企业网络安全

最新资料欢迎阅读

1

企业网络安全方案

物理安全VPN技术QOS技术容灾备份服务器安全、引言随着互联网的空前发

展以及互联网技术的不断普及，企业的重要数据信息都被暴露在公共网络空间

下，很容易丢失或者被一些不法人士获取。由于黑客的攻击、病毒的入侵、以及

人为操作的不当等，都有可能威胁到重要信息数据，这些危害也越来越受到人们

的重视。因此，根据企业的实际情况建立一套切实可行的安全网络方案来改善这

个情况，使企业的数据机密信息得以保护，并且可以保证企业的网络顺畅的工作，

有助于公司的长远发展。目录摘要1

1、引言

11、1本课题的研究意义

21、2本论文的目的、内容

22、企业网络现状及设计目标（需求分析）

22、1概述

22、2实际网络的特点及目前企业网络优缺点分析

42、3设计目标

43、要解决的几个关键问题

53、1研究设计中要解决的问题

53、2针对现在网络中出现的网络安全问题，本课题所作的改善设计

54、系统设计关键技术

64、1、目标具体实现中采用的关键技术及分析

64、2设计实现的策略和途径描述

84、3设计模型及系统结构（新的拓扑图）

95、系统实现技术9概述

95、1物理设备安全

95、2VPN技术1

15、3访问控制列表与QOS技术1

45、4服务器的安全1

最新资料欢迎阅读

1

41、1本课题的研究意义本课题的研究意义在于研究企业网络的安全解决方

案以及实际的应用方法，是整个企业网络安全设计的指南，是为公司做出一套正

确有效的网络安全方案的重点。本需求的阅读者是公司企业网络管理方面的决策

人，操作应用人员。

1、2本论文的目的、内容本论文的目的是为企业提出一个有效的网络安全

方案，使企业的网络上的安全威胁降到最低。从企业的设备配置安全、系统软件

的安全、以及放火墙与入侵检测等来保证企业的网络安全。

2、企业网络现状及设计目标（需求分析）

2、1概述中国国内目前的企业需要的网络安全产品不仅仅是简单的安装，

更重要的是要有针对复杂网络应用的一体化解决方案，如：网络安全、病毒检测、

网站过滤等等。其着眼点在于：国内外领先的厂商产品；具备处理突发事件的能

力；能够实时监控并易于管理；提供安全策略配置定制；是用户能够很容易地完

善自身安全体系。然而，有网络的地方就有安全的问题。过去的网络大多是封闭

式的，因而比较容易确保其安全性，简单的安全性设备就足以承担其任务。然而，

当今的网络已经发生了变化，确保网络的安全性和可用性已经成为更加复杂而且

必需的任务。用户每一次连接到网络上，原有的安全状况就会发生变化。所以，

很多企业频繁地成为网络犯罪的牺牲品。因为当今网络业务的复杂性，依靠早期

的简单安全设备已经对这些安全问题无能为力了。网络攻击在迅速地增多：网络

攻击通常利用网络某些内在特点，进行非授权的访问、窃取密码、拒绝服务等等。

考虑到业务的损失和生产效率的下降，以及排除故障和修复损坏设备所导致的额

外开支等方面，对网络安全的破坏可能是毁灭性的。此外，严重的网络安全问题

还可能导致企业的公众形象的破坏、法律上的责任乃至客户信心的丧失，并进而

造成的成本损失将是无法估量的。

2、1、1项目概述：（1）待改企业描述本文的企业为一个早期玩具制造和

销售企业，希望能具有竞争力并提高生产效率，这就必须对市场需求作出及时有

力的响应，从而引发了依赖互联网来获取、共享信息的趋势，这样才能进一步提

高生产效率进而推动未来增长。本方案旨在使公司的网络更安全，以保证企业安

全和减少安全问题带来的损失。可以快速的对网络攻击做出反应。（2）功能此方

案可让企业保证硬件设备减少安全隐患，公司重要信息不被人获取，应对突发的

最新资料欢迎阅读

1

安全情况能力大大加强。（3）用户特点本方案的对象是企业的职工、网络管理人

员、技术处工作人员、公司领导、信息中心系统管理人员和维护人员。（4）一般

约束这是一个针对企业网络各方面进行调整的方案，不可避免要受于布线地理位

置和系统安装的兼容性的限制。（5）假设依据本方案具有较高的可靠性和安全保

密性。网络性能稳定，不出差错。在具体实施方面，应该由企业网络相关专业人

员进行管理，本方案只负责具体的实施方法建议。应对用户定义不同的使用权限，

技术处负责大部分管理。不能由其他人进行查看更改。

2、1、2性能需求为了保证系统能够长期、安全、稳定、可靠、高效的运

行，企业网络安全方案应该满足以下需求：（1）系统处理的全面性和及时性方

案的全面性和处理事件的及时性是必要的性能。从各个方面考虑到可能受到的网

络攻击，做好全方面的补救和抵御措施。且在发生突发情况下能及时的补救，保

证企业网络的正常运行。（2）系统方案的可扩充性在方案的设计过程中，应该

充分考虑系统的可扩充性，为以后企业的发展，网络设备的扩充，提供良好条件。

（3）系统的易用性和易维护性在完成这套方案之后，只需要技术人员在硬件上

做好管理措施、系统上及时更新升级，以及做好备份工作。（4）方案的标准性

方案在设计过程中，要涉及很多计算机硬件、软件。所有这些都要符合主流国际、

国家和行业标准。列如要用到的操作系统、网络设备以及软件、技术都要符合通

用的标准。

2、2实际网络的特点及目前企业网络优缺点分析图2-1公司的原拓扑图如

图，上图为一玩具企业的大概网络拓扑图，经过分析，公司网络主要分为4个部

分，一部分为工厂生产网络，一部分是负责销售、网站维护和构想玩具工作等的

写字楼办公网络，另两部分为领导决策的主网络以及公司的服务器群。其优点是

结构简单灵活可靠性高，共享性强,适合于一点发送、多点接收的场合，容易扩

展网络，使用的电缆少，且安装容易。缺点是安全行不高，维护不方便，分支节

点出现故障会影响整个网络。其网络的交换机路由器已经经过一部分设置与设备

NAT技术，使公司内部合理通信访问，工厂办公地点不能上网，员工办公阶段时

间性的上网，领导办公没有限制。这都有效提高了公司的工作质量与安全性，我

们在这基础上，再设置一些安全措施，设计出一套完整的安全解决方案。

2、3设计目标根据实际情况，全方面的找出并解决企业存在的各方面安全

最新资料欢迎阅读

1

问题，从网络的硬件设备的安全以及配置、系统防御软件检测防御、流量控制优

先级（QOS技术）、以及数据的加密传输、签名认证和远程专用网络，以及合理

应用内外防火墙，达到最大限度保证企业信息的安全，以及网络的通信顺畅。注：

NAT技术NAT英文全称是“NetworkAddressTranslation”，中文意思是“网络

地址转换”，它是一个IETF(InternetEngineeringTaskForce,Internet工程

任务组)标准，允许一个整体机构以一个公用IP（InternetProtocol）地址出

现在Internet上。顾名思义，它是一种把内部私有网络地址（IP地址）翻译成

合法网络IP地址的技术。简单的说，NAT就是在局域网内部网络中使用内部地

址，而当内部节点要与外部网络进行通讯时，就在网关（可以理解为出口，打个

比方就像院子的门一样）处，将内部地址替换成公用地址，从而在外部公网

（internet）上正常使用，虽然地址转换技术设计的目的是为了节省IP地址，

但是客观上，这种技术对网络外部隐藏了一个网络内部的地址结构，加大了内网

的安全。QOS技术QoS的英文全称为"QualityofService"，中文名为"服务质

量"。QoS是网络的一种安全机制,是用来解决网络延迟和阻塞等问题的一种技

术。用于衡量使用一个服务的满意程度。QoS不是创造带宽，而是管理带宽，因

此它能应用得更为广泛，能满足更多的应用需求。QoS的目标是要提供一些可预

测性的质量级别，以及控制超过目前IP网络最大服务能力的服务

3、要解决的几个关键问题

3、1研究设计中要解决的问题

3、1、1设备、服务器、流量控制（1）从拓扑图上可知，类似总线型的网

络拓扑结构，存在着明显的安全问题，如果其中一台交换机设备出现故障，将严

重影响网络的正常运行，这是很大的安全隐患。（2）保证物理设备的安全，也没

有针对一些突发情况的保护措施，以保证网络的随时通畅，容灾备份（3）外部

访问企业内部网络，共享资源，没有一个好的安全保护措施。（4）QOS流量服务

控制，保证网络通顺（5）服务器的安全非常重要

3、1、2应用系统软件系统的安全存在问题，没有好的软件工具防御外来

攻击，列如垃圾病毒邮件的防御。

3、1、3防火墙因为本企业对网络安全的不重视，还未安装外部防火墙，

不能防御控制外来的攻击。

最新资料欢迎阅读

1

3、2针对现在网络中出现的网络安全问题，本课题所作的改善设计

3、2、1改善设计（1）改善其拓扑结构，把各设备协同工作时的隐患降到

最低。（2），对物理设备实施保护措施，拥有少量备用和扩充的设备，建立流量

控制措施，达到遇到突发情况从容面对，加以保证网络的正常运行。（3）采用现

有的最有效安全的虚拟专用网络（VPN）技术，达到外部访问内部资源时的安全。

（4）QOS流量服务和ACL访问控制，保证网络通顺（5）打造服务器安全

3、2、2系统软件拥有一些安全的系统和防御、杀毒、筛选检测工具，达

到最大限度防御外来攻击。采用身份人证和数据加密，保护邮件安全，再及时更

新漏洞补丁随着电子邮件的普及和应用，伴随而来的电子邮件安全方面问题也越

来越多的引起人们的关注。我们已经认识到电子邮件用户所面临的安全性风险变

得日益严重。病毒、蠕虫、垃圾邮件、网页仿冒欺诈、间谍软件和一系列更新、

更复杂的攻击方法，使得电子邮件通信和电子邮件基础结构的管理成为了一种更

加具有风险的行为。

3、2、3防火墙、入侵检测安装好专业切功能强劲的防火墙，来有效防御

外来黑客病毒等方面的攻击。在两个网络之间加强访问控制的一整套装置，是内

部网络与外部网络之间的安全防范系统通常安装在内部网络与外部网络的链接

点上。所有来自internet（外部网）的传输信息或从内部网络发出的信息都必

须穿过防火墙。入侵行为的发觉。它通过对计算机网络或计算机系统中若干关键

点收集信息，并对其进行分析，从中发现网络或系统中是否有违反安全策略的行

为和被攻击的迹象。行进入侵检测的软件与硬件的组合便是入侵监测系统。与其

他安全产品不同的是，入侵检测系统需要更多的智能，它必须可以将得到的数据

进行分析，并得出有用的结果。一个合格的入侵检测系统能大大简化管理员的工

作，保证网络安全的运行。

4、系统设计关键技术

4、1、目标具体实现中采用的关键技术及分析

4、1、1本文主要用到的2种拓扑结构：

1、总线拓扑总线拓扑结构采用一个信道作为传输媒体，所有站点都通过相

应的硬件接口直接连到这一公共传输媒体上，该公共传输媒体即称为总线。总线

拓扑结构的优点：（1）总线结构所需要的电缆数量少。（2）总线结构简单，又是

最新资料欢迎阅读

1

无源工作，有较高的可靠性。（3）易于扩充，增加或减少用户比较方便。总线拓

扑的缺点：

（1）总线的传输距离有限，通信范围受到限制。（2）故障诊断和隔离较困

难。（3）分布式协议不能保证信息的及时传送，不具有实时功能

2、星形拓扑星形拓扑是由中央节点和通过点到到通信链路接到中央节点

的各个站点组成。星形拓扑结构具有以下优点：（1）控制简单。（2）故障诊断和

隔离容易。（3）方便服务。星形拓扑结构的缺点：（1）电缆长度和安装工作量可

观。（2）中央节点的负担较重，形成瓶颈。（3）各站点的分布处理能力较低。

4、1、2容灾备份技术首先，要解决网络的物理安全，网络的物理安全主

要是指地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、

被毁;电磁干扰;线路截获。以及高可用性的硬件、双机多冗余的设计、机房环境

及报警系统、安全意识等。在这个企业区局域网内，由于网络的物理跨度不大，

只要制定健全的安全管理制度，做好备份，并且加强网络设备和机房的管理，这

些风险是可以避免的。这个是整个网络系统安全的前提。容灾备份：容灾备份是

通过特定的容灾机制，在各种灾难损害发生后，仍然能够最大限度地保障提供正

常应用服务的信息系统。容灾备份可以分为数据备份和应用备份。数据备份需要

保证用户数据的完整性、可靠性和一致性。而对于提供实时服务的信息系统，用

户的服务请求在灾难中可能会中断，应用备份却能提供不间断的应用服务，让客

户的服务请求能够继续运行，保证信息系统提供的服务完整、可靠、一致。一个

完整的容灾备份系统包括本地数据备份、远程数据复制和异地备份中心。当然并

不是所有的企业都需要这样一个系统，只有对不可中断的关键业务才有必要建立

容灾备份中心。

4、1、3VPN技术一个完全私有的网络可以解决许多安全问题，因为很多

恶意攻击者根本无法进入网络实施攻击。但是，对于一个普通的地理覆盖范围广

的企业或公司，要搭建物理上私有的网络，往往在财政预算上是不合理的。VPN

技术就是为了解决这样一种安全需求的技术。VPN的英文全称是“Virtual

PrivateNetwork”，翻译过来就是“虚拟专用网络”。顾名思义，虚拟专用网络

我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯

协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一

最新资料欢迎阅读

1

条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺

设光缆之类的物理线路。这就好比去电信局申请专线，但是不用给铺设线路的费

用，也不用购买路由器等硬件设备。

4、2设计实现的策略和途径描述本方案为局域网网络安全解决方案，包括

原有网络系统分析、安全需求分析、安全目标的确立、安全体系结构的设计、等。

本安全解决方案的目标是在不影响企业局域网当前业务的前提下，实现对他们局

域网全面的安全管理：

（1）将安全策略、硬件设备及软件等方法结合起来，构成一个统一的防御

系统，有效阻止非法用户进入网络，减少网络的安全风险。

（2）定期进行漏洞扫描，审计跟踪，及时发现问题，解决问题。

（3）通过入侵检测等方式实现实时安全监控，提供快速响应故障的手段，

同时具备很好的安全取证措施。（4）使网络管理者能够很快重新组织被破坏了

的文件或应用。使系统重新恢复到破坏前的状态，最大限度地减少损失。

（5）在工作站、服务器上安装相应的防病毒软件，由中央控制台统一控制

和管理，实现全网统一防病毒。

4、3设计模型及系统结构（新的拓扑图）图4-1改善后的拓扑图在原拓

扑图的基础上，增加了重要的防火墙，并把工厂办公子网的连接换到主交换机上，

避免了员工子网交换机如果出现问题故障，导致重要生产线子网不能工作的问

题。即是完全把企业的拓扑改成主流的星形拓扑结构。员工办公子网中间也可多

增加一些交换机，减轻负担，对里面的部门分化也比较容易管理，再加上只要制

定健全的安全管理制度，做好备份，并且加强网络设备和机房的管理，就能达到

在现有设备基础上，实现网络安全的目标。

5、系统实现技术概述确保现有的设备稳定安全的基础上，对交换机路由

器等，采用一些安全技术，进行内部网络的设置。例如对各种设备都做了哪些修

改，这些修改带来的优势，以达到增强网络安全的目的。

5、1物理设备安全

5、1、1容灾备份从广义上讲，任何提高系统可用性的努力，都可称之为

容灾（或容灾备份）。本地容灾就是主机集群，当某台主机出现故障，不能正常

工作时，其他的主机可以替代该主机，继续进行正常的工作。当一处系统因灾难

最新资料欢迎阅读

1

而停止工作时，整个应用系统可以切换到另一处，使得该系统可以继续正常工作。

在建立容灾备份系统时会涉及到多种技术，如：远程镜像技术、基于IP的SAN

（存储区域网络）的互连技术、快照技术等。远程镜像技术就是远程同步复制技

术，指通过远程镜像软件，将本地数据以完全同步的方式复制到异地。通过镜像

把数据备份到远程存储系统中，再用快照技术把远程存储系统中的信息备份到远

程的磁带库、光盘库中。基于IP的SAN的远程数据容灾备份技术，是将主数据

中心SAN中的信息通过现有的TCP/IP网络，远程复制到备援中心SAN中。当备

援中心存储的数据量过大时，可利用快照技术将其备份到磁带库或光盘库中。

5、1、2防盗和防毁当计算机系统或设备被盗、被毁时，除了设备本身丢

失或毁损带来的损失外，更多的损失则是失去了有价值的程序和数据。因此，防

盗、防毁是计算机防护的一个重要内容。通常采取的防盗、防毁措施主要有：设

置报警器在机房周围空间放置侵入报警器，侵入报警的形式主要有光电、微波、

红外线和超声波；锁定装置在计算机设备中，特别是在个人计算机中设置锁定装

置，以防犯罪盗窃；计算机保险在计算机系统受到侵犯后，可以得到损失的经济

补偿，但是无法补偿失去的程序和数据，为此应设置一定的保险装置

5、1、3防止电磁泄漏发射计算机主机及其附属电子设备如视频显示终端、

打印机等在工作时不可避免地会产生电磁波辐射，这些辐射中携带有计算机正在

进行处理的数据信息。抑制计算机中信息泄漏的技术途径有两种：一是电子隐蔽

技术，二是物理抑制技术。电子隐蔽技术主要是用干扰、调频等技术来掩饰计算

机的工作状态和保护信息；物理抑制技术则是抑制一切有用信息的外泄。物理抑

制技术可分为包容法和抑源法。包容法主要是对辐射源进行屏蔽，以阻止电磁波

的外泄传播。抑源法就是从线路和元器件入手，从根本上阻止计算机系统向外辐

射电磁波，消除产生较强电磁波的根源。

5、1、4防电磁干扰电磁干扰是指当电子设备辐射出的能量超过一定程度

时，就会干扰设备本身以及周围的其他电子设备的现象。计算机与各种电子设备

和广播、电视、雷达等无线设备及电子仪器等都会发出电磁干扰信号，计算机要

在这样复杂的电磁干扰环境中工作，其可靠性、稳定性和安全性将受到严重影响。

因此，实际使用中需要了解和考虑计算机的抗电磁干扰问题，即电磁兼容性问题。

最新资料欢迎阅读

1

5、1、5媒介安全包括媒介数据的安全以及媒介本身的安全。对于存放重

要数据的计算机设备，要有定期数据备份计划，用磁盘、光盘等介质及时备份数

据，妥善存档保管。也要有数据恢复方案，在系统瘫痪或出现严重故障时，能够

进行数据恢复。

5、1、6保密技术计算机系统的保密主要是指存放于磁盘上的文件、数据

库等数据存储的保密措施，应用于这方面的技术主要有访问控制、数据加密等。

可用加密系统有数据加/解密卡、数据加密机、数据采编加密系统、抗辐射干扰

器、电子印章系统等。

5、2VPN技术为了远程访问的快捷与安全，我们采用了VPN技术，可按照

企业的情况对主路由进行配置实现。这是原本企业没采用的方式。VPN(Virtual

PrivateNetwork，虚拟专用网络)是专用网络的延伸，包含了类似Internet的

共享或公共网络连接。通过VPN可以模拟点对点专用连接的方式通过共享或公共

网络在两台计算机之间发送数据。它具有良好的保密和不受干扰性，使双方能进

行自由而安全的点对点连接，因此广泛地受到网络管理员们的关注。

5、2、1配置VPN服务器（需有路由和远程访问功能）：

1、开始配置：要想让Win2000计算机能接受客户机的VPN拨入，必须对

VPN服务器进行配置。在左边窗口中选中"SERVER"(服务器名)，在其上单击右键，

选"配置并启用路由和远程访问"图5-

12、如果以前已经配置过这台服务器，现在需要重新开始，则在"SERVER"(服

务器名)上单击右键，选"禁用路由和远程访问"，即可停止此服务，以便重新配

置。

3、当进入配置向导之后，在"公共设置"中，点选中"虚拟专用网络(VPN)

服务器"，以便让用户能通过公共网络(比如Internet)来访问此服务器。

最新资料欢迎阅读

1

4、一般来说，在"远程客户协议"的对话框中，至少应该已经有了TCP/IP

协议，则只需直接点选"是，所有可用的协议都在列表上"，再按"下一步"即可。

5、之后系统会要求你再选择一个此服务器所使用的Internet连接，在其

下的列表中选择所用的连接方式(比如已建立好的拨号连接或通过指定的网卡进

行连接等)，再按"下一步"。

6、接着在回答"您想如何对远程客户机分配IP地址"的询问时，除非你已

在服务器端安装好了DHCP服务器，否则请在此处选"来自一个指定的IP地址范

围"(推荐)。

7、然后再根据提示输入你要分配给客户端使用的起始IP地址，"添加"

进列表中，比如"1

92、1

68、0、10～1

92、1

68、0、20"(请注意，此IP地址范围要同服务器本身的IP地址处在同一个

网段中，即前面的"1

92、1

68、0"部分一定要相同！)。

8、最后再选"不，我现在不想设置此服务器使用RADIUS"即可完成最后的

最新资料欢迎阅读

1

设置。此时屏幕上将自动出现一个正在开户"路由和远程访问服务"的小窗口。当

它消失之后，打开"管理工具"中的"服务"，即可以看到"RoutingandRemote

Access"(路由和远程访问)项"自动"处于"已启动"状态了。图5-

25、2、2如何赋予用户拨入的权限：

1、想要给一个用户赋予拨入到此服务器的权限(默认是任何用户均被拒绝

拨入到服务器上)，需打开管理工具中的用户管理器(在"计算机管理"项或

"ActiveDirectory用户和计算机"中)，选中所需要的用户，在其上单击右键，

选"属性"。

2、在该用户属性窗口中选"拨入"项，然后点击"允许访问"项，再按"确定

"即可完成赋予此用户拨入权限的工作。

5、2、3通过局域网进行VPN连接：

1、进入Win98的计算机，要想连接到VPN服务器，则需要先安装"虚拟专

用网络"服务。在控制面板的"网络"下，进入"通讯"即可找到此项并添加上去。

安装完成之后再根据提示重启动计算机。

2、重新启动之后，在控制面板的"网络"中就有了"Microsoft虚拟私人网

络适配器"，即说明VPN服务已安装成功！

最新资料欢迎阅读

1

3、还需要建立到VPN服务器的连接。首先进入我的电脑的"拨号网络"中，

双击"建立新连接"，然后在"请键入对方计算机的名称"中输入连接名，比如"局

域网内的VPN连接"，在"选择设备"选中"MicrosoftVPNAdapter"项！再按"下

一步"。

4、接着出现"请输入VPN服务器的名称或IP地址"，在其下的文字框中输

入Win2K服务器的名字或IP地址，比如此处为"1

92、1

68、0、1"，再根据提示操作即可建立成功！

5、然后在"拨号网络"中双击刚才建立好的"局域网内的VPN连接"图标，

再输入相应的用户名(需具有拨入服务器的权限)和密码，再按"连接"按钮。

6、如果成功连接到了VPN服务器，此时就会像普通拨号上网成功一样，

在任务栏右下角会出现两个小电脑的图标，双击它即可出现连接状态小窗口，在

其中可以看到。

5、2、4通过Internet进行VPN连接

1、首先得确保服务器已经连入了Internet，用ipconfg测出其在Internet

上合法的IP地址。

2、在Win98客户机端参照本节上文相关内容建立一个新的VPN连接，在

最新资料欢迎阅读

1

相应处输入服务器在Internet上合法的IP地址，然后将客户机端也拨入

Internet，再双击所建立的VPN连接，输入相应用户名和密码，再点"连接"按钮。

3、连接成功之后可以看到，双方的任务栏右侧均会出现两个拨号网络成

功运行的图标，其中一个是到Intenet的连接，另一个则是VPN的连接了。图

5-

34、当双方建立好了通过Internet的VPN连接后，即相当于又在Internet

上建立好了一个双方专用的虚拟通道，而通过此通道，双方可以在网上邻居中进

行互访，也就是说相当于又组成了一个局域网络！这个网络是双方专用的，而且

具有非常好的保密性能。VPN建立成功之后，双方便可以通过IP地址或"网上

邻居"来达到互访的目的，当然也就可以使用对方所共享出来的资源了！

5、3访问控制列表与QOS技术（1）在路由器上配置控制访问列表（ACL），

主要的目的是为了应用防火墙的功能。ACL是一个很好的描述数据流的方法，即

它定义了区分数据流的规则。这些规则不但可以应用在路由器的防火墙功能中，

同时在路由的具体实现中，ACL还可以被应用在许多需要描述数据流的场合，如

NAT、QOS、策略路由等。ACL主要的功效就是在企业中，外部的网络只有特定的

用户可以访问内部服务器，而内部网络中只有特定的主机才可以访问外部的网

络，控制访问。（2）QOS联网服务质量，是在整个网络连接上应用的各种通信或

程序类型优先技术。QoS技术的存在是为了获得更好的联网服务质量。QoS是一

组服务要求，网络必须满足这些要求才能确保适当服务级别的数据传输。起到很

好避免网络堵塞的目的。企业中，用控制访问列表来限制公司内部对外的访问，

再配合上QOS的程序优先级技术，能很好的解决网络宽带的问题，保证企业网络

安全顺畅的运行。

5、4服务器的安全近些年来，服务器遭受的风险比以前更大了。越来越多

的病毒，心怀不轨的黑客都将服务器作为了自己的目标。很明显，服务器的安全

问题是不容忽视的。在这里谈谈企业维护服务器安全的方法。

5、4、1、将磁盘分区转换成NTFS格式当服务器上的资料都存在于一个FAT

最新资料欢迎阅读

1

的磁盘分区的时候，即使安装上世界上所有的安全软件也不会对你有多大帮助

的。因为这个原因，你需要从基本做起。你需要将服务器上所有包含了敏感资料

的磁盘分区都转换成NTFS格式的。

5、4、2、构建安全的工作站加强工作站的安全能够提高整个网络的安全性，

我们建议初步所有工作站上使用Windows2000，Windows2000是一个非常安全的

操作系统，如果不这样做，那么至少也要安装WindowsNT、然后可以锁定站，

让没有安全访问权的人不能获得网络配置信息。

5、4、3、建立严格的用户权限严格控制用户的权限，让用户在访问整个网

络上的任何东西的时候都需要密码。必须强迫大家使用高强度的由大小写字母，

数字和特殊字符组成的密码，并及时更新过时密码。

5、4、4、安装更新软件设备在服务器上安装入侵检测系统和报警系统，弥

补防火墙上的功能，达到监控网络、执行立即的拦截工作以及分析过滤封包的动

作，当有窃取者入侵的时候便可以立刻有效终止。要对这些设备软件及时检查更

新，达到最好的效果。

结束语终于，几个月的毕业设计结束了。在这次的设计学习中，不仅巩固了

以前学校学到的很多知识，还学到了许多新的知识。对自己所学的专业已经有了

较深的认识。在设计方案中，吸取了大量书本以及网络上的知识，在大大扩展了

自己知识面的同时，还认识了自己学习的专业在社会上的应用，初次把大量的知

识应用到实践中去，发现了许许多多的问题，体会到了书本上学不到的东西，从

实践中成长许多。真正认识到单单的理论学习是不够的，只有理论结合实践，遇

到问题及时解决，吸取大量的实践经验，才对自己有莫大的帮助。计算机网络是

一门很有用的学科。通过此次的设计，迫使我对网络安全方面有了更深层次的了

解，设计一个全方位的安全方案是非常不容易的，涉及的方面也很多，要考虑到

的东西方方面面，还需要认识到各种的配合使用与兼容性。但由于增加了自己对

这方面的知识，对网络的安全方面更感兴趣了，也坚信它未来的优势，安全无止

境！由于自己目前知识水平的有限，方案很多方面考虑的还不够周全，恳请老师

多多指教！致谢这次的毕业设计已经快要结束了，想想设计过程中出现的问题，

同学老师给予自己的帮助，都觉的很开心，再大的困难也难不倒我。这使我有了

一个很大的进步。在此，我表示由衷的感谢，没有他们的帮助，我将无法顺利完

最新资料欢迎阅读

1

成这次设计。首先，当然要特别感谢我的指导老师，在设计期间帮我理清了思路，

解答了我的许多疑问，对我的课题提出了许多改进的方案，给了我很大的帮助。

使我得到很大的提高，相信这都会对自己以后的学习工作有很大的帮助，所以我

真的很感谢她。还有，我要感谢和我同组的同学以及朋友，都给我提了不少的建

议，帮助和提醒我。最后，我要感谢培养我的母校信息学院，是她培养了我们，

又用合理的方法了教育了我们，使我们在理论与实践中能够合理的应用，学到了

很多。参考文献[1]石淑华，池瑞楠、《计算机网络安全基础》[M]、北京：人民

邮电出版社，xxISBN：7-115-13368-9[2]张凌杰、《网络故障检测与维护》[M]、

北京：高等教育出版社，xxISBN：7-04--2[3]《中小企业网络技术》[M]、杭州：

华三通信技术有限公司，xx[4]Kenneth

D、Reed、《网络互连设备》[M]、北京：

电子工业出版社，xxISBN：7-5053-9365-0[5]潘孝铭辛明海、《软件文档

编写》[M]、北京：高等教育出版社，2004ISBN：7-04---6