【正文】 （ 7）不允許私自介入外部網(wǎng)絡 （ 8）要求各項安全軟件正常啟用不得進行不當配置。 （ 1）同一臺計算機不可同時使用內(nèi)部網(wǎng)絡并且通 過別的方式連接外網(wǎng)；或使用專用的計算機連接內(nèi)部網(wǎng)絡，另一臺計算機通過別的方式連接外部網(wǎng)絡；對于安全級別較高的數(shù)據(jù)服務器不允許連接任何網(wǎng)絡； （ 2）統(tǒng)一安裝并更新計算機軟件防火墻及殺毒軟件； （ 3）要求工作人員將個人計算機設置安全級別較高的密碼并定期更換，在離開時自動鎖定電腦； （ 4）只允許在工作電腦上使用固定的軟件，不允許安裝與使用其他軟件。 網(wǎng) 絡管理人員責任： （ 1）對網(wǎng)絡設備和服務器的物理訪問應作嚴格限制； （ 2）建立良好的密碼管理機制； （ 3）無效的用戶應及時清除； （ 4）不提供非必需服務；對提供的服務應作全面安全性設置，不依賴于系統(tǒng)的默認設置； （ 5）經(jīng)常備份系統(tǒng)數(shù)據(jù)； （ 6）經(jīng)常檢查系統(tǒng)日志； （ 7）所有的計算機都應有病毒防護機制。因此，網(wǎng)絡管理員責任重大。 網(wǎng)絡管理員的責任 依據(jù)上述解決方案，企業(yè)的網(wǎng)絡安全有了全面的保障，但是網(wǎng)絡管理員還不可以高枕無憂。備份設備可以在段時間內(nèi)替代網(wǎng)絡中實際使用的設備。 服務器日志備份 對象：主要服務器（ Web 服務器、文件服務器等）；周期：一周一次； 內(nèi)容：備份服務器訪問日志。 防火墻日志備份、分析 對象：防火墻設備；周期：一周一次； 內(nèi)容：導出防火墻日志并進行分析。 防病毒軟件病毒庫定期升級 對象：安裝防病毒客戶端的終端；周期：每 半 周一次； 內(nèi)容：防病毒服務器通過 Inter 更新病毒庫；防病毒服務器強制所有在線客戶端更新病毒庫。安全服務分為： 網(wǎng)絡拓撲分析 對象：整個網(wǎng)絡；周期：半年一次； 內(nèi)容 ：根據(jù)網(wǎng)絡的實際情況，繪制網(wǎng)絡拓撲圖；分析網(wǎng)絡中存在的安全缺陷并提出整改建議意見。 后期 安全服務 安全措施實施后并不意味著一勞永逸，對各種安全措施必須定期維護更新 來應對日益更新的情況 ，因此需要制定安全服務方案。 （ 3）清除病毒：它通過對病毒的分析，在原有防毒軟件不起作用 的情況下，尋找相關的專殺工具進行清除，并對注冊表進和維護。 由于在網(wǎng)絡環(huán)境下，病毒有不可估量的威脅性和破壞力，病毒的防范是網(wǎng)絡安全性建設中重要的一環(huán)。這樣，在 屏蔽內(nèi)部子網(wǎng)結(jié)構的同時，還解決了公用 IP 地址短缺問題。內(nèi)部屏蔽路由器的作用是保證內(nèi)部網(wǎng)發(fā)來的數(shù)據(jù)包只能輸出到屏蔽子網(wǎng)上，而不能到達外部網(wǎng)。因此，內(nèi)部網(wǎng)服務器設有三道安全屏障，入侵者代價更高。 17 防火墻 防火墻就是 根據(jù)一定的安全策略和規(guī)則對外來的信息流進行安全檢查，然后確定是否將信息流轉(zhuǎn)發(fā)給內(nèi)網(wǎng)。 提供的功能： （ 1）身份驗證： Windows Server 20xx 通過用戶名和口令來驗證登陸網(wǎng)絡的用戶身份，對非法用戶拒之門外； （ 2）訪問控制：用戶登入網(wǎng)后， 因為用戶權限不一樣所以有限制的訪問系統(tǒng) 資源。該功能由安裝有網(wǎng)絡操作系統(tǒng) Windows Server 20xx 的服務器提供，它采用域（ Domain）模式建立網(wǎng)絡安全環(huán)境。 網(wǎng)絡防護 由于以上內(nèi)外部網(wǎng)絡安全問題的存在，我們 需要通過增加安全模塊、制定安全規(guī)則及安全政策 等等來規(guī)范使用和應對干擾。這些行為都對內(nèi)網(wǎng)構成了重大的安全威脅。而一些內(nèi)部人員出于好奇心或者惡意破壞的目的，在計算機上安裝使用一些黑客軟件，從內(nèi)部發(fā)起攻擊。但如果內(nèi)部人員使用撥號、寬帶等方式接入外網(wǎng)，使內(nèi)網(wǎng)與外網(wǎng)間開出新的連接通道，外部的黑客攻擊或者病毒就能夠繞過原本連接在內(nèi)、外網(wǎng)之間的防護屏障，順利侵入非法外聯(lián)的計算機，盜竊內(nèi)網(wǎng)的敏感信息和機密數(shù) 據(jù)，造成泄密事件，甚至利用該機作為跳板，攻擊、傳染內(nèi)網(wǎng)的重要服務器，導致整個內(nèi)網(wǎng)工作癱瘓。然而在建立內(nèi)網(wǎng)時候我們通常會遇到如下問題： 非法 另辟 外聯(lián)問題 網(wǎng)絡中， 之所以有內(nèi)外網(wǎng)絡之分，是因為在出入口我們加強了戒備從而保證內(nèi)部網(wǎng)絡的安全。同樣 對于一個網(wǎng)絡安全來說，外部網(wǎng)絡安全可通過網(wǎng)絡本身的健壯性及網(wǎng)絡安全管理員的管理 和認真負責 來解決，但網(wǎng)絡內(nèi)部若存在隱患的話，只能通過制定相應的政策來強制約束內(nèi)部網(wǎng)絡的使用者，才能盡可能避免網(wǎng)絡內(nèi)部有意或無意攻擊使外部健壯的網(wǎng)絡不堪一擊。 其他原因 硬件驅(qū)動不完善、硬件器材自身的損耗以及電磁輻射等原因造成的硬件系統(tǒng)的不可用和功能故障。 如駭客的竊取造成損失數(shù)據(jù)或者因為惡意攻擊造成服務器不可用的狀態(tài)。 網(wǎng)絡安全的 外部問題 人為物理 攻擊 物理攻擊，即人為的竊取、破壞網(wǎng)絡線路或關鍵服務器。存在風險的途徑同時存在網(wǎng)絡的內(nèi)部與外部、人為與自然，存在風險的原因分為主動與被動。 （ 6）在 “FTP 站點 ”的標簽處設置 FTP 標識，包括說明、 IP 地址和端口。 （ 5）在 “消息 ”標簽處，有 “歡迎 ”、 “退出 ”和 “最大 連接數(shù) ”3 個輸入框，分別代表別人在登錄、退出時FTP 服務器上給出的提示信息，可根據(jù)需要設置。默認情況下，此處的文件夾位置為 “C:\Ipub\Ftproot”。 （ 2）鼠標右擊 IIS 中的 “默認 FTP 站點 ”項，選擇 “屬性 ”菜單。 （ 1）啟 動 IIS，并啟動 IIS 上的 FTP 服務。點擊 “開始 → 程序 → 管理工具 →Inter信息服務（ IIS）管理器 ”，在 “IIS 管理器 ”窗口中右鍵點擊 “默認 SMTP 虛擬服務器 ”選項，在彈出的菜單中選中 “屬性 ”，進入 “默認 SMTP 虛擬服務器 ”窗口，切換到 “常規(guī) ”標簽頁，在 “IP 地址 ”下拉列表框中選中郵件服務器的 IP 地址即可。選中左欄中 POP3 服務后，點擊右欄中的 “新域 ”，彈出 “添加域 ”對話框，接著在 “域名 ”欄中輸入郵件服務器的域名。選中 “應用程序服務器 ”選項，點擊 “詳細信息 ”按鈕，接著在 “Inter信息服務（ IIS） ”選項中查看詳細信息，選中 “SMTP Service”選項，最后點擊 “確定 ”按鈕。在轉(zhuǎn)發(fā)器中配置 IP 地址為 ISP 的 DNS 服務器的地址。 域名服務器的設置 : 首先，向域名服務商申請了域名，在 DNS 域名服務器上區(qū)域名稱設為相應值， IP地址為 Web 服務器的 IP 地址，建立域名映射 IP 地址的主機記錄。 （ 5）為了便于訪問還應設置默認文檔（ 、 ）。 （ 3）右擊 “網(wǎng)站 ”，在菜單中選擇 “新建 → 網(wǎng)站 ”，打開 “網(wǎng)站創(chuàng)建向?qū)?”。接著設置 Web 服務器，具體做法為 : （ 1）在 “控制面板 ”中選擇 “管理工具 →Inter 信息服務（ IIS）管理器 ”。 （ 3）啟用一個端口的 promiscuous 模式 sensor（ configint） physicalinterfaces GigabitEther0/2 （ 4）進行端口設置 sensor（ configintphy） duplex full 5 服 務器的安裝和配置 Web/DNS 服務器的配置 在服務器上安裝操作系統(tǒng)，由于操作系統(tǒng)的差別整個配置過程會有所不同，在 Windows Server 20xx 上Web 服務器的配置過程。 以下為幾個常用配置命令： （ 1） 使用有效權限登陸配置端口 sensor configure terminal、 sensor（ config） service interface （ 2）顯示有效端口 sensor（ configint） physicalinterfaces GigabitEther0/0 GigabitEther0/0 physical interfaceGigabitEther0/1 GigabitEther0/1 physical 14 interface、 GigabitEther0/2 GigabitEther0/2 physical interface。在 200Mbps 速度下 CISCO IDS4235 可以在交換環(huán)境中多個 T3 子網(wǎng)上，以及在 10/100/1000 接口的支持下提供保護。 CISCO Secure IDS4235 傳感器能夠通過實時分析流量檢測出網(wǎng)絡上的非法活動，如黑客攻擊。 設備配 置： 1） CISCO 3548 交換機， 2 口千兆、 48 口 10/100M 自適應； 2） 1000BaseLX/LH GBIC WS5486（長波 /長途，單模）（ SC 接口）。 CATALYST 3548XL 支持 FEC（ FAST ETHERNET CHANNEL）技術、 ISL（ INTER SWITCH LINK）技術。 CISCO Systems Catalyst 3500 XL 系列是一系列可伸縮的堆疊 10/100 和 Gigabit Ether 交換機，提供優(yōu)異的 性能、可管理性和靈活性。 以上配置提供了電源的冗余，充分保證中心交換機的高可用性。從 48 端口到 576 端口的 10/100/1000以太網(wǎng)布線室到能夠支持 192 個 1Gbps 或 32 個 10Gbps 骨干端口，提供每秒數(shù)億個數(shù)據(jù)包處理能力 13 的網(wǎng)絡核心， Cisco Catalyst 6500 系列能夠借助冗余路由與轉(zhuǎn)發(fā)引擎之間的故障切換功能提高網(wǎng)絡正常運行時間。 Cisc o Catalyst 6500 系列交換機提供 3 插槽、 6 插槽、 9 插槽和 13 插槽的機箱，以及多種集成式服務模塊，包括數(shù)千兆位網(wǎng)絡安全性、內(nèi)容交換、語音和網(wǎng)絡分析模塊。 Catalyst 6500 提供 3 插槽、 6 插槽、 9 插槽和 13 插槽的機箱，以及多種集成式服務模塊，包括數(shù)千兆位網(wǎng)絡安全性、內(nèi)容交換、語音和網(wǎng)絡分析模塊。這樣就可以對整個內(nèi)部網(wǎng)進行有效的保護，防止外部的非法攻擊。 只允許網(wǎng)管工作站遠程登錄到此路由器，當用戶 想從 Inter 管理此路由器時，應對此存取控制列表進行修改。 CISCO 2811 提供了 2 個 10Mbps/100Mbps 端口，它能以線速為多條 T1/E1/xDSL 連接提供多種高質(zhì)量并發(fā)服務。CISCO 281 具有先進、集成的端到端安全性，以用于提供融合服務和應用。 PIX 防火墻配置： ip address outside ip address inside global 1 . nat 1 static conduit 514 udp mailhost tel syslog facility syslog host 路由器 產(chǎn)品概述 為保證 Inter 連接的可靠性和將來的流量 擴展，選用高性能的 CISC0 2811 路由器作為 Inter 接入服務平臺。 4）外部網(wǎng)絡用戶不允許直接訪問其他服務器。 配置過程 基本配置策略 : 1）對外的 IP地址只有一個，即防火墻的 IP 地址，對內(nèi)部網(wǎng)絡的訪問，都通過防火墻的 IP地址轉(zhuǎn)換（ NAT）； 2）內(nèi)部網(wǎng)絡使用保留的 IP 地址 。無論從安全要求還是價格方面 CISCO PIX525URB 它都符合我們的要求。而專用的 Cisco Secure PIX 防 火墻是為了實現(xiàn)安全、高性能的保護而專門設計。 另外，實時嵌入式系統(tǒng)還能進一步提高 Cisco Secure PIX 防火墻系列的安全性。 CISCO提供防火墻運行自己定制的操作系統(tǒng)，事實證明，它可以有效地防止非法攻擊。 4 設備選型及配置 防火墻 產(chǎn)品概述 本方案采用 CISCO 公司的防火墻系列產(chǎn)品 PIX 中的 CISCO SECURE PIX 525，它很好的支持了多媒體信息的傳輸，使用與管理更方便。 通過設置 PIX 把真實 IP 綁定到防火墻的外網(wǎng)接口，并在 PTX 上定