【正文】 義好 NAT 規(guī)則，這樣，所有目的 IP為 和 的數(shù)據(jù)包都將分別被轉(zhuǎn)發(fā)給 和 ；而所有來自 和 的數(shù)據(jù)包都將分別被偽裝成 202. 和 . ，從而也就實現(xiàn)了 IP 映射。 分配給電子郵件服務(wù)器的 IP 為：內(nèi)部 IP： . 200，真實 IP： . 。 外部網(wǎng)絡(luò) IP 地址分配 Web 服務(wù)器、電子郵件服務(wù)器都需要與外圍網(wǎng)絡(luò)通訊，需要申請一定數(shù)量的 Inter IP 地址，并綁定在在防火墻的外部網(wǎng)卡上，然后通過 IP 映射，使發(fā)給其中某一個 IP 地址的包轉(zhuǎn)發(fā)至 Web 服務(wù)器上，然后再將該 Web 服務(wù)器響應(yīng)包偽裝成該合法 IP 發(fā)出的包。每個部門需指定專人負(fù)責(zé)本子網(wǎng)的 IP 地址分配和管理工作，并和網(wǎng)絡(luò)管理員協(xié)同工作，確保 IP 地址管理的效率。分配原則：把 （ x=1… 254）稱作一個二級子網(wǎng)（ VLAN），分別分給財務(wù)部、市場部、研發(fā)部等部門的網(wǎng)段可以是其中的任意三個，如： ， ， ，子網(wǎng)掩碼為 。 保留地址如下： ~（ 256 個 C 類地址）。 內(nèi)部網(wǎng)絡(luò) IP 地址分配 內(nèi)部網(wǎng)部分可以使用保留地址。并結(jié)合中心交換機(jī)的第三層交換功能，進(jìn)行子網(wǎng)的劃分，一方面可以降低網(wǎng)絡(luò)風(fēng)暴的發(fā)生，另一方面也加強(qiáng)了網(wǎng)絡(luò)的安全性。為了克服這個缺點，需要將經(jīng)常進(jìn)行通信的計算機(jī)組成一個子網(wǎng)，使大量的內(nèi)部數(shù)據(jù)局限在子網(wǎng)內(nèi)傳播，然后將各個子網(wǎng)連接在一起，形成局域網(wǎng)。這種網(wǎng)絡(luò)結(jié)構(gòu)適用于計算機(jī)數(shù)量較多，位置相對分散，且傳輸?shù)男畔⒘枯^大的情況。 客戶機(jī) /服務(wù)器（ C/S）網(wǎng)有著突出的優(yōu)點：網(wǎng)絡(luò)系統(tǒng)穩(wěn)定，信息管理安全，網(wǎng)絡(luò)用戶擴(kuò)展方便，易于升級。安全保密功能上多級化，對信道適應(yīng)多元化。在實現(xiàn)上分步實施，漸進(jìn)獲取 。 中小型網(wǎng)絡(luò)安全體系建設(shè)應(yīng)按照“統(tǒng)一 規(guī)劃、統(tǒng)籌安排，統(tǒng)一標(biāo)準(zhǔn)、相互配套“的原則進(jìn)行，采用先進(jìn)的”平臺化“建設(shè)思想，避免重復(fù)投入、重復(fù)建設(shè)，充分考慮整體和局部的利益，堅持近期目標(biāo)與遠(yuǎn)期目標(biāo)相結(jié)合。 3 網(wǎng)絡(luò)安全的方案設(shè)計 總體設(shè)計方案 企業(yè)網(wǎng)絡(luò)建設(shè)的基本目標(biāo)就是在網(wǎng)絡(luò)中心和各部門的局域網(wǎng)建設(shè)、及其廣域網(wǎng)互聯(lián)的基礎(chǔ)上，將互聯(lián)網(wǎng)技術(shù)引入企業(yè)內(nèi)部網(wǎng)，從而建立起統(tǒng)一、快捷、高效的內(nèi)部網(wǎng)絡(luò)系統(tǒng)。 為了適應(yīng)系統(tǒng)變化的要求，必須充分考 慮以最簡便的方法、最低的投資，實現(xiàn)系統(tǒng)的擴(kuò)展和維護(hù)，采用可網(wǎng)管產(chǎn)品，降低了人力資源的費(fèi)用，提高網(wǎng)絡(luò)的易用性。 在方案設(shè)計中，既考慮信息資源的充分共享，更要注意信息的保護(hù)和隔離，因此方案應(yīng)分別針對不同的應(yīng)用和不同的網(wǎng)絡(luò)通信環(huán)境，采取不同的措施，包括系統(tǒng)安全機(jī)制、數(shù)據(jù)存取的權(quán)限控制等。 在考慮技術(shù)先進(jìn)性和開放性的同時，還應(yīng)從系統(tǒng)結(jié)構(gòu)、技術(shù)措施、設(shè)備性能、系統(tǒng)管理、廠商技術(shù)支持及維修能力等方面著手，確保系統(tǒng)運(yùn)行的可靠性和穩(wěn)定性，達(dá)到最大的平均無故障時間。只有采用當(dāng)前符合國際標(biāo)準(zhǔn)的成熟先進(jìn)的技術(shù)和設(shè)備，才能確保網(wǎng) 絡(luò)絡(luò)能夠適應(yīng)將來網(wǎng)絡(luò)技術(shù)發(fā)展的需要，保證在未來幾年內(nèi)占主導(dǎo)地位。 當(dāng)前計算機(jī)網(wǎng)絡(luò)技術(shù)發(fā)展很快，設(shè)備更新淘汰也很快。 方案設(shè)計應(yīng)始終貫徹面向應(yīng)用，注重實效的方針，堅持實用、經(jīng)濟(jì)的原則，建設(shè)企業(yè)的網(wǎng)絡(luò)系統(tǒng)。許多中小型企業(yè)的 網(wǎng)絡(luò)技術(shù)人員較少，因而對網(wǎng)絡(luò)的依賴性很高，要求網(wǎng)絡(luò)盡可能簡單，可靠，易用，降低網(wǎng)絡(luò)的使用和維護(hù)成本，提高產(chǎn)品的性價比就顯得尤為重要。當(dāng)系統(tǒng)自身的情況發(fā)生變化時，必須注意及時修改相應(yīng)的安全策略。 (4)一切都被允許，當(dāng)然也包括那些本來被禁止的。 (2)除那些被明確允許之外，一切都被禁止?？傮w的策略用于闡明公司安全政策的總體思想，而具體的規(guī)則用于說明什么 活動是被允許的，什么活動是被禁止的。同時在內(nèi)部不同部門之間，利用 VLAN 技術(shù)，劃分虛擬局域網(wǎng)，實現(xiàn)內(nèi)部各個部門的隔離。 網(wǎng)絡(luò)安全策略 網(wǎng)絡(luò)中的所有計算機(jī)都應(yīng)能抵御來自于外部和內(nèi)部的攻擊。 從技術(shù)角度看，網(wǎng)絡(luò)安全的內(nèi)容大體包括 4 個方面： 7 由此可見，計算機(jī)網(wǎng)絡(luò)安全不僅要保護(hù)計算機(jī)網(wǎng)絡(luò)設(shè)備安全，還要保護(hù)數(shù)據(jù)安全等。保密性可以保證信息即使泄露，非授權(quán)用戶在有限的時間內(nèi)也不能識別真正的信息內(nèi)容。 (3) 保密性是指網(wǎng)絡(luò)信息不被泄露的特性。可靠性主要是指網(wǎng)絡(luò)系統(tǒng)硬件和軟件無故障運(yùn)行的性能?？梢娊踩木W(wǎng)絡(luò)系統(tǒng)要解決的根本問題是如何在保證網(wǎng)絡(luò)的連通性、可用性的同時對網(wǎng)絡(luò) 服務(wù)的種類、范圍等行使適當(dāng)程度的控制以保障系統(tǒng)的可用性和信息的完整性不受影響 [2]。由于計算機(jī)網(wǎng)絡(luò)最重要的資源是它向用戶提供的服務(wù)及所擁有的信息，因而計算機(jī)網(wǎng)絡(luò)的安全性可以定義為：保障網(wǎng)絡(luò)服務(wù)的可用性和網(wǎng)絡(luò)信息的完整性。不正當(dāng)行為是指用戶雖經(jīng)授權(quán)，但對授權(quán)數(shù)據(jù)和資源的使用不合法或濫用授權(quán)。外部闖入是指未經(jīng)授權(quán)計算機(jī)系統(tǒng)用戶的入侵 。計算機(jī)網(wǎng)絡(luò)改變著人們賴以行動的社會信息結(jié)構(gòu)，改變著人們獲取利用信息的方式，從而引起人類生活方式的全面改觀。與此同時，由于計算機(jī)網(wǎng)絡(luò)自身存在的局限性和信 息系統(tǒng)的脆弱性，使得計算機(jī)網(wǎng)絡(luò)系統(tǒng)上的硬件資源，通信資源，軟件及信息資源等因可預(yù)見或不可預(yù)見的甚至是惡意的原因而遭到破壞，更改、泄露或功能失效，使信息系統(tǒng)處于異常狀態(tài)，甚至引起系統(tǒng)的崩潰癱瘓，造成巨大的經(jīng)濟(jì)損失。網(wǎng)絡(luò)安全的意義，就在于資料、信賴關(guān)系和網(wǎng)絡(luò)的傳輸能力與端系統(tǒng)的處理能力三個要素的保護(hù)，保證這三者能為所適合的用戶服務(wù)。通過制度的約束，確定不同學(xué)員的網(wǎng)絡(luò)訪問權(quán)限，提高管理人員的安全防范意識，做到實時監(jiān)控檢測網(wǎng)絡(luò)的活動，并在危害發(fā)生時，做到及時報警。制訂有關(guān)網(wǎng)絡(luò)操作使用 規(guī)程和出入機(jī)房管理制度 。隨著中小型公司整個網(wǎng)絡(luò)安全系統(tǒng)的建設(shè)，必須建立嚴(yán)格的、完整的、健全的安全管理制度。網(wǎng)絡(luò)安全管理是防止來自內(nèi)部網(wǎng)絡(luò)入侵的必須部分，管理上混亂、責(zé)權(quán)不明、安全管理制度缺乏可操作性及不健全等都可能引起管理安全的風(fēng)險。把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員用戶名及口令以及系統(tǒng)的一些重要信息傳播給外人帶來信息泄漏風(fēng)險。管理方面的安全隱患包括：內(nèi)部管理人員或師生為了方便省事，設(shè)置的口令過短和過于簡單，甚至不設(shè)置用戶口令，導(dǎo)致很容易破解。 6 管理的安全風(fēng)險 管理混亂、安全管理制度不健全，責(zé)權(quán)不明及缺乏可操作性等都可能引起管理安全的風(fēng)險。而現(xiàn)代的病毒傳播手段主要是通過網(wǎng)絡(luò)實現(xiàn)的，一臺客戶機(jī)被病毒感染，迅速通過網(wǎng)絡(luò)傳染到同一網(wǎng)絡(luò)的上百臺機(jī)器。造成泄密或者做一些篡改來破壞數(shù)據(jù)的完整性。如果沒有專門的軟件或硬件對數(shù)據(jù)進(jìn)行控制，所有的通信都將不受限制地進(jìn)行傳輸，因此任何一個對通信進(jìn)行監(jiān)測的人都可以對通信數(shù)據(jù)進(jìn)行截取。線路竊聽。使得這些設(shè)備的自身安全性也會直接關(guān)系的學(xué)校業(yè)務(wù)系統(tǒng)和各種網(wǎng)絡(luò)應(yīng)用的正常運(yùn)轉(zhuǎn)。由于存在外聯(lián)服務(wù)的要求應(yīng)在網(wǎng)絡(luò)出口處安裝防火墻對訪問加以控制 [6]。一旦被利用并攻擊，將帶來不可估量的損失。在服務(wù)器上主要有操作系統(tǒng)、軟件系統(tǒng)和數(shù)據(jù)庫系統(tǒng)，交換機(jī)上也有相應(yīng)的操作系統(tǒng)。同時病毒也是系統(tǒng)安全的主要威脅，所有這些都造成了系統(tǒng)安全的脆弱性。為了保證中小型公司系統(tǒng)的物理安全，首先要保證系統(tǒng)滿足相應(yīng)的國家標(biāo)準(zhǔn)，同時對重要的網(wǎng)絡(luò)設(shè)備采用 UPS 不間斷穩(wěn)壓電源，對重要的設(shè)備如數(shù)據(jù)庫服務(wù)器、中心交換機(jī)等采用雙機(jī)熱備份，對安全計算機(jī)電磁泄漏發(fā)射距離不符合安全距離的應(yīng)采取電磁泄漏發(fā)射防護(hù)措施，對重要的通訊線路采用備份等等。針對中小型公司物理層安全是指由于網(wǎng)絡(luò)系統(tǒng)中大量地使用了網(wǎng)絡(luò)設(shè)備如移動設(shè)備、服務(wù)器如 PC 服務(wù)器、交換機(jī)，那么這些設(shè)備的自身安全性 也會直接影響信息系統(tǒng)和各種網(wǎng)絡(luò)應(yīng)用的正常運(yùn)轉(zhuǎn)。 5 射可能造成數(shù)據(jù)信息被竊取或偷閱。一般的物理安全風(fēng)險主要有： 電以至操作系統(tǒng)引導(dǎo)失敗或數(shù)據(jù)庫信息丟失。下面對中小型公司的具體狀況從物理層安全、網(wǎng)絡(luò) 層安全、系統(tǒng)層安全、數(shù)據(jù)傳輸安全、病毒的安全威脅及管理安全進(jìn)行分類描述網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險。同時，在所有通信過程中應(yīng)當(dāng)保證客戶端與服務(wù)器端，以及內(nèi)部和外部和內(nèi)部與內(nèi)部的所有通信是安全的和透明的。 網(wǎng)絡(luò)實現(xiàn) 功能 （ 1）資源共享功能：網(wǎng)絡(luò)內(nèi)的各個計算機(jī)可共享文件服務(wù)器，實現(xiàn)研發(fā)文檔的上傳下 載，實現(xiàn)辦公自動化系統(tǒng)中的各項功能。 絡(luò)現(xiàn)狀、中小型公司的需求、網(wǎng)絡(luò)安全的風(fēng)險分析及網(wǎng)絡(luò)安全系統(tǒng)設(shè)計目標(biāo)和總體規(guī)劃，設(shè)計了中小型網(wǎng) 絡(luò)安全系統(tǒng)方案，運(yùn)用先進(jìn)的網(wǎng)絡(luò)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品對方案進(jìn)行了實現(xiàn)，探討了今后網(wǎng)絡(luò)安全系統(tǒng)的發(fā)展方向。 。 1 制作： 學(xué)號 姓名 學(xué)號 姓名 學(xué)號 姓名 指導(dǎo)教師： 完成日期： 2 目錄 1 系統(tǒng)需求分析 ....................................................................................................................................... 4 企業(yè)需求 ..................................................................................................................................... 4 網(wǎng)絡(luò)實現(xiàn) 功能 .............................................................................................................................. 4 網(wǎng)絡(luò)系統(tǒng)安全分析 ...................................................................................................................... 4 物理層安全風(fēng)險 ................................................................................................................ 4 系統(tǒng)層安全風(fēng)險 ................................................................................................................ 5 網(wǎng)絡(luò)層安全風(fēng)險 ................................................................................................................ 5 數(shù)據(jù)傳輸?shù)陌踩L(fēng)險 ......................................................................................................... 5 病毒的安全風(fēng)險 ................................................................................................................ 5 管理的安全風(fēng)險 ................................................................................................................ 6 企業(yè)網(wǎng)的安全目標(biāo) ...................................................................................................................... 6