企業的網絡安全精選(五篇)

序言：作為思想的載體和知識的探索者，寫作是一種獨特的藝術，我們為您準備了不同風格的5篇企業的網絡安全，期待它們能激發您的靈感。

篇1

隨著信息技術和互聯網技術的不斷發展，計算機網絡安全方面的問題，直接影響到了軍事、文化、經濟、政治等不同的領域。在計算機網絡走進千家萬戶的同時，隨之而來的是網絡安全問題，在人們享受這網絡的方便快捷的同時，也會被或大或小的網絡安全問題所困擾。本文以計算機網絡安全及企業網絡安全應用為基本點，進行詳細的分析。

【關鍵詞】計算機網絡安全 企業網絡安全 應用

在計算機網絡應用越來越廣泛的今天，人們在享受著網絡帶來的方便快捷生活的同時，也會被隨之而來的網絡安全問題而困擾，大多網絡用戶均屬于非專業人士，對網絡的認知較淺，只能簡單的應用，對于網絡上常見的安全問題都會有些束手無策，對于一些需要用到網絡的企業而言，網絡安全問題更是需要受到重視。

1 計算機網絡安全的概述

所謂計算機網絡安全是指技術人員對網絡的性能和安全實行專業化的管理和控制，針對可能出現的狀況制定出合理的解決措施，從而保證數據的保密性以及完整性，且網絡環境相對穩定，數據的各方面都能得到有效地保護。對于網絡的安全管理主要由兩部分構成，一部分為物理安全，另一部分為邏輯安全，物理安全是指整個網絡系統的相關硬件以及附帶設施實行物理性的保護，防止硬件的丟失或毀損;而邏輯安全則是指對數據傳輸的完整性、保密性做到全方位的防護。

2 企業網絡安全的現狀

現階段，網絡的發展和早期所設計的網絡意圖有所更改，已經將安全問題放在了首位，若不能夠將安全問題解決，會在一定程度上直接影響到企業網絡的應用。企業網絡的信息當中存在著較多的對網絡安全會產生不利影響的特性，例如：網絡開放性、共享性以及互聯性等，在當前經常發生惡性攻擊事件，極大地顯示出了現階段嚴峻的網絡安全形勢，所以對于網絡安全方面的防范措施，需要具備可以解除不同網絡威脅的特點。在最近幾年，我國的網絡協議和系統會產生較多的問題，不能夠安全、完善、健全的體現出所具備的影響價值。網絡技術和計算機技術由于具備的多樣性和復雜性，促使網絡安全變為了一種需要不斷提升和更新的范疇。因此，計算機網絡在企業的應用上，需要擁有相應的網絡安全問題的分析，以及網絡安全的解決對策，才可以確保企業網絡的順暢運行。

3 企業網絡安全應用中的問題

3.1 網絡軟件的漏洞

網絡軟件不論多么的優秀，都會產生或多或少的漏洞和缺陷，然而對于較高水平的黑客而言，定會將這些缺陷和漏洞作為首要攻擊的目標。在早期發生的黑客攻擊事件當中，基本上都是由于產生不完善的軟件安全措施所造成的后果。

3.2 人為無意失誤

人為的失誤方面包含不夠恰當的操作員安全配置，會在一定程度上導致安全漏洞的產生，用戶缺失較強的安全意識，經常不填寫用戶口令，會將自身的賬號隨意的和別人分享或者供他人使用等，會無意間威脅到企業網絡。

3.3 人為惡意失誤

人為的惡意失誤是網絡的最大程度威脅因素，例如：計算機犯罪等。類似的攻擊，基本上能分成兩個層面：其一為被動攻擊，是在不影響到網絡工作的基礎上，開展的破譯、竊取、截獲后，以此來獲取核心性的機密信息。其二為主動攻擊，是用不同的方法有選擇性的對信息的完整性和有效性進行破壞。這兩個層面的攻擊，都能夠讓計算機網絡產生較大的威脅，同時會造成機密數據的嚴重泄漏。

4 企業網絡安全應用中的解決對策

4.1 網絡設備的安全

在防護網絡安全方面，保證網絡設備安全是較為基礎性的防護模式。其一，需要有效地對設備進行配置，要保證只對設備中必要的服務有所開放，在運行方面，只參考指定人員的訪問;其二，重視設備廠商所提出的漏洞，要在第一時間進行網絡設備補丁的安裝;其三，在計算機網絡中的全部設備，有必要定期地進行密碼的更換，并且密碼方面需要符合相應的復雜度，才能夠不被輕易地破解。最后，組織有效的維護設備，保證網絡設備的運營穩定性。

4.2 無線網絡的安全

因為無線網絡信號會利用空氣運行，極易產生惡意用戶的竊取，因此無線網絡安全在一定程度上成為了預防安全隱患的重點。只是加密無線信號，不可以達成安全性的要求。現階段，在企業的內部提倡應用認證和加密的結合形式，其中所涉及到的認證需要與AD相融合，以此來有效地提升賬戶的可管理性。

4.3 客戶端的安全管理

在大中型的企業當中擁有著較多的客戶端，往往都屬于Windows操作系統，對其進行分別的管理較為麻煩，需要在企業的內部利用Windows組策略進行客戶端的管理。組策略就是利用一次的設定，制約一部分的對象。能夠在組策略中創設較為嚴謹的策略，以此來把控客戶端的安全運行。主要的策略包含：加強賬戶策略、合理刪除Guest等類似次要的用戶;加強系統日志審核功能;局限非管理員的相應操作權限等。這一系列的策略是企業內部較為通用的策略。針對企業內部生產使用中的客戶端，因為作業人員只應用幾個建議的操作，因此有必要開展較為嚴格的限制。例如：最小化系統操作、最小化系統開放端口、最小化運行的用戶進程等。其中的最小化運行用戶進程所指的是，除了特定的系統進程，不能夠使用其他的進程。最小化系統操作包含：禁用注冊表、禁用命令提示符、禁用控制面板、禁用鼠標右鍵等。

5 總結

根據以上的論述，網絡安全是較為復雜性、綜合性的問題，會與較多的因素相聯系，具體包含多種管理、產品以及技術等。不可以單純的依賴防護系統，也不能夠只是將防護系統作為擺設，而不去貫徹落實。想要將企業高效的進行網絡運行，就需要為企業解決網絡安全的實質性問題，才能做好企業網絡信息的可用性、完整性以及保密性。

參考文獻

[1]郭晶晶，牟勝梅，史蓓蕾.關于某金融企業網絡安全應用技術的探討[J].數字技術與應用，2013，12（09）：123-125.

[2]王擁軍，李建清.淺談企業網絡安全防護體系的建設[J].信息安全與通信保密，2013，11（07）：153-171.

[3]胡經珍.深入探討企業網絡安全管理中的常見問題[J].計算機安全，2013，11（07）：152-160.

[4]周連兵，張萬.淺議企業網絡安全方案的設計[J].中國公共安全：學術版，2013，10（02）：163-175.

篇2

    關鍵詞：企業網  網絡安全  安全體系  入侵檢測  病毒防護

    隨著互聯網技術的發展，在企業中運用計算機網絡進行各項工作更加的深入和普及，通過企業網絡向師生提供高效、優質、規范、透明和全方位的信息服務，沖破了人與人之間在時間和空間分隔的制約，越來越被更多的人們所接受和應用。然而由于企業網絡自身的特點，使安全問題在企業網絡的運行與管理中格外突出，研究構建、完善基于企業網的信息安全體系，對企業網安全問題的解決具有重要意義。

一、企業網絡安全風險狀況概述

   企業網絡是在企業范圍內，在一定的思想和理論指導下，為企業提供資源共享、信息交流和協同工作的計算機網絡。隨著我國各地企業網數量的迅速增加，如何實現企業網之間資源共享、信息交流和協同工作以及保證企業網絡安全的要求是越來越強烈。與其它網絡一樣，企業網也同樣面臨著各種各樣的網絡安全問題。但是在企業網絡建設的過程中，由于對技術的偏好和運營意識的不足，普遍都存在”重技術、輕安全、輕管理”的傾向，隨著網絡規模的急劇膨脹，網絡用戶的快速增長，關鍵性應用的普及和深入，企業網絡在企業的信息化建設中已經在扮演了至關重要的角色，作為數字化信息的最重要傳輸載體，如何保證企業網絡能正常的運行不受各種網絡黑客的侵害就成為各個企業不可回避的一個緊迫問題，解決網絡安全問題刻不容緩，并且逐漸引起了各方面的重視。

    由于Internet上存在各種各樣不可預知的風險，網絡入侵者可以通過多種方式攻擊內部網絡。此外,由于企業網用戶網絡安全尚欠缺，很少考慮實際存在的風險和低效率，很少學習防范病毒、漏洞修復、密碼管理、信息保密的必備知識以及防止人為破壞系統和篡改敏感數據的有關技術。

    因此，在設計時有必要將公開服務器和外網及內部其它業務網絡進行必要的隔離，避免網絡結構信息外泄；同時還要對網絡通訊進行有效的過濾，使必要的服務請求到達主機，對不必要的訪問請求加以拒絕。

二、企業網絡安全體系結構的設計與構建

    網絡安全系統的構建實際上是入侵者與反入侵者之間的持久的對抗過程。網絡安全體系不是一勞永逸地能夠防范任何攻擊的完美系統。人們力圖建立的是一個網絡安全的動態防護體系，是動態加靜態的防御，是被動加主動的防御甚至抗擊，是管理加技術的完整安全觀念。但企業網絡安全問題不是在網絡中加一個防火墻就能解決的問題，需要有一個科學、系統、全面的網絡安全結構體系。

（一）企業網絡安全系統設計目標

    企業網絡系統安全設計的目標是使在企業網絡中信息的采集、存儲、處理、傳播和運用過程中，信息的自由性、秘密性、完整性、共享性等都能得到良好保護的一種狀態。在網絡上傳遞的信息沒有被故意的或偶然的非法授權泄露、更改、破壞或使信息被非法系統辨識、控制，網絡信息的保密性、完整性、可用性、可控性得到良好保護的狀態。

（二） 企業網防火墻的部署

    1.安全策略。所有的數據包都必須經過防火墻;只有被允許的數據包才能通過防火墻;防火墻本身要有預防入侵的功能;默認禁止所有的服務，除非是必須的服務才被允許。

   2.系統設計。在互聯網與企業網內網之間部署了一臺硬件防火墻，在內外網之間建立一道安全屏障。其中WEB、E一mail、FTP等服務器放置在防火墻的DMZ區(即“非軍事區”，是為不信任系統提供服務的孤立網段，它阻止內網和外網直接通信以保證內網安全)，與內網和外網間進行隔離，內網口連接企業網，外網口通過電信網絡與互聯網連接。

    3.入侵檢測系統的設計和部署。入侵檢測系統主要檢測對網絡系統各主要運營環節的實時入侵，在企業網網絡與互聯網之間設置瑞星RIDS一100入侵檢測系統，與防火墻并行的接入網絡中，監測來自互聯網、企業網內部的攻擊行為。發現入侵行為時，及時通知防火墻阻斷攻擊源。

    4.企業網絡安全體系實施階段。第一階段:基本安全需求。第一階段的目標是利用已有的技術，首先滿足企業網最迫切的安全需求，所涉及到的安全內容有:

①滿足設備物理安全

②VLAN與IP地址的規劃與實施

③制定相關安全策略

④內外網隔離與訪問控制

⑤內網自身病毒防護

⑥系統自身安全

⑦相關制度的完善

  第二階段:較高的安全需求。這一階段的目標是在完成第一階段安全需求的前提下，全面實現整個企業網絡的安全需求。所涉及的安全內容有:

①入侵檢測與保護

②身份認證與安全審計

③流量控制

④內外網病毒防護與控制

⑤動態調整安全策略

  第三階段:后續動態的安全系統調整與完善。相關安全策略的調整與完善以及數據備份與災難恢復等。

     在上述分析、比較基礎上，我們利用現有的各種網絡安全技術，結合企業網的特點，依據設計、構建的企業網絡安全體系，成功構建了如圖4-1的企業網絡安全解決方案，對本研究設計、構建的企業網絡安全體系的實踐應用具有重要的指導意義。 

 

圖4-1 企業網絡安全體系應用解決方案

篇3

關鍵詞：企業網絡 安全管理 維護

中圖分類號：TN915.08 文獻標識碼：A 文章編號：1672-3791（2012）12（a）-0024-01

隨著信息化技術的飛速發展，許多有遠見的企業都認識到依托先進的IT技術構建企業自身的業務和運營平臺將極大地提升企業的核心競爭力，使企業在殘酷的競爭環境中脫穎而出。逐漸地使經營管理對計算機應用系統依賴性增強，計算機應用系統對網絡依賴性增強。然而，網絡的安全是伴隨著網絡的產生而產生，可以說，有網絡的地方就存在網絡安全隱患。如病毒入侵和黑客攻擊之類的網絡安全事件，速度之快，范圍之廣，已眾所周知。企業為阻止惡意軟件入侵攻擊、防止非法用戶通過網絡訪問和操作、防止用戶郵件被非法截取或篡改等采取的安全措施，既保證企業數據安全、網絡系統運行穩定，又防止非法入侵等問題才是企業網絡安全管理的重要內容。

1 威脅信息安全的主要因素

1.1 軟件的內在缺陷

這些缺陷不僅直接造成系統宕機，還會提供一些人為的惡意攻擊機會。對于某些操作系統，相當比例的惡意攻擊就是利用操作系統缺陷設計和展開的，一些病毒、木馬也是盯住其破綻興風作浪，由此造成的損失實難估量。應用軟件的缺陷也可能造成計算機信息系統的故障，降低系統安全性能。

1.2 惡意攻擊

攻擊的種類有多種，有的是對硬件設施的干擾或破壞，有的是對應用程序的攻擊，有的是對數據的攻擊。對硬件設施的攻擊，可能會造成一次性或永久性故障或損壞。對應用程序的攻擊會導致系統運行效率的下降，嚴重的會導致應用異常甚至中斷。對數據的攻擊可破壞數據的有效性和完整性，也可能導致敏感數據的泄漏、濫用[1]。

1.3 管理不善

許多企業網絡都存在重建設、重技術、輕管理的傾向。實踐證明，安全管理制度不完善、人員安全風險意識薄弱，是網絡風險的重要原因之一。比如，網絡管理員配備不當、企業員工安全意識不強、用戶口令設置不合理等[2]，都會給信息安全帶來嚴重威脅。

1.4 網絡病毒的肆虐

只要上網便避免不了的受到病毒的侵襲。一旦沾染病毒，就會通過各種途徑大面積傳播病毒，就會造成企業的網絡性能急劇下降，還會造成很多重要數據的丟失，給企業帶來巨大的損失。

1.5 自然災害

對計算機信息系統安全構成嚴重威脅的災害主要有雷電、鼠害、火災、水災、地震等各種自然災害。此外，停電、盜竊、違章施工也對計算機信息系統安全構成現實威脅。

2 完善網絡信息安全的管理機制

2.1 規范制度化企業網絡安全管理

網絡和信息安全管理真正納入安全生產管理體系，并能夠得到有效運作，就必須使這項工作制度化、規范化。要在企業網絡與信息安全管理工作中融入安全管理的思想，制定出相應的管理制度。

2.2 規范企業網絡管理員的行為

企業內部網絡安全崗位的工作人員要周期性進行輪換工作，在公司條件允許的情況下，可以每項工作指派2～3人共同參與，形成制約機制。網絡管理員每天都要認真查看日志，通過日志來發現有無外來人員攻擊公司內部網絡，以便及時應對，采取相應措施。

2.3 規范企業員工的上網行為

目前，琳瑯滿目的網站及廣告鋪天蓋地，鼠標一點，就非常有可能進入非法網頁，普通電腦用戶無法分辯，這就需要我們網管人員對網站進行過濾，配置相應的策略，為企業提供健康的安全上網環境。為此，企業要制定規范，規定員工的上網行為，如免費軟件、共享軟件等沒有充分安全保證的情況下盡量不要安裝，同時，還要培養企業員工的網絡安全意識，注意移動硬件病毒的防范和查殺的問題，增強計算機保護方面的知識。

2.4 加強企業員工的網絡安全培訓

企業網絡安全的培訓大致可以包括理論培訓、產品培訓、業務培訓等。通過培訓可以有效解決企業的網絡安全問題，同時，還能減少企業進行網絡安全修護的費用。

3 提高企業網絡安全的維護的措施

3. 1病毒的防范

在網絡環境下，病毒的傳播性、破壞性及其變種能力都遠遠強于過去，鑒于“熊貓燒香”、“灰鴿子”、“機器狗”等病毒給太多的企業造成嚴重的損失，慘痛的教訓告誡我們，選用一款適合于企業網的網絡版防病毒產品，是最有效的方法。網絡版的產品具備統一管理、統一升級、遠程維護、統一查殺、協助查殺等多種單機版不具備的功能。有效緩解系統管理員在網絡防病毒方面的壓力。

3.2 合理配置防火墻

利用防火墻，在網絡通訊時執行一種訪問控制尺度，允許防火墻同意訪問的人與數據進入自己的內部網絡，同時將不允許的用戶與數據拒之門外，最大限度地阻止網絡中的黑客來訪問自己的網絡，防止他們隨意更改、移動甚至刪除網絡上的重要信息。防火墻的配置需要網絡管理員對本單位網絡有較深程度的了解，在保證性能及可用性的基礎上，制定出與本單位實際應用較一致的防火墻策略。

3.3 配置專業的網絡安全管理工具

這種類型的工具包括入侵檢測系統、Web，Email，BBS的安全監測系統、漏洞掃描系統等。這些系統的配備，可以讓系統管理員能夠集中處理網絡中發生的各類安全事件，更高效、快捷的解決網絡中的安全問題。

3.4 提高使用人員的網絡安全意識和配備相關技術人員

企業網絡漏洞最多的機器往往不是服務器等專業設備，而是用戶的終端機。因此，加強計算機系統使用人員的安全意識及相關技術是最有效，但也是最難執行的方面。這需要在企業信息管理專業人員，在終端使用人員網絡安全技術培訓、網絡安全意識宣傳等方面多下功夫。

3.5 保管數據安全

企業數據的安全是安全管理的重要環節。特別是近年來，隨著企業網絡系統的不斷完善，各專業應用如財務、人事、營銷、生產、OA、物資等方方面面均已進入信息系統的管理范圍。系統數據一旦發生損壞與丟失，給企業帶來的影響是不可估計的。任何硬件及軟件的防范都僅能提高系統可靠性，而不能杜絕系統災難。在這種情況下，合理地制定系統數據保護策略，購置相應設備，做好數據備份與系統災難的恢復預案，做好恢復預案的演練，是最有效的手段。

3.6 合理規劃網絡結構

合理規劃網絡結構，可使用物理隔離裝置將重要的系統與常規網絡隔離開來，是保障重要系統安全穩定的最有效手段。

4 結語

總而言之，企業網絡系統的安全防護是一項長期以來極具挑戰性的課題。它的發展往往伴隨著網絡技術的發展其自身也在不斷的更新和調整。信息安全是一個企業賴以生存的基礎保障，只有信息安全得到保障，企業的網絡系統才有其存在的價值。網絡安全是一項系統的工程，需要我們綜合考慮很多實際的需求問題，靈活運用各種網絡安全技術才能組建一個高效、穩定、安全的企業網絡系統。

參考文獻

篇4

隨著企業網絡信息技術的快速發展和廣泛應用，社會信息化進程不斷加快，生產制造、物流網絡、自動化辦公系統對信息系統的依賴程度越來越大，因此，保證信息系統的安全穩定運行也越來越重要。如何保證企業網絡信息化安全、穩定運行就需要網絡規劃設計師在設計初始周全的考慮到網絡安全所需達到的條件（包括硬件、OSI/RM各層、各種系統操作和應用）。

1網絡安全、信息安全標準

網絡安全性標準是指為了規范網絡行為，凈化網絡環境而制定的強制性或指導性的規定。目前，網絡安全標準主要有針對系統安全等級、系統安全等級評定方法、系統安全使用和操作規范等方面的標準。世界各國紛紛頒布了計算機網絡的安全管理條例，我國也頒布了《計算機網絡國際互聯網安全管理方法》等多個國家標準，用來制止網絡污染，規范網絡行為，同時各種網絡技術在不斷的改進和完善。1999年9月13日，中國頒布了《計算機信息系統安全保護等級劃分準則》（GB17859：1999），定義了計算機信息系統安全保護能力的5個等級，分別如下：（1）第一級：用戶自主保護級。它的安全保護機制使用戶具備自主安全保護的能力，保護用戶的信息免受非法的讀寫破壞。（2）第二級：系統審計保護級。除繼承前一個級別的安全功能外，還要求創建和維護訪問的審計蹤記錄，使所有的用戶對自己行為的合法性負責。（3）第三級：安全標記保護級。除繼承前一個級別的安全功能外，還要求以訪問對象標記的安全級別限制訪問者的訪問權限，實現對訪問對象的強制訪問。（4）第四級：結構化保護級。除繼承前一個級別的安全功能外，將安全保護機制劃分為關鍵部分和非關鍵部分，對關鍵部分直接控制訪問者對訪問對象的存取，從而加強系統的抗滲透能力。（5）第五級：訪問驗證保護級。除繼承前一個級別的安全功能外，還特別增設了訪問驗證功能，負責仲裁訪問者對訪問對象的所有訪問活動。

2企業網絡主要安全隱患

企業網絡主要分為內網和外網，網絡安全體系防范的不僅是病毒感染，還有基于網絡的非法入侵、攻擊和訪問，但這些非法入侵、攻擊、訪問的途徑非常多，涉及到整個網絡通信過程的每個細節。從以往的網絡入侵、攻擊等可以總結出，內部網絡的安全威脅要多于外部網絡，因為內網受到的入侵和攻擊更加容易，所以做為網絡安全體系設計人員要全面地考慮，注重內部網絡中存在的安全隱患。

3企業網絡安全防護策略

設計一個更加安全的網絡安全系統包括網絡通信過程中對OSI/RM的全部層次的安全保護和系統的安全保護。七層網絡各個層次的安全防護是為了預防非法入侵、非法訪問、病毒感染和黑客攻擊，而非計算機通信過程中的安全保護是為了預防網絡的物理癱瘓和網絡數據損壞的。OSI/RM各層采取的安全保護措施及系統層的安全防護如圖1所示。

4OSI/RM各層主要安全方案

4.1物理層安全

通信線路的屏蔽主要體現在兩個方面：一方面是采用屏蔽性能好的傳輸介質，另一方面是把傳輸介質、網絡設備、機房等整個通信線路安裝在屏蔽的環境中。（1）屏蔽雙絞線屏蔽與非屏蔽的普通五類、超五類雙絞線的主要區別是屏蔽類雙絞線中8條（4對）芯線外集中包裹了一屏蔽層。而六類屏蔽雙絞和七類雙絞線除了五類、超五類屏蔽雙絞線的這一層統一屏蔽層外，還有這些屏蔽層就是用來進行電磁屏蔽的，一方面防止外部環境干擾網線中的數據傳輸，另一方防止傳輸途中的電磁泄漏而被一些別有用心的人偵聽到。（2）屏蔽機房和機柜機房屏蔽的方法是在機房外部以接地良好的金屬膜、金屬網或者金屬板材（主要是鋼板）包圍，其中包括六面板體和一面屏蔽門。根據機房屏蔽性能的不同，可以將屏蔽機房分為A、B、C三個級別，最高級為C級。機柜的屏蔽是用采用冷扎鋼板圍閉而成，這些機柜的結構與普通的機柜是一樣的，都是標準尺寸的。（3）WLAN的物理層安全保護對于無線網絡，因為采用的傳輸介質是大氣，大氣是非固定有形線路，安全風險比有線網絡更高，所以在無線網絡中的物理層安全保護就顯得更加重要了。如果將機房等整個屏蔽起來，成本太高，現在主要采用其他方式如多位數共享密鑰、WPA/WPA2動態密鑰、IEEE802.1X身份驗證等。現在最新的無線寬帶接入技術——WiMAX對于來自物理層的攻擊，如網絡阻塞、干擾，顯得很脆弱，以后將提高發射信號功率、增加信號帶寬和使用包括跳頻、直接序列等擴頻技術。

4.2數據鏈路層安全

在數據鏈路層可以采用的安全保護方案主要包括：數據鏈路加密、MAC地址綁定（防止MAC地址欺騙）、VLAN網段劃分、網絡嗅探預防、交換機保護。VLAN隔離技術是現代企業網絡建設中用的最多的技術，該技術可分為基于端口的VLAN、基于MAC地址的VLAN、基于第三層的VLAN和基于策略的VLAN。

4.3網絡層安全

在網絡層首先是身份的認證，最簡單的身份認證方式是密碼認證，它是基于windows服務器系統的身份認證可針對網絡資源的訪問啟用“單點登錄”，采用單點登錄后，用戶可以使用一個密碼或智能卡一次登錄到windows域，然后向域中的任何計算機驗證身份。網絡上各種服務器提供的認證服務，使得口令不再是以明文方式在網絡上傳輸，連接之間的通信是加密的。加密認證分為PKI公鑰機制（非對稱加密機制），Kerberos基于私鑰機制（對稱加密機制）。IPSec是針對IP網絡所提出的安全性協議，用途就是保護IP網絡通信安全。它支持網絡數據完整性檢查、數據機密保護、數據源身份認證和重發保護，可為絕大部分TCP/IP族協議提供安全服務。IPSec提供了兩種使用模式：傳輸模式（TransportMode）和隧道模式（TUNNELMode）。

4.4傳輸層安全

傳輸層的主要作用是保證數據安全、可靠的從一端傳到另一端。TLS/SSL協議是工作在傳輸層的安全協議，它不僅可以為網絡通信中的數據提供強健的安全加密保護，還可以結合證書服務，提供強大的身份誰、數據簽名和隱私保護。TLS/SSL協議廣泛應用于Web瀏覽器和Web服務器之間基于HTTPS協議的互聯網安全傳輸。

4.5防火墻

因防火墻技術在OSI/RM各層均有體現，在這里簡單分析一下防火墻，防火墻分為網絡層防火墻和應用層防火墻，網絡層防火墻可視為一種IP封包過濾器，運作在底層的TCP/IP協議堆棧上。應用層防火墻是在TCP/IP堆棧的“應用層”上運作，應用層防火墻可以攔截進出某應用程序的所有封包。目前70%的攻擊是發生在應用層，而不是網絡層。對于這類攻擊，傳統網絡防火墻的防護效果，并不太理想。

5結語

以上對于實現企業網絡建設安全技術及信息安全的簡單論述，是基于網絡OSI/RM各層相應的安全防護分析，重點分析了物理層所必須做好的各項工作，其余各層簡單分析了應加強的主要技術。因網絡技術日新月益，很多新的網絡技術在本文中未有體現，實則由于本人時間、水平有限，請各位讀者給予見解。文章中部分內容借簽于參考文獻,在此非常感謝各位作者的好書籍。

作者:單位:西山煤電（集團）有限公司物資供應分公司

引用：

[1]李磊.網絡工程師考試輔導.北京：清華大學出版社，2009．

[2]王達，闞京茂.網絡工程方案規劃與設計.北京：中國水利水電出版社，2010．

篇5

【關鍵詞】IPSecVPN網絡安全防火墻；

1引言

IPSecVNP作為一種主流網絡安全技術已經發展了多年，無論是目前流行的正在使用的IPv4網絡還是發展中的IPv6網絡，無論是移動辦公還是局域網間通訊，都在大量使用IPSecVNP作為網絡安全通訊基礎設備。本論文通過研究IPSec協議族，實現了一個較為完整的IPSecVNP系統。包括客戶端、服務器端軟硬件設計和實現、網絡配置及內嵌以管理等。還解決了IPSec協議通過CBAC防火墻問題。

2 IPSecVPN系統設計

本文實現了IPSecVNP系統的功能，滿足了政府、金融行業和企事業單位低成本安全通訊的需求，可以按照客戶實際需要的VPN系統進行安裝部署、調試維護。IPSecVPN的主要作用是采用加密、認證等方式保護網絡通信的安全性、私密性、可認證性和完整性。

IPSecVNP網關作為IPSecVNP系統中主要的設備，擔負大部分計算任務，兩臺以上IPSecVNP網關就可以搭建IPSecVPN系統的基本框架。IPSec移動客戶端（easyVPN）是專為單臺主機或便攜式電腦設計的，目的是使其擁有與IPSecVPN網關保護的局域網絡通信的能力。如圖1所示。

IPSecVPN網關工作在本地局域網及與其通信的遠程局域網的網關位置，具有加密和認證功能，使用互聯網作為信道。通過IPSecVPN網關的加密能力確保信息在不安全的互聯網上以密文形式傳輸。數據校驗功能確保了即便信息被截取，也無法窺視、篡改通訊內容。

IPSecVPN實現的總體結構分為IPSec輸入輸出處理、SPD和SAD策略管理、IKE密鑰交換、加密算法和認證算法、NAT兼容等模塊。其中IPSec安全協議的處理是數據處理的核心，策略管理模塊提供IPSec處理策略，IKE密鑰交換模塊用于通訊雙方SA協商，加密算法和認證算法模塊是安全通訊基礎，NAT兼容提供復雜網絡環境下IPSecVPN應用的解決方法。

在用戶層提供手工注入SA和IKE動態協商SA程序。用一個IKE守護進程監聽動態協商請求，并進行相應的協商處理。策略系統實現存儲、管理及驗證策略。并提供用戶層操作到內核的接口Pfkey Sockets（手工注入SA和利用IKE動態協商SA的接口及SAD與SPD的接口）。在內核中除實現與用戶的接口外，還將實現SAD，SPD的管理、IPSec協議進入/外出處理及認證加密算法。IPSec協議處理部分建議采用IP+IPSec方案。這樣會進一步加快IPSec的處理速度。

3 IPSecVPN穿越防火墻設計

前提：A、B、C三臺cisco3750邊緣路由器分別處于兩局域網網關位置，兩兩一組，形成冗余。網關后各有一臺主機，這兩臺主機之間進行IPsec安全通訊。每臺邊緣路由器都已經配置好相應的IPsec隧道及相關策略，而且配置了基于cisco ios CBAC狀態型防火墻，兩局域網由兩路由器模擬的Internet網云連接。

3.1首先，對于防火墻主要進行如下一些配置：開啟inspect檢測，這樣可以讓每個接口自動檢查ACL允許的流量，deny的不檢查，有通信時建立狀態表，沒有通信時就不建立，也就是有會話時就有ACL，沒有就刪除。以下是針對IPSec協議的檢測，在outside方向，開啟對isakmp協商的檢測。

ip inspect name outside udp timeout 5

ip inspect name outside isakmp

ip inspect name outside icmp

3.2對outside區域運用防火墻策略。由于AH和ESP的協議號分別為50和51，所以在outside方向上，讓有限狀態機對協議號為50的AH和51的ESP報文進行檢測放行。

permit ahp any any

permit esp any any

由于isakmp的協商屬于UDP協議，且端口號為500和4500，在outside方向，讓有限狀態機對isakmp的4500和500端口進行檢測放行，以便isakmp協商成功。

permit udp any any eq isakmp

permit udp any any eq non500-isakmp

驗證：在A路由器上使用 show access-list命令可以看到，如圖2所示。

圖2顯示ESP格式報文的加密報文和isakmp的通道協商已經與防火墻的規則進行了匹配并且放行。Ping測試顯示成功，如圖3所示。

4加密流量與非加密流量對比

前提：為了達到加密與非加密流量對比，需要在配置兩臺服務器，一臺處于內網中，受到IPSecVPN的加密保護，一臺在公網上，供外網客戶訪問，不采用IPSec加密。服務器上包括WWW、FTP、DNS、MAIL常用服務。

（1）在外網和內網服務器上開啟wireshark進行抓包并分析；（2）訪問服務器www網頁；（3）訪問FTP服務器；（4）使用OE發送郵件；（5）使用OE進行收郵件；（6）使用telent登錄服務器；（7）打開wireshark顯示抓包分析結果，外網服務器的抓包結果顯示，所有包的協議都可以顯示出來，包括WWW的網址與內容，FTP和TELNET的用戶名與密碼，這些都是極其不安全的，而經過IPSec加密的內網服務器則所有包都是用ESP包頭進行封裝加密，顯示不出任何包信息，這樣可以很好的保護企業的數據。如圖5和圖6所1示。

5小結

本文通過研究IPSec協議族，實現了一個較為完整的IPSecVPN系統。包括客戶端、服務器端軟硬件設計和實現、網絡配置及內嵌管理等，還解決了IPSec協議通過CBAC防火墻問題。

參考文獻：