【正文】 創(chuàng)新精神繼續(xù)下去。各位領(lǐng)導(dǎo)。由于各個(gè)系統(tǒng)的應(yīng)用不同，不能簡單地把信息系統(tǒng)的網(wǎng)絡(luò)安全方案固化為一個(gè)模式，用這個(gè)模子去套所有的信息系統(tǒng)。 重慶信息技術(shù)職業(yè)學(xué)院畢業(yè)設(shè)計(jì) 第 20 頁 圖 掃描目標(biāo)配置 重慶信息技術(shù)職業(yè)學(xué)院畢業(yè)設(shè)計(jì) 第 21 頁 總結(jié) 隨著網(wǎng)絡(luò)應(yīng)用的深入普及，網(wǎng)絡(luò)安全越來越重要，國家和企業(yè)都對建立一個(gè)安全的網(wǎng)絡(luò)有了更高的要求。 圖 “策略設(shè)置”命令菜單 為華城公司網(wǎng)絡(luò) KV 網(wǎng)絡(luò)版殺毒軟件配置“掃描設(shè)置”，掃描設(shè)置可對當(dāng)前選擇的任意組或者任意節(jié)點(diǎn)的客戶端進(jìn)行更加細(xì)化的掃描設(shè)置。 為華城公司網(wǎng)絡(luò)安裝好 KV網(wǎng)絡(luò)版殺毒軟件后，為期配置軟件的安全策略。除了對網(wǎng)絡(luò)中的計(jì)算機(jī)進(jìn)行日常的管理與控制外，它還實(shí)時(shí)地記錄著 KV網(wǎng)絡(luò)版防護(hù)體系內(nèi)每臺計(jì)算機(jī)上的 病毒監(jiān)控、查殺病毒和升級等信息。 重慶信息技術(shù)職業(yè)學(xué)院畢業(yè)設(shè)計(jì) 第 18 頁 華城公司網(wǎng)絡(luò)防病毒措施 針對華城公司 網(wǎng)絡(luò)的現(xiàn)狀，在綜合考慮了公司對防病毒系統(tǒng)的性能要求、成本和安全性以后，我 選用江民殺毒軟件 KV 網(wǎng)絡(luò)版來在內(nèi)網(wǎng)中進(jìn)行防病毒系統(tǒng)的建立。如圖 所示 : 圖 以太網(wǎng)接口配置示意圖 同時(shí)為 他們配好相應(yīng)的網(wǎng)絡(luò)地址， eth0 為 ， eth1： ， eth2 。 但是處于中間位置的 DMZ可以允許 Inteer的訪問。 如圖 所示 : 圖 新增公司 防火墻策略示意圖 源域： untrust； 源地址對象 ： any； 目的域 ： trust； 目的地址對象 ： any； 在全局安全策略設(shè)置里面如圖 和圖 所示 : 圖 重慶信息技術(shù)職業(yè)學(xué)院畢業(yè)設(shè)計(jì) 第 15 頁 圖 公司防火墻策略配置示意圖 圖 可以設(shè)置全局下面訪問策略，以及域內(nèi)和域間的訪問策略。 S1 configure terminal S1(config)vlan 2 S1(configvlan)name vlan2 S1(configvlan)exit S1(config)vlan 3 S1(configvlan)name vlan3 S1(configvlan)exit 1(config)vlan 4 S1(configvlan)name vlan4 S1(configvlan)exit 1(config)vlan 5 S1(configvlan)name vlan5 S1(configvlan)exit S1(config)vlan 6 S1(configvlan)name vlan6 S1(configvlan)exit S1(config)int f0/1 S1(congigif)switchport access vlan 2 S1(configvlan)exit S1(config)int f0/2 S1(congigif)switchport access vlan 3 S1(configvlan)exit S1(config)int f0/3 S1(congigif)switchport access vlan 4 S1(configvlan)exit 重慶信息技術(shù)職業(yè)學(xué)院畢業(yè)設(shè)計(jì) 第 13 頁 S1(config)int f0/4 S1(congigif)switchport access vlan 5 S1(configvlan)exit S1(config)int f0/5 S1(congigif)switchport access vlan 6 步驟二：給 vlan 分配 IP 地址，此時(shí) vlan 作“虛接口”處理 。與雙絞線或同軸電纜不同的是光纖不輻射能量，能夠有效地阻止竊聽。物理安全在整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全中占有重要地位。 （ 3） 硬件成本和維護(hù)成本低 。并且防火墻可以實(shí)現(xiàn)單向或雙向控制，對一些高層協(xié)議實(shí)現(xiàn)較細(xì)粒的訪問控制。對數(shù)據(jù)庫服務(wù)器中的數(shù)據(jù)庫必須做安全備份。在內(nèi)部子網(wǎng)中一般不要輕易開放共享目錄，否則較容易因?yàn)槭韬龆谂c員工間交換信息時(shí)泄漏重要信息。一旦發(fā)現(xiàn)與病毒代碼庫中相匹配的 病毒代碼，反病毒程序會采取相應(yīng)處理措施（清除、更名或刪除），防止病毒進(jìn)入網(wǎng)絡(luò)進(jìn)行傳播擴(kuò)散。這類技術(shù)有，加密可執(zhí)行程序、引導(dǎo)區(qū)保護(hù)、系統(tǒng)監(jiān)控與讀寫控制（如防病毒卡等）。 病毒防護(hù) 由于在網(wǎng)絡(luò)環(huán)境下，計(jì)算機(jī)病毒有不可估量的威脅性和破壞力。如圖 所示。經(jīng)過對 VPN 的配置，可以讓網(wǎng)絡(luò)內(nèi)的某些主機(jī)通過加密隧道，讓另一些主機(jī)仍以明文方式傳輸，以達(dá)到安全、傳輸效率的最佳平衡。根據(jù)具體策略，來保護(hù)內(nèi)部敏感信息和企業(yè)秘密的機(jī)密性、真實(shí)性 及完整性 [3]。通過兩端加密機(jī)的協(xié)商配合實(shí)現(xiàn)加密、解密過程。 通信保密 數(shù)據(jù)的機(jī)密性與完整性，主要是為了保護(hù)在網(wǎng)上傳送的涉及企業(yè)秘密的信息，經(jīng)過配備加密設(shè)備，使得在網(wǎng)上傳送 的數(shù)據(jù)是密文形式，而不是明文。 vlan 的劃分和地址的分配 經(jīng)理辦子網(wǎng) (vlan2): 子網(wǎng)掩碼 : 網(wǎng)關(guān)： 生產(chǎn)子網(wǎng) (vlan3)： 子網(wǎng)掩碼 : 網(wǎng)關(guān)： 市場子網(wǎng) (vlan4)： 子網(wǎng)掩碼 : 網(wǎng)關(guān)： 財(cái)務(wù)子網(wǎng) (vlan5)： 子網(wǎng)掩碼 : 網(wǎng)關(guān)： 資源子網(wǎng) (vlan6): 子網(wǎng)掩碼 : 網(wǎng)關(guān)： 訪問權(quán)限控制策略 （ 1） 經(jīng)理辦 VLAN2 可以訪問其余所有 VLAN。 （ 2） 電力供應(yīng) 機(jī)房供電應(yīng)與其他市電供電分開；應(yīng)設(shè)置穩(wěn)壓器和過電壓防護(hù)設(shè)備；應(yīng)提供短期的備用電力供應(yīng)（如 UPS 設(shè)備）；應(yīng)建立備用供電系統(tǒng)（如備用發(fā)電機(jī)），以備常用供 電系統(tǒng)停電時(shí)啟用。在系統(tǒng)設(shè)計(jì)中，既考慮信息資源的充分共享，更要注意信息的保護(hù)和隔離，因此系統(tǒng)應(yīng)分別針對不同的應(yīng)用和不同的網(wǎng)絡(luò)通信環(huán)境，采取不同的措施，包括系統(tǒng)安全機(jī)制、數(shù)據(jù)存取的權(quán)限控制等， TPLINK 網(wǎng)絡(luò)充分考慮安全性，針對小型企業(yè)的各種應(yīng)用，有多種的保護(hù)機(jī)制，如劃分 VLAN、 MAC 地址綁定、 、 等。不但能反映當(dāng)今的先進(jìn)水平，而且具有發(fā)展?jié)摿Γ鼙ＷC在未來若干年內(nèi)企業(yè)網(wǎng)絡(luò)仍占領(lǐng)先地位。 華城公司網(wǎng)絡(luò) 設(shè)計(jì)原則 （ 1） 實(shí)用性和經(jīng)濟(jì)性。 （ 3） 多媒體功能。 重慶信息技術(shù)職業(yè)學(xué)院畢業(yè)設(shè)計(jì) 第 6 頁 第 3 章 華城公司網(wǎng)絡(luò)安全的設(shè)計(jì) 華城公司網(wǎng)絡(luò)功能設(shè)計(jì) （ 1） 資源共享功能。防火墻接客戶區(qū)端口地址為 。通過網(wǎng)絡(luò)的改造，使管理者更加便于對網(wǎng)絡(luò)中的服務(wù)器、客戶端、登陸用戶的權(quán)限以及應(yīng)用軟件的安裝進(jìn)行全面的監(jiān)控和管理。同時(shí)由于考慮到 Inteer 的安全性，以及網(wǎng)絡(luò)安全等一些因素，如 DDoS、 ARP 等。公司對網(wǎng)絡(luò)的依賴性很強(qiáng)，主要業(yè)務(wù)都要涉及互聯(lián)網(wǎng)以及內(nèi)部網(wǎng)絡(luò)。 （ 6） 網(wǎng)絡(luò)安全主要來自外部 基于內(nèi) 部的網(wǎng)絡(luò)攻擊更加容易，不需要借助于其他的網(wǎng)絡(luò)連接方式，就可以直接在內(nèi)部網(wǎng)絡(luò)中實(shí)施攻擊。同時(shí)對于整個(gè)網(wǎng)絡(luò)，管理非常方便，對于單機(jī)版是不可能做到的。 重慶信息技術(shù)職業(yè)學(xué)院畢業(yè)設(shè)計(jì) 第 3 頁 防火墻的原理是“防外不防內(nèi)”，對內(nèi)部網(wǎng)絡(luò)的訪問不進(jìn)行任何阻撓，而事實(shí)上，企業(yè)網(wǎng)絡(luò)安全事件絕大部分還是源于企業(yè)內(nèi)部。 （ 1）安裝防火墻就安全了 防火墻主要用來執(zhí)行 兩個(gè)網(wǎng)絡(luò)之間的訪問控制策略，它能限制被保護(hù)的網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)之間，或者 與其他網(wǎng)絡(luò)之間進(jìn)行的信息存取、傳遞操