公司网络安全管理方案

公司网络安全管理方案Preparedon22November2020天津电子信息职业技术学院

暨国家示范性软件职业技术学院实训报告实训题目：公司网络安全管理方案姓名:汤彬彬37系别:计算机网络系专业:计算机网络班级:网络S10-1班指导教师:林俊桂设计时间:2012年6月4日至2012年6月15日目录摘要随着信息化技术的飞速发展，许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力，使企业在残酷的竞争环境中脱颖而出。经营管理对计算机应用系统的依赖性增强，计算机应用系统对的依赖性增强。计算机网络规模不断扩大，网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。信息安全防范应做整体的考虑，全面覆盖信息系统的各层次，针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程，事前、事中和事后的技术手段应当完备，安全管理应贯穿安全防范活动的始终。网络安全问题伴随着网络的产生而产生，可以说，有网络的地方就存在网络安全隐患。像病毒入侵和黑客攻击之类的网络安全事件，目前主要是通过网络进行的，而且几乎每时每刻都在发生，遍及全球。除此之外，像恶意软件入侵、攻击，用户的非法访问和操作，用户邮件的非法截取和更改等都是普遍存在的安全事实。网络安全事件所带来的危害，相信我们每个计算机用户都或多或少地亲身体验过一些：轻则使电脑系统运行不正常，重则使整个计算机系统中的磁盘数据全部覆灭，甚至导致磁盘、计算机等硬件的损坏。为了防范这些网络安全事故的发生，每个计算机用户，特别是企业网络用户，必须采取足够的安全防范措施，甚至可以说要在利益均衡情况下不惜一切代价。但要注意，企业网络安全策略的实施是一项系统工程，它涉及许多方面。因此既要充分考虑到那些平时经常提及的外部网络威胁，又要对来自内部网络和网络管理本身所带来的安全隐患有足够的重视，不能孤立地看待任何一个安全隐患和安全措施。因为这些安全隐患爆发的途径可以是多方面的，而许多安全措施都是相辅相成的。关键字：计算机网络；病毒入侵；网络威胁；安全防范措施第1章概述国内外网络发展情况及安全现状计算机网络发展很快，经历了一个从简单到复杂的演变过程。计算机的应用也不断地发展，渗透在人们生活的方方面面。在全球网络革命如火如荼、飞速发展的时代潮流面前，中国的网络业也不甘居人之后。我国政府从20世纪90年代初开始，便相继实施了“金桥”、“金卡”等一系列金字工程。在发达国家建设“信息高速公路”的世界背景下，我国的一批信息技术专家根据中国国情，提出了我们自己的“高速信息网计划(CHINA)”，1993年10月15日，当时世界上最长的通信光缆，纵贯中国南北的京汉广通信大动脉”全线开通，拉开了我国网络基础设施建设的序幕。我国企业从1994年开始涉足电子商务，并取得了喜人的成绩。1998年是世界电子商务年，中国也掀起了一股电子商务热,我国的“中国商品市场”从当年7月1日起，正式进入Interneto1999年在上海举行的“99《财富》全球论坛”年会又传出消息:到2003年，中国将成为世界上最大的信息网络市场。由此不难推断，中国经济也必将融入全球网络经济的大潮之中。随着计算机网络技术的广泛应用和飞速发展，计算机信息网络已成为现代信息社会的基础设施。它作为进行信息交流、开展各种社会活动的基础工具，已深入人们工作和生活当中。同时，网络安全问题也成为信息时代人们共同面临的挑战，国内的网络安全问题也日益突出。具体表现为：计算机系统受病毒感染和破坏的情况相当严重；电脑黑客活动已成为重要威胁；信息基础设施面临网络安全的挑战；网络政治颠覆活动频繁等，为了更好地应对这些网络安全问题。网络环境的复杂性、多变性，以及信息系统的脆弱性，决定了网络安全威胁的客观存在。我国日益开放并融入世界，但加强安全监管和建立保护屏障不可或缺。国家科技部部长徐冠华曾在某市信息安全工作会议上说：“信息安全是涉及我国经济发展、社会发展和国家安全的重大问题。近年来，随着国际政治形势的发展，以及经济全球化过程的加快，人们越来越清楚，信息时代所引发的信息安全问题不仅涉及国家的经济安全、金融安全，同时也涉及国家的国防安全、政治安全和文化安全。因此，可以说，在信息化社会里，没有信息安全的保障，国家就没有安全的屏障。信息安全的重要性怎么强调也不过分。”目前我国政府、相关部门和有识之士都把网络监管提到新的高度，上海市负责信息安全工作的部门提出采用非对称战略构建上海信息安全防御体系，其核心是在技术处于弱势的情况下，用强化管理体系来提高网络安全整体水平。Internet是各行各业的展示与和另一种发展平台，同时必须建立一个安全稳定的环境维护产业的可持续快速发展。衷心'希望在不久的将来，我国信息安全工作能跟随信息化发展，上一个新台阶。网络对企业的重要性随着经济的飞速发展和社会信息化建设的大力推进，网络平台已经成为企业进行业务拓展、经营管理和进行形象宣传的一个独特的窗口。建立企业网络，早已不再是为了赶潮流或是博取好听的名声，而是把网络技术同企业管理体系、工作流程和商务运作等紧密地联系在了一起，充分利用互联网不受时空限制的信息平台，建立最直接、丰富、快捷的商务沟通平台和管理平台，从而搭建高效的经营管理机制和商务运作平台。网络安全问题的产生可以从不同角度对网络安全作出不同的解释。一般意义上，网络安全是指信息安全和控制安全两部分。国际标准化组织把信息安全定义为“信息的完整性、可用性、保密性和可靠性”；控制安全则指身份认证、不可否认性、授权和访问控制。互联网与生俱有的开放性、交互性和分散性特征使人类所憧憬的信息共享、开放、灵活和快速等需求得到满足。网络环境为信息共享、信息交流、信息服务创造了理想空间，网络技术的迅速发展和广泛应用，为人类社会的进步提供了巨大推动力。然而，正是由于互联网的上述特性，产生了许多安全问题：a）信息泄漏、信息污染、信息不易受控。例如，资源未授权侵用、未授权信息流出现、系统拒绝信息流和系统否认等，这些都是信息安全的技术难点。b）在网络环境中，一些组织或个人出于某种特殊目的，进行信息泄密、信息破坏、信息侵权和意识形态的信息渗透，甚至通过网络进行政治颠覆等活动，使国家利益、社会公共利益和各类主体的合法权益受到威胁。C）网络运用的趋势是全社会广泛参与，随之而来的是控制权分散的管理问题。由于人们利益、目标、价值的分歧，使信息资源的保护和管理出现脱节和真空，从而使信息安全问题变得广泛而复杂。d）随着社会重要基础设施的高度信息化，社会的“命脉”和核心控制系统有可能面临恶意攻击而导致损坏和瘫痪，包括国防通信设施、动力控制网、金融系统和政府网站等。公司网络的主要安全隐患现在网络安全系统所要防范的不再仅是病毒感染，更多的是基于网络的非法入侵、攻击和访问，同时企业网络安全隐患的来源有内、夕卜网之分，很多情况下内部网络安全威胁要远远大于外部网络，因为内部中实施入侵和攻击更加容易，企业网络安全威胁的主要来源主要包括。病毒、木马和恶意软件的入侵。网络黑客的攻击。重要文件或邮件的非法窃取、访问与操作。关键部门的非法访问和敏感信息外泄。外网的非法入侵。备份数据和存储媒体的损坏、丢失。针对这些安全隐患，所采取的安全策略可以通过安装专业的网络版病毒防护系统，同时也要加强内部网络的安全管理，配置好防火墙过滤策略和系统本身的各项安全措施，及时安装系统安全补丁，有条件的还可以在内、外网之间安装网络扫描检测、网络嗅探器、IDS、IPS系统，甚至配置网络安全隔离系统，对内、外网络进行安全隔离；加强内部网络的安全管理，严格实行'最小权限''原则，为各个用户配置好恰当的用户权限；同时对一些敏感数据进行加密保护，对数据还可以进行数字签名措施；根据企业实际需要配置好相应的数据策略，并按策略认真执行。第2章公司网络安全设计2.1.1公司需求建材公司根据业务发展需求，建设一个小型的企业网，有Web、Mail等服务器和办公区客户机。公司已经完成了综合布线工程的施工与网络设备的架设。企业分为财务部门和业务部门，需要他们之间相互隔离。网络管理员在实际维护公司网络的过程中，常遇到各种网络安全问题，例如：网络黑客攻击、网络蠕虫病毒泛滥、各种木马程序等等。由于考虑到Inteneter的安全性，以及网络安全等一些因素，如DDoS、ARP等。需要在防火墙设置相关的策略和其他一些安全策略。网络管理员需要随时排除企业网络在日常运转中出现的各种网络安全问题，保证企业网络的稳定工作。2.1.2结构根据建材公司的整体网络情况，简单的网络结构图如图2-1所示：图2-1网络结构图公司网络分析2.2.1网络安全需求分析我们针对建材公司的网络安全状况和网络结构来进行需求分析。建材公司的第一个网络安全需求是根据部门需要划分VLAN，使用VPN技术。建材公司的第二个网络安全需求是要安装一个基于安全的操作系统平台的高级通信保护控制系统---网络防火墙，保护公司内部网络的计算机免遭来自国际互联网的黑客攻击、病毒侵扰。建材公司的第三个网络安全需求是企业内部的计算机网络安全问题。建材公司网内有很多计算机均有上网需求，这就导致常出现网络黑客攻击、网络蠕虫病毒泛滥、各种木马程序盗取密码等网络安全问题。因此，依据建材公司内计算机的使用状况，分别安装软件防火墙、杀毒软件、网络安全软件。2.2.2网络内容方案1、为了提高了网络的利用率，确保了网络的安全保密性。建材公司建立虚拟局域网实现数据安全和共享，提高建材公司主要两大部门顺利实效。2、通过多方调研，建材公司决定采用国内网络安全行业的领先企业----远东网安科技有限公司的远东网安防火墙。使用该防火墙隔离公司内部网络和国际互联网。在不改变网络拓扑结构的情况下，使公司内部的计算机访问国际互联网的时候，经过包过滤安全设置。3、针对建材公司各个部门计算机的应用环境，分别安装网络安全软件、杀毒软件、软件防火墙等。网络管理员的须知。4、对建材公司计算机操作系统进行研究，操作系统的安装以正常工作为目标，一般很少考虑其安全性，因此安装通常都是以缺省选项进行设置。从安全角度考虑，其变现为装了很多用不到的服务模块，开放了很多不必开放的端口，其中可能隐含了安全风险。目前的操作系统无论是windows还是Unix操作系统以及其他厂商开发的应用系统，某开发厂商必然有其Back-Door。而且系统本身必然存在安全漏洞。这些后门和安全漏洞都将存在重大安全隐患。系统的安全程度跟安全配置及系统的应用有很大关系，操作系统如果进行安全配置，填补安全漏洞，关闭一些不常用的服务，禁止开发一些不常用而又比较敏感的端口等，那么入侵者要成功进入内部网是不容易的，这需要相当高的技术水平及相当长时间。2.2.3项目设计£图2-2项目设计图企业VLAN划分企业主要分两个部门，所以只要划分两个VLAN,分别为：财务部门VLAN10交换机S0接入交换机（华为S5700-24TP-SI-AC）业务部门VLAN20交换机S1接入交换机（华为S5700-24TP-SI-AC）核心交换机S2核心交换机（华为S5700-24TP-SI-AC）图2-3网络拓扑图第3章公司项目实施的功能和作用分类1、 基于端口的VLAN； |2、 基于MAC地址的VLAN；3、 基于第3层的VLAN；4、 基于策略的VLAN；作用VLAN（VirtualLocalAreaNetwork，虚拟局域网）的目的非常的多。通过认识VLAN的本质，将可以了解到其用处究竟在哪些地方。 第一，要知道个或者以上的网段的时候，就是VLAN发挥作用的时候，这就是VLAN的目的。组建VLAN的条件

VLAN是建立在物理网络基础上的一种逻辑子网，因此建立VLAN需要相应的支持VLAN技术的网络设备。当网络中的不同VLAN间进行相互通信时，需要路由的支持，这时就需要增加路由设备——要实现路由功能，既可采用路由器，也可采用三层交换机来完成。同时还严格限制了用户数量.基本配置命令switch#vlandatabase1、 创建vlan方法一switch#vlandatabaseswitch(vlan)#vlan10namewz2、 创建vlan方法二switch(config-vlan)#namewz3、 删除vlan方法一switch(vlan)#exit4、 删除vlan方法二switch(config)#novlan105、 删除vlan方法三6、 将端口加入到vlan中if)#switchportaccessvlan10组连续的端口加入到vlan中7、 将组连续的端口加入到vlan中switch(vlan)#exitswitch(config)#vlan10switch(vlan)#exitswitch(config)#vlan10switch(vlan)#novlan10switch(config)#nointerfacevlan10switch#switch(config-switch(config)#interfacerangef0/6-8,0/9T1,0/22 (将不连续多个端口加入到Vlan中) switch(config-if-range)#switchportaccessvlan108、将端口从vlan中删除 switch(config-if)#noswitchportaccessvlan10switch(config-if)#switchportaccessvlan1switch(config-if-range)#noswitchportaccessvlan10switch(config-if-range)#switchportaccessvlan19、查看所有vlan的摘要信息 switch#showvlanbrief10、查看指定vlan的信息 switch#showvlanid1011、 指定端口成为trunkswitch(config-if)#switchportmodetrunk12、 Trunk的自动协商switch(config-if)#switchportmodedynamicdesirableswitch(config-if)#switchportmodedynamicauto注意：如果中继链路两端都设置成auto将不能成为trunk13、查看端口状态 switch#showinterfacef0/2switchport14、 在trunk上移出vlanswitch(config-if)#switchporttrunkallowedvlanremove2015、 在trunk上添加vlanswitch(config-if)#switchporttrunkallowedvlanadd20公司VLAN划分财务部门VLAN10交换机S0接入交换机（华为S5700-24TP-SI-AC）业务部门VLAN20交换机S1接入交换机（华为S5700-24TP-SI-AC）核心交换机S2核心交换机（华为S5700-24TP-SI-AC）其他划分根据端口来划分VLAN许多VLAN厂商都利用交换机的端口来划分VLAN成员。被设定的端口都在同一个广播域中。例如，一个交换机的1，2,3,4,5端口被定义为虚拟网AAA，同一交换机的6,7,8端口组成虚拟网BBB。这样做允许各端口之间的通讯，并允许共享型网络的升级。但是，这种划分模式将虚拟网限制在了一台交换机上。 第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN，不同交换机上的若干个端口可以组成同一个虚拟网。 以交换机端口来划分网络成员，其配置过程简单明了。因此，从目前来看，这种根据端口来划分VLAN的方式仍然是最常用的一种方式。根据MAC地址划分VLAN这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置它属于哪个组。这种划分VLAN方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，所以，可以认为这种根据MAC地址的划分方法是基于用户的VLAN，这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，这样就无法限制广播包了。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样，VLAN就必须不停地配置。根据网络层划分VLAN这种划分VLAN的方法是根据每个主机的网络层地址或协议类型（如果支持多协议）划分的，虽然这种划分方法是根据网络地址，比如IP地址，但它不是路由，与网络层的路由毫无关系。 这种方法的优点是用户的物理位置改变了，不需要重新配置所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。 这种方法的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的（相对于前面两种方法），一般的交换机芯片都可以自动检查网络上数据包的以太网帧头，但要让芯片能检查IP帧头，需要更高的技术，同时也更费时。当然，这与各个厂商的实现方法有关。根据IP组播划分VLANIP组播实际上也是一种VLAN的定义，即认为一个组播组就是一个VLAN，这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，当然这种方法不适合局域网，主要是效率不高。的功能和作用公司配置VPN服务器公司VPN服务器端使用Win2000；客户机端使用Win98来设置VPN。（1） 尚未配置：Win2K中的VPN包含在〃路由和远程访问服务〃中。当Win2K服务器安装好之后，它也就随之自动存在了！不过此时当打开〃管理工具〃中的〃路由和远程访问〃项进入其主窗口后，在左边的〃树〃栏中选中〃服务器准状态〃，即可从右边看到其〃状态〃正处于〃已停止（未配置）〃的情况下。（2） 开始配置：要想让计算机能接受客户机的VPN拨入，必须对VPN服务器进行配置。在左边窗口中选中"SERVER”（服务器名），在其上单击右键，选〃配置并启用路由和远程访问〃。配置并启用路由和远程访问，如图3-1所示。图3-1设置路由和远程访问（3） 如果以前已经配置过这台服务器，现在需要重新开始，则在"SERVER”（服务器名）上单击右键，选〃禁用路由和远程访问”，即可停止此服务，以便重新配置！（4） 当进入配置向导之后，在〃公共设置〃中，点选中〃虚拟专用网络（VPN）服务器”，以便让用户能通过公共网络（比如Internet）来访问此服务器。虚拟专用网络（VPN）服务器，如图3-2所示。（5）在〃远程客户协议〃的对话框中，一般来说，这里面至少应该已经有了TCP/IP协议，则只需直接点选〃是，所有可用的协议都在列表上〃再〃下一步〃即可。（6） 之后系统会要求你再选择一个此服务器所使用的Internet连接，在其下的列表中选择所用的连接方式（比如已建立好的拨号连接或通过指定的网卡进行连接等）再〃下一步〃。（7） 接着在回答〃您想如何对远程客户机分配IP地址〃的询问时，除非你已在服务器端安装好了DHCP服务器，否则请在此处选〃来自一个指定的IP地址范围〃（推荐）。（9）最后再选〃不，现在不想设置此服务器使用RADIUS〃即可完成最后的设置。此时屏幕上将自动出现一个正在开户〃路由和远程访问服务〃的小窗口，当它消失之后，打开〃管理工具〃中的〃服务"，即可以看到"RoutingandRemoteAccess”（路由和远程访问）项〃自动〃处于〃已启动〃状态了！已启动状态，如图3-3所示。图3-3启动状态操作系统的安全配置操作系统安全策略利用Windows2000的安全配置工具来配置安全策略，微软提供了一套的基于管理控制台的安全配置和分析工具，可以配置服务器的安全策略。在管理工具中可以找到“本地安全策略”，主界面如图3-4所示。可配置四类安全策略：帐户策略、本地策略、公钥策略和IP安全策略。默认的情况下，这些策略都没有开启。关闭不必要的服务Windows2000的TerminalServices（终端服务）和IIS（Internet信息服务）等都可能给系统带来安全漏洞。为了能够远程方便的管理服务器，很多机器的终端服务都是开着，如果开了，要确认已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务。要留意服务器上开启的所有服务并每天检查。方法一：程序-->运行-->打开方法二：我的电脑-->鼠标右键下拉菜单-->管理方法三：控制面板-->性能和维护-->管理工具-->服务图3-5计算机管理关闭不必要的端口关闭端口意味着减少功能，如果服务器安装在防火墙的后面，被入侵的机会就会少一些，但不可认为高枕无忧了。用端口扫描器扫描系统所开放的端口，在Winnt\system32\drivers\etc\services文件中有知名端口和服务的对照表可供参考。该文件用记事本打开如图3-6所示。设置本机开放的端口和服务，在IP地址设置窗口中点击按钮“高级”，在出现的对话框中选择选项卡“选项”，选中“TCP/IP筛选”，点击按钮“属性”，设置端口界面如图图3-7所示。图3-7TCP/IP筛选一台Web服务器只允许TCP的80端口通过就可以了。TCP/IP筛选器是Windows自带的防火墙，功能比较强大，可以替代防火墙的部分功能。开启审核策略安全审核是Windows2000最基本的入侵检测方法。当有人尝试对系统进行某种方式（如尝试用户密码，改变帐户策略和未经许可的文件访问等等）入侵的时候，都会被安全审核记录下来。审核策略在默认的情况下都是没有开启的。如图3-8所示。图3-8审核策略双击审核列表的某一项，出现设置对话框，将复选框“成功”和“失败”都选中，如图3-9所示。图3-9本地安全策略设置开启密码策略密码对系统安全非常重要。本地安全设置中的密码策略在默认的情况下都没有开启。设置选项如图3-10所示。图3-10密码策略设置开启帐户策略开启帐户策略可以有效的防止字典式攻击。设置选项如图3-11所示。图3-11账户策略设置备份敏感文件把敏感文件存放在另外的文件服务器中，虽然服务器的硬盘容量都很大，但是还是应该考虑把一些重要的用户数据（文件，数据表和项目文件等）存放在另外一个安全的服务器中，并且经常备份它们。不显示上次登录名默认情况下，终端服务接入服务器时，登陆对话框中会显示上次登陆的帐户名，本地的登陆对话框也是一样。黑客们可以得到系统的一些用户名，进而做密码猜测。修改注册表，在HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\。将DontDisplayLastUserName键值改成1，如图3-12所示。图3-12注册表编辑器打开管理工具-->本地安全策略-->本地策略-->安全选项，在打开窗口右侧列表中选择“登录屏幕上不要显示上次登录的用户名”选项，在弹出对话框选择“已启用”，如图3-13所示。图3-13安全选项备份注册表注册表是不能随便改动的，除非特别有把握。注册表更改处理不好的话，可能会导致计算机不能正常启动或计算机某些功能不能用，甚至当将原来的更改还原回去也一样不能用。所以在更改注册表的任何一项之前，最好将注册表备份。当系统因为更改注册表而出问题时，可以采用恢复注册表的方式来恢复系统。禁止建立空连接默认情况下，任何用户通过空连接连上服务器，进而可以枚举出帐号，猜测密码。修改注册表，在HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\，将RestrictAnonymous键值改成“1”即可。如图3-14所示。图3-14修改注册表下载最新的补丁很多网络管理员没有访问安全站点的习惯，以至于一些漏洞都出了很久，还放着服务器的漏洞未打补丁。谁也不敢保证数百万行以上代码的Windows2000不出一点安全漏洞。经常访问微软和一些安全站点，下载最新的ServicePack和漏洞补丁，是保障服务器长久安全的唯一方法。可以使用一些常用的漏洞扫描软件！先扫描出漏洞。防火墙的安装与管理防火墙是计算机网络上一类防范措施的总称，它使得内部网络与Internet之间或其它外部网络互相隔离、限制网络互访，用来保护内部网络。防火墙简单的可以只用路由器实现，复杂的则可以用主机甚至一个子网来实现，设置防火墙的目的都是为了在内部网与外部网之间设立惟一的通道来自简化网络的安全管理。防火墙的功能主要是过滤掉不安全服务和非法用户与控制对特殊站点的访问以及提供监视Internet安全和预警的方便端点。实现防火墙技术从层次上大概可以分为报文过滤和应用层网关。报文过滤是在IP层实现的，它的原理是根据报文的源IP地址、目的IP地址、源端口、目的端口报文信息来判断是否允许报文通过，因此它可以只用路由器完成。在建材公司内部网络的出口处，放置防火墙，通过包过滤安全设置，保护建材公司内部网络的计算机免遭来自国际互联网的黑客攻击、病毒侵扰。3.4.1防火墙的安装安装防火墙的WEB管理终端远东网安防火墙的管理操作主要在WEB管理终端提供。安装WEB管理终端不需要特殊的附加软件，只要具有管理权限并安装了WEB浏览器，任何一台内部主机都可以作为WEB管理终端来使用。安装远东网安防火墙WEB管理终端：使用一台基于WindowsXP平台或Linux平台的计算机A。在计算机A上安装WEB浏览器—可以是任何标准的客户端软件，如：InternetExplorer(Windows)；Netscape(Windows,UNIX)；Mozilla(UNIX)o③将计算机A的网络接口与远东网安防火墙中心系统的网口E(eth0)连接起来，如果是直接相连则必须使用反接的双绞线(背对背线)o在计算机A上打开WEB浏览器，在地址栏输入E的网址：。（或者另外三个防火墙的初始网址）注意WEB浏览器的地址栏中是以https开头而不是http，表示加密的http通信。如果网络连接配置无误，就可以在计算机A上访问远东网安防火墙中心系统的WEB管理界面了，如图3-15所示。图3-15WEB管理界面3.4.2防火墙的管理管理权限：通过WEB管理终端对远东网安防火墙进行管理操作需要有管理权限。防火墙的出厂缺省配置给予内部网保留地址的主机所有管理权限。防火墙的管理权限是按功能范围划分的。获得管理权限可以在客户端运行用户认证客户端SecureKey,，然后输入用户名/口令，验证成功后即获得该用户的管理权限。用户认证客户端SecureKey用户登录远东网安防火墙使用用户认证客户端SecureKey。SecureKey是随远东网安防火墙附带的登录认证软件。使用SecureKey登录到防火墙后，就可以访问防火墙的WEB管理终端并利用登录用户的管理权限范围执行若干功能模块的管理操作。安装了SecureKey之后，就可以在程序菜单中点击SecureKey或者直接执行桌面的快捷方式打开SecureKey，如图3-16所示。图3-16一次性口令认证输入远东网安防火墙的IP信息、登录用户名、用户密码，然后点击“连接”按钮，SecureKey就会与防火墙建立加密的SSL通道，进行用户名和口令验证。如果用户登录有错误，比如防火墙IP无法连接、用户不存在、用户密码错误、超过最大用户登录人数、该用户已登录、本主机已由其他用户登录等等错误时，SecureKey会弹出提示框显示相应的错误信息。如果各参数无误，成功登录后SecureKey窗口会自动最小化并在系统任务栏中显示图标，双击该图标可以重新打开SecureKey窗口，此时显示已登录状态，如图3-17所示。图3-17一次性口令认证使用SecureKey登录，有几点注意事项：如果指定了绑定的IP和MASK，则该只能在绑定的IP范围内使用SecureKey登录。一台主机同一时刻只能由一个用户登录。一个用户同一时刻只能在一台主机上登录，也就是说，已登录的用户无法在任一主机上再次登录。如果已经登录的用户数达到了最大限制数，其它用户也无法再登录。用户登录可以由用户主动注销，也可以由管理员在WEB管理终端强行切断。已登录的用户如果其主机与防火墙中心系统断开网络连接超过定义的时间，防火墙也会主动将该登录取消并作记录。3.4.3安装证书远东网安防火墙的WEB管理终端与中心系统的通信是加密的HTTPS协议，第一次访问WEB管理界面的时候，浏览器会提示此加密通信的证书没有得到信任，如图3-18所示。点击“是”按钮可以忽略验证过程，对WEB管理过程没有影响。如果在安装WEB管理终端的主机上安装防火墙的根证书，以后就不会出现此警报。图3-18安全警报安装根证书的方法是将远东网安防火墙随机附带光盘中的根证书文件）复制到安装WEB管理终端的主机上，双击打开此文件查看证书信息，如图3-19所示，并点击安装证书按钮：图3-19证书点击安装证书按钮就打开了证书导入向导，如图3-20所示。图3-20证书导入向导保持向导的缺省选项不变，依次点击确认按钮如“下一步”、“完成”、“是”等往后安装，最后完成根证书FarEastCA的导入过程。完成了证书的验证工作后，还要使证书上的名称与防火墙站点名称匹配，也就是在用WEB浏览器访问远东网安防火墙时。这要求安装WEB管理终端的主机上对FEFW有域名解析，可以通过编辑c:\winnt\system32\drivers\etc\hosts文件来实现，在该文件末尾添加一行：3.4.4远程监控台的安装远程监控台RemoteMonitor是一个防火墙状态实时监控软件，可以在网络中集中的监控多台远东网安防火墙，实时的反映各台防火墙的状态信息，如图3-21所示。图3-21远程监控台远程监控台运行于Windows平台，安装文件在远东网安防火墙随机附带的软件光盘上，运行“远程监控台”目录下的文件，就可以按照安装向导的指示一步步完成远程监控台的安装。防火墙的配置配置远东网安防火墙的NAT工作模式配置目的：在不改变网络拓扑的情况下，使建材公司内部的计算机访问国际互联网的时候，经过包过滤安全设置。“是”，如图3-22所示。图3-22安全警报出现管理终端，如图3-23所示。图3-23管理终端⑵在“网络管理”选项的“网络地址栏”对话框内输入IP地址，如图3-24所示。图3-24网络地址（3） 在“防火墙”选项的“地址转换”对话框内，为“静态NAT”添加一个默认的规则，出口为ETH1:WAN口，如图3-25所示。图3-25静态NAT（4） 在“防火墙”选项的“访问控制”对话框内添加一个默认的规则，如图3-26所示。图3-26访问控制（5）配置访问控制规则：首先点击包过滤（any->any），配置如图3-27所示。图3-27包过滤规则配置然后点击“规则修改完成”。点击“动作”（default），配置动作为通过，再点击“保存”按钮，如图3-28所示。图3-28动作变量（6）配置客户主机网络参数。现在，经过连通性测试，如图3-29所示，就可以正常登录国际互联网了。图3-29网络测试第4章公司网络安全维护公司管理的安全性管理方面的安全隐患包括：内部管理人员或员工图方便省事，不设置用户口令，或者设置的口令过短和过于简单，导致很容易破解。责任不清，使用相同的用户名、口令，导致权限管理混乱，信息泄密。把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。内部不满的员工有的可能造成极大的安全风险。管理是网络中安全得到保证的重要组成部分，是防止来自内部网络入侵必须的部分。责权不明，管理上混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。即除了从技术上下功夫外，还得依靠安全管理来实现。安全管理包括安全技术和设备的管理，安全管理制度，部门与人员的组织规则等。管理的制度化程度极大地影响着整个网络的安全，严格的安全管理制度、明确的部门安全职责划分、合理的人员角色定义都可以在很大程度上降低其它层次的安全漏洞。业务系统的可用性：中小企业主机、FTP、应用服务器系统的安全运行同样十分关键，网络安全必须保证这些系统不会遭受来自网络的非法访问、恶意入侵和破坏。数据机密性:对于中小企业网络，保密数据的泄密将直接带来企业商业利益的损失。网络安全系统应保证机密信息在存储与传输时的保密性。安全管理的主要功能指对安全设备的管理；监视网络危险情况，对危险进行隔离，并把危险控制在最小范围内；身份认证，权限设置；对资源的存取权限的管理；对资源或用户动态的或静态的审计；对违规事件，自动生成报警或生成事件消息；口令管理（如操作员的口令鉴权），对无权操作人员进行控制；密钥管理：对于与密钥相关的服务器，应对其设置密钥生命期、密钥备份等管理功能；冗余备份：为增加网络的安全系数，对于关键的服务器应冗余备份。安全管理应该从管理制度和管理平台技术实现两个方面来实现。安全管理产品尽可能的支持统一的中心控制平台。服务器防毒技术服务器是网络的核心'，一旦服务器被病毒感染，无法启动，整个网络就会陷于瘫痪。目前基于服务器的防治病毒方法主要以NLM可装载模块技术进行程序设计，以服务器为基础，提供实时扫描病毒能力。基于服务器的防毒技术一般具有以下功能：1）服务器所有文件扫描。对服务器中的所有文件集中检查是否带毒，若有带毒文件，则提供Supervisory等几种处理方法；2）实时在线扫描。全天24小时临近网络中是否有带毒文件进入服务器;3） 服务器扫描选择。系统管理员（Supervisor）定期检查服务器中是否带毒，可按月、周或天集中扫描一下网络服务器；4） 自动报告功能及病毒存档；5） 工作站扫描。基于服务器的防病毒软件不能保护本地工作站的硬盘，有效方法是在服务器上安装防毒软件，同时在上网的工作站内存中调入一个常驻扫毒程序，实时检测在工作站中运行的程序；6） 对用户开放的特征接口，对用户遇到的带毒文件，经过病毒特征分析程序，自动将病毒特征加入特征库，以随时增强抗毒能力。网