序論：寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感，挖掘那些隱藏在內心深處的真相，好投稿為您帶來了七篇企業網絡設計與實現范文，愿它們成為您寫作過程中的靈感催化劑，助力您的創作。

篇(1)

目前，隨著我國現代信息技術的快速發展，很多大型企業的經營管理方式也朝著信息化方向發展。在信息化技術非常發達的現代，一個企業的信息化水平的高低將決定企業競爭力的大小，因此，企業只有掌握較好的網絡技術，才能更好地控制企業的機密，從而實現企業的信息化管理。為了進一步提高企業的資源利用管理水平，提高企業的核心競爭力，構建企業網絡安全部署具有直接決定作用。

1我國企業網絡構架及安全部署的現狀

企業網絡構架現在已經從以往單一的數據交換發展到綜合智能化一體的信息化網絡計劃，我國企業的網絡構架及安全部署現在已經發展了幾十年，但是，與西方發達國家相比，我國企業的網絡構架及安全部署還存在很大的差距。目前，我國企業已經意識到網絡構架及安全部署的重要性，主要是由于企業網絡構架對于企業的生產、管理和物流等環節都具有較大的支持作用。企業的管理層對網絡構架的設計思想主要反映出企業利用資源的能力，從而保證企業的網絡構架是其業務水平的重要保障。我國現在很多企業對網絡構架及安全部署的要求越來越高，但是我國企業的網絡構架還無法滿足現代企業網絡構架的高要求。因此，我國企業網絡構架及安全部署的不足嚴重制約了我國企業的長遠發展。

2企業網絡架構安全部署設計與實現

2.1 網絡架構設計思想及原則

我國企業網絡架構設計主要是為了實現將不同位置的計算機網絡進行互通，這也是企業實現網絡構架的基本要求。隨著我國企業數據業務的不斷發展和改進，企業網絡構架的設計要求也變得更高，因而需要從簡單的網絡構架中設計出服務性更強的網絡構架，并且不斷向應用型網絡構架轉變。因此，企業網絡構架的設計者在進行網絡構架設計時應該充分考慮企業的各種業務需求，以保證企業的網絡構架能夠滿足其長遠的發展，從而為企業提供更加方便的管理平臺，這也是企業網絡構架及安全部署設計的基本思想和原則。

2.2 企業網絡架構的實現

當網絡構架的基本設計完成后，就應該對設計的模型進行部署和實現，從而使得企業能夠更加實際地了解企業的網絡構架。

企業網絡構架實現的過程一般包括以下幾個方面：1）規劃企業的IP地址空間范圍；2）部署和實現企業核心層的網絡構架；3）在核心網絡構架的基礎上對下層的網絡構架進行設計。當然，企業的網絡構架的設計一般應該遵循規范性、標準性、連續性和靈活性等原則。

3企業網絡構架的故障分析及解決方案

3.1 網絡冗余雙機部署中的故障

現在，網絡設備雙機部署過程中，由于路由的配置等技術相對比較成熟，一般不會出現故障和問題。但是，其企業網絡構架中防火墻的雙機構架的設計和部署時，會出現很多疑難問題。目前，解決這些疑難問題的方法主要包括以下兩種：1）移除防火墻之間的交叉冗余鏈路，同時更改兩臺防火墻上相同路由開銷值，這樣可以保證在主防火墻出現故障后，其他防火墻可以安全使用。這種方案可以解決故障，但也存在一定的弊病，主要是指數據負載在主設備上，備用設備一般是出于閑置狀態，只有出現故障時才切換到備用設備機；2）采取措施將主防火墻的全部會話列表與備用設備同步，從而使備用設備保持與主設備的防火墻會話列表一致。即使出現數據訪問不一致的情況，主設備也不會導致數據發生故障，從而造成多個設備處于故障狀態。當然，防火墻會話同步的設計現在已經成為基于會話狀態防火墻的解決網絡冗余雙機部署中故障重要手段和措施。

3.2 網絡QOS保障

QOS保障是企業在進行網絡構架及安全部署的設計與實現的過程中，對特殊數據進行帶寬處理，以實現優先保證的一種有效途徑。但是，語音和視頻在網絡傳輸的過程中對帶寬的延時和抖動的要求比較高，因而需要考慮企業網絡分子結構廣域網帶寬的影響，然后根據流量分析，在帶寬能夠滿足一定要求的情況下，保證視頻和語音數據的傳輸更加順暢。當然，企業網絡架構及安全部署的設計和實現過程中，分支網絡構架中的語音和視頻數據需要經過各自的核心路由，這樣的企業網絡構架需要保障企業的語音和視頻在網絡分子上得到一定的保證。然而，在實際的網絡構架部署過程中，由于企業的業務不斷增加和網絡分支的不斷擴展，廣域網的數據量也增大，因此，采用QOS來對數據進行保障顯得至關重要。

3.3 網絡訪問安全控制

網絡訪問安全控制的配置在企業網絡構架的部署中非常常見，一般需要采用防火墻進行數據的訪問，還需要在路由器上配置一些安全措施，以實現企業能夠對數據進行控制。尤其是對于一些防病毒、訪問隔離和環路等故障，企業網絡訪問安全控制很有必要。

篇(2)

關鍵詞：snort；IPTables；Sebek；入侵檢測技術；蜜罐系統；信息安全

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2011)26-6392-02

作為一種新型的信息安全技術，蜜罐技術不再因循傳統信息安全的被動防御體系，它一方面能夠作為獨立的信息安全工具，另一方面也能夠與其它信息安全工具協作。蜜罐技術通過構造網絡誘騙環境，來研究網絡入侵者的具體技術與行為。傳統的網絡安全系統往往拘泥于一種體系，該文的創新之處在于研究如何使其它安全技術與蜜罐技術相結合，從而實現一個高交互度級別的蜜罐系統，進而構成統一的網絡安全基礎設施。

1 網絡安全蜜罐系統的理論設計與實現

1.1 系統總體設計

該文所設計的蜜罐系統由三部分構成：網關、監控機和虛擬蜜罐，如圖1所示。

網關(HoneyWall)是以橋接模式部署的，網關接口以橋接方式連接，不會提供本身的 MAC 地址，對網絡數據包也不會進行網絡路由 和TTL遞減，網關將控制和審計所有流入流出蜜罐系統的網絡流量。

該文所設計的蜜罐系統引入多層次的數據捕獲機制，分別是：

1) 防火墻。截獲所有IP包，從其傳輸層協議頭 以及IP頭中獲取相關信息，與事先設定的訪問控制規則按順序依次匹配，并執行其規定的動作。

2) 入侵檢測系統。基于Snort的入侵檢測系統監聽流入流出蜜罐系統的全部網絡流量，根據配置，對與Snort攻擊特征相匹配的數據包產生報警日志，避免攻擊。

3) 系統行為監視器。使用了Sebek來捕獲攻擊者基于加密信道的攻擊行為。在蜜罐主機上以內核模塊的方式安裝Sebek客戶端，在網關上安裝Sebek服務端，存儲來自多個蜜罐主機發來的Sebek數據。

蜜罐系統在網關上運行IPTables防火墻、Sebek服務端以及網絡入侵檢測系統Snort。引入VMware虛擬機軟件虛擬出分別運行Windows XP和Linux操作系統的兩個蜜罐主機，系統結構圖如圖2所示。

1.2 核心模塊的理論分析與設計

1.2.1 數據控制模塊

該文引入Linux 開放源代碼的自帶的防火墻IPTables實現數據控制，系統偵測到數據包的進入時，會通過路由表查詢，來決定數據包的流向。接下來，將信息包所傳遞到的鏈中的每條規則與數據包的頭信息進行比較，看與某條規則是否完全匹配。該文所設計的網絡安全蜜罐系統信息包過濾過程如圖3所示。

在信息安全主系統上IPTables發揮了兩個作用，首先是記錄流經主系統的數據流量，其次是限制由蜜罐網絡發出的對外連接。引入IPTables的作用就是在數據捕獲的同時實現第三方保護，有效的降低整個系統的風險，控制蜜罐的對外連接。

IPTables蜜罐系統中對數據包進行處理時，為減少日志中的冗余信息，對入站連接而言，僅僅對新建的連接進行記錄，并默認所有的對內連接均為允許。相反，嚴格控制出站連接，只要原地址并非蜜罐地址，便記錄并丟棄，從而避免由蜜罐發起的IP欺騙攻擊；IPTables允許蜜罐系統發送和接收廣播包，并使用基于廣播的一些服務，從而誘騙黑客相信這是正常的一臺服務器；此外，IPTables蜜罐系統對出站的連接數進行限制，從而避免黑客發動DoS攻擊，同時也支持對第三方的保護。

1.2.2 入侵檢測模塊

本系統由Snort來實現輕量級的網絡入侵檢測。它能夠對攻擊進行實時報警，檢測各種不同的攻擊方式。

Snort 在本系統中的主要功能，首先是采集和分析在網關對進出蜜罐系統的數據，實現攻擊的檢測；其次是控制蜜罐系統的數據，根據策略對數據包進行規則匹配，以判定是否有第三方發起攻擊，進行丟棄或修改。

本系統在設計中，將 snort sensor 網卡設置為混雜模式，對進入局域網的數據，引入libpcap抓包函數庫的API進行截獲和監控，同時通過相應的解包函數逐層按協議棧解碼截獲的數據包。在此基礎上形成可被分析系統識別的數據包。根據 Snort 配置文件進行匹配，并記錄匹配結果。圖4所示為該文所設計的Snort的結構。

在入侵檢測模塊中，Snort的規則分析是實現的重點。Snort的規則邏輯由兩部分構成，分別是：Rule Option(規則選項)和Rule Header(規則頭)。在規則頭中，包括所匹配網絡報文的協議、規則的行為、目標地址、源地址和源端口和目標端口、網絡掩碼等信息；在規則選項中，則包含了判定報文是否為攻擊報文的信息以及顯示給用戶查看的警告信息。

1.2.3 數據捕獲模塊

Sebek 是基于內核的捕獲數據的工具，支持系統查看蜜罐的內部活動。

1）基于Sebek的數據記錄。

Sebek有兩個客戶端和服務端組成部分，客戶端捕獲數據并輸出到服務端，服務端收集數據后，既可以馬上顯示擊鍵記錄，也可以上傳到相關數據庫。該文所涉及的網絡安全蜜罐系統數據捕獲是通過對系統調用表的read()函數進行替換來進行的。如圖5所示。

主要流程為：調用老 read()函數替換新函數，同時在一個數據包緩存拷貝內容，再加上一個數據包頭，發送到服務端。通過改變系統調用表的函數指針來實現替換原來的函數。當標準的read()函數被用戶空間的進程調用時，便會出發一個系統調用，這個系統調用通過到系統調用表數組映射，導致索引偏移。由于read索引的函數指針被Sebek修改，并指向到它自己的函數，因此Sebek修改后的read調用會在執行到內核的 read 實現時被觸發，通過這個系統調用，Sebek便能夠訪問所有的數據。

2）基于Sebek的數據發送

當數據被Sebek客戶端捕獲的時候，數據應該在沒有被入侵者察覺時就發送到服務端。通常在一個局域網內布置蜜罐，如果給服務端發送數據 只是由Sebek使用 UDP 流來完成，就會使入侵者通過網絡上的數據傳輸監聽來判別Sebek是否存在。因此，本設計在使用UDP發送數據給服務端的提示，通過修改內核，使這些數據包無法被用戶看到，包括該類型使用相同配置的其它主機發送的數據包。具體的實現為：在任意一個read()調用請求 Sebek的時候，均能夠產生日志數據包，每個日志數據包都體現出這個調用訪問的數據和調用內容的信息。這些數據包均含有 Sebek 記錄，這個Sebek記錄包含產生調用的進程數據信息。由于完全由Sebek（而不是使用 TCP/IP 協議棧）產生這些包，因此這些數據包無法被系統看到或阻斷。創建好數據包就直接發至驅動設備，而嗅探器的libpcap收集數據包是依賴使用原始套接字接口的，所以由Sebek產生的數據包嗅探器就無法看到了，從而實現了數據發送。

2 結束語

該文在snort入侵檢測技術的基礎上，研究和設計了一個具有高交互度級別特征的蜜罐信息安全系統，其中，重點闡述了基于蜜罐的數據捕獲和數據控制功能的多層次設計上。在分析蜜罐系統的體系結構的基礎上，深入研究了對蜜罐系統中使用到的 Snort體系和規則，具有比較好的理論意義和實踐價值。

參考文獻：

[1] 魏亮，周吉陽. 互聯網網絡與信息的安全策略[J].通信管理與技術，2011(6):15-18.

[2] 譚紅斌，鄭鑫. 網絡安全防御系統的安全策略及系統框架研究[J].電腦開發與應用，2009,21(11):67-77.

[3] 代平順，王洪超.互聯網網絡安全探討[J].科技信息，2009(17):387-388.

篇(3)

一、企業網絡安全風險狀況概述

企業網絡是在企業范圍內，在一定的思想和理論指導下，為企業提供資源共享、信息交流和協同工作的計算機網絡。隨著我國各地企業網數量的迅速增加，如何實現企業網之間資源共享、信息交流和協同工作以及保證企業網絡安全的要求是越來越強烈。與其它網絡一樣，企業網也同樣面臨著各種各樣的網絡安全問題。但是在企業網絡建設的過程中，由于對技術的偏好和運營意識的不足，普遍都存在”重技術、輕安全、輕管理”的傾向，隨著網絡規模的急劇膨脹，網絡用戶的快速增長，關鍵性應用的普及和深入，企業網絡在企業的信息化建設中已經在扮演了至關重要的角色，作為數字化信息的最重要傳輸載體，如何保證企業網絡能正常的運行不受各種網絡黑客的侵害就成為各個企業不可回避的一個緊迫問題，解決網絡安全問題刻不容緩，并且逐漸引起了各方面的重視。

由于Internet上存在各種各樣不可預知的風險，網絡入侵者可以通過多種方式攻擊內部網絡。此外，由于企業網用戶網絡安全尚欠缺，很少考慮實際存在的風險和低效率，很少學習防范病毒、漏洞修復、密碼管理、信息保密的必備知識以及防止人為破壞系統和篡改敏感數據的有關技術。

因此，在設計時有必要將公開服務器和外網及內部其它業務網絡進行必要的隔離，避免網絡結構信息外泄；同時還要對網絡通訊進行有效的過濾，使必要的服務請求到達主機，對不必要的訪問請求加以拒絕。

二、企業網絡安全體系結構的設計與構建

網絡安全系統的構建實際上是入侵者與反入侵者之間的持久的對抗過程。網絡安全體系不是一勞永逸地能夠防范任何攻擊的完美系統。人們力圖建立的是一個網絡安全的動態防護體系，是動態加靜態的防御，是被動加主動的防御甚至抗擊，是管理加技術的完整安全觀念。但企業網絡安全問題不是在網絡中加一個防火墻就能解決的問題，需要有一個科學、系統、全面的網絡安全結構體系。

（一）企業網絡安全系統設計目標

企業網絡系統安全設計的目標是使在企業網絡中信息的采集、存儲、處理、傳播和運用過程中，信息的自由性、秘密性、完整性、共享性等都能得到良好保護的一種狀態。在網絡上傳遞的信息沒有被故意的或偶然的非法授權泄露、更改、破壞或使信息被非法系統辨識、控制，網絡信息的保密性、完整性、可用性、可控性得到良好保護的狀態。

（二）企業網防火墻的部署

1.安全策略。所有的數據包都必須經過防火墻;只有被允許的數據包才能通過防火墻;防火墻本身要有預防入侵的功能;默認禁止所有的服務，除非是必須的服務才被允許。

2.系統設計。在互聯網與企業網內網之間部署了一臺硬件防火墻，在內外網之間建立一道安全屏障。其中WEB、E一mail、FTP等服務器放置在防火墻的DMZ區(即“非軍事區”，是為不信任系統提供服務的孤立網段，它阻止內網和外網直接通信以保證內網安全)，與內網和外網間進行隔離，內網口連接企業網，外網口通過電信網絡與互聯網連接。

3.入侵檢測系統的設計和部署。入侵檢測系統主要檢測對網絡系統各主要運營環節的實時入侵，在企業網網絡與互聯網之間設置瑞星RIDS一100入侵檢測系統，與防火墻并行的接入網絡中，監測來自互聯網、企業網內部的攻擊行為。發現入侵行為時，及時通知防火墻阻斷攻擊源。

4.企業網絡安全體系實施階段。

第一階段：基本安全需求。第一階段的目標是利用已有的技術，首先滿足企業網最迫切的安全需求，所涉及到的安全內容有：

①滿足設備物理安全

②VLAN與IP地址的規劃與實施

③制定相關安全策略

④內外網隔離與訪問控制

⑤內網自身病毒防護

⑥系統自身安全

⑦相關制度的完善

第二階段：較高的安全需求。這一階段的目標是在完成第一階段安全需求的前提下，全面實現整個企業網絡的安全需求。所涉及的安全內容有：

①入侵檢測與保護

②身份認證與安全審計

③流量控制

④內外網病毒防護與控制

⑤動態調整安全策略

篇(4)

【關鍵詞】中小企業網絡營銷站點 架設 價值研究

一、引言

伴隨著IT技術的向前飛躍式的發展，信息技術為各行各業帶來了便利和效益。企業掌握了信息，特別是掌握了大量有價值的信息，就可能在激烈的市場競爭中取的優勢，就能取得制勝的機會。應用計算機信息技術，正在為企業的營銷、管理、決策等環節服務。信息化程度已經成為衡量一個企業的標準，業已成為企業核心競爭力的組成要素。

企業信息化，已經影響著越來越多的企業。如今越來越多的企業對信息化建設的認識不再是表面的和膚淺的，而是伴隨著信息化進程的不斷深入，使這種認識變得更加全面的和深刻。應用計算機信息技術，正在為企業的業務流程數字化、決策支持、快速響應等環節服務。信息化水平已經成為衡量一個企業的標準，業已成為企業核心競爭力的組成要素。

而企業從事網絡營銷則是較為常見的一種方式。所謂網絡營銷就是借助于互聯網信息技術作為基礎，以企業的整體營銷戰略的實現作為目標，采用互動的方式來輔助實現企業營銷目標的一種商務模式。網絡營銷起源于國外，經過20多年的發展，國內已經逐步發展起了較為成熟的網絡營銷市場，國內各種類型企業紛紛看到了以網絡營銷來拓展網絡這塊潛力巨大的市場。

進行企業網絡營銷活動，目前常見的方式就是架設企業網絡營銷站點。

二、架設企業網絡營銷站點的目的

架設企業網絡營銷站點是為了便于公司信息對外，便于瀏覽者很直接地訪問企業的相關信息，比如企業資訊、產品及服務、聯系方式、人事招聘等內容，拉近用戶和企業之間的距離；同時，也便于企業內部管理人員及時通過快捷便利的互聯網手段，將企業的信息傳播到全球各個角落；同時對于公司員工使用企業網絡營銷站點管理系統時能夠更加簡潔易用。

企業網絡營銷站點的建立，為公司的業務流程運行效率帶來了一定的提升作用。通常企業對外信息都是通過傳統渠道或者第三方網上平臺，這樣使得信息傳遞的效率和效果大打折扣，也增加了企業運作的成本。因此基于信息快速傳遞的要求，架設一個企業網絡營銷站點，可以為企業進行新聞、產品展示、人才招聘等提供更好的傳播渠道，同時也減少了信息傳遞的不對稱性，提高了企業運營的效率，減輕了企業的成本支出。所以在Internet上建立公司的網絡營銷站點在信息化時代的進化過程中，搶占網絡商機，提升公司形象，加強客戶服務，是公司經營的致勝之道。

三、企業架設網絡營銷站點的現狀

目前國外企業在信息化方面比國內公司的步伐要快，力度要大，特別是企業網絡營銷站點建設已經成為一種慣例，通過企業網絡營銷站點可以實現對企業內容業務系統的有效整合，可以提高企業的運作效率，便于用戶了解企業，提升企業的知名度等作用。而反觀國內企業，對于信息化的理解不夠透徹，以為信息化就是有幾臺電腦，能夠接入互聯網等等膚淺的認識，導致企業信息化水平不高，比如重點體現之一就是企業網絡營銷站點的架設，從設計上來說，專業化程度不夠高；從服務來看，網絡營銷站點不能很好地體現出對用戶的在線服務功能；諸如此類。但是，隨著企業知識管理的普及和深入，企業網絡營銷站點必將成為企業信息化建設的必然趨勢。

四、企業營銷站點架設的意義

第一，網絡營銷站點內容能夠保持較高的時效性。這點是傳統平面媒體所不能比擬的。企業網絡營銷站點就可以每天定時更新，可以將企業的最新情況及時；并且信息量不受時間篇幅的影響，但傳統平面媒體卻很難做到這一點。

第二，架設企業網絡營銷站點可以實現企業信息二十四小時不間斷地面向全球傳播，完全不受時間和地理范圍的限制。

第三，企業網絡營銷站點的架設，可以實現企業和用戶之間的實時、雙向互動，有利于化解單向溝通的信息傳遞障礙，提高企業和客戶的溝通效果，例如通過企業網絡營銷站點的在線客服系統，就可以實現即時通訊，及時了解用戶的潛在需求或者意向，增加企業與用戶成交的幾率。另外，通過企業網絡營銷站點的在線調查系統，企業可以很方便的收集用戶的意見和建議，以便于更好地服務用戶。

第四，通過架設企業網絡營銷站點，可以實現企業在產品或者服務的宣傳推廣方面的低成本投入，減少信息傳遞的不對稱性，有助于加強企業的品牌建設和提升企業的知名度，從而降低企業的運作成本，最終使企業在激烈的市場競爭中占據優勢地位。例如美國蘋果公司、微軟公司，中國的聯想、小米公司等。

五、總結

企業競爭的日趨激烈和網絡給消費者帶來的更多便利，也加劇了企業對網絡這塊市場的爭奪，企業想要在網絡市場上有一席之地，那么建立企業網絡營銷站點只是其中的一個步驟，因此，企業的網絡營銷站點架設好了，緊接著就是宣傳推廣、維護管理等等一系列更為重要的任務，總之，建設企業的網絡營銷站點，是企業從事網絡市場競爭的第一步，也是最為重要的前提性條件。

參考文獻：

[1]李東華.對我國企業信息化建設的思考[J].商情，2011，（10）.

[2]宗加云.網絡營銷中的企業網站建設策略[J].中國電子商務，2012，（10）.

[3]李佳雨.企業網站SEO技術研究[J].蘇州大學學報，2011，（09）.

[4]李華.中小型企業Web安全測試和評估[J].圖書情報，2011，（02）.

篇(5)

關鍵詞:企業網絡；安全；病毒；物理

在現代企業的生存與發展過程中，企業網絡安全威脅與企業網絡安全防護是并行存在的。雖然企業網絡安全技術與以往相比取得了突破性的進展，但過去企業網絡處于一個封閉或者是半封閉的狀態，只需簡單的防護設備和防護方案即可保證其安全性。而當今大多數企業網絡幾乎處于全球互聯的狀態，這種時空的無限制性和準入的開放性間接增加了企業網絡安全的影響因素，自然給企業網絡安全帶來了更多的威脅。因此，企業網絡安全防護一個永無止境的過程，對其進行研究無論是對于網絡安全技術的應用，還是對于企業的持續發展，都具有重要的意義。

1企業網絡安全問題分析

基于企業網絡的構成要素以及運行維護條件，目前企業網絡典型的安全問題主要表現于以下幾個方面。

1.1網絡設備安全問題

企業網絡系統服務器、網絡交換機、個人電腦、備用電源等硬件設備，時常會發生安全問題，而這些設備一旦產生安全事故很有可能會泄露企業的機密信息，進而給企業帶來不可估量經濟損失。以某企業為例，該企業網絡的服務器及相關網絡設備的運行電力由UPS接12V的SOAK蓄電池組提供，該蓄電池組使用年限行、容量低，在長時間停電的情況下，很容易由于蓄電池的電量耗盡而導致整個企業網絡的停運。當然，除了電源問題外，服務器、交換機也存在諸多安全隱患。

1.2服務器操作系統安全問題

隨著企業規模的壯大以及企業業務的拓展，對企業網絡服務器的安全需求也有所提高。目前諸多企業網絡服務器采用的是WindowsXP或Windows7操作系統，由于這些操作系統存在安全漏洞，自然會降低服務器的安全防御指數。加上異常端口、未使用端口以及不規范的高權限賬號管理等問題的存在，在不同程度上增加了服務器的安全威脅。

1.3訪問控制問題

企業網絡訪問控制安全問題也是較為常見的，以某企業為例，該企業采用Websense管理軟件來監控企業內部人員的上網行為，但未限制存在安全隱患的上網活動。同時對于內部上網終端及外來電腦未設置入網認證及無線網絡訪問節點安全檢查，任何電腦都可在信號區內接入到無線網絡。

2企業網絡安全防護方案

基于上述企業網絡普遍性的安全問題，可以針對性的提出以下綜合性的安全防護方案來提高企業網絡的整體安全性能。

2.1網絡設備安全方案

企業網絡相關設備的安全性能是保證整個企業網絡安全的基本前提，為了提高網絡設備的整體安全指數，可采取以下具體措施。首先，合適傳輸介質的選用。盡量選擇抗干擾能力強、傳輸頻帶寬、傳輸誤碼率低的傳輸介質，例如屏蔽式雙絞線、光纖等。其次是保證供電的安全可靠。企業網絡相關主干設備對交流電源的生產質量、供電連續性、供電可靠性以及抗干擾性等指標提出了更高的要求，這就要求對企業網絡的供電系統進行優化。以上述某企業網絡系統電源供電不足問題為例，為了徹底解決傳統電源供給不足問題，可以更換為大容量的蓄電池組，并安裝固定式發電機組，進而保證在長時間停電狀態下企業網絡設備的可持續供電，避免因為斷電而導致文件損壞及數據丟失等安全問題的發生。

2.2服務器系統安全方案

企業網絡服務器系統的安全尤為重要，然而其安全問題的產生又是多方面因素所導致的，需要從多個層面來構建安全防護方案。

2.2.1操作系統漏洞安全

目前企業網絡服務器操作系統以Windows為主，該系統漏洞的出現成為了諸多攻擊者的重點對象，除了采取常規的更新Windows系統、安裝系統補丁外，還應針對企業網絡服務器及個人電腦的操作系統使用實際情況，實施專門的漏洞掃描和檢測，并根據掃描結果做出科學、客觀、全面的安全評估，如圖1所示，將證書授權入侵檢測系統部署在核心交換機的監控端口，并在不同網段安裝由中央工作站控制的網絡入侵檢測，以此來檢測和響應網絡入侵威脅。圖1漏洞掃描及檢測系統

2.2.2Windows端口安全

在Windows系統中，端口是企業實現網絡信息服務主要通道，一般一臺服務器會綁定多個IP，而這些IP又通過多個端口來提高企業網絡服務能力，這種多個端口的對外開放在一定程度反而增加了安全威脅因素。從目前各種服務器網絡攻擊的運行路徑來看，大多數都要通過服務器TCP/UDP端口，可充分這一點來預防各種網絡攻擊，只需通過命令或端口管理軟件來實現系統端口的控制管理即可。

2.2.3Internet信息服務安全

Internet信息服務是以TCP/IP為基礎的，可通過諸多措施來提高Internet信息服務安全。（1）基于IP地址實現訪問控制。通過對IIS配置，可實現對來訪IP地址的檢測，進而以訪問權限的設置來阻止或允許某些特定計算機的訪問站點。（2）在非系統分區上安裝IIS服務器。若在系統分區上安裝IIS，IIS就會具備非法訪問屬性，給非法用戶侵入系統分區提供便利，因此，在非系統分區上安全IIS服務器較為科學。（3）NTFS文件系統的應用。NTFS文件系統具有文件及目錄管理功能，服務器Windows2000的安全機制是基于NTFS文件系統的，因此Windows2000安裝時選用NTFS文件系統，安全性能更高。（4）服務端口號的修改。雖然IIS網絡服務默認端口的使用為訪問提供了諸多便捷，但會降低安全性，更容易受到基于端口程序漏洞的服務器攻擊，因此，通過修改部分服務器的網絡服務端口可提高企業網絡服務器的安全性。

2.3網絡結構安全方案

2.3.1強化網絡設備安全

強化企業網絡設備的自身安全是保障企業網絡安全的基礎措施，具體包含以下措施。（1）網絡設備運行安全。對各設備、各端口運行狀態的實時監控能有效發現各種異常，進而預防各種安全威脅。一般可通過可視化管理軟件的應用來實現上述目標，例如What’supGold能實現對企業網絡設備狀態的監控，而SolarWindsNetworkPerformancemonitor可實現對各個端口流量的實時監控。（2）網絡設備登錄安全。為了保證網絡設備登錄安全指數，對于企業網絡中的核心設備應配置專用的localuser用戶名，用戶名級別設置的一級，該級別用戶只具備讀權限，一般用于console、遠程telnet登錄等需求。除此之外，還可設置一個單獨的super密碼，只有擁有super密碼的管理員才有資格對核心交換機實施相關配置設置。（3）無線AP安全。一般在企業內部有多個無線AP設備，應采用較為成熟的加密技術設置一個較為復雜的高級秘鑰，從而確保無線接入網的安全性。

2.3.2細分網絡安全區域

目前，廣播式局域的企業網絡組網模式存在著一個嚴重缺陷就是當其中各個局域網存在ARP病毒時，未設置ARP本地綁定或未設置ARP防火墻的終端則無法有效訪問系統，同時還可能泄露重要信息。為了解決這種問題，可對整個網絡進行細分，即按某種規則如企業職能部門將企業網絡終端設備劃分為多個網段，在每個網段均有不同的vlan，從而保證安全性。

2.3.3加強通問控制

針對企業各個部門對網絡資源的需求，在通問控制時需要注意以下幾點：對內服務器應根據提供的業務與對口部門互通；對內服務器需要與互聯網隔離；體驗區只能訪問互聯網，不能訪問辦公網。以上功能的實現，可在核心路由器和防火墻上共同配合完成。

作者:李常福 單位:鄭州市中心醫院

篇(6)

關鍵詞：網絡安全；網絡設計原則

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2012)18-4332-02

隨著信息技術的快速發展、現代網絡的普及、企業網絡化運作，企業門戶網站、企業電子商務等在企業經營運作過程中扮演著重要的角色，許多有遠見的企業都認識到依托先進的信息技術構建企業自身業務和運營平臺將極大地提升企業的競爭力，使企業在殘酷的競爭中脫穎而出。然而，企業在具有信息優勢的同時，也對企業的網絡安全提出了嚴峻的考驗。據報道，現在全世界平均每20秒就會發生一次計算機網絡入侵事件。據智能網絡安全和數據保護解決方案的領先供應商SonicWALL公司日前了其2011年年中網絡威脅情報報告：“報告顯示，企業正面臨越來越多網絡犯罪分子的攻擊，這些人企圖攻擊的主要對象是那些通過移動設備連接訪問企業網絡以及越來越頻繁使用社交媒體的企業員工。基于惡意軟件以及社交媒體詐騙的增多，正引發新的以及更嚴重的來自數據入侵、盜竊和丟失等方面造成的企業業務漏洞。”可見，企業網絡安全面臨的壓力越來越大，認清企業網絡安全面臨的主要威脅、設計實施合適的網絡安全策略，已成為擺在企業面前迫在眉睫的問題。

1企業網絡安全面臨的主要威脅

由于企業網絡由內部網絡、外部網絡和企業廣域網所組成，網絡結構復雜，面臨的主要威脅有以下幾個方面：

1.1網絡缺陷

Internet由于它的開放性迅速在全球范圍內普及，但也正是因為開放性使其保護信息安全存在先天不足。Internet最初的設計考慮主要的是考慮資源共享基本沒有考慮安全問題，缺乏相應的安全監督機制。

1.2病毒侵襲

計算機病毒通常隱藏在文件或程序代碼內，伺機進行自我復制，并能夠通過網絡、磁盤等諸多手段進行傳播，通過網絡傳播計算機病毒，其傳播速度相當快、影響面大，破壞性大大高于單機系統，用戶也很難防范，因此它的危害最能引起人們的關注，病毒時時刻刻威脅著整個互聯網。

1.3黑客入侵

黑客入侵是指黑客利用企業網絡的安全漏洞、木馬等，不經允許非法訪問企業內部網絡或數據資源，從事刪除、復制甚至破壞數據的活動。由于缺乏針對網絡犯罪卓有成效的反擊和跟蹤手段，使得黑客攻擊的隱蔽性好，“殺傷力”強，這是網絡安全的主要威脅之一。

1.4數據竊聽與攔截

這種方式是直接或間接截取網絡上的特定數據包并進行分析來獲取所需信息。這使得企業在與第三方網絡進行傳輸時，需要采取有效的措施來防止重要數據被中途截獲、竊聽。

1.5拒絕服務攻擊

拒絕服務攻擊即攻擊者不斷對網絡服務系統進行干擾，改變其正常的作業流程，執行無關程序使系統相應減慢甚至癱瘓，影響正常用戶的使用，甚至使合法用戶被排斥而不能進入計算機網絡系統或不能得到相應的服務，是黑客常用的攻擊手段之，其目的是阻礙合法網絡用戶使用該服務或破壞正常的商務活動。

1.6內部網絡威脅

據網絡安全界統計數據顯示，近80%的網絡安全事件是來自企業內部。這樣的安全犯罪通常目的比較明確，如對企業機密信息的竊取、數據更改、財務欺騙等，因此內部網絡威脅對企業的威脅更為嚴重。

2企業網絡安全設計的主要原則

針對企業網絡安全中主要面臨的威脅，考慮信息安全的機密性、完整性、可用性、可控性、可審查性等要素，建議在設計企業網絡時應遵循以下幾個原則：

2.1整體性原則

在設計網絡時，要分析網絡中的安全隱患并制定整體網絡的安全策略，然后根據制定的安全策略設計出合理的網絡安全體系結構。要清楚計算機網絡中的設備、數據等在整個網絡中的作用及其訪問使用權限，從系統整體的角度去分析，制定有效可行的方案。網絡的整體安全是由安全操作系統、應用系統、防火墻、網絡監控、安全掃描、通信加密、災難恢復等多個安全組件共同組成的，每一個單獨的組件只能完成其中部分功能，而不能完成全部功能。

2.2平衡性原則

任何一個網絡，不可能達到絕對的安全。這就要求我們對企業的網絡需求（包括網絡的作用、性能、結構、可靠性、可維護性等）進行分析研究，制定出符合需求、風險、代價相平衡的網絡安全體系結構。

2.3擴展性原則

隨著信息技術的發展、網絡規模的擴大及應用的增加，面臨的網絡威脅的也會隨之增多，網絡的脆弱性也會增多，一勞永逸地解決網絡中的安全問題也是不可能的，這就要求我們在做網絡安全設計時要考慮到系統的可擴展性，包括接入能力的擴展、帶寬的擴展、處理能力的擴展等。

2.4多層保護原則

任何的網絡安全措施都不會是絕對的安全，都有可能被攻擊被破壞。這就要求我們要建立一個多層保護系統，各層保護相互補充、相互協調，組成一個統一的安全防護整體，當一層保護被攻擊時，其它層保護仍可保護信息的安全。

圖1基于網絡安全設計原則的拓撲示意圖

防火墻：網絡安全的大門，用來鑒別什么樣的數據包可以進出企業內部網絡，阻斷來自外部的威脅，防火墻是不同網絡或網絡安全域之間信息的唯一出入口，防止外部的非法入侵，能根據網絡的安全策略控制訪問資源。

VPN：是Internet公共網絡在局域網絡之間或單點之間安全傳遞數據的技術，是進行加密的最好辦法。一條VPN鏈路是一條采用加密隧道構成的遠程安全鏈路，遠程用戶可以通過VNP鏈路來訪問企業內部數據，提高了系統安全性。

訪問控制：為不同的用戶設置不同的訪問權限，為特定的文件或應用設定密碼保護，將訪問限制在授權用戶的范圍內，提高數據訪問的安全性。

數據備份：是為確保企業數據在發生故障或災難性事件的情況下不丟失，可以將數據恢復到發生故障、災難數據備份的那個狀態，盡可能的減少損失。

3小結

通過分析企業網絡安全面臨的主要威脅及主要設計原則，提出了一個簡單的企業網絡安全設計拓撲示意圖，該圖從技術手段、可操作性上都易于實現，易于部署，為企業提供了一個解決網絡安全問題的方案。

參考文獻：

篇(7)

防火墻是網絡安全的基本防護設備，其安全性受到了越來越多人的重視，尤其是在當前科技迅猛發展的環境下，各企業也迅速的崛起，使得企業在網絡環境的推動下，也面領著嚴峻的信息安全挑戰。在這種環境下，人們對于防火墻的安全性要求也隨之提高。當前，企業的防火墻要實現安全設計，還需要對企業的網絡安全進行全方面的需求分析，通過針對性的設計，提高防火墻的實用性、功能性、安全性。

【關鍵詞】

防火墻；企業網絡安全設計；實現

1前言

計算機網絡技術的廣泛應用，為企業提供了更多的發展平臺與業務渠道，在一定程度上推動了企業的快速發展。但在網絡技術不斷普及的今天，各種惡意攻擊、網絡病毒、系統破壞也對企業的網絡安全造成了較大的傷害，不僅嚴重威脅到企業的信息安全，而且給企業帶來較大的經濟損失，造成了企業形象的破壞。因此，才需要使用防火墻技術，通過防火墻網絡技術的安全設計，對各種病毒與網絡攻擊進行抵御，維護企業的信息安全，促進企業的健康穩定發展。

2防火墻的企業網絡安全設計原則

在企業防火墻的網絡安全設計中應該遵循一定的原則，即：全面、綜合性原則，也就是企業的網絡安全體系設計，應該從企業的整體出發，對各項信息威脅進行利弊權衡，進而制定出可行性的安全防護措施；簡易性原則，主要是對于網絡安全設計，既要保證其安全性，又要保證其操作簡便性，以免系統過于復雜而造成維護上的阻礙；多重保護原則能夠在建立多重的網絡安全機制，確保整個網絡環境安全；可擴充原則，主要是指在網絡運用過程中，要隨著新變化的出現，對于之前的網絡安全系統進行升級與擴充；靈活性原則，也就是防火墻的網絡安全設計方案，應該結合企業自身網絡現狀及安全需求，采用靈活、使用的方式進行設計；高效性原則，也就是防火墻的網絡安全設計應該確保投資與產出相符，通過安全性的設計解決方案，避免重復性的投資，讓企業投入最少的項目資金，獲得最大的收益，有效維護企業的安全[1]。

3防火墻的企業網絡安全設計

防火墻為服務器的中轉站，能夠避免計算機用戶與互聯網進行直接連接，并對客戶端的請求加以及時地接收，創建服務其的連接，并對服務器發出的信號相應加以接受，再通過系統將服務器響應信號發送出去，并反饋與客戶端。

3.1防火墻加密設計

防火墻的加密技術，是基于開放型的網絡信息采取的一種主動防范手段，通過對敏感數據的加密處理、加密傳輸，確保企業信息的安全。當前的防火墻加密技術主要有非對稱秘鑰與對稱秘鑰兩種，這種數據加密技術，主要是對明文的文件、數據等通過特定的某種算法加以處理，成為一段不可讀的代碼，維護數據信息的安全，以免企業的機密信息收到外界的攻擊[2]。當前的防火墻加密手段也可分為硬件加密與軟件加密，其中硬件加密的效率較高，且安全系數較高，而軟件加密的成本相對來說較低，使用性與靈活性也較強，更換較為方便。

3.2入侵檢測設計

入侵主要指的是外部用戶對于主機系統資源的非授權使用，入侵行為能夠在一定程度上導致系統數據的損毀與丟失，對于企業的信息安全與網絡安全會造成較大的威脅，甚至導致系統拒絕合法用戶的使用與服務。在防火墻的企業網絡安全設計中，應該加強對入侵者檢測系統的重視，對于入侵腳本、程序自動命令等進行有效識別，通過敏感數據的訪問監測，對系統入侵者進行行為分析，加強預警機制，檢測入侵者的惡意活動，及時發現各種安全隱患并加以防護處理。

3.3身份認證設計

身份認證主要是對授權者的身份識別，通過將實體身份與證據的綁定，對實體如：用戶、應用程序、主機、進行等加以信息安全維護。通常，證據與實體身份間為一種對應的關系，主要由實體方向提供相應的證據，來證明自己的身份，而防火墻的身份認證則通相關的機制來對證據進行驗證，以確保實體身份與證據的一致性。通過身份認證，防火墻便能夠對非法用戶與合法用戶加以識別，進而對非法用戶進行訪問設置，維護主機系統的安全。

3.4狀態檢測設計

訪問狀態檢測，是控制技術的一種，其關鍵性的任務就是確保企業的網絡資源不受非法使用與非法訪問，是維護企業網絡安全的重要手段之一。防火墻的訪問控制，一般可分為兩種類型：①系統訪問控制；②網絡訪問控制。其中，網絡訪問控制主要是限制外部計算機對于主機網絡服務系統的訪問，以及控制網絡內部用戶與外部計算機的訪問。而系統訪問控制，主要是結合企業的實際管理需求，對不同的用戶賦予相應的主機資源操作、訪問權限。

3.5包過濾數據設計

數據包過濾型的防火墻主要是通過讀取相應的數據包，對一些信息數據進行分析，進而對該數據的安全性、可信度等加以判斷，并以判斷結果作為依據，來進行數據的處理。這在個過程中，若相關數據包不能得到防火墻的信任，便無法進入該網絡。所以，這種技術的實用性很強，能夠在網絡環境下，維護計算機網絡的安全，且操作便捷，成本較低。但需要注意的是，該技術只能依據一些基本的信息數據，來對信息安全性進行判斷，而對于應用程序、郵件病毒等不能起到抵制的作用。包過濾防火墻通常需要在路由器上實現，對用戶的定義內容進行過濾，在網絡層、數據鏈路層中截獲數據，并運用一定的規則來確定是否丟棄或轉發各數據包。要確保企業的網絡安全，需要對該種技術進行充分的利用，并適當融入網絡地址翻譯，對外部攻擊者造成干擾，維護網絡內部環境與外部環境的安全。

4企業網絡安全中的實現

4.1強化網絡安全管理

用將防火墻技術應用于企業的網絡安全中，還需要企業的信息管理人員對于本企業的實際業務、工作流程、信息傳輸等進行深入的分析，對本企業存在的信息安全加以風險評估，熟悉掌握本企業網絡安全的薄弱環節，全民提高企業的信息安全。另外，企業信息管理人員還需要對企業的網絡平臺架構進行明確掌握，對企業的未來業務發展加以合理的預測分析，進而制定出科學合理的網絡信息安全策略。同時，企業信息管理人員還需要對黑客攻擊方式與攻擊手段進行了解，做好防止黑客入侵的措施。

4.2網絡安全需求分析

企業的網絡安全為動態過程，其設方案需要結合自身的實際狀況加以靈活設計，進而提高設計方案的適用性、安全性，維護企業整個網絡的安全。在對企業網絡需求進行分析時，還需要注重企業的應用系統、網絡訪問系統、網絡資源、網絡管理實際[3]。在應用系統安全性設計中，對于系統使用頻繁，提供服務資源的數據庫與服務器，要在網絡環境下，確保其運行安全，以免疏導惡意攻擊與訪問；而對于網絡訪問設計應具有一定的可控性，具備相應的認證與授權功能，對用戶的身份加以識別，對敏感信息加以維護，以免企業的核心系統遭到攻擊[4]；網絡資源要確保其適用性，能夠承載企業的辦公自動化系統及各項業務的運行使用，并保證網絡能夠不間斷地高效運行；同時，針對網絡管理，應該具有可操作性，在安全日志與審計上進行相關的信息記錄，以免企業信息系統管理人員的日后維護。

4.3網絡安全策略的制定

要實現企業的網絡安全，還需要對企業的實際網絡安全需求進行了解之后，針對不同的信息資源，制定出相關的安全策略，通過各種系統保密措施、信息訪問加密措施、身份認證措施等，對企業信息資源維護人員相關的職責加以申請與劃分，并對訪問審批流程加以明確。最后，還需要企業的信心管理人員對整個安全系統進行監控與審計，通過監控系統的安全漏洞檢查，對威脅信息系統安全的類型與來源進行初步判斷，通過深入分析，制定出完善是網絡安全防護策略[5]。

5結束語

在互聯網環境下，信息資源的存儲量巨大，運行較為高效，不僅為企業帶來了較大發展空間，也使企業的信心安全面臨巨大的威脅。因此，企業需要加強防火墻系統的建設，提高對網絡安全系統的認識，通過有效措施，加強防火墻的安全設計，構建一個相對穩定的網絡環境，維護企業的信息安全，讓企業在可靠的信息網絡環境開發更多的客戶資源，以尋得健康、穩定、持續的發展。

作者：黃河鋒 單位：桂林自來水公司

參考文獻

[1]馬小雨.防火墻和IDS聯動技術在網絡安全管理中的有效應用[J].現代電子技術，2016（02）：42~44.

[2]范沁春.企業網絡安全管理平臺的設計與實現[J].網絡安全技術與應用，2015（07）：74+77.

[3]秦艷麗.試談防火墻構建安全網絡[J].電腦編程技巧與維護，2016（06）：78~80.