構(gòu)建企業(yè)網(wǎng)絡(luò)安全方案

企業(yè)內(nèi)部網(wǎng)絡(luò)安全策略論述報(bào)告設(shè)計(jì)題目 論述企事業(yè)內(nèi)部的網(wǎng)絡(luò)安全策略學(xué) 院 軟件學(xué)院專(zhuān) 業(yè) 網(wǎng)絡(luò)工程學(xué) 號(hào)姓 名指導(dǎo)教師完成日期目錄摘要. 31. 引言. 41.1本課題的研究意義 41.2本論文的目的、內(nèi)容 42. 企業(yè)網(wǎng)絡(luò)現(xiàn)狀及設(shè)計(jì)論述 . 42.1概述. 42.2實(shí)際網(wǎng)絡(luò)的特點(diǎn)及目前企業(yè)網(wǎng)絡(luò)優(yōu)缺點(diǎn)論述 72.3設(shè)計(jì)目標(biāo). 93. 關(guān)鍵問(wèn)題論述. 103.1研究設(shè)計(jì)中要解決的問(wèn)題 103.2本課題所作的改善設(shè)計(jì) 114. 系統(tǒng)設(shè)計(jì)關(guān)鍵技術(shù)論述 . 124.1.目標(biāo)具體實(shí)現(xiàn)中采用的關(guān)鍵技術(shù)及分析 124.2設(shè)計(jì)實(shí)現(xiàn)的策略和途徑描述 154.3設(shè)計(jì)模型及系統(tǒng)結(jié)構(gòu)（新的拓?fù)鋱D） 165. 系統(tǒng)實(shí)現(xiàn)技術(shù)論述. 16概述 175.1物理設(shè)備安全...........................................175.2VPN技術(shù)...............................................195.3訪(fǎng)問(wèn)控制列表與 QOS技術(shù) 255.4服務(wù)器的安全...........................................256.總結(jié)....................................................277.參考文獻(xiàn)................................................28企事業(yè)單位內(nèi)部網(wǎng)絡(luò)的安全策略論述摘要：互聯(lián)網(wǎng)給我們帶來(lái)了極大的便利。但是，隨著互聯(lián)網(wǎng)的空前發(fā)展以及互聯(lián)網(wǎng)技術(shù)的普及，使我們面臨另外提個(gè)困境：私人數(shù)據(jù)、重要的企業(yè)資源以及政府機(jī)密等信息被暴露在公共網(wǎng)絡(luò)空間之下，伴隨而來(lái)的網(wǎng)絡(luò)安全問(wèn)題越來(lái)越引起人們的關(guān)注。計(jì)算機(jī)系統(tǒng)一旦遭受破壞，將給使用單位造成重大經(jīng)濟(jì)損失，并嚴(yán)重影響正常工作的順利開(kāi)展。加強(qiáng)企業(yè)網(wǎng)絡(luò)安全工作，是一些企業(yè)建設(shè)工作的重要工作內(nèi)容之一。本文主要分析了企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)和一些基本的安全情況，包括系統(tǒng)安全的需求分析、概要設(shè)計(jì)，詳細(xì)設(shè)計(jì)分析等，重點(diǎn)針對(duì)企業(yè)網(wǎng)絡(luò)中出現(xiàn)的網(wǎng)絡(luò)安全問(wèn)題，作了個(gè)簡(jiǎn)單介紹。對(duì)有關(guān)安全問(wèn)題方面模塊的劃分，解決的方案與具體實(shí)現(xiàn)等部分關(guān)鍵詞：網(wǎng)絡(luò)安全VPN技術(shù)QOS技術(shù)容災(zāi)備份 服務(wù)器安全. 引言隨著互聯(lián)網(wǎng)的空前發(fā)展以及互聯(lián)網(wǎng)技術(shù)的不斷普及， 企業(yè)的重要數(shù)據(jù)信息都被暴露在公共網(wǎng)絡(luò)空間下，很容易丟失或者被一些不法人士獲取。由于黑客的攻擊、病毒的入侵、以及人為操作的不當(dāng)?shù)龋加锌赡芡{到重要信息數(shù)據(jù)， 這些危害也越來(lái)越受到人們的重視。因此，根據(jù)企業(yè)的實(shí)際情況建立一套切實(shí)可行的安全網(wǎng)絡(luò)方案來(lái)改善這個(gè)情況，使企業(yè)的數(shù)據(jù)機(jī)密信息得以保護(hù)，并且可以保證企業(yè)的網(wǎng)絡(luò)順暢的工作，有助于公司的長(zhǎng)遠(yuǎn)發(fā)展。1.1本課題的研究意義本課題的研究意義在于論述并研究企業(yè)網(wǎng)絡(luò)的安全解決方案以及實(shí)際的應(yīng)用方法，是獲得整個(gè)企業(yè)網(wǎng)絡(luò)安全優(yōu)良設(shè)計(jì)的指南，為公司探討出一套正確有效的網(wǎng)絡(luò)安全方案。1.2本論文的目的、內(nèi)容本論文的目的是為企業(yè)提出一個(gè)有效的網(wǎng)絡(luò)安全方案，使企業(yè)的網(wǎng)絡(luò)安全威脅降到最低。從企業(yè)的設(shè)備配置安全、系統(tǒng)軟件的安全、以及放火墻與入侵檢測(cè)等來(lái)論述企業(yè)的網(wǎng)絡(luò)安全。企業(yè)網(wǎng)絡(luò)現(xiàn)狀及設(shè)計(jì)論述2.1概述中國(guó)國(guó)內(nèi)目前的企業(yè)需要的網(wǎng)絡(luò)安全產(chǎn)品不僅僅是簡(jiǎn)單的安裝，更重要的是要有針對(duì)復(fù)雜網(wǎng)絡(luò)應(yīng)用的一體化解決方案，如：網(wǎng)絡(luò)安全、病毒檢測(cè)、網(wǎng)站過(guò)濾等等。其著眼點(diǎn)在于：國(guó)內(nèi)外領(lǐng)先的廠(chǎng)商產(chǎn)品；具備處理突發(fā)事件的能力；能夠?qū)崟r(shí)監(jiān)控并易于管理；提供安全策略配置定制；是用戶(hù)能夠很容易地完善自身安全體系。然而，有網(wǎng)絡(luò)的地方就有安全的問(wèn)題。過(guò)去的網(wǎng)絡(luò)大多是封閉式的，因而比較容易確保其安全性，簡(jiǎn)單的安全性設(shè)備就足以承擔(dān)其任務(wù)。然而，當(dāng)今的網(wǎng)絡(luò)已經(jīng)發(fā)生了變化，確保網(wǎng)絡(luò)的安全性和可用性已經(jīng)成為更加復(fù)雜而且必需的任務(wù)。用戶(hù)每一次連接到網(wǎng)絡(luò)上，原有的安全狀況就會(huì)發(fā)生變化。所以，很多企業(yè)頻繁地成為網(wǎng)絡(luò)犯罪的犧牲品。因?yàn)楫?dāng)今網(wǎng)絡(luò)業(yè)務(wù)的復(fù)雜性，依靠早期的簡(jiǎn)單安全設(shè)備已經(jīng)對(duì)這些安全問(wèn)題無(wú)能為力了。網(wǎng)絡(luò)攻擊在迅速地增多：網(wǎng)絡(luò)攻擊通常利用網(wǎng)絡(luò)某些內(nèi)在特點(diǎn)，進(jìn)行非授權(quán)的訪(fǎng)問(wèn)、竊取密碼、拒絕服務(wù)等等?？紤]到業(yè)務(wù)的損失和生產(chǎn)效率的下降，以及排除故障和修復(fù)損壞設(shè)備所導(dǎo)致的額外開(kāi)支等方面，對(duì)網(wǎng)絡(luò)安全的破壞可能是毀滅性的。此外，嚴(yán)重的網(wǎng)絡(luò)安全問(wèn)題還可能導(dǎo)致企業(yè)的公眾形象的破壞、法律上的責(zé)任乃至客戶(hù)信心的喪失，并進(jìn)而造成的成本損失將是無(wú)法估量的。項(xiàng)目概述：1）待改企業(yè)描述本文的企業(yè)為一個(gè)早期玩具制造和銷(xiāo)售企業(yè)，希望能具有競(jìng)爭(zhēng)力并提高生產(chǎn)效率，這就必須對(duì)市場(chǎng)需求作出及時(shí)有力的響應(yīng)，從而引發(fā)了依賴(lài)互聯(lián)網(wǎng)來(lái)獲取、共享信息的趨勢(shì)，這樣才能進(jìn)一步提高生產(chǎn)效率進(jìn)而推動(dòng)未來(lái)增長(zhǎng)。本方案旨在使公司的網(wǎng)絡(luò)更安全，以保證企業(yè)安全和減少安全問(wèn)題帶來(lái)的損失。可以快速的對(duì)網(wǎng)絡(luò)攻擊做出反應(yīng)。2）功能此方案可讓企業(yè)保證硬件設(shè)備減少安全隱患，公司重要信息不被人獲取，應(yīng)對(duì)突發(fā)的安全情況能力大大加強(qiáng)。3）用戶(hù)特點(diǎn)本方案的對(duì)象是企業(yè)的職工、網(wǎng)絡(luò)管理人員、技術(shù)處工作人員、公司領(lǐng)導(dǎo)、信息中心系統(tǒng)管理人員和維護(hù)人員。4）一般約束這是一個(gè)針對(duì)企業(yè)網(wǎng)絡(luò)各方面進(jìn)行調(diào)整的方案，不可避免要受于布線(xiàn)地理位置和系統(tǒng)安裝的兼容性的限制。5）假設(shè)依據(jù)本方案具有較高的可靠性和安全保密性。網(wǎng)絡(luò)性能穩(wěn)定，不出差錯(cuò)。在具體實(shí)施方面，應(yīng)該由企業(yè)網(wǎng)絡(luò)相關(guān)專(zhuān)業(yè)人員進(jìn)行管理，本方案只負(fù)責(zé)具體的實(shí)施方法建議。應(yīng)對(duì)用戶(hù)定義不同的使用權(quán)限，技術(shù)處負(fù)責(zé)大部分管理。不能由其他人進(jìn)行查看更改。性能需求為了保證系統(tǒng)能夠長(zhǎng)期、安全、穩(wěn)定、可靠、高效的運(yùn)行，企業(yè)網(wǎng)絡(luò)安全方案應(yīng)該滿(mǎn)足以下需求：1）系統(tǒng)處理的全面性和及時(shí)性方案的全面性和處理事件的及時(shí)性是必要的性能。從各個(gè)方面考慮到可能受到的網(wǎng)絡(luò)攻擊，做好全方面的補(bǔ)救和抵御措施。且在發(fā)生突發(fā)情況下能及時(shí)的補(bǔ)救，保證企業(yè)網(wǎng)絡(luò)的正常運(yùn)行。2）系統(tǒng)方案的可擴(kuò)充性在方案的設(shè)計(jì)過(guò)程中，應(yīng)該充分考慮系統(tǒng)的可擴(kuò)充性，為以后企業(yè)的發(fā)展，網(wǎng)絡(luò)設(shè)備的擴(kuò)充，提供良好條件。3）系統(tǒng)的易用性和易維護(hù)性在完成這套方案之后，只需要技術(shù)人員在硬件上做好管理措施、系統(tǒng)上及時(shí)更新升級(jí)，以及做好備份工作。4）方案的標(biāo)準(zhǔn)性方案在設(shè)計(jì)過(guò)程中，要涉及很多計(jì)算機(jī)硬件、軟件。所有這些都要符合主流國(guó)際、國(guó)家和行業(yè)標(biāo)準(zhǔn)。列如要用到的操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備以及軟件、技術(shù)都要符合通用的標(biāo)準(zhǔn)。2.2實(shí)際網(wǎng)絡(luò)的特點(diǎn)及目前企業(yè)網(wǎng)絡(luò)優(yōu)缺點(diǎn)論述圖2-1公司的原拓?fù)鋱D如圖，上圖為一玩具企業(yè)的大概網(wǎng)絡(luò)拓?fù)鋱D，經(jīng)過(guò)分析，公司網(wǎng)絡(luò)主要分為4個(gè)部分，一部分為工廠(chǎng)生產(chǎn)網(wǎng)絡(luò)，一部分是負(fù)責(zé)銷(xiāo)售、網(wǎng)站維護(hù)和構(gòu)想玩具工作等的寫(xiě)字樓辦公網(wǎng)絡(luò)，另兩部分為領(lǐng)導(dǎo)決策的主網(wǎng)絡(luò)以及公司的服務(wù)器群。其優(yōu)點(diǎn)是結(jié)構(gòu)簡(jiǎn)單靈活可靠性高，共享性強(qiáng),適合于一點(diǎn)發(fā)送、多點(diǎn)接收的場(chǎng)合，容易擴(kuò)展網(wǎng)絡(luò)，使用的電纜少，且安裝容易。缺點(diǎn)是安全行不高，維護(hù)不方便，分支節(jié)點(diǎn)出現(xiàn)故障會(huì)影響整個(gè)網(wǎng)絡(luò)。其網(wǎng)絡(luò)的交換機(jī)路由器已經(jīng)經(jīng)過(guò)一部分設(shè)置與設(shè)備N(xiāo)AT技術(shù)，使公司內(nèi)部合理通信訪(fǎng)問(wèn)，工廠(chǎng)辦公地點(diǎn)不能上網(wǎng)，員工辦公階段時(shí)間性的上網(wǎng)，領(lǐng)導(dǎo)辦公沒(méi)有限制。這都有效提高了公司的工作質(zhì)量與安全性，我們?cè)谶@基礎(chǔ)上，再設(shè)置一些安全措施，設(shè)計(jì)出一套完整的安全解決方案。2.3設(shè)計(jì)目標(biāo)根據(jù)實(shí)際情況，全方面的找出并解決企業(yè)存在的各方面安全問(wèn)題，從網(wǎng)絡(luò)的硬件設(shè)備的安全以及配置、系統(tǒng)防御軟件檢測(cè)防御、流量控制優(yōu)先級(jí)（QOS技術(shù)）、以及數(shù)據(jù)的加密傳輸、簽名認(rèn)證和遠(yuǎn)程專(zhuān)用網(wǎng)絡(luò)，以及合理應(yīng)用內(nèi)外防火墻，達(dá)到最大限度保證企業(yè)信息的安全，以及網(wǎng)絡(luò)的通信順暢。注：NAT技術(shù)NAT英文全稱(chēng)是“NetworkAddressTranslation ”，中文意思是“網(wǎng)絡(luò)地址轉(zhuǎn)換”，它是一個(gè)

IETF(Internet

Engineering

TaskForce,Internet

工程任務(wù)組

)標(biāo)準(zhǔn)，允許一個(gè)整體機(jī)構(gòu)以一個(gè)公用

IP（InternetProtocol）地址出現(xiàn)在Internet 上。顧名思義，它是一種把內(nèi)部私有網(wǎng)絡(luò)地址（IP地址）翻譯成合法網(wǎng)絡(luò) IP地址的技術(shù)。簡(jiǎn)單的說(shuō)，NAT就是在局域網(wǎng)內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部地址， 而當(dāng)內(nèi)部節(jié)點(diǎn)要與外部網(wǎng)絡(luò)進(jìn)行通訊時(shí)，就在網(wǎng)關(guān)（可以理解為出口，打個(gè)比方就像院子的門(mén)一樣 ）處，將內(nèi)部地 址替換成公用地 址，從而在外部 公網(wǎng)（internet ）上正常使用，雖然地址轉(zhuǎn)換技術(shù)設(shè)計(jì)的目的是為了節(jié)省 IP地址，但是客觀(guān)上，這種技術(shù)對(duì)網(wǎng)絡(luò)外部隱藏了一個(gè)網(wǎng)絡(luò)內(nèi)部的地址結(jié)構(gòu)，加大了內(nèi)網(wǎng)的安全。QOS技術(shù)QoS的英文全稱(chēng)為"QualityofService" ，中文名為"服務(wù)質(zhì)量"。QoS是網(wǎng)絡(luò)的一種安全機(jī)制,是用來(lái)解決網(wǎng)絡(luò)延遲和阻塞等問(wèn)題的一種技術(shù)。用于衡量使用一個(gè)服務(wù)的滿(mǎn)意程度。 QoS不是創(chuàng)造帶寬，而是管理帶寬，因此它能應(yīng)用得更為廣泛，能滿(mǎn)足更多的應(yīng)用需求。QoS的目標(biāo)是要提供一些可預(yù)測(cè)性的質(zhì)量級(jí)別， 以及控制超過(guò)目前 IP網(wǎng)絡(luò)最大服務(wù)能力的服務(wù)關(guān)鍵問(wèn)題論述3.1研究設(shè)計(jì)中要解決的問(wèn)題設(shè)備、服務(wù)器、流量控制（1）從拓?fù)鋱D上可知，類(lèi)似總線(xiàn)型的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，存在著明顯的安全問(wèn)題，如果其中一臺(tái)交換機(jī)設(shè)備出現(xiàn)故障，將嚴(yán)重影響網(wǎng)絡(luò)的正常運(yùn)行，這是很大的安全隱患。（2）保證物理設(shè)備的安全，也沒(méi)有針對(duì)一些突發(fā)情況的保護(hù)措施，以保證網(wǎng)絡(luò)的隨時(shí)通暢，容災(zāi)備份（3）外部訪(fǎng)問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)，共享資源，沒(méi)有一個(gè)好的安全保護(hù)措施。（4）QOS流量服務(wù)控制，保證網(wǎng)絡(luò)通順（5）服務(wù)器的安全非常重要應(yīng)用系統(tǒng)軟件系統(tǒng)的安全存在問(wèn)題，沒(méi)有好的軟件工具防御外來(lái)攻擊，列如垃圾病毒郵件的防御。防火墻因?yàn)楸酒髽I(yè)對(duì)網(wǎng)絡(luò)安全的不重視，還未安裝外部防火墻，不能防御控制外來(lái)的攻擊。3.2本課題所作的改善設(shè)計(jì)改善設(shè)計(jì)（1）改善其拓?fù)浣Y(jié)構(gòu)，把各設(shè)備協(xié)同工作時(shí)的隱患降到最低。（2），對(duì)物理設(shè)備實(shí)施保護(hù)措施，擁有少量備用和擴(kuò)充的設(shè)備，建立流量控制措施，達(dá)到遇到突發(fā)情況從容面對(duì)，加以保證網(wǎng)絡(luò)的正常運(yùn)行。（3）采用現(xiàn)有的最有效安全的虛擬專(zhuān)用網(wǎng)絡(luò)（ VPN）技術(shù)，達(dá)到外部訪(fǎng)問(wèn)內(nèi)部資源時(shí)的安全。（4）QOS流量服務(wù)和ACL訪(fǎng)問(wèn)控制，保證網(wǎng)絡(luò)通順（5）打造服務(wù)器安全系統(tǒng)軟件擁有一些安全的系統(tǒng)和防御、殺毒、篩選檢測(cè)工具，達(dá)到最大限度防御外來(lái)攻擊。采用身份人證和數(shù)據(jù)加密，保護(hù)郵件安全，再及時(shí)更新漏洞補(bǔ)丁隨著電子郵件的普及和應(yīng)用，伴隨而來(lái)的電子郵件安全方面問(wèn)題也越來(lái)越多的引起人們的關(guān)注。我們已經(jīng)認(rèn)識(shí)到電子郵件用戶(hù)所面臨的安全性風(fēng)險(xiǎn)變得日益嚴(yán)重。病毒、蠕蟲(chóng)、垃圾郵件、網(wǎng)頁(yè)仿冒欺詐、間諜軟件和一系列更新、更復(fù)雜的攻擊方法，使得電子郵件通信和電子郵件基礎(chǔ)結(jié)構(gòu)的管理成為了一種更加具有風(fēng)險(xiǎn)的行為。防火墻、入侵檢測(cè)安裝好專(zhuān)業(yè)切功能強(qiáng)勁的防火墻，來(lái)有效防御外來(lái)黑客病毒等方面的攻擊。在兩個(gè)網(wǎng)絡(luò)之間加強(qiáng)訪(fǎng)問(wèn)控制的一整套裝置， 是內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的安全防范系統(tǒng)通常安裝在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的鏈接點(diǎn)上。所有來(lái)自 internet （外部網(wǎng)）的傳輸信息或從內(nèi)部網(wǎng)絡(luò)發(fā)出的信息都必須穿過(guò)防火墻。入侵行為的發(fā)覺(jué)。它通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)收集信息，并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。行進(jìn)入侵檢測(cè)的軟件與硬件的組合便是入侵監(jiān)測(cè)系統(tǒng)。與其他安全產(chǎn)品不同的是，入侵檢測(cè)系統(tǒng)需要更多的智能，它必須可以將得到的數(shù)據(jù)進(jìn)行分析，并得出有用的結(jié)果。一個(gè)合格的入侵檢測(cè)系統(tǒng)能大大簡(jiǎn)化管理員的工作，保證網(wǎng)絡(luò)安全的運(yùn)行。系統(tǒng)設(shè)計(jì)關(guān)鍵技術(shù)論述4.1.目標(biāo)具體實(shí)現(xiàn)中采用的關(guān)鍵技術(shù)及分析 本文主要用到的 2種拓?fù)浣Y(jié)構(gòu)：總線(xiàn)拓?fù)淇偩€(xiàn)拓?fù)浣Y(jié)構(gòu)采用一個(gè)信道作為傳輸媒體，所有站點(diǎn)都通過(guò)相應(yīng)的硬件接口直接連到這一公共傳輸媒體上，該公共傳輸媒體即稱(chēng)為總線(xiàn)?？偩€(xiàn)拓?fù)浣Y(jié)構(gòu)的優(yōu)點(diǎn)：（1）總線(xiàn)結(jié)構(gòu)所需要的電纜數(shù)量少。（2）總線(xiàn)結(jié)構(gòu)簡(jiǎn)單，又是無(wú)源工作，有較高的可靠性。（3）易于擴(kuò)充，增加或減少用戶(hù)比較方便?？偩€(xiàn)拓?fù)涞娜秉c(diǎn)：（1）總線(xiàn)的傳輸距離有限，通信范圍受到限制。（2）故障診斷和隔離較困難。（3）分布式協(xié)議不能保證信息的及時(shí)傳送，不具有實(shí)時(shí)功能星形拓?fù)湫切瓮負(fù)涫怯芍醒牍?jié)點(diǎn)和通過(guò)點(diǎn)到到通信鏈路接到中央節(jié)點(diǎn)的各個(gè)站點(diǎn)組成。星形拓?fù)浣Y(jié)構(gòu)具有以下優(yōu)點(diǎn)：（1）控制簡(jiǎn)單。（2）故障診斷和隔離容易。（3）方便服務(wù)。星形拓?fù)浣Y(jié)構(gòu)的缺點(diǎn)：（1）電纜長(zhǎng)度和安裝工作量可觀(guān)。（2）中央節(jié)點(diǎn)的負(fù)擔(dān)較重，形成瓶頸。（3）各站點(diǎn)的分布處理能力較低。 容災(zāi)備份技術(shù)首先，要解決網(wǎng)絡(luò)的物理安全，網(wǎng)絡(luò)的物理安全主要是指地震、水災(zāi)、火災(zāi)等環(huán)境事故;電源故障;人為操作失誤或錯(cuò)誤;設(shè)備被盜、被毀;電磁干擾;線(xiàn)路截獲。以及高可用性的硬件、雙機(jī)多冗余的設(shè)計(jì)、機(jī)房環(huán)境及報(bào)警系統(tǒng)、安全意識(shí)等。在這個(gè)企業(yè)區(qū)局域網(wǎng)內(nèi)，由于網(wǎng)絡(luò)的物理跨度不大，只要制定健全的安全管理制度，做好備份，并且加強(qiáng)網(wǎng)絡(luò)設(shè)備和機(jī)房的管理，這些風(fēng)險(xiǎn)是可以避免的。這個(gè)是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。容災(zāi)備份：容災(zāi)備份是通過(guò)特定的容災(zāi)機(jī)制，在各種災(zāi)難損害發(fā)生后，仍然能夠最大限度地保障提供正常應(yīng)用服務(wù)的信息系統(tǒng)。容災(zāi)備份可以分為數(shù)據(jù)備份和應(yīng)用備份。數(shù)據(jù)備份需要保證用戶(hù)數(shù)據(jù)的完整性、可靠性和一致性。而對(duì)于提供實(shí)時(shí)服務(wù)的信息系統(tǒng)，用戶(hù)的服務(wù)請(qǐng)求在災(zāi)難中可能會(huì)中斷，應(yīng)用備份卻能提供不間斷的應(yīng)用服務(wù)，讓客戶(hù)的服務(wù)請(qǐng)求能夠繼續(xù)運(yùn)行，保證信息系統(tǒng)提供的服務(wù)完整、可靠、一致。一個(gè)完整的容災(zāi)備份系統(tǒng)包括本地?cái)?shù)據(jù)備份、遠(yuǎn)程數(shù)據(jù)復(fù)制和異地備份中心。當(dāng)然并不是所有的企業(yè)都需要這樣一個(gè)系統(tǒng)，只有對(duì)不可中斷的關(guān)鍵業(yè)務(wù)才有必要建立容災(zāi)備份中心。技術(shù)一個(gè)完全私有的網(wǎng)絡(luò)可以解決許多安全問(wèn)題，因?yàn)楹芏鄲阂夤粽吒緹o(wú)法進(jìn)入網(wǎng)絡(luò)實(shí)施攻擊。但是，對(duì)于一個(gè)普通的地理覆蓋范圍廣的企業(yè)或公司，要搭建物理上私有的網(wǎng)絡(luò)，往往在財(cái)政預(yù)算上是不合理的。VPN技術(shù)就是為了解決這樣一種安全需求的技術(shù)。VPN的英文全稱(chēng)是“Virtual Private Network”，翻譯過(guò)來(lái)就是“虛擬專(zhuān)用網(wǎng)絡(luò)”。顧名思義，虛擬專(zhuān)用網(wǎng)絡(luò)我們可以把它理解成是虛擬出來(lái)的企業(yè)內(nèi)部專(zhuān)線(xiàn)。它可以通過(guò)特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專(zhuān)有的通訊線(xiàn)路，就好比是架設(shè)了一條專(zhuān)線(xiàn)一樣，但是它并不需要真正的去鋪設(shè)光纜之類(lèi)的物理線(xiàn)路。這就好比去電信局申請(qǐng)專(zhuān)線(xiàn)，但是不用給鋪設(shè)線(xiàn)路的費(fèi)用，也不用購(gòu)買(mǎi)路由器等硬件設(shè)備。4.2設(shè)計(jì)實(shí)現(xiàn)的策略和途徑描述本方案為局域網(wǎng)網(wǎng)絡(luò)安全解決方案，包括原有網(wǎng)絡(luò)系統(tǒng)分析、安全需求分析、安全目標(biāo)的確立、安全體系結(jié)構(gòu)的設(shè)計(jì)、等。本安全解決方案的目標(biāo)是在不影響企業(yè)局域網(wǎng)當(dāng)前業(yè)務(wù)的前提下，實(shí)現(xiàn)對(duì)他們局域網(wǎng)全面的安全管理：（1）將安全策略、硬件設(shè)備及軟件等方法結(jié)合起來(lái)，構(gòu)成一個(gè)統(tǒng)一的防御系統(tǒng)，有效阻止非法用戶(hù)進(jìn)入網(wǎng)絡(luò)，減少網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。（2）定期進(jìn)行漏洞掃描，審計(jì)跟蹤，及時(shí)發(fā)現(xiàn)問(wèn)題，解決問(wèn)題。（3）通過(guò)入侵檢測(cè)等方式實(shí)現(xiàn)實(shí)時(shí)安全監(jiān)控，提供快速響應(yīng)故障的手段，同時(shí)具備很好的安全取證措施。（4）使網(wǎng)絡(luò)管理者能夠很快重新組織被破壞了的文件或應(yīng)用。使系統(tǒng)重新恢復(fù)到破壞前的狀態(tài)，最大限度地減少損失。（5）在工作站、服務(wù)器上安裝相應(yīng)的防病毒軟件，由中央控制臺(tái)統(tǒng)一控制和管理，實(shí)現(xiàn)全網(wǎng)統(tǒng)一防病毒。4.3 設(shè)計(jì)模型及系統(tǒng)結(jié)構(gòu)（新的拓?fù)鋱D）在原拓?fù)鋱D的基礎(chǔ)上，增加了重要的防火墻，并把工廠(chǎng)辦公子網(wǎng)的連接換到主交換機(jī)上，避免了員工子網(wǎng)交換機(jī)如果出現(xiàn)問(wèn)題故障，導(dǎo)致重要生產(chǎn)線(xiàn)子網(wǎng)不能工作的問(wèn)題。即是完全把企業(yè)的拓?fù)涓某芍髁鞯男切瓮負(fù)浣Y(jié)構(gòu)。員工辦公子網(wǎng)中間也可多增加一些交換機(jī)，減輕負(fù)擔(dān)，對(duì)里面的部門(mén)分化也比較容易管理，再加上只要制定健全的安全管理制度，做好備份，并且加強(qiáng)網(wǎng)絡(luò)設(shè)備和機(jī)房的管理，就能達(dá)到在現(xiàn)有設(shè)備基礎(chǔ)上，實(shí)現(xiàn)網(wǎng)絡(luò)安全的目標(biāo)。系統(tǒng)實(shí)現(xiàn)技術(shù)論述概述確?，F(xiàn)有的設(shè)備穩(wěn)定安全的基礎(chǔ)上，對(duì)交換機(jī)路由器等，采用一些安全技術(shù)，進(jìn)行內(nèi)部網(wǎng)絡(luò)的設(shè)置。例如對(duì)各種設(shè)備都做了哪些修改，這些修改帶來(lái)的優(yōu)勢(shì)，以達(dá)到增強(qiáng)網(wǎng)絡(luò)安全的目的。5.1物理設(shè)備安全 容災(zāi)備份從廣義上講，任何提高系統(tǒng)可用性的努力，都可稱(chēng)之為容災(zāi)（或容災(zāi)備份）。本地容災(zāi)就是主機(jī)集群，當(dāng)某臺(tái)主機(jī)出現(xiàn)故障，不能正常工作時(shí)，其他的主機(jī)可以替代該主機(jī)，繼續(xù)進(jìn)行正常的工作。當(dāng)一處系統(tǒng)因?yàn)?zāi)難而停止工作時(shí)，整個(gè)應(yīng)用系統(tǒng)可以切換到另一處，使得該系統(tǒng)可以繼續(xù)正常工作。在建立容災(zāi)備份系統(tǒng)時(shí)會(huì)涉及到多種技術(shù)，如：遠(yuǎn)程鏡像技術(shù)、基于IP的SAN（存儲(chǔ)區(qū)域網(wǎng)絡(luò)）的互連技術(shù)、快照技術(shù)等。遠(yuǎn)程鏡像技術(shù)就是遠(yuǎn)程同步復(fù)制技術(shù)，指通過(guò)遠(yuǎn)程鏡像軟件，將本地?cái)?shù)據(jù)以完全同步的方式復(fù)制到異地。通過(guò)鏡像把數(shù)據(jù)備份到遠(yuǎn)程存儲(chǔ)系統(tǒng)中，再用快照技術(shù)把遠(yuǎn)程存儲(chǔ)系統(tǒng)中的信息備份到遠(yuǎn)程的磁帶庫(kù)、光盤(pán)庫(kù)中?；?IP的SAN的遠(yuǎn)程數(shù)據(jù)容災(zāi)備份技術(shù)，是將主數(shù)據(jù)中心 SAN中的信息通過(guò)現(xiàn)有的TCP/IP網(wǎng)絡(luò)，遠(yuǎn)程復(fù)制到備援中心 SAN中。當(dāng)備援中心存儲(chǔ)的數(shù)據(jù)量過(guò)大時(shí)，可利用快照技術(shù)將其備份到磁帶庫(kù)或光盤(pán)庫(kù)中。 防盜和防毀當(dāng)計(jì)算機(jī)系統(tǒng)或設(shè)備被盜、被毀時(shí)，除了設(shè)備本身丟失或毀損帶來(lái)的損失外，更多的損失則是失去了有價(jià)值的程序和數(shù)據(jù)。因此，防盜、防毀是計(jì)算機(jī)防護(hù)的一個(gè)重要內(nèi)容。通常采取的防盜、防毀措施主要有：設(shè)置報(bào)警器——在機(jī)房周?chē)臻g放置侵入報(bào)警器，侵入報(bào)警的形式主要有光電、微波、紅外線(xiàn)和超聲波；鎖定裝置——在計(jì)算機(jī)設(shè)備中，特別是在個(gè)人計(jì)算機(jī)中設(shè)置鎖定裝置，以防犯罪盜竊；計(jì)算機(jī)保險(xiǎn)——在計(jì)算機(jī)系統(tǒng)受到侵犯后，可以得到損失的經(jīng)濟(jì)補(bǔ)償，但是無(wú)法補(bǔ)償失去的程序和數(shù)據(jù)，為此應(yīng)設(shè)置一定的保險(xiǎn)裝置 防止電磁泄漏發(fā)射計(jì)算機(jī)主機(jī)及其附屬電子設(shè)備如視頻顯示終端、打印機(jī)等在工作時(shí)不可避免地會(huì)產(chǎn)生電磁波輻射，這些輻射中攜帶有計(jì)算機(jī)正在進(jìn)行處理的數(shù)據(jù)信息。抑制計(jì)算機(jī)中信息泄漏的技術(shù)途徑有兩種：一是電子隱蔽技術(shù)，二是物理抑制技術(shù)。電子隱蔽技術(shù)主要是用干擾、調(diào)頻等技術(shù)來(lái)掩飾計(jì)算機(jī)的工作狀態(tài)和保護(hù)信息；物理抑制技術(shù)則是抑制一切有用信息的外泄。物理抑制技術(shù)可分為包容法和抑源法。包容法主要是對(duì)輻射源進(jìn)行屏蔽，以阻止電磁波的外泄傳播。抑源法就是從線(xiàn)路和元器件入手，從根本上阻止計(jì)算機(jī)系統(tǒng)向外輻射電磁波，消除產(chǎn)生較強(qiáng)電磁波的根源。 防電磁干擾電磁干擾是指當(dāng)電子設(shè)備輻射出的能量超過(guò)一定程度時(shí)，就會(huì)干擾設(shè)備本身以及周?chē)钠渌娮釉O(shè)備的現(xiàn)象。計(jì)算機(jī)與各種電子設(shè)備和廣播、電視、雷達(dá)等無(wú)線(xiàn)設(shè)備及電子儀器等都會(huì)發(fā)出電磁干擾信號(hào)，計(jì)算機(jī)要在這樣復(fù)雜的電磁干擾環(huán)境中工作，其可靠性、穩(wěn)定性和安全性將受到嚴(yán)重影響。因此，實(shí)際使用中需要了解和考慮計(jì)算機(jī)的抗電磁干擾問(wèn)題，即電磁兼容性問(wèn)題。 媒介安全包括媒介數(shù)據(jù)的安全以及媒介本身的安全。對(duì)于存放重要數(shù)據(jù)的計(jì)算機(jī)設(shè)備，要有定期數(shù)據(jù)備份計(jì)劃，用磁盤(pán)、光盤(pán)等介質(zhì)及時(shí)備份數(shù)據(jù)，妥善存檔保管。也要有數(shù)據(jù)恢復(fù)方案，在系統(tǒng)癱瘓或出現(xiàn)嚴(yán)重故障時(shí)，能夠進(jìn)行數(shù)據(jù)恢復(fù)。保密技術(shù)計(jì)算機(jī)系統(tǒng)的保密主要是指存放于磁盤(pán)上的文件、數(shù)據(jù)庫(kù)等數(shù)據(jù)存儲(chǔ)的保密措施，應(yīng)用于這方面的技術(shù)主要有訪(fǎng)問(wèn)控制、數(shù)據(jù)加密等?？捎眉用芟到y(tǒng)有數(shù)據(jù)加/解密卡、數(shù)據(jù)加密機(jī)、數(shù)據(jù)采編加密系統(tǒng)、抗輻射干擾器、電子印章系統(tǒng)等。5.2VPN技術(shù)為了遠(yuǎn)程訪(fǎng)問(wèn)的快捷與安全，我們采用了 VPN技術(shù)，可按照企業(yè)的情況對(duì)主路由進(jìn)行配置實(shí)現(xiàn)。這是原本企業(yè)沒(méi)采用的方式。VPN(VirtualPrivateNetwork ，虛擬專(zhuān)用網(wǎng)絡(luò))是專(zhuān)用網(wǎng)絡(luò)的延伸，包含了類(lèi)似Internet的共享或公共網(wǎng)絡(luò)連接。通過(guò)VPN可以模擬點(diǎn)對(duì)點(diǎn)專(zhuān)用連接的方式通過(guò)共享或公共網(wǎng)絡(luò)在兩臺(tái)計(jì)算機(jī)之間發(fā)送數(shù)據(jù)。它具有良好的保密和不受干擾性，使雙方能進(jìn)行自由而安全的點(diǎn)對(duì)點(diǎn)連接，因此廣泛地受到網(wǎng)絡(luò)管理員們的關(guān)注。 配置VPN服務(wù)器（需有路由和遠(yuǎn)程訪(fǎng)問(wèn)功能）：開(kāi)始配置：要想讓W(xué)in2000計(jì)算機(jī)能接受客戶(hù)機(jī)的VPN撥入，必須對(duì)VPN服務(wù)器進(jìn)行配置。在左邊窗口中選中"SERVER"(服務(wù)器名)，在其上單擊右鍵，選"配置并啟用路由和遠(yuǎn)程訪(fǎng)問(wèn)"圖5-1如果以前已經(jīng)配置過(guò)這臺(tái)服務(wù)器，現(xiàn)在需要重新開(kāi)始，則在"SERVER"(服務(wù)器名)上單擊右鍵，選"禁用路由和遠(yuǎn)程訪(fǎng)問(wèn) "，即可停止此服務(wù)，以便重新配置。當(dāng)進(jìn)入配置向?qū)е?，?公共設(shè)置"中，點(diǎn)選中"虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)服務(wù)器"，以便讓用戶(hù)能通過(guò)公共網(wǎng)絡(luò) (比如Internet) 來(lái)訪(fǎng)問(wèn)此服務(wù)器。一般來(lái)說(shuō)，在"遠(yuǎn)程客戶(hù)協(xié)議"的對(duì)話(huà)框中，至少應(yīng)該已經(jīng)有了TCP/IP協(xié)議，則只需直接點(diǎn)選"是，所有可用的協(xié)議都在列表上"，再按"下一步"即可。之后系統(tǒng)會(huì)要求你再選擇一個(gè)此服務(wù)器所使用的Internet連接，在其下的列表中選擇所用的連接方式(比如已建立好的撥號(hào)連接或通過(guò)指定的網(wǎng)卡進(jìn)行連接等)，再按"下一步"。接著在回答"您想如何對(duì)遠(yuǎn)程客戶(hù)機(jī)分配IP地址"的詢(xún)問(wèn)時(shí)，除非你已在服務(wù)器端安裝好了DHCP服務(wù)器，否則請(qǐng)?jiān)诖颂庍x"來(lái)自一個(gè)指定的IP地址范圍"(推薦)。7. 然后再根據(jù)提示輸入你要分配給客戶(hù)端使用的起始 IP地址，"添加"進(jìn)列表中，比如～請(qǐng)注意，此IP地址范圍要同服務(wù)器本身的IP地址處在同一個(gè)網(wǎng)段中，即前面的部分一定要相同！)。最后再選"不，我現(xiàn)在不想設(shè)置此服務(wù)器使用RADIUS"即可完成最后的設(shè)置。此時(shí)屏幕上將自動(dòng)出現(xiàn)一個(gè)正在開(kāi)戶(hù)"路由和遠(yuǎn)程訪(fǎng)問(wèn)服務(wù)"的小窗口。當(dāng)它消失之后，打開(kāi)"管理工具"中的"服務(wù)"，即可以看到"RoutingandRemoteAccess"(路由和遠(yuǎn)程訪(fǎng)問(wèn))項(xiàng)"自動(dòng)"處于"已啟動(dòng)"狀態(tài)了。圖5-2 如何賦予用戶(hù)撥入的權(quán)限：想要給一個(gè)用戶(hù)賦予撥入到此服務(wù)器的權(quán)限(默認(rèn)是任何用戶(hù)均被拒絕撥入到服務(wù)器上)，需打開(kāi)管理工具中的用戶(hù)管理器(在"計(jì)算機(jī)管理"項(xiàng)或"ActiveDirectory用戶(hù)和計(jì)算機(jī)"中)，選中所需要的用戶(hù)，在其上單擊右鍵，選"屬性"。在該用戶(hù)屬性窗口中選"撥入"項(xiàng)，然后點(diǎn)擊"允許訪(fǎng)問(wèn)"項(xiàng)，再按確定"即可完成賦予此用戶(hù)撥入權(quán)限的工作。 通過(guò)局域網(wǎng)進(jìn)行 VPN連接：進(jìn)入Win98的計(jì)算機(jī)，要想連接到VPN服務(wù)器，則需要先安裝"虛擬專(zhuān)用網(wǎng)絡(luò)"服務(wù)。在控制面板的"網(wǎng)絡(luò)"下，進(jìn)入"通訊"即可找到此項(xiàng)并添加上去。安裝完成之后再根據(jù)提示重啟動(dòng)計(jì)算機(jī)。重新啟動(dòng)之后，在控制面板的"網(wǎng)絡(luò)"中就有了"Microsoft虛擬私人網(wǎng)絡(luò)適配器"，即說(shuō)明VPN服務(wù)已安裝成功！還需要建立到VPN服務(wù)器的連接。首先進(jìn)入我的電腦的"撥號(hào)網(wǎng)絡(luò)"中，雙擊"建立新連接"，然后在"請(qǐng)鍵入對(duì)方計(jì)算機(jī)的名稱(chēng)"中輸入連接名，比如"局域網(wǎng)內(nèi)的VPN連接"，在"選擇設(shè)備"選中"MicrosoftVPNAdapter"項(xiàng)！再按"下一步"。接著出現(xiàn)"請(qǐng)輸入VPN服務(wù)器的名稱(chēng)或IP地址"，在其下的文字框中輸入Win2K服務(wù)器的名字或IP地址，比如此處為，再根據(jù)提示操作即可建立成功！然后在"撥號(hào)網(wǎng)絡(luò)"中雙擊剛才建立好的"局域網(wǎng)內(nèi)的VPN連接"圖標(biāo)，再輸入相應(yīng)的用戶(hù)名(需具有撥入服務(wù)器的權(quán)限)和密碼，再按"連接按鈕。如果成功連接到了VPN服務(wù)器，此時(shí)就會(huì)像普通撥號(hào)上網(wǎng)成功一樣，在任務(wù)欄右下角會(huì)出現(xiàn)兩個(gè)小電腦的圖標(biāo)，雙擊它即可出現(xiàn)連接狀態(tài)小窗口，在其中可以看到。通過(guò)Internet 進(jìn)行VPN連接首先得確保服務(wù)器已經(jīng)連入了Internet，用ipconfg測(cè)出其在Internet 上合法的IP地址。2. 在Win98客戶(hù)機(jī)端參照本節(jié)上文相關(guān)內(nèi)容建立一個(gè)新的 VPN連接，在相應(yīng)處輸入服務(wù)器在 Internet 上合法的IP地址，然后將客戶(hù)機(jī)端也撥入Internet ，再雙擊所建立的 VPN連接，輸入相應(yīng)用戶(hù)名和密碼，再點(diǎn)"連接"按鈕。連接成功之后可以看到，雙方的任務(wù)欄右側(cè)均會(huì)出現(xiàn)兩個(gè)撥號(hào)網(wǎng)絡(luò)成功運(yùn)行的圖標(biāo)，其中一個(gè)是到Intenet的連接，另一個(gè)則是VPN的連接了。圖5-3當(dāng)雙方建立好了通過(guò)Internet的VPN連接后，即相當(dāng)于又在Internet 上建立好了一個(gè)雙方專(zhuān)用的虛擬通道，而通過(guò)此通道，雙方可以在網(wǎng)上鄰居中進(jìn)行互訪(fǎng)，也就是說(shuō)相當(dāng)于又組成了一個(gè)局域網(wǎng)絡(luò)！這個(gè)網(wǎng)絡(luò)是雙方專(zhuān)用的，而且具有非常好的保密性能。VPN建立成功之后，雙方便可以通過(guò) IP地址或"網(wǎng)上鄰居"來(lái)達(dá)到互訪(fǎng)的目的，當(dāng)然也就可以使用對(duì)方所共享出來(lái)的資源了！5.3 訪(fǎng)問(wèn)控制列表與 QOS技術(shù)（1）在路由器上配置控制訪(fǎng)問(wèn)列表 （ACL），主要的目的是為了應(yīng)用防火墻的功能。ACL是一個(gè)很好的描述數(shù)據(jù)流的方法， 即它定義了區(qū)分?jǐn)?shù)據(jù)流的規(guī)則。這些規(guī)則不但可以應(yīng)用在路由器的防火墻功能中，同時(shí)在路由的具體實(shí)現(xiàn)中，ACL還可以被應(yīng)用在許多需要描述數(shù)據(jù)流的場(chǎng)合，如NAT、QOS、策略路由等。ACL主要的功效就是在企業(yè)中，外部的網(wǎng)絡(luò)只有特定的用戶(hù)可以訪(fǎng)問(wèn)內(nèi)部服務(wù)器，而內(nèi)部網(wǎng)絡(luò)中只有特定的主機(jī)才可以訪(fǎng)問(wèn)外部的網(wǎng)絡(luò)，控制訪(fǎng)問(wèn)。（2）QOS聯(lián)網(wǎng)服務(wù)質(zhì)量，是在整個(gè)網(wǎng)絡(luò)連接上應(yīng)用的各種通信或程序類(lèi)型優(yōu)先技術(shù)。QoS技術(shù)的存在是為了獲得更好的聯(lián)網(wǎng)服務(wù)質(zhì)量。 QoS是一組服務(wù)要求，網(wǎng)絡(luò)必須滿(mǎn)足這些要求才能確保適當(dāng)服務(wù)級(jí)別的數(shù)據(jù)傳輸。起到很好避免網(wǎng)絡(luò)堵塞的目的