某公司網絡安全的架構與實現-畢業(yè)論文

1、<p><b>　　本科畢業(yè)設計</b></p><p>　　課題名稱：公司網絡安全架構</p><p><b>　　的設計與實現方案</b></p><p>　　Xxxxxxxxxx</p><p>　　學 號： </p><p&g

2、t;　　姓 名： </p><p>　　學 院： </p><p>　　專 業(yè)： </p><p>　　指導教師： </p><p>　　摘 要： 隨著網絡技術的發(fā)展，網絡已經融入每個人的生活無處不在了，但是人們在享受互聯網帶

3、來的便捷的同時，往往忽略了網絡安全這一非常嚴峻的問題。文章主要研究的是網絡安全的架構與實現，以有限公司為例，分別從防火墻的構架與實現、入侵檢測的構架與實現、信息安全管理審計系統(tǒng)架構與實現及內網保密安全的構架與實現四個方面詳細介紹了網絡安全的實現過程，增強了企業(yè)網絡安全方面的防范能力。</p><p>　　關鍵字： 網絡安全 防火墻 入侵檢測 內網保密</p><p>　　ABSTRACT

4、： With the development of network technology, the network has been integrated into the lives of everyone everywhere, but people enjoy the convenience of the Internet has brought tend to ignore this very serious problem

5、in the network security. The article is the architecture and implementation of network security, Dawn Logistics Co., Ltd., for example, from the architecture and implementation of the firewall, intrusion detection archit

6、ecture and implementation of information security ma</p><p>　　KEY WORDS: network security firewall Intrusion Detection The confidentiality of the intranet</p><p><b>　　目 錄</b><

7、/p><p><b>　　目 錄2</b></p><p><b>　　前 言4</b></p><p>　　第1章 公司現狀5</p><p>　　1.1 公司簡介5</p><p>　　1.2 公司網絡狀況6</p><p>　　1.3 公司

8、網絡安全問題7</p><p>　　1.3.1 主要安全隱患7</p><p>　　1.3.2 具體的網絡安全問題8</p><p>　　第2章 網絡安全架構需求分析9</p><p>　　2.1 保證內網安全9</p><p>　　2.2 保證廣域網接入的安全9</p><p&

9、gt;　　2.3 保證遠程訪問的安全9</p><p>　　第3章 網絡安全架構實現具體方案10</p><p>　　3.1 設備鏈接拓撲圖與網絡劃分10</p><p>　　3.2 防火墻的架構與實現11</p><p>　　3.2.1 連接與登錄配置11</p><p>　　3.2.2 透明模式（

10、網橋模式）的安裝與部署14</p><p>　　3.2.3 內外網互訪策略編輯與管理15</p><p>　　3.2.4 L2TP配置18</p><p>　　3.4 入侵檢測系統(tǒng)的架構與實現22</p><p>　　3.4.1 IDS設備部署與配置22</p><p>　　3.4.2 IDS入侵檢

11、測25</p><p>　　3.5 信息安全管理審計系統(tǒng)架構與實現29</p><p>　　3.5.1 系統(tǒng)的部署及系統(tǒng)登錄29</p><p>　　3.5.2 網絡訪問與網絡日志查看31</p><p>　　3.5.3 監(jiān)控策略的應用32</p><p>　　3.6 內網保密安全系統(tǒng)的架構與實現3

12、7</p><p>　　3.6.1內網保密軟件的部署及登錄37</p><p>　　3.6.2 上網行為監(jiān)控38</p><p>　　3.7 趨勢科技防毒墻配置40</p><p>　　第4章 安全架構實現效果驗證45</p><p>　　4.1 防火墻的架構與實現效果驗證45</p><

13、;p>　　4.2 入侵檢測的架構與實現效果驗證48</p><p>　　4.3 內網安全的架構與實現效果驗證49</p><p>　　第5章 總 結50</p><p><b>　　參考文獻51</b></p><p><b>　　前 言</b></p><p>

14、;　　物流是指利用現代信息技術和設備，將物品從供應地向接收地準確的、及時的、安全的、保質保量的、門到門的合理化服務模式和先進的服務流程。物流是隨商品生產的出現而出現，隨商品生產的發(fā)展而發(fā)展，物流是一種古老的傳統(tǒng)的經濟活動。以前的物流企業(yè)一直是單純的靠交通工具和人力勞動來運作整個公司的。但是隨著網絡的出現和發(fā)展，各行各業(yè)都隨之改變，物流行業(yè)當然也受到很大的影響。</p><p>　　如今網絡正在逐步步入成熟階段，網

15、絡、數據庫等相關的應用技術在不斷發(fā)展，網絡運營及電子商務也被廣泛應用。物流行業(yè)也從傳統(tǒng)的人力勞動行業(yè)發(fā)展為結合信息技術為消費者提供服務的行業(yè)。物流是將物品從供應地向接收地準確的、及時的、安全的、保質保量的、門到門的合理化服務模式和先進的服務流程。物流是隨商品生產的出現而出現，隨商品生產的發(fā)展而發(fā)展，物流即意味著企業(yè)的生產、流通的全部。而隨著網絡在企業(yè)中的普及和發(fā)張，物流行業(yè)也在走入物流信息化，物流信息化的定義是：利用信息技術整合企業(yè)內部

16、的業(yè)務流程，使企業(yè)向著規(guī)模經營、網絡化運作的方向發(fā)展。物流信息化是物流企業(yè)相互融合的重要手段。物流信息化因此是企業(yè)間和企業(yè)內部物流過程中所產生數據的全部記錄。物流配送中心建設信息系統(tǒng)應充分支持管理者制訂物流運作計劃和實際的業(yè)務操作。盡管現代物流配送中心日趨向多樣化和全面化發(fā)展，但構成其核心競爭能力或有助于其獲取競爭優(yōu)勢的還是其核心業(yè)務，如匯集客戶的發(fā)貨信息、組織貨物的入庫、配貨、分揀、儲存、出庫、配送等。</p><

17、p>　　物流行業(yè)正以信息技術為手段，向綜合性物流企業(yè)發(fā)展，積極發(fā)展第三方物流，實現物流的社會化、專業(yè)化、規(guī)?；?，大幅度提升物流產業(yè)的優(yōu)勢。然而許多物流公司有簡單的網絡平臺，但是卻缺乏合理的網絡安全設計和管理，其企業(yè)操作人員缺乏網絡安全知識，所有的計算機基本上都在互聯網裸奔，不斷的被黑客種下病毒、木馬，然后被劫持當成肉雞，給公司帶來麻煩甚至導致整個網絡的癱瘓，造成公司內部存儲的信息丟失；甚至于內部人員為了利益竊取出賣公司的利益，使公

18、司造成重大的損失。正是如此，物流公司也越來越重視網絡安全，甚至重新打造一個穩(wěn)定的平臺。</p><p><b>　　第1章 公司現狀</b></p><p>　　1.1 公司簡介 </p><p>　　有限公司是一家以國內公路運輸和航空貨運代理的綜合物流企業(yè)，在物流界享譽較高的知名度。公司秉承“誠信為本，速度至上”的服務理念，保持積極進取、注

19、重服務的態(tài)度，培養(yǎng)自己的人才，通過不斷的優(yōu)化服務和信息化系統(tǒng)的搭建，提升運輸網絡和標準化體系，創(chuàng)造最優(yōu)化的運營模式，為廣大客戶提供安全、快速、專業(yè)、滿意的物流服務。一直以來，公司都致力于與員工共同發(fā)展和成長，打造人企雙贏局面，努力創(chuàng)造更多的社會效益，努力將晨曦打造成為中國人信任的國內物流運營商，實現“為中國提速”的使命。公司主要經營：晨曦運物流有限公司以及江西運輸子公司、浙江運輸子公司.有限公司成立于2004年07月04日，現擁有員工1

20、50多名，是一家集運輸倉儲配送于一體的物流公司。</p><p>　　現在的公司部門及職責如圖1-1所示：</p><p>　　圖1-1公司架構及職責</p><p>　　公司經過長期的努力,現已成為一家組織健全，經驗豐富的公路運輸和航空貨運代理的綜合物流企業(yè)。</p><p>　　1.2 公司網絡狀況</p><p>

21、;　　該公司是物流業(yè)中進行企業(yè)信息化建設較早的公司，信息化建設的主要目的是用于公司信息統(tǒng)計等基礎性工作。該公司的網絡拓撲圖如圖1-2所示：</p><p>　　圖1-2公司網絡拓撲圖</p><p>　　該公司的局域網是一個信息點相對較為密集的百兆局域網系統(tǒng)，它所聯接的現有近百個信息點為在整個公司內辦公的各單位部門提供了一個信息交流平臺。不僅如此，通過專線與Internet的連接，各個部門

22、授權用戶可以直接與互聯網用戶進行交流、查詢資料等。</p><p>　　這個公司的訪問區(qū)域可以劃分為三個主要的區(qū)域：Internet區(qū)域、內部網絡、公開服務器區(qū)域。Web等服務器和辦公區(qū)客戶機，通過內部網絡的相互連接，然后與外網互聯?；诨A的安全的考慮，在交換機上按地域和部門劃分了五個網段。</p><p>　　1.3 公司網絡安全問題</p><p>　　公司一

23、段時間后，基本實現了公司的辦公信息化，但由于當初的投資力度及意識不夠，以及公司領導未重視網絡安全方面，導致公司的網絡出現重大漏洞。在2012年10月份被人潛入公司內部網絡，導致信息部中一項重要的招標文件泄露，被競爭公司知曉，以1萬元的差距落選了該項目，導致公司的利益受到相當大的損害。為此，公司開始重視網絡安全。在對公司的網絡安全進行全面檢查后，發(fā)現以下問題。</p><p>　　1.3.1 主要安全隱患<

24、/p><p><b>　?。?）病毒的入侵</b></p><p>　　在之前的規(guī)劃中，只提到了加大公司信息化管理的投資力度、采用計算機處理數據、進行網絡建設，而對于網絡安全方面的建設力度較小，這樣就使的黑客很容易就能在公司電腦植入病毒，從而引發(fā)重大災情。</p><p>　?。?）內部人員操作缺乏安全意識</p><p>

25、　　如今網絡發(fā)展迅速，但是網絡安全技術和信息的應用普及相對滯后，內部人員缺乏安全方面的的培訓和學習，很容易忽略安全設備和系統(tǒng)，不能使其發(fā)揮相對的作用，這使的公司的網絡存在較大的安全隱患。</p><p><b>　　（3）設備物理安全</b></p><p>　　由于網絡中大部分的設備都是通過通信電纜通信的，為了布局合理性，往往核心設備都是放置在一個機房的，公司的機房

26、只有簡單的上鎖沒有專人巡查看守，這使得公司的網絡物理設備存在較大的安全隱患。</p><p>　　1.3.2 具體的網絡安全問題</p><p>　　(1) 公司網絡拓撲不合理問題，沒有硬件防火墻</p><p>　　公司網絡中，沒有做到內部網絡與外部網絡的安全隔離，在公司網絡拓撲設計上只采用服務器經過路由器上網，而沒有配置防火墻，內外網互聯存在著很大的漏洞。&

27、lt;/p><p>　　(2) 用戶身份認證問題</p><p>　　在公司網絡系統(tǒng)中，對具有遠程訪問權限的用戶連接沒有采用加密與身份認證手段。</p><p>　?。?） 沒有入侵檢測技術和網絡監(jiān)控技術，對于入侵的目標無跡可尋，內網安全存在嚴重漏洞，沒有辦法有效的保護公司的信息安全。</p><p>　　第2章 網絡安全架構需求分析</

28、p><p>　　針對有限公司將再開設一個公司的情況，結合有限公司現在的網絡狀況和現有條件，對網絡安全設計方面提出一下幾點構思。</p><p>　　2.1 保證內網安全</p><p>　　針對有限公司招標文件泄密的情況，保證內網安全是首要任務。主機防火墻的出現解決了其中比較矛盾突出的問題，也是最基本的問題，就是關于基礎安全;而近幾年日趨完善的桌面或終端內網安全管理類

29、產品的出現實現了集中的內網計算機安全管理，提供了對于內網兩方面需求的滿足即安全與管理</p><p>　　2.2 保證廣域網接入的安全</p><p>　　Internet是一個高度開放的大環(huán)境，用戶接入Internet就意味著完全將自己暴露在危機四伏的處境。通過網絡防火墻可以過濾來自Internet的大部分攻擊， 防火墻能強化安全策略。 防火墻能有效地記錄Internet上的活動、限制

30、暴露用戶點、隔開網絡中一個網段與另一個網段。這樣，能夠防止影響一個網段的問題通過整個網絡傳播。 防火墻是一個安全策略的檢查站，所有進出的信息都必須通過防火墻，防火墻便成為安全問題的檢查點，使可疑的訪問被拒絕于門外。 </p><p>　　2.3 保證遠程訪問的安全</p><p>　　遠程訪問是通過公眾網來傳輸私有數據，因此保證數據安全性是遠程訪問的關鍵環(huán)節(jié)。遠程訪問由于使用Intern

31、et作為承載介質，VPN必須有足夠的安全保障功能，通過高強度的加密算法保證數據不被偵聽或篡改，確保接入用戶身份的唯一性。另外，還可以控制用戶對內網資源的訪問權限，做的指定人訪問指定資源，訪問均在控制之中。</p><p>　　第3章 網絡安全架構實現具體方案</p><p>　　3.1 設備鏈接拓撲圖與網絡劃分</p><p>　　通過對有限公司的現有網絡情況進行分

32、析后，硬件方面決定在現有網絡上部署一臺防火墻以及NIDS設備，軟件方面決定采用趨勢科技的防毒墻，設備鏈接拓撲圖如圖3-1所示：</p><p>　　圖3-1網絡安全設備鏈接拓撲圖</p><p>　　結合圖3-1和圖1-2情況考慮，打算對網絡進行表3-1的劃分：</p><p>　　1、WAN口接入一臺PC作為外部主機（開啟22端口和21端口即SSH服務和FTP服務

33、），地址10.0.0.100/24,網關指向10.0.0.1；</p><p>　　2、DMZ口接入一個Web服務器提供Web服務和一個文件服務器提供文件服務，web服務器地址172.16.0.2/29網關指向172.16.0.1；文件服務器地址為172.16.0.3/29網關指向172.16.0.1；</p><p>　　3、LAN區(qū)域接入一個192.168.1.0/24的子網，網關指向

34、192.168.1.1。</p><p><b>　　表3-1 網絡劃分</b></p><p>　　4、IP網段是連續(xù)的IP地址，為： 192.168.0.1-192.168.0.168</p><p>　　5、防火墻管理pc機的IP為：192.168.0.1</p><p>　　6、NIDS管理pc機的IP為：192

35、.168.0.2</p><p>　　7、信息安全管理審計系統(tǒng)管理pc機的IP為：192.168.0.3</p><p>　　8、內網保密安全系統(tǒng)的管理終端IP為：192.168.0.4</p><p>　　9、Web服務器IP地址為：172.16.0.2</p><p>　　10、文件服務器IP地址為：172.16.0.3</p>

36、;<p>　　11、內網保密安全系統(tǒng)的總控中心服務器IP為：172.16.0.4</p><p>　　12、外網pc1IP為：10.0.0.100</p><p>　　13、內網pc1IP為：192.168.1.2</p><p>　　14、內網pc2IP為：192.168.1.6</p><p>　　15、內網pc3IP為：1

37、92.168.1.163</p><p>　　3.2 防火墻的架構與實現</p><p>　　3.2.1 連接與登錄配置</p><p><b>　　一、設備的選型</b></p><p>　　針對有限公司的網絡分析，經過研究實驗，決定采用藍盾公司型號為BDFW-M3000的防火墻。</p><p

38、>　　圖3-2 防火墻外觀</p><p>　　二、利用瀏覽器登陸防火墻管理界面</p><p>　　1、根據拓撲圖將PC機與防火墻的ADMIN網口連接起來，當需要連接內部子網或外線連接時也只需要將線路連接在對應網口上</p><p>　　2、客戶端設置，設置本地連接IP地址為：192.168.0.1</p><p>　　3、使用pin

39、g命令測試防火墻和管理PC間的連接情況。</p><p>　　打開IE瀏覽器，輸入管理地址http://192.168.0.1:81，進入歡迎界面，在防火墻的歡迎界面輸入用戶名和密碼，點擊“登錄”進入防火墻管理系統(tǒng)。</p><p>　　圖3-3 防火墻管理系統(tǒng)界面</p><p><b>　　三、配置基本內容</b></p>&

40、lt;p>　　1、網段、IP地址、端口配置</p><p><b>　　2、創(chuàng)建、編輯規(guī)則</b></p><p>　　防火墻中需要對規(guī)則進行操作，以下對 SNAT 策略進行了編輯：</p><p>　　添加策略：在“增加設置”中，設置相應參數，單擊保存則在“設置列表”添加一個規(guī)則，保存之后的界面如圖所示：</p>

41、<p>　　圖3-4 SNAT策略設置列表</p><p>　　然后點擊“編輯”對SNAT 策略進行編輯，編輯完之后保存。</p><p>　　圖3-5 SNAT策略編輯界面</p><p>　　3.2.2 透明模式（網橋模式）的安裝與部署</p><p>　　在透明模式(橋接模式)下，防火墻相當于一個網橋，通過將兩個網口橋接起

42、來，也即將交換機和路由器直接連接起來，從而無需改動原有網絡結構，將防火墻透明的加入網絡。對于連接內網的LAN2口，其IP地址要設成和內網在同一個網段。</p><p>　　一、將防火墻接入當前網絡</p><p>　　1、將防火墻按照拓撲所示接入當前網絡，由路由器引入的外線接WAN口，由交換機引出的內部網線接LAN口</p><p>　　2、檢驗加入后網絡狀況<

43、;/p><p><b>　　二、配置橋接</b></p><p>　　1、進入橋接設定界面，“網絡設置”“網口配置”“網口”，由于橋接要求網口不能是內網口，并且在該網口上沒有配置外線連接，將LAN3口（LAN）、LAN4口（WAN）上的IP全部去掉</p><p><b>　　2、啟用橋接</b></p><

44、;p>　　進入橋接設定界面，“網絡設置”“網口配置”“橋接設定”，下面左邊的框中就出現了可供選擇的接口</p><p>　　圖3-6 橋接設定界面</p><p>　　定義一條橋接規(guī)則：選擇LAN、WAN，雙擊“>>>”移到右邊的框中，然后添加，添加成功，在“現有規(guī)則”中會出現一條定義好的規(guī)則，然后重啟。</p><p>　　3.2.3 內

45、外網互訪策略編輯與管理</p><p>　　默認情況下，連接在防火墻不同網口的網絡是不能互相訪問的，為了是各個網絡間實現互通，需要建立各個網絡間的通信通道：</p><p>　　1、外網訪問內網是通過端口映射機制實現。</p><p>　　2、內網訪問外網是通過設置訪問規(guī)則控制。</p><p>　　3、它們都是通過建立通信規(guī)則，并將規(guī)則應用

46、到不同網口、網段或IP上實現。</p><p>　　一、檢查各點網絡狀況</p><p>　　1、外部主機pc1（10.0.0.100/24），可以ping通防火墻的WAN口地址，但是沒有辦法到達DMZ區(qū)的Web服務器，因為對于10.0.0.100來說，Web服務器的地址是一個其他網絡的內網地址：</p><p>　　圖3-7外部主機與WAN口連通性測試</p

47、><p>　　圖3-8外部主機與Web服務器連通性測試</p><p>　　2、Web服務器（172.16.0.2/29）主機，無法ping通外網PC，因為防火墻上默認是拒絕連出的，它也無法ping通外網PC：</p><p>　　圖3-9 Web服務器與外部主機連通性測試</p><p>　　3、LAN區(qū)主機pc1（192.168.1.2/24

48、），無法ping通外網主機。 </p><p>　　圖3-10 LAN口與外網主機連通性測試</p><p>　　由于當前網絡被防火墻隔離了，使得內外網無法互訪，這時，我們可以通過端口映射的方式，使得外網可以訪問內部網絡，同時通過策略設置使內網可以訪問外網。</p><p>　　二、實現內網訪問外網（SNAT）——為內網PC提供對外網的訪問策略</p>

49、<p>　　1、配置SNAT映射可以讓所有內部IP做地址轉換訪問外部</p><p>　　2、配置內網LAN口下的PC1（192.168.1.2/24）可以訪問外網pc1（10.0.0.100）</p><p>　　3、進入“防火墻”“NAT策略”“SNAT策略”界面，點擊“添加”，做訪問規(guī)則，然后設置規(guī)則參數，填寫目標IP、目標端口，選擇“啟用”，單擊“保存”。</p&

50、gt;<p>　　圖3-11 SNAT策略編輯界面</p><p>　　5、“防火墻”“LAN->WAN策略”“訪問策略”，填寫訪問策略的實施對象內網pc1“192.168.1.2”，選擇規(guī)則“全部允許”，點擊“添加”</p><p>　　圖3-12 訪問策略編輯界面</p><p>　　三、實現外網訪問內網（DNAT）——為外網PC提供對內網的

51、訪問策略</p><p>　　1、進入“防火墻”“NAT策略”“DNAT策略”界面，點擊“添加”，做訪問規(guī)則，然后設置規(guī)則參數，填寫目標IP、目標端口，選擇“啟用”，單擊“保存”。</p><p>　　圖3-13 DNAT策略編輯界面</p><p>　　把外網地址10.0.0.1的1080端口映射到172.16.0.2的80端口，當訪問10.0.0.1的1080端

52、口時，防火墻就會把這個地址自動映射為172.16.0.2的80端口，外網訪問內網的通道被打開</p><p>　　圖3-14 DNAT策略設置列表</p><p>　　3.2.4 L2TP配置</p><p>　　總公司出差的員工需要訪問公司內網文件服務器上的文件夾，文件服務器的IP地址為172.16.0.3，出差的員工使用L2TP VPN連接到公司內部文件服務器

53、。</p><p><b>　　VPN服務器端配置</b></p><p><b>　　一、創(chuàng)建證書</b></p><p>　　1、進入“VPN”“CA認證”“權威認證證書”；</p><p>　　2、創(chuàng)建服務器本地證書“l(fā)ocal’s Bluedon”，然后進行配置，點擊“創(chuàng)建簽名證書”，就會出

54、現一條證書</p><p>　　圖3-15權威認證證書編輯界面</p><p><b>　　二、建立VPN隧道</b></p><p>　　1、選擇“VPN隧道”“L2TP移動客戶端”，創(chuàng)建L2TP移動客戶端VPN遂道：</p><p>　　圖3-16 L2TP移動客戶端編輯界面</p><p>

55、　　設置好后并點擊添加，就會出現一個名為ttt的隧道。</p><p>　　圖3-17 當前隧道列表</p><p><b>　　三、啟動VPN</b></p><p>　　1、進入“VPN”“啟動控制”，啟動VPN服務器。</p><p>　　2、進入“全局設定”，在“默認本地證書”的“CA權威認證證書”中選擇loca

56、l’s Bluedon權威認證證書，選擇“保存”。</p><p>　　3、進入“防火墻”“LAN->LAN策略”“訪問策略”建立一條允許遠程L2TP客戶同總公司LAN口對等相互訪問的策略，這樣出差員工就可以用L2TP隧道和總公司內網連通。進行配置后，點擊“添加”，就會出現下面一條訪問規(guī)則，至此，總公司服務器端配置結束。</p><p>　　圖3-18 訪問策略編輯界面</p&

57、gt;<p>　　VPN移動客戶端配置</p><p><b>　　VPN客戶端軟件</b></p><p>　　1、從網絡管理員處獲得VPN客戶端軟件，并安裝，安裝過程中寫入總公司的外部IP，為新連接取名為“ttt”。</p><p>　　圖3-19 VPN客戶端安裝界面</p><p>　　2、這里就填

58、入新建證書時的用戶名ttt，密碼123456,點擊“連接”。</p><p>　　圖3-20 VPN客戶端連接界面</p><p>　　至此VPN客戶端配置完成。</p><p>　　幾秒鐘后，連接成功，電腦右下角將顯示連接上的VPN。同時在“網絡連接”界面也會出現“虛擬專用網絡”——ttt（已連接）。</p><p>　　圖3-21 VPN

59、連接狀態(tài)</p><p>　　3.4 入侵檢測系統(tǒng)的架構與實現</p><p>　　3.4.1 IDS設備部署與配置</p><p>　　基于有限公司的網絡考慮，采用鏡像口監(jiān)聽部署模式</p><p><b>　　IDS設備部署</b></p><p><b>　　1 連接設備&

60、lt;/b></p><p>　　圖3-22 IDS設備端口連接</p><p><b>　　2、登錄管理界面</b></p><p>　　從管理PC登錄藍盾NIDS設備Web管理界面前，需要確認管理PC的IP地址與設備缺省管理口IP地址設置在同一網段：192.168.0.0/24。透過網線將管理PC連接到LAN1口，打開IE瀏覽器，在I

61、E地址欄輸入https://192.168.0.145 ,登錄進去。 </p><p>　　圖3-23 NIDS網絡入侵檢測系統(tǒng)界面</p><p><b>　　IDS設備配置</b></p><p>　　“網絡設置”“網口配置”“網口”，將E2的LAN2的IP配置為192.168.2.2，點擊保存，然后重啟網絡。（將LAN2口做為管理口，用于

62、管理設備）</p><p>　　圖3-24 網口編輯界面</p><p>　　2、“系統(tǒng)”“系統(tǒng)工具”“IP工具”，直接ping 網關192.168.0.1檢驗與內網的連通性。</p><p>　　3、“系統(tǒng)”“管理設置”“管理界面訪問設定”，網口選擇LAN2，其余選項缺省，點擊添加。</p><p>　　4、“現有規(guī)則”中新增一條通過LAN

63、2訪問IDS界面的策略。</p><p>　　圖3-25 現有規(guī)則列表</p><p>　　5、“系統(tǒng)”“管理設置”“密碼”，按下圖配置管理員用戶，不啟用USBKEY。 就會出現一個超級管理員用戶</p><p>　　圖3-26 用戶創(chuàng)建界面</p><p>　　3.4.2 IDS入侵檢測</p><p>　　“入侵

64、規(guī)則”“檢測規(guī)則”，啟動如下入侵檢測規(guī)則中，要勾選User-defined（用戶自定義），點擊保存。</p><p>　　圖3-27 檢測規(guī)則設置界面</p><p><b>　　一、基礎參數</b></p><p>　　1、“入侵規(guī)則”“檢測規(guī)則”“自定義規(guī)則”“基礎參數”，參照下圖填入所要檢測的項，點擊添加。</p><

65、p>　　圖3-28 自定義規(guī)則編輯界面</p><p>　　選擇協(xié)議，點擊啟用。就得到一條針對所有未知入侵的檢測規(guī)則Intrusion _Info。</p><p>　　圖3-29 現有規(guī)則列表</p><p><b>　　二、IP參數</b></p><p>　　1、“入侵規(guī)則”“檢測規(guī)則”“自定義規(guī)則”“IP參

66、數”，參照下圖填入所要檢測的項，在t t l項填入64作為參考值，選擇啟用，點擊添加。</p><p>　　圖3-30 自定義規(guī)則編輯界面</p><p>　　添加后就得到一條名稱為IP _Info的檢測規(guī)則。</p><p>　　圖3-31 現有規(guī)則列表</p><p>　　三、設置ICMP參數</p><p>　　

67、1、“入侵規(guī)則”“檢測規(guī)則”“自定義規(guī)則”“ICMP參數”，填入選項，這里直接啟用檢測ICMP項來檢測PING工具，選擇啟用，然后再點擊添加。</p><p>　　圖3-32 自定義規(guī)則編輯界面</p><p>　　添加后就得到一條名稱為ICMP _info的檢測規(guī)則</p><p>　　圖3-33 現有規(guī)則列表</p><p><b&

68、gt;　　四、阻斷動作</b></p><p>　　1、“入侵規(guī)則”“檢測規(guī)則”“自定義規(guī)則”“阻斷動作”，填入所要檢測的項，這里選擇斷開ICMP。</p><p>　　圖3-34 自定義規(guī)則編輯界面</p><p>　　下面就得到一條名稱為Cutoff _Info的檢測規(guī)則</p><p>　　圖3-35 現有規(guī)則列表</

69、p><p>　　3.5 信息安全管理審計系統(tǒng)架構與實現 </p><p>　　3.5.1 系統(tǒng)的部署及系統(tǒng)登錄</p><p>　　信息安全管理審計系統(tǒng)是用來對內部用戶訪問外部網絡的各種行為進行記錄、控制、審計的一種網絡安全硬件設備，主要有LAN1、LAN2、LAN3、LAN4四個100M快速以太網絡接口。通過將不同網口橋接并設置監(jiān)控網口，我們可以有效的監(jiān)控網絡上傳

70、送的各種數據包。</p><p>　　信息安全管理審計系統(tǒng)使用web圖形界面進行管理和設置，具有方便、快捷，易于用戶理解和掌握的優(yōu)點。另外一方面信息安全管理審計系統(tǒng)使用了https安全傳輸協(xié)議，保證在管理中傳輸的相關設置和信息不被竊聽，保護設備自身的安全。</p><p>　　1、系統(tǒng)前面板，結構如圖3-36：</p><p>　　圖3-36 系統(tǒng)前面板</p

71、><p>　　2、系統(tǒng)后面板，結構如圖3-37：</p><p>　　圖3-37 系統(tǒng)后面板</p><p><b>　　二、登錄系統(tǒng)：</b></p><p>　　1、設置管理PC地址圖（拓撲圖）將管理PC與信息安全管理審計系統(tǒng)連接，同時將管理PC的IP地址改為：192.168.0.3/24</p><

72、p>　　2、登錄系統(tǒng)，登錄后我們可以看到如圖3-38：</p><p>　　圖3-38 信息安全管理審計系統(tǒng)</p><p><b>　　三、設置橋接模式</b></p><p>　　接下來要將LAN3口和LAN4口橋接起來，以配置網關接入方式。</p><p>　　1、在左邊欄選擇選項“系統(tǒng)管理”->“系統(tǒng)

73、設置”。</p><p>　　2、在右邊欄選擇選項“橋接設置”->“使用橋接”，選擇“網口3”和“網口4”，點擊“確定”就橋接成功了。</p><p>　　圖3-39 橋接設置界面</p><p>　　3.5.2 網絡訪問與網絡日志查看</p><p>　　一、瀏覽網頁訪問日志。</p><p>　　1、登錄信

74、息安全管理審計系統(tǒng)，點擊“網絡日志”->“網頁瀏覽”，可看到網頁的內網pc3訪問情況。</p><p>　　圖3-40 網頁瀏覽網絡日志列表</p><p>　　2、單擊相應的時間，便可以查看每一條記錄的詳細情況。</p><p>　　3、設置訪問日期就能查看那段時期的日志。</p><p>　　二、其他網絡訪問行為的記錄</p&

75、gt;<p>　　1、在本地電腦中登陸QQ </p><p>　　2、登陸后打開信息安全管理審計系統(tǒng)，點擊“網絡日志”->“網絡聊天”，剛剛登陸的QQ號以及內網pc3的IP地址已經記錄在審計系統(tǒng)中。</p><p>　　圖3-41 網絡聊天網絡日志列表</p><p>　　3、對站點進行訪問后，登陸信息安全管理審計系統(tǒng)，點擊“網絡日志”->

76、“telnet”，對站點的訪問不僅有內網pc3的IP地址等信息的記錄，還有具體的傳輸內容</p><p>　　圖3-42 Telnet網絡日志列表</p><p>　　3.5.3 監(jiān)控策略的應用</p><p>　　監(jiān)控策略能夠通過對網絡中數據包內容進行關鍵字分析，對含有關鍵字的數據包進行報警或者屏蔽。通過監(jiān)控策略，可以針對網頁瀏覽、telnet、文件傳輸設置關鍵

77、字，屏蔽敏感</p><p>　　一、網站的屏蔽與報警</p><p>　　1、內部用戶PC訪問新浪網站www.sina.com.cn，確定能夠進行正常網頁瀏覽。然后打開信息安全管理審計系統(tǒng)，點擊“策略管理”->“監(jiān)控策略”。</p><p>　　圖3-43 監(jiān)控策略編輯界面</p><p>　　2、、點擊右邊欄“添加策略”按鈕，出現如

78、下界面，設置策略名稱為禁止訪問新浪網站、同時選擇阻斷/報警，有效期設置選始終生效。</p><p>　　圖3-44 策略編輯界面</p><p>　　4、點擊“關鍵字”，設置關鍵字：sina，關鍵字類型選內容關鍵字。</p><p>　　圖3-45 關鍵字編輯界面</p><p>　　6、確定后自動回到監(jiān)控策略設置界面，就會顯示已經設置的策略

79、。單擊“策略下發(fā)”按鈕，應用策略。再次打開瀏覽器訪問地址www.sina.com.cn，顯示“正在連接”，已經無法訪問。</p><p>　　圖3-46 網頁無法連接界面</p><p><b>　　二、郵件屏蔽</b></p><p>　　1、下載Foxmail郵件收發(fā)軟件進行安裝，發(fā)送一封郵件至自己的郵箱地址，確定郵箱能夠正常工作。<

80、/p><p>　　2、登錄信息安全管理審計系統(tǒng)，點擊“策略管理”-> “監(jiān)控策略”，進入之后再點擊右邊欄“添加策略”后增加新策略，策略關鍵字填阻止郵件關鍵字“機密”，同時選擇阻斷和報警，有效期限選始終生效。</p><p>　　圖3-47 策略編輯界面</p><p>　　6、點擊“關鍵字”，設置關鍵字：機密、關鍵字類型：內容關鍵字、適用服務：郵件訪問。

81、如下圖</p><p>　　圖3-48 關鍵字編輯界面</p><p>　　7、點擊“確定”后回到“監(jiān)控策略”界面，確認已經添加了相關策略，再點擊“策略下發(fā)”，打開foxmail，嘗試給自己郵箱發(fā)送一封郵件，郵件主題為“公司機密”。</p><p>　　8、點擊發(fā)送后提示放棄連接。郵件無法發(fā)送。</p><p>　　圖3-49 郵件無法發(fā)送提

82、示</p><p><b>　　三、禁止文件下載</b></p><p>　　1、訪問文件服務器172.16.0.3，嘗試下載ftp中公司年度財務報告，確定能夠下載。</p><p>　　2、登陸信息安全管理審計系統(tǒng)，點擊“策略管理”->“監(jiān)控策略”->“添加策略”。添加策略，設置策略名稱填阻止FTP下載關鍵字“財務”，同時勾選阻斷

83、和報警，有效設置選始終生效。</p><p>　　圖3-50 策略編輯界面</p><p>　　3、點擊“關鍵字”，設置關鍵字為財務，關鍵字類型填內容關鍵字，適用服務勾選文件傳輸。</p><p>　　圖3-51 關鍵字編輯界面</p><p>　　4、點擊“確定”后回到監(jiān)控策略頁面，適用用戶PC再次登陸文件服務器172.16.0.3，嘗試下

84、載文件“公司年度財務報告”，進度顯示一直為0，已經無法下載。如圖3-48所示</p><p>　　圖3-52 文件復制對話框</p><p>　　3.6 內網保密安全系統(tǒng)的架構與實現</p><p>　　3.6.1內網保密軟件的部署及登錄</p><p>　　通過安裝SQL2000數據庫軟件，用于存儲內網保密軟件控制中心的相關數據，安裝內網

85、保密控制中心軟件，實現對安全客戶端的監(jiān)控及審計，構建完整的內網安全保密及審計系統(tǒng)管理控制平臺。</p><p>　　一、安裝SQL2000數據庫軟件并下載補丁進行升級；</p><p>　　二、安裝內網保密系統(tǒng)控制中心軟件</p><p>　　圖3-53 內網安全保密軟件安裝界面</p><p><b>　　三、登錄系統(tǒng)</b

86、></p><p>　　圖3-54 內網安全保密軟件登陸界面</p><p>　　3.6.2 上網行為監(jiān)控</p><p><b>　　一、新建模塊</b></p><p>　　1、點擊選項“功能”“安全策略”“安全策略管理中心”“策略模板管理”，點擊“新建模塊”。</p><p>　　圖3

87、-55 新建模板界面</p><p>　　2、啟動上網行為監(jiān)控，再點擊添加進行配置</p><p>　　圖3-56 添加/修改上網規(guī)則界面</p><p><b>　　三、下發(fā)策略</b></p><p>　　選擇選項“本地策略管理”，點擊“應用策略模版” ，下發(fā)策略選擇好需要下發(fā)的部門和主機。</p>&

88、lt;p><b>　　四、查詢審計</b></p><p>　　1、點擊選項“功能”“審計報表”“審計報表管理中心”，選擇“查詢統(tǒng)計”，雙擊“上網行為監(jiān)控”會出現一個報表，雙擊報表進行查看。</p><p>　　3.7 趨勢科技防毒墻配置</p><p>　　結合有限公司的網絡需求分析和實際情況，決定采用趨勢科技防毒墻網絡版10.0&l

89、t;/p><p>　　一． 安裝前的準備工作</p><p>　　1． 確認已經將10.0 SP1安裝包OSCE_10_With_SP1_B1892_SC及</p><p>　　SP1 Patch1補丁程序OSCE_10.0_B1895_SC_SP1_Patch1下載到</p><p>　　預安裝服務器的本地硬盤上；</p><

90、;p>　　2． 預安裝服務器已經成功安裝IIS</p><p>　　3． 本地IP已經成功配置</p><p>　　4． 建議服務器計算機至少2Ghz以上內存。</p><p><b>　　二． 開始安裝</b></p><p>　　1．將已下載到服務器的安裝包 OSCE_10_With_SP1_B1892_SC解

91、壓縮并進行安裝。安裝過程中選擇安裝到一臺電腦，掃描目標計算機，安裝集成型服務器，安裝網絡版客戶端，配置軟件安裝，安裝完畢后重啟電腦。</p><p>　　2、服務器重啟完畢后，在Officescan 10.0 服務器雙擊執(zhí)行SP1 Patch1補丁程序安裝包再重啟電腦。</p><p>　　3、設置服務器更新頻率</p><p>　　圖3-57 服務器預設更新編輯界

92、面</p><p>　　4.全局客戶端設置：</p><p>　　依次展開“聯網計算機”-“全局客戶端設置”， 設置“將手動掃描添加到客戶端計算機的Windows快捷菜單中”。</p><p>　　圖3-58 全局客戶端設置編輯界面</p><p>　　設置病毒碼過期提醒。根據需要進行相關設置，其他的一般采用默認即可 </p>

93、<p>　　圖3-59 全局客戶端設置編輯界面</p><p>　　依次展開“聯網計算機”-“客戶端管理”； 在設置選項中選擇“實時掃描設置”，然后在“處理措施”選項中選擇開啟“檢測到病毒/惡意軟件時在客戶端計算機上顯示通知消息”，其它設置選擇默認設置。</p><p>　　圖3-60 實時掃描設置編輯界面</p><p><b>　　6.行為監(jiān)

94、控設置</b></p><p>　　在設置選項中選擇“行為監(jiān)控設置”，進入后選擇默認設置；</p><p>　　圖3-61 行為監(jiān)控設置編輯界面</p><p><b>　　7、設備控制設置：</b></p><p>　　在設置選項中選擇“設備控制設置”，進入后選擇不啟用預設日志刪除。進行日志維護設置<

95、/p><p>　　圖3-62 日志維護編輯界面</p><p>　　服務器更新：依次展開“更新”-“服務器”-“手動更新”，點擊更新。更新完畢后就完成了基本配置</p><p>　　第4章 安全架構實現效果驗證</p><p>　　4.1 防火墻的架構與實現效果驗證</p><p>　　連接與登錄配置：使用ping命令測試

96、防火墻和管理主機間的互通，能互通。</p><p>　　圖4-1防火墻與管理主機連通性測試</p><p>　　透明模式（網橋模式）的安裝與部署：LAN內任何一臺主機可以ping通路由地址。</p><p>　　圖4-2 LAN內主機與路由器連通性測試</p><p>　　內外網互訪策略編輯與管理：</p><p>　

97、　1、外部主機（10.0.0.100/24），通過http://10.0.0.1:1080可以訪問DMZ口的Web服務器：</p><p>　　圖4-3外部主機與web服務器連通性測試</p><p>　　2、DMZ區(qū)的Web服務器（172.16.0.2/29）主機，仍然無法ping通外網主機：</p><p>　　圖4-4 Web服務器與外部主機連通性測試<

98、/p><p><b>　　L2TP配置：</b></p><p>　　1、在DOS下用“ipconfig”命令，會出現獲取的總公司內網的IP地址192.168.1.6</p><p>　　圖4-5公司內網IP地址查詢</p><p>　　2、PING通了總公司內網的網關192.168.1.1</p><p

99、>　　圖4-6外部主機與內網連通性測試</p><p>　　PING通文件服務器172.16.0.3，已可以和文件服務器進行數據交換。</p><p>　　圖4-7外部主機與文件服務器連通性測試</p><p>　　4.2 入侵檢測的架構與實現效果驗證</p><p>　　針對IDS檢測規(guī)則的操作，得到了一下入侵日志：</p>

100、;<p><b>　　掃描操作</b></p><p>　　圖4-8 掃描操作入侵日志列表</p><p><b>　　Ping操作</b></p><p>　　圖4-9 PING操作入侵日志列表</p><p><b>　　阻斷操作</b></p>

101、<p>　　圖4-10阻斷操作入侵日志列表</p><p>　　4.3 內網安全的架構與實現效果驗證</p><p>　　網絡訪問與網絡日志：網絡訪問時留下的網絡日志</p><p>　　圖4-11 網頁瀏覽網絡日志列表</p><p><b>　　監(jiān)控策略的使用：</b></p><p&

102、gt;　　圖4-12 監(jiān)控策略列表</p><p>　　由上面這些圖片可以看出，方案中的網絡安全架構均能實現。</p><p><b>　　第5章 總 結</b></p><p>　　在設計方案的時候，由于網絡安全方面知識學習的不徹底，在設計完成方案時就考慮的不太周全，導致方案有優(yōu)點的同時也存在著一些缺點。</p><p&g

103、t;<b>　　方案的優(yōu)點：</b></p><p>　　有效的防止信息不泄露給非授權用戶、實體。</p><p>　　信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失</p><p>　　網絡環(huán)境下拒絕服務、破壞網絡和有關系統(tǒng)的正常運行等有關的相對措施</p><p>　　有效的阻止一些不良信息以及病毒的入侵<

104、/p><p>　　內網的安全得到很大的完善</p><p><b>　　方案的缺點：</b></p><p>　　對防毒墻的部分設置不了解，設置不夠完善</p><p>　　設計時沒有考慮到以后的優(yōu)化升級，以后的優(yōu)化升級存在著一定的困難</p><p>　　在這次方案的實現上，認識到了自己在網絡安全方

105、面技術知識方面的缺乏，許多技術需要通過網上搜索或者求助的方式來實現想要的效果。后來在擬定了方案大概要做的步驟后，就著手開始了解網絡安全等一系列的知識學習，在實現方案的時候，我發(fā)現還有許多不是很明白的地方，如：防火墻的安全策略包括哪些內容？如何根據安全需求制定一個網絡的安全策略？</p><p>　　剛開始的時候實驗感覺很困難，后來通過慢慢的研究，感覺也不是那么難不可攻。雖然隨著實驗的進行遇到的問題也越多，但是有信

106、心通過自己在網上查詢以及咨詢一些好友來進行解決。網絡安全需要考慮到多方面的知識，要做一個安全的企業(yè)網絡不是一蹴而就的事情，需要通過不斷的測試、研究、修改來進行各方面的完善，這需要一個積累的過程。通過這次編寫文章，無論是在網絡知識方面還是為人處事方面，都有了十足的進步，同時對自己也有了更為嚴格的要求，以此來督促自己不斷的進步。 </p><p><b>　　參考文獻</b></p>

107、;<p>　　[1]． 史曉紅.網絡安全完全技術寶典[M].北京：中國鐵道出版社，2010.25-26</p><p>　　[2]． 彭文波，彭圣魁，萬建邦.網絡安全完全技術寶典[M].北京：清華大學出版社，2011.116-128</p><p>　　[3]. Eric Cole，曹繼軍，林信龍，李化.網絡安全寶典（第二版）[M].北京：清華大學出版社，2010.1

108、2-23</p><p>　　[4]. 劉曉輝.網絡安全設計、配置與管理大全[M].三河：電子工業(yè)出版社，2012.7-36</p><p>　　[5]. 崔宇鵬 .《校園網安全防御策略研究》 [R]. 現代企業(yè)文化，2010.1-12</p><p>　　[6]. 閆宏生，王雪莉，楊軍. 計算機網絡安全與防護 [M]．三河：電子工業(yè)出版社，2011.4