【正文】 私有專用網(wǎng)絡(luò)。連接在 Inter 上的位于不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通信線路 ，就好比是架設(shè)了一條專線一樣，但是它并不需要真正地去鋪設(shè)光纜之類的物理線路。企業(yè)只需要租用本地的數(shù)據(jù)專線，連接上本地的公共信息網(wǎng)，各地的機(jī)構(gòu)就可以互相傳遞信息。使用 VPN 有節(jié)省成本、提供遠(yuǎn)程訪問擴(kuò)展性強(qiáng)、便于管理和實現(xiàn)全面控制等好處，是目前和今后企業(yè)網(wǎng)絡(luò)發(fā)展的趨勢。 （ 1）尚未配置： Win2K 中的 VPN 包含在 路由和遠(yuǎn)程訪問服務(wù) 中。 （ 2）開始配置：要想讓計算機(jī)能接受客戶機(jī)的 VPN 撥入，必須對 VPN 服務(wù)器進(jìn)行配置。 配置并啟用路由和遠(yuǎn)程訪問 ，如圖 31 所示。 虛擬專用網(wǎng)絡(luò)（ VPN）服務(wù)器 ，如圖 32 所示。 （ 6）之后系統(tǒng) 會要求你再選擇一個此服務(wù)器所使用的 Inter 連接，在其下的列表中選擇所用的連接方式（比如已建立好的撥號連接或通過指定的網(wǎng)卡進(jìn)行連接等）再 下一步 。 （ 8）然后再根據(jù)提示輸入你要分配給客戶端使用的起始 IP 地址， 添加 進(jìn)列表中，比如此處為 ~。此時屏幕上將自動出現(xiàn)一個正在開戶 路由和遠(yuǎn)程訪問服務(wù) 的小窗口，當(dāng)它消失之后，打開 管理工具 中的 服務(wù) ，即可以看到 Routing and Remote Access（路由和遠(yuǎn)程訪問）項 自動 處于 已啟動 狀態(tài)了！ 已啟動狀態(tài) ,如圖 33 所示。 在 管理工具中可以找到 “ 本地安全策略 ” ，主界面如圖 34 所示。默認(rèn)的情況下，這些策略都沒有開啟。 為了能夠遠(yuǎn)程方便的管理服務(wù)器，很多機(jī)器的終端服務(wù)都是開著，如果開了，要確認(rèn)已經(jīng)正確的配置了終端服務(wù)。要留意服務(wù)器上開啟的所有服務(wù)并每天檢查。用端口掃描器掃描系統(tǒng)所開放的端口，在Winnt\system32\drivers\etc\services 文件中有知名端口和服務(wù)的對照表可供參考。 圖 36 端口掃描表 設(shè)置本機(jī)開放的端口和服務(wù)，在 IP 地址設(shè)置窗口中點擊按鈕 “ 高級 ” ，在出現(xiàn)的對話框中選擇選項卡 “ 選項 ” ，選中 “TCP/IP 篩選 ” ，點擊按鈕 “ 屬性 ” ， 設(shè)置端口界面如圖圖 37 所示。 TCP/IP 篩選器是 Windows 自帶的防火墻，功能比較強(qiáng)大，可以替代防火墻的部分功能。當(dāng)有人嘗試對系統(tǒng)進(jìn)行某種方式（如嘗試用戶密碼，改變帳戶策略和未經(jīng) 許可的文件訪問等等）入侵的時候，都會被安全審核記錄下來。如圖 38 所示。 圖 39 本地安全策略設(shè)置 開啟密碼策略 密碼對系統(tǒng)安全非常重要。設(shè)置選項如圖 310 所示。設(shè)置選項如圖 311 所示。 不顯示上次登錄名 默認(rèn)情況下，終端服務(wù)接入服務(wù)器時，登陸對話框中會顯示上次登陸的帳戶名，本地的登陸對話框也是一樣。 修 改 注 冊 表 ， 在 HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows NT\CurrentVersion\Winlogon\。 圖 312 注冊表編輯器 打開管理工具 本地安全策略 本地策略 安全選項，在打開窗口右側(cè)列 表中選擇 “ 登錄屏幕上不要顯示上次登錄的用戶名 ” 選項，在彈出對話框選擇 “ 已啟用 ” ，如圖 313 所示。注冊表更改處理不好的話，可能會導(dǎo)致計算機(jī)不能正常啟動或計算機(jī)某些功能不能用， 甚至當(dāng)將原來的更改還原回去也一樣不能用。當(dāng)系統(tǒng)因為更改注冊表而出問題時，可以采用恢復(fù)注冊表的方式來恢復(fù)系統(tǒng)。 修改注冊表，在 HKEY_LOCAL_MACHINE\System\ CurrentControlSet\Control\LSA\，將 RestrictAnonymous 鍵值改成 “1” 即可。 圖 314 修改注冊表 下載最新的補(bǔ)丁 很多網(wǎng)絡(luò)管理員沒有訪問安全站點的習(xí)慣，以至于一些漏洞都出了很久，還放著服務(wù)器的漏洞未打補(bǔ)丁。 經(jīng)常訪問微軟和一些安全站點，下載最新的 Service Pack 和漏洞補(bǔ)丁，是保障服務(wù)器長久安全的唯一方法。 防火墻的安裝與管理 防火墻是計算機(jī)網(wǎng)絡(luò)上一類防范措施的總稱，它使得內(nèi)部 網(wǎng) 絡(luò)與 Inter 之間或其它外部網(wǎng)絡(luò)互相隔離、限制網(wǎng)絡(luò)互訪，用來保護(hù)內(nèi)部網(wǎng)絡(luò)。防火墻的功能主要是過濾掉不安全服務(wù)和非法用戶與控制對特殊站點的訪問以及提供監(jiān)視 Inter 安全和預(yù)警的方便端點。報文過濾是在 IP 層實現(xiàn)的，它的原理是根據(jù)報文的源 IP 地址、目的 IP 地址、源端口、目的端口報文信息來判斷是否允許報文通過，因此它可以只用路由器完成。 防火墻的安裝 安裝防火墻的 WEB 管理終端 遠(yuǎn)東網(wǎng)安防火墻的管理操作主要在 WEB 管理終端提供。 安裝遠(yuǎn)東網(wǎng)安防火墻 WEB 管理終端： ① 使用一臺基于 Windows XP 平臺或 Linux 平臺的計算機(jī) A 。 ③ 配置計算機(jī) A 的網(wǎng)絡(luò)地址，使其與遠(yuǎn)東網(wǎng)安防火墻中心系統(tǒng)的某個網(wǎng)口 E 的網(wǎng)址在同個網(wǎng)段（如果計算 機(jī) A 的網(wǎng)絡(luò)接口與遠(yuǎn)東網(wǎng)安防火墻中心系統(tǒng)的網(wǎng)口 E（ eth0）連接，則網(wǎng)絡(luò)地址可以設(shè)置為 ）。 ⑤ 在計算機(jī) A 上打開 WEB 瀏覽器，在地址欄輸入 E 的網(wǎng)址： (或者另外三個防火墻的初始網(wǎng)址 ) 注意 WEB 瀏覽器的地址欄中是以 開頭而不是，表示加密的 通信。 圖 315 WEB 管理界面 防火墻的管理 管理權(quán)限： 通過 WEB 管理終端對遠(yuǎn)東網(wǎng)安防火墻進(jìn)行管理操作需要有管理權(quán)限。 防火墻的管理權(quán)限是按功能范圍劃分的。 用戶認(rèn)證客戶端 SecureKey 用戶登錄遠(yuǎn)東網(wǎng)安防火墻使用用戶認(rèn)證客戶端 SecureKey。使用 SecureKey 登錄到防火墻后，就可以訪問防火墻的 WEB管理終端 并利用登錄用戶的管理權(quán)限范圍執(zhí)行若干功能模塊的管理操作。 圖 316 一次性口令認(rèn)證 輸入遠(yuǎn)東網(wǎng)安防火墻的 IP 信息、登錄用戶名、用戶密碼，然后點擊“連接”按鈕，SecureKey 就會與防火墻建立加密的 SSL 通道，進(jìn)行用戶名和口令驗證。如果各參數(shù)無誤，成功登錄后 SecureKey 窗口會自動最小化并在系統(tǒng)任務(wù)欄中顯示圖標(biāo)，雙擊該圖標(biāo)可以重新打開 SecureKey 窗口，此時顯示已登錄狀態(tài)，如圖 317 所示。 ② 一臺主機(jī)同一時刻只能由一個用戶登錄。 ④ 如果已經(jīng)登錄的用戶數(shù)達(dá)到了最大限制數(shù)，其它用戶也無法再登錄。 ⑥ 已登錄的用戶如果其主機(jī)與防火墻中心系統(tǒng)斷開網(wǎng)絡(luò)連接超過定義的時間，防火墻也會主動將該登錄取消并作記錄。點擊“是”按鈕可以忽略驗證過程，對 WEB 管理過程沒有影 響。 圖 318 安全警報 安裝根證書的方法是將遠(yuǎn)東網(wǎng)安防火墻隨機(jī)附帶光盤中的根證書 (文件 )復(fù)制到安裝 WEB 管理終端的主機(jī)上，雙擊打開此文件查看證書信息，如圖 319 所示，并點擊安裝證書按鈕： 圖 319 證書 點擊安裝證書按鈕就打開了證書導(dǎo)入向?qū)?，如圖 320 所示。 完成了證書的驗證工作后，還要使證書上的名稱與防火墻站點名稱匹配，也就是在用 WEB瀏覽器訪問遠(yuǎn)東網(wǎng)安防火墻時。 遠(yuǎn)程監(jiān)控臺的安裝 遠(yuǎn)程監(jiān)控臺 RemoteMonitor 是一個防火墻狀態(tài)實時監(jiān)控軟件，可以在網(wǎng)絡(luò)中集中的監(jiān)控多臺遠(yuǎn)東網(wǎng)安防火墻，實時的反映各臺防火墻的狀態(tài)信息，如圖 321 所示。 防火墻的配置 配置遠(yuǎn)東網(wǎng)安防火墻的 NAT 工作模式 配置目的：在不改變網(wǎng)絡(luò)拓?fù)涞那闆r下，使建材公司內(nèi)部的 計算機(jī)訪問國際互聯(lián)網(wǎng)的時候，經(jīng)過包過濾安全設(shè)置。將管理主機(jī)與防火墻的 eth0 口相連，并設(shè)置 ip 地址設(shè)為 ，在瀏覽器地址欄中輸入 即可訪問 web 管理終端。 圖 322 安全警報 出現(xiàn)管理終端，如圖 323 所示。 圖 324 網(wǎng)絡(luò)地址 （ 3）在“防火墻”選項的“地址轉(zhuǎn)換”對話框內(nèi)，為“靜態(tài) NAT”添加一個默認(rèn)的規(guī)則，出口為 ETH1:WAN 口，如圖 325 所示。 圖 326 訪問控制 （ 5）配置訪問控制規(guī)則： 首先點擊包過濾（ anyany），配置如圖 327 所示。 點擊“動作”（ default） ,配置動作為通過，再點擊“保存”按鈕，如圖 328 所示。 使客戶主 機(jī)的地址和 eth0:lan 同一個網(wǎng)段，外網(wǎng)的網(wǎng)關(guān)是： 。 圖 329 網(wǎng)絡(luò)測試 第 4 章 公司網(wǎng)絡(luò)安全維護(hù) 公司管理的安全性 管理方面的安全隱患包括：內(nèi)部管理人員或員工圖方便省事，不設(shè)置用戶口令，或者設(shè)置的口令過短和過于簡單，導(dǎo)致很容易破解。把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員用戶名及口令以及系統(tǒng)的一些重要信息傳播給外人帶來信息泄漏風(fēng)險。 管理是網(wǎng)絡(luò)中安全得到保證的重要組成部分，是防止來自內(nèi)部網(wǎng)絡(luò)入侵必須的部分。即除了從技術(shù)上下功夫外，還得依靠安全管理來實現(xiàn)。管理的制度化程度極大地影響著整個網(wǎng)絡(luò)的安全，嚴(yán)格的安全管理制度、明確的部門安全職責(zé)劃分、合理的人員角色定義都可以在很大程度上降低其它層次的安全漏洞。 數(shù)據(jù)機(jī)密性 :對于中小企業(yè)網(wǎng)絡(luò)，保密數(shù)據(jù)的泄密將直接帶來企業(yè)商業(yè)利益的損失。 安全管理的主要功能指對安全設(shè)備的管理；監(jiān)視網(wǎng)絡(luò)危險情況，對危險進(jìn)行隔離，并把危險控制在最小范圍內(nèi)；身份認(rèn)證，權(quán)限設(shè)置；對資源的存取權(quán)限的管理；對資源或用戶動態(tài)的或靜態(tài)的審計；對違規(guī)事件，自動生成報警或生成事件消息；口令管理（如操作員的口令鑒權(quán)），對無權(quán)操作人員進(jìn)行控制；密鑰管理：對于與 密鑰相關(guān)的服務(wù)器，應(yīng)對其設(shè)置密鑰生命期、密鑰備份等管理功能；冗余備份：為增加網(wǎng)絡(luò)的安全系數(shù)，對于關(guān)鍵的服務(wù)器應(yīng)冗余備份。安全管理產(chǎn)品盡可能的支持統(tǒng)一的中心控制平臺。目前基于服務(wù)器的防治病毒方法主要以 NLM 可裝載模塊技術(shù)進(jìn)行程序設(shè)計，以服務(wù)器為基礎(chǔ)，提供實時掃描病毒能力。對服務(wù)器中的所有 文件集中檢查是否帶毒，若有帶毒文件，則提供 Supervisory 等幾種處理方法； 2） 實時在線掃描。系統(tǒng)管理員（ Supervisor）定期檢查服務(wù)器中是否帶毒，可按月、周或天集中掃描一下網(wǎng)絡(luò)服務(wù)器； 4） 自動報告功能及病毒存檔； 5） 工作站掃描。 網(wǎng)絡(luò)環(huán)境下的病毒防護(hù) 安裝和維護(hù)整個 PC 系統(tǒng)的防毒軟件是一項昂貴和復(fù)雜的工作。我們應(yīng)該可以對所有網(wǎng)絡(luò)元素的防毒軟件進(jìn)行安裝、升級、設(shè)置以及監(jiān)視它們的防毒情況。 筆者 認(rèn)為它還必須有以下特點： *自動為網(wǎng)絡(luò)服務(wù)器安裝防毒軟件：你只需在服務(wù)器列表中選擇需要保護(hù)的服務(wù)器，防毒軟件就 會自動安裝常駐內(nèi)存病毒保護(hù)軟件。防毒軟件會確保所有工作站都有常駐內(nèi)存保護(hù)，既使某些工作站在安裝過程中沒有連到網(wǎng)絡(luò)上。 *設(shè)置服務(wù)器和工作站上的防毒軟件：可以設(shè)置定期分析、掃描某種擴(kuò)展名的文件、CPU 占用等級、報警信息的接收者等等。有必要的話可在服務(wù)器或者主交換機(jī)上設(shè)置流量控制，因為好多病毒是以數(shù)據(jù)包形式傳送的 。在網(wǎng)絡(luò)設(shè)計中，沒有一種設(shè)計方案可以適合所以的網(wǎng)絡(luò)。網(wǎng)絡(luò)安全性是一個涉及面很廣泛的問題，其中也會涉及到是否構(gòu)成犯罪行為的問題。此 時，它關(guān)心的對象是那些無權(quán)使用，但卻試圖獲得遠(yuǎn)程服務(wù)的人。 通過這次畢業(yè)設(shè)計讓我更加熟悉了從理論到實踐的跨越，也發(fā)現(xiàn)在課本中學(xué)習(xí)到是不足以應(yīng)付實際發(fā)生的問題，這也要我們樹立起不斷學(xué)習(xí)，終身學(xué)習(xí)的概念。比如防火墻，認(rèn)證，加密技術(shù)等都是當(dāng)今常用的方法，本論文從這些方法入手深入研究各個方面的網(wǎng)絡(luò)安全 問題的解決，可以使讀者有對網(wǎng)絡(luò)安全技術(shù)的更深刻的了解。 張 堯?qū)W， 《 計算機(jī)操作系統(tǒng)教程 》。 姜全生， 《 計算機(jī)網(wǎng)絡(luò)技術(shù)應(yīng)用 》。 微軟公司， 《 網(wǎng)絡(luò)安全的實現(xiàn)和管理 》 。 高冬梅 ， 《網(wǎng)絡(luò)時代計算機(jī)病毒的防范》 。 東南大學(xué)出版社 致 謝 在這幾個多月的畢業(yè)設(shè)計中，我要衷心感謝我的指導(dǎo)老師 在我畢業(yè) 設(shè)計過程中給予我的熱情關(guān)懷和悉心指導(dǎo)，在我做畢業(yè)設(shè)計的過程中，老師傾注了大量的心血和汗水使我能夠及時、順利的完成此次的畢業(yè)設(shè)計。 感謝在我學(xué)習(xí)和撰寫論文期間，朝夕 相處共同生活學(xué)習(xí)的同學(xué)們的熱情幫助。 做畢業(yè)實際就需要把平時學(xué)到的東西在復(fù)習(xí)一遍，因為平時上課還有課后自己的學(xué)習(xí)，都主要在基于理論方面的，雖 然也做很多實驗，但當(dāng)把 畢業(yè)設(shè)計當(dāng)作一個實際的工程來做的時候就會發(fā)現(xiàn)很多的問題，多虧了 老師和同學(xué)們的幫助，使我解決了困惑自己的很多問題。 最后，我要感謝我的家人，長期以來對我默默的關(guān)心和支持，感謝他們?nèi)陙韺ξ覠o怨無悔的幫助、照顧和支持，對他們的愛和感激我無法用言語來表達(dá)！ 商丘職業(yè)技術(shù)學(xué)院學(xué)生申請答辯表 課題名稱 學(xué)生所在系 專業(yè) 學(xué)號 個 人 申 請 理 由 指 導(dǎo) 教 師 推 薦 理 由