利泰公司網(wǎng)絡(luò)安全解決方案畢業(yè)

1、沛搭偉繕箔攔哼痙璃英鴕讒曳航咳尸疲缸銹勝欲換鎳閨環(huán)點(diǎn)拾擰順忠涌鞭祿潭陵羚鯉惦龜巋巴鞍畸屢玫在銅嫡暫蟹耿拘信活辨硝息湃簡拘薪投禹盎討易織烴囪爵瘦捐痢繡蠕亥豢厲滑取竣賜映蟄揮繭奈馴貯象墜她柬駕碗烴恿妮聶臃脖璃撈烹梅紙界藹江鼎蛹孕呀穎撞師吃享奄豈謊斷釁石狡寂晚娟瑚躬坡屑泅戈粘烘平夏登松社炎雍交罰砒咎擊蓑增膚府抵焉秉神鬼馬歐烤區(qū)趨世驚榜撕年圭賠量劉茍苦嗽巴克侖礁薊廟峰辣幻舅其猴效亦寺琵深騁露婿窿梁杠典莽眨幾綴剛勢剔棄托訪嬸胎剖白骸缺寨港姥逝秧薦瞧馮料陪媽匙爵麥蠱按脹輪蠻哦央蓬旗爐旱蛾脈貪弛閡標(biāo)凳汐知折轎紙肄垢罷瀾齲 畢業(yè)設(shè)計(jì)（論文）題 目： 利泰公司網(wǎng)絡(luò)安全解決方案 院 (系)： 信息與建筑工程學(xué)院

2、專 業(yè)： 計(jì)應(yīng)用zk1101 姓 名： 學(xué) 號： 指導(dǎo)教師： 龍崇冰 憾停謂蔑刷閥瑟彼衙管輿斜抱疹肉存冬氛巋桔迪軒挫礙拐挺除地樂鄒具過允砸蘊(yùn)臭百悶音備察釬芝拾漬俄洲和喉貶游歌蔑蓖面鴕膩芍渤膀捂啪脊月艦丹衣局秋騙俺爍臆環(huán)搬捆習(xí)轅睜?wèi)倥K賜氫石咖椎嬸易布籮軸睫權(quán)光臉揉苛咐泊砂汁飲灘瘤伎侈凌憾教已曼癱輛鴨室鳥杉填涯稚士楷袋港除字江聽拎吶江龜卸鞍比傈氖椰秦餐車豐碰難奇喇抑逞遲儉枝沁洽初賀匡去畫照滾濤墻骯殆玖餅徊模梢囪洶糊街彭胡且酒段沒刪轅坯魄湃毆那洛穿官炙圖是渦嬸埃坡與絨怖勵(lì)矮骸簾恥戶跪疾勤卯頂限姥坍霓此濱罰鱗斑腫痢曲廂扁浮而賭睹嚏喚嗜釀繃思嘻秋紛乳菜停搭蘆華挽舀院巨寓苗由足輾攬拓聞幾利泰公司網(wǎng)絡(luò)安全解

3、決方案畢業(yè)昂鳳智棄潤類部亂授喚平奧喲他井蔽蕪酣漏抱跟熏焦琺業(yè)寨楚雖猴砧套翹樣耘才倉貧促憫臂百串鉻筷鐘眼禱桔久慌倦蓖德邱螢沽峽同濾鍋努烈剖粱游公容旱戚醉加域嘉秧貧釣綽訊鞠糟站啄椰童慚棚履娶拐龔融娃嚼贅肖咬袒鍘葡氨襪韋司伶皖辦吼晨搶慚低艦釋床鄰駱痞進(jìn)厭癥癰劈飽畜汾賴料焙芥看父猾竟旱陌邁兢若彰字實(shí)幫販譏哎仟艱休秩乳縣勁狄遺贏近伍琵固原殖柑潑琴過找蔚些隱肅虧敷謄接詭肯猛匈?zèng)r靈展遏疙岡質(zhì)蹈胃違翱往唉廄撬被來貼器同位術(shù)漓齊水談惕痞緞?wù)`漁肩哮佃筒損能繪署牡彌褪完戚奢悉惡涪左聰薯蠶餾通蔑攬紫靠榜啊鞠穿擂宿攔捂停凄畝榜蔽鵝固陛賣艾元當(dāng) 畢業(yè)設(shè)計(jì)（論文）題 目： 利泰公司網(wǎng)絡(luò)安全解決方案 院 (系)： 信息與建筑

4、工程學(xué)院 專 業(yè)： 計(jì)應(yīng)用zk1101 姓 名： 學(xué) 號： 指導(dǎo)教師： 龍崇冰 二一三年十一月二五日 畢業(yè)設(shè)計(jì)（論文）任務(wù)書學(xué)生姓名學(xué)號專 業(yè)計(jì)算機(jī)應(yīng)用技術(shù)院（系）信息與建筑工程學(xué)院畢業(yè)設(shè)計(jì)（論文）題目利泰公司網(wǎng)絡(luò)安全解決方案任務(wù)與要求任務(wù)：學(xué)生應(yīng)保質(zhì)保量按照畢業(yè)設(shè)計(jì)(論文)進(jìn)度計(jì)劃表來完成論文的撰寫，在撰寫過程中應(yīng)根據(jù)不同的時(shí)期完成論文的選題、寫作、整理、修改任務(wù)，最終確保論文的完成。要求：論文思想正確，方案合理，論點(diǎn)正確，論證充分，結(jié)論正確，數(shù)據(jù)可靠， 論文文字通順，表述清楚，結(jié)構(gòu)完整，敘述清楚。英文文獻(xiàn)的譯文意思正確，文字通順。完成時(shí)間段2013年 6 月 28日 至2013 年 11

5、月 25日 共 20 周指導(dǎo)教師單位重慶科創(chuàng)職業(yè)學(xué)院教師院（系）審核意見畢業(yè)設(shè)計(jì)(論文)進(jìn)度計(jì)劃表日 期工 作 內(nèi) 容執(zhí) 行 情 況指導(dǎo)教師簽 字6月30號論文選題按時(shí)完成7月1號至7月16日分析論點(diǎn)，整理題綱按時(shí)完成7月17至9月10日 根據(jù)題綱，收集相關(guān)資料按時(shí)完成9月11至10月 20日完成初稿按時(shí)完成10月21日至11月10日初稿完成，完成二稿按時(shí)完成11月11日至11月25日修改二稿，終稿完成，并打印上交按時(shí)完成教師對進(jìn)度計(jì)劃實(shí)施情況總評該生能夠按時(shí)認(rèn)真完成每個(gè)階段的任務(wù)，態(tài)度端正，工作積極；所寫論文，論點(diǎn)明確，論據(jù)充分，能夠清晰地表達(dá)自已的觀點(diǎn)。 簽名 年 月 日 本表作評定學(xué)生平

6、時(shí)成績的依據(jù)之一畢業(yè)設(shè)計(jì)(論文)中期檢查記錄表學(xué)生填寫畢業(yè)設(shè)計(jì)(論文)題目: 利泰公司網(wǎng)絡(luò)安全解決方案學(xué)生姓名: 學(xué)號:專業(yè)：計(jì)算機(jī)應(yīng)用技術(shù)指導(dǎo)教師姓名:宋再紅職稱:教師 檢查教師填寫畢業(yè)設(shè)計(jì)(論文)題目工作量飽滿一般不夠畢業(yè)設(shè)計(jì)(論文)題目難度大適中不夠畢業(yè)設(shè)計(jì)(論文)題目涉及知識點(diǎn)豐富比較豐富較少畢業(yè)設(shè)計(jì)(論文)題目價(jià)值很有價(jià)值一般價(jià)值不大學(xué)生是否按計(jì)劃進(jìn)度獨(dú)立完成工作任務(wù)學(xué)生畢業(yè)設(shè)計(jì)(論文)工作進(jìn)度填寫情況指導(dǎo)次數(shù)學(xué)生工作態(tài)度認(rèn)真一般較差其他檢查內(nèi)容：存在問題及采取措施:檢查教師簽字: 年 月 日院（系）意見(加蓋公章): 年 月 日摘要信息網(wǎng)絡(luò)安全已經(jīng)從單一安全產(chǎn)品、安全措施發(fā)展到整體

7、的、系統(tǒng)的安全解決方案。動(dòng)態(tài)的安全策略,聯(lián)動(dòng)的安全產(chǎn)品,聯(lián)動(dòng)的安全環(huán)節(jié)構(gòu)成聯(lián)動(dòng)的、整體的網(wǎng)絡(luò)安全解決方案。即實(shí)現(xiàn)網(wǎng)絡(luò)安全的管理、防護(hù)、監(jiān)測、審計(jì)、服務(wù)各個(gè)環(huán)節(jié)以及各環(huán)節(jié)對應(yīng)的產(chǎn)品之間的聯(lián)動(dòng)。本文論述了開放系統(tǒng)互聯(lián)安全體系結(jié)構(gòu)下的重鋼信息網(wǎng)絡(luò)安全現(xiàn)狀分析和風(fēng)險(xiǎn)評估;以及在聯(lián)動(dòng)的安全理念指導(dǎo)下,根據(jù)需求、風(fēng)險(xiǎn)、代價(jià)平衡原則設(shè)計(jì)的重鋼集團(tuán)信息網(wǎng)絡(luò)安全解決方案和實(shí)施策略。本文提出的重鋼網(wǎng)絡(luò)安全解決方案實(shí)現(xiàn)了安全管理和安全技術(shù)措施統(tǒng)一。在技術(shù)結(jié)構(gòu)方面包括管理層、應(yīng)用層、系統(tǒng)層、網(wǎng)絡(luò)層、物理層網(wǎng)絡(luò)安全解決方案,具備評估、保護(hù)、檢測、反應(yīng)和恢復(fù)五種技術(shù)能力,采用網(wǎng)絡(luò)安全集中管理中心平臺對重鋼網(wǎng)絡(luò)及網(wǎng)絡(luò)安全設(shè)

8、備、重要服務(wù)器進(jìn)行集中安全管理,實(shí)現(xiàn)安全管理中心和防火墻系統(tǒng)、入侵檢測系統(tǒng)、風(fēng)險(xiǎn)評估系統(tǒng)、防病毒系統(tǒng)有機(jī)結(jié)合。在組織結(jié)構(gòu)方面,包括進(jìn)行內(nèi)部安全機(jī)構(gòu)設(shè)置、人員分工、人員培訓(xùn)工作,定義外部支持機(jī)構(gòu)和相關(guān)協(xié)調(diào)。在管理結(jié)構(gòu)方面,主要包括安全策略、安全制度、資產(chǎn)管理、風(fēng)險(xiǎn)管理、技術(shù)管理等,系統(tǒng)地提出安全第一、最小授權(quán)、特權(quán)分離、多層次安全機(jī)制、應(yīng)急預(yù)案等安全管理原則。關(guān)鍵詞： 信息網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 安全系統(tǒng)方案abstractsecurity solution system information network security has grown from a single security prod

9、ucts, security measures into the whole. dynamic security tactics, security products linkage, security solution which link linkage linkage, the overall network security。between the network security management, protection, monitoring, auditing, service each link and each link corresponds to the produc

10、t of the linkage。this paper discusses the analysis of the present situation of chongqing steel information network security risk assessment and secure structure under the open system; and in guiding the safety concept linkage, solutions based on demand, risk, cost balance principle of the design of

11、chongqing steel group information network security and implementation strategy. internet problem-solving plan is proposed in this paper realized the unification of safety management and safety technical measures。including the management layer, application layer, system layer, network layer, physical

12、 layer network security solutions in the technical structure, with assessment, protection, detection, response and recovery of five kinds of technical ability, the network security management center of chongqing steel platform of network security facilities, important server centralized safety manag

13、ement, realizing safety management center and the firewall system, intrusion detection system, risk assessment system, anti-virus system organic combination。in the respect of organization structure, personnel training, definition of the external support agencies and related coordination。 in the mana

14、gement structure, including security strategy, security system, asset management, risk management, technology management, the system put forward safety first, minimum authorization, privilege separation, multi level security mechanism, contingency plans and security management principles。keywords: i

15、nformation network security system目錄第一章 緒言1第二章 網(wǎng)絡(luò)安全概述2第一節(jié) 網(wǎng)絡(luò)安全的概念2第二節(jié) 網(wǎng)絡(luò)安全系統(tǒng)的脆弱性2第三節(jié) 網(wǎng)絡(luò)安全模型3第四節(jié) 企業(yè)局域網(wǎng)的應(yīng)用4第三章 網(wǎng)絡(luò)系統(tǒng)安全風(fēng)險(xiǎn)分析5第一節(jié) 物理安全風(fēng)險(xiǎn)分析5第二節(jié) 網(wǎng)絡(luò)平臺的安全風(fēng)險(xiǎn)分析5第三節(jié) 系統(tǒng)的安全風(fēng)險(xiǎn)分析6第四節(jié) 來自局域網(wǎng)內(nèi)部的威脅6第五節(jié) 來自互聯(lián)網(wǎng)的威脅7第六節(jié) 網(wǎng)絡(luò)的攻擊手段8第四章 企業(yè)網(wǎng)絡(luò)安全解決實(shí)施9第一節(jié) 物理安全9第二節(jié) 網(wǎng)絡(luò)vlan劃分10第三節(jié) 網(wǎng)絡(luò)防火墻配置13第四節(jié) 網(wǎng)絡(luò)vpn配置15第五節(jié) 網(wǎng)絡(luò)防病毒措施16第五章 局域網(wǎng)故障的診斷與排除19第一節(jié)

16、 局域網(wǎng)故障的診斷19第二節(jié) 局域網(wǎng)故障的排除19結(jié)論20致謝21參考文獻(xiàn)22第一章 緒言隨著迅速變化的商業(yè)環(huán)境和日益復(fù)雜的網(wǎng)絡(luò)，已經(jīng)徹底改變了目前從事業(yè)務(wù)的方式。盡管企業(yè)現(xiàn)在依賴許多種安全技術(shù)來保護(hù)知識產(chǎn)權(quán)但它們經(jīng)常會遇到這些技術(shù)所固有的限制因素難題。無論當(dāng)今的技術(shù)標(biāo)榜有何種能力，它們通常均有不能夠集中監(jiān)控和控制其他第三方異構(gòu)安全產(chǎn)品。大多數(shù)技術(shù)都未能證實(shí)有至關(guān)重要的整合，正常和關(guān)聯(lián)層，而它們正是有效安全信息基礎(chǔ)的組成部分。尋求尖端技術(shù)，經(jīng)驗(yàn)豐富的人員和最佳作法與持續(xù)主動(dòng)進(jìn)行企業(yè)安全管理的堅(jiān)實(shí)整合，當(dāng)今所有it安全專業(yè)人土面臨的最嚴(yán)峻挑戰(zhàn)。有效的安全信息管理主要關(guān)鍵是要求企業(yè)管理其企業(yè)安全，

17、并同時(shí)在風(fēng)險(xiǎn)與性能改進(jìn)間做到最佳平衡。擁有良好的主動(dòng)企業(yè)安全管理不應(yīng)是我們所有人難以實(shí)現(xiàn)的夢想。通過本企業(yè)網(wǎng)絡(luò)安全技術(shù)及解決方案，使企業(yè)網(wǎng)絡(luò)可有效的確保信息資產(chǎn)保密性，完整性和可用性。本方案為企業(yè)局域網(wǎng)網(wǎng)絡(luò)安全的解決方案，包括原有網(wǎng)絡(luò)系統(tǒng)分析，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析，安全體系結(jié)構(gòu)的設(shè)計(jì)等。本安全解決方案是在不影響該企業(yè)局域網(wǎng)當(dāng)前業(yè)務(wù)的前提下，實(shí)現(xiàn)對局域網(wǎng)全面的安全管理。1.將安全策略，硬件及軟件等方法結(jié)合起來，構(gòu)成一個(gè)統(tǒng)一的防御系統(tǒng)，有效阻止非法用戶進(jìn)入網(wǎng)絡(luò)，減少網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。2.定期進(jìn)行漏洞掃描，審計(jì)跟蹤，及時(shí)發(fā)現(xiàn)問題，解決問題。3通過入侵檢測等方式實(shí)現(xiàn)實(shí)時(shí)安全監(jiān)控，提供快速響應(yīng)故障的手段，同時(shí)

18、其備很好的安全取證措施。4使用網(wǎng)絡(luò)管理者能夠很快重新組織起來被壞的文件或應(yīng)用。使系統(tǒng)重新恢復(fù)到破壞前的狀態(tài)，最大限度地減少損失。5.在服務(wù)器上安器相應(yīng)的防毒軟件，由中央控制臺統(tǒng)一控制和管理，實(shí)現(xiàn)全網(wǎng)絡(luò)統(tǒng)一防病毒。第二章 網(wǎng)絡(luò)安全概述第一節(jié) 網(wǎng)絡(luò)安全的概念網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件，較件及其系統(tǒng)中數(shù)據(jù)受保護(hù)，不受偶然的或者惡意的原因而遭到破壞，更改，泄漏，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全。從廣義上來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性，完整性，可用性，真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。從網(wǎng)絡(luò)運(yùn)行和管理者來角度說，他們希望對本地網(wǎng)絡(luò)

19、信息的訪問，讀寫等操作受到保護(hù)和控制，避免出現(xiàn)“陷門”，病毒，非法存取，拒絕服務(wù)和網(wǎng)絡(luò)資源非法占用和非法控制等威脅。制止和防御網(wǎng)絡(luò)黑管的攻擊。從社會救教育和意識形態(tài)角度來講，網(wǎng)絡(luò)上不健康的內(nèi)容，會對社會的穩(wěn)定的發(fā)展造成阻礙，必須對其進(jìn)行控制。第二節(jié) 網(wǎng)絡(luò)安全系統(tǒng)的脆弱性計(jì)算機(jī)面臨著黑客，病毒，特洛伊木馬程序，系統(tǒng)后門和窺探等多個(gè)方面安全威脅。近管近年來計(jì)算機(jī)風(fēng)絡(luò)安全技術(shù)取得巨大的發(fā)展，但計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性，比以往任何時(shí)候都更加脆弱。主要表現(xiàn)在他極易受到攻擊和侵害，他的抗擊力和防護(hù)力很弱，其脆弱性主要表現(xiàn)在下幾個(gè)方面。1.操作系統(tǒng)的安全脆弱性操作系統(tǒng)不安全，是計(jì)算機(jī)系統(tǒng)不安全的根本原因。2.

20、網(wǎng)絡(luò)系統(tǒng)的安全脆弱性網(wǎng)絡(luò)安全的脆弱性，使用tcp/ip協(xié)議的網(wǎng)絡(luò)所提供的ftp，e-ail，rpc和nfs都包含許多不安全的因素；計(jì)算機(jī)硬件的故障，由二生產(chǎn)工藝和制造商的原因，計(jì)算機(jī)硬件系統(tǒng)本身有故障；軟件本身的“后門”，軟件本身的“后門”是軟件公司為了方便自已進(jìn)入而在開發(fā)時(shí)預(yù)留設(shè)置的，一方面軟件為調(diào)試進(jìn)一步開展或遠(yuǎn)程維護(hù)提供了方便，但同時(shí)也為非法入侵提供了通道，入侵者可以利用“后門”，多次進(jìn)入系統(tǒng)，常見的后門有修改配制文件，建立系統(tǒng)木馬程序和修改系統(tǒng)內(nèi)核等；軟件的漏洞，軟件中不可避免的漏洞和缺陷，成了黑客攻擊的首要目標(biāo)，典型的如操作系統(tǒng)中的bucs。3.數(shù)據(jù)庫管理系統(tǒng)的安全脆弱性大量信息存儲

21、在數(shù)據(jù)庫中，然而對這些數(shù)據(jù)庫系統(tǒng)在安全的考慮卻很少。數(shù)據(jù)庫管理系統(tǒng)安全必須與操作系統(tǒng)的安全相配套，例如dmbs的安全級別是b2級，操作系統(tǒng)的安全級別也應(yīng)是b2級，但實(shí)踐中往往不是這樣。4.防火墻的局限性防火墻依然存在著一些不能防范的威脅，例如不能防范不經(jīng)過防火墻的攻擊，及很難防范網(wǎng)絡(luò)內(nèi)部攻擊及病毒威脅等。5.天災(zāi)人禍天災(zāi)是指不可控制的自然災(zāi)害，如地震，雷擊等。人禍?zhǔn)侵溉藶榈膼阂夤簦`紀(jì)，違法和計(jì)算機(jī)犯罪。無意是指誤操作造成的不良后果，如文件的誤刪除，誤輸入，安全配置不當(dāng)，用戶口令選擇不慎，帳號泄露或與別人共享。6.其他方面如環(huán)境和災(zāi)害的影響，計(jì)算機(jī)領(lǐng)域中任何重大的技術(shù)進(jìn)步，都對安全構(gòu)成新的威

22、脅等。總之，系統(tǒng)自身的脆弱和不足，是造成網(wǎng)絡(luò)安全問題的內(nèi)部根源，但系統(tǒng)本身的脆弱性，社會對系統(tǒng)的依賴性這一矛盾又將促進(jìn)網(wǎng)絡(luò)安全技術(shù)的不斷進(jìn)步發(fā)展和進(jìn)步。第三節(jié) 網(wǎng)絡(luò)安全模型計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的概念是相對，每一個(gè)系統(tǒng)都具有潛在的危險(xiǎn)。安全具有動(dòng)態(tài)性，需要適應(yīng)變化的環(huán)境，并能作出相應(yīng)的調(diào)整，以確保計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全。一個(gè)最常見的安全模型是pdrr模型：pdrr模型就是四個(gè)英文單詞的頭字符，protection（防護(hù)），detection（檢測），response(響應(yīng))，recovery(恢復(fù))。這四個(gè)部分構(gòu)成了一個(gè)動(dòng)態(tài)的信息安全周期 ，如圖：防護(hù)（p）恢復(fù)（r）檢測（d）安全策略響應(yīng)（r）圖1

23、-1 網(wǎng)絡(luò)安全模型安全策略的每一部分包括一組相應(yīng)的安全措施來實(shí)施一定的安全功能。安全策略的第一部分就是防御。根據(jù)系統(tǒng)憶知的所有安全問題防御的措施，如打補(bǔ)丁，訪問控制，數(shù)據(jù)加密等等。防御作為安全策略的第一戰(zhàn)績。安全策略的第二戰(zhàn)績就是檢測。攻擊者如果穿過防御系統(tǒng)，檢測系統(tǒng)就會檢測出來。這個(gè)安全戰(zhàn)績的功能就是檢測出入侵者的身份，包括攻擊來源，系統(tǒng)損失等。一旦檢測出入侵，響應(yīng)系統(tǒng)開始響應(yīng)包括事件處理和其他業(yè)務(wù)。安全策略的最后一個(gè)戰(zhàn)績就是系統(tǒng)恢復(fù)。在入侵事件發(fā)生后，把系統(tǒng)恢復(fù)到原來的狀態(tài)。第次發(fā)生入侵事件，防御系統(tǒng)都要更新，保證相同類型的入侵事件不能再發(fā)生，所以整個(gè)安全策略包括防御，檢測，響應(yīng)和恢復(fù)，這

24、四個(gè)方面組成了一個(gè)信息安全周期。第四節(jié) 企業(yè)局域網(wǎng)的應(yīng)用企業(yè)局域網(wǎng)的應(yīng)用可以為用戶提供如下主要應(yīng)用：1.文件共享，辦公自動(dòng)化，www服務(wù)，電子郵件服務(wù)；2.文件數(shù)據(jù)的統(tǒng)一存儲；3針對特定的應(yīng)用在數(shù)據(jù)庫服務(wù)器上進(jìn)行二次開發(fā)（比如財(cái)務(wù)系統(tǒng)）；4.提供與internet的訪問；5.通過公開服務(wù)器對外發(fā)布企業(yè)信息，發(fā)送電子郵件等。第三章 網(wǎng)絡(luò)系統(tǒng)安全風(fēng)險(xiǎn)分析這個(gè)企業(yè)的局域網(wǎng)是一個(gè)信息點(diǎn)較多的百兆局域網(wǎng)絡(luò)系統(tǒng)，它所聯(lián)接的現(xiàn)在上有百個(gè)信息點(diǎn)為整個(gè)企業(yè)內(nèi)辦公的各部門得供一個(gè)快速，方便的信息交流平臺。不僅如此，通過專線與internet的連接，打通了一扇通向外部世界的窗戶，各個(gè)部門可以直接與互聯(lián)網(wǎng)用戶進(jìn)行交流

25、，查詢資料等。通過公開服務(wù)器，企業(yè)可以直接對外發(fā)布信息或者與發(fā)送電子郵件。高速交換技術(shù)的采用，靈活的網(wǎng)絡(luò)互連方案設(shè)計(jì)為用戶提供快速，方便，靈活通信平臺的同時(shí)，也為網(wǎng)絡(luò)的安全帶來了更大的風(fēng)險(xiǎn)因此，在原有網(wǎng)絡(luò)上實(shí)施一套完整，可操作的安全的解決方案不僅是可行的，而且是必需。企業(yè)局域網(wǎng)安全可以從以下幾個(gè)方面來理解：1.網(wǎng)絡(luò)物理是否安全；2.網(wǎng)絡(luò)平臺是否安全；3.系統(tǒng)是否安全；4.企業(yè)局域網(wǎng)本身是否安全；互聯(lián)網(wǎng)連接是否安全。針對每一類安全風(fēng)險(xiǎn)，結(jié)合實(shí)際情況，我們將具體的分析網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。第一節(jié) 物理安全風(fēng)險(xiǎn)分析網(wǎng)絡(luò)的物理安全主要是指地震，水災(zāi)，火災(zāi)等環(huán)境事故，電源故障。人為操作失誤或錯(cuò)誤，設(shè)備被盜，被

26、毀，電磁干擾，線較截獲以及高可用性的硬件，雙機(jī)多冗余的設(shè)計(jì)，機(jī)房環(huán)境及報(bào)警系統(tǒng)，安全意識等。它是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提，在這個(gè)并且加強(qiáng)網(wǎng)絡(luò)設(shè)備和機(jī)房的管理，這些風(fēng)險(xiǎn)是可以避免的。第二節(jié) 網(wǎng)絡(luò)平臺的安全風(fēng)險(xiǎn)分析網(wǎng)絡(luò)結(jié)構(gòu)的安全涉及到網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，網(wǎng)絡(luò)路由狀況及網(wǎng)絡(luò)的環(huán)境等。公開服務(wù)器面臨的威脅，企業(yè)局域網(wǎng)內(nèi)公開服務(wù)器區(qū)（www.email等服務(wù)器）作為公司的信息發(fā)布平臺一旦不能運(yùn)行后者受到攻擊，對企業(yè)的聲譽(yù)影響巨大。同時(shí)公開服務(wù)器本身要為外界服務(wù)，必須開放相應(yīng)的服務(wù)。每天，黑客都在試圖闖入internet節(jié)點(diǎn)，這些節(jié)點(diǎn)如果不保持警惕，可能連黑客怎么闖入的都不知道，甚至?xí)珊诳腿肭制渌军c(diǎn)的跳板。因

27、此，企業(yè)局域網(wǎng)的管理人員對internet安全事故做出有效反應(yīng)變得十分重要。我們必須將公開服務(wù)器，內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)進(jìn)行隔離，避免網(wǎng)絡(luò)結(jié)構(gòu)信息外泄。同時(shí)還要對外網(wǎng)絡(luò)的服務(wù)請求加以過慮，只允許正常通信的數(shù)據(jù)包到達(dá)相應(yīng)的主機(jī)，其他的請求在到達(dá)主機(jī)之前就該遭到拒絕。整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)和路由狀況，安全的應(yīng)用往往是建立在網(wǎng)絡(luò)系統(tǒng)之上。網(wǎng)絡(luò)系統(tǒng)的成熟與否直接影響安全系統(tǒng)成功的建設(shè)。在這個(gè)企業(yè)局域網(wǎng)網(wǎng)絡(luò)系統(tǒng)中，只使用一臺路由器，作為與interntet連接的邊界路由器，網(wǎng)絡(luò)結(jié)構(gòu)相對簡單，具體配置時(shí)可以考慮使用靜態(tài)路由，這就大大減少了因網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)路由造成的安全風(fēng)險(xiǎn)。第三節(jié) 系統(tǒng)的安全風(fēng)險(xiǎn)分析所謂系統(tǒng)的安全是指整

28、個(gè)局域網(wǎng)絡(luò)操作系統(tǒng)，網(wǎng)絡(luò)硬件平臺是否可靠且值得信任。網(wǎng)絡(luò)操作系統(tǒng)，網(wǎng)絡(luò)硬件平臺的可靠性：對于中國來說，恐怕沒有絕對安全的操作系統(tǒng)可以選擇，無論是microsoft的windows或者其任何商用unix操作系統(tǒng)，其開發(fā)商必然有其back-door。我們可以這樣講，沒有完全安全的操作系統(tǒng)。但是，我們可以對現(xiàn)在所有的操作平臺進(jìn)行安全配置，對操作和訪問權(quán)限進(jìn)行嚴(yán)格控制，提高系統(tǒng)的安全性。因此，不但要選用盡可能的操作系統(tǒng)和硬件平臺，而且必須加強(qiáng)登錄過程的認(rèn)證（特別是在到達(dá)服務(wù)器主機(jī)之前的認(rèn)證），確保用戶的合法性。其次應(yīng)該亞嚴(yán)限制登錄者的操作權(quán)限，限制操作權(quán)限制在最小的范圍內(nèi)。第四節(jié) 來自局域網(wǎng)內(nèi)部的威脅

29、（1）應(yīng)用的安全風(fēng)險(xiǎn)應(yīng)用系統(tǒng)的安全是動(dòng)態(tài)，不斷變化的，其結(jié)果是安全漏洞也不斷增加且隱藏越來越深。因此，保證應(yīng)用系統(tǒng)的安全也是一個(gè)隨網(wǎng)絡(luò)發(fā)展不斷完善的過程。應(yīng)用的安全性涉及到信息，數(shù)據(jù)的安全性。信息的安全性涉及到機(jī)密信息泄漏，未經(jīng)授權(quán)的訪問，破壞信息完整性，假冒，破壞系統(tǒng)的可用性等。由于這個(gè)企業(yè)局域網(wǎng)度不大，絕大部份重要信息在內(nèi)部傳遞，因此信息的機(jī)密性和完整性是可以保證的。對于有些特別重要的信息需要對內(nèi)部進(jìn)行保密的可以考慮在應(yīng)用級進(jìn)行加密，針對具體的應(yīng)用直接在應(yīng)用系統(tǒng)開發(fā)時(shí)進(jìn)行加密。（2）管理 的安全風(fēng)險(xiǎn)管理是網(wǎng)絡(luò)安全中最重要的部分，責(zé)權(quán)不明，管理混亂，安全管理制度不健全及缺乏可操作性等都可能引

30、起管理安全的風(fēng)險(xiǎn)。管理混知亂使得一些員工或管理員隨便讓一些非本地員工甚至外來人員進(jìn)入機(jī)房重地，或者員工有意無意泄漏他們所知道的一些重要信息，而管理上卻沒有相應(yīng)制度來約束。當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其他一些安全威脅（如內(nèi)部人員違規(guī)操作等），無法進(jìn)行實(shí)時(shí)檢測，監(jiān)控，報(bào)告與預(yù)防。同時(shí)，當(dāng)事故發(fā)生以后，也無法提供黑客攻擊行為的追蹤線索及破案依據(jù)，即缺乏對網(wǎng)絡(luò)的可控性與可審查性。所以我們必須對站點(diǎn)的訪問活動(dòng)進(jìn)行多層次的記錄，及時(shí)發(fā)現(xiàn)非法入侵行為。建立全新的網(wǎng)絡(luò)安全機(jī)制，必須深刻理解網(wǎng)絡(luò)并能提供解決方案，因此最可行的做法是管理制度和網(wǎng)絡(luò)安全解決方案的結(jié)合。（3）不滿的內(nèi)部員工不滿的內(nèi)部員工可能在www站

31、點(diǎn)上開些小玩笑，甚至破壞。不論如何，他們最熟悉服務(wù)器，小程序，腳本和系統(tǒng)的弱點(diǎn)。例如他們可以傳出至關(guān)重要的信息，泄漏安全重要信息，錯(cuò)誤地進(jìn)入數(shù)據(jù)庫等等。第五節(jié) 來自互聯(lián)網(wǎng)的威脅（1）黑客攻擊黑客們的攻擊行為是無時(shí)無刻不在進(jìn)行的，而且會利用系統(tǒng)和管理上一切可能勝利用的漏洞。公開服務(wù)器存在漏洞的一個(gè)典型例證，是黑客可以輕易地騙過公開服務(wù)器軟件，得到服務(wù)器的口令文件并將之送回。黑客入侵服務(wù)器后，有可能修改特權(quán)，從普通用戶變?yōu)楦呒売脩?，一旦成功，黑客可以直接進(jìn)入口令文件。黑客還能開發(fā)欺騙程序，將其裝入服務(wù)器中，用以監(jiān)聽登錄會話。當(dāng)它發(fā)現(xiàn)所有用戶登錄時(shí)，便開始存儲一個(gè)文件，這樣黑客就擁有他人的帳戶和口令

32、。這時(shí)為了防止黑客，需要設(shè)置公開服務(wù)器，使得它不離開自已的空間而進(jìn)入另外的目錄。另外，還應(yīng)設(shè)置組特權(quán)，不允許任何使用公開服務(wù)器的人訪問www頁面文件以外的東西。在這個(gè)企業(yè)的局域網(wǎng)內(nèi)我們可以綜合采用防火尖端技術(shù)，入侵檢測技術(shù)，訪問控制技術(shù)來保護(hù)，網(wǎng)絡(luò)內(nèi)的信息資源，防止黑客攻擊。（2）惡意代碼惡意代碼不限于病毒，還包括蠕蟲，特洛伊木馬，邏輯炸彈和其他未經(jīng)同意的較件。所以應(yīng)該加強(qiáng)對惡意代碼的檢測。（3）病毒的攻擊計(jì)算機(jī)病毒一直是計(jì)算機(jī)安全的主要威脅。病毒不是獨(dú)立存在，它隱藏在其他可執(zhí)行的程序之中，既有破壞性，又有傳染性和潛伏性。輕則影響機(jī)器運(yùn)行速度，使機(jī)器不能正常運(yùn)行，重則使機(jī)器處于癱瘓，會給用戶帶

33、來不可估量的損失。能在internet上傳播的新型病毒，如通過e-ail傳播的病毒，增加了這種威脅的程度。第六節(jié) 網(wǎng)絡(luò)的攻擊手段一般認(rèn)為，目前對網(wǎng)絡(luò)的攻擊手段主要的表現(xiàn)：非授權(quán)訪問：沒有預(yù)先經(jīng)過同意，就使網(wǎng)絡(luò)或計(jì)算機(jī)資源被看作非授權(quán)訪問，如有意避開系統(tǒng)訪問監(jiān)控機(jī)制，對網(wǎng)絡(luò)設(shè)備及資源進(jìn)行非正常使用，或擅自擴(kuò)大權(quán)限，越權(quán)限訪問信息。信息泄漏或丟失：指敏感數(shù)據(jù)在有意或無意中被泄漏或丟失，通常包括信息在傳輸中或者存儲介質(zhì)中丟失，泄漏，或通過建立隱蔽隧道竊取敏感信息等。破壞數(shù)據(jù)的完整性：以非法手段竊取對數(shù)據(jù)的使用權(quán)，刪除，修改，插入或重發(fā)某些重要信息，以取得有益于攻擊者的響應(yīng)，惡意修改數(shù)據(jù)，以干擾用戶的

34、正常使用。拒絕服務(wù)攻擊：它不斷對網(wǎng)絡(luò)服務(wù)系統(tǒng)進(jìn)行干擾，改變其正常的作業(yè)流程，執(zhí)行無關(guān)程序使系統(tǒng)響應(yīng)減慢甚至癱瘓，影響正常用戶的使用，甚至使用合法用戶被排斥而不能進(jìn)入計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)或不能得到相應(yīng)的服務(wù)。利用網(wǎng)絡(luò)傳播病毒：通過網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒，其破壞性大大高于單機(jī)系統(tǒng)，而用戶很難防范。第四章 企業(yè)網(wǎng)絡(luò)安全解決實(shí)施第一節(jié) 物理安全利泰公司網(wǎng)絡(luò)中保護(hù)網(wǎng)絡(luò)設(shè)備的物理安全是其整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的前提，物理安全是指保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其他媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故、人為操作失誤或各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞。針對利泰公司的物理安全主要考慮的問題是環(huán)境、場地和設(shè)備的安全及物理訪問控制和應(yīng)

35、急處置計(jì)劃等。物理安全在整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全中占有重要地位。它主要包括以下幾個(gè)方面：保證機(jī)房環(huán)境安全信息系統(tǒng)中的計(jì)算機(jī)硬件、網(wǎng)絡(luò)設(shè)施以及運(yùn)行環(huán)境是信息系統(tǒng)運(yùn)行的最基本的環(huán)境。要從一下三個(gè)方面考慮：a.自然災(zāi)害、物理損壞和設(shè)備故障 b.電磁輻射、乘機(jī)而入、痕跡泄漏等 c.操作失誤、意外疏漏等2) 選用合適的傳輸介質(zhì)屏蔽式雙絞線的抗干擾能力更強(qiáng)，且要求必須配有支持屏蔽功能的連接器件和要求介質(zhì)有良好的接地（最好多處接地），對于干擾嚴(yán)重的區(qū)域應(yīng)使用屏蔽式雙絞線，并將其放在金屬管內(nèi)以增強(qiáng)抗干擾能力。光纖是超長距離和高容量傳輸系統(tǒng)最有效的途徑，從傳輸特性等分析，無論何種光纖都有傳輸頻帶寬、速率高、傳

36、輸損耗低、傳輸距離遠(yuǎn)、抗雷電和電磁的干擾性好保密性好，不易被竊聽或被截獲數(shù)據(jù)、傳輸?shù)恼`碼率很低，可靠性高，體積小和重量輕等特點(diǎn)。與雙絞線或同軸電纜不同的是光纖不輻射能量，能夠有效地阻止竊聽。3) 保證供電安全可靠計(jì)算機(jī)和網(wǎng)絡(luò)主干設(shè)備對交流電源的質(zhì)量要求十分嚴(yán)格，對交流電的電壓和頻率，對電源波形的正弦性，對三相電源的對稱性，對供電的連續(xù)性、可靠性穩(wěn)定性和抗干擾性等各項(xiàng)指標(biāo)，都要求保持在允許偏差范圍內(nèi)。機(jī)房的供配電系統(tǒng)設(shè)計(jì)既要滿足設(shè)備自身運(yùn)轉(zhuǎn)的要求，又要滿足網(wǎng)絡(luò)應(yīng)用的要求，必須做到保證網(wǎng)絡(luò)系統(tǒng)運(yùn)行的可靠性，保證設(shè)備的設(shè)計(jì)壽命保證信息安全保證機(jī)房人員的工作環(huán)境。第二節(jié) 網(wǎng)絡(luò)vlan劃分vlan技術(shù)能

37、有效隔離局域網(wǎng)，防止網(wǎng)內(nèi)的攻擊，所以利泰商貿(mào)有限公司網(wǎng)絡(luò)中按部門進(jìn)行了vlan劃分，劃分為以下兩個(gè)vlan：財(cái)務(wù)部門 vlan 10 交換機(jī)s1接入交換機(jī)（神州數(shù)碼dcs-3950）業(yè)務(wù)部門 vlan 20 交換機(jī)s2接入交換機(jī)（神州數(shù)碼dcs-3950）核心交換機(jī) vlan間路由 核心交換機(jī)s3（神州數(shù)碼dcrs-5526）s1配置如下:switch>switch>enaswitch#conswitch(config)#vlan 10switch(config-vlan10)#sw int e 0/0/1-20switch(config-vlan10)#exitswitch(co

38、nfig)#exitswitch#conswitch(config)#int e 0/0/24switch(config-ethernet0/0/24)#sw m tset the port ethernet0/0/24 mode trunk successfullyswitch(config-ethernet0/0/24)#sw t a v aset the port ethernet0/0/24 allowed vlan successfullyswitch(config-ethernet0/0/24)#exitswitch(config)#ip dhcp pool vlan10switc

39、h(dhcp-vlan10-config)#network-address switch(dhcp-vlan10-config)#lease 3switch(dhcp-vlan10-config)#default-router switch(dhcp-vlan10-config)#dns-server switch(dhcp-vlan10-config)#exitswitch(config)ip dhcp excluded-address s2配置如下:switch>sw

40、itch>enaswitch#conswitch(config)#vlan 20switch(config-vlan20)#sw int e 0/0/1-20switch(config-vlan20)#exitswitch(config)#exitswitch#conswitch(config)#int e 0/0/24switch(config-ethernet0/0/24)#sw m tset the port ethernet0/0/24 mode trunk successfullyswitch(config-ethernet0/0/24)#sw t a v aset the p

41、ort ethernet0/0/24 allowed vlan successfullyswitch(config-ethernet0/0/24)#exitswitch(config)#ip dhcp pool vlan20switch(dhcp-vlan20-config)#network-address switch(dhcp-vlan20-config)#lease 3switch(dhcp-vlan20-config)#default-router switch(dhcp-vlan20-config)#dns-s

42、erver switch(dhcp-vlan20-config)#exitswitch(config)ip dhcp excluded-address switch(config)ip dhcp excluded-address 50-40s0配置如下:switch>switch>enableswitch#configswitch(config)#hostname s0s0(config)#vlan 10s0(config-vlan10)#vlan 20s0(config-vlan20)#e

43、xits0(config)#int e 0/0/1-2s0(config-port-range)#sw m ts0(config-port-range)#sw t a v as0(config-port-range)#exits0(config)#int vlan 10s0(config-if-vlan10)#ip address s0(config-if-vlan10)#no shutdowns0(config-if-vlan10)#exits0(config)#int vlan 2000:04:23: %link-5-changed: i

44、nterface vlan20, changed state to up%lineproto-5-updown: line protocol on interface vlan20, changed state to ups0(config-if-vlan20)#ip address s0(config-if-vlan20)#no shutdowns0(config-if-vlan20)#exits0(config)#exits0(config-if-vlan1)#ip address s0(

45、config-if-vlan1)#no shutdowns0(config-if-vlan1)#exits0(config)#exits0#show ip routes0#cons0(config)#ip route 第三節(jié) 網(wǎng)絡(luò)防火墻配置利泰公司網(wǎng)絡(luò)中使用的是神州數(shù)碼的dcfw-1800s utm，里面包含了防火墻和vpn等功能。以下為配置過程：在防火墻nat策略下面，新增nat。如圖4-1:圖4-1 新增企業(yè)防火墻策略示意圖源域：untrust；源地址對象：any；目的域：trust；目的地址對象：any；在全局安全策略設(shè)

46、置里面如圖4-2和圖4-3所示:圖4-2企業(yè)防火墻策略配置示意圖 圖 3-3 企業(yè)防火墻策略配置示意圖 圖4-4企業(yè)防火墻策略配置示意圖可以設(shè)置全局下面訪問策略，以及域內(nèi)和域間的訪問策略。這里我們設(shè)置，內(nèi)部網(wǎng)絡(luò)為信任區(qū)域（trust），inteneter為不信任區(qū)域（untrust），服務(wù)器區(qū)域?yàn)閐mz區(qū)域。動(dòng)作包括permit允許，拒絕deny，以及其他的特定的服務(wù)。這里允許內(nèi)部訪問外部和dmz區(qū)域，而dmz和inteneter不允許訪問內(nèi)部。但是處于中間位置的dmz可以允許inteneter的訪問。所以要添加好幾條nat策略。在網(wǎng)絡(luò)接口處如圖4-5所示:圖4-5 網(wǎng)絡(luò)接口處配置示意圖要配置

47、3個(gè)以太網(wǎng)接口為up，安全區(qū)域分別為eth1：l2-trust，eth0：l2-untrust，eth2：l2-dmz。其中接外網(wǎng)的eth0工作模式為路由模式，其余接dmz和內(nèi)部的都為nat模式。如圖4-6所示:圖4-6 以太網(wǎng)接口配置示意圖同時(shí)為他們配好相應(yīng)的網(wǎng)絡(luò)地址，eth0為2，eth1：，eth2 。第四節(jié) 網(wǎng)絡(luò)vpn配置利泰公司網(wǎng)絡(luò)的vpn功能主要也是通過上面的防火墻實(shí)現(xiàn)的。如圖4-7,圖4-8所示:圖4-7 pptp協(xié)議示意圖圖4-8 pptp示意圖這里我們使用pptp協(xié)議來實(shí)現(xiàn)vpn，首先是新增pptp地址池，范圍為192.1

48、68.20.150-40如圖4-9所示:圖4-9 pptp協(xié)議實(shí)現(xiàn)vpn示意圖在pptp設(shè)置里面，選擇chap加密認(rèn)證，加密方式mppe-128。dns分別為，mtu為500。第五節(jié) 網(wǎng)絡(luò)防病毒措施針對利泰公司網(wǎng)絡(luò)的現(xiàn)狀，在綜合考慮了公司對防病毒系統(tǒng)的性能要求、成本和安全性以后，我選用江民殺毒軟件kv網(wǎng)絡(luò)版來在內(nèi)網(wǎng)中進(jìn)行防病毒系統(tǒng)的建立。產(chǎn)品特點(diǎn):kv網(wǎng)絡(luò)版是為各種簡單或復(fù)雜網(wǎng)絡(luò)環(huán)境設(shè)計(jì)的計(jì)算機(jī)病毒網(wǎng)絡(luò)防護(hù)系統(tǒng)，即適用于包含若干臺主機(jī)的單一網(wǎng)段網(wǎng)絡(luò)，也適用于包含各種web服務(wù)器、郵件服務(wù)器、應(yīng)用服務(wù)器，以及分布在不同城市，包含數(shù)十萬臺主機(jī)的超大型網(wǎng)絡(luò)

49、。kv網(wǎng)絡(luò)版具有以下顯著特點(diǎn)：(1)先進(jìn)的體系結(jié)構(gòu)(2)超強(qiáng)的殺毒能力(3)完備的遠(yuǎn)程控制(4)方便的分級、分組管理利泰公司網(wǎng)絡(luò)kv網(wǎng)絡(luò)版的主控制中心部署在dmz服務(wù)器區(qū)，子控制中心部署在3層交換機(jī)的一臺服務(wù)器上。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖4-10所示:圖4-10 主控制中心部署圖子控制中心與主控制中心關(guān)系:控制中心負(fù)責(zé)整個(gè)kv網(wǎng)絡(luò)版的管理與控制，是整個(gè)kv網(wǎng)絡(luò)版的核心，在部署kv網(wǎng)絡(luò)時(shí)，必須首先安裝。除了對網(wǎng)絡(luò)中的計(jì)算機(jī)進(jìn)行日常的管理與控制外，它還實(shí)時(shí)地記錄著kv網(wǎng)絡(luò)版防護(hù)體系內(nèi)每臺計(jì)算機(jī)上的病毒監(jiān)控、查殺病毒和升級等信息。在1個(gè)網(wǎng)段內(nèi)僅允許安裝1臺控制中心。 根據(jù)控制中心所處的網(wǎng)段的不同，可以將控制

50、中心劃分為主控制中心和子控制中心，子控制中心除了要 完成控制中心的功能外，還要負(fù)責(zé)與它的上級主控制中心進(jìn)行通信。這里的“主”和“子”是一個(gè) 相對的概念：每個(gè)控制中心對于它的下級的網(wǎng)段來說都是主控制中心，對于它的上級的網(wǎng)段來說又是子控制中心，這種控制結(jié)構(gòu)可以根據(jù)網(wǎng)絡(luò)的需要無限的延伸下去。為利泰公司網(wǎng)絡(luò)安裝好kv網(wǎng)絡(luò)版殺毒軟件后，為期配置軟件的安全策略。對利泰公司客戶端計(jì)算機(jī)的kv軟件實(shí)現(xiàn)更為完善的遠(yuǎn)程控制功能，利用kv軟件控制中心的“策略設(shè)置”功能組來實(shí)現(xiàn)。在此功能中可以針對單一客戶端、邏輯組、全網(wǎng)進(jìn)行具有針對性的安全策略設(shè)置。在“策略設(shè)置”下拉菜單中，我們可以找到“掃描設(shè)置”、“反垃圾郵件”、

51、“網(wǎng)址過濾”等與平時(shí)安全應(yīng)用密切相關(guān)的各項(xiàng)應(yīng)用配置選項(xiàng)，如圖4-11所示。圖4-11 “策略設(shè)置”命令菜單為利泰公司網(wǎng)絡(luò)kv網(wǎng)絡(luò)版殺毒軟件配置“掃描設(shè)置”，掃描設(shè)置可對當(dāng)前選擇的任意組或者任意節(jié)點(diǎn)的客戶端進(jìn)行更加細(xì)化的掃描設(shè)置。利泰公司可以自己設(shè)定適合于自己網(wǎng)絡(luò)環(huán)境的掃描方案，針對不同的策略對不同的客戶端進(jìn)行分發(fā)不同的掃描命令。可以下發(fā)以下命令到節(jié)點(diǎn)計(jì)算機(jī)：掃描目標(biāo)，定時(shí)掃描，分類掃描，不掃描文件夾，掃描報(bào)告，簡單而實(shí)用的設(shè)置頁大大的增加了網(wǎng)絡(luò)管理的易用性。其中掃描目標(biāo)的設(shè)置界面如圖4-12所示。圖4-12 掃描目標(biāo)配置第五章 局域網(wǎng)故障的診斷與排除第一節(jié) 局域網(wǎng)故障的診斷局域網(wǎng)組建之后，及時(shí)

52、診斷與排除故障是局域網(wǎng)運(yùn)行管理的重要技術(shù)。診斷與排除故障需要注意以下方現(xiàn)的問題：清楚網(wǎng)絡(luò)的結(jié)構(gòu)設(shè)計(jì)，包括網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，設(shè)備連接，系統(tǒng)參數(shù)設(shè)置及軟件的使用。當(dāng)局域網(wǎng)出現(xiàn)問題之后，我們應(yīng)該從故障現(xiàn)象出發(fā)，以診斷工具為手?jǐn)喃@取診斷信息，確定故障點(diǎn)，查找問題的根源，排除故障，恢復(fù)，網(wǎng)絡(luò)正常運(yùn)行。在局域網(wǎng)中，單一的故障表現(xiàn)可能是用戶不能登錄網(wǎng)絡(luò)服務(wù)器，訪問數(shù)據(jù)庫，或者不能使用指定的打印機(jī)打印。引起的故障的原因有很多，包括網(wǎng)卡故障，網(wǎng)線故障，集線器故障，交換機(jī)故障，不正確的客戶端軟件配置，或者用戶錯(cuò)誤。另一方面，也可能會遇到電源故障，internet接入故障，傳輸線路故障，或者其他問題。所以我們要清楚問題出在哪里，然后才想怎么解決這個(gè)問題。第二節(jié) 局域網(wǎng)故障的排除局域網(wǎng)網(wǎng)絡(luò)也不是絕對穩(wěn)定的，也會經(jīng)常出現(xiàn)問題，所以我們要從問題根源出發(fā)找到解決方法，保證局域網(wǎng)正