【正文】 config) interface e0/1 ASAFW(config) no shutdown ASAFW(config) interface e0/ ASAFW(configsubif) vlan 3 ASAFW(configsubif) nameif insideASAFW(configsubif) ip address ASAFW(configsubif) interface e0/ASAFW(configsubif) vlan 4ASAFW(configsubif) nameif MDZ ASAFW(configsubif) securitylevel 50ASAFW(configsubif)ip address 六、入侵檢測(cè)系統(tǒng) 安全管理需通過管理制度和管理平臺(tái)技術(shù)實(shí)現(xiàn)兩個(gè)方面來完成安全管理產(chǎn)品應(yīng)支持統(tǒng)一的中心控制平臺(tái)五、防火墻的選擇下面是Cisco ASA 5500系列防火墻介紹：圖43 Cisco ASA 5500系列防火墻（一）選擇的理由：值得信賴的防火墻和威脅防御VPN技術(shù)；Cisco ASA 5500 系列建立于值得信賴的Cisco PIX安全設(shè)備和Cisco VPN 3000系列集中器技術(shù)，ASA5500系列是第一個(gè)兼具市場(chǎng)領(lǐng)先的防火墻技術(shù)保護(hù)，同時(shí)提供SSL和IPsec VPN服務(wù)的解決方案；安全管理面對(duì)網(wǎng)絡(luò)安全的脆弱性，除了在網(wǎng)絡(luò)設(shè)計(jì)上增加安全服務(wù)功能，完善系統(tǒng)的安全保密措施外，還必須花大力氣建立網(wǎng)絡(luò)安全管理規(guī)范，因?yàn)橹T多的不安全因素恰恰反映在組織管理和人員錄用等方面，而這又是保證計(jì)算機(jī)網(wǎng)絡(luò)安全所必須考慮的基本問題，所以應(yīng)引起各計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用部門領(lǐng)導(dǎo)的重視。公共信息的完整性要求比較高，如那些可以向整個(gè)系統(tǒng)發(fā)布的Web 信息，不能被非法篡改；內(nèi)部信息除要具有普通的安全要求外，還要以有力的訪問控制手段來保證它只能在內(nèi)部被及時(shí)正確地使用；秘密信息的安全性要求最高，如何保證秘密信息的安全是整個(gè)安全系統(tǒng)建設(shè)的重中之重。信息安全企業(yè)局域網(wǎng)網(wǎng)絡(luò)系統(tǒng)的業(yè)務(wù)信息可分為公共信息、內(nèi)部信息、秘密信息等。網(wǎng)絡(luò)備份系統(tǒng)備份系統(tǒng)為一個(gè)目的而存在，即盡可能快地全盤恢復(fù)運(yùn)行計(jì)算機(jī)系統(tǒng)所需的數(shù)據(jù)和系統(tǒng)信息。b、檢測(cè)病毒技術(shù):它是通過對(duì)計(jì)算機(jī)病毒的特征來進(jìn)行判斷的技術(shù)，如自身校驗(yàn)、關(guān)鍵詞、文件長(zhǎng)度的變化等c、清除病毒技術(shù):它通過對(duì)計(jì)算機(jī)病毒的分析，開發(fā)出具有刪除病毒程序并恢復(fù)原文件的軟件。網(wǎng)絡(luò)反病毒技術(shù)包括預(yù)防病毒、檢測(cè)病毒和消毒三種技術(shù)：a、預(yù)防病毒技術(shù):它通過自身常駐系統(tǒng)內(nèi)存，優(yōu)先獲得系統(tǒng)的控制權(quán)，監(jiān)視和判斷系統(tǒng)中是否有病毒存在，進(jìn)而阻止計(jì)算機(jī)病毒進(jìn)入計(jì)算機(jī)系統(tǒng)和對(duì)系統(tǒng)進(jìn)行破壞。應(yīng)具備以下功能:具備網(wǎng)絡(luò)監(jiān)控分析和自動(dòng)響應(yīng)功能；找出經(jīng)常發(fā)生問題的根源所在；建立必要的循環(huán)過程確保隱患時(shí)刻被糾正控制各種網(wǎng)絡(luò)安全危險(xiǎn)；漏洞分析和響應(yīng)；配置分析和響應(yīng)；漏洞形勢(shì)分析和響應(yīng)；認(rèn)證和趨勢(shì)分析；將各種服務(wù)器受黑客攻擊的可能降為最低；對(duì)網(wǎng)絡(luò)訪問做出有效響應(yīng)保護(hù)重要應(yīng)用系統(tǒng)數(shù)據(jù)安全不受黑客攻擊和內(nèi)部人員誤操作的侵害。因此，網(wǎng)管系統(tǒng)有能力限制局域網(wǎng)通訊的范圍而無需通過開銷很大的路由器。內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域的隔離及訪問控制：VLAN 技術(shù)主要基于近年發(fā)展的局域網(wǎng)交換技術(shù)。因此，特對(duì)企業(yè)局域網(wǎng)作如下設(shè)計(jì)：網(wǎng)絡(luò)分段是保證安全的一項(xiàng)重要措施同時(shí)也是一項(xiàng)基本措施其指導(dǎo)思想，在于將非法用戶與網(wǎng)絡(luò)資源相互隔離，從而達(dá)到限制用戶非法訪問的目的。但由于各行業(yè)的應(yīng)用系統(tǒng)千差萬別，故很難對(duì)應(yīng)用系統(tǒng)的安全實(shí)現(xiàn)進(jìn)行具體的規(guī)劃。為了保證企業(yè)局域網(wǎng)操作系統(tǒng)的安全，除了需不斷地增加安全補(bǔ)丁外，還需進(jìn)行如下要求:檢查系統(tǒng)設(shè)置（敏感數(shù)據(jù)的存放方式訪問控制口令選擇/更新）將系統(tǒng)的安全級(jí)別設(shè)置為最高級(jí)。系統(tǒng)安全系統(tǒng)安全主要是指操作系統(tǒng)、應(yīng)用系統(tǒng)的安全性以及網(wǎng)絡(luò)硬件平臺(tái)的可靠性。物理安全內(nèi)容包括場(chǎng)地安全、機(jī)房建設(shè)安全、動(dòng)力保障系統(tǒng)安全以及系統(tǒng)抗性、防災(zāi)難的應(yīng)急措施和恢復(fù)能力。四、安全設(shè)計(jì)方案（一）企業(yè)具有安全措施的網(wǎng)絡(luò)拓?fù)鋱D圖42 企業(yè)具有安全措施的網(wǎng)絡(luò)拓?fù)鋱D（二）安全體系設(shè)計(jì)通過對(duì)網(wǎng)絡(luò)的全面了解，按照安全策略的要求，安全風(fēng)險(xiǎn)分析的結(jié)果及整個(gè)網(wǎng)絡(luò)的安全目標(biāo)，整個(gè)網(wǎng)絡(luò)安全措施應(yīng)按系統(tǒng)體系建立。應(yīng)用安全也涉及到信息數(shù)據(jù)的安全，對(duì)于有些特別重要的信息需要進(jìn)行保密可以考慮在應(yīng)用級(jí)上進(jìn)行加密，針對(duì)具體的應(yīng)用直接應(yīng)用系統(tǒng)的開發(fā)時(shí)進(jìn)行加密，并且通過VPN隧道進(jìn)行加密傳送。（3）系統(tǒng)安全風(fēng)險(xiǎn)分析系統(tǒng)安全是指整個(gè)局域網(wǎng)網(wǎng)絡(luò)操作系統(tǒng)，網(wǎng)絡(luò)硬件平臺(tái)是否可靠值得信任；網(wǎng)絡(luò)操作系統(tǒng)的可靠性對(duì)中國(guó)來說恐怕絕對(duì)安全的操作系統(tǒng)是沒有的，但是，我們可以通過對(duì)現(xiàn)有的操作平臺(tái)進(jìn)行安全配置、對(duì)操作和訪問權(quán)限進(jìn)行嚴(yán)格控制，來提高系統(tǒng)的安全性。（2）網(wǎng)絡(luò)平臺(tái)安全風(fēng)險(xiǎn)分析網(wǎng)絡(luò)結(jié)構(gòu)安全涉及到網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)路由狀況及網(wǎng)絡(luò)的環(huán)境等，在該企業(yè)的公開服務(wù)器區(qū)容易遭受黑客攻擊。網(wǎng)絡(luò)安全可以從以下幾個(gè)方面來分析：（1）物理安全風(fēng)險(xiǎn)分析網(wǎng)絡(luò)的物理安全主要是指環(huán)境事故，電源故障，人為操作失誤，設(shè)備毀壞等。三、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析目前對(duì)網(wǎng)絡(luò)的攻擊手段主要表現(xiàn)在：非授權(quán)訪問，信息泄露或丟失，破壞數(shù)據(jù)完整性，拒絕服務(wù)攻擊，利用網(wǎng)絡(luò)傳播病毒。在分析企業(yè)局域網(wǎng)安全風(fēng)險(xiǎn)時(shí)，應(yīng)考慮以下該網(wǎng)絡(luò)結(jié)構(gòu)的特點(diǎn)：網(wǎng)絡(luò)與外部網(wǎng)絡(luò)連接，可能通過外網(wǎng)傳播進(jìn)來的病毒，黑客攻擊以及自外網(wǎng)的非授權(quán)訪問等；網(wǎng)絡(luò)中存在公開服務(wù)器，避免公開服務(wù)器的安全風(fēng)險(xiǎn)擴(kuò)散到內(nèi)部；該局域網(wǎng)中存在許多不同的子網(wǎng)，不同的子網(wǎng)有不同的安全性，應(yīng)考慮將不同功能和安全級(jí)別的網(wǎng)絡(luò)分隔開，這可以由交換機(jī)劃分VLAN來實(shí)現(xiàn)。備份與災(zāi)難恢復(fù)——強(qiáng)化系統(tǒng)備份，實(shí)現(xiàn)系統(tǒng)快速恢復(fù)。 加強(qiáng)合法用戶的訪問認(rèn)證，同時(shí)將用戶的訪問權(quán)限控制在最低限度。建立網(wǎng)站各主機(jī)和服務(wù)器的安全保護(hù)措施，保證他們的系統(tǒng)安全。二、系統(tǒng)安全目標(biāo)建立一套完整可行的網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理策略。因此，我們必須采取相應(yīng)的安全措施杜絕安全隱患，其中應(yīng)該做到： 公開服務(wù)器的安全保護(hù)；防止黑客從外部攻擊；入侵檢測(cè)與監(jiān)控；病毒防護(hù)；數(shù)據(jù)安全保護(hù)；數(shù)據(jù)備份與恢復(fù)。對(duì)于有些特別重要的信息需要對(duì)內(nèi)部進(jìn)行保密的（比如領(lǐng)導(dǎo)子網(wǎng)、財(cái)務(wù)系統(tǒng)傳遞的重要信息）可以考慮在應(yīng)用級(jí)進(jìn)行加密，針對(duì)具體的應(yīng)用直接在應(yīng)用系統(tǒng)開發(fā)時(shí)進(jìn)行加密。 應(yīng)用的安全性涉及到信息、數(shù)據(jù)的安全性：信息的安全性涉及到：機(jī)密信息泄露、未經(jīng)授權(quán)的訪問、破壞信息完整性、假冒、破壞系統(tǒng)的可用性等。應(yīng)用系統(tǒng)的安全是動(dòng)態(tài)的、不斷變化的。而且，必須加強(qiáng)登錄過程的認(rèn)證（特別是在到達(dá)服務(wù)器主機(jī)之前的認(rèn)證），確保用戶的合法性；其次應(yīng)該嚴(yán)格限制登錄者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)。但是，我們可以對(duì)現(xiàn)有的操作平臺(tái)進(jìn)行安全配置、對(duì)操作和訪問權(quán)限進(jìn)行嚴(yán)格控制，提高系統(tǒng)的安全性。 二、系統(tǒng)的安全風(fēng)險(xiǎn)分析 所謂系統(tǒng)的安全顯而易見是指整個(gè)局域網(wǎng)網(wǎng)絡(luò)操作系統(tǒng)、網(wǎng)絡(luò)硬件平臺(tái)是否可靠且值得信任。網(wǎng)絡(luò)系統(tǒng)的成熟與否直接影響安全系統(tǒng)成功的建設(shè)。我們有必