公司網(wǎng)絡(luò)安全管理方案

公司網(wǎng)絡(luò)安全管理方案Preparedon22November2020天津電子信息職業(yè)技術(shù)學(xué)院

暨國家示范性軟件職業(yè)技術(shù)學(xué)院實(shí)訓(xùn)報(bào)告實(shí)訓(xùn)題目：公司網(wǎng)絡(luò)安全管理方案姓名:湯彬彬37系別:計(jì)算機(jī)網(wǎng)絡(luò)系專業(yè):計(jì)算機(jī)網(wǎng)絡(luò)班級:網(wǎng)絡(luò)S10-1班指導(dǎo)教師:林俊桂設(shè)計(jì)時(shí)間:2012年6月4日至2012年6月15日目錄摘要隨著信息化技術(shù)的飛速發(fā)展，許多有遠(yuǎn)見的企業(yè)都認(rèn)識到依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營平臺將極大地提升企業(yè)的核心競爭力，使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。經(jīng)營管理對計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng)，計(jì)算機(jī)應(yīng)用系統(tǒng)對的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對網(wǎng)絡(luò)安全提出了更高的要求。信息安全防范應(yīng)做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個(gè)動(dòng)態(tài)的過程，事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備，安全管理應(yīng)貫穿安全防范活動(dòng)的始終。網(wǎng)絡(luò)安全問題伴隨著網(wǎng)絡(luò)的產(chǎn)生而產(chǎn)生，可以說，有網(wǎng)絡(luò)的地方就存在網(wǎng)絡(luò)安全隱患。像病毒入侵和黑客攻擊之類的網(wǎng)絡(luò)安全事件，目前主要是通過網(wǎng)絡(luò)進(jìn)行的，而且?guī)缀趺繒r(shí)每刻都在發(fā)生，遍及全球。除此之外，像惡意軟件入侵、攻擊，用戶的非法訪問和操作，用戶郵件的非法截取和更改等都是普遍存在的安全事實(shí)。網(wǎng)絡(luò)安全事件所帶來的危害，相信我們每個(gè)計(jì)算機(jī)用戶都或多或少地親身體驗(yàn)過一些：輕則使電腦系統(tǒng)運(yùn)行不正常，重則使整個(gè)計(jì)算機(jī)系統(tǒng)中的磁盤數(shù)據(jù)全部覆滅，甚至導(dǎo)致磁盤、計(jì)算機(jī)等硬件的損壞。為了防范這些網(wǎng)絡(luò)安全事故的發(fā)生，每個(gè)計(jì)算機(jī)用戶，特別是企業(yè)網(wǎng)絡(luò)用戶，必須采取足夠的安全防范措施，甚至可以說要在利益均衡情況下不惜一切代價(jià)。但要注意，企業(yè)網(wǎng)絡(luò)安全策略的實(shí)施是一項(xiàng)系統(tǒng)工程，它涉及許多方面。因此既要充分考慮到那些平時(shí)經(jīng)常提及的外部網(wǎng)絡(luò)威脅，又要對來自內(nèi)部網(wǎng)絡(luò)和網(wǎng)絡(luò)管理本身所帶來的安全隱患有足夠的重視，不能孤立地看待任何一個(gè)安全隱患和安全措施。因?yàn)檫@些安全隱患爆發(fā)的途徑可以是多方面的，而許多安全措施都是相輔相成的。關(guān)鍵字：計(jì)算機(jī)網(wǎng)絡(luò)；病毒入侵；網(wǎng)絡(luò)威脅；安全防范措施第1章概述國內(nèi)外網(wǎng)絡(luò)發(fā)展情況及安全現(xiàn)狀計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展很快，經(jīng)歷了一個(gè)從簡單到復(fù)雜的演變過程。計(jì)算機(jī)的應(yīng)用也不斷地發(fā)展，滲透在人們生活的方方面面。在全球網(wǎng)絡(luò)革命如火如荼、飛速發(fā)展的時(shí)代潮流面前，中國的網(wǎng)絡(luò)業(yè)也不甘居人之后。我國政府從20世紀(jì)90年代初開始，便相繼實(shí)施了“金橋”、“金卡”等一系列金字工程。在發(fā)達(dá)國家建設(shè)“信息高速公路”的世界背景下，我國的一批信息技術(shù)專家根據(jù)中國國情，提出了我們自己的“高速信息網(wǎng)計(jì)劃(CHINA)”，1993年10月15日，當(dāng)時(shí)世界上最長的通信光纜，縱貫中國南北的京漢廣通信大動(dòng)脈”全線開通，拉開了我國網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)的序幕。我國企業(yè)從1994年開始涉足電子商務(wù)，并取得了喜人的成績。1998年是世界電子商務(wù)年，中國也掀起了一股電子商務(wù)熱,我國的“中國商品市場”從當(dāng)年7月1日起，正式進(jìn)入Interneto1999年在上海舉行的“99《財(cái)富》全球論壇”年會又傳出消息:到2003年，中國將成為世界上最大的信息網(wǎng)絡(luò)市場。由此不難推斷，中國經(jīng)濟(jì)也必將融入全球網(wǎng)絡(luò)經(jīng)濟(jì)的大潮之中。隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用和飛速發(fā)展，計(jì)算機(jī)信息網(wǎng)絡(luò)已成為現(xiàn)代信息社會的基礎(chǔ)設(shè)施。它作為進(jìn)行信息交流、開展各種社會活動(dòng)的基礎(chǔ)工具，已深入人們工作和生活當(dāng)中。同時(shí)，網(wǎng)絡(luò)安全問題也成為信息時(shí)代人們共同面臨的挑戰(zhàn)，國內(nèi)的網(wǎng)絡(luò)安全問題也日益突出。具體表現(xiàn)為：計(jì)算機(jī)系統(tǒng)受病毒感染和破壞的情況相當(dāng)嚴(yán)重；電腦黑客活動(dòng)已成為重要威脅；信息基礎(chǔ)設(shè)施面臨網(wǎng)絡(luò)安全的挑戰(zhàn)；網(wǎng)絡(luò)政治顛覆活動(dòng)頻繁等，為了更好地應(yīng)對這些網(wǎng)絡(luò)安全問題。網(wǎng)絡(luò)環(huán)境的復(fù)雜性、多變性，以及信息系統(tǒng)的脆弱性，決定了網(wǎng)絡(luò)安全威脅的客觀存在。我國日益開放并融入世界，但加強(qiáng)安全監(jiān)管和建立保護(hù)屏障不可或缺。國家科技部部長徐冠華曾在某市信息安全工作會議上說：“信息安全是涉及我國經(jīng)濟(jì)發(fā)展、社會發(fā)展和國家安全的重大問題。近年來，隨著國際政治形勢的發(fā)展，以及經(jīng)濟(jì)全球化過程的加快，人們越來越清楚，信息時(shí)代所引發(fā)的信息安全問題不僅涉及國家的經(jīng)濟(jì)安全、金融安全，同時(shí)也涉及國家的國防安全、政治安全和文化安全。因此，可以說，在信息化社會里，沒有信息安全的保障，國家就沒有安全的屏障。信息安全的重要性怎么強(qiáng)調(diào)也不過分?！蹦壳拔覈?、相關(guān)部門和有識之士都把網(wǎng)絡(luò)監(jiān)管提到新的高度，上海市負(fù)責(zé)信息安全工作的部門提出采用非對稱戰(zhàn)略構(gòu)建上海信息安全防御體系，其核心是在技術(shù)處于弱勢的情況下，用強(qiáng)化管理體系來提高網(wǎng)絡(luò)安全整體水平。Internet是各行各業(yè)的展示與和另一種發(fā)展平臺，同時(shí)必須建立一個(gè)安全穩(wěn)定的環(huán)境維護(hù)產(chǎn)業(yè)的可持續(xù)快速發(fā)展。衷心'希望在不久的將來，我國信息安全工作能跟隨信息化發(fā)展，上一個(gè)新臺階。網(wǎng)絡(luò)對企業(yè)的重要性隨著經(jīng)濟(jì)的飛速發(fā)展和社會信息化建設(shè)的大力推進(jìn)，網(wǎng)絡(luò)平臺已經(jīng)成為企業(yè)進(jìn)行業(yè)務(wù)拓展、經(jīng)營管理和進(jìn)行形象宣傳的一個(gè)獨(dú)特的窗口。建立企業(yè)網(wǎng)絡(luò)，早已不再是為了趕潮流或是博取好聽的名聲，而是把網(wǎng)絡(luò)技術(shù)同企業(yè)管理體系、工作流程和商務(wù)運(yùn)作等緊密地聯(lián)系在了一起，充分利用互聯(lián)網(wǎng)不受時(shí)空限制的信息平臺，建立最直接、豐富、快捷的商務(wù)溝通平臺和管理平臺，從而搭建高效的經(jīng)營管理機(jī)制和商務(wù)運(yùn)作平臺。網(wǎng)絡(luò)安全問題的產(chǎn)生可以從不同角度對網(wǎng)絡(luò)安全作出不同的解釋。一般意義上，網(wǎng)絡(luò)安全是指信息安全和控制安全兩部分。國際標(biāo)準(zhǔn)化組織把信息安全定義為“信息的完整性、可用性、保密性和可靠性”；控制安全則指身份認(rèn)證、不可否認(rèn)性、授權(quán)和訪問控制?；ヂ?lián)網(wǎng)與生俱有的開放性、交互性和分散性特征使人類所憧憬的信息共享、開放、靈活和快速等需求得到滿足。網(wǎng)絡(luò)環(huán)境為信息共享、信息交流、信息服務(wù)創(chuàng)造了理想空間，網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和廣泛應(yīng)用，為人類社會的進(jìn)步提供了巨大推動(dòng)力。然而，正是由于互聯(lián)網(wǎng)的上述特性，產(chǎn)生了許多安全問題：a）信息泄漏、信息污染、信息不易受控。例如，資源未授權(quán)侵用、未授權(quán)信息流出現(xiàn)、系統(tǒng)拒絕信息流和系統(tǒng)否認(rèn)等，這些都是信息安全的技術(shù)難點(diǎn)。b）在網(wǎng)絡(luò)環(huán)境中，一些組織或個(gè)人出于某種特殊目的，進(jìn)行信息泄密、信息破壞、信息侵權(quán)和意識形態(tài)的信息滲透，甚至通過網(wǎng)絡(luò)進(jìn)行政治顛覆等活動(dòng)，使國家利益、社會公共利益和各類主體的合法權(quán)益受到威脅。C）網(wǎng)絡(luò)運(yùn)用的趨勢是全社會廣泛參與，隨之而來的是控制權(quán)分散的管理問題。由于人們利益、目標(biāo)、價(jià)值的分歧，使信息資源的保護(hù)和管理出現(xiàn)脫節(jié)和真空，從而使信息安全問題變得廣泛而復(fù)雜。d）隨著社會重要基礎(chǔ)設(shè)施的高度信息化，社會的“命脈”和核心控制系統(tǒng)有可能面臨惡意攻擊而導(dǎo)致?lián)p壞和癱瘓，包括國防通信設(shè)施、動(dòng)力控制網(wǎng)、金融系統(tǒng)和政府網(wǎng)站等。公司網(wǎng)絡(luò)的主要安全隱患現(xiàn)在網(wǎng)絡(luò)安全系統(tǒng)所要防范的不再僅是病毒感染，更多的是基于網(wǎng)絡(luò)的非法入侵、攻擊和訪問，同時(shí)企業(yè)網(wǎng)絡(luò)安全隱患的來源有內(nèi)、夕卜網(wǎng)之分，很多情況下內(nèi)部網(wǎng)絡(luò)安全威脅要遠(yuǎn)遠(yuǎn)大于外部網(wǎng)絡(luò)，因?yàn)閮?nèi)部中實(shí)施入侵和攻擊更加容易，企業(yè)網(wǎng)絡(luò)安全威脅的主要來源主要包括。病毒、木馬和惡意軟件的入侵。網(wǎng)絡(luò)黑客的攻擊。重要文件或郵件的非法竊取、訪問與操作。關(guān)鍵部門的非法訪問和敏感信息外泄。外網(wǎng)的非法入侵。備份數(shù)據(jù)和存儲媒體的損壞、丟失。針對這些安全隱患，所采取的安全策略可以通過安裝專業(yè)的網(wǎng)絡(luò)版病毒防護(hù)系統(tǒng)，同時(shí)也要加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全管理，配置好防火墻過濾策略和系統(tǒng)本身的各項(xiàng)安全措施，及時(shí)安裝系統(tǒng)安全補(bǔ)丁，有條件的還可以在內(nèi)、外網(wǎng)之間安裝網(wǎng)絡(luò)掃描檢測、網(wǎng)絡(luò)嗅探器、IDS、IPS系統(tǒng)，甚至配置網(wǎng)絡(luò)安全隔離系統(tǒng)，對內(nèi)、外網(wǎng)絡(luò)進(jìn)行安全隔離；加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全管理，嚴(yán)格實(shí)行'最小權(quán)限''原則，為各個(gè)用戶配置好恰當(dāng)?shù)挠脩魴?quán)限；同時(shí)對一些敏感數(shù)據(jù)進(jìn)行加密保護(hù)，對數(shù)據(jù)還可以進(jìn)行數(shù)字簽名措施；根據(jù)企業(yè)實(shí)際需要配置好相應(yīng)的數(shù)據(jù)策略，并按策略認(rèn)真執(zhí)行。第2章公司網(wǎng)絡(luò)安全設(shè)計(jì)2.1.1公司需求建材公司根據(jù)業(yè)務(wù)發(fā)展需求，建設(shè)一個(gè)小型的企業(yè)網(wǎng)，有Web、Mail等服務(wù)器和辦公區(qū)客戶機(jī)。公司已經(jīng)完成了綜合布線工程的施工與網(wǎng)絡(luò)設(shè)備的架設(shè)。企業(yè)分為財(cái)務(wù)部門和業(yè)務(wù)部門，需要他們之間相互隔離。網(wǎng)絡(luò)管理員在實(shí)際維護(hù)公司網(wǎng)絡(luò)的過程中，常遇到各種網(wǎng)絡(luò)安全問題，例如：網(wǎng)絡(luò)黑客攻擊、網(wǎng)絡(luò)蠕蟲病毒泛濫、各種木馬程序等等。由于考慮到Inteneter的安全性，以及網(wǎng)絡(luò)安全等一些因素，如DDoS、ARP等。需要在防火墻設(shè)置相關(guān)的策略和其他一些安全策略。網(wǎng)絡(luò)管理員需要隨時(shí)排除企業(yè)網(wǎng)絡(luò)在日常運(yùn)轉(zhuǎn)中出現(xiàn)的各種網(wǎng)絡(luò)安全問題，保證企業(yè)網(wǎng)絡(luò)的穩(wěn)定工作。2.1.2結(jié)構(gòu)根據(jù)建材公司的整體網(wǎng)絡(luò)情況，簡單的網(wǎng)絡(luò)結(jié)構(gòu)圖如圖2-1所示：圖2-1網(wǎng)絡(luò)結(jié)構(gòu)圖公司網(wǎng)絡(luò)分析2.2.1網(wǎng)絡(luò)安全需求分析我們針對建材公司的網(wǎng)絡(luò)安全狀況和網(wǎng)絡(luò)結(jié)構(gòu)來進(jìn)行需求分析。建材公司的第一個(gè)網(wǎng)絡(luò)安全需求是根據(jù)部門需要?jiǎng)澐諺LAN，使用VPN技術(shù)。建材公司的第二個(gè)網(wǎng)絡(luò)安全需求是要安裝一個(gè)基于安全的操作系統(tǒng)平臺的高級通信保護(hù)控制系統(tǒng)---網(wǎng)絡(luò)防火墻，保護(hù)公司內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)免遭來自國際互聯(lián)網(wǎng)的黑客攻擊、病毒侵?jǐn)_。建材公司的第三個(gè)網(wǎng)絡(luò)安全需求是企業(yè)內(nèi)部的計(jì)算機(jī)網(wǎng)絡(luò)安全問題。建材公司網(wǎng)內(nèi)有很多計(jì)算機(jī)均有上網(wǎng)需求，這就導(dǎo)致常出現(xiàn)網(wǎng)絡(luò)黑客攻擊、網(wǎng)絡(luò)蠕蟲病毒泛濫、各種木馬程序盜取密碼等網(wǎng)絡(luò)安全問題。因此，依據(jù)建材公司內(nèi)計(jì)算機(jī)的使用狀況，分別安裝軟件防火墻、殺毒軟件、網(wǎng)絡(luò)安全軟件。2.2.2網(wǎng)絡(luò)內(nèi)容方案1、為了提高了網(wǎng)絡(luò)的利用率，確保了網(wǎng)絡(luò)的安全保密性。建材公司建立虛擬局域網(wǎng)實(shí)現(xiàn)數(shù)據(jù)安全和共享，提高建材公司主要兩大部門順利實(shí)效。2、通過多方調(diào)研，建材公司決定采用國內(nèi)網(wǎng)絡(luò)安全行業(yè)的領(lǐng)先企業(yè)----遠(yuǎn)東網(wǎng)安科技有限公司的遠(yuǎn)東網(wǎng)安防火墻。使用該防火墻隔離公司內(nèi)部網(wǎng)絡(luò)和國際互聯(lián)網(wǎng)。在不改變網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的情況下，使公司內(nèi)部的計(jì)算機(jī)訪問國際互聯(lián)網(wǎng)的時(shí)候，經(jīng)過包過濾安全設(shè)置。3、針對建材公司各個(gè)部門計(jì)算機(jī)的應(yīng)用環(huán)境，分別安裝網(wǎng)絡(luò)安全軟件、殺毒軟件、軟件防火墻等。網(wǎng)絡(luò)管理員的須知。4、對建材公司計(jì)算機(jī)操作系統(tǒng)進(jìn)行研究，操作系統(tǒng)的安裝以正常工作為目標(biāo)，一般很少考慮其安全性，因此安裝通常都是以缺省選項(xiàng)進(jìn)行設(shè)置。從安全角度考慮，其變現(xiàn)為裝了很多用不到的服務(wù)模塊，開放了很多不必開放的端口，其中可能隱含了安全風(fēng)險(xiǎn)。目前的操作系統(tǒng)無論是windows還是Unix操作系統(tǒng)以及其他廠商開發(fā)的應(yīng)用系統(tǒng)，某開發(fā)廠商必然有其Back-Door。而且系統(tǒng)本身必然存在安全漏洞。這些后門和安全漏洞都將存在重大安全隱患。系統(tǒng)的安全程度跟安全配置及系統(tǒng)的應(yīng)用有很大關(guān)系，操作系統(tǒng)如果進(jìn)行安全配置，填補(bǔ)安全漏洞，關(guān)閉一些不常用的服務(wù)，禁止開發(fā)一些不常用而又比較敏感的端口等，那么入侵者要成功進(jìn)入內(nèi)部網(wǎng)是不容易的，這需要相當(dāng)高的技術(shù)水平及相當(dāng)長時(shí)間。2.2.3項(xiàng)目設(shè)計(jì)￡圖2-2項(xiàng)目設(shè)計(jì)圖企業(yè)VLAN劃分企業(yè)主要分兩個(gè)部門，所以只要?jiǎng)澐謨蓚€(gè)VLAN,分別為：財(cái)務(wù)部門VLAN10交換機(jī)S0接入交換機(jī)（華為S5700-24TP-SI-AC）業(yè)務(wù)部門VLAN20交換機(jī)S1接入交換機(jī)（華為S5700-24TP-SI-AC）核心交換機(jī)S2核心交換機(jī)（華為S5700-24TP-SI-AC）圖2-3網(wǎng)絡(luò)拓?fù)鋱D第3章公司項(xiàng)目實(shí)施的功能和作用分類1、 基于端口的VLAN； |2、 基于MAC地址的VLAN；3、 基于第3層的VLAN；4、 基于策略的VLAN；作用VLAN（VirtualLocalAreaNetwork，虛擬局域網(wǎng)）的目的非常的多。通過認(rèn)識VLAN的本質(zhì)，將可以了解到其用處究竟在哪些地方。 第一，要知道個(gè)或者以上的網(wǎng)段的時(shí)候，就是VLAN發(fā)揮作用的時(shí)候，這就是VLAN的目的。組建VLAN的條件

VLAN是建立在物理網(wǎng)絡(luò)基礎(chǔ)上的一種邏輯子網(wǎng)，因此建立VLAN需要相應(yīng)的支持VLAN技術(shù)的網(wǎng)絡(luò)設(shè)備。當(dāng)網(wǎng)絡(luò)中的不同VLAN間進(jìn)行相互通信時(shí)，需要路由的支持，這時(shí)就需要增加路由設(shè)備——要實(shí)現(xiàn)路由功能，既可采用路由器，也可采用三層交換機(jī)來完成。同時(shí)還嚴(yán)格限制了用戶數(shù)量.基本配置命令switch#vlandatabase1、 創(chuàng)建vlan方法一switch#vlandatabaseswitch(vlan)#vlan10namewz2、 創(chuàng)建vlan方法二switch(config-vlan)#namewz3、 刪除vlan方法一switch(vlan)#exit4、 刪除vlan方法二switch(config)#novlan105、 刪除vlan方法三6、 將端口加入到vlan中if)#switchportaccessvlan10組連續(xù)的端口加入到vlan中7、 將組連續(xù)的端口加入到vlan中switch(vlan)#exitswitch(config)#vlan10switch(vlan)#exitswitch(config)#vlan10switch(vlan)#novlan10switch(config)#nointerfacevlan10switch#switch(config-switch(config)#interfacerangef0/6-8,0/9T1,0/22 (將不連續(xù)多個(gè)端口加入到Vlan中) switch(config-if-range)#switchportaccessvlan108、將端口從vlan中刪除 switch(config-if)#noswitchportaccessvlan10switch(config-if)#switchportaccessvlan1switch(config-if-range)#noswitchportaccessvlan10switch(config-if-range)#switchportaccessvlan19、查看所有vlan的摘要信息 switch#showvlanbrief10、查看指定vlan的信息 switch#showvlanid1011、 指定端口成為trunkswitch(config-if)#switchportmodetrunk12、 Trunk的自動(dòng)協(xié)商switch(config-if)#switchportmodedynamicdesirableswitch(config-if)#switchportmodedynamicauto注意：如果中繼鏈路兩端都設(shè)置成auto將不能成為trunk13、查看端口狀態(tài) switch#showinterfacef0/2switchport14、 在trunk上移出vlanswitch(config-if)#switchporttrunkallowedvlanremove2015、 在trunk上添加vlanswitch(config-if)#switchporttrunkallowedvlanadd20公司VLAN劃分財(cái)務(wù)部門VLAN10交換機(jī)S0接入交換機(jī)（華為S5700-24TP-SI-AC）業(yè)務(wù)部門VLAN20交換機(jī)S1接入交換機(jī)（華為S5700-24TP-SI-AC）核心交換機(jī)S2核心交換機(jī)（華為S5700-24TP-SI-AC）其他劃分根據(jù)端口來劃分VLAN許多VLAN廠商都利用交換機(jī)的端口來劃分VLAN成員。被設(shè)定的端口都在同一個(gè)廣播域中。例如，一個(gè)交換機(jī)的1，2,3,4,5端口被定義為虛擬網(wǎng)AAA，同一交換機(jī)的6,7,8端口組成虛擬網(wǎng)BBB。這樣做允許各端口之間的通訊，并允許共享型網(wǎng)絡(luò)的升級。但是，這種劃分模式將虛擬網(wǎng)限制在了一臺交換機(jī)上。 第二代端口VLAN技術(shù)允許跨越多個(gè)交換機(jī)的多個(gè)不同端口劃分VLAN，不同交換機(jī)上的若干個(gè)端口可以組成同一個(gè)虛擬網(wǎng)。 以交換機(jī)端口來劃分網(wǎng)絡(luò)成員，其配置過程簡單明了。因此，從目前來看，這種根據(jù)端口來劃分VLAN的方式仍然是最常用的一種方式。根據(jù)MAC地址劃分VLAN這種劃分VLAN的方法是根據(jù)每個(gè)主機(jī)的MAC地址來劃分，即對每個(gè)MAC地址的主機(jī)都配置它屬于哪個(gè)組。這種劃分VLAN方法的最大優(yōu)點(diǎn)就是當(dāng)用戶物理位置移動(dòng)時(shí)，即從一個(gè)交換機(jī)換到其他的交換機(jī)時(shí)，VLAN不用重新配置，所以，可以認(rèn)為這種根據(jù)MAC地址的劃分方法是基于用戶的VLAN，這種方法的缺點(diǎn)是初始化時(shí)，所有的用戶都必須進(jìn)行配置，如果有幾百個(gè)甚至上千個(gè)用戶的話，配置是非常累的。而且這種劃分的方法也導(dǎo)致了交換機(jī)執(zhí)行效率的降低，因?yàn)樵诿恳粋€(gè)交換機(jī)的端口都可能存在很多個(gè)VLAN組的成員，這樣就無法限制廣播包了。另外，對于使用筆記本電腦的用戶來說，他們的網(wǎng)卡可能經(jīng)常更換，這樣，VLAN就必須不停地配置。根據(jù)網(wǎng)絡(luò)層劃分VLAN這種劃分VLAN的方法是根據(jù)每個(gè)主機(jī)的網(wǎng)絡(luò)層地址或協(xié)議類型（如果支持多協(xié)議）劃分的，雖然這種劃分方法是根據(jù)網(wǎng)絡(luò)地址，比如IP地址，但它不是路由，與網(wǎng)絡(luò)層的路由毫無關(guān)系。 這種方法的優(yōu)點(diǎn)是用戶的物理位置改變了，不需要重新配置所屬的VLAN，而且可以根據(jù)協(xié)議類型來劃分VLAN，這對網(wǎng)絡(luò)管理者來說很重要，還有，這種方法不需要附加的幀標(biāo)簽來識別VLAN，這樣可以減少網(wǎng)絡(luò)的通信量。 這種方法的缺點(diǎn)是效率低，因?yàn)闄z查每一個(gè)數(shù)據(jù)包的網(wǎng)絡(luò)層地址是需要消耗處理時(shí)間的（相對于前面兩種方法），一般的交換機(jī)芯片都可以自動(dòng)檢查網(wǎng)絡(luò)上數(shù)據(jù)包的以太網(wǎng)幀頭，但要讓芯片能檢查IP幀頭，需要更高的技術(shù)，同時(shí)也更費(fèi)時(shí)。當(dāng)然，這與各個(gè)廠商的實(shí)現(xiàn)方法有關(guān)。根據(jù)IP組播劃分VLANIP組播實(shí)際上也是一種VLAN的定義，即認(rèn)為一個(gè)組播組就是一個(gè)VLAN，這種劃分的方法將VLAN擴(kuò)大到了廣域網(wǎng)，因此這種方法具有更大的靈活性，而且也很容易通過路由器進(jìn)行擴(kuò)展，當(dāng)然這種方法不適合局域網(wǎng)，主要是效率不高。的功能和作用公司配置VPN服務(wù)器公司VPN服務(wù)器端使用Win2000；客戶機(jī)端使用Win98來設(shè)置VPN。（1） 尚未配置：Win2K中的VPN包含在〃路由和遠(yuǎn)程訪問服務(wù)〃中。當(dāng)Win2K服務(wù)器安裝好之后，它也就隨之自動(dòng)存在了！不過此時(shí)當(dāng)打開〃管理工具〃中的〃路由和遠(yuǎn)程訪問〃項(xiàng)進(jìn)入其主窗口后，在左邊的〃樹〃欄中選中〃服務(wù)器準(zhǔn)狀態(tài)〃，即可從右邊看到其〃狀態(tài)〃正處于〃已停止（未配置）〃的情況下。（2） 開始配置：要想讓計(jì)算機(jī)能接受客戶機(jī)的VPN撥入，必須對VPN服務(wù)器進(jìn)行配置。在左邊窗口中選中"SERVER”（服務(wù)器名），在其上單擊右鍵，選〃配置并啟用路由和遠(yuǎn)程訪問〃。配置并啟用路由和遠(yuǎn)程訪問，如圖3-1所示。圖3-1設(shè)置路由和遠(yuǎn)程訪問（3） 如果以前已經(jīng)配置過這臺服務(wù)器，現(xiàn)在需要重新開始，則在"SERVER”（服務(wù)器名）上單擊右鍵，選〃禁用路由和遠(yuǎn)程訪問”，即可停止此服務(wù)，以便重新配置?。?） 當(dāng)進(jìn)入配置向?qū)е?，在〃公共設(shè)置〃中，點(diǎn)選中〃虛擬專用網(wǎng)絡(luò)（VPN）服務(wù)器”，以便讓用戶能通過公共網(wǎng)絡(luò)（比如Internet）來訪問此服務(wù)器。虛擬專用網(wǎng)絡(luò)（VPN）服務(wù)器，如圖3-2所示。（5）在〃遠(yuǎn)程客戶協(xié)議〃的對話框中，一般來說，這里面至少應(yīng)該已經(jīng)有了TCP/IP協(xié)議，則只需直接點(diǎn)選〃是，所有可用的協(xié)議都在列表上〃再〃下一步〃即可。（6） 之后系統(tǒng)會要求你再選擇一個(gè)此服務(wù)器所使用的Internet連接，在其下的列表中選擇所用的連接方式（比如已建立好的撥號連接或通過指定的網(wǎng)卡進(jìn)行連接等）再〃下一步〃。（7） 接著在回答〃您想如何對遠(yuǎn)程客戶機(jī)分配IP地址〃的詢問時(shí)，除非你已在服務(wù)器端安裝好了DHCP服務(wù)器，否則請?jiān)诖颂庍x〃來自一個(gè)指定的IP地址范圍〃（推薦）。（9）最后再選〃不，現(xiàn)在不想設(shè)置此服務(wù)器使用RADIUS〃即可完成最后的設(shè)置。此時(shí)屏幕上將自動(dòng)出現(xiàn)一個(gè)正在開戶〃路由和遠(yuǎn)程訪問服務(wù)〃的小窗口，當(dāng)它消失之后，打開〃管理工具〃中的〃服務(wù)"，即可以看到"RoutingandRemoteAccess”（路由和遠(yuǎn)程訪問）項(xiàng)〃自動(dòng)〃處于〃已啟動(dòng)〃狀態(tài)了！已啟動(dòng)狀態(tài)，如圖3-3所示。圖3-3啟動(dòng)狀態(tài)操作系統(tǒng)的安全配置操作系統(tǒng)安全策略利用Windows2000的安全配置工具來配置安全策略，微軟提供了一套的基于管理控制臺的安全配置和分析工具，可以配置服務(wù)器的安全策略。在管理工具中可以找到“本地安全策略”，主界面如圖3-4所示?？膳渲盟念惏踩呗裕簬舨呗?、本地策略、公鑰策略和IP安全策略。默認(rèn)的情況下，這些策略都沒有開啟。關(guān)閉不必要的服務(wù)Windows2000的TerminalServices（終端服務(wù)）和IIS（Internet信息服務(wù)）等都可能給系統(tǒng)帶來安全漏洞。為了能夠遠(yuǎn)程方便的管理服務(wù)器，很多機(jī)器的終端服務(wù)都是開著，如果開了，要確認(rèn)已經(jīng)正確的配置了終端服務(wù)。有些惡意的程序也能以服務(wù)方式悄悄的運(yùn)行服務(wù)器上的終端服務(wù)。要留意服務(wù)器上開啟的所有服務(wù)并每天檢查。方法一：程序-->運(yùn)行-->打開方法二：我的電腦-->鼠標(biāo)右鍵下拉菜單-->管理方法三：控制面板-->性能和維護(hù)-->管理工具-->服務(wù)圖3-5計(jì)算機(jī)管理關(guān)閉不必要的端口關(guān)閉端口意味著減少功能，如果服務(wù)器安裝在防火墻的后面，被入侵的機(jī)會就會少一些，但不可認(rèn)為高枕無憂了。用端口掃描器掃描系統(tǒng)所開放的端口，在Winnt\system32\drivers\etc\services文件中有知名端口和服務(wù)的對照表可供參考。該文件用記事本打開如圖3-6所示。設(shè)置本機(jī)開放的端口和服務(wù)，在IP地址設(shè)置窗口中點(diǎn)擊按鈕“高級”，在出現(xiàn)的對話框中選擇選項(xiàng)卡“選項(xiàng)”，選中“TCP/IP篩選”，點(diǎn)擊按鈕“屬性”，設(shè)置端口界面如圖圖3-7所示。圖3-7TCP/IP篩選一臺Web服務(wù)器只允許TCP的80端口通過就可以了。TCP/IP篩選器是Windows自帶的防火墻，功能比較強(qiáng)大，可以替代防火墻的部分功能。開啟審核策略安全審核是Windows2000最基本的入侵檢測方法。當(dāng)有人嘗試對系統(tǒng)進(jìn)行某種方式（如嘗試用戶密碼，改變帳戶策略和未經(jīng)許可的文件訪問等等）入侵的時(shí)候，都會被安全審核記錄下來。審核策略在默認(rèn)的情況下都是沒有開啟的。如圖3-8所示。圖3-8審核策略雙擊審核列表的某一項(xiàng)，出現(xiàn)設(shè)置對話框，將復(fù)選框“成功”和“失敗”都選中，如圖3-9所示。圖3-9本地安全策略設(shè)置開啟密碼策略密碼對系統(tǒng)安全非常重要。本地安全設(shè)置中的密碼策略在默認(rèn)的情況下都沒有開啟。設(shè)置選項(xiàng)如圖3-10所示。圖3-10密碼策略設(shè)置開啟帳戶策略開啟帳戶策略可以有效的防止字典式攻擊。設(shè)置選項(xiàng)如圖3-11所示。圖3-11賬戶策略設(shè)置備份敏感文件把敏感文件存放在另外的文件服務(wù)器中，雖然服務(wù)器的硬盤容量都很大，但是還是應(yīng)該考慮把一些重要的用戶數(shù)據(jù)（文件，數(shù)據(jù)表和項(xiàng)目文件等）存放在另外一個(gè)安全的服務(wù)器中，并且經(jīng)常備份它們。不顯示上次登錄名默認(rèn)情況下，終端服務(wù)接入服務(wù)器時(shí)，登陸對話框中會顯示上次登陸的帳戶名，本地的登陸對話框也是一樣。黑客們可以得到系統(tǒng)的一些用戶名，進(jìn)而做密碼猜測。修改注冊表，在HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\。將DontDisplayLastUserName鍵值改成1，如圖3-12所示。圖3-12注冊表編輯器打開管理工具-->本地安全策略-->本地策略-->安全選項(xiàng)，在打開窗口右側(cè)列表中選擇“登錄屏幕上不要顯示上次登錄的用戶名”選項(xiàng)，在彈出對話框選擇“已啟用”，如圖3-13所示。圖3-13安全選項(xiàng)備份注冊表注冊表是不能隨便改動(dòng)的，除非特別有把握。注冊表更改處理不好的話，可能會導(dǎo)致計(jì)算機(jī)不能正常啟動(dòng)或計(jì)算機(jī)某些功能不能用，甚至當(dāng)將原來的更改還原回去也一樣不能用。所以在更改注冊表的任何一項(xiàng)之前，最好將注冊表備份。當(dāng)系統(tǒng)因?yàn)楦淖员矶鰡栴}時(shí)，可以采用恢復(fù)注冊表的方式來恢復(fù)系統(tǒng)。禁止建立空連接默認(rèn)情況下，任何用戶通過空連接連上服務(wù)器，進(jìn)而可以枚舉出帳號，猜測密碼。修改注冊表，在HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\，將RestrictAnonymous鍵值改成“1”即可。如圖3-14所示。圖3-14修改注冊表下載最新的補(bǔ)丁很多網(wǎng)絡(luò)管理員沒有訪問安全站點(diǎn)的習(xí)慣，以至于一些漏洞都出了很久，還放著服務(wù)器的漏洞未打補(bǔ)丁。誰也不敢保證數(shù)百萬行以上代碼的Windows2000不出一點(diǎn)安全漏洞。經(jīng)常訪問微軟和一些安全站點(diǎn)，下載最新的ServicePack和漏洞補(bǔ)丁，是保障服務(wù)器長久安全的唯一方法。可以使用一些常用的漏洞掃描軟件！先掃描出漏洞。防火墻的安裝與管理防火墻是計(jì)算機(jī)網(wǎng)絡(luò)上一類防范措施的總稱，它使得內(nèi)部網(wǎng)絡(luò)與Internet之間或其它外部網(wǎng)絡(luò)互相隔離、限制網(wǎng)絡(luò)互訪，用來保護(hù)內(nèi)部網(wǎng)絡(luò)。防火墻簡單的可以只用路由器實(shí)現(xiàn)，復(fù)雜的則可以用主機(jī)甚至一個(gè)子網(wǎng)來實(shí)現(xiàn)，設(shè)置防火墻的目的都是為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)立惟一的通道來自簡化網(wǎng)絡(luò)的安全管理。防火墻的功能主要是過濾掉不安全服務(wù)和非法用戶與控制對特殊站點(diǎn)的訪問以及提供監(jiān)視Internet安全和預(yù)警的方便端點(diǎn)。實(shí)現(xiàn)防火墻技術(shù)從層次上大概可以分為報(bào)文過濾和應(yīng)用層網(wǎng)關(guān)。報(bào)文過濾是在IP層實(shí)現(xiàn)的，它的原理是根據(jù)報(bào)文的源IP地址、目的IP地址、源端口、目的端口報(bào)文信息來判斷是否允許報(bào)文通過，因此它可以只用路由器完成。在建材公司內(nèi)部網(wǎng)絡(luò)的出口處，放置防火墻，通過包過濾安全設(shè)置，保護(hù)建材公司內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)免遭來自國際互聯(lián)網(wǎng)的黑客攻擊、病毒侵?jǐn)_。3.4.1防火墻的安裝安裝防火墻的WEB管理終端遠(yuǎn)東網(wǎng)安防火墻的管理操作主要在WEB管理終端提供。安裝WEB管理終端不需要特殊的附加軟件，只要具有管理權(quán)限并安裝了WEB瀏覽器，任何一臺內(nèi)部主機(jī)都可以作為WEB管理終端來使用。安裝遠(yuǎn)東網(wǎng)安防火墻WEB管理終端：使用一臺基于WindowsXP平臺或Linux平臺的計(jì)算機(jī)A。在計(jì)算機(jī)A上安裝WEB瀏覽器—可以是任何標(biāo)準(zhǔn)的客戶端軟件，如：InternetExplorer(Windows)；Netscape(Windows,UNIX)；Mozilla(UNIX)o③將計(jì)算機(jī)A的網(wǎng)絡(luò)接口與遠(yuǎn)東網(wǎng)安防火墻中心系統(tǒng)的網(wǎng)口E(eth0)連接起來，如果是直接相連則必須使用反接的雙絞線(背對背線)o在計(jì)算機(jī)A上打開WEB瀏覽器，在地址欄輸入E的網(wǎng)址：。（或者另外三個(gè)防火墻的初始網(wǎng)址）注意WEB瀏覽器的地址欄中是以https開頭而不是http，表示加密的http通信。如果網(wǎng)絡(luò)連接配置無誤，就可以在計(jì)算機(jī)A上訪問遠(yuǎn)東網(wǎng)安防火墻中心系統(tǒng)的WEB管理界面了，如圖3-15所示。圖3-15WEB管理界面3.4.2防火墻的管理管理權(quán)限：通過WEB管理終端對遠(yuǎn)東網(wǎng)安防火墻進(jìn)行管理操作需要有管理權(quán)限。防火墻的出廠缺省配置給予內(nèi)部網(wǎng)保留地址的主機(jī)所有管理權(quán)限。防火墻的管理權(quán)限是按功能范圍劃分的。獲得管理權(quán)限可以在客戶端運(yùn)行用戶認(rèn)證客戶端SecureKey,，然后輸入用戶名/口令，驗(yàn)證成功后即獲得該用戶的管理權(quán)限。用戶認(rèn)證客戶端SecureKey用戶登錄遠(yuǎn)東網(wǎng)安防火墻使用用戶認(rèn)證客戶端SecureKey。SecureKey是隨遠(yuǎn)東網(wǎng)安防火墻附帶的登錄認(rèn)證軟件。使用SecureKey登錄到防火墻后，就可以訪問防火墻的WEB管理終端并利用登錄用戶的管理權(quán)限范圍執(zhí)行若干功能模塊的管理操作。安裝了SecureKey之后，就可以在程序菜單中點(diǎn)擊SecureKey或者直接執(zhí)行桌面的快捷方式打開SecureKey，如圖3-16所示。圖3-16一次性口令認(rèn)證輸入遠(yuǎn)東網(wǎng)安防火墻的IP信息、登錄用戶名、用戶密碼，然后點(diǎn)擊“連接”按鈕，SecureKey就會與防火墻建立加密的SSL通道，進(jìn)行用戶名和口令驗(yàn)證。如果用戶登錄有錯(cuò)誤，比如防火墻IP無法連接、用戶不存在、用戶密碼錯(cuò)誤、超過最大用戶登錄人數(shù)、該用戶已登錄、本主機(jī)已由其他用戶登錄等等錯(cuò)誤時(shí)，SecureKey會彈出提示框顯示相應(yīng)的錯(cuò)誤信息。如果各參數(shù)無誤，成功登錄后SecureKey窗口會自動(dòng)最小化并在系統(tǒng)任務(wù)欄中顯示圖標(biāo)，雙擊該圖標(biāo)可以重新打開SecureKey窗口，此時(shí)顯示已登錄狀態(tài)，如圖3-17所示。圖3-17一次性口令認(rèn)證使用SecureKey登錄，有幾點(diǎn)注意事項(xiàng)：如果指定了綁定的IP和MASK，則該只能在綁定的IP范圍內(nèi)使用SecureKey登錄。一臺主機(jī)同一時(shí)刻只能由一個(gè)用戶登錄。一個(gè)用戶同一時(shí)刻只能在一臺主機(jī)上登錄，也就是說，已登錄的用戶無法在任一主機(jī)上再次登錄。如果已經(jīng)登錄的用戶數(shù)達(dá)到了最大限制數(shù)，其它用戶也無法再登錄。用戶登錄可以由用戶主動(dòng)注銷，也可以由管理員在WEB管理終端強(qiáng)行切斷。已登錄的用戶如果其主機(jī)與防火墻中心系統(tǒng)斷開網(wǎng)絡(luò)連接超過定義的時(shí)間，防火墻也會主動(dòng)將該登錄取消并作記錄。3.4.3安裝證書遠(yuǎn)東網(wǎng)安防火墻的WEB管理終端與中心系統(tǒng)的通信是加密的HTTPS協(xié)議，第一次訪問WEB管理界面的時(shí)候，瀏覽器會提示此加密通信的證書沒有得到信任，如圖3-18所示。點(diǎn)擊“是”按鈕可以忽略驗(yàn)證過程，對WEB管理過程沒有影響。如果在安裝WEB管理終端的主機(jī)上安裝防火墻的根證書，以后就不會出現(xiàn)此警報(bào)。圖3-18安全警報(bào)安裝根證書的方法是將遠(yuǎn)東網(wǎng)安防火墻隨機(jī)附帶光盤中的根證書文件）復(fù)制到安裝WEB管理終端的主機(jī)上，雙擊打開此文件查看證書信息，如圖3-19所示，并點(diǎn)擊安裝證書按鈕：圖3-19證書點(diǎn)擊安裝證書按鈕就打開了證書導(dǎo)入向?qū)?，如圖3-20所示。圖3-20證書導(dǎo)入向?qū)П３窒驅(qū)У娜笔∵x項(xiàng)不變，依次點(diǎn)擊確認(rèn)按鈕如“下一步”、“完成”、“是”等往后安裝，最后完成根證書FarEastCA的導(dǎo)入過程。完成了證書的驗(yàn)證工作后，還要使證書上的名稱與防火墻站點(diǎn)名稱匹配，也就是在用WEB瀏覽器訪問遠(yuǎn)東網(wǎng)安防火墻時(shí)。這要求安裝WEB管理終端的主機(jī)上對FEFW有域名解析，可以通過編輯c:\winnt\system32\drivers\etc\hosts文件來實(shí)現(xiàn)，在該文件末尾添加一行：3.4.4遠(yuǎn)程監(jiān)控臺的安裝遠(yuǎn)程監(jiān)控臺RemoteMonitor是一個(gè)防火墻狀態(tài)實(shí)時(shí)監(jiān)控軟件，可以在網(wǎng)絡(luò)中集中的監(jiān)控多臺遠(yuǎn)東網(wǎng)安防火墻，實(shí)時(shí)的反映各臺防火墻的狀態(tài)信息，如圖3-21所示。圖3-21遠(yuǎn)程監(jiān)控臺遠(yuǎn)程監(jiān)控臺運(yùn)行于Windows平臺，安裝文件在遠(yuǎn)東網(wǎng)安防火墻隨機(jī)附帶的軟件光盤上，運(yùn)行“遠(yuǎn)程監(jiān)控臺”目錄下的文件，就可以按照安裝向?qū)У闹甘疽徊讲酵瓿蛇h(yuǎn)程監(jiān)控臺的安裝。防火墻的配置配置遠(yuǎn)東網(wǎng)安防火墻的NAT工作模式配置目的：在不改變網(wǎng)絡(luò)拓?fù)涞那闆r下，使建材公司內(nèi)部的計(jì)算機(jī)訪問國際互聯(lián)網(wǎng)的時(shí)候，經(jīng)過包過濾安全設(shè)置?！笆恰?，如圖3-22所示。圖3-22安全警報(bào)出現(xiàn)管理終端，如圖3-23所示。圖3-23管理終端⑵在“網(wǎng)絡(luò)管理”選項(xiàng)的“網(wǎng)絡(luò)地址欄”對話框內(nèi)輸入IP地址，如圖3-24所示。圖3-24網(wǎng)絡(luò)地址（3） 在“防火墻”選項(xiàng)的“地址轉(zhuǎn)換”對話框內(nèi)，為“靜態(tài)NAT”添加一個(gè)默認(rèn)的規(guī)則，出口為ETH1:WAN口，如圖3-25所示。圖3-25靜態(tài)NAT（4） 在“防火墻”選項(xiàng)的“訪問控制”對話框內(nèi)添加一個(gè)默認(rèn)的規(guī)則，如圖3-26所示。圖3-26訪問控制（5）配置訪問控制規(guī)則：首先點(diǎn)擊包過濾（any->any），配置如圖3-27所示。圖3-27包過濾規(guī)則配置然后點(diǎn)擊“規(guī)則修改完成”。點(diǎn)擊“動(dòng)作”（default），配置動(dòng)作為通過，再點(diǎn)擊“保存”按鈕，如圖3-28所示。圖3-28動(dòng)作變量（6）配置客戶主機(jī)網(wǎng)絡(luò)參數(shù)。現(xiàn)在，經(jīng)過連通性測試，如圖3-29所示，就可以正常登錄國際互聯(lián)網(wǎng)了。圖3-29網(wǎng)絡(luò)測試第4章公司網(wǎng)絡(luò)安全維護(hù)公司管理的安全性管理方面的安全隱患包括：內(nèi)部管理人員或員工圖方便省事，不設(shè)置用戶口令，或者設(shè)置的口令過短和過于簡單，導(dǎo)致很容易破解。責(zé)任不清，使用相同的用戶名、口令，導(dǎo)致權(quán)限管理混亂，信息泄密。把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員用戶名及口令以及系統(tǒng)的一些重要信息傳播給外人帶來信息泄漏風(fēng)險(xiǎn)。內(nèi)部不滿的員工有的可能造成極大的安全風(fēng)險(xiǎn)。管理是網(wǎng)絡(luò)中安全得到保證的重要組成部分，是防止來自內(nèi)部網(wǎng)絡(luò)入侵必須的部分。責(zé)權(quán)不明，管理上混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。即除了從技術(shù)上下功夫外，還得依靠安全管理來實(shí)現(xiàn)。安全管理包括安全技術(shù)和設(shè)備的管理，安全管理制度，部門與人員的組織規(guī)則等。管理的制度化程度極大地影響著整個(gè)網(wǎng)絡(luò)的安全，嚴(yán)格的安全管理制度、明確的部門安全職責(zé)劃分、合理的人員角色定義都可以在很大程度上降低其它層次的安全漏洞。業(yè)務(wù)系統(tǒng)的可用性：中小企業(yè)主機(jī)、FTP、應(yīng)用服務(wù)器系統(tǒng)的安全運(yùn)行同樣十分關(guān)鍵，網(wǎng)絡(luò)安全必須保證這些系統(tǒng)不會遭受來自網(wǎng)絡(luò)的非法訪問、惡意入侵和破壞。數(shù)據(jù)機(jī)密性:對于中小企業(yè)網(wǎng)絡(luò)，保密數(shù)據(jù)的泄密將直接帶來企業(yè)商業(yè)利益的損失。網(wǎng)絡(luò)安全系統(tǒng)應(yīng)保證機(jī)密信息在存儲與傳輸時(shí)的保密性。安全管理的主要功能指對安全設(shè)備的管理；監(jiān)視網(wǎng)絡(luò)危險(xiǎn)情況，對危險(xiǎn)進(jìn)行隔離，并把危險(xiǎn)控制在最小范圍內(nèi)；身份認(rèn)證，權(quán)限設(shè)置；對資源的存取權(quán)限的管理；對資源或用戶動(dòng)態(tài)的或靜態(tài)的審計(jì)；對違規(guī)事件，自動(dòng)生成報(bào)警或生成事件消息；口令管理（如操作員的口令鑒權(quán)），對無權(quán)操作人員進(jìn)行控制；密鑰管理：對于與密鑰相關(guān)的服務(wù)器，應(yīng)對其設(shè)置密鑰生命期、密鑰備份等管理功能；冗余備份：為增加網(wǎng)絡(luò)的安全系數(shù)，對于關(guān)鍵的服務(wù)器應(yīng)冗余備份。安全管理應(yīng)該從管理制度和管理平臺技術(shù)實(shí)現(xiàn)兩個(gè)方面來實(shí)現(xiàn)。安全管理產(chǎn)品盡可能的支持統(tǒng)一的中心控制平臺。服務(wù)器防毒技術(shù)服務(wù)器是網(wǎng)絡(luò)的核心'，一旦服務(wù)器被病毒感染，無法啟動(dòng)，整個(gè)網(wǎng)絡(luò)就會陷于癱瘓。目前基于服務(wù)器的防治病毒方法主要以NLM可裝載模塊技術(shù)進(jìn)行程序設(shè)計(jì)，以服務(wù)器為基礎(chǔ)，提供實(shí)時(shí)掃描病毒能力?；诜?wù)器的防毒技術(shù)一般具有以下功能：1）服務(wù)器所有文件掃描。對服務(wù)器中的所有文件集中檢查是否帶毒，若有帶毒文件，則提供Supervisory等幾種處理方法；2）實(shí)時(shí)在線掃描。全天24小時(shí)臨近網(wǎng)絡(luò)中是否有帶毒文件進(jìn)入服務(wù)器;3） 服務(wù)器掃描選擇。系統(tǒng)管理員（Supervisor）定期檢查服務(wù)器中是否帶毒，可按月、周或天集中掃描一下網(wǎng)絡(luò)服務(wù)器；4） 自動(dòng)報(bào)告功能及病毒存檔；5） 工作站掃描?；诜?wù)器的防病毒軟件不能保護(hù)本地工作站的硬盤，有效方法是在服務(wù)器上安裝防毒軟件，同時(shí)在上網(wǎng)的工作站內(nèi)存中調(diào)入一個(gè)常駐掃毒程序，實(shí)時(shí)檢測在工作站中運(yùn)行的程序；6） 對用戶開放的特征接口，對用戶遇到的帶毒文件，經(jīng)過病毒特征分析程序，自動(dòng)將病毒特征加入特征庫，以隨時(shí)增強(qiáng)抗毒能力。網(wǎng)