中小型企业网安全环境的构建与实现.docx

《中小型企业网安全环境的构建与实现.docx》由会员分享，可在线阅读，更多相关《中小型企业网安全环境的构建与实现.docx（83页珍藏版）》请在三一办公上搜索。

1、学科分类号：_520.3040_湖南人文科技学院本科生毕业设计论文题目：中小型企业网安全环境的构建与实现（英文）：Construction and Implementation of Small-to-Medium Enterprise networks Safe Environment学生姓名：龙彩虹学号07420132系 部：计算机科学技术系专业年级：网络工程2007级指导教师：陈代武职 称：副教授湖南人文科技学院教务处制湖南人文科技学院本科毕业设计诚信声明本人郑重声明：所呈交的本科毕业设计，是本人在指导老师的指导下，独立进行研究工作所取得的成果，成果不存在知识产权争议，除文中已经注明引用

2、的内容外，本设计不含任何其他个人或集体已经发表或撰写过的作品成果。对本文的研究做出重要贡献的个人和集体均已在文中以明确方式标明。本人完全意识到本声明的法律结果由本人承担。 作者签名： 二0 一一 年 月 日目录摘 要第一章 绪论1.1 前言1.2 选题综述1.3网络安全的基本问题1.4网络安全准则第二章 中小型企业网安全环境构建的意义第三章 中小型企业网安全需求分析3.1中小型企业安全网络的现状3.2中小型企业网络安全特点3.3中小型企业安全网络的管理3.4中小型企业网络系统设计方案的需求第四章 中小型企业网安全环境设计4.1网络安全分层思想4.2访问控制4.3 设备安全4.3.1设备安全策略

3、4.3.2设备加固4.3.3设备物理安全4.3.4用户账户4.3.5特权级别4.3.6交换访问方法4.4保护安全设备的管理访问4.4.1使用telnet访问4.4.2使用SSH访问4.4.3使用HTTPS访问ADSM4.4.4使用本地和AAA数据库进行认证与授权4.5交换机的安全4.5.1端口级流量控制4.5.2STP协议安全特性4.5.3DHCP Snooping4.5.4IP Source Guard4.5.5DAI(动态ARP监控)4.5.6中小型企业网常见攻击方式及威胁4.5.7二层安全的最佳配置方法3 24.6路由协议安全特性4.7防火墙4.7.1 防火墙的特性与意义4.7.2 防火

4、墙数据处理流程4.7.3防火墙的部署4.8虚拟专网络技用术4.8.1企业网对VPN 技术的需求4.8.2隧道技术第五章 中小型企业网安全环境的实现5.1上海艾泰科技有限公司的介绍5.2中小型企业网络安全环境构建拓扑5.3网络环境搭建实施步骤5.4中小型企业网络安全技术部署配置文档参考文献致谢附录A：上海艾泰科技有限公司网络拓扑结构示意图附录B: 中小型企业安全网络IP规划附录C: 型企业安全网络实验配置附录D：防火墙的分类中小型企业网安全环境的构建与实现摘 要随着计算机网络应用范围的扩展和技术的不断提高，计算机网络在带给人们方便快捷的同时，网络的安全问题也变得越来越重要。计算机网络的最基本应用

5、便是资源共享，但是资源共享在提供了信息快速传递和处理的同时，也为在网络中存储的大量数据带来了安全问题。这些数据在存储和传输过程中，都有可能由于自然和人为等诸多因素被损坏、盗用、泄露或篡改，这将给网络系统的应用者带来相应的甚至极大的损失。从1988年第一个INTERNET蠕虫事件到2004年信息网络安全事件爆发高峰期，至今网络安全事件也是层出不穷。所以，对于中小型企业网来说，如何建构一个安全的网络环境是非常重要的。本论文是着重研究如何设计一个安全的中小型企业网络，其重点是放在如何搭建一个安全的中小型企业网上。研究内容主要包括中小型企业网安全需求分析、中小型企业网安全整体规划、中小型企业网络安全详

6、细设计、中小型企业网络安全策略等。从中小型企业网络的安全漏洞、安全特点入手，提出中小型企业网络安全解决方案。为了将论文中提到的安全技术-VLAN、VPN、防火墙、交换安全、路由安全部署到一个环境中,而本身又没有那样的条件在真实的设备上实现,故采取网络模拟器搭建一个扩展而稳定、可靠而安全的中小型企业网络，重点是在如何部署网络安全技术来达到内外网的高度安全。关键词： 互联网; 中小型企业; 网络安全; 安全技术; 网络模拟器Construction and Implementation of Small-to-MediumEnterprise networks Safe Environment A

7、bstractWith the expansion of the scope of computer network applications and technologies continue to improve, the computer network to bring people in the same convenient, network security has become increasingly important. The most basic application of computer networks is the sharing of resources,

8、but resource sharing in the provision of rapid information transmission and processing, but also for storage in the network security issues has brought large amounts of data. The data in the storage and transmission, are likely due to natural and man-made factors such as damaged, stolen, leaked or t

9、ampered with, which will bring the network system applications are appropriate or even a great loss. From 1988 to the first event INTERNET worm information network security in 2004 the peak of the outbreak, has network security event is endless. So, for small and medium sized enterprise networks, ho

10、w to build a secure network environment is very important. This paper is focused on how to design a secure network of small and medium enterprises, the focus is on how to build a safe SME. Research include network security needs of small and medium enterprises, small and medium enterprise network se

11、curity overall planning, detailed design of network security for SMEs, small and medium enterprise network security strategies. From the small and medium enterprise network security vulnerabilities, security features start, make small and medium enterprise network security solutions. In order to stu

12、dy security technology is mentioned - vlan, vpn, firewall, exchange security, routing, security deployment to an environment, which itself has no conditions as to achieve in the real device, so to build a network simulator expansion and stable, reliable and secure networks for small and medium enter

13、prises, emphasis is on how to deploy network security technology to achieve a high degree of internal and external network security.Keywords: Internet smes network security safety technology network simulator 第一章 绪论1.1 前言网络安全从其本质上来讲就是网络上的信息安全，从广义上来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可靠性的相关技术和理论都是网络安全的研究领域。

14、网络安全有许多的别名，信息安全、网络信息安全。网络安全威胁、网络安全攻防、网络安全服务和网络安全技术等都是网络安全在不同应用场合和不同用户对象时的说法。网络安全包括一切解决或缓解计算机网络技术应用过程中存在的安全威胁的技术手段或管理手段，也包括这些安全威胁本身及相关的活动。网络安全威胁和网络安全技术是网络安全含义最基本的表现。网络安全威胁是指计算机和网络系统所面临的、来自已经发生的安全事件或是潜在安全事件的负面影响；通常又分为现实和潜在威胁。解决或缓解网络安全威胁的手段和方法就是网络安全技术；为区别网络安全技术的两个主要阶段，现使用的经典网络安全技术和最近五六年最新推出的、完善的称为下一代网络

15、安全技术。 从1988年第一个INTERNET蠕虫事件到2004年信息网络安全事件爆发高峰期，至今网络安全事件也是层出不穷。尽管近几年网络安全问题似乎稍有得到抑制，但始终是网络工程师们头痛的问题，要构建一个高扩展性、高可靠性、高稳定性的网络或许凭借我们现有的技术以及网络工程师的经验，这不是问题。但是还要要求高安全性的话，这将是一个比较大的难题，毕竟网络中人为的、自然的很多因素都是未可预知的。随着计算机网络应用范围的扩展和技术的不断提高，计算机网络在带给人们方便快捷的同时，网络的安全问题也变得越来越重要。计算机网络的最基本应用便是资源共享，但是资源共享在提供了信息快速传递和处理的同时，也为在网络

16、中存储的大量数据带来了安全问题。这些数据在存储、传递和传输过程中，都有可能由于自然和人为等诸多因素被损坏、盗用、泄露或篡改，这将给网络系统的应用者带来相应的甚至极大的损失。导致网络安全威胁的原因不外乎一下三个因素：1. 系统的开放性开放、共享是计算机网络系统的基本目的和优势，但是随着开放规模大、开放对象的多种多样、开放系统应用环境的不同，简单的开放显然不切实际。相当一部分的网络安全威胁由此而产生。2. 系统的复杂性复杂性是信息技术的基本特点，硬件的规模、软件系统的规模都比一般传统工艺流程大很多，需要投入的人力资源及其庞大。规模庞大特性本身就意味着存在设计隐患，而设计环境和应用环境的差异更是不可

17、避免的倒置设计过程不可能尽善尽美。软件漏洞、硬件漏洞、协议设计缺陷等都是设计缺陷等都是典型的由于系统复杂性而导致的网络安全威胁。3. 人为因素 网络系统最终为人服务，人与人之间的各种差异、人在传统生活中表现出来的威胁行为是网络安全威胁出现的根本原因。各种计算机犯罪是非常有力的表现。1.2 选题综述在现实中，并没有绝对意义上的安全网络存在，中小型企业网由于自身的特点：速度快和规模大，中小型企业网中的计算机系统管理比较复杂，中小型企业网中的用户水平参差不齐，有限的投入。成了网络安全问题比较突出的地方，成为了攻击者最为容易破获的目标，因而安全管理也是更为复杂，困难。国内外每个网络工程师们都在致力于研

18、究如何才能部署高效安全的网络，来防止各种安全威胁的攻击。从主机安全到网络本身安全到黑客攻防再到高效安全管理，所有采取的措施都是围绕保持一个网络体系的安全而实施。我想以层级中小型企业网络为模型来研究如何构建一个安全的网络环境，从而提供一个构建安全网络环境的设计思路和方向。从不同的网络安全威胁着手，针对不同的网络安全攻击入口，采取不同的网络安全技术来实现中小型企业网的安全搭建。本论文所设计的网络是依托于我现在所在的公司上海艾泰科技有限公司，从整体上借助于当前典型的中小型企业网络安全技术、拓扑结构与产品的选择应用，在此基础上着重研究如何设计一个安全的中小型企业网络，强调其重点是放在如何搭建一个安全的

19、中小型企业网上。研究内容主要包括中小型企业网安全需求分析、中小型企业网安全整体规划、中小型企业网安全详细设计、中小型企业网络安全策略等等。因为本论文研究的是如何搭建安全的中小型企业网络环境，所以从中小型企业网络的安全漏洞、安全特点入手，提出中小型企业网络安全解决方案。本论文立足于中小型企业网络这极具代表性的园区网络，综合的分析和设计整个网络的拓扑结构，以点带面，阐述构建安全网络环境的基本思想和设计方法。所设计的网络应具有如下特点：安全可靠、高速的网络连接，信息结构多样化、性价比高、可扩展性高等。尽可能详细地阐述当前中小型企业网络可能存在的主要安全问题和解决方法，以便在进行具体网络环境技术实施中

20、对症下药。例如针对中小型企业网中常见的攻击方式及威胁：（1）ARP欺骗攻击；（2）IP地址欺骗；（3）DHCP的DOS攻击；（4）DHCP Server 冒充；（5）TCP SYN拒绝服务攻击；（6）端口扫描；（7）路由协议攻击；（8）虚拟终端VTY耗尽攻击；（9）恶意程序的攻击-逻辑炸弹、特洛伊木马、病毒、蠕虫等；（10）自然环境威胁等等。提出一些解决的办法，并通过综合运用各种网络安全技术建立一套有效的网络安全机制，真正达到中小型企业网的相对的高安全性。1.3网络安全的基本问题在规划、设计或部署网络的时候，或是在配置和管理网络的时候，管理员有必要自问以下的问题：(1)这个网络要保护和维护的对

21、象是什么？(2)这个网络要实现什么业务功能？(3)如何实现这些功能？(4)要实现这些功能需要用到哪些技术和解决问题？(5)这些功能能否与网路的安全设备、安全操作及网络安全的工具相兼容？(6)如果网络的安全性存在缺失，会带来什么风险？(7)如果网络安全没有实施到位，会造成什么影响？(8)是否存在当前的安全策略和解决方案无法处理的新风险？(9)如何减小这种风险？网络风险的承受能力到底有多大？如果想建立一个安全的网络，不妨拿这些最基本的问题来问一问自己，做一个自测。网络安全技术可以降低风险，也可以为扩展企业内部网。企业外部网和电子商务的业务提供基本的保障。网络安全解决方案还可以保护敏感数据及公司资源

22、，使它们免遭黑客的入侵和破坏。目前，高级技术可为中小型企业网络提供发展和竞争的契机；这些技术也同样专注于如何保护计算机系统，以使它们具备抵抗网络威胁的能力。确保网络设备的安全性对于企业来说，意义从未像今天这么重要。然而，尽管很多单位为确保网络安全撒下大把的资金，但这些企业仍然不断遭受到给类安全问题的困扰，这显然与低投入、高产出的管理理念背道而驰。由此可见，及时提高网络安全投资率还称不上不可或缺，至少也绝非可有可无，同时提高网络的投资效率和灵活性也同样至关重要。1.4网络安全准则机密性、完整性与可用性是使用范围广泛的安全模型。这三大核心原则既可以作为搭建一切安全系统的指导方针，也可以作为衡量安全

23、实施情况的准绳。这些原则适用于安全分析的所有阶段从用户访问，到用户的Internet历史记录，再到Internet上加密数据的安全。违反任何一个原则都会给相关单位造成严重的损失。1机密性机密性用于阻止未经授权就曝光敏感数据的行为。它可以确保网络达到了必要的机密级别，并且网络中的信息对非法用户是保密的。只要谈到网络安全，在安全准则中人们首先想到的一定就是确保网络的机密性，因此机密性也是最常遭受网络攻击的环节。密码学和加密的目的就是要确保在两台计算机间传输数据的机密性。比如在进行网上银行交易时，用户要确保他的账户是保密的，如密码和银行卡号。密码学就是用来保护传输中的敏感数据，也就是说，密码学的目的

24、就是确保这些数据在穿越公共媒介时的机密性。2完整性完整性可以阻止未经授权就修改数据、系统和信息的行为，因此就可以确保信息和系统的准确性。换句话说，如果数据是完整的，就等于这个数据没有被修改过，也就等于它和原始信息是一致的。有一种常见的攻击方式称为中间人攻击。在执行这类攻击时，黑客就会在信息传递的过程中对其进行拦截和修改。3可用性可用性可以确保用户始终能够访问资源和信息，也就是说需要浏览这些信息时，这些信息总是能够访问的。确保授权用户可以随时访问信息非常重要。有一类攻击方式就是要设法让合法的用户我无法正常访问数据，以达到中断服务的目的。第二章 中小型企业网安全环境构建的意义随着计算机网络规模的迅

25、速发展，网络环境正在变得日趋复杂，它所承担的使命也正在变得日渐重要，所有这些都向网络运维人员提出了新的挑战。同时用户对于综合性网络设备提出的要求不言自明；他们希望这些设备所提供的服务能更够涵盖语言、视频及数据业务领域，而这些不断发展的技术让人们不得不重新开始关注网络的安全性问题。因此，当网络管理员想方设法对他们的网络设备进行更新，以使这些设备能够使用最新技术时，网络安全渐渐成为了搭建和维护现代化高端网络的核心命题。对于企业安全管理具体涵盖的内容，首先要明确企业的哪些资产需要保护，企业必须花费时间与精力来首先确定关键数据和相关的业务支持技术资产的价值。通常，各公司认为表述资产的价值是很容易的，但

26、具体如要按级别界定就不那么简单。对此，就需要用安全厂商、集成商与企业共同制定规范以确定需要保护的资产的安全级别，并为制定切实可行的安全管理策略打下基础。其次，如果企业想增强竞争实力，必须随时改进和更新系统和网络，但是机会增加常伴随着安全风险的增加，尤其是机构的数据对更多用户开放的时候因为技术越先进，安全管理就越复杂。所以企业为了消除安全隐患，下一步就需要对现有的网络、系统、应用进行相应的风险评估，确定在企业的具体环境下到底存在哪些安全漏洞和安全隐患。再次是在此基础上，制定并实施安全策略，完成安全策略的责任分配，设立安全标准：几乎所有企业目前都有信息安全策略，只不过许多策略都没有书面化，只作为完

27、成任务的一种手段。恰当的信息安全策略必须与机构的所有业务需求直接相关。我这次的毕业设计方案会对当今高速发展的网络环境中所存在的安全问题进行概述。由于当今社会要求网络安全解决方案能够针对业务需求进行设计和改善，网络安全的范例也在不断改变。为了使每一位同学、老师甚至网络安全的管理人员都能够正视管理现代网络的复杂之处，我在第一部分会介绍网络安全的核心原则机密性、完整性与可用性。在该部分还会对部署网络安全的中心问题及网络安全策略进行阐述，并介绍网络安全的边界问题及多层边界问题。第三章 中小型企业网安全需求分析3.1中小型企业安全网络的现状中小型企业用户占我国企业主体比重的 95% 以上，但由于分布较散

28、，购买力相对较弱，中小型企业的安全问题似乎一直没有得到安全厂商的足够重视。市场上的安全产品五花八门种类繁多，防病毒、防火墙、信息加密、入侵检测、安全认证、核心防护无不囊括其中，但从其应用范围来看，这些方案大多数面向银行、证券、电信、政府等行业用户和大型企业用户，针对中小型企业的安全解决方案寥寥无几，产品仅仅是简单的客户端加服务器，不能完全解决中小企业用户所遭受的安全威胁。目前，国内厂商推出了网络版病毒软件，但由于功能的单一，并不能为中小企业提供完善的防护。其实，安全的漏洞往往存在于系统中最薄弱的环节，邮件系统、网关无一不直接威胁着企业网络的正常运行;中小企业需要防止网络系统遭到非法入侵、未经授

29、权的存取或破坏可能造成的数据丢失、系统崩溃等问题，而这些都不是单一的防病毒软件外加服务器就能够解决的。因此无论是网络安全的现状，还是中小型企业自身都向广大安全厂商提出了更高的要求。3.2中小型企业网络安全特点中国的中小型企业网一般都是最先应用最先进的网络技术，网络应用普及，用户群密集而且活跃。然而中小型企业网也由于自身的特点也是安全问题比较突出的地方，安全管理也更为复杂，困难。中小型企业网的以下特点导致安全管理非常的复杂。(1)中小型企业网的速度快和规模大；(2)中小型企业网中的计算机系统管理比较复杂；(3)中小型企业网用户水平参差不齐；(4)有限的投入；(5)盗版资源泛滥。以上各种原因都将导

30、致中小型企业网既是大量攻击的发源地，也是攻击者最容易破获的目标，因此导致当前中小型企业网常见的风险由如下:(1)普遍存在的计算机系统的漏洞，对信息安全、系统的使用、网络的运行构成严重的威胁。(2)计算机蠕虫、病毒泛滥，影响用户的使用、信息安全和网络运行。(3)外来的系统入侵和攻击等恶意破坏行为，有些计算机已经被攻破，用做黑客攻击的工具；拒绝服务攻击目前越来越普遍，不少开始针对企业的网站和服务器。(4)内部用户的攻击行为，这些行为给中小型企业网络造成了不良的影响，损害了企业的声誉。(5)中小型企业网内部用户对网络资源的滥用，有的中小型企业网用户利用免费的中小型企业网资源提供商业或者免费的视频、软

31、件资源下载，占用了大量的网络带宽，影响了中小型企业网的应用。(6)垃圾邮件、不良信息的传播，有的利用中小型企业网内无人管理的服务器作为中转，严重影响企业的声誉。3.3中小型企业安全网络的管理中小型企业网络安全管理涉及的需求有诸多方面，我们仅就计算机网络系统集中管理、网络数据存储与备份管理，和网络防病毒管理三方面进行说明。 1. 计算机网络系统集中管理 实施网络系统改造，提高中小型企业网络系统运行的稳定性，保证企业各种设计信息的安全性，避免图纸、文档的丢失和外泄。 通过软件或安全手段对客户端的计算机加以保护，记录用户对客户端计算机中关键目录和文件的操作，使企业有手段对用户在客户端计算机的使用情况

32、进行追踪，防范外来计算机的侵入而造成破坏。 通过网络的改造，使管理者更加便于对网络中的服务器、客户端、登陆用户的权限以及应用软件的安装进行全面的监控和管理。 2. 网络数据存储备份管理 互联网与信息技术的蓬勃发展，在提高了各个行业企业日常业务运营效率的同时，也极大增加了企业内部的数据负担。随着Internet、Intranet及Extranet等网络数据量的指数级增长、以及数据类型的不断丰富，企业IT管理人员面临着系统应用数据完整性、安全性、可用性等方面的严峻挑战。他们必须能够确保企业数据得到有效的保护，并在故障出现时迅速准确的予以恢复，以最大限度减小企业可能的损失，实现业务的持续、正常运转。

33、企业对网络存储备份管理的要求包括：确保服务器系统及关键业务数据-数据库数据的可管理性、高安全性、完整性及易恢复性；存储备份系统应能很好地支持异构平台系统的应用环境；存储备份要求在不中断数据库应用的前提下实施，易于管理；在满足性能的条件下进行无人值守在线存储备份，一旦发生灾难时，应能以最快速度恢复到距灾难点尽可能近的数据。3. 网络防病毒管理 企业级防病毒解决方案针对一个特定的网络环境，涉及不同的软硬件设备。与此同时，病毒的来源也远比单机环境复杂得多。因此，网络防病毒管理显得更加的复杂和艰难。要将网络病毒完全杜绝是不太现实的问题，应在发现病毒后尽快的研制出对策去避免。3.4中小型企业网络系统设计

34、方案的需求网络方案应采用尽可能成熟的技术，以保持网络的稳定，并尽可能采用先进的技术，以实现网络服务的多样化、简单化:(1)采用国际统一的标准，以拥有广泛的支持厂商，最大限度的采用同一厂家的产品，方便今后网络的扩展以及管理与维护。(2)应充分考虑未来可能的应用，如桌面将承受大型应用软件和多媒体传输需求的压力。(3)该网络方案要具有高扩展性，能为用户未来数目的扩展具有调整、扩充的手段和方法。(4)该网络在经济条件的允许下，应该充分考虑到设备的冗余备份（本论文不涉及该点），尽量避免设备单点故障造成全网瘫痪问题的出现。(5)该网络方案必须具有较高的安全性，必须能够有效地防范现有的安全威胁，并且能够为将

35、来未知的安全威胁提供一定的防护基础。第四章 中小型企业网安全环境设计当今网络的解决方案正由在边界设备上部署安全保护，转变为在网络的各层之间部署安全保护。在私有网络的内网边界部署入侵防御系统（IPS）是目前的推荐做法之一。另外，可以在同一个组织机构的不同商业不猛之间部署防火墙产品，通过这种方式来把网络划分成多个逻辑分组，并应用边界防御措施。在这个多边界模型中，每个部门内部可以在不同的层面进行防御。这些年来，指定有效边界安全措施的重要性正在不断提高。仅仅依靠传统的防火墙和IDS防御机制来保护边界安全是不够的。Web应用、无线访问、网际互联、VPN，所有这一切都让“边界”这个概念变得前所未有的复杂。

36、4.1网络安全分层思想分层进行安全保护一直是被推荐的做法，也是扩展性最好的网络安全保护措施。因为单一的安全机制难以保护整个系统，要保护网络架构，必须在各层都进行安全保护。这种分层思想也称为深度防御（defense in depth）。它要求网络是一个多层系统，这样，当期中的一层失效，网络也不至于全部瘫痪，也就是说这种失效可以被限制在某个层面。而且，根据这种分层的思想，网络的漏洞也可以被限制在某一层，其他层则可以由于应用了各种安全策略而不受该漏洞的影响。分层思想是让网络安全解决方案得以在不同的层面实施。还有一个类似的概念称为安全岛。要用安全岛作为解决方案就不能把思维限制在网络边界的概念上，也 不

37、能只依靠一种方式来保护网络安全，应该分层进行保护即把网络分成边界、分布层、核心层和接入层。分层思想还与每个环境中所使用的技术已经在各层使用不同技术的复杂性有关。之所以说它复杂，是因为网络同时应用了多种协议、应用程序、硬件和安全保护机制，而它们又处于OSI模型的一层或多层中。网络环境可以分为很多层，同样的道理，不同的攻击类型也是针对其中的某层进行攻击，因此也需要采取不同的应对之策。依据分层思想，TCP/IP协议同样面临着不同程度的安全威胁。物理层物理层的作用大家都已经熟知，这里无需介绍。那么在物理层面临的安全威胁有：设备被盗、设备老化、意外故障、电磁辐射泄密等。如果局域网采用了广播方式，那么本广

38、播域中的所有信息都有可能被侦听。数据链路层由于在数据链路层应用得最多的就是ARP协议，那么相对应的出现得最多的安全威胁就是ARP欺骗。一旦出现这样的攻击，轻则导致内网部分电脑不断地掉线，上网应用不正常，重则影响到局域网到外网的所有上网行为。网络层网络层上的安全威胁主要有：IP地址欺骗、IP包碎片、ICMP攻击、路由欺骗等等。传输层传输层将应用数据分段，建立端到端的虚连接，提供可靠或者不可靠的传输。该层具有TCP和UDP两类，其中TCP是面向连接的，提供可靠的流服务，UDP是无连接的，提供数据报服务。TCP采用三次握手建立连接、滑动窗口大小控制、确认重传机制来保证可靠的连接，从而弥补IP协议的缺

39、陷。但在这个层次也存在着许多的攻击和威胁：TCP初始化序列号预测、端口扫描、Land攻击、TCP欺骗、TCP会话劫持、SYN flooding、RST和FIN攻击、winnuke、UDPflooding攻击等等。应用层应用层主要功能是提供TCP/IP应用协议以及应用程序编程接口，是网络用户与TCP/IP网络的接口，包括各类用户应用程序和应用协议。如HTTP、TELNET、FTP、DNS、E_MAIL等。基于应用层协议的攻击主要有：电子邮件攻击、DNS欺骗、针对HTTP服务的攻击等等。网络边界安全-网络中需要保护的信息的边界，采用技术、管理等手段，建立用于保障网络信息的安全措施；防火墙完成阻塞非

40、法的流量；VPN完成远程的安全访问。网络终端安全终端安全是网络安全的重要组成部分，保证终端上没有病毒或木马的存在，才能最大可能地保证网络中数据的安全；保障网络安全必须要求做到以下几个方面，一方面：在网络中保证进入和传输的数据都是安全可靠的；另一方面：在终端上保证数据在发送到网络上前就已经是安全可靠的；目前网络终端面临的威胁：病毒、木马、蠕虫；网络攻击、操作系统本身的漏洞等；解决问题的方法：一方面需要从网络上进行处理，如防火墙、IDS/IPS等；另一方面需要从终端入手，如：病毒防范技术、终端安全增强技术、终端安全接入技术等；病毒防范技术包括特征码扫描、实时监控技术、虚拟机技术、完整性校验和扫描等

41、；终端安全增强技术包括网络接入控制NAC、网络访问保护NAP、可信网络连接TNC等；终端安全接入技术包括补丁管理、个人防火墙、基于行为规则的安全防范技术、虚拟机技术、登录增强技术等。网络设备安全网络设备包括主机（服务器/工作站/PC）和网络设施（交换机和路由器等)。从网络设备角度来看，以下是常见的安全威胁：（1） 蠕虫/病毒/垃圾邮件在网上泛滥；（2） 黑客恶意攻击，DDOS拒绝服务攻击；（3） 管理人员对网络设备的简单配置和随意部署；（4） 内部人员任意下载和拷贝；（5） 内部人员无意或者有意的尝试闯入敏感区域。一个网络系统的安全建设通常包括许多方面，包括物理安全、数据安全、网络安全、系统安

42、全、管理安全等等，而一个安全系统的安全等级，又是按照木桶原理来实现的。根据企业各级内部网络机构、广域网结构、和三级网络管理、应用业务系统的特点，本方案主要从以下几个方面分别来阐述普遍的中小型企业网络系统的安全规划并介绍相关的安全技术:4.2访问控制控制网络访问的基本步骤之一，就是在网络内控制数据流量。而实现这个目标的方法之一，就是使用访问控制列表（ACL）。ACL不仅简单高效，而且在所有主流Cisco产品上都可以使用。Cisco IOS具有限制流量流入式流出网络的的功能，因为它为ACL提供了流量过滤功能。使用ACL有时也称为过滤，这是因为ACL可以通过放行和拒绝网络访问的方式，对流量就行控制。

43、ACL通过放行和拒绝语句控制网络访问，以此实现安全策略，它是端到端安全解决方案的必要组成部分。然而，在实施公司安全策略时，除了ACL之外，诸如防火墙、加密与认证、入侵检测与防御解决方案等产品和技术也同样必不可少。以下是实施ACL的相关准则：（1） ACL可以应用在一台设备的多个接口上。（2） 同一个接口在同一方向上只能对同一协议使用一个访问控制列表。这就是说可以在一个接口上应用两个ACL：一个出站列表，一个入站列表。（3） 设备会自顶向下一次对ACL进行处理，因此，在选择访问列表的顺序时一定要格外谨慎，最精确地条目一定要写在前面。（4） 在配置ACL的时候，路由器会把最新输入的ACE放在最下面

44、。在新版IOS中，有一个ACL顺序调整的功能，也就是说是用户可以重新设置ACE条目的顺序。（5） 有一个“隐式拒绝”保留给那些没有被匹配的流量，因此，只有一条deny语句的ACL等于拒绝了所有流量。换句话说，一个ACL至少要有一条permit语句，否则所有流量就都会被阻塞。（6） 要始终遵循先创建ACL，再把它应用到接口的步骤。要对ACL进行修改或编辑时，一定要先把这个ACL从接口移除，然后进行修改，最后再重新把它应用到那个接口中。（7） 应用到路由器接口的出站ACL只检查通过路由器的流量也就是说，它不会去检查那些路由器自身产生的流量。 4.3 设备安全该部分是从设备安全策略入手，讲述保护设备

45、的普遍原则。以路由器、交换机、防火墙作为介绍的重点。包括如何对设备进行访问、如何限制对设备的访问、如何加固安全配置、如何识别不需要的服务、如何管理设备、如何对服务进行监测和审计等。在对设备进行管理时，防火墙、交换机、路由器都有着各自的特性。4.3.1设备安全策略安全策略是由一系列的规则、惯例与流程组成，他们共同界定了如何对敏感信息进行惯例、保护和分发。在众多的安全策略中，有一种专为保护设备安全而建立的规则。Cisco设备如路由器、交换机、防火墙、集中器等都是网络的组成部分，重点保护这些设备是网络安全策略的重要环节。对于一个企业来言，设备安全策略是必不可少的。设备安全策略所制定的规则可以保护对设

46、备的访问，也就是进行访问控制。对于网络中的所有设备，设备安全策略也规定了他们最低限度的安全配置。 4.3.2设备加固设备加固是网络安全最基本的组成部分，实施设备加固可以使设备拒绝非法用户的访问机操作行为。如果让入侵者没有经过授权就获得了访问设备的权限，那么再采取其他安全措施就很多余了。4.3.3设备物理安全在大多数情况下，放置设备的场所（物理位置）对入侵者来说既是第一道防线，也是最后一层屏障。物理安全让入侵者无法在物理层面上对设备进行访问，即入侵者无法接触到设备实物。因此，物理安全比网络安全更加重要，可惜网络管理员总是无视这个环节。无论上层采取了何种安全防御措施，一旦物理层被侵入，整个网络即告沦陷。综上所述，用一个安全的物理场所来存放设备，并且保证该场所仅对获得授权的工作人员开放，这比什么都来得重要。4.3.4用户账户用户身份验证可以通过用户名和密码的组合参数来实现。为建立基于证书的认证系统，可以为所有操作设备的用户设置用户名。用户名需要在全局配置模式下配置，配置后的用户名会保存在设备的本地数据库中。可以为设备的每个用户设置一个单独的登录名，这样当用户更改配置文件的时候，