【導(dǎo)讀】的競爭環(huán)境中脫穎而出。經(jīng)營管理對計算機應(yīng)用系統(tǒng)的依賴性增強，計算機應(yīng)用。計算機網(wǎng)絡(luò)規(guī)模不斷擴大，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。機網(wǎng)絡(luò)和計算機應(yīng)用系統(tǒng)的正常運行對網(wǎng)絡(luò)安全提出了更高的要求。信息安全防范體系模型顯示安全防范是一個動態(tài)的過程，事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備，安全管理應(yīng)貫穿安全防范活動的始終。像病毒入侵和黑客攻擊之類的網(wǎng)絡(luò)安全事件，目前主要是通過網(wǎng)絡(luò)進。行的，而且?guī)缀趺繒r每刻都在發(fā)生，遍及全球。除此之外，像惡意軟件入侵、攻。全部覆滅，甚至導(dǎo)致磁盤、計算機等硬件的損壞。為了防范這些網(wǎng)絡(luò)安全事故的發(fā)生，每個計算機用戶，特別是企業(yè)網(wǎng)絡(luò)用戶，必須采取足夠的安全防范措施，甚至可以說要在利益均衡情況下不惜一切代價。但要注意，企業(yè)網(wǎng)絡(luò)安全策略的實施是一項系統(tǒng)工程，它涉及許多方面。因為這些安全隱患爆發(fā)的途徑可以是多方面的，而許多安全措施都是相

　　

【正文】 建立加密的 SSL 通道，進行用戶名和口令驗證。 如果用戶登錄有錯誤，比如防火墻 IP 無法連接、用戶不存在、用戶密碼錯誤、超過最大用戶登錄人數(shù)、該用戶已登錄、本主機已由其他用戶登錄等等 錯誤時， SecureKey會彈出提示框顯示相應(yīng)的錯誤信息。如果各參數(shù)無誤，成功登錄后 SecureKey 窗口會自動最小化并在系統(tǒng)任務(wù)欄中顯示圖標(biāo)，雙擊該圖標(biāo)可以重新打開 SecureKey 窗口，此時顯示已登錄狀態(tài)，如圖 317 所示。 圖 317 一次性口令認證 使用 SecureKey 登錄，有幾點注意事項： ① 如果指定了綁定的 IP 和 MASK，則該只能在綁定的 IP 范圍內(nèi)使用 SecureKey 登錄。 ② 一臺主機同一時刻只能由一個用戶登錄。 ③ 一個用戶同一時刻只能在一臺主機上登錄，也就是說，已登錄的用戶無法 在任一主機上再次登錄。 ④ 如果已經(jīng)登錄的用戶數(shù)達到了最大限制數(shù)，其它用戶也無法再登錄。 ⑤ 用戶登錄可以由用戶主動注銷，也可以由管理員在 WEB 管理終端強行切斷。 ⑥ 已登錄的用戶如果其主機與防火墻中心系統(tǒng)斷開網(wǎng)絡(luò)連接超過定義的時間，防火墻也會主動將該登錄取消并作記錄。 安裝證書 遠東網(wǎng)安防火墻的 WEB 管理終端與中心系統(tǒng)的通信是加密的 HTTPS 協(xié)議，第一次訪問 WEB 管理界面的時候，瀏覽器會提示此加密通信的證書沒有得到信任，如圖 318 所示。點擊“是”按鈕可以忽略驗證過程，對 WEB 管理過程沒有影 響。如果在安裝 WEB 管理終端的主機上安裝防火墻的根證書，以后就不會出現(xiàn)此警報。 圖 318 安全警報 安裝根證書的方法是將遠東網(wǎng)安防火墻隨機附帶光盤中的根證書 (文件 )復(fù)制到安裝 WEB 管理終端的主機上，雙擊打開此文件查看證書信息，如圖 319 所示，并點擊安裝證書按鈕： 圖 319 證書 點擊安裝證書按鈕就打開了證書導(dǎo)入向?qū)В鐖D 320 所示。 圖 320 證書導(dǎo)入向?qū)? 保持向?qū)У娜笔∵x項不變，依次點擊確認按鈕如“下一步”、“完成”、“是”等往后安裝，最后完成根證書 FarEastCA 的導(dǎo)入過程。 完成了證書的驗證工作后，還要使證書上的名稱與防火墻站點名稱匹配，也就是在用 WEB瀏覽器訪問遠東網(wǎng)安防火墻時。這要求安裝 WEB 管理終端的主機上對 FEFW 有域名解析，可以通過編輯 c:\winnt\system32\drivers\etc\hosts 文件來實現(xiàn)，在該文件末尾添加 一行： FEFW 其中 是防火墻的網(wǎng)址，如果 WEB 管理終端連接的是另一個防火墻網(wǎng)址，或者防火墻網(wǎng)址做了更改，則需要將 改成相應(yīng)的網(wǎng)址。 遠程監(jiān)控臺的安裝 遠程監(jiān)控臺 RemoteMonitor 是一個防火墻狀態(tài)實時監(jiān)控軟件，可以在網(wǎng)絡(luò)中集中的監(jiān)控多臺遠東網(wǎng)安防火墻，實時的反映各臺防火墻的狀態(tài)信息，如圖 321 所示。 圖 321 遠程監(jiān)控臺 遠程監(jiān)控臺運行于 Windows 平臺，安裝文件在遠東網(wǎng)安防火墻隨機附帶的軟件光盤上，運行“遠程監(jiān)控臺”目錄下的 文件，就可以按照安裝向?qū)У闹甘疽徊讲酵瓿蛇h程監(jiān)控臺的安裝。 防火墻的配置 配置遠東網(wǎng)安防火墻的 NAT 工作模式 配置目的：在不改變網(wǎng)絡(luò)拓撲的情況下，使建材公司內(nèi)部的 計算機訪問國際互聯(lián)網(wǎng)的時候，經(jīng)過包過濾安全設(shè)置。 初始工作環(huán)境說明：管理主機的 IP： 外網(wǎng)的網(wǎng)關(guān)是： 防火墻的 LAN（ eth0）口的 IP： （默認） 網(wǎng)卡說明： eth0: eth1: eth2: eth3: （ 1）按照系統(tǒng)管理員 手冊的說明，用超級終端連上防火墻的操作臺。將管理主機與防火墻的 eth0 口相連，并設(shè)置 ip 地址設(shè)為 ，在瀏覽器地址欄中輸入 即可訪問 web 管理終端。在彈出的安全警報窗口中選“是”，如圖 322 所示。 圖 322 安全警報 出現(xiàn)管理終端，如圖 323 所示。 圖 323 管理終端 （ 2）在“網(wǎng)絡(luò)管理”選項的“網(wǎng)絡(luò)地址欄”對話框內(nèi)輸入 IP 地址，如圖 324 所示。 圖 324 網(wǎng)絡(luò)地址 （ 3）在“防火墻”選項的“地址轉(zhuǎn)換”對話框內(nèi)，為“靜態(tài) NAT”添加一個默認的規(guī)則，出口為 ETH1:WAN 口，如圖 325 所示。 圖 325 靜態(tài) NAT （ 4）在“防火墻”選項的“訪問控制”對話框內(nèi)添加一個默認的規(guī)則，如圖 326所示。 圖 326 訪問控制 （ 5）配置訪問控制規(guī)則： 首先點擊包過濾（ anyany），配置如圖 327 所示。 圖 327 包過濾規(guī)則配置 然后點擊“規(guī)則修改完成”。 點擊“動作”（ default） ,配置動作為通過，再點擊“保存”按鈕，如圖 328 所示。 圖 328 動作變量 （ 6）配置客戶主機網(wǎng)絡(luò)參數(shù)。 使客戶主 機的地址和 eth0:lan 同一個網(wǎng)段，外網(wǎng)的網(wǎng)關(guān)是： 。 現(xiàn)在，經(jīng)過連通性測試，如圖 329 所示，就可以正常登錄國際互聯(lián)網(wǎng)了。 圖 329 網(wǎng)絡(luò)測試 第 4 章 公司網(wǎng)絡(luò)安全維護 公司管理的安全性 管理方面的安全隱患包括：內(nèi)部管理人員或員工圖方便省事，不設(shè)置用戶口令，或者設(shè)置的口令過短和過于簡單，導(dǎo)致很容易破解。責(zé)任不清，使用相同的用戶名、口令，導(dǎo)致權(quán)限管理混亂，信息泄密。把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員用戶名及口令以及系統(tǒng)的一些重要信息傳播給外人帶來信息泄漏風(fēng)險。內(nèi)部不滿 的員工有的可能造成極大的安全風(fēng)險。 管理是網(wǎng)絡(luò)中安全得到保證的重要組成部分，是防止來自內(nèi)部網(wǎng)絡(luò)入侵必須的部分。責(zé)權(quán)不明，管理上混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險。即除了從技術(shù)上下功夫外，還得依靠安全管理來實現(xiàn)。 安全管理包括安全技術(shù)和設(shè)備的管理，安全管理制度，部門與人員的組織規(guī)則等。管理的制度化程度極大地影響著整個網(wǎng)絡(luò)的安全，嚴格的安全管理制度、明確的部門安全職責(zé)劃分、合理的人員角色定義都可以在很大程度上降低其它層次的安全漏洞。 業(yè)務(wù)系統(tǒng)的可用性 :中小企業(yè)主機、 FTP、應(yīng)用服務(wù) 器系統(tǒng)的安全運行同樣十分關(guān)鍵，網(wǎng)絡(luò)安全必須保證這些系統(tǒng)不會遭受來自網(wǎng)絡(luò)的非法訪問、惡意入侵和破壞。 數(shù)據(jù)機密性 :對于中小企業(yè)網(wǎng)絡(luò)，保密數(shù)據(jù)的泄密將直接帶來企業(yè)商業(yè)利益的損失。網(wǎng)絡(luò)安全系統(tǒng)應(yīng)保證機密信息在存儲與傳輸時的保密性。 安全管理的主要功能指對安全設(shè)備的管理；監(jiān)視網(wǎng)絡(luò)危險情況，對危險進行隔離，并把危險控制在最小范圍內(nèi)；身份認證，權(quán)限設(shè)置；對資源的存取權(quán)限的管理；對資源或用戶動態(tài)的或靜態(tài)的審計；對違規(guī)事件，自動生成報警或生成事件消息；口令管理（如操作員的口令鑒權(quán)），對無權(quán)操作人員進行控制；密鑰管理：對于與 密鑰相關(guān)的服務(wù)器，應(yīng)對其設(shè)置密鑰生命期、密鑰備份等管理功能；冗余備份：為增加網(wǎng)絡(luò)的安全系數(shù)，對于關(guān)鍵的服務(wù)器應(yīng)冗余備份。安全管理應(yīng)該從管理制度和管理平臺技術(shù)實現(xiàn)兩個方面來實現(xiàn)。安全管理產(chǎn)品盡可能的支持統(tǒng)一的中心控制平臺。 服務(wù)器防毒技術(shù) 服務(wù)器是網(wǎng)絡(luò)的核心，一旦服務(wù)器被病毒感染，無法啟動，整個網(wǎng)絡(luò)就會陷于癱瘓。目前基于服務(wù)器的防治病毒方法主要以 NLM 可裝載模塊技術(shù)進行程序設(shè)計，以服務(wù)器為基礎(chǔ)，提供實時掃描病毒能力?；诜?wù)器的防毒技術(shù)一般具有以下功能： 1） 服務(wù)器所有文件掃描。對服務(wù)器中的所有 文件集中檢查是否帶毒，若有帶毒文件，則提供 Supervisory 等幾種處理方法； 2） 實時在線掃描。全天 24 小時臨近網(wǎng)絡(luò)中是否有帶毒文件進入服務(wù)器； 3） 服務(wù)器掃描選擇。系統(tǒng)管理員（ Supervisor）定期檢查服務(wù)器中是否帶毒，可按月、周或天集中掃描一下網(wǎng)絡(luò)服務(wù)器； 4） 自動報告功能及病毒存檔； 5） 工作站掃描?；诜?wù)器的防病毒軟件不能保護本地工作站的硬盤，有效方法是在服務(wù)器上安裝防毒軟件，同時在上網(wǎng)的工作站內(nèi)存中調(diào)入一個常駐掃毒程序，實時檢測在工作站中運行的程序； 6） 對用戶開放的特征接口， 對用戶遇到的帶毒文件，經(jīng)過病毒特征分析程序，自動將病毒特征加入特征庫，以隨時增強抗毒能力。 網(wǎng)絡(luò)環(huán)境下的病毒防護 安裝和維護整個 PC 系統(tǒng)的防毒軟件是一項昂貴和復(fù)雜的工作。因此，所有針對網(wǎng)絡(luò)環(huán)境的防毒方案都應(yīng)該提供從一個網(wǎng)絡(luò)工作站對防毒軟件進行安裝和維護的設(shè)施。我們應(yīng)該可以對所有網(wǎng)絡(luò)元素的防毒軟件進行安裝、升級、設(shè)置以及監(jiān)視它們的防毒情況。 一個好的網(wǎng)絡(luò)防毒軟件，除了能有效殺除病毒外。 筆者 認為它還必須有以下特點： *自動為網(wǎng)絡(luò)服務(wù)器安裝防毒軟件：你只需在服務(wù)器列表中選擇需要保護的服務(wù)器，防毒軟件就 會自動安裝常駐內(nèi)存病毒保護軟件。 *自動為網(wǎng)絡(luò)工作站安裝防毒軟件：選擇一個服務(wù)器，那么所有與這個服務(wù)器相連的工作站都會馬上完成安裝。防毒軟件會確保所有工作站都有常駐內(nèi)存保護，既使某些工作站在安裝過程中沒有連到網(wǎng)絡(luò)上。 *自動更新服務(wù)器和工作站上的防毒軟件：防毒程序必須能自動進行更新，并將最新的升級文件自動分發(fā)到網(wǎng)絡(luò)上的每個工作站。 *設(shè)置服務(wù)器和工作站上的防毒軟件：可以設(shè)置定期分析、掃描某種擴展名的文件、CPU 占用等級、報警信息的接收者等等。 *監(jiān)視整個網(wǎng)絡(luò)的防毒動向：防毒軟件還必須可以顯示所有服務(wù)器 和工作站的防毒情況報告。有必要的話可在服務(wù)器或者主交換機上設(shè)置流量控制，因為好多病毒是以數(shù)據(jù)包形式傳送的 。 結(jié) 論 隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全逐漸成為一個潛在的巨大問題。在網(wǎng)絡(luò)設(shè)計中，沒有一種設(shè)計方案可以適合所以的網(wǎng)絡(luò)。網(wǎng)絡(luò)設(shè)計技術(shù)非常復(fù)雜而且更新很快，因此我們必須根據(jù)實際情況具體分析。網(wǎng)絡(luò)安全性是一個涉及面很廣泛的問題，其中也會涉及到是否構(gòu)成犯罪行為的問題。在其最簡單的形式中，它主要關(guān)心的是確保無關(guān)人員不能讀取，更不能修改傳送給其他接收者的信息。此 時，它關(guān)心的對象是那些無權(quán)使用，但卻試圖獲得遠程服務(wù)的人。安全性也處理合法消息被截獲和重播的問題，以及發(fā)送者是否曾發(fā)送過該條消息的問題。 通過這次畢業(yè)設(shè)計讓我更加熟悉了從理論到實踐的跨越，也發(fā)現(xiàn)在課本中學(xué)習(xí)到是不足以應(yīng)付實際發(fā)生的問題，這也要我們樹立起不斷學(xué)習(xí)，終身學(xué)習(xí)的概念。 本論文從企業(yè)角度描述了網(wǎng)絡(luò)安全的解決方案，目的在于為用戶提供信息的保密，認證和完整性保護機制，使網(wǎng)絡(luò)中的服務(wù)，數(shù)據(jù)以及系統(tǒng)免受侵擾和破壞。比如防火墻，認證，加密技術(shù)等都是當(dāng)今常用的方法，本論文從這些方法入手深入研究各個方面的網(wǎng)絡(luò)安全 問題的解決，可以使讀者有對網(wǎng)絡(luò)安全技術(shù)的更深刻的了解。 參考文摘 曹天杰 ， 《計算機系統(tǒng)安全》 北京： 高等教育出版社 。 張 堯?qū)W， 《 計算機操作系統(tǒng)教程 》。北京：清華大學(xué)出版社。 姜全生， 《 計算機網(wǎng)絡(luò)技術(shù)應(yīng)用 》。北京：清華大學(xué)出版社。 微軟公司， 《 網(wǎng)絡(luò)安全的實現(xiàn)和管理 》 。 背京：高等教育出版社。 高冬梅 ， 《網(wǎng)絡(luò)時代計算機病毒的防范》 。 考試周刊 康瑞峰 ， 《網(wǎng)絡(luò)信息安全實用教程》 。 東南大學(xué)出版社 致 謝 在這幾個多月的畢業(yè)設(shè)計中，我要衷心感謝我的指導(dǎo)老師 在我畢業(yè) 設(shè)計過程中給予我的熱情關(guān)懷和悉心指導(dǎo)，在我做畢業(yè)設(shè)計的過程中，老師傾注了大量的心血和汗水使我能夠及時、順利的完成此次的畢業(yè)設(shè)計。老師認真的求學(xué)精神和嚴謹?shù)闹螌W(xué)態(tài)度深深的影響著我，他的鼓勵和教導(dǎo)是我不斷前進的動力，并將激勵我以他為榜樣，嚴于律已、寬厚待人、開拓創(chuàng)新。 感謝在我學(xué)習(xí)和撰寫論文期間，朝夕 相處共同生活學(xué)習(xí)的同學(xué)們的熱情幫助。特別要感謝同窗室 友長期以來對我的無私幫助，沒有他們，我的論文無法順利完成。 做畢業(yè)實際就需要把平時學(xué)到的東西在復(fù)習(xí)一遍，因為平時上課還有課后自己的學(xué)習(xí)，都主要在基于理論方面的，雖 然也做很多實驗，但當(dāng)把 畢業(yè)設(shè)計當(dāng)作一個實際的工程來做的時候就會發(fā)現(xiàn)很多的問題，多虧了 老師和同學(xué)們的幫助，使我解決了困惑自己的很多問題。讓我更好的將理論和實踐相結(jié)合，最后完成了此次畢業(yè)設(shè)計，同時也為以后工作做了很好的準(zhǔn)備。 最后，我要感謝我的家人，長期以來對我默默的關(guān)心和支持，感謝他們?nèi)陙韺ξ覠o怨無悔的幫助、照顧和支持，對他們的愛和感激我無法用言語來表達！ 商丘職業(yè)技術(shù)學(xué)院學(xué)生申請答辯表 課題名稱 學(xué)生所在系 專業(yè) 學(xué)號 個 人 申 請 理 由 指 導(dǎo) 教 師 推 薦 理 由