小型局域網(wǎng)安全分析與設(shè)計畢業(yè)設(shè)計

摘要隨著計算機(jī)網(wǎng)絡(luò)的不斷發(fā)展和普及，計算機(jī)網(wǎng)絡(luò)帶來了無窮的資源，但隨之而來的網(wǎng)絡(luò)安全問題也顯得尤為重要，局域網(wǎng)內(nèi)的安全問題引起了我們的重視。局域網(wǎng)內(nèi)網(wǎng)的安全隱患給我們帶來了許多麻煩，來自網(wǎng)絡(luò)內(nèi)部的計算機(jī)客戶端的安全威脅缺乏必要的安全管理措施，安全威脅較大。未經(jīng)授權(quán)的網(wǎng)絡(luò)設(shè)備或用戶就可能通過到局域網(wǎng)的網(wǎng)絡(luò)設(shè)備自動進(jìn)入網(wǎng)絡(luò)，形成極大的安全隱患。本課題對局域網(wǎng)的進(jìn)行基本的架設(shè)，通過局域網(wǎng)所面臨的安全進(jìn)行分析，提出解決安全的方案，對網(wǎng)絡(luò)安全的防范技術(shù)做了分析和比較。在介紹網(wǎng)絡(luò)安全概念及其產(chǎn)生原因的基礎(chǔ)上，介紹了各種信息技術(shù)及其在局域網(wǎng)信息安全中的作用和地位，特別是對加強(qiáng)安全應(yīng)采取的應(yīng)對措施做了較深入的討論。局域網(wǎng)的安全措施應(yīng)是能全方位地針對各種不同的威脅和脆弱性，這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。為了確保信息的安全與暢通，研究局域網(wǎng)的安全以及防范措施已迫在眉睫。關(guān)鍵詞局域網(wǎng)威脅安全控制病毒防治ABSTRACTALONGWITHTHECOMPUTERNETWORKDEVELOPMENTANDPOPULARIZATION,COMPUTERNETWORKBROUGHTINFINITERESOURCES,BUTFOLLOWINGTHEPROBLEMOFNETWORKSECURITYISALSOAPPEARSESPECIALLYIMPORTANT,LOCALAREANETWORKSECURITYISTHECAUSEOFOURATTENTIONTHECONNECTIONOFLOCALAREANETWORKSECURITYHIDDENDANGERBRINGINGUSALOTOFTROUBLE,FROMTHECLIENTWITHINTHENETWORKCOMPUTERSECURITYTHREATTOTHELACKOFNECESSARYSAFETYMANAGEMENTMEASURES,BIGGERSECURITYTHREATUNAUTHORIZEDNETWORKEQUIPMENTORTHEUSERMIGHTTHROUGHTHENETWORKTOLOCALAREANETWORKEQUIPMENTAUTOMATICINTOTHENETWORK,FORMTHEGREATSECURITYHIDDENDANGERTHISTOPICOFLOCALAREANETWORKFORTHEERECTIONOFTHEBASIC,THROUGHTHELANFACINGTHESAFETYANALYSISANDPUTFORWARDTHESOLUTIONOFSAFETYSCHEMEOFNETWORKSECURITYPREVENTIVETECHNOLOGYAREANALYZEDANDCOMPAREDINTRODUCEDINNETWORKSECURITYCONCEPTSANDREASONWASINTRODUCEDONTHEBASISOFALLKINDSOFINFORMATIONTECHNOLOGYANDINTHELOCALAREANETWORKINFORMATIONSECURITYOFTHEFUNCTIONANDPOSITION,ESPECIALLYTOSTRENGTHENSECURITYSHOULDTAKEMEASURESTODOAMOREINDEPTHDISCUSSIONLANSECURITYMEASURESSHOULDBETOBEABLETOCOMPLETETHETHREATTOVARIOUSKINDSOFDIFFERENTANDVULNERABILITY,SUCHABILITYMAKESURENETWORKINFORMATIONPRIVACY,INTEGRITY,ANDAVAILABILITYINORDERTOENSURETHATTHEINFORMATIONSAFETYANDSMOOTH,STUDYTHESAFETYMEASURESTOPREVENTANDLANISIMMINENTKEYWORDSLANTHREATSAFETYCONTROLVIRUSPREVENTION目錄第一章緒論1一、網(wǎng)絡(luò)安全概述1一網(wǎng)絡(luò)安全的內(nèi)容1二網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)1二、課題需解決的問題及設(shè)計思想1第二章安全風(fēng)險分析3一、網(wǎng)絡(luò)平臺的安全風(fēng)險分析3二、系統(tǒng)的安全風(fēng)險分析3三、應(yīng)用的安全風(fēng)險分析4第三章安全需求與安全目標(biāo)5一、安全需求分析5二、系統(tǒng)安全目標(biāo)5第四章企業(yè)局域網(wǎng)的安全分析與設(shè)計7一、某企業(yè)原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)7二、網(wǎng)絡(luò)結(jié)構(gòu)說明7三、網(wǎng)絡(luò)安全風(fēng)險分析7四、安全設(shè)計方案9（一）企業(yè)具有安全措施的網(wǎng)絡(luò)拓?fù)鋱D9（二）安全體系設(shè)計9五、防火墻的選擇12（一）選擇的理由13（二）CISCOASA5500配置13六、入侵檢測系統(tǒng)14七、網(wǎng)絡(luò)殺毒軟件的選擇15（一）體系結(jié)構(gòu)與安裝方式分析16（二）管理功能分析16（三）性能分析18參考文獻(xiàn)21致謝23小型局域網(wǎng)安全分析與設(shè)計第一章緒論一、網(wǎng)絡(luò)安全概述從本質(zhì)上講，網(wǎng)絡(luò)安全就是網(wǎng)絡(luò)上的信息安全，是指網(wǎng)絡(luò)系統(tǒng)的硬件，軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全就是如何保證網(wǎng)絡(luò)信息的保密性完整性可用性可控性可審查性的問題。一網(wǎng)絡(luò)安全的內(nèi)容網(wǎng)絡(luò)安全涉及的因素有物理安全、系統(tǒng)安全、信息安全。1、物理安全保證計算機(jī)信息系統(tǒng)各種設(shè)備的物理安全是整個計算機(jī)信息系統(tǒng)安全的。2、系統(tǒng)安全系統(tǒng)的安全主要是指操作系統(tǒng)、應(yīng)用系統(tǒng)的安全性以及網(wǎng)絡(luò)硬件平臺的可靠性。3、信息安全信息存儲及傳遞中的完整性私密性及不可否認(rèn)機(jī)制。二網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)網(wǎng)絡(luò)信息安全的關(guān)鍵技術(shù)主要包括身份認(rèn)證技術(shù)、訪問控制技術(shù)、防火墻技術(shù)、加密技術(shù)、病毒防范技術(shù)、安全管理技術(shù)等。二、課題需解決的問題及設(shè)計思想1安全性A黑客的非法入侵和攻擊；B網(wǎng)絡(luò)病毒；C內(nèi)部人員的攻擊2可操作性為用戶提供親切的交互界面是構(gòu)建安全局域網(wǎng)系統(tǒng)的基本要求。作為一個良好的系統(tǒng)，必須能夠很方便的實施，并且功能明確、特點鮮明，易于管理和維護(hù)。在設(shè)計時我們要綜合考慮用戶的情況，簡化系統(tǒng)的層次結(jié)構(gòu)和操作環(huán)節(jié)，從最終用戶的角度出發(fā)，為其提供良好的可操作性。3擴(kuò)展性由于實際的實施情況千差萬別，而且用戶的網(wǎng)絡(luò)拓?fù)湟搽S著技術(shù)規(guī)模的不斷發(fā)展而變化，所以安全局域網(wǎng)系統(tǒng)應(yīng)該具有良好的擴(kuò)展性，以適應(yīng)用戶不斷變化的需求。4經(jīng)濟(jì)性系統(tǒng)應(yīng)當(dāng)具有良好的性能價格比，在提供高性能服務(wù)的前提下，盡可能地節(jié)省資金投入。同時系統(tǒng)應(yīng)該盡量降低操作和維護(hù)的開銷，便于自動化管理，節(jié)省管理和維護(hù)等后續(xù)費用。第二章安全風(fēng)險分析一、網(wǎng)絡(luò)平臺的安全風(fēng)險分析網(wǎng)絡(luò)結(jié)構(gòu)的安全涉及到網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)路由狀況及網(wǎng)絡(luò)的環(huán)境等。公開服務(wù)器面臨的威脅這個企業(yè)局域網(wǎng)內(nèi)公開服務(wù)器區(qū)（WWW、EMAIL等服務(wù)器）作為公司的信息發(fā)布平臺，一旦不能運行后者受到攻擊，對企業(yè)的聲譽影響巨大。同時公開服務(wù)器本身要為外界服務(wù)，必須開放相應(yīng)的服務(wù)；每天，黑客都在試圖闖入INTERNET節(jié)點，這些節(jié)點如果不保持警惕，可能連黑客怎么闖入的都不知道，甚至?xí)蔀楹诳腿肭制渌军c的跳板。因此，規(guī)模比較大網(wǎng)絡(luò)的管理人員對INTERNET安全事故做出有效反應(yīng)變得十分重要。我們有必要將公開服務(wù)器、內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)進(jìn)行隔離，避免網(wǎng)絡(luò)結(jié)構(gòu)信息外泄；同時還要對外網(wǎng)的服務(wù)請求加以過濾，只允許正常通信的數(shù)據(jù)包到達(dá)相應(yīng)主機(jī)，其他的請求服務(wù)在到達(dá)主機(jī)之前就應(yīng)該遭到拒絕。整個網(wǎng)絡(luò)結(jié)構(gòu)和路由狀況安全的應(yīng)用往往是建立在網(wǎng)絡(luò)系統(tǒng)之上的。網(wǎng)絡(luò)系統(tǒng)的成熟與否直接影響安全系統(tǒng)成功的建設(shè)。在這個企業(yè)局域網(wǎng)絡(luò)系統(tǒng)中，只使用了一臺路由器，用作與INTERNET連結(jié)的邊界路由器，網(wǎng)絡(luò)結(jié)構(gòu)相對簡單，具體配置時可以考慮使用靜態(tài)路由，這就大大減少了因網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)路由造成的安全風(fēng)險。二、系統(tǒng)的安全風(fēng)險分析所謂系統(tǒng)的安全顯而易見是指整個局域網(wǎng)網(wǎng)絡(luò)操作系統(tǒng)、網(wǎng)絡(luò)硬件平臺是否可靠且值得信任。網(wǎng)絡(luò)操作系統(tǒng)、網(wǎng)絡(luò)硬件平臺的可靠性，我們可以這樣講沒有完全安全的操作系統(tǒng)。但是，我們可以對現(xiàn)有的操作平臺進(jìn)行安全配置、對操作和訪問權(quán)限進(jìn)行嚴(yán)格控制，提高系統(tǒng)的安全性。因此，不但要選用盡可能可靠的操作系統(tǒng)和硬件平臺。而且，必須加強(qiáng)登錄過程的認(rèn)證（特別是在到達(dá)服務(wù)器主機(jī)之前的認(rèn)證），確保用戶的合法性；其次應(yīng)該嚴(yán)格限制登錄者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)。三、應(yīng)用的安全風(fēng)險分析應(yīng)用系統(tǒng)的安全跟具體的應(yīng)用有關(guān)，它涉及很多方面。應(yīng)用系統(tǒng)的安全是動態(tài)的、不斷變化的。應(yīng)用的安全性也涉及到信息的安全性，它包括很多方面。應(yīng)用的安全性涉及到信息、數(shù)據(jù)的安全性信息的安全性涉及到機(jī)密信息泄露、未經(jīng)授權(quán)的訪問、破壞信息完整性、假冒、破壞系統(tǒng)的可用性等。由于這個企業(yè)局域網(wǎng)跨度不大，絕大部分重要信息都在內(nèi)部傳遞，因此信息的機(jī)密性和完整性是可以保證的。對于有些特別重要的信息需要對內(nèi)部進(jìn)行保密的（比如領(lǐng)導(dǎo)子網(wǎng)、財務(wù)系統(tǒng)傳遞的重要信息）可以考慮在應(yīng)用級進(jìn)行加密，針對具體的應(yīng)用直接在應(yīng)用系統(tǒng)開發(fā)時進(jìn)行加密。第三章安全需求與安全目標(biāo)一、安全需求分析通過前面我們對這個企業(yè)局域網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用及安全威脅分析，可以看出其安全問題主要集中在對服務(wù)器的安全保護(hù)、防黑客和病毒上。因此，我們必須采取相應(yīng)的安全措施杜絕安全隱患，其中應(yīng)該做到公開服務(wù)器的安全保護(hù)；防止黑客從外部攻擊；入侵檢測與監(jiān)控；病毒防護(hù)；數(shù)據(jù)安全保護(hù)；數(shù)據(jù)備份與恢復(fù)。針對這個企業(yè)局域網(wǎng)絡(luò)系統(tǒng)的實際情況，在系統(tǒng)考慮如何解決上述安全問題的設(shè)計時應(yīng)滿足如下要求1大幅度地提高系統(tǒng)的安全性（重點是可用性和可控性）；2保持網(wǎng)絡(luò)原有的能特點，即對網(wǎng)絡(luò)的協(xié)議和傳輸具有很好的透明性，能透明接入，無需更改網(wǎng)絡(luò)設(shè)置；3易于操作、維護(hù)，并便于自動化管理，而不增加或少增加附加操作；4盡量不影響原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，同時便于系統(tǒng)及系統(tǒng)功能的擴(kuò)展；5安全保密系統(tǒng)具有較好的性能價格比，一次性投資，可以長期使用；6安全產(chǎn)品具有合法性，及經(jīng)過國家有關(guān)管理部門的認(rèn)可或認(rèn)證；7分布實施。二、系統(tǒng)安全目標(biāo)建立一套完整可行的網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理策略。將內(nèi)部網(wǎng)絡(luò)、公開服務(wù)器網(wǎng)絡(luò)和外網(wǎng)進(jìn)行有效隔離，避免與外部網(wǎng)絡(luò)的直接通信。建立網(wǎng)站各主機(jī)和服務(wù)器的安全保護(hù)措施，保證他們的系統(tǒng)安全。對網(wǎng)上服務(wù)請求內(nèi)容進(jìn)行控制，使非法訪問在到達(dá)主機(jī)前被拒絕。加強(qiáng)合法用戶的訪問認(rèn)證，同時將用戶的訪問權(quán)限控制在最低限度。全面監(jiān)視對公開服務(wù)器的訪問，及時發(fā)現(xiàn)和拒絕不安全的操作和黑客攻擊行為。備份與災(zāi)難恢復(fù)強(qiáng)化系統(tǒng)備份，實現(xiàn)系統(tǒng)快速恢復(fù)。第四章企業(yè)局域網(wǎng)的安全分析與設(shè)計一、某企業(yè)原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖41企業(yè)原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)二、網(wǎng)絡(luò)結(jié)構(gòu)說明這個企業(yè)局域網(wǎng)是一個信息點較為密集的千兆局域網(wǎng)絡(luò)系統(tǒng)，它為企業(yè)的各部門提供了一個快速、方便的信息交流平臺。在分析企業(yè)局域網(wǎng)安全風(fēng)險時，應(yīng)考慮以下該網(wǎng)絡(luò)結(jié)構(gòu)的特點網(wǎng)絡(luò)與外部網(wǎng)絡(luò)連接，可能通過外網(wǎng)傳播進(jìn)來的病毒，黑客攻擊以及自外網(wǎng)的非授權(quán)訪問等；網(wǎng)絡(luò)中存在公開服務(wù)器，避免公開服務(wù)器的安全風(fēng)險擴(kuò)散到內(nèi)部；該局域網(wǎng)中存在許多不同的子網(wǎng)，不同的子網(wǎng)有不同的安全性，應(yīng)考慮將不同功能和安全級別的網(wǎng)絡(luò)分隔開，這可以由交換機(jī)劃分VLAN來實現(xiàn)。局域網(wǎng)內(nèi)用戶之間以及與外網(wǎng)用戶的敏感信息交流，需要保證信息傳輸過程中的安全性，可以通過增加VPN服務(wù)器和VPN路由器等來實現(xiàn)建立安全的通信隧道；在應(yīng)用程序開發(fā)時應(yīng)考慮加強(qiáng)用戶登錄驗證，防止非授權(quán)訪問。三、網(wǎng)絡(luò)安全風(fēng)險分析目前對網(wǎng)絡(luò)的攻擊手段主要表現(xiàn)在非授權(quán)訪問，信息泄露或丟失，破壞數(shù)據(jù)完整性，拒絕服務(wù)攻擊，利用網(wǎng)絡(luò)傳播病毒。因此，應(yīng)該做到公開服務(wù)器的安全保護(hù)，防止黑客從外部攻擊，用戶的身份認(rèn)證，入侵檢測與監(jiān)控，信息審計與記錄，病毒防護(hù)，數(shù)據(jù)安全保護(hù)，數(shù)據(jù)備份與恢復(fù)，網(wǎng)絡(luò)的安全管理。網(wǎng)絡(luò)安全可以從以下幾個方面來分析（1）物理安全風(fēng)險分析網(wǎng)絡(luò)的物理安全主要是指環(huán)境事故，電源故障，人為操作失誤，設(shè)備毀壞等。只要制定健全的安全管理制度，做好備份，這些風(fēng)險是可以避免的。（2）網(wǎng)絡(luò)平臺安全風(fēng)險分析網(wǎng)絡(luò)結(jié)構(gòu)安全涉及到網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)路由狀況及網(wǎng)絡(luò)的環(huán)境等，在該企業(yè)的公開服務(wù)器區(qū)容易遭受黑客攻擊。因此，將公開服務(wù)器、內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)進(jìn)行隔離，同時還要對外網(wǎng)的服務(wù)請求加以過濾才能更好的保證局域網(wǎng)的安全。（3）系統(tǒng)安全風(fēng)險分析系統(tǒng)安全是指整個局域網(wǎng)網(wǎng)絡(luò)操作系統(tǒng)，網(wǎng)絡(luò)硬件平臺是否可靠值得信任；網(wǎng)絡(luò)操作系統(tǒng)的可靠性對中國來說恐怕絕對安全的操作系統(tǒng)是沒有的，但是，我們可以通過對現(xiàn)有的操作平臺進(jìn)行安全配置、對操作和訪問權(quán)限進(jìn)行嚴(yán)格控制，來提高系統(tǒng)的安全性。（4）應(yīng)用安全風(fēng)險分析應(yīng)用系統(tǒng)的安全是動態(tài)的不斷變化的，所以保證應(yīng)用系統(tǒng)的安全也是一個隨著網(wǎng)絡(luò)技術(shù)發(fā)展而不斷完善的過程。應(yīng)用安全也涉及到信息數(shù)據(jù)的安全，對于有些特別重要的信息需要進(jìn)行保密可以考慮在應(yīng)用級上進(jìn)行加密，針對具體的應(yīng)用直接應(yīng)用系統(tǒng)的開發(fā)時進(jìn)行加密，并且通過VPN隧道進(jìn)行加密傳送。（5）管理安全風(fēng)險分析管理安全是網(wǎng)絡(luò)安全中重要的部分，只有嚴(yán)格執(zhí)行完整可靠的安全管理制度才能有效的避免其帶來的風(fēng)險。四、安全設(shè)計方案（一）企業(yè)具有安全措施的網(wǎng)絡(luò)拓?fù)鋱D圖42企業(yè)具有安全措施的網(wǎng)絡(luò)拓?fù)鋱D（二）安全體系設(shè)計通過對網(wǎng)絡(luò)的全面了解，按照安全策略的要求，安全風(fēng)險分析的結(jié)果及整個網(wǎng)絡(luò)的安全目標(biāo)，整個網(wǎng)絡(luò)安全措施應(yīng)按系統(tǒng)體系建立。具體的安全控制系統(tǒng)由以下幾個方面組成物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、信息安全、應(yīng)用安全和安全管理。1、物理安全內(nèi)容包括場地安全、機(jī)房建設(shè)安全、動力保障系統(tǒng)安全以及系統(tǒng)抗性、防災(zāi)難的應(yīng)急措施和恢復(fù)能力。主要采取的安全措施有在布線方面充分考慮電磁輻射，同時重要部門的機(jī)房采用電磁屏蔽措施；重要計算機(jī)終端采用電磁屏蔽和加干擾器，避免電磁泄露；門窗保護(hù)重要場地采用防盜門窗或帶身份識別功能的門鎖，對進(jìn)入機(jī)房的人員和時間進(jìn)行記錄和限制；報警監(jiān)控措施在重要部位設(shè)監(jiān)控報警措施；專用保險機(jī)柜的保護(hù)對于一些重要的密碼設(shè)備，采用專用安全機(jī)柜進(jìn)行保護(hù)，避免偷竊和破壞行動的發(fā)生。2、系統(tǒng)安全系統(tǒng)安全主要是指操作系統(tǒng)、應(yīng)用系統(tǒng)的安全性以及網(wǎng)絡(luò)硬件平臺的可靠性。操作系統(tǒng)安全，在市場上幾乎所有的操作系統(tǒng)均已發(fā)現(xiàn)有安全漏洞，并且越流行的操作系統(tǒng)發(fā)現(xiàn)的問題越多。為了保證企業(yè)局域網(wǎng)操作系統(tǒng)的安全，除了需不斷地增加安全補丁外，還需進(jìn)行如下要求檢查系統(tǒng)設(shè)置（敏感數(shù)據(jù)的存放方式訪問控制口令選擇/更新）將系統(tǒng)的安全級別設(shè)置為最高級。應(yīng)用系統(tǒng)安全，應(yīng)用系統(tǒng)的安全性由支持應(yīng)用系統(tǒng)的網(wǎng)絡(luò)、平臺、操作系統(tǒng)和數(shù)據(jù)庫的安全性所決定，因此，應(yīng)用系統(tǒng)應(yīng)充分利用系統(tǒng)的安全性。但由于各行業(yè)的應(yīng)用系統(tǒng)千差萬別，故很難對應(yīng)用系統(tǒng)的安全實現(xiàn)進(jìn)行具體的規(guī)劃。3、網(wǎng)絡(luò)安全數(shù)據(jù)包在局域網(wǎng)中是采用廣播方式傳播，的在某個廣播域中可以偵聽到域內(nèi)所有的信息包，如果黑客對信息包進(jìn)行分析，那么廣播域內(nèi)的信息傳遞都會暴露在黑客面前。因此，特對企業(yè)局域網(wǎng)作如下設(shè)計網(wǎng)絡(luò)分段是保證安全的一項重要措施同時也是一項基本措施其指導(dǎo)思想，在于將非法用戶與網(wǎng)絡(luò)資源相互隔離，從而達(dá)到限制用戶非法訪問的目的。在企業(yè)局域網(wǎng)實際應(yīng)用中可采取物理分段與邏輯分段相結(jié)合的方法來實現(xiàn)對網(wǎng)絡(luò)系統(tǒng)的安全性控制。內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域的隔離及訪問控制VLAN技術(shù)主要基于近年發(fā)展的局域網(wǎng)交換技術(shù)。交換技術(shù)將傳統(tǒng)的基于廣播的局域網(wǎng)技術(shù)發(fā)展為面向連接的技術(shù)。因此，網(wǎng)管系統(tǒng)有能力限制局域網(wǎng)通訊的范圍而無需通過開銷很大的路由器。網(wǎng)絡(luò)安全檢測網(wǎng)絡(luò)安全檢測工具通常是一個網(wǎng)絡(luò)安全性評估分析軟件，其功能是用實踐性的方法掃描分析網(wǎng)絡(luò)系統(tǒng)檢查報告系統(tǒng)存在的弱點和漏洞提出建議補救措施和安全策略以達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性的目的。應(yīng)具備以下功能具備網(wǎng)絡(luò)監(jiān)控分析和自動響應(yīng)功能；找出經(jīng)常發(fā)生問題的根源所在；建立必要的循環(huán)過程確保隱患時刻被糾正控制各種網(wǎng)絡(luò)安全危險；漏洞分析和響應(yīng)；配置分析和響應(yīng)；漏洞形勢分析和響應(yīng)；認(rèn)證和趨勢分析；將各種服務(wù)器受黑客攻擊的可能降為最低；對網(wǎng)絡(luò)訪問做出有效響應(yīng)保護(hù)重要應(yīng)用系統(tǒng)數(shù)據(jù)安全不受黑客攻擊和內(nèi)部人員誤操作的侵害。網(wǎng)絡(luò)病毒防護(hù)由于在網(wǎng)絡(luò)環(huán)境下計算機(jī)病毒有著不可估量的威脅性和破壞力因此計算機(jī)病毒的防范是網(wǎng)絡(luò)安全性設(shè)計中的重要一環(huán)。網(wǎng)絡(luò)反病毒技術(shù)包括預(yù)防病毒、檢測病毒和消毒三種技術(shù)A、預(yù)防病毒技術(shù)它通過自身常駐系統(tǒng)內(nèi)存，優(yōu)先獲得系統(tǒng)的控制權(quán)，監(jiān)視和判斷系統(tǒng)中是否有病毒存在，進(jìn)而阻止計算機(jī)病毒進(jìn)入計算機(jī)系統(tǒng)和對系統(tǒng)進(jìn)行破壞。這類技術(shù)有加密可執(zhí)行程序、引導(dǎo)區(qū)保護(hù)、系統(tǒng)監(jiān)控與讀寫控制。B、檢測病毒技術(shù)它是通過對計算機(jī)病毒的特征來進(jìn)行判斷的技術(shù)，如自身校驗、關(guān)鍵詞、文件長度的變化等C、清除病毒技術(shù)它通過對計算機(jī)病毒的分析，開發(fā)出具有刪除病毒程序并恢復(fù)原文件的軟件。網(wǎng)絡(luò)反病毒技術(shù)的具體實現(xiàn)方法包括對網(wǎng)絡(luò)服務(wù)器中的文件進(jìn)行頻繁地掃描和監(jiān)測；在工作站上用防病毒芯片對網(wǎng)絡(luò)目錄及文件設(shè)置訪問權(quán)限等。網(wǎng)絡(luò)備份系統(tǒng)備份系統(tǒng)為一個目的而存在，即盡可能快地全盤恢復(fù)運行計算機(jī)系統(tǒng)所需的數(shù)據(jù)和系統(tǒng)信息。根據(jù)系統(tǒng)安全需求可選擇的備份機(jī)制有場點內(nèi)高速度大容量自動的數(shù)據(jù)存儲備份與恢復(fù)；場點外的數(shù)據(jù)存儲備份與恢復(fù)；對系統(tǒng)設(shè)備的備份，備份不僅要在網(wǎng)絡(luò)系統(tǒng)硬件故障或人為失誤時起到保護(hù)作用，還可在入侵者非授權(quán)訪問或?qū)W(wǎng)絡(luò)攻擊及破壞數(shù)據(jù)完整性時起到保護(hù)作用，同時亦是系統(tǒng)災(zāi)難恢復(fù)的前提之一。4、信息安全企業(yè)局域網(wǎng)網(wǎng)絡(luò)系統(tǒng)的業(yè)務(wù)信息可分為公共信息、內(nèi)部信息、秘密信息等。不同性質(zhì)的信息，其安全要求也不同。公共信息的完整性要求比較高，如那些可以向整個系統(tǒng)發(fā)布的WEB信息，不能被非法篡改；內(nèi)部信息除要具有普通的安全要求外，還要以有力的訪問控制手段來保證它只能在內(nèi)部被及時正確地使用；秘密信息的安全性要求最高，如何保證秘密信息的安全是整個安全系統(tǒng)建設(shè)的重中之重。秘密信息的安全性主要體現(xiàn)在它的保密性上，對秘密信息的防護(hù)除了要求高強(qiáng)度的訪問控制外，還需要有高強(qiáng)度的加密措施。5、安全管理面對網(wǎng)絡(luò)安全的脆弱性，除了在網(wǎng)絡(luò)設(shè)計上增加安全服務(wù)功能，完善系統(tǒng)的安全保密措施外，還必須花大力氣建立網(wǎng)絡(luò)安全管理規(guī)范，因為諸多的不安全因素恰恰反映在組織管理和人員錄用等方面，而這又是保證計算機(jī)網(wǎng)絡(luò)安全所必須考慮的基本問題，所以應(yīng)引起各計算機(jī)網(wǎng)絡(luò)應(yīng)用部門領(lǐng)導(dǎo)的重視。安全管理的主要功能指A、對安全設(shè)備的管理；B、監(jiān)視網(wǎng)絡(luò)危險情況對危險進(jìn)行隔離并把危險控制在最小范圍內(nèi)；C、身份認(rèn)證權(quán)限設(shè)置；D、對資源的存取權(quán)限的管理；E、對資源或用戶動態(tài)的或靜態(tài)的審計；F、對違規(guī)事件自動生成報警或生成事件消息；G、口令管理如操作員的口令鑒權(quán)對無權(quán)操作人員進(jìn)行控制；H、密鑰管理對于與密鑰相關(guān)的服務(wù)器應(yīng)對其設(shè)置密鑰生命期密鑰備份等管理功能；I、冗余備份為增加網(wǎng)絡(luò)的安全系數(shù)對于關(guān)鍵的服務(wù)器應(yīng)冗余備份。安全管理需通過管理制度和管理平臺技術(shù)實現(xiàn)兩個方面來完成安全管理產(chǎn)品應(yīng)支持統(tǒng)一的中心控制平臺五、防火墻的選擇下面是CISCOASA5500系列防火墻介紹圖43CISCOASA5500系列防火墻（一）選擇的理由1、值得信賴的防火墻和威脅防御VPN技術(shù)；2、CISCOASA5500系列建立于值得信賴的CISCOPIX安全設(shè)備和CISCOVPN3000系列集中器技術(shù)，ASA5500系列是第一個兼具市場領(lǐng)先的防火墻技術(shù)保護(hù)，同時提供SSL和IPSECVPN服務(wù)的解決方案；3、業(yè)內(nèi)領(lǐng)先的ANTIX服務(wù)；將TRENDMICRO在互聯(lián)網(wǎng)邊緣的威脅防御和內(nèi)容控制優(yōu)勢與切實可行的思科解決方案結(jié)合在一起，提供全面的防病毒、防間諜軟件、文件阻擋、防垃圾郵件、防誘騙、URL阻擋和過濾以及內(nèi)容過濾服務(wù)。4、高級入侵防御服務(wù)；提供主動型全功能入侵防御服務(wù)，有效阻止各種威脅，包括蠕蟲、應(yīng)用層攻擊、操作系統(tǒng)級攻擊、ROOTKIT攻擊、間諜軟件、對等文件共享和即時消息傳送。5、豐富的管理和監(jiān)控服務(wù)；通過CISCOADAPTIVESECURITYDEVICEMANAGER（ASDM）提供直觀的單設(shè)備管理和監(jiān)控服務(wù)，通過CISCOSECURITYMANAGEMENTSUITE提供企業(yè)級多設(shè)備集中管理服務(wù)。6、降低部署和運作成本；由于CISCOASA5500系列提供與現(xiàn)有思科安全解決方案一致的設(shè)計和界面，因而能顯著降低初始安全部署成本和日常管理成本。（二）CISCOASA5500配置（1）配置主機(jī)名CISCOASACONFIGHOSTNAMEASAFW（2）配置ETHERNET0/0ASAFWCONFIGINTERFACEETHERNET0/0ASAFWCONFIGIPADDRESS2021001102552552550ASAFWCONFIGNAMEIFOUTSIDEASAFWCONFIGNOSHUTDOWN（3）配置ETHERNET0/1ASAFWCONFIGINTERFACEE0/1ASAFWCONFIGNOSHUTDOWNASAFWCONFIGINTERFACEE0/13ASAFWCONFIGSUBIFVLAN3ASAFWCONFIGSUBIFNAMEIFINSIDEASAFWCONFIGSUBIFIPADDRESS1011102552552550ASAFWCONFIGSUBIFINTERFACEE0/14ASAFWCONFIGSUBIFVLAN4ASAFWCONFIGSUBIFNAMEIFMDZASAFWCONFIGSUBIFSECURITYLEVEL50ASAFWCONFIGSUBIFIPADDRESS1921681102552552550六、入侵檢測系統(tǒng)用CISCOCATALYST6500系列入侵檢測系統(tǒng)IDSM2服務(wù)模塊。CISCOIDSM2是思科入侵檢測系統(tǒng)的組成部分。它可以與其他組件合作，有效地保護(hù)您的數(shù)據(jù)基礎(chǔ)設(shè)施。隨著安全威脅的復(fù)雜性的日益提高，實施有效的網(wǎng)絡(luò)入侵安全解決方案對于確保高水平的安全保障至關(guān)重要。高水平的安全保障可以確保業(yè)務(wù)連續(xù)性，最大限度地避免入侵可能造成的巨額損失。思科的集成化網(wǎng)絡(luò)安全解決方案讓機(jī)構(gòu)可以防止他們的聯(lián)網(wǎng)業(yè)務(wù)資產(chǎn)受到威脅，提高入侵防范的效率這些解決方案中包括第二代思科入侵檢測系統(tǒng)IDS，模塊即IDSM2，它可以用在廣泛部署的CISCOCATALYST系列設(shè)備上。CATALYST系列設(shè)備的裝機(jī)量已經(jīng)達(dá)到數(shù)十萬臺，它是包括防火墻、虛擬專用網(wǎng)（VPN）和入侵檢測系統(tǒng)（IDS）服務(wù)在內(nèi)的附加服務(wù)的理想平臺。由于認(rèn)識到這種方式的價值思科推出了這個第二代模塊以便為那些尋求IDS攻擊防范的客戶提供獨特的優(yōu)勢。圖44CISCOIDSM2CISCOIDSM2可以提供下列特性和優(yōu)點思科是唯一可以提供一個交換機(jī)內(nèi)置IDS解決方案的廠商，這種解決方案可以通過VLAN訪問控制列表VACL獲取功能來提供對數(shù)據(jù)流的訪問權(quán)限。VACL可以支持無限個VLAN。通過被動的、綜合的操作提供透明的操作。這種操作方式可以通過VACL獲取功能和交換機(jī)端口分析工具/遠(yuǎn)程SPAN（RSPAN/SPAN）檢測分組的復(fù)本，而且如果設(shè)備需要維護(hù)，因為它并不位于交換機(jī)轉(zhuǎn)發(fā)路徑上，因而它不會導(dǎo)致網(wǎng)絡(luò)性能降低或者中斷。體積只占一個機(jī)架單元，在CISCOCATALYST設(shè)備中只占用一個插槽，從而使它成為能夠有效地支持所有CATALYST設(shè)備（從有三個插槽的CATALYST6503到這個系列中最大的設(shè)備）的平臺，并讓用戶可以根據(jù)自己的需要，同時安裝多個模塊，為更多的VLAN和流量提供保護(hù)。每秒500MB的IDS檢測能力可以提供高速的分組檢查功能，讓用戶可以為各種類型的網(wǎng)絡(luò)和流量提供更多的保護(hù)。多種用于獲取和響應(yīng)的技術(shù)，包括SPAN/RSPAN和VACL獲取功能，以及屏蔽和TCP重置功能，從而讓用戶可以監(jiān)控不同的網(wǎng)段和流量，同時讓產(chǎn)品可以采取及時的措施，以消除威脅。使用與曾獲大獎的CISCOIDS網(wǎng)絡(luò)設(shè)備相同的程序代碼，讓用戶可以將單一的管理技術(shù)作為標(biāo)準(zhǔn)，并讓安裝、培訓(xùn)、操作和支持變得更加便捷，同時可以利用CISCOIDS的全面的攻擊識別能力和特征庫。重要的管理技術(shù)（例如CISCOVMS21安全產(chǎn)品包提供的支持以及內(nèi)置的CISCOIDS設(shè)備管理器（IDM）、IDS事件瀏覽器（IEV）本地管理功能和CLI支持）讓IDSM2更加便于管理，更加善于檢測和響應(yīng)威脅，同時就潛在的攻擊向管理人員發(fā)出警報。此外，這個新的產(chǎn)品還讓管理人員可以更加方便地在范圍廣泛、多樣化的網(wǎng)絡(luò)上管理多個設(shè)備。七、網(wǎng)絡(luò)殺毒軟件的選擇在這個企業(yè)局域網(wǎng)中我建議用金山毒霸網(wǎng)絡(luò)版20。在此分別對SYMANTECATIVIRUS企業(yè)版100、金山毒霸網(wǎng)絡(luò)版20、趨勢防毒墻網(wǎng)絡(luò)版70和瑞星殺毒軟件網(wǎng)絡(luò)版2006這四款網(wǎng)絡(luò)版產(chǎn)品，在安裝部署方式、管理功能操作和系統(tǒng)資源占用等幾個方面進(jìn)行橫向?qū)Ρ葴y試。測試過程將遵循傳統(tǒng)測試的基本原理和步驟，測試過程會在一定程度上有所簡化。（一）體系結(jié)構(gòu)與安裝方式分析表41體系結(jié)構(gòu)與安裝方式金山毒霸瑞星趨勢科技SYMANTEC體系結(jié)構(gòu)B/SC/SB/SC/SC/S模塊組成系統(tǒng)中心服務(wù)器端客戶端系統(tǒng)中心服務(wù)器端客戶端OFFICESCANSERVERPROTECT系統(tǒng)中心服務(wù)器客戶端隔離區(qū)首先來看它們各自的體系結(jié)構(gòu)。賽門鐵克和瑞星兩家的網(wǎng)絡(luò)版產(chǎn)品，都采用了傳統(tǒng)的C/S架構(gòu)，這樣的客戶端對于跨網(wǎng)段和跨廣域網(wǎng)的安裝和管理，具有一定的局限性。與之相比，金山毒霸的網(wǎng)絡(luò)版采用的是業(yè)內(nèi)較先進(jìn)的B/S架構(gòu)，兼容性和可擴(kuò)展性較好，尤其值得一提的是，毒霸的管理模塊可以靈活部署，能夠滿足不同用戶的需求。而趨勢科技的網(wǎng)絡(luò)版則是前面提到的兩種架構(gòu)的結(jié)合體，采用的是C/SB/S架構(gòu)，可以兼顧中小網(wǎng)絡(luò)和跨地域的大型網(wǎng)絡(luò)，兼容性和可擴(kuò)展性表現(xiàn)優(yōu)異。但是，趨勢科技的服務(wù)器和客戶端采用的是兩個版本，用戶成本增高，在管理和使用方面也略顯復(fù)雜。在此環(huán)節(jié)中，金山毒霸與趨勢科技的表現(xiàn)占優(yōu)，但兩家的側(cè)重點卻有所不同，金山毒霸更加注重用戶使用的靈活性，而趨勢科技則更重視軟件的兼容性和擴(kuò)展性，對于用戶體驗與成本方面的關(guān)注略顯不足。在安裝方式上，瑞星與賽門鐵克的產(chǎn)品均不能直接支持WEB安裝。而金山毒霸與趨勢科技提供的的安裝方式就較為多樣化，可以在WEB安裝、遠(yuǎn)程安裝和腳本安裝中進(jìn)行選擇，前者的WEB安裝，操作非常簡單，即使是初次使用的用戶安裝起來也毫不費力，而后者的網(wǎng)絡(luò)版產(chǎn)品在前面提到的安裝方式之外還增加了光盤安裝等方式。（二）管理功能分析對于一款殺毒軟件，用戶最為看重的就是其對系統(tǒng)的管理能力。接下來，我們將從以下的三個方面來分析比較四款網(wǎng)絡(luò)版產(chǎn)品在系統(tǒng)管理方面的特點。1、可移動式管理與分級功能從可移動管理功能來看，由于瑞星和賽門鐵克均不支持基于WEB的管理控制臺，所以這兩款網(wǎng)絡(luò)版殺毒軟件，都需要在機(jī)器上額外安裝管理控制組件，才能達(dá)到移動管理的目的，相對比較麻煩。而金山與趨勢科技的兩款產(chǎn)品，在移動管理性能方面的優(yōu)越性則十分顯著，它們都支持移動的WEB管理控制臺，可以比較輕松地實現(xiàn)對整個網(wǎng)絡(luò)的管理，無須單獨安裝控制臺，其中金山毒霸的操作界面更加直觀，使用起來很方便。至于分級管理功能，雖然這四款產(chǎn)品都能通過不同途徑加以實現(xiàn)，但效果卻各不相同。瑞星和賽門鐵克的兩款產(chǎn)品均采用層層遞進(jìn)的結(jié)構(gòu)實現(xiàn)分級管理。不同之處在于，瑞星產(chǎn)品的一、二級系統(tǒng)中心之間，是通過通訊代理進(jìn)行交互，用戶可以明顯感覺到信息傳送的滯后和不穩(wěn)定；同時，瑞星的一級系統(tǒng)中心不能直接管理到二級系統(tǒng)中心下的客戶端，企業(yè)級用戶在使用時會感覺比較繁瑣。金山毒霸則是通過管理中心集中管理數(shù)據(jù)，對多個系統(tǒng)中心、升級服務(wù)器進(jìn)行集中管理，保證了信息傳遞的穩(wěn)定性和操作的簡便性。趨勢科技則通過WEB控制臺實現(xiàn)分級管理，但用戶如果要向同一局域網(wǎng)內(nèi)其它服務(wù)器報告，就需要通過客戶機(jī)移動工具來實現(xiàn)，相對繁瑣。比較來看，金山與趨勢的兩款產(chǎn)品表現(xiàn)較為優(yōu)秀，而在用戶操作上金山毒霸最為簡便。2、漏洞掃描與修復(fù)功能利用系統(tǒng)漏洞進(jìn)行攻擊已經(jīng)成為當(dāng)前網(wǎng)絡(luò)侵害的主流之一，用戶對于殺毒軟件的漏洞掃描與修復(fù)功能的需求日益增多。然而遺憾的是，賽門鐵克與趨勢科技的兩款產(chǎn)品都不支持此項功能。余下的兩款國內(nèi)產(chǎn)品中，金山毒霸能夠?qū)钟蚓W(wǎng)內(nèi)的所有在線用戶進(jìn)行漏洞掃描，智能選擇客戶機(jī)所需要安裝的補丁，自動下載和安裝補丁，整個過程完全不需要用戶的參與，非常省心；這一功能保證了整個網(wǎng)絡(luò)系統(tǒng)能夠在最短時間內(nèi)統(tǒng)一修補漏洞，使企業(yè)級用戶的病毒防護(hù)真正做到滴水不漏，從根本上杜絕了安全隱患。而瑞星的網(wǎng)絡(luò)版產(chǎn)品雖然能夠逐一通知用戶安裝，但在補丁安裝向?qū)又?，需要用戶自己參與安裝，并沒有實現(xiàn)真正的全網(wǎng)漏洞自動修復(fù)，一旦終端用戶取消安裝就不能順利對系統(tǒng)漏洞進(jìn)行修復(fù)，在一定程度上存在著安全隱患。在這一個環(huán)節(jié)的比拼上，趨勢科技與賽門鐵克交了白卷，而金山毒霸的主動漏洞掃描與修復(fù)功能則表現(xiàn)得最為搶眼。3、搶先加載防毒功能殺毒是場速度戰(zhàn)，不僅僅要求病毒庫的更新要快，殺毒軟件的加載速度更要快。如果不能搶在病毒之前對系統(tǒng)進(jìn)行加載保護(hù)，被病毒搶占先機(jī)，后果就會不堪設(shè)想。賽門鐵克與趨勢科技的兩款產(chǎn)品在這一功能上再次缺席，它們都是在系統(tǒng)完全啟動后才能生效，對于計算機(jī)中已經(jīng)存在病毒的情況，這兩款殺毒軟件在機(jī)器啟動后，無法阻止病毒向整個網(wǎng)絡(luò)擴(kuò)散，從而導(dǎo)致用戶無法進(jìn)行正常的工作。而瑞星具有的搶先殺毒功能，能夠在系統(tǒng)啟動前便對硬盤進(jìn)行病毒掃描，掃描完成后再引導(dǎo)系統(tǒng)，可以清除掉正常模式下無法清除的病毒程序；但在啟動系統(tǒng)過程中，仍存在染毒隱患，同時會使系統(tǒng)啟動的時間相對變長。金山毒霸不僅能夠在用戶的系統(tǒng)尚未完全啟動前對病毒進(jìn)行防范，毒霸的實時監(jiān)控模塊還可以在系統(tǒng)未登錄網(wǎng)絡(luò)之前便啟動完整的查殺病毒功能，全面保證用戶上網(wǎng)無憂。（三）性能分析表42各殺毒軟件性能分析表金山毒霸瑞星趨勢SYMANTEC靜態(tài)資源占用KANGUIEXE3M4MKANSVREXE8MKMAILMONEXE1MRAVEXE1MRAVMONEXE2MRAVTRAYEXE6MRSAGENTEXE2MRAVMONDEXE8MPCCNTMONEXE545MVPTRAYEXE910MVPC32EXE1074M病毒庫升級網(wǎng)絡(luò)資源占用CPU15,最高值達(dá)25內(nèi)存8MCPU60,最高值達(dá)100內(nèi)存18MCPU最高26內(nèi)存330MCPU最高87內(nèi)存936M病毒查殺速度KANSCANEXECPU80左右內(nèi)存40M左右清除病毒259個耗時10秒RAVEXECPU99左右清除病毒257個耗時40秒TSCEXECPU94內(nèi)存1301M清除病毒78個耗時19秒RTVSCANEXECPU98內(nèi)存3973M清除病毒254個耗時24分32秒測試樣本共275個從中不難看出，金山毒霸網(wǎng)絡(luò)版在查殺病毒的數(shù)量與速度上都占據(jù)了明顯優(yōu)勢，而趨勢的網(wǎng)絡(luò)版產(chǎn)品表現(xiàn)則相當(dāng)讓人失望。值得注意的是，金山毒霸網(wǎng)絡(luò)版在殺毒的工作狀態(tài)下，對用戶CPU的占用卻只有80，為四款產(chǎn)品中最少的；而趨勢、賽門鐵克、瑞星的三款產(chǎn)品對用戶的CPU占用率分別達(dá)到了94、98和99，在殺毒狀態(tài)下，CPU基本已被占滿，用戶完全做不了其他的事情。同樣的，在病毒庫升級的狀況下，金山毒霸