【正文】 Communications Technology） 。企業(yè)的一些管理者為了方便，通過(guò)一些通訊工具來(lái)收發(fā)一些有保密級(jí)別的文件的或者重要信息，而網(wǎng)絡(luò)本身都存在著較多的缺陷，為此，保證重要文件的秘密性、完整性、和可靠性，建議在傳輸之前對(duì)文件進(jìn)行加密。網(wǎng)絡(luò)交換設(shè)備主要包括路由器和 ATM。網(wǎng)絡(luò)層邊界安全需求包括整個(gè)局域網(wǎng)通過(guò)防火墻接入互聯(lián)網(wǎng)時(shí)邊界的安全需求、服務(wù)器群組成的服務(wù)子網(wǎng)和主交換機(jī)與通過(guò)防火墻與外網(wǎng)接入層之間不同安全等級(jí)而使用不同訪問(wèn)控制策略的安全需求。內(nèi)網(wǎng)的訪問(wèn)控制為網(wǎng)絡(luò)訪問(wèn)提供了第一層訪問(wèn)控制。一般可分為三步：用戶名驗(yàn)證、用戶口令驗(yàn)證和用戶賬號(hào)的缺省限制檢查。 網(wǎng)絡(luò)層安全防護(hù)需求分析 網(wǎng)絡(luò)層主要是指 IP 協(xié)議簇。可以通過(guò)網(wǎng)絡(luò)交換的監(jiān)控，對(duì)網(wǎng)絡(luò)狀況動(dòng)態(tài)的檢測(cè)和控制。一般而言，設(shè)計(jì)網(wǎng)絡(luò)時(shí)，內(nèi)部網(wǎng)絡(luò)自成體系，有自己的子網(wǎng)網(wǎng)段，各子網(wǎng)必須通過(guò)中間設(shè)備進(jìn)行連接，利用這些中間設(shè)備的安全機(jī)制來(lái)控制各子網(wǎng)之間的訪問(wèn)。目前企業(yè)內(nèi)部網(wǎng)絡(luò)各種應(yīng)用系統(tǒng)，一般都是采用 B/S 模式的 WEB 網(wǎng)站形式,WEB 系統(tǒng)防護(hù)是一個(gè)復(fù)雜的問(wèn)題，包括應(yīng)對(duì)網(wǎng)頁(yè)篡改、DDoS 攻擊、信息泄漏、導(dǎo)致系統(tǒng)可用性問(wèn)題的攻擊等各種形式,WEB 系統(tǒng)需要專人管理。域名服務(wù)器 DNS 系統(tǒng)，作為互聯(lián)網(wǎng)的神經(jīng)系統(tǒng)，關(guān)乎網(wǎng)絡(luò)層服務(wù)數(shù)據(jù)能否成功到達(dá)的問(wèn)題。10企業(yè)網(wǎng)絡(luò)安全建設(shè)解決方案根據(jù)第二章對(duì)企業(yè)網(wǎng)絡(luò)安全的論述以及第三章企業(yè)網(wǎng)絡(luò)安全需求分析的基礎(chǔ)上，遵守通用的設(shè)計(jì)原則，本章研究制定了一個(gè)可滿足企業(yè)網(wǎng)絡(luò)對(duì)可靠性、保密性、可管理性及可擴(kuò)展性等方面需求的企業(yè)網(wǎng)絡(luò)安全建設(shè)的總體設(shè)計(jì)規(guī)劃方案。內(nèi)部網(wǎng)絡(luò)建設(shè)以搭建各種應(yīng)用服務(wù)器集群，包括 WEB、Mail、FTP 等服務(wù)，以及提供數(shù)據(jù)存儲(chǔ)和備份服務(wù)的數(shù)據(jù)庫(kù)服務(wù)器集群，數(shù)據(jù)服務(wù)中心包括業(yè)務(wù)管理和網(wǎng)絡(luò)管理兩種功能，控制和監(jiān)控整個(gè)網(wǎng)絡(luò)的運(yùn)行情況并采取相應(yīng)的措施，各網(wǎng)絡(luò)模塊之間通過(guò)交換機(jī)、路由器等互連設(shè)備聯(lián)系在一起。易于部署強(qiáng)化，保證物理安全。①把入侵檢測(cè)系統(tǒng) IDS 與入侵防御系統(tǒng) IPS 結(jié)合起來(lái)部署在關(guān)鍵節(jié)點(diǎn)；②把防火墻與防水墻相結(jié)合保護(hù)關(guān)鍵子網(wǎng)；③安裝漏洞掃描工具對(duì)應(yīng)用層和系統(tǒng)層進(jìn)行定期的漏洞掃描；（3）完善的網(wǎng)絡(luò)管理能力。①網(wǎng)絡(luò)管理員保障關(guān)鍵數(shù)據(jù)的安全；②使用容災(zāi)備份系統(tǒng)對(duì)關(guān)鍵業(yè)務(wù)進(jìn)行實(shí)時(shí)備份；③制定安全管理相關(guān)策略，加強(qiáng)對(duì)網(wǎng)絡(luò)使用人員的管理； 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)方案（1）企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)。拓?fù)鋱D給出網(wǎng)絡(luò)服務(wù)器、工作站的網(wǎng)絡(luò)配置和相互間的連接。企業(yè)通過(guò)一邊界路由器和因特網(wǎng)相連，在局域網(wǎng)內(nèi)部，主要有 4 個(gè)區(qū)域：辦公區(qū)，服務(wù)器，生產(chǎn)子網(wǎng)和安全管理區(qū)。本系統(tǒng)在設(shè)計(jì)中，融合網(wǎng)絡(luò)拓?fù)浼夹g(shù)、防火墻技術(shù)、反病毒技術(shù)、VPN 技術(shù)、數(shù)字簽名、認(rèn)證和授權(quán)技術(shù)、加密傳輸技術(shù)、VLAN 技術(shù)等等，構(gòu)建出企業(yè)安全網(wǎng)絡(luò)架構(gòu)，其架構(gòu)如圖 44 所示的企業(yè)網(wǎng)絡(luò)安全系統(tǒng)架構(gòu)：圖 企業(yè)安全架構(gòu)（3）企業(yè)安全層次模型設(shè)計(jì)。一般來(lái)說(shuō)，物理層不處理網(wǎng)絡(luò)安全問(wèn)題，主要負(fù)責(zé)信號(hào)傳輸。第五層以上（含第五層）的安全機(jī)制根據(jù)不同應(yīng)用的安全性需求，需要系統(tǒng)設(shè)計(jì)者根據(jù)自身需求量身定做。 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的部署方案（1）網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)部署整體設(shè)計(jì)。經(jīng)過(guò)對(duì)企業(yè)的網(wǎng)絡(luò)特點(diǎn)和存在的問(wèn)題進(jìn)行認(rèn)真細(xì)致的分析后，考慮到不同層次的安全需求以及整體安全的需求以及企業(yè)的可承載能力，設(shè)計(jì)了一個(gè)網(wǎng)絡(luò)安全體系建設(shè)的整體方案，（2）網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)部署的要點(diǎn)。各種應(yīng)用要求實(shí)時(shí)性強(qiáng)，對(duì)系統(tǒng)的處理能力及穩(wěn)定性要求很高；②數(shù)據(jù)存儲(chǔ)的安全性強(qiáng)。根據(jù)應(yīng)用系統(tǒng)的廣泛性，業(yè)務(wù)運(yùn)算及傳輸對(duì)系統(tǒng)的處理能力13以及網(wǎng)絡(luò)的負(fù)載能力提出了非常高的要求； 企業(yè)網(wǎng)絡(luò)的防火墻防護(hù)設(shè)計(jì)（1）企業(yè)級(jí)防火墻的概念。或是限制傳輸?shù)臄?shù)據(jù)通過(guò)。如下圖 所示：圖 防火墻在企業(yè)網(wǎng)絡(luò)中的位置（2）企業(yè)級(jí)防火墻的功能。網(wǎng)絡(luò)邊界即是采用不同安全策略的兩個(gè)網(wǎng)絡(luò)連接處，防火墻的目的就是在網(wǎng)絡(luò)連接之間建立一個(gè)安全控制點(diǎn)，通過(guò)允許、拒絕或重新定向經(jīng)過(guò)防火墻的數(shù)據(jù)流，實(shí)現(xiàn)對(duì)進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問(wèn)的審計(jì)和控制。結(jié)合授權(quán)訪問(wèn)，防火墻可以有效的屏蔽內(nèi)部信息不為外部可見(jiàn)，防火墻可以限制被保護(hù)子網(wǎng)的暴露。③防火墻具有強(qiáng)大的自我學(xué)習(xí)和抗攻擊免疫力； 防火墻通過(guò)對(duì)事件的處理和知識(shí)學(xué)習(xí)，可以將本網(wǎng)絡(luò)安全等級(jí)進(jìn)行劃分，對(duì)本網(wǎng)絡(luò)的安全事件就行分類，并根據(jù)網(wǎng)絡(luò)管理員的選項(xiàng)，自主的決定如何處理某些網(wǎng)絡(luò)時(shí)間。當(dāng)然，嵌入式防火墻系統(tǒng)，也是一種專用的防火墻設(shè)備。考慮到企業(yè)與外網(wǎng)的信息交換量的大小以及企業(yè)網(wǎng)絡(luò)安全的需要，可選擇了硬件防火墻作為網(wǎng)絡(luò)邊界14的安全設(shè)備。Cisco PIX 525 使用思科的專用自適應(yīng)算法 ASA 與狀態(tài)表進(jìn)行會(huì)話以及進(jìn)行其他事務(wù)的處理。它還具備故障時(shí)的無(wú)縫切換功能、URL 過(guò)濾、冗余以及檢測(cè)病毒的功能。①數(shù)據(jù)包過(guò)濾技術(shù)；數(shù)據(jù)包過(guò)濾是一種訪問(wèn)控制技術(shù), 用于控制流入流出網(wǎng)絡(luò)的數(shù)據(jù)。路由器通過(guò)實(shí)現(xiàn)設(shè)定的過(guò)濾規(guī)則，對(duì)流入流出數(shù)據(jù)流中的數(shù)據(jù)包進(jìn)行檢查，確定是否要發(fā)送。②iptables 防火墻設(shè)計(jì)； iptables 防火墻是 LINUX 下的免費(fèi)防火墻，它是 LINUX 內(nèi)核中 filter 架構(gòu)的一種策略管理工具，隨著 LINUX 發(fā)行版的推廣而流行開(kāi)來(lái)。 iptables 允許建立狀態(tài)(stateful)防火墻， ，這對(duì)于有效地配置 FTP 和 DNS 以及其它網(wǎng)絡(luò)服務(wù)是必要的。iptable 能夠阻止某些 DOS 攻擊，例如 SYS 洪泛攻擊。 企業(yè)安全管理制度建設(shè)分析通過(guò)參考大量的管理策略和實(shí)施辦法，企業(yè)的安全管理制度的健全可以從以下幾個(gè)方面著手：（1）職責(zé)分離在信息處理系統(tǒng)工作的員工，不允許參與職責(zé)以外的與安全相關(guān)的事情。（2）責(zé)任原則每項(xiàng)與安全相關(guān)的活動(dòng)，須多人在場(chǎng)（兩人及兩人以上） 。并填寫工作情況記錄本，證明安全工作已經(jīng)得到保障。工作人員要不定期換崗，強(qiáng)制休假，為保證工作效率還要對(duì)工作人員進(jìn)行輪流培訓(xùn)。對(duì)于企業(yè)網(wǎng)絡(luò)的管理人員來(lái)講，一定要提高網(wǎng)絡(luò)安全意識(shí)，加強(qiáng)網(wǎng)絡(luò)安全技術(shù)的掌握，注重對(duì)領(lǐng)導(dǎo)和員工的網(wǎng)絡(luò)安全知識(shí)培訓(xùn)，而且更需要制定一套完整的規(guī)章制度來(lái)規(guī)范上網(wǎng)人員的行為。良好的管理策略對(duì)于企業(yè)網(wǎng)絡(luò)安全狀況的提升具有積極的促進(jìn)意義。針對(duì)當(dāng)前中小企業(yè)網(wǎng)絡(luò)安全的現(xiàn)實(shí)需求進(jìn)行了細(xì)致分析。然后，從企業(yè)級(jí)防火墻體系建設(shè)、企業(yè)級(jí)防病毒軟件體系建設(shè)、入侵檢測(cè)系統(tǒng)的聯(lián)動(dòng)機(jī)制設(shè)計(jì)以及企業(yè)數(shù)據(jù)存儲(chǔ)和備份等幾個(gè)主要方面，細(xì)致論述了一種企業(yè)網(wǎng)絡(luò)安全建設(shè)中技術(shù)上可行的解決方案?？傊?，本文結(jié)合網(wǎng)絡(luò)安全實(shí)際，以現(xiàn)實(shí)需求為出發(fā)點(diǎn)，不僅從技術(shù)實(shí)現(xiàn)的角度，而且從管理策略的角度，詳細(xì)論述了如何構(gòu)建一個(gè)安全的企業(yè)網(wǎng)絡(luò)，最終提出了一種科學(xué)的可行的網(wǎng)絡(luò)安全建設(shè)的解決方案。17注釋［1］段水福：《無(wú)線局域網(wǎng)(WLAN)設(shè)計(jì)與實(shí)踐》 ，杭州浙江大學(xué)出版社，2022 年，第 3 頁(yè)。［3］ 、 ［4］同上，第 3 頁(yè)。［6］Cisco Systems 公司：《無(wú)線局域網(wǎng)基礎(chǔ)》 ，人民郵電出版社，2022 年，第 3 頁(yè)。［9］李志球：《計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)》 ，北京電子工業(yè)出出版社，2022 年，第 4 頁(yè)。［11］賀雪晨：信息對(duì)抗與網(wǎng)絡(luò)安全 清華大學(xué)出版社(第 2 版) ，2022,5 。[13]趙力強(qiáng)、張海林：IEEE 無(wú)線局域網(wǎng)的 TCP 性能分析和改進(jìn) [期刊論文] 計(jì)算機(jī)學(xué)報(bào) 2022(11)。[15]黃勁榮：無(wú)線局域網(wǎng)在校園網(wǎng)的應(yīng)用[J].教育信息化,2022(15):1。感激的是大學(xué)能夠給我提供這樣一個(gè)良好的學(xué)習(xí)生活環(huán)境；感謝我身邊那些一直給予我支持、幫助和關(guān)心的親人、教員、同學(xué)和朋