计算机信息管理毕业论文

第 1 页 商丘职业技术学院 毕 业 论 文 建材公司网络安全设计与实施 2012 年 3 月 20 日 学生姓 名 张超朋 专业名 称 计算机信息管理 班 级 计管一班 院（系）名 称 商丘职业技术学院 学 号： 0901020108 指 导 老 师 毛自民老师 第 2 页 摘要 随着信息化技术的飞速发展，许多有远见的企业都认识到依托先进的 IT 技术构建企业自身的业务和运 营平台将极大地提升企业的核心竞争力，使企业在残酷的竞争环境中脱颖而出。经营管理对计算机应用系统的依赖性增强，计算机应用系统对 网络 的依赖性增强。计算机网络规模不断扩大，网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。信息安全防范应做整体的考虑，全面覆盖信息系统的各层次，针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程，事前、事中和事后的技术手段应当完 备，安全管理应贯穿安全防范活动的始终。 网络安全问题伴随着网络的产生而产生，可以说，有网络的地方就存在网络安全隐患。像病毒入侵和黑客攻击之类的网络安全事件，目前主要是通过网络进行的，而且几乎每时每刻都在发生，遍及全球。除此之外，像恶意软件入侵、攻击，用户的非法访问和操作，用户邮件的非法截取和更改等都是普遍存在的安全事实。网络安全事件所带来的危害，相信我们每个计算机用户都或多或少地亲身体验过一些：轻则使电脑系统运行不正常，重则使整个计算机系统中的磁盘数据全部覆灭，甚至导致磁盘、计算机等硬件的损坏。 为了防范这 些网络安全事故的发生，每个计算机用户，特别是企业网络用户，必须采取足够的安全防范措施，甚至可以说要在利益均衡情况下不惜一切代价。但要注意，企业网络安全策略的实施是一项系统工程，它涉及许多方面。因此既要充分考虑到那些平时经常提及的外部网络威胁，又要对来自内部网络和网络管理本身所带来的安全隐患有足够的重视，不能孤立地看待任何一个安全隐患和安全措施。因为这些安全隐患爆发的途径可以是多方面的，而许多安全措施都是相辅相成的。 关键字 ： 计算机网络；病毒入侵；网络威胁；安全防范措施 第 3 页 Abstract With the rapid development of information technology, many of the visionary companies recognize that relying on advanced IT technologies to build their own business and operational platform will greatly enhance the core competitiveness of enterprises, companies stand out in a brutally competitive environment. Dependent enhancement of management of computer applications, computer applications on the network-dependent enhancement. Computer networks have been expanding, increasingly complex network structure. Information security should be done as a whole to consider, comprehensive coverage of the various levels of information systems for networks, systems, applications, data, comprehensive prevention. Information security system model shows that security is a dynamic process, before, during and after the technical means should be complete, and safety management through the activities of security always. Network security issues along with the generation of the network can be said that the network where the network security risks. Such as infected by viruses and hacker attacks, network security events, mainly through the network, and almost all the time in the event throughout the world. In addition, like malicious software attacks, unauthorized access and operation of the user, the unlawful interception of user messages, and changes are common safety facts. Harm network security incidents, I believe each of us computer users are more or less know at: ranging from the computer system is not functioning properly, while in the disk all the data collapse of the entire computer system, even lead to damage of the disk, the computer hardware. In order to prevent the occurrence of network security incidents, each computer user, especially the corporate network users must take adequate safety precautions, and can even be said to be in the balance of interests at all costs. But we know that implementation of the corporate network security policy is a systematic project, which involves many aspects. Therefore it is necessary to fully take into account who was often referred to the external network threats, but also brings its own security risks from the internal network and network management sufficient attention, can not be viewed in isolation of any safety hazards and safety measures. Since the outbreak of the way of these security risks are many, many security measures are complementary to each other. Keyword ： Computer networks；Virus attacks；Network threats；Safety precautions 第 4 页 商丘职业技术学院学生开题报告表 课题名称 建材公司网络安全设计与实施 课题来源 自行命题 课题类型 网络安全设计 导 师 学生姓名 张超朋 学 号 0901020108 专 业 计算机信息管理 开题报告内容：（调研资料的准备，设计目的、要求、思路与预期成果；任务完成的阶段 内容及时间安排；完成设计（论文）所具备的条件 因素等。） 1.毕业设计资料准备 在毕业设计之前，通过学校图书馆和网络进行了大量的查阅工作，对课题有了初步的认识。并且阅读了相关资料。如： (1) 张尧学，计算机操作系统教程（ C）。北京：清华大学出版社。 (2) 姜全生，计算机网络技术应用（ B）。北京：清华大学出版社。 （ 3）微软公司，网络安全的实现和管理（ B）背京：高等教育出版社。 （ 4）微软公司，操作系统 Win XP 和 Win2003 的帮助文档 (B)。 2.设计的目的与要求 设计目的 管理和维护公司现有各种网络应用服务，并能够实现针公司 需求，增加相应 网络服务。完成日常网络的配置和部署，形成公司良好的网络 。 设计要求 1.根据建材公司的结构，设计网络分布方案，完成机器的安装与网线的的布置。 2.给公司所有计算机分配 IP 地址、子网掩码、默认网关，实现内部局域网之间达到通信。 3.搭建预控器，将企公司的所有客户机加到域中，由域控制器统一管理。 4.配置路由器，实现内部客户端对外部网站服务器的访问。 5.完成防火墙的的规划和配置实现。 3.思路与预算成果 思路：保持网络原有的性能特点，大幅度提高系统的安全性和保密性。 根据特定的网络 管理任务需求，设计相应的访问规则，完成相应的管理任务 。 预算成果：完成日常网络的配置和部署，形成公司良好的网络。 4.任务完成的阶段内容及时间安排 第一周 根据自身的专业学习情况，大致确定自己的毕业设计选题方向， 第二周至 第三周完成“开题报告” 、 第四周至第五 周初步完成系统设计； 第六周至第十周 完成初步网络方案设计，形成毕业设计初稿；第十一周至第十五周进一步修改完善毕业设计终稿，进行 答辩 的 准备 ；第十六周毕业设计的总结工作。 5. 完成设计（论文）所具备的条件因素 软硬件配备齐全，资料准备充分，教师 适时督导，学生们有一定 软件开发基础 和很强的 自学能力。 指导教师签名： 日期： 指导教师签名： 日期： 课题类型：（ 1） A 工程设计； B 技术开发； C 软件工程； D 理论研究； 第 5 页 （ 2） X 真实课题； Y 模拟课题； Z 虚拟课题 （ 1）、（ 2）均要填，如 AY、 BX 等。 目 录 摘 要 . 错误 !未定义书签。 目 录 . 错误 !未定义书签。 第 1 章 引 言 . 7 1.1 国内外网络发展情况及安全现状 . 7 1.2 网络对企业的重要性 . 7 1.3 网络安全问题的产生 . 8 1.4 公司网络的主要安全隐患 . 9 1.5 公司网络的安全误区 . 9 第 2 章 公司网络安全设计 . 11 2.1 网络设计原则 . 11 2.1.1 公司需求 . 12 2.1.2 结构图 . 12 2.2 公司网络分析 . 12 2.2.1 网络安全需求分析 . 12 2.2.2 网络内容方案 . 13 2.2.3 项目设计图 . 13 第 3 章 公司项目实施 . 14 3.1 VLAN 的功能和作用 . 14 3.1.1 VLAN 介绍 . 14 3.1.2 VLAN 优点 . 15 3.1.3 VLAN 分类 . 15 3.1.4 公司 VLAN 划分 . 15 3.2 VPN 功能和作用 . 17 3.2.1 VPN 介绍 . 17 3.2.2 VPN 优点 . 17 3.2.3 公司配置 VPN 服务器 . 18 3.3 操作系统的安全配置 . 19 3.4 防火墙的安装与管理 . 25 第 6 页 3.4.1 防火墙的安装 . 25 3.4.2 防火墙的管理 . 26 3.4.3 安装证书 . 28 3.4.4 远程监控台的安装 . 30 3.5 防火墙的配置 . 30 第 4 章 公司网络安全维护 . 34 4.1 公司管理的安全性 . 34 4.2 服务器防毒技术 . 34 4.3 网络环境下的病毒防护 . 34 结 论 . 36 参考文献 . 错误 !未定义书签。 致 谢 . 37 第 7 页 第 1 章 绪 论 1.1 国内外网络发展情况及安全现状 计算机网络发展很快，经历了一个从简单到复杂的演变过程。计算机的应用也不断地发展，渗透在人们生活的方方面面。在全球网络革命如火如荼、飞速发展的时代潮流面前 ,中国的网络业也不甘居人之后。我国政府从 20 世纪 90 年代初开始 ,便相继实施了“金桥”、“金卡”等一系列金字工程。在发达国家建设“信息高速公路”的世界背景下 ,我国的一批信息技术专家根据中国国情 ,提出了我们自己的“高速信息网计划 (CHINA) ” ,1993 年 10 月 15 日 ,当时世界上最长的通信光缆 ,纵贯中国南北的京汉广通信“大动脉”全线开通 ,拉开了我国网络基础设施建设的序幕。我国企业从 1994 年开始涉足电子商务 ,并取得了喜人的成绩。 1998 年是世界电子商务年 ,中国也掀起了一股电子商务热 ,我国的“中国商品市场”从当年 7 月 1 日起 ,正式进入 Internet 。 1999 年在上海举行的“ 99财富全球论坛”年会又传出消息 :到 2003 年 ,中国将成为世界上最大的信息网络市场。由此不难推断 ,中国经济也必将融入全球网络经济的大潮之中。 随着计算机网 络技术的广泛应用和飞速发展 ,计算机信息网络已成为现代信息社会的基础设施。它作为进行信息交流、开展各种社会活动的基础工具，已深入人们工作和生活当中。同时，网络安全问题也成为信息时代人们共同面临的挑战，国内的网络安全问题也日益突出。具体表现为：计算机系统受病毒感染和破坏的情况相当严重；电脑黑客活动已成为重要威胁；信息基础设施面临网络安全的挑战；网络政治颠覆活动频繁等，为了更好地应对这些网络安全问题。 网络环境的复杂性、多变性，以及信息系统的脆弱性，决定了网络安全威胁的客观存在。我国日益开放并融入世界，但加强安全 监管和建立保护屏障不可或缺。国家科技部部长徐冠华曾在某市信息安全工作会议上说：“信息安全是涉及我国经济发展、社会发展和国家安全的重大问题。近年来，随着国际政治形势的发展，以及经济全球化过程的加快，人们越来越清楚，信息时代所引发的信息安全问题不仅涉及国家的经济安全、金融安全，同时也涉及国家的国防安全、政治安全和文化安全。因此，可以说，在信息化社会里，没有信息安全的保障，国家就没有安全的屏障。信息安全的重要性怎么强调也不过分。”目前我国政府、相关部门和有识之士都把网络监管提到新的高度，上海市负责信息安全工作的部 门提出 采用非对称战略构建上海信息安全防御体系，其核心是在技术处于弱势的情况下，用强化管理体系来提高网络安全整体水平。 Internet 是各行各业的展示与和另一种发展平台 ,同时必须建立一个安全稳定的环境维护产业的可持续快速发展。衷心希望在不久的将来，我国信息安全工作能跟随信息化发展，上一个新台阶。 1.2 网络对企业的重要性 随着经济的飞速发展和社会信息化建设的大力推进，网络平台已经成为企业进行业务拓展、经营管理和进行形象宣传的一个独特的窗口。建立企业网 络 ，早已不再是为了赶潮流或是博取好听的名声，而是把网络 技术同企业管理体系、工作流程和商务运作等紧密地联系在了一起，充分利用互联网不受时空限制的信息平台，建立最直接、丰富、快捷的商务沟通平台和管理平台，从而搭建高效的经营管理机制和商务运作平台。 第 8 页 企业对信息的需求 全球信息网的出现和信息化社会的来临，使得社会的生产方式发生深刻的变化。面对着激烈的市场竞争，公司对信息的收集、传输、加工、存贮、查询以及预测决策等工作量越来越大，原来的电脑只是停留在单机工作的模式，各科室间的数据不能实现共享，致使工作效率大大下降，纯粹手工管理方式和手段已不能适应需求，这将严重妨碍公 司的生存和发展。 对企业经营的影响 它正全方位地改变企业的经营方式：企业可以进行网上广告宣传，可以及时获取重要的有关市场信息和企业间的竞争情报，还可利用网络的电子邮件功能和有业务往来的客户进行方便、快捷的远程通信。另外，企业还可在网上进行人才招聘，通过上网招聘可以引进更优秀的人才。企业通过把因特网技术引进企业内部，建立企业内部管理信息系统 (局域网 )，这样的局域网既具有因特网的功能，又为企业全部拥有。 从企业管理和业务发展的角度出发 通过网络对网络资源的共用来改善企业内部和企业与客户之间的信息交流方式，满 足业务部门对信息存储、检索、处理和共享需求，使企业能迅速掌握瞬息万变的市场行情，使企业信息更有效地发挥效力；提高办公自动化水平，提高工作效率，降低管理成本，提高企业在市场上的竞争力；通过对每项业务的跟踪，企业管理者可以了解业务进展情况，掌握第一手资料，及时掌握市场动态，为企业提供投资导向信息，为领导决策提供数据支持；通过企业内部网建立，企业各业务部门可以有更方便的交流沟通，管理者可随时了解每一位员工的情况，并加强对企业人力资源合理调度，切实做到系统的集成化设计，使原有的设备、投资得到有效利用。 1.3 网络 安全问题的产生 可以从不同角度对网络安全作出不同的解释。一般意义上，网络安全是指信息安全和控制安全两部分。国际标准化组织把信息安全定义为“信息的完整性、可用性、保密性和可靠性”；控制安全则指身份认证、不可否认性、授权和访问控制。 互联网与生俱有的开放性、交互性和分散性特征使人类所憧憬的信息共享、开放、灵活和快速等需求得到满足。网络环境为信息共享、信息交流、信息服务创造了理想空间，网络技术的迅速发展和广泛应用，为人类社会的进步提供了巨大推动力。然而，正是由于互联网的上述特性，产生了许多安全问题： a）信息 泄漏、信息污染、信息不易受控。例如，资源未授权侵用、未授权信息流出现、系统拒绝信息流和系统否认等，这些都是信息安全的技术难点。 b）在网络环境中，一些组织或个人出于某种特殊目的，进行信息泄密、信息破坏、信息侵权和意识形态的信息渗透，甚至通过网络进行政治颠覆等活动，使国家利益、社会公共利益和各类主体的合法权益受到威胁。 C）网络运用的趋势是全社会广泛参与，随之而来的是控制权分散的管理问 第 9 页 题。由于人们利益、目标、价值的分歧，使信息资源的保护和管理出现脱节和真空，从而使信息安全问题变得广泛而复杂。 d）随 着社会重要基础设施的高度信息化，社会的“命脉”和核心控制系统有可能面临恶意攻击而导致损坏和瘫痪，包括国防通信设施、动力控制网、金融系统和政府网站等。 1.4 公司网络的主要安全隐患 现在网络安全系统所要防范的不再仅是病毒感染，更多的是基于网络的非法入侵、攻击和访问，同时企业网络安全隐患的来源有内、外网之分，很多情况下内部网络安全威胁要远远大于外部网络，因为内部中实施入侵和攻击更加容易，企业网络安全威胁的主要来源主要包括。 1.病毒、木马和恶意软件的入侵。 2.网络黑客的攻击。 3.重要文件或邮件的非法窃取 、访问与操作。 4.关键部门的非法访问和敏感信息外泄。 5.外网的非法入侵。 6.备份数据和存储媒体的损坏、丢失。 针对这些安全隐患，所采取的安全策略可以通过安装专业的网络版病毒防护系统，同时也要加强内部网络的安全管理，配置好防火墙过滤策略和系统本身的各项安全措施，及时安装系统安全补丁，有条件的还可以在内、外网之间安装网络扫描检测、网络嗅探器、 IDS、 IPS 系统，甚至配置网络安全隔离系统，对内、外网络进行安全隔离；加强内部网络的安全管理，严格实行“最小权限”原则，为各个用户配置好恰当的用户权限；同时对一些敏 感数据进行加密保护，对数据还可以进行数字签名措施；根据企业实际需要配置好相应的数据策略，并按策略认真执行。 1.5 公司网络的安全误区 1.安装防火墙就安全了 防火墙主要工作都是控制存取与过滤封包，所以对 DoS 攻击、非法存取与篡改封包等攻击模式的防范极为有效，可以提供网络周边的安全防护。但如果攻击行为不经过防火墙，或是将应用层的攻击程序隐藏在正常的封包内，便力不从心了，许多防火墙只是工作在网络层。 防火墙的原理是“防外不防内”，对内部网络的访问不进行任何阻挠，而事实上，企业网络安全事件绝大部分还是源于企 业内部。 2.安装了最新的杀毒软件就不怕病毒了 安装杀毒软件的目的是为了预防病毒的入侵和查杀系统中已感染的计算机病毒，但这并不能保证就没有病毒入侵了，因为杀毒软件查杀某一病毒的能力总是滞后于该病毒的出现。 3.在每台计算机上安装单机版杀毒软件和网络版杀毒软件等效 网络版杀毒软件核心就是集中的网络防毒系统管理。网络版杀毒软件可以在 第 10 页 一台服务器上通过安全中心控制整个网络的客户端杀毒软件同步病毒查杀、监控整个网络的病毒。同时对于整个网络，管理非常方便，对于单机版是不可能做到的。 4.只要不上网就不会中毒 虽然不 少病毒是通过网页传播的，但像 QQ 聊天接发邮件同样是病毒传播的主要途径，而且盗版光盘以及 U 盘等也会存在着病毒。所以只要计算机开着，就要防范病毒。 5.文件设置只读就可以避免感染病毒 设置只读只是调用系统的几个命令，而病毒或黑客程序也可以做到这一点，设置只读并不能有效防毒，不过在局域网中为了共享安全，放置误删除，还是比较有用的。 6.网络安全主要来自外部 基于内部的网络攻击更加容易，不需要借助于其他的网络连接方式，就可以直接在内部网络中实施攻击。所以，加强内部网络安全管理，特别是用户帐户管理，如帐户密码、临 时帐户、过期帐户和权限等方面的管理非常必要了。 第 2 章 公司网络安全设计 2.1 网络设计原则 网络的安全 设计 对网络设计是非常重要的，合理的网络安全控制，可以使应用环境中的信息资源得到有效的保护可以有效的控制网络的访问，灵活的实施网络的安全控制策略。 网络规划是对拟建网络的初步设计，应该遵循网络设计的一般原则和方法，并提出相应的解决方案为后续的设计和实现工作的依据。网络总体规划反映了网络设计“总体规划、分布实施”的网络建设原则，是从网络需求分析到网络具体设计之间必须的阶段，网络规划通过对企业网络需求的调 查、分析、归纳，吧企业现在和对网络的需求转换成对网络结构、功能、性能、协议等技术指标的具体要求。网络规划的主要原则一般有一下几个特点： （ 1） 实用性和经济性。 系统建设应始终贯彻面向应用，注重实效的方针，坚持实用、经济的原则，建设企业的网络系统。 （ 2）开放性和兼容性。 整个网络系统应当选用标准的兼容性强的网络通信协议、主机系统结构、网络服务器通信协议、网络管理网络划分交换端口分配策略等。 （ 3）可靠性和稳定性。 在考虑技术先进性和开放性的同时，还应从系统结构、技术措施、设备性能、系统管理、厂商技术支 持及维修能力等方面着手，确保系统运行的可靠性和稳定性，达到最大的平均无故障时间， TP-LINK 网络作为国内知名品牌，网络领导厂商，其产品的可靠性和稳定性是一流的。 （ 4）先进性和成熟性。 网络建设应适合企业自身发展的特点及网络通信技术的更新换代，在主机选择、网络结构设计、网络设备配置、网络管理方式等方面应具有一定的先进性，采用国际上先进同时又是成熟的技术。 （ 5）安全性和保密性。 在系统设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不 同的措施，包括系统安全机制、数据存取的权限控制等， TP-LINK 网络充分考虑安全性，针对小型企业的各种应用，有多种的保护机制，如划分 VLAN、 MAC 地址绑定、 802.1x、 802.1d 等。 （ 6）可维护性和可管理性。 网络设备应具备安装方便、配置方便、使用方便等特点， 同时要求有较强的网络管理手段，能够合理地配置和调整网络资源，监视网络状态，控 制网络运行。 2.1.1 公司需求 建材公司根据业务发展需求，建设一个小型的企业网，有 Web、 Mail 等服务器和办公区客户机。公司已经完成了综合布线工程的施工与网 络设备的架设。企业分为财务部门和业务部门，需要他们之间相互隔离。 网络管理员在实际维护公司网络的过程中，常遇到各种网络安全问题，例如：网络黑客攻击、网络蠕虫病毒泛滥、各种木马程序等等。由于考虑到 Inteneter 的安全性，以及网络安全等一些因素，如 DDoS、 ARP 等。需要在防火墙设置相关的策略和其他一些安全策略。 网络管理员需要随时排除企业网络在日常运转中出现的各种网络安全问题，保证企业网络的稳定工作。 2.1.2 结构图 根据建材公司的整体网络情况，简单的网络结构图如图 2-1 所示： 图 2-1 网络结构图 2.2 公司网络分析 网络安全需求网络安全需求网络安全需求网络安全需求 现代大型企业网络应提供更完善的网络安全解决方案，以阻击病毒和黑客的攻击，减少企业的经济损失。传统企业网络的安全措施主要是通过部署防火墙、 IDS、杀毒软件，以及配合交换机或路由 器的 ACL来实现对病毒和黑客攻击的防御，但实践证明这些被动的防御措施并不能有效地解决企业网络的安全问题。在企业网络已经成为公司生产运营的重要组成部分的今天，现代企业网络必须要有一整套从用户接入控制，病毒报文识别到主动抑制的一系列安全控制手段，这样才能有效地保证企业网络的稳定运行 2.2.1 网络安全需求分析 我们针对建材公司的网络安全状况和网络结构来进行需求分析。 建材公司的第一个网络安全需求是根据部门需要划分 VLAN，使用 VPN 技术。 建材公司的第二个网络安全需求是要安装一个基于安全的操作系统平台的高 级通信保护控制系统 -网络防火墙，保护公司内部网络的计算机免遭来自国际互联网的黑客攻击、病毒侵扰。 建材公司的第三个网络安全需求是企业内部的计算机网络安全问题。建材公司网内有很多计算机均有上网需求，这就导致常出现网络黑客攻击、网络蠕虫病毒泛滥、各种木马程序盗取密码等网络安全问题。因此，依据建材公司内计算机的使用状况，分别安装软件防火墙、杀毒软件、网络安全软件。 2.2.2 网络内容方案 1、为了 提高了网络的利用率，确保了网络的安全保密性 。建材公司建立 虚拟局域网实现数据安全和共享，提高建材公司主要两大部门 顺利实效。 2、通过多方调研，建材公司决定采用国内网络安全行业的领先企业 -远东网安科技有限公司 的远东网安防火墙。 使用该防火墙隔离公司内部网络和国际互联网。在不改变网络拓扑结构的情况下，使公司内部的计算机访问国际互联网的时候，经过包过滤安全设置。 3、针对建材公司各个部门计算机的应用环境，分别安装网络安全软件、杀毒软件、软件防火墙等。网络管理员的须知。 4、对建材公司计算机操作系统进行研究，操作系统的安装以正常工作为目标，一般很少考虑其安全性，因此安装通常都是以缺省选项进行设置。从安全角度考虑，其变现为装了很多用不到的服务模块，开放了很多不必开放的端口，其中可能隐含了安全风险。 目前的操作系统无论是 windows 还是 Unix 操作系统以及其他厂商开发的应用系统，某开发厂商必然有其 Back Door。而且系统本身必然存在安全漏洞。这些后门和安全漏洞都将存在重大安全隐患。系统的安全程度跟安全配置及系统的应用有很大关系，操作系统如果进行安全配置，填补安全漏洞，关闭一些不常用的服务，禁止开发一些不常用而又比较敏感的端口等，那么入侵者要成功进入内部网是不容易的，这需要相当高的技术水平及相当长时间。 2.2.3 项目设计图 服务器二 层 交 换 机D M Z三 层 交 换 机二 层 交 换 机客 户 机客 户 机 图 2-2 项目设计图 企业 VLAN 划分 企业主要分两个部门，所以只要划分两个 VLAN，分别为： 财务部门 VLAN 10 交换机 S1 接入交换机（神州数码 DCS-5526） 业务部门 VLAN 20 交换机 S2 接入交换机（神州数码 DCS-5526） 核心交换机 S3 核心交换机（神州数码 DCRS-5526） 图 2-3 网络拓扑图 客户机的地址范围： - 54 建材公司内网中管理远东网安防火墙主机的计算机地址： 外网的网关： 54 防火墙的 LAN（ eth0）口的 IP： （默认） 直接管理远东网安防火墙的计算机地址： 1 第 3 章 公司项目实施 3.1 VLAN 的功能和作用 虚拟局域网，应该就是我们平常听到的 VPN，也叫虚拟英特网。它实际上不是真正过一定范围之内的几台电脑互相用网线，通过交换机等相连，而是通过远程的一种访问形式，比如你公司有 VPN，你在外 地出差，这时候，你只要可以上英特网，就可以利用你的账号和密码访问到你们公司的内部网络。就可以像平常在局域网内工作是一样的，可以访问网上邻居、打印文件等。 它的作用也就是提供了远程的系统管理、文件传输、打印等功能，提高了工作效率。 3.1.1 VLAN 介绍 VLAN 即虚拟局域网。 VLAN 是对连接到的第二层交换机端口的网络用户的逻辑分段，不受网络用户的物理位置限制而根据用户需求进行网络分段。一个 VLAN 可以在一个交换机或者跨交换机实现。 VLAN 可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序 和协议来进行分组。基于交换机的虚拟局域网能够为局域网解决冲突域、 广播域、带宽问题。一方面， VLAN 建立在局域网交换机的基础之上；另一方面， VLAN是局域交换网的灵魂。这是因为通过 VLAN 用户能方便地在网络中移动和快捷地组建宽带网络，而无需改变任何硬件和通信线路。这样，网络管理员就能从逻辑上对用户和网络资源进行分配，而无需考虑物理连接方式。 VLAN 充分体现了现代网络技术的重要特征：高速、灵活、管理简便和扩展容易。是否具有 VLAN 功能是衡量局域网交换机的一项重要指标。 3.1.2 VLAN 优点 1、 增加了 网络的连接灵活性 借助 VLAN 技术，能将不同地点、不同网络、不同用户组合在一起，形成一个虚拟的网络环境 ，就像使用本地 LAN 一样方便 。 2、 控制网络上的安全 VLAN 可以提供建立防火墙的机制，防止交换网络的过量广播。相邻的端口不会收到其他VLAN 产生的广播。这样可以减少广播流量，释放带宽给用户 使 用，减少广播的产生 。 3、 增加网络的安全性 因为一个 VLAN 就是一个单独的广播域， VLAN 之间相互隔离，这大大提高了网络的利用率，确保了网络的安全保密性。 3.1.3 VLAN 分类 1、 基于端口的 VLAN； 2、 基于 MAC 地址的 VLAN； 3、 基于第 3 层的 VLAN； 4、 基于策略的 VLAN； 3.1.4 公司 VLAN 划分 财务部门 VLAN 10 交换机 S1 接入交换机（神州数码 DCS-5526） 业务部门 VLAN 20 交换机 S2 接入交换机（神州数码 DCS-5526） 核心交换机 S3 核心交换机（神州数码 DCRS-5526） S1 配置如下 : switch switchena switch#con switch(Config)#vlan 10 switch(Config-Vlan10)#swithport interface ethernet 0/0/1-20 switch(Config-Vlan10)#exit switch(Config)#exit switch#con switch(Config)#interface vlan 10 switch(Config-if-vlan10)#ip address switch(Config-if-vlan10)#no shutdown switch(Config-if-vlan10)#exit switch(Config)#int e 0/0/24 switch(Config-Ethernet0/0/24)#swithport mode trunk Set the port Ethernet0/0/24 mode TRUNK successfully switch(Config-Ethernet0/0/24)#sw t a v a set the port Ethernet0/0/24 allowed vlan successfully switch(Config-Ethernet0/0/24)#exit S2 配置如下 : Switch Switchena Switch#con switch(Config)#vlan 20 switch(Config-Vlan20)#sw int e 0/0/1-20 switch(Config-Vlan20)#exit switch(Config)#exit switch#con switch(Config)#interface vlan 20 switch(Config-if-vlan20)#ip address switch(Config-if-vlan20)#no shutdown switch(Config-if-vlan20)#exit switch(Config)#int e 0/0/24 switch(Config-Ethernet0/0/24)#sw m t Set the port Ethernet0/0/24 mode TRUNK successfully switch(Config-Ethernet0/0/24)#sw t a v a set the port Ethernet0/0/24 allowed vlan successfully switch(Config-Ethernet0/0/24)#exit S3 配置如下 : switch switchena switch# switch#con switch(Config)#hostname S3 S3(Config)#vlan 10 S3(Config-Vlan10)#vlan 20 S3(Config-Vlan20)#exit S3(Config)#int e 0/0/1-2 S3(Config-Port-Range)#sw m t S3(Config-Port-Range)#sw t a v a S3(Config-Port-Range)#exit S3(Config)#int vlan 10 S3(Config-If-Vlan10)#ip address S3(Config-If-Vlan10)#no shutdown S3(Config-If-Vlan10)#exit S3(Config)#int vlan 20 00:04:23: %LINK-5-CHANGED: Interface Vlan20, changed state to UP %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed state to UP S3(Config-If-Vlan20)#ip address S3(Config-If-Vlan20)#no shutdown S3(Config-If-Vlan20)#exit S3(Config)#exit S3(Config-If-Vlan1)#ip address S3(Config-If-Vlan1)#no shutdown S3(Config-If-Vlan1)#exit S3(Config)#exit S3#show ip route S3#con S3(Config)#ip route 3.2 VPN 功能和作用 3.2.1 VPN 介绍 VPN （虚拟专用网络）是指利用公共网络建立私有专用网络。数据通过安全的“加密隧道”在公共网络中传播。连接在 Internet 上的位于不同地方的两个或多个企业内部网之间建立一条专有的通信线路 ，就好比是架设了一条专线一样，但是它并不需要真正地去铺设光缆之类的物理线路。 VPN 利用公共网络基础设施为企业各部门提供安全的网络互联服务，能够使运行在 VPN 之上的商业应用享有几乎和专用网络同样的安全性、可靠性、优先级别和可管理性。企业只需要租用本地的数据专线，连接上本地的公共信息网，各地的机构就可以互相传递信息。同时企业还可以利用公共信息网的拨号接入设备，让自己的用户拨号到公众信息网上，就可以安全地连接进入企业网中。使用 VPN 有节省成本、提供远程访问扩展性强、便于管理和实现全面控制等好处，是目前和今后企业网络发展的趋势。 3.2.2 VPN 优点 1.节约成本 2.增强的安全性 3.网络协议支持 4.容易扩展 5.可随意与合作伙伴联网 6.完全控制主动权 7.安全的 IP 地址 3.2.3 公司配置 VPN 服务器 公司 VPN 服务器端使用 Win2000；客户机端使用 Win98 来设置 VPN。 （ 1）尚未配置： Win2K 中的 VPN 包含在 路由和远程访问服务 中。当 Win2K 服务器安装好之后，它也就随之自动存在了！不过此时当打开 管理工具 中的 路由和远程访问项进入其主窗口后，在左边的 树 栏中选中 服务器准状态 ，即可从右边看到其 状态 正处于 已停止（未配置） 的情况下。 （ 2）开始配置：要想让计算机能接受客户机的 VPN 拨入，必须对 VPN 服务器进行配置。在左边窗口中选中 SERVER（服务器名），在其上单击右键，选 配置并启用路由和远程访问 。 配置并启用路由和远程访问 ，如图 3-1 所示。 图 3-1 设置路由和远程访问 （ 3）如果以前已经配置过这台服务器，现在需要重新开始，则在 SERVER（服务器名）上单击右键，选 禁用路由和远程访问 ，即可停止此服务，以便重新配置！ （ 4）当进入配置向导之后，在 公共设置 中，点选中 虚拟专用网络（ VPN）服务器，以便让用户能通过公共网络（比如 Internet）来访问此服务器。 虚拟专用网络（ VPN）服务器 ，如图 3-2 所示。 图 3-2 设置虚拟专用网 （ 5）在 远程客户协议 的对话框中，一般来说，这里面至少应该已经有了 TCP/IP协议，则只需直接点选 是，所有可用的协议都在列表上 再 下一步 即可。 （ 6）之后系统 会要求你再选择一个此服务器所使用的 Internet 连接，在其下的列表中选择所用的连接方式（比如已建立好的拨号连接或通过指定的网卡进行连接等）再 下一步 。 （ 7）接着在回答 您想如何对远程客户机分配 IP 地址 的询问时，除非你已在服务器端安装好了 DHCP 服务器，否则请在此处选 来自一个指定的 IP 地址范围 （推荐）。 （ 8）然后再根据提示输入你要分配给客户端使用的起始 IP 地址， 添加 进列表中，比如此处为 00。（请注意，此 IP 地址范围要同服务器本身的IP 地址处在 同一个网段中，即前面的 192.168.1部分一定要相同！） （ 9）最后再选 不，现在不想设置此服务器使用 RADIUS即可完成最后的设置。此时屏幕上将自动出现一个正在开户 路由和远程访问服务 的小窗口，当它消失之后，打开 管理工具 中的 服务 ，即可以看到 Routing and Remote Access（路由和远程访问）项 自动 处于 已启动 状态了！ 已启动状态 ,如图 3-3 所示。 图 3-3 启动状态 3.3 操作系统的安全配置 操作系统安全策略 利用 Windows 2000 的安全配置工具来配置安全策略，微软提供了一套的基于管理控 制台的安全配置和分析工具，可以配置服务器的安全策略。 在 管理工具中可以找到 “ 本地安全策略 ” ，主界面如图 3-4 所示。 图 3-4 本地安全设置主界面 可配置四类安全策略：帐户策略、本地策略、公钥策略和 IP 安全策略。默认的情况下，这些策略都没有开启。 关闭不必要的服务 Windows 2000 的 Terminal Services（终端服务）和 IIS（ Internet 信息服务）等都可能给系统带来安全漏洞。 为了能够远程方便的管理服务器，很多机器的终端服务都是开着，如果开了，要确认已经正确的配置了终端服务。 有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务。要留意服务器上开启的所有服务并每天检查。 方法一：程序 -运行 -打开 services.msc 方法二：我的电脑 -鼠标右键下拉菜单 -管理 方法三：控制面板 -性能和维护 -管理工具 -服务 图 3-5 计算机管理 关闭不必要的端口 关闭端口意味着减少功能，如果服务器安装在防火墙的后面，被入侵的机会就会少一些，但不可认为高枕无忧了。用端口扫描器扫描系统所开放的端口，在Winntsystem32driversetcservices 文件中有知名端口和服务的对照表可供参考。该文件用记事本打开如图 3-6 所示。 图 3-6 端口扫描表 设置本机开放的端口和服务，在 IP 地址设置窗口中点击按钮 “ 高级 ” ，在出现的对话框中选择选项卡 “ 选项 ” ，选中 “TCP/IP 筛选 ” ，点击按钮 “ 属性 ” ， 设置端口界面如图图 3-7 所示。 图 3-7 TCP/IP 筛选 一台 Web 服务器只允许 TCP 的 80 端口通过就可以了。 TCP/IP 筛选器是 Windows 自带的防火墙，功能比较强大，可以替代防火墙的部分功能。 开启审核策略 安全审核是 Windows 2000 最基本的入侵检测方法。当有人尝试对系统进行某种方式（如尝试用户密码，改变帐户策略和未经 许可的文件访问等等）入侵的时候，都会被安全审核记录下来。审核策略在默认的情况下都是没有开启的。如图 3-8 所示。 图 3-8 审核策略 双击审核列表的某一项，出现设置对话框，将复选框 “ 成功 ” 和 “ 失败 ” 都 选中，如图 3-9 所示。 图 3-9 本地安全策略设置 开启密码策略 密码对系统安全非常重要。本地安全设置中的密码策略在默认的情况下都没有开启。设置选项如图 3-10 所示。 图 3-10 密码策略设置 开启帐户策略 开启帐户策略可以有效的防止字典式攻击。设置选项如图 3-11 所示。 图 3-11 账户策略设置 备份敏感文件 把敏感文件存放在另外的文件服务器中，虽然服务器的硬盘容量都很大，但是还是应该考虑把一些重要的用户数据（文件，数据表和项目文件等）存放在另外一个安全的服务器中，并且经常备份它们。 不显示上次登录名 默认情况下，终端服务接入服务器时，登陆对话框中会显示上次登陆的帐户名，本地的登陆对话框也是一样。黑客们可以得到系统的一些用户名，进而做密码猜测。 修 改 注 册 表 ， 在 HKEY_LOCAL_MACHINESoftware MicrosoftWindows NTCurrentVersionWinlogon。将 DontDisplayLastUserName 键值改成 1，如图 3-12所示。 图 3-12 注册表编辑器 打开管理工具 -本地安全策略 -本地策略 -安全选项，在打开窗口右侧列 表中选择 “ 登录屏幕上不要显示上次登录的用户名 ” 选项，在弹出对话框选择 “ 已启用 ” ，如图 3-13 所示。 图 3-13 安全选项 备份注册表 注册表是不能随便改动的，除非特别有把握。注册表更改处理不好的话，可能会导致计算机不能正常启动或计算机某些功能不能用， 甚至当将原来的更改还原回去也一样不能用。 所以在更改注册表的任何一项之前，最好将注册表备份。当系统因为更改注册表而出问题时，可以采用恢复注册表的方式来恢复系统。 禁止建立空连接 默认情况下，任何用户通过空连接连上服务器，进而可以枚举出帐号，猜测密码。 修改注册表，在 HKEY_LOCAL_MACHINESystem CurrentControlSetControlLSA，将 RestrictAnonymous 键值改成 “1” 即可。如图 3-14 所示。 图 3-14 修改注册表 下载最新的补丁 很多网络管理员没有访问安全站点的习惯，以至于一些漏洞都出了很久，还放着服务器的漏洞未打补丁。谁也不敢保证数百万行以上代码的 Windows 2000 不出一 点安全漏洞。 经常访问微软和一些安全站点，下载最新的 Service Pack 和漏洞补丁，是保障服务器长久安全的唯一方法。可以使用一些常用的漏洞扫描软件！先扫描出漏洞。 3.4 防火墙的安装与管理 防火墙是计算机网络上一类防范措施的总称，它使得内部 网 络与 Internet 之间或其它外部网络互相隔离、限制网络互访，用来保护内部网络。防火墙简单的可以只用路由器实现，复杂的则可以用主机甚至一个子网来实现，设置防火墙的目的都是为了在内部网与外部网之间设立惟一的通道来自简化网络的安全管理。防火墙的功能主要是过滤掉不安全服务和非法用户与控制对特殊站点的访问以及提供监视 Internet 安全和预警的方便端点。 实现防火墙技术从层次上大概可以分为报文过滤和应用层网关。报文过滤是在 IP 层实现的，它的原理是根据报文的源 IP 地址、目的 IP 地址、源端口、目的端口报文信息来判断是否允许报文通过，因此它可以只用路由器完成。 在建材公司内部网络的出口处，放置防火墙，通过包过滤安全设置，保护建材公司内部网络的计算机免遭来自国际互联网的黑客攻击、病毒侵扰。 3.4.1 防火墙的安装 安装防火墙的 WEB 管理终端 远东网安防火墙的管理操作主要在 WEB 管理终端提供。安装 WEB 管理终端不需要特殊的附加软件，只要 具有管理权限并安装了 WEB 浏览器，任何一台内部主机都可以作为WEB 管理终端来使用。 安装远东网安防火墙 WEB 管理终端： 使用一台基于 Windows XP 平台或 Linux 平台的计算机 A 。 在计算机 A上安装 WEB浏览器 可以是任何标准的客户端软件，如： Internet Explorer ( Windows )； Netscape ( Windows, UNIX )； Mozilla ( UNIX )。 配置计算机 A 的网络地址，使其与远东网安防火墙中心系统的某个网口 E 的网址在同个网段（如果计算 机 A 的网络接口与远东网安防火墙中心系统的网口 E（ eth0）连接，则网络地址可以设置为 1/）。防火墙初始网址为： eth0: / eth1: / eth2: / eth3: / 将计算机 A 的网络接口与远东网安防火墙中心系统的网口 E（ eth0）连接起来，如果是直接相连 则必须使用反接的双绞线 (背对背线 )。 在计算机 A 上打开 WEB 浏览器，在地址栏输入 E 的网址： /。 (或者另外三个防火墙的初始网址 ) 注意 WEB 浏览器的地址栏中是以 https 开头而不是http，表示加密的 http 通信。 如果网络连接配置无误，就可以在计算机 A 上访问远东网安防火墙中心系统的 WEB管理界面了，如图 3-15 所示。 图 3-15 WEB 管理界面 3.4.2 防火墙的管理 管理权限： 通过 WEB 管理终端对远东网安防火墙进行管理操作需要有管理权限。防火墙的出厂缺省配置给予内部网保留地址的主机所有管理权限。 防火墙的管理权限是按功能范围划分的。获得管理权限可以在客户端运行用户认证客户端 SecureKey,，然后输入用户名 /口令，验证成功后即获得该用户的管理权限。 用户认证客户端 SecureKey 用户登录远东网安防火墙使用用户认证客户端 SecureKey。 SecureKey 是随远东网安防火墙附带的登录认证软件。使用 SecureKey 登录到防火墙后，就可以访问防火墙的 WEB管理终端 并利用登录用户的管理权限范围执行若干功能模块的管理操作。安装了 SecureKey 之后，就可以在程序菜单中点击 SecureKey 或者直接执行桌面的快捷方式打开 SecureKey，如图 3-16 所示。 图 3-16 一次性口令认证 输入远东网安防火墙的 IP 信息、登录用户名、用户密码，然后点击“连接”按钮，SecureKey 就会与防火墙建立加密的 SSL 通道，进行用户名和口令验证。 如果用户登录有错误，比如防火墙 IP 无法连接、用户不存在、用户密码错误、超过最大用户登录人数、该用户已登录、本主机已由其他用户登录等等 错误时， SecureKey会弹出提示框显示相应的错误信息。如果各参数无误，成功登录后 SecureKey 窗口会自动最小化并在系统任务栏中显示图标，双击该图标可以重新打开 SecureKey 窗口，此时显示已登录状态，如图 3-17 所示。 图 3-17 一次性口令认证 使用 SecureKey 登录，有几点注意事项： 如果指定了绑定的 IP 和 MASK，则该只能在绑定的 IP 范围内使用 SecureKey 登录。 一台主机同一时刻只能由一个用户登录。 一个用户同一时刻只能在一台主机上登录，也就是说，已登录的用户无法 在任一主机上再次登录。 如果已经登录的用户数达到了最大限制数，其它用户也无法再登录。 用户登录可以由用户主动注销，也可以由管理员在 WEB 管理终端强行切断。 已登录的用户如果其主机与防火墙中心系统断开网络连接超过定义的时间，防火墙也会主动将该登录取消并作记录。 3.4.3 安装证书 远东网安防火墙的 WEB 管理终端与中心系统的通信是加密的 HTTPS 协议，第一次访问 WEB 管理界面的时候，浏览器会提示此加密通信的证书没有得到信任，如图 3-18 所示。点击“是”按钮可以忽略验证过程，对 WEB 管理过程没有影 响。如果在安装 WEB 管理终端的主机上安装防火墙的根证书，以后就不会出现此警报。 图 3-18 安全警报 安装根证书的方法是将远东网安防火墙随机附带光盘中的根证书 (FarEastCA.cer文件 )复制到安装 WEB 管理终端的主机上，双击打开此文件查看证书信息，如图 3-19 所示，并点击安装证书按钮： 图 3-19 证书 点击安装证书按钮就打开了证书导入向导，如图 3-20 所示。 图 3-20 证书导入向导 保持向导的缺省选项不变，依次点击确认按钮如“下一步”、“完成”、“是”等往后安装，最后完成根证书 FarEastCA 的导入过程。 完成了证书的验证工作后，还要使证书上的名称与防火墙站点名称匹配，也就是在用 WEB浏览器访问远东网安防火墙时。这要求安装 WEB 管理终端的主机上对 FEFW 有域名解析，可以通过编辑 c:winntsystem32driversetchosts 文件来实现，在该文件末尾添加 一行： FEFW 其中 是防火墙的网址，如果 WEB 管理终端连接的是另一个防火墙网址，或者防火墙网址做了更改，则需要将 改成相应的网址。 3.4.4 远程监控台的安装 远程监控台 RemoteMonitor 是一个防火墙状态实时监控软件，可以在网络中集中的监控多台远东网安防火墙，实时的反映各台防火墙的状态信息，如图 3-21 所示。 图 3-21 远程监控台 远程监控台运行于 Windows 平台，安装文件在远东网安防火墙随机附带的软件光盘上，运行“远程监控台”目录下的 setup.exe 文件，就可以按照安装向导的指示一步步完成远程监控台的安装。 3.5 防火墙的配置 配置远东网安防火墙的 NAT 工作模式 配置目的：在不改变网络拓扑的情况下，使建材公司内部的 计算机访问国际互联网的时候，经过包过滤安全设置。 初始工作环境说明：管理主机的 IP： 5 外网的网关是： 54 防火墙的 LAN（ eth0）口的 IP： （默认） 网卡说明： eth0: eth1: eth2: eth3: （ 1）按照系统管理员 手册的说明，用超级终端连上防火墙的操作台。将管理主机与防火墙的 eth0 口相连，并设置 ip 地址设为 5，在浏览器地址栏中输入https:/ 即可访问 web 管理终端。在弹出的安全警报窗口中选“是”，如图 3-22 所示。 图 3-22 安全警报 出现管理终端，如图 3-23 所示。 图 3-23 管理终端 （ 2）在“网络管理”选项的“网络地址栏”对话框内输入 IP 地址，如图 3-24 所示。 图 3-24 网络地址 （ 3）在“防火墙”选项的“地址转换”对话框内，为“静态 NAT”添加一个默认的规则，出口为 ETH1:WAN 口，如图 3-25 所示。 图 3-25 静态 NAT （ 4）在“防火墙”选项的“访问控制”对话框内添加一个默认的规则，如图 3-26所示。 图 3-26 访问控制 （ 5）配置访问控制规则： 首先点击包过滤（ any-any），配置如图 3-27 所示。 图 3-27 包过滤规则配置 然后点击“规则修改完成”。 点击“动作”（ default） ,配置动作为通过，再点击“保存”按钮，如图 3-28 所示。 图 3-28 动作变量 （ 6）配置客户主机网络参数。 使客户主 机的地址和 eth0:lan 同一个网段，外网的网关是： 54。 现在，经过连通性测试，如图 3-29 所示，就可以正常登录国际互联网了。 图 3-29 网络测试 第 4 章 公司网络安全维护 4.1 公司管理的安全性 管理方面的安全隐患包括：内部管理人员或员工图方便省事，不设置用户口令，或者设置的口令过短和过于简单，导致很容易破解。责任不清，使用相同的用户名、口令，导致权限管理混乱，信息泄密。把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。内部不满 的员工有的可能造成极大的安全风险。 管理是网络中安全得到保证的重要组成部分，是防止来自内部网络入侵必须的部分。责权不明，管理上混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。即除了从技术上下功夫外，还得依靠安全管理来实现。 安全管理包括安全技术和设备的管理，安全管理制度，部门与人员的组织规则等。管理的制度化程度极大地影响着整个网络的安全，严格的安全管理制度、明确的部门安全职责划分、合理的人员角色定义都可以在很大程度上降低其