小区楼宇间局域网组建与综合布线系统的设计与实现(文论).doc

精品文档郑州科技学院专科毕业论文 题 目 _小区楼宇间局域网组建与 综合布线系统的设计与实现 学生姓名 郭建文 专业班级 09级计算机网络技术 学 号 200937009 所 在 系 信息工程学院 指导教师 李志伟 完成时间 2012 年 03月 30 日 浅谈住宅小区计算机局域网的设计及其实现摘 要随着互联网逐步普及与发展，小区网络的建设是向信息化发展的必然选择，小区计算机局域网系统是一个非常庞大而复杂的系统，它不仅为现代化住宅、综合信息管理等一系列应用提供基本操作平台，而且能提供多种应用服务，使信息能及时、准确地传送给各个系统。而住宅小区工程建设中主要应用了网络技术中的重要分支局域网技术来建设与管理的，因此本毕业设计课题将主要以小区计算机局域网络建设过程可能用到的各种设备、技术及实施方案为设计方向，其主要包括小区网络的设计思路、建设原则、网络技术等，为小区网络的建设提供理论依据。关键词：计算机网络、局域网、网络技术、服务器、防火墙The design and Realization of intelligent residential areaAbstractWith the popularization and development of Internet gradually, local area network construction is the inevitable choice for the development of the informatization, area computer network system is a very huge but complicated system, it not only for modern residential, integrated information management and a series of applications to provide basic operating platform, but also offers a variety of applications, so that the information timely, accurate to transmit to each system. The residential district construction in the main applications of network technology to the important branch LAN technology to the construction and management, therefore the subject of this graduation project will be mainly in the area of computer local area network construction process may be used in a variety of equipment, technical and implementation options for the design direction, which mainly comprises residential network design, construction principle, network technology, for the district network construction and provide a theoretical basis.Key word：Computer network, network, network, server, firewall technology 目 录摘 要1Abstract21 项目背景41.1 国内外现状41.2项目意义51.3项目实现方法52 局域网的概论、网络结构分类及特点72.1局域网概念72.2局域网的组成及功能72.3 局域网的拓扑结构分类及特点82.3.1总线型网82.3.2 星型网92.3.3 环型网102.3.4 混合型拓扑结构122.4无线网络结构122.5 局域网网络结构132.5.1 XX小区的局域网142.5.2 网络结构142.6 网络应用142.7网络结构的特点152.8 网络系统安全风险分析153 局域网安全控制实施方案及安全产品部署183.1物理安全的防范控制183.2系统安全的防范控制183.2.1计算机网络设备系统的安全配置183.2.2 计算机操作系统的安全配置193.3 网络安全的防范控制224 防火墙技术244.1 防火墙使用的技术255 应用安全的防范控制26致谢30参考文献301 项目背景随着计算机技术的飞速发展，办公信息化和设备数字化的不断普及，企业网络的建设也越来越重要。目前我国大多企业都已经搭建了公司的局域网，用于实现办公自动化和网络化，从提高办公效率，为企业创造更多的效益。但随之而来的计算机网络安全问题也日益突出，局域网的安全问题引起了我们的重视，局域网内网的安全隐患给我们带来了许多麻烦，来自网络内部的计算机客户端的安全威胁缺乏必要的安全管理措施，安全威胁较大。未经授权的网络设备或用户就可能通过到无线局域网的网络设备自动进入网络，形成极大的安全隐患。很多有线网络中的安全策略在无线方式下不再适用。局域网在带来巨大应用便利的同时，也存在许多安全上的问题。为了确保各项工作的安全高效运行，保证网络信息的安全，计算机网络和系统安全建设就显得尤为重要。这也是本课题研究的意义和目的。1.1 国内外现状国外现状：国外的信息安全研究起步较早，早在20世纪70年代美国就在网络安全技术基础理论研究成果“计算机保密模型(Beu&Lapaduh模型)”的基础上，提出了“可信计算机系统安全评估准则(TESEC)”以及后来的关于网络系统数据库方面的相关解释，形成了安全信息系统体系结构的准则。安全协议作为信息安全的重要内容，处于发展提高阶段，仍存在局限性和漏洞。另外基于计算机运算速度的不断提高和网络安全要求的不断提升，各种安全技术不断发展，网络安全技术21世纪将成为信息安全的关键技术。 国内：现状近期，国内反病毒厂商江民科技进行了一项针对我国中小企业局域网状况的调查，调查对象包括北京、广东、武汉等十余个城市的中小企业。报告显示全国有78.04%的中小型企业局域网中都存在病毒威胁，仅有21.96%的企业拥有良好的网络环境，在所有参与调查的企业中，有15.75%的企业局域网中没有任何的防护措施，81.48%的企业只安装了单机版杀毒软件。所以在国内局域网的安全现状还是非常的突出，也极大地影响公司的发展与形象。1.2项目意义通过对局域网的结构功能等内容的了解，对局域网所面临的安全进行分析，并提出相应的解决方案，对网络安全的防范技术做了分析和比较。在介绍网络安全概念及其产生原因的基础上，介绍了各种安全产品的信息技术及其在局域网信息安全中的作用和地位，特别是对加强安全应采取的应对措施做了较深入的阐述。1.3项目实现方法1.通过对路由器，交换机，服务器等设备的设置，提出了对物理设备的安全解决方案。2. 通过对WINDDOWS 2003 SERVER 系统管理实施，提出了系统信息安全的解决方案。3. 通过对WINDOWS EXCHANGE SERVER 2003系统的实施，提出了邮件系统安全的解决方案。4.通过的WINDOWS ISA SERVER 2004系统实施，提出了网络系统安全的解决方案。5. 通过江民科技企业版杀毒软件系统实施，提出了应用安全管理的解决方案。2 局域网的概论、网络结构分类及特点2.1局域网概念局域网（Local Area Network）是在一个局部的地理范围内(如一个学校、工厂和机关内)，将各种计算机。外部设备和数据库等互相联接起来组成的计算机通信网。它可以通过数据通信网或专用数据电路，与远方的局域网、数据库或处理中心相连接，构成一个大范围的信息处理系统。简称LAN，是指在某一区域内由多台计算机互联成的计算机组。“某一区域”指的是同一办公室、同一建筑物、同一公司和同一学校等，一般是方圆几千米以内。局域网可以实现文件管理、应用软件共享、打印机共享、扫描仪共享、工作组内的日程安排、电子邮件和传真通信服务等功能。局域网是封闭型的，可以由办公室内的两台计算机组成，也可以由一个公司内的上千台计算机组成。2.2局域网的组成及功能局部网络的构成并不复杂，一般由微机及外部设备、通讯控制信息传输的接口机及相应的网络管理软件等四大部分组成。要把多台个人计算机连接起来，构成局部网络，必须使用一定的联网硬件。最简单的联网硬件是插入个人计算机的网络接口插件和将这些网络插件连接起来的电缆系统。LAN最主要的功能是提供资源共享和相互通信，它可提供以下几项主要服务：1.资源共享包括硬件资源共享、软件资源共享及数据库存共享。在局域网上各用户可以共享昴贵的硬件资源，如大型外部存储器、绘图仪、激光打印机、图文扫描仪等特殊外设。用户可共享网络上系统软件和应用软件，避免重复投资及重复劳动。网络技术可使大量分散的数据能被迅速集中、分析和处理，分散在网内的计算机用户可以共享网内的大型数据库而不必重要设计这些数据库。2.数据传送和电子邮件数据和文件的传输是网络的重要功能，现代局域网不仅能传送文件、数据信息，还可以传送声音、图像。局域网站点之间可提供电子邮件服务，某网络用户可以输入信件并传送给另一用户，收信人可打开“邮箱”阅读处理信件并可写回信再发回电子邮件，既节省纸张又快捷方便。3.提高计算机系统的可靠性局域网中的计算机可以互为后备，避免了单机系统的无后备时可能出现的故障导致系统瘫痪，大大提高了系统的可靠性，特别在工业过程控制、实时数据处理等应用中尤为重要。4.易于分布处理利用网络技术能将多台计算机连成具有高性能的计算机系统，通过一定算法，将较大型的综合性问题分给不同的计算机去完成。在网络上可建立分布式数据库系统，使整个计算机系统的性能大大提高。2.3 局域网的拓扑结构分类及特点局域网通常是分布在一个有限地理范围内的网络系统，一般所涉及的地理范围只有几公里。局域网专用性非常强，具有比较稳定和规范的拓扑结构。常见的局域网拓朴结构如下计算机局域网一般采用四种基本拓扑结构：总线型、星型、环型、和树型结构。2.3.1总线型网 在总线型网中所有入网的、计算机设备共用一条传输线路，如图2.3.1所示。计算机通过专用的分接头接入线路。由于线路对信号的衰减作用，总线型网仅用于在有限的区域内组建局域网。总线型拓扑结构采用竞争方式传送信息，总线上所有计算机共享网络带宽，网上计算机越多，速度越慢，而且会因总线上某个结点接触不好，影响网络的正常通信，网络不易维护。随着交换机的功能不断提高，人们已不再采用总线方式组建局域网总线形结构网络是将各个节点设备和一根总线相连。网络中所有的节点工作站都是通过总线进行信息传输的。作为总线的通信连线可以是同轴电缆、双绞线，也可以是扁平电缆。在总线结构中，作为数据通信必经的问好线的负载能量是有限度的，这是由通信媒体本身的物理性能决定的。所以，总线结构网络中工作站节点的个数是有限制的，如果工作站节点的个数超出总线负载能量，就需要延长总线的长度，并加入相当数量的附加转接部件，使总线负载达到容量要求。总线形结构网络简单、灵活，可扩充性能好。所以，进行节点设备的插入与拆卸非常方便。另外，总线结构网络可靠性高、网络节点间响应速度快、共享资源能力强、设备投入量少、成本低、安装使用方便，当某个工作站节点出现故障时，对整个网络系统影响小。因此，总线结构网络是最普遍使用的一种网络。但是由于所有的工作站通信均通过一条共用的总线，所以，实时性较差。图2-1图2-12.3.2 星型网星型网是以一台中心处理机为主而构成的网络，其它入网的计算机设备与该中心处理机之间有直接的物理链路，所有网上传输的信息均需通过该中心处理机转发，如图2.3.2所示。目前，大多数企业的局域网从物理连接上都采用星型结构，将上网的计算机连到一台或多台交换机上，构成星型结构或树型结构。这种结构是目前在局域网中应用得最为普遍的一种，在企业网络中几乎都是采用这一方式。星型网络几乎是Ethernet（以太网）网络专用，它是因网络中的各工作站节点设备通过一个网络集中设备（如集线器或者交换机）连接在一起，各节点呈星状分布而得名。这类网络目前用的最多的传输介质是双绞线，如常见的五类线、超五类双绞线等。这种拓扑结构网络的基本特点主要有如下几点：1. 容易实现它所采用的传输介质一般都是采用通用的双绞线，这种传输介质相对来说比较便宜，如目前正品五类双绞线每米也仅1.5元左右，而同轴电缆最便宜的也要2.00元左右一米，光缆那更不用说了。这种拓扑结构主要应用于IEEE 802.2、IEEE 802.3标准的以太局域网中；2. 节点扩展和移动方便节点扩展时只需要从集线器或交换机等集中设备中拉一条线即可，而要移动一个节点只需要把相应节点设备移到新节点即可，而不会像环型网络那样“牵其一而动全局”；3.维护容易一个节点出现故障不会影响其它节点的连接，可任意拆走故障节点；4.采用广播信息传送方式任何一个节点发送信息在整个网中的节点都可以收到，这在网络方面存在一定的隐患，但这在局域网中使用影响不大；5.网络传输数据快这一点可以从目前最新的1000Mbps到10G以太网接入速度可以看出。这种结构的网络是各工作站以星形方式连接起来的，网中的每一个节点设备都以中防节为中心，通过连接线与中心 节点相连，如果一个工作站需要传输数据，它首先必须通过中心节点。由于在这种结构的网络系统中，中心节点是控制中心，任意两个节点间的通信最多只需两步，所以，能够传输速度快，并且网络构形简单、建网容易、便于控制和管理。但这种网络系统，网络可靠性低，网络共享能力差，并且一旦中心节点出现故障则导致全网瘫痪。如图：2-2图2-22.3.3 环型网 在环型网中入网的计算机通过通信设备接入网络，每个通信设备仅与两个相邻的通信设备有直接的物理链路，所有的通信设备及其物理链路构成了一个环状的网络系统，如图2.3.3所示。环形拓扑可以用于组建局域网和广域网。环形结构是网络中各节点通过一条首尾相连的通信链路连接起来的一个闭合一闭合环形结构网。环形结构网络的结构也比较简单，系统中各工作站地位相等。系统中通信设备和线路比较节省。在网中信息设有固定方向单向流动，两个工作站节点之间仅有一条通路，系统中无信道选择问题；某个结点的故障将导致物理瘫痪。环网中，由于环路是封闭的，所以不便于搁充，系统响应延时长，且信息传输效率相对较低。这种结构的网络形式主要应用于令牌网中，在这种网络结构中各设备是直接通过电缆来串接的，最后形成一个闭环，整个网络发送的信息就是在这个环中传递，通常把这类网络称之为“令牌环网”。实际上大多数情况下这种拓扑结构的网络不会是所有计算机真的要连接成物理上的环型，一般情况下，环的两端是通过一个阻抗匹配器来实现环的封闭的，因为在实际组网过程中因地理位置的限制不方便真的做到环的两端物理连接。 这种拓扑结构的网络主要有如下几个特点：这种网络结构一般仅适用于IEEE 802.5的令牌网（Token ring network），在这种网络中，“令牌”是在环型连接中依次传递。所用的传输介质一般是同轴电缆。这种网络实现也非常简单，投资最小。可以从其网络结构示意图中看出，组成这个网络除了各工作站就是传输介质-同轴电缆，以及一些连接器材，没有价格昂贵的节点集中设备，如集线器和交换机。但也正因为这样，所以这种网络所能实现的功能最为简单，仅能当作一般的文件服务模式。传输速度较快：在令牌网中允许有16Mbps的传输速度，它比普通的10Mbps以太网要快许多。当然随着以太网的广泛应用和以太网技术的发展，以太网的速度也得到了极大提高，目前普遍都能提供100Mbps的网速，远比16Mbps要高。维护困难：从其网络结构可以看到，整个网络各节点间是直接串联，这样任何一个节点出了故障都会造成整个网络的中断、瘫痪，维护起来非常不便。另一方面因为同轴电缆所采用的是插针式的接触方式，所以非常容易造成接触不良，网络中断，而且这样查找起来非常困难，这一点相信维护过这种网络的人都会深有体会。扩展性能差：也是因为它的环型结构，决定了它的扩展性能远不如星型结构的好，如果要新添加或移动节点，就必须中断整个网络，在环的两端作好连接器才能连接。如图：2-3图2-32.3.4 混合型拓扑结构这种网络拓扑结构是由前面所讲的星型结构和总线型结构的网络结合在一起的网络结构，这样的拓扑结构更能满足较大网络的拓展，解决星型网络在传输距离上的局限，而同时又解决了总线型网络在连接用户数量的限制。这种网络拓扑结构同时兼顾了星型网与总线型网络的优点，在缺点方面得到了一定的弥补。2.4无线网络结构无线局域网，也被称为WLAN（Wireless LAN），一般用于宽带家庭，大楼内部以及园区内部，典型距离覆盖几十米至几百米，目前采用的技术主要是802.11a /b/g/n系列。WLAN利用无线技术在空中传输数据、话音和视频信号，作为传统布线网络的一种替代方案或延伸。 无线局域网的出现使得原来有线网络所遇到的问题迎刃而解，它可以使用户任意对有线网络进行扩展和延伸。只要在有线网络的基础上通过无线接入点、无线网桥、无线网卡等无线设备使无线通信得以实现。在不进行传统布线的同时，提供有线局域网的所有功能，并能够随着用户的需要随意的更改扩展网络，实现移动应用。 无线局域网把个人从办公桌边解放了出来，使他们可以随时随地获取信息，提高了员工的办公效率。一般而言，对比于传统的有线网络，无线局域网的应用价值体现在：可移动性：由于没有线缆的限制，用户可以在不同的地方移动工作，网络用户不管在任何地方都可以实时地访问信息。 布线容易：由于不需要布线，消除了穿墙或过天花板布线的繁琐工作，因此安装容易，建网时间可大大缩短。 组网灵活：无线局域网可以组成多种拓扑结构，可以十分容易地从少数用户的 点对点 模式扩展到上千用户的 基础架构 网络。 成本优势：这种优势体现在用户网络需要租用大量的电信专线进行通信的时候，自行组建的WLAN会为用户节约大量的租用费用。在需要频繁移动和变化的动态环境中，无线局域网的投资更有回报。 企业实际局域网结构总体分析本安全解决方案的目标是以XX信息服务公司为例，在不影响XX当前业务的前提下，实现对局域网全面的安全管理，内容包括： 公司重要文件的安全、保密，避免信息泄密。 对电脑操作系统、ERP 系统进行管理设置，加强审计跟踪，及时发现问题，解决问题。 通过网络检测系统等方式实现实时安全监控，利用各种形式安全策略，提供对企业用户进行整体化管理，提高局域网安全性使网络管理员能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态，最大限度地减少损失。 在所有服务器、用户电脑上安装相应的防病毒软件，由系统控制台统一控制和管理，实现全网统一防病毒。 将公司内所有的硬件、软件及安全策略等方法结合起来，构成一个统一的防御系统，有效阻止非法用户进入公司网络，减少网络的安全风险。2.5 局域网网络结构网络概况,如图2-5所示 图2-52.5.1 XX小区的局域网是一个信息点较为集中的百兆局域网络系统，它所联接的现有信息点 为XX小区各住户提供了一个快速、方便的信息共享与交流的平台。不仅如此，通过ADSL、 专线与Internet 的连接，打通了一扇通向外部世界的窗户，各个家庭可以直接通过互联 网与外界进行交流、联系；操作ERP 等应用系统、查询资料等。通过公开的MSN、QQ、邮件服 务器，企业可以直接对外发布信息或者发送电子邮件。从而达到节约通信成本、优化资源的目的。 2.5.2 网络结构 整个局域网按访问区域可以划分为三个主要的区域：Internet 区域：用户通过代理服务器，共享ADSL 进行上网、网络传真、应用MSN、企业QQ、了解最新信息等。 公开服务器区域：ERP 服务器、文件服务器、邮件服务器等 2.6 网络应用 XX信息服务公司的局域网目前为用户提供如下主要应用： 文件共享、办公自动化、WWW 服务、电子邮件服务、沟通与联络等。重要文件数据的统一存储与拷贝。财务系统、ERP 系统等的应用。提供与Internet 的访问、MSN、QQ等在线联系。通过公开服务器对外发布企业信息、发送电子邮件等。移动办公，包括手提电脑的应用，或员工出差时使用的其它电脑。2.7网络结构的特点 从安全风险考虑，XX信息公司网络有如下几个特点：网络与Internet 直接连结，因此存在许多与Internet 连结的有关风险，包括可能通过Internet 传播进来病毒，黑客攻击，来自Internet 的非授权访问等。网络中存在公开服务器，由于公开服务器对外必须开放部分业务，因此在进行安全方案设计时应该考虑采用安全服务器网络，避免公开服务器的安全风险扩散到内部。2.8 网络系统安全风险分析1. 带有目的的员工将给公司造成不可估量的损失： 对于已经离职的不满员工，可以通过定期改变口令和删除系统记录以减少这类风险。但还有心怀不满的在职员工，这些员工比已经离开的员工能造成更大的损失，例如他们可以通过邮件、QQ、盗用同事密码等手段，传出至关重要的信息、泄露 安全重要信息、错误地进入数据库、删除数据等等。 2. 网络平台风险分析 网络结构的安全涉及到网络拓扑结构、网路状况及网络的环境等。 公开服务器面临的威胁 XX企业局域网内公开服务器区（ERP、EMAIL、文件服务等服务器）作为公司的信息发布平台，一旦不能运行或者受到攻击，对企业的声誉影响巨大。同时公开服务器本身要为外界服务，必须开放相应的服务；因此，对Internet 安全做出有效反应变得十分重要。我们有必要将公开服务器、内部网络与外部网络进行隔离，避免网络结构信息外泄；同时还要对外网的服务请求加以过滤，只允许正常通信的数据包到达相应主机，其他的请求服务在到达主机之前就应该遭到拒绝。同时还需要对服务器的重要数据进行定期维护，备份。以达到服务器出现问题后及时采取相对应的急救措施 。3. 系统安全风险分析 主要是指操作系统、应用系统的安全性以及网络硬件平台的可靠性。对于操作系统的安全防范可以采取如下策略： 对操作系统进行规范、统一的安全配置，提高系统的安全性。系统内部调用不对Internet 公开。关键性信息不直接公开，尽可能都采用安全性高的windows2003操作系统。 网络上的服务器和网络设备尽可能不采取同一家的产品； 并对服务器进行定期备份。4.应用安全风险分析 主要考虑ERP 系统的应用，确保用户的合法性；应该严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。另外，在加强主机和系统漏洞检测并紧密注视其Bug ；对扫描软件不断升级。 5.互联网病毒风险分析 计算机病毒一直是计算机安全的主要威胁。能在Internet 上传播的新型病毒，例如通过E-Mail 传播的病毒，增加了这种威胁的程度。病毒的种类和传染方式也在增加，国际空间的病毒总数已达上万甚至更多。当然，查看文档、浏览图像或在Web上填表都不用担心病毒感染，然而，下载可执行文件和接收来历不明的E-Mail 文件需要特别警惕，否则很容易使系统导致严重的破坏。典型的“冲击波”病毒就是一个可怕的例子。 通过前面我们对这个企业局域网络结构、应用及安全威胁分析，可以看出其安全问题主要集中在对重要文档资料的管理、服务器的安全保护、防黑客和病毒以及重要网点的保护上。因此，我们必须采取相应的安全措施杜绝安全隐患，其中应该做到： ERP、金蝶、各部门重要文档等数据的安全保护。ERP、用友、各部门重要文档等数据的数据备份与恢复。 EMAIL、FTP文件服务器与ERP公开服务器的安全保护，防止公司重要资料与文件的外泄，防止黑客从外部攻击入侵检测与监控。3 局域网安全控制实施方案及安全产品部署通过对网络的全面了解，按照安全策略的要求、风险分析的结果及整个网络的安全 目标，整个网络措施应按系统体系建立。具体的安全控制系统由以下几个方面组成：物理安全的防范控制、系统安全的防范控制、邮件系统安全的防范控制、网络安全的防范控制、应用安全的防范控制3.1物理安全的防范控制电脑系统的各种设备的物理安全是整个信息系统安全的前提，物理安全是保护电脑网络设备、设施以及其它媒体免遭水灾、火灾，电击等环境事故以及人为操作失误或错误导致的破坏过程。3.2系统安全的防范控制3.2.1计算机网络设备系统的安全配置1.路由器的安全配置路由器设置安全登录密码。尽量关闭TELENT远程登录，保证路由器密码安全。利用路由器路由协议的安全配置和访问控制策略，禁止和关闭如PING、FINGER、ARP-Proxy等一些公司不必要的服务，减少外部网络的恶意攻击，利用建立访问控制列表实现网络不被非法访问，加强网络安全屏蔽。对于拥有无线网络功能的路由器要求做到，隐藏、更改、关闭SSID无线广播，通过WEP或WPA设置无线登录密码，禁用DHCP的IP自动分配功能，使用手动分配IP并建立IP访问列表，防止非法用户进入局域网。对路由器的配置文件进行备份。2.交换机的安全配置通过交换机进行网络流量控制，避免网络堵塞。安全交换机进行采用专门技术防范DDos攻击，防止内部网络遭受恶意攻击。交换机虚拟局域网功能(VLAN):VLAN可以跨越一个或多个交换机，设备之间与物理位置无关，VLAN限制了各个不同VLAN之间的非授权访问，提高了网络访问的安全性，IP与MAC地址绑定可以限制用户的非法访问及IP地址欺骗攻击。交换机的IDS入侵检测功能还可以对数据流进行检测，在发现网络安全事件时，进行有针对性的操作。对交换机的操作配置文件进行备份。3.2.2 计算机操作系统的安全配置对公司的操作系统使用以服务器为windows 2003 server ，客户端为windows xp 的域模式的系统结构，对公司系统安全进行配置，操作系统的安全配置：公司局域网以windows servers 2003 为服务器，windows XP 为工作站位的单域结构模式组成，公司的每一个员工都必须有一个账户，才能登录到计算机和服务器，并且访问网络上的资源，通过服务器相关的设置来达到对公司各级别员工使用系统和网络的权限控制：服务器建立DC（域控制器）。建立AD (活动目录)。建立OU (组织单位)。建立用户并按部门加入不同权限级别的OU或组。为每个用户设置密码，并修改用户账户属性“账户”选项卡中可以更改用户登录名、密码策略和账户策略，在“账户”选项卡中，可以控制用户的登录时间和只能登录哪些服务器或计算机。单击“登录时间”按钮，可在如图4-26所示的对话框中设置登录时间。同时可以通过单击“登录到”按钮，控制用户只能登录哪些服务器或计算机如图3-1和3-2所示。图3-1图3-2服务器文件系统格式采用NTFS文件系统，标准NTFS权限分别为：读取、写入、读取和运行、修改、完全控制。我们可以将服务器上的公用和共享文件设置不同的访问权限，允许或拒绝某个用户或用户组的访问，如图：3-3所示图3-3同时NTFS文件系统的EFS（文件加密系统）功能可以将文件以加密形式存放在磁盘上，一般情况下只有加密的用户自己可以打开加密的文件，由于解密信息时存储在加密用户账户的信息中，所以即使一个具有完全控制权限的管理员登录，也不能访问此文件。而且对于加密文件的存取过程也是透明的，就像访问其他没有加密的文件一样，如图3-4（默认颜色为绿色）所示图3-4使用域安全策略及组策略对用户的密码长度，复杂性，密码使用期限等选项进行设置，提高用户账户安全如图：3-5所示图3-5使用windows server 2003中的NTbackup 工具对用户数据及系统数据进行备份，还可以使用备份工具中的计划备份功能对数据进行定期自动备份，如图：3-6所示图3-6磁盘安全管理：为提高存储数据的磁盘的物理安全性，windows server 2003中的磁盘管理功能可以将磁盘设为镜像卷或RAID5卷，提高磁盘数据的容错功能，那么即使在服务器的某一块磁盘出现物理损坏的情况下，系统依然可以将丢失的数据进行部分或完全还原。3.3 网络安全的防范控制ISA Server 2004是目前世界上最好的路由级软件防火墙之一，它可以让企业网络安全、快速的连接到Internet，性能可以和硬件防火墙媲美，并且深层的应用层识别功能是很多基于包过滤的硬件防火墙都不具有的。在网络的任何地方，如两个或多个网络的边缘层（Lan到Internet、Lan到Lan、Lan到DMZ、Lan到VPN等等）、单个主机上配置ISA Server 2004来对企业的网络或主机进行防护，而且其图形化操作界面让企业网络管理员更容易、更快速的掌握和使用ISA SERVER 2004的各项强大功能来实现企业网络的安全防范控制1.设定访问规则设定访问规则，如图3-7所示。图3-72. 建立防火墙系统策略和建立访问策略 ，以允许或拒绝具有相对应权限用户的访问，如图3-8 和图3-9所示图3-8图3-93.ISA Server的系统和网络监控、报告通过ISA 控制台的“监视”节点，可以了解到ISA的日志、内部客户和ISA服务器之间的会话、ISA 的系统服务运行情况，还可以通过日志来查询当前的网络活动，也可以配置连接性检查和生成网络活动的报告 如图3-10所示为ISA Server 当前的系统和网络运行状况。图.3-104.使用访问规则向导来禁止某些内部用户访问某些网站对需要禁止上网的客户建立一个地址范围或者计算机集；然后为禁止这些用户访问的那些站点建立一个地址范围或域名集。在防火墙策略中新建一个访问规则；阻止内部的这些计算机集访问定义的外部站点地址范围或域名集。5. 禁止使用P2P软件利用控制规则配置禁止UDP8000端口地址集和HTTP 80端口地址集，禁P2P软件6. 发布内部网络中的服务器利用防火墙策略新建服务器发布规则，发布内网中的服务器，并利用设置访问规则决定该服务器有哪些人可以访问。如图3-11所示图3-117. 利用ISA Server 2004，建立VPN服务器通过配置VPN服务器，可以让在远程的公司异地办公人员利用公司分配的登录账号方便的访问公司内部网络的数据，如图3-12所示图3-124 防火墙技术4.1 防火墙使用的技术数据包过滤：包过滤路由器可以决定对它所收到的每个数据包的取舍。是基于路由器技术的，建立在网络层、传输层上。路由器对每发送或接收来的数据包审查是否与某个包过滤规则相匹配。包过滤规则即访问控制表，通过检查每个分组的源IP地址、目的地址来决定该分组是否应该转发。如果找到一个匹配，且规则允许该数据包通过，则该数据包根据路由表中的信息向前转发。如果找到一个与规则不相匹配的，且规则拒绝此数据包，则该数据包将被舍弃。包过滤路方法具有以下优点：1.执行包过滤所用的时间很少或几乎不需要什么时间。2.对路由器的负载较小3.由于包过滤路由器对端用户和应用程序是透明的，因此不需要在每台主机上安装特别的软件。包过滤路方法的缺点：（1）在路由器中设置包过滤规则比较困难（2）由于包过滤只能工作在“假定内部主机是可靠地，外部诸暨市不可靠的”这种简单的判断上，它只是控制在主机一级，不涉及包内容的内容与用户一级，因此它有很大的局限性。应用级网关：多归属主机具有多个网络接口卡，因为它具有在不同网络之间进行数据交换的能力，因此人们又称它为“网关”。多归属主机用在应用层的用户身份认证与服务请求合法性检查，可以起到防火墙的作用，称为应用级网关。应用网关防火墙检查所有应用层的信息包，并将检查的内容信息放入决策过程，从而提高网络的安全性。然而，应用网关防火墙是通过打破客户机服务器模式实现的。每个客户机服务器通信需要两个连接：一个是从客户端到防火墙，另一个是从防火墙到服务器。另外，每个代理需要一个不同的应用进程，或一个后台运行的服务程序，对每个新的应用必须添加针对此应用的服务程序，否则不能使用该服务。所以，应用网关防火墙具有可伸缩性差的缺点。应用代理：应用代理是应用级网关的另一种形式，是以存储转发方式，检查和确定网络服务的用户身份是否合法，检查和确定网络服务请求的身份时候合法，决定是转发还是丢弃该服务请求。5 应用安全的防范控制针对计算机病毒的泛滥和危害公司采用部署安装江民杀毒软件KV网络版，对公司局域网中的服务器和客户端进行病毒防护。5.1 WEB方式登陆管理页面。江民杀毒软件KV网络版，采用IIS信使进行配制，有效的增加了控制中心的安全性和稳定性。WEB方式的登陆界面，将保证所有可连接主控中心机器的客户端都能正常的进行登陆,增加验证码安全认证，保障账号在网络内使用的安全性。5.2先进的体系结构。KV网络版采用了先进的分布式的体系结构，使用了B/S（浏览噐/服务噐）和C/S（客户端/服务器）两种模式进行通讯和管理，B/S模式用于控制和管理方面，使用该模式控制中心进行全网控制和管理更加方便、快捷；C/S模式用于通讯方面，该模式使客户端和主控中心在通讯方面更加稳定。5.3移动管理功能网络管理员只要拥有管理员口令，就可以通过IE浏览器，实现对整个网络上所有计算机的集中管理，清楚地掌握整个网络环境中各个节点的病毒状态，既方便管理员管理，又可以有效地减少网络安全风险，最大限度地为用户的网络系统提供了可靠的安全解决方案。5.4支持Intel AMT（Active Management Technology）技术的使用。KV网络版支持最先进的Intel AMT（Active Management Technology）技术，通过控制中心控制支持AMT技术的客户端计算机，实现远程开机，客户端计算机资产的管理等功能，方便管理员对远端计算机执行远程故障排除与恢复、显著减少现场维修量，进而提高工作效率，可以有效的掌握客户端的病毒库和系统漏洞补丁的更新时间，而且不影响客户端的正常工作。5.5 完备的远程控制、权限集中管理KV网络版提供了强大的远程控制功能，用户通过控制中心不仅可以方便的在网络中的其它计算机上安装和卸载KV网络版，而且可以通过控制中心管理页面对网络中所有安装了客户端的计算机进行远程杀毒、查毒、设置、升级操作，此外加强了病毒的日志显示功能。不但减轻了管理员的工作负担，同时也极大的提高了管理员的工作效率。权限集中，核心管理权限集中在控制中心，管理员通过不同权限的账户登录江民控制中心，获得相应的操作权限，可方便的实现对全网进行集中控制。 远程管理通过网络版控制中心，对客户端进行远程管理，通过分组设置，对于不同的组进行相应的网络设置和权限分配，实现智能化管理分级分组管理。 密码保护通过管理员权限设置保护密码，对客户端的卸载、修改、退出、关闭监控、控制网站、移动存储设置进行密码管理，增强客户端的防病毒能力。 全网开机、关机、重启管理通过控制中心对安装网络版客户端的计算机实现全网或者单独计算机执行远程开机（仅限支持Intel AMT技术）、远程关机，客户端重新启动的操作。 远程报警局域网中任何一台计算机上发现病毒时，KV杀毒软件自动将病毒信息传递给网络管理员，智能的记录系统将会对病毒进行分类统计。 未安装客户端检测该功能可使主控中心主动进行全网搜索可安装的计算机，并