【正文】 華理工大學(xué)畢業(yè)設(shè)計（論文） 網(wǎng)絡(luò)安全概述2 網(wǎng)絡(luò)系統(tǒng)安全風(fēng)險分析 這個企業(yè)的局域網(wǎng)是一個信息點較多的百兆局域網(wǎng)絡(luò)系統(tǒng)，它所聯(lián)接的現(xiàn)有上百個信息點為在整個企業(yè)內(nèi)辦公的各部門提供了一個快速、方便的信息交流平臺。通過公開服務(wù)器，企業(yè)可以直接對外發(fā)布信息或者發(fā)送電子郵件。因此，在原有網(wǎng)絡(luò)上實施一套完整、可操作的安全解決方案不僅是可行的，而且是必需的。針對每一類安全風(fēng)險，結(jié)合實際情況，我們將具體的分析網(wǎng)絡(luò)的安全風(fēng)險。它是整個網(wǎng)絡(luò)系統(tǒng)安全的前提，在這個企業(yè)局域網(wǎng)內(nèi)，由于網(wǎng)絡(luò)的物理跨度不大，只要制定健全的安全管理制度，做好備份，并且加強網(wǎng)絡(luò)設(shè)備和機房的管理，這些風(fēng)險是可以避免的。 公開服務(wù)器面臨的威脅 企業(yè)局域網(wǎng)內(nèi)公開服務(wù)器區(qū)（WWW、EMAIL 等服務(wù)器）作為公司的信息發(fā)布平臺，一旦不能運行后者受到攻擊，對企業(yè)的聲譽影響巨大。每天，黑客都在試圖闖入 Inter 節(jié)點，這些節(jié)點如果不保持警惕，可能連黑客怎么闖入的都不知道，甚至?xí)蔀楹诳腿肭制渌军c的跳板。我們有必要將公開服務(wù)器、內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)進行隔離，避免網(wǎng)絡(luò)結(jié)構(gòu)信息外泄。 整個網(wǎng)絡(luò)結(jié)構(gòu)和路由狀況 安全的應(yīng)用往往是建立在網(wǎng)絡(luò)系統(tǒng)之上的。在這個企業(yè)局域網(wǎng)絡(luò)系統(tǒng)中，只使用了一臺路由器，作為與Inter 連結(jié)的邊界路由器，網(wǎng)絡(luò)結(jié)構(gòu)相對簡單，具體配置時可以考慮使用靜態(tài)路由，這就大大減少了因網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)路由造成的安全風(fēng)險。 網(wǎng)絡(luò)操作系統(tǒng)、網(wǎng)絡(luò)硬件平臺的可靠性：對于中國來說，恐怕沒有絕對安全的操作系統(tǒng)可以選擇，無論是 Microsoft 的 Windows NT 或者其他任何商用 UNIX 操作系統(tǒng)，其開發(fā)廠商必然有其 BackDoor。但是，我們可以對現(xiàn)有的操作平臺進行安全配置、對操作和訪問權(quán)限進行嚴格控制，提高系統(tǒng)的安全性。其次應(yīng)該嚴格限制登錄者的操作權(quán)限，將其操作權(quán)限限制在最小的范圍內(nèi)。因此，保證應(yīng)用系統(tǒng)的安全也是一個隨網(wǎng)絡(luò)發(fā)展不斷完善的過程。信息的安全性涉及到機密信息泄露、未經(jīng)授權(quán)的訪問、破壞信息完整性、假冒、破壞系統(tǒng)的可用性等。對于有些特別重要的信息需要對內(nèi)部進行保密的可以考慮在應(yīng)用級進行東華理工大學(xué)畢業(yè)設(shè)計（論文） 網(wǎng)絡(luò)系統(tǒng)安全風(fēng)險分析加密，針對具體的應(yīng)用直接在應(yīng)用系統(tǒng)開發(fā)時進行加密。責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險。當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時（如內(nèi)部人員的違規(guī)操作等），無法進行實時的檢測、監(jiān)控、報告與預(yù)警。所以我們必須對站點的訪問活動進行多層次的記錄，及時發(fā)現(xiàn)非法入侵行為。 (3) 不滿的內(nèi)部員工 不滿的內(nèi)部員工可能在 WWW 站點上開些小玩笑，甚至破壞。例如他們可以傳出至關(guān)重要的信息、泄露安全重要信息、錯誤地進入數(shù)據(jù)庫、刪除數(shù)據(jù)等等。公開服務(wù)器存在漏洞的一個典型例證，是黑客可以輕易地騙過公開服務(wù)器軟件，得到服務(wù)器的口令文件并將之送回。黑客還能開發(fā)欺騙程序，將其裝入服務(wù)器中，用以監(jiān)聽登錄會話。這時為了防止黑客，需要設(shè)置公開服務(wù)器，使得它不離開自己的空間而進入另外的目錄。在這個企業(yè)的局域網(wǎng)內(nèi)我們可以綜合采用防火墻技術(shù)、入侵檢測技術(shù)、訪問控制技術(shù)來保護網(wǎng)絡(luò)內(nèi)的信息資源，防止黑客攻擊。所以應(yīng)該加強對惡意代碼的檢測。病毒不是獨立存在的，它隱蔽在其他可執(zhí)行的程序之中，既有破壞性，又有傳染性和潛伏性。能在Inter 上傳播的新型病毒，例如通過 EMail 傳播的病毒，增加了這種威脅的程度。 信息泄漏或丟失：指敏感數(shù)據(jù)在有意或無意中被泄漏出去或丟失，通常包括信息在傳輸中或者存儲介質(zhì)中丟失、泄漏，或通過建立隱蔽隧道竊取敏感信息等。 拒絕服務(wù)攻擊：它不斷對網(wǎng)絡(luò)服務(wù)系統(tǒng)進行干擾，改變其正常的作業(yè)流程，執(zhí)行無關(guān)程序使系統(tǒng)響應(yīng)減慢甚至癱瘓，影響正常用戶的使用，甚至使合法用戶被排斥而不能進入計算機網(wǎng)絡(luò)系統(tǒng)或不能得到相應(yīng)的服務(wù)。3 企業(yè)局域網(wǎng)的安全設(shè)計方案本公司有 100 臺左右的計算機，主要使用網(wǎng)絡(luò)的部門有：生產(chǎn)部(20)、財務(wù)部(15)、人事部(8)和信息中心(12)四大部分，如圖 所示。東華理工大學(xué)畢業(yè)設(shè)計（論文） 企業(yè)局域網(wǎng)的安全設(shè)計方案圖 企業(yè)局域網(wǎng)的安全設(shè)計方案 企業(yè)局域網(wǎng)安全設(shè)計的原則 企業(yè)局域網(wǎng)網(wǎng)絡(luò)系統(tǒng)安全方案設(shè)計、規(guī)劃時，應(yīng)遵循以下原則： 綜合性、整體性原則：應(yīng)用系統(tǒng)工程的觀點、方法，分析網(wǎng)絡(luò)的安全及具體措施。 一致性原則：一致性原則主要是指網(wǎng)絡(luò)安全問題應(yīng)與整個網(wǎng)絡(luò)的工作周期（或生命周期）同時存在，制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致。其次，措施的采用不能影響系統(tǒng)的正常運行。一勞永逸地解決網(wǎng)絡(luò)安全問題是不現(xiàn)實的。因此分步實施，既可滿足網(wǎng)絡(luò)系統(tǒng)及信息安全的基本需求，亦可節(jié)省費用開支。但是建立一個多重保護系統(tǒng)，各層保護相互補充，當(dāng)一層保護被攻破時，其它層保護仍可保護信息的安全。 安全服務(wù)、機制與技術(shù) 安全服務(wù)：控制服務(wù)、對象認證服務(wù)、可靠性服務(wù)等； 安全機制：訪問控制機制、認證機制等；東華理工大學(xué)畢業(yè)設(shè)計（論文） 企業(yè)局域網(wǎng)的安全設(shè)計方案安全技術(shù)：防火墻技術(shù)、病毒防治技術(shù)、攻擊檢測技術(shù)、審計監(jiān)控技術(shù)等；在安全的開放環(huán)境中，用戶可以使用各種安全應(yīng)用。應(yīng)當(dāng)指出，同一安全機制有時也可以用于實現(xiàn)不同的安全服務(wù)。 路由器安全配置 作為企業(yè)局域網(wǎng)與外部 Inter 互聯(lián)網(wǎng)絡(luò)連接的第一關(guān)，路由器的配置是很重要的，既要保證網(wǎng)絡(luò)的暢通，也不能忽略網(wǎng)絡(luò)的安全性而只取其一（我們所使用的是 Cisco 2514 路由器），因此，除了對路由器與 Inter 外網(wǎng)連接配置外，我們對路由器還采用了如下安全配置：(1) 路由器網(wǎng)絡(luò)服務(wù)安全配置a、禁止 CDP(Cisco Discovery Protocol)。Router(Config) no service tcpsmallserversRouter(Config) no service udpsmallservers c、禁止 Finger 服務(wù)。 Router(Config) no ip server 啟用了 HTTP 服務(wù)則需要對其進行安全配置：設(shè)置用戶名和密碼，采用訪問列表進行控制。Router(Config) no ip bootp server f、禁止 IP Source Routing。Router(Config) no ip directedbroadcast h、禁止 IP Classless。Router(Configif) no ip unreacheablesRouter(Configif) no ip redirectsRouter(Configif) no ip maskreply j、明確禁止不使用的端口。它能夠檢查源 IP 地址的準(zhǔn)確性，從而可以防止一定的 IP Spooling。uRPF 有三種方式，strict 方式、ACL 方式和 loose 方式。在出口路由器上實施時，采用 loose 方式。Loose 方式：interface pos 1/0ip ver unicast source reachablevia any東華理工大學(xué)畢業(yè)設(shè)計（論文） 企業(yè)局域網(wǎng)的安全設(shè)計方案這個功能檢查每一個經(jīng)過路由器的數(shù)據(jù)包，在路由器的路由表中若沒有該數(shù)據(jù)包源 IP 地址的路由，路由器將丟棄該數(shù)據(jù)包。默認的 OSPF 認證密碼是明文傳輸?shù)?，建議啟用 MD5 認證。 c、RIP 協(xié)議的認證。建議啟用 RIPV2。普通認證同樣是明文傳輸?shù)摹＝ㄗh對于不需要路由的端口，啟用 passiveinterface。在 OSPF 協(xié)議中是禁止轉(zhuǎn)發(fā)和接收路由信息。如：Router(Config) accesslist 10 deny Router(Config) accesslist 10 permit any ！禁止路由器接收更新 網(wǎng)絡(luò)的路由信息Router(Config) router ospf 100Router(Configrouter) distributelist 10 in！禁止路由器轉(zhuǎn)發(fā)傳播 網(wǎng)絡(luò)的路由信息Router(Config) router ospf 100Router(Configrouter) distributelist 10 out/PP(3) 路由器其他安全配置 a、IP 欺騙簡單防護。過濾自己內(nèi)部網(wǎng)絡(luò)地址；回環(huán)地址()；RFC1918 私有地址；DHCP 自定義地址()；科學(xué)文檔作者測試用地址()；不用的組播地址()；SUN 公司的古老的測試地址(。Router(Config) accesslist 100 deny ip any Router(Config) accesslist 100 deny ip any Router(Config) accesslist 100 deny ip any Router(Config) accesslist 100 deny ip any Router(Config) accesslist 100 deny ip any Router(Config) accesslist 100 deny ip any Router(Config) accesslist 100 deny ip any Router(Config) accesslist 100 deny ip any 東華理工大學(xué)畢業(yè)設(shè)計（論文） 企業(yè)局域網(wǎng)的安全設(shè)計方案Router(Config) accesslist 100 deny ip any Router(Config) accesslist 100 deny ip any Router(Config) accesslist 100 permit ip any anyRouter(Configif) ip accessgroup 100 in/PP b、采用訪問列表控制流出內(nèi)部網(wǎng)絡(luò)的地址必須是屬于內(nèi)部網(wǎng)絡(luò)的。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運行狀態(tài)。進入防火墻初始化配置，在其中主要設(shè)置有：Date(日期)、time(時間)、hostname(主機名稱)、inside ip address(內(nèi)部網(wǎng)卡 IP 地址)、domain(主域)等，完成后也就建立了一個初始化設(shè)置了。 c、修改此特權(quán)用戶模式密碼。Encrypted 選項是確定所加密碼是否需要加密。 e、命名端口與安全級別采用命令 nameifPIX525(config)nameif ether0 outside security0PIX525(config)nameif ether0 outside security100security0 是外部端口 outside 的安全級別（0 安全級別最高）security100 是內(nèi)部端口 inside 的安全級別,如果中間還有以太口，則security10，security20 等等命名，多個網(wǎng)卡組成多個網(wǎng)絡(luò)，一般情況下增加一個以太口作為 DMZ(Demilitarized Zones 非武裝區(qū)域)。Inside 端口可以做 tel 就能用了,但 outside 端口還跟一些安全配置有關(guān)。PIX525(config)global (outside) 1 mask PIX525(config)nat (outside) 1 外部地址是很有限的，主機必須單獨占用一個 IP 地址，解決公用一個外部IP(),則必須配置 PAT，這樣就能解決更多用戶同時共享一個 IP,有點像代理服務(wù)器一樣的功能。其中重定向后的地址可以是單一外部地址、共享的外東華理工大學(xué)畢業(yè)設(shè)計（論文） 企業(yè)局域網(wǎng)的安全設(shè)計方案部地址轉(zhuǎn)換端口（PAT），或者是共享的外部端口。 命令格式有兩種，分別適用于 IP 包和 TCP/UDP 通信： ● static[(internal_if_name, external_if_name)]{global_ip|interface}local_ip[mask mask] max_conns [emb_limit[norandomseq]]] ● static [(internal_if_name, external_if_name)] {tcp|udp}{global_ip|interface} global_port local_ip local_port [mask mask] [max_conns [emb_limit [norandomseq]]]此命令中的以上各參數(shù)解釋如下：internal_if_name：內(nèi)部接口名稱；external_if_name：外部接口名稱；{tcp|udp}：選擇通信協(xié)議類型；{global_ip|interface}：重定向后的外部 IP 地址或共享端口；lo