中小型企业网络安全规划管理.doc

《中小型企业网络安全规划管理.doc》由会员分享，可在线阅读，更多相关《中小型企业网络安全规划管理.doc（19页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、 南京邮电大学通达学院毕 业 论 文题 目中小型企业网络安全规划管理专 业信息管理与信息系统学生姓名勇沁舟班级学号15530119指导教师陆骥指导单位管理学院 日期： 2018年12月1日至 2019年5月28日摘 要 本课题对中小型企业网络安全性进行了深入研究和分析，在此基础上建立了一套安全的网络系统架构。因为中小型企业对于计算机和网络的依赖程度比较高，所以这就要求我们对信息安全又更进一步的关注。首先，由于资金、技术和安全意识等多个方面的因素，再加上很多企业的精力都放在业务应用上面，所以在信息安全建设方面做得不是很到位。即使现在很多企业已经利用一些防火墙和一些防病毒的软件来保证信息安全，但是

2、也有很多中小企业什么安全措施都没有实施，比较让人担忧。 随着网络的快速发展，很多对网络的攻击技术也得以发展，黑客攻击的手段更加的丰富，在网上就有许多破坏力较强的攻击工具，而且一般黑客都会攻击一些中小型企业，主要是因为中小型企业的安全很令人担忧。与此同时，病毒的发展已经超出了我们能够想象的地步，往往企业内部安全管理制度会存在一些漏洞，这样的话就为他们破坏提供了途径，所以，中小型企业必须建立完善的安全体系来防止他们的攻击。 本文研究了中小型企业在网络安全上面临的许多问题，通过对中小型企业网络架构建设、一系列的网络设计，把例如邮件传输安全问题，大量垃圾邮件攻击问题，病毒传播问题，信息资源非法访问等问

3、题都快速有效地解决了，同时也提高了中小型企业网络安全的应用水平。 关键词：中小型企业；网络；安全ABSTRACT This topic requires us to conduct in-depth research and Analysis on the network security of small and medium-sized enterprises, and establish a secure network system architecture. However, information security construction is often lagging beh

4、ind because enterprises focus their main energy on the development of various business applications and are limited by many factors, such as funds, technology, personnel and security awareness.Some enterprises have adopted the basic security measures of "firewall + anti-virus", but many sm

5、all and medium-sized enterprises do not have any security protection measures, so people can not help worrying about it. Hacker attack means are becoming more and more abundant, and all kinds of destructive attack tools and abstracts are readily available on the Internet. In addition, the developmen

6、t of viruses has far exceeded peoples expectations, and the destruction is becoming more and more serious. In addition, the omission of information security management system within enterprises provides a large number of criminal ways for some illegal personnel. This topic has solved many problems f

7、aced by small and medium-sized enterprises in network security, such as the security of mail transmission, a large number of spam attacks, virus transmission, illegal access to information resources and so on. Keywords: small and medium-sized;enterprises;network security目 录第一章 绪论1第二章 网络环境现状22.1网络环境介

8、绍32.2中小型网络情况分析52.3几种网络情况7第三章 网络安全风险分析93.1 概要风险分析113.2 实际风险分析133.3 安全缺口14 3.3.1网络安全缺口16 3.3.2网络安全缺口根源18 3.3.3弥补网络安全缺口的对策203.4 网络安全评估21第四章 中小型企业网络安全的实现措施234.1计算机安全25 4.1.1访问控制策略27 4.1.2确保网络安全的措施30 4.1.3提高企业内部网安全性的几个步骤33 4.2网络安全35 4.3网络安全原则38第五章 实现中小型企业网络安全的规划与设计395.1整体网络安全系统架构405.2整体防护安全体系435.3Interne

9、t和信息发布服务455.4Internet和内部网485.5网络设计505.5.1设计网络拓扑结构525.5.2设备命名规则545.6技术应用55结论56致谢57参考文献58 第一章 绪论 随着社会经济的不断完善和计算机网络技术的不断发展和应用，大量的信息为许多中小企业带来了很多商机。为此，它加强了企业网络信息的建设，确保资源共享是当前的中小企业。在发展过程中，重要的信息资源和相关的网络安全问题也随之而来，从而影响中小企业的健康和可持续发展。我们从计算机主机安全技术，数据加密技术，高性能安全保护软件，网络安全意识的建立，内部信息的改善等方面来看中小型企业。系统管理。计算机网络安全问题制定相应的

10、解决方案，以提高企业计算机网络的运行效率。目前，中小企业的许多重要信息都存储在网络服务器中，因此网络系统的安全性非常重要。国内中小企业信息化已经得到了迅速的发展,又因为资金、安全意识、信息安全建设比较落后。然后中小企业会遇到许多烦恼，比如: 1、因为互联网的发展,网络安全事件层出不穷。近几年,存在计算机病毒传播、蠕虫的攻击、垃圾邮件泛滥和敏感信息泄露，这些影响较大，这称为外部安全。 2、根据最新调查,在经过调查的企业中一半以上的员工利用网络处来理私人事件。对网络的不正当使用,使得生产率、阻碍电脑网络、消耗企业网络资源等降低。并且引入了一些病毒和间谍,也就是说不法员工可以通过网络泄漏企业机密,从

11、而导致企业损失数千万美元。这称为内部安全。 3、由于一些企业的发展迅速和移动办公的普及,慢慢就形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。这称之为内部网络之间和内外网络之间的连接安全。 本文主要对中小型企业目前存在的一些网络安全问题进行了研究,通过规划，得到了一些解决的措施，使得企业安全管理水平得到提高。第二章 网络环境现状2.1网络环境介绍当前的国际发展趋势就是信息化，同时国民经济化的基础也是信息化。所以国家和企业应该在企业的信息化建设上多花点心思并且重视起来。近些年，由于信息化对于企业的重要性，很多企业都建立了自己的企业网和网络，然后通过很多WAN路线与Interne

12、t相连。影响计算机网络安全的因素很多，基本分为这几个方面： 1、网络病毒 对于计算机系统安全来说病毒是最直接的威胁，例如“蠕虫”病毒、CIH病毒、爱虫病毒。病毒通过网络可以快速的传播，病毒想要进入网络可从代理服务器上以软件下载和邮件等形式，然后网络信息就会被盗窃，造成很大的损失。 2、攻击网络的外部 就是说外从LAN外部攻击，例如：他们会借助一些合法的用户，通过伪装进入网络，然后大量的资源就会被利用，随之也会修改网络的数据，盗取一些机密的信息，也会破坏一些执行中的软件。 3、攻击网络的内部 利用合法用户的口令和合法的身份进入局域网内部，登陆网站后盗取机密的网络信息，将信息的内容都毁坏，从而造成

13、一些系统不能正常工作。 4、漏洞和后门的存在网络和系统是不能100%完美无瑕，程序员有时会在软件中留下漏洞。一旦犯罪分子知道这一遗漏，就会利用这个薄弱环节来攻击整个网络系统。大多数黑客网络事件都是由系统漏洞和后门引起的。2.2中小型网络情况分析中小企业有不同的网络拓扑，由于其规模，行业差异，工作方法和管理方法。中小企业网络的性能要求差异很大，取决于应用。网络功能选择，应根据实际需要。中小企业网络通常规模小，在组织比较简单，和性能的要求差异很大，取决于应用。许多中小型企业有更少的网络技术人员和在网络上的高度依赖。2.3网络情况有以下几种：1、集中式中小型企业局域网 中小企业网络一般只在其总部完整

14、的网络布局。使用网络接入方法，诸如租用线路接入，ADSL接入，或者多行的访问。终端在一个典型的网络的总数量从数十到数百。一些网络被划分子网，例如文件数据库、邮件服务器等。很多中小型企业基本都采用集中办公，都在同一栋楼上办公，但是又因为尺寸比较有限，网路之间的连接距离一般都在100以内，因此所有类型的UTP都可用于布线。 2、分布型中小企业局域网 企业在一个地方有很多处可以办公的地方，而网络之间连接的距离都超过100米，所以只能用光纤布线，这称为分布型的企业局域网。而且这种局域网通常都有两个层次的接入节点，甚至会有三个层次的。 3、可靠性高的中小企业局域网 通常不需要网络管理,但对网络性能却仍旧

15、会有较高需求。这种情况下,可采用非网管千兆交换机,有效降低成本。小企业LAN：对于少于100人的小企业，开关可以用来实现百兆交换到桌面。在这里，可以充分实现插件和播放功能的开关一般选择，并没有配置是必需的，这是非常适合小型企业自网络需求。第三章 网络安全风险分析3.1概要风险分析 1、物理安全方面分析 网络系统安全的条件是网络的物理安全。在整个网络工程建设中，因为网络系统是弱电项目，耐压值也特别的低，所以整个过程必须保证工作人员和设备不会被电、火和雷击伤害到。要考虑的还有布线和照明电线、电源线、通信线路、加热管和冷风管等方面。在布线上要保证绝缘线、裸线、接地和焊接之间的距离，同时防雷系统也是必

16、不可少的。一般来说还是要尽量避免网络的物理安全风险。2、网络拓扑结构方面的风险分析 直接影响网络系统的安全性网络拓扑结构也算一种。例如内外部网络在通信的时候，就有可能在员工主机上泄露信息，再例如内部网络上一台电脑安全受损了，那么也会受到威胁，继而会影响在同一网络上的其他的系统。3、操作系统方面的风险分析 想要检验网络操作系统和网络硬件平台是不是可靠就要通过系统安全来评判。到现在，应该没有绝对安全的操作系统可以用，不管是Microsoft的WindowsNT还是其他商业的UNIX操作系统，开发的人员都会拥有自己的后门。4、应用方面的风险分析 应用系统的安全涉及的东西比较广泛，这也跟具体的应用有关

17、。而且应用系统的安全是不断地变化的，也是一种动态的形式。应用系统主要有文件服务器、数据库服务器、数据信息、病毒等安全风险。5、管理方面的风险分析 网络管理的安全构建是网络安全建设过程的重要组成部分。管理安全风险包括：内部管理人员或员工图表方便易操作，不设置用户密码，或设置密码太短，太简单，容易破解。网络安全最重要的部分就是管理，给管理安全带来风险，往往有可能是因为责任不明确，不健全的安全管理体系，没有操作性。3.2实际风险分析 形成的原因分析：硬件方面例如，服务器故障，线路故障等软件：不安全的软件服务，分为考虑和非人类因素网络操作系统：不安全协议，像一个没有了良好的基础奠定了基础。知道了不安全

18、的原因,那么我们在考虑企业网安全方案时就有了一个目标,有意识地针对产生危险的原因来设计企业网安全方案。 当然在设计企业网安全方案时,不能只从纯技术的角度去考虑,也要考虑到现实情况。去年8月份全国召开了一个全融行业网络安全会议,一位曾到德国访问的国内某省行行长讲了这样一件事:他到德国某家银行访问考察他们的网络安全时,发现了有一个漏洞,这个漏洞不是容易发现,他就问这个德国银行的行长为什么不想办法堵住这个漏洞,这个德国银行行长说的话让我们深思不已:这只是一个小小的漏洞,即使别人利用这个漏洞,银行损失也不过几百马克,但是要堵住这个漏洞我们可能要化几百万马克,我有必要堵住这个漏洞吗?所以在考虑设计企业网

19、络安全方案时,要以实际情况而定,不能形而上学。设计企业网安全方案时要考虑到的问题。 在策略的订制之前要充分知道上面的列出的一些危险以及产生危险的原因。安全策略有: 1、宽松的防火墙安全策略就是除非是明确的禁止进入，不然就都是允许进入。 2、不宽松的防火墙安全策略就是除非是明确的允许进入，不然就是都不允许进入。 上面解释的两个策略，很多都以此作为两个极限点,作了不同程度的折衷。至于依据什么进行折衷,下面风险评估会对此有一个详细的说明。总而言之,防火墙是否满足企业网的安全需要,取决于网络安全设计人员能否恰如其分地把握好这个平衡。3.3安全缺口3.3.1网络安全缺口: 1、黑客如同一个无处不在的阴影

20、,它始终是所有网络用户的顶部。黑客试图破解通过编译各种方案，提取他们感兴趣的信息，以及有用的信息思维，或重要文件和商业数据篡改的目标账号和密码;在另一方面，他们试图劫持在运输过程中的机密信息。，修改或删除，扰乱正常的信息交流。据报道，电脑黑客目前使用的工具已经形成有自动攻击工具和工具篡改，监控和数据采集，掌握网络元素攻击技术和先进的隐形和逃避技术工具包。黑客使用的设计，检测程序来记录登录用户ID和密码PW，有段时间可以捕捉到40000个密码。此外，他们的工具套件还具有扫描根目录实行目标网络上的全面进攻的能力。 2，在线病毒攻击邹聪1988年，一名黑客在网络上建立了一个蠕虫病毒，在反病毒方面网络

21、的安全性开始引起人们的注意。据国外调查显示，截至1996年底，80的互联网用户已被病毒感染。在线病毒对资源的破坏令人震惊，这主要取决于其传播特征。 3.3.2产生安全缺口的根源 产生安全缺口的原因：1. 类别复杂的网络设备网络设备的种类千差万别而且特别多种，所以每种设备的安全状况和保密的功能都不一样。2. 多种多样的接入方法不一样的昂罗环境就有不一样的接入方法，一些新型的上网方式就显得有些复杂。3. 时刻变化的网络当然了网络也是一直在变化和发展的，肯定不会是静态的，由于安全配置都是不同的，所以需要新的硬件设备和新的操作和软件来支撑。4. 安全知识知道较少的用户有限的安全专业知识，有效地保护网络

22、，这实际上是安全漏洞的最重要原因。 3.3.3弥补网络安全缺口的对策对于病毒黑客的网络攻击，常用的方法，如防病毒软件，密码控制和权限限制，无法做任何事情。下面是两种新技术的简单阐述：一、第一种技术主要通过信息加密来保证信息的安全：想要有效的增强网络安全性的最好的方法就是信息加密，从信息发出的那一头通过信息加密把想要传送的信息用特定的算法先进行加工然后再传送，这样的话一些数据就不会那么容易被理解，传送之后，在接受的那一头再用特定的解开这个加密的信息的软件来得到传送的信息，这样一来的话，传送的信息就比较安全啦，不会被其他方盗取。如今，加密技术已经越来越成熟，1997年初，公司想要扩展企业和网络连接

23、的这一种战略方式，最先提出了ICF这一是带有国际加密体制的加密信息的技术，这一技术得到了美国政府很高的评价，可用于商用。但是，没有什么技术是十全十美的，对于每个国家的加密技术，每个政府都会进行控制，所以有一些私人的信息就有可能会被政府拦截。二、第二种技术就是防火墙方面的技术，而防火墙有两大类，一类是禁止黑客访问的还有一类是防止病毒的防火墙：1、防止黑客进入的防火墙：禁止黑客访问的防火墙其实就是利用系统或者利用了滤波原理，使得访问控制在多个网络之间变得更强，同时的话也可以阻止那些不能进入的访问者，将他们隔离在外面，这样就不会影响到正常的运作了。这种防火墙有只有经过授权的通信服务被允许穿过它;系统

24、本身不受侵扰。 2、防止病毒进入的防火墙： 其实这种防火墙就是起到了一个监视的作用，他可以一直监视传入到计算机上的数据，然后可以发现有没有病毒的存在，如果存在病毒的话，他就将会马上发动警报然后马上清除掉这种病毒，之后就会将病毒产生的时间、登录时候的用户名和节点号这些信息全部记录下来，再把这些资料做成报告发送给网络的管理员，这样就可以提前预防下次这种病毒的入侵啦，最后，每个用户进入的网络世界都将不会存在病毒。3.4 网络安全评估 制定企业网络的安全策略之前，有必要做的企业的实际风险进行准确的评估。否则，它会出现或企业网络所需要的安全级别高。其结果是，为了省钱，安全性能并不是很好。高级防火墙或者通

25、过企业网络所需要的安全级别不是很高。其结果是，花了大量的钱去买一个高安全性能的防火墙，浪费投资。一、 哪方面进行安全评估：1、 外部进行评估：是对企业的计算机基础设施进行调查2、 内部进行评估：对计算机的内部网络的检查3、 应用系统方面的评估：各种硬件都能在设备上正常运行二、 进行实验如果想让安全防护措施可靠和有效，就要对网络安全进行周全的评估。一定要在设计开始之前就要在设计阶段明确网络安全需要的需求，这样的话就能防止一些损失，设计阶段通常是系统、应用程序和数据库方面。假如有的地方疏忽的话，一些黑客就能对这些点进行攻击，使得网络系统会受到很多威胁，由此看来，网络系统的安全不想太薄弱的话就必须加

26、强网络系统。那怎么样才能有效的保证系统的安全性呢，这就必须要定期对系统的安全进行分析啦，要是发现一些缺点和发现一些漏洞，都要及时的去修补好。三、 实验的结论网络安全评估体系主要组成部分就是指标体系。这种指标体系是通过评估目标和评估内容然后构造出能反应安全水平的相关指标，可以反映出许多关于评估对象的资料，甚至评估对象的网络安全的水平和素质。 第四章 数据收集与数据分析4.1计算机安全 4.1.1控制访问网络安全的保护需要控制访问，主要是不让非法的使用和访问到资源，通过控制访问可以有效地保护网络资源不流失从而保护网络安全。1、 控制入网能够向网络提供第一层的访问控制的就是入网访问啦。防止非法访问的

27、第一道防线就是需要验证用户的用户名和密码，因为每个用户注册前都会最先要输入用户名和密码，这样一来服务器就会验证用户名是否是合理的。要是验证是可靠的，之后再验证密码，加入验证不可靠，那用户就会被拒绝访问，从而得知密码也是很关键的。密码加密有很多种例如：采用单项函数加密、测试模式加密、公约加密、平方残差加密、多项式共享加密和数字签名加密等。其中数字签名加密是比较保密的，一般管理员也无法得到密码。除此之外，还有一种验证身份的方式，那就是通过智能卡，这种卡比较便携。 2、 权限的控制因为网络非法操作行为过多，所以提出了一种保护措施就是权限控制。就是必须有特定的权限用户才可以对网络进行操作。例如通过权限

28、控制，访问哪些目录和文件或者其他资源都会有限制，同时也可以指定特定的用户才可以操作这些文件和目录或者设备。因为权限的控制，可以访问的用户类别只有以下这些：首先就是特殊的用户啦，就好比系统管理员；其次一般的用户就需要特殊用户分配权限才可以使用；最后还有一种用户可以操作，那就是审计用户，因为他们要控制网络的安全还要计算网络资源的使用情况。 3、控制属性 控制属性有可能会把已经指定的受托者和权限都覆盖掉，属性的权限是指把数据写入到文件、复制文件、删除文件、执行文件、共享属性等。目的就是要保护很多重要的目录和文件，以防有人删除和破坏文件或者执行非法的操作来修改或者显示文件。 4、控制网络服务器 在网络

29、服务上可以执行或者说是允许执行一系列的操作。控制台可以让用户自主的安装或者删除软件或者是卸载一些模块等。并且可以通过设置密码锁来控制服务台，这样一来网络服务器很安全，也同时防止非法用户对信息和数据进行破坏和删改。网络服务器的登录时间也是可以设置的，防止非法访问者登录。 5、控制网络的监控 监控网络是非常有必要的，用户访问网络资源的各种信息应该被记录下来，当有非法网络连接进入的时候，服务器可以用别的形式例如图形或者文本或声音来实现自动报警，这样一来网络管理员就会得到提示，引起关注。如果罪犯还是妄图进入网络，服务器就应该会记录下次数，这个次数达到某个特定值的时候，该用户的账户就会被锁定，使用不了了

30、。 6、控制网络的端口和节点 节点的身份识别需要用到加密的形式，端口的保护往往是自动回呼设备和调制解调器来保护的。自动回呼设备可以防止那些非法的用户，调制解调器是防范黑客对计算机进行攻击以自动拨号的程序。最后，服务端口和用户端口需要相互进行验证，否则就不能通过。 4.1.2网络安全措施的保证 网络安全说白了就是要保护用户的信息不被泄露，所以要避免直接接触。用户的网络需要和Internet连接，就要把连接到计算机的网络和其余部分分割开来。这就是说要把物理网络服务器从网络中分割开来。当然，这个解决方案提高了机器管理的难度。但是，假如是非法闯入了一个独立的机器中，那么其他的网络就不会受到威胁。用户只

31、需要一个用户帐户，并严格限制其密码。到root帐户的访问只用苏时允许的。这个方法保留一份使用根帐号者的记录。 最后的危险不一定是漫长而繁琐的，而且文件都千奇百怪的，很有可能是盗版的或者是不入流的，那他们是怎么进行运作的呢？其实是发件人找到了一个FTP站点，他们有权编写并复制到可疑文件中。通过其他方式，发送方通知其关联文件可以使用它们。因此,FTP用户可以访问,用户的访问者也可以访问。如果用户想要创建一个目如果用户认为信息比较适合共享,那麽将拷贝到另一个目录中。 4.1.3提高中小企业内部网安全性的步骤1、网关的限制，网管账户的数量也要加以限制，任何机器不能关闭，网关也是不可信的；2、网管的任何

32、文件都不可以用NFS来传送和接收；3、网关上使用NIS信息服务是不被允许的；4、非网关机器上的安全性也要加以执行；5、多余的服务和程序最好被关闭和删除；6、系统记录要定期的查看；4.2网络安全1.安全的物理策略 计算机系统、服务器、硬件和链路等都会受到人为破坏和自然灾害的影响，物理安全策略就是要保护他们不受伤害。所以让计算机系统由一个良好的环境就必须要对用户的身份进行验证同时也要限制用户的使用权限，有良好的安全管理制度就有好的计算机系统环境。要建立完善的安全管理制度来防止非法的对计算机的破坏和盗窃活动。 2.安全的网络结构 安全结构布局的合理性也会影响网络的安全性。银行系统服务网络，办公网络和

33、与外部单元互连的接口网络必须根据各自的应用范围和安全级别进行分发，以避免本地安全。低层网络系统的威胁会威胁到整个的网络，所以有两种方法来避免：一种是到位的安全检测工作，入侵检测的系统是很有必要安装在局域网的设备上的，这就可以跟踪到数据的输入和输出，然后进行分析，假如跟踪到了违规的行为，就可以立即报警然后阻止入侵并且记录好日志。还有一种是对电源的控制要增强，实现外部和内部网络的的访问和间隔，防火墙都是可以控制的，想要增强电源的控制，可以利用内部Internet里的交换机把VLAN的功能划分开来。此外，它还可以进行更详细的访问，例如对局域网中特定程序的访问控制。 3.安全的操作系统 操作系统可以通

34、过加强身份验证和提高认证的强度进行安全配置，要安装扫描软件时不时地扫描进行安全评估，防止有漏洞的存在。如果发现的话要快速的进行补救以防万一。安全的操作系统也要和最新的补丁配置进行匹配，删除一些不常用的一些应用程序，但有安全隐患，严格限制使用某些关键文件，并加强密码。假如补丁配置不符合的话，要及时禁用，而且补丁系统中的通话是不允许公布的。 4.安全的应用 有良好的防范工作就会有安全的应用，要想确保有安全的应用，首先防病毒系统是必不可少的，因为病毒的入侵有可能会扩散到全部的网络中，所以要保证全部网络的病毒都得以清除。其次，假如重要的数据信息丢失了肯定会是很大的损失，所以对这些重要的数据或者信息都要

35、进行备份，是保住了数据和信息。然后，数据在传输的过程中也很大可能会被泄露，传输过程也要进行加密，这样的数据就是机密数据。最后，数据在传输过来后有可能不会是特别的完整，所以为了保证数据是完整的，必须要有鉴别数据的能力。 5.安全的管理 安全意识需要提高也就需要良好的管理体系来维持，所以管理也是很重要的。安全意识大部分都是很薄弱的，所以要通过培训来得以提高，并且有一定的用处。安全意识离不开安全制度的管理和法律的手段来管理，而制定安全的管理制度需要电信部门根据安全条例的要求制定。严格遵照执行，并通过安全知识和法律常识的培训，加强对从业人员的整体安全意识和安全技术防范外部入侵。4.3网络安全原则 要想

36、有效地管理和控制网络系统和应用就必须要建立网络安全体系，安全体系有三个必要的基础就是技术、组织和制度。1、 设计体系化需要的规则由于网络的层次关系，首先要有科学的安全体系和框架来支撑，然后通过这一安全体系进行一系列安全的风险分析，然后能够最大程度的解决存在的安全问题。2、 设计全球综合性需要的规则因为考虑到中小型企业的实际的一些情况，假如只有一个安全措施的话是不可能把安全问题全都解决的，所以想要彻底的解决这些网络问题，就要全面的展开安全措施，有一个综合性强一点的解决方案和产品。 第五章 实现中小型企业网络安全的规划与设计5.1网络安全系统架构的整体性只有科学的网络安全架构才可以有效地解决安全问

37、题，在安全方案和分析的基础上得到的架构是安全架构。因为应用层会收到的威胁和攻击是越来越多和越来越强的，所以应用层以下的解决方案已经不适用了，不能够来抵抗受到的攻击和威胁论。用一个简单的例子可以解释：简单的防火墙或者VPN系统可以携带后门蠕虫病毒，由此可见，就必须建立那种多层次的应用层来防止攻击。就像下面的例图所展示的，我们可以看到，该图上由多层级的安全系统来应对各方面的攻击，不止设定了防火墙还设定了对应用层防止攻击的措施，就像病毒类和垃圾邮件，同时的话在网络的边缘放置应用层保护的保护。主动保护完全阻断攻击从企业内部网的内容。5.2防护安全体系的整体性 综上一系列的规划和分析，要想有一个安全的系

38、统体系，就要建立能保证整体性安全的可靠性高的安全防火墙。 （1）控制访问企业内部的和外部的网络应该要和企业网分离开来，目前Internet中的协议都要得到相应的支持，其中的协议例如多媒体视屏应用协议、连接或者无连接协议、用户可以自定义的协议等。 (2)认证授权认证授权的方法多种多样，通过不同的方法对不同的信息源进行控制。 (3)内部信息安全内部检查也是有必要的，像是URL过滤等。 (4)传输加密在传输过程中进行加密，让信息能够在防火墙之间安全传输。 (5)设备安全外部世界的多个出口企业的网络都可以连接到，例如专用的拨号线等。 (6)集中化 集中性的控制和管理也是一种好的策略。 (7)报警记录的

39、功能电子邮件、SNMP等都可以用来实现自动报警。5.3Internet和信息发布服务对于接入服务产业，接入服务商必须向外部用户提供到位的服务，因为这样一来，唯一的保证就是主机的安全了。一旦你明确的知道哪个用户会唤醒你的访问，你就可以限制出口路由器或者出口的防火墙，不然的话，控制访问就是没有任何的用处的。 主机安全其实涉及的非常的广泛，但是主机安全确实是一种非常可靠有效的手段。有一种是这样的，主机已经存在了一种不安全的操作系统，或者是更加差的网络系统了，这样的话是不可能保证到主机安全的。5.4Internet和内部网在一种情况下，互联网是有好处的，所以企业要连接进入互联网，但是另一种情况下，企业

40、内部的数据库和网络不想与外部用户共享，与此同时，企业也没有能力可以建立两种网络来实现这个想法。想要保护每个主机的系统，防火墙的基本想法就是依靠一个点的所有访问系统，并保护这一点，并建立保护内部网和不可信外部网络之间尽可能。其实现比较习惯的安全策略来控制信息的流动，防止一些不可见的入侵。不同的防火墙的技术：1、防火墙的包过滤 对IP地址的校验是包过滤防火墙安全性的重要部分，但是有了控制访问才可以实现包过滤防火墙，通过看数据包的信息例如IP地址、端口号等来看与过滤规则是不是符合，虽然包过滤防火墙可以解决大部分的安全问题，而且非常的有效而且过程是很透明的，可是，这也侧面的反映出包过滤在别的方面是体现

41、不了什么用处的。因为包过滤防火墙有自己的规则，所以他会丢弃数据包，但是他不会去过滤不同用户的不同IP地址，也不会识别身份，也不能检测到应用层是否会受到攻击。 2、代理服务 假如有黑客想要攻击防火墙，那防火墙肯定是会拒绝的，那么包过滤防火墙就是防火墙与黑客之间的一场战斗。可和这不同的是，代理服务是不太一样的，他会回避这种战斗，甚至是不理会以至于会躲起来不解决。 要想使得Internet和FTP服务可以连接成功，就需要应用级的网关利用软件的转发和过滤掉特定的应用程序服务，这就是称为代理服务，因为只有那些认为是可以依赖的服务可以通过防火墙，就是说只允许启用了代理服务的通过。不仅如此，过滤协议也是代理

42、服务中的一种，比如过滤FTP的连接、拒绝使用FTP指令等都是属于的。虽然应用级的网关是非常的安全，但是还是存在缺点的，不管是什么应用程序，它们都会向它们提供特定的代理服务。 3、状态监测 网络技术中最受瞩目的应该就是网络监测技术了，被很多人认为是下一代的网络安全技术，状态检测是安全决策的基础，他通过数据包来监测到不同的层次，但这对正常的工作没有任何的影响，这就是状态监测技术成功的地方。 各种各样的网络协议和应用协议都可以在件事模块下运作，很容易地实现应用程序和服务的扩展。状态监测服务可以监控RPC（远程过程调用）和UDP用户数据包，代理服务和防火墙的包过滤都可以实现。 4、虚拟VPN VPN成

43、为了网络的一个新热点，虚拟的VPN其实是有关于密码的问题，试想一下，电路是安全的，网络是安全的，信道是安全的，但是应用安全是不可靠的，去除其他不可计算的因素的时候，最有效的就要数加密了，要是考虑到加密的话，那一定会想到加密的算法和密码等一系列的问题。在中国，中国的密码管理系统中，密码是独立的一个领域。 5、防护病毒 病毒防护系统必不可少，可以有效地去除病毒。 6、过滤垃圾邮件 病毒会藏在邮件中入侵，所以要过滤垃圾邮件。 7、管理移动用户 如有携带笔记本外出，不可避免要接入内部网络，这样可以保证笔记本设备的安全，防止黑客或者病毒通过设备进入到企业的内部网。 8、控制带宽 网络中流量的情况可以掌握

44、的很清楚的人的话那一定是网管人员了，他们可以将网络流量的基线定出来，流量的平均标准也可以控制，如果出现了异常的流量情况他们可以控制带宽。5.5 网络设计5.5.1网络设计拓扑结构采用上设计图优点如下: 1,结构整齐,比较好管理，也有丰富的层次；2、路由协议的动态化得，很简但就能扩展，延展性好；5.1.2设备命名规则为了方便网络故障诊断和远程监控，各写字楼将统一在其管辖下的网络设备的名称。设备的网络系统的命名由五个字段，其指示所述装置，这有利于设备的维护和管理方面，功能，等级和类型。设备名称的字母被大写所有以表明是ID命名主网络设备的规则如下： A_B_C_D_E: A:办公楼名称(如A、B等)

45、 B:区域名称(如核心区、服务器区、办公区、管理区、等,也可表示名称)C:区域层次(如汇聚层或接入层)D:设备类型(如核心交换机、路由器、防火墙、入侵检测、等)E:设备序列号(如第一台、第二台、等)5.6技术应用 1、设计布线系统总体结构BD |整个建筑从总部机房与12芯单模光纤到机房连接|另一个建筑。每个设备还具有12芯的多模光纤和电信室的每一层| FD |五种类型的非屏蔽双绞线电缆被从电信机房到工作站相连。该集团校园网络采用10M光纤以太网接入互联网服务供应商的网络，然后访问互联网，使该集团能够与外界交换信息。与网络进行通信。该小组由总部机房的出口统一接入互联网，并可对组控制网络的安全性。服务器与核心交换机之间：使用UTP电缆将服务器连接到核心交换机。 2、设计工作区子系统其实工作区子系统大多数是由信息插座连接起来的，例如计算机和电话等，由于信息插座有很多特性，就好比简单和防尘也可以是超薄的特别普遍。信息插座中的模块采用RJ-45模块;电缆采用超五类双绞线;水晶头采用RJ-45标准水晶头。为了降低成本，并结合客户端的变化特点，跳线可以与原来的跳线和自制跳线在中心机房的建设柜组合，设备间，设备间，服务器，与重点客户终端。跳线使用原始完成跳投，其余的使用自制的跳线。 3、设计水平子系统要想信息插座能够和管理子系统连接起来，就是想实现