企業(yè)網(wǎng)絡安全解決方案畢業(yè)論

1、悅城婁底職業(yè)技術學院畢 業(yè) 論 文悅城宏錦網(wǎng)絡有限公司企業(yè)網(wǎng)絡安全解決方案姓 名： xxx 學 號： xxxxxx 指導老師： xxxxxxx 系 名： 電子信息工程系 專 業(yè)： 計算機網(wǎng)絡技術 班 級： xxxxxx 二零一零年十一月十七日摘 要近幾年來，Internet技術日趨成熟，已經(jīng)開始了從以提供和保證網(wǎng)絡聯(lián)通性為主要目標的第一代Internet技術向以提供網(wǎng)絡數(shù)據(jù)信息服務為特征的第二代Internet技術的過渡。這些都促使了計算機網(wǎng)絡互聯(lián)技術迅速的大規(guī)模使用。眾所周知，作為全球使用范圍最大的信息網(wǎng)，Internet自身協(xié)議的開放性極大地方便了各種計算機連網(wǎng)，拓寬了共享資源。但是，由于

2、在早期網(wǎng)絡協(xié)議設計上對安全問題的忽視，以及在管理和使用上的無政府狀態(tài)，逐漸使Internet自身安全受到嚴重威脅，與它有關的安全事故屢有發(fā)生。網(wǎng)絡安全的威脅主要表現(xiàn)在：非授權(quán)訪問，冒充合法用戶，破壞數(shù)據(jù)完整性，干擾系統(tǒng)正常運行，利用網(wǎng)絡傳播病毒，線路竊聽等方面。因此本論文為企業(yè)（宏錦企業(yè)網(wǎng)絡）構(gòu)架網(wǎng)絡安全體系，主要運用vlan劃分、防火墻技術、vpn、病毒防護等技術，來實現(xiàn)企業(yè)的網(wǎng)絡安全。關鍵詞： 網(wǎng)絡，安全，VPN，防火墻 ，防病毒AbstractIn recent years, Internet technology has matured, has begun to provide an

3、d guarantee from the network connectivity as the main target of the first generation of Internet technology to provide network data services for the characteristics of the second generation of Internet technology transition. These all contributed to the rapid computer networking technology of large-

4、scale use. As we all know, the worlds largest information network use of, Internet openness of their agreement greatly facilitate a variety of computer networking to broaden the sharing of resources. However, in the early design of network protocols on security issues of neglect, as well as in manag

5、ement and use of the anarchy, the Internet increasingly serious threat to their security, and its related security incidents happened quite frequently. Network security threats mainly in: unauthorized access, posing as legitimate users, damage to data integrity, interfere with the normal operation o

6、f the system, using the Internet spread the virus, line tapping and so on.Therefore, this paper for the enterprise (Hong Jin corporate network) architecture network security system, mainly by the use of vlan, firewall, vpn, virus protection and other technologies to achieve corporate network securit

7、y.Keywords: network, security, VPN, firewall, anti-virus 目 錄 TOC o 1-3 h z u HYPERLINK l _Toc280736282 緒 論 PAGEREF _Toc280736282 h 1 HYPERLINK l _Toc280736283 第一章 企業(yè)網(wǎng)絡安全概述 PAGEREF _Toc280736283 h 2 HYPERLINK l _Toc280736284 1.1 企業(yè)網(wǎng)絡的主要安全隱患 PAGEREF _Toc280736284 h 2 HYPERLINK l _Toc280736285 1.2 企業(yè)網(wǎng)絡

8、的安全誤區(qū) PAGEREF _Toc280736285 h 2 HYPERLINK l _Toc280736286 第二章 企業(yè)網(wǎng)絡安全現(xiàn)狀分析 PAGEREF _Toc280736286 h 4 HYPERLINK l _Toc280736287 2.1 公司背景 PAGEREF _Toc280736287 h 4 HYPERLINK l _Toc280736288 2.2 企業(yè)網(wǎng)絡安全需求 PAGEREF _Toc280736288 h 4 HYPERLINK l _Toc280736289 2.3 需求分析 PAGEREF _Toc280736289 h 4 HYPERLINK l _T

9、oc280736290 2.4 企業(yè)網(wǎng)絡結(jié)構(gòu) PAGEREF _Toc280736290 h 5 HYPERLINK l _Toc280736291 第三章 企業(yè)網(wǎng)絡安全解決實施 PAGEREF _Toc280736291 h 6 HYPERLINK l _Toc280736292 3.1 宏錦網(wǎng)絡企業(yè)物理安全 PAGEREF _Toc280736292 h 6 HYPERLINK l _Toc280736293 3.2宏錦企業(yè)網(wǎng)絡VLAN劃分 PAGEREF _Toc280736293 h 7 HYPERLINK l _Toc280736294 3.4 宏錦企業(yè)網(wǎng)絡防火墻配置 PAGEREF

10、 _Toc280736294 h 9 HYPERLINK l _Toc280736295 3.4 宏錦企業(yè)網(wǎng)絡VPN配置 PAGEREF _Toc280736295 h 12 HYPERLINK l _Toc280736296 3.5 宏錦企業(yè)網(wǎng)絡防病毒措施 PAGEREF _Toc280736296 h 13 HYPERLINK l _Toc280736297 第四章 宏錦企業(yè)的網(wǎng)絡管理 PAGEREF _Toc280736297 h 16 HYPERLINK l _Toc280736298 4.1宏錦企業(yè)網(wǎng)絡管理的問題 PAGEREF _Toc280736298 h 16 HYPERLIN

11、K l _Toc280736299 4.2 宏錦企業(yè)網(wǎng)絡管理實施 PAGEREF _Toc280736299 h 16 HYPERLINK l _Toc280736300 總 結(jié) PAGEREF _Toc280736300 h 18 HYPERLINK l _Toc280736301 致 謝 PAGEREF _Toc280736301 h 19 HYPERLINK l _Toc280736302 參考文獻 PAGEREF _Toc280736302 h 20緒 論隨著信息化技術的飛速發(fā)展，許多有遠見的企業(yè)都認識到依托先進的IT技術構(gòu)建企業(yè)自身的業(yè)務和運營平臺將極大地提升企業(yè)的核心競爭力，使企業(yè)

12、在殘酷的競爭環(huán)境中脫穎而出。經(jīng)營管理對計算機應用系統(tǒng)的依賴性增強，計算機應用系統(tǒng)對網(wǎng)絡的依賴性增強。計算機網(wǎng)絡規(guī)模不斷擴大，網(wǎng)絡結(jié)構(gòu)日益復雜。計算機網(wǎng)絡和計算機應用系統(tǒng)的正常運行對網(wǎng)絡安全提出了更高的要求。信息安全防范應做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對網(wǎng)絡、系統(tǒng)、應用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個動態(tài)的過程，事前、事中和事后的技術手段應當完備，安全管理應貫穿安全防范活動的始終。網(wǎng)絡安全問題伴隨著網(wǎng)絡的產(chǎn)生而產(chǎn)生，可以說，有網(wǎng)絡的地方就存在網(wǎng)絡安全隱患。像病毒入侵和黑客攻擊之類的網(wǎng)絡安全事件，目前主要是通過網(wǎng)絡進行的，而且?guī)缀趺繒r每刻都在發(fā)生，遍及全球。除

13、此之外，像惡意軟件入侵、攻擊，用戶的非法訪問和操作，用戶郵件的非法截取和更改等都是普遍存在的安全事實。網(wǎng)絡安全事件所帶來的危害，相信我們每個計算機用戶都或多或少地親身體驗過一些：輕則使電腦系統(tǒng)運行不正常，重則使整個計算機系統(tǒng)中的磁盤數(shù)據(jù)全部覆滅，甚至導致磁盤、計算機等硬件的損壞。為了防范這些網(wǎng)絡安全事故的發(fā)生，每個計算機用戶，特別是企業(yè)網(wǎng)絡用戶，必須采取足夠的安全防范措施，甚至可以說要在利益均衡情況下不惜一切代價。但要注意，企業(yè)網(wǎng)絡安全策略的實施是一項系統(tǒng)工程，它涉及許多方面。因此既要充分考慮到那些平時經(jīng)常提及的外部網(wǎng)絡威脅，又要對來自內(nèi)部網(wǎng)絡和網(wǎng)絡管理本身所帶來的安全隱患有足夠的重視，不能孤

14、立地看待任何一個安全隱患和安全措施。因為這些安全隱患爆發(fā)的途徑可以是多方面的，而許多安全措施都是相輔相成的。第一章 企業(yè)網(wǎng)絡安全概述1.1 企業(yè)網(wǎng)絡的主要安全隱患現(xiàn)在網(wǎng)絡安全系統(tǒng)所要防范的不再僅是病毒感染，更多的是基于網(wǎng)絡的非法入侵、攻擊和訪問，同時企業(yè)網(wǎng)絡安全隱患的來源有內(nèi)、外網(wǎng)之分，很多情況下內(nèi)部網(wǎng)絡安全威脅要遠遠大于外部網(wǎng)絡，因為內(nèi)部中實施入侵和攻擊更加容易，企業(yè)網(wǎng)絡安全威脅的主要來源主要包括。病毒、木馬和惡意軟件的入侵。網(wǎng)絡黑客的攻擊。重要文件或郵件的非法竊取、訪問與操作。關鍵部門的非法訪問和敏感信息外泄。外網(wǎng)的非法入侵。備份數(shù)據(jù)和存儲媒體的損壞、丟失。針對這些安全隱患，所采取的安全策

15、略可以通過安裝專業(yè)的網(wǎng)絡版病毒防護系統(tǒng)，同時也要加強內(nèi)部網(wǎng)絡的安全管理，配置好防火墻過濾策略和系統(tǒng)本身的各項安全措施，及時安裝系統(tǒng)安全補丁，有條件的還可以在內(nèi)、外網(wǎng)之間安裝網(wǎng)絡掃描檢測、網(wǎng)絡嗅探器、IDS、IPS系統(tǒng)，甚至配置網(wǎng)絡安全隔離系統(tǒng)，對內(nèi)、外網(wǎng)絡進行安全隔離；加強內(nèi)部網(wǎng)絡的安全管理，嚴格實行“最小權(quán)限”原則，為各個用戶配置好恰當?shù)挠脩魴?quán)限；同時對一些敏感數(shù)據(jù)進行加密保護，對數(shù)據(jù)還可以進行數(shù)字簽名措施；根據(jù)企業(yè)實際需要配置好相應的數(shù)據(jù)策略，并按策略認真執(zhí)行。1.2 企業(yè)網(wǎng)絡的安全誤區(qū)安裝防火墻就安全了防火墻主要工作都是控制存取與過濾封包，所以對DoS攻擊、非法存取與篡改封包等攻擊模式的

16、防范極為有效，可以提供網(wǎng)絡周邊的安全防護。但如果攻擊行為不經(jīng)過防火墻，或是將應用層的攻擊程序隱藏在正常的封包內(nèi)，便力不從心了，許多防火墻只是工作在網(wǎng)絡層。防火墻的原理是“防外不防內(nèi)”，對內(nèi)部網(wǎng)絡的訪問不進行任何阻撓，而事實上，企業(yè)網(wǎng)絡安全事件絕大部分還是源于企業(yè)內(nèi)部。安裝了最新的殺毒軟件就不怕病毒了安裝殺毒軟件的目的是為了預防病毒的入侵和查殺系統(tǒng)中已感染的計算機病毒，但這并不能保證就沒有病毒入侵了，因為殺毒軟件查殺某一病毒的能力總是滯后于該病毒的出現(xiàn)。在每臺計算機上安裝單機版殺毒軟件和網(wǎng)絡版殺毒軟件等效網(wǎng)絡版殺毒軟件核心就是集中的網(wǎng)絡防毒系統(tǒng)管理。網(wǎng)絡版殺毒軟件可以在一臺服務器上通過安全中心控

17、制整個網(wǎng)絡的客戶端殺毒軟件同步病毒查殺、監(jiān)控整個網(wǎng)絡的病毒。同時對于整個網(wǎng)絡，管理非常方便，對于單機版是不可能做到的。只要不上網(wǎng)就不會中毒雖然不少病毒是通過網(wǎng)頁傳播的，但像QQ聊天接發(fā)郵件同樣是病毒傳播的主要途徑，而且盜版光盤以及U盤等也會存在著病毒。所以只要計算機開著，就要防范病毒。文件設置只讀就可以避免感染病毒設置只讀只是調(diào)用系統(tǒng)的幾個命令，而病毒或黑客程序也可以做到這一點，設置只讀并不能有效防毒，不過在局域網(wǎng)中為了共享安全，放置誤刪除，還是比較有用的。網(wǎng)絡安全主要來自外部基于內(nèi)部的網(wǎng)絡攻擊更加容易，不需要借助于其他的網(wǎng)絡連接方式，就可以直接在內(nèi)部網(wǎng)絡中實施攻擊。所以，加強內(nèi)部網(wǎng)絡安全管理

18、，特別是用戶帳戶管理，如帳戶密碼、臨時帳戶、過期帳戶和權(quán)限等方面的管理非常必要了。第二章 企業(yè)網(wǎng)絡安全現(xiàn)狀分析2.1 公司背景宏錦網(wǎng)絡有限公司是一家有100名員工的中小型網(wǎng)絡公司，主要以手機應用開發(fā)為主營項目的軟件企業(yè)。公司有一個局域網(wǎng)，約100臺計算機，服務器的操作系統(tǒng)是 Windows Server 2003,客戶機的操作系統(tǒng)是 Windows XP，在工作組的模式下一人一機辦公。公司對網(wǎng)絡的依賴性很強，主要業(yè)務都要涉及互聯(lián)網(wǎng)以及內(nèi)部網(wǎng)絡。隨著公司的發(fā)展現(xiàn)有的網(wǎng)絡安全已經(jīng)不能滿足公司的需要，因此構(gòu)建健全的網(wǎng)絡安全體系是當前的重中之重。2.2 企業(yè)網(wǎng)絡安全需求宏錦網(wǎng)絡有限公司根據(jù)業(yè)務發(fā)展需求

19、，建設一個小型的企業(yè)網(wǎng)，有Web、Mail等服務器和辦公區(qū)客戶機。企業(yè)分為財務部門和業(yè)務部門，需要他們之間相互隔離。同時由于考慮到Inteneter的安全性，以及網(wǎng)絡安全等一些因素，如DDoS、ARP等。因此本企業(yè)的網(wǎng)絡安全構(gòu)架要求如下：根據(jù)公司現(xiàn)有的網(wǎng)絡設備組網(wǎng)規(guī)劃保護網(wǎng)絡系統(tǒng)的可用性保護網(wǎng)絡系統(tǒng)服務的連續(xù)性防范網(wǎng)絡資源的非法訪問及非授權(quán)訪問防范入侵者的惡意攻擊與破壞保護企業(yè)信息通過網(wǎng)上傳輸過程中的機密性、完整性防范病毒的侵害實現(xiàn)網(wǎng)絡的安全管理。2.3 需求分析通過了解宏錦網(wǎng)絡公司的需求與現(xiàn)狀，為實現(xiàn)宏錦網(wǎng)絡公司的網(wǎng)絡安全建設實施網(wǎng)絡系統(tǒng)改造，提高企業(yè)網(wǎng)絡系統(tǒng)運行的穩(wěn)定性，保證企業(yè)各種設計信

20、息的安全性，避免圖紙、文檔的丟失和外泄。通過軟件或安全手段對客戶端的計算機加以保護，記錄用戶對客戶端計算機中關鍵目錄和文件的操作，使企業(yè)有手段對用戶在客戶端計算機的使用情況進行追蹤，防范外來計算機的侵入而造成破壞。通過網(wǎng)絡的改造，使管理者更加便于對網(wǎng)絡中的服務器、客戶端、登陸用戶的權(quán)限以及應用軟件的安裝進行全面的監(jiān)控和管理。因此需要構(gòu)建良好的環(huán)境確保企業(yè)物理設備的安全劃分VLAN控制內(nèi)網(wǎng)安全安裝防火墻體系建立VPN(虛擬專用網(wǎng)絡)確保數(shù)據(jù)安全安裝防病毒服務器加強企業(yè)對網(wǎng)絡資源的管理2.4 企業(yè)網(wǎng)絡結(jié)構(gòu)宏錦網(wǎng)絡公司網(wǎng)絡拓撲圖，如圖2-1所示:圖2-1 企業(yè)網(wǎng)絡結(jié)構(gòu)由于宏錦網(wǎng)絡公司是直接從電信接入

21、IP為58.192.65.62 255.255.255.0，直接經(jīng)由防火墻分為DMZ區(qū)域和普通區(qū)域。防火墻上做NAT轉(zhuǎn)換，分別給客戶機端的地址為.0 255.255.255.0。防火墻接客戶區(qū)端口地址為10.1.1.1 255.255.255.0。DMZ內(nèi)主要有各類的服務器，地址分配為10.1.2.0 255.255.255.0。防火墻DMZ區(qū)的接口地址為10.1.2.1 255.255.255.0。內(nèi)網(wǎng)主要由3層交換機作為核心交換機，下面有兩臺2層交換機做接入。第三章 企業(yè)網(wǎng)絡安全解決實施3.1 宏錦網(wǎng)絡企業(yè)物理安全宏錦企業(yè)網(wǎng)絡中保護網(wǎng)絡設備的物理安全是其整個計算機網(wǎng)絡系統(tǒng)安全的前提，物理安

22、全是指保護計算機網(wǎng)絡設備、設施以及其他媒體免遭地震、水災、火災等環(huán)境事故、人為操作失誤或各種計算機犯罪行為導致的破壞。針對宏錦網(wǎng)絡企業(yè)的物理安全主要考慮的問題是環(huán)境、場地和設備的安全及物理訪問控制和應急處置計劃等。物理安全在整個計算機網(wǎng)絡信息系統(tǒng)安全中占有重要地位。它主要包括以下幾個方面：保證機房環(huán)境安全信息系統(tǒng)中的計算機硬件、網(wǎng)絡設施以及運行環(huán)境是信息系統(tǒng)運行的最基本的環(huán)境。要從一下三個方面考慮：a.自然災害、物理損壞和設備故障 b.電磁輻射、乘機而入、痕跡泄漏等 c.操作失誤、意外疏漏等2) 選用合適的傳輸介質(zhì)屏蔽式雙絞線的抗干擾能力更強，且要求必須配有支持屏蔽功能的連接器件和要求介質(zhì)有良

23、好的接地（最好多處接地），對于干擾嚴重的區(qū)域應使用屏蔽式雙絞線，并將其放在金屬管內(nèi)以增強抗干擾能力。光纖是超長距離和高容量傳輸系統(tǒng)最有效的途徑，從傳輸特性等分析，無論何種光纖都有傳輸頻帶寬、速率高、傳輸損耗低、傳輸距離遠、抗雷電和電磁的干擾性好保密性好，不易被竊聽或被截獲數(shù)據(jù)、傳輸?shù)恼`碼率很低，可靠性高，體積小和重量輕等特點。與雙絞線或同軸電纜不同的是光纖不輻射能量，能夠有效地阻止竊聽。3) 保證供電安全可靠計算機和網(wǎng)絡主干設備對交流電源的質(zhì)量要求十分嚴格，對交流電的電壓和頻率，對電源波形的正弦性，對三相電源的對稱性，對供電的連續(xù)性、可靠性穩(wěn)定性和抗干擾性等各項指標，都要求保持在允許偏差范圍內(nèi)

24、。機房的供配電系統(tǒng)設計既要滿足設備自身運轉(zhuǎn)的要求，又要滿足網(wǎng)絡應用的要求，必須做到保證網(wǎng)絡系統(tǒng)運行的可靠性，保證設備的設計壽命保證信息安全保證機房人員的工作環(huán)境。3.2宏錦企業(yè)網(wǎng)絡VLAN劃分VLAN技術能有效隔離局域網(wǎng)，防止網(wǎng)內(nèi)的攻擊，所以宏錦網(wǎng)絡有限公司網(wǎng)絡中按部門進行了VLAN劃分，劃分為以下兩個VLAN：財務部門 VLAN 10 交換機S1接入交換機（神州數(shù)碼DCS-3950）業(yè)務部門 VLAN 20 交換機S2接入交換機（神州數(shù)碼DCS-3950）核心交換機 VLAN間路由 核心交換機S3（神州數(shù)碼DCRS-5526）S1配置如下:switchswitchenaswitch#cons

25、witch(Config)#vlan 10switch(Config-Vlan10)#sw int e 0/0/1-20switch(Config-Vlan10)#exitswitch(Config)#exitswitch#conswitch(Config)#int e 0/0/24switch(Config-Ethernet0/0/24)#sw m tSet the port Ethernet0/0/24 mode TRUNK successfullyswitch(Config-Ethernet0/0/24)#sw t a v aset the port Ethernet0/0/24 all

26、owed vlan successfullyswitch(Config-Ethernet0/0/24)#exitswitch(Config)#ip dhcp pool vlan10switch(dhcp-vlan10-config)#lease 3switch(dhcp-vlan10-config)#exitS2配置如下:SwitchSwitchenaSwitch#conswitch(Config)#vlan 20switch(Config-Vlan20)#sw int e 0/0/1-20switch(Config-Vlan20)#exitswitch(Config)#exitswitch#

27、conswitch(Config)#int e 0/0/24switch(Config-Ethernet0/0/24)#sw m tSet the port Ethernet0/0/24 mode TRUNK successfullyswitch(Config-Ethernet0/0/24)#sw t a v aset the port Ethernet0/0/24 allowed vlan successfullyswitch(Config-Ethernet0/0/24)#exitswitch(Config)#ip dhcp pool vlan20switch(dhcp-vlan20-con

28、fig)#lease 3switch(dhcp-vlan20-config)#exitS0配置如下:switchswitchenableswitch#configswitch(Config)#hostname S0S0(Config)#vlan 10S0(Config-Vlan10)#vlan 20S0(Config-Vlan20)#exitS0(Config)#int e 0/0/1-2S0(Config-Port-Range)#sw m tS0(Config-Port-Range)#sw t a v aS0(Config-Port-Range)#exitS0(Config)#int vla

29、n 10S0(Config-If-Vlan10)#no shutdownS0(Config-If-Vlan10)#exitS0(Config)#int vlan 2000:04:23: %LINK-5-CHANGED: Interface Vlan20, changed state to UP%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed state to UPS0(Config-If-Vlan20)#no shutdownS0(Config-If-Vlan20)#exitS0(Config)#exitS0(Con

30、fig-If-Vlan1)#no shutdownS0(Config-If-Vlan1)#exitS0(Config)#exitS0#show ip routeS0#conS0(Config)#ip route 58.192.65.0 255.255.255.0 .13.4 宏錦企業(yè)網(wǎng)絡防火墻配置宏錦企業(yè)網(wǎng)絡中使用的是神州數(shù)碼的DCFW-1800S UTM，里面包含了防火墻和VPN等功能。以下為配置過程：在防火墻NAT策略下面，新增NAT。如圖3-1:圖3-1 新增企業(yè)防火墻策略示意圖源域：untrust；源地址對象：any；目的域：trust；目的地址對象：any；在全局安全策略設置里面如圖

31、3-2和圖3-3所示:圖3-2企業(yè)防火墻策略配置示意圖 圖 3-3 企業(yè)防火墻策略配置示意圖 圖3-4企業(yè)防火墻策略配置示意圖可以設置全局下面訪問策略，以及域內(nèi)和域間的訪問策略。這里我們設置，內(nèi)部網(wǎng)絡為信任區(qū)域（trust），Inteneter為不信任區(qū)域（untrust），服務器區(qū)域為DMZ區(qū)域。動作包括permit允許，拒絕deny，以及其他的特定的服務。這里允許內(nèi)部訪問外部和DMZ區(qū)域，而DMZ和Inteneter不允許訪問內(nèi)部。但是處于中間位置的DMZ可以允許Inteneter的訪問。所以要添加好幾條NAT策略。在網(wǎng)絡接口處如圖3-5所示:圖3-5 網(wǎng)絡接口處配置示意圖要配置3個以太網(wǎng)

32、接口為up，安全區(qū)域分別為eth1：l2-trust，eth0：l2-untrust，eth2：l2-DMZ。其中接外網(wǎng)的eth0工作模式為路由模式，其余接DMZ和內(nèi)部的都為NAT模式。如圖3-6所示:圖3-6 以太網(wǎng)接口配置示意圖同時為他們配好相應的網(wǎng)絡地址，eth0為58.192.65.62，eth1：.1，eth2 10.1.2.1。3.4 宏錦企業(yè)網(wǎng)絡VPN配置宏錦企業(yè)網(wǎng)絡的VPN功能主要也是通過上面的防火墻實現(xiàn)的。如圖3-7,圖3-8所示:圖3-7 PPTP協(xié)議示意圖圖3-8 PPTP示意圖 如圖3-9所示:圖3-9 PPTP協(xié)議實現(xiàn)VPN示意圖在PPTP設置里面，選擇Chap加密認

33、證，加密方式mppe-128。DNS分別為61.177.7.1，MTU為500。3.5 宏錦企業(yè)網(wǎng)絡防病毒措施針對宏錦企業(yè)網(wǎng)絡的現(xiàn)狀，在綜合考慮了公司對防病毒系統(tǒng)的性能要求、成本和安全性以后，我選用江民殺毒軟件KV網(wǎng)絡版來在內(nèi)網(wǎng)中進行防病毒系統(tǒng)的建立。產(chǎn)品特點:KV網(wǎng)絡版是為各種簡單或復雜網(wǎng)絡環(huán)境設計的計算機病毒網(wǎng)絡防護系統(tǒng)，即適用于包含若干臺主機的單一網(wǎng)段網(wǎng)絡，也適用于包含各種WEB服務器、郵件服務器、應用服務器，以及分布在不同城市，包含數(shù)十萬臺主機的超大型網(wǎng)絡。KV網(wǎng)絡版具有以下顯著特點：(1)先進的體系結(jié)構(gòu)(2)超強的殺毒能力(3)完備的遠程控制(4)方便的分級、分組管理宏錦企業(yè)網(wǎng)絡KV

34、網(wǎng)絡版的主控制中心部署在DMZ服務器區(qū)，子控制中心部署在3層交換機的一臺服務器上。網(wǎng)絡拓撲結(jié)構(gòu)如圖3-10所示:圖3-10 主控制中心部署圖子控制中心與主控制中心關系:控制中心負責整個KV網(wǎng)絡版的管理與控制，是整個KV網(wǎng)絡版的核心，在部署KV網(wǎng)絡時，必須首先安裝。除了對網(wǎng)絡中的計算機進行日常的管理與控制外，它還實時地記錄著KV網(wǎng)絡版防護體系內(nèi)每臺計算機上的病毒監(jiān)控、查殺病毒和升級等信息。在1個網(wǎng)段內(nèi)僅允許安裝1臺控制中心。 根據(jù)控制中心所處的網(wǎng)段的不同，可以將控制中心劃分為主控制中心和子控制中心，子控制中心除了要 完成控制中心的功能外，還要負責與它的上級主控制中心進行通信。這里的“主”和“子”

35、是一個 相對的概念：每個控制中心對于它的下級的網(wǎng)段來說都是主控制中心，對于它的上級的網(wǎng)段來說又是子控制中心，這種控制結(jié)構(gòu)可以根據(jù)網(wǎng)絡的需要無限的延伸下去。為宏錦企業(yè)網(wǎng)絡安裝好KV網(wǎng)絡版殺毒軟件后，為期配置軟件的安全策略。對宏錦企業(yè)客戶端計算機的KV軟件實現(xiàn)更為完善的遠程控制功能，利用KV軟件控制中心的“策略設置”功能組來實現(xiàn)。在此功能中可以針對單一客戶端、邏輯組、全網(wǎng)進行具有針對性的安全策略設置。在“策略設置”下拉菜單中，我們可以找到“掃描設置”、“反垃圾郵件”、“網(wǎng)址過濾”等與平時安全應用密切相關的各項應用配置選項，如圖3-11所示。圖3-11 “策略設置”命令菜單為宏錦企業(yè)網(wǎng)絡KV網(wǎng)絡版殺

36、毒軟件配置“掃描設置”，掃描設置可對當前選擇的任意組或者任意節(jié)點的客戶端進行更加細化的掃描設置。宏錦企業(yè)可以自己設定適合于自己網(wǎng)絡環(huán)境的掃描方案，針對不同的策略對不同的客戶端進行分發(fā)不同的掃描命令?？梢韵掳l(fā)以下命令到節(jié)點計算機：掃描目標，定時掃描，分類掃描，不掃描文件夾，掃描報告，簡單而實用的設置頁大大的增加了網(wǎng)絡管理的易用性。其中掃描目標的設置界面如圖3-12所示。圖3-12 掃描目標配置第四章 宏錦企業(yè)的網(wǎng)絡管理4.1宏錦企業(yè)網(wǎng)絡管理的問題計算機軟、硬件數(shù)量無法確實掌握，盤點困難；單位的計算機數(shù)量越來越多，無法集中管理；無法有效防止員工私裝軟件，造成非法版權(quán)使用威脅；硬件設備私下挪用、竊取，造成財產(chǎn)損失；使用者計算機IP隨易變更，造成故障頻傳；軟件單機安裝浪費人力，應用軟件版本不易控制；重要資料遭非法拷貝，資料外泄，無法監(jiān)督；設備故障或資源不足，無法事先得到預警；應用軟件購買后，員工真正使用狀況如何，無從分析；居高不下的信息化資源成本，不知如何改善。4.2 宏錦企業(yè)網(wǎng)絡管