企業網絡安全分析畢業設計論文

1、<p><b>　　緒 論2</b></p><p>　　第一章：企業網絡安全分析3</p><p><b>　　一、現狀分析3</b></p><p>　　1.1 Internet的安全性3</p><p>　　1.2．企業內網的安全性4</p><p&g

2、t;<b>　　1.3項目背景4</b></p><p><b>　　1.4項目分析6</b></p><p>　　1.4.1安全設備分布6</p><p>　　1.4.2網絡設備安全現狀7</p><p>　　1.4.3服務器部署現狀7</p><p>　　1.4

3、.4客戶端計算機8</p><p>　　1.4.5無線局域網安全現狀8</p><p>　　1.4.6網絡隱患、風險分析9</p><p>　　1.5項目需求11</p><p>　　1.5.1網絡安全需求11</p><p>　　1.5.2網絡訪問安全需求12</p><p>　　

4、1.6項目規劃12</p><p>　　1.6.1服務器安全規劃13</p><p>　　1.6.2 客戶端安全規劃14</p><p>　　1.6.3網絡設備安全規劃15</p><p>　　1.6.4無線準備安全規劃16</p><p>　　1.6.5防火墻、IDS、IPS規劃17</p>

5、<p>　　1.6.6局域網接入安全規劃18</p><p>　　1.6.7Internet 接入安全規劃18</p><p>　　1.6.8遠程接入安全規劃19</p><p>　　1.6.9網絡可靠性規劃20</p><p>　　第二章：企業網絡安全的實際應用20</p><p>　　2.1企

6、業網絡安全實施20</p><p>　　2.2網絡傳輸的實施21</p><p>　　2.3訪問控制24</p><p>　　2.4入侵檢測24</p><p>　　2.5漏洞掃描25</p><p><b>　　2.6其它26</b></p><p>　　2.

7、6.1應用系統安全26</p><p>　　2.6.2 系統平臺安全26</p><p>　　2.6.3 應用平臺安全26</p><p>　　2.7病毒防護26</p><p>　　2.8產品應用27</p><p>　　2.9數據備份30</p><p>　　2.10安全審計3

8、1</p><p>　　2.11認證、鑒別、數字簽名、抗抵賴31</p><p>　　2.12物理安全32</p><p>　　2.13兩套網絡的相互轉換32</p><p><b>　　2.14應用32</b></p><p>　　2.15防電磁輻射32</p><

9、p>　　2.16網絡防雷33</p><p>　　2.17重要信息點的物理保護33</p><p><b>　　摘 要</b></p><p>　　網絡安全的本質是網絡信息的安全性，包括信息的保密性、完整性、可用性、真實性、可控性等幾個方面，它通過網絡信息的存儲、傳輸和使用過程體現。網絡安全管理是在防病毒軟件、防火墻或智能網關等構成

10、的防御體系下，對于防止來自網外的攻擊。防火墻，則是內外網之間一道牢固的安全屏障。安全管理是保證網絡安全的基礎，安全技術是配合安全管理的輔助措施。建立了一套網絡安全系統是必要的。</p><p><b>　　緒 論</b></p><p>　　隨著網絡的高速發展，網絡的安全問題日益突出，近年來，黑客攻擊、網絡病毒等屢屢曝光，國家相關部門也一再三令五申要求切實做好網絡安

11、全建設和管理工作。但是在企業網絡建設的過程中，由于對技術的偏好和運營意識的不足，普遍都存在“重技術、輕安全、輕管理”的傾向，隨著網絡規模的急劇膨脹，網絡用戶的快速增長，關鍵性應用的普及和深入，企業網在企業的信息化建設中已經在扮演了至關重要的角色，作為數字化信息的最重要傳輸載體，如何保證企業網絡能正常的運行不受各種網絡黑客的侵害就成為各個企業不可回避的一個緊迫問題。</p><p>　　第一章：企業網絡安全分析&l

12、t;/p><p>　　隨著企業信息化的不斷推進，各企業都相繼建成了自己的企業網絡并連入互聯網，企業網在企業的信息化建設中扮演了至關重要的角色。但必須看到，隨著企業網絡規模的急劇膨脹,網絡用戶的快速增長，尤其是企業網絡所面對的使用群體的特殊性（擁有一定的網絡知識、具備強烈的好奇心和求知欲、法律紀律意識卻相對淡漠），如何保證企業網絡能正常的運行不受各種網絡黑客的侵害就成為各個企業不可回避的一個緊迫問題，解決網絡安全問題刻

13、不容緩。</p><p><b>　　現狀分析</b></p><p>　　隨著國內計算機和網絡技術的迅猛發展和廣泛普及，企業經營活動的各種業務系統都立足于Internet/Intranet環境中。但是，Internet所具有的開放性、國際性和自由性在增加應用自由度的同時，對安全提出了更高的要求。一旦網絡系統安全受到嚴重威脅，甚至處于癱瘓狀態，將會給企業、社會、乃至整

14、個國家帶來巨大的經濟損失。如何使信息網絡系統免受黑客和病毒的入侵，已成為信息事業健康發展所要考慮的重要事情之一。</p><p>　　大型企業不斷發展的同時其網絡規模也在不斷的擴大，由于其自身業務的需要，在不同的地區建有分公司或分支機構，本地龐大的Intranet和分布在全國各地的Intranet之間互相連接形成一個更加龐大的網絡。這樣一個網網相連的企業網為企業提高了效率、增加企業競爭力，同樣，這樣復雜的網絡面臨

15、更多的安全問題。首先本地網絡的安全需要保證，同時總部與分支機構、分支機構之間的機密信息傳輸問題，以及集團的設備管理問題，這樣的網絡使用環境一般存在下列安全隱患和需求：</p><p>　　1.1 Internet的安全性</p><p>　　目前互聯網應用越來越廣泛，黑客與病毒無孔不入，這極大地影響了Internet的可靠性和安全性，保護Internet、加強網絡安全建設已經迫在眉捷。&l

16、t;/p><p>　　1.2．企業內網的安全性 </p><p>　　企業內部的網絡安全同樣需要重視，存在的安全隱患主要有未授權訪問、破壞數據完整性、拒絕服務攻擊、計算機病毒傳播、缺乏完整的安全策略、缺乏監控和防范技術手段、缺乏有效的手段來評估網絡系統和操作系統的安全性、缺乏自動化的集中數據備份及災難恢復措施等。具體表現如下： </p><p>　　?計算機病毒在企業

17、內部網絡傳播。 </p><p>　　?內部網絡可能被外部黑客攻擊。 </p><p>　　?對外的服務器（如：www、ftp、郵件服務器等）沒有安全防護，容易被黑客攻擊。 </p><p>　　?內部某些重要的服務器或網絡被非法訪問，造成信息泄密。 </p><p>　　?內部網絡用戶上網行為沒有有效監控管理，影響日常工作效率，容易

18、形成內部網絡的安全隱患。 </p><p>　　?分支機構網絡安全問題。 </p><p>　　?大量的垃圾郵件占用網絡和系統資源，影響正常的工作。 </p><p>　　?分支機構網絡和總部網絡連接安全和之間數據交換的安全問題。 </p><p>　　?遠程、移動用戶對公司內部網絡的安全訪問。</p><p>

19、;<b>　　1.3項目背景</b></p><p>　　假設某企業擁有員工2000余人，公司總部坐落在省會城市高新技術開發區，包括4個生產車間和兩棟職工宿舍樓，產品展示、技術開發與企業辦公均在總公司進行。該企業在外地另開設有兩家分公司，由總公司進行統一管理和部署。目前，該企業的拓撲結構圖如圖1-1所示，基本情況如下。</p><p>　　1、公司局域網已經基本覆蓋整

20、個廠區，中心機房位于總公司，職工宿舍樓和生產車間均有網絡覆蓋。</p><p>　　2、網絡拓撲結構為“星型+樹型”，接入層交換機為Cisco Catalyst 2960，匯聚層交換機為Cisco Catalyst 3560，核心層交換機為Cisco Catalyst 3560</p><p>　　3、現有接入用戶數量為500個，客戶端均使用私有IP地址，通過防火墻或代理服務器接入Inte

21、rnet。部分服務器IP地址為公有IP地址。</p><p>　　4、Internet接入區的防火墻主要提供VPN接入功能，用于遠程移動用戶或子公司網絡提供遠程安全訪問。</p><p>　　5、會議室、員工宿舍等場所部署無線接入點，實現隨時隨地無線漫游接入。</p><p>　　6、服務器操作系統平臺多為Windows Server 2003 和 Windows

22、Server 2008系統?？蛻舳讼到y為Windows XP Professional 和 Windows 7</p><p>　　7、網絡中部署有Web服務器，為企業網站運行平臺。</p><p>　　8、企業網絡辦公平臺為WSS，文件服務器可以為智能大廈的辦公用戶提供文件共享、存儲于訪問。</p><p>　　9、E-mail、RTX為用戶員工之間的彼此交流，以

23、及企業與外界的通信網絡。</p><p>　　10、打印服務和傳真服務主要滿足企業用戶網絡辦公的應用。</p><p>　　11、企業分支結構通過VPN方式遠程接入總部局域網，并且可以訪問網絡中的共享資源。</p><p><b>　　圖1-1 項目背景</b></p><p><b>　　1.4項目分析<

24、;/b></p><p>　　在普通小型局域網中，最常見的安全防護手段就是在路由器后部署一道防火墻，甚至安全需求較低的網絡并無硬件防火墻，只是在路由器和交換機上進行簡單的訪問控制和數據包篩選機制就可以了。但是，在較大的企業網絡中，許多重要應用都要依賴網絡，勢必對網絡的安全性的要求高一些，在部署網絡安全設備的同時，必須輔助多種訪問控制與安全配置措施，加固網絡安全。</p><p>　　

25、1.4.1安全設備分布</p><p><b>　　防火墻</b></p><p>　　由于企業局域網采用以太網接入方式，所以直接使用防火墻充當接入設備，部署在網絡邊緣，防火墻連接的內網路由器上配置訪問列表和靜態路由信息。另外，在會議室、產品展示廳等公共環境中的匯聚交換機和核心交換機之間部署硬件防火墻，防止公共環境中可能存在的安全風險通過核心設備傳播到整個網絡。<

26、;/p><p><b>　　IPS</b></p><p>　　IPS（Intrusion Prevention System，入侵防御系統）部署在Internet 接入區的路由器和核心交換機之間，用于掃描所有來自Internet的信息，以便及時發現網絡攻擊和制定解決方案。</p><p><b>　　IDS</b></

27、p><p>　　IDS（Internet Detection System，入侵檢測系統）本身是一個典型的探測設備，類似于網絡嗅探器，無需轉發任何流量，而只需要在網絡上被動地、無聲息地收集相應的報文即可。IDS無法跨越物理網段收集信息，只能收集所在交換機的某個端口上的所有數據信息。該網絡中的IDS部署在安全需求最高的服務區，用于實時偵測服務器區交換機轉發的所有信息，對收集來的報文，IDS將提取相應的流量統計特征值，并

28、利用內置的入侵知識庫，與這些流量特征進行智能分析比較匹配。根據默認的閥值，匹配耦合度較高的報文流量將被認為是進攻，IDS將根據相應的配置進行報警或進行有限度的反擊。</p><p>　　Cisco Security MARS</p><p>　　Cisco Security MARS(Monitoring Analysis Response System)是基于設備的全方位解決方案，是網絡

29、管理的關鍵組成部分。MARS可以自動識別、管理并抵御安全威脅，它能與現有網絡和安全部署協作，自動識別并隔離網絡威脅，同時提出準確的清除建議。在本例企業網絡中，MARS直接連接在核心交換機上，用于收集經過核心交換機的所有數據信息，自動生成狀態日志，供管理員調閱。</p><p>　　1.4.2網絡設備安全現狀</p><p>　　當網絡中的交換機、路由器等網絡設備都是可網管的智能設備，并且提

30、供Web管理方式，同時配置了基本的安全防御措施，如登陸密碼、用戶賬戶權限等。</p><p>　　交換機和路由器安全設置</p><p>　　交換機的主要功能就是提供網絡所需的接入接口。目前，該網絡中基于交換機的安全管理僅限于VLAN劃分、Enable密碼和Telnet密碼等基本安全措施，并未進行任何高級安全配置，如流量控制，遠程監控、IEEE802.1x安全認證等，存在較大的安全隱患。&

31、lt;/p><p>　　企業網絡采用以太網接入Internet,而網絡中部署的網絡防火墻已具備接入功能，所以該網絡中的路由器上只配置簡單的靜態路由、訪問控制列表和網絡地址轉換，可以滿足基本的安全要求。</p><p><b>　　辦公設備安全配置</b></p><p>　　企業網絡中的集中辦公設備包括打印機和傳真機，均支持網絡接入功能，部署在樓層

32、的集中辦公區。由于缺乏訪問權限控制措施，致使網絡打印機和傳真機被濫用，造成不必要的資源浪費。另外，用戶計算機到打印機之間的數據傳輸是未經加密的明文，存在一定的安全隱患。</p><p>　　1.4.3服務器部署現狀</p><p>　　網絡中應用服務器包括域控制器、DHCP服務器、文件服務器、傳真服務器、網絡辦公平臺、數據庫服務器等，其中有許多網絡服務合用一臺服務器，網絡中共有服務器10臺

33、，通過單獨的交換機高速連接至核心交換機，完全采用鏈路冗余結束雙線連接，確保連接的可靠性。</p><p>　　所有服務器均已加入域中，接受域控制器的統一管理，并且已開啟遠程終端功能，用戶可以使用有效的管理員賬戶憑據遠程登錄服務器，實現相應的配置與管理任務。</p><p>　　1.4.4客戶端計算機</p><p>　　客戶端計算機主要以Windows操作系統為主，

34、極少數用戶是運行Linux和Mac OS操作系統?？蛻舳擞嬎銠C的安全防御比較薄弱，僅限于用戶賬戶登錄密碼、個人防火墻、殺毒軟件等。因此，由于個別客戶端感染病毒而導致網絡癱瘓的問題時有發生。對于Windows系統而言，應用最多的Windows XP Professional和Windows Vista系統已經集成了比較完善的安全防御功能，如Internet防火墻、Windows防火墻、Windows Defender、Windows Up

35、date等，客戶端用戶只需對這些功能簡單配置，即可增強系統安全性。</p><p>　　另外，對于中型規模的企業網絡而言，統一的網絡管理才是最重要的。例如，統一配置客戶端計算機安全功能、增強網絡訪問控制、部署NAP系統、部署WSUS服務器等。</p><p>　　1.4.5無線局域網安全現狀</p><p>　　在企業網絡中部署無線局域網，延伸了有線局域網的覆蓋范圍

36、，避免網絡布線對現有整體布局和裝修的破壞，既是環境需求，也是企業發展和生存的需要。用戶在無線網絡覆蓋范圍內可以自由訪問網絡，充分享受無線暢游的便利。但是，由于無線網絡傳輸的特殊性，無線局域網的安全問題也是不容忽視的。該企業網絡中的無線網絡安全問題，主要表現在以下幾個方面。</p><p><b>　　WEP密鑰發布問題</b></p><p>　　802.11本身并未

37、規定密鑰如何分發。所有安全性考慮的前提是假定密鑰已通過與802.11無關的安全渠道送到了工作站點上，而在實際應用中，一般都是手工設置，并長期固定使用4個可選密鑰之一。因此，當工作站點增多時，手工方法的配置和管理將十分繁瑣且效率低下，而且密鑰一旦丟失，WLAN將無安全性可言。</p><p>　　2.WEP用戶身份認證方法的缺陷</p><p>　　802.11標準規定了兩種認證方式：開放系

38、統認證和共享密鑰認證。</p><p>　　開發系統認證是默認的認證方法，任何移動站點都可加入BSS（Basic Service Set,基本服務集），并可以跟AP（Access Point,接入點）通信，能“聽到”所有未加密的數據，可見，這種方法根本密鑰提供認證，也就不存在安全性。</p><p>　　共享密鑰認證是一種請求響應認證機制：AP在收到工作站點STA（Static Timin

39、g Analysis，靜態時序分析）的請求接入消息時發送詢問消息，STA對詢問消息使用共享密鑰進行加密并送回AP，AP解密并校驗消息的完整性，若成功，則允許STA接入WLAN。攻擊者只需抓住加密前后的詢問消息，加以簡單的數字運算就可以得到共享密鑰生成的偽隨機密碼流，然后偽造合法的響應消息通過AP認證后接入WLAN。</p><p>　　3.SSID和MAC地址過濾</p><p>　　WE

40、P服務集標識SSID由Lucent公司提出，用于對封閉網絡進行訪問控制。只有與AP有相同的SSID的客戶站點才允許訪問WLAN。MAC地址過濾的想法是AP中存有合法客戶站點MAC地址列表，拒絕MAC地址不在列表中的站點接入被保護的網絡。但由于SSID和MAC地址很容易被竊取，因此安全性較低。</p><p>　　4．WEP加密機制的天生脆弱性</p><p>　　WEP加密機制的天生脆弱性

41、是受網絡攻擊的最主要原因，WEP2算法作為802.11i的安全標準，對現有系統改進相對較小并易于實現。</p><p>　　1.4.6網絡隱患、風險分析</p><p>　　企業現階段網絡系統的網絡結構和業務流程，結合企業今后進行的網絡化應用范圍的拓展考慮，企業網主要的安全威脅和安全漏洞包括以下幾方面：</p><p><b>　　1內部竊密和破壞<

42、/b></p><p>　　企業網絡上同時接入了其它部門的網絡系統，因此容易出現其它部門不懷好意的人員(或外部非法人員利用其它部門的計算機)通過網絡進入內部網絡，并進一步竊取和破壞其中的重要信息(如領導的網絡帳號和口令、重要文件等)，因此這種風險是必須采取措施進行防范的。</p><p>　　2 搭線(網絡)竊聽</p><p>　　這種威脅是網絡最容易發生的

43、。攻擊者可以采用如Sniffer等網絡協議分析工具，在INTERNET網絡安全的薄弱處進入INTERNET，并非常容易地在信息傳輸過程中獲取所有信息(尤其是敏感信息)的內容。企業網絡系統來講，由于存在跨越INTERNET的內部通信(與上級、下級)這種威脅等級是相當高的，因此也是本方案考慮的重點。</p><p><b>　　3 假冒</b></p><p>　　這種威

44、脅既可能來自企業網內部用戶，也可能來自INTERNET內的其它用戶。如系統內部攻擊者偽裝成系統內部的其他正確用戶。攻擊者可能通過冒充合法系統用戶，誘騙其他用戶或系統管理員，從而獲得用戶名/口令等敏感信息，進一步竊取用戶網絡內的重要信息?；蛘邇炔坑脩敉ㄟ^假冒的方式獲取其不能閱讀的秘密信息。</p><p><b>　　4 完整性破壞</b></p><p>　　這種威脅

45、主要指信息在傳輸過程中或者存儲期間被篡改或修改，使得信息/數據失去了原有的真實性，從而變得不可用或造成廣泛的負面影響。由于XXX企業網內有許多重要信息，因此那些不懷好意的用戶和非法用戶就會通過網絡對沒有采取安全措施的服務器上的重要文件進行修改或傳達一些虛假信息，從而影響工作的正常進行。</p><p><b>　　5 其它網絡的攻擊</b></p><p>　　企業網

46、絡系統是接入到INTERNET上的，這樣就有可能會遭到INTERNET上黑客、惡意用戶等的網絡攻擊，如試圖進入網絡系統、竊取敏感信息、破壞系統數據、設置惡意代碼、使系統服務嚴重降低或癱瘓等。因此這也是需要采取相應的安全措施進行防范。</p><p>　　6 管理及操作人員缺乏安全知識</p><p>　　由于信息和網絡技術發展迅猛，信息的應用和安全技術相對滯后，用戶在引入和采用安全設備和系

47、統時，缺乏全面和深入的培訓和學習，對信息安全的重要性與技術認識不足，很容易使安全設備/系統成為擺設，不能使其發揮正確的作用。如本來對某些通信和操作需要限制，為了方便，設置成全開放狀態等等，從而出現網絡漏洞。</p><p>　　由于網絡安全產品的技術含量大，因此，對操作管理人員的培訓顯得尤為重要。這樣，使安全設備能夠盡量發揮其作用，避免使用上的漏洞。</p><p><b>　　

48、7 雷擊</b></p><p>　　由于網絡系統中涉及很多的網絡設備、終端、線路等，而這些都是通過通信電纜進行傳輸，因此極易受到雷擊，造成連鎖反應，使整個網絡癱瘓，設備損壞，造成嚴重后果。因此，為避免遭受感應雷擊的危害和靜電干擾、電磁輻射干擾等引起的瞬間電壓浪涌電壓的損壞，有必要對整個網絡系統采取相應的防雷措施。</p><p><b>　　1.5項目需求</

49、b></p><p>　　由于該公司的主要業務為高新產品的開發和生產，掌握眾多機密信息，并且下設多個部門，所以對網絡安全性和穩定性要求比較高。無論是基礎網絡還是客戶端都必須嚴格做好安全防御工作。</p><p>　　1.5.1網絡安全需求</p><p>　　綜合項目成本和實際應用等多方面因素，可以從如下幾個方面滿足用戶需求。</p><p

50、>　　一、將防火墻部署在網絡邊緣，用于隔離來自Internet的所有網絡風險。</p><p>　　二、在路由器和核心交換機之間部署IPS，對全網的所有Internet通信進行檢測，以便可以自動阻止、調整或隔離非正常網絡請求和危險信息的傳輸。</p><p>　　三、生產區和辦公區分別通過匯聚交換機連接至核心交換機，在相應的匯聚交換機上分別進行適當的安全設置，將可能存在的安全風險因素

51、隔離在網絡局部。</p><p>　　四、在辦公區網絡中，將安全需求和應用需求不同的用戶指定到不同的VLAN中，充分確保部門內部和部門間的信息安全。</p><p>　　五、在會議室和展示廳等移動用戶比較集中的場所，部署無線接入系統，在無線接入點以及無線接入點連接的交換機上，分別部署相應的安全防御措施，如IEEE802.1x認證、禁止廣播SSID、WEP加密等。</p>&l

52、t;p>　　六、網絡管理區和服務器區直接連接至核心交換機，以確保網絡傳輸的可靠性。網絡管理區中部署有MARS系統，用于監控、分析和處理網絡中所有通過核心交換機的數據通信，以便及時發現網絡中存在的惡意攻擊、非正常訪問等情況，并協助管理員制定相應的解決方案。</p><p>　　七、為了確保服務器的安全，在服務器集中區部署IDS，可以對服務區網絡以及系統的運行狀況進行監視，盡可能發現各種攻擊企圖、攻擊行為或者攻

53、擊結果，以保證網絡系統資源的機密性、完整性和可用性。</p><p>　　1.5.2網絡訪問安全需求</p><p>　　由于公司大部分用戶信息安全意識較差，因此必須對安全需求較高的部門的用戶進行集中管理，防止機密信息外泄。另外，本公司在外地設有分公司，只能通過遠程接入方式訪問內部網絡資源，可以借助VPN技術實現加密傳輸，充分確保信息安全。目前，該網絡中網絡訪問安全需求如下。</p&

54、gt;<p>　　一、客戶端更新需要集中管理。大多數用戶都已啟用Windows Update功能，但是每個用戶都從微軟官方站點下載更新程序，會占用大量的網絡帶寬。另外，還有部分用戶并未開啟Windows Update功能，存在可能招致網絡攻擊的安全漏洞。</p><p>　　二、網絡病毒不得不防。網絡病毒和攻擊是目前最主要的信息安全威脅因素。網絡病毒的防御工作絕非一蹴而就，必須從各方面嚴格防范。通常

55、情況下，大部分用戶都安裝了殺毒軟件和個人防火墻軟件，可以起到一定的安全防護作用，但是未能升級病毒庫同樣可能感染病毒。更嚴重的是，部分用戶不安裝任何殺毒軟件和防火墻就開始使用，這是非常危險的。</p><p>　　三、網絡訪問控制需求。網絡中缺乏嚴格的訪問控制措施，用戶只需使用相應的用戶賬戶和密碼即可接入網絡和訪問共享資源，而對客戶端系統健康程度沒有任何要求和限制。如果接入用戶的計算機已經感染病毒，則病毒可能通過網

56、絡快速蔓延至整個網絡的所有分支。</p><p>　　四、遠程訪問安全的保護。遠程接入是該網絡中的重要應用之一，用于實現分公司網絡到總公司網絡的互聯。遠程訪問VPN技術本身就是具有一定的安全性，同時采用隧道和加密等多種技術，但是為了確保遠程訪問的安全，應加強遠程訪問的保護與控制。</p><p><b>　　1.6項目規劃</b></p><p&g

57、t;　　網絡安全與網絡應用是相互制約和影響的。網絡應用需要安全措施的保護，但是安全措施過于嚴格，就會影響到應用的易用性。因此，部署網絡安全措施之前，必須經過嚴格的規劃。另外，網絡安全的管理遍布網絡的所有分支，包括設備安全、訪問安全、服務器安全?？蛻舳税踩?。</p><p>　　1.6.1服務器安全規劃</p><p>　　服務器是企業網絡的重要基礎，其安全性將直接影響到企業網站以及網絡應

58、用的安全，甚至會影響到企業的生存與發展。服務器的大部分應用都是基于網絡操作系統等軟件實現的，因此，無論是應用程序出錯，還是硬件故障都可能導致服務器癱瘓。若想做好服務器安全防護工作，必須從多方面入手。</p><p><b>　　一、服務器硬件安全</b></p><p>　　服務器硬件設備的維護主要包括增加和卸載設備、更換設備、工作環境維護等。因為服務器的運行是不間斷

59、的，因此這些維護工作必須在確保服務器正常運行的狀態下進行。</p><p>　　1、增加內存和硬盤容量。服務器的內存和硬盤都是支持熱插拔的，建議增加與原設備同廠商、同型號、同容量的內存或硬盤，避免由于兼容性問題而導致服務器死機。</p><p>　　2、定期為服務器除塵。很多服務器故障都是由于內部灰塵導致的，因此建議管員每個月定期拆機打掃一次。</p><p>　　

60、3、控制機房溫度和濕度。雖然服務器對工作環境的要求比較寬泛，但是當服務器周邊環境比較惡劣時同樣會降低其處理速度和穩定性。</p><p><b>　　二、操作系統的安全</b></p><p>　　服務器操作系統的安全是指操作系統、應用系統的安全性以及網絡硬件平臺的可靠性。對于操作系統的安全防范可以采取如下策略。</p><p>　　1、對操作

61、系統進行安全配置，提高系統的安全性。系統內部調用不對Internet公開，關鍵性信息不直接公開，盡可能采用安全性高的操作系統。</p><p>　　2、應用系統在開發時，采用規范化的開發過程，盡可能地減少應用系統的漏洞。</p><p>　　3、網絡上的服務器和網絡設備盡可能不采取同一家的產品。</p><p>　　4、通過專業的安全工具（安全監測系統）定期對網絡系

62、統進行安全評估。</p><p>　　三、網絡應用服務安全</p><p>　　局域網中常用的網絡服務包括WWW服務、FTP服務、DNS服務、DHCP服務、Active Directory服務等，隨著服務器提供的服務越來越多，系統也容易混亂、安全性也降低，因此就需要對網絡服務的相關參數進行設置，以增強其安全性和穩定性。通常情況下，網絡應用服務安全可以分為如下4層。</p>&

63、lt;p>　　1、網絡與應用平臺安全：主要包括網絡的可靠性與生存性。信息系統的可靠性和可用性。網絡的可靠性與生存性依靠環境安全、物理安全、節點安全、鏈路安全、拓撲安全、系統安全等方面來保障。信息系統的可靠性和可用性主要由計算機系統安全性決定。</p><p>　　2、應用服務提供安全：主要包括應用服務的可用性與可控性。服務可控性依靠服務接入安全以及服務防否認、服務防攻擊、國家對應用服務的管制等方面來保障。服

64、務可用性與承載業務網絡可靠性以及維護能力等先關。</p><p>　　3、信息存儲于傳輸安全：主要包括信息在網絡傳輸和信息系統存儲時的完整性、機密性和不可否認性。信息的完整性可以依靠報文鑒別機制；信息機密性可以依靠加密機制以及密鑰分發來保障；信息不可否認性可以依靠數字簽名等技術來保障。</p><p>　　4、信息內容安全：主要指通過網絡應用服務所傳遞的信息內容不涉及危害國家安全，泄露國家

65、機密或商業秘密，侵犯國家利益、公共利益或公民合法權益，從事違法犯罪活動。</p><p>　　1.6.2 客戶端安全規劃</p><p>　　目前，Windows XP和Windows 7是首選客戶端操作系統，為了便于統一管理，應將相對固定的客戶端計算機加入域，接受域控制器的統一管理。通常情況下，可以從如下5個方面做好客戶端計算機的安全防御工作。</p><p>　

66、　一、對于加入域的計算機可以通過組策略等工具統一部署安全策略，例如用戶賬戶策略、密碼策略、硬件設備安裝限制策略等，確?？蛻舳说陌踩?。</p><p>　　二、對于未加入域的計算機，應提高用戶網絡安全的意識，通過設置登錄密碼、計算機鎖定、防火墻等方式，確保系統安全。</p><p>　　三、在網絡中部署WSUS服務器，負責為所有客戶端計算機和服務器提供系統更新，避免系統漏洞的產生。</

67、p><p>　　四、在所有客戶端上部署Symantec網絡防病毒客戶端軟件，并接受服務器端的統一管理，開啟自動更新病毒庫功能。</p><p>　　五、靈活部署和運用Windows防火墻、Windows Defender等系統集成安全防護程序。</p><p>　　1.6.3網絡設備安全規劃</p><p>　　局域網中的網絡設備主要包括路由器、

68、交換機和防火墻，分別用于提供不同的網絡功能和應用。網絡設備的部署方式、工作環境、配置管理等，都可能影響其安全性。</p><p><b>　　網絡設備的脆弱性</b></p><p>　　通常情況下，當用戶按照組網規劃方案購入并部署好網絡設備之后，設備中的主要組成系統即可在一段時間內保持相對穩定地運行。但是，網絡設備本身就有一定的脆弱性，這也往往會成為入侵者攻擊的目標

69、。網絡設備的安全脆弱性主要表現在如下5個方面。</p><p>　　1.提供不必要的網絡服務，提高了攻擊者的攻擊機會。</p><p>　　2.存在不安全的配置，帶來不必要的安全隱患。</p><p>　　3.不適當的訪問控制。</p><p>　　4.存在系統軟件上的安全漏洞。</p><p>　　5.物理上沒有得到

70、安全存放，容易遭受臨近攻擊。</p><p>　　針對這些與生俱來的安全弱點，用戶可以通過如下措施加固系統安全。</p><p>　　1.禁用不必要的網絡服務。</p><p>　　2.修改不安全的配置。</p><p>　　3.利用最小特權原則嚴格對設備的訪問控制。</p><p>　　4.及時對系統進行軟件升級。&

71、lt;/p><p>　　5.提供符合IPP（Information Protection Policy，信息保護策略）要求的物理保護環境。</p><p>　　二、部署網絡安全設備</p><p>　　局域網中常見的網絡安全設備包括網絡防火墻、入侵檢測設備、入侵防御設備等。網絡防火墻是必不可少的，用于攔截處理來自Internet的各種攻擊行為，并且可以隔離內部網絡有效避

72、免內部攻擊。入侵檢測設備只能用于記錄入侵行為，局域網中已經很少使用。通常情況下，可以再網絡中部署入侵防御系統，保護內部服務器或局域網的安全。</p><p><b>　　三、IOS安全</b></p><p>　　IOS就是智能網絡設備的網絡操作系統，主要用于提供軟件管理平臺。IOS與計算機操作系統類似，難免存在系統漏洞，入侵者同樣可以通過這些漏洞進入網絡設備的IOS

73、，進行各種破壞活動，從而影響網絡的正常運行。</p><p>　　通常情況下，用戶可以從如下6個方面實現網絡設備的IOS安全。</p><p>　　1、配置登錄密碼，主要包括Enable密碼和Telnet密碼，必要時可以以加密方式存儲密碼，以確保其安全性。</p><p>　　2、配置用戶訪問安全級別，為不同的管理賬戶賦予不同的訪問和管理權限。</p>

74、<p>　　3、控制終端訪問安全，嚴格控制允許終端連接的數量，以及終端會話超時限制。</p><p>　　4、配置SNMP安全。SNMP字符串用于驗證用戶與交換機的連接，確保其身份的有效性，類似于用戶賬戶和密碼。</p><p>　　5、及時備份IOS映像，以便出現錯誤操作或遭遇攻擊時可以迅速恢復。</p><p>　　6、升級IOS版本。IOS的系統漏

75、洞是不可避免的，用戶可以通過安裝補丁或升級IOS版本的方法避免由于系統漏洞導致的網絡攻擊。</p><p>　　1.6.4無線準備安全規劃</p><p>　　無線接入不僅是企業發展的需要，更是企業形象的代表。無線局域網是有線網絡的擴展，主要用于移動終端用戶提供網絡接入。該公司中的AP（Access Point,無線接入點）主要分布在產品展示區和會議室，方面移動用戶隨時隨地訪問公司網絡。如

76、今，許多筆記本電腦、掌上電腦、手機等提供無線接入功能，在無線網絡覆蓋范圍內“噌網”已經成為一種時尚，對于管理員而言，無線網絡安全自然也就成了管理重點。</p><p>　　在無線局域網管理中，可以采用如下措施確保網絡安全。</p><p>　　1、確保桌面計算機和服務器系統實現盡可能的安全。這種保護提高了攻擊的門檻，即使攻擊者進入了WLAN，仍然很難滲透進用戶的計算機。</p>

77、<p>　　2、啟用無線AP和工作站所支持的最強WEP。同時，確保擁有一個強健的WEP密碼，這個密碼應該符合有線網絡中所應用的相同的密碼強度規則。</p><p>　　3、確保無線網絡的網絡名稱（SSID）不是可以輕松識別的。不要使用公司名稱、自己的姓名或者地址作為SSID。</p><p>　　4、如果無線AP支持SSID廣播，應當關閉。這個措施可以創建一個封閉網絡，這樣，

78、新的客戶端必須在連接之前輸入正確的SSID。</p><p>　　5、使用IEEE802.1x身份驗證協議保護無線網絡的安全。</p><p>　　6、在網絡中部署無線網絡控制器，統一管理和部署網絡中的所有無線接入點，實時監測網絡攻擊情況。</p><p>　　1.6.5防火墻、IDS、IPS規劃</p><p>　　在安全性需求較高的網絡中

79、，網絡安全設備是必不可少的。該公司網絡中使用的安全設備包括網絡防火墻、IDS和IPS。</p><p><b>　　一、網絡防火墻</b></p><p>　　防火墻適用于用戶網絡系統的邊界，屬于用戶網絡邊界的安全保護設備。所謂網絡邊界即采用不同安全策略的兩個網絡連接處，如用戶和Internet之間、同一企業內部同部門之間等。防火墻的目的就是在網絡連接之間建立一個安全

80、控制點，通過設定一定的篩選機制來決定允許或拒絕數據包通過，實現對進入網絡內部的服務和訪問的審計與控制。防火墻是內、外網絡數據傳輸的必經之路。</p><p><b>　　二、IDS</b></p><p>　　IDS是繼“防火墻”、“信息加密”等傳統安全保護方法之后的新一代安全保障技術，入侵檢測技術是為保證計算機系統的安全，而設計與配置的一種能夠及時發現并報告系統中未

81、授權或異?，F象的技術。IDS通過對計算機網絡或計算機系統中的若干關鍵點收集信息并對其進行分析，從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。該網絡中的IDS部署在服務器區的接入交換機處。</p><p>　　IDS能夠檢測到的攻擊類型通常包括：系統掃描（System Scanning）、拒絕服務（Deny of Service）和系統滲透（System Penetration）。IDS對攻擊的檢測方

82、法主要包括：被動、非在線地發現和實時、在線地發現計算機網絡中的攻擊者。IDS的主要優勢是監聽網絡流量，但又不會影響網絡的性能。作為對防火墻的有益補充，IDS能夠幫助網絡系統快速發現網絡攻擊的發生，可開展系統管理員的安全管理能力，包括安全審計、監視、進攻識別和響應等，從而提高了信息安全基礎結構的完整性，被認為是繼防火墻之后的第二道安全閘門。</p><p><b>　　三、IPS</b><

83、;/p><p>　　網絡中的IPS主要用于攔截和處理傳統網絡防火墻無法解決的網絡攻擊，部署在網絡中的Internet接入區。</p><p>　　傳統的防火墻旨在拒絕那些明顯可疑的網絡流量，但仍然允許某些流量通過，因此，防火墻對于很多入侵攻擊仍然無計可施，而絕大多數IDS系統都是被動的，不是主動的，即在攻擊實際發生前，往往無法預先發出警報。而入侵防御系統IPS則傾向于提供主動防御，其設計宗旨是

84、預先對入侵活動和攻擊性網絡流量進行攔截，避免其造成損失，而不是簡單地在惡意流量傳送時或傳送后才發出報警。</p><p>　　IPS是通過直接嵌入到網絡流量中實現這一功能的，即通過一個網絡端口接收來自外部系統的流量，經過檢查確認其中不包含異?；顒踊蚩梢蓛热莺?，再通過另外一個端口將其傳送到內部系統中。此時，有問題的數據包，以及所有來自同一數據流的后續數據包，都能在IPS中被清除掉。</p><p

85、>　　1.6.6局域網接入安全規劃</p><p><b>　　NAP技術</b></p><p>　　NAP（Network Access Protection,網絡訪問保護）是Microsoft在Windows Vista和Windows Server 2008提供的全新系統組件，它可以再訪問私有網絡時提供系統平臺健康校驗。NAP平臺提供了一套完整性校驗的方

86、法來判斷接入網絡的客戶端的健康狀態，對不符合健康策略需求的客戶端限制其網絡訪問權限。</p><p>　　為了校驗網絡訪問的主機的健康狀況，網絡架構需要提供如下功能性領域。</p><p>　　健康策略認證：判斷計算機是否適應健康策略的需求。</p><p>　　網絡訪問限制：限制不適應策略的計算機訪問。</p><p>　　自動補救：為不適

87、應策略的計算機提供必要的升級，使其適應健康策略。</p><p>　　動態適應：自動升級適應策略的計算機以使其可以跟上健康策略的計算機。</p><p>　　1.6.7Internet 接入安全規劃</p><p>　　企業局域網采用共享方式接入Internet，并將硬件防火墻Cisco 5540部署在局域網邊緣。為了便于管理客戶端Internet接入安全，在硬件防

88、火墻的后面部署了Forefront TMG服務器，可以提供如下功能。</p><p>　　一、網絡防火墻 TMG服務器提供了靈活的防火墻策略配置，允許管理員根據實際需要制定Internet訪問規則，例如限制特定的用戶訪問Internet、禁止瀏覽視頻網站等。</p><p>　　二、Web訪問緩存。TMG服務器既是防火墻，又可以作為Web訪問代理服務器。管理員可以在TMG服務器上開辟專用于

89、存儲客戶端請求的Internet數據空間，暫時緩存常用數據。當客戶端需要再次訪問這些Internet數據時，在局域網中即可完成，提高了客戶端的訪問效率。</p><p>　　三、安全VPN接入功能。通過TMG服務器創建VPN連接，能夠很輕松地建立起各種情況下的VPN連接。當本地計算機要和遠程計算機通過TMG服務器進行通信時，數據封裝好后，將通過VPN進行收發，充分確保通信過程的安全。</p><

90、;p>　　1.6.8遠程接入安全規劃</p><p>　　目前，最常用的遠程訪問方式是VPN，主流的安全技術包括SSL VPN和IPSec VPN。SSL VPN應用比較簡單，用戶無需進行配置，基于Web頁面即可實現。IPSec VPN技術應用比較廣泛，不再局限于Web方式，同時由于其安裝和配置過程比較復雜，應用難度也比較大。</p><p>　　1、IPSec VPN 遠程安全接入

91、</p><p>　　IPSec VPN 提供了多種安全特性，如數據加密、設備驗證、數據完整性、地址隱藏和安全機構（SA）密鑰老化等功能。IPSec標準提供數據完整性或數據加密兩種功能。數據完整性分兩類：128位強度Message Digests(MD-5)-HMAC和160位強度安全散列算法（SHA）-HMAC。由于SHA的強度更大。所以更加安全。</p><p>　　2、SSL VPN

92、 遠程安全接入</p><p>　　SSL VPN 是工作在應用層和TCP層之間的遠程接入技術。通常SSL VPN的實現方式是在企業的防火墻后面放置一個SSL代理服務器。如果用戶希望安全地連接到公司網絡上，那么當用戶在瀏覽器上輸入一個URL后，連接將被SSL代理服務器取得，并驗證該用戶的身份，然后SSL代理服務器將連接映射到不同的應用服務器上。</p><p>　　1.6.9網絡可靠性規劃

93、</p><p>　　對于企業網絡而言，許多金融、貿易、電子商務等活動都是通過網絡完成的，這就要求企業的網絡具備很高的可靠性。提高網絡可靠性的方法很多，最常見的是冗余和容錯。</p><p>　　在硬件設備方面，可以通過配置交換機生成樹、鏈路匯聚和鏈路冗余技術來提高局域網線路連接的可靠性。其中生成樹協議可以幫助管理員快速檢查網絡連接。當住鏈路發生故障時，確保網絡正常工作。鏈路匯聚技術可以將

94、多條鏈路聚合為一條干路，還可以提高網絡帶寬，更重要的是，鏈路匯聚可以實現負載均衡，從而大大提高了網絡的可靠性。局域網接入區域的路由器雖然僅提供路由選擇功能，但其重要性也是不容忽視的?？梢酝ㄟ^配置路由冗余充分保證Internet連接的可靠性。</p><p>　　在軟件方面則可以通過服務器群集技術和網絡負載均衡技術，來提高重要服務器的可靠性。除此之外，常規的數據備份也是必不可少的，包括服務器角色狀態信息備份、服務器

95、系統備份、數據庫備份、網絡設備配置備份等。</p><p>　　第二章：企業網絡安全的實際應用</p><p>　　一個網絡系統的安全建設通常包括許多方面，包括物理安全、數據安全、網絡安全、系統安全、安全管理等，而一個安全系統的安全等級，又是按照木桶原理來實現的。根據企業各級內部網絡機構、廣域網結構、和三級網絡管理、應用業務系統的特點</p><p><b&g

96、t;　　● 網絡系統安全;</b></p><p><b>　　● 應用系統安全;</b></p><p><b>　　● 物理安全;</b></p><p><b>　　● 安全管理;</b></p><p>　　2.1企業網絡安全實施</p>&l

97、t;p>　　根據企業網絡現狀及發展趨勢，主要安全措施從以下幾個方面進行實施：</p><p><b>　　● 網絡傳輸保護</b></p><p><b>　　主要是數據加密保護</b></p><p>　　● 主要網絡安全隔離</p><p>　　通用措施是采用防火墻</p>

98、<p><b>　　● 網絡病毒防護</b></p><p><b>　　采用網絡防病毒系統</b></p><p>　　● 廣域網接入部分的入侵檢測</p><p><b>　　采用入侵檢測系統</b></p><p><b>　　● 系統漏洞分析<

99、/b></p><p><b>　　采用漏洞分析設備</b></p><p><b>　　● 定期安全審計</b></p><p>　　主要包括兩部分：內容審計和網絡通信審計</p><p><b>　　● 重要數據的備份</b></p><p>

100、　　● 重要信息點的防電磁泄露</p><p>　　● 網絡安全結構的可伸縮性</p><p>　　包括安全設備的可伸縮性，即能根據用戶的需要隨時進行規模、功能擴展</p><p><b>　　● 網絡防雷</b></p><p>　　2.2網絡傳輸的實施</p><p>　　企業中心內部網絡存在

101、兩套網絡系統，其中一套為企業內部網絡，主要運行的是內部辦公、業務系統等;另一套是與INTERNET相連，通過ADSL接入，并與企業系統內部的上、下級機構網絡相連。通過公共線路建立跨越INTERNET的企業集團內部局域網，并通過網絡進行數據交換、信息共享。而INTERNET本身就缺乏有效的安全保護，易受到來自網絡上任意主機的監聽而造成重要信息的泄密或非法篡改。</p><p>　　由于現在越來越多的政府、金融機構、

102、企業等用戶采用VPN技術來構建它們的跨越公共網絡的內聯網系統，因此在本解決方案中對網絡傳輸安全部分推薦采用VPN設備來構建內聯網?？稍诿考壒芾碛騼仍O置一套VPN設備，由VPN設備實現網絡傳輸的加密保護。根據企業三級網絡結構，VPN設置如下圖所示：</p><p>　　圖2-1三級 VPN設置拓撲圖</p><p>　　每一級的設置及管理方法相同。即在每一級的中心網絡安裝一臺VPN設備和一臺

103、VPN認證服務器(VPN-CA)，在所屬的直屬單位的網絡接入處安裝一臺VPN設備，由上級的VPN認證服務器通過網絡對下一級的VPN設備進行集中統一的網絡化管理?？蛇_到以下幾個目的：</p><p>　　● 網絡傳輸數據保護;</p><p>　　由安裝在網絡上的VPN設備實現各內部網絡之間的數據傳輸加密保護，并可同時采取加密或隧道的方式進行傳輸</p><p>&l

104、t;b>　　● 網絡隔離保護;</b></p><p>　　與INTERNET進行隔離，控制內網與INTERNET的相互訪問</p><p>　　● 集中統一管理，提高網絡安全性;</p><p>　　● 降低成本(設備成本和維護成本);</p><p>　　其中，在各級中心網絡的VPN設備設置如下圖：</p>

105、<p>　　圖2-2 中心網絡VPN設置圖</p><p>　　由一臺VPN管理機對CA、中心VPN設備、分支機構VPN設備進行統一網絡管理。將對外服務器放置于VPN設備的DMZ口與內部網絡進行隔離，禁止外網直接訪問內網，控制內網的對外訪問、記錄日志。這樣即使服務器被攻破，內部網絡仍然安全。</p><p>　　下級單位的VPN設備放置如下圖所示：</p><

106、;p>　　圖2-3下級單位VPN設置圖</p><p>　　從圖2-3可知，下屬機構的VPN設備放置于內部網絡與路由器之間，其配置、管理由上級機構通過網絡實現，下屬機構不需要做任何的管理，僅需要檢查是否通電即可。由于安全設備屬于特殊的網絡設備，其維護、管理需要相應的專業人員，而采取這種管理方式以后，就可以降低下屬機構的維護成本和對專業技術人員的要求，這對有著龐大下屬、分支機構的單位來講將是一筆不小的費用。&

107、lt;/p><p>　　由于網絡安全的是一個綜合的系統工程，是由許多因素決定的，而不是僅僅采用高檔的安全產品就能解決，因此對安全設備的管理就顯得尤為重要。由于一般的安全產品在管理上是各自管理，因而很容易因為某個設備的設置不當，而使整個網絡出現重大的安全隱患。而用戶的技術人員往往不可能都是專業的，因此，容易出現上述現象;同時，每個維護人員的水平也有差異，容易出現相互配置上的錯誤使網絡中斷。所以，在安全設備的選擇上應當選

108、擇可以進行網絡化集中管理的設備，這樣，由少量的專業人員對主要安全設備進行管理、配置，提高整體網絡的安全性和穩定性。</p><p><b>　　2.3訪問控制</b></p><p>　　企業廣域網網絡部分通過公共網絡建立，其在網絡上必定會受到來自INTERNET上許多非法用戶的攻擊和訪問，如試圖進入網絡系統、竊取敏感信息、破壞系統數據、設置惡意代碼、使系統服務嚴重降

109、低或癱瘓等，因此，采取相應的安全措施是必不可少的。通常，對網絡的訪問控制最成熟的是采用防火墻技術來實現的，本方案中選擇帶防火墻功能的VPN設備來實現網絡安全隔離，可滿足以下幾個方面的要求：</p><p>　　● 控制外部合法用戶對內部網絡的網絡訪問;</p><p>　　● 控制外部合法用戶對服務器的訪問;</p><p>　　● 禁止外部非法用戶對內部網絡的訪問

110、;</p><p>　　● 控制內部用戶對外部網絡的網絡;</p><p>　　● 阻止外部用戶對內部的網絡攻擊;</p><p>　　● 防止內部主機的IP欺騙;</p><p>　　● 對外隱藏內部IP地址和網絡拓撲結構;</p><p><b>　　● 網絡監控;</b></p>

111、<p><b>　　● 網絡日志審計;</b></p><p>　　由于采用防火墻、VPN技術融為一體的安全設備，并采取網絡化的統一管理，因此具有以下幾個方面的優點：</p><p>　　● 管理、維護簡單、方便;</p><p>　　● 安全性高(可有效降低在安全設備使用上的配置漏洞);</p><p>

112、　　● 硬件成本和維護成本低;</p><p>　　● 網絡運行的穩定性更高</p><p>　　由于是采用一體化設備，比之傳統解決方案中采用防火墻和加密機兩個設備而言，其穩定性更高，故障率更低。</p><p><b>　　2.4入侵檢測</b></p><p>　　網絡安全不可能完全依靠單一產品來實現，網絡安全是個整

113、體的，必須配相應的安全產品。作為必要的補充，入侵檢測系統(IDS)可與安全VPN系統形成互補。入侵檢測系統是根據已有的、最新的和可預見的攻擊手段的信息代碼對進出網絡的所有操作行為進行實時監控、記錄，并按制定的策略實行響應(阻斷、報警、發送E-mail)。從而防止針對網絡的攻擊與犯罪行為。入侵檢測系統一般包括控制臺和探測器(網絡引擎)?？刂婆_用作制定及管理所有探測器(網絡引擎)。探測器(網絡引擎)用作監聽進出網絡的訪問行為，根據控制臺的指