某公司網(wǎng)絡(luò)安全的架構(gòu)與實(shí)現(xiàn)-畢業(yè)論文

1、<p><b>　　本科畢業(yè)設(shè)計</b></p><p>　　課題名稱：公司網(wǎng)絡(luò)安全架構(gòu)</p><p><b>　　的設(shè)計與實(shí)現(xiàn)方案</b></p><p>　　Xxxxxxxxxx</p><p>　　學(xué) 號： </p><p&g

2、t;　　姓 名： </p><p>　　學(xué) 院： </p><p>　　專 業(yè)： </p><p>　　指導(dǎo)教師： </p><p>　　摘 要： 隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)已經(jīng)融入每個人的生活無處不在了，但是人們在享受互聯(lián)網(wǎng)帶

3、來的便捷的同時，往往忽略了網(wǎng)絡(luò)安全這一非常嚴(yán)峻的問題。文章主要研究的是網(wǎng)絡(luò)安全的架構(gòu)與實(shí)現(xiàn)，以有限公司為例，分別從防火墻的構(gòu)架與實(shí)現(xiàn)、入侵檢測的構(gòu)架與實(shí)現(xiàn)、信息安全管理審計系統(tǒng)架構(gòu)與實(shí)現(xiàn)及內(nèi)網(wǎng)保密安全的構(gòu)架與實(shí)現(xiàn)四個方面詳細(xì)介紹了網(wǎng)絡(luò)安全的實(shí)現(xiàn)過程，增強(qiáng)了企業(yè)網(wǎng)絡(luò)安全方面的防范能力。</p><p>　　關(guān)鍵字： 網(wǎng)絡(luò)安全 防火墻 入侵檢測 內(nèi)網(wǎng)保密</p><p>　　ABSTRACT

4、： With the development of network technology, the network has been integrated into the lives of everyone everywhere, but people enjoy the convenience of the Internet has brought tend to ignore this very serious problem

5、in the network security. The article is the architecture and implementation of network security, Dawn Logistics Co., Ltd., for example, from the architecture and implementation of the firewall, intrusion detection archit

6、ecture and implementation of information security ma</p><p>　　KEY WORDS: network security firewall Intrusion Detection The confidentiality of the intranet</p><p><b>　　目 錄</b><

7、/p><p><b>　　目 錄2</b></p><p><b>　　前 言4</b></p><p>　　第1章 公司現(xiàn)狀5</p><p>　　1.1 公司簡介5</p><p>　　1.2 公司網(wǎng)絡(luò)狀況6</p><p>　　1.3 公司

8、網(wǎng)絡(luò)安全問題7</p><p>　　1.3.1 主要安全隱患7</p><p>　　1.3.2 具體的網(wǎng)絡(luò)安全問題8</p><p>　　第2章 網(wǎng)絡(luò)安全架構(gòu)需求分析9</p><p>　　2.1 保證內(nèi)網(wǎng)安全9</p><p>　　2.2 保證廣域網(wǎng)接入的安全9</p><p&

9、gt;　　2.3 保證遠(yuǎn)程訪問的安全9</p><p>　　第3章 網(wǎng)絡(luò)安全架構(gòu)實(shí)現(xiàn)具體方案10</p><p>　　3.1 設(shè)備鏈接拓?fù)鋱D與網(wǎng)絡(luò)劃分10</p><p>　　3.2 防火墻的架構(gòu)與實(shí)現(xiàn)11</p><p>　　3.2.1 連接與登錄配置11</p><p>　　3.2.2 透明模式（

10、網(wǎng)橋模式）的安裝與部署14</p><p>　　3.2.3 內(nèi)外網(wǎng)互訪策略編輯與管理15</p><p>　　3.2.4 L2TP配置18</p><p>　　3.4 入侵檢測系統(tǒng)的架構(gòu)與實(shí)現(xiàn)22</p><p>　　3.4.1 IDS設(shè)備部署與配置22</p><p>　　3.4.2 IDS入侵檢

11、測25</p><p>　　3.5 信息安全管理審計系統(tǒng)架構(gòu)與實(shí)現(xiàn)29</p><p>　　3.5.1 系統(tǒng)的部署及系統(tǒng)登錄29</p><p>　　3.5.2 網(wǎng)絡(luò)訪問與網(wǎng)絡(luò)日志查看31</p><p>　　3.5.3 監(jiān)控策略的應(yīng)用32</p><p>　　3.6 內(nèi)網(wǎng)保密安全系統(tǒng)的架構(gòu)與實(shí)現(xiàn)3

12、7</p><p>　　3.6.1內(nèi)網(wǎng)保密軟件的部署及登錄37</p><p>　　3.6.2 上網(wǎng)行為監(jiān)控38</p><p>　　3.7 趨勢科技防毒墻配置40</p><p>　　第4章 安全架構(gòu)實(shí)現(xiàn)效果驗(yàn)證45</p><p>　　4.1 防火墻的架構(gòu)與實(shí)現(xiàn)效果驗(yàn)證45</p><

13、;p>　　4.2 入侵檢測的架構(gòu)與實(shí)現(xiàn)效果驗(yàn)證48</p><p>　　4.3 內(nèi)網(wǎng)安全的架構(gòu)與實(shí)現(xiàn)效果驗(yàn)證49</p><p>　　第5章 總 結(jié)50</p><p><b>　　參考文獻(xiàn)51</b></p><p><b>　　前 言</b></p><p>

14、;　　物流是指利用現(xiàn)代信息技術(shù)和設(shè)備，將物品從供應(yīng)地向接收地準(zhǔn)確的、及時的、安全的、保質(zhì)保量的、門到門的合理化服務(wù)模式和先進(jìn)的服務(wù)流程。物流是隨商品生產(chǎn)的出現(xiàn)而出現(xiàn)，隨商品生產(chǎn)的發(fā)展而發(fā)展，物流是一種古老的傳統(tǒng)的經(jīng)濟(jì)活動。以前的物流企業(yè)一直是單純的靠交通工具和人力勞動來運(yùn)作整個公司的。但是隨著網(wǎng)絡(luò)的出現(xiàn)和發(fā)展，各行各業(yè)都隨之改變，物流行業(yè)當(dāng)然也受到很大的影響。</p><p>　　如今網(wǎng)絡(luò)正在逐步步入成熟階段，網(wǎng)

15、絡(luò)、數(shù)據(jù)庫等相關(guān)的應(yīng)用技術(shù)在不斷發(fā)展，網(wǎng)絡(luò)運(yùn)營及電子商務(wù)也被廣泛應(yīng)用。物流行業(yè)也從傳統(tǒng)的人力勞動行業(yè)發(fā)展為結(jié)合信息技術(shù)為消費(fèi)者提供服務(wù)的行業(yè)。物流是將物品從供應(yīng)地向接收地準(zhǔn)確的、及時的、安全的、保質(zhì)保量的、門到門的合理化服務(wù)模式和先進(jìn)的服務(wù)流程。物流是隨商品生產(chǎn)的出現(xiàn)而出現(xiàn)，隨商品生產(chǎn)的發(fā)展而發(fā)展，物流即意味著企業(yè)的生產(chǎn)、流通的全部。而隨著網(wǎng)絡(luò)在企業(yè)中的普及和發(fā)張，物流行業(yè)也在走入物流信息化，物流信息化的定義是：利用信息技術(shù)整合企業(yè)內(nèi)部

16、的業(yè)務(wù)流程，使企業(yè)向著規(guī)模經(jīng)營、網(wǎng)絡(luò)化運(yùn)作的方向發(fā)展。物流信息化是物流企業(yè)相互融合的重要手段。物流信息化因此是企業(yè)間和企業(yè)內(nèi)部物流過程中所產(chǎn)生數(shù)據(jù)的全部記錄。物流配送中心建設(shè)信息系統(tǒng)應(yīng)充分支持管理者制訂物流運(yùn)作計劃和實(shí)際的業(yè)務(wù)操作。盡管現(xiàn)代物流配送中心日趨向多樣化和全面化發(fā)展，但構(gòu)成其核心競爭能力或有助于其獲取競爭優(yōu)勢的還是其核心業(yè)務(wù)，如匯集客戶的發(fā)貨信息、組織貨物的入庫、配貨、分揀、儲存、出庫、配送等。</p><

17、p>　　物流行業(yè)正以信息技術(shù)為手段，向綜合性物流企業(yè)發(fā)展，積極發(fā)展第三方物流，實(shí)現(xiàn)物流的社會化、專業(yè)化、規(guī)?；蠓忍嵘锪鳟a(chǎn)業(yè)的優(yōu)勢。然而許多物流公司有簡單的網(wǎng)絡(luò)平臺，但是卻缺乏合理的網(wǎng)絡(luò)安全設(shè)計和管理，其企業(yè)操作人員缺乏網(wǎng)絡(luò)安全知識，所有的計算機(jī)基本上都在互聯(lián)網(wǎng)裸奔，不斷的被黑客種下病毒、木馬，然后被劫持當(dāng)成肉雞，給公司帶來麻煩甚至導(dǎo)致整個網(wǎng)絡(luò)的癱瘓，造成公司內(nèi)部存儲的信息丟失；甚至于內(nèi)部人員為了利益竊取出賣公司的利益，使公

18、司造成重大的損失。正是如此，物流公司也越來越重視網(wǎng)絡(luò)安全，甚至重新打造一個穩(wěn)定的平臺。</p><p><b>　　第1章 公司現(xiàn)狀</b></p><p>　　1.1 公司簡介 </p><p>　　有限公司是一家以國內(nèi)公路運(yùn)輸和航空貨運(yùn)代理的綜合物流企業(yè)，在物流界享譽(yù)較高的知名度。公司秉承“誠信為本，速度至上”的服務(wù)理念，保持積極進(jìn)取、注

19、重服務(wù)的態(tài)度，培養(yǎng)自己的人才，通過不斷的優(yōu)化服務(wù)和信息化系統(tǒng)的搭建，提升運(yùn)輸網(wǎng)絡(luò)和標(biāo)準(zhǔn)化體系，創(chuàng)造最優(yōu)化的運(yùn)營模式，為廣大客戶提供安全、快速、專業(yè)、滿意的物流服務(wù)。一直以來，公司都致力于與員工共同發(fā)展和成長，打造人企雙贏局面，努力創(chuàng)造更多的社會效益，努力將晨曦打造成為中國人信任的國內(nèi)物流運(yùn)營商，實(shí)現(xiàn)“為中國提速”的使命。公司主要經(jīng)營：晨曦運(yùn)物流有限公司以及江西運(yùn)輸子公司、浙江運(yùn)輸子公司.有限公司成立于2004年07月04日，現(xiàn)擁有員工1

20、50多名，是一家集運(yùn)輸倉儲配送于一體的物流公司。</p><p>　　現(xiàn)在的公司部門及職責(zé)如圖1-1所示：</p><p>　　圖1-1公司架構(gòu)及職責(zé)</p><p>　　公司經(jīng)過長期的努力,現(xiàn)已成為一家組織健全，經(jīng)驗(yàn)豐富的公路運(yùn)輸和航空貨運(yùn)代理的綜合物流企業(yè)。</p><p>　　1.2 公司網(wǎng)絡(luò)狀況</p><p>

21、;　　該公司是物流業(yè)中進(jìn)行企業(yè)信息化建設(shè)較早的公司，信息化建設(shè)的主要目的是用于公司信息統(tǒng)計等基礎(chǔ)性工作。該公司的網(wǎng)絡(luò)拓?fù)鋱D如圖1-2所示：</p><p>　　圖1-2公司網(wǎng)絡(luò)拓?fù)鋱D</p><p>　　該公司的局域網(wǎng)是一個信息點(diǎn)相對較為密集的百兆局域網(wǎng)系統(tǒng)，它所聯(lián)接的現(xiàn)有近百個信息點(diǎn)為在整個公司內(nèi)辦公的各單位部門提供了一個信息交流平臺。不僅如此，通過專線與Internet的連接，各個部門

22、授權(quán)用戶可以直接與互聯(lián)網(wǎng)用戶進(jìn)行交流、查詢資料等。</p><p>　　這個公司的訪問區(qū)域可以劃分為三個主要的區(qū)域：Internet區(qū)域、內(nèi)部網(wǎng)絡(luò)、公開服務(wù)器區(qū)域。Web等服務(wù)器和辦公區(qū)客戶機(jī)，通過內(nèi)部網(wǎng)絡(luò)的相互連接，然后與外網(wǎng)互聯(lián)。基于基礎(chǔ)的安全的考慮，在交換機(jī)上按地域和部門劃分了五個網(wǎng)段。</p><p>　　1.3 公司網(wǎng)絡(luò)安全問題</p><p>　　公司一

23、段時間后，基本實(shí)現(xiàn)了公司的辦公信息化，但由于當(dāng)初的投資力度及意識不夠，以及公司領(lǐng)導(dǎo)未重視網(wǎng)絡(luò)安全方面，導(dǎo)致公司的網(wǎng)絡(luò)出現(xiàn)重大漏洞。在2012年10月份被人潛入公司內(nèi)部網(wǎng)絡(luò)，導(dǎo)致信息部中一項(xiàng)重要的招標(biāo)文件泄露，被競爭公司知曉，以1萬元的差距落選了該項(xiàng)目，導(dǎo)致公司的利益受到相當(dāng)大的損害。為此，公司開始重視網(wǎng)絡(luò)安全。在對公司的網(wǎng)絡(luò)安全進(jìn)行全面檢查后，發(fā)現(xiàn)以下問題。</p><p>　　1.3.1 主要安全隱患<

24、/p><p><b>　?。?）病毒的入侵</b></p><p>　　在之前的規(guī)劃中，只提到了加大公司信息化管理的投資力度、采用計算機(jī)處理數(shù)據(jù)、進(jìn)行網(wǎng)絡(luò)建設(shè)，而對于網(wǎng)絡(luò)安全方面的建設(shè)力度較小，這樣就使的黑客很容易就能在公司電腦植入病毒，從而引發(fā)重大災(zāi)情。</p><p>　　（2）內(nèi)部人員操作缺乏安全意識</p><p>

25、　　如今網(wǎng)絡(luò)發(fā)展迅速，但是網(wǎng)絡(luò)安全技術(shù)和信息的應(yīng)用普及相對滯后，內(nèi)部人員缺乏安全方面的的培訓(xùn)和學(xué)習(xí)，很容易忽略安全設(shè)備和系統(tǒng)，不能使其發(fā)揮相對的作用，這使的公司的網(wǎng)絡(luò)存在較大的安全隱患。</p><p><b>　?。?）設(shè)備物理安全</b></p><p>　　由于網(wǎng)絡(luò)中大部分的設(shè)備都是通過通信電纜通信的，為了布局合理性，往往核心設(shè)備都是放置在一個機(jī)房的，公司的機(jī)房

26、只有簡單的上鎖沒有專人巡查看守，這使得公司的網(wǎng)絡(luò)物理設(shè)備存在較大的安全隱患。</p><p>　　1.3.2 具體的網(wǎng)絡(luò)安全問題</p><p>　　(1) 公司網(wǎng)絡(luò)拓?fù)洳缓侠韱栴}，沒有硬件防火墻</p><p>　　公司網(wǎng)絡(luò)中，沒有做到內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的安全隔離，在公司網(wǎng)絡(luò)拓?fù)湓O(shè)計上只采用服務(wù)器經(jīng)過路由器上網(wǎng)，而沒有配置防火墻，內(nèi)外網(wǎng)互聯(lián)存在著很大的漏洞。&

27、lt;/p><p>　　(2) 用戶身份認(rèn)證問題</p><p>　　在公司網(wǎng)絡(luò)系統(tǒng)中，對具有遠(yuǎn)程訪問權(quán)限的用戶連接沒有采用加密與身份認(rèn)證手段。</p><p>　?。?） 沒有入侵檢測技術(shù)和網(wǎng)絡(luò)監(jiān)控技術(shù)，對于入侵的目標(biāo)無跡可尋，內(nèi)網(wǎng)安全存在嚴(yán)重漏洞，沒有辦法有效的保護(hù)公司的信息安全。</p><p>　　第2章 網(wǎng)絡(luò)安全架構(gòu)需求分析</

28、p><p>　　針對有限公司將再開設(shè)一個公司的情況，結(jié)合有限公司現(xiàn)在的網(wǎng)絡(luò)狀況和現(xiàn)有條件，對網(wǎng)絡(luò)安全設(shè)計方面提出一下幾點(diǎn)構(gòu)思。</p><p>　　2.1 保證內(nèi)網(wǎng)安全</p><p>　　針對有限公司招標(biāo)文件泄密的情況，保證內(nèi)網(wǎng)安全是首要任務(wù)。主機(jī)防火墻的出現(xiàn)解決了其中比較矛盾突出的問題，也是最基本的問題，就是關(guān)于基礎(chǔ)安全;而近幾年日趨完善的桌面或終端內(nèi)網(wǎng)安全管理類

29、產(chǎn)品的出現(xiàn)實(shí)現(xiàn)了集中的內(nèi)網(wǎng)計算機(jī)安全管理，提供了對于內(nèi)網(wǎng)兩方面需求的滿足即安全與管理</p><p>　　2.2 保證廣域網(wǎng)接入的安全</p><p>　　Internet是一個高度開放的大環(huán)境，用戶接入Internet就意味著完全將自己暴露在危機(jī)四伏的處境。通過網(wǎng)絡(luò)防火墻可以過濾來自Internet的大部分攻擊， 防火墻能強(qiáng)化安全策略。 防火墻能有效地記錄Internet上的活動、限制

30、暴露用戶點(diǎn)、隔開網(wǎng)絡(luò)中一個網(wǎng)段與另一個網(wǎng)段。這樣，能夠防止影響一個網(wǎng)段的問題通過整個網(wǎng)絡(luò)傳播。 防火墻是一個安全策略的檢查站，所有進(jìn)出的信息都必須通過防火墻，防火墻便成為安全問題的檢查點(diǎn)，使可疑的訪問被拒絕于門外。 </p><p>　　2.3 保證遠(yuǎn)程訪問的安全</p><p>　　遠(yuǎn)程訪問是通過公眾網(wǎng)來傳輸私有數(shù)據(jù)，因此保證數(shù)據(jù)安全性是遠(yuǎn)程訪問的關(guān)鍵環(huán)節(jié)。遠(yuǎn)程訪問由于使用Intern

31、et作為承載介質(zhì)，VPN必須有足夠的安全保障功能，通過高強(qiáng)度的加密算法保證數(shù)據(jù)不被偵聽或篡改，確保接入用戶身份的唯一性。另外，還可以控制用戶對內(nèi)網(wǎng)資源的訪問權(quán)限，做的指定人訪問指定資源，訪問均在控制之中。</p><p>　　第3章 網(wǎng)絡(luò)安全架構(gòu)實(shí)現(xiàn)具體方案</p><p>　　3.1 設(shè)備鏈接拓?fù)鋱D與網(wǎng)絡(luò)劃分</p><p>　　通過對有限公司的現(xiàn)有網(wǎng)絡(luò)情況進(jìn)行分

32、析后，硬件方面決定在現(xiàn)有網(wǎng)絡(luò)上部署一臺防火墻以及NIDS設(shè)備，軟件方面決定采用趨勢科技的防毒墻，設(shè)備鏈接拓?fù)鋱D如圖3-1所示：</p><p>　　圖3-1網(wǎng)絡(luò)安全設(shè)備鏈接拓?fù)鋱D</p><p>　　結(jié)合圖3-1和圖1-2情況考慮，打算對網(wǎng)絡(luò)進(jìn)行表3-1的劃分：</p><p>　　1、WAN口接入一臺PC作為外部主機(jī)（開啟22端口和21端口即SSH服務(wù)和FTP服務(wù)

33、），地址10.0.0.100/24,網(wǎng)關(guān)指向10.0.0.1；</p><p>　　2、DMZ口接入一個Web服務(wù)器提供Web服務(wù)和一個文件服務(wù)器提供文件服務(wù)，web服務(wù)器地址172.16.0.2/29網(wǎng)關(guān)指向172.16.0.1；文件服務(wù)器地址為172.16.0.3/29網(wǎng)關(guān)指向172.16.0.1；</p><p>　　3、LAN區(qū)域接入一個192.168.1.0/24的子網(wǎng)，網(wǎng)關(guān)指向

34、192.168.1.1。</p><p><b>　　表3-1 網(wǎng)絡(luò)劃分</b></p><p>　　4、IP網(wǎng)段是連續(xù)的IP地址，為： 192.168.0.1-192.168.0.168</p><p>　　5、防火墻管理pc機(jī)的IP為：192.168.0.1</p><p>　　6、NIDS管理pc機(jī)的IP為：192

35、.168.0.2</p><p>　　7、信息安全管理審計系統(tǒng)管理pc機(jī)的IP為：192.168.0.3</p><p>　　8、內(nèi)網(wǎng)保密安全系統(tǒng)的管理終端IP為：192.168.0.4</p><p>　　9、Web服務(wù)器IP地址為：172.16.0.2</p><p>　　10、文件服務(wù)器IP地址為：172.16.0.3</p>

36、;<p>　　11、內(nèi)網(wǎng)保密安全系統(tǒng)的總控中心服務(wù)器IP為：172.16.0.4</p><p>　　12、外網(wǎng)pc1IP為：10.0.0.100</p><p>　　13、內(nèi)網(wǎng)pc1IP為：192.168.1.2</p><p>　　14、內(nèi)網(wǎng)pc2IP為：192.168.1.6</p><p>　　15、內(nèi)網(wǎng)pc3IP為：1

37、92.168.1.163</p><p>　　3.2 防火墻的架構(gòu)與實(shí)現(xiàn)</p><p>　　3.2.1 連接與登錄配置</p><p><b>　　一、設(shè)備的選型</b></p><p>　　針對有限公司的網(wǎng)絡(luò)分析，經(jīng)過研究實(shí)驗(yàn)，決定采用藍(lán)盾公司型號為BDFW-M3000的防火墻。</p><p

38、>　　圖3-2 防火墻外觀</p><p>　　二、利用瀏覽器登陸防火墻管理界面</p><p>　　1、根據(jù)拓?fù)鋱D將PC機(jī)與防火墻的ADMIN網(wǎng)口連接起來，當(dāng)需要連接內(nèi)部子網(wǎng)或外線連接時也只需要將線路連接在對應(yīng)網(wǎng)口上</p><p>　　2、客戶端設(shè)置，設(shè)置本地連接IP地址為：192.168.0.1</p><p>　　3、使用pin

39、g命令測試防火墻和管理PC間的連接情況。</p><p>　　打開IE瀏覽器，輸入管理地址http://192.168.0.1:81，進(jìn)入歡迎界面，在防火墻的歡迎界面輸入用戶名和密碼，點(diǎn)擊“登錄”進(jìn)入防火墻管理系統(tǒng)。</p><p>　　圖3-3 防火墻管理系統(tǒng)界面</p><p><b>　　三、配置基本內(nèi)容</b></p>&

40、lt;p>　　1、網(wǎng)段、IP地址、端口配置</p><p><b>　　2、創(chuàng)建、編輯規(guī)則</b></p><p>　　防火墻中需要對規(guī)則進(jìn)行操作，以下對 SNAT 策略進(jìn)行了編輯：</p><p>　　添加策略：在“增加設(shè)置”中，設(shè)置相應(yīng)參數(shù)，單擊保存則在“設(shè)置列表”添加一個規(guī)則，保存之后的界面如圖所示：</p>

41、<p>　　圖3-4 SNAT策略設(shè)置列表</p><p>　　然后點(diǎn)擊“編輯”對SNAT 策略進(jìn)行編輯，編輯完之后保存。</p><p>　　圖3-5 SNAT策略編輯界面</p><p>　　3.2.2 透明模式（網(wǎng)橋模式）的安裝與部署</p><p>　　在透明模式(橋接模式)下，防火墻相當(dāng)于一個網(wǎng)橋，通過將兩個網(wǎng)口橋接起

42、來，也即將交換機(jī)和路由器直接連接起來，從而無需改動原有網(wǎng)絡(luò)結(jié)構(gòu)，將防火墻透明的加入網(wǎng)絡(luò)。對于連接內(nèi)網(wǎng)的LAN2口，其IP地址要設(shè)成和內(nèi)網(wǎng)在同一個網(wǎng)段。</p><p>　　一、將防火墻接入當(dāng)前網(wǎng)絡(luò)</p><p>　　1、將防火墻按照拓?fù)渌窘尤氘?dāng)前網(wǎng)絡(luò)，由路由器引入的外線接WAN口，由交換機(jī)引出的內(nèi)部網(wǎng)線接LAN口</p><p>　　2、檢驗(yàn)加入后網(wǎng)絡(luò)狀況<

43、;/p><p><b>　　二、配置橋接</b></p><p>　　1、進(jìn)入橋接設(shè)定界面，“網(wǎng)絡(luò)設(shè)置”“網(wǎng)口配置”“網(wǎng)口”，由于橋接要求網(wǎng)口不能是內(nèi)網(wǎng)口，并且在該網(wǎng)口上沒有配置外線連接，將LAN3口（LAN）、LAN4口（WAN）上的IP全部去掉</p><p><b>　　2、啟用橋接</b></p><

44、;p>　　進(jìn)入橋接設(shè)定界面，“網(wǎng)絡(luò)設(shè)置”“網(wǎng)口配置”“橋接設(shè)定”，下面左邊的框中就出現(xiàn)了可供選擇的接口</p><p>　　圖3-6 橋接設(shè)定界面</p><p>　　定義一條橋接規(guī)則：選擇LAN、WAN，雙擊“>>>”移到右邊的框中，然后添加，添加成功，在“現(xiàn)有規(guī)則”中會出現(xiàn)一條定義好的規(guī)則，然后重啟。</p><p>　　3.2.3 內(nèi)

45、外網(wǎng)互訪策略編輯與管理</p><p>　　默認(rèn)情況下，連接在防火墻不同網(wǎng)口的網(wǎng)絡(luò)是不能互相訪問的，為了是各個網(wǎng)絡(luò)間實(shí)現(xiàn)互通，需要建立各個網(wǎng)絡(luò)間的通信通道：</p><p>　　1、外網(wǎng)訪問內(nèi)網(wǎng)是通過端口映射機(jī)制實(shí)現(xiàn)。</p><p>　　2、內(nèi)網(wǎng)訪問外網(wǎng)是通過設(shè)置訪問規(guī)則控制。</p><p>　　3、它們都是通過建立通信規(guī)則，并將規(guī)則應(yīng)用

46、到不同網(wǎng)口、網(wǎng)段或IP上實(shí)現(xiàn)。</p><p>　　一、檢查各點(diǎn)網(wǎng)絡(luò)狀況</p><p>　　1、外部主機(jī)pc1（10.0.0.100/24），可以ping通防火墻的WAN口地址，但是沒有辦法到達(dá)DMZ區(qū)的Web服務(wù)器，因?yàn)閷τ?0.0.0.100來說，Web服務(wù)器的地址是一個其他網(wǎng)絡(luò)的內(nèi)網(wǎng)地址：</p><p>　　圖3-7外部主機(jī)與WAN口連通性測試</p

47、><p>　　圖3-8外部主機(jī)與Web服務(wù)器連通性測試</p><p>　　2、Web服務(wù)器（172.16.0.2/29）主機(jī)，無法ping通外網(wǎng)PC，因?yàn)榉阑饓ι夏J(rèn)是拒絕連出的，它也無法ping通外網(wǎng)PC：</p><p>　　圖3-9 Web服務(wù)器與外部主機(jī)連通性測試</p><p>　　3、LAN區(qū)主機(jī)pc1（192.168.1.2/24

48、），無法ping通外網(wǎng)主機(jī)。 </p><p>　　圖3-10 LAN口與外網(wǎng)主機(jī)連通性測試</p><p>　　由于當(dāng)前網(wǎng)絡(luò)被防火墻隔離了，使得內(nèi)外網(wǎng)無法互訪，這時，我們可以通過端口映射的方式，使得外網(wǎng)可以訪問內(nèi)部網(wǎng)絡(luò)，同時通過策略設(shè)置使內(nèi)網(wǎng)可以訪問外網(wǎng)。</p><p>　　二、實(shí)現(xiàn)內(nèi)網(wǎng)訪問外網(wǎng)（SNAT）——為內(nèi)網(wǎng)PC提供對外網(wǎng)的訪問策略</p>

49、<p>　　1、配置SNAT映射可以讓所有內(nèi)部IP做地址轉(zhuǎn)換訪問外部</p><p>　　2、配置內(nèi)網(wǎng)LAN口下的PC1（192.168.1.2/24）可以訪問外網(wǎng)pc1（10.0.0.100）</p><p>　　3、進(jìn)入“防火墻”“NAT策略”“SNAT策略”界面，點(diǎn)擊“添加”，做訪問規(guī)則，然后設(shè)置規(guī)則參數(shù)，填寫目標(biāo)IP、目標(biāo)端口，選擇“啟用”，單擊“保存”。</p&

50、gt;<p>　　圖3-11 SNAT策略編輯界面</p><p>　　5、“防火墻”“LAN->WAN策略”“訪問策略”，填寫訪問策略的實(shí)施對象內(nèi)網(wǎng)pc1“192.168.1.2”，選擇規(guī)則“全部允許”，點(diǎn)擊“添加”</p><p>　　圖3-12 訪問策略編輯界面</p><p>　　三、實(shí)現(xiàn)外網(wǎng)訪問內(nèi)網(wǎng)（DNAT）——為外網(wǎng)PC提供對內(nèi)網(wǎng)的

51、訪問策略</p><p>　　1、進(jìn)入“防火墻”“NAT策略”“DNAT策略”界面，點(diǎn)擊“添加”，做訪問規(guī)則，然后設(shè)置規(guī)則參數(shù)，填寫目標(biāo)IP、目標(biāo)端口，選擇“啟用”，單擊“保存”。</p><p>　　圖3-13 DNAT策略編輯界面</p><p>　　把外網(wǎng)地址10.0.0.1的1080端口映射到172.16.0.2的80端口，當(dāng)訪問10.0.0.1的1080端

52、口時，防火墻就會把這個地址自動映射為172.16.0.2的80端口，外網(wǎng)訪問內(nèi)網(wǎng)的通道被打開</p><p>　　圖3-14 DNAT策略設(shè)置列表</p><p>　　3.2.4 L2TP配置</p><p>　　總公司出差的員工需要訪問公司內(nèi)網(wǎng)文件服務(wù)器上的文件夾，文件服務(wù)器的IP地址為172.16.0.3，出差的員工使用L2TP VPN連接到公司內(nèi)部文件服務(wù)器

53、。</p><p><b>　　VPN服務(wù)器端配置</b></p><p><b>　　一、創(chuàng)建證書</b></p><p>　　1、進(jìn)入“VPN”“CA認(rèn)證”“權(quán)威認(rèn)證證書”；</p><p>　　2、創(chuàng)建服務(wù)器本地證書“l(fā)ocal’s Bluedon”，然后進(jìn)行配置，點(diǎn)擊“創(chuàng)建簽名證書”，就會出

54、現(xiàn)一條證書</p><p>　　圖3-15權(quán)威認(rèn)證證書編輯界面</p><p><b>　　二、建立VPN隧道</b></p><p>　　1、選擇“VPN隧道”“L2TP移動客戶端”，創(chuàng)建L2TP移動客戶端VPN遂道：</p><p>　　圖3-16 L2TP移動客戶端編輯界面</p><p>

55、　　設(shè)置好后并點(diǎn)擊添加，就會出現(xiàn)一個名為ttt的隧道。</p><p>　　圖3-17 當(dāng)前隧道列表</p><p><b>　　三、啟動VPN</b></p><p>　　1、進(jìn)入“VPN”“啟動控制”，啟動VPN服務(wù)器。</p><p>　　2、進(jìn)入“全局設(shè)定”，在“默認(rèn)本地證書”的“CA權(quán)威認(rèn)證證書”中選擇loca

56、l’s Bluedon權(quán)威認(rèn)證證書，選擇“保存”。</p><p>　　3、進(jìn)入“防火墻”“LAN->LAN策略”“訪問策略”建立一條允許遠(yuǎn)程L2TP客戶同總公司LAN口對等相互訪問的策略，這樣出差員工就可以用L2TP隧道和總公司內(nèi)網(wǎng)連通。進(jìn)行配置后，點(diǎn)擊“添加”，就會出現(xiàn)下面一條訪問規(guī)則，至此，總公司服務(wù)器端配置結(jié)束。</p><p>　　圖3-18 訪問策略編輯界面</p&

57、gt;<p>　　VPN移動客戶端配置</p><p><b>　　VPN客戶端軟件</b></p><p>　　1、從網(wǎng)絡(luò)管理員處獲得VPN客戶端軟件，并安裝，安裝過程中寫入總公司的外部IP，為新連接取名為“ttt”。</p><p>　　圖3-19 VPN客戶端安裝界面</p><p>　　2、這里就填

58、入新建證書時的用戶名ttt，密碼123456,點(diǎn)擊“連接”。</p><p>　　圖3-20 VPN客戶端連接界面</p><p>　　至此VPN客戶端配置完成。</p><p>　　幾秒鐘后，連接成功，電腦右下角將顯示連接上的VPN。同時在“網(wǎng)絡(luò)連接”界面也會出現(xiàn)“虛擬專用網(wǎng)絡(luò)”——ttt（已連接）。</p><p>　　圖3-21 VPN

59、連接狀態(tài)</p><p>　　3.4 入侵檢測系統(tǒng)的架構(gòu)與實(shí)現(xiàn)</p><p>　　3.4.1 IDS設(shè)備部署與配置</p><p>　　基于有限公司的網(wǎng)絡(luò)考慮，采用鏡像口監(jiān)聽部署模式</p><p><b>　　IDS設(shè)備部署</b></p><p><b>　　1 連接設(shè)備&

60、lt;/b></p><p>　　圖3-22 IDS設(shè)備端口連接</p><p><b>　　2、登錄管理界面</b></p><p>　　從管理PC登錄藍(lán)盾NIDS設(shè)備Web管理界面前，需要確認(rèn)管理PC的IP地址與設(shè)備缺省管理口IP地址設(shè)置在同一網(wǎng)段：192.168.0.0/24。透過網(wǎng)線將管理PC連接到LAN1口，打開IE瀏覽器，在I

61、E地址欄輸入https://192.168.0.145 ,登錄進(jìn)去。 </p><p>　　圖3-23 NIDS網(wǎng)絡(luò)入侵檢測系統(tǒng)界面</p><p><b>　　IDS設(shè)備配置</b></p><p>　　“網(wǎng)絡(luò)設(shè)置”“網(wǎng)口配置”“網(wǎng)口”，將E2的LAN2的IP配置為192.168.2.2，點(diǎn)擊保存，然后重啟網(wǎng)絡(luò)。（將LAN2口做為管理口，用于

62、管理設(shè)備）</p><p>　　圖3-24 網(wǎng)口編輯界面</p><p>　　2、“系統(tǒng)”“系統(tǒng)工具”“IP工具”，直接ping 網(wǎng)關(guān)192.168.0.1檢驗(yàn)與內(nèi)網(wǎng)的連通性。</p><p>　　3、“系統(tǒng)”“管理設(shè)置”“管理界面訪問設(shè)定”，網(wǎng)口選擇LAN2，其余選項(xiàng)缺省，點(diǎn)擊添加。</p><p>　　4、“現(xiàn)有規(guī)則”中新增一條通過LAN

63、2訪問IDS界面的策略。</p><p>　　圖3-25 現(xiàn)有規(guī)則列表</p><p>　　5、“系統(tǒng)”“管理設(shè)置”“密碼”，按下圖配置管理員用戶，不啟用USBKEY。 就會出現(xiàn)一個超級管理員用戶</p><p>　　圖3-26 用戶創(chuàng)建界面</p><p>　　3.4.2 IDS入侵檢測</p><p>　　“入侵

64、規(guī)則”“檢測規(guī)則”，啟動如下入侵檢測規(guī)則中，要勾選User-defined（用戶自定義），點(diǎn)擊保存。</p><p>　　圖3-27 檢測規(guī)則設(shè)置界面</p><p><b>　　一、基礎(chǔ)參數(shù)</b></p><p>　　1、“入侵規(guī)則”“檢測規(guī)則”“自定義規(guī)則”“基礎(chǔ)參數(shù)”，參照下圖填入所要檢測的項(xiàng)，點(diǎn)擊添加。</p><

65、p>　　圖3-28 自定義規(guī)則編輯界面</p><p>　　選擇協(xié)議，點(diǎn)擊啟用。就得到一條針對所有未知入侵的檢測規(guī)則Intrusion _Info。</p><p>　　圖3-29 現(xiàn)有規(guī)則列表</p><p><b>　　二、IP參數(shù)</b></p><p>　　1、“入侵規(guī)則”“檢測規(guī)則”“自定義規(guī)則”“IP參

66、數(shù)”，參照下圖填入所要檢測的項(xiàng)，在t t l項(xiàng)填入64作為參考值，選擇啟用，點(diǎn)擊添加。</p><p>　　圖3-30 自定義規(guī)則編輯界面</p><p>　　添加后就得到一條名稱為IP _Info的檢測規(guī)則。</p><p>　　圖3-31 現(xiàn)有規(guī)則列表</p><p>　　三、設(shè)置ICMP參數(shù)</p><p>　　

67、1、“入侵規(guī)則”“檢測規(guī)則”“自定義規(guī)則”“ICMP參數(shù)”，填入選項(xiàng)，這里直接啟用檢測ICMP項(xiàng)來檢測PING工具，選擇啟用，然后再點(diǎn)擊添加。</p><p>　　圖3-32 自定義規(guī)則編輯界面</p><p>　　添加后就得到一條名稱為ICMP _info的檢測規(guī)則</p><p>　　圖3-33 現(xiàn)有規(guī)則列表</p><p><b&

68、gt;　　四、阻斷動作</b></p><p>　　1、“入侵規(guī)則”“檢測規(guī)則”“自定義規(guī)則”“阻斷動作”，填入所要檢測的項(xiàng)，這里選擇斷開ICMP。</p><p>　　圖3-34 自定義規(guī)則編輯界面</p><p>　　下面就得到一條名稱為Cutoff _Info的檢測規(guī)則</p><p>　　圖3-35 現(xiàn)有規(guī)則列表</

69、p><p>　　3.5 信息安全管理審計系統(tǒng)架構(gòu)與實(shí)現(xiàn) </p><p>　　3.5.1 系統(tǒng)的部署及系統(tǒng)登錄</p><p>　　信息安全管理審計系統(tǒng)是用來對內(nèi)部用戶訪問外部網(wǎng)絡(luò)的各種行為進(jìn)行記錄、控制、審計的一種網(wǎng)絡(luò)安全硬件設(shè)備，主要有LAN1、LAN2、LAN3、LAN4四個100M快速以太網(wǎng)絡(luò)接口。通過將不同網(wǎng)口橋接并設(shè)置監(jiān)控網(wǎng)口，我們可以有效的監(jiān)控網(wǎng)絡(luò)上傳

70、送的各種數(shù)據(jù)包。</p><p>　　信息安全管理審計系統(tǒng)使用web圖形界面進(jìn)行管理和設(shè)置，具有方便、快捷，易于用戶理解和掌握的優(yōu)點(diǎn)。另外一方面信息安全管理審計系統(tǒng)使用了https安全傳輸協(xié)議，保證在管理中傳輸?shù)南嚓P(guān)設(shè)置和信息不被竊聽，保護(hù)設(shè)備自身的安全。</p><p>　　1、系統(tǒng)前面板，結(jié)構(gòu)如圖3-36：</p><p>　　圖3-36 系統(tǒng)前面板</p

71、><p>　　2、系統(tǒng)后面板，結(jié)構(gòu)如圖3-37：</p><p>　　圖3-37 系統(tǒng)后面板</p><p><b>　　二、登錄系統(tǒng)：</b></p><p>　　1、設(shè)置管理PC地址圖（拓?fù)鋱D）將管理PC與信息安全管理審計系統(tǒng)連接，同時將管理PC的IP地址改為：192.168.0.3/24</p><

72、p>　　2、登錄系統(tǒng)，登錄后我們可以看到如圖3-38：</p><p>　　圖3-38 信息安全管理審計系統(tǒng)</p><p><b>　　三、設(shè)置橋接模式</b></p><p>　　接下來要將LAN3口和LAN4口橋接起來，以配置網(wǎng)關(guān)接入方式。</p><p>　　1、在左邊欄選擇選項(xiàng)“系統(tǒng)管理”->“系統(tǒng)

73、設(shè)置”。</p><p>　　2、在右邊欄選擇選項(xiàng)“橋接設(shè)置”->“使用橋接”，選擇“網(wǎng)口3”和“網(wǎng)口4”，點(diǎn)擊“確定”就橋接成功了。</p><p>　　圖3-39 橋接設(shè)置界面</p><p>　　3.5.2 網(wǎng)絡(luò)訪問與網(wǎng)絡(luò)日志查看</p><p>　　一、瀏覽網(wǎng)頁訪問日志。</p><p>　　1、登錄信

74、息安全管理審計系統(tǒng)，點(diǎn)擊“網(wǎng)絡(luò)日志”->“網(wǎng)頁瀏覽”，可看到網(wǎng)頁的內(nèi)網(wǎng)pc3訪問情況。</p><p>　　圖3-40 網(wǎng)頁瀏覽網(wǎng)絡(luò)日志列表</p><p>　　2、單擊相應(yīng)的時間，便可以查看每一條記錄的詳細(xì)情況。</p><p>　　3、設(shè)置訪問日期就能查看那段時期的日志。</p><p>　　二、其他網(wǎng)絡(luò)訪問行為的記錄</p&

75、gt;<p>　　1、在本地電腦中登陸QQ </p><p>　　2、登陸后打開信息安全管理審計系統(tǒng)，點(diǎn)擊“網(wǎng)絡(luò)日志”->“網(wǎng)絡(luò)聊天”，剛剛登陸的QQ號以及內(nèi)網(wǎng)pc3的IP地址已經(jīng)記錄在審計系統(tǒng)中。</p><p>　　圖3-41 網(wǎng)絡(luò)聊天網(wǎng)絡(luò)日志列表</p><p>　　3、對站點(diǎn)進(jìn)行訪問后，登陸信息安全管理審計系統(tǒng)，點(diǎn)擊“網(wǎng)絡(luò)日志”->

76、“telnet”，對站點(diǎn)的訪問不僅有內(nèi)網(wǎng)pc3的IP地址等信息的記錄，還有具體的傳輸內(nèi)容</p><p>　　圖3-42 Telnet網(wǎng)絡(luò)日志列表</p><p>　　3.5.3 監(jiān)控策略的應(yīng)用</p><p>　　監(jiān)控策略能夠通過對網(wǎng)絡(luò)中數(shù)據(jù)包內(nèi)容進(jìn)行關(guān)鍵字分析，對含有關(guān)鍵字的數(shù)據(jù)包進(jìn)行報警或者屏蔽。通過監(jiān)控策略，可以針對網(wǎng)頁瀏覽、telnet、文件傳輸設(shè)置關(guān)鍵

77、字，屏蔽敏感</p><p>　　一、網(wǎng)站的屏蔽與報警</p><p>　　1、內(nèi)部用戶PC訪問新浪網(wǎng)站www.sina.com.cn，確定能夠進(jìn)行正常網(wǎng)頁瀏覽。然后打開信息安全管理審計系統(tǒng)，點(diǎn)擊“策略管理”->“監(jiān)控策略”。</p><p>　　圖3-43 監(jiān)控策略編輯界面</p><p>　　2、、點(diǎn)擊右邊欄“添加策略”按鈕，出現(xiàn)如

78、下界面，設(shè)置策略名稱為禁止訪問新浪網(wǎng)站、同時選擇阻斷/報警，有效期設(shè)置選始終生效。</p><p>　　圖3-44 策略編輯界面</p><p>　　4、點(diǎn)擊“關(guān)鍵字”，設(shè)置關(guān)鍵字：sina，關(guān)鍵字類型選內(nèi)容關(guān)鍵字。</p><p>　　圖3-45 關(guān)鍵字編輯界面</p><p>　　6、確定后自動回到監(jiān)控策略設(shè)置界面，就會顯示已經(jīng)設(shè)置的策略

79、。單擊“策略下發(fā)”按鈕，應(yīng)用策略。再次打開瀏覽器訪問地址www.sina.com.cn，顯示“正在連接”，已經(jīng)無法訪問。</p><p>　　圖3-46 網(wǎng)頁無法連接界面</p><p><b>　　二、郵件屏蔽</b></p><p>　　1、下載Foxmail郵件收發(fā)軟件進(jìn)行安裝，發(fā)送一封郵件至自己的郵箱地址，確定郵箱能夠正常工作。<

80、/p><p>　　2、登錄信息安全管理審計系統(tǒng)，點(diǎn)擊“策略管理”-> “監(jiān)控策略”，進(jìn)入之后再點(diǎn)擊右邊欄“添加策略”后增加新策略，策略關(guān)鍵字填阻止郵件關(guān)鍵字“機(jī)密”，同時選擇阻斷和報警，有效期限選始終生效。</p><p>　　圖3-47 策略編輯界面</p><p>　　6、點(diǎn)擊“關(guān)鍵字”，設(shè)置關(guān)鍵字：機(jī)密、關(guān)鍵字類型：內(nèi)容關(guān)鍵字、適用服務(wù)：郵件訪問。

81、如下圖</p><p>　　圖3-48 關(guān)鍵字編輯界面</p><p>　　7、點(diǎn)擊“確定”后回到“監(jiān)控策略”界面，確認(rèn)已經(jīng)添加了相關(guān)策略，再點(diǎn)擊“策略下發(fā)”，打開foxmail，嘗試給自己郵箱發(fā)送一封郵件，郵件主題為“公司機(jī)密”。</p><p>　　8、點(diǎn)擊發(fā)送后提示放棄連接。郵件無法發(fā)送。</p><p>　　圖3-49 郵件無法發(fā)送提

82、示</p><p><b>　　三、禁止文件下載</b></p><p>　　1、訪問文件服務(wù)器172.16.0.3，嘗試下載ftp中公司年度財務(wù)報告，確定能夠下載。</p><p>　　2、登陸信息安全管理審計系統(tǒng)，點(diǎn)擊“策略管理”->“監(jiān)控策略”->“添加策略”。添加策略，設(shè)置策略名稱填阻止FTP下載關(guān)鍵字“財務(wù)”，同時勾選阻斷

83、和報警，有效設(shè)置選始終生效。</p><p>　　圖3-50 策略編輯界面</p><p>　　3、點(diǎn)擊“關(guān)鍵字”，設(shè)置關(guān)鍵字為財務(wù)，關(guān)鍵字類型填內(nèi)容關(guān)鍵字，適用服務(wù)勾選文件傳輸。</p><p>　　圖3-51 關(guān)鍵字編輯界面</p><p>　　4、點(diǎn)擊“確定”后回到監(jiān)控策略頁面，適用用戶PC再次登陸文件服務(wù)器172.16.0.3，嘗試下

84、載文件“公司年度財務(wù)報告”，進(jìn)度顯示一直為0，已經(jīng)無法下載。如圖3-48所示</p><p>　　圖3-52 文件復(fù)制對話框</p><p>　　3.6 內(nèi)網(wǎng)保密安全系統(tǒng)的架構(gòu)與實(shí)現(xiàn)</p><p>　　3.6.1內(nèi)網(wǎng)保密軟件的部署及登錄</p><p>　　通過安裝SQL2000數(shù)據(jù)庫軟件，用于存儲內(nèi)網(wǎng)保密軟件控制中心的相關(guān)數(shù)據(jù)，安裝內(nèi)網(wǎng)

85、保密控制中心軟件，實(shí)現(xiàn)對安全客戶端的監(jiān)控及審計，構(gòu)建完整的內(nèi)網(wǎng)安全保密及審計系統(tǒng)管理控制平臺。</p><p>　　一、安裝SQL2000數(shù)據(jù)庫軟件并下載補(bǔ)丁進(jìn)行升級；</p><p>　　二、安裝內(nèi)網(wǎng)保密系統(tǒng)控制中心軟件</p><p>　　圖3-53 內(nèi)網(wǎng)安全保密軟件安裝界面</p><p><b>　　三、登錄系統(tǒng)</b

86、></p><p>　　圖3-54 內(nèi)網(wǎng)安全保密軟件登陸界面</p><p>　　3.6.2 上網(wǎng)行為監(jiān)控</p><p><b>　　一、新建模塊</b></p><p>　　1、點(diǎn)擊選項(xiàng)“功能”“安全策略”“安全策略管理中心”“策略模板管理”，點(diǎn)擊“新建模塊”。</p><p>　　圖3

87、-55 新建模板界面</p><p>　　2、啟動上網(wǎng)行為監(jiān)控，再點(diǎn)擊添加進(jìn)行配置</p><p>　　圖3-56 添加/修改上網(wǎng)規(guī)則界面</p><p><b>　　三、下發(fā)策略</b></p><p>　　選擇選項(xiàng)“本地策略管理”，點(diǎn)擊“應(yīng)用策略模版” ，下發(fā)策略選擇好需要下發(fā)的部門和主機(jī)。</p>&

88、lt;p><b>　　四、查詢審計</b></p><p>　　1、點(diǎn)擊選項(xiàng)“功能”“審計報表”“審計報表管理中心”，選擇“查詢統(tǒng)計”，雙擊“上網(wǎng)行為監(jiān)控”會出現(xiàn)一個報表，雙擊報表進(jìn)行查看。</p><p>　　3.7 趨勢科技防毒墻配置</p><p>　　結(jié)合有限公司的網(wǎng)絡(luò)需求分析和實(shí)際情況，決定采用趨勢科技防毒墻網(wǎng)絡(luò)版10.0&l

89、t;/p><p>　　一． 安裝前的準(zhǔn)備工作</p><p>　　1． 確認(rèn)已經(jīng)將10.0 SP1安裝包OSCE_10_With_SP1_B1892_SC及</p><p>　　SP1 Patch1補(bǔ)丁程序OSCE_10.0_B1895_SC_SP1_Patch1下載到</p><p>　　預(yù)安裝服務(wù)器的本地硬盤上；</p><

90、;p>　　2． 預(yù)安裝服務(wù)器已經(jīng)成功安裝IIS</p><p>　　3． 本地IP已經(jīng)成功配置</p><p>　　4． 建議服務(wù)器計算機(jī)至少2Ghz以上內(nèi)存。</p><p><b>　　二． 開始安裝</b></p><p>　　1．將已下載到服務(wù)器的安裝包 OSCE_10_With_SP1_B1892_SC解

91、壓縮并進(jìn)行安裝。安裝過程中選擇安裝到一臺電腦，掃描目標(biāo)計算機(jī)，安裝集成型服務(wù)器，安裝網(wǎng)絡(luò)版客戶端，配置軟件安裝，安裝完畢后重啟電腦。</p><p>　　2、服務(wù)器重啟完畢后，在Officescan 10.0 服務(wù)器雙擊執(zhí)行SP1 Patch1補(bǔ)丁程序安裝包再重啟電腦。</p><p>　　3、設(shè)置服務(wù)器更新頻率</p><p>　　圖3-57 服務(wù)器預(yù)設(shè)更新編輯界

92、面</p><p>　　4.全局客戶端設(shè)置：</p><p>　　依次展開“聯(lián)網(wǎng)計算機(jī)”-“全局客戶端設(shè)置”， 設(shè)置“將手動掃描添加到客戶端計算機(jī)的Windows快捷菜單中”。</p><p>　　圖3-58 全局客戶端設(shè)置編輯界面</p><p>　　設(shè)置病毒碼過期提醒。根據(jù)需要進(jìn)行相關(guān)設(shè)置，其他的一般采用默認(rèn)即可 </p>

93、<p>　　圖3-59 全局客戶端設(shè)置編輯界面</p><p>　　依次展開“聯(lián)網(wǎng)計算機(jī)”-“客戶端管理”； 在設(shè)置選項(xiàng)中選擇“實(shí)時掃描設(shè)置”，然后在“處理措施”選項(xiàng)中選擇開啟“檢測到病毒/惡意軟件時在客戶端計算機(jī)上顯示通知消息”，其它設(shè)置選擇默認(rèn)設(shè)置。</p><p>　　圖3-60 實(shí)時掃描設(shè)置編輯界面</p><p><b>　　6.行為監(jiān)

94、控設(shè)置</b></p><p>　　在設(shè)置選項(xiàng)中選擇“行為監(jiān)控設(shè)置”，進(jìn)入后選擇默認(rèn)設(shè)置；</p><p>　　圖3-61 行為監(jiān)控設(shè)置編輯界面</p><p><b>　　7、設(shè)備控制設(shè)置：</b></p><p>　　在設(shè)置選項(xiàng)中選擇“設(shè)備控制設(shè)置”，進(jìn)入后選擇不啟用預(yù)設(shè)日志刪除。進(jìn)行日志維護(hù)設(shè)置<

95、/p><p>　　圖3-62 日志維護(hù)編輯界面</p><p>　　服務(wù)器更新：依次展開“更新”-“服務(wù)器”-“手動更新”，點(diǎn)擊更新。更新完畢后就完成了基本配置</p><p>　　第4章 安全架構(gòu)實(shí)現(xiàn)效果驗(yàn)證</p><p>　　4.1 防火墻的架構(gòu)與實(shí)現(xiàn)效果驗(yàn)證</p><p>　　連接與登錄配置：使用ping命令測試

96、防火墻和管理主機(jī)間的互通，能互通。</p><p>　　圖4-1防火墻與管理主機(jī)連通性測試</p><p>　　透明模式（網(wǎng)橋模式）的安裝與部署：LAN內(nèi)任何一臺主機(jī)可以ping通路由地址。</p><p>　　圖4-2 LAN內(nèi)主機(jī)與路由器連通性測試</p><p>　　內(nèi)外網(wǎng)互訪策略編輯與管理：</p><p>　

97、　1、外部主機(jī)（10.0.0.100/24），通過http://10.0.0.1:1080可以訪問DMZ口的Web服務(wù)器：</p><p>　　圖4-3外部主機(jī)與web服務(wù)器連通性測試</p><p>　　2、DMZ區(qū)的Web服務(wù)器（172.16.0.2/29）主機(jī)，仍然無法ping通外網(wǎng)主機(jī)：</p><p>　　圖4-4 Web服務(wù)器與外部主機(jī)連通性測試<

98、/p><p><b>　　L2TP配置：</b></p><p>　　1、在DOS下用“ipconfig”命令，會出現(xiàn)獲取的總公司內(nèi)網(wǎng)的IP地址192.168.1.6</p><p>　　圖4-5公司內(nèi)網(wǎng)IP地址查詢</p><p>　　2、PING通了總公司內(nèi)網(wǎng)的網(wǎng)關(guān)192.168.1.1</p><p

99、>　　圖4-6外部主機(jī)與內(nèi)網(wǎng)連通性測試</p><p>　　PING通文件服務(wù)器172.16.0.3，已可以和文件服務(wù)器進(jìn)行數(shù)據(jù)交換。</p><p>　　圖4-7外部主機(jī)與文件服務(wù)器連通性測試</p><p>　　4.2 入侵檢測的架構(gòu)與實(shí)現(xiàn)效果驗(yàn)證</p><p>　　針對IDS檢測規(guī)則的操作，得到了一下入侵日志：</p>

100、;<p><b>　　掃描操作</b></p><p>　　圖4-8 掃描操作入侵日志列表</p><p><b>　　Ping操作</b></p><p>　　圖4-9 PING操作入侵日志列表</p><p><b>　　阻斷操作</b></p>

101、<p>　　圖4-10阻斷操作入侵日志列表</p><p>　　4.3 內(nèi)網(wǎng)安全的架構(gòu)與實(shí)現(xiàn)效果驗(yàn)證</p><p>　　網(wǎng)絡(luò)訪問與網(wǎng)絡(luò)日志：網(wǎng)絡(luò)訪問時留下的網(wǎng)絡(luò)日志</p><p>　　圖4-11 網(wǎng)頁瀏覽網(wǎng)絡(luò)日志列表</p><p><b>　　監(jiān)控策略的使用：</b></p><p&

102、gt;　　圖4-12 監(jiān)控策略列表</p><p>　　由上面這些圖片可以看出，方案中的網(wǎng)絡(luò)安全架構(gòu)均能實(shí)現(xiàn)。</p><p><b>　　第5章 總 結(jié)</b></p><p>　　在設(shè)計方案的時候，由于網(wǎng)絡(luò)安全方面知識學(xué)習(xí)的不徹底，在設(shè)計完成方案時就考慮的不太周全，導(dǎo)致方案有優(yōu)點(diǎn)的同時也存在著一些缺點(diǎn)。</p><p&g

103、t;<b>　　方案的優(yōu)點(diǎn)：</b></p><p>　　有效的防止信息不泄露給非授權(quán)用戶、實(shí)體。</p><p>　　信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失</p><p>　　網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運(yùn)行等有關(guān)的相對措施</p><p>　　有效的阻止一些不良信息以及病毒的入侵<

104、/p><p>　　內(nèi)網(wǎng)的安全得到很大的完善</p><p><b>　　方案的缺點(diǎn)：</b></p><p>　　對防毒墻的部分設(shè)置不了解，設(shè)置不夠完善</p><p>　　設(shè)計時沒有考慮到以后的優(yōu)化升級，以后的優(yōu)化升級存在著一定的困難</p><p>　　在這次方案的實(shí)現(xiàn)上，認(rèn)識到了自己在網(wǎng)絡(luò)安全方

105、面技術(shù)知識方面的缺乏，許多技術(shù)需要通過網(wǎng)上搜索或者求助的方式來實(shí)現(xiàn)想要的效果。后來在擬定了方案大概要做的步驟后，就著手開始了解網(wǎng)絡(luò)安全等一系列的知識學(xué)習(xí)，在實(shí)現(xiàn)方案的時候，我發(fā)現(xiàn)還有許多不是很明白的地方，如：防火墻的安全策略包括哪些內(nèi)容？如何根據(jù)安全需求制定一個網(wǎng)絡(luò)的安全策略？</p><p>　　剛開始的時候?qū)嶒?yàn)感覺很困難，后來通過慢慢的研究，感覺也不是那么難不可攻。雖然隨著實(shí)驗(yàn)的進(jìn)行遇到的問題也越多，但是有信

106、心通過自己在網(wǎng)上查詢以及咨詢一些好友來進(jìn)行解決。網(wǎng)絡(luò)安全需要考慮到多方面的知識，要做一個安全的企業(yè)網(wǎng)絡(luò)不是一蹴而就的事情，需要通過不斷的測試、研究、修改來進(jìn)行各方面的完善，這需要一個積累的過程。通過這次編寫文章，無論是在網(wǎng)絡(luò)知識方面還是為人處事方面，都有了十足的進(jìn)步，同時對自己也有了更為嚴(yán)格的要求，以此來督促自己不斷的進(jìn)步。 </p><p><b>　　參考文獻(xiàn)</b></p>

107、;<p>　　[1]． 史曉紅.網(wǎng)絡(luò)安全完全技術(shù)寶典[M].北京：中國鐵道出版社，2010.25-26</p><p>　　[2]． 彭文波，彭圣魁，萬建邦.網(wǎng)絡(luò)安全完全技術(shù)寶典[M].北京：清華大學(xué)出版社，2011.116-128</p><p>　　[3]. Eric Cole，曹繼軍，林信龍，李化.網(wǎng)絡(luò)安全寶典（第二版）[M].北京：清華大學(xué)出版社，2010.1

108、2-23</p><p>　　[4]. 劉曉輝.網(wǎng)絡(luò)安全設(shè)計、配置與管理大全[M].三河：電子工業(yè)出版社，2012.7-36</p><p>　　[5]. 崔宇鵬 .《校園網(wǎng)安全防御策略研究》 [R]. 現(xiàn)代企業(yè)文化，2010.1-12</p><p>　　[6]. 閆宏生，王雪莉，楊軍. 計算機(jī)網(wǎng)絡(luò)安全與防護(hù) [M]．三河：電子工業(yè)出版社，2011.4