畢業(yè)論文--企業(yè)網(wǎng)絡(luò)安全解決方案

1、<p><b>　　畢 業(yè) 論 文</b></p><p><b>　　宏錦網(wǎng)絡(luò)有限公司</b></p><p>　　企業(yè)網(wǎng)絡(luò)安全解決方案</p><p>　　姓 名： xxx </p><p>　　學(xué) 號(hào)： xxxxxx </p>

2、<p>　　指導(dǎo)老師： xxxxxxx </p><p>　　系 名： 電子信息工程系 </p><p>　　專 業(yè)： 計(jì)算機(jī)網(wǎng)絡(luò)技術(shù) </p><p>　　班 級(jí)： xxxxxx </p><p>　　二零一零年十一月十七日</p>&

3、lt;p><b>　　摘 要</b></p><p>　　近幾年來(lái)，Internet技術(shù)日趨成熟，已經(jīng)開(kāi)始了從以提供和保證網(wǎng)絡(luò)聯(lián)通性為主要目標(biāo)的第一代Internet技術(shù)向以提供網(wǎng)絡(luò)數(shù)據(jù)信息服務(wù)為特征的第二代Internet技術(shù)的過(guò)渡。這些都促使了計(jì)算機(jī)網(wǎng)絡(luò)互聯(lián)技術(shù)迅速的大規(guī)模使用。眾所周知，作為全球使用范圍最大的信息網(wǎng)，Internet自身協(xié)議的開(kāi)放性極大地方便了各種計(jì)算機(jī)連網(wǎng)，

4、拓寬了共享資源。但是，由于在早期網(wǎng)絡(luò)協(xié)議設(shè)計(jì)上對(duì)安全問(wèn)題的忽視，以及在管理和使用上的無(wú)政府狀態(tài)，逐漸使Internet自身安全受到嚴(yán)重威脅，與它有關(guān)的安全事故屢有發(fā)生。網(wǎng)絡(luò)安全的威脅主要表現(xiàn)在：非授權(quán)訪問(wèn)，冒充合法用戶，破壞數(shù)據(jù)完整性，干擾系統(tǒng)正常運(yùn)行，利用網(wǎng)絡(luò)傳播病毒，線路竊聽(tīng)等方面。因此本論文為企業(yè)（宏錦企業(yè)網(wǎng)絡(luò)）構(gòu)架網(wǎng)絡(luò)安全體系，主要運(yùn)用vlan劃分、防火墻技術(shù)、vpn、病毒防護(hù)等技術(shù)，來(lái)實(shí)現(xiàn)企業(yè)的網(wǎng)絡(luò)安全。</p>

5、<p>　　關(guān)鍵詞： 網(wǎng)絡(luò)，安全，VPN，防火墻 ，防病毒</p><p><b>　　Abstract</b></p><p>　　In recent years, Internet technology has matured, has begun to provide and guarantee from the network connectivi

6、ty as the main target of the first generation of Internet technology to provide network data services for the characteristics of the second generation of Internet technology transition. These all contributed to the rapid

7、 computer networking technology of large-scale use. As we all know, the world's largest information network use of, Internet openness of their agreement greatly facilit</p><p>　　Keywords: network, securi

8、ty, VPN, firewall, anti-virus </p><p><b>　　目 錄</b></p><p><b>　　緒 論1</b></p><p>　　第一章 企業(yè)網(wǎng)絡(luò)安全概述2</p><p>　　1.1 企業(yè)網(wǎng)絡(luò)的主要安全隱患2</p><p&

9、gt;　　1.2 企業(yè)網(wǎng)絡(luò)的安全誤區(qū)2</p><p>　　第二章 企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀分析4</p><p>　　2.1 公司背景4</p><p>　　2.2 企業(yè)網(wǎng)絡(luò)安全需求4</p><p>　　2.3 需求分析4</p><p>　　2.4 企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)5</p><p>

10、　　第三章 企業(yè)網(wǎng)絡(luò)安全解決實(shí)施6</p><p>　　3.1 宏錦網(wǎng)絡(luò)企業(yè)物理安全6</p><p>　　3.2宏錦企業(yè)網(wǎng)絡(luò)VLAN劃分7</p><p>　　3.4 宏錦企業(yè)網(wǎng)絡(luò)防火墻配置9</p><p>　　3.4 宏錦企業(yè)網(wǎng)絡(luò)VPN配置12</p><p>　　3.5 宏錦企業(yè)網(wǎng)絡(luò)防病毒措施13&

11、lt;/p><p>　　第四章 宏錦企業(yè)的網(wǎng)絡(luò)管理16</p><p>　　4.1宏錦企業(yè)網(wǎng)絡(luò)管理的問(wèn)題16</p><p>　　4.2 宏錦企業(yè)網(wǎng)絡(luò)管理實(shí)施16</p><p><b>　　總 結(jié)18</b></p><p><b>　　致 謝19</b><

12、/p><p><b>　　參考文獻(xiàn)20</b></p><p><b>　　緒 論</b></p><p>　　隨著信息化技術(shù)的飛速發(fā)展，許多有遠(yuǎn)見(jiàn)的企業(yè)都認(rèn)識(shí)到依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營(yíng)平臺(tái)將極大地提升企業(yè)的核心競(jìng)爭(zhēng)力，使企業(yè)在殘酷的競(jìng)爭(zhēng)環(huán)境中脫穎而出。經(jīng)營(yíng)管理對(duì)計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng)，計(jì)算機(jī)應(yīng)用系統(tǒng)

13、對(duì)網(wǎng)絡(luò)的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對(duì)網(wǎng)絡(luò)安全提出了更高的要求。信息安全防范應(yīng)做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對(duì)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個(gè)動(dòng)態(tài)的過(guò)程，事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備，安全管理應(yīng)貫穿安全防范活動(dòng)的始終。</p><p>　　網(wǎng)絡(luò)安全問(wèn)題伴隨著網(wǎng)絡(luò)的產(chǎn)生而產(chǎn)生，可以說(shuō)，有網(wǎng)絡(luò)的地

14、方就存在網(wǎng)絡(luò)安全隱患。像病毒入侵和黑客攻擊之類的網(wǎng)絡(luò)安全事件，目前主要是通過(guò)網(wǎng)絡(luò)進(jìn)行的，而且?guī)缀趺繒r(shí)每刻都在發(fā)生，遍及全球。除此之外，像惡意軟件入侵、攻擊，用戶的非法訪問(wèn)和操作，用戶郵件的非法截取和更改等都是普遍存在的安全事實(shí)。網(wǎng)絡(luò)安全事件所帶來(lái)的危害，相信我們每個(gè)計(jì)算機(jī)用戶都或多或少地親身體驗(yàn)過(guò)一些：輕則使電腦系統(tǒng)運(yùn)行不正常，重則使整個(gè)計(jì)算機(jī)系統(tǒng)中的磁盤數(shù)據(jù)全部覆滅，甚至導(dǎo)致磁盤、計(jì)算機(jī)等硬件的損壞。</p><p

15、>　　為了防范這些網(wǎng)絡(luò)安全事故的發(fā)生，每個(gè)計(jì)算機(jī)用戶，特別是企業(yè)網(wǎng)絡(luò)用戶，必須采取足夠的安全防范措施，甚至可以說(shuō)要在利益均衡情況下不惜一切代價(jià)。但要注意，企業(yè)網(wǎng)絡(luò)安全策略的實(shí)施是一項(xiàng)系統(tǒng)工程，它涉及許多方面。因此既要充分考慮到那些平時(shí)經(jīng)常提及的外部網(wǎng)絡(luò)威脅，又要對(duì)來(lái)自內(nèi)部網(wǎng)絡(luò)和網(wǎng)絡(luò)管理本身所帶來(lái)的安全隱患有足夠的重視，不能孤立地看待任何一個(gè)安全隱患和安全措施。因?yàn)檫@些安全隱患爆發(fā)的途徑可以是多方面的，而許多安全措施都是相輔相成的。

16、</p><p>　　第一章 企業(yè)網(wǎng)絡(luò)安全概述</p><p>　　1.1 企業(yè)網(wǎng)絡(luò)的主要安全隱患</p><p>　　現(xiàn)在網(wǎng)絡(luò)安全系統(tǒng)所要防范的不再僅是病毒感染，更多的是基于網(wǎng)絡(luò)的非法入侵、攻擊和訪問(wèn)，同時(shí)企業(yè)網(wǎng)絡(luò)安全隱患的來(lái)源有內(nèi)、外網(wǎng)之分，很多情況下內(nèi)部網(wǎng)絡(luò)安全威脅要遠(yuǎn)遠(yuǎn)大于外部網(wǎng)絡(luò)，因?yàn)閮?nèi)部中實(shí)施入侵和攻擊更加容易，企業(yè)網(wǎng)絡(luò)安全威脅的主要來(lái)源主要包括。&l

17、t;/p><p>　　病毒、木馬和惡意軟件的入侵。</p><p><b>　　網(wǎng)絡(luò)黑客的攻擊。</b></p><p>　　重要文件或郵件的非法竊取、訪問(wèn)與操作。</p><p>　　關(guān)鍵部門的非法訪問(wèn)和敏感信息外泄。</p><p><b>　　外網(wǎng)的非法入侵。</b><

18、;/p><p>　　備份數(shù)據(jù)和存儲(chǔ)媒體的損壞、丟失。</p><p>　　針對(duì)這些安全隱患，所采取的安全策略可以通過(guò)安裝專業(yè)的網(wǎng)絡(luò)版病毒防護(hù)系統(tǒng)，同時(shí)也要加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全管理，配置好防火墻過(guò)濾策略和系統(tǒng)本身的各項(xiàng)安全措施，及時(shí)安裝系統(tǒng)安全補(bǔ)丁，有條件的還可以在內(nèi)、外網(wǎng)之間安裝網(wǎng)絡(luò)掃描檢測(cè)、網(wǎng)絡(luò)嗅探器、IDS、IPS系統(tǒng)，甚至配置網(wǎng)絡(luò)安全隔離系統(tǒng)，對(duì)內(nèi)、外網(wǎng)絡(luò)進(jìn)行安全隔離；加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全管

19、理，嚴(yán)格實(shí)行“最小權(quán)限”原則，為各個(gè)用戶配置好恰當(dāng)?shù)挠脩魴?quán)限；同時(shí)對(duì)一些敏感數(shù)據(jù)進(jìn)行加密保護(hù)，對(duì)數(shù)據(jù)還可以進(jìn)行數(shù)字簽名措施；根據(jù)企業(yè)實(shí)際需要配置好相應(yīng)的數(shù)據(jù)策略，并按策略認(rèn)真執(zhí)行。</p><p>　　1.2 企業(yè)網(wǎng)絡(luò)的安全誤區(qū)</p><p><b>　　安裝防火墻就安全了</b></p><p>　　防火墻主要工作都是控制存取與過(guò)濾封包，

20、所以對(duì)DoS攻擊、非法存取與篡改封包等攻擊模式的防范極為有效，可以提供網(wǎng)絡(luò)周邊的安全防護(hù)。但如果攻擊行為不經(jīng)過(guò)防火墻，或是將應(yīng)用層的攻擊程序隱藏在正常的封包內(nèi)，便力不從心了，許多防火墻只是工作在網(wǎng)絡(luò)層。</p><p>　　防火墻的原理是“防外不防內(nèi)”，對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)不進(jìn)行任何阻撓，而事實(shí)上，企業(yè)網(wǎng)絡(luò)安全事件絕大部分還是源于企業(yè)內(nèi)部。</p><p>　　安裝了最新的殺毒軟件就不怕病毒了

21、</p><p>　　安裝殺毒軟件的目的是為了預(yù)防病毒的入侵和查殺系統(tǒng)中已感染的計(jì)算機(jī)病毒，但這并不能保證就沒(méi)有病毒入侵了，因?yàn)闅⒍拒浖闅⒛骋徊《镜哪芰偸菧笥谠摬《镜某霈F(xiàn)。</p><p>　　在每臺(tái)計(jì)算機(jī)上安裝單機(jī)版殺毒軟件和網(wǎng)絡(luò)版殺毒軟件等效</p><p>　　網(wǎng)絡(luò)版殺毒軟件核心就是集中的網(wǎng)絡(luò)防毒系統(tǒng)管理。網(wǎng)絡(luò)版殺毒軟件可以在一臺(tái)服務(wù)器上通過(guò)安全中心控制

22、整個(gè)網(wǎng)絡(luò)的客戶端殺毒軟件同步病毒查殺、監(jiān)控整個(gè)網(wǎng)絡(luò)的病毒。同時(shí)對(duì)于整個(gè)網(wǎng)絡(luò)，管理非常方便，對(duì)于單機(jī)版是不可能做到的。</p><p>　　只要不上網(wǎng)就不會(huì)中毒</p><p>　　雖然不少病毒是通過(guò)網(wǎng)頁(yè)傳播的，但像QQ聊天接發(fā)郵件同樣是病毒傳播的主要途徑，而且盜版光盤以及U盤等也會(huì)存在著病毒。所以只要計(jì)算機(jī)開(kāi)著，就要防范病毒。</p><p>　　文件設(shè)置只讀就可以

23、避免感染病毒</p><p>　　設(shè)置只讀只是調(diào)用系統(tǒng)的幾個(gè)命令，而病毒或黑客程序也可以做到這一點(diǎn)，設(shè)置只讀并不能有效防毒，不過(guò)在局域網(wǎng)中為了共享安全，放置誤刪除，還是比較有用的。</p><p>　　網(wǎng)絡(luò)安全主要來(lái)自外部</p><p>　　基于內(nèi)部的網(wǎng)絡(luò)攻擊更加容易，不需要借助于其他的網(wǎng)絡(luò)連接方式，就可以直接在內(nèi)部網(wǎng)絡(luò)中實(shí)施攻擊。所以，加強(qiáng)內(nèi)部網(wǎng)絡(luò)安全管理，特別

24、是用戶帳戶管理，如帳戶密碼、臨時(shí)帳戶、過(guò)期帳戶和權(quán)限等方面的管理非常必要了。</p><p>　　第二章 企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀分析</p><p><b>　　2.1 公司背景</b></p><p>　　宏錦網(wǎng)絡(luò)有限公司是一家有100名員工的中小型網(wǎng)絡(luò)公司，主要以手機(jī)應(yīng)用開(kāi)發(fā)為主營(yíng)項(xiàng)目的軟件企業(yè)。公司有一個(gè)局域網(wǎng)，約100臺(tái)計(jì)算機(jī)，服務(wù)器的操作

25、系統(tǒng)是 Windows Server 2003,客戶機(jī)的操作系統(tǒng)是 Windows XP，在工作組的模式下一人一機(jī)辦公。公司對(duì)網(wǎng)絡(luò)的依賴性很強(qiáng)，主要業(yè)務(wù)都要涉及互聯(lián)網(wǎng)以及內(nèi)部網(wǎng)絡(luò)。隨著公司的發(fā)展現(xiàn)有的網(wǎng)絡(luò)安全已經(jīng)不能滿足公司的需要，因此構(gòu)建健全的網(wǎng)絡(luò)安全體系是當(dāng)前的重中之重。</p><p>　　2.2 企業(yè)網(wǎng)絡(luò)安全需求</p><p>　　宏錦網(wǎng)絡(luò)有限公司根據(jù)業(yè)務(wù)發(fā)展需求，建設(shè)一個(gè)小型的

26、企業(yè)網(wǎng)，有Web、Mail等服務(wù)器和辦公區(qū)客戶機(jī)。企業(yè)分為財(cái)務(wù)部門和業(yè)務(wù)部門，需要他們之間相互隔離。同時(shí)由于考慮到Inteneter的安全性，以及網(wǎng)絡(luò)安全等一些因素，如DDoS、ARP等。因此本企業(yè)的網(wǎng)絡(luò)安全構(gòu)架要求如下：</p><p>　　根據(jù)公司現(xiàn)有的網(wǎng)絡(luò)設(shè)備組網(wǎng)規(guī)劃</p><p>　　保護(hù)網(wǎng)絡(luò)系統(tǒng)的可用性</p><p>　　保護(hù)網(wǎng)絡(luò)系統(tǒng)服務(wù)的連續(xù)性<

27、;/p><p>　　防范網(wǎng)絡(luò)資源的非法訪問(wèn)及非授權(quán)訪問(wèn)</p><p>　　防范入侵者的惡意攻擊與破壞</p><p>　　保護(hù)企業(yè)信息通過(guò)網(wǎng)上傳輸過(guò)程中的機(jī)密性、完整性</p><p><b>　　防范病毒的侵害</b></p><p>　　實(shí)現(xiàn)網(wǎng)絡(luò)的安全管理。</p><p&g

28、t;<b>　　2.3 需求分析</b></p><p>　　通過(guò)了解宏錦網(wǎng)絡(luò)公司的需求與現(xiàn)狀，為實(shí)現(xiàn)宏錦網(wǎng)絡(luò)公司的網(wǎng)絡(luò)安全建設(shè)實(shí)施網(wǎng)絡(luò)系統(tǒng)改造，提高企業(yè)網(wǎng)絡(luò)系統(tǒng)運(yùn)行的穩(wěn)定性，保證企業(yè)各種設(shè)計(jì)信息的安全性，避免圖紙、文檔的丟失和外泄。通過(guò)軟件或安全手段對(duì)客戶端的計(jì)算機(jī)加以保護(hù)，記錄用戶對(duì)客戶端計(jì)算機(jī)中關(guān)鍵目錄和文件的操作，使企業(yè)有手段對(duì)用戶在客戶端計(jì)算機(jī)的使用情況進(jìn)行追蹤，防范外來(lái)計(jì)算機(jī)的侵

29、入而造成破壞。通過(guò)網(wǎng)絡(luò)的改造，使管理者更加便于對(duì)網(wǎng)絡(luò)中的服務(wù)器、客戶端、登陸用戶的權(quán)限以及應(yīng)用軟件的安裝進(jìn)行全面的監(jiān)控和管理。因此需要</p><p>　　構(gòu)建良好的環(huán)境確保企業(yè)物理設(shè)備的安全</p><p>　　劃分VLAN控制內(nèi)網(wǎng)安全</p><p><b>　　安裝防火墻體系</b></p><p>　　建立VPN

30、(虛擬專用網(wǎng)絡(luò))確保數(shù)據(jù)安全</p><p><b>　　安裝防病毒服務(wù)器</b></p><p>　　加強(qiáng)企業(yè)對(duì)網(wǎng)絡(luò)資源的管理</p><p>　　2.4 企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)</p><p>　　宏錦網(wǎng)絡(luò)公司網(wǎng)絡(luò)拓?fù)鋱D，如圖2-1所示:</p><p>　　圖2-1 企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)</p>

31、<p>　　由于宏錦網(wǎng)絡(luò)公司是直接從電信接入IP為58.192.65.62 255.255.255.0，直接經(jīng)由防火墻分為DMZ區(qū)域和普通區(qū)域。防火墻上做NAT轉(zhuǎn)換，分別給客戶機(jī)端的地址為10.1.1.0 255.255.255.0。防火墻接客戶區(qū)端口地址為10.1.1.1 255.255.255.0。DMZ內(nèi)主要有各類的服務(wù)器，地址分配為10.1.2.0 255.255.255.0。防火墻DMZ區(qū)的接口地址為10.1.2.

32、1 255.255.255.0。內(nèi)網(wǎng)主要由3層交換機(jī)作為核心交換機(jī)，下面有兩臺(tái)2層交換機(jī)做接入。</p><p>　　第三章 企業(yè)網(wǎng)絡(luò)安全解決實(shí)施</p><p>　　3.1 宏錦網(wǎng)絡(luò)企業(yè)物理安全</p><p>　　宏錦企業(yè)網(wǎng)絡(luò)中保護(hù)網(wǎng)絡(luò)設(shè)備的物理安全是其整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的前提，物理安全是指保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其他媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故、

33、人為操作失誤或各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞。</p><p>　　針對(duì)宏錦網(wǎng)絡(luò)企業(yè)的物理安全主要考慮的問(wèn)題是環(huán)境、場(chǎng)地和設(shè)備的安全及物理訪問(wèn)控制和應(yīng)急處置計(jì)劃等。物理安全在整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全中占有重要地位。它主要包括以下幾個(gè)方面：</p><p><b>　　保證機(jī)房環(huán)境安全</b></p><p>　　信息系統(tǒng)中的計(jì)算機(jī)硬件、網(wǎng)絡(luò)設(shè)施

34、以及運(yùn)行環(huán)境是信息系統(tǒng)運(yùn)行的最基本的環(huán)境。要從一下三個(gè)方面考慮：a.自然災(zāi)害、物理?yè)p壞和設(shè)備故障 b.電磁輻射、乘機(jī)而入、痕跡泄漏等 c.操作失誤、意外疏漏等</p><p>　　2) 選用合適的傳輸介質(zhì)</p><p>　　屏蔽式雙絞線的抗干擾能力更強(qiáng)，且要求必須配有支持屏蔽功能的連接器件和要求介質(zhì)有良好的接地（最好多處接地），對(duì)于干擾嚴(yán)重的區(qū)域應(yīng)使用屏蔽式雙絞線，并將其放在金屬管內(nèi)以增

35、強(qiáng)抗干擾能力。</p><p>　　光纖是超長(zhǎng)距離和高容量傳輸系統(tǒng)最有效的途徑，從傳輸特性等分析，無(wú)論何種光纖都有傳輸頻帶寬、速率高、傳輸損耗低、傳輸距離遠(yuǎn)、抗雷電和電磁的干擾性好保密性好，不易被竊聽(tīng)或被截獲數(shù)據(jù)、傳輸?shù)恼`碼率很低，可靠性高，體積小和重量輕等特點(diǎn)。與雙絞線或同軸電纜不同的是光纖不輻射能量，能夠有效地阻止竊聽(tīng)。</p><p>　　3) 保證供電安全可靠</p>

36、<p>　　計(jì)算機(jī)和網(wǎng)絡(luò)主干設(shè)備對(duì)交流電源的質(zhì)量要求十分嚴(yán)格，對(duì)交流電的電壓和頻率，對(duì)電源波形的正弦性，對(duì)三相電源的對(duì)稱性，對(duì)供電的連續(xù)性、可靠性穩(wěn)定性和抗干擾性等各項(xiàng)指標(biāo)，都要求保持在允許偏差范圍內(nèi)。機(jī)房的供配電系統(tǒng)設(shè)計(jì)既要滿足設(shè)備自身運(yùn)轉(zhuǎn)的要求，又要滿足網(wǎng)絡(luò)應(yīng)用的要求，必須做到保證網(wǎng)絡(luò)系統(tǒng)運(yùn)行的可靠性，保證設(shè)備的設(shè)計(jì)壽命保證信息安全保證機(jī)房人員的工作環(huán)境。</p><p>　　3.2宏錦企業(yè)網(wǎng)絡(luò)V

37、LAN劃分</p><p>　　VLAN技術(shù)能有效隔離局域網(wǎng)，防止網(wǎng)內(nèi)的攻擊，所以宏錦網(wǎng)絡(luò)有限公司網(wǎng)絡(luò)中按部門進(jìn)行了VLAN劃分，劃分為以下兩個(gè)VLAN：</p><p>　　財(cái)務(wù)部門 VLAN 10 　　　　交換機(jī)S1接入交換機(jī)（神州數(shù)碼DCS-3950）</p><p>　　業(yè)務(wù)部門 VLAN 20 　　　　交換機(jī)S2接入交換機(jī)（神州數(shù)碼DCS-

38、3950）</p><p>　　核心交換機(jī) VLAN間路由 核心交換機(jī)S3（神州數(shù)碼DCRS-5526）</p><p><b>　　S1配置如下:</b></p><p><b>　　switch></b></p><p>　　switch>ena</p>

39、<p>　　switch#con</p><p>　　switch(Config)#vlan 10</p><p>　　switch(Config-Vlan10)#sw int e 0/0/1-20</p><p>　　switch(Config-Vlan10)#exit</p><p>　　switch(Config)#exit&

40、lt;/p><p>　　switch#con</p><p>　　switch(Config)#int e 0/0/24</p><p>　　switch(Config-Ethernet0/0/24)#sw m t</p><p>　　Set the port Ethernet0/0/24 mode TRUNK successfully</

41、p><p>　　switch(Config-Ethernet0/0/24)#sw t a v a</p><p>　　set the port Ethernet0/0/24 allowed vlan successfully</p><p>　　switch(Config-Ethernet0/0/24)#exit</p><p>　　switch

42、(Config)#ip dhcp pool vlan10</p><p>　　switch(dhcp-vlan10-config)#network-address 192.168.10.0 255.255.255.0</p><p>　　switch(dhcp-vlan10-config)#lease 3</p><p>　　switch(dhcp-vlan10-c

43、onfig)#default-router 192.168.1.1</p><p>　　switch(dhcp-vlan10-config)#dns-server 61.177.7.1</p><p>　　switch(dhcp-vlan10-config)#exit</p><p>　　switch(config)ip dhcp excluded-address

44、192.168.10.1</p><p><b>　　S2配置如下:</b></p><p><b>　　Switch></b></p><p>　　Switch>ena</p><p>　　Switch#con</p><p>　　switch(Config)#

45、vlan 20</p><p>　　switch(Config-Vlan20)#sw int e 0/0/1-20</p><p>　　switch(Config-Vlan20)#exit</p><p>　　switch(Config)#exit</p><p>　　switch#con</p><p>　　swit

46、ch(Config)#int e 0/0/24</p><p>　　switch(Config-Ethernet0/0/24)#sw m t</p><p>　　Set the port Ethernet0/0/24 mode TRUNK successfully</p><p>　　switch(Config-Ethernet0/0/24)#sw t a v a&

47、lt;/p><p>　　set the port Ethernet0/0/24 allowed vlan successfully</p><p>　　switch(Config-Ethernet0/0/24)#exit</p><p>　　switch(Config)#ip dhcp pool vlan20</p><p>　　switch(d

48、hcp-vlan20-config)#network-address 192.168.20.0 255.255.255.0</p><p>　　switch(dhcp-vlan20-config)#lease 3</p><p>　　switch(dhcp-vlan20-config)#default-router 192.168.1.1</p><p>　　swi

49、tch(dhcp-vlan20-config)#dns-server 61.177.7.1</p><p>　　switch(dhcp-vlan20-config)#exit</p><p>　　switch(config)ip dhcp excluded-address 192.168.20.1</p><p>　　switch(config)ip dhcp ex

50、cluded-address 192.168.20.150-192.168.20.240</p><p><b>　　S0配置如下:</b></p><p><b>　　switch></b></p><p>　　switch>enable</p><p>　　switch#config

51、</p><p>　　switch(Config)#hostname S0</p><p>　　S0(Config)#vlan 10</p><p>　　S0(Config-Vlan10)#vlan 20</p><p>　　S0(Config-Vlan20)#exit</p><p>　　S0(Config)#int

52、 e 0/0/1-2</p><p>　　S0(Config-Port-Range)#sw m t</p><p>　　S0(Config-Port-Range)#sw t a v a</p><p>　　S0(Config-Port-Range)#exit</p><p>　　S0(Config)#int vlan 10</p>

53、<p>　　S0(Config-If-Vlan10)#ip address 192.168.10.1 255.255.255.0</p><p>　　S0(Config-If-Vlan10)#no shutdown</p><p>　　S0(Config-If-Vlan10)#exit</p><p>　　S0(Config)#int vlan 20&

54、lt;/p><p>　　00:04:23: %LINK-5-CHANGED: Interface Vlan20, changed state to UP</p><p>　　%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed state to UP</p><p>　　S0(Config-If-

55、Vlan20)#ip address 192.168.20.1 255.255.255.0</p><p>　　S0(Config-If-Vlan20)#no shutdown</p><p>　　S0(Config-If-Vlan20)#exit</p><p>　　S0(Config)#exit</p><p>　　S0(Config-I

56、f-Vlan1)#ip address 192.168.1.1 255.255.255.0</p><p>　　S0(Config-If-Vlan1)#no shutdown</p><p>　　S0(Config-If-Vlan1)#exit</p><p>　　S0(Config)#exit</p><p>　　S0#show ip ro

57、ute</p><p><b>　　S0#con</b></p><p>　　S0(Config)#ip route 58.192.65.0 255.255.255.0 10.1.1.1</p><p>　　3.4 宏錦企業(yè)網(wǎng)絡(luò)防火墻配置</p><p>　　宏錦企業(yè)網(wǎng)絡(luò)中使用的是神州數(shù)碼的DCFW-1800S UTM，

58、里面包含了防火墻和VPN等功能。以下為配置過(guò)程：</p><p>　　在防火墻NAT策略下面，新增NAT。</p><p><b>　　如圖3-1:</b></p><p>　　圖3-1 新增企業(yè)防火墻策略示意圖</p><p>　　源域：untrust；</p><p>　　源地址對(duì)象：any；

59、</p><p>　　目的域：trust；</p><p>　　目的地址對(duì)象：any；</p><p>　　在全局安全策略設(shè)置里面如圖3-2和圖3-3所示:</p><p>　　圖3-2企業(yè)防火墻策略配置示意圖</p><p>　　圖 3-3 企業(yè)防火墻策略配置示意圖</p><p>　　圖3-

60、4企業(yè)防火墻策略配置示意圖</p><p>　　可以設(shè)置全局下面訪問(wèn)策略，以及域內(nèi)和域間的訪問(wèn)策略。這里我們?cè)O(shè)置，內(nèi)部網(wǎng)絡(luò)為信任區(qū)域（trust），Inteneter為不信任區(qū)域（untrust），服務(wù)器區(qū)域?yàn)镈MZ區(qū)域。動(dòng)作包括permit允許，拒絕deny，以及其他的特定的服務(wù)。這里允許內(nèi)部訪問(wèn)外部和DMZ區(qū)域，而DMZ和Inteneter不允許訪問(wèn)內(nèi)部。但是處于中間位置的DMZ可以允許Inteneter的訪

61、問(wèn)。所以要添加好幾條NAT策略。</p><p>　　在網(wǎng)絡(luò)接口處如圖3-5所示:</p><p>　　圖3-5 網(wǎng)絡(luò)接口處配置示意圖</p><p>　　要配置3個(gè)以太網(wǎng)接口為up，安全區(qū)域分別為eth1：l2-trust，eth0：l2-untrust，eth2：l2-DMZ。其中接外網(wǎng)的eth0工作模式為路由模式，其余接DMZ和內(nèi)部的都為NAT模式。如圖3-6

62、所示:</p><p>　　圖3-6 以太網(wǎng)接口配置示意圖</p><p>　　同時(shí)為他們配好相應(yīng)的網(wǎng)絡(luò)地址，eth0為58.192.65.62，eth1：10.1.1.1，eth2 10.1.2.1。</p><p>　　3.4 宏錦企業(yè)網(wǎng)絡(luò)VPN配置</p><p>　　宏錦企業(yè)網(wǎng)絡(luò)的VPN功能主要也是通過(guò)上面的防火墻實(shí)現(xiàn)的。如圖3-7,

63、圖3-8所示:</p><p>　　圖3-7 PPTP協(xié)議示意圖</p><p>　　圖3-8 PPTP示意圖</p><p>　　這里我們使用PPTP協(xié)議來(lái)實(shí)現(xiàn)VPN，首先是新增PPTP地址池，范圍為192.168.20.150-192.168.20.240</p><p><b>　　如圖3-9所示:</b>&l

64、t;/p><p>　　圖3-9 PPTP協(xié)議實(shí)現(xiàn)VPN示意圖</p><p>　　在PPTP設(shè)置里面，選擇Chap加密認(rèn)證，加密方式mppe-128。DNS分別為61.177.7.1，MTU為500。</p><p>　　3.5 宏錦企業(yè)網(wǎng)絡(luò)防病毒措施</p><p>　　針對(duì)宏錦企業(yè)網(wǎng)絡(luò)的現(xiàn)狀，在綜合考慮了公司對(duì)防病毒系統(tǒng)的性能要求、成本和安

65、全性以后，我選用江民殺毒軟件KV網(wǎng)絡(luò)版來(lái)在內(nèi)網(wǎng)中進(jìn)行防病毒系統(tǒng)的建立。</p><p><b>　　產(chǎn)品特點(diǎn):</b></p><p>　　KV網(wǎng)絡(luò)版是為各種簡(jiǎn)單或復(fù)雜網(wǎng)絡(luò)環(huán)境設(shè)計(jì)的計(jì)算機(jī)病毒網(wǎng)絡(luò)防護(hù)系統(tǒng)，即適用于包含若干臺(tái)主機(jī)的單一網(wǎng)段網(wǎng)絡(luò)，也適用于包含各種WEB服務(wù)器、郵件服務(wù)器、應(yīng)用服務(wù)器，以及分布在不同城市，包含數(shù)十萬(wàn)臺(tái)主機(jī)的超大型網(wǎng)絡(luò)。KV網(wǎng)絡(luò)版具有以下顯著

66、特點(diǎn)：</p><p>　　(1)先進(jìn)的體系結(jié)構(gòu)</p><p>　　(2)超強(qiáng)的殺毒能力</p><p>　　(3)完備的遠(yuǎn)程控制</p><p>　　(4)方便的分級(jí)、分組管理</p><p>　　宏錦企業(yè)網(wǎng)絡(luò)KV網(wǎng)絡(luò)版的主控制中心部署在DMZ服務(wù)器區(qū)，子控制中心部署在3層交換機(jī)的一臺(tái)服務(wù)器上。</p>

67、<p>　　網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖3-10所示:</p><p>　　圖3-10 主控制中心部署圖</p><p>　　子控制中心與主控制中心關(guān)系:</p><p>　　控制中心負(fù)責(zé)整個(gè)KV網(wǎng)絡(luò)版的管理與控制，是整個(gè)KV網(wǎng)絡(luò)版的核心，在部署KV網(wǎng)絡(luò)時(shí)，必須首先安裝。除了對(duì)網(wǎng)絡(luò)中的計(jì)算機(jī)進(jìn)行日常的管理與控制外，它還實(shí)時(shí)地記錄著KV網(wǎng)絡(luò)版防護(hù)體系內(nèi)每臺(tái)計(jì)算機(jī)上的

68、病毒監(jiān)控、查殺病毒和升級(jí)等信息。在1個(gè)網(wǎng)段內(nèi)僅允許安裝1臺(tái)控制中心。 根據(jù)控制中心所處的網(wǎng)段的不同，可以將控制中心劃分為主控制中心和子控制中心，子控制中心除了要 完成控制中心的功能外，還要負(fù)責(zé)與它的上級(jí)——主控制中心進(jìn)行通信。這里的“主”和“子”是一個(gè) 相對(duì)的概念：每個(gè)控制中心對(duì)于它的下級(jí)的網(wǎng)段來(lái)說(shuō)都是主控制中心，對(duì)于它的上級(jí)的網(wǎng)段來(lái)說(shuō)又是子控制中心，這種控制結(jié)構(gòu)可以根據(jù)網(wǎng)絡(luò)的需要無(wú)限的延伸下去。</p><p>

69、;　　為宏錦企業(yè)網(wǎng)絡(luò)安裝好KV網(wǎng)絡(luò)版殺毒軟件后，為期配置軟件的安全策略。對(duì)宏錦企業(yè)客戶端計(jì)算機(jī)的KV軟件實(shí)現(xiàn)更為完善的遠(yuǎn)程控制功能，利用KV軟件控制中心的“策略設(shè)置”功能組來(lái)實(shí)現(xiàn)。在此功能中可以針對(duì)單一客戶端、邏輯組、全網(wǎng)進(jìn)行具有針對(duì)性的安全策略設(shè)置。在“策略設(shè)置”下拉菜單中，我們可以找到“掃描設(shè)置”、“反垃圾郵件”、“網(wǎng)址過(guò)濾”等與平時(shí)安全應(yīng)用密切相關(guān)的各項(xiàng)應(yīng)用配置選項(xiàng)，如圖3-11所示。</p><p>　　

70、圖3-11 “策略設(shè)置”命令菜單</p><p>　　為宏錦企業(yè)網(wǎng)絡(luò)KV網(wǎng)絡(luò)版殺毒軟件配置“掃描設(shè)置”，掃描設(shè)置可對(duì)當(dāng)前選擇的任意組或者任意節(jié)點(diǎn)的客戶端進(jìn)行更加細(xì)化的掃描設(shè)置。宏錦企業(yè)可以自己設(shè)定適合于自己網(wǎng)絡(luò)環(huán)境的掃描方案，針對(duì)不同的策略對(duì)不同的客戶端進(jìn)行分發(fā)不同的掃描命令。可以下發(fā)以下命令到節(jié)點(diǎn)計(jì)算機(jī)：掃描目標(biāo)，定時(shí)掃描，分類掃描，不掃描文件夾，掃描報(bào)告，簡(jiǎn)單而實(shí)用的設(shè)置頁(yè)大大的增加了網(wǎng)絡(luò)管理的易用性。其中掃

71、描目標(biāo)的設(shè)置界面如圖3-12所示。</p><p>　　圖3-12 掃描目標(biāo)配置</p><p>　　第四章 宏錦企業(yè)的網(wǎng)絡(luò)管理</p><p>　　4.1宏錦企業(yè)網(wǎng)絡(luò)管理的問(wèn)題</p><p>　　計(jì)算機(jī)軟、硬件數(shù)量無(wú)法確實(shí)掌握，盤點(diǎn)困難；</p><p>　　單位的計(jì)算機(jī)數(shù)量越來(lái)越多，無(wú)法集中管理；</p&g

72、t;<p>　　無(wú)法有效防止員工私裝軟件，造成非法版權(quán)使用威脅；</p><p>　　硬件設(shè)備私下挪用、竊取，造成財(cái)產(chǎn)損失；</p><p>　　使用者計(jì)算機(jī)IP隨易變更，造成故障頻傳；</p><p>　　軟件單機(jī)安裝浪費(fèi)人力，應(yīng)用軟件版本不易控制；</p><p>　　重要資料遭非法拷貝，資料外泄，無(wú)法監(jiān)督；</p&g

73、t;<p>　　設(shè)備故障或資源不足，無(wú)法事先得到預(yù)警；</p><p>　　應(yīng)用軟件購(gòu)買后，員工真正使用狀況如何，無(wú)從分析；</p><p>　　居高不下的信息化資源成本，不知如何改善。</p><p>　　4.2 宏錦企業(yè)網(wǎng)絡(luò)管理實(shí)施</p><p>　　針對(duì)宏錦企業(yè)網(wǎng)絡(luò)的需求，給企業(yè)安裝SmartIPVIew管理軟件實(shí)現(xiàn)宏錦

74、企業(yè)網(wǎng)絡(luò)對(duì)公司內(nèi)部的設(shè)備以及IP網(wǎng)絡(luò)資源管理。實(shí)施步驟安裝SmartIPVIew管理軟件，運(yùn)行軟件添加宏錦企業(yè)的IP網(wǎng)段如圖4-1.</p><p>　　圖4-1 添加企業(yè)IP網(wǎng)段</p><p>　　單擊確認(rèn)，添加宏錦企業(yè)內(nèi)部IP網(wǎng)段便于企業(yè)管理企業(yè)內(nèi)部用戶。</p><p>　　對(duì)宏錦企業(yè)網(wǎng)絡(luò)內(nèi)部設(shè)備的管理如下圖4-2所示。</p><p&g

75、t;　　圖4-2 添加網(wǎng)絡(luò)設(shè)備</p><p>　　如圖4-2添加宏錦企業(yè)的網(wǎng)絡(luò)設(shè)備，以實(shí)現(xiàn)企業(yè)對(duì)內(nèi)部網(wǎng)絡(luò)設(shè)備的監(jiān)控和方便管理能有效的提高辦公效率。</p><p>　　SmartIPVIew管理軟件獨(dú)創(chuàng)的IP地址資源管理技術(shù)，通過(guò)保護(hù)IP地址資源的安全使用，以及對(duì)IP地址資源的回收再利用，使有限的IP地址資源得到合理合法的使用，從而可以保證整個(gè)網(wǎng)絡(luò)資源的有效利用和安全。</p>

76、;<p><b>　　總 結(jié)</b></p><p>　　隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全逐漸成為一個(gè)潛在的巨大問(wèn)題。網(wǎng)絡(luò)安全性是一個(gè)涉及面很廣泛的問(wèn)題，其中也會(huì)涉及到是否構(gòu)成犯罪行為的問(wèn)題。在其最簡(jiǎn)單的形式中，它主要關(guān)心的是確保無(wú)關(guān)人員不能讀取，更不能修改傳送給其他接收者的信息。此時(shí)，它關(guān)心的對(duì)象是那些無(wú)權(quán)使用，但卻試圖獲得遠(yuǎn)程服務(wù)的人。安全性也處理合法消息被截獲和重播的問(wèn)題

77、，以及發(fā)送者是否曾發(fā)送過(guò)該條消息的問(wèn)題。</p><p>　　本論文從企業(yè)角度描述了網(wǎng)絡(luò)安全的解決方案，目的在于為用戶提供信息的保密，認(rèn)證和完整性保護(hù)機(jī)制，使網(wǎng)絡(luò)中的服務(wù)，數(shù)據(jù)以及系統(tǒng)免受侵?jǐn)_和破壞。比如防火墻，認(rèn)證，加密技術(shù)等都是當(dāng)今常用的方法，本論文從這些方法入手深入研究各個(gè)方面的網(wǎng)絡(luò)安全問(wèn)題的解決，可以使讀者有對(duì)網(wǎng)絡(luò)安全技術(shù)的更深刻的了解。</p><p><b>　　致

78、 謝</b></p><p>　　在這幾個(gè)多月的畢業(yè)設(shè)計(jì)中，我真誠(chéng)的感謝老師的指導(dǎo)，在老師的幫助下我才順利的完成畢業(yè)設(shè)計(jì)。</p><p>　　做畢業(yè)實(shí)際就需要把平時(shí)學(xué)到的東西在復(fù)習(xí)一遍，因?yàn)槠綍r(shí)上課還有課后自己的學(xué)習(xí)，都主要在基于理論方面的，雖然也做很多實(shí)驗(yàn)，但當(dāng)把畢業(yè)設(shè)計(jì)當(dāng)作一個(gè)實(shí)際的工程來(lái)做的時(shí)候就會(huì)發(fā)現(xiàn)很多的問(wèn)題，這就需要老師的指導(dǎo)了，特別是老師讓我們?cè)趯?shí)訓(xùn)機(jī)房里面，直

79、接就各個(gè)硬件進(jìn)行操作，這樣我們就不會(huì)空談就會(huì)做的更深層次。</p><p>　　所以很感謝老師的幫助，讓我更好的將理論和實(shí)踐相結(jié)合，最后完成了此次畢業(yè)設(shè)計(jì)，同時(shí)也為以后工作做了很好的準(zhǔn)備。</p><p><b>　　參考文獻(xiàn)</b></p><p>　　王達(dá).網(wǎng)管員必讀—網(wǎng)絡(luò)安全.北京：機(jī)械工業(yè)出版社，2009．</p><

80、;p>　　黃傳河.網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)師教程.北京：機(jī)械工業(yè)出版社，2009．</p><p>　　張千里，陳光英. 網(wǎng)絡(luò)安全新技術(shù).北京：人民郵電出版社，2003</p><p>　　王衛(wèi)紅，李曉明.計(jì)算機(jī)網(wǎng)絡(luò)與互聯(lián)網(wǎng).北京：機(jī)械工業(yè)出版社，2009．</p><p>　　易建勛.計(jì)算機(jī)網(wǎng)絡(luò)技術(shù).北京：人民郵電出版社，2007.</p><p&g

81、t;　　揚(yáng)衛(wèi)東.網(wǎng)絡(luò)系統(tǒng)集成與工程設(shè)計(jì)，2007.</p><p>　　張千里，陳光英. 網(wǎng)絡(luò)安全新技術(shù).北京：人民郵電出版社，2003</p><p>　　徐超汗.計(jì)算機(jī)網(wǎng)絡(luò)安全實(shí)用技術(shù)，電子工業(yè)出版社，2005年3月</p><p>　　萬(wàn)博公司技術(shù)部.網(wǎng)絡(luò)系統(tǒng)集成行業(yè)使用方案,海洋出版社，2006年</p><p>　　[10 ] 高