1、<p><b>　　畢 業(yè) 論 文</b></p><p><b>　　宏錦網絡有限公司</b></p><p>　　企業(yè)網絡安全解決方案</p><p>　　姓 名： xxx </p><p>　　學 號： xxxxxx </p>

2、<p>　　指導老師： xxxxxxx </p><p>　　系 名： 電子信息工程系 </p><p>　　專 業(yè)： 計算機網絡技術 </p><p>　　班 級： xxxxxx </p><p>　　二零一零年十一月十七日</p>&

3、lt;p><b>　　摘 要</b></p><p>　　近幾年來，Internet技術日趨成熟，已經開始了從以提供和保證網絡聯(lián)通性為主要目標的第一代Internet技術向以提供網絡數(shù)據信息服務為特征的第二代Internet技術的過渡。這些都促使了計算機網絡互聯(lián)技術迅速的大規(guī)模使用。眾所周知，作為全球使用范圍最大的信息網，Internet自身協(xié)議的開放性極大地方便了各種計算機連網，

4、拓寬了共享資源。但是，由于在早期網絡協(xié)議設計上對安全問題的忽視，以及在管理和使用上的無政府狀態(tài)，逐漸使Internet自身安全受到嚴重威脅，與它有關的安全事故屢有發(fā)生。網絡安全的威脅主要表現(xiàn)在：非授權訪問，冒充合法用戶，破壞數(shù)據完整性，干擾系統(tǒng)正常運行，利用網絡傳播病毒，線路竊聽等方面。因此本論文為企業(yè)（宏錦企業(yè)網絡）構架網絡安全體系，主要運用vlan劃分、防火墻技術、vpn、病毒防護等技術，來實現(xiàn)企業(yè)的網絡安全。</p>

5、<p>　　關鍵詞： 網絡，安全，VPN，防火墻 ，防病毒</p><p><b>　　Abstract</b></p><p>　　In recent years, Internet technology has matured, has begun to provide and guarantee from the network connectivi

6、ty as the main target of the first generation of Internet technology to provide network data services for the characteristics of the second generation of Internet technology transition. These all contributed to the rapid

7、 computer networking technology of large-scale use. As we all know, the world's largest information network use of, Internet openness of their agreement greatly facilit</p><p>　　Keywords: network, securi

8、ty, VPN, firewall, anti-virus </p><p><b>　　目 錄</b></p><p><b>　　緒 論1</b></p><p>　　第一章 企業(yè)網絡安全概述2</p><p>　　1.1 企業(yè)網絡的主要安全隱患2</p><p&

9、gt;　　1.2 企業(yè)網絡的安全誤區(qū)2</p><p>　　第二章 企業(yè)網絡安全現(xiàn)狀分析4</p><p>　　2.1 公司背景4</p><p>　　2.2 企業(yè)網絡安全需求4</p><p>　　2.3 需求分析4</p><p>　　2.4 企業(yè)網絡結構5</p><p>

10、　　第三章 企業(yè)網絡安全解決實施6</p><p>　　3.1 宏錦網絡企業(yè)物理安全6</p><p>　　3.2宏錦企業(yè)網絡VLAN劃分7</p><p>　　3.4 宏錦企業(yè)網絡防火墻配置9</p><p>　　3.4 宏錦企業(yè)網絡VPN配置12</p><p>　　3.5 宏錦企業(yè)網絡防病毒措施13&

11、lt;/p><p>　　第四章 宏錦企業(yè)的網絡管理16</p><p>　　4.1宏錦企業(yè)網絡管理的問題16</p><p>　　4.2 宏錦企業(yè)網絡管理實施16</p><p><b>　　總 結18</b></p><p><b>　　致 謝19</b><

12、/p><p><b>　　參考文獻20</b></p><p><b>　　緒 論</b></p><p>　　隨著信息化技術的飛速發(fā)展，許多有遠見的企業(yè)都認識到依托先進的IT技術構建企業(yè)自身的業(yè)務和運營平臺將極大地提升企業(yè)的核心競爭力，使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。經營管理對計算機應用系統(tǒng)的依賴性增強，計算機應用系統(tǒng)

13、對網絡的依賴性增強。計算機網絡規(guī)模不斷擴大，網絡結構日益復雜。計算機網絡和計算機應用系統(tǒng)的正常運行對網絡安全提出了更高的要求。信息安全防范應做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對網絡、系統(tǒng)、應用、數(shù)據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態(tài)的過程，事前、事中和事后的技術手段應當完備，安全管理應貫穿安全防范活動的始終。</p><p>　　網絡安全問題伴隨著網絡的產生而產生，可以說，有網絡的地

14、方就存在網絡安全隱患。像病毒入侵和黑客攻擊之類的網絡安全事件，目前主要是通過網絡進行的，而且?guī)缀趺繒r每刻都在發(fā)生，遍及全球。除此之外，像惡意軟件入侵、攻擊，用戶的非法訪問和操作，用戶郵件的非法截取和更改等都是普遍存在的安全事實。網絡安全事件所帶來的危害，相信我們每個計算機用戶都或多或少地親身體驗過一些：輕則使電腦系統(tǒng)運行不正常，重則使整個計算機系統(tǒng)中的磁盤數(shù)據全部覆滅，甚至導致磁盤、計算機等硬件的損壞。</p><p

15、>　　為了防范這些網絡安全事故的發(fā)生，每個計算機用戶，特別是企業(yè)網絡用戶，必須采取足夠的安全防范措施，甚至可以說要在利益均衡情況下不惜一切代價。但要注意，企業(yè)網絡安全策略的實施是一項系統(tǒng)工程，它涉及許多方面。因此既要充分考慮到那些平時經常提及的外部網絡威脅，又要對來自內部網絡和網絡管理本身所帶來的安全隱患有足夠的重視，不能孤立地看待任何一個安全隱患和安全措施。因為這些安全隱患爆發(fā)的途徑可以是多方面的，而許多安全措施都是相輔相成的。

16、</p><p>　　第一章 企業(yè)網絡安全概述</p><p>　　1.1 企業(yè)網絡的主要安全隱患</p><p>　　現(xiàn)在網絡安全系統(tǒng)所要防范的不再僅是病毒感染，更多的是基于網絡的非法入侵、攻擊和訪問，同時企業(yè)網絡安全隱患的來源有內、外網之分，很多情況下內部網絡安全威脅要遠遠大于外部網絡，因為內部中實施入侵和攻擊更加容易，企業(yè)網絡安全威脅的主要來源主要包括。&l

17、t;/p><p>　　病毒、木馬和惡意軟件的入侵。</p><p><b>　　網絡黑客的攻擊。</b></p><p>　　重要文件或郵件的非法竊取、訪問與操作。</p><p>　　關鍵部門的非法訪問和敏感信息外泄。</p><p><b>　　外網的非法入侵。</b><

18、;/p><p>　　備份數(shù)據和存儲媒體的損壞、丟失。</p><p>　　針對這些安全隱患，所采取的安全策略可以通過安裝專業(yè)的網絡版病毒防護系統(tǒng)，同時也要加強內部網絡的安全管理，配置好防火墻過濾策略和系統(tǒng)本身的各項安全措施，及時安裝系統(tǒng)安全補丁，有條件的還可以在內、外網之間安裝網絡掃描檢測、網絡嗅探器、IDS、IPS系統(tǒng)，甚至配置網絡安全隔離系統(tǒng)，對內、外網絡進行安全隔離；加強內部網絡的安全管

19、理，嚴格實行“最小權限”原則，為各個用戶配置好恰當?shù)挠脩魴嘞?；同時對一些敏感數(shù)據進行加密保護，對數(shù)據還可以進行數(shù)字簽名措施；根據企業(yè)實際需要配置好相應的數(shù)據策略，并按策略認真執(zhí)行。</p><p>　　1.2 企業(yè)網絡的安全誤區(qū)</p><p><b>　　安裝防火墻就安全了</b></p><p>　　防火墻主要工作都是控制存取與過濾封包，

20、所以對DoS攻擊、非法存取與篡改封包等攻擊模式的防范極為有效，可以提供網絡周邊的安全防護。但如果攻擊行為不經過防火墻，或是將應用層的攻擊程序隱藏在正常的封包內，便力不從心了，許多防火墻只是工作在網絡層。</p><p>　　防火墻的原理是“防外不防內”，對內部網絡的訪問不進行任何阻撓，而事實上，企業(yè)網絡安全事件絕大部分還是源于企業(yè)內部。</p><p>　　安裝了最新的殺毒軟件就不怕病毒了

21、</p><p>　　安裝殺毒軟件的目的是為了預防病毒的入侵和查殺系統(tǒng)中已感染的計算機病毒，但這并不能保證就沒有病毒入侵了，因為殺毒軟件查殺某一病毒的能力總是滯后于該病毒的出現(xiàn)。</p><p>　　在每臺計算機上安裝單機版殺毒軟件和網絡版殺毒軟件等效</p><p>　　網絡版殺毒軟件核心就是集中的網絡防毒系統(tǒng)管理。網絡版殺毒軟件可以在一臺服務器上通過安全中心控制

22、整個網絡的客戶端殺毒軟件同步病毒查殺、監(jiān)控整個網絡的病毒。同時對于整個網絡，管理非常方便，對于單機版是不可能做到的。</p><p>　　只要不上網就不會中毒</p><p>　　雖然不少病毒是通過網頁傳播的，但像QQ聊天接發(fā)郵件同樣是病毒傳播的主要途徑，而且盜版光盤以及U盤等也會存在著病毒。所以只要計算機開著，就要防范病毒。</p><p>　　文件設置只讀就可以

23、避免感染病毒</p><p>　　設置只讀只是調用系統(tǒng)的幾個命令，而病毒或黑客程序也可以做到這一點，設置只讀并不能有效防毒，不過在局域網中為了共享安全，放置誤刪除，還是比較有用的。</p><p>　　網絡安全主要來自外部</p><p>　　基于內部的網絡攻擊更加容易，不需要借助于其他的網絡連接方式，就可以直接在內部網絡中實施攻擊。所以，加強內部網絡安全管理，特別

24、是用戶帳戶管理，如帳戶密碼、臨時帳戶、過期帳戶和權限等方面的管理非常必要了。</p><p>　　第二章 企業(yè)網絡安全現(xiàn)狀分析</p><p><b>　　2.1 公司背景</b></p><p>　　宏錦網絡有限公司是一家有100名員工的中小型網絡公司，主要以手機應用開發(fā)為主營項目的軟件企業(yè)。公司有一個局域網，約100臺計算機，服務器的操作

25、系統(tǒng)是 Windows Server 2003,客戶機的操作系統(tǒng)是 Windows XP，在工作組的模式下一人一機辦公。公司對網絡的依賴性很強，主要業(yè)務都要涉及互聯(lián)網以及內部網絡。隨著公司的發(fā)展現(xiàn)有的網絡安全已經不能滿足公司的需要，因此構建健全的網絡安全體系是當前的重中之重。</p><p>　　2.2 企業(yè)網絡安全需求</p><p>　　宏錦網絡有限公司根據業(yè)務發(fā)展需求，建設一個小型的

26、企業(yè)網，有Web、Mail等服務器和辦公區(qū)客戶機。企業(yè)分為財務部門和業(yè)務部門，需要他們之間相互隔離。同時由于考慮到Inteneter的安全性，以及網絡安全等一些因素，如DDoS、ARP等。因此本企業(yè)的網絡安全構架要求如下：</p><p>　　根據公司現(xiàn)有的網絡設備組網規(guī)劃</p><p>　　保護網絡系統(tǒng)的可用性</p><p>　　保護網絡系統(tǒng)服務的連續(xù)性<

27、;/p><p>　　防范網絡資源的非法訪問及非授權訪問</p><p>　　防范入侵者的惡意攻擊與破壞</p><p>　　保護企業(yè)信息通過網上傳輸過程中的機密性、完整性</p><p><b>　　防范病毒的侵害</b></p><p>　　實現(xiàn)網絡的安全管理。</p><p&g

28、t;<b>　　2.3 需求分析</b></p><p>　　通過了解宏錦網絡公司的需求與現(xiàn)狀，為實現(xiàn)宏錦網絡公司的網絡安全建設實施網絡系統(tǒng)改造，提高企業(yè)網絡系統(tǒng)運行的穩(wěn)定性，保證企業(yè)各種設計信息的安全性，避免圖紙、文檔的丟失和外泄。通過軟件或安全手段對客戶端的計算機加以保護，記錄用戶對客戶端計算機中關鍵目錄和文件的操作，使企業(yè)有手段對用戶在客戶端計算機的使用情況進行追蹤，防范外來計算機的侵

29、入而造成破壞。通過網絡的改造，使管理者更加便于對網絡中的服務器、客戶端、登陸用戶的權限以及應用軟件的安裝進行全面的監(jiān)控和管理。因此需要</p><p>　　構建良好的環(huán)境確保企業(yè)物理設備的安全</p><p>　　劃分VLAN控制內網安全</p><p><b>　　安裝防火墻體系</b></p><p>　　建立VPN

30、(虛擬專用網絡)確保數(shù)據安全</p><p><b>　　安裝防病毒服務器</b></p><p>　　加強企業(yè)對網絡資源的管理</p><p>　　2.4 企業(yè)網絡結構</p><p>　　宏錦網絡公司網絡拓撲圖，如圖2-1所示:</p><p>　　圖2-1 企業(yè)網絡結構</p>

31、<p>　　由于宏錦網絡公司是直接從電信接入IP為58.192.65.62 255.255.255.0，直接經由防火墻分為DMZ區(qū)域和普通區(qū)域。防火墻上做NAT轉換，分別給客戶機端的地址為10.1.1.0 255.255.255.0。防火墻接客戶區(qū)端口地址為10.1.1.1 255.255.255.0。DMZ內主要有各類的服務器，地址分配為10.1.2.0 255.255.255.0。防火墻DMZ區(qū)的接口地址為10.1.2.

32、1 255.255.255.0。內網主要由3層交換機作為核心交換機，下面有兩臺2層交換機做接入。</p><p>　　第三章 企業(yè)網絡安全解決實施</p><p>　　3.1 宏錦網絡企業(yè)物理安全</p><p>　　宏錦企業(yè)網絡中保護網絡設備的物理安全是其整個計算機網絡系統(tǒng)安全的前提，物理安全是指保護計算機網絡設備、設施以及其他媒體免遭地震、水災、火災等環(huán)境事故、

33、人為操作失誤或各種計算機犯罪行為導致的破壞。</p><p>　　針對宏錦網絡企業(yè)的物理安全主要考慮的問題是環(huán)境、場地和設備的安全及物理訪問控制和應急處置計劃等。物理安全在整個計算機網絡信息系統(tǒng)安全中占有重要地位。它主要包括以下幾個方面：</p><p><b>　　保證機房環(huán)境安全</b></p><p>　　信息系統(tǒng)中的計算機硬件、網絡設施

34、以及運行環(huán)境是信息系統(tǒng)運行的最基本的環(huán)境。要從一下三個方面考慮：a.自然災害、物理損壞和設備故障 b.電磁輻射、乘機而入、痕跡泄漏等 c.操作失誤、意外疏漏等</p><p>　　2) 選用合適的傳輸介質</p><p>　　屏蔽式雙絞線的抗干擾能力更強，且要求必須配有支持屏蔽功能的連接器件和要求介質有良好的接地（最好多處接地），對于干擾嚴重的區(qū)域應使用屏蔽式雙絞線，并將其放在金屬管內以增

35、強抗干擾能力。</p><p>　　光纖是超長距離和高容量傳輸系統(tǒng)最有效的途徑，從傳輸特性等分析，無論何種光纖都有傳輸頻帶寬、速率高、傳輸損耗低、傳輸距離遠、抗雷電和電磁的干擾性好保密性好，不易被竊聽或被截獲數(shù)據、傳輸?shù)恼`碼率很低，可靠性高，體積小和重量輕等特點。與雙絞線或同軸電纜不同的是光纖不輻射能量，能夠有效地阻止竊聽。</p><p>　　3) 保證供電安全可靠</p>

36、<p>　　計算機和網絡主干設備對交流電源的質量要求十分嚴格，對交流電的電壓和頻率，對電源波形的正弦性，對三相電源的對稱性，對供電的連續(xù)性、可靠性穩(wěn)定性和抗干擾性等各項指標，都要求保持在允許偏差范圍內。機房的供配電系統(tǒng)設計既要滿足設備自身運轉的要求，又要滿足網絡應用的要求，必須做到保證網絡系統(tǒng)運行的可靠性，保證設備的設計壽命保證信息安全保證機房人員的工作環(huán)境。</p><p>　　3.2宏錦企業(yè)網絡V

37、LAN劃分</p><p>　　VLAN技術能有效隔離局域網，防止網內的攻擊，所以宏錦網絡有限公司網絡中按部門進行了VLAN劃分，劃分為以下兩個VLAN：</p><p>　　財務部門 VLAN 10 　　　　交換機S1接入交換機（神州數(shù)碼DCS-3950）</p><p>　　業(yè)務部門 VLAN 20 　　　　交換機S2接入交換機（神州數(shù)碼DCS-

38、3950）</p><p>　　核心交換機 VLAN間路由 核心交換機S3（神州數(shù)碼DCRS-5526）</p><p><b>　　S1配置如下:</b></p><p><b>　　switch></b></p><p>　　switch>ena</p>

39、<p>　　switch#con</p><p>　　switch(Config)#vlan 10</p><p>　　switch(Config-Vlan10)#sw int e 0/0/1-20</p><p>　　switch(Config-Vlan10)#exit</p><p>　　switch(Config)#exit&

40、lt;/p><p>　　switch#con</p><p>　　switch(Config)#int e 0/0/24</p><p>　　switch(Config-Ethernet0/0/24)#sw m t</p><p>　　Set the port Ethernet0/0/24 mode TRUNK successfully</

41、p><p>　　switch(Config-Ethernet0/0/24)#sw t a v a</p><p>　　set the port Ethernet0/0/24 allowed vlan successfully</p><p>　　switch(Config-Ethernet0/0/24)#exit</p><p>　　switch

42、(Config)#ip dhcp pool vlan10</p><p>　　switch(dhcp-vlan10-config)#network-address 192.168.10.0 255.255.255.0</p><p>　　switch(dhcp-vlan10-config)#lease 3</p><p>　　switch(dhcp-vlan10-c

43、onfig)#default-router 192.168.1.1</p><p>　　switch(dhcp-vlan10-config)#dns-server 61.177.7.1</p><p>　　switch(dhcp-vlan10-config)#exit</p><p>　　switch(config)ip dhcp excluded-address

44、192.168.10.1</p><p><b>　　S2配置如下:</b></p><p><b>　　Switch></b></p><p>　　Switch>ena</p><p>　　Switch#con</p><p>　　switch(Config)#

45、vlan 20</p><p>　　switch(Config-Vlan20)#sw int e 0/0/1-20</p><p>　　switch(Config-Vlan20)#exit</p><p>　　switch(Config)#exit</p><p>　　switch#con</p><p>　　swit

46、ch(Config)#int e 0/0/24</p><p>　　switch(Config-Ethernet0/0/24)#sw m t</p><p>　　Set the port Ethernet0/0/24 mode TRUNK successfully</p><p>　　switch(Config-Ethernet0/0/24)#sw t a v a&

47、lt;/p><p>　　set the port Ethernet0/0/24 allowed vlan successfully</p><p>　　switch(Config-Ethernet0/0/24)#exit</p><p>　　switch(Config)#ip dhcp pool vlan20</p><p>　　switch(d

48、hcp-vlan20-config)#network-address 192.168.20.0 255.255.255.0</p><p>　　switch(dhcp-vlan20-config)#lease 3</p><p>　　switch(dhcp-vlan20-config)#default-router 192.168.1.1</p><p>　　swi

49、tch(dhcp-vlan20-config)#dns-server 61.177.7.1</p><p>　　switch(dhcp-vlan20-config)#exit</p><p>　　switch(config)ip dhcp excluded-address 192.168.20.1</p><p>　　switch(config)ip dhcp ex

50、cluded-address 192.168.20.150-192.168.20.240</p><p><b>　　S0配置如下:</b></p><p><b>　　switch></b></p><p>　　switch>enable</p><p>　　switch#config

51、</p><p>　　switch(Config)#hostname S0</p><p>　　S0(Config)#vlan 10</p><p>　　S0(Config-Vlan10)#vlan 20</p><p>　　S0(Config-Vlan20)#exit</p><p>　　S0(Config)#int

52、 e 0/0/1-2</p><p>　　S0(Config-Port-Range)#sw m t</p><p>　　S0(Config-Port-Range)#sw t a v a</p><p>　　S0(Config-Port-Range)#exit</p><p>　　S0(Config)#int vlan 10</p>

53、<p>　　S0(Config-If-Vlan10)#ip address 192.168.10.1 255.255.255.0</p><p>　　S0(Config-If-Vlan10)#no shutdown</p><p>　　S0(Config-If-Vlan10)#exit</p><p>　　S0(Config)#int vlan 20&

54、lt;/p><p>　　00:04:23: %LINK-5-CHANGED: Interface Vlan20, changed state to UP</p><p>　　%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed state to UP</p><p>　　S0(Config-If-

55、Vlan20)#ip address 192.168.20.1 255.255.255.0</p><p>　　S0(Config-If-Vlan20)#no shutdown</p><p>　　S0(Config-If-Vlan20)#exit</p><p>　　S0(Config)#exit</p><p>　　S0(Config-I

56、f-Vlan1)#ip address 192.168.1.1 255.255.255.0</p><p>　　S0(Config-If-Vlan1)#no shutdown</p><p>　　S0(Config-If-Vlan1)#exit</p><p>　　S0(Config)#exit</p><p>　　S0#show ip ro

57、ute</p><p><b>　　S0#con</b></p><p>　　S0(Config)#ip route 58.192.65.0 255.255.255.0 10.1.1.1</p><p>　　3.4 宏錦企業(yè)網絡防火墻配置</p><p>　　宏錦企業(yè)網絡中使用的是神州數(shù)碼的DCFW-1800S UTM，

58、里面包含了防火墻和VPN等功能。以下為配置過程：</p><p>　　在防火墻NAT策略下面，新增NAT。</p><p><b>　　如圖3-1:</b></p><p>　　圖3-1 新增企業(yè)防火墻策略示意圖</p><p>　　源域：untrust；</p><p>　　源地址對象：any；

59、</p><p>　　目的域：trust；</p><p>　　目的地址對象：any；</p><p>　　在全局安全策略設置里面如圖3-2和圖3-3所示:</p><p>　　圖3-2企業(yè)防火墻策略配置示意圖</p><p>　　圖 3-3 企業(yè)防火墻策略配置示意圖</p><p>　　圖3-

60、4企業(yè)防火墻策略配置示意圖</p><p>　　可以設置全局下面訪問策略，以及域內和域間的訪問策略。這里我們設置，內部網絡為信任區(qū)域（trust），Inteneter為不信任區(qū)域（untrust），服務器區(qū)域為DMZ區(qū)域。動作包括permit允許，拒絕deny，以及其他的特定的服務。這里允許內部訪問外部和DMZ區(qū)域，而DMZ和Inteneter不允許訪問內部。但是處于中間位置的DMZ可以允許Inteneter的訪

61、問。所以要添加好幾條NAT策略。</p><p>　　在網絡接口處如圖3-5所示:</p><p>　　圖3-5 網絡接口處配置示意圖</p><p>　　要配置3個以太網接口為up，安全區(qū)域分別為eth1：l2-trust，eth0：l2-untrust，eth2：l2-DMZ。其中接外網的eth0工作模式為路由模式，其余接DMZ和內部的都為NAT模式。如圖3-6

62、所示:</p><p>　　圖3-6 以太網接口配置示意圖</p><p>　　同時為他們配好相應的網絡地址，eth0為58.192.65.62，eth1：10.1.1.1，eth2 10.1.2.1。</p><p>　　3.4 宏錦企業(yè)網絡VPN配置</p><p>　　宏錦企業(yè)網絡的VPN功能主要也是通過上面的防火墻實現(xiàn)的。如圖3-7,

63、圖3-8所示:</p><p>　　圖3-7 PPTP協(xié)議示意圖</p><p>　　圖3-8 PPTP示意圖</p><p>　　這里我們使用PPTP協(xié)議來實現(xiàn)VPN，首先是新增PPTP地址池，范圍為192.168.20.150-192.168.20.240</p><p><b>　　如圖3-9所示:</b>&l

64、t;/p><p>　　圖3-9 PPTP協(xié)議實現(xiàn)VPN示意圖</p><p>　　在PPTP設置里面，選擇Chap加密認證，加密方式mppe-128。DNS分別為61.177.7.1，MTU為500。</p><p>　　3.5 宏錦企業(yè)網絡防病毒措施</p><p>　　針對宏錦企業(yè)網絡的現(xiàn)狀，在綜合考慮了公司對防病毒系統(tǒng)的性能要求、成本和安

65、全性以后，我選用江民殺毒軟件KV網絡版來在內網中進行防病毒系統(tǒng)的建立。</p><p><b>　　產品特點:</b></p><p>　　KV網絡版是為各種簡單或復雜網絡環(huán)境設計的計算機病毒網絡防護系統(tǒng)，即適用于包含若干臺主機的單一網段網絡，也適用于包含各種WEB服務器、郵件服務器、應用服務器，以及分布在不同城市，包含數(shù)十萬臺主機的超大型網絡。KV網絡版具有以下顯著

66、特點：</p><p>　　(1)先進的體系結構</p><p>　　(2)超強的殺毒能力</p><p>　　(3)完備的遠程控制</p><p>　　(4)方便的分級、分組管理</p><p>　　宏錦企業(yè)網絡KV網絡版的主控制中心部署在DMZ服務器區(qū)，子控制中心部署在3層交換機的一臺服務器上。</p>

67、<p>　　網絡拓撲結構如圖3-10所示:</p><p>　　圖3-10 主控制中心部署圖</p><p>　　子控制中心與主控制中心關系:</p><p>　　控制中心負責整個KV網絡版的管理與控制，是整個KV網絡版的核心，在部署KV網絡時，必須首先安裝。除了對網絡中的計算機進行日常的管理與控制外，它還實時地記錄著KV網絡版防護體系內每臺計算機上的

68、病毒監(jiān)控、查殺病毒和升級等信息。在1個網段內僅允許安裝1臺控制中心。 根據控制中心所處的網段的不同，可以將控制中心劃分為主控制中心和子控制中心，子控制中心除了要 完成控制中心的功能外，還要負責與它的上級——主控制中心進行通信。這里的“主”和“子”是一個 相對的概念：每個控制中心對于它的下級的網段來說都是主控制中心，對于它的上級的網段來說又是子控制中心，這種控制結構可以根據網絡的需要無限的延伸下去。</p><p>

69、;　　為宏錦企業(yè)網絡安裝好KV網絡版殺毒軟件后，為期配置軟件的安全策略。對宏錦企業(yè)客戶端計算機的KV軟件實現(xiàn)更為完善的遠程控制功能，利用KV軟件控制中心的“策略設置”功能組來實現(xiàn)。在此功能中可以針對單一客戶端、邏輯組、全網進行具有針對性的安全策略設置。在“策略設置”下拉菜單中，我們可以找到“掃描設置”、“反垃圾郵件”、“網址過濾”等與平時安全應用密切相關的各項應用配置選項，如圖3-11所示。</p><p>　　

70、圖3-11 “策略設置”命令菜單</p><p>　　為宏錦企業(yè)網絡KV網絡版殺毒軟件配置“掃描設置”，掃描設置可對當前選擇的任意組或者任意節(jié)點的客戶端進行更加細化的掃描設置。宏錦企業(yè)可以自己設定適合于自己網絡環(huán)境的掃描方案，針對不同的策略對不同的客戶端進行分發(fā)不同的掃描命令。可以下發(fā)以下命令到節(jié)點計算機：掃描目標，定時掃描，分類掃描，不掃描文件夾，掃描報告，簡單而實用的設置頁大大的增加了網絡管理的易用性。其中掃

71、描目標的設置界面如圖3-12所示。</p><p>　　圖3-12 掃描目標配置</p><p>　　第四章 宏錦企業(yè)的網絡管理</p><p>　　4.1宏錦企業(yè)網絡管理的問題</p><p>　　計算機軟、硬件數(shù)量無法確實掌握，盤點困難；</p><p>　　單位的計算機數(shù)量越來越多，無法集中管理；</p&g

72、t;<p>　　無法有效防止員工私裝軟件，造成非法版權使用威脅；</p><p>　　硬件設備私下挪用、竊取，造成財產損失；</p><p>　　使用者計算機IP隨易變更，造成故障頻傳；</p><p>　　軟件單機安裝浪費人力，應用軟件版本不易控制；</p><p>　　重要資料遭非法拷貝，資料外泄，無法監(jiān)督；</p&g

73、t;<p>　　設備故障或資源不足，無法事先得到預警；</p><p>　　應用軟件購買后，員工真正使用狀況如何，無從分析；</p><p>　　居高不下的信息化資源成本，不知如何改善。</p><p>　　4.2 宏錦企業(yè)網絡管理實施</p><p>　　針對宏錦企業(yè)網絡的需求，給企業(yè)安裝SmartIPVIew管理軟件實現(xiàn)宏錦

74、企業(yè)網絡對公司內部的設備以及IP網絡資源管理。實施步驟安裝SmartIPVIew管理軟件，運行軟件添加宏錦企業(yè)的IP網段如圖4-1.</p><p>　　圖4-1 添加企業(yè)IP網段</p><p>　　單擊確認，添加宏錦企業(yè)內部IP網段便于企業(yè)管理企業(yè)內部用戶。</p><p>　　對宏錦企業(yè)網絡內部設備的管理如下圖4-2所示。</p><p&g

75、t;　　圖4-2 添加網絡設備</p><p>　　如圖4-2添加宏錦企業(yè)的網絡設備，以實現(xiàn)企業(yè)對內部網絡設備的監(jiān)控和方便管理能有效的提高辦公效率。</p><p>　　SmartIPVIew管理軟件獨創(chuàng)的IP地址資源管理技術，通過保護IP地址資源的安全使用，以及對IP地址資源的回收再利用，使有限的IP地址資源得到合理合法的使用，從而可以保證整個網絡資源的有效利用和安全。</p>

76、;<p><b>　　總 結</b></p><p>　　隨著互聯(lián)網的飛速發(fā)展，網絡安全逐漸成為一個潛在的巨大問題。網絡安全性是一個涉及面很廣泛的問題，其中也會涉及到是否構成犯罪行為的問題。在其最簡單的形式中，它主要關心的是確保無關人員不能讀取，更不能修改傳送給其他接收者的信息。此時，它關心的對象是那些無權使用，但卻試圖獲得遠程服務的人。安全性也處理合法消息被截獲和重播的問題

77、，以及發(fā)送者是否曾發(fā)送過該條消息的問題。</p><p>　　本論文從企業(yè)角度描述了網絡安全的解決方案，目的在于為用戶提供信息的保密，認證和完整性保護機制，使網絡中的服務，數(shù)據以及系統(tǒng)免受侵擾和破壞。比如防火墻，認證，加密技術等都是當今常用的方法，本論文從這些方法入手深入研究各個方面的網絡安全問題的解決，可以使讀者有對網絡安全技術的更深刻的了解。</p><p><b>　　致

78、 謝</b></p><p>　　在這幾個多月的畢業(yè)設計中，我真誠的感謝老師的指導，在老師的幫助下我才順利的完成畢業(yè)設計。</p><p>　　做畢業(yè)實際就需要把平時學到的東西在復習一遍，因為平時上課還有課后自己的學習，都主要在基于理論方面的，雖然也做很多實驗，但當把畢業(yè)設計當作一個實際的工程來做的時候就會發(fā)現(xiàn)很多的問題，這就需要老師的指導了，特別是老師讓我們在實訓機房里面，直

79、接就各個硬件進行操作，這樣我們就不會空談就會做的更深層次。</p><p>　　所以很感謝老師的幫助，讓我更好的將理論和實踐相結合，最后完成了此次畢業(yè)設計，同時也為以后工作做了很好的準備。</p><p><b>　　參考文獻</b></p><p>　　王達.網管員必讀—網絡安全.北京：機械工業(yè)出版社，2009．</p><

80、;p>　　黃傳河.網絡規(guī)劃設計師教程.北京：機械工業(yè)出版社，2009．</p><p>　　張千里，陳光英. 網絡安全新技術.北京：人民郵電出版社，2003</p><p>　　王衛(wèi)紅，李曉明.計算機網絡與互聯(lián)網.北京：機械工業(yè)出版社，2009．</p><p>　　易建勛.計算機網絡技術.北京：人民郵電出版社，2007.</p><p&g

81、t;　　揚衛(wèi)東.網絡系統(tǒng)集成與工程設計，2007.</p><p>　　張千里，陳光英. 網絡安全新技術.北京：人民郵電出版社，2003</p><p>　　徐超汗.計算機網絡安全實用技術，電子工業(yè)出版社，2005年3月</p><p>　　萬博公司技術部.網絡系統(tǒng)集成行業(yè)使用方案,海洋出版社，2006年</p><p>　　[10 ] 高