期末考試論文

電子信息學(xué)院（2014-2015學(xué)年第二學(xué)期）論文題目：企業(yè)網(wǎng)絡(luò)安全解決方案指導(dǎo)老師：唐中劍專業(yè)：計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)班級組別：第一組姓名：賴金龍黃春楊樊俊巧二〇一五年六月三十日摘要近幾年來，Internet技術(shù)日趨成熟，已經(jīng)開始了從以提供和保證網(wǎng)絡(luò)聯(lián)通性為主要目標(biāo)的第一代Internet技術(shù)向以提供網(wǎng)絡(luò)數(shù)據(jù)信息服務(wù)為特征的第二代Internet技術(shù)的過渡。這些都促使了計(jì)算機(jī)網(wǎng)絡(luò)互聯(lián)技術(shù)迅速的大規(guī)模使用。眾所周知，作為全球使用范圍最大的信息網(wǎng)，Internet自身協(xié)議的開放性極大地方便了各種計(jì)算機(jī)連網(wǎng)，拓寬了共享資源。但是，由于在早期網(wǎng)絡(luò)協(xié)議設(shè)計(jì)上對安全問題的忽視，以及在管理和使用上的無政府狀態(tài)，逐漸使Internet自身安全受到嚴(yán)重威脅，與它有關(guān)的安全事故屢有發(fā)生。網(wǎng)絡(luò)安全的威脅主要表現(xiàn)在：非授權(quán)訪問，冒充合法用戶，破壞數(shù)據(jù)完整性，干擾系統(tǒng)正常運(yùn)行，利用網(wǎng)絡(luò)傳播病毒，線路竊聽等方面。因此本論文為企業(yè)（宏錦企業(yè)網(wǎng)絡(luò)）構(gòu)架網(wǎng)絡(luò)安全體系，主要運(yùn)用vlan劃分、防火墻技術(shù)、vpn、病毒防護(hù)等技術(shù)，來實(shí)現(xiàn)企業(yè)的網(wǎng)絡(luò)安全。關(guān)鍵詞：網(wǎng)絡(luò)，安全，VPN，防火墻，防病毒緒論隨著信息化技術(shù)的飛速發(fā)展，許多有遠(yuǎn)見的企業(yè)都認(rèn)識到依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營平臺將極大地提升企業(yè)的核心競爭力，使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。經(jīng)營管理對計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng)，計(jì)算機(jī)應(yīng)用系統(tǒng)對網(wǎng)絡(luò)的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對網(wǎng)絡(luò)安全提出了更高的要求。信息安全防范應(yīng)做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個(gè)動(dòng)態(tài)的過程，事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備，安全管理應(yīng)貫穿安全防范活動(dòng)的始終。網(wǎng)絡(luò)安全問題伴隨著網(wǎng)絡(luò)的產(chǎn)生而產(chǎn)生，可以說，有網(wǎng)絡(luò)的地方就存在網(wǎng)絡(luò)安全隱患。像病毒入侵和黑客攻擊之類的網(wǎng)絡(luò)安全事件，目前主要是通過網(wǎng)絡(luò)進(jìn)行的，而且?guī)缀趺繒r(shí)每刻都在發(fā)生，遍及全球。除此之外，像惡意軟件入侵、攻擊，用戶的非法訪問和操作，用戶郵件的非法截取和更改等都是普遍存在的安全事實(shí)。網(wǎng)絡(luò)安全事件所帶來的危害，相信我們每個(gè)計(jì)算機(jī)用戶都或多或少地親身體驗(yàn)過一些：輕則使電腦系統(tǒng)運(yùn)行不正常，重則使整個(gè)計(jì)算機(jī)系統(tǒng)中的磁盤數(shù)據(jù)全部覆滅，甚至導(dǎo)致磁盤、計(jì)算機(jī)等硬件的損壞。為了防范這些網(wǎng)絡(luò)安全事故的發(fā)生，每個(gè)計(jì)算機(jī)用戶，特別是企業(yè)網(wǎng)絡(luò)用戶，必須采取足夠的安全防范措施，甚至可以說要在利益均衡情況下不惜一切代價(jià)。但要注意，企業(yè)網(wǎng)絡(luò)安全策略的實(shí)施是一項(xiàng)系統(tǒng)工程，它涉及許多方面。因此既要充分考慮到那些平時(shí)經(jīng)常提及的外部網(wǎng)絡(luò)威脅，又要對來自內(nèi)部網(wǎng)絡(luò)和網(wǎng)絡(luò)管理本身所帶來的安全隱患有足夠的重視，不能孤立地看待任何一個(gè)安全隱患和安全措施。因?yàn)檫@些安全隱患爆發(fā)的途徑可以是多方面的，而許多安全措施都是相輔相成的。第一章企業(yè)網(wǎng)絡(luò)安全概述1.1企業(yè)網(wǎng)絡(luò)的主要安全隱患現(xiàn)在網(wǎng)絡(luò)安全系統(tǒng)所要防范的不再僅是病毒感染，更多的是基于網(wǎng)絡(luò)的非法入侵、攻擊和訪問，同時(shí)企業(yè)網(wǎng)絡(luò)安全隱患的來源有內(nèi)、外網(wǎng)之分，很多情況下內(nèi)部網(wǎng)絡(luò)安全威脅要遠(yuǎn)遠(yuǎn)大于外部網(wǎng)絡(luò)，因?yàn)閮?nèi)部中實(shí)施入侵和攻擊更加容易，企業(yè)網(wǎng)絡(luò)安全威脅的主要來源主要包括。1)病毒、木馬和惡意軟件的入侵。2)網(wǎng)絡(luò)黑客的攻擊。3)重要文件或郵件的非法竊取、訪問與操作。4)關(guān)鍵部門的非法訪問和敏感信息外泄。5)外網(wǎng)的非法入侵。6)備份數(shù)據(jù)和存儲媒體的損壞、丟失。針對這些安全隱患，所采取的安全策略可以通過安裝專業(yè)的網(wǎng)絡(luò)版病毒防護(hù)系統(tǒng)，同時(shí)也要加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全管理，配置好防火墻過濾策略和系統(tǒng)本身的各項(xiàng)安全措施，及時(shí)安裝系統(tǒng)安全補(bǔ)丁，有條件的還可以在內(nèi)、外網(wǎng)之間安裝網(wǎng)絡(luò)掃描檢測、網(wǎng)絡(luò)嗅探器、IDS、IPS系統(tǒng)，甚至配置網(wǎng)絡(luò)安全隔離系統(tǒng)，對內(nèi)、外網(wǎng)絡(luò)進(jìn)行安全隔離；加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全管理，嚴(yán)格實(shí)行“最小權(quán)限”原則，為各個(gè)用戶配置好恰當(dāng)?shù)挠脩魴?quán)限；同時(shí)對一些敏感數(shù)據(jù)進(jìn)行加密保護(hù)，對數(shù)據(jù)還可以進(jìn)行數(shù)字簽名措施；根據(jù)企業(yè)實(shí)際需要配置好相應(yīng)的數(shù)據(jù)策略，并按策略認(rèn)真執(zhí)行。1.2企業(yè)網(wǎng)絡(luò)的安全誤區(qū)(一)安裝防火墻就安全了防火墻主要工作都是控制存取與過濾封包，所以對DoS攻擊、非法存取與篡改封包等攻擊模式的防范極為有效，可以提供網(wǎng)絡(luò)周邊的安全防護(hù)。但如果攻擊行為不經(jīng)過防火墻，或是將應(yīng)用層的攻擊程序隱藏在正常的封包內(nèi)，便力不從心了，許多防火墻只是工作在網(wǎng)絡(luò)層。防火墻的原理是“防外不防內(nèi)”，對內(nèi)部網(wǎng)絡(luò)的訪問不進(jìn)行任何阻撓，而事實(shí)上，企業(yè)網(wǎng)絡(luò)安全事件絕大部分還是源于企業(yè)內(nèi)部。(二）安裝了最新的殺毒軟件就不怕病毒了安裝殺毒軟件的目的是為了預(yù)防病毒的入侵和查殺系統(tǒng)中已感染的計(jì)算機(jī)病毒，但這并不能保證就沒有病毒入侵了，因?yàn)闅⒍拒浖闅⒛骋徊《镜哪芰偸菧笥谠摬《镜某霈F(xiàn)。(三)在每臺計(jì)算機(jī)上安裝單機(jī)版殺毒軟件和網(wǎng)絡(luò)版殺毒軟件等效網(wǎng)絡(luò)版殺毒軟件核心就是集中的網(wǎng)絡(luò)防毒系統(tǒng)管理。網(wǎng)絡(luò)版殺毒軟件可以在一臺服務(wù)器上通過安全中心控制整個(gè)網(wǎng)絡(luò)的客戶端殺毒軟件同步病毒查殺、監(jiān)控整個(gè)網(wǎng)絡(luò)的病毒。同時(shí)對于整個(gè)網(wǎng)絡(luò)，管理非常方便，對于單機(jī)版是不可能做到的。(四)只要不上網(wǎng)就不會中毒雖然不少病毒是通過網(wǎng)頁傳播的，但像QQ聊天接發(fā)郵件同樣是病毒傳播的主要途徑，而且盜版光盤以及U盤等也會存在著病毒。所以只要計(jì)算機(jī)開著，就要防范病毒。(五)文件設(shè)置只讀就可以避免感染病毒設(shè)置只讀只是調(diào)用系統(tǒng)的幾個(gè)命令，而病毒或黑客程序也可以做到這一點(diǎn)，設(shè)置只讀并不能有效防毒，不過在局域網(wǎng)中為了共享安全，放置誤刪除，還是比較有用的。(六)網(wǎng)絡(luò)安全主要來自外部基于內(nèi)部的網(wǎng)絡(luò)攻擊更加容易，不需要借助于其他的網(wǎng)絡(luò)連接方式，就可以直接在內(nèi)部網(wǎng)絡(luò)中實(shí)施攻擊。所以，加強(qiáng)內(nèi)部網(wǎng)絡(luò)安全管理，特別是用戶帳戶管理，如帳戶密碼、臨時(shí)帳戶、過期帳戶和權(quán)限等方面的管理非常必要了。第二章企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀分析2.1公司背景大多網(wǎng)絡(luò)有限公司是一家有100多名員工的中小型網(wǎng)絡(luò)公司，其中主要以手機(jī)應(yīng)用開發(fā)為主營項(xiàng)目的軟件企業(yè)。公司有一個(gè)局域網(wǎng)，約100臺計(jì)算機(jī)，服務(wù)器的操作系統(tǒng)是WindowsServer2003,客戶機(jī)的操作系統(tǒng)是WindowsXP，在工作組的模式下一人一機(jī)辦公。公司對網(wǎng)絡(luò)的依賴性很強(qiáng)，主要業(yè)務(wù)都要涉及互聯(lián)網(wǎng)以及內(nèi)部網(wǎng)絡(luò)。隨著公司的發(fā)展現(xiàn)有的網(wǎng)絡(luò)安全已經(jīng)不能滿足公司的需要，因此構(gòu)建健全的網(wǎng)絡(luò)安全體系是當(dāng)前的重中之重。2.2企業(yè)網(wǎng)絡(luò)安全需求網(wǎng)絡(luò)有限公司根據(jù)業(yè)務(wù)發(fā)展需求，建設(shè)一個(gè)小型的企業(yè)網(wǎng)，有Web、Mail等服務(wù)器和辦公區(qū)客戶機(jī)。企業(yè)分為財(cái)務(wù)部門和業(yè)務(wù)部門，需要他們之間相互隔離。同時(shí)由于考慮到Inteneter的安全性，以及網(wǎng)絡(luò)安全等一些因素，如DDoS、ARP等。因此本企業(yè)的網(wǎng)絡(luò)安全構(gòu)架要求如下：（1）根據(jù)公司現(xiàn)有的網(wǎng)絡(luò)設(shè)備組網(wǎng)規(guī)劃（2）保護(hù)網(wǎng)絡(luò)系統(tǒng)的可用性（3）保護(hù)網(wǎng)絡(luò)系統(tǒng)服務(wù)的連續(xù)性（4）防范網(wǎng)絡(luò)資源的非法訪問及非授權(quán)訪問（5）防范入侵者的惡意攻擊與破壞（6）保護(hù)企業(yè)信息通過網(wǎng)上傳輸過程中的機(jī)密性、完整性（7）防范病毒的侵害（8）實(shí)現(xiàn)網(wǎng)絡(luò)的安全管理。2.3需求分析通過了解網(wǎng)絡(luò)公司的需求與現(xiàn)狀，為實(shí)現(xiàn)網(wǎng)絡(luò)公司的網(wǎng)絡(luò)安全建設(shè)實(shí)施網(wǎng)絡(luò)系統(tǒng)改造，提高企業(yè)網(wǎng)絡(luò)系統(tǒng)運(yùn)行的穩(wěn)定性，保證企業(yè)各種設(shè)計(jì)信息的安全性，避免圖紙、文檔的丟失和外泄。通過軟件或安全手段對客戶端的計(jì)算機(jī)加以保護(hù)，記錄用戶對客戶端計(jì)算機(jī)中關(guān)鍵目錄和文件的操作，使企業(yè)有手段對用戶在客戶端計(jì)算機(jī)的使用情況進(jìn)行追蹤，防范外來計(jì)算機(jī)的侵入而造成破壞。通過網(wǎng)絡(luò)的改造，使管理者更加便于對網(wǎng)絡(luò)中的服務(wù)器、客戶端、登陸用戶的權(quán)限以及應(yīng)用軟件的安裝進(jìn)行全面的監(jiān)控和管理。因此需要（1）構(gòu)建良好的環(huán)境確保企業(yè)物理設(shè)備的安全（2）劃分VLAN控制內(nèi)網(wǎng)安全（3）安裝防火墻體系（4）建立VPN(虛擬專用網(wǎng)絡(luò))確保數(shù)據(jù)安全（5）安裝防病毒服務(wù)器（6）加強(qiáng)企業(yè)對網(wǎng)絡(luò)資源的管理2.4企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)網(wǎng)絡(luò)公司網(wǎng)絡(luò)拓?fù)鋱D，如圖2-1所示:因?yàn)榫W(wǎng)絡(luò)公司是直接從電信接入IP為58.192.65.62255.255.255.0，直接經(jīng)由防火墻分為DMZ區(qū)域和普通區(qū)域。防火墻上做NAT轉(zhuǎn)換，分別給客戶機(jī)端的地址為10.1.1.0255.255.255.0。防火墻接客戶區(qū)端口地址為10.1.1.1255.255.255.0。DMZ內(nèi)主要有各類的服務(wù)器，地址分配為10.1.2.0255.255.255.0。防火墻DMZ區(qū)的接口地址為10.1.2.1255.255.255.0。內(nèi)網(wǎng)主要由3層交換機(jī)作為核心交換機(jī)，下面有兩臺2層交換機(jī)做接入。第三章企業(yè)網(wǎng)絡(luò)安全解決實(shí)施3.1網(wǎng)絡(luò)企業(yè)物理安全企業(yè)網(wǎng)絡(luò)中保護(hù)網(wǎng)絡(luò)設(shè)備的物理安全是其整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的前提，物理安全是指保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其他媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故、人為操作失誤或各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞。針對網(wǎng)絡(luò)企業(yè)的物理安全主要考慮的問題是環(huán)境、場地和設(shè)備的安全及物理訪問控制和應(yīng)急處置計(jì)劃等。物理安全在整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全中占有重要地位。它主要包括以下幾個(gè)方面：1)保證機(jī)房環(huán)境安全信息系統(tǒng)中的計(jì)算機(jī)硬件、網(wǎng)絡(luò)設(shè)施以及運(yùn)行環(huán)境是信息系統(tǒng)運(yùn)行的最基本的環(huán)境。要從一下三個(gè)方面考慮：a.自然災(zāi)害、物理損壞和設(shè)備故障b.電磁輻射、乘機(jī)而入、痕跡泄漏等c.操作失誤、意外疏漏等2)選用合適的傳輸介質(zhì)屏蔽式雙絞線的抗干擾能力更強(qiáng)，且要求必須配有支持屏蔽功能的連接器件和要求介質(zhì)有良好的接地（最好多處接地），對于干擾嚴(yán)重的區(qū)域應(yīng)使用屏蔽式雙絞線，并將其放在金屬管內(nèi)以增強(qiáng)抗干擾能力。光纖是超長距離和高容量傳輸系統(tǒng)最有效的途徑，從傳輸特性等分析，無論何種光纖都有傳輸頻帶寬、速率高、傳輸損耗低、傳輸距離遠(yuǎn)、抗雷電和電磁的干擾性好保密性好，不易被竊聽或被截獲數(shù)據(jù)、傳輸?shù)恼`碼率很低，可靠性高，體積小和重量輕等特點(diǎn)。與雙絞線或同軸電纜不同的是光纖不輻射能量，能夠有效地阻止竊聽。3)保證供電安全可靠計(jì)算機(jī)和網(wǎng)絡(luò)主干設(shè)備對交流電源的質(zhì)量要求十分嚴(yán)格，對交流電的電壓和頻率，對電源波形的正弦性，對三相電源的對稱性，對供電的連續(xù)性、可靠性穩(wěn)定性和抗干擾性等各項(xiàng)指標(biāo)，都要求保持在允許偏差范圍內(nèi)。機(jī)房的供配電系統(tǒng)設(shè)計(jì)既要滿足設(shè)備自身運(yùn)轉(zhuǎn)的要求，又要滿足網(wǎng)絡(luò)應(yīng)用的要求，必須做到保證網(wǎng)絡(luò)系統(tǒng)運(yùn)行的可靠性，保證設(shè)備的設(shè)計(jì)壽命保證信息安全保證機(jī)房人員的工作環(huán)境。3.2企業(yè)網(wǎng)絡(luò)VLAN劃分VLAN技術(shù)能有效隔離局域網(wǎng)，防止網(wǎng)內(nèi)的攻擊，所以網(wǎng)絡(luò)有限公司網(wǎng)絡(luò)中按部門進(jìn)行了VLAN劃分，劃分為以下兩個(gè)VLAN：財(cái)務(wù)部門VLAN10交換機(jī)S1接入交換機(jī)（神州數(shù)碼DCS-3950）業(yè)務(wù)部門VLAN20交換機(jī)S2接入交換機(jī)（神州數(shù)碼DCS-3950）核心交換機(jī)VLAN間路由核心交換機(jī)S3（神州數(shù)碼DCRS-5526）S1配置如下:switch>switch>enaswitch#conswitch(Config)#vlan10switch(Config-Vlan10)#swinte0/0/1-20switch(Config-Vlan10)#exitswitch(Config)#exitswitch#conswitch(Config)#inte0/0/24switch(Config-Ethernet0/0/24)#swmtSettheportEthernet0/0/24modeTRUNKsuccessfullyswitch(Config-Ethernet0/0/24)#swtavasettheportEthernet0/0/24allowedvlansuccessfullyswitch(Config-Ethernet0/0/24)#exitswitch(Config)#ipdhcppoolvlan10switch(dhcp-vlan10-config)#network-address192.168.10.0255.255.255.0switch(dhcp-vlan10-config)#lease3switch(dhcp-vlan10-config)#default-router192.168.1.1switch(dhcp-vlan10-config)#dns-server61.177.7.1switch(dhcp-vlan10-config)#exitswitch(config)ipdhcpexcluded-address192.168.10.1S2配置如下:Switch>Switch>enaSwitch#conswitch(Config)#vlan20switch(Config-Vlan20)#swinte0/0/1-20switch(Config-Vlan20)#exitswitch(Config)#exitswitch#conswitch(Config)#inte0/0/24switch(Config-Ethernet0/0/24)#swmtSettheportEthernet0/0/24modeTRUNKsuccessfullyswitch(Config-Ethernet0/0/24)#swtavasettheportEthernet0/0/24allowedvlansuccessfullyswitch(Config-Ethernet0/0/24)#exitswitch(Config)#ipdhcppoolvlan20switch(dhcp-vlan20-config)#network-address192.168.20.0255.255.255.0switch(dhcp-vlan20-config)#lease3switch(dhcp-vlan20-config)#default-router192.168.1.1switch(dhcp-vlan20-config)#dns-server61.177.7.1switch(dhcp-vlan20-config)#exitswitch(config)ipdhcpexcluded-address192.168.20.1switch(config)ipdhcpexcluded-address192.168.20.150-192.168.20.240S0配置如下:switch>switch>enableswitch#configswitch(Config)#hostnameS0S0(Config)#vlan10S0(Config-Vlan10)#vlan20S0(Config-Vlan20)#exitS0(Config)#inte0/0/1-2S0(Config-Port-Range)#swmtS0(Config-Port-Range)#swtavaS0(Config-Port-Range)#exitS0(Config)#intvlan10S0(Config-If-Vlan10)#ipaddress192.168.10.1255.255.255.0S0(Config-If-Vlan10)#noshutdownS0(Config-If-Vlan10)#exitS0(Config)#intvlan2000:04:23:%LINK-5-CHANGED:InterfaceVlan20,changedstatetoUP%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceVlan20,changedstatetoUPS0(Config-If-Vlan20)#ipaddress192.168.20.1255.255.255.0S0(Config-If-Vlan20)#noshutdownS0(Config-If-Vlan20)#exitS0(Config)#exitS0(Config-If-Vlan1)#ipaddress192.168.1.1255.255.255.0S0(Config-If-Vlan1)#noshutdownS0(Config-If-Vlan1)#exitS0(Config)#exitS0#showiprouteS0#conS0(Config)#iproute58.192.65.0255.255.255.010.1.1.13.3企業(yè)網(wǎng)絡(luò)防火墻配置企業(yè)網(wǎng)絡(luò)中使用的是神州數(shù)碼的DCFW-1800SUTM，里面包含了防火墻和VPN等功能。以下為配置過程：在防火墻NAT策略下面，新增NAT。如圖3-1:源域：untrust；源地址對象：any；目的域：trust；目的地址對象：any；在全局安全策略設(shè)置里面如圖3-2和圖3-3所示:圖3-3企業(yè)防火墻策略配置示意圖可以設(shè)置全局下面訪問策略，以及域內(nèi)和域間的訪問策略。這里我們設(shè)置，內(nèi)部網(wǎng)絡(luò)為信任區(qū)域（trust），Inteneter為不信任區(qū)域（untrust），服務(wù)器區(qū)域?yàn)镈MZ區(qū)域。動(dòng)作包括permit允許，拒絕deny，以及其他的特定的服務(wù)。這里允許內(nèi)部訪問外部和DMZ區(qū)域，而DMZ和Inteneter不允許訪問內(nèi)部。但是處于中間位置的DMZ可以允許Inteneter的訪問。所以要添加好幾條NAT策略。在網(wǎng)絡(luò)接口處如圖3-5所示:要配置3個(gè)以太網(wǎng)接口為up，安全區(qū)域分別為eth1：l2-trust，eth0：l2-untrust，eth2：l2-DMZ。其中接外網(wǎng)的eth0工作模式為路由模式，其余接DMZ和內(nèi)部的都為NAT模式。如圖3-6所示:同時(shí)為他們配好相應(yīng)的網(wǎng)絡(luò)地址，eth0為58.192.65.62，eth1：10.1.1.1，eth210.1.2.1。3.4企業(yè)網(wǎng)絡(luò)VPN配置企業(yè)網(wǎng)絡(luò)的VPN功能主要也是通過上面的防火墻實(shí)現(xiàn)的。如圖3-7,圖3-8所示:這里我們使用PPTP協(xié)議來實(shí)現(xiàn)VPN，首先是新增PPTP地址池，范圍為192.168.20.150-192.168.20.240如圖3-9所示:在PPTP設(shè)置里面，選擇Chap加密認(rèn)證，加密方式mppe-128。DNS分別為61.177.7.1，MTU為500。3.5企業(yè)網(wǎng)絡(luò)防病毒措施針對企業(yè)網(wǎng)絡(luò)的現(xiàn)狀，在綜合考慮了公司對防病毒系統(tǒng)的性能要求、成本和安全性以后，我選用江民殺毒軟件KV網(wǎng)絡(luò)版來在內(nèi)網(wǎng)中進(jìn)行防病毒系統(tǒng)的建立。產(chǎn)品特點(diǎn):KV網(wǎng)絡(luò)版是為各種簡單或復(fù)雜網(wǎng)絡(luò)環(huán)境設(shè)計(jì)的計(jì)算機(jī)病毒網(wǎng)絡(luò)防護(hù)系統(tǒng)，即適用于包含若干臺主機(jī)的單一網(wǎng)段網(wǎng)絡(luò)，也適用于包含各種WEB服務(wù)器、郵件服務(wù)器、應(yīng)用服務(wù)器，以及分布在不同城市，包含數(shù)十萬臺主機(jī)的超大型網(wǎng)絡(luò)。KV網(wǎng)絡(luò)版具有以下顯著特點(diǎn)：(1)先進(jìn)的體系結(jié)構(gòu)(2)超強(qiáng)的殺毒能力(3)完備的遠(yuǎn)程控制(4)方便的分級、分組管理企業(yè)網(wǎng)絡(luò)KV網(wǎng)絡(luò)版的主控制中心部署在DMZ服務(wù)器區(qū)，子控制中心部署在3層交換機(jī)的一臺服務(wù)器上。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖3-10所示:子控制中心與主控制中心關(guān)系:控制中心負(fù)責(zé)整個(gè)KV網(wǎng)絡(luò)版的管理與控制，是整個(gè)KV網(wǎng)絡(luò)版的核心，在部署KV網(wǎng)絡(luò)時(shí)，必須首先安裝。除了對網(wǎng)絡(luò)中的計(jì)算機(jī)進(jìn)行日常的管理與控制外，它還實(shí)時(shí)地記錄著KV網(wǎng)絡(luò)版防護(hù)體系內(nèi)每臺計(jì)算機(jī)上的病毒監(jiān)控、查殺病毒和升級等信息。在1個(gè)網(wǎng)段內(nèi)僅允許安裝1臺控制中心。根據(jù)控制中心所處的網(wǎng)段的不同，可以將控制中心劃分為主控制中心和子控制中心，子控制中心除了要完成控制中心的功能外，還要負(fù)責(zé)與它的上級——主控制中心進(jìn)行通信。這里的“主”和“子”是一個(gè)相對的概念：每個(gè)控制中心對于它的下級的網(wǎng)段來說都是主控制中心，對于它的上級的網(wǎng)段來說又是子控制中心，這種控制結(jié)構(gòu)可以根據(jù)網(wǎng)絡(luò)的需要無限的延伸下去。為企業(yè)網(wǎng)絡(luò)安裝好KV網(wǎng)絡(luò)版殺毒軟件后，為期配置軟件的安全策略。對宏錦企業(yè)客戶端計(jì)算機(jī)的KV軟件實(shí)現(xiàn)更為完善的遠(yuǎn)程控制功能，利用KV軟件控制中心的“策略設(shè)置”功能組來實(shí)現(xiàn)。在此功能中可以針對單一客戶端、邏輯組、全網(wǎng)進(jìn)行具有針對性的安全策略設(shè)置。在“策略設(shè)置”下拉菜單中，我們可以找到“掃描設(shè)置”、“反垃圾郵件”、“網(wǎng)址過濾”等與平時(shí)安全應(yīng)用密切相關(guān)的各項(xiàng)應(yīng)用配置選項(xiàng)，如圖3-11所示。為企業(yè)網(wǎng)絡(luò)KV網(wǎng)絡(luò)版殺毒軟件配置“掃描設(shè)置”，掃描設(shè)置可對當(dāng)前選擇的任意組或者任意節(jié)點(diǎn)的客戶端進(jìn)行更加細(xì)化的掃描設(shè)置。企業(yè)可以自己設(shè)定適合于自己網(wǎng)絡(luò)環(huán)境的掃描方案，針對不同的策略對不同的客戶端進(jìn)行分發(fā)不同的掃描命令。可以下發(fā)以下命令到節(jié)點(diǎn)計(jì)算機(jī)：掃描目標(biāo)，定時(shí)掃描，分類掃描，不掃描文件夾，掃描報(bào)告，簡單而實(shí)用的設(shè)置頁大大的增加了網(wǎng)絡(luò)管理的易用性。其中掃描目標(biāo)的設(shè)置界面如圖3-12所示。第四章企業(yè)的網(wǎng)絡(luò)管理4.1企業(yè)網(wǎng)絡(luò)管理的問題（1）計(jì)算機(jī)軟、硬件數(shù)量無法確實(shí)掌握，盤點(diǎn)困難；（2）單位的計(jì)算機(jī)數(shù)量越來越多，無法集中管理；（3）無法有效防止員工私裝軟件，造成非法版權(quán)使用威脅；（4）硬件設(shè)備私下挪用、竊取，造成財(cái)產(chǎn)損失；（5）使用者計(jì)算機(jī)IP隨易變更，造成故障頻傳；（6）軟件單機(jī)安裝浪費(fèi)人力，應(yīng)用軟件版本不易控制；（7）重要資料遭非法拷貝，資料外泄，無法監(jiān)督；（8）設(shè)備故障或資源不足，無法事先得到預(yù)警；（9）應(yīng)用軟件購買后，員工真正使用狀況如何，無從分析；居高不下的信息化資源成本，不知