小型局域網(wǎng)安全分析與設(shè)計畢業(yè)設(shè)計

1、摘 要隨著計算機網(wǎng)絡的不斷發(fā)展和普及，計算機網(wǎng)絡帶來了無窮的資源，但隨之而來的網(wǎng)絡安全問題也顯得尤為重要，局域網(wǎng)內(nèi)的安全問題引起了我們的重視。局域網(wǎng)內(nèi)網(wǎng)的安全隱患給我們帶來了許多麻煩，來自網(wǎng)絡內(nèi)部的計算機客戶端的安全威脅缺乏必要的安全管理措施，安全威脅較大。未經(jīng)授權(quán)的網(wǎng)絡設(shè)備或用戶就可能通過到局域網(wǎng)的網(wǎng)絡設(shè)備自動進入網(wǎng)絡，形成極大的安全隱患。本課題對局域網(wǎng)的進行基本的架設(shè)，通過局域網(wǎng)所面臨的安全進行分析，提出解決安全的方案，對網(wǎng)絡安全的防范技術(shù)做了分析和比較。在介紹網(wǎng)絡安全概念及其產(chǎn)生原因的基礎(chǔ)上，介紹了各種信息技術(shù)及其在局域網(wǎng)信息安全中的作用和地位，特別是對加強安全應采取的應對措施做了較深入

2、的討論。局域網(wǎng)的安全措施應是能全方位地針對各種不同的威脅和脆弱性，這樣才能確保網(wǎng)絡信息的保密性、完整性和可用性。為了確保信息的安全與暢通，研究局域網(wǎng)的安全以及防范措施已迫在眉睫。關(guān)鍵詞：局域網(wǎng) 威脅 安全控制 病毒防治abstractalong with the computer network development and popularization, computer network brought infinite resources, but following the problem of network security is also appears especially i

3、mportant, local area network security is the cause of our attention. the connection of local area network security hidden danger bringing us a lot of trouble, from the client within the network computer security threat to the lack of necessary safety management measures, bigger security threat. unau

4、thorized network equipment or the user might through the network to local area network equipment automatic into the network, form the great security hidden danger.this topic of local area network for the erection of the basic, through the lan facing the safety analysis and put forward the solution o

5、f safety scheme of network security preventive technology are analyzed and compared. introduced in network security concepts and reason was introduced on the basis of all kinds of information technology and in the local area network information security of the function and position, especially to st

6、rengthen security should take measures to do a more in-depth discussion.lan security measures should be to be able to complete the threat to various kinds of different and vulnerability, such ability make sure network information privacy, integrity, and availability. in order to ensure that the info

7、rmation safety and smooth, study the safety measures to prevent and lan is imminent.keywords: lan threat safety control virus prevention目錄第一章 緒論1一、網(wǎng)絡安全概述1(一)網(wǎng)絡安全的內(nèi)容1(二)網(wǎng)絡安全的關(guān)鍵技術(shù)1二、課題需解決的問題及設(shè)計思想1第二章 安全風險分析3一、網(wǎng)絡平臺的安全風險分析3二、系統(tǒng)的安全風險分析3三、應用的安全風險分析4第三章 安全需求與安全目標5一、安全需求分析5二、系統(tǒng)安全目標5第四章 企業(yè)局域網(wǎng)的安全分析與設(shè)計7一、某企業(yè)原網(wǎng)

8、絡拓撲結(jié)構(gòu)7二、網(wǎng)絡結(jié)構(gòu)說明7三、網(wǎng)絡安全風險分析7四、安全設(shè)計方案9（一）企業(yè)具有安全措施的網(wǎng)絡拓撲圖9（二）安全體系設(shè)計9五、防火墻的選擇12（一）選擇的理由：13（二）cisco asa 5500配置13六、入侵檢測系統(tǒng)14七、網(wǎng)絡殺毒軟件的選擇15（一）體系結(jié)構(gòu)與安裝方式分析16（二）管理功能分析16（三）性能分析18參考文獻21致謝23西安思源學院本科畢業(yè)論文（設(shè)計）小型局域網(wǎng)安全分析與設(shè)計 第一章 緒論一、網(wǎng)絡安全概述從本質(zhì)上講，網(wǎng)絡安全就是網(wǎng)絡上的信息安全，是指網(wǎng)絡系統(tǒng)的硬件，軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)

9、絡服務不中斷。網(wǎng)絡安全就是如何保證網(wǎng)絡信息的保密性完整性可用性可控性可審查性的問題。(一)網(wǎng)絡安全的內(nèi)容網(wǎng)絡安全涉及的因素有物理安全、系統(tǒng)安全、信息安全。1、物理安全:保證計算機信息系統(tǒng)各種設(shè)備的物理安全是整個計算機信息系統(tǒng)安全的。2、系統(tǒng)安全:系統(tǒng)的安全主要是指操作系統(tǒng)、應用系統(tǒng)的安全性以及網(wǎng)絡硬件平臺的可靠性。3、信息安全:信息存儲及傳遞中的完整性私密性及不可否認機制。(二)網(wǎng)絡安全的關(guān)鍵技術(shù)網(wǎng)絡信息安全的關(guān)鍵技術(shù)主要包括身份認證技術(shù)、訪問控制技術(shù)、防火墻技術(shù)、加密技術(shù)、病毒防范技術(shù)、安全管理技術(shù)等。二、課題需解決的問題及設(shè)計思想1 安全性a 黑客的非法入侵和攻擊；b 網(wǎng)絡病毒；c 內(nèi)部人

10、員的攻擊2 可操作性為用戶提供親切的交互界面是構(gòu)建安全局域網(wǎng)系統(tǒng)的基本要求。作為一個良好的系統(tǒng)，必須能夠很方便的實施，并且功能明確、特點鮮明，易于管理和維護。在設(shè)計時我們要綜合考慮用戶的情況，簡化系統(tǒng)的層次結(jié)構(gòu)和操作環(huán)節(jié)，從最終用戶的角度出發(fā)，為其提供良好的可操作性。3 擴展性由于實際的實施情況千差萬別，而且用戶的網(wǎng)絡拓撲也隨著技術(shù)規(guī)模的不斷發(fā)展而變化，所以安全局域網(wǎng)系統(tǒng)應該具有良好的擴展性，以適應用戶不斷變化的需求。4 經(jīng)濟性系統(tǒng)應當具有良好的性能價格比，在提供高性能服務的前提下，盡可能地節(jié)省資金投入。同時系統(tǒng)應該盡量降低操作和維護的開銷，便于自動化管理，節(jié)省管理和維護等后續(xù)費用。第二章 安

11、全風險分析 一、網(wǎng)絡平臺的安全風險分析 網(wǎng)絡結(jié)構(gòu)的安全涉及到網(wǎng)絡拓撲結(jié)構(gòu)、網(wǎng)絡路由狀況及網(wǎng)絡的環(huán)境等。 公開服務器面臨的威脅： 這個企業(yè)局域網(wǎng)內(nèi)公開服務器區(qū)（www、email等服務器）作為公司的信息發(fā)布平臺，一旦不能運行后者受到攻擊，對企業(yè)的聲譽影響巨大。同時公開服務器本身要為外界服務，必須開放相應的服務；每天，黑客都在試圖闖入internet節(jié)點，這些節(jié)點如果不保持警惕，可能連黑客怎么闖入的都不知道，甚至會成為黑客入侵其他站點的跳板。因此，規(guī)模比較大網(wǎng)絡的管理人員對internet安全事故做出有效反應變得十分重要。我們有必要將公開服務器、內(nèi)部網(wǎng)絡與外部網(wǎng)絡進行隔離，避免網(wǎng)絡結(jié)構(gòu)信息外泄；同

12、時還要對外網(wǎng)的服務請求加以過濾，只允許正常通信的數(shù)據(jù)包到達相應主機，其他的請求服務在到達主機之前就應該遭到拒絕。 整個網(wǎng)絡結(jié)構(gòu)和路由狀況 ：安全的應用往往是建立在網(wǎng)絡系統(tǒng)之上的。網(wǎng)絡系統(tǒng)的成熟與否直接影響安全系統(tǒng)成功的建設(shè)。在這個企業(yè)局域網(wǎng)絡系統(tǒng)中，只使用了一臺路由器，用作與internet連結(jié)的邊界路由器，網(wǎng)絡結(jié)構(gòu)相對簡單，具體配置時可以考慮使用靜態(tài)路由，這就大大減少了因網(wǎng)絡結(jié)構(gòu)和網(wǎng)絡路由造成的安全風險。 二、系統(tǒng)的安全風險分析 所謂系統(tǒng)的安全顯而易見是指整個局域網(wǎng)網(wǎng)絡操作系統(tǒng)、網(wǎng)絡硬件平臺是否可靠且值得信任。 網(wǎng)絡操作系統(tǒng)、網(wǎng)絡硬件平臺的可靠性，我們可以這樣講：沒有完全安全的操作系統(tǒng)。但是

13、，我們可以對現(xiàn)有的操作平臺進行安全配置、對操作和訪問權(quán)限進行嚴格控制，提高系統(tǒng)的安全性。因此，不但要選用盡可能可靠的操作系統(tǒng)和硬件平臺。而且，必須加強登錄過程的認證（特別是在到達服務器主機之前的認證），確保用戶的合法性；其次應該嚴格限制登錄者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)。三、應用的安全風險分析 應用系統(tǒng)的安全跟具體的應用有關(guān)，它涉及很多方面。應用系統(tǒng)的安全是動態(tài)的、不斷變化的。應用的安全性也涉及到信息的安全性，它包括很多方面。 應用的安全性涉及到信息、數(shù)據(jù)的安全性：信息的安全性涉及到：機密信息泄露、未經(jīng)授權(quán)的訪問、破壞信息完整性、假冒、破壞系統(tǒng)的可用性等。由于這個企業(yè)局域網(wǎng)跨度

14、不大，絕大部分重要信息都在內(nèi)部傳遞，因此信息的機密性和完整性是可以保證的。對于有些特別重要的信息需要對內(nèi)部進行保密的（比如領(lǐng)導子網(wǎng)、財務系統(tǒng)傳遞的重要信息）可以考慮在應用級進行加密，針對具體的應用直接在應用系統(tǒng)開發(fā)時進行加密。 第三章 安全需求與安全目標 一、安全需求分析 通過前面我們對這個企業(yè)局域網(wǎng)絡結(jié)構(gòu)、應用及安全威脅分析，可以看出其安全問題主要集中在對服務器的安全保護、防黑客和病毒上。因此，我們必須采取相應的安全措施杜絕安全隱患，其中應該做到： 公開服務器的安全保護；防止黑客從外部攻擊；入侵檢測與監(jiān)控；病毒防護；數(shù)據(jù)安全保護；數(shù)據(jù)備份與恢復。針對這個企業(yè)局域網(wǎng)絡系統(tǒng)的實際情況，在系統(tǒng)考慮

15、如何解決上述安全問題的設(shè)計時應滿足如下要求： 1.大幅度地提高系統(tǒng)的安全性（重點是可用性和可控性）； 2.保持網(wǎng)絡原有的能特點，即對網(wǎng)絡的協(xié)議和傳輸具有很好的透明性，能透明接入，無需更改網(wǎng)絡設(shè)置； 3.易于操作、維護，并便于自動化管理，而不增加或少增加附加操作； 4.盡量不影響原網(wǎng)絡拓撲結(jié)構(gòu)，同時便于系統(tǒng)及系統(tǒng)功能的擴展； 5.安全保密系統(tǒng)具有較好的性能價格比，一次性投資，可以長期使用； 6.安全產(chǎn)品具有合法性，及經(jīng)過國家有關(guān)管理部門的認可或認證； 7.分布實施。二、系統(tǒng)安全目標建立一套完整可行的網(wǎng)絡安全與網(wǎng)絡管理策略。將內(nèi)部網(wǎng)絡、公開服務器網(wǎng)絡和外網(wǎng)進行有效隔離，避免與外部網(wǎng)絡的直接通信。建

16、立網(wǎng)站各主機和服務器的安全保護措施，保證他們的系統(tǒng)安全。對網(wǎng)上服務請求內(nèi)容進行控制，使非法訪問在到達主機前被拒絕。 加強合法用戶的訪問認證，同時將用戶的訪問權(quán)限控制在最低限度。 全面監(jiān)視對公開服務器的訪問，及時發(fā)現(xiàn)和拒絕不安全的操作和黑客攻擊行為。備份與災難恢復強化系統(tǒng)備份，實現(xiàn)系統(tǒng)快速恢復。第四章 企業(yè)局域網(wǎng)的安全分析與設(shè)計一、某企業(yè)原網(wǎng)絡拓撲結(jié)構(gòu)圖4-1企業(yè)原網(wǎng)絡拓撲結(jié)構(gòu)二、網(wǎng)絡結(jié)構(gòu)說明這個企業(yè)局域網(wǎng)是一個信息點較為密集的千兆局域網(wǎng)絡系統(tǒng)，它為企業(yè)的各部門提供了一個快速、方便的信息交流平臺。在分析企業(yè)局域網(wǎng)安全風險時，應考慮以下該網(wǎng)絡結(jié)構(gòu)的特點：網(wǎng)絡與外部網(wǎng)絡連接，可能通過外網(wǎng)傳播進來的病

17、毒，黑客攻擊以及自外網(wǎng)的非授權(quán)訪問等；網(wǎng)絡中存在公開服務器，避免公開服務器的安全風險擴散到內(nèi)部；該局域網(wǎng)中存在許多不同的子網(wǎng)，不同的子網(wǎng)有不同的安全性，應考慮將不同功能和安全級別的網(wǎng)絡分隔開，這可以由交換機劃分vlan來實現(xiàn)。局域網(wǎng)內(nèi)用戶之間以及與外網(wǎng)用戶的敏感信息交流，需要保證信息傳輸過程中的安全性，可以通過增加vpn服務器和vpn路由器等來實現(xiàn)建立安全的通信隧道；在應用程序開發(fā)時應考慮加強用戶登錄驗證，防止非授權(quán)訪問。三、網(wǎng)絡安全風險分析目前對網(wǎng)絡的攻擊手段主要表現(xiàn)在：非授權(quán)訪問，信息泄露或丟失，破壞數(shù)據(jù)完整性，拒絕服務攻擊，利用網(wǎng)絡傳播病毒。因此，應該做到：公開服務器的安全保護，防止黑客

18、從外部攻擊，用戶的身份認證，入侵檢測與監(jiān)控，信息審計與記錄，病毒防護，數(shù)據(jù)安全保護，數(shù)據(jù)備份與恢復，網(wǎng)絡的安全管理。網(wǎng)絡安全可以從以下幾個方面來分析：（1）物理安全風險分析網(wǎng)絡的物理安全主要是指環(huán)境事故，電源故障，人為操作失誤，設(shè)備毀壞等。只要制定健全的安全管理制度，做好備份，這些風險是可以避免的。（2）網(wǎng)絡平臺安全風險分析網(wǎng)絡結(jié)構(gòu)安全涉及到網(wǎng)絡拓撲結(jié)構(gòu)、網(wǎng)絡路由狀況及網(wǎng)絡的環(huán)境等，在該企業(yè)的公開服務器區(qū)容易遭受黑客攻擊。因此，將公開服務器、內(nèi)部網(wǎng)絡與外部網(wǎng)絡進行隔離，同時還要對外網(wǎng)的服務請求加以過濾才能更好的保證局域網(wǎng)的安全。（3）系統(tǒng)安全風險分析系統(tǒng)安全是指整個局域網(wǎng)網(wǎng)絡操作系統(tǒng)，網(wǎng)絡硬件

19、平臺是否可靠值得信任；網(wǎng)絡操作系統(tǒng)的可靠性對中國來說恐怕絕對安全的操作系統(tǒng)是沒有的，但是，我們可以通過對現(xiàn)有的操作平臺進行安全配置、對操作和訪問權(quán)限進行嚴格控制，來提高系統(tǒng)的安全性。（4）應用安全風險分析應用系統(tǒng)的安全是動態(tài)的不斷變化的，所以保證應用系統(tǒng)的安全也是一個隨著網(wǎng)絡技術(shù)發(fā)展而不斷完善的過程。應用安全也涉及到信息數(shù)據(jù)的安全，對于有些特別重要的信息需要進行保密可以考慮在應用級上進行加密，針對具體的應用直接應用系統(tǒng)的開發(fā)時進行加密，并且通過vpn隧道進行加密傳送。（5）管理安全風險分析管理安全是網(wǎng)絡安全中重要的部分，只有嚴格執(zhí)行完整可靠的安全管理制度才能有效的避免其帶來的風險。四、安全設(shè)計

20、方案（一）企業(yè)具有安全措施的網(wǎng)絡拓撲圖圖4-2 企業(yè)具有安全措施的網(wǎng)絡拓撲圖（二）安全體系設(shè)計通過對網(wǎng)絡的全面了解，按照安全策略的要求，安全風險分析的結(jié)果及整個網(wǎng)絡的安全目標，整個網(wǎng)絡安全措施應按系統(tǒng)體系建立。具體的安全控制系統(tǒng)由以下幾個方面組成:物理安全、網(wǎng)絡安全、系統(tǒng)安全、信息安全、應用安全和安全管理。1、物理安全內(nèi)容包括場地安全、機房建設(shè)安全、動力保障系統(tǒng)安全以及系統(tǒng)抗性、防災難的應急措施和恢復能力。主要采取的安全措施有：在布線方面充分考慮電磁輻射，同時重要部門的機房采用電磁屏蔽措施；重要計算機終端采用電磁屏蔽和加干擾器，避免電磁泄露；門窗保護：重要場地采用防盜門窗或帶身份識別功能的門鎖

21、，對進入機房的人員和時間進行記錄和限制；報警監(jiān)控措施:在重要部位設(shè)監(jiān)控報警措施；專用保險機柜的保護:對于一些重要的密碼設(shè)備，采用專用安全機柜進行保護，避免偷竊和破壞行動的發(fā)生。2、系統(tǒng)安全系統(tǒng)安全主要是指操作系統(tǒng)、應用系統(tǒng)的安全性以及網(wǎng)絡硬件平臺的可靠性。操作系統(tǒng)安全，在市場上幾乎所有的操作系統(tǒng)均已發(fā)現(xiàn)有安全漏洞，并且越流行的操作系統(tǒng)發(fā)現(xiàn)的問題越多。為了保證企業(yè)局域網(wǎng)操作系統(tǒng)的安全，除了需不斷地增加安全補丁外，還需進行如下要求:檢查系統(tǒng)設(shè)置（敏感數(shù)據(jù)的存放方式訪問控制口令選擇/更新）將系統(tǒng)的安全級別設(shè)置為最高級。應用系統(tǒng)安全，應用系統(tǒng)的安全性由支持應用系統(tǒng)的網(wǎng)絡、平臺、操作系統(tǒng)和數(shù)據(jù)庫的安全性

22、所決定，因此，應用系統(tǒng)應充分利用系統(tǒng)的安全性。但由于各行業(yè)的應用系統(tǒng)千差萬別，故很難對應用系統(tǒng)的安全實現(xiàn)進行具體的規(guī)劃。3、網(wǎng)絡安全數(shù)據(jù)包在局域網(wǎng)中是采用廣播方式傳播，的在某個廣播域中可以偵聽到域內(nèi)所有的信息包，如果黑客對信息包進行分析，那么廣播域內(nèi)的信息傳遞都會暴露在黑客面前。因此，特對企業(yè)局域網(wǎng)作如下設(shè)計：網(wǎng)絡分段是保證安全的一項重要措施同時也是一項基本措施其指導思想，在于將非法用戶與網(wǎng)絡資源相互隔離，從而達到限制用戶非法訪問的目的。在企業(yè)局域網(wǎng)實際應用中可采取物理分段與邏輯分段相結(jié)合的方法來實現(xiàn)對網(wǎng)絡系統(tǒng)的安全性控制。內(nèi)部網(wǎng)不同網(wǎng)絡安全域的隔離及訪問控制：vlan 技術(shù)主要基于近年發(fā)展的

23、局域網(wǎng)交換技術(shù)。交換技術(shù)將傳統(tǒng)的基于廣播的局域網(wǎng)技術(shù)發(fā)展為面向連接的技術(shù)。因此，網(wǎng)管系統(tǒng)有能力限制局域網(wǎng)通訊的范圍而無需通過開銷很大的路由器。網(wǎng)絡安全檢測：網(wǎng)絡安全檢測工具通常是一個網(wǎng)絡安全性評估分析軟件，其功能是用實踐性的方法掃描分析網(wǎng)絡系統(tǒng)檢查報告系統(tǒng)存在的弱點和漏洞提出建議補救措施和安全策略以達到增強網(wǎng)絡安全性的目的。應具備以下功能:具備網(wǎng)絡監(jiān)控分析和自動響應功能；找出經(jīng)常發(fā)生問題的根源所在；建立必要的循環(huán)過程確保隱患時刻被糾正控制各種網(wǎng)絡安全危險；漏洞分析和響應；配置分析和響應；漏洞形勢分析和響應；認證和趨勢分析；將各種服務器受黑客攻擊的可能降為最低；對網(wǎng)絡訪問做出有效響應保護重要應用

24、系統(tǒng)數(shù)據(jù)安全不受黑客攻擊和內(nèi)部人員誤操作的侵害。網(wǎng)絡病毒防護：由于在網(wǎng)絡環(huán)境下計算機病毒有著不可估量的威脅性和破壞力因此計算機病毒的防范是網(wǎng)絡安全性設(shè)計中的重要一環(huán)。網(wǎng)絡反病毒技術(shù)包括預防病毒、檢測病毒和消毒三種技術(shù)：a、預防病毒技術(shù):它通過自身常駐系統(tǒng)內(nèi)存，優(yōu)先獲得系統(tǒng)的控制權(quán)，監(jiān)視和判斷系統(tǒng)中是否有病毒存在，進而阻止計算機病毒進入計算機系統(tǒng)和對系統(tǒng)進行破壞。這類技術(shù)有:加密可執(zhí)行程序、引導區(qū)保護、系統(tǒng)監(jiān)控與讀寫控制。b、檢測病毒技術(shù):它是通過對計算機病毒的特征來進行判斷的技術(shù)，如自身校驗、關(guān)鍵詞、文件長度的變化等c、清除病毒技術(shù):它通過對計算機病毒的分析，開發(fā)出具有刪除病毒程序并恢復原文件

25、的軟件。網(wǎng)絡反病毒技術(shù)的具體實現(xiàn)方法包括對網(wǎng)絡服務器中的文件進行頻繁地掃描和監(jiān)測；在工作站上用防病毒芯片對網(wǎng)絡目錄及文件設(shè)置訪問權(quán)限等。網(wǎng)絡備份系統(tǒng)備份系統(tǒng)為一個目的而存在，即盡可能快地全盤恢復運行計算機系統(tǒng)所需的數(shù)據(jù)和系統(tǒng)信息。根據(jù)系統(tǒng)安全需求可選擇的備份機制有:場點內(nèi)高速度大容量自動的數(shù)據(jù)存儲備份與恢復；場點外的數(shù)據(jù)存儲備份與恢復；對系統(tǒng)設(shè)備的備份，備份不僅要在網(wǎng)絡系統(tǒng)硬件故障或人為失誤時起到保護作用，還可在入侵者非授權(quán)訪問或?qū)W(wǎng)絡攻擊及破壞數(shù)據(jù)完整性時起到保護作用，同時亦是系統(tǒng)災難恢復的前提之一。4、信息安全企業(yè)局域網(wǎng)網(wǎng)絡系統(tǒng)的業(yè)務信息可分為公共信息、內(nèi)部信息、秘密信息等。不同性質(zhì)的信息

26、，其安全要求也不同。公共信息的完整性要求比較高，如那些可以向整個系統(tǒng)發(fā)布的web 信息，不能被非法篡改；內(nèi)部信息除要具有普通的安全要求外，還要以有力的訪問控制手段來保證它只能在內(nèi)部被及時正確地使用；秘密信息的安全性要求最高，如何保證秘密信息的安全是整個安全系統(tǒng)建設(shè)的重中之重。秘密信息的安全性主要體現(xiàn)在它的保密性上，對秘密信息的防護除了要求高強度的訪問控制外，還需要有高強度的加密措施。5、安全管理面對網(wǎng)絡安全的脆弱性，除了在網(wǎng)絡設(shè)計上增加安全服務功能，完善系統(tǒng)的安全保密措施外，還必須花大力氣建立網(wǎng)絡安全管理規(guī)范，因為諸多的不安全因素恰恰反映在組織管理和人員錄用等方面，而這又是保證計算機網(wǎng)絡安全所

27、必須考慮的基本問題，所以應引起各計算機網(wǎng)絡應用部門領(lǐng)導的重視。安全管理的主要功能指：a、對安全設(shè)備的管理；b、監(jiān)視網(wǎng)絡危險情況對危險進行隔離并把危險控制在最小范圍內(nèi)；c、身份認證權(quán)限設(shè)置；d、對資源的存取權(quán)限的管理；e、對資源或用戶動態(tài)的或靜態(tài)的審計；f、對違規(guī)事件自動生成報警或生成事件消息；g、口令管理如操作員的口令鑒權(quán):對無權(quán)操作人員進行控制；h、密鑰管理:對于與密鑰相關(guān)的服務器應對其設(shè)置密鑰生命期密鑰備份等管理功能；i、冗余備份:為增加網(wǎng)絡的安全系數(shù)對于關(guān)鍵的服務器應冗余備份。安全管理需通過管理制度和管理平臺技術(shù)實現(xiàn)兩個方面來完成安全管理產(chǎn)品應支持統(tǒng)一的中心控制平臺五、防火墻的選擇下面是

28、cisco asa 5500系列防火墻介紹：圖4-3 cisco asa 5500系列防火墻（一）選擇的理由：1、值得信賴的防火墻和威脅防御vpn技術(shù)；2、cisco asa 5500 系列建立于值得信賴的cisco pix安全設(shè)備和cisco vpn 3000系列集中器技術(shù)，asa5500系列是第一個兼具市場領(lǐng)先的防火墻技術(shù)保護，同時提供ssl和ipsec vpn服務的解決方案；3、業(yè)內(nèi)領(lǐng)先的anti-x服務；將trend micro 在互聯(lián)網(wǎng)邊緣的威脅防御和內(nèi)容控制優(yōu)勢與切實可行的思科解決方案結(jié)合在一起，提供全面的防病毒、防間諜軟件、文件阻擋、防垃圾郵件、防誘騙、url阻擋和過濾以及內(nèi)容過

29、濾服務。 4、高級入侵防御服務；提供主動型全功能入侵防御服務，有效阻止各種威脅，包括蠕蟲、應用層攻擊、操作系統(tǒng)級攻擊、rootkit攻擊、間諜軟件、對等文件共享和即時消息傳送。5、豐富的管理和監(jiān)控服務；通過cisco adaptive security device manager（asdm）提供直觀的單設(shè)備管理和監(jiān)控服務，通過 cisco security management suite 提供企業(yè)級多設(shè)備集中管理服務。 6、降低部署和運作成本；由于cisco asa 5500系列提供與現(xiàn)有思科安全解決方案一致的設(shè)計和界面，因而能顯著降低初始安全部署成本和日常管理成本。（二）cisco as

30、a 5500配置（1）配置主機名：ciscoasa(config)# hostname asafw（2）配置ethernet 0/0 asafw (config)# interface ethernet 0/0 asafw (config)# ip address 0 asafw (config)# nameif outside asafw (config)# no shutdown（3）配置ethernet 0/1 asafw(config)# interface e0/1 asafw(config)# no shutdown asafw(c

31、onfig) # interface e0/1.3 asafw(config-subif)# vlan 3 asafw(config-subif)# nameif insideasafw(config-subif)# ip address 0 asafw(config-subif)# interface e0/1.4asafw(config-subif)# vlan 4asafw(config-subif)# nameif mdz asafw(config-subif)# security-level 50asafw(config-subif)#ip

32、 address 0 六、入侵檢測系統(tǒng) 用cisco catalyst 6500系列入侵檢測系統(tǒng)idsm-2服務模塊 。cisco idsm-2是思科入侵檢測系統(tǒng)的組成部分。它可以與其他組件合作，有效地保護您的數(shù)據(jù)基礎(chǔ)設(shè)施。隨著安全威脅的復雜性的日益提高，實施有效的網(wǎng)絡入侵安全解決方案對于確保高水平的安全保障至關(guān)重要。高水平的安全保障可以確保業(yè)務連續(xù)性，最大限度地避免入侵可能造成的巨額損失。思科的集成化網(wǎng)絡安全解決方案讓機構(gòu)可以防止他們的聯(lián)網(wǎng)業(yè)務資產(chǎn)受到威脅，提高入侵防范的效率這些解決方案中包括第二代思科入侵檢測系統(tǒng)ids，模塊即idsm-2，它

33、可以用在廣泛部署的cisco catalyst系列設(shè)備上。catalyst系列設(shè)備的裝機量已經(jīng)達到數(shù)十萬臺，它是包括防火墻、虛擬專用網(wǎng)（vpn）和入侵檢測系統(tǒng)（ids）服務在內(nèi)的附加服務的理想平臺。由于認識到這種方式的價值思科推出了這個第二代模塊以便為那些尋求ids攻擊防范的客戶提供獨特的優(yōu)勢。圖4-4 cisco idsm-2cisco idsm-2可以提供下列特性和優(yōu)點：思科是唯一可以提供一個交換機內(nèi)置ids解決方案的廠商，這種解決方案可以通過vlan訪問控制列表vacl獲取功能來提供對數(shù)據(jù)流的訪問權(quán)限。vacl可以支持無限個vlan。通過被動的、綜合的操作提供透明的操作。這種操作方式可以

34、通過vacl獲取功能和交換機端口分析工具/遠程span（rspan/span）檢測分組的復本，而且如果設(shè)備需要維護，因為它并不位于交換機轉(zhuǎn)發(fā)路徑上，因而它不會導致網(wǎng)絡性能降低或者中斷。體積只占一個機架單元，在cisco catalyst設(shè)備中只占用一個插槽，從而使它成為能夠有效地支持所有catalyst設(shè)備（從有三個插槽的catalyst 6503到這個系列中最大的設(shè)備）的平臺，并讓用戶可以根據(jù)自己的需要，同時安裝多個模塊，為更多的vlan和流量提供保護。每秒500mb的ids檢測能力可以提供高速的分組檢查功能，讓用戶可以為各種類型的網(wǎng)絡和流量提供更多的保護。多種用于獲取和響應的技術(shù)，包括sp

35、an/rspan和vacl獲取功能，以及屏蔽和tcp重置功能，從而讓用戶可以監(jiān)控不同的網(wǎng)段和流量，同時讓產(chǎn)品可以采取及時的措施，以消除威脅。使用與曾獲大獎的cisco ids網(wǎng)絡設(shè)備相同的程序代碼，讓用戶可以將單一的管理技術(shù)作為標準，并讓安裝、培訓、操作和支持變得更加便捷，同時可以利用cisco ids的全面的攻擊識別能力和特征庫。重要的管理技術(shù)（例如cisco vms 2.1安全產(chǎn)品包提供的支持以及內(nèi)置的cisco ids設(shè)備管理器（idm）、ids事件瀏覽器（iev）本地管理功能和cli支持）讓idsm-2更加便于管理，更加善于檢測和響應威脅，同時就潛在的攻擊向管理人員發(fā)出警報。此外，這個

36、新的產(chǎn)品還讓管理人員可以更加方便地在范圍廣泛、多樣化的網(wǎng)絡上管理多個設(shè)備。七、網(wǎng)絡殺毒軟件的選擇在這個企業(yè)局域網(wǎng)中我建議用金山毒霸網(wǎng)絡版2.0。在此分別對symantec ativirus 企業(yè)版10.0、金山毒霸網(wǎng)絡版2.0、趨勢防毒墻網(wǎng)絡版7.0和瑞星殺毒軟件網(wǎng)絡版2006這四款網(wǎng)絡版產(chǎn)品，在安裝部署方式、管理功能操作和系統(tǒng)資源占用等幾個方面進行橫向?qū)Ρ葴y試。測試過程將遵循傳統(tǒng)測試的基本原理和步驟，測試過程會在一定程度上有所簡化。（一）體系結(jié)構(gòu)與安裝方式分析表4-1體系結(jié)構(gòu)與安裝方式金山毒霸瑞星趨勢科技symantec體系結(jié)構(gòu)b/sc/sb/sc/sc/s模塊組成系統(tǒng)中心+服務器端+客戶端

37、系統(tǒng)中心+服務器端+客戶端office scanserver protect系統(tǒng)中心服務器客戶端+隔離區(qū)首先來看它們各自的體系結(jié)構(gòu)。賽門鐵克和瑞星兩家的網(wǎng)絡版產(chǎn)品，都采用了傳統(tǒng)的c/s架構(gòu)，這樣的客戶端對于跨網(wǎng)段和跨廣域網(wǎng)的安裝和管理，具有一定的局限性。與之相比，金山毒霸的網(wǎng)絡版采用的是業(yè)內(nèi)較先進的b/s架構(gòu)，兼容性和可擴展性較好，尤其值得一提的是，毒霸的管理模塊可以靈活部署，能夠滿足不同用戶的需求。而趨勢科技的網(wǎng)絡版 則是前面提到的兩種架構(gòu)的結(jié)合體，采用的是c/s+b/s架構(gòu)，可以兼顧中小網(wǎng)絡和跨地域的大型網(wǎng)絡，兼容性和可擴展性表現(xiàn)優(yōu)異。但是，趨勢科技的服務器和客戶端采用的是兩個版本，用戶成

38、本增高，在管理和使用方面也略顯復雜。在此環(huán)節(jié)中，金山毒霸與趨勢科技的表現(xiàn)占優(yōu)，但兩家的側(cè)重點卻有所不同，金山毒霸更加注重用戶使用的靈活性，而趨勢科技則更重視軟件的兼容性和擴展性，對于用戶體驗與成本方面的關(guān)注略顯不足。在安裝方式上，瑞星與賽門鐵克的產(chǎn)品均不能直接支持web安裝。而金山毒霸與趨勢科技提供的的安裝方式就較為多樣化，可以在web安裝、遠程安裝和腳本安裝中進行選擇，前者的web安裝，操作非常簡單，即使是初次使用的用戶安裝起來也毫不費力，而后者的網(wǎng)絡版產(chǎn)品在前面提到的安裝方式之外還增加了光盤安裝等方式。（二）管理功能分析 對于一款殺毒軟件，用戶最為看重的就是其對系統(tǒng)的管理能力。接下來，我們

39、將從以下的三個方面來分析比較四款網(wǎng)絡版產(chǎn)品在系統(tǒng)管理方面的特點。1、可移動式管理與分級功能從可移動管理功能來看，由于瑞星和賽門鐵克均不支持基于web的管理控制臺，所以這兩款網(wǎng)絡版殺毒軟件，都需要在機器上額外安裝管理控制組件，才能達到移動管理的目的，相對比較麻煩。而金山與趨勢科技的兩款產(chǎn)品，在移動管理性能方面的優(yōu)越性則十分顯著，它們都支持移動的web管理控制臺，可以比較輕松地實現(xiàn)對整個網(wǎng)絡的管理，無須單獨安裝控制臺，其中金山毒霸的操作界面更加直觀，使用起來很方便。至于分級管理功能，雖然這四款產(chǎn)品都能通過不同途徑加以實現(xiàn)，但效果卻各不相同。瑞星和賽門鐵克的兩款產(chǎn)品均采用層層遞進的結(jié)構(gòu)實現(xiàn)分級管理。

40、不同之處在于，瑞星產(chǎn)品的一、二級系統(tǒng)中心之間，是通過通訊代理進行交互，用戶可以明顯感覺到信息傳送的滯后和不穩(wěn)定；同時，瑞星的一級系統(tǒng)中心不能直接管理到二級系統(tǒng)中心下的客戶端，企業(yè)級用戶在使用時會感覺比較繁瑣。金山毒霸則是通過管理中心集中管理數(shù)據(jù)，對多個系統(tǒng)中心、升級服務器進行集中管理，保證了信息傳遞的穩(wěn)定性和操作的簡便性。趨勢科技則通過web控制臺實現(xiàn)分級管理，但用戶如果要向同一局域網(wǎng)內(nèi)其它服務器報告，就需要通過客戶機移動工具來實現(xiàn)，相對繁瑣。比較來看，金山與趨勢的兩款產(chǎn)品表現(xiàn)較為優(yōu)秀，而在用戶操作上金山毒霸最為簡便。2、漏洞掃描與修復功能利用系統(tǒng)漏洞進行攻擊已經(jīng)成為當前網(wǎng)絡侵害的主流之一，用

41、戶對于殺毒軟件的漏洞掃描與修復功能的需求日益增多。然而遺憾的是，賽門鐵克與趨勢科技的兩款產(chǎn)品都不支持此項功能。余下的兩款國內(nèi)產(chǎn)品中，金山毒霸能夠?qū)钟蚓W(wǎng)內(nèi)的所有在線用戶進行漏洞掃描，智能選擇客戶機所需要安裝的補丁，自動下載和安裝補丁，整個過程完全不需要用戶的參與，非常省心；這一功能保證了整個網(wǎng)絡系統(tǒng)能夠在最短時間內(nèi)統(tǒng)一修補漏洞，使企業(yè)級用戶的病毒防護真正做到滴水不漏，從根本上杜絕了安全隱患。而瑞星的網(wǎng)絡版產(chǎn)品雖然能夠逐一通知用戶安裝，但在補丁安裝向?qū)又?，需要用戶自己參與安裝，并沒有實現(xiàn)真正的全網(wǎng)漏洞自動修復，一旦終端用戶取消安裝就不能順利對系統(tǒng)漏洞進行修復，在一定程度上存在著安全隱患。在

42、這一個環(huán)節(jié)的比拼上，趨勢科技與賽門鐵克交了白卷，而金山毒霸的主動漏洞掃描與修復功能則表現(xiàn)得最為搶眼。3、搶先加載防毒功能殺毒是場速度戰(zhàn)，不僅僅要求病毒庫的更新要快，殺毒軟件的加載速度更要快。如果不能搶在病毒之前對系統(tǒng)進行加載保護，被病毒搶占先機，后果就會不堪設(shè)想。賽門鐵克與趨勢科技的兩款產(chǎn)品在這一功能上再次缺席，它們都是在系統(tǒng)完全啟動后才能生效，對于計算機中已經(jīng)存在病毒的情況，這兩款殺毒軟件在機器啟動后，無法阻止病毒向整個網(wǎng)絡擴散，從而導致用戶無法進行正常的工作。而瑞星具有的搶先殺毒功能，能夠在系統(tǒng)啟動前便對硬盤進行病毒掃描，掃描完成后再引導系統(tǒng)，可以清除掉正常模式下無法清除的病毒程序；但在啟

43、動系統(tǒng)過程中，仍存在染毒隱患，同時會使系統(tǒng)啟動的時間相對變長。金山毒霸不僅能夠在用戶的系統(tǒng)尚未完全啟動前對病毒進行防范，毒霸的實時監(jiān)控模塊還可以在系統(tǒng)未登錄網(wǎng)絡之前便啟動完整的查殺病毒功能，全面保證用戶上網(wǎng)無憂。（三）性能分析表4-2 各殺毒軟件性能分析表金山毒霸瑞星趨勢symantec靜態(tài)資源占用kangui.exe 3m4mkansvr.exe 8mkmailmon.exe 1mrav.exe 1mravmon.exe 2mravtray.exe 6mrsagent.exe:2mravmond.exe 8mpccntmon.exe：5.45mvptray.exe:9.10mvpc32.ex

44、e:10.74m病毒庫升級網(wǎng)絡資源占用cpu:15%,最高值達25%內(nèi)存:8mcpu:60%,最高值達100%內(nèi)存:18mcpu最高:26內(nèi)存:3.30mcpu最高:87%內(nèi)存:9.36m病毒查殺速度kanscan.execpu:80%左右內(nèi)存:40m左右清除病毒:259個耗時:10秒rav.execpu:99%左右清除病毒:257個耗時:40秒tsc.execpu:94%內(nèi)存:13.01m清除病毒:78個耗時:19秒rtvscan.execpu:98%內(nèi)存:39.73m清除病毒:254個耗時:24分32秒測試樣本共275個從中不難看出，金山毒霸網(wǎng)絡版在查殺病毒的數(shù)量與速度上都占據(jù)了明顯優(yōu)勢，而趨勢的網(wǎng)絡版產(chǎn)品表現(xiàn)則相當讓人失望。值得注意的是，金山毒霸網(wǎng)絡版在殺毒的工作狀態(tài)下，對用戶cpu的占用卻只有80%，為四款產(chǎn)品中最少的；而趨勢、賽門鐵克、瑞星的三款產(chǎn)品對用戶的cpu占用率分別達到了94%、98%和99%，在殺毒狀態(tài)下，cpu基本已被占滿，用戶完全做不了其他的事情。同樣的，在病毒庫升級的狀況下，金山毒霸對cpu資源的占用也相對最少，最高值僅為25%，而趨勢、瑞星、賽門鐵克的產(chǎn)品對