校園網絡實施方案

PAGE4校園網絡實施方案TOC\o"1-3"\h\u29766一、論文概述； 223220二、如何評價網絡系統(tǒng)的整體安全性 316698（一）網絡系統(tǒng)設計原則 318146（二）主要網絡設備的選擇原則 313868（三）如何檢測出當前系統(tǒng)的漏洞、以及掃描器的使用 49146三、應用系統(tǒng)如何保證安全性 613374（一）防止黑客對網絡、主機、服務器等的入侵 653421、控制技術 690632、防火墻技術 6291213、入侵檢測技術 6141484、安全掃描 7147755、安全審計 719289（二）防范Windows的漏洞 821933四、在連接Internet時，如何在網絡層實現安全性 96773（一）防火墻的定義 931877（二）防火墻的作用 929202（三）如何使用防火墻 930565五、實現遠程訪問的安全性 1018925（一）提高遠程訪問的安全性 1011650（二）針對特定服務攻擊的防范 1110539六訪問控制如何布置 1123334（一）實現高效安全的網絡訪問控制 11199031、選擇一個網絡訪問控制方法和一種客戶端技術 12138292、選擇一個網絡架構設備 12286573、選擇RADIUS服務器 1243824、選擇EAP方法（如果使用802.1x的話） 1228735、布置并安排網絡分段 12257816、集成所有的網絡段 1378797、考慮采用身份驅動管理 13822（二）建立證書管理中心 13111141、證書認證機構CA 13189342、認證中心CA的主要功能 1386453、CA認證-認證、數字證書和PKI解決的幾個問題 1421807（三）加密技術 1419170七總結 15一、論文概述；隨著信息技術的不斷發(fā)展和網絡信息的海量增加，校園網的安全形勢日益嚴峻，目前校園網安全防護體系還存在一些問題，但是在高校網絡建設的過程中，由于對技術的偏好和運營意識的不足，普遍都存在"重技術、輕安全、輕管理"的傾向，主要體現在：網絡的安全防御能力較低，受到病毒、黑客的影響較大，對移動存儲介質的上網監(jiān)測手段不足，缺少綜合、高效的網絡安全防護和監(jiān)控手段，削弱了網絡應用的可靠性。校園網在學校的信息化建設中已經在扮演了至關重要的角色，作為數字化信息的最重要傳輸載體，因此，急需建立一套多層次的安全管理體系，加強校園網的安全防護和監(jiān)控能力，為校園信息化建設奠定更加良好的網絡安全基礎。目前校園網絡中存在的安全問題學校的上網場所管理較混亂由于缺乏統(tǒng)一的網絡出口、網絡管理軟件和網絡監(jiān)控、日志系統(tǒng)，是學校的網絡管理各自為政，缺乏上網的有效監(jiān)控和日志，上網用戶的身份無法唯一識別，存在極大的安全隱患。電子郵件系統(tǒng)極不完善，無任何安全管理和監(jiān)控的手段電子郵件既是互聯網必不可少的一個應用之一，同時也是病毒和垃圾的重要傳播手段。目前絕大多數校園網郵件系統(tǒng)依然采用互聯網上下載的免費版本的郵件系統(tǒng)，不能提供自身完善的安全防護，更沒有提供任何針對用戶來往信件過濾、監(jiān)控和管理的手段，完全不符合國家對安全郵件系統(tǒng)的要求，出現問題時也無法及時有效的解決3、網絡病毒的肆虐傳播，極大的消耗了網絡資源；造成網絡性能下降，單純單機殺毒軟件已經不能滿足用戶的需求，迫切需要集中管理、統(tǒng)一升級、統(tǒng)一監(jiān)控的針對網絡的防病毒體系。4、網絡安全意識淡薄，沒有指定完善的網絡安全管理制度校園網絡上的用戶安全意識淡薄，大量的非正常訪問導致網絡資源的浪費，同時也為網絡的安全帶來了極大的安全隱患。綜上所述，校園網絡安全的形勢非常嚴峻，為解決以上安全隱患和漏洞，結合校園網特點和現今網絡安全的典型解決方案和技術，提出了以下校園網絡安全實施方案。1如何評價網絡系統(tǒng)的整體安全性（如何檢測出當前系統(tǒng)的漏洞、以及掃描器的使用）2應用系統(tǒng)如何保證安全性(如何防止黑客對網絡、主機、服務器等的入侵、如何防范Windows的漏洞）3在連接Internet時，如何在網絡層實現安全性（防火墻的作用、如何使用）4如何實現遠程訪問的安全性（遠程控制的要求）5訪問控制如何布置，包括建立證書管理中心、應用系統(tǒng)集成加密等（簡要地講述證書的作用）/dat/*.dic--用戶名/密碼字典文件，用于檢測弱口令用戶/plugins--用于存放所有插件(后綴名為.xpn)/scripts--用于存放所有NASL腳本(后綴名為.nasl)/scripts/desc--用于存放所有NASL腳本多語言描述(后綴名為.desc)/scripts/cache--用于緩存所有NASL腳本信息，以便加快掃描速度(該目錄可刪除)檢測范圍“指定IP范圍”-可以輸入獨立IP地址或域名，也可輸入以“-”和“,”分隔的IP范圍，如“-20,0-54”，或類似“/24”的掩碼格式?！皬奈募蝎@取主機列表”-選中該復選框將從文件中讀取待檢測主機地址，文件格式應為純文本，每一行可包含獨立IP或域名，也可包含以“-”和“,”分隔的IP范圍。全局設置“掃描模塊”項-選擇本次掃描需要加載的插件?！安l(fā)掃描”項-設置并發(fā)掃描的主機和并發(fā)線程數，也可以單獨為每個主機的各個插件設置最大線程數?！熬W絡設置”項-設置適合的網絡適配器，若找不到網絡適配器，請重新安裝WinPCap3.1beta4以上版本驅動。“掃描報告”項-掃描結束后生成的報告文件名，保存在LOG目錄下。掃描報告目前支持TXT、HTML和XML三種格式。其他設置“跳過沒有響應的主機”-若目標主機不響應ICMPECHO及TCPSYN報文，X-Scan將跳過對該主機的檢測。“跳過沒有檢測到開放端口的主機”-若在用戶指定的TCP端口范圍內沒有發(fā)現開放端口，將跳過對該主機的后續(xù)檢測?！笆褂肗MAP判斷遠程操作系統(tǒng)”-X-Scan使用SNMP、NETBIOS和NMAP綜合判斷遠程操作系統(tǒng)類型，若NMAP頻繁出錯，可關閉該選項?！帮@示詳細信息”-主要用于調試，平時不推薦使用該選項?！安寮O置”模塊：該模塊包含針對各個插件的單獨設置，如“端口掃描”插件的端口范圍設置、各弱口令插件的用戶名/密碼字典設置等。三、應用系統(tǒng)如何保證安全性（一）防止黑客對網絡、主機、服務器等的入侵網絡管理人員應認真分析各種可能的入侵和攻擊形式，制定符合實際需要的網絡安全策略，防止可能從網絡和系統(tǒng)內部或外部發(fā)起的攻擊行為，重點防止那些來自具有敵意的國家、企事業(yè)單位、個人和內部惡意人員的攻擊。防止入侵和攻擊的主要技術措施包括訪問控制技術、防火墻技術、入侵檢測技術、安全掃描、安全審計和安全管理。1、控制技術訪問控制是網絡安全保護和防范的核心策略之一。訪問控制的主要目的是確保網絡資源不被非法訪問和非法利用。訪問控制技術所涉及內容較為廣泛，包括網絡登錄控制、網絡使用權限控制、目錄級安全控制，服務器安全控制、以及屬性安全控制等多種手段。2、防火墻技術防火墻技術最初是針對Internet網絡不安全因素所采取的一種保護措施。顧名思義，防火墻就是用來阻擋外部不安全因素影響的內部網絡屏障，其目的就是防止外部網絡用戶未經授權的訪問。它是一種計算機硬件和軟件的結合，使Internet與Intranet之間建立起一個安全網關（SecurityGateway），從而保護內部網免受非法用戶的侵入，防火墻主要由服務訪問政策、驗證工具、包過濾和應用網關4個部分組成，防火墻就是一個位于計算機和它所連接的網絡之間的軟件或硬件(其中硬件防火墻用的很少只有國防部等地才用,因為它價格昂貴)。該計算機流入流出的所有網絡通信均要經過此防火墻。3、入侵檢測技術入侵檢測技術（IDS）可以被定義為對計算機和網絡資源的惡意使用行為進行識別和相應處理的系統(tǒng)。包括系統(tǒng)外部的入侵和內部用戶的非授權行為,是為保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現并報告系統(tǒng)中未授權或異?，F象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。入侵檢測技術是為保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現并報告系統(tǒng)中未授權或異常現象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。進行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)（IntrusionDetectionSystem，簡稱IDS）。入侵檢測通過執(zhí)行以下任務來實現：監(jiān)視、分析用戶及系統(tǒng)活動；系統(tǒng)構造和弱點的審計；識別反映已知進攻的活動模式并向相關人士報警；異常行為模式的統(tǒng)計分析；評估重要系統(tǒng)和數據文件的完整性；操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。4、安全掃描安全掃描技術主要分為兩類：主機安全掃描技術和網絡安全掃描技術。網絡安全掃描技術主要針對系統(tǒng)中不合適的設置脆弱的口令，以及針對其它同安全規(guī)則抵觸的對象進行檢查等；而主機安全掃描技術則是通過執(zhí)行一些腳本文件模擬對系統(tǒng)進行攻擊的行為并記錄系統(tǒng)的反應，從而發(fā)現其中的漏洞。網絡安全掃描技術是一類重要的網絡安全技術。安全掃描技術與防火墻、入侵檢測系統(tǒng)互相配合，能夠有效提高網絡的安全性。通過對網絡的掃描，網絡管理員可以了解網絡的安全配置和運行的應用服務，及時發(fā)現安全漏洞，客觀評估網絡風險等級。網絡管理員可以根據掃描的結果更正網絡安全漏洞和系統(tǒng)中的錯誤配置，在黑客攻擊前進行防范。如果說防火墻和網絡監(jiān)控系統(tǒng)是被動的防御手段，那么安全掃描就是一種主動的防范措施，可以有效避免黑客攻擊行為，做到防患于未然。5、安全審計安全審計是一個新概念,它指由專業(yè)審計人員根據有關的法律法規(guī)、財產所有者的委托和管理當局的授權,對計算機網絡環(huán)境下的有關活動或行為進行系統(tǒng)的、獨立的檢查驗證,并作出相應評價。安全審計是一個新概念,它指由專業(yè)審計人員根據有關的法律法規(guī)、財產所有者的委托和管理當局的授權,對計算機網絡環(huán)境下的有關活動或行為進行系統(tǒng)的、獨立的檢查驗證,并作出相應評價。安全審計涉及四個基本要素:控制目標、安全漏洞、控制措施和控制測試。其中,控制目標是指企業(yè)根據具體的計算機應用,結合單位實際制定出的安全控制要求。安全漏洞是指系統(tǒng)的安全薄弱環(huán)節(jié),容易被干擾或破壞的地方?？刂拼胧┦侵钙髽I(yè)為實現其安全控制目標所制定的安全控制技術、配置方法及各種規(guī)范制度?？刂茰y試是將企業(yè)的各種安全控制措施與預定的安全標準進行一致性比較,確定各項控制措施是否存在、是否得到執(zhí)行、對漏洞的防范是否有效,評價企業(yè)安全措施的可依賴程度。安全審計跟蹤的功能是：幫助安全人員審計系統(tǒng)的可靠性和安全性;對妨礙系統(tǒng)運行的明顯企圖及時報告給安全控制臺，及時采取措施。一般要在網絡系統(tǒng)中建立安全保密檢測控制中心，負責對系統(tǒng)安全的監(jiān)測、控制、處理和審計。所有的安全保密服務功能、網絡中的所有層次都與審計跟蹤系統(tǒng)有關。（二）防范Windows的漏洞Windows操作系統(tǒng)作為使用最廣泛的操作系統(tǒng)，其漏洞和針對它的攻擊也是最多的。根據目前的軟件設計水平(微軟的幾千名軟件設計人員應該代表了目前最高的軟件設計水準)和開發(fā)工具，特別是操作系統(tǒng)這么一個龐大的"代碼累積，據了解，WindowsXP的代碼有4000萬行之多，能讓超級黑客攻擊的地方太多了，畢竟超復雜的軟件設計，就越代表了具有更多的功能，這么多的功能說絕對安全是不可能的，例如UPNP漏洞就可略窺冰山一角。WindowsXP作為一種具有可擴展性能的系統(tǒng)，這種設計固然有它的優(yōu)越之處，但恰恰是這種優(yōu)越也極有可能帶來巨大的安全隱患。特別是在視窗XP為防止侵權盜版的"激活"功能上爭議很多，很多人認為這為用戶信息安全帶來了潛在的威脅，反對大量安裝這一系統(tǒng)，這正是所謂"有得必有失"。（三）賬號鎖定功能漏洞

WindowsXP設計了賬號快速切換功能，可以使用戶快速地在不同的賬號之間切換，而不需要先退出再登錄。但是快速賬號切換功能目前也被證實在設計方面存在嚴重問題。當系統(tǒng)在用戶利用賬號快速切換功能快速地重試登錄一個用戶名時，系統(tǒng)會認為是一個有暴力猜解的攻擊，從而造成全部非管埋員賬號的鎖定，從而其他用戶沒有管理員的解禁不能登錄主機。

該漏洞在進行如下測試方法后將被證實：

(1)設置最多錯誤口令嘗試為3次。

(2)以一般用戶權限創(chuàng)建10個賬戶(User1-User10).

(3)用Useri賬號登錄。

(4)使用快速賬號切換登錄到User2賬號。

(5)用快速賬號切換從User1賬號登錄User2賬號連續(xù)失敗3次。

(6)試著丟登錄User3賬號。

這時你會發(fā)現所有非管理員賬號均已經鎖定。

解決方法：目前，微軟還沒有提供相應的補了程序，用戶如果想避免上述的漏洞，必須暫時禁止賬戶快速切換功能。

（四）WindowsXP遠程桌面漏洞

WindowsXP提供了遠程桌面功能，目前也被證實存在設計缺陷，可能導致攻擊者得到系統(tǒng)遠程桌面的賬戶信息，有助于其進一步攻擊。當連接建立的時候，用WindowsXP遠程桌面把賬戶名以明文發(fā)送給連接它的客戶端。發(fā)送的賬戶名不一定是遠端主機的用戶賬號，而是最常被客戶端使用的賬戶名，網絡上的嗅探程序可能會捕獲到這些賬戶信息。

解決方法：到微軟主頁下載相應的補丁程序，并暫時停止遠程桌面的使用

（五）GD1拒絕服務漏洞

GraphicsDeviceInterface(GDI)是一套應用程序接口，用于顯示圖形輸出。但是它存在一個安全問題，可能導致系統(tǒng)拒絕服務。這是由于GDI無法正確處理畸形或無效的參數和標志位造成的，系統(tǒng)表現為藍屏，只有重新啟動才能恢復正常功能。

解決方法：禁止不可信用戶登錄系統(tǒng)。四、在連接Internet時，如何在網絡層實現安全性（一）防火墻的定義所謂防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.是一種獲取安全性方法的形象說法，它是一種計算機硬件和軟件的結合，使Internet與Intranet之間建立起一個安全網關（SecurityGateway），從而保護內部網免受非法用戶的侵入，防火墻主要由服務訪問規(guī)則、驗證工具、包過濾和應用網關4個部分組成，防火墻就是一個位于計算機和它所連接的網絡之間的軟件或硬件。該計算機流入流出的所有網絡通信和數據包均要經過此防火墻。在網絡中，所謂“防火墻”，是指一種將內部網和公眾訪問網(如Internet)分開的方法，它實際上是一種隔離技術。防火墻是在兩個網絡通訊時執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數據進入你的網絡，同時將你“不同意”的人和數據拒之門外，最大限度地阻止網絡中的黑客來訪問你的網絡。（二）防火墻的作用防火墻具有很好的保護作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標計算機。你可以將防火墻配置成許多不同保護級別。高級別的保護可能會禁止一些服務，如視頻流等，但至少這是你自己的保護選擇。防火墻最基本的功能就是控制在計算機網絡中，不同信任程度區(qū)域間傳送的數據流。例如互聯網是不可信任的區(qū)域，而內部網絡是高度信任的區(qū)域。以避免安全策略中禁止的一些通信，與建筑中的防火墻功能相似。它有控制信息基本的任務在不同信任的區(qū)域。典型信任的區(qū)域包括互聯網(一個沒有信任的區(qū)域)和一個內部網絡(一個高信任的區(qū)域)。最終目標是提供受控連通性在不同水平的信任區(qū)域通過安全政策的運行和連通性模型之間根據最少特權原則。防火墻對流經它的網絡通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執(zhí)行。防火墻還可以關閉不使用的端口。而且它還能禁止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。（三）如何使用防火墻如果是windows操作系統(tǒng)自帶的防火墻，默認狀態(tài)下都會自動開啟的（關閉的話系統(tǒng)會報警）。如果是另外安裝的其他防火墻，安裝后也會自動開啟（即在桌面右下角的任務欄中有防火墻圖標顯示）。一般情況下，防火墻最好使用一個就行了，也就是你必須關閉其中之一。

防火墻的主要目的就是保證上網安全，對系統(tǒng)沒有什么影響，可以放心使用。為了便于上網瀏覽網頁，最好把防火墻的安全級別設置為“中級”。

有些防火墻在開啟后，對電腦中的某些應用程序的運行、更新、修改甚至卸載等，會彈出是否“允許或同意以及不允許或不同意”的詢問框，這時你要根據具體情況進行相應操作，才能保證系統(tǒng)的正常運行，如果是電腦內你所知的應用程序運行而出現的詢問框，你都可以選擇“允許或同意”，并在詢問框下方的“以后都按此方法處理”前面的小方框中打上小勾，這樣當下次再運行此程序時，詢問框將不會再出現。注意事項1.防火墻實現了你的安全政策2.一個防火墻在許多時候并不是一個單一的設備防火墻并不是現成的隨時獲得的產品4.防火墻并不會解決你所有的問題5.使用默認的策略。正常情況下你的手段是拒絕除了你知道必要和安全的服務以外的任何服務。但是新的漏洞每天都出現，關閉不安全的服務意味著一場持續(xù)的戰(zhàn)爭。6.有條件的妥協，而不是輕易的。7.使用分層手段。并在一個地點以來單一的設備。使用多個安全層來避免某個失誤造成對你關心的問題的侵害。8.只安裝你所需要的。作為防火墻一部分的機器必須保持最小的安裝。9.使用可以獲得的所有資源10.只相信你能確定的11.不斷的重新評價決定。更改你的防火墻，就像搬新家一樣，需要明顯的努力和仔細的計劃。12.防火墻不是萬能的,對一些新出現的病毒和木馬可能沒有反映,要時常的更新.機器可能會停止運行，現在病毒發(fā)展迅速，而且品種繁多，防為墻不可能全部都能阻攔，所以要加強自身的安全防護。五、實現遠程訪問的安全性隨著信息化辦公的普及，遠程訪問的需求也水漲船高。越來越多的學校，已經不再只滿足于信息化系統(tǒng)只能夠在學校內部使用。由于員工出差、客戶要求訪問等原因，近幾年遠程訪問的熱度不斷升高。一些遠程訪問工具，也紛紛面世。如電子郵件、FTP、遠程桌面等工具為流離在外的學校員工，提供了訪問學校內部網絡資源的渠道。

但是，毋庸置疑的，對學校內部網絡資源的遠程訪問增加了學校網絡的脆弱性，產生了許多安全隱患。因為大多數提供遠程訪問的應用程序本身并不具備內在的安全策略，也沒有提供獨立的安全鑒別機制?；蛘哒f，需要依靠其他的安全策略，如IPSec技術或者訪問控制列表來保障其安全性。所以，遠程訪問增加了學校內部網絡被攻擊的風險。筆者在這里試圖對常見的遠程入侵方式進行分析總結，跟大家一起來提高遠程訪問的安全性。（一）提高遠程訪問的安全性一是只需要知道用戶名與口令，就可以開始一個遠程控制會話。也就是說，遠程控制軟件只會根據用戶名與密碼來進行身份驗證。所以，如果在一些關鍵服務器上裝有遠程控制軟件，最好能夠采取一些額外的安全措施。如Windows服務器平臺上有一個安全策略，可以設置只允許一些特定的MAC地址的主機可以遠程連接到服務器上。通過這種策略，可以讓只有網絡管理人員的主機才能夠進行遠程控制。無疑這個策略可以大大提高遠程控制的安全性。二是采用一些安全性比較高的遠程控制軟件。一些比較成熟的遠程控制軟件，如PCAnyWhere，其除了遠程控制的基本功能之外，還提供了一些身份驗證方式以供管理員選擇。管理員可以根據安全性需求的不同，選擇合適的身份驗證方式。另外，其還具有加強的審計與日志功能，可以翔實的紀錄遠程控制所做的一些更改與訪問的一些數據。當我們安全管理人員懷疑遠程控制被入侵者利用時，則可以通過這些日志來查詢是否有入侵者侵入。三是除非有特殊的必要，否則不要裝或者開啟遠程控制軟件。即使采取了一些安全措施，其安全隱患仍然存在。為此，除非特別需要，才開啟遠程控制軟件。如筆者平時的時候，都會把一些應用服務器的遠程控制軟件關掉。而只有在筆者出差或者休假的時候，才會把他們開起來，以備不時之需。這么處理雖然有點麻煩，但是可以提高關鍵應用服務器的安全。這點麻煩還是值得的。（二）針對特定服務攻擊的防范針對一些特定服務的攻擊，如HTTP服務、FTP服務，比較難于防范。但是，并不是一點對策都沒有。采取一些有效的防治措施，仍然可以在很大程度上避免遠程訪問的入侵。如采取如下措施，可以起到一些不錯的效果。

1、是采用一些更加安全的服務。就拿WEB服務器來說吧?，F在支持WEB服務器的協議主要有兩種，分別為HTTP與HTTPS。其中HTTP協議的漏洞很多，很容易被入侵者利用，成為遠程入侵學校內部網絡的跳板。而HTTPS則相對來說安全的多。因為在這個協議中，加入了一些安全措施，如數據加密技術等等。在一定程度上可以提高WEB服務器的安全性。所以，網絡安全人員在必要的時候，可以采用一些比較安全的協議。2、是對應用服務器進行升級。其實，很多遠程服務攻擊，往往都是因為應用服務器的漏洞所造成的。如常見的WEB服務攻擊，就是HTTP協議與操作系統(tǒng)漏洞一起所產生的后果。如果能夠及時對應用服務器操作系統(tǒng)進行升級，把操作系統(tǒng)的漏洞及時補上去，那么就可以提高這些服務的安全性，防治他們被不法之人所入侵。

3、是可以選擇一些有身份鑒別功能的服務。如TFTP、FTP都是用來進行文件傳輸的協議?？梢宰寣W校內部用戶與外部訪問者之間建立一個文件共享的橋梁?？墒沁@兩個服務雖然功能類似，但是安全性上卻差很遠。TFTP是一個不安全的協議，他不提供身份鑒別貢呢功能。也就是說，任何人只要能夠連接到TFTP服務器上，就可以進行訪問。而FTP則提供了一定的身份驗證功能。雖然其也允許用戶匿名訪問，但是只要網絡安全人員限制用戶匿名訪問，那么就可以提高文件共享的安全性。六訪問控制如何布置（一）實現高效安全的網絡訪問控制一個有效的NAC（網絡訪問控制）方案，應該可以提供一個可信任網絡架構，這個架構對威脅具有免疫性，以及恰當使用的可控制性并能夠為所有用戶保護數據和完整性。NAC的一個關鍵特性是訪問的安全性，可以通過限制哪些用戶擁有對系統(tǒng)的訪問以及他們如何通過有線或無線的方法連接，來前攝性地防止安全性受到破壞。網絡訪問控制幫助你保證只有授權的用戶可以獲得對網絡的訪問權。而且，它保證用戶只能訪問被授權使用的資源。下面我們看一些實現有效的網絡訪問控制的具體措施：1、選擇一個網絡訪問控制方法和一種客戶端技術●IEEE802.1X●Web身份驗證●MAC身份驗證2、選擇一個網絡架構設備網絡架構設備，如交換機、接入點和WAN路由器可以提供對RADIUS驗證的支持，并且支持上述全部的驗證形式。這些設備可以直接控制客戶端與網絡的連接。考慮到不同邊緣設備的不同性能，任何增強安全策略的特定設備的能力都依賴于所用的訪問控制方法以及客戶端是否在尋求一個有線或無線的連接。3、選擇RADIUS服務器遠程身份驗證撥入用戶服務(RADIUS)是一個工業(yè)標準協議，可以提供身份驗證、授權和賬戶服務;它用在提供用戶網絡訪問的設備與對進入的用戶進行身份驗證的設備之間。RADIUS定義了三種公共的部件：●訪問客戶●網絡接入（訪問）服務器●RADIUS服務器即使有多種多樣的應用環(huán)境，也只能在網絡中使用一種類型的RADIUS服務器（例如，你可以使用微軟的IAS服務器或者FreeRADIUS）。在這方面，應該根據網絡中的所用的應用環(huán)境選擇自己的RADIUS服務器。這也是對一個中央用戶數據庫進行投資（LDAP或者活動目錄）的時機。4、選擇EAP方法（如果使用802.1x的話）只有在使用802.1x訪問控制方法時，可擴展身份驗證協議（EAP）的方法才具有重要意義。需要考慮兩個因素：客戶對網絡的驗證和網絡對客戶的驗證。5、布置并安排網絡分段要設計網絡分段，這些分段應適合于網絡的各種各樣的應用環(huán)境。在網絡中的一個有限區(qū)域內引入訪問控制。6、集成所有的網絡段一旦你部署了網絡中各種不同的分段，就可以通過將所有的分段集成到一個統(tǒng)一的總體中來實施優(yōu)化。7、考慮采用身份驅動管理身份驅動管理（IDM）提供了基于用戶身份而不是網絡設備的網絡訪問控制，它允許在網絡的中心設置一個網絡訪問策略的實施，并將它動態(tài)地運用于網絡的邊緣。（二）建立證書管理中心CA是證書的簽發(fā)機構,它是PKI的核心。CA是負責簽發(fā)證書、認證證書、管理已頒發(fā)證書的機關。它要制定政策和具體步驟來驗證、識別用戶身份，并對用戶證書進行簽名，以確保證書持有者的身份和公鑰的擁有權。1、證書認證機構CA在PKI體系中，為了確保用戶的身份及他所持有密鑰的正確匹配，公鑰系統(tǒng)需要一個可信的第三方（TrustedThirdPart,TTP）充當認證中心（CertificationAuthority,CA）來確認公鑰擁有者的真正身份，簽發(fā)并管理用戶的數字證書。認證中心保證了數字證書中列出的用戶名稱與證書中列出的公開密鑰一一對應關系，解決了公鑰體系中公鑰的合法性問題。認證中心對數字證書的數字簽名操作使得攻擊者不能偽造和篡改數字證書。認證中心CA是PKI體系的核心。2、認證中心CA的主要功能接收并驗證最終用戶數字證書的申請；證書審批確定是否接受最終用戶數字證書的申請；證書簽發(fā)，向審批者頒發(fā)、拒絕頒發(fā)數字證書；證書更新，接收、處理最終用戶的數字證書更新請求；接收最終用戶數字證書的查詢、撤消；產生和發(fā)布證書廢止列表（CRL），驗證證書狀態(tài)；提供OCSP在線證書查詢服務，驗證證書狀態(tài)；提供目錄服務，可以查詢用戶證書的相關信息；下級認證機構證書及賬戶管理；數字證書歸檔；認證中心CA及其下屬密鑰的管理；歷史數據歸檔。3、CA認證-認證、數字證書和PKI解決的幾個問題保密性-只有收件人才能閱讀信息。認證性-確認信息發(fā)送者的身份。完整性-信息在傳遞過程中不會被篡改。不可抵賴性-發(fā)送者不能否認已發(fā)送的信息。（三）加密技術隨著網絡技術的發(fā)展，網絡安全也就成為當今網絡社會的焦點中的焦點，幾乎沒有人不在談論網絡上的安全問題，病毒、黑客程序、郵件炸彈、遠程偵聽等這一切都無不讓人膽戰(zhàn)心驚。病毒、黑客的猖獗使身處今日網絡社會的人們感覺到談網色變，無所適從?，F代的電腦加密技術就是適應了網絡安全的需要而應運產生的，它為我們進行一般的電子商務活動提供了安全保障，如在網絡中進行文件傳輸、電子郵件往來和進行合同文本的簽署等。1、加密的由來

近期加密技術主要應用于軍事領域，如美國獨立戰(zhàn)爭、美國內戰(zhàn)和兩次世界大戰(zhàn)。最廣為人知的編碼機器是GermanEnigma機，在第二次世界大戰(zhàn)中德國人利用它創(chuàng)建了加密信息。此后，由于AlanTuring和Ultra計劃以及其他人的努力，終于對德國人的密碼進行了破解。隨著計算機的發(fā)展，運算能力的增強，過去的密碼都變得十分簡單了，于是人們又不斷地研究出了新的數據加密方式，如利用ROSA算法產生的私鑰和公鑰就是在這個基礎上產生的。2、加密的概念

數據加密的基本過程就是對原來為明文的文件或數據按某種算法進行處理，使其成為不可讀的一段代碼，通常稱為“密文”，使其只能在輸入相應的密鑰之后才能顯示出本來內容，通過這樣的途徑來達到保護數據不被非法人竊取、閱讀的目的。該過程的逆過程為解密，即將該編碼信息轉化為其原來數據的過程。

3、加密的理由

加密在網絡上的作用就是防止有用或私有化信息在網絡上被攔截和竊取。一個簡單的例子就是密碼的傳輸，計算機密碼極為重要，許多安全防護體系是基于密碼的，密碼的泄露在某種意義上來講意味著其安全體系的全面崩潰。

數字簽名就是基于加密技術的，它的作用就是用來確定用戶是否是真實的。在這里需要強調一點的就是，文件加密其實不只用于電子郵件或網絡上的文件傳輸，其實也可應用靜態(tài)的文件保護，如PIP軟件就可以對磁盤、硬盤中的文件或文件夾進行加密，以防他人竊取其中的信息。

4、兩種加密方法

加密技術通常分為兩大類：“對稱式”和“非對稱式”。

對稱式加密就是加密和解密使用同一個密鑰，通常稱之為“SessionKey”這種加密技術目前被廣泛采用，如美國政府所采用的DES加密標準就是一種典型的“對稱式”加密法，它的SessionK