企業(yè)的網(wǎng)絡(luò)安全精選(五篇)

序言：作為思想的載體和知識的探索者，寫作是一種獨特的藝術(shù)，我們?yōu)槟鷾?zhǔn)備了不同風(fēng)格的5篇企業(yè)的網(wǎng)絡(luò)安全，期待它們能激發(fā)您的靈感。

篇1

隨著信息技術(shù)和互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，計算機(jī)網(wǎng)絡(luò)安全方面的問題，直接影響到了軍事、文化、經(jīng)濟(jì)、政治等不同的領(lǐng)域。在計算機(jī)網(wǎng)絡(luò)走進(jìn)千家萬戶的同時，隨之而來的是網(wǎng)絡(luò)安全問題，在人們享受這網(wǎng)絡(luò)的方便快捷的同時，也會被或大或小的網(wǎng)絡(luò)安全問題所困擾。本文以計算機(jī)網(wǎng)絡(luò)安全及企業(yè)網(wǎng)絡(luò)安全應(yīng)用為基本點，進(jìn)行詳細(xì)的分析。

【關(guān)鍵詞】計算機(jī)網(wǎng)絡(luò)安全 企業(yè)網(wǎng)絡(luò)安全 應(yīng)用

在計算機(jī)網(wǎng)絡(luò)應(yīng)用越來越廣泛的今天，人們在享受著網(wǎng)絡(luò)帶來的方便快捷生活的同時，也會被隨之而來的網(wǎng)絡(luò)安全問題而困擾，大多網(wǎng)絡(luò)用戶均屬于非專業(yè)人士，對網(wǎng)絡(luò)的認(rèn)知較淺，只能簡單的應(yīng)用，對于網(wǎng)絡(luò)上常見的安全問題都會有些束手無策，對于一些需要用到網(wǎng)絡(luò)的企業(yè)而言，網(wǎng)絡(luò)安全問題更是需要受到重視。

1 計算機(jī)網(wǎng)絡(luò)安全的概述

所謂計算機(jī)網(wǎng)絡(luò)安全是指技術(shù)人員對網(wǎng)絡(luò)的性能和安全實行專業(yè)化的管理和控制，針對可能出現(xiàn)的狀況制定出合理的解決措施，從而保證數(shù)據(jù)的保密性以及完整性，且網(wǎng)絡(luò)環(huán)境相對穩(wěn)定，數(shù)據(jù)的各方面都能得到有效地保護(hù)。對于網(wǎng)絡(luò)的安全管理主要由兩部分構(gòu)成，一部分為物理安全，另一部分為邏輯安全，物理安全是指整個網(wǎng)絡(luò)系統(tǒng)的相關(guān)硬件以及附帶設(shè)施實行物理性的保護(hù)，防止硬件的丟失或毀損;而邏輯安全則是指對數(shù)據(jù)傳輸?shù)耐暾浴⒈Ｃ苄宰龅饺轿坏姆雷o(hù)。

2 企業(yè)網(wǎng)絡(luò)安全的現(xiàn)狀

現(xiàn)階段，網(wǎng)絡(luò)的發(fā)展和早期所設(shè)計的網(wǎng)絡(luò)意圖有所更改，已經(jīng)將安全問題放在了首位，若不能夠?qū)踩珕栴}解決，會在一定程度上直接影響到企業(yè)網(wǎng)絡(luò)的應(yīng)用。企業(yè)網(wǎng)絡(luò)的信息當(dāng)中存在著較多的對網(wǎng)絡(luò)安全會產(chǎn)生不利影響的特性，例如：網(wǎng)絡(luò)開放性、共享性以及互聯(lián)性等，在當(dāng)前經(jīng)常發(fā)生惡性攻擊事件，極大地顯示出了現(xiàn)階段嚴(yán)峻的網(wǎng)絡(luò)安全形勢，所以對于網(wǎng)絡(luò)安全方面的防范措施，需要具備可以解除不同網(wǎng)絡(luò)威脅的特點。在最近幾年，我國的網(wǎng)絡(luò)協(xié)議和系統(tǒng)會產(chǎn)生較多的問題，不能夠安全、完善、健全的體現(xiàn)出所具備的影響價值。網(wǎng)絡(luò)技術(shù)和計算機(jī)技術(shù)由于具備的多樣性和復(fù)雜性，促使網(wǎng)絡(luò)安全變?yōu)榱艘环N需要不斷提升和更新的范疇。因此，計算機(jī)網(wǎng)絡(luò)在企業(yè)的應(yīng)用上，需要擁有相應(yīng)的網(wǎng)絡(luò)安全問題的分析，以及網(wǎng)絡(luò)安全的解決對策，才可以確保企業(yè)網(wǎng)絡(luò)的順暢運行。

3 企業(yè)網(wǎng)絡(luò)安全應(yīng)用中的問題

3.1 網(wǎng)絡(luò)軟件的漏洞

網(wǎng)絡(luò)軟件不論多么的優(yōu)秀，都會產(chǎn)生或多或少的漏洞和缺陷，然而對于較高水平的黑客而言，定會將這些缺陷和漏洞作為首要攻擊的目標(biāo)。在早期發(fā)生的黑客攻擊事件當(dāng)中，基本上都是由于產(chǎn)生不完善的軟件安全措施所造成的后果。

3.2 人為無意失誤

人為的失誤方面包含不夠恰當(dāng)?shù)牟僮鲉T安全配置，會在一定程度上導(dǎo)致安全漏洞的產(chǎn)生，用戶缺失較強(qiáng)的安全意識，經(jīng)常不填寫用戶口令，會將自身的賬號隨意的和別人分享或者供他人使用等，會無意間威脅到企業(yè)網(wǎng)絡(luò)。

3.3 人為惡意失誤

人為的惡意失誤是網(wǎng)絡(luò)的最大程度威脅因素，例如：計算機(jī)犯罪等。類似的攻擊，基本上能分成兩個層面：其一為被動攻擊，是在不影響到網(wǎng)絡(luò)工作的基礎(chǔ)上，開展的破譯、竊取、截獲后，以此來獲取核心性的機(jī)密信息。其二為主動攻擊，是用不同的方法有選擇性的對信息的完整性和有效性進(jìn)行破壞。這兩個層面的攻擊，都能夠讓計算機(jī)網(wǎng)絡(luò)產(chǎn)生較大的威脅，同時會造成機(jī)密數(shù)據(jù)的嚴(yán)重泄漏。

4 企業(yè)網(wǎng)絡(luò)安全應(yīng)用中的解決對策

4.1 網(wǎng)絡(luò)設(shè)備的安全

在防護(hù)網(wǎng)絡(luò)安全方面，保證網(wǎng)絡(luò)設(shè)備安全是較為基礎(chǔ)性的防護(hù)模式。其一，需要有效地對設(shè)備進(jìn)行配置，要保證只對設(shè)備中必要的服務(wù)有所開放，在運行方面，只參考指定人員的訪問;其二，重視設(shè)備廠商所提出的漏洞，要在第一時間進(jìn)行網(wǎng)絡(luò)設(shè)備補(bǔ)丁的安裝;其三，在計算機(jī)網(wǎng)絡(luò)中的全部設(shè)備，有必要定期地進(jìn)行密碼的更換，并且密碼方面需要符合相應(yīng)的復(fù)雜度，才能夠不被輕易地破解。最后，組織有效的維護(hù)設(shè)備，保證網(wǎng)絡(luò)設(shè)備的運營穩(wěn)定性。

4.2 無線網(wǎng)絡(luò)的安全

因為無線網(wǎng)絡(luò)信號會利用空氣運行，極易產(chǎn)生惡意用戶的竊取，因此無線網(wǎng)絡(luò)安全在一定程度上成為了預(yù)防安全隱患的重點。只是加密無線信號，不可以達(dá)成安全性的要求。現(xiàn)階段，在企業(yè)的內(nèi)部提倡應(yīng)用認(rèn)證和加密的結(jié)合形式，其中所涉及到的認(rèn)證需要與AD相融合，以此來有效地提升賬戶的可管理性。

4.3 客戶端的安全管理

在大中型的企業(yè)當(dāng)中擁有著較多的客戶端，往往都屬于Windows操作系統(tǒng)，對其進(jìn)行分別的管理較為麻煩，需要在企業(yè)的內(nèi)部利用Windows組策略進(jìn)行客戶端的管理。組策略就是利用一次的設(shè)定，制約一部分的對象。能夠在組策略中創(chuàng)設(shè)較為嚴(yán)謹(jǐn)?shù)牟呗裕源藖戆芽乜蛻舳说陌踩\行。主要的策略包含：加強(qiáng)賬戶策略、合理刪除Guest等類似次要的用戶;加強(qiáng)系統(tǒng)日志審核功能;局限非管理員的相應(yīng)操作權(quán)限等。這一系列的策略是企業(yè)內(nèi)部較為通用的策略。針對企業(yè)內(nèi)部生產(chǎn)使用中的客戶端，因為作業(yè)人員只應(yīng)用幾個建議的操作，因此有必要開展較為嚴(yán)格的限制。例如：最小化系統(tǒng)操作、最小化系統(tǒng)開放端口、最小化運行的用戶進(jìn)程等。其中的最小化運行用戶進(jìn)程所指的是，除了特定的系統(tǒng)進(jìn)程，不能夠使用其他的進(jìn)程。最小化系統(tǒng)操作包含：禁用注冊表、禁用命令提示符、禁用控制面板、禁用鼠標(biāo)右鍵等。

5 總結(jié)

根據(jù)以上的論述，網(wǎng)絡(luò)安全是較為復(fù)雜性、綜合性的問題，會與較多的因素相聯(lián)系，具體包含多種管理、產(chǎn)品以及技術(shù)等。不可以單純的依賴防護(hù)系統(tǒng)，也不能夠只是將防護(hù)系統(tǒng)作為擺設(shè)，而不去貫徹落實。想要將企業(yè)高效的進(jìn)行網(wǎng)絡(luò)運行，就需要為企業(yè)解決網(wǎng)絡(luò)安全的實質(zhì)性問題，才能做好企業(yè)網(wǎng)絡(luò)信息的可用性、完整性以及保密性。

參考文獻(xiàn)

[1]郭晶晶，牟勝梅，史蓓蕾.關(guān)于某金融企業(yè)網(wǎng)絡(luò)安全應(yīng)用技術(shù)的探討[J].數(shù)字技術(shù)與應(yīng)用，2013，12（09）：123-125.

[2]王擁軍，李建清.淺談企業(yè)網(wǎng)絡(luò)安全防護(hù)體系的建設(shè)[J].信息安全與通信保密，2013，11（07）：153-171.

[3]胡經(jīng)珍.深入探討企業(yè)網(wǎng)絡(luò)安全管理中的常見問題[J].計算機(jī)安全，2013，11（07）：152-160.

[4]周連兵，張萬.淺議企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計[J].中國公共安全：學(xué)術(shù)版，2013，10（02）：163-175.

篇2

    關(guān)鍵詞：企業(yè)網(wǎng)  網(wǎng)絡(luò)安全  安全體系  入侵檢測  病毒防護(hù)

    隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，在企業(yè)中運用計算機(jī)網(wǎng)絡(luò)進(jìn)行各項工作更加的深入和普及，通過企業(yè)網(wǎng)絡(luò)向師生提供高效、優(yōu)質(zhì)、規(guī)范、透明和全方位的信息服務(wù)，沖破了人與人之間在時間和空間分隔的制約，越來越被更多的人們所接受和應(yīng)用。然而由于企業(yè)網(wǎng)絡(luò)自身的特點，使安全問題在企業(yè)網(wǎng)絡(luò)的運行與管理中格外突出，研究構(gòu)建、完善基于企業(yè)網(wǎng)的信息安全體系，對企業(yè)網(wǎng)安全問題的解決具有重要意義。

一、企業(yè)網(wǎng)絡(luò)安全風(fēng)險狀況概述

   企業(yè)網(wǎng)絡(luò)是在企業(yè)范圍內(nèi)，在一定的思想和理論指導(dǎo)下，為企業(yè)提供資源共享、信息交流和協(xié)同工作的計算機(jī)網(wǎng)絡(luò)。隨著我國各地企業(yè)網(wǎng)數(shù)量的迅速增加，如何實現(xiàn)企業(yè)網(wǎng)之間資源共享、信息交流和協(xié)同工作以及保證企業(yè)網(wǎng)絡(luò)安全的要求是越來越強(qiáng)烈。與其它網(wǎng)絡(luò)一樣，企業(yè)網(wǎng)也同樣面臨著各種各樣的網(wǎng)絡(luò)安全問題。但是在企業(yè)網(wǎng)絡(luò)建設(shè)的過程中，由于對技術(shù)的偏好和運營意識的不足，普遍都存在”重技術(shù)、輕安全、輕管理”的傾向，隨著網(wǎng)絡(luò)規(guī)模的急劇膨脹，網(wǎng)絡(luò)用戶的快速增長，關(guān)鍵性應(yīng)用的普及和深入，企業(yè)網(wǎng)絡(luò)在企業(yè)的信息化建設(shè)中已經(jīng)在扮演了至關(guān)重要的角色，作為數(shù)字化信息的最重要傳輸載體，如何保證企業(yè)網(wǎng)絡(luò)能正常的運行不受各種網(wǎng)絡(luò)黑客的侵害就成為各個企業(yè)不可回避的一個緊迫問題，解決網(wǎng)絡(luò)安全問題刻不容緩，并且逐漸引起了各方面的重視。

    由于Internet上存在各種各樣不可預(yù)知的風(fēng)險，網(wǎng)絡(luò)入侵者可以通過多種方式攻擊內(nèi)部網(wǎng)絡(luò)。此外,由于企業(yè)網(wǎng)用戶網(wǎng)絡(luò)安全尚欠缺，很少考慮實際存在的風(fēng)險和低效率，很少學(xué)習(xí)防范病毒、漏洞修復(fù)、密碼管理、信息保密的必備知識以及防止人為破壞系統(tǒng)和篡改敏感數(shù)據(jù)的有關(guān)技術(shù)。

    因此，在設(shè)計時有必要將公開服務(wù)器和外網(wǎng)及內(nèi)部其它業(yè)務(wù)網(wǎng)絡(luò)進(jìn)行必要的隔離，避免網(wǎng)絡(luò)結(jié)構(gòu)信息外泄；同時還要對網(wǎng)絡(luò)通訊進(jìn)行有效的過濾，使必要的服務(wù)請求到達(dá)主機(jī)，對不必要的訪問請求加以拒絕。

二、企業(yè)網(wǎng)絡(luò)安全體系結(jié)構(gòu)的設(shè)計與構(gòu)建

    網(wǎng)絡(luò)安全系統(tǒng)的構(gòu)建實際上是入侵者與反入侵者之間的持久的對抗過程。網(wǎng)絡(luò)安全體系不是一勞永逸地能夠防范任何攻擊的完美系統(tǒng)。人們力圖建立的是一個網(wǎng)絡(luò)安全的動態(tài)防護(hù)體系，是動態(tài)加靜態(tài)的防御，是被動加主動的防御甚至抗擊，是管理加技術(shù)的完整安全觀念。但企業(yè)網(wǎng)絡(luò)安全問題不是在網(wǎng)絡(luò)中加一個防火墻就能解決的問題，需要有一個科學(xué)、系統(tǒng)、全面的網(wǎng)絡(luò)安全結(jié)構(gòu)體系。

（一）企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計目標(biāo)

    企業(yè)網(wǎng)絡(luò)系統(tǒng)安全設(shè)計的目標(biāo)是使在企業(yè)網(wǎng)絡(luò)中信息的采集、存儲、處理、傳播和運用過程中，信息的自由性、秘密性、完整性、共享性等都能得到良好保護(hù)的一種狀態(tài)。在網(wǎng)絡(luò)上傳遞的信息沒有被故意的或偶然的非法授權(quán)泄露、更改、破壞或使信息被非法系統(tǒng)辨識、控制，網(wǎng)絡(luò)信息的保密性、完整性、可用性、可控性得到良好保護(hù)的狀態(tài)。

（二） 企業(yè)網(wǎng)防火墻的部署

    1.安全策略。所有的數(shù)據(jù)包都必須經(jīng)過防火墻;只有被允許的數(shù)據(jù)包才能通過防火墻;防火墻本身要有預(yù)防入侵的功能;默認(rèn)禁止所有的服務(wù)，除非是必須的服務(wù)才被允許。

   2.系統(tǒng)設(shè)計。在互聯(lián)網(wǎng)與企業(yè)網(wǎng)內(nèi)網(wǎng)之間部署了一臺硬件防火墻，在內(nèi)外網(wǎng)之間建立一道安全屏障。其中WEB、E一mail、FTP等服務(wù)器放置在防火墻的DMZ區(qū)(即“非軍事區(qū)”，是為不信任系統(tǒng)提供服務(wù)的孤立網(wǎng)段，它阻止內(nèi)網(wǎng)和外網(wǎng)直接通信以保證內(nèi)網(wǎng)安全)，與內(nèi)網(wǎng)和外網(wǎng)間進(jìn)行隔離，內(nèi)網(wǎng)口連接企業(yè)網(wǎng)，外網(wǎng)口通過電信網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接。

    3.入侵檢測系統(tǒng)的設(shè)計和部署。入侵檢測系統(tǒng)主要檢測對網(wǎng)絡(luò)系統(tǒng)各主要運營環(huán)節(jié)的實時入侵，在企業(yè)網(wǎng)網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間設(shè)置瑞星RIDS一100入侵檢測系統(tǒng)，與防火墻并行的接入網(wǎng)絡(luò)中，監(jiān)測來自互聯(lián)網(wǎng)、企業(yè)網(wǎng)內(nèi)部的攻擊行為。發(fā)現(xiàn)入侵行為時，及時通知防火墻阻斷攻擊源。

    4.企業(yè)網(wǎng)絡(luò)安全體系實施階段。第一階段:基本安全需求。第一階段的目標(biāo)是利用已有的技術(shù)，首先滿足企業(yè)網(wǎng)最迫切的安全需求，所涉及到的安全內(nèi)容有:

①滿足設(shè)備物理安全

②VLAN與IP地址的規(guī)劃與實施

③制定相關(guān)安全策略

④內(nèi)外網(wǎng)隔離與訪問控制

⑤內(nèi)網(wǎng)自身病毒防護(hù)

⑥系統(tǒng)自身安全

⑦相關(guān)制度的完善

  第二階段:較高的安全需求。這一階段的目標(biāo)是在完成第一階段安全需求的前提下，全面實現(xiàn)整個企業(yè)網(wǎng)絡(luò)的安全需求。所涉及的安全內(nèi)容有:

①入侵檢測與保護(hù)

②身份認(rèn)證與安全審計

③流量控制

④內(nèi)外網(wǎng)病毒防護(hù)與控制

⑤動態(tài)調(diào)整安全策略

  第三階段:后續(xù)動態(tài)的安全系統(tǒng)調(diào)整與完善。相關(guān)安全策略的調(diào)整與完善以及數(shù)據(jù)備份與災(zāi)難恢復(fù)等。

     在上述分析、比較基礎(chǔ)上，我們利用現(xiàn)有的各種網(wǎng)絡(luò)安全技術(shù)，結(jié)合企業(yè)網(wǎng)的特點，依據(jù)設(shè)計、構(gòu)建的企業(yè)網(wǎng)絡(luò)安全體系，成功構(gòu)建了如圖4-1的企業(yè)網(wǎng)絡(luò)安全解決方案，對本研究設(shè)計、構(gòu)建的企業(yè)網(wǎng)絡(luò)安全體系的實踐應(yīng)用具有重要的指導(dǎo)意義。 

 

圖4-1 企業(yè)網(wǎng)絡(luò)安全體系應(yīng)用解決方案

篇3

關(guān)鍵詞：企業(yè)網(wǎng)絡(luò) 安全管理 維護(hù)

中圖分類號：TN915.08 文獻(xiàn)標(biāo)識碼：A 文章編號：1672-3791（2012）12（a）-0024-01

隨著信息化技術(shù)的飛速發(fā)展，許多有遠(yuǎn)見的企業(yè)都認(rèn)識到依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運營平臺將極大地提升企業(yè)的核心競爭力，使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。逐漸地使經(jīng)營管理對計算機(jī)應(yīng)用系統(tǒng)依賴性增強(qiáng)，計算機(jī)應(yīng)用系統(tǒng)對網(wǎng)絡(luò)依賴性增強(qiáng)。然而，網(wǎng)絡(luò)的安全是伴隨著網(wǎng)絡(luò)的產(chǎn)生而產(chǎn)生，可以說，有網(wǎng)絡(luò)的地方就存在網(wǎng)絡(luò)安全隱患。如病毒入侵和黑客攻擊之類的網(wǎng)絡(luò)安全事件，速度之快，范圍之廣，已眾所周知。企業(yè)為阻止惡意軟件入侵攻擊、防止非法用戶通過網(wǎng)絡(luò)訪問和操作、防止用戶郵件被非法截取或篡改等采取的安全措施，既保證企業(yè)數(shù)據(jù)安全、網(wǎng)絡(luò)系統(tǒng)運行穩(wěn)定，又防止非法入侵等問題才是企業(yè)網(wǎng)絡(luò)安全管理的重要內(nèi)容。

1 威脅信息安全的主要因素

1.1 軟件的內(nèi)在缺陷

這些缺陷不僅直接造成系統(tǒng)宕機(jī)，還會提供一些人為的惡意攻擊機(jī)會。對于某些操作系統(tǒng)，相當(dāng)比例的惡意攻擊就是利用操作系統(tǒng)缺陷設(shè)計和展開的，一些病毒、木馬也是盯住其破綻興風(fēng)作浪，由此造成的損失實難估量。應(yīng)用軟件的缺陷也可能造成計算機(jī)信息系統(tǒng)的故障，降低系統(tǒng)安全性能。

1.2 惡意攻擊

攻擊的種類有多種，有的是對硬件設(shè)施的干擾或破壞，有的是對應(yīng)用程序的攻擊，有的是對數(shù)據(jù)的攻擊。對硬件設(shè)施的攻擊，可能會造成一次性或永久性故障或損壞。對應(yīng)用程序的攻擊會導(dǎo)致系統(tǒng)運行效率的下降，嚴(yán)重的會導(dǎo)致應(yīng)用異常甚至中斷。對數(shù)據(jù)的攻擊可破壞數(shù)據(jù)的有效性和完整性，也可能導(dǎo)致敏感數(shù)據(jù)的泄漏、濫用[1]。

1.3 管理不善

許多企業(yè)網(wǎng)絡(luò)都存在重建設(shè)、重技術(shù)、輕管理的傾向。實踐證明，安全管理制度不完善、人員安全風(fēng)險意識薄弱，是網(wǎng)絡(luò)風(fēng)險的重要原因之一。比如，網(wǎng)絡(luò)管理員配備不當(dāng)、企業(yè)員工安全意識不強(qiáng)、用戶口令設(shè)置不合理等[2]，都會給信息安全帶來嚴(yán)重威脅。

1.4 網(wǎng)絡(luò)病毒的肆虐

只要上網(wǎng)便避免不了的受到病毒的侵襲。一旦沾染病毒，就會通過各種途徑大面積傳播病毒，就會造成企業(yè)的網(wǎng)絡(luò)性能急劇下降，還會造成很多重要數(shù)據(jù)的丟失，給企業(yè)帶來巨大的損失。

1.5 自然災(zāi)害

對計算機(jī)信息系統(tǒng)安全構(gòu)成嚴(yán)重威脅的災(zāi)害主要有雷電、鼠害、火災(zāi)、水災(zāi)、地震等各種自然災(zāi)害。此外，停電、盜竊、違章施工也對計算機(jī)信息系統(tǒng)安全構(gòu)成現(xiàn)實威脅。

2 完善網(wǎng)絡(luò)信息安全的管理機(jī)制

2.1 規(guī)范制度化企業(yè)網(wǎng)絡(luò)安全管理

網(wǎng)絡(luò)和信息安全管理真正納入安全生產(chǎn)管理體系，并能夠得到有效運作，就必須使這項工作制度化、規(guī)范化。要在企業(yè)網(wǎng)絡(luò)與信息安全管理工作中融入安全管理的思想，制定出相應(yīng)的管理制度。

2.2 規(guī)范企業(yè)網(wǎng)絡(luò)管理員的行為

企業(yè)內(nèi)部網(wǎng)絡(luò)安全崗位的工作人員要周期性進(jìn)行輪換工作，在公司條件允許的情況下，可以每項工作指派2～3人共同參與，形成制約機(jī)制。網(wǎng)絡(luò)管理員每天都要認(rèn)真查看日志，通過日志來發(fā)現(xiàn)有無外來人員攻擊公司內(nèi)部網(wǎng)絡(luò)，以便及時應(yīng)對，采取相應(yīng)措施。

2.3 規(guī)范企業(yè)員工的上網(wǎng)行為

目前，琳瑯滿目的網(wǎng)站及廣告鋪天蓋地，鼠標(biāo)一點，就非常有可能進(jìn)入非法網(wǎng)頁，普通電腦用戶無法分辯，這就需要我們網(wǎng)管人員對網(wǎng)站進(jìn)行過濾，配置相應(yīng)的策略，為企業(yè)提供健康的安全上網(wǎng)環(huán)境。為此，企業(yè)要制定規(guī)范，規(guī)定員工的上網(wǎng)行為，如免費軟件、共享軟件等沒有充分安全保證的情況下盡量不要安裝，同時，還要培養(yǎng)企業(yè)員工的網(wǎng)絡(luò)安全意識，注意移動硬件病毒的防范和查殺的問題，增強(qiáng)計算機(jī)保護(hù)方面的知識。

2.4 加強(qiáng)企業(yè)員工的網(wǎng)絡(luò)安全培訓(xùn)

企業(yè)網(wǎng)絡(luò)安全的培訓(xùn)大致可以包括理論培訓(xùn)、產(chǎn)品培訓(xùn)、業(yè)務(wù)培訓(xùn)等。通過培訓(xùn)可以有效解決企業(yè)的網(wǎng)絡(luò)安全問題，同時，還能減少企業(yè)進(jìn)行網(wǎng)絡(luò)安全修護(hù)的費用。

3 提高企業(yè)網(wǎng)絡(luò)安全的維護(hù)的措施

3. 1病毒的防范

在網(wǎng)絡(luò)環(huán)境下，病毒的傳播性、破壞性及其變種能力都遠(yuǎn)遠(yuǎn)強(qiáng)于過去，鑒于“熊貓燒香”、“灰鴿子”、“機(jī)器狗”等病毒給太多的企業(yè)造成嚴(yán)重的損失，慘痛的教訓(xùn)告誡我們，選用一款適合于企業(yè)網(wǎng)的網(wǎng)絡(luò)版防病毒產(chǎn)品，是最有效的方法。網(wǎng)絡(luò)版的產(chǎn)品具備統(tǒng)一管理、統(tǒng)一升級、遠(yuǎn)程維護(hù)、統(tǒng)一查殺、協(xié)助查殺等多種單機(jī)版不具備的功能。有效緩解系統(tǒng)管理員在網(wǎng)絡(luò)防病毒方面的壓力。

3.2 合理配置防火墻

利用防火墻，在網(wǎng)絡(luò)通訊時執(zhí)行一種訪問控制尺度，允許防火墻同意訪問的人與數(shù)據(jù)進(jìn)入自己的內(nèi)部網(wǎng)絡(luò)，同時將不允許的用戶與數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問自己的網(wǎng)絡(luò)，防止他們隨意更改、移動甚至刪除網(wǎng)絡(luò)上的重要信息。防火墻的配置需要網(wǎng)絡(luò)管理員對本單位網(wǎng)絡(luò)有較深程度的了解，在保證性能及可用性的基礎(chǔ)上，制定出與本單位實際應(yīng)用較一致的防火墻策略。

3.3 配置專業(yè)的網(wǎng)絡(luò)安全管理工具

這種類型的工具包括入侵檢測系統(tǒng)、Web，Email，BBS的安全監(jiān)測系統(tǒng)、漏洞掃描系統(tǒng)等。這些系統(tǒng)的配備，可以讓系統(tǒng)管理員能夠集中處理網(wǎng)絡(luò)中發(fā)生的各類安全事件，更高效、快捷的解決網(wǎng)絡(luò)中的安全問題。

3.4 提高使用人員的網(wǎng)絡(luò)安全意識和配備相關(guān)技術(shù)人員

企業(yè)網(wǎng)絡(luò)漏洞最多的機(jī)器往往不是服務(wù)器等專業(yè)設(shè)備，而是用戶的終端機(jī)。因此，加強(qiáng)計算機(jī)系統(tǒng)使用人員的安全意識及相關(guān)技術(shù)是最有效，但也是最難執(zhí)行的方面。這需要在企業(yè)信息管理專業(yè)人員，在終端使用人員網(wǎng)絡(luò)安全技術(shù)培訓(xùn)、網(wǎng)絡(luò)安全意識宣傳等方面多下功夫。

3.5 保管數(shù)據(jù)安全

企業(yè)數(shù)據(jù)的安全是安全管理的重要環(huán)節(jié)。特別是近年來，隨著企業(yè)網(wǎng)絡(luò)系統(tǒng)的不斷完善，各專業(yè)應(yīng)用如財務(wù)、人事、營銷、生產(chǎn)、OA、物資等方方面面均已進(jìn)入信息系統(tǒng)的管理范圍。系統(tǒng)數(shù)據(jù)一旦發(fā)生損壞與丟失，給企業(yè)帶來的影響是不可估計的。任何硬件及軟件的防范都僅能提高系統(tǒng)可靠性，而不能杜絕系統(tǒng)災(zāi)難。在這種情況下，合理地制定系統(tǒng)數(shù)據(jù)保護(hù)策略，購置相應(yīng)設(shè)備，做好數(shù)據(jù)備份與系統(tǒng)災(zāi)難的恢復(fù)預(yù)案，做好恢復(fù)預(yù)案的演練，是最有效的手段。

3.6 合理規(guī)劃網(wǎng)絡(luò)結(jié)構(gòu)

合理規(guī)劃網(wǎng)絡(luò)結(jié)構(gòu)，可使用物理隔離裝置將重要的系統(tǒng)與常規(guī)網(wǎng)絡(luò)隔離開來，是保障重要系統(tǒng)安全穩(wěn)定的最有效手段。

4 結(jié)語

總而言之，企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)是一項長期以來極具挑戰(zhàn)性的課題。它的發(fā)展往往伴隨著網(wǎng)絡(luò)技術(shù)的發(fā)展其自身也在不斷的更新和調(diào)整。信息安全是一個企業(yè)賴以生存的基礎(chǔ)保障，只有信息安全得到保障，企業(yè)的網(wǎng)絡(luò)系統(tǒng)才有其存在的價值。網(wǎng)絡(luò)安全是一項系統(tǒng)的工程，需要我們綜合考慮很多實際的需求問題，靈活運用各種網(wǎng)絡(luò)安全技術(shù)才能組建一個高效、穩(wěn)定、安全的企業(yè)網(wǎng)絡(luò)系統(tǒng)。

參考文獻(xiàn)

篇4

隨著企業(yè)網(wǎng)絡(luò)信息技術(shù)的快速發(fā)展和廣泛應(yīng)用，社會信息化進(jìn)程不斷加快，生產(chǎn)制造、物流網(wǎng)絡(luò)、自動化辦公系統(tǒng)對信息系統(tǒng)的依賴程度越來越大，因此，保證信息系統(tǒng)的安全穩(wěn)定運行也越來越重要。如何保證企業(yè)網(wǎng)絡(luò)信息化安全、穩(wěn)定運行就需要網(wǎng)絡(luò)規(guī)劃設(shè)計師在設(shè)計初始周全的考慮到網(wǎng)絡(luò)安全所需達(dá)到的條件（包括硬件、OSI/RM各層、各種系統(tǒng)操作和應(yīng)用）。

1網(wǎng)絡(luò)安全、信息安全標(biāo)準(zhǔn)

網(wǎng)絡(luò)安全性標(biāo)準(zhǔn)是指為了規(guī)范網(wǎng)絡(luò)行為，凈化網(wǎng)絡(luò)環(huán)境而制定的強(qiáng)制性或指導(dǎo)性的規(guī)定。目前，網(wǎng)絡(luò)安全標(biāo)準(zhǔn)主要有針對系統(tǒng)安全等級、系統(tǒng)安全等級評定方法、系統(tǒng)安全使用和操作規(guī)范等方面的標(biāo)準(zhǔn)。世界各國紛紛頒布了計算機(jī)網(wǎng)絡(luò)的安全管理條例，我國也頒布了《計算機(jī)網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全管理方法》等多個國家標(biāo)準(zhǔn)，用來制止網(wǎng)絡(luò)污染，規(guī)范網(wǎng)絡(luò)行為，同時各種網(wǎng)絡(luò)技術(shù)在不斷的改進(jìn)和完善。1999年9月13日，中國頒布了《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》（GB17859：1999），定義了計算機(jī)信息系統(tǒng)安全保護(hù)能力的5個等級，分別如下：（1）第一級：用戶自主保護(hù)級。它的安全保護(hù)機(jī)制使用戶具備自主安全保護(hù)的能力，保護(hù)用戶的信息免受非法的讀寫破壞。（2）第二級：系統(tǒng)審計保護(hù)級。除繼承前一個級別的安全功能外，還要求創(chuàng)建和維護(hù)訪問的審計蹤記錄，使所有的用戶對自己行為的合法性負(fù)責(zé)。（3）第三級：安全標(biāo)記保護(hù)級。除繼承前一個級別的安全功能外，還要求以訪問對象標(biāo)記的安全級別限制訪問者的訪問權(quán)限，實現(xiàn)對訪問對象的強(qiáng)制訪問。（4）第四級：結(jié)構(gòu)化保護(hù)級。除繼承前一個級別的安全功能外，將安全保護(hù)機(jī)制劃分為關(guān)鍵部分和非關(guān)鍵部分，對關(guān)鍵部分直接控制訪問者對訪問對象的存取，從而加強(qiáng)系統(tǒng)的抗?jié)B透能力。（5）第五級：訪問驗證保護(hù)級。除繼承前一個級別的安全功能外，還特別增設(shè)了訪問驗證功能，負(fù)責(zé)仲裁訪問者對訪問對象的所有訪問活動。

2企業(yè)網(wǎng)絡(luò)主要安全隱患

企業(yè)網(wǎng)絡(luò)主要分為內(nèi)網(wǎng)和外網(wǎng)，網(wǎng)絡(luò)安全體系防范的不僅是病毒感染，還有基于網(wǎng)絡(luò)的非法入侵、攻擊和訪問，但這些非法入侵、攻擊、訪問的途徑非常多，涉及到整個網(wǎng)絡(luò)通信過程的每個細(xì)節(jié)。從以往的網(wǎng)絡(luò)入侵、攻擊等可以總結(jié)出，內(nèi)部網(wǎng)絡(luò)的安全威脅要多于外部網(wǎng)絡(luò)，因為內(nèi)網(wǎng)受到的入侵和攻擊更加容易，所以做為網(wǎng)絡(luò)安全體系設(shè)計人員要全面地考慮，注重內(nèi)部網(wǎng)絡(luò)中存在的安全隱患。

3企業(yè)網(wǎng)絡(luò)安全防護(hù)策略

設(shè)計一個更加安全的網(wǎng)絡(luò)安全系統(tǒng)包括網(wǎng)絡(luò)通信過程中對OSI/RM的全部層次的安全保護(hù)和系統(tǒng)的安全保護(hù)。七層網(wǎng)絡(luò)各個層次的安全防護(hù)是為了預(yù)防非法入侵、非法訪問、病毒感染和黑客攻擊，而非計算機(jī)通信過程中的安全保護(hù)是為了預(yù)防網(wǎng)絡(luò)的物理癱瘓和網(wǎng)絡(luò)數(shù)據(jù)損壞的。OSI/RM各層采取的安全保護(hù)措施及系統(tǒng)層的安全防護(hù)如圖1所示。

4OSI/RM各層主要安全方案

4.1物理層安全

通信線路的屏蔽主要體現(xiàn)在兩個方面：一方面是采用屏蔽性能好的傳輸介質(zhì)，另一方面是把傳輸介質(zhì)、網(wǎng)絡(luò)設(shè)備、機(jī)房等整個通信線路安裝在屏蔽的環(huán)境中。（1）屏蔽雙絞線屏蔽與非屏蔽的普通五類、超五類雙絞線的主要區(qū)別是屏蔽類雙絞線中8條（4對）芯線外集中包裹了一屏蔽層。而六類屏蔽雙絞和七類雙絞線除了五類、超五類屏蔽雙絞線的這一層統(tǒng)一屏蔽層外，還有這些屏蔽層就是用來進(jìn)行電磁屏蔽的，一方面防止外部環(huán)境干擾網(wǎng)線中的數(shù)據(jù)傳輸，另一方防止傳輸途中的電磁泄漏而被一些別有用心的人偵聽到。（2）屏蔽機(jī)房和機(jī)柜機(jī)房屏蔽的方法是在機(jī)房外部以接地良好的金屬膜、金屬網(wǎng)或者金屬板材（主要是鋼板）包圍，其中包括六面板體和一面屏蔽門。根據(jù)機(jī)房屏蔽性能的不同，可以將屏蔽機(jī)房分為A、B、C三個級別，最高級為C級。機(jī)柜的屏蔽是用采用冷扎鋼板圍閉而成，這些機(jī)柜的結(jié)構(gòu)與普通的機(jī)柜是一樣的，都是標(biāo)準(zhǔn)尺寸的。（3）WLAN的物理層安全保護(hù)對于無線網(wǎng)絡(luò)，因為采用的傳輸介質(zhì)是大氣，大氣是非固定有形線路，安全風(fēng)險比有線網(wǎng)絡(luò)更高，所以在無線網(wǎng)絡(luò)中的物理層安全保護(hù)就顯得更加重要了。如果將機(jī)房等整個屏蔽起來，成本太高，現(xiàn)在主要采用其他方式如多位數(shù)共享密鑰、WPA/WPA2動態(tài)密鑰、IEEE802.1X身份驗證等。現(xiàn)在最新的無線寬帶接入技術(shù)——WiMAX對于來自物理層的攻擊，如網(wǎng)絡(luò)阻塞、干擾，顯得很脆弱，以后將提高發(fā)射信號功率、增加信號帶寬和使用包括跳頻、直接序列等擴(kuò)頻技術(shù)。

4.2數(shù)據(jù)鏈路層安全

在數(shù)據(jù)鏈路層可以采用的安全保護(hù)方案主要包括：數(shù)據(jù)鏈路加密、MAC地址綁定（防止MAC地址欺騙）、VLAN網(wǎng)段劃分、網(wǎng)絡(luò)嗅探預(yù)防、交換機(jī)保護(hù)。VLAN隔離技術(shù)是現(xiàn)代企業(yè)網(wǎng)絡(luò)建設(shè)中用的最多的技術(shù)，該技術(shù)可分為基于端口的VLAN、基于MAC地址的VLAN、基于第三層的VLAN和基于策略的VLAN。

4.3網(wǎng)絡(luò)層安全

在網(wǎng)絡(luò)層首先是身份的認(rèn)證，最簡單的身份認(rèn)證方式是密碼認(rèn)證，它是基于windows服務(wù)器系統(tǒng)的身份認(rèn)證可針對網(wǎng)絡(luò)資源的訪問啟用“單點登錄”，采用單點登錄后，用戶可以使用一個密碼或智能卡一次登錄到windows域，然后向域中的任何計算機(jī)驗證身份。網(wǎng)絡(luò)上各種服務(wù)器提供的認(rèn)證服務(wù)，使得口令不再是以明文方式在網(wǎng)絡(luò)上傳輸，連接之間的通信是加密的。加密認(rèn)證分為PKI公鑰機(jī)制（非對稱加密機(jī)制），Kerberos基于私鑰機(jī)制（對稱加密機(jī)制）。IPSec是針對IP網(wǎng)絡(luò)所提出的安全性協(xié)議，用途就是保護(hù)IP網(wǎng)絡(luò)通信安全。它支持網(wǎng)絡(luò)數(shù)據(jù)完整性檢查、數(shù)據(jù)機(jī)密保護(hù)、數(shù)據(jù)源身份認(rèn)證和重發(fā)保護(hù)，可為絕大部分TCP/IP族協(xié)議提供安全服務(wù)。IPSec提供了兩種使用模式：傳輸模式（TransportMode）和隧道模式（TUNNELMode）。

4.4傳輸層安全

傳輸層的主要作用是保證數(shù)據(jù)安全、可靠的從一端傳到另一端。TLS/SSL協(xié)議是工作在傳輸層的安全協(xié)議，它不僅可以為網(wǎng)絡(luò)通信中的數(shù)據(jù)提供強(qiáng)健的安全加密保護(hù)，還可以結(jié)合證書服務(wù)，提供強(qiáng)大的身份誰、數(shù)據(jù)簽名和隱私保護(hù)。TLS/SSL協(xié)議廣泛應(yīng)用于Web瀏覽器和Web服務(wù)器之間基于HTTPS協(xié)議的互聯(lián)網(wǎng)安全傳輸。

4.5防火墻

因防火墻技術(shù)在OSI/RM各層均有體現(xiàn)，在這里簡單分析一下防火墻，防火墻分為網(wǎng)絡(luò)層防火墻和應(yīng)用層防火墻，網(wǎng)絡(luò)層防火墻可視為一種IP封包過濾器，運作在底層的TCP/IP協(xié)議堆棧上。應(yīng)用層防火墻是在TCP/IP堆棧的“應(yīng)用層”上運作，應(yīng)用層防火墻可以攔截進(jìn)出某應(yīng)用程序的所有封包。目前70%的攻擊是發(fā)生在應(yīng)用層，而不是網(wǎng)絡(luò)層。對于這類攻擊，傳統(tǒng)網(wǎng)絡(luò)防火墻的防護(hù)效果，并不太理想。

5結(jié)語

以上對于實現(xiàn)企業(yè)網(wǎng)絡(luò)建設(shè)安全技術(shù)及信息安全的簡單論述，是基于網(wǎng)絡(luò)OSI/RM各層相應(yīng)的安全防護(hù)分析，重點分析了物理層所必須做好的各項工作，其余各層簡單分析了應(yīng)加強(qiáng)的主要技術(shù)。因網(wǎng)絡(luò)技術(shù)日新月益，很多新的網(wǎng)絡(luò)技術(shù)在本文中未有體現(xiàn)，實則由于本人時間、水平有限，請各位讀者給予見解。文章中部分內(nèi)容借簽于參考文獻(xiàn),在此非常感謝各位作者的好書籍。

作者:單位:西山煤電（集團(tuán)）有限公司物資供應(yīng)分公司

引用：

[1]李磊.網(wǎng)絡(luò)工程師考試輔導(dǎo).北京：清華大學(xué)出版社，2009．

[2]王達(dá)，闞京茂.網(wǎng)絡(luò)工程方案規(guī)劃與設(shè)計.北京：中國水利水電出版社，2010．

篇5

【關(guān)鍵詞】IPSecVPN網(wǎng)絡(luò)安全防火墻；

1引言

IPSecVNP作為一種主流網(wǎng)絡(luò)安全技術(shù)已經(jīng)發(fā)展了多年，無論是目前流行的正在使用的IPv4網(wǎng)絡(luò)還是發(fā)展中的IPv6網(wǎng)絡(luò)，無論是移動辦公還是局域網(wǎng)間通訊，都在大量使用IPSecVNP作為網(wǎng)絡(luò)安全通訊基礎(chǔ)設(shè)備。本論文通過研究IPSec協(xié)議族，實現(xiàn)了一個較為完整的IPSecVNP系統(tǒng)。包括客戶端、服務(wù)器端軟硬件設(shè)計和實現(xiàn)、網(wǎng)絡(luò)配置及內(nèi)嵌以管理等。還解決了IPSec協(xié)議通過CBAC防火墻問題。

2 IPSecVPN系統(tǒng)設(shè)計

本文實現(xiàn)了IPSecVNP系統(tǒng)的功能，滿足了政府、金融行業(yè)和企事業(yè)單位低成本安全通訊的需求，可以按照客戶實際需要的VPN系統(tǒng)進(jìn)行安裝部署、調(diào)試維護(hù)。IPSecVPN的主要作用是采用加密、認(rèn)證等方式保護(hù)網(wǎng)絡(luò)通信的安全性、私密性、可認(rèn)證性和完整性。

IPSecVNP網(wǎng)關(guān)作為IPSecVNP系統(tǒng)中主要的設(shè)備，擔(dān)負(fù)大部分計算任務(wù)，兩臺以上IPSecVNP網(wǎng)關(guān)就可以搭建IPSecVPN系統(tǒng)的基本框架。IPSec移動客戶端（easyVPN）是專為單臺主機(jī)或便攜式電腦設(shè)計的，目的是使其擁有與IPSecVPN網(wǎng)關(guān)保護(hù)的局域網(wǎng)絡(luò)通信的能力。如圖1所示。

IPSecVPN網(wǎng)關(guān)工作在本地局域網(wǎng)及與其通信的遠(yuǎn)程局域網(wǎng)的網(wǎng)關(guān)位置，具有加密和認(rèn)證功能，使用互聯(lián)網(wǎng)作為信道。通過IPSecVPN網(wǎng)關(guān)的加密能力確保信息在不安全的互聯(lián)網(wǎng)上以密文形式傳輸。數(shù)據(jù)校驗功能確保了即便信息被截取，也無法窺視、篡改通訊內(nèi)容。

IPSecVPN實現(xiàn)的總體結(jié)構(gòu)分為IPSec輸入輸出處理、SPD和SAD策略管理、IKE密鑰交換、加密算法和認(rèn)證算法、NAT兼容等模塊。其中IPSec安全協(xié)議的處理是數(shù)據(jù)處理的核心，策略管理模塊提供IPSec處理策略，IKE密鑰交換模塊用于通訊雙方SA協(xié)商，加密算法和認(rèn)證算法模塊是安全通訊基礎(chǔ)，NAT兼容提供復(fù)雜網(wǎng)絡(luò)環(huán)境下IPSecVPN應(yīng)用的解決方法。

在用戶層提供手工注入SA和IKE動態(tài)協(xié)商SA程序。用一個IKE守護(hù)進(jìn)程監(jiān)聽動態(tài)協(xié)商請求，并進(jìn)行相應(yīng)的協(xié)商處理。策略系統(tǒng)實現(xiàn)存儲、管理及驗證策略。并提供用戶層操作到內(nèi)核的接口Pfkey Sockets（手工注入SA和利用IKE動態(tài)協(xié)商SA的接口及SAD與SPD的接口）。在內(nèi)核中除實現(xiàn)與用戶的接口外，還將實現(xiàn)SAD，SPD的管理、IPSec協(xié)議進(jìn)入/外出處理及認(rèn)證加密算法。IPSec協(xié)議處理部分建議采用IP+IPSec方案。這樣會進(jìn)一步加快IPSec的處理速度。

3 IPSecVPN穿越防火墻設(shè)計

前提：A、B、C三臺cisco3750邊緣路由器分別處于兩局域網(wǎng)網(wǎng)關(guān)位置，兩兩一組，形成冗余。網(wǎng)關(guān)后各有一臺主機(jī)，這兩臺主機(jī)之間進(jìn)行IPsec安全通訊。每臺邊緣路由器都已經(jīng)配置好相應(yīng)的IPsec隧道及相關(guān)策略，而且配置了基于cisco ios CBAC狀態(tài)型防火墻，兩局域網(wǎng)由兩路由器模擬的Internet網(wǎng)云連接。

3.1首先，對于防火墻主要進(jìn)行如下一些配置：開啟inspect檢測，這樣可以讓每個接口自動檢查ACL允許的流量，deny的不檢查，有通信時建立狀態(tài)表，沒有通信時就不建立，也就是有會話時就有ACL，沒有就刪除。以下是針對IPSec協(xié)議的檢測，在outside方向，開啟對isakmp協(xié)商的檢測。

ip inspect name outside udp timeout 5

ip inspect name outside isakmp

ip inspect name outside icmp

3.2對outside區(qū)域運用防火墻策略。由于AH和ESP的協(xié)議號分別為50和51，所以在outside方向上，讓有限狀態(tài)機(jī)對協(xié)議號為50的AH和51的ESP報文進(jìn)行檢測放行。

permit ahp any any

permit esp any any

由于isakmp的協(xié)商屬于UDP協(xié)議，且端口號為500和4500，在outside方向，讓有限狀態(tài)機(jī)對isakmp的4500和500端口進(jìn)行檢測放行，以便isakmp協(xié)商成功。

permit udp any any eq isakmp

permit udp any any eq non500-isakmp

驗證：在A路由器上使用 show access-list命令可以看到，如圖2所示。

圖2顯示ESP格式報文的加密報文和isakmp的通道協(xié)商已經(jīng)與防火墻的規(guī)則進(jìn)行了匹配并且放行。Ping測試顯示成功，如圖3所示。

4加密流量與非加密流量對比

前提：為了達(dá)到加密與非加密流量對比，需要在配置兩臺服務(wù)器，一臺處于內(nèi)網(wǎng)中，受到IPSecVPN的加密保護(hù)，一臺在公網(wǎng)上，供外網(wǎng)客戶訪問，不采用IPSec加密。服務(wù)器上包括WWW、FTP、DNS、MAIL常用服務(wù)。

（1）在外網(wǎng)和內(nèi)網(wǎng)服務(wù)器上開啟wireshark進(jìn)行抓包并分析；（2）訪問服務(wù)器www網(wǎng)頁；（3）訪問FTP服務(wù)器；（4）使用OE發(fā)送郵件；（5）使用OE進(jìn)行收郵件；（6）使用telent登錄服務(wù)器；（7）打開wireshark顯示抓包分析結(jié)果，外網(wǎng)服務(wù)器的抓包結(jié)果顯示，所有包的協(xié)議都可以顯示出來，包括WWW的網(wǎng)址與內(nèi)容，F(xiàn)TP和TELNET的用戶名與密碼，這些都是極其不安全的，而經(jīng)過IPSec加密的內(nèi)網(wǎng)服務(wù)器則所有包都是用ESP包頭進(jìn)行封裝加密，顯示不出任何包信息，這樣可以很好的保護(hù)企業(yè)的數(shù)據(jù)。如圖5和圖6所1示。

5小結(jié)

本文通過研究IPSec協(xié)議族，實現(xiàn)了一個較為完整的IPSecVPN系統(tǒng)。包括客戶端、服務(wù)器端軟硬件設(shè)計和實現(xiàn)、網(wǎng)絡(luò)配置及內(nèi)嵌管理等，還解決了IPSec協(xié)議通過CBAC防火墻問題。

參考文獻(xiàn)：