企业局域网的组建与应用_毕业论文

毕业论文

论文题目：企业局域网的组建与应用

内容摘要

本文结合当今企业网络安全的发展趋势，通过对当前中小企业存在的一些安全隐患和安全建设的需求分析，提出了一种针对企业网络安全的解决方案。该解决方案在遵照网络安全通用设计原则的情况下，融合了当前先进的网络安全技术和产品，如：防火墙/防水墙、网络反病毒软件、IDS/IPS、容灾和数据备份等，并强调了加强安全管理措施、制定科学的管理策略的必要性。网络安全体系的建设是一个长期的、动态变化的过程，在新的网络安全和防御技术不断出现的同时，新的入侵和攻击手段也不断变化。任何一个安全体系的设计方案都不能完全解决所有的安全问题。但随着企业网络化和信息化进程的推进，对网络安全问题的认识也会在管理体制上、理论研究上、技术储备上不断地深化和改进，为提出解决网络安全问题的更加有效的可行性方案提供思路和途径。

[关键词]网络安全安全需求管理策略解决方案

Abstract

In this paper, combining with the development trend of the enterprise network security, through the analysis of some security hidden danger and safety construction on the existing small and medium-sized enterprises demand, presents a solution for the enterprise network security. The solution in accordance with the general design principles of network security situation, the fusion of the advanced network security technologies and products, such as: firewall / waterproof wall, network anti-virus software, IDS/IPS, disaster recovery and data backup, and emphasizes the necessity of strengthening the safety management measures, make scientific management strategy. The construction of network security system is a long-term process, dynamic change, in the new network security and defense technology constantly emerged at the same time, the new intrusion and attack means change rapidly. Design of any one security system cannot address all of the safety concerns completely. But along with the enterprise networking and informationization, understanding of network security problem also constantly deepening and improvement in technical reserves management system, theoretical research, put forward to solve the problem of network security, the more effective the feasibility scheme to provide ideas and approaches.

Keywords:safety and security requirements of the management strategy of network solutions

1、绪论 (1)

2、企业网络安全综述 (1)

2.1企业网络安全及存在的问题 (1)

2.1.1|企业网络安全的概念 (1)

2.1.2企业网络安全所面临的问题 (1)

2.2网络安全建设的必要性 (1)

2.2.1网络的复杂型及其表现 (1)

2.2.2网络安全建设中存在的误区 (2)

2.3网络安全建设现状 (3)

2.3.1网络防护体系建设缺乏有效重视和投入 (3)

2.3.2网络安全防护体系建设存在不足 (3)

2.3.3网络安全管理制度和措施不健全 (3)

3、企业网络安全建设需求分析 (3)

3.1网络安全的层次结构 (4)

3.1.1网络安全问题的产生及影响 (4)

3.1.2网络安全体系的层次划分 (4)

3.2网络操作系统层的安全 (4)

3.2.1网络操作系统的概念 (4)

3.2.2.网络操作系统的安全防护 (4)

3.3用户层和应用层安全 (5)

3.3.1企业网络应用层的安全威胁 (5)

3.3.2网络应用软件的安全性防护 (5)

3.4数据链路层、传输层和网络层安全 (5)

3.4.1数据链路层安全防护需求分析 (5)

3.4.2传输层安全防护需求分析 (6)

3.4.3网络层安全防护需求分析 (6)

4、企业网络安全建设解决方案 (7)

4.1企业网络安全建设总体规划 (7)

4.1.1企业网络建设的设计规划 (7)

4.2企业网络安全建设详细设计方案 (8)

4.2.1网络拓扑结构设计方案 (8)

4.2.2网络拓扑结构的部署方案 (9)

4.2.3企业网络的防火墙防护设计 (10)

4.3企业网络安全管理策略分析与设计 (11)

4.3.1企业安全管理制度建设分析 (11)

4.3.2企业网络管理管理活动分析 (12)

结论 (13)

致谢 (14)

参考文献 (15)

1、绪论

当前，随着全球信息化步伐的不断加快和计算机网络技术的迅猛发展，经济全球化已经成为必然趋势，网络作为信息交互的主要手段,正引领企业信息化建设的巨大变革。企业网络已经由简单的单机互联和文件处理，发展为集办公自动化、业务流程处理、员工绩效管理等为一体的复杂的企业内部网，并与企业外部的国际互联网相融合，发展为计算机信息交互和协同处理的网络系统，已由传统的C/S模式向B/S模式再到企业网格进行转变。

企业网络作为一种复杂而集成的网络系统出现的同时，传统的网络安全威胁依旧存在，病毒、木马、蠕虫等肆虐，网络攻击手段日趋多样化，破坏力巨大并具有隐蔽性，时刻威胁着企业的网络安全。

本文针对企业网络的安全建设问题，重点分析了如何构建一个可靠的网络安全防御体系。面向当前中小企业网络安全建设的现状，提出了一种具有典型意义的企业网网络安全的解决方案。

2、企业网络安全综述

2.1企业网络安全及存在的问题

2.1.1企业网络安全的概念

当前企业信息化的普及，使得企业的生产经营相关的业务体系，都立足于Internet/Intranet环境。基于此，企业网络安全也要从内部和外部，也就是Intranet和Internet两个方面来考量。企业网络安全建设方案，也包括内部的安全系统建设和外部入侵的防御检测系统建设两个方面。

一般来说，企业网络安全是指企业内部网络系统（Intranet环境）的所有软硬件设施及网络系统中所存储的数据受到全方位的保护，不因来自内部网络或者外部网络（Internet环境）的偶然的或恶意原因而遭到破坏、更改和泄露。即使在突发情况下，网络系统依旧能够可靠运行，系统内部的重要数据得以保护和备份并使得网络服务不被中断。

2.1.2企业网络安全所面临的问题

企业网络一般都是接入Internet的，其网络环境的开放性，可以增强网络系统的应用性，但也对企业网络信息安全提出了更多更高的要求。一般企业网络的都是基于Windows 平台的应用系统，主要有WEB服务、E-mail系统、MIS、进货和销售系统、财务统计系统、人事管理系统等。这些系统往往自成体系,没有统一的资源管理与访问控制策略。而且随着企业的发展系统的安全层次也会愈发多样。整个企业的网络系统存在两个方面的安全问题：

（1）企业网络接入互联网的安全性。对接入互联网的子网，要采取严格的访问控制策略和入侵检测措施。

（2）企业内部网络的安全性。企业内部的网络安全是传统网络安全建设最为注重的方面。最常见的安全隐患主要有未授权访问、破坏数据完整性、拒绝服务攻击、计算机病毒传播、缺乏完整的安全策略、缺乏监控和防范技术手段、缺乏有效的手段来评估网络系统和操作系统的安全性、缺乏自动化的集中数据备份及灾难恢复措施等。

2.2网络安全建设的必要性

2.2.1网络的复杂型及其表现

计算机和电子技术的发展使得计算机网络技术不断融合新的技术，企业网络也因此发展和进步，具备了许多新特性，这给网络建设带来了更大难度。

网格概念的提出和互联网的建设，在使得网络极大的发挥其效能的同时，也使得企业网络环境复杂性和多样行凸显。这表现在以下几个方面：

首先，网络拓扑结构具有复杂性。网络互联是个拓扑结构，除掉各个计算机终端节点

之外，还需要各种互连设备，比如交换机、路由器等。各式各样的设备互连设备，又同时将整个企业网络划分为几个小局域网，组成了网络互连结构。

其次，网络软硬件设备的复杂性。网络设备一方面是指网络互联的硬件设备以及运行其上的网络管理软件。另一方面，是指各个网络终端结点设备以及搭载其上的软件系统。网络软件在链路层、传输层和应用层都可以发挥数据检测作用，单机操作系统可以选择服务器版本，并安装防火墙软件和杀毒软件，同时根据网络特性配置过滤规则。

最后，网络管理和网络用户的复杂性。网络管理，一方面是针对网络用户的访问管理，一方面是针对网络设备和运行其上的网络软件的管理。网络管理一般由专人负责，称为网络管理员。他一方面要负责通过各种网络管理软件，对网络上进行数据访问和存储的用户行为进行监控，另一方面要制定各种网络访问策略和监控策略，比如过滤规则，路由规则等。

总之，网络的多样性和复杂性，使得网络自身和网络的管理存在诸多问题，需要专人负责网络安全建设。

2.2.2网络安全建设中存在的误区

通过调查发现，无论是网络用户还是网络管理者，都对网络安全存在一些认识上的误区，主要表现在：

（1）网络建设无需太多投入。

出于成本的压力，中小企业一般在网络建设的投入上不足。中小企业网络一般只有十几到几十台客户端，网络互联产品一般选用24口交换机，带动其他的交换机，选用家用级别的路由器接入互联网，从而组成一个小型办公网络环境，事实上，这种接入方式和网络拓扑结构，会导致网速非常慢，堵塞严重，掉包频繁。

（2）网络管理无需专人负责。

没有网络管理人员对企业网络进行维护的原因在于，大多数中小企业网络安全需求没有得到管理者的足够重视，大部分中小企业没有设置专职网络管理员，而采用兼职管理方式，没有针对企业网络配置网络环境，选用管理和安全软件，并对过滤规则进行设计。这必然会导致技术基础和技术储备的匮乏，使得网络管理在软硬件方面上都有先天缺陷，在网络稳定性和安全性方面存在严重隐患。这种情况下，即使有网络攻击或者病毒的入侵，网络使用者也很难及时发现以阻止入侵，更不用说挽回损失了。

（3）网络安全软件无需专业化。

很多中小企业网络安全，都是依靠桌面杀毒软件解决的。桌面杀毒软件并不适用于复杂的网络环境。一旦有恶性病毒大规模爆发时，网络病毒在内部局域网疯狂流窜，一方面病毒的肆虐传播造成网络堵塞，破坏系统文件使电脑不能正常工作，另一方面，会导致病毒感染网络内部主机，潜伏下来，借助网络漏洞，伺机在网络内部传输，普通的杀毒软件并不能消灭干净。

网络管理中，需要一种具备全局控制能力的杀毒软件，在局域网中任何一台机器感染病毒时，都可以检测到，并阻止其传播，否则局域网病毒严重的导致局域网瘫痪，更甚至可能使整个系统崩溃。

2.3网络安全建设现状

网络安全建设普遍存在着如下问题：网络拓扑结构，缺乏宏观的了解；对于网络的构成，缺乏清晰的认识；对于网络拓扑结构中，关键节点缺乏有效管理；对于网络管理和网络安全软件缺乏深入的原理理解和足够的应用经验等等。

2.3.1网络防护体系建设缺乏有效重视和投入

企业网络中，用户主要来自于内部，由受信任的内部用户发起的攻击是最危险的一种形式。因此内部安全威胁已经上升为主要矛盾。

一方面，网络的拓扑结构一般是针对内部网络设计的，互连设备的部署也主要是针对内部网络。如何针对内部网络设计网络拓扑结构，选用互连设备，构建内部局域网中的局域网，杜绝网络拥塞的出现，是当前研究领域的热点问题。这需要针对企业网络的性能，需要特定的优化设计。

另一方面，对于网络安全，更需要一体化的管理和安全防御体系建设，在防御软件上，要针对特定的网络应用，部署专门的网络防火墙和杀毒软件。通过制定特定的防御规划，设计或者修改软件过滤规则，过滤网络环境中的不良信息，这些都需要企业管理者投入人力物力进行设计和研发。

2.3.2网络安全防护体系建设存在不足

每一种网络拓扑结构，对应一种网络体系结构设计，在相应的网络安全体系建设中，安全软件的部署也要有其特点，适应网络信息流动和安全检测工作。然而，企业特别是中小型企业，在网络安全体系的建设中还存在以下不足：

传统防护体系在系统化设计上存在欠缺。

企业对外部互联网的接入，应该设计系统化的防护体系,这并非是简简单单的防火墙就可以完成的，应由专业认识进行设计。一般可采取防火墙与入侵检测系统(IDS)联动的方式，对网络进行动静结合的保护。网络管理软件和安全软件的协作，对网络内外两个部分都进行可靠管理。

2.3.3网络安全管理制度和措施不健全

在网络的管理上，国家有关部门也颁布了一些法律法规，比如《计算机信息网络国际互联网安全保护管理办法》。各个企业也有自己的一套管理办法，具体到不同的网络部门，也应该有自己的一套经过实践检验并行之有效的网络安全设计规程。

作为企业网络安全保证的网络安全管理制度，一方面，它是一个企业针对网络使用和网络信息安全，所采取的切实有效的规章制度，是规范网络用户行为的准则。另一方面，安全管理制度也是网络管理人员对网络用户行为进行审核的标准，任何违反网络安全规章制度的行为，都应该被网络管理系统发现，网络用户不安全的操作行为，也应该由网络管理软件或者网络管理员发出警告。

构建一套合理的网络安全管理规章和制度，是一个企业在制度上落实网络安全建设的

重要环节，也是经过许多企业网络建设的成功和失败的经验教训检测之后的行之有效的举措之一。

3、企业网络安全建设需求分析

通过第二章中对网络安全和企业网络安全建设的现状分析，可知构建一个合理有效的企业网络安全体系和规则，对于解决网络安全建设中所暴露出来的诸多问题是大有必要的。本章将对网络安全建设进行需求分析，在网络安全的系统层次设计和应用软件设计方面，对网络安全建设的需求情况进行详尽的论述。

3.1网络安全的层次结构

3.1.1网络安全问题的产生及影响

网络安全涉及到网络体系结构的各个方面,网络安全问题的出现一般是由以下三个原因造成的：一是操作网络的内部人员的操作失误；二是企业外部有目的的攻击和窃取信息的行为；三是某些网络设备和软件系统制造商在网络设备的软、硬件中放置危害网络、盗窃信息的程序。

3.1.2网络安全体系的层次划分

网络安全中安全措施划分，主要有如下几个方面：

（1）数据源鉴别。在连接和传送数据时鉴别相应的协议实体，而后决定提供或者拒绝服务。

（2）访问控制。限制用户访问网络资源的授权，可以防止未经许可暴露所传输数据的内容。

（3）完整性服务。包含网络协议不受篡改，确保服务顺利完成。主要用于防止他人利用网络修改传输数据，以保证发送和接收的数据一致。

3.2网络操作系统层的安全

3.2.1.网络操作系统的概念

计算机网络是由多个相互独立的计算机系统通过通信媒体连接起来的?各计算机都具有一个完整独立的操作系统,网络操作系统(NOS)是建立在这些独立的操作系统基础上用以扩充网络功能的系统(系统平台)?

3.2.2网络操作系统的安全防护

网络设备中主流操作系统有类UNIX和Windows系列，LINUX作为开源系统，兼具UNIX强大的网络功能。而Windows平台更是推出了Windows Server系列，满足网络服务的需求。用户的应用系统和安全工具软件都在操作系统上运行，操作系统为各工具软件提供支持，因此操作系统的安全与否直接影响到网络系统的安全。

网络操作系统的安全问题。企业接入互联网以及B/S模式的管理系统在企业网络中的

应用，难免会带来源源不断的软件安全问题，一般的操作系统都会提供以下的安全防护措施：

（1）过滤保护。分析所有针对受保护对象的访问,过滤恶意攻击以及可能带来不安全因素的非法访问。

（2）安全检测保护。对所有用户的操作进行分析,阻止那些超越权限的用户操作以及可能给操作系统带来不安全因素的用户操作。

（3）隔离保护。保证同时运行的多个进程和线程之间是相互隔离的,即各个进程和线程分别调用不同的系统资源。

3.3用户层和应用层安全

作为终端使用者的用户，直接面对应用层，应该确切落实网络管理规章制度的要求，杜绝安全隐患。用户层安全的防范措施，主要包含对用户的识别、认证、数字签名等。

3.3.1企业网络应用层的安全威胁

来自企业内部和外部的动态变化的安全威胁随时会给企业运营带来巨大的灾难。常见的危害应用层安全的的因素如下：

（1）网络蠕虫、病毒等危害网络信息安全。

（2）信息窃取和网络攻击危害网络数据安全。

信息窃取是黑客和网络攻击的常见目标。信息窃取会对中小型企业的发展造成严重影响，会破坏中小型企业赖以生存的企业商誉和客户关系。

（3）垃圾邮件成为传播病毒的主要手段。

收到垃圾邮件的用户往往由于对邮件缺乏了解而不幸激活病毒却不知情，网络犯罪将更多地采用这种介质发布木马病毒。

3.3.2网络应用软件的安全性防护

应用系统层的安全需求需要保证应用软件和数据库软件的安全性，如：WWW服务、应用网关系统、DNS系统、防火墙软件、业务应用软件等。应用软件必须保证以下要求：（1）购买的应用软件应通过安全测试并要求销售商确认其无后门或漏洞。

（2）能够对用户身份进行鉴别与认证。

（3）保证存储或存档的所有数据的完整性、真实性和可用性。

（4）对已使用的应用系统定期进行漏洞扫描，及时修补存在的漏洞。

3.4数据链路层、传输层和网络层安全

数据链路层、传输层和网络层，在OSI参考模型中，都是负责数据流传输的，企业对于数据访问和存取的控制，一般都是针对这三个层次制定网络协议，监控和过滤数据流。

数据链路层位于物理硬件层网络层之间，担负起第一道数据监控和过滤的重任。与数据链路层的安全有两方面内容：一是涉及到数据传输过程中的加密和数据的修改，也就是影响到数据的完整性；另一个是涉及到物理地址的盗用问题，影响到网络管理。

针对数据链路层的攻击主要有：

（1）局域网ARP欺骗攻击。

数据链路层的协议ARP协议，具有完成IP地址到MAC地址的转换的功能。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。

（2）针对MAC地址的泛洪攻击。

网络互连设备路由器和交换机具有主动学习客户端的MAC地址，然后建立和维护端口和MAC地址的对应表。MAC地址泛洪攻击利用工具产生欺骗MAC，快速填满MAC 地址表，交换机此后一直广播信息，会造成负载过大，网络缓慢和丢包甚至瘫痪。

3.4.2传输层安全防护需求分析

传输层处于通信子网和资源子网之间，起着承上启下的作用。无论是局域网还是广域网，目前最为流行的传输层协议主要有TCP和UDP协议族许多安全协议也运行于TCP之上，为不安全的通信双方建立数据传输的可靠通道，使得数据避免被窃听、篡改或假冒。

基于传输层的网络安全协议众多。传输层支持的安全服务有：1) 对等实体认证服务；

2)访问控制服务；3)数据保密服务；4)数据完整性服务；5)数据源点认证服务。传输层主要有两个安全协议：SSL（Secure Sockets Layer）和PCT（Private Communications Technology）。

企业网络对于传输层的需求一般有：

（1）文件传输的安全需求。

企业的一些管理者为了方便，通过一些通讯工具来收发一些有保密级别的文件的或者重要信息，而网络本身都存在着较多的缺陷，为此，保证重要文件的秘密性、完整性、和可靠性，建议在传输之前对文件进行加密。

（2）网络边界通信的安全需求。

网络交换设备主要包括路由器和ATM。由于路由器普遍采用无连接存储转发技术,一旦某一个路由器发生故障或出现问题，将迅速波及到与该路由器联系的网络区域。

网络层边界安全需求包括整个局域网通过防火墙接入互联网时边界的安全需求、服务器群组成的服务子网和主交换机与通过防火墙与外网接入层之间不同安全等级而使用不同访问控制策略的安全需求。

（3）内网访问及网络权限控制需求。

内网的访问控制为网络访问提供了第一层访问控制。它对用户进行权限的分配，控制不同用户对网络资源的访问或者服务器访问的权限，为用户指定能够访问的对象和获取的资源。一般可分为三步：用户名验证、用户口令验证和用户账号的缺省限制检查。只要用户在这三个环节中的任何一个环节中没有通过，该用户将不被允许接入网络。

网络层主要是指IP协议簇。IP地址是在网络层标识一台计算机的唯一身份识别码，无论是企业内网还是外部互联网，都需要有独立的IP地址。可以通过网络交换的监控，对网络状况动态的检测和控制。网络层安全协议的最大特点是其透明性，即不过问高层协议数据包的内容，可以提供认证、保密性、完整性等服务。

一般而言，设计网络时，内部网络自成体系，有自己的子网网段，各子网必须通过中间设备进行连接，利用这些中间设备的安全机制来控制各子网之间的访问。

对于网络层的防护，主要包含以下几个方面：

（1）WEB网站安全防护需求。

目前企业内部网络各种应用系统，一般都是采用B/S模式的WEB网站形式,WEB系统防护是一个复杂的问题，包括应对网页篡改、DDoS攻击、信息泄漏、导致系统可用性问题的攻击等各种形式,WEB系统需要专人管理。

（2）DNS服务器系统的安全防护需求。

域名服务器DNS系统，作为互联网的神经系统，关乎网络层服务数据能否成功到达的问题。针对DNS系统的攻击比较突出的为DoS攻击、DNS投毒、域名劫持及重定向等,DNS 系统的安全防护需要部署流量清洗设备，保障DNS业务系统的正常运行。

4、企业网络安全建设解决方案

图4.1企业网络总体规划

4.1企业网络安全建设总体规划

根据第二章对企业网络安全的论述以及第三章企业网络安全需求分析的基础上，遵守通用的设计原则，本章研究制定了一个可满足企业网络对可靠性、保密性、可管理性及可扩展性等方面需求的企业网络安全建设的总体设计规划方案。

4.1.1企业网络建设的设计规划

一般来说，企业网络的建设，通常会首先考虑建设内部 MIS 系统，而后展开其他业务系统的建设，构造企业信息网络的局域网，通过添加各种网络互连设备，逐步形成网络监控数据中心、数据库服务中心、 OA 办公系统、ERP 人力管理系统等子系统同时运行的网络系统。

内部网络建设以搭建各种应用服务器集群，包括WEB、Mail、FTP等服务，以及提供数据存储和备份服务的数据库服务器集群，数据服务中心包括业务管理和网络管理两种功能，控制和监控整个网络的运行情况并采取相应的措施，各网络模块之间通过交换机、路由器等互连设备联系在一起。企业网络总体规划如图4-1所示：

对于企业来说，网络管理已经从最初的单一网管需求发展到IT 综合管理需求,这些管理都是紧密关联、不可分割的整体.企业网络一般是建立以业务为核心管理系统，如图4-2所示：

2.企业网络安全建设的设计目标

（1）合理规划的拓扑结构。易于部署强化，保证物理安全。

（2）强大的协同工作和自我防护能力。

①把入侵检测系统IDS 与入侵防御系统IPS 结合起来部署在关键节点；

②把防火墙与防水墙相结合保护关键子网；

③安装漏洞扫描工具对应用层和系统层进行定期的漏洞扫描；

（3）完善的网络管理能力。

①引入先进的防病毒软件，加强网络安全；

②使用网络系统管理软件对服务器和终端系统进行统一的管理；

③配置VPN 以提供统一的外部入口，达到隔离内网与外网的效果；

④以关键业务为中心的网络管理模型，保证关键业务持续性；

⑤单一网络设备管理到融合式应用网络管理；

（4）完善的数据安全保障机制。

①网络管理员保障关键数据的安全；

②使用容灾备份系统对关键业务进行实时备份；

③制定安全管理相关策略，加强对网络使用人员的管理；

4.2企业网络安全建设详细设计方案

4.2.1网络拓扑结构设计方案

（1）企业网络拓扑结构设计。

网络的拓扑结构是抛开网络物理连接来讨论网络系统的连接形式，网络中各站点相互连接的方法和形式称为网络拓扑。拓扑图给出网络服务器、工作站的网络配置和相互间的连接。图4-3就是典型的中小企业网络拓扑结构图。企业通过一边界路由器和因特网相连，在局域网内部，主要有4个区域：办公区，服务器，生产子网和安全管理区。如图4-3

所

图4. 2 以业务为核心的网络管理系统

示：

（2）企业网络安全架构设计。

本系统在设计中，融合网络拓扑技术、防火墙技术、反病毒技术、VPN 技术、数字签名、认证和授权技术、加密传输技术、VLAN 技术等等，构建出企业安全网络架构，其架构如图4-4所示的企业网络安全系统架构：

图4.3企业安全架构

（3）企业安全层次模型设计。

由于网络安全实际是在不同的安全模型和网络层次实现的，因此，针对开放系统互联参考模型（OSI）网络安全特性，可以可以分别在分层参考模型协议栈的不同协议层中实现。

一般来说，物理层不处理网络安全问题，主要负责信号传输。数据链路层的主要任务是加强物理层传输原始比特的功能，数据链路层有一些适用于有线、无线网络的MAC层安全协议，网络层建立端到端的路由，利用IPSec（互联网安全协议）增强其安全性能;第五层以上（含第五层）的安全机制根据不同应用的安全性需求，需要系统设计者根据自身需求量身定做。针对特定的安全应用，设计合理的防护措施并部署到环境中。

4.2.2网络拓扑结构的部署方案

（1）网络拓扑结构部署整体设计。

在对网络拓扑就行分析和设计之后，就要选择适用的安全防护技术和方案就行部署。经过对企业的网络特点和存在的问题进行认真细致的分析后，考虑到不同层次的安全需求以及整体安全的需求以及企业的可承载能力，设计了一个网络安全体系建设的整体方案，

（2）网络拓扑结构部署的要点。

①网络系统数据处理能力强。各种应用要求实时性强，对系统的处理能力及稳定性要求很高；

②数据存储的安全性强。应用系统数据量庞大适宜数据集中存储；

③网络结构健壮性强。根据应用系统的广泛性，业务运算及传输对系统的处理能力以及网络的负载能力提出了非常高的要求；

4.2.3企业网络的防火墙防护设计

（1）企业级防火墙的概念。

防火墙(firewall)是一项协助确保信息安全的设备或者软件，会依照特定的规则，允许在具体应用中,一方面，从硬件层级上讲，防火墙是位于被保护网和外部网之间的一组硬件设备，位于路由器和各个计算机之间，一般是由系统管理员控制防火墙的规则，确保在能够提供访问的同时,保护内部网络。

或是限制传输的数据通过。防火墙用来控制各种网络之间所有的数据流量，也可以控制企业内部对某些关键数据的存储或者数据服务器的访问。如下图4.4所示：

图4.4 防火墙在企业网络中的位置

（2）企业级防火墙的功能。

①数据流量监控和数据安全防护；

防火墙适用于用户网络系统的边界，属于用户网络边界的安全保护设备。网络边界即是采用不同安全策略的两个网络连接处，防火墙的目的就是在网络连接之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。

②被保护子网和信息的隐藏；

由于所有进出网络的信息，都要经过防火墙的审核，因此防火墙为网络安全起到了看门人的作用。结合授权访问，防火墙可以有效的屏蔽内部信息不为外部可见，防火墙可以限制被保护子网的暴露。因此，防火期可以限制局部网络安全问题对整个网络的影响。

③防火墙具有强大的自我学习和抗攻击免疫力；

防火墙通过对事件的处理和知识学习，可以将本网络安全等级进行划分，对本网络的安全事件就行分类，并根据网络管理员的选项，自主的决定如何处理某些网络时间。防火墙技术作为网络出入的守卫，基于操作系统发挥其防护作用。当然，嵌入式防火墙系统，也是一种专用的防火墙设备。

本系统设计中，企业内网通过网通的公共网络线路与Internet互联，网络内部邮件服务器，实现邮件的收发，内部的WWW服务器，对外提供网页访问服务。考虑到企业与外网的信息交换量的大小以及企业网络安全的需要，可选择了硬件防火墙作为网络边界的安全设备。典型的硬件防火墙如Cisco PIX 525等。Cisco PIX 525使用思科的专用自适应算法ASA与状态表进行会话以及进行其他事务的处理。它以专门的硬件化的操作系统为中心，以命令的方式实现配置和管理。它还具备故障时的无缝切换功能、URL过滤、冗余以

及检测病毒的功能。

（3）基于iptables的企业网络防火墙设计。

①数据包过滤技术；

数据包过滤是一种访问控制技术, 用于控制流入流出网络的数据。包过滤技术可以允许或不允许某些包在网络上传递，它依据以下的根据：将包的目的地址作为判断依据；将包的源地址作为判断依据；将包的传送协议作为判断依据。路由器通过实现设定的过滤规则，对流入流出数据流中的数据包进行检查，确定是否要发送。不符合规则的包会被路由器丢弃。

②iptables防火墙设计；

iptables防火墙是LINUX下的免费防火墙，它是LINUX内核中netfilter架构的一种策略管理工具，随着LINUX发行版的推广而流行开来。它可以代替昂贵的商业防火墙解决方案，完成封包过滤、封包重定向和网络地址转换NAT等功能。

iptables允许建立状态(stateful)防火墙，，这对于有效地配置FTP和DNS以及其它网络服务是必要的。iptables能够过滤TCP标志任意组合报文，还能够过滤MAC地址。iptable 能够阻止某些DOS攻击，例如SYS洪泛攻击。

iptables提供多种命令和参数，可以通过脚本文件使用命令行针对不同的网络环境，比如NAT、ADSL拨号等，对防火墙的策略规则进行配置，有效管理网络数据的流入和流出。

4.3企业网络安全管理策略分析与设计

4.3.1企业安全管理制度建设分析

通过参考大量的管理策略和实施办法，企业的安全管理制度的健全可以从以下几个方面着手：

（1）职责分离

在信息处理系统工作的员工，不允许参与职责以外的与安全相关的事情。有些信息处理工作不能由一个人负责，比如：系统软件与应用软件的开发、机密文件的传送与接收、信息处理系统相关媒介的保管与电脑操作、电脑操作与编程、系统管理与安全管理、管理访问证件与其它工作等等。

（2）责任原则

每项与安全相关的活动，须多人在场（两人及两人以上）。由主管人指派一些忠诚可靠，可以胜任此项工作的人参加。并填写工作情况记录本，证明安全工作已经得到保障。

（3）按届选举相关人员

一般来说，一个人不能长期担任安全相关职务。工作人员要不定期换岗，强制休假，为保证工作效率还要对工作人员进行轮流培训。

4.3.2企业网络管理管理活动分析