【正文】 ，也可以為擴展企業(yè)內部網。網絡安全解決方案還可以保護敏感數(shù)據及公司資源，使它們免遭黑客的入侵和破壞。確保網絡設備的安全性對于企業(yè)來說，意義從未像今天這么重要。由此可見，及時提高網絡安全投資率還稱不上不可或缺，至少也絕非可有可無，同時提高網絡的投資效率和靈活性也同樣至關重要。這三大核心原則既可以作為搭建一切安全系統(tǒng)的指導方針，也可以作為衡量安全實施情況的準繩。違反任何一個原則都會給相關單位造成嚴重的損失。它可以確保網絡達到了必要的機密級別，并且網絡中的信息對非法用戶是保密的。密碼學和加密的目的就是要確保在兩臺計算機間傳輸數(shù)據的機密性。密碼學就是用來保護傳輸中的敏感數(shù)據，也就是說，密碼學的目的就是確保這些數(shù)據在穿越公共媒介時的機密性。換句話說，如果數(shù)據是完整的，就等于這個數(shù)據沒有被修改過，也就等于它和原始信息是一致的。在執(zhí)行這類攻擊時，黑客就會在信息傳遞的過程中對其進行攔截和修改。確保授權用戶可以隨時訪問信息非常重要。第二章 中小型企業(yè)網安全環(huán)境構建的意義隨著計算機網絡規(guī)模的迅速發(fā)展，網絡環(huán)境正在變得日趨復雜，它所承擔的使命也正在變得日漸重要，所有這些都向網絡運維人員提出了新的挑戰(zhàn)。因此，當網絡管理員想方設法對他們的網絡設備進行更新，以使這些設備能夠使用最新技術時，網絡安全漸漸成為了搭建和維護現(xiàn)代化高端網絡的核心命題。通常，各公司認為表述資產的價值是很容易的，但具體如要按級別界定就不那么簡單。其次，如果企業(yè)想增強競爭實力，必須隨時改進和更新系統(tǒng)和網絡，但是機會增加常伴隨著安全風險的增加，尤其是機構的數(shù)據對更多用戶開放的時候——因為技術越先進，安全管理就越復雜。再次是在此基礎上，制定并實施安全策略，完成安全策略的責任分配，設立安全標準：幾乎所有企業(yè)目前都有信息安全策略，只不過許多策略都沒有書面化，只作為完成任務的一種手段。我這次的畢業(yè)設計方案會對當今高速發(fā)展的網絡環(huán)境中所存在的安全問題進行概述。為了使每一位同學、老師甚至網絡安全的管理人員都能夠正視管理現(xiàn)代網絡的復雜之處，我在第一部分會介紹網絡安全的核心原則——機密性、完整性與可用性。第三章 中小型企業(yè)網安全需求分析中小型企業(yè)用戶占我國企業(yè)主體比重的 95% 以上，但由于分布較散，購買力相對較弱，中小型企業(yè)的安全問題似乎一直沒有得到安全廠商的足夠重視。目前，國內廠商推出了網絡版病毒軟件，但由于功能的單一，并不能為中小企業(yè)提供完善的防護。中小企業(yè)需要防止網絡系統(tǒng)遭到非法入侵、未經授權的存取或破壞可能造成的數(shù)據丟失、系統(tǒng)崩潰等問題，而這些都不是單一的防病毒軟件外加服務器就能夠解決的。中國的中小型企業(yè)網一般都是最先應用最先進的網絡技術，網絡應用普及，用戶群密集而且活躍。中小型企業(yè)網的以下特點導致安全管理非常的復雜。以上各種原因都將導致中小型企業(yè)網既是大量攻擊的發(fā)源地，也是攻擊者最容易破獲的目標，因此導致當前中小型企業(yè)網常見的風險由如下:(1)普遍存在的計算機系統(tǒng)的漏洞，對信息安全、系統(tǒng)的使用、網絡的運行構成嚴重的威脅。(3)外來的系統(tǒng)入侵和攻擊等惡意破壞行為，有些計算機已經被攻破，用做黑客攻擊的工具；拒絕服務攻擊目前越來越普遍，不少開始針對企業(yè)的網站和服務器。(5)中小型企業(yè)網內部用戶對網絡資源的濫用，有的中小型企業(yè)網用戶利用免費的中小型企業(yè)網資源提供商業(yè)或者免費的視頻、軟件資源下載，占用了大量的網絡帶寬，影響了中小型企業(yè)網的應用。中小型企業(yè)網絡安全管理涉及的需求有諸多方面，我們僅就計算機網絡系統(tǒng)集中管理、網絡數(shù)據存儲與備份管理，和網絡防病毒管理三方面進行說明。 通過軟件或安全手段對客戶端的計算機加以保護，記錄用戶對客戶端計算機中關鍵目錄和文件的操作，使企業(yè)有手段對用戶在客戶端計算機的使用情況進行追蹤，防范外來計算機的侵入而造成破壞。 通過網絡的改造，使管理者更加便于對網絡中的服務器、客戶端、登陸用戶的權限以及應用軟件的安裝進行全面的監(jiān)控和管理。隨著Internet、Intranet及Extranet等網絡數(shù)據量的指數(shù)級增長、以及數(shù)據類型的不斷豐富，企業(yè)IT管理人員面臨著系統(tǒng)應用數(shù)據完整性、安全性、可用性等方面的嚴峻挑戰(zhàn)。企業(yè)對網絡存儲備份管理的要求包括：確保服務器系統(tǒng)及關鍵業(yè)務數(shù)據數(shù)據庫數(shù)據的可管理性、高安全性、完整性及易恢復性；存儲備份系統(tǒng)應能很好地支持異構平臺系統(tǒng)的應用環(huán)境；存儲備份要求在不中斷數(shù)據庫應用的前提下實施，易于管理；在滿足性能的條件下進行無人值守在線存儲備份，一旦發(fā)生災難時，應能以最快速度恢復到距災難點盡可能近的數(shù)據。與此同時，病毒的來源也遠比單機環(huán)境復雜得多。要將網絡病毒完全杜絕是不太現(xiàn)實的問題，應在發(fā)現(xiàn)病毒后盡快的研制出對策去避免。(2)應充分考慮未來可能的應用，如桌面將承受大型應用軟件和多媒體傳輸需求的壓力。(4)該網絡在經濟條件的允許下，應該充分考慮到設備的冗余備份（本論文不涉及該點），盡量避免設備單點故障造成全網癱瘓問題的出現(xiàn)。第四章 中小型企業(yè)網安全環(huán)境設計當今網絡的解決方案正由在邊界設備上部署安全保護，轉變?yōu)樵诰W絡的各層之間部署安全保護。另外，可以在同一個組織機構的不同商業(yè)不猛之間部署防火墻產品，通過這種方式來把網絡劃分成多個邏輯分組，并應用邊界防御措施。這些年來，指定有效邊界安全措施的重要性正在不斷提高。Web應用、無線訪問、網際互聯(lián)、VPN，所有這一切都讓“邊界”這個概念變得前所未有的復雜。因為單一的安全機制難以保護整個系統(tǒng)，要保護網絡架構，必須在各層都進行安全保護。它要求網絡是一個多層系統(tǒng)，這樣，當期中的一層失效，網絡也不至于全部癱瘓，也就是說這種失效可以被限制在某個層面。分層思想是讓網絡安全解決方案得以在不同的層面實施。要用安全島作為解決方案就不能把思維限制在網絡邊界的概念上，也 不能只依靠一種方式來保護網絡安全，應該分層進行保護——即把網絡分成邊界、分布層、核心層和接入層。之所以說它復雜，是因為網絡同時應用了多種協(xié)議、應用程序、硬件和安全保護機制，而它們又處于OSI模型的一層或多層中。依據分層思想，TCP/IP協(xié)議同樣面臨著不同程度的安全威脅。那么在物理層面臨的安全威脅有：設備被盜、設備老化、意外故障、電磁輻射泄密等。數(shù)據鏈路層由于在數(shù)據鏈路層應用得最多的就是ARP協(xié)議，那么相對應的出現(xiàn)得最多的安全威脅就是ARP欺騙。網絡層網絡層上的安全威脅主要有：IP地址欺騙、IP包碎片、ICMP攻擊、路由欺騙等等。該層具有TCP和UDP兩類，其中TCP是面向連接的，提供可靠的流服務，UDP是無連接的，提供數(shù)據報服務。但在這個層次也存在著許多的攻擊和威脅：TCP初始化序列號預測、端口掃描、Land攻擊、TCP欺騙、TCP會話劫持、SYN flooding、RST和FIN攻擊、winnuke、UDPflooding攻擊等等。如HTTP、TELNET、FTP、DNS、E_MAIL等。網絡邊界安全網絡中需要保護的信息的邊界，采用技術、管理等手段，建立用于保障網絡信息的安全措施；防火墻完成阻塞非法的流量；VPN完成遠程的安全訪問。網絡設備安全網絡設備包括主機（服務器/工作站/PC）和網絡設施（交換機和路由器等)。一個網絡系統(tǒng)的安全建設通常包括許多方面，包括物理安全、數(shù)據安全、網絡安全、系統(tǒng)安全、管理安全等等，而一個安全系統(tǒng)的安全等級，又是按照木桶原理來實現(xiàn)的。而實現(xiàn)這個目標的方法之一，就是使用訪問控制列表（ACL）。Cisco IOS具有限制流量流入式流出網絡的的功能，因為它為ACL提供了流量過濾功能。ACL通過放行和拒絕語句控制網絡訪問，以此實現(xiàn)安全策略，它是端到端安全解決方案的必要組成部分。以下是實施ACL的相關準則：（1） ACL可以應用在一臺設備的多個接口上。這就是說可以在一個接口上應用兩個ACL：一個出站列表，一個入站列表。（4） 在配置ACL的時候，路由器會把最新輸入的ACE放在最下面。（5） 有一個“隱式拒絕”保留給那些沒有被匹配的流量，因此，只有一條deny語句的ACL等于拒絕了所有流量。（6） 要始終遵循先創(chuàng)建ACL，再把它應用到接口的步驟。（7） 應用到路由器接口的出站ACL只檢查通過路由器的流量——也就是說，它不會去檢查那些路由器自身產生的流量。以路由器、交換機、防火墻作為介紹的重點。在對設備進行管理時，防火墻、交換機、路由器都有著各自的特性。在眾多的安全策略中，有一種專為保護設備安全而建立的規(guī)則。對于一個企業(yè)來言，設備安全策略是必不可少的。對于網絡中的所有設備，設備安全策略也規(guī)定了他們最低限度的安全配置。如果讓入侵者沒有經過授權就獲得了訪問設備的權限，那么再采取其他安全措施就很多余了。物理安全讓入侵者無法在物理層面上對設備進行訪問，即入侵者無法接觸到設備實物。無論上層采取了何種安全防御措施，一旦物理層被侵入，整個網絡即告淪陷。用戶身份驗證可以通過用戶名和密碼的組合參數(shù)來實現(xiàn)。用戶名需要在全局配置模式下配置，配置后的用戶名會保存在設備的本地數(shù)據庫中。登錄賬戶可以用username命令來生成，管理員可以對每個用戶名指派不同的特權級別和密碼。用戶賬戶可以在很多情況下使用——比如可以用于console接口、vty線路、VPN用戶及遠程撥號用戶。還有一種擴展性更好的方法可供選擇，即認證、授權、審計技術。默認情況下，IOS有以下3種預定義的用戶級別。（2） 特權級別1是用戶模式，這是telnet的正常級別，包含所有router提示的用戶級別命令。所有Cisco IPS命令都預先分配給了0、1和15級。有三種方法可以訪問設備并對設備進行管理：console接口、vty接口和aux接口。這種連接類型通過TTY線路0，以物理的方式連接在設備console接口上，默認情況下，console接口沒有配置密碼。因此，建議為console線路上的EXEC會話配置超時時間，這樣的話如果用戶忘記退出或長時間讓會話處于空閑狀態(tài)，設備就會自動注銷空閑的會話。默認情況下可以使用命令line vty 0 4 來使用其中的5條vty鏈路。因而，用強壯的密碼和訪問控制機制來保護這些鏈路是十分必要的。另外，還可以使用 ACL來進一步深化對訪問的控制，一次實現(xiàn)只有合法用戶才可以訪問設備的目的，即僅允許一些特定的IP地址訪問設備。大多數(shù)情況下，aux接口應該在line aux 0 模式下通過命令no exec來禁用。因為網絡入侵者通過簡單的戰(zhàn)爭撥號技術，就可以找到一個未受保護的調制解調器。這如前文所述：所有面向設備的連接都必須先進行認證，然后才可以訪問設備，不管這個認證是在本地設備上實現(xiàn)還是通過TACACS+服務器或RADIUS服務器來實現(xiàn)。Cisco的相關安全設備允許以管理設備為目的的telnet連接。每個虛擬防火墻支持最大5路并發(fā)telnet連接，在所有虛擬防火墻上最多支持100個并發(fā)telnet連接。一般來說，telnet是最常見的設備管理協(xié)議，但是也是最不安全的協(xié)議，因為telnet協(xié)議會話中的一切通信都是以明文的方式發(fā)送。安全設備支持用 SSHv1和SSHv2提供遠程安全訪問功能，支持用DES和3DES對管理訪問進行加密。Cisco自適應安全設備管理器采用直觀的，簡單的，基于WEB的界面管理來對Cisco的一些自適應的安全設備進行管理和監(jiān)控。安全設備支持通過AAA 服務器和設備的本地數(shù)據庫來實現(xiàn)認證，授權和計費(AAA)功能。AAA服務體系是在對網絡和設備進行訪問控制策略實施中所采用的一種集成了認證、授權與記賬等功能組件的模塊化體系結構的安全機制。圖41 AAA體系結構AAA客戶端——實際上就是支持AAA服務的各種網絡設備。 也有UNIX版本的。如：TACACS+、RADIUS。RADIUS:遠程身份驗證撥入用戶的服務，國際標準協(xié)議，承載于UDP協(xié)議中，端口號為1811813；它提供了模塊化驗證、授權功能和單獨的統(tǒng)計功能。需要注意的是本地數(shù)據庫不支持計費功能，Radius不支持授權功能。我們的二層網絡是通過交換機來抵御安全威脅的，這些威脅源自于OSI模型第二層(數(shù)據鏈路層)的諸多缺陷。因此，為了打造功能豐富、性能優(yōu)良、設計完善的網絡，我們應該把目光集中到交換機的安全特性上。然而，網絡安全符合短板效應，也就是說網絡中最薄弱的環(huán)節(jié)決定了網絡整體的安全性，二數(shù)據鏈路層也是網絡整體的一部分?？紤]到這些問題，Cisco交換機提供了廣泛的二層安全特性，這些特性既可以用來保護網絡中的數(shù)據，也可以保護設備自身?；诙丝诘牧髁靠刂铺匦钥梢蕴峁┒丝诩墑e的保護。1. Storm Control當惡意數(shù)據包在本地局域網內泛洪，產生超過網絡承載能力的多余流量并影響了網絡的性能，就叫做發(fā)生了一次局域網風暴。而風暴控制特性則可以讓物理接口的廣播、組播和單播流量服務對正常的網絡流量形成干擾，進行一次監(jiān)控，然后再把所獲得的數(shù)據配置在設備上將風暴抑制級別進行對比。(1) 傳輸流量占端口可用總帶寬的百分比，可以單獨對廣播、組播和單播流量進行監(jiān)控。不管使用哪種方式，只要監(jiān)控所得的數(shù)值超過了設定的門限值，端口就會被阻塞，所有的后續(xù)流量都要被過濾掉。那時候，端口會恢復到正常狀態(tài)，流量也重新得以轉發(fā)。端口隔離特性可以建立一道如防火墻的屏障來隔離通信。但是，端口隔離具有本地意義，換句話說，此特性不能再為位于兩臺不同交換機的兩個接口上起到這種隔離效果。(2)像路由更新這樣的管理流量不在隔離的范疇之列，這類流量可以直接在隔離端口間通過交換機轉發(fā)(3) 隔離端口和未隔離端口之間的流量已默認形式正常轉發(fā)。也就是說，所有處于同一個PVLAN中的端口都可以被相互隔離。PVLAN可以和普通的VLAN在通一臺交換機中共存。PVLAN特性不僅可以阻隔終端系統(tǒng)間的通信，還可以減少網絡中子網和VLAN的數(shù)量，盡管在單一的網絡中，劃分子網依舊是當前最流行而又有效地管理方法。PVLAN的端口類型包括雜合端口、孤立端口和團體端口。4. Port Blocking當一個數(shù)據包到達交換機時，交換機會查看它MAC地址表中的目的MAC地址，以判斷應該把這個數(shù)據包從哪一個端口轉發(fā)出去。而發(fā)送未知單播、組播流量到一個隔離端口的這種行為存在著安全隱患。5. Port Secur