【正文】 數(shù)據(jù)包的源地址，若是不符合 ACL 的，路由器將丟棄該數(shù)據(jù)包。在接入路由器上實(shí)施時(shí)，對(duì)于通過單鏈路接入網(wǎng)絡(luò)的用戶，建議采用 strict 方式；對(duì)于通過多條鏈路接入到網(wǎng)絡(luò)的用戶，可以采用 ACL 方式和 loose 方式。b、配置 uRPF。Router(Config) interface eth0/3Router(Config) shutdown/PP東華理工大學(xué)畢業(yè)設(shè)計(jì)（論文） 企業(yè)局域網(wǎng)的安全設(shè)計(jì)方案11(2) 路由器路由協(xié)議安全配置 a、啟用 IP Unicast ReversePath Verification。Router(Config) no ip classless i、禁止 ICMP 協(xié)議的 IP Unreachables, Redirects, Mask Replies。Router(Config) no ip sourceroute g、禁止 IP Directed Broadcast。 e、禁止 BOOTP 服務(wù)。Router(Config) no ip fingerRouter(Config) no service fingerd、禁止 HTTP 服務(wù)。Router(Config)no cdp run Router(Configif) no cdp enableb、禁止其他的 TCP、UDP Small 服務(wù)。 企業(yè)局域網(wǎng)安全配置方案 物理安全技術(shù) 保證計(jì)算機(jī)信息系統(tǒng)各種設(shè)備的物理安全是整個(gè)計(jì)算機(jī)信息系統(tǒng)安全的前提，它主要包括三個(gè)方面： 環(huán)境安全：對(duì)系統(tǒng)所在環(huán)境的安全保護(hù)，如區(qū)域保護(hù)和災(zāi)難保護(hù)； 設(shè)備安全：主要包括設(shè)備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護(hù)等； 東華理工大學(xué)畢業(yè)設(shè)計(jì)（論文） 企業(yè)局域網(wǎng)的安全設(shè)計(jì)方案10 媒體安全：包括媒體數(shù)據(jù)的安全及媒體本身的安全。安全應(yīng)用由一些安全服務(wù)來實(shí)現(xiàn)，而安全服務(wù)又是由各種安全機(jī)制或安全技術(shù)來實(shí)現(xiàn)的。 可評(píng)價(jià)性原則：如何預(yù)先評(píng)價(jià)一個(gè)安全設(shè)計(jì)并驗(yàn)證其網(wǎng)絡(luò)的安全性，這需要通過國(guó)家有關(guān)網(wǎng)絡(luò)信息安全測(cè)評(píng)認(rèn)證機(jī)構(gòu)的評(píng)估來實(shí)現(xiàn)。 多重保護(hù)原則：任何安全措施都不是絕對(duì)安全的，都可能被攻破。同時(shí)由于實(shí)施信息安全措施需要相當(dāng)?shù)馁M(fèi)用支出。 分步實(shí)施原則：由于網(wǎng)絡(luò)系統(tǒng)及其應(yīng)用擴(kuò)展范圍廣闊，隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加，網(wǎng)絡(luò)脆弱性也會(huì)不斷增加。 易操作性原則：安全措施需要人為去完成，如果措施過于復(fù)雜，對(duì)人的要求過高，本身就降低了安全性。安全措施主要包括行政法律手段、各種管理制度（人員審查、工作流程、維護(hù)保障制度等）以及專業(yè)措施（識(shí)別技術(shù)、存取控制、密碼、低輻射、容錯(cuò)、防病毒、采用高安全產(chǎn)品等） 。網(wǎng)絡(luò)基本結(jié)構(gòu)為：整個(gè)網(wǎng)絡(luò)中干部分采用 3 臺(tái) Catalyst 1900 網(wǎng)管型交換機(jī)（分別命名為：SwitchSwitch2 和 Switch3，各交換機(jī)根據(jù)需要下接若干個(gè)集線器，主要用于非 VLAN 用戶）、一臺(tái) Cisco 2514 路由器，整個(gè)網(wǎng)絡(luò)都通過路由器Cisco 2514 與外部互聯(lián)網(wǎng)進(jìn)行連接。 利用網(wǎng)絡(luò)傳播病毒：通過網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒，其破壞性大大高于單機(jī)系統(tǒng)，而且用戶很難防范。 破壞數(shù)據(jù)完整性：以非法手段竊得對(duì)數(shù)據(jù)的使用權(quán)，刪除、修改、插入或重發(fā)某些重要信息，以取得有益于攻擊者的響應(yīng)；惡意修改數(shù)據(jù)，以干擾用戶的正常使用。 網(wǎng)絡(luò)的攻擊手段東華理工大學(xué)畢業(yè)設(shè)計(jì)（論文） 網(wǎng)絡(luò)系統(tǒng)安全風(fēng)險(xiǎn)分析7 一般認(rèn)為，目前對(duì)網(wǎng)絡(luò)的攻擊手段主要表現(xiàn)在： 非授權(quán)訪問：沒有預(yù)先經(jīng)過同意，就使用網(wǎng)絡(luò)或計(jì)算機(jī)資源被看作非授權(quán)訪問，如有意避開系統(tǒng)訪問控制機(jī)制，對(duì)網(wǎng)絡(luò)設(shè)備及資源進(jìn)行非正常使用，或擅自擴(kuò)大權(quán)限，越權(quán)訪問信息。輕則影響機(jī)器運(yùn)行速度，使機(jī)器不能正常運(yùn)行，重則使機(jī)器處于癱瘓，會(huì)給用戶帶來不可估量的損失。 (3) 病毒的攻擊 計(jì)算機(jī)病毒一直是計(jì)算機(jī)安全的主要威脅。 (2) 惡意代碼 惡意代碼不限于病毒，還包括蠕蟲、特洛伊木馬、邏輯炸彈和其他未經(jīng)同意的軟件。另外，還應(yīng)設(shè)置組特權(quán)，不允許任何使用公開服務(wù)器的人訪問 WWW 頁(yè)面文件以外的東西。當(dāng)它發(fā)現(xiàn)有用戶登錄時(shí)，便開始存儲(chǔ)一個(gè)文件，這樣黑客就擁有了他人的帳戶和口令。黑客侵入服務(wù)器后，有可能修改特權(quán)，從普通用戶變?yōu)楦呒?jí)用戶，一旦成功，黑客可以直接進(jìn)入口令文件。 來自互聯(lián)網(wǎng)的威脅 (1) 黑客攻擊 黑客們的攻擊行動(dòng)是無時(shí)無刻不在進(jìn)行的，而且會(huì)利用系統(tǒng)和管理上一切可能利用的漏洞。不論如何，他們最熟悉服務(wù)器、小程序、腳本和系統(tǒng)的弱點(diǎn)。 建立全新的網(wǎng)絡(luò)安全機(jī)制，必須深刻理解網(wǎng)絡(luò)并能提供直接的解決方案，因此，最可行的做法是管理制度和網(wǎng)絡(luò)安全解決方案的結(jié)合。同時(shí)，當(dāng)事故發(fā)生后，也無法提供黑客攻擊行為的追蹤線索及破案依據(jù)，即缺乏對(duì)網(wǎng)絡(luò)的可控性與可審查性。管理混亂使得一些員工或管理員隨東華理工大學(xué)畢業(yè)設(shè)計(jì)（論文） 網(wǎng)絡(luò)系統(tǒng)安全風(fēng)險(xiǎn)分析6便讓一些非本地員工甚至外來人員進(jìn)入機(jī)房重地，或者員工有意無意泄漏他們所知道的一些重要信息，而管理上卻沒有相應(yīng)制度來約束。 (2) 管理的安全風(fēng)險(xiǎn) 管理是網(wǎng)絡(luò)安全中最重要的部分。由于這個(gè)企業(yè)局域網(wǎng)跨度不大，絕大部分重要信息都在內(nèi)部傳遞，因此信息的機(jī)密性和完整性是可以保證的。 應(yīng)用的安全性涉及到信息、數(shù)據(jù)的安全性。 來自局域網(wǎng)內(nèi)部的威脅 (1) 應(yīng)用的安全風(fēng)險(xiǎn) 應(yīng)用系統(tǒng)的安全是動(dòng)態(tài)的、不斷變化的，其結(jié)果是安全漏洞也不斷增加且隱藏越來越深。因此，不但要選用盡可能可靠的操作系統(tǒng)和硬件平臺(tái)，而且必須加強(qiáng)登錄過程的認(rèn)證（特別是在到達(dá)服務(wù)器主機(jī)之前的認(rèn)證），確保用戶的合法性。我們可以這樣講，沒有完全安全的操作系統(tǒng)。 系統(tǒng)的安全風(fēng)險(xiǎn)分析 所謂系統(tǒng)的安全是指整個(gè)局域網(wǎng)網(wǎng)絡(luò)操作系統(tǒng)、網(wǎng)絡(luò)硬件平臺(tái)是否可靠且值得信任。網(wǎng)絡(luò)系統(tǒng)的成熟與否直接影響安全系統(tǒng)成功的建設(shè)。同時(shí)還要對(duì)外網(wǎng)的服務(wù)請(qǐng)求加以過濾，只允許正常通信的數(shù)據(jù)包到達(dá)相應(yīng)主機(jī)，其他的請(qǐng)求服務(wù)在到達(dá)主機(jī)之前就應(yīng)該遭到拒絕。因此，企業(yè)局域網(wǎng)的管理人員對(duì) Inter 安全事故做出有效反應(yīng)變得十分重要。同時(shí)公開服務(wù)器本身要為外東華理工大學(xué)畢業(yè)設(shè)計(jì)（論文） 網(wǎng)絡(luò)系統(tǒng)安全風(fēng)險(xiǎn)分析5界服務(wù)，必須開放相應(yīng)的服務(wù)。 網(wǎng)絡(luò)平臺(tái)的安全風(fēng)險(xiǎn)分析 網(wǎng)絡(luò)結(jié)構(gòu)的安全涉及到網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)路由狀況及網(wǎng)絡(luò)的環(huán)境等。 物理安全風(fēng)險(xiǎn)分析 網(wǎng)絡(luò)的物理安全主要是指地震、水災(zāi)、火災(zāi)等環(huán)境事故，電源故障，人為操作失誤或錯(cuò)誤，設(shè)備被盜、被毀，電磁干擾，線路截獲以及高可用性的硬件，雙機(jī)多冗余的設(shè)計(jì)，機(jī)房環(huán)境及報(bào)警系統(tǒng)，安全意識(shí)等。 企業(yè)局域網(wǎng)安全可以從以下幾個(gè)方面來理解：1 網(wǎng)絡(luò)物理是否安全；2 網(wǎng)絡(luò)平臺(tái)是否安全；3 系統(tǒng)是否安全；4 企業(yè)局域網(wǎng)本身是否安全；5 與互聯(lián)網(wǎng)連接是否安全。高速交換技術(shù)的采用、靈活的網(wǎng)絡(luò)互連方案設(shè)計(jì)為用戶提供快速、方便、靈活通信平臺(tái)的同時(shí)，也為網(wǎng)絡(luò)的安全帶來了更大的風(fēng)險(xiǎn)。不僅如此，通過專線與 Inter 的連接，打通了一扇通向外部世界的窗戶，各個(gè)部門可以直接與互聯(lián)網(wǎng)用戶進(jìn)行交流、查詢資料等。每次發(fā)生入侵事件，防御系統(tǒng)都要更新，保證相同類型的入侵事件不能再發(fā)生，所以整個(gè)安全策略包括防御、檢測(cè)、響應(yīng)和恢復(fù)，這四個(gè)方面組成了一個(gè)信息安全周期。安全策略的最后一個(gè)戰(zhàn)線就是系統(tǒng)恢復(fù)。這個(gè)安全戰(zhàn)線的功能就是檢測(cè)出入侵者的身份，包括攻擊源、系統(tǒng)損失等。安全策略的第二個(gè)戰(zhàn)線就是檢測(cè)。根據(jù)系統(tǒng)已知的所有安全問題做出防御的措施，如打補(bǔ)丁、訪問控制、數(shù)據(jù)加密等等。這四個(gè)部分構(gòu)成了一個(gè)動(dòng)態(tài)的信息安全周期，如圖：東華理工大學(xué)畢業(yè)設(shè)計(jì)（論文） 網(wǎng)絡(luò)安全概述3圖 11 網(wǎng)絡(luò)安全模型 安全策略的每一部分包括一組相應(yīng)的安全措施來實(shí)施一定的安全功能。安全具有動(dòng)態(tài)性，需要適應(yīng)變化的環(huán)境，并能作出相應(yīng)的調(diào)整，以確保計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全。 總之，系統(tǒng)自身的脆弱和不足，是造成網(wǎng)絡(luò)安全問題的內(nèi)部根源，但系統(tǒng)本身的脆弱性，社會(huì)對(duì)系統(tǒng)的依賴性這一對(duì)矛盾又將促進(jìn)網(wǎng)絡(luò)安全技術(shù)的不斷發(fā)展和進(jìn)步。無意是指誤操作造成的不良后果，如文件的誤刪除、誤輸入，安全配置不當(dāng)，用戶口令選擇不慎，賬號(hào)泄露或與別人共享。(5) 天災(zāi)人禍天災(zāi)指不可控制的自然災(zāi)害，如地震、雷擊等。數(shù)據(jù)庫(kù)管理系統(tǒng)安全必須與操作系統(tǒng)的安全相配套，例如，DBMS 的安全級(jí)別是 B2級(jí)，操作系統(tǒng)的安全級(jí)別也應(yīng)是 B2 級(jí)，但實(shí)踐中往往不是這樣。? 軟件的漏洞東華理工大學(xué)畢業(yè)設(shè)計(jì)（論文） 網(wǎng)絡(luò)安全概述2軟件中不可避免的漏洞和缺陷，成了黑客攻擊的首選目標(biāo)，典型的如操作系統(tǒng)中的 BUGS。? 計(jì)算機(jī)硬件的故障由于生產(chǎn)工藝和制造商的原因，計(jì)算機(jī)硬件系統(tǒng)本身有故障，? 軟件本身的“后門”軟件本身的“后門”是軟件公司為了方便自己進(jìn)入而在開發(fā)時(shí)預(yù)留設(shè)置的，一方面為軟件調(diào)試進(jìn)一步開發(fā)或遠(yuǎn)程維護(hù)提供了方便，但同時(shí)也為非法入侵提供了通道，入侵者可以利用“后門”多次進(jìn)入系統(tǒng)。(1) 操作系統(tǒng)的安全脆弱性操作系統(tǒng)不安全，是計(jì)算機(jī)系統(tǒng)不安全的根本原因。盡管近年來計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)取得了巨大的進(jìn)展，但計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性，比以往任何時(shí)候都更加脆弱。從社會(huì)教育和意識(shí)形態(tài)角度來講，網(wǎng)絡(luò)上不健康的內(nèi)容，會(huì)對(duì)社會(huì)的穩(wěn)定和人類的發(fā)展造成阻礙，必須對(duì)其進(jìn)行控制。從廣義來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。東華理工大學(xué)畢業(yè)設(shè)計(jì)（論文） 網(wǎng)絡(luò)安全概述11 網(wǎng)絡(luò)安全概述 網(wǎng)絡(luò)安全的概念網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。使系統(tǒng)重新恢復(fù)到破壞前的狀態(tài)，最大限度地減少損失。 (3) 通過入侵檢測(cè)等方式實(shí)現(xiàn)實(shí)時(shí)安全監(jiān)控，提供快速響應(yīng)故障的手段，同時(shí)具備很好的安全取證措施。 (1) 將安全策略、硬件及軟件等方法結(jié)合起來，構(gòu)成一個(gè)統(tǒng)一的防御系統(tǒng)，有效阻止非法用戶進(jìn)入網(wǎng)絡(luò)，減少網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。 本方案為企業(yè)局域網(wǎng)網(wǎng)絡(luò)安全的解決方案，包括原有網(wǎng)絡(luò)系統(tǒng)分析、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析、安全體系結(jié)構(gòu)的設(shè)計(jì)等。擁有良好的主動(dòng)企業(yè)安全管理不應(yīng)是我們所有人難以實(shí)現(xiàn)的夢(mèng)想。尋求尖端技術(shù)、經(jīng)驗(yàn)豐富的人員和最佳作法與持續(xù)主動(dòng)進(jìn)行企業(yè)安全管理的堅(jiān)實(shí)整合，是當(dāng)今所有 IT 安全專業(yè)人士面臨的最嚴(yán)峻挑戰(zhàn)。 無論當(dāng)今的技術(shù)標(biāo)榜有何種能力，它們通常均不能夠集中監(jiān)控和控制其它第三方異構(gòu)安全產(chǎn)品。 ensure confidentiality, integrity, availability, controllable. Information security, including the safety of the operating system, database security, work security, virus protection, access control, encryption and identification of seven areas. Design of a work security system, which must be done to effectively prevent the work all of the attacks, guarantee the safety of the system, and also have a higher costeffectiveness, operational simplicity, and transparent to the user interface and friendly. Computer work system of security and reliability problems, the paper from the work security and the proposed definition, Network security risk analysis, work attacks generally means Enterprise LAN security design principles and disposition program some insights, and it was summed up, on the current workwide security threats the work security of the important design concepts and security management norms and against mon wo