【正文】 系統(tǒng)實(shí)施步驟通過(guò)以上系統(tǒng)安全體系的規(guī)劃和系統(tǒng)設(shè)計(jì)，滿(mǎn)足了**學(xué)院企業(yè)網(wǎng)系統(tǒng)的各層次需求。網(wǎng)絡(luò)管理是網(wǎng)絡(luò)安全的核心，技術(shù)是安全管理的保證。更加系統(tǒng)安全規(guī)劃建立規(guī)范、有序的網(wǎng)絡(luò)安全管理體系和流程，將各系統(tǒng)的安全問(wèn)題進(jìn)行集中管理，安排專(zhuān)人負(fù)責(zé)和跟蹤安全問(wèn)題，特別注意對(duì)于涉及整體安全和主要業(yè)務(wù)的系統(tǒng)進(jìn)行重點(diǎn)防護(hù)。企業(yè)網(wǎng)的構(gòu)建需要預(yù)防可能出現(xiàn)的安全問(wèn)題而采取的措施，安全策略需要根據(jù)不斷出現(xiàn)的新威脅和新問(wèn)題進(jìn)行不斷的更新完善，對(duì)于已出現(xiàn)的問(wèn)題需及時(shí)快速地進(jìn)行針對(duì)性解決。從整個(gè)企業(yè)網(wǎng)體系來(lái)構(gòu)建網(wǎng)絡(luò)架構(gòu)，整體考慮，全面防護(hù)，具有前瞻性。企業(yè)網(wǎng)系統(tǒng)的實(shí)施應(yīng)注意以下原則：（1）整體考慮，統(tǒng)一規(guī)劃。它能防止諸如攻擊Windows Share目錄情況發(fā)生，因?yàn)榭梢耘渲米钃鮊etBios LSAP的通過(guò)。u 有效地防止HACKER地址欺騙和發(fā)起DOS攻擊，如ICMP Echo/PING和SYN Flood。其主要特征如下：u 確認(rèn)地址是否對(duì)于源地址的電路有效。不管轉(zhuǎn)發(fā)表信息如何，匹配的包總是被發(fā)送到特定的接口(和可以支持ARP的介質(zhì)的下一條地址)。輸入先通過(guò)電路，再通過(guò)接口，輸出先通過(guò)接口，再通過(guò)電路。u 訪(fǎng)問(wèn)組可以通過(guò)用戶(hù)配置文件直接作用于接口或間接作用于電路。u 支持輸入/輸出過(guò)濾。u 所有因ACL被丟棄的包同樣被計(jì)數(shù)。下列特性適用于***交換機(jī)的ACL：u 列表包含多個(gè)課題，ACL中的每個(gè)課題按照先后順序進(jìn)行處理。訪(fǎng)問(wèn)控制列表(ACL)是控制包過(guò)濾(轉(zhuǎn)發(fā)、阻塞、重定向)的列表。在公共或不可信的IP網(wǎng)絡(luò)上，安全性、私密性及機(jī)密性對(duì)于虛擬專(zhuān)用網(wǎng)VPN來(lái)說(shuō)是極為重要的。同時(shí)采用控制訪(fǎng)問(wèn)列表（ACL）技術(shù)提供網(wǎng)絡(luò)的安全性，支持VPN技術(shù)，如L2TP、IPSec、MPLS VPN等，同時(shí)ZXR10也支持NAT等功能。(ACL) ***交換機(jī)支持許多種不同類(lèi)型的安全能力，提供了過(guò)濾和防火墻技術(shù)。網(wǎng)絡(luò)應(yīng)用安全還應(yīng)該包括對(duì)網(wǎng)絡(luò)內(nèi)部不同用戶(hù)權(quán)限的外部訪(fǎng)問(wèn)控制（例如沒(méi)有授權(quán)用戶(hù)不準(zhǔn)上Internet或不準(zhǔn)訪(fǎng)問(wèn)與公司業(yè)務(wù)無(wú)關(guān)的娛樂(lè)性網(wǎng)站等）。通常我們需要在路由器上打開(kāi)外出包過(guò)濾去防止欺騙包離開(kāi)網(wǎng)絡(luò)，同時(shí)也可以采用工具去搜索本網(wǎng)絡(luò)中DDOS的引擎并且刪除它。（DDOS）DDOS攻擊是一種更嚴(yán)重的攻擊手段，它通過(guò)某些主機(jī)操作系統(tǒng)/軟件的缺陷，從而操縱大量的第三方設(shè)備向目標(biāo)發(fā)起攻擊，擴(kuò)大了DOS攻擊的強(qiáng)度。在短時(shí)間內(nèi)大量發(fā)起SYN攻擊，會(huì)很快消耗完設(shè)備的資源，讓被攻擊者無(wú)法完成正常的TCP服務(wù)，如EMAIL，WWW等。TCP SYN攻擊是一種以大量虛假I(mǎi)P地址發(fā)起SYN握手信號(hào)消耗掉被攻擊設(shè)備的資源的攻擊模式。防止SMURF攻擊的重要措施是在路由器上配置不準(zhǔn)廣播進(jìn)入的條目。當(dāng)然中間系統(tǒng)也可能同樣是受害者。當(dāng)一個(gè)包是從設(shè)備的本地網(wǎng)絡(luò)外發(fā)送到本地網(wǎng)絡(luò)的廣播地址的時(shí)候，它被轉(zhuǎn)發(fā)到這個(gè)本地網(wǎng)絡(luò)的所有設(shè)備上。SMURF攻擊類(lèi)似與PING攻擊，是一種帶寬消耗的攻擊模式。所以HACKER需要利用虛假的地址再發(fā)起攻擊。具體實(shí)現(xiàn)方法有下面幾種：這種攻擊模式一般是發(fā)起大量的ICMP Echo請(qǐng)求給一個(gè)指定的目標(biāo)，以達(dá)到使服務(wù)癱瘓的目的。一旦黑客成功地將他的計(jì)算機(jī)取代了網(wǎng)絡(luò)上的一臺(tái)實(shí)際主機(jī)，就實(shí)現(xiàn)了主機(jī)欺騙。主機(jī)A和這些網(wǎng)關(guān)收到的虛假路由信息是來(lái)自網(wǎng)絡(luò)上的一臺(tái)不工作或沒(méi)有使用的主機(jī)，如主機(jī)B。這種缺陷的結(jié)果是使得黑客可以發(fā)送虛假的路由信息到他想進(jìn)行欺騙的一臺(tái)主機(jī)，如主機(jī)A。 IP地址欺騙當(dāng)一個(gè)黑客開(kāi)始使用一種用以散布網(wǎng)絡(luò)路由信息的應(yīng)用程序RIP時(shí)，一種路由方式的地址欺騙就開(kāi)始了。 ARP欺騙2006年4月以來(lái)在很多企業(yè)網(wǎng)內(nèi)出現(xiàn)了較大范圍的ARP欺騙病毒和木馬程序的傳播，感染了ARP 欺騙病毒的計(jì)算機(jī)會(huì)向同網(wǎng)段內(nèi)所有計(jì)算機(jī)發(fā)ARP欺騙包，導(dǎo)致網(wǎng)絡(luò)內(nèi)其它計(jì)算機(jī)因網(wǎng)關(guān)物理地址被更改而無(wú)法上網(wǎng)，被欺騙計(jì)算機(jī)的典型癥狀是剛開(kāi)機(jī)能上網(wǎng)，幾分鐘之后斷網(wǎng)，如此不斷重復(fù)，造成了該子網(wǎng)段范圍內(nèi)的不穩(wěn)定，影響其它機(jī)器的正常使用。其中典型的包探測(cè)程序也就是利用IP的弱點(diǎn)，因?yàn)樗梢杂脕?lái)探測(cè)有效的Internet連接。顯然，安全性不好的系統(tǒng)將是黑客進(jìn)駐和安裝探測(cè)軟件的地方。IP的最基本的缺點(diǎn)是缺乏一種機(jī)制來(lái)確定數(shù)據(jù)包的真正來(lái)源。 網(wǎng)絡(luò)嗅探一般說(shuō)來(lái)，有網(wǎng)絡(luò)路由器的地方都有探測(cè)程序（sniffer program）。要有效防止黑客，就必須首先了解黑客所使用的手段。談到網(wǎng)絡(luò)應(yīng)用安全，人們首先想到的是網(wǎng)絡(luò)黑客。服務(wù)器可采用雙網(wǎng)卡接到不同的接入交換機(jī)。為提高級(jí)聯(lián)的可靠性,可采用端口聚合的方式進(jìn)行雙鏈路級(jí)聯(lián)。為了消除由接入交換機(jī)引起的單點(diǎn)故障,必須設(shè)置冗余的交換機(jī)。當(dāng)任何1 臺(tái)中心路由交換機(jī)發(fā)生故障時(shí),通過(guò)VRRP 協(xié)議,另1 臺(tái)中心路由交換機(jī)立即接管所有的工作,同時(shí)更新路由表,并通過(guò)動(dòng)態(tài)路由協(xié)議通知企業(yè)網(wǎng)內(nèi)的路由器（交換機(jī)）更新相應(yīng)的路由表。為實(shí)現(xiàn)路由冗余,可以采用虛擬路由器冗余VRRP 協(xié)議；為實(shí)現(xiàn)交換機(jī)的冗余,可以采用生成樹(shù)STP 協(xié)議；為實(shí)現(xiàn)鏈路冗余,可采用鏈路聚合（linkaggregation） 技術(shù)；為實(shí)現(xiàn)服務(wù)器的冗余，可采用網(wǎng)卡容錯(cuò)AFT (Adapter Fault Tolerance) 技術(shù)等。企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)是企業(yè)網(wǎng)運(yùn)行和服務(wù)的基礎(chǔ),無(wú)單點(diǎn)故障的、高可用性網(wǎng)絡(luò)的建設(shè)至關(guān)重要，合理設(shè)計(jì)企業(yè)網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)以保證網(wǎng)絡(luò)的高可靠性,做到主干線(xiàn)路上任何交換機(jī)或單個(gè)鏈路的故障都不會(huì)影響主干網(wǎng)絡(luò)的連通性,更不會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)的癱瘓,從基礎(chǔ)上解決企業(yè)網(wǎng)面臨的風(fēng)險(xiǎn)。針對(duì)以上安全隱患，為提高網(wǎng)絡(luò)的物理安全性，主要對(duì)策有：選用高可靠性硬件設(shè)備；提高物理設(shè)備單機(jī)的可靠性。從技術(shù)角度而言，企業(yè)網(wǎng)的網(wǎng)絡(luò)安全和控制主要應(yīng)考慮以下幾個(gè)方面：請(qǐng)補(bǔ)充網(wǎng)絡(luò)設(shè)備安全是保證網(wǎng)絡(luò)設(shè)備在物理上的可靠和安全，主要依靠網(wǎng)絡(luò)設(shè)備本身的安全設(shè)計(jì)、雙機(jī)冗余系統(tǒng)、冗余存儲(chǔ)等技術(shù)、以及安全管理的意識(shí)保證。本城域網(wǎng)方案的目標(biāo)是提供一個(gè)安全可靠的網(wǎng)絡(luò)業(yè)務(wù)承載平臺(tái)，所以此處著重探討網(wǎng)絡(luò)設(shè)備物理層安全、網(wǎng)絡(luò)結(jié)構(gòu)安全和應(yīng)用安全等方面的內(nèi)容。**品牌的**型號(hào)等三層交換機(jī)可實(shí)現(xiàn)IPv6的支持，可以支持靜態(tài)IPv6路由、支持基于硬件的IPv6轉(zhuǎn)發(fā)，可實(shí)現(xiàn)IPv6到IPv4以及IPv4到IPv6等隧道技術(shù)，其整體的IPv6網(wǎng)絡(luò)結(jié)構(gòu)圖設(shè)計(jì)如圖 所示： 請(qǐng)根據(jù)課題情況設(shè)計(jì)IPV6的拓?fù)浣Y(jié)構(gòu)圖四．企業(yè)網(wǎng)網(wǎng)絡(luò)安全從計(jì)算機(jī)安全學(xué)的觀(guān)點(diǎn)分層進(jìn)行分析，計(jì)算機(jī)網(wǎng)絡(luò)的安全包括以下幾個(gè)方面：首先是物理網(wǎng)絡(luò)的安全，含網(wǎng)絡(luò)設(shè)備物理層的安全和網(wǎng)絡(luò)結(jié)構(gòu)的安全；第二層是操作系統(tǒng)級(jí)的安全；第三層為應(yīng)用系統(tǒng)的安全；最高層是信息內(nèi)容，或稱(chēng)為數(shù)據(jù)安全。***品牌的***型號(hào)可完全實(shí)現(xiàn)雙棧的運(yùn)行方式，滿(mǎn)足用戶(hù)的各種需求。對(duì)于終端的PC機(jī)用戶(hù)來(lái)說(shuō)也可以實(shí)現(xiàn)網(wǎng)絡(luò)的訪(fǎng)問(wèn)，PC機(jī)終端會(huì)攜帶IPV6請(qǐng)求包向IPv6接口發(fā)出請(qǐng)求，該報(bào)文通過(guò)IPv4網(wǎng)絡(luò)時(shí)將會(huì)直接封裝為IPv4包，當(dāng)?shù)竭_(dá)IPv6接口時(shí)，將還原為IPv6包，當(dāng)接口得到IPv6請(qǐng)求時(shí)，會(huì)返回其請(qǐng)求的前綴，報(bào)文同樣被封裝為IPv4包，當(dāng)?shù)竭_(dá)終端I