第一篇：影響大型企業辦公網絡安全的主要因素及防范措施

影響大型企業辦公網絡安全的主要因素及防范措施

摘要：隨著信息時代的發展，當前大型企業基本都建立起了自己企業內部的辦公網絡，其網絡結構一般較為復雜，用戶多且素質差異較大，使得辦公網絡面臨很多網絡安全問題。本文針對大型企業辦公網絡的安全問題，分析了其主要影響因素，并提出了相應的防范措施和策略。

關鍵詞：企業辦公網絡 網絡安全 影響因素 防范措施

前言

在互聯網的體系結構中，企業辦公網絡（局域網）處于網絡結構的最底層，是與用戶最為接近的一個環節，具有最廣的用戶面。由于企業局域網的通信具有多樣性的特點，使得局域網協議缺陷以及其他諸多方面的因素威脅著企業用戶上網的安全。大型企業的業務能否順利運行、企業的效能以及企業核心競爭力的發揮都與辦公網絡的安全有重要關聯。因此，企業辦公人員應當提高辦公網絡安全意識，了解企業局域網安全的相關防范措施。企業辦公網絡的結構及特點簡介

1.1 企業辦公網絡的分區

企業辦公網絡的合理分區，有助于對不同局域網區域安全問題采取不同的措施或策略。企業辦公局域網一般可分為核心區、DMZ區(緩沖區)以及接入區三個區域，如圖1所示。核心區放置存儲系統、備份服務器以及數據庫服務器等關鍵服務器；接入區用于internet、其它系統等的接入；而DMZ區則實現核心區同接入區間的緩沖連接，用于需提供外部訪問的代理服務器、DNS等服務器。

圖1 企業辦公網絡拓撲結構圖

1.2 大型企業辦公網絡特點

大型企業辦公網絡一般具有網絡結構復雜、覆蓋范圍廣、辦公網絡的用戶眾多、用戶素質水平差異大等特點。企業局域網內商業信息、機密文件的傳輸量很大，而企業辦公網絡用戶的網絡安全意識普遍較低，使得企業機密容易泄露或者遭遇惡意篡改等網絡安全問題。而且，企業辦公局域網同互聯網一般都存在一定程度的連接，因此，企業局域網同時也受到來自互聯網的網絡威脅。影響企業辦公網絡安全的因素

2.1 計算機病毒的感染、傳播

網絡安全最主要的影響因素之一就是計算機病毒。早期的病毒主要是感染存儲設備中的文件，并通過移動設備傳播，病毒的“發作”會損壞軟、硬件系統。計算機病毒發展到現在，破壞性變得更強，且隱蔽性更好、感染性更強、傳播效率更高。病毒的傳播除通過U盤、惡意網頁、電子郵件等途徑外，還能利用網絡共享、操作系統漏洞等在局域網內快速的擴散。同時由于其強隱蔽性的特點，用戶很難發現。此外，新病毒及病毒變種的產生速度非?？煲灾劣诤芏鄽⒍拒浖疾荒芎芎玫钠鸬阶饔?。

2.2 管理、制度漏洞

企業網絡管理漏洞會使企業外部人員有機會通過一定途徑取得本企業相關權限，非法竊取企業信息、數據，破壞企業網絡，對企業網絡系統安全造成威脅。

2.3 黑客入侵

盡管大型企業的辦公網絡同互聯網的連接相對較少，但黑客入侵企業網絡的可能性仍很高。一旦遭遇黑客的入侵，整個企業網絡將面臨巨大的安全風險。

2.4 設備軟硬件故障

服務器硬件故障、應用軟件故障、操作系統崩潰等故障都會導致企業用戶無法正常使用網絡，負荷不均或過重會使系統響應能力降低。路由器、交換機等網絡設備、光纖、雙絞線等傳輸介質等故障都會引起網絡通信故障。

2.5 數據的破壞、竊取

企業用戶由于操作疏忽或不熟練造成的誤操作會導致部分數據的丟失或破壞，外在因素如自然災害和設備硬件的損壞也會引起數據損壞。安全防范措施

3.1 服務器安全

要把握最小服務的原則配置服務器，關閉非必要網絡服務，從而降低安全風險。服務可用性的保障，可采取負載均衡+主機備份的模式部署，對日常數據建立備份。定期檢測維護硬件，以提高服務器的安全性、穩定性。

3.2 調整、優化網絡結構

按照企業地理位置或組織架構劃分為相互獨立的多個子網，以減小企業不同區域、部門網絡間的相互影響。對子網間網絡設備的訪問設置特定的規則，使其能按管理的要求約束各個子網間的訪問權限，防止外部用戶非法訪問機密數據。

3.3 安全意識

依靠技術、建立安全設施解決企業的網絡安全問題僅僅是企業網絡安全的第一步，在安全體系中能有效的貫徹安全制度、不斷提高企業用戶的安全意識才能全面提高企業的網絡安全。

3.4 管理要求

企業管理層要從根本上加強對網絡安全的重視。對企業辦公網絡的應用系統建立嚴格的、完善的帳號管理和審查制度。對員工定期培訓，提高企業員工整體網絡安全意識。完善企業網絡安全保密制度，規范員工的網絡使用行為，杜絕人為破壞網絡以及企業信息泄密現象的發生。

3.5 設備的配置

企業網絡的第一道防線是防火墻，防火墻的配置可僅允許外部用戶訪問公開的網絡服務，屏蔽常見病毒用到的IP地址、端口等，降低病毒感染和被木馬攻擊的機率。VPN防火墻利用VPN功能能保證企業內部辦公網絡的安全，而且用戶遠程訪問也更安全。合理配置交換機、路由器，設置滿足安全規范的使用密碼也是十分有效的防范措施。

3.6 機密數據的安全

要備份機密數據，不能在網絡中傳播機密數據，應當用高強度加密算法對機密數據加密，然后通過安全渠道傳輸數據，接觸機密數據的人員越少越好。此外，密鑰的安全管理、鑰分發方式以及更換的及時性都對數據的安全有重要影響。

3.7 終端安全

計算機病毒木馬通常以終端作為實施破壞和攻擊的柄息地，病毒攻擊途徑可通過關閉非必要的網絡服務來減少，系統的安全性則可通過定期更換、禁用Guest用戶來提高。網絡共享服務盡量關閉，傳送文件采取其他較為安全的方式。系統補丁要及時更新，安裝性能優異的殺毒軟件以提高終端的安全防護。

結束語

信息時代大環境下的企業網絡安全問題隨時變化，企業辦公網絡安全的維護不僅要從技術、設備上采取防范措施，還應當更加重視企業網絡的安全管理和提高企業員工的網絡安全意識，這樣才能全面提高企業辦公網絡的安全性。

參考文獻：

[1] 張桂紅.企業辦公網絡安全的研究與實踐.武漢交通職業學院學報，2009，11

（3）：77~79

[2] 黃婷，鄒鵬.大型企業辦公網絡安全.科技資訊，2009，33：152

[3] 巴虎.淺談企業網絡安全風險及其對策.企業技術開發，2009，28:20~21

第二篇：淺析網絡安全的威脅因素及防范措施

淺析網絡安全的威脅因素及防范措施

摘要：

網絡安全問題一直是計算機良好發展的關鍵性因素。隨著網絡的飛速發展,網絡安全問題日趨凸現。本文通過對網絡安全的主要威脅因素進行分析,著重闡述了幾種常用的網絡安全的防范措施。

關鍵詞：網絡安全；威脅因素；防范措施

一、網絡安全的威脅因素分析

隨著網絡的飛速發展，網絡安全問題日趨凸顯，目前的網絡安全技術主要有以下幾種：

1、計算機軟件的漏洞

每一個網絡軟件或操作系統的存在都不可能是沒有缺陷、沒有漏洞的,這就是說每一臺計算機都是不安全的,只要計算機室連接入網的,都將成為眾矢之的。

2、相關軟件配置不當

對于沒有做好安全配置的電腦同樣會造成網絡安全的漏洞,諸如,如果防火墻軟件配置不正確,那防火墻就起不到應有的作用。對計算機上的某些網絡應用程序,當它打開時,就相應的打開了一些安全缺口,同樣的與該軟件捆綁在一起的應用軟件也會被打開。除非用戶不讓該程序運行或對其進行正確配置,否則,計算機始終存在安全隱患。

3、用戶個人安全意識不強

安全意識的問題主要針對用戶本人，對與用戶口令選擇或將賬號隨意告知他人或與別人共享等,都會給計算機帶來網絡安全威脅。

4、網絡病毒

目前計算機病毒是數據安全的頭號大敵,它是制造者在計算機程序中植入的損壞計算機數據或功能,對計算機軟硬件的正常運行造成影響并能夠自我復制的計算機程序代碼或指令。計算機病毒具有觸發性、破壞性、寄生性、傳染性、隱蔽性等特點。因此,針對計算機病毒的防范尤為重要。

5、電腦黑客

電腦黑客(Cracker)是對計算機數據安全構成威脅的另一個重要方面。電腦黑客是利用系統中的安全漏洞非法進入他人的系統,是一種甚至比病毒更危害的安全因素。

二、網絡安全的防范措施

目前常用的幾種網絡安全技術防范措施有以下幾種：

1、防火墻(Fire Wall)安全技術

防火墻是指Internet之間通過預定的安全策略,對計算機內外網通信強制實施的訪問控制的安全應用措施。它按照一定的安全策略對網絡之間傳輸的數據包實施檢查,以裁決網絡之間的通信是否應該被允許,并監視網絡運行狀態。由于它透明度高且簡單實用,目前被廣泛應用。據統計,近五年防火墻需求的年增長率為174%。目前,市面上防火墻種類很多,有些廠商甚至把防火墻植入其硬件產品中。可以斷定，防火墻技術將得到進一步發展。但是,防火墻也并非想象的那樣不可安全。統計顯示,曾被黑客入侵的網絡用戶有33%是有防火墻的,所以還必須有其它安全措施保證網絡信息,諸如對數據的加密處理。而且防火墻無法保護對企業內部網絡的安全，只能針對外部網絡的侵擾。

2、用戶數據加密技術

數據加密是對數據信息重新編碼,從而隱匿信息內容,讓非法用戶無法得知信息本身內容的手段。信息系統及數據的安全性和保密性主要手段之一就是數據加密。數據加密的種類有數據傳輸、數據完整性鑒別、數據存儲以及密鑰管理四種。數據傳輸加密的目的是對傳輸中的數據流加密,常用的有線路加密和端口加密兩種;數據完整性鑒別的目的是對介入信息傳送、存取、處理人的身份和相關數據內容進行驗證,達到保密的要求,系統通過對比驗證對象輸入的特征值是否符合預先設定的參數,實現對數據的安全保護;數據存儲加密是以防止在存儲環節上的數據失密為目的,可分為密文存儲和存取控制兩種。數據加密技術現多表現為密鑰的應用,密鑰管理實際上是為了數據使用方便。密鑰管理技術包括密鑰的產生、分配保存、更換與銷毀等各環節上的保密措施。另外,數字加密也廣泛地被應用于數字簽名、信息鑒別等技術中,這對系統的信息處理安全起到尤為重要的作用。

3、計算機系統容災技術

災難容忍和系統恢復能力彌補了網絡安全體系僅有的防范和檢測措施的不足。由于沒有哪一種網絡安全設施是萬無一失的,一旦發生安全漏洞事件,其后果

將是不可設想的。還有,人為等不可預料導致的事件也會對信息系統造成巨大的毀壞。所以一個安全體系就算發生滅難,也能對系統和數據快速地恢復,進而完整地保護網絡信息系統。目前系統容災技術主要有數據備份。但對于離線介質不能保證系統安全。數據容災通過IP容災技術來保證數據的安全。數據容災是在兩個存儲器（一個在本地，一個在異地）之間建立復制關系。本地存儲器供本地備份系統使用,異地存儲器對本地備份存儲器的關鍵數據實時復制。兩者通過IP相聯系,組成完整的數據容災系統。系統容錯技術還有一種就是集群技術,是通過對系統的容錯和整體冗余來解決不可用和系統死機問題。本地集群網絡、異地集群網絡和雙機熱備份是集群系統多種形式實現,提供了不同的系統可用性和容災性。其中容災性是最好的是異地集群網絡。數據存儲系統集成了存儲、備份和容災技術。是數據技術發展的重要階段。伴著存儲網絡化時代的發展, 一體化的多功能網絡存儲器勢必將取代傳統的功能單一的存儲器。

4、軟件漏洞掃描技術

自動檢測本地主機或遠端安全的技術就是漏洞掃描,它隨時查詢TCP/IP服務的端口, 收集關于某些特定項目的有用信息，并記錄目標主機的響應。漏洞掃面技術是通過安全掃描程序來實現。掃描程序可以迅速的檢查出現存的安全脆弱點。掃描程序吧可得到的攻擊方法集成到整個掃描中,之后以統計的格式輸出供以后參考和分析。

5、物理安全技術

系統信息還有可能在空間擴散，這就需要信息網絡系統的物理安全。為減少或干擾擴散出去的空間信號，一般是在物理上采取一定的防護措施。物理安全方面一般的措施如下：

（1）產品保障：主要指產品采購、運輸、安裝等方面的安全措施。

（2）運行安全方：網絡中的產品在使用過程中,必須能夠從生成廠家或供貨單位得到迅速的技術支持和服務。對一些關鍵設備和系統,應設置備份系統。

（3）防電磁輻射方面：針對所有重要涉密的設備都需安裝防電磁輻射產品,如輻射干擾機等。

（4）安保方面：主要是防盜、防火等,還包括網絡系統所有網絡設備、計算機、安全設備的安全防護。

計算機網絡安全是個具有復雜性和綜合性的問題。針對各種各樣的挑戰以及整個社會愈來愈快的信息化發展進程,相關的網絡安全的各種新的防范措施將會不斷出現和應用。

參考文獻：

[1] 唐曦光.朱梅梅．計算機網絡安全的威脅因素及防范技術．現代化農業．2010.[2] 劉采利.淺析計算機網絡安全隱患.科技天地.2010.[3] 張蘊卿.丁際交．計算機網絡安全的威脅因素及防范技術．實用技術.2010.[4] 劉學輝.計算機網絡安全的威脅因素及防范技術．信息科技.2007．

第三篇：大型企業網絡安全解決方案畢業論文

XXXXXXXXXXXXXXX 畢 業 論 文

企業網絡安全解決方案

姓 名：

學 號：

指導老師：

系 名：

專 業：

班 級：

XXXXXXXXXX計算機專業畢業設計

摘

要

隨著社會的飛速發展，網絡技術的也在飛速的發展之中，現如今網絡已經無所不在的影響著社會的政治、經濟、文化、軍事、意識形態和社會生活等各個方面。同時在全球范圍內，針對重要信息資源和網絡基礎設施的入侵行為和企圖入侵行為的數量仍然不斷增加，網絡攻擊與入侵行為對國家安全、經濟和社會生活造成了極大的威脅。計算機病毒的不斷的通過網絡產生和傳播，計算機網絡被不斷地非法入侵，重要情報、資料被竊取，甚至造成網絡系統的癱瘓等等，諸如此類的事件已經給政府以及企業造成了巨大的損失，甚至危害到國家的安全。網絡安全已經成為世界各國當今共同關注的焦點，網絡安全的重要性是不言而喻的。

本文是構思了一個虛擬的企業網絡的設計，重點研究了公司不同分部之間通過VPN技術來實現在廣域網中的加密連接。以及詳細的設計了總公司的網絡安全策略，保證了內部服務器等的信息安全，按照需求對企業網絡安全進行了系統的規劃，對計算機網絡安全進行了全面的分析。在滿足了各個子網連通的前提下，提出了包括AAA認證、SSH登陸、Easy VPN、訪問控制限制、NAT技術、入侵檢測部署、病毒防護、掃描系統管理措施和安全技術在內的整套方案。目的是建設一個完整的、安全的網絡體系，是網絡安全系統真正獲得較好的效果。關鍵詞： 網絡，安全，VPN，防火墻，防病毒

I

XXXXXXXXXX計算機專業畢業設計

Abstract

With the rapid development of society and also the rapid development of network technology, is now the network has been the ubiquitous influence of society in all aspects of political, economic, cultural, military, ideological and social life.Worldwide for the intrusion and the number of attempted intrusions of the important information resources and network infrastructure is still growing, network attacks and intrusions caused a grave threat to national security, economic and social life.Computer virus continues through the network and dissemination, computer networks are the illegal invasion, important information, data theft, and even cause paralysis of the network system, such events have caused huge losses to the government and enterprises, and even harm to national security.Network security has become the focus of attention today in the world, the importance of network security is self-evident.This article is the idea of a virtual enterprise network design, focusing on the encrypted connection between the different segments of the company through VPN technology to achieve WAN.And detailed design of the network security policy of the Corporation to ensure the internal server, such as information security, in accordance with the needs of enterprise network security planning of the system, conducted a comprehensive analysis of computer network security.Satisfy the premise that each subnet connectivity, including the AAA authentication, SSH login to the Easy VPN, access control restrictions, the NAT technology, intrusion detection deployment, virus protection, scanning system management measures and security technologies, including the package.The purpose is to build a complete, secure network architecture, network security systems really get better results.Keywords: network, security, VPN, firewall, anti-virus

II

XXXXXXXXXX計算機專業畢業設計

目錄

摘

要............................................................................................................................................................I 第一章 緒

論...............................................................................................................................................1 1.1 網絡的起源......................................................................................................................................1 1.2網絡安全的重要性...........................................................................................................................1 第二章 企業網絡安全概述...........................................................................................................................3 2.1 企業網絡的主要安全隱患............................................................................................................3 2.2 企業網絡的安全誤區....................................................................................................................3 第三章

企業網絡總體設計方案.................................................................................................................5 3.1 公司背景..........................................................................................................................................5 3.2 企業網絡安全需求..........................................................................................................................5 3.3 需求分析..........................................................................................................................................5 3.4 企業網絡結構..................................................................................................................................6 3.5 企業IP地址的劃分........................................................................................................................9 第四章 企業網絡安全技術介紹...................................................................................................................9 4.1 Easy VPN..........................................................................................................................................9 4.1.1 什么是VPN..........................................................................................................................9 4.1.2 VPN 的分類........................................................................................................................10 4.1.3 Easy VPN.............................................................................................................................10 4.2 SSH.................................................................................................................................................11 4.2.1 SSH介紹..............................................................................................................................11 4.2.2 SSH與Telnet的區別..........................................................................................................11 4.3 AAA服務器...................................................................................................................................12 4.3.1 AAA介紹............................................................................................................................12 4.3.2 認證(Authentication)...........................................................................................................12 4.3.3 授權(Authorization)............................................................................................................12 4.3.4 審計(Accounting)................................................................................................................13 4.4 IDS 入侵檢測系統.....................................................................................................................13 4.5 firewall 防火墻...........................................................................................................................13 4.5.1 什么是防火墻.....................................................................................................................13 4.5.2 防火墻類型.........................................................................................................................14 第五章 企業網絡設備實施方案.................................................................................................................14 5.1 企業物理安全規劃......................................................................................................................14 5.2 設備選型........................................................................................................................................15 5.3 設備配置........................................................................................................................................16 5.3.1 交換機.................................................................................................................................16 5.3.2 路由器與防火墻.................................................................................................................25 5.3.3 服務器.................................................................................................................................28 第六章 項目測試.........................................................................................................................................30 6.1 DHCP驗證.....................................................................................................................................32 6.2 網絡連通性....................................................................................................................................35 6.3 網絡安全性....................................................................................................................................37 6.3.1 SSH與console的權限.......................................................................................................37 6.3.2 網絡連通安全性.................................................................................................................40 6.4 分公司與總公司安全性................................................................................................................42 總

結...........................................................................................................................................................45 致

謝...........................................................................................................................................................46 參考文獻.......................................................................................................................................................47

III

XXXXXXXXXX計算機專業畢業設計

IV

XXXXXXXXXX計算機專業畢業設計

第一章 緒

論

1.1 網絡的起源

與很多人的想象相反，Internet并非某一完美計劃的結果，Internet的創始人也絕不會想到它能發展成目前的規模和影響。在Internet面世之初，沒有人能想到它會進入千家萬戶，也沒有人能想到它的商業用途。

1969年12月，Internet的前身--美國的ARPA網（為了能在爆發核戰爭時保障通信聯絡，美國國防部高級研究計劃署ARPA資助建立了世界上第一個分組交換試驗網ARPANET）投入運行，它標志著我們常稱的計算機網絡的興起。這個計算機互聯的網絡系統是一種分組交換網。分組交換技術使計算機網絡的概念、結構和網絡設計方面都發生了根本性的變化，它為后來的計算機網絡打下了基礎。

八十年代初，隨著PC個人微機應用的推廣，PC聯網的需求也隨之增大，各種基于PC互聯的微機局域網紛紛出臺。這個時期微機局域網系統的典型結構是在共享介質通信網平臺上的共享文件服務器結構，即為所有聯網PC設置一臺專用的可共享的網絡文件服務器。PC是一臺“麻雀雖小，五臟俱全”的小計算機，每個PC機用戶的主要任務仍在自己的PC機上運行，僅在需要訪問共享磁盤文件時才通過網絡訪問文件服務器，體現了計算機網絡中各計算機之間的協同工作。由于使用了較PSTN速率高得多的同軸電纜（費用少，傳輸距離100米）、光纖等高速傳輸介質，使PC網上訪問共享資源的速率和效率大大提高。這種基于文件服務器的微機網絡對網內計算機進行了分工：PC機面向用戶，微機服務器專用于提供共享文件資源。所以它實際上就是一種客戶機/服務器模式。

進入九十年代，計算機技術、通信技術以及建立在計算機和網絡技術基礎上的計算機網絡技術得到了迅猛的發展。特別是1993年美國宣布建立國家信息基礎設施NII后，全世界許多國家紛紛制定和建立本國的NII，從而極大地推動了計算機網絡技術的發展，使計算機網絡進入了一個嶄新的階段。目前，全球以美國為核心的高速計算機互聯網絡即Internet已經形成，Internet已經成為人類最重要的、最大的知識寶庫。而美國政府又分別于1996年和1997年開始研究發展更加快速可靠的互聯網2（Internet 2）和下一代互聯網（Next Generation Internet）?？梢哉f，網絡互聯和高速計算機網絡正成為最新一代的計算機網絡的發展方向。

1.2網絡安全的重要性

隨著信息化技術的飛速發展，許多有遠見的企業都認識到依托先進的IT技術構建企業自身的業務和運營平臺將極大地提升企業的核心競爭力，使企業在殘酷的競爭環境中脫穎而出。經營管理對

XXXXXXXXXX計算機專業畢業設計

計算機應用系統的依賴性增強，計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大，網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。信息安全防范應做整體的考慮，全面覆蓋信息系統的各層次，針對網絡、系統、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態的過程，事前、事中和事后的技術手段應當完備，安全管理應貫穿安全防范活動的始終。

網絡安全問題伴隨著網絡的產生而產生，可以說，有網絡的地方就存在網絡安全隱患。像病毒入侵和黑客攻擊之類的網絡安全事件，目前主要是通過網絡進行的，而且幾乎每時每刻都在發生，遍及全球。除此之外，像惡意軟件入侵、攻擊，用戶的非法訪問和操作，用戶郵件的非法截取和更改等都是普遍存在的安全事實。網絡安全事件所帶來的危害，相信我們每個計算機用戶都或多或少地親身體驗過一些：輕則使電腦系統運行不正常，重則使整個計算機系統中的磁盤數據全部覆滅，甚至導致磁盤、計算機等硬件的損壞。

為了防范這些網絡安全事故的發生，每個計算機用戶，特別是企業網絡用戶，必須采取足夠的安全防范措施，甚至可以說要在利益均衡情況下不惜一切代價。但要注意，企業網絡安全策略的實施是一項系統工程，它涉及許多方面。因此既要充分考慮到那些平時經常提及的外部網絡威脅，又要對來自內部網絡和網絡管理本身所帶來的安全隱患有足夠的重視，不能孤立地看待任何一個安全隱患和安全措施。因為這些安全隱患爆發的途徑可以是多方面的，而許多安全措施都是相輔相成的。

XXXXXXXXXX計算機專業畢業設計

第二章 企業網絡安全概述

2.1 企業網絡的主要安全隱患

現在網絡安全系統所要防范的不再僅是病毒感染，更多的是基于網絡的非法入侵、攻擊和訪問，由于企業在各地可能有不同公司，但是公司之間信息通過廣域網相連，所以信息很容易被黑客等截下?，F如今企業網絡安全威脅的主要來源主要包括。

1)病毒、木馬和惡意軟件的入侵。2)網絡黑客的攻擊。

3)重要文件或郵件的非法竊取、訪問與操作。4)關鍵部門的非法訪問和敏感信息外泄。5)外網的非法入侵。

6)備份數據和存儲媒體的損壞、丟失。

針對這些安全隱患，所采取的安全策略可以通過安裝專業的網絡版病毒防護系統，同時也要加強內部網絡的安全管理，配置好防火墻過濾策略和系統本身的各項安全措施，及時安裝系統安全補丁，本部與分部之間運行VPN等防護通信信息的安全性，加強內部網絡的安全管理，嚴格實行“最小權限”原則，為各個用戶配置好恰當的用戶權限；同時對一些敏感數據進行加密保護，如財政部等要設立訪問權限；根據企業實際需要配置好相應的數據策略，并按策略認真執行。

2.2 企業網絡的安全誤區

(一)安裝防火墻就安全了

防火墻主要工作都是控制存取與過濾封包，所以對DoS攻擊、非法存取與篡改封包等攻擊模式的防范極為有效，可以提供網絡周邊的安全防護。但如果攻擊行為不經過防火墻，或是將應用層的攻擊程序隱藏在正常的封包內，便力不從心了，許多防火墻只是工作在網絡層。

防火墻的原理是“防外不防內”，對內部網絡的訪問不進行任何阻撓，而事實上，企業網絡安全事件絕大部分還是源于企業內部。

(二)安裝了最新的殺毒軟件就不怕病毒了

安裝殺毒軟件的目的是為了預防病毒的入侵和查殺系統中已感染的計算機病毒，但這并不能保證就沒有病毒入侵了，因為殺毒軟件查殺某一病毒的能力總是滯后于該病毒的出現。

(三)在每臺計算機上安裝單機版殺毒軟件和網絡版殺毒軟件等效

XXXXXXXXXX計算機專業畢業設計

網絡版殺毒軟件核心就是集中的網絡防毒系統管理。網絡版殺毒軟件可以在一臺服務器上通過安全中心控制整個網絡的客戶端殺毒軟件同步病毒查殺、監控整個網絡的病毒。同時對于整個網絡，管理非常方便，對于單機版是不可能做到的。

(四)只要不上網就不會中毒

雖然不少病毒是通過網頁傳播的，但像QQ聊天接發郵件同樣是病毒傳播的主要途徑，而且盜版光盤以及U盤等也會存在著病毒。所以只要計算機開著，就要防范病毒。

(五)文件設置只讀就可以避免感染病毒

設置只讀只是調用系統的幾個命令，而病毒或黑客程序也可以做到這一點，設置只讀并不能有效防毒，不過在局域網中為了共享安全，放置誤刪除，還是比較有用的。

(六)網絡安全主要來自外部

基于內部的網絡攻擊更加容易，不需要借助于其他的網絡連接方式，就可以直接在內部網絡中實施攻擊。所以，加強內部網絡安全管理，特別是用戶帳戶管理，如帳戶密碼、臨時帳戶、過期帳戶和權限等方面的管理非常必要了。

XXXXXXXXXX計算機專業畢業設計

第三章

企業網絡總體設計方案

3.1 公司背景

公司北京總部有一棟大樓，員工人數大約800人，在全國設有4個分公司（上海、廣州、重慶和西安）?？偛颗c分公司利用當地的ISP連接。通過網絡安全方案設計，加固企業網絡，避免因為安全問題導致的業務停滯；同時保證總部與分公司之間高安全、低成本的要求。公司對網絡的依賴性很強，主要業務都要涉及互聯網以及內部網絡。面對對頻繁出現的黑客入侵和網絡故障，直接危害網絡的運行和業務的正常開展。因此構建健全的網絡安全體系是當前的重中之重。

3.2 企業網絡安全需求

公司根據網絡需求，建設一個企業網絡，北京總部存儲主要機密信息在服務器中，有AAA服務器、內部DNS服務器、FTP服務器、HTTP服務器。企業分經理辦公室、財政部、市場部、軟件部、系統集成部以及外來接待廳，需要各部門隔開，同時除了經理辦公室外其余不能訪問財政部，而接待廳不能訪問公司內部網絡，只能連通外網。同時由于考慮到Inteneter的安全性，以及網絡安全等一些因素，如VPN、NAT等。因此本企業的網絡安全構架要求如下：

（1）根據公司需求組建網絡（2）保證網絡的連通性（3）保護網絡信息的安全性

（4）防范網絡資源的非法訪問及非授權訪問（5）防范入侵者的惡意攻擊與破壞

（6）保護企業本部與分部之間通信信息的完整與安全性（7）防范病毒的侵害（8）實現網絡的安全管理。

3.3 需求分析

通過對公司的實際需求來規劃網絡設計，為公司的網絡安全建設實施網絡系統改造，提高企業網絡系統運行的穩定性，保證企業各種設計信息的安全性，避免圖紙、文檔的丟失和外泄。通過軟件或安全手段對客戶端的計算機加以保護，記錄用戶對客戶端計算機中關鍵目錄和文件的操作，使企業有手段對用戶在客戶端計算機的使用情況進行追蹤，防范外來計算機的侵入而造成破壞。通過

XXXXXXXXXX計算機專業畢業設計

網絡的改造，使管理者更加便于對網絡中的服務器、客戶端、登陸用戶的權限以及應用軟件的安裝進行全面的監控和管理。因此需要

（1）構建良好的環境確保企業物理設備的安全（2）IP地址域的劃分與管理（3）劃分VLAN控制內網安全（4）安裝防火墻體系

（5）建立VPN(虛擬專用網絡)確保數據安全（6）安裝防病毒服務器（7）加強企業對網絡資源的管理（8）做好訪問控制權限配置（9）做好對網絡設備訪問的權限

3.4 企業網絡結構

北京總公司網絡拓撲圖，如圖2-1所示:

XXXXXXXXXX計算機專業畢業設計

服務器群IDS入侵檢測經理辦公室匯聚交換機核心交換機接入交換機財務部匯聚交換機匯聚交換機防火墻接入交換機接入交換機接入交換機軟件部市場部系統集成部接待部

圖2-1 北京總部網絡結構

分公司網絡拓撲,如圖2.2所示：

XXXXXXXXXX計算機專業畢業設計

上海分公司廣州分公司重慶分公司西安分公司Internet廣域網Web服務器

圖2-2 公司分部網絡結構

圖2.1與2.2通過防火墻相連，防火墻上做NAT轉換，Easy VPN等。核心交換機配置基于VLAN的DHCP，網絡設備僅僅只能由網絡管理員進行遠程控制，就算是Console控制也需要特定的密碼，外部分公司通過VPN連接能夠訪問北京總公司內部網絡，北京總公司內網中，接待廳網絡設備僅僅能訪問外部網絡，無法訪問公司內網。

XXXXXXXXXX計算機專業畢業設計

3.5 企業IP地址的劃分

由于是現實中，公網IP地址需要向ISP運行商申請，而本解決方案是虛擬題，故公網IP為虛擬的，由于現如今IPv4地址及其短缺，而IPv6技術還不是很成熟，所以公司內部使用私有地址網段，本著節省地址的原則，北京公司內部一共有800左右終端，所以由192.168.0.0/22網絡段劃分。由于本課題重點為總公司內部網絡安全，以及總公司與分公司之間連通性的網絡安全，所以分公司內部沒有詳細化，所以分公司地址一律192.168.1.1/24網段，ip地址分配為一下：

總公司總網段：192.168.0.0/22

名稱 VLAN ID IPv4地址段 網關地址

經理辦公室 10 192.168.3.192/26 192.168.3.193 財政部 20 192.168.3.128/26 192.168.3.129 軟件部 30 192.168.0.0/24 192.168.0.1 市場部 40 192.168.1.0/24 192.168.1.1 系統集成中心 50 192.168.2.0/24 192.168.2.1 參觀中心 60 192.168.3.0/25 192.168.3.1 網管中心 99 192.168.3.240/30 192.168.3.241 服務器集群 100 192.168.3.224/28 192.168.3.225 核心與路由器 無 192.168.3.244/30 路由器與防火墻 無 192.168.3.248/29 其他分公司 1 192.168.1.0/24 192.168.1.1

第四章 企業網絡安全技術介紹

4.1 Easy VPN 4.1.1 什么是VPN 虛擬專用網絡（Virtual Private Network，簡稱VPN)指的是在公用網絡上建立專用網絡的技術。其之所以稱為虛擬網，主要是因為整個VPN網絡的任意兩個節點之間的連接并沒有傳統專網所需的端到端的物理鏈路，而是架構在公用網絡服務商所提供的網絡平臺，如Internet、ATM(異步傳

XXXXXXXXXX計算機專業畢業設計

輸模式〉、Frame Relay（幀中繼）等之上的邏輯網絡，用戶數據在邏輯鏈路中傳輸。它涵蓋了跨共享網絡或公共網絡的封裝、加密和身份驗證鏈接的專用網絡的擴展。VPN主要采用了隧道技術、加解密技術、密鑰管理技術和使用者與設備身份認證技術。

4.1.2 VPN 的分類

根據不同的劃分標準，VPN可以按幾個標準進行分類劃分

1.按VPN的協議分類 VPN的隧道協議主要有三種，PPTP，L2TP和IPSec，其中PPTP和L2TP協議工作在OSI模型的第二層，又稱為二層隧道協議；IPSec是第三層隧道協議，也是最常見的協議。L2TP和IPSec配合使用是目前性能最好，應用最廣泛的一種。

2.按VPN的應用分類

1)Access VPN（遠程接入VPN）：客戶端到網關，使用公網作為骨干網在設備之間傳輸VPN的數據流量。從PSTN、ISDN或PLMN接入。

2)Intranet VPN（內聯網VPN）：網關到網關，通過公司的網絡架構連接來自同公司的資源。

3)Extranet VPN（外聯網VPN）：與合作伙伴企業網構成Extranet,將一個公司與另一個公司的資源進行連接

3.按所用的設備類型進行分類

網絡設備提供商針對不同客戶的需求，開發出不同的VPN網絡設備，主要為交換機，路由器，和防火墻

1）路由器式VPN：路由器式VPN部署較容易，只要在路由器上添加VPN服務即可 只支持簡單的PPTP或IPSEC。

2）交換機式VPN：主要應用于連接用戶較少的VPN網絡

3）防火墻式VPN：防火墻式VPN是最常見的一種VPN的實現方式，許多廠商都提供這種配置類型

4.1.3 Easy VPN easy VPN又名EzVPN，是Cisco專用VPN技術。它分為EASY VPN SERVER和EASY VPN REMOTE兩種，EASY VPN SERVER 是REMOT--ACCESS VPN專業設備。配置復雜，支持POLICY PUSHING等特性，此技術基于IPsec協議為基礎，擴展的的cisco私有協議，支持遠程登錄，并且根據自己的AAA的服務器去認證其可靠性，如認證通過，會為訪問者分配自己內部IP地址，保證其訪問內部信息。在Easy VPN連接成功后，對于ISP運行商來說總公司與分公司數據的傳輸是透明的，就像拉了一根專線一樣，通過抓包等方式捕獲數據包會發現全為ESP數據，無法從數據包中獲得任何信息，由于其加密方式為HASH速算，根據其雪崩效應想通過加密包算出真是數據的可能性幾乎為0，所以數據的傳輸上的安全性被大大地保證了。

XXXXXXXXXX計算機專業畢業設計

4.2 SSH 4.2.1 SSH介紹

SSH 為 Secure Shell 的縮寫，由 IETF 的網絡工作小組（Network Working Group）所制定；SSH 為建立在應用層和傳輸層基礎上的安全協議。

SSH 主要有三部分組成：

1）傳輸層協議 [SSH-TRANS]

提供了服務器認證，保密性及完整性。此外它有時還提供壓縮功能。SSH-TRANS 通常運行在 TCP/IP連接上，也可能用于其它可靠數據流上。SSH-TRANS 提供了強力的加密技術、密碼主機認證及完整性保護。該協議中的認證基于主機，并且該協議不執行用戶認證。更高層的用戶認證協議可以設計為在此協議之上。

2）用戶認證協議 [SSH-USERAUTH]

用于向服務器提供客戶端用戶鑒別功能。它運行在傳輸層協議 SSH-TRANS 上面。當SSH-USERAUTH 開始后，它從低層協議那里接收會話標識符（從第一次密鑰交換中的交換哈希H）。會話標識符唯一標識此會話并且適用于標記以證明私鑰的所有權。SSH-USERAUTH 也需要知道低層協議是否提供保密性保護。

3）連接協議 [SSH-CONNECT]

4.2.2 SSH與Telnet的區別

傳統的網絡服務程序，如：ftp、pop和telnet在本質上都是不安全的，因為它們在網絡上用明文傳送口令和數據，別有用心的人非常容易就可以截獲這些口令和數據。而且，這些服務程序的安全驗證方式也是有其弱點的，就是很容易受到“中間人”（man-in-the-middle）這種方式的攻擊。所謂“中間人”的攻擊方式，就是“中間人”冒充真正的服務器接收你傳給服務器的數據，然后再冒充你把數據傳給真正的服務器。服務器和你之間的數據傳送被“中間人”一轉手做了手腳之后，就會出現很嚴重的問題。

SSH是替代Telnet和其他遠程控制臺管理應用程序的行業標準。SSH命令是加密的并以幾種方式進行保密。

在使用SSH的時候，一個數字證書將認證客戶端(你的工作站)和服務器(你的網絡設備)之間的連接，并加密受保護的口令。SSH1使用RSA加密密鑰，SSH2使用數字簽名算法(DSA)密鑰保護連接和認證。加密算法包括Blowfish，數據加密標準(DES)，以及三重DES(3DES)。SSH保護并且有助于防止欺騙，“中間人”攻擊，以及數據包監聽。

通過使用SSH，你可以把所有傳輸的數據進行加密，這樣“中間人”這種攻擊方式就不可能實現了，而且也能夠防止DNS欺騙和IP欺騙。使用SSH，還有一個額外的好處就是傳輸的數據是經過壓縮的，所以可以加快傳輸的速度。SSH有很多功能，它既可以代替Telnet，又可以為FTP、PoP、甚至為PPP提供一個安全的“通道”。

XXXXXXXXXX計算機專業畢業設計

4.3 AAA服務器

4.3.1 AAA介紹

AAA是認證、授權和記賬（Authentication、Authorization、Accounting）三個英文單詞的簡稱。其主要目的是管理哪些用戶可以訪問網絡服務器，具有訪問權的用戶可以得到哪些服務，如何對正在使用網絡資源的用戶進行記賬。具體為：

1、認證(Authentication): 驗證用戶是否可以獲得訪問權限；

2、授權(Authorization): 授權用戶可以使用哪些服務；

3、審計(Accounting): 記錄用戶使用網絡資源的情況。

4.3.2 認證(Authentication)認證負責在用戶訪問網絡或網絡服務器以前，對用戶進行認證。

如需配置AAA認證，管理員可以創建一個命名的認證列表，然后把這個列表應用到各種接口上。這個方法列表可以定義所要執行的認證類型和他們的順序。管理員需要基于每個接口來應用這些方法。然而，當管理員沒有定義其他認證方法是，cisco路由器和交換機上的所有接口都關聯了一個默認的方法列表，名為Default。但管理員定義的方法列表會覆蓋默認方法列表。

除了本地認證、線路密碼的Enable認證以外，其他所有的認證方法都需要使用AAA。

4.3.3 授權(Authorization)授權為遠程訪問控制提供了方法。這里所說的遠程訪問控制包括一次性授權，或者基于每個用戶賬號列表或用戶組為每個服務進行授權。

交換機或路由器上的AAA授權是通過連接一個通用的集中式數據庫，并訪問其中的一系列屬性來工作的，這些說性描述了網絡用戶的授權服務，比如訪問網絡中的不同部分。交換機或路由器會向服務器詢問用戶真實的能力和限制，集中式服務器向其返回授權結果，告知用戶所能夠使用的服務。這個數據庫通常是位于中心位置的服務器，比如RADIUS或者TACACS+安全服務器。但管理員也可以使用本地數據庫。遠程安全服務器（比如RADIUS和TACACS+）通過把用戶與相應的AVP（屬性值對）相關聯，來收與用戶具體的權限。RADIUS和TACACS+把這些AVP配置應用給用戶或者用戶組。每個AVP由一個類型識別符和一個或多個分配給它的值組成。AVP在用戶配置文件（User Profile）和組配置文件（Group Profile）中指定的AVP，為相應的用戶和組定義了認證和授權特性。

XXXXXXXXXX計算機專業畢業設計

4.3.4 審計(Accounting)審計為收集和發送安全服務器信息提供了方法，這些信息可以用于計費（billing）、查賬（auditing）和報告（reporting）。這類信息包括用戶身份、網絡訪問開始和結束的時間、執行過的命令（比如PPP）、數據包的數量和字節數量。這些信息是交換機和路由器能夠檢測登錄的用戶，從而對于查賬和增強安全性有很大幫助。

在很多環境中，AAA都會使用多種協議來管理其安全功能，比如RADIUS、TACACS+或者802.1x。如果網絡中的交換機充當網絡接入服務器角色，那么AAA就是網絡訪問服務器與RADIUS、TACACS+或者802.1x安全服務器之間建立連接的方法。

AAA是動態配置的，它允許管理員基于每條線路（每個用戶）或者每個服務（比如IP、IPX或VPDN[虛擬私有撥號網絡]）來配置認證和授權。管理員先要創建方法列表，然后把這些方法列表應用到指定的服務或接口上，以針對每條線路或每個用戶進行運作。

4.4 IDS 入侵檢測系統

由于Cisco packet Tracer 5.3無法模擬IDS設備，又由于IDS在實際企業網絡中作用很大，所以在拓撲圖中將其設計進去，在這里做一些基本介紹。

IDS是英文“Intrusion Detection Systems”的縮寫，中文意思是“入侵檢測系統”。專業上講就是依照一定的安全策略，通過軟、硬件，對網絡、系統的運行狀況進行監視，盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果，以保證網絡系統資源的機密性、完整性和可用性。做一個形象的比喻：假如防火墻是一幢大樓的門鎖，那么IDS就是這幢大樓里的監視系統。一旦小偷爬窗進入大樓，或內部人員有越界行為，只有實時監視系統才能發現情況并發出警告。

入侵檢測可分為實時入侵檢測和事后入侵檢測兩種。

實時入侵檢測在網絡連接過程中進行，系統根據用戶的歷史行為模型、存儲在計算機中的專家知識以及神經網絡模型對用戶當前的操作進行判斷，一旦發現入侵跡象立即斷開入侵者與主機的連接，并收集證據和實施數據恢復。這個檢測過程是不斷循環進行的。

事后入侵檢測則是由具有網絡安全專業知識的網絡管理人員來進行的，是管理員定期或不定期進行的，不具有實時性，因此防御入侵的能力不如實時入侵檢測系統。

4.5 firewall 防火墻

4.5.1 什么是防火墻

所謂防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.是一種獲取安全性方法的形象說法，它是一種計算機硬件和軟件的結合，使Internet與Intranet之間建立起一個安全網關（Security Gateway），從而保護內部網免受非法用戶的侵入，防火墻主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成，防火墻就是一個位于計算機和它所連接的網絡之間的軟件或硬件。該計算機流入流出的所有網絡通信和數據包均要經過此防火墻。

在網絡中，所謂“防火墻”，是指一種將內部網和公眾訪問網(如Internet)分開的方法，它實際

XXXXXXXXXX計算機專業畢業設計

上是一種隔離技術。防火墻是在兩個網絡通訊時執行的一種訪問控制尺度，它能允許你“同意”的人和數據進入你的網絡，同時將你“不同意”的人和數據拒之門外，最大限度地阻止網絡中的黑客來訪問你的網絡。換句話說，如果不通過防火墻，公司內部的人就無法訪問Internet，Internet上的人也無法和公司內部的人進行通信。

4.5.2 防火墻類型

主要有2中，網絡防火墻和應用防火墻。

1）網絡層防火墻

網絡層防火墻可視為一種 IP 封包過濾器，運作在底層的 TCP/IP 協議堆棧上。我們可以以枚舉的方式，只允許符合特定規則的封包通過，其余的一概禁止穿越防火墻（病毒除外，防火墻不能防止病毒侵入）。這些規則通?？梢越浻晒芾韱T定義或修改，不過某些防火墻設備可能只能套用內置的規則。

我們也能以另一種較寬松的角度來制定防火墻規則，只要封包不符合任何一項“否定規則”就予以放行。現在的操作系統及網絡設備大多已內置防火墻功能。

較新的防火墻能利用封包的多樣屬性來進行過濾，例如：來源 IP 地址、來源端口號、目的 IP 地址或端口號、服務類型(如 www.tmdps.cn hostname SWc!enable password cisco！ip dhcp excluded-address 192.168.0.1 DHCPip dhcp excluded-address 192.168.3.129 ip dhcp excluded-address 192.168.3.1 ip dhcp excluded-address 192.168.1.1 ip dhcp excluded-address 192.168.2.1 ip dhcp excluded-address 192.168.3.193!ip dhcp pool vlan30 network 192.168.0.0 255.255.255.0 default-router 192.168.0.1 dns-server 192.168.3.227 DNSip dhcp pool vlan40 network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 dns-server 192.168.3.227 ip dhcp pool vlan50 network 192.168.2.0 255.255.255.0 default-router 192.168.2.1 dns-server 192.168.3.227 ip dhcp pool vlan10

設置交換機域名，與SSH驗證有關用戶登入特權模式密碼 在分配時排除該IP地址 這些地址為網段的網關地址 開啟一個DHCP地址池 分配的網絡段 默認網關IP地址 地址 21

XXXXXXXXXX計算機專業畢業設計

network 192.168.3.192 255.255.255.224 default-router 192.168.3.193 dns-server 192.168.3.227 ip dhcp pool vlan60 network 192.168.3.0 255.255.255.128 default-router 192.168.3.1 dns-server 192.168.3.227 ip dhcp pool vlan20 network 192.168.3.128 255.255.255.192 default-router 192.168.3.129 dns-server 192.168.3.227 ip routing 開啟路由功能，這條很重，不然無法啟動路由協議等！username beijiangong password 0 cisco 設置遠程登錄時用戶名與密碼！interface FastEthernet0/1 switchport access vlan 100 switchport mode access!interface FastEthernet0/2 switchport trunk encapsulation dot1q 配置trunk的封裝格式 switchport mode trunk!interface FastEthernet0/3 switchport trunk encapsulation dot1q switchport mode trunk!interface FastEthernet0/4 switchport trunk encapsulation dot1q switchport mode trunk!interface FastEthernet0/5 no switchport 啟動3層接口

XXXXXXXXXX計算機專業畢業設計

ip address 192.168.3.245 255.255.255.252 duplex auto 自動協商雙工 speed auto 自動協商速率!interface FastEthernet0/6 switchport access vlan 99！interface Vlan1 no ip address shutdown!interface Vlan10 ip address 192.168.3.193 255.255.255.224!interface Vlan20 ip address 192.168.3.129 255.255.255.192 ip access-group 20 out 在此接口的出方向啟動acl 20!interface Vlan30 ip address 192.168.0.1 255.255.255.0!interface Vlan40 ip address 192.168.1.1 255.255.255.0!interface Vlan50 ip address 192.168.2.1 255.255.255.0!interface Vlan60 ip address 192.168.3.1 255.255.255.128 ip access-group 101 out 在此接口的出方向啟動acl 101!interface Vlan99

XXXXXXXXXX計算機專業畢業設計

ip address 192.168.3.241 255.255.255.252!interface Vlan100 ip address 192.168.3.230 255.255.255.240!router ospf 10 啟動OSPF 進程號為10 router-id 1.1.1.1 為本設備配置ID標示符 log-adjacency-changes 開啟系統日志關于ospf變化 network 192.168.3.245 0.0.0.0 area 0 宣告網絡，與其區域 network 192.168.3.193 0.0.0.0 area 1 network 192.168.3.129 0.0.0.0 area 1 network 192.168.0.1 0.0.0.0 area 2 network 192.168.1.1 0.0.0.0 area 2 network 192.168.2.1 0.0.0.0 area 3 network 192.168.3.1 0.0.0.0 area 3 network 192.168.3.230 0.0.0.0 area 4 network 192.168.3.241 0.0.0.0 area 5!ip classless！access-list 10 permit host 192.168.3.242 acl 10 允許該主機地址 access-list 20 deny 192.168.0.0 0.0.0.255 acl 20 拒絕該網段 access-list 20 deny 192.168.1.0 0.0.0.255 access-list 20 deny 192.168.2.0 0.0.0.255 access-list 20 deny 192.168.3.0 0.0.0.255 access-list 101 deny ip 192.168.3.0 0.0.0.127 192.168.0.0 0.0.3.255（擴展acl 101 拒絕該網段的ip協議去訪問192.168.0.0/22網段）access-list 101 permit ip any any 允許所有ip協議的任何源目訪問!crypto key generate rsa 設置SSH的加密算法為rsa（隱藏命令，在show run中看不到！!

XXXXXXXXXX計算機專業畢業設計

line con 0 password cisco 設置console密碼

line vty 0 4 進入vty接口 默認登入人數為5 access-class 10 in 在該接口入方向啟動acl 10 password cisco 密碼為cisco login local 登入方式為本地認證 transport input ssh 更改登錄方式為SSH！end 5.3.2 路由器與防火墻

R1： hostname r1!enable password cisco！username beijiangong password 0 cisco!interface FastEthernet0/0 ip address 192.168.3.246 255.255.255.252 duplex auto speed auto!interface FastEthernet0/1 ip address 192.168.3.249 255.255.255.248 duplex auto speed auto!router ospf 10 router-id 2.2.2.2 log-adjacency-changes network 192.168.3.246 0.0.0.0 area 0

XXXXXXXXXX計算機專業畢業設計

network 192.168.3.249 0.0.0.0 area 6!ip classless！access-list 10 permit host 192.168.3.242!no cdp run!line con 0 password cisco line vty 0 4 access-class 10 in password cisco login local！!end Firewall: hostname ASA!enable password cisco!aaa new-model 開啟AAA功能!aaa authentication login eza group radius 啟動認證登錄組名為eza分類為radius!

aaa authorization network ezo group radius啟動授權組名為eza分類為radius!username beijiangong password 0 cisco!crypto isakmp policy 10 設置加密密鑰策略 encr 3des 啟動3重加密算法 hash md5 啟動MD5認證 authentication pre-share 認證方式為共享 group 2 優先級組別為2!crypto isakmp client configuration group myez 設置密鑰客戶端等級組 key 123 為等級組設置密碼

pool ez 為客戶分配內部IP地址池!

XXXXXXXXXX計算機專業畢業設計

crypto ipsec transform-set tim esp-3des esp-md5-hmac 傳輸隧道封裝類型!crypto dynamic-map ezmap 10 進入隧道封裝策略模式

set transform-set tim 調用上面設置的封裝組tim reverse-route 開啟vpn的反向路由!crypto map tom client authentication list eza 加密組tom的客戶認證調用上面的eza組

crypto map tom isakmp authorization list ezo 加密組tom的密鑰授權管理方式調用上面的eza組

crypto map tom client configuration address respond 加密組tom為客戶分配IP地址

crypto map tom 10 ipsec-isakmp dynamic ezmap 加密組tom調用隧道加密格式名稱為ezmap!interface FastEthernet0/0 ip address 192.168.3.250 255.255.255.248 ip nat inside duplex auto speed auto!interface FastEthernet0/1 no ip address duplex auto speed auto shutdown!interface Serial0/2/0 ip address 100.1.1.1 255.255.255.0 ip nat outside crypto map tom!interface Serial0/3/0 no ip address shutdown!interface Vlan1 no ip address shutdown!router ospf 10 router-id 3.3.3.3 log-adjacency-changes network 192.168.3.250 0.0.0.0 area 6 default-information originate 向其他ospf鄰居宣告默認路由!ip local pool ez 192.168.3.251 192.168.3.254 配置VPN登入進來后分配的IP地址池

ip nat inside source list 1 interface Serial0/2/0 overload 設置動態NAT將acl 1的地址轉化為s0/2/0并多路復用 ip classless ip route 0.0.0.0 0.0.0.0 Serial0/2/0 默認路由 都走s0/2/0

XXXXXXXXXX計算機專業畢業設計

！access-list 1 permit 192.168.0.0 0.0.3.255 access-list 10 permit host 192.168.3.242!no cdp run 關閉鄰居發現協議！radius-server host 192.168.3.225 auth-port 1645 key 123 指定AAA服務器地址與Easy VPN 端口號以及對應密鑰!line con 0 password cisco login line vty 0 4 access-class 10 in password cisco login local!End

5.3.3 服務器

AAA服務器配置：

XXXXXXXXXX計算機專業畢業設計

HTTP服務器：

DNS服務器：

XXXXXXXXXX計算機專業畢業設計

第六章 項目測試

Packet Tracer 模擬器實驗拓撲圖

所有設備的用戶名為：beijiangong 密碼：cisco

VPN 登錄配置： 組名：beijiangong Key:123 服務器IP：100.1.1.1 用戶名：123 密碼：123

XXXXXXXXXX計算機專業畢業設計

北京總公司 圖A

分公司以及ISP網絡 圖B

XXXXXXXXXX計算機專業畢業設計

6.1 DHCP驗證

北京總公司內網所有設備都是通過DHCP獲取的IP地址，但是不同VLAN所獲得的IP地址段是不同的，驗證其在不同VLAN下是否獲得正確的IP地址、網關、掩碼和DNS。

1）經理辦公室 VLAN 10 配置方法，首先在Packet Tracer下，點擊相應的PC，如圖6-1-1

圖6-1-1 點擊左上角第一欄，ip Configuration 進入IP地址配置畫面 如圖6-1-2

XXXXXXXXXX計算機專業畢業設計

IP地址配置畫面 圖6-1-2

點擊DHCP，獲取IP地址，等待1-2S后查看結果 如圖6-1-3

圖6-1-3 根據提示可以看出獲得了正確的IP地址。

2）財政部 VLAN 20 如圖6-1-4

圖6-1-4

XXXXXXXXXX計算機專業畢業設計

3）軟件部 VLAN 30 如圖6-1-5

圖6-1-5 4）市場部 VLAN 40 如圖 6-1-6

圖6-1-6 5）系統集成部 VLAN 50 如圖6-1-7

圖6-1-7

XXXXXXXXXX計算機專業畢業設計

6)參觀中心 VLAN 60 如圖 6-1-8

圖6-1-8

6.2 網絡連通性

建立好網絡后，最重要的一點就是網絡連通性，根據公司需求，內部計算機獲得自己IP地址，自己的DNS服務器與網關，那應該可以去訪問外網服務器，以達到訪問公網的目的。

1）隨便開啟一臺PC機，如經理辦公室PC 圖6-2-1

圖6-2-1 點擊Command prompt 進入其電腦的CMD命令格式

圖6-2-2

XXXXXXXXXX計算機專業畢業設計

圖6-2-2

輸入ping 命令，在虛擬網絡中，如圖Ａ 運行商IP地址為100.1.1.2 所以先ping運行商網關。在命令行中輸入ping 100.1.1.2，可能第一個包會因為ARP的關系而丟失，但是后續會很穩定。如圖6-2-3

圖6-2-3

2）檢查網絡內部DNS的正確性

XXXXXXXXXX計算機專業畢業設計

打開PC機瀏覽器，如下圖所示6-2-4

圖6-2-4 如圖B所示，在公網中，有一個百度的服務器，域名為www.tmdps.cn 通過瀏覽器訪問百度看是否成功。如圖6-2-5

圖6-2-5 如圖所示，訪問成功，表示公司內部網絡連通性已經保證暢通。

6.3 網絡安全性

在保證了連通性的基礎上，驗證其安全性

6.3.1 SSH 與console的權限

在設備安裝完畢后，公司內部不可能派專門的保安去看護，所以網絡設備的安全就需要有所保證，不能讓人們輕易的進入其配置模式，輕易的去更改配置，所以要設置用戶名密碼。如圖6-3-1所示，一臺PC需要console核心交換機

XXXXXXXXXX計算機專業畢業設計

圖6-3-1 如圖6-2-7所示，需要點擊下圖所示單元進入console連接模式

圖6-3-2 選好會話數，速率等基本參數后點擊OK連接設備的控制臺 如圖6-3-3

圖6-3-3

發現需要輸入用戶名密碼，否側無法進入控制界面，輸入用戶名密碼后進入用戶模式，進入特權模式需要輸入特權密碼，輸入正確用戶名密碼后才能進入。如圖6-3-4

XXXXXXXXXX計算機專業畢業設計

圖6-3-4

當然console的限制很大，有監控設備，與機柜鎖，能夠最大限度的保證其安全性，所以console的安全性問題不是很大，而telnet 的控制起來就需要用策略來限制了。

如果想telnet設備需要知道其設備上的IP地址，而本公司DHCP中的網關地址基本都是在核心上，所以設備上的IP地址基本誰都知道，而核心設備僅僅需要網絡管理員去管理，所以加了acl去選擇telnet 的對象。而在加密方面我選擇了SSH而不是非加密的Telnet.如圖所示，僅有網絡管理員才能ssh設備，其他員工無法ssh設備。這是管理員ssh的效果，輸入正確的用戶名密碼后，進入其配置界面。如圖6-3-5

圖6-2-10 這是其他設備ssh的效果，無論嘗試幾個設備上的地址都被拒絕了，這樣就能保證設備控制的安全性。雖然能夠訪問其地址，但是無法取得其TCP端口號22的訪問權 如圖6-3-6

XXXXXXXXXX計算機專業畢業設計

圖6-3-6

6.3.2 網絡連通安全性

在一個公司內部，雖然大家共享上網資源，但是各部門之間的資料還是有一些機密的，特別是財政部，一個公司財政信息都是很機密的，所以不希望其他公司內部Pc能夠連通到此部門，所以也要通過acl去限制，去隔離一些區域。

財政部IP 192.168.3.130 軟件部IP 192.168.0.2 市場部IP 192.168.1.2

正常情況下，三個部門是可以正常ping通的，但是財政部的安全性，所以其他2個部門無法訪問財政部，但是可以互相訪問。

如圖6-3-7所示，軟件部無法訪問財政部，但是可以訪問市場部

XXXXXXXXXX計算機專業畢業設計

圖6-3-7 這樣就保證了財政部的獨立性，保證了其安全，由于公司內部需要有客人訪問，而客人往往需要上網，所以需要控制其上網行為，如果有惡意行為，盜取公司其他部門資料，那也會造成嚴重的損失，所以，要保證其在公司參觀中心上網，只能訪問外網，不能訪問公司內部其他主機。

如圖6-3-8所示，參觀中心的終端能夠訪問外網百度服務器，但是無法訪問內部市場部PC設備。

XXXXXXXXXX計算機專業畢業設計

圖6-3-8

6.4 分公司與總公司安全性

由于分公司之間通過ISP與總公司通信，所以數據通信需要安全性，在這里我選擇了EASY VPN，由于各分公司內部全部使用私網地址，所以無法與總公司內部通信，因為私網地址無法宣告到公網中，而通過easy vpn連接后，本部通過給客戶分配總公司自己的私網地址，使其能夠訪問公司內部，而通信過程中數據時加密的，無法竊取，保證了其安全性。

如圖6-4-1連接easy vpn首先要在客戶端PC打開VPN連接。

圖6-4-1 在這里設置好用戶組、用戶名、總公司的公網地址以及密碼后連接VPN 如圖6-4-2

XXXXXXXXXX計算機專業畢業設計

圖6-4-2 連接后需要等2-3秒，即連接成功，而且顯示被分配的IP地址 如圖6-4-3

圖6-4-3

進行Ping命令就可以訪問北京總部的內網地址終端了。如圖6-4-4

XXXXXXXXXX計算機專業畢業設計

圖6-4-4 這樣網絡的安全性就得到了很大的提升。

XXXXXXXXXX計算機專業畢業設計

總

結

隨著互聯網的飛速發展，網絡安全逐漸成為一個潛在的巨大問題。網絡安全性是一個涉及面很廣泛的問題，其中也會涉及到是否構成犯罪行為的問題。在其最簡單的形式中，它主要關心的是確保無關人員不能讀取，更不能修改傳送給其他接收者的信息。此時，它關心的對象是那些無權使用，但卻試圖獲得遠程服務的人。安全性也處理合法消息被截獲和重播的問題，以及發送者是否曾發送過該條消息的問題。

本論文從企業角度描述了網絡安全的解決方案，目的在于為用戶提供信息的保密，認證和完整性保護機制，使網絡中的服務，數據以及系統免受侵擾和破壞。比如防火墻，認證，加密技術等都是當今常用的方法，本論文從這些方法入手深入研究各個方面的網絡安全問題的解決，可以使讀者有對網絡安全技術的更深刻的了解。

在本方案設計之初，我對網絡安全的理解還是很淺，包括到了現在我對它的還是只有一點點的認知，但是通過這次設計，讓我對網絡安全產生了很濃厚的興趣，很高興能夠選到這個課題，但這只是一次虛擬題，希望以后有機會在工作中能夠得到真實的項目去完成網絡安全的設計方案，但是，路還很長，需要學習的知識還很多，但是有興趣才是王道。

第四篇：銀行網絡安全防范措施

銀行網絡安全防范措施

銀行網絡安全防范措施

□ 建行北京分行石景山支行郭亞力

隨著金融業務的拓展與金融電子化進程的加快，計算機網絡通信技術在金融領域中的應用越來越廣。與此同時，金融電子化也帶來了高科技下的新風險。計算機系統本身的不安全和人為的攻擊破壞，以及計算機安全管理制度的不完善都潛伏著很多安全隱患，嚴重的可能導致計算機系統的癱瘓，影響銀行的業務和聲譽，造成巨大的經濟損失和不良的社會影響。因此，加強銀行網絡系統安全體系的建設，保證其正常運行，防范犯罪分子對它的入侵，已成為金融電子化建設中極為重要的工作。

網絡安全的基本要求是保密、完整、可用、可控和可審查。從技術角度講，銀行網絡系統的安全體系應包括: 操作系統和數據庫安全、加密技術、訪問控制、身份認證、攻擊監控、防火墻技術、防病毒技術、備份和災難恢復等。從管理角度看，應著力健全計算機管理制度和運行規程，加強員工管理，不斷提高員工的安全防范意識和責任感，杜絕內部作案的可能性，建立起良好的故障處理反應機制。

網絡系統技術安全措施

1.操作系統及數據庫

操作系統是計算機最重要的系統軟件，它控制和管理著計算機系統的硬件和軟件資源，是計算機的指揮中樞。目前銀行網絡系統常用的操作系統有Unix、Windows NT等，安全等級都是C2級，可以說是相對安全、嚴密的系統，但并非無懈可擊。

許多銀行業務系統使用Unix網絡系統，黑客可利用網絡監聽工具截取重要數據;利用用戶使用telnet、ftp、rlogin等服務時監聽這些用戶的明文形式的賬戶名和口令;利用具有suid權限的系統軟件的安全漏洞;利用Unix平臺提供的工具，如finger命令查找有關用戶的信息，獲得大部分的用戶名;利用IP欺騙技術;利用exrc文件等獲得對系統的控制權。針對這些安全缺陷，我們應定期檢查日志文件;檢查具有suid權限的文件;檢查/etc/passwd是否被修改;檢查系統網絡配置中是否有非法項;檢查系統上非正常的隱藏文件;檢查/etc/inetd.conf和 /etc/rc2.d/*文件，并采取以下措施:

1）及時安裝操作系統的補丁程序;2）將系統的安全級別設置為最高，停止不必要的服務，該關的功能關閉;3）安裝過濾路由器;4）加強賬號和口令的安全管理，定期檢查/etc/passwd和/etc/shadow文件，經常更換各賬號口令，查看su日志文件和拒絕登錄消息日志文件。

對于Windows NT網絡系統，可采取以下措施: 1）使用NTFS文件系統，它可以對文件和目錄使用ACL存取控制表;2）將系統管理員賬號由原先的“Administrator”改名，使非法登錄用戶不但要猜準口令，還要先猜出用戶名;3)對于提供Internet公共服務的計算機，廢止Guest賬號，移走或限制所有的其他用戶賬號;4）打開審計系統，審計各種操作成功和失敗的情況，及時發現問題前兆，定期備份日志文件;5）及時安裝補丁程序。

數據庫的安全就是要保證數據庫信息的完整、保密和可用。通常用安全管理、存取控制和數據加密來實現。安全管理一般分為集中控制和分散控制兩種方式。集中控制就是由單個授權者來控制系統的整個安全維護，分散控制則是采用不同的管理程序控制數據庫的不同部分。存取控制包括最小特權策略（用戶只能了解與自己工作有關的信息，其他信息被屏蔽）、最大共享策略（信息在保密控制條件下得到最大共享，并不是隨意存取信息）、開放與封閉系統（開放: 不明確禁止，即可訪問;封閉: 明確授權，才能訪問）、按名存取策略、按上下文存取策略、按存取歷史的存取策略等。數據加密可從三個方面進行，即庫內加密（庫內的一條記錄或記錄的某一屬性作為文件被加密）、整庫加密（整個數據庫包括數據結構和內容作為文件被加密）和硬件加密。

2.網絡加密技術

網絡加密的目的是保護網上傳輸的數據、文件、口令和控制信息的安全。

（1）加密方式:

信息加密處理通常有兩種方式: 鏈路加密和端到端加密。

鏈路加密是對兩節點之間的鏈路上傳送的數據進行加密，不適用于廣播網。

端到端加密是對源節點和目的節點之間傳送的數據所經歷的各段鏈路和各個中間節點進行全程加密。端到端加密不僅適用于互聯網，也適用于廣播網。

基于鏈路加密和端到端加密各有特點，為提高網絡的安全性，可綜合使用這兩種技術。具體說就是鏈路加密用來對控制信息進行加密，而端到端加密僅對數據提供全程加密。

（2）加密算法

如果按收發雙方的密鑰是否相同來分類，可將這些加密算法分為常規密碼算法（對稱型加密）和公鑰密碼算法（非對稱型加密）。此外，還有一種加密算法是不可逆加密算法。

上述三種信息加密算法在實際工作中可單獨或結合使用。物理層、鏈路層和網絡層使用的加密設備一般運用常規加密算法（如DES）;遠程訪問服務中使用的一次性口令技術和Cisco路由器的Enable Secret口令一般采用不可逆加密算法MD5;基于PKI認證技術和SET協議則綜合采用了不可逆加密、非對稱加密、對稱加密和數字簽名等多種技術。

3.網絡安全訪問控制

訪問控制的主要任務是保證網絡資源不被非法使用和非法訪問，也是維護網絡系統安全，保護網絡資源的重要手段。通過對特定的網段和服務建立有效的訪問控制體系，可在大多數的攻擊到達之前進行阻止，從而達到限制非法訪問的目的。這包括鏈路層和網絡層的安全訪問控制，以及遠程用戶訪問的安全訪問控制?？刹扇〉陌踩胧┯? VLAN劃分、訪問控制列表（ACL）、用戶授權管理、TCP同步攻擊攔截和路由欺騙防范等。

4.身份認證

5.網絡入侵檢測系統

入侵檢測技術是近年出現的新型網絡安全技術，是對入侵行為的監控，它通過對網絡或計算機系統中的若干關鍵點收集信息并進行分析，從中發現網絡或系統中是否有違反安全策略的行為或被攻擊的跡象。利用實時入侵檢測技術，可對特定網段、主機和服務建立攻擊監控體系，有效阻止外部黑客的入侵和來自內部網絡的攻擊。

6.網絡防火墻技術

防火墻就是在內部網與外部網之間建立的一種被動式防御的訪問控制技術，它能夠在網絡的入口處，根據IP源地址、IP目標地址、協議端口以及數據包的狀態等信息，對發送和接受的每一個數據包進行過濾監測，并根據用戶事先定義好的過濾規則，拒絕或允許IP數據包的通過，在必要時將有關信息反饋給上層應用程序。

防火墻的主要技術類型包括網絡級數據包過濾和應用代理服務（應用網關）。鑒于兩種防火墻技術的優缺點，在實際構建防火墻系統時，常將兩種技術配合使用，由過濾路由器提供第一級安全保護，主要用于防止IP欺騙攻擊，再由代理服務器提供更高級的安全保護機制。

7.防病毒技術

8.備份和災難恢復

備份和災難恢復是對銀行網絡系統工作中可能出現的各種災難情況（如計算機病毒、系統故障、自然災害、人為破壞等）進行的保證系統及數據連續性和可靠性的一種防范措施。銀行網絡系統業務主機和服務器的備份方式一般可采取雙機備份、磁盤鏡像或容錯等技術，備份機要遠離生產機。可采用EMC智能存儲系統的SRDF遠程磁盤鏡像技術等作為數據備份技術，生產中心和備份中心之間通過直連光纜實現數據備份通道。

數據備份包括系統數據、基礎數據、應用數據等的備份，采用傳統的磁盤、磁帶、光盤作為介質，根據數據的重要程度和不同要求分不同的期限實行本地和異地雙備份保存。

網絡系統安全管理措施

銀行網絡系統的安全性不僅與硬件、網絡、系統等技術方面有關，還與它的管理和使用有著極為密切的關系。

1． 加強基礎設施和運行環境建設

計算機機房、配電室、交換機機房等計算機系統重要基礎設施應嚴格管理，配備防盜、防火、防水等設備;安裝電視監控系統、監控報警等裝置;計算機設備采用UPS不間斷電源供電（重要機房可采用雙回路供電或配備發電機組）;設備要可靠接地;供電、通信線路要布線整齊、規范、連接牢靠;機房環境要干凈、整潔，保持特定的溫度和濕度。

2． 加強設備管理和使用工作

建立包括設備購置管理、設備使用管理、設備維修管理和設備倉儲管理等內容的規章制度。計算機管理部門要定期對設備運行環境、設備運行狀況、各項規章制度、操作規程的執行情況進行檢查，對發現的問題及時解決，確保計算機系統的安全、可靠運行。

3． 建立健全安全管理內控制度

建立業務部門計算機系統使用管理規定、部門主管和業務操作人員計算機密碼管理規定、違反計算機管理規章制度處理辦法等內控管理制度;嚴格實行運行、維護、開發分離的崗位責任制;禁止混崗和代崗，禁止公用和公開密碼;對重要數據的改賬處理要經過授權由專人負責，并登記日志;建立健全備份制度，核心程序及數據結構要嚴格保密，實行專人分工保管;對已制定的規章制度，要專人負責，真正落實，從根本上杜絕內部安全隱患。

4． 加強銀行員工思想和安全意識教育

一方面對員工要進行經常的思想道德水平和法制觀念教育，培養他們自覺抵制各種誘惑的能力，使他們不違法、不犯罪;另一方面要提高員工的安全防范意識和能力，不給犯罪分子以可乘之機。

第五篇：淺談校園網絡安全及防范措施

更多資料請訪問：豆丁 教育百科

淺談校園網絡安全及防范措施

高縣職校 楊兵

[摘要] 隨著校園網的不斷發展和應用，網絡管理和安全防范問題也越來越復雜。Internet是一個信息的海洋,雖然給人們帶來了無盡的便捷,大大提高了工作效率,但是由于Intemet所具有的開放性、國際性和自由性,所以每個網絡用戶同時都面臨著嚴峻的安全問題。校園網絡通常是借助主干網絡將校園內分處于不同地域的教學樓和機構相連接構成校園網絡的整體,然后通過一個出口與Intemet相連接。本文主要是結合校園網管理工作的實際，就校園網絡安全問題的特點，提出一些防范校園網安全的措施。

[關鍵詞] 校園網 網絡安全

防范措施

一、前言

當前，構架在網絡環境之上的“校園網”，已成為學校信息化建設的焦點。校園網建設的宗旨，是服務于教學、科研和管理，其建設原則也無外乎先進性、實用性、高性能性、開放性、可擴展性、可維護性、可操作性，但人們大多都忽略了網絡的安全性，或者說在建設校園網過程中對安全性的考慮不夠。據美國FBI統計，美國每年因網絡安全問題所造成的經濟損失高達75億美元，而全球平均每20秒鐘就發生一起Internet 計算機侵入事件。在我國，每年因黑客入侵、計算機病毒的破壞給企業造成的損失令人觸目驚心。人們在享受到網絡的優越性的同時，對網絡安全問題變得越來越重視。

由此可見，校園網的安全性問題貫穿于校園網建設、管理、使用的全過程，是非常重要的。

二、校園網絡安全問題的特點

由于學校是以教學活動為中心的場所，網絡的安全問題也有自己的特點。主要表現在：

1.不良信息的傳播。

在校園網接入Internet后，師生都可以通過校園網絡在自己的機器上進入Internet。目前Internet上各種信息良莠不齊，有關色情、暴力、邪教內容的網站泛濫。這些有毒的信息違反人類的道德標準和有關法律法規，對世界觀和人生觀正在形成的學生來說，危害非常大。如果安全措施不好，不僅會有部分學生進入這些網站，還會把這些信息在校園內傳播。2.病毒的危害。

通過網絡傳播的病毒無論是在傳播速度、破壞性和傳播范圍等方面都是單機病毒所不能比擬的。特別是在學校接入Internet后，為外面病毒進入學校大開方便之門，下載的程序和電子郵件都可能帶有病毒。3.非法訪問。

學校涉及到的機密不是很多，來自外部的非法訪問的可能性要少一些，關鍵是內部的非法訪問。一些學生可能會通過非正常的手段獲得習題的答案，使正常的教學練習失去意義。更有甚者，有的學生可能在考前獲得考試內容，嚴重地破壞了學校的管理秩序。4.惡意破壞。

這包括對網絡設備和網絡系統兩個方面的破壞。

網絡設備包括服務器、交換機、集線器、通信媒體、工作站等，它們分布在更多資料請訪問：豆丁 教育百科

整個校園內，管理起來非常困難，某些人員可能出于各種目的，有意或無意地將它們損壞，這樣會造成校園網絡全部或部分癱瘓。

另一方面是利用黑客技術對校園網絡系統進行破壞。表現在以下幾個方面：對學校網站的主頁面進行修改，破壞學校的形象；向服務器發送大量信息使整個網絡陷于癱瘓；利用學校的BBS轉發各種非法的信息等。5.使用者自身的特點

校園網絡有別于一般的Intranet。首先，它的主要使用者為處于青少年階段的學生，他們好奇心強、求勝逞強心重、法律意識比較淡泊，大部分學校對他們的信息道德教育不到位，使他們產生崇拜黑客的想法，總想一試身手；其次，某些網站為了點擊率及自身的利益，提供黑客軟件及教程下載；此外，學生精力旺盛，掌握了大量的計算機和網絡專業知識，所以他們易產生黑客行為或編寫病毒程序。

三、校園網安全的防范措施

目前，比較成熟的網絡安全技術產品有：防火墻、入侵檢測、身份認證、病毒防范、信息過濾、數據加密、VPN、VLAN、容錯、數據備份、地址綁定等。但網絡安全不只是這些技術產品的簡單堆砌，它是包括從系統到應用、從設備到服務的比較完整的、體系性的安全系列產品的有機結合。1.根據用戶的特性和需求劃分VLAN

校園局域網與其他企事業單位的局域網相比，聯網計算機及網絡用戶的群體更為復雜。有教師備課機、學生機房、學生宿舍、圖書館、家屬區以及人事、財務、后勤等行政辦公計算機等。不同的用戶對于網絡有著不同的需求，對于自身信息的安全性要求也不同，據此可以將校園網劃分為多個VLAN。2.在校園網出口設置防火墻網關

防火墻網關能有效隔離校園網和外部互聯網，使校園網與互聯網之間的訪問連接得到有效控制，阻止黑客對校園網的非法訪問和攻擊。針對校園網中部分重要的網段(如院長辦公室、教務、財務、人事、科研中心、重要實驗室等)設置防火墻網關，將他們和學生機房、學生宿舍及家屬區的網段隔離，提供最基本的網絡層的訪問控制，使之不會受到來自校內其他網段的攻擊。3.合理運用入侵檢測技術

入侵檢測技術是主動保護自己免受攻擊的一種網絡安全技術。作為防火墻的合理補充，入侵檢測技術能夠幫助系統對付網絡攻擊，擴展了系統管理員的安全管理能力（包括安全審計、監視、攻擊識別和響應），提高了信息安全基礎結構的完整性?？梢岳萌肭謾z測技術構架校園網的主動防御體系，加強對校園網特別是行政、教研、服務器等重點網段的保護。4.設置訪問控制管理系統和智能信息過濾系統

在學生上網比較集中的網段(如學生機房、學生宿舍、圖書館等)，設置Internet訪問控制管理系統和智能信息過濾系統，從技術上對學生的上網行為進行管理和監控，防止學生有意無意訪問含有黃、賭、毒、暴力、邪教等內容的網站。另外，還要加強對學生的信息道德教育、法制教育及上網行為的管理，使他們不再主動上網瀏覽、下載、傳播這類信息。5.加強服務器安全設置

服務器是校園網的核心設備，也是黑客們的主要攻擊對象，所以它們要有最高的安全性。網絡操作系統是校園網服務器系統中最重要的組成部分，用戶通過使用網絡操作系統來使用校園網絡資源，所以服務器安全的前提是網絡操作系統更多資料請訪問：豆丁 教育百科 的安全。

6.加強防范，防止病毒泛濫

要建立一個有效合理的病毒預防和查殺機制。通過在網絡中部署分布式、網絡化的防病毒系統，不僅可以讓單機有效地防止病毒侵害，還可以使管理員從中央位置對整個網絡進行實時狀態下的病毒防護。

◆ 及時有效對病毒進行查殺。

◆ 保證所有計算機都安裝了網絡版殺毒軟件的客戶端，不能漏掉一個，否則就會出現“木桶效應”，使整個網絡重新被病毒感染。

◆ 及時升級服務器端殺毒軟件的病毒庫，并要求客戶端也要及時升級病毒庫，并定期進行全網計算機病毒掃描。

◆近年爆發的計算機病毒如沖擊波、震蕩波、QQ尾巴等都是利用操作系統或應用軟件本身的漏洞進行傳播，所以要及時安裝系統補丁，截斷病毒傳播的途徑，配合殺毒軟件起到雙重防范病毒的效果。

◆ 要求校園網用戶在安裝了學校提供的網絡版殺毒軟件后，不得再私自安裝其他殺毒軟件，以免互相沖突。7.在防火墻內口上捆綁IP和MAC地址，在匯聚交換機上捆綁IP和MAC地址，在接入交換機上捆綁端口和MAC地址。

通過MAC地址、IP地址、交換機端口的雙重捆綁，解決校園網中IP地址盜用問題和IP沖突問題。8.容錯和備份

對于重要的服務器，可以進行雙機熱備、磁盤鏡像；對于重要的數據信息，采用數據備份技術，要定期進行備份、存儲，做到防患于未然。一旦出現系統癱瘓、崩潰，可通過備份的數據信息快速地恢復系統。9.加強內部安全管理，提高用戶的安全意識

為了確保網絡和系統的正常運轉，應該建立嚴格的局域網管理制度和機房上機管理制度，杜絕人為因素造成網絡不安全。配備相應的網絡管理人員負責整個網絡安全的日常管理及維護。

校園網絡安全問題的解決不僅僅需要先進的網絡安全技術及網絡安全設備，更需要嚴格的校園網管理制度和校園網安全意識，是一個系統化的工程，涉及范圍很廣。隨著校園網規模的擴大和網絡應用的發展,還會出現新的網絡安全問題,所以不會有絕對的和永久的安全，因此網絡管理員就需要不斷學習，提高自身技術水平。

以上是從事網絡管理工作中得到的一些經驗和理論，但這些仍不足以完全杜絕網絡危險，維護網絡安全的核心是保證用戶數據不受損害，所以定期地備份網絡用戶數據，是非常重要的手段，也是切實有效的方式。