【正文】 參考文獻[1]《計算機網(wǎng)絡》編著：謝希仁 電子工業(yè)出版社 [2]《網(wǎng)絡安全性設計》編著：[美]Merike Kaeo 人民郵電出版社 2005第二版[3]《網(wǎng)管員必讀網(wǎng)絡安全》編著：王達 電子工業(yè)出版社 2007[4]《防火墻與VPN：原理與實踐》 編著：Richard Tibbs，Edward Oakes 清華大學出版社 2008[5] 《企業(yè)的網(wǎng)絡安全：微軟的ISA Server》編著：蕭文龍 中國鐵道出版社 2009[6]《網(wǎng)絡安全技術(shù)與解決方案》編著：(美)Yusuf Bhaiji 人民郵電出版社 2009袁節(jié)膅薂羄肅蒃薁蚃芀荿薀螆肅芅蕿袈羋膁蚈羀肁蒀蚇蝕襖莆蚇螂肀莂蚆羅袂羋蚅蚄膈膄蚄螇羈蒂蚃衿膆莈螞羈罿芄螁蟻膄膀螁螃羇葿。還要感謝我的同學們，你們陪著我走過三年的風風雨雨，謝謝你們給予我的各種幫助。同時，陳老師有著深厚的理論水平和豐富的實踐經(jīng)驗，從編程工具到數(shù)據(jù)庫，從需求分析到數(shù)據(jù)流、業(yè)務流，從系統(tǒng)設計到系統(tǒng)實現(xiàn)，他毫無保留地把精髓都告訴了我們，使我在此次畢業(yè)設計中少走了很多彎路，能夠順利地將以前所學的知識融會貫通，應用于最后的信息管理系統(tǒng)，再次表示衷心的感謝！同時我還要感謝三年來一直教育、關心我的任課老師和班主任夏老師，是你們教了我專業(yè)知識知識和做人道理，是你們教會了我怎樣去運用知識解決問題，為人處世。致 謝我在這次畢業(yè)設計中，最要感謝的是我的指導老師陳建明老師。從Web程序的控制程序到內(nèi)核級Rootlets。但這些攻擊手段卻都體現(xiàn)了它們驚人的威力，時至今日，有愈演愈烈之勢。在Internet網(wǎng)絡上，因互聯(lián)網(wǎng)本身沒有時空和地域的限制，每當有一種新的攻擊手段產(chǎn)生，就能在一周內(nèi)傳遍全世界，這些攻擊手段利用網(wǎng)絡和系統(tǒng)漏洞進行攻擊從而造成計算機系統(tǒng)及網(wǎng)絡癱瘓。計算機和網(wǎng)絡技術(shù)具有的復雜性和多樣性，使得計算機和網(wǎng)絡安全成為一個需要持續(xù)更新和提高的領域。可審查性：出現(xiàn)的安全問題時提供依據(jù)與手段。例如網(wǎng)絡環(huán)境下拒絕服務、破壞網(wǎng)絡和有關系統(tǒng)的正常運行等都屬于對可用性的攻擊。可用性：可被授權(quán)實體訪問并按需求使用的特性。完整性：數(shù)據(jù)未經(jīng)授權(quán)不能進行改變的特性。比如：從用戶（個人、企業(yè)等）的角度來說，他們希望涉及個人隱私或商業(yè)利益的信息在網(wǎng)絡上傳輸時受到機密性、完整性和真實性的保護，避免其他人或?qū)κ掷酶`聽、冒充、篡改、抵賴等手段侵犯用戶的利益和隱私。 　　企業(yè)應全面地布置防病毒系統(tǒng)，包括客戶機、文件服務器、郵件服務器和OA服務器。 　　企業(yè)可在互聯(lián)網(wǎng)流量匯聚的交換機處部署入侵檢測系統(tǒng)，它可實時監(jiān)控內(nèi)網(wǎng)中發(fā)生的安全事件，使得管理員及時做出反應，并可記錄內(nèi)部用戶對Internet的訪問，管理者可審計Internet接入平臺是否被濫用。同時配置VPN日志服務器，記錄所有VPN用戶的訪問，作為系統(tǒng)審計的依據(jù)。  　　撥號用戶和VPN用戶身份認證在主域服務器上進行，用戶賬號集中在主域服務器上開設。  　　（3）用戶認證系統(tǒng)。 　　外部邊緣防火墻提供PAT服務，配置IPSec加密協(xié)議實現(xiàn)VPN撥號連接以及端到端VPN連接，并通過擴展ACL對進出防火墻的流量進行嚴格的端口服務控制。外部邊緣防火墻與內(nèi)部防火墻之間形成了DMZ區(qū)。 成績（1）安全的互聯(lián)網(wǎng)接入。網(wǎng)絡安全是一門涉及計算機科學、網(wǎng)絡技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應用數(shù)學、數(shù)論、信息論等多種學科的綜合性學科。 網(wǎng)絡安全從其本質(zhì)上來講就是網(wǎng)絡上的信息安全。總結(jié)本方案中所采取的技術(shù)與產(chǎn)品充分考慮到了網(wǎng)絡未來的升級與發(fā)展，無論從企業(yè)網(wǎng)的擴展到廣域網(wǎng)的建設都作了周密的考慮。其目標是提供快速的響應時間，使得病毒被引入時立刻就能識別出來。（2）數(shù)字避免系統(tǒng):數(shù)字避免系統(tǒng)是IBM開發(fā)的一個病毒保護的綜合方法， 開發(fā)這個系統(tǒng)的動機是基于因特網(wǎng)的病毒繁殖日益增長的威脅。掃描模擬一個程序的時間越長，它就越可能抓住所有隱藏的病毒。設計GD掃描器最困難的問題就是確定每一次解釋運行多長時間。當包含了一個多形病毒的文件在執(zhí)行時，病毒必須解密自身來激活。但是，對于大型復雜的網(wǎng)絡可以采用更加先進的防病毒方法和產(chǎn)品進行病毒防護。2．專用檢測工具，目前，比較常用的有KILL、Macafee、Norton、瑞星、KV3000等。1．通用檢測工具，主要有Debug、內(nèi)存分析工具等常規(guī)工具軟件，他們依靠檢測病毒特征（或病毒簽名）或病毒代碼特征來檢測是否感染病毒。隨著時間的推移，病毒和反病毒軟件都變得越來越復雜和精密。病毒和防病毒技術(shù)的進步是攜手并進的。標識：一旦檢測完成了，識別感染程序的特定病毒。除此之外，還可以使用下面的方法來清除病毒。從管理方面采取的措施：可控制病毒的產(chǎn)生；可切斷病毒傳播的途徑。人們提出限制傳播的預防手段，如“四模型”理論，即基本的限制、分割模型、流模型和限制解釋模型。即在第一步就不允許病毒進入系統(tǒng)。這個控制管理中心的作用是用來進行統(tǒng)一的查殺病毒和監(jiān)控整個網(wǎng)絡內(nèi)的病毒防范情況以及進行統(tǒng)一升級管理。實現(xiàn)了防止病毒交叉感染，將疫情置于可控范圍內(nèi)，杜絕病毒造成機構(gòu)大面積停止作業(yè)的最終目的。針對最新型的網(wǎng)絡病毒，防病毒廠商紛紛推出網(wǎng)絡版防病毒軟件，大家通過“集中管理、分布處理”的運行方式來解決問題。 防病毒的方法如何有效的控制病毒在自已企業(yè)內(nèi)部局域網(wǎng)傳播，是每個網(wǎng)絡管理員，現(xiàn)在最關心的問題。4）隱形病毒：病毒的一種形式，明確的設計成能夠在反病毒軟件檢測時隱藏自己。從那是開始，病毒感染每個執(zhí)行的程序。寄生病毒將自己附加到可執(zhí)行文件中，當被感染的程序執(zhí)行時，通過找到其他可執(zhí)行文件并感染之。對于最重要的病毒類型有如下的分類方法。自從病毒第一次出現(xiàn)以來，在病毒編寫者和反病毒軟件作者之間就存在著一個連續(xù)的戰(zhàn)爭賽跑。不幸的是，防止工作非常困難，因為病毒可以是系統(tǒng)以外任何程序的一部分。一旦病毒通過感染一個程序獲得了系統(tǒng)的入口，當被感染的程序運行時，它就處于感染部分或者全部其他可執(zhí)行文件的位置。大多數(shù)病毒按照一種與特定操作系統(tǒng)有關的，或者在某種情況下，與特定硬件平臺有關的方式來完成它們的工作。和潛伏階段一樣，觸發(fā)階段可能被不同的系統(tǒng)事件所引起。每個受感染的程序現(xiàn)在將包含病毒的一個克隆，這個病毒本身進入了一個繁殖階段。并不是所有的病毒都要經(jīng)過這個階段。1）潛伏階段：病毒是空閑的。一旦病毒執(zhí)行時，它可以完成任何功能，例如刪除文件和程序等。第八章，企業(yè)防病毒的措施所謂的病毒是指一段可執(zhí)行的程序代碼，通過對其他程序進行修改，可以感染這些程序使其含有該病毒程序的一個副本。必要時，可以分別設置，但程控電話交換機及計算機主機房離設備間的距離不宜太遠。設備間子系統(tǒng)應由綜合布線系統(tǒng)的建筑物進線設備，電話、數(shù)據(jù)、計算機等各種主機設及其保安配線設備等組成。企業(yè)網(wǎng)絡拓撲圖+設計+組建與維護。管理子系統(tǒng)提供了與其他子系統(tǒng)連接的手段。管理子系統(tǒng)應由交接間的配線設備，輸入／輸出設備等組成。水平子系統(tǒng)由工作區(qū)的信息插座、每層配線設備至信息插座的水平電纜等組成。一個獨立的需要設置終端設備的區(qū)域宜劃分為一個工作區(qū)，工作區(qū)子系統(tǒng)應由配線（水平）布線系統(tǒng)的信息插座延伸到工作站終端設備處的連接電纜及適配器組成。上述范圍是從基建工程管理的要求考慮的，與今后的業(yè)務管理和維護職責等的劃分范圍有可能是不同的。我國通信行業(yè)標準《大樓通信綜合布線系統(tǒng)》（YD／T 926）的適用范圍規(guī)定是跨越距離不超過3000m、建筑總面積不超過100萬m2的布線區(qū)域，其人數(shù)為50人～50萬人。單幢建筑中的綜合布線系統(tǒng)范圍，一般指在整幢建筑內(nèi)部敷設的管槽系統(tǒng)、電纜豎井、專用房間（如設備間等）和通信纜線及連接硬件等。采用綜合布線系統(tǒng)雖然初次投資較多，但從總體上看是符合技術(shù)先進、經(jīng)濟合理的要求的。因此，部件容易更換，便于排除障礙，且采用集中管理方式，有利于分析、檢查、測試和維修，節(jié)約維護費用和提高工作效率。（3）便于今后擴建和維護管理綜合布線系統(tǒng)的網(wǎng)絡結(jié)構(gòu)一般采用星型結(jié)構(gòu)，各條線路自成獨立系統(tǒng)，在改建或擴建時互相不會影響。（2）靈活性、適應性強采用傳統(tǒng)的專業(yè)布線系統(tǒng)時，如需改變終端設備的位置和數(shù)量，必須敷設新的纜線和安裝新的設備，且在施工中有可能發(fā)生傳送信號中斷或質(zhì)量下降，增加工程投資和施工時間，因此，傳統(tǒng)的專業(yè)布線系統(tǒng)的靈活性和適應性差。2．綜合布線系統(tǒng)的特點綜合布線系統(tǒng)是目前國內(nèi)外推廣使用的比較先進的綜合布線方式，具有以下特點：（1）綜合性、兼容性好傳統(tǒng)的專業(yè)布線方式需要使用不同的電纜、電線、接續(xù)設備和其它器材，技術(shù)性能差別極大，難以互相通用，彼此不能兼容。它將相同或相似的纜線（如對絞線、同軸電纜或光纜）、連接硬件組合在一套標準的且通用的、按一定秩序和內(nèi)部關系而集成為整體?！蹦壳八f的建筑物與建筑群綜合布線系統(tǒng)，簡稱綜合布線系統(tǒng)。即使用戶尚未確定具體的應用系統(tǒng)，也可進行布線系統(tǒng)的設計和安裝。第七章、接入層設備是最終用戶的最直接上聯(lián)的設備，它應該具備即插即用特性以及易于維護的特點。因為學校存在大量的語音和視頻傳輸。網(wǎng)絡設備選型 企業(yè)網(wǎng)網(wǎng)絡系統(tǒng)從結(jié)構(gòu)上分為核心層、匯聚層和接入層。 sec 可以與 L2TP 一 起使用，這個時候 L2TP 建立隧道，IPsec 加密數(shù)據(jù)，這種形式下 IP sec 運行于傳 輸模式。 數(shù)據(jù)加密使用的加密數(shù)據(jù)協(xié)議有 MPPE,IPsec,VPNd,SSH.. 在第三層上創(chuàng)建的隧道是基于 IP 的虛擬連接，這些連接通過收發(fā) IP 數(shù)據(jù)包實現(xiàn)， 這個抱被封裝在由 IETF（Internet Engineering Task Force）指定的協(xié)議包裝之內(nèi)。 Protocol)第二層隧道協(xié)議，L2TP 隧道能夠提供 ATM 和 FRAME從內(nèi)容上來說 VPN 的連接主要可以分為兩個部分，即隧道的建立和數(shù)據(jù)的 加密，在第 2 層上常見的隧道協(xié)議包括 PPTP（Point to Point Tunneling Protocol） 點對點隧道協(xié)議，還有 L2TP(Layer2由于數(shù)據(jù)本身也要進行加密，所 以即使通過公共網(wǎng)絡，它仍然是安全的，因為即便數(shù)據(jù)包在通過網(wǎng)絡結(jié)點時被攔截（如經(jīng)過服務器時）但只要攔截者沒有密鑰。 (虛擬專用網(wǎng))虛擬專用網(wǎng)(virtual private network)是一種在公用網(wǎng)絡上通過創(chuàng)建隧道，封裝 數(shù)據(jù)模擬的一種私有專用鏈路。對此，如果僅僅 90％以上是來自于內(nèi)部， 諸如竊取他人密碼等重要信息、盜打 IP然而，此時受感染的用戶可能已經(jīng)通過網(wǎng)絡散播到了企業(yè) 網(wǎng)絡的各個角落。隨著蠕蟲病毒等的攻擊手段呈多元化發(fā)展，單一的防護措施已經(jīng)無能為力保 衛(wèi)企業(yè)網(wǎng)絡安全。 提供加密傳輸Secure Blocking 功能，避免端口受到其它端口發(fā)送的廣播包、多播包等報文的干擾，有效減輕端口負載負擔，提高端口帶寬，保護用戶 PC 支持業(yè)界特有的IGMP 源端口檢查，有效杜絕非法組播源播放和大量占用大量網(wǎng)絡帶寬，提高網(wǎng)絡安全性；5． VID 記錄通過防火墻的信息內(nèi)容和活動。管理進、出網(wǎng)絡的訪問行為。防火墻是網(wǎng)絡安全策略的有機組成部分,它通過控制和監(jiān)測網(wǎng)絡之間的信息交換和訪問行為來實現(xiàn)對網(wǎng)絡安全的有效管理。 ACL，對病毒進行過濾，我們選用的匯聚、 核心交換設備都支持SPOH，所以在使用ACL 時將不會影響整個交換機的性能。完善的安全機制企業(yè)樓宇交換機通過內(nèi)在的多種安全機制可有效防止和控制病毒傳播和網(wǎng)絡流 量攻擊， 控制非法用戶使用網(wǎng)絡，保證合法用戶合理化使用網(wǎng)絡，如端口安全、端口隔離、ACL、端口 ARP網(wǎng)絡安全及管理機制無線客戶端可以通 過無線接入器 AP(Access Point)接入以太網(wǎng)共享網(wǎng)絡資源，多個 AP 分布在相鄰 的區(qū)域可以實現(xiàn)無線客戶端的移動漫游。虛擬局域網(wǎng)的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動態(tài)管理網(wǎng)絡。 那么在我們的企業(yè)網(wǎng)方案中，我們希望通過使用VLAN技術(shù)進行劃分達到以下目的：VLAN除了能將網(wǎng)絡劃分為多個廣播域，從而有效地控制廣播風暴的發(fā)生，以及使網(wǎng)絡的拓撲結(jié)構(gòu)變得非常靈活的優(yōu)點外，還可以用于控制網(wǎng)絡中不同部門、不同站點之間的互相訪問。從技術(shù)上說 VLAN 可以分為靜態(tài) VLAN 和動態(tài) VLAN,那么靜 態(tài)的 VLAN 是基于交換機端口進行劃分，根據(jù)網(wǎng)絡設備連接不同的交換機端口， 則進入相應的 VLAN。 (虛擬局域網(wǎng))VLAN（Virtual Local Area Network）的中文名為虛擬局域網(wǎng)， VLAN是一種將局域網(wǎng)設備從邏輯上劃分（注意，不是從物理上劃分）成一個個網(wǎng)段，從而實現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。而一旦出現(xiàn)故障，啟用備份鏈路。生成樹協(xié)議和鏈路聚合都可以保證一個網(wǎng)絡的冗余性。在神州數(shù)碼千兆以太網(wǎng)交換機中，最多可以支持 4 組鏈路聚合，每組中最大 4 個端口。 Channel)以太網(wǎng)信道鏈路聚合可以讓交換機之間和交換機與服務器之間的鏈路帶寬有非常好的 伸縮性，比如可以把多個千兆的鏈路綁定在一起，使鏈路的帶寬成倍增長。標準訪問控制列表一般放在靠近目標的路由器上,而擴展訪問控制列表一 般放于近源端的路由上器。而擴展訪問列表則可以提供更細的決定，它可以具體到端口，從而 精確到某一個服務，比如對 WEB,FTP 的訪問等，給我們網(wǎng)絡的策略提供了更細 的控制手段。我們通過這些設置來滿足實際網(wǎng)絡的靈活需求，從而達到設置網(wǎng)絡安全策 略，防止網(wǎng)絡中的敏感設備受到非授權(quán)訪問的情況。 ACL這樣可以指定范圍更廣泛，更細致的條件，并根據(jù)這些條件來決定下 一跳路由器。在路由選擇表中使用訪問 列表時，可根據(jù)諸如目標地址，分組長度，IP 基于策略的路由和靜態(tài)路由有很多共同之處。配置基于策略的路由選擇時，可使用路由映射表來指定基于 IP 地址，應用 程序，協(xié)議或者分組長度的條件。NAT 是網(wǎng)絡地址翻譯技術(shù)，在路由器上起用 NAT 之后，可以在部私有地址和 外部公網(wǎng)地址之間做轉(zhuǎn)換。 NAT 的描述及策略路由的實現(xiàn)在組建網(wǎng)絡時