網(wǎng)絡(luò)。網(wǎng)絡(luò)設(shè)計(jì)技術(shù)非常復(fù)雜而且更新很快，因此我們必須根據(jù)實(shí)際情況具體分析。網(wǎng)絡(luò)安全性是一個(gè)涉及面很廣泛的問題，其中也會涉及到是否構(gòu)成犯罪行為的問題。在其最簡單的形式中，它主要關(guān)心的是確保無關(guān)人員不能讀取，更不能修改傳送給其他接收者的信息。此 時(shí)，它關(guān)心的對象是那些無權(quán)使用，但卻試圖獲得遠(yuǎn)程服務(wù)的人。安全性也處理合法消息被截獲和重播的問題，以及發(fā)送者是否曾發(fā)送過該條消息的問題。 通過這次畢業(yè)設(shè)計(jì)讓我更加熟悉了從理論到實(shí)踐的跨越，也發(fā)現(xiàn)在課本中學(xué)習(xí)到是不足以應(yīng)付實(shí)際發(fā)生的問題，這也要我們樹立起不斷學(xué)習(xí)，終身學(xué)習(xí)的概念。 本論文從企業(yè)角度描述了網(wǎng)絡(luò)安全的解決方案，目的在于為用戶提供信息的保密，認(rèn)證和完整性保護(hù)機(jī)制，使網(wǎng)絡(luò)中的服務(wù)，數(shù)據(jù)以及系統(tǒng)免受侵?jǐn)_和破壞。比如防火墻，認(rèn)證，加密技術(shù)等都是當(dāng)今常用的方法，本論文從這些方法入手深入研究各個(gè)方面的網(wǎng)絡(luò)安全 問題的解決，可以使讀者有對網(wǎng)絡(luò)安全技術(shù)的更深刻的了解。 參考文摘 曹天杰 ， 《計(jì)算機(jī)系統(tǒng)安全》 北京： 高等教育出版社 。 張 堯?qū)W， 《 計(jì)算機(jī)操作系統(tǒng)教程 》。北京：清華大學(xué)出版社。 姜全生， 《 計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)應(yīng)用 》。北京：清華大學(xué)出版社。 微軟公司， 《 網(wǎng)絡(luò)安全的實(shí)現(xiàn)和管理 》 。 背京：高等教育出版社。 高冬梅 ， 《網(wǎng)絡(luò)時(shí)代計(jì)算機(jī)病毒的防范》 。 考試周刊 康瑞峰 ， 《網(wǎng)絡(luò)信息安全實(shí)用教程》 。 東南大學(xué)出版社 致 謝 在這幾個(gè)多月的畢業(yè)設(shè)計(jì)中，我要衷心感謝我的指導(dǎo)老師 在我畢業(yè) 設(shè)計(jì)過程中給予我的熱情關(guān)懷和悉心指導(dǎo)，在我做畢業(yè)設(shè)計(jì)的過程中，老師傾注了大量的心血和汗水使我能夠及時(shí)、順利的完成此次的畢業(yè)設(shè)計(jì)。老師認(rèn)真的求學(xué)精神和嚴(yán)謹(jǐn)?shù)闹螌W(xué)態(tài)度深深的影響著我，他的鼓勵(lì)和教導(dǎo)是我不斷前進(jìn)的動力，并將激勵(lì)我以他為榜樣，嚴(yán)于律已、寬厚待人、開拓創(chuàng)新。 感謝在我學(xué)習(xí)和撰寫論文期間，朝夕 相處共同生活學(xué)習(xí)的同學(xué)們的熱情幫助。特別要感謝同窗室 友長期以來對我的無私幫助，沒有他們，我的論文無法順利完成。 做畢業(yè)實(shí)際就需要把平時(shí)學(xué)到的東西在復(fù)習(xí)一遍，因?yàn)槠綍r(shí)上課還有課后自己的學(xué)習(xí)，都主要在基于理論方面的，雖 然也做很多實(shí)驗(yàn)，但當(dāng)把 畢業(yè)設(shè)計(jì)當(dāng)作一個(gè)實(shí)際的工程來做的時(shí)候就會發(fā)現(xiàn)很多的問題，多虧了 老師和同學(xué)們的幫助，使我解決了困惑自己的很多問題。讓我更好的將理論和實(shí)踐相結(jié)合，最后完成了此次畢業(yè)設(shè)計(jì)，同時(shí)也為以后工作做了很好的準(zhǔn)備。 最后，我要感謝我的家人，長期以來對我默默的關(guān)心和支持，感謝他們?nèi)陙韺ξ覠o怨無悔的幫助、照顧和支持，對他們的愛和感激我無法用言語來表達(dá)！ 商丘職業(yè)技術(shù)學(xué)院學(xué)生申請答辯表 課題名稱 學(xué)生所在系 專業(yè) 學(xué)號 個(gè) 人 申 請 理 由 指 導(dǎo) 教 師 推 薦 理 由