現代企業局域網安全管理

方學孟

摘 要：計算機網絡安全是促進網絡事業健康發展的前提，在分析網絡安全產生的原因及目前網絡所面臨威脅的基礎上，以安全防御作為出發點，從技術及管理兩大方面，提出了防護計算機網絡安全的具體措施與有效方案。技術上介紹了防火墻（firwell）、訪問控制結束（ACL）、網絡地址轉換（NAT）技術、虛擬專用網（VPN）技術、云安全等新型技術的原理，實施手段及應用領域等方面做了論述。

關鍵詞：計算機網絡安全、網絡安全威脅、網絡安全防范措施

隨著計算機網絡的普及和發展，網絡的運用已經滲透到各個領域。信息社會，人們對網絡的依賴程度也日益加深，但隨著網絡迅速發展，網絡安全儼然已經成為一個潛在的巨大問題。在網絡的大好前景下，網絡信息安全為其籠罩了一片烏云，雖然我國計算機制造業有了很大進步，但是其核心部件的制造技術仍然是很薄弱的。因此網絡安全管理就顯·得尤為重要了。

網絡安全管理包括對安全服務、機制和安全相關信息的管理以及管理自身的安全性兩個方面，其過程通常由管理、操作和評估3個階段組成[“。管理階段是由用戶驅動的安全服務的初始配置和日常更新；操作階段是由事件驅動的安全服務狀態的實時檢測和響應；評估階段則用于衡量安全目標是否達到，以及系統當前的改變會產生何種影響。

1 網絡安全的防御措施

網絡安全是一項復雜的工程，它涉及了技術、設備、管理使用及立法制度等各個方面的因素。想要很好地實現信息安全，就必須形成一套完備的網絡信息安全體系，使得技術、設備、管理使用及立法制度等方面因素協同發展，缺一不可。

2訪問控制列表結束（ACL）

某公司有兩個部門：市場部、產品部。該公司在網絡中構建了一臺文件服務器、一臺www服務器，要求市場部能夠訪問ftp服務器，不能夠訪問www服務器，產品部能夠訪問www服務器，不能訪問ftp服務器，并要求兩個部門之間能相互通信。請你規劃并實施網絡。

2.1案例分析

隨著網絡規模和網絡中的流量不斷擴大，網絡管理員面臨一個問題：如何在保證合法訪問的同時，拒絕非法訪問。這就需要對路由器轉發的數據包作出區分，哪些是合法的流量，哪些是非法的流量，通過這種區分來對數據包進行過濾并達到有效控制的目的。這種包過濾技術是在路由器上實現防火墻的一種主要方式，而實現包過濾技術最核心內容就是使用訪問控制列表。

標準ACL只針對數據包的源地址信息作為過濾的標準而不能基于協議或應用來進行過濾。即只能根據數據包是從那里來的來進行控制，而不能基于數據包的協議類型及應用來對其進行控制。只能粗略的限制某一類協議，如IP協議。

高級ACL 可以針對數據包的源地址、目的地址、協議類型及應用類型（端口號）等信息作為過濾的標準。即可以根據數據包是從那里來、到那里去、何種協議、什么樣的應用等特征的來進行精確地控制。ACL可被應用在數據包進入路由器的接口方向，也可被應用在數據包從路由器外出的接口方向。并且一臺路由器上可以設置多個ACL。但對于一臺路由器的某個特定接口的特定方向上，針對某一個協議，如IP協議，只能同時應用一個ACL。

2.1.1實施方法

SW1的主要配置

（1）vlan配置：system-view

[H3C]sysname sw1

[sw1]vlan 10

[sw1-vlan10]port Ethernet 1/0/1 to Ethernet 1/0/5

[sw1-vlan10]vlan 20

[sw1-vlan20]port Ethernet 1/0/6 to Ethernet 1/0/10

（2）上聯端口為trunk

[sw1-vlan20]quit

[sw1]interface Ethernet 1/0/24

[sw1-Ethernet1/0/24]port link-type trunk

[sw1-Ethernet1/0/24]port trunk permit vlan all

R1的主要配置

（1）配置單臂路由system-view

[H3C]sysname r1

[r1]interface Ethernet 0/0.1

[r1-Ethernet0/0.1]ip address 192.168.10.254 24

[r1-Ethernet0/0.1]vlan-type dot1q vid 10

[r1-Ethernet0/0.1]quit

[r1]interface Ethernet 0/0.2

[r1-Ethernet0/0.2]ip address 192.168.20.254 24

[r1-Ethernet0/0.2]vlan-type dot1q vid 20

（2）配置接口IP參數

[r1]interface Ethernet 0/1

[r1-Ethernet0/1]ip address 192.168.30.254 24

（3）高級訪問控制列表配置

[r1]firewall enable

[r1]acl number 3000

[r1-acl-adv-3000]rule 0 deny tcp destination 192.168.30.2 0.0.0.0 destination-port eq www source 192.168.10.0 0.0.0.255

[r1-acl-adv-3000]rule 1 deny tcp destination 192.168.30.2 0.0.0.0 destination-port eq ftp source 192.168.20.0 0.0.0.255

（4）將ACL應用到具體的接口上

[r1-acl-adv-3000]quit

[r1]interface Ethernet 0/0.1

[r1-Ethernet0/0.1]firewall packet-filter 3000 inbound

[r1-Ethernet0/0.1]quit

[r1]interface Ethernet 0/0.2

[r1-Ethernet0/0.2]firewall packet-filter 3000 inbound

2.2 802.1X技術

公司內部有很多員工，每個員工都有一臺電腦，通過該交換機相連，公司的網絡維護人員為了提高公司內部的網絡安全性，和公司員工連接網絡的效率，需要通過驗證進行通信，請你規劃并實施網絡。

2.2.1案例分析

802.1x協議起源于802.11協議，后者是IEEE的無線局域網協議， 制訂802.1x協議的初衷是為了解決無線局域網用戶的接入認證問題。IEEE802LAN協議定義的局域網并不提供接入認證，只要用戶能接入局域網控制 設備 （如LANS witch）就可以訪問局域網中的設備或資源。這在早期企業網有線LAN應用環境下并不存在明顯的安全隱患。但是隨著移動辦公及駐地網運營等應用的大規模發展，服務提供者需要對用戶的接入進行控制和配置。

2.2.2實施方法

一、sw1的主要配置

1、sw1初始化配置system-view

[H3C]sysname sw1

2、802.1x配置

（1）全局開啟802.1x 功能

[sw1]dot1x

（2）開啟端口802.1x功能

[sw1]dot1x interface Ethernet 1/0/3 to Ethernet 1/0/10

（3）配置802.1x賬戶

[sw1]local-user zhangsan

[sw1-luser-zhangsan]password cipher 123

[sw1-luser-zhangsan]service-type lan-access /*將本地賬戶“zhangsan”改為802.1x賬戶

2.3 VRRP技術+STP技術

公司近兩年擴建了大量的網絡結構，數據量也越來越大了，公司的網絡維護人員為了提高公司內部的網絡安全性和網絡質量，和公司員工連接網絡的效率，決定采用兩臺核心交換機做主備模式使用，如果主核心交換機宕機了，備用設備立即使用，請你規劃并實施網絡。

2.3.1案例分析

VRRP是一種選擇協議，它可以把一個虛擬路由器的責任動態分配到局域網上的 VRRP 路由器中的一臺?？刂铺摂M路由器 IP 地址的 VRRP 路由器稱為主路由器，它負責轉發數據包到這些虛擬 IP 地址。 一旦主路由器不可用，這種選擇過程就提供了動態的故障轉移機制，這就允許虛擬路由器的 IP 地址可以作為終端主機的默認第一跳路由器。是一種LAN接入設備備份協議。一個局域網絡內的所有主機都設置缺省網關，這樣主機發出的目的地址不在本網段的報文將被通過缺省網關發往三層交換機，從而實現了主機和外部網絡的通信。

2.3.2 實施方法

一、主核心交換機（MASTER配置）

（一）、sw1的主要配置

1、sw1初始化配置system-view

[H3C]sysname master

2、創建VLAN及VRRP主配置

[master]interface Vlan-interface6

[master]ip address 192.168.6.1 255.255.255.0

[master]vrrp vrid 6 virtual-ip 192.168.6.254

[master]vrrp vrid 6 priority 120

[master]vrrp vrid 6 track 1 priority reduced 30

3、STP功能配置

[master]stp region-configuration

[master]region-name vrrp

[master]active region-configuration

二、備用核心交換機（Backup）

（一）、sw1的主要配置

1、sw1初始化配置system-view

[H3C]sysname backup

2、創建VLAN及VRRP配置

[backup]interface Vlan-interface6

[backup]ip address 192.168.6.2 255.255.255.0

[backup]ospf cost 5

[backup] vrrp vrid 6 virtual-ip 192.168.6.254

3、STP功能配置

[backup]stp region-configuration

[backup]region-name vrrp

[backup]active region-configuration

3 結論

隨著經濟的發展，人們對于計算機網絡的使用越來越廣泛，而且如今很多領域都離不開計算機網絡的操作，因此有效地防止計算機網絡安全出現問題對于現代社會來說是很有必要的。而且很多的國家機密和軍事安全等也與計算機網絡安全有著直接的聯系，計算機電腦用戶應該增強自己的安全意識，有關部門應該做好計算機網絡信息安全的有效措施，保證國家的安全穩健發展。

漏洞是計算機網絡安全的重大隱患，在如今的社會黑客的技術越來越高端，利用電腦的漏洞攻擊用戶防火墻，盜取重要的文件。當計算機的系統出現漏洞以后會給計算機網絡信息帶來很大的威脅。作為計算機網絡的用戶我們應該在電腦中安裝補丁程序，排查漏洞，有效地解決計算機網絡中存在的問題，如：360安全衛士、電腦管家和其他的一些補丁軟件可以有效地阻止計算機網絡信息受損，保護自己的隱私。

參考文獻

[1]羅寶慶，張俊.淺談計算機病毒的危害及防范[J].經濟技術協作信息，2010（20）：103901042.

[2]趙糧，裘曉峰.云計算環境的安全威脅和保護[J].中國計算機通訊學會，2010，6（5）：47—50.

[3]張云勇，陳清金，潘松柏.云計算安全關鍵技術[J].電信科學，2010（8）：1l-15.