計算機網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計

時間：2023-04-01 03:58:21 計算機畢業(yè)論文我要投稿

相關(guān)推薦

　　隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)已融入千家萬戶。下面是小編整理的計算機網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計，歡迎參考!

計算機網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計

　　計算機網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計

　　題目：xx公司網(wǎng)絡(luò)安全架構(gòu)設(shè)計

　　【摘要】隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)已經(jīng)融入每個人的生活無處不在了，但是人們在享受互聯(lián)網(wǎng)帶來的便捷的同時，往往忽略了網(wǎng)絡(luò)安全這一非常嚴(yán)峻的問題。

　　文章主要研究的是網(wǎng)絡(luò)安全的架構(gòu)與實現(xiàn)，以有限公司為例，分別從防火墻的構(gòu)架與實現(xiàn)、入侵檢測的構(gòu)架與實現(xiàn)、信息安全管理審計系統(tǒng)架構(gòu)與實現(xiàn)及內(nèi)網(wǎng)保密安全的構(gòu)架與實現(xiàn)四個方面，

　　詳細(xì)介紹了網(wǎng)絡(luò)安全的實現(xiàn)過程，增強了企業(yè)網(wǎng)絡(luò)安全方面的防范能力。

　　前言

　　物流是指利用現(xiàn)代信息技術(shù)和設(shè)備，將物品從供應(yīng)地向接收地準(zhǔn)確的、及時的、安全的、保質(zhì)保量的、門到門的合理化服務(wù)模式和先進的服務(wù)流程。

　　物流是隨商品生產(chǎn)的出現(xiàn)而出現(xiàn)，隨商品生產(chǎn)的發(fā)展而發(fā)展，物流是一種古老的傳統(tǒng)的經(jīng)濟活動。

　　以前的物流企業(yè)一直是單純的靠交通工具和人力勞動來運作整個公司的。

　　但是隨著網(wǎng)絡(luò)的出現(xiàn)和發(fā)展，各行各業(yè)都隨之改變，物流行業(yè)當(dāng)然也受到很大的影響。

　　如今網(wǎng)絡(luò)正在逐步步入成熟階段，網(wǎng)絡(luò)、數(shù)據(jù)庫等相關(guān)的應(yīng)用技術(shù)在不斷發(fā)展，網(wǎng)絡(luò)運營及電子商務(wù)也被廣泛應(yīng)用。

　　物流行業(yè)也從傳統(tǒng)的人力勞動行業(yè)發(fā)展為結(jié)合信息技術(shù)為消費者提供服務(wù)的行業(yè)。

　　物流是將物品從供應(yīng)地向接收地準(zhǔn)確的、及時的、安全的、保質(zhì)保量的、門到門的合理化服務(wù)模式和先進的服務(wù)流程。

　　物流是隨商品生產(chǎn)的出現(xiàn)而出現(xiàn)，隨商品生產(chǎn)的發(fā)展而發(fā)展，物流即意味著企業(yè)的生產(chǎn)、流通的全部。

　　而隨著網(wǎng)絡(luò)在企業(yè)中的普及和發(fā)張，物流行業(yè)也在走入物流信息化，物流信息化的定義是：利用信息技術(shù)整合企業(yè)內(nèi)部的業(yè)務(wù)流程，使企業(yè)向著規(guī)模經(jīng)營、網(wǎng)絡(luò)化運作的方向發(fā)展。

　　物流信息化是物流企業(yè)相互融合的重要手段。

　　物流信息化因此是企業(yè)間和企業(yè)內(nèi)部物流過程中所產(chǎn)生數(shù)據(jù)的全部記錄。

　　物流配送中心建設(shè)信息系統(tǒng)應(yīng)充分支持管理者制訂物流運作計劃和實際的業(yè)務(wù)操作。

　　盡管現(xiàn)代物流配送中心日趨向多樣化和全面化發(fā)展，但構(gòu)成其核心競爭能力或有助于其獲取競爭優(yōu)勢的還是其核心業(yè)務(wù)，如匯集客戶的發(fā)貨信息、組織貨物的入庫、配貨、分揀、儲存、出庫、配送等。

　　物流行業(yè)正以信息技術(shù)為手段，向綜合性物流企業(yè)發(fā)展，積極發(fā)展第三方物流，實現(xiàn)物流的社會化、專業(yè)化、規(guī)�；�，大幅度提升物流產(chǎn)業(yè)的優(yōu)勢。

　　然而許多物流公司有簡單的網(wǎng)絡(luò)平臺，但是卻缺乏合理的網(wǎng)絡(luò)安全設(shè)計和管理，其企業(yè)操作人員缺乏網(wǎng)絡(luò)安全知識，所有的計算機基本上都在互聯(lián)網(wǎng)裸奔，

　　不斷的被黑客種下病毒、木馬，然后被劫持當(dāng)成肉雞，給公司帶來麻煩甚至導(dǎo)致整個網(wǎng)絡(luò)的癱瘓，造成公司內(nèi)部存儲的信息丟失;甚至于內(nèi)部人員為了利益竊取出賣公司的利益，使公司造成重大的損失。

　　正是如此，物流公司也越來越重視網(wǎng)絡(luò)安全，甚至重新打造一個穩(wěn)定的平臺。

　　第一章公司現(xiàn)狀

　　1.1 公司簡介

　　xx公司是一家以國內(nèi)公路運輸和航空貨運代理的綜合物流企業(yè)，在物流界享譽較高的知名度。

　　公司秉承“誠信為本，速度至上”的服務(wù)理念，保持積極進取、注重服務(wù)的態(tài)度，培養(yǎng)自己的人才，通過不斷的優(yōu)化服務(wù)和信息化系統(tǒng)的搭建，

　　提升運輸網(wǎng)絡(luò)和標(biāo)準(zhǔn)化體系，創(chuàng)造最優(yōu)化的運營模式，為廣大客戶提供安全、快速、專業(yè)、滿意的物流服務(wù)。

　　一直以來，公司都致力于與員工共同發(fā)展和成長，打造人企雙贏局面，努力創(chuàng)造更多的社會效益，努力將晨曦打造成為中國人信任的國內(nèi)物流運營商，實現(xiàn)“為中國提速”的使命。

　　公司主要經(jīng)營：晨曦運物流有限公司以及江西運輸子公司、浙江運輸子公司.有限公司成立于XX年07月04日，現(xiàn)擁有員工150多名，是一家集運輸倉儲配送于一體的物流公司。

　　現(xiàn)在的公司部門及職責(zé)如圖1-1所示：

　　1.2 公司網(wǎng)絡(luò)狀況

　　該公司是物流業(yè)中進行企業(yè)信息化建設(shè)較早的公司，信息化建設(shè)的主要目的是用于公司信息統(tǒng)計等基礎(chǔ)性工作。

　　該公司的網(wǎng)絡(luò)拓?fù)鋱D如圖1-2所示：

　　該公司的局域網(wǎng)是一個信息點相對較為密集的百兆局域網(wǎng)系統(tǒng)，它所聯(lián)接的現(xiàn)有近百個信息點為在整個公司內(nèi)辦公的各單位部門提供了一個信息交流平臺。

　　不僅如此，通過專線與internet的連接，各個部門授權(quán)用戶可以直接與互聯(lián)網(wǎng)用戶進行交流、查詢資料等。

　　這個公司的訪問區(qū)域可以劃分為三個主要的區(qū)域：internet區(qū)域、內(nèi)部網(wǎng)絡(luò)、公開服務(wù)器區(qū)域。

　　web等服務(wù)器和辦公區(qū)客戶機，通過內(nèi)部網(wǎng)絡(luò)的相互連接，然后與外網(wǎng)互聯(lián)。

　　基于基礎(chǔ)的安全的考慮，在交換機上按地域和部門劃分了五個網(wǎng)段。

　　1.3 公司的網(wǎng)絡(luò)安全問題

　　公司一段時間后，基本實現(xiàn)了公司的辦公信息化，但由于當(dāng)初的投資力度及意識不夠，以及公司領(lǐng)導(dǎo)未重視網(wǎng)絡(luò)安全方面，導(dǎo)致公司的網(wǎng)絡(luò)出現(xiàn)重大漏洞。

　　在XX年10月份被人潛入公司內(nèi)部網(wǎng)絡(luò)，導(dǎo)致信息部中一項重要的招標(biāo)文件泄露，被競爭公司知曉，以1萬元的差距落選了該項目，導(dǎo)致公司的利益受到相當(dāng)大的損害。

　　為此，公司開始重視網(wǎng)絡(luò)安全。

　　在對公司的網(wǎng)絡(luò)安全進行全面檢查后，發(fā)現(xiàn)以下問題。

　　1.3.1 主要安全隱患

　　(1)病毒的入侵在之前的規(guī)劃中，只提到了加大公司信息化管理的投資力度、采用計算機處理數(shù)據(jù)、進行網(wǎng)絡(luò)建設(shè)，

　　而對于網(wǎng)絡(luò)安全方面的建設(shè)力度較小，這樣就使的黑客很容易就能在公司電腦植入病毒，從而引發(fā)重大災(zāi)情。

　　(2)內(nèi)部人員操作缺乏安全意識如今網(wǎng)絡(luò)發(fā)展迅速，但是網(wǎng)絡(luò)安全技術(shù)和信息的應(yīng)用普及相對滯后，內(nèi)部人員缺乏安全方面的的培訓(xùn)和學(xué)習(xí)，

　　很容易忽略安全設(shè)備和系統(tǒng)，不能使其發(fā)揮相對的作用，這使的公司的網(wǎng)絡(luò)存在較大的安全隱患。

　　(3)設(shè)備物理安全由于網(wǎng)絡(luò)中大部分的設(shè)備都是通過通信電纜通信的，為了布局合理性，往往核心設(shè)備都是放置在一個機房的，

　　公司的機房只有簡單的上鎖沒有專人巡查看守，這使得公司的網(wǎng)絡(luò)物理設(shè)備存在較大的安全隱患。

　　1.3.2 具體的網(wǎng)絡(luò)安全問題

　　(1)公司網(wǎng)絡(luò)拓?fù)洳缓侠韱栴}，沒有硬件防火墻公司網(wǎng)絡(luò)中，沒有做到內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的安全隔離，在公司網(wǎng)絡(luò)拓?fù)湓O(shè)計上只采用服務(wù)器經(jīng)過路由器上網(wǎng)，而沒有配置防火墻，內(nèi)外網(wǎng)互聯(lián)存在著很大的漏洞。

　　(2)用戶身份認(rèn)證問題在公司網(wǎng)絡(luò)系統(tǒng)中，對具有遠程訪問權(quán)限的用戶連接沒有采用加密與身份認(rèn)證手段。

　　(3)沒有入侵檢測技術(shù)和網(wǎng)絡(luò)監(jiān)控技術(shù)，對于入侵的目標(biāo)無跡可尋，內(nèi)網(wǎng)安全存在嚴(yán)重漏洞，沒有辦法有效的保護公司的信息安全。

　　第二章網(wǎng)絡(luò)安全架構(gòu)需求分析

　　針對有限公司將再開設(shè)一個公司的情況，結(jié)合有限公司現(xiàn)在的網(wǎng)絡(luò)狀況和現(xiàn)有條件，對網(wǎng)絡(luò)安全設(shè)計方面提出一下幾點構(gòu)思。

　　2.1 保證內(nèi)網(wǎng)安全

　　針對有限公司招標(biāo)文件泄密的情況，保證內(nèi)網(wǎng)安全是首要任務(wù)。

　　主機防火墻的出現(xiàn)解決了其中比較矛盾突出的問題，也是最基本的問題，就是關(guān)于基礎(chǔ)安全;

　　而近幾年日趨完善的桌面或終端內(nèi)網(wǎng)安全管理類產(chǎn)品的出現(xiàn)實現(xiàn)了集中的內(nèi)網(wǎng)計算機安全管理，提供了對于內(nèi)網(wǎng)兩方面需求的滿足即安全與管理。

　　2.2保證廣域網(wǎng)的接入安全

　　internet是一個高度開放的大環(huán)境，用戶接入internet就意味著完全將自己暴露在危機四伏的處境。

　　通過網(wǎng)絡(luò)防火墻可以過濾來自internet的大部分攻擊，防火墻能強化安全策略。

　　防火墻能有效地記錄internet上的活動、限制暴露用戶點、隔開網(wǎng)絡(luò)中一個網(wǎng)段與另一個網(wǎng)段。

　　這樣，能夠防止影響一個網(wǎng)段的問題通過整個網(wǎng)絡(luò)傳播。

　　防火墻是一個安全策略的檢查站，所有進出的信息都必須通過防火墻，防火墻便成為安全問題的檢查點，使可疑的訪問被拒絕于門外。

　　2.3 保證遠程訪問的安全

　　遠程訪問是通過公眾網(wǎng)來傳輸私有數(shù)據(jù)，因此保證數(shù)據(jù)安全性是遠程訪問的關(guān)鍵環(huán)節(jié)。

　　遠程訪問由于使用internet作為承載介質(zhì)，vpn必須有足夠的安全保障功能，通過高強度的加密算法保證數(shù)據(jù)不被偵聽或篡改，確保接入用戶身份的唯一性。

　　另外，還可以控制用戶對內(nèi)網(wǎng)資源的訪問權(quán)限，做的指定人訪問指定資源，訪問均在控制之中。

　　第三章網(wǎng)絡(luò)安全架構(gòu)實現(xiàn)具體方案

　　3.1 設(shè)備鏈接拓?fù)鋱D與網(wǎng)絡(luò)劃分

　　通過對有限公司的現(xiàn)有網(wǎng)絡(luò)情況進行分析后，硬件方面決定在現(xiàn)有網(wǎng)絡(luò)上部署一臺防火墻以及nids設(shè)備，軟件方面決定采用趨勢科技的防毒墻，設(shè)備鏈接拓?fù)鋱D如圖所示：

　　1、wan口接入一臺pc作為外部主機(開啟22端口和21端口即ssh服務(wù)和ftp服務(wù))，地址10.0.0.100/24,網(wǎng)關(guān)指向10.0.0.1;

　　2、dmz口接入一個web服務(wù)器提供web服務(wù)和一個文件服務(wù)器提供文件服務(wù)，web服務(wù)器地址172.16.0.2/29網(wǎng)關(guān)指向172.16.0.1;文件服務(wù)器地址為172.16.0.3/29網(wǎng)關(guān)指向172.16.0.1;

　　3、lan區(qū)域接入一個192.168.1.0/24的子網(wǎng)，網(wǎng)關(guān)指向192.168.1.1。

　　4、ip網(wǎng)段是連續(xù)的ip地址，為： 192.168.0.1-192.168.0.168

　　5、防火墻管理pc機的ip為：192.168.0.1

　　6、nids管理pc機的ip為：192.168.0.2

　　7、信息安全管理審計系統(tǒng)管理pc機的ip為：192.168.0.3

　　8、內(nèi)網(wǎng)保密安全系統(tǒng)的管理終端ip為：192.168.0.4

　　9、web服務(wù)器ip地址為：172.16.0.2

　　10、文件服務(wù)器ip地址為：172.16.0.3

　　11、內(nèi)網(wǎng)保密安全系統(tǒng)的總控中心服務(wù)器ip為：172.16.0.4

　　12、外網(wǎng)pc1ip為：10.0.0.100

　　13、內(nèi)網(wǎng)pc1ip為：192.168.1.2

　　14、內(nèi)網(wǎng)pc2ip為：192.168.1.6

　　15、內(nèi)網(wǎng)pc3ip為：192.168.1.163

　　3.2 防火墻的構(gòu)架與實現(xiàn)

　　3.2.1 連接與登錄配置

　　一、設(shè)備的選型

　　針對有限公司的網(wǎng)絡(luò)分析，經(jīng)過研究實驗，決定采用藍盾公司型號為bdfw-m3000的防火墻。

　　二、利用瀏覽器登陸防火墻管理界面

　　1、根據(jù)拓?fù)鋱D將pc機與防火墻的admin網(wǎng)口連接起來，當(dāng)需要連接內(nèi)部子網(wǎng)或外線連接時也只需要將線路連接在對應(yīng)網(wǎng)口上

　　2、客戶端設(shè)置，設(shè)置本地連接ip地址為：192.168.0.1 3、使用ping命令測試防火墻和管理pc間的連接情況。

　　打開ie瀏覽器，輸入管理地址http://192.168.0.1:81，進入歡迎界面，在防火墻的歡迎界面輸入用戶名和密碼，點擊“登錄”進入防火墻管理系統(tǒng)。

　　三、配置基本內(nèi)容

　　1、網(wǎng)段、ip地址、端口配置

　　2、創(chuàng)建、編輯規(guī)則防火墻中需要對規(guī)則進行操作，以對 snat 策略進行了編輯：添加策略：在“增加設(shè)置”中，設(shè)置相應(yīng)參數(shù)，單擊保存則在“設(shè)置列表”添加一個規(guī)則，保存之后的界面如圖所示：

　　然后點擊“編輯”對snat 策略進行編輯，編輯完之后保存。

　　3.2.2 透明模式(網(wǎng)橋模式)的安裝與部署

　　在透明模式(橋接模式)下，防火墻相當(dāng)于一個網(wǎng)橋，通過將兩個網(wǎng)口橋接起來，也即將交換機和路由器直接連接起來，從而無需改動原有網(wǎng)絡(luò)結(jié)構(gòu)，將防火墻透明的加入網(wǎng)絡(luò)。

　　對于連接內(nèi)網(wǎng)的lan2口，其ip地址要設(shè)成和內(nèi)網(wǎng)在同一個網(wǎng)段。

　　一、將防火墻接入當(dāng)前網(wǎng)絡(luò)

　　1、將防火墻按照拓?fù)渌窘尤氘?dāng)前網(wǎng)絡(luò)，由路由器引入的外線接wan口，由交換機引出的內(nèi)部網(wǎng)線接lan口

　　2、檢驗加入后網(wǎng)絡(luò)狀況

　　二、配置橋接

　　1、進入橋接設(shè)定界面，“網(wǎng)絡(luò)設(shè)置”“網(wǎng)口配置”“網(wǎng)口”，由于橋接要求網(wǎng)口不能是內(nèi)網(wǎng)口，并且在該網(wǎng)口上沒有配置外線連接，將lan3口(lan)、lan4口(wan)上的ip全部去掉

　　2、啟用橋接進入橋接設(shè)定界面，“網(wǎng)絡(luò)設(shè)置”“網(wǎng)口配置”“橋接設(shè)定”，下面左邊的框中就出現(xiàn)了可供選擇的接口

　　定義一條橋接規(guī)則：選擇lan、wan，雙擊“>>>”移到右邊的框中，然后添加，添加成功，在“現(xiàn)有規(guī)則”中會出現(xiàn)一條定義好的規(guī)則，然后重啟。

　　3.2.3 內(nèi)外網(wǎng)互訪策略編輯與管理

　　默認(rèn)情況下，連接在防火墻不同網(wǎng)口的網(wǎng)絡(luò)是不能互相訪問的，為了是各個網(wǎng)絡(luò)間實現(xiàn)互通，需要建立各個網(wǎng)絡(luò)間的通信通道：

　　1、外網(wǎng)訪問內(nèi)網(wǎng)是通過端口映射機制實現(xiàn)。

　　2、內(nèi)網(wǎng)訪問外網(wǎng)是通過設(shè)置訪問規(guī)則控制。

　　3、它們都是通過建立通信規(guī)則，并將規(guī)則應(yīng)用到不同網(wǎng)口、網(wǎng)段或ip上實現(xiàn)。

　　一、檢查各點網(wǎng)絡(luò)狀況

　　1、外部主機pc1(10.0.0.100/24)，可以ping通防火墻的wan口地址，但是沒有辦法到達dmz區(qū)的web服務(wù)器，因為對于10.0.0.100來說，web服務(wù)器的地址是一個其他網(wǎng)絡(luò)的內(nèi)網(wǎng)地址：

　　外部主機與web服務(wù)器連通性測試

　　由于當(dāng)前網(wǎng)絡(luò)被防火墻隔離了，使得內(nèi)外網(wǎng)無法互訪，這時，我們可以通過端口映射的方式，使得外網(wǎng)可以訪問內(nèi)部網(wǎng)絡(luò)，同時通過策略設(shè)置使內(nèi)網(wǎng)可以訪問外網(wǎng)。

　　二、實現(xiàn)內(nèi)網(wǎng)訪問外網(wǎng)(snat)——為內(nèi)網(wǎng)pc提供對外網(wǎng)的訪問策略

　　1、配置snat映射可以讓所有內(nèi)部ip做地址轉(zhuǎn)換訪問外部

　　2、配置內(nèi)網(wǎng)lan口下的pc1(192.168.1.2/24)可以訪問外網(wǎng)pc1 10.0.0.100) 3、進入“防火墻”“nat策略”“snat策略”界面，點擊“添加”，做訪問規(guī)則，然后設(shè)置規(guī)則參數(shù)，填寫目標(biāo)ip、目標(biāo)端口，選擇“啟用”，單擊“保存”。

　　4、“防火墻”“l(fā)an->wan策略”“訪問策略”，填寫訪問策略的實施對象內(nèi)網(wǎng)pc1“192.168.1.2”，選擇規(guī)則“全部允許”，點擊“添加”。

　　三、實現(xiàn)外網(wǎng)訪問內(nèi)網(wǎng)(dnat)——為外網(wǎng)pc提供對內(nèi)網(wǎng)的訪問策略

　　1、進入“防火墻”“nat策略”“dnat策略”界面，點擊“添加”，做訪問規(guī)則，然后設(shè)置規(guī)則參數(shù)，填寫目標(biāo)ip、目標(biāo)端口，選擇“啟用”，單擊“保存”。

　　把外網(wǎng)地址10.0.0.1的1080端口映射到172.16.0.2的80端口，當(dāng)訪問10.0.0.1的1080端口時，防火墻就會把這個地址自動映射為172.16.0.2的80端口，外網(wǎng)訪問內(nèi)網(wǎng)的通道被打開。

　　3.2.4 l2tp配置

　　總公司出差的員工需要訪問公司內(nèi)網(wǎng)文件服務(wù)器上的文件夾，文件服務(wù)器的ip地址為172.16.0.3，出差的員工使用l2tp vpn連接到公司內(nèi)部文件服務(wù)器。

　　vpn服務(wù)器端配置

　　一、創(chuàng)建證書

　　1、進入“vpn”“ca認(rèn)證”“權(quán)威認(rèn)證證書”;

　　2、創(chuàng)建服務(wù)器本地證書“l(fā)ocal’s bluedon”，然后進行配置，點擊“創(chuàng)建簽名證書”，就會出現(xiàn)一條證書

　　二、建立vpn隧道 1、選擇“vpn隧道”“l(fā)2tp移動客戶端”，創(chuàng)建l2tp移動客戶端vpn遂道：

　　設(shè)置好后并點擊添加，就會出現(xiàn)一個名為ttt的隧道。

　　三、啟動vpn

　　1、進入“vpn”“啟動控制”，啟動vpn服務(wù)器。

　　2、進入“全局設(shè)定”，在“默認(rèn)本地證書”的“ca權(quán)威認(rèn)證證書”中選擇local’s bluedon權(quán)威認(rèn)證證書，選擇“保存”。

　　3、進入“防火墻”“l(fā)an->lan策略”“訪問策略”建立一條允許遠程l2tp客戶同總公司lan口對等相互訪問的策略，這樣出差員工就可以用l2tp隧道和總公司內(nèi)網(wǎng)連通。

　　進行配置后，點擊“添加”，就會出現(xiàn)下面一條訪問規(guī)則，至此，總公司服務(wù)器端配置結(jié)束

　　vpn移動客戶端配置

　　1、從網(wǎng)絡(luò)管理員處獲得vpn客戶端軟件，并安裝，安裝過程中寫入總公司的外部ip，為新連接取名為“ttt”。

　　2、這里就填入新建證書時的用戶名ttt，密碼123456,點擊“連接”。

　　至此vpn客戶端配置完成。

　　幾秒鐘后，連接成功，電腦右下角將顯示連接上的vpn。

　　同時在“網(wǎng)絡(luò)連接”界面也會出現(xiàn)“虛擬專用網(wǎng)絡(luò)”——ttt(已連接)。

　　3.4 入侵檢測系統(tǒng)的架構(gòu)與實現(xiàn)

　　3.4.1 ids設(shè)備部署與配置

　　基于有限公司的網(wǎng)絡(luò)考慮，采用鏡像口監(jiān)聽部署模式

　　ids設(shè)備部署

　　1、連接設(shè)備

　　2、登錄管理界面從管理pc登錄藍盾nids設(shè)備web管理界面前，需要確認(rèn)管理pc的ip地址與設(shè)備缺省管理口ip地址設(shè)置在同一網(wǎng)段：192.168.0.0/24。

　　透過網(wǎng)線將管理pc連接到lan1口，打開ie瀏覽器，在ie地址欄輸入https://192.168.0.145 ,登錄進去。

　　ids設(shè)備配置

　　1、 “網(wǎng)絡(luò)設(shè)置”“網(wǎng)口配置”“網(wǎng)口”，將e2的lan2的ip配置為192.168.2.2，點擊保存，然后重啟網(wǎng)絡(luò)。

　　(將lan2口做為管理口，用于管理設(shè)備)

　　2、“系統(tǒng)”“系統(tǒng)工具”“ip工具”，直接ping 網(wǎng)關(guān)192.168.0.1檢驗與內(nèi)網(wǎng)的連通性。

　　3、“系統(tǒng)”“管理設(shè)置”“管理界面訪問設(shè)定”，網(wǎng)口選擇lan2，其余選項缺省，點擊添加。

　　4、“現(xiàn)有規(guī)則”中新增一條通過lan2訪問ids界面的策略。

　　5、“系統(tǒng)”“管理設(shè)置”“密碼”，按下圖配置管理員用戶，不啟用usbkey。

　　就會出現(xiàn)一個超級管理員用戶

　　3.4.2 ids入侵檢測

　　“入侵規(guī)則”“檢測規(guī)則”，啟動如下入侵檢測規(guī)則中，要勾選user-defined(用戶自定義)，點擊保存。

　　一、基礎(chǔ)參數(shù) 1、“入侵規(guī)則”“檢測規(guī)則”“自定義規(guī)則”“基礎(chǔ)參數(shù)”，參照下圖填入所要檢測的項，點擊添加。

　　選擇協(xié)議，點擊啟用。

　　就得到一條針對所有未知入侵的檢測規(guī)則intrusion _info

　　二、ip參數(shù)

　　1、“入侵規(guī)則”“檢測規(guī)則”“自定義規(guī)則”“ip參數(shù)”，參照下圖填入所要檢測的項，在t t l項填入64作為參考值，選擇啟用，點擊添加。

　　四、阻斷動作

　　1、“入侵規(guī)則”“檢測規(guī)則”“自定義規(guī)則”“阻斷動作”，填入所要檢測的項，這里選擇斷開icmp。

　　3.5 信息安全管理審計系統(tǒng)架構(gòu)與實現(xiàn)

　　3.5.1 系統(tǒng)的部署及系統(tǒng)登錄

　　信息安全管理審計系統(tǒng)是用來對內(nèi)部用戶訪問外部網(wǎng)絡(luò)的各種行為進行記錄、控制、審計的一種網(wǎng)絡(luò)安全硬件設(shè)備，主要有l(wèi)an1、lan2、lan3、lan4四個100m快速以太網(wǎng)絡(luò)接口。

　　通過將不同網(wǎng)口橋接并設(shè)置監(jiān)控網(wǎng)口，我們可以有效的監(jiān)控網(wǎng)絡(luò)上傳送的各種數(shù)據(jù)包。

　　信息安全管理審計系統(tǒng)使用web圖形界面進行管理和設(shè)置，具有方便、快捷，易于用戶理解和掌握的優(yōu)點。

　　另外一方面信息安全管理審計系統(tǒng)使用了https安全傳輸協(xié)議，保證在管理中傳輸?shù)南嚓P(guān)設(shè)置和信息不被偷聽，保護設(shè)備自身的安全。

　　1、系統(tǒng)前面板，結(jié)構(gòu)如圖3-36：

　　2、系統(tǒng)后面板，結(jié)構(gòu)如圖3-37：

　　二、登錄系統(tǒng)：

　　1、設(shè)置管理pc地址圖(拓?fù)鋱D)將管理pc與信息安全管理審計系統(tǒng)連接，同時將管理pc的ip地址改為：192.168.0.3/24

　　2、登錄系統(tǒng)，登錄后我們可以看到如圖3-38：

　　三、設(shè)置橋接模式接下來要將lan3口和lan4口橋接起來，以配置網(wǎng)關(guān)接入方式。

　　1、在左邊欄選擇選項“系統(tǒng)管理”->“系統(tǒng)設(shè)置”。

　　2、在右邊欄選擇選項“橋接設(shè)置”->“使用橋接”，選擇“網(wǎng)口3”和“網(wǎng)口4”，點擊“確定”就橋接成功了。

　　3.6 內(nèi)網(wǎng)保密安全系統(tǒng)的架構(gòu)與實現(xiàn)

　　3.6.1內(nèi)網(wǎng)保密軟件的部署及登錄

　　通過安裝sqlXX數(shù)據(jù)庫軟件，用于存儲內(nèi)網(wǎng)保密軟件控制中心的相關(guān)數(shù)據(jù)，安裝內(nèi)網(wǎng)保密控制中心軟件，實現(xiàn)對安全客戶端的監(jiān)控及審計，構(gòu)建完整的內(nèi)網(wǎng)安全保密及審計系統(tǒng)管理控制平臺。

　　一、安裝sqlXX數(shù)據(jù)庫軟件并下載補丁進行升級;

　　二、安裝內(nèi)網(wǎng)保密系統(tǒng)控制中心軟件

　　三、登錄系統(tǒng)

　　3.6.2 上網(wǎng)行為監(jiān)控

　　一、新建模塊

　　1、點擊選項“功能”“安全策略”“安全策略管理中心”“策略模板管理”，點擊“新建模塊”。

　　2、啟動上網(wǎng)行為監(jiān)控，再點擊添加進行配置

　　三、下發(fā)策略

　　選擇選項“本地策略管理”，點擊“應(yīng)用策略模版” ，下發(fā)策略選擇好需要下發(fā)的部門和主機。

　　四、查詢審計

　　1、點擊選項“功能”“審計報表”“審計報表管理中心”，選擇“查詢統(tǒng)計”，雙擊“上網(wǎng)行為監(jiān)控”會出現(xiàn)一個報表，雙擊報表進行查看。

　　3.7 趨勢科技防毒墻配置

　　結(jié)合有限公司的網(wǎng)絡(luò)需求分析和實際情況，決定采用趨勢科技防毒墻網(wǎng)絡(luò)版10.0

　　一. 安裝前的準(zhǔn)備工作 1. 確認(rèn)已經(jīng)將10.0 sp1安裝包osce_10_with_sp1_b1892_sc及 sp1 patch1補丁程序osce_10.0_b1895_sc_sp1_patch1下載到預(yù)安裝服務(wù)器的本地硬盤上; 2. 預(yù)安裝服務(wù)器已經(jīng)成功安裝iis 3. 本地ip已經(jīng)成功配置 4. 建議服務(wù)器計算機至少2ghz以上內(nèi)存。

　　二. 開始安裝 1.將已下載到服務(wù)器的安裝包 osce_10_with_sp1_b1892_sc解壓縮并進行安裝。

　　安裝過程中選擇安裝到一臺電腦，掃描目標(biāo)計算機，安裝集成型服務(wù)器，安裝網(wǎng)絡(luò)版客戶端，配置軟件安裝，安裝完畢后重啟電腦。

　　三. 2、服務(wù)器重啟完畢后，在officescan 10.0 服務(wù)器雙擊執(zhí)行sp1 patch1補丁程序安裝包再重啟電腦。

　　3、設(shè)置服務(wù)器更新頻率

　　4.全局客戶端設(shè)置：

　　依次展開“聯(lián)網(wǎng)計算機”-“全局客戶端設(shè)置”，設(shè)置“將手動掃描添加到客戶端計算機的windows快捷菜單中”。

　　設(shè)置病毒碼過期提醒。

　　根據(jù)需要進行相關(guān)設(shè)置，其他的一般采用默認(rèn)即可

　　依次展開“聯(lián)網(wǎng)計算機”-“客戶端管理”; 在設(shè)置選項中選擇“實時掃描設(shè)置”，然后在“處理措施”選項中選擇開啟“檢測到病毒/惡意軟件時在客戶端計算機上顯示通知消息”，其它設(shè)置選擇默認(rèn)設(shè)置。

　　6.行為監(jiān)控設(shè)置在設(shè)置選項中選擇“行為監(jiān)控設(shè)置”，進入后選擇默認(rèn)設(shè)置;

　　7、設(shè)備控制設(shè)置：在設(shè)置選項中選擇“設(shè)備控制設(shè)置”，進入后選擇不啟用預(yù)設(shè)日志刪除。

　　進行日志維護設(shè)置。