中小型企业网络安全规划设计与实施

1、校园网或企业网网络安全方案设计和实现的文档摘要随着计算机技术突飞猛进的发展，互联网的应用也越来越广泛，在网络环境 下运行的各种应用系统越来越多，通过网络传输的各种信息也在不断增加。从目 前中小型企业计算机技术的应用情况来看也是如此，目前中小型企业已经建立了 企业网站，电于邮件等系统，并且已经实施了 ERP.电于商务、1JR等信息系统, 许多重要信息都存储在网络服务器中，因此网络系统的安全至关重要。这就要求 我们对安全问题进行深入分析研究，在整个中小型企业建立多层次的网络安全体 系。本文立足于中小型企业网络安全的规划设计与实施，对中小型企业网络系统 方面存在的安全问题进行了深入分析，针对这些问题

2、给出了总体解决方案并在中 小型企业内进行了实施。通过中小型企业网络安全的规划设计和实施，提高了中小型企业网络系统的 安全性和稳定性。同时随着计算机技术的不断发展，对网络系统的安全性提出了 更高的要求，因此中小型企业会根据网络系统不断发展的要求，迸一步规划设计 出更加适合中小型企业发展的网络安全系统，满足中小型企业信息化建设不断发 展的要求。关犍词：网络安全；VLAN划分；用户权限；安全策略；病毒防范AbstractWith the rapid dc-ck)pmcnt of the computer tcchnok)gvr, the Internet is more mid more widel

3、y, more and more application systems running in network environment, through a variety7 of information network transmission is also increasing. The application of computer technology- in small and medium-sized enterprises at present is so, the small and medium-sized enterprises have established ente

4、rprise website, email system, and have implemented ERP, c-commcrcc, IJR and other information systems, many important information arc stored in the network sender, so the security of network system This requires us to study on security issues, the establishment of network security in the multi-level

5、 system of small and medium enterprises.Planning design and Implementation Based oil the small and medium-sized enterprise network security, security problems of the small and medium-sized enterprise network system arc analyzed, in order to solve these problems arc given the general solution and in

6、the small and medium-sized enterprises in the implementation of.Through the pl aiming design and implementation of small and medium-sized enterprise network security, improve vhc small and medium-sized enterprise network system security and stability At the same time, with the continuous development

7、 of computer technology-, put forward higher requirements on the security of the ncbXOrk system, so small and medium-sized enterprises will be based on the dc-clopmcnt of the network system, further planning and design of network security system is more suitablefor the dcxrck)pmcnv of small and medi

8、um enterprises, informatization of small andmedium enterprises to meet the demand of the development of.Keywords: network security; user rights; security policy; virus prevention摘要 .1Abstract.II目录 .IV第1章绪论 .11.1研究的背景.11.2研究的意义 .11.3研究内容 .2第2章中小型企业网络安全问题及规划设计 .12.1中小型企业网络安全存在的问题.12.2网络系统平台安全系统设计.3221

9、微软域用户策略部署方案设计 .4222防火墙部VLAN规划设计.52.3用户权限管理系统设计.72.3.1用户与角色管理设计 .8for the dcxrck)pmcnv of small and medium enterprises, informatization of small and112.3.2资源管理设计2.4防病毒系统设计.13第3章网络安全方案实施 .13.1域策略及复杂密码策略的实施.13.2网络VLAZ划分及防火墙实施 .43.3补丁自动更新策略的实施.83.4杀毒软件的下载及使用.10结束语 .1参誇文献 .2第1章绪论1.1研究的背景随着计算机技术的飞速发展，通过网络

10、传输的各种信息越来越多，各种计算 机应用系统都在网络环境下运行。目前中小型企业许多重要信息都存储在网络服 务器中，因此网络系统的安全至关重要。但是，由于在早期网络协议设计上对安 全问题的忽视，以及在管理和使用上的无序状态，使网络自身安全受到严重威胁。 中小型企业在网络安全上同样面临许多问题，例如邮件传输安全问题，大量垃圾 邮件攻击问题，病毒传播问题，信息资源非法访问等问题，这就要求我们对网络 系统安全性进行深入研究和分析，建立一真安全的网络系统架构。本文主要针对中小型企业目前存在的典型网络安全问题进行分析研究，规划 相应的安全设计，找出相应的解决措施。通过一系列安全设计和安全措施的实施, 有效

11、地提髙了中小型企业网络系统的安全性，保证企业网络信息系统的安全运 行。1.2研究的意义目前我们许多数据的存储和传输以及许多业务的交易都是通过网络进行的， 因此网络系统的安全非常重要。许多地区都出现了基于网络的犯罪行为，黑客攻 击，数据资料泄密，病毒破坏等已经成为制约网络发展的重要因素。国内外都开 展了许多基于网络安全的研究工作，如防火墙技术、防病毒技术、入侵检测技术 等，并推出了许多基于网络安全的产品。随着网络应用的不断深入，对网络安全的要求不断提高，同时许多破坏网络 安全的手段也越来越高明，这就要求我们不断深入研究各项网络安全新技术，并 将其应用到网络中，进一步提高网络的安全性，才能满足快速

12、发展的基于网络的 各项应用的要求1.3研究内容本文对中小型企业网络信息安全的规划设计和实施进行了全面系统的论述， 主要内容如下：第一章介绍了本项目的实施的背景与意义。第二章论述了网络安全问题和规划设计，主要从网络系统平台安全设计、用 户权限设计、防病毒系统规划设计等几个方面进行了详细论述。第三章论述了网络平台安全系统的实施，包括域用户策略、VLAN和防火墙、 复杂密码策略、补丁更新策略及传输加密系统的实施。最后主要对网络系统安全规划设计和实施过程进行总结。1.4虚拟局域网（VLAN）在企业中的应用网络VLAN技术近年来已经发展成为由具有交换功能的局域网解决方案的 整合主要功能之一。随着网络硬件

13、性能的不断提高、成本的不断降低，目前新建 立的局域网基本上都采用了性能先进的快速以太网或千兆网技术,其核心交换机 采用三层交换机，它能很好地支持VLAN技术,从而使网络工作组的划分突破了地理位置的限制，而完全可以依据管理功能来划分7。对以前很多企业网而言一般 都采用的是交换技术的网络模式，它们往往采用物理网络的手段进行网络结构的 划分，这种划分可能导致网络安全和运行效率方面存在缺陷，在一定程度上也限制 了网络的灵活性。VLAN的出现则解决了这个问题，一个VLAN可以根据不同部 门职能、对象或者应用将不同地理位置的网络用户进行划，并分为?个逻辑网络。 一个端口只能标记一个VLAN, 个VLAN中

14、的所有端丨只能拥有一个广播域, 而处于不同VLAN的端口则可以共辜不同的广播域，所以说对企业网老说,VLAN 技术提供了一个网段和机构的弹性尺合机制，从而避免了广播W暴的产生。一般 而言,一个大型集团企业往往有若干个二级单位，可以釆用VLAN的划分技术，迸行 虚拟局域网的设置来保证集团整体网络的运行稳定性以&不同职能部门管理的 安全性和方便性。2.1中小型企业网络安全存在的问J第2章 中小型企业网络安全问题及规划设计现有的企业网络主要存在下面的问题：1、弱口令造成信息泄露的威胁由于中小型企业应用系统较多，部分员工安全意识淡薄，许多应用系统登陆 密码非常简单，复杂度不够，使系统密码容易被破译。中

15、小型企业目前使用的各 类系统较多，包括邮件、ERP.内部办公网，电于商务系统等，面对众多的系统, 员工要设置各类账户的密码，非常繁琐，而且不便于记忆，因此许多员工将密码 设置为简单密码，并且长期不对密码进行更改。这样容易产生信息泄露问题，一 些攻击者会窃取密码，非法进入系统获取系统资料。如果重要资料被窃取，将会 产生严重后果。2、网络病毒的威胁中小型企业员工数量较多，绝大多数员工都配有单独使用的计算机，并且所 有计算机都可以访问互联网。员工根据自己的情况自行安装防病毒系统，由于员 工对病毒预防知识和防病毒软件的使用方法拿握情况不同,部分员工不能够正确 使用防病毒系统，不能够保证防病毒代码和病毒

16、库的及时更新，因此容易造成计 算机感染病毒。当感染病毒的机器增多后，会引起部分网络或者整个网络速度急 剧下降甚至瘫痪，造成许多员工无法正常上网。部分员工的计算机由于感染病毒而无法正常工作，有些计算机还出现计算机数据丢失等问题，严重影响公司 员工正常工作。另外感染病毒的员工因重装系统而占用许多工作时间，影响工作 的正常进行。3、企业主干网没有划分VLAN中小型企业网络系统庞大，众多计算机都在同一网段上，系统没有划分 VLAN,使网络中某一点岀现故障就会影响一片。而且因为没有划分VLAN,计 算机可以随意访问。出现网络事故，很难追査，出现网络故障也不方便定位。4、安全漏洞只要有程序，就可能存在漏洞

17、，现行的各种操作系统及应用软件都不同程度 地的存在漏洞，几乎每天都会有新的漏洞被发现并公布出来，另外，操作系统本 身存在一些隐蔽通道，这些都有可能成为黑客的通道。同时，操作系统都包含了 一些常见的通用。同时，操作系统都包含了一些常见的通用服务，如杲安装时没 有关闭不相关的服务，就有可能成为黑客入侵的途径。只要拥有一定技术心怀不 轨的人，都可能利用这些漏洞进行攻击，从而使某些程序或整个网络丧失功能， 或者窃取数据，直接威胁到企业的网络安全。5、没有保障的信息安全由于管理、资金和技术等方面的原因，中小企业的安全问题一直隐患重重。 中小企业的信息安全管理在安全性方面普遍存没有严格的规范和制度，存在着

18、严重漏洞，人员的素质和技术水平与大型企业相比，有较大的差距，所有在企业信 息安全的内部脆弱性比大型企业存在更多的漏洞和不足。因为企业内部威胁也外 部威胁提供了可能。由于网络维护、运行、升级等事务性工作繁重而且成本较高, 这也使得善于精打细算的中小型企业在信息安全管理上进退两难。中小型企业用 户的局域网一般来说网络结构不太复杂，主机数量不太多，服务器提供的服务相 对较少。这样的网络通常很少甚至没有专门的管理员来维护网络的安全，这就给 黑客和非法访问提供了可乘之机。6、计算机命名不规范中小型企业网络中计算机数量非常多，但由于中小型企业没有制定统一的命 名规范，许多计算机用户根据自己的喜奸随意命名，

19、一旦计算机出现问题，如感 染病毒，影响网络正常运行时，无法定位具体的计算机并确定计算机的使用人员, 因此不能够及时排除故障，影响问题解决的时间。7、用户权限混乱随着信息化建设的深入，越来越多的重要信息存放在网络信息系统中，对于 信息的安全管理越来越重要。但由于系统设计之初，信息量较少，缺乏对权限控 制的有效管理，许多用户可以存取或更改与用户本身的权限不相符的信息。同时, 由于权限管理不严梏，部分重要信息被非法用户窃取，造成信息系统安全隐患。2.2网络系统平台安全系统设计网络系统平台主要是指中小型企业员工使用的网络系统设施，以及数据传输 等应用，通过对网络平台实施各项安全措施，将有效提高网路系统

20、的安全性和稳定性，保证网络系统的安全稳定地运行。221微软域用户策略部署方案设计随着互联网的不断发展、中小型企业局域网和广域网规模和复杂性的不断提 高以及各种应用系统的开发和投入使用，基于目录服务的需求也不断增多。中小型企业网络由局域网和广域网构成，中小型企业总部局域网通过防火墙 接入互联网，中小型企业与各地平台通过TN进行连接。如图2J所示：总公司办公网培图2-1中小型企业网络拓扑根据中小型企业网络系统结构，誇虑整个中小型企业局域网内部员工尺各地 平台员工都能方便快捷地加入并登陆域，获取域中的各项信息，同时又能够保证 域控制器系统稳定运行，在域架构设计中采用以下模式：中小型企业总部釆用3 台

21、域控制器，将域的各项角色分配在不同的服务器上，同时3台域控制器在域账号等信息上互相同步，在每一个分支机构平台上部署2台域控制器，两台域控制 器互为备份，同时每隔一段时间和中小型企业总部进行信息同步。中小型企业每 位员工都要求登录域，登陆域后可以访问中小型企业的相关资源，同时可以通过 域控制器来部署相关的安全策略。复杂密码策略是其中一项重要策略。复杂密码 是指密码长度8位以上，使用大写、小写、数字和特殊字符其中3种以上字符。 由于复杂密码使用字符种类较多，扩大了密码空间，同时对最小密码长度迸行了 限制，因此有效地增加了密码的安全性，防止不法分于利用密码破译工具进行破 译，保证了系统的安全性。目前

22、中小型企业网络规模庞大，计算机数量较多，由于计算机使用人员技术 水平和安全意识参差不齐，导致一些计算机岀现安全漏洞和感染病毒等问题，影 响整个网络系统的稳定运行，因此需要在整个网络中建立计算机快速定位系统， 一旦在网络上监测到计算机岀现问题，能够快速准确地査找到计算机和相关使用 人员，尽快解决问题。2.2.2防火墙部署及VLAN规划设计为了提高进一步提高网络系统的安全性，在中小型企业内部实施了防火墙部 署和VLAN的划分。在中小型企业广域网的主要互联网出口都配置防火墙，在防火墙的DMZ区 域主要放置公司需要对外发布的服务器，员工使用的计算机和对内发布的应用系 统全部位于内部安全区域内，员工通过

23、防火墙NAT,转换形式访问互联网。VLAN技术己经成为提髙网络运转效率、提供最大程度的可配置性而普遍采 用非常成熟的技术，因此中小型企业内部整个局域网络釆用VLAN划分技术， 将局域网络划分成不同的于网，各于网之间的访问受到限制，避免病毒的传播及 信息泄露。另外VPN技术已经成为在广域网和互联网上进行安全、可靠、保密 信息传输和应用操作的首选技术，中小型企业信息系统要满足移动办公、异地办 公、Extranet等当前和未来的需求，相应的网络技术必须支持VPN技术。中小型企业采用CISCO6513和C1SCO4507作为整个网络的主交换系统，利 用两台交换形成双机热备，每台交换机上默认的VLAN1

24、作为管理VLAN,配置 相应的IP地址，并在C1SCO6513和CISCO4507上划分十五个VLAN,用作管理 VLAN的VLAN1是默认的，不用划。VLAN间做路由，使各个VLAN间可以互 相访问。所有交换机采用VTP技术，把CISCO6513和C1SCO4507设为 VTPSERVER,所有 CISCO3550-48-SMI 交换机设为 VTP CLIENT, VTP DOMAIN 均设为 LANGCHA(), CISCO 6513 和 CISCO 4507 与所有 CISCO3550-48-SMI 之 间分别做TRUNK,封装类型选择1SL。使用这项技术，只需要在C1SCO6513上

25、划分好所有的VLAN, CISCO4507和C1SC()3550-4弘SM1交换机就会自己学到所 有的VLAN,不需要再额外划分，不仅可以大大减少工作量，而且还可以大大提 高网络的易维护性。网络VLAN划分情况如图2-2所示:ProSuck图2-2网络VLAN划分示意图VLAN不受楼和交换机的限制，即VLAN可以跨楼和跨交换机。各个楼和 各个交换机上的同名称VLAN属于同一个VLAN,例如VLAN X1NX1GU ANLI, 无论哪栋楼上的和哪个交换机上的，只要名称是VLAN X1NXIGU ANL1上的数 据，CISCO6513和CISCO4507交换机就知道是来自同一 VLAN的数据。2.

26、3用户权限管理系统设计随着各项应用系统的实施，越来越多的信息资源存放在网络服务器中，对于 各类资源访问的权限控制就显得越来越重要，本项目通过实施权限管理系统，对 访问信息资源的权限进行有效管理。权限管理系统将用户、角色权限、能够访问 的数据资源进行了清晰的界定。用户同角色关联，角色同功能权限关联，从而有 效的实现了权限管理的控制。权限管理系统包括用户/角色管理、自助服务、资 源管理、审计管理四个部分。用户/角色管理是针对用户、角色、角色模板以尺 不相容角色集等进行管理；自助服务主要完成切换机构、重置密码、修改个人信 息等操作；资源管理主要是定义系统可访问的资源；审计管理则是针对系统管理 人员来

27、完成在线用户的査询、在线用户历史记录的査询以及系统的安全日志管理 等。2.3.1用户与角色管理设计用户管理主要实现在系统中根据业务需要对用户进行管理，包括增加用户， 修改用户和删除用户等；在整个系统设立一个隶属于中小型企业的中小型企业公 用账号，授予该账号的权限被中小型企业内的所有用户自然继承；迸行安全级别 管理，对于赋予该用户的数据资源进行过滤，如果该用户的安全级别低于赋予的 数据资源的级别，则用户不能访问该资源；每次创建一个法人组织机构，就自动 创建一个该法人组织机构下的公司级公用账号，授予该账号的权限被法人内部的 所有用户自然继承。除中小型企业公共用户和公司级公共用户之外的用户必须自 动

28、代理中小型企业公共账号和公司级公共用户。角色管理主要实现根据业务需要 对系统中的角色进行管理，包括对角色的增加、修改和删除。不相容角色之间不 能建立继承关系。不相容角色集達立后，在赋予用户角色时，可以检査赋予的角 色是否冲突，如杲角色不相容，系统会自动提示。系统管理员操作功能用例图见图2-5:图2-5系统管理员操作功能用例图用户与角色管理数据库主要用于用户数据登陆验证，存储用户信息，角色信息以及用户信息与角色信息之间的关联信息等，部分数据库列表如下：表2-1用户信息数据库表宇段名称数据类型字段长度宇段含义UseridBigint8用户编号UsemameVarchar15用户姓名Password

29、Varchar10口令E mailVarchar80邮件地址PermissionsTinyintJ1权限Reg TimeDatetime8注册时间Last LoginDatetime8最后登录时间LoginAccountsmallint2登录计数表22角色信息数据库表宇段名称数据类型字段长度字段含义RolcidBigint8角色编号RolccimamcVarchar15角色英文名称RolccmiamcVarchar15角色中文名称RolcadmixiTinvint1管理员权限表23角色资源数据库表宇段名称数据类型宇段长度字段含义RolcidBigint8角色编号RcsourccidBigint

30、8资源编号Ruktypcidchar1规则类型编号2.3.2资源管理设计数据资源管理主要实现定义可访问的数据资源，根据业务需要对数据资源进 行査询和维护等工作，一般情况下，该功能由超级管理员或系统管理员进行操作。 数据资源管理主要用于可访问资源的定义和管理等，部分数据库列表如表2-4:表2-4数据资源数据库表宇段名称数据类型宇段长度字段含义ConsulthpcBigint4参考类型TypenameChar8类型名称DatarcsourccVarchar15数据对象来源SclcctfieldChar8选择的宇段FiclddcscripVarchar15选择字段描述DispficldChar8显示

31、字段DispficlddescripV archar15显示宇段描述FilterconditionChar2过滤条件RemarkVarchar20备注2.3.3审计管理设计审计管理主要包括在线用户管理，在线用户历史记录管理，安全日志管理等 功能，通过审计管理系统的实施，增强了系统的安全性。在线用户管理主要实现 根据业务需要对在线用户进行査询，可以査看在线用户的详细信息，必要时还可 以终止特定用户的会话。在线用户历史记录管理的主要功能是根据业务需要査询 出用户的在线历史记录，此功能主要由超级管理员和系统管理员进行操作。安全 日志管理主要实现根据业务需要对时间段内用户的操作进行査询审计，可以査询

32、时间段内所有用户做的操作，并可以批量删除某时间段的内容。安全日志管理还 可以选择某一账户来査看该账户的明细，并对某一账户在某一时间段进行会话追 踪。系统管理员操作功能用例图见图2-6:系统管理员系统管理员图2-6系统管理员操作用例图审计管理主要实现对用户的访问记录进行管理的功能，部分数据库列表设计如表2-5:表2-5用户访问记录表宇段名称数据类型字段长度字段含义UseridChar10用户帐号UsernameChar12用户名称IpaddrcssVarchar16用户1P地址IndatatimcDatetime18访问时间RccordtxpcInt2日志类型()pcrationtrpcIni2

33、操作类型OutdatatimcDatatimc18退出时间2.4防病毒系统设计由于中小型企业员工较多，而且每人一台计算机，另外中小型企业应用服务 器也比较多，网络规模较大，因此在防病毒部署上需要全面考虑。进行全方位，多层次防病毒部署部署多层次病毒防线，分别是服务器防病毒、邮件防毒、客户端防毒，保证 斩断病毒可以传播、寄生的每一个节点，实现病毒的全面防范;邮件病毒的防范作为防病毒的重点目前中小型企业许多办公信息通过邮件进行传输，邮件传播就成为病毒传播 最主要的方式，中小型企业也曾经发生过几次通过邮件传播病毒造成大面积病毒 感染的事件，因此针对邮件服务器专门进行病毒防范，最大程度消除来自邮件方 面

34、的病毒隐患。防毒不完全依靠病毒代码，而是对病毒发作整个生命周期进行管理当一个 恶性病毒入侵时，整个防毒系统要有完善的预警机制、清除机制、修复机制来保 障病毒的高效处理，特别是对那些利用系统漏洞、端口攻击为手段瘫痪整个网络 的新型病毒要有很好的防护手段。即防毒系统在病毒代码到来之前，就可以通过 网关可疑信息过滤、端口屏蔽、共辜控制、重要文件/文件夹写保护等多种手段 来对病毒进行有效控制，使得新病毒未进来的迸不来、进来的又没有扩散的途径。 在清除与修复阶段要对这些病毒高效清除，快速恢复系统至正常状态。(4)对中小型企业整个防病毒系统迸行中央集中控管中小型企业各地平台网络通过VPN与中小型企业总部连

35、接，因此需要构建 跨广域网的集中管理的防病毒系统，以便保证整个防毒系统可以从管理系统中尺 时得到更新，同时又使得管理人员可以在任何时间、任何地点通过浏览器对整个 防毒系统进行管理，使整个系统中任何一个节点都可以被系统管理员随时管理， 保证整个防毒系统有效、及时地拦截病毒。采用技术手段对中小型企业内部计算机防病毒系统安装情况进行监控编 制软件对中小型企业内部计算机防病毒系统安装情况进行监控和统计，对于没有 安装防病毒系统的用户进行统计，并通过邮件等方式通知其安装中小型企业统一 的防病毒系统，对于多次检测仍未安装中小型企业统一的防病毒系统的员工将采 用封闭帐号，切断网络等策略。第3章网络安全方案实

36、施3.1域策略及复杂密码策略的实施为了加强整个中小型企业网络系统的安全性，在整个中小型企业内部实施了 微软的域用户管理策略，每一位员工进入公司后都需要登录域才能够访问公司资 源，以保证公司网络系统资源的安全，用户加入域情况见图31:隔勰隔勰1 1的名称的名称 分更改心响分更改心响计算机名):|j完整的计算机名称:jhome, langehao. com4域上 |home. lc comr工作鉅磁）图3-1用户加入域图示采用微软域登录策略后，用户登录系统必须进行域用户密码验证，这样增强 了系统的安全性，同时防止了非法用户入侵网络系统。为了迸一部增强系统的安 全性，对于用户密码全部实施复杂密码策略

37、，所有用户密码要求至少8位以上， 包括数字、大写字母、小写字母和特殊字符等至少3种以上字符。实施复杂密码 策略，保证了密码长度，增加了密码空间，可以防止密码被破译。应用该策略后,渗安全设置曰卫報尸策昭 密码策略&国帐尸锁定算略囹卫本地策略二1公钥策略s二I软件限制策略右舅IP安全策略.在本地计算策略期玄碣必须特召复杂性宴求 詡密码长度杲小值岁密码最长便用期限 朋空码最短便幷期限(强制巒码历史少用可还原的加密来储存己启用g个字符180天0天0个记住的密码 己禁用d 一12J “1 JX1如杲用户不使用复杂密码，系统将拒绝接受用户的密码设置，并提示用户使用复杂密码。复杂密码策略配置图如图32所示：

38、图3-2复杂密码策略配置图在整个中小型企业实施了域用户管理策略后，为了加强应用系统的安全管 理，方便中小型企业用户对应用系统的使用，对所有应用系统登陆方式迸行了整 合，实现单点登录，即所有用户登录到域后，可以同时实现对应用系统的验证， 在登录应用系统时，系统调用登录域的验证信息，迸行域用户的用户名和密码验 证，如果系统验证通过，则可以直接登录到应用系统中，同时在系统日志中可以 记录该员工的登录账号、登录时间、登录时使用的丁地址等信息。使用域信息进 行单点登录应用系统的顺序图如图3-3所示:图3-3单点登录应用系统顺序图使用域信息迸行单点登录应用系统的部分程序代码详见程序3-1:程序3-1单点登

39、陆程序public static ADControl.LoginResult Login(string UserName, string Password) /first check if the logon exists based on the username and password /DircctoiyEntiy de = GetUser(UscrName,Password);if(IsUse rVal id(U seiName. Password) DirectoiyEnin- de = GetUser(UscrName);if(dc !=null)/convert the acc

40、ountControl value so thai a logical operation can be performed/to check of the Disabled option existsInt userAccountControl = Convert.ToInt32(dc. Properties MuserAccountControrj ();de.CloseO;/if the disabled item docs not exist then the account is active if(!IsAccountActive(user AccountControl)retur

41、n LoginResult.LOGlN_USER_ACCOUNT_INACTIVE;elsereturn LoginResult.LOGIN OK;elsereturn LoginResulLLOGIN_USER_DOESNT_EXIST;elsereturn LoginResult.LOGINUSER_DOESKr_EXIST;通过实施域用户验证登录应用系统，在域中实施统一的安全策略，如复杂密 码策略，密码有效期策略等，这些安全策略也相应地应用到了应用系统中，使所 有的应用系统都采用统一的安全策路，从而保证了系统的安全性。3.2网络VLAN划分及防火墙实施为了保证中小型企业网络信息的安全，在

42、中小型企业内部实施了防火墙并进行了网络VLAN的划分，通过VLAN的划分，可以控制VLAN之间的访问，防止病毒等的传播，增强了网络的安全性。防火墙的部分配置信息详见程序3-2:程序3-2防火墙配置信息PIX Version 6 3(3)interface ethemetO auto interface ctlicmctl auto interface cthemetl auio interface gb-eihemetO lOOOauto shutdown interface gb-clhcmctl lOOOauto shutdown naineif ethemetO outside secu

43、rityO naineif ethemet 1 inside secunn 1(X) naineif ethemet2 dmz security*!naineif gb-cthcmctO)nlf3 security nameif gb-ethemet I intf4 seciintyK hostname JTBJPIX525 domain-name tixup protocol dns maximum-length 512fixup protocol ftp 21fixup protocol 11323 h225 1720fixup protocol h323 ras 1718-1719fix

44、up protocol hitp 80fixup protwvl rli 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 no fixup protocol skinny 2000 no fixup protocol smtp 25 fixup protocol sqlnct 1521 fixup protocol (ftp 69 names pager lines 24 mru outside 1500 mtu inside 1500 intu dmz 15(X) mtu intf

45、3 1500 mtu intfJ 150() ip addicss outside 10.2 19 165 255.255 255.0 ip address inside 5 25,255 255.252 ip address dmz x.x.x.x. 255 255.255.192 nat (inside) 2 10 151.11.0 ) 0 0 nat (inside) 2 10 152.11.0 0 0 nat (inside) 2 10 1SM1 0 255.255 25S.0 0() nat(inside) 2

46、 10 153 J2.O 255.255 255.000 conduil penriii iemp aiiy an、telnet 55 insidelelnet limeout 30ssh timeout 5console tinwout 5:end为了保证网络系统的稳定性，对整个中小型企业网络进行了 VLAN的划分,对于VLAN之间的访问进行了安全方面的限制，保证了整个网络的安全运行，部分VLAN划分情况表详见表3-1:表3JVLAN划分情况表VLAN 1. VLAN ID： 1（交换机默认）IF违址范围:；功能：VLAN,

47、给毎个空換机分配个此地址段的IP地址.4507 交换机;10.166.406；VLAN MANAGERVLAN ID： 116IPik址范围 z 子吗掩码：255.25500网关地址 $ 10.116.255254VLAN QILLSOKFVIAN ID： 117【P地址范围三 子网掩码: 网关地址：54VLAN INFORDEPrVLAN ID： 118IP地址范曲 子匡擅码： 网关地址；54VLAN JTSTAFFVLAN ID： 119

48、IP 地址范围 e 子网掩码：255.25500 网关地址；10.119255.254VLAN STIFFVLAN ID： 120IP迪址范围三 子网掩码: 网关地址；54VLAN WUYEVLAN ID： 121IP地址范围学 子网掩码: 网关地址；54VLAN FINANCEVLAN ID： 122IP 地址范围 子网掩码:255.255.O.O 网关地址；54VLAN NORTHVLAN ID

49、： 123IP地址范恋 子网掩码: 网关地址;54VLAN RESEARCHVLAN ID： 124IP 地址范围2 10.124,0.0 子网掩码: 网关地址；54VLAN BEIJINGVLAN ID： 125IF 地址范围: 子网掩码：网关地址:54VLAN GE SOFTVLAN ID： 126IP地址范围：10.12600 子网掩码: 网关地址;54VLAN LG

50、VLAN ID： 127【P地址范围： 子网掩码:25525500网关地址：2127,255,254VLAN CHAOYUEVLAN ID： 128IP 地址范围：10.L28.0.0 子网掩码： 网关地址：54VLAN ANQUANVIAN ID： 129IP 地址范围： 子网掩码: 网关地址：10129255.254VLAN SERVERVLAN ID： 200IP 地址:子网掩码：网关地址：30.2(X).255.2543.3补丁自动更新策

51、略的实施微软操作系统漏洞是引起网络安全问题的一个重要因素，许多病毒都是利用 微软的操作系统漏洞进行攻击和传播的，微软每月会发布漏洞补丁程序，尺时安 装微软漏洞补丁程序对提高网络系统的安全性和稳定性非常重要。虽然客户端操 作系统可以自行安装补丁程序，但由于用户对操作系统漏洞危害认识不足，尺时 安装补丁程序的意识不强，许多用户在微软发布操作系统漏洞后，不能够及时安 装补丁程序，造成安全隐患。为了保证中小型企业和各地平台计算机系统能够及时安装各种操作系统补 丁程序，中小型企业在总部和各地平台分别部署了 WSUS服务器，并在WSUS 服务器上定义了对客户端的部署策略，WSUS服务器定期从互联网自动下载

52、最新 的补丁程序，在实施过程中对部署策略定义为当有新补丁需要更新时，WSUS服 务器自动向客户端部署补丁更新程序，并在向客户端部署完补丁程序后通知客户 端用户，客户端用户接到服务器通知后，进行补丁程序的运行安装。WSUS补丁 更新服务器运行的顺序图如图3-4所示:图3-4补丁更新服务器运行的顺序图通过部署应SUS服务器，保证各地用户及时快捷地升级各种补丁程序，减少 了客户端操作系统漏洞的出现。通过在各地平台部署系统补丁更新服务器，可以及时为各地平台员工部署安 装各项补丁程序，同时也可以检测员工补丁程序更新情况，对于没有及时安装各 类补丁程序的员工进行监测，并通知本人尽快更新补丁程序，以防止由于

53、计算系 统存在漏洞而引起系统安全和病毒等问题。下图为WSUS监控图见图3-5和3-6:欢迎使用 Windows Server Update Services:ttS(B 200611UI6H 15X1 B)n*sW7上一次阿于时礼巳汕的更菊；ni上一茯PI步箱累.El汪牡砂*靳：1S2下一孜瞻3)06-!H72：44舟勺汁就更*:tse计垃张陥S加更翳cs下住的伏鳶tnnSlXfWJCW0eifZMftljyaiiS2iiJK!LtvsgBig?iTgn13S5a ssmxa59. TBiBCSM.o SX羽个韋关ft、A BR$SKis fe*eiD r s -rwraw 个騒分矣 i MS*的计srit切 iie8 flj