王洪平

摘要：大中型企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)的高效、可靠和安全運(yùn)行，不僅影響企業(yè)各方面的正常運(yùn)轉(zhuǎn)，而且是企業(yè)提升精細(xì)化管理水平的重要保障。首先基于思科公司網(wǎng)絡(luò)設(shè)備的路由和交換技術(shù)，給出了一個(gè)大中型企業(yè)網(wǎng)的組建方案，然后基于網(wǎng)絡(luò)安全策略和技術(shù)，從網(wǎng)絡(luò)安全防護(hù)和計(jì)算機(jī)系統(tǒng)配置兩方面探討了企業(yè)網(wǎng)的安全設(shè)計(jì)，以此構(gòu)建一個(gè)安全企業(yè)網(wǎng)絡(luò)。

關(guān)鍵詞：大中型企業(yè)；路由與交換；網(wǎng)絡(luò)組建；網(wǎng)絡(luò)安全

一、前言

伴隨新一代信息技術(shù)的不斷涌現(xiàn)，許多有遠(yuǎn)見的企業(yè)都認(rèn)識(shí)到很有必要依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營平臺(tái)以提升企業(yè)的核心競爭力。經(jīng)營管理對計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng)，計(jì)算機(jī)應(yīng)用系統(tǒng)對計(jì)算機(jī)網(wǎng)絡(luò)的依賴性增強(qiáng)，并且對計(jì)算機(jī)網(wǎng)絡(luò)的高效性、可靠性和安全性提出了更高的要求。因此，在大中型企業(yè)中組建Intranet（內(nèi)聯(lián)網(wǎng)）或?qū)υ芯W(wǎng)絡(luò)進(jìn)行改善，以實(shí)現(xiàn)網(wǎng)絡(luò)的保密性、完整性、可用性、可控性和可審查性，是適應(yīng)新時(shí)代企業(yè)業(yè)務(wù)發(fā)展的必然舉措。對于一個(gè)大中型企業(yè)網(wǎng)絡(luò)，其地理覆蓋范圍大多數(shù)情況下是城域網(wǎng)。假如X公司，總部設(shè)在四川省會(huì)成都，一個(gè)分公司在四川南充，南充分公司設(shè)有一個(gè)中心機(jī)房和A、B辦事處，辦事處下設(shè)有N個(gè)網(wǎng)點(diǎn)。這是一個(gè)典型的大中型企業(yè)的組織架構(gòu)，這里以X公司為例來探討一種安全的企業(yè)網(wǎng)絡(luò)的設(shè)計(jì)方案。

二、企業(yè)網(wǎng)建設(shè)需求分析

企業(yè)網(wǎng)根據(jù)開展業(yè)務(wù)的需求，一般應(yīng)該具備以下基本功能：共享資源，提供數(shù)字化辦公與信息處理系統(tǒng)的運(yùn)行平臺(tái)，安全地與異地分支機(jī)構(gòu)通信，網(wǎng)絡(luò)系統(tǒng)運(yùn)行穩(wěn)定、安全可靠，具有較強(qiáng)的抗攻擊能力。按照上述功能需求，組建并配置企業(yè)網(wǎng)絡(luò)。

（一）網(wǎng)絡(luò)組建的設(shè)計(jì)

路由與交換技術(shù)作為新型技術(shù)，其對計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)起到信息聯(lián)通與數(shù)據(jù)交換的作用，保證系統(tǒng)驅(qū)動(dòng)過程中網(wǎng)絡(luò)內(nèi)部的多元化數(shù)據(jù)體系可通過跟蹤形式以及數(shù)據(jù)對接模式，對不同模塊進(jìn)行數(shù)據(jù)化控制，增強(qiáng)網(wǎng)絡(luò)管理的精確性[1]。大中型企業(yè)的網(wǎng)絡(luò)是通過交換機(jī)和路由器等網(wǎng)絡(luò)設(shè)備連接而成的企業(yè)內(nèi)聯(lián)網(wǎng)，并且可以連接Internet。本方案基于思科網(wǎng)絡(luò)設(shè)備，從路由與交換技術(shù)角度來探討企業(yè)網(wǎng)絡(luò)的組建。為了企業(yè)網(wǎng)具有較好的可擴(kuò)展性，采用星形拓?fù)浣Y(jié)構(gòu)。在網(wǎng)絡(luò)的設(shè)計(jì)中，企業(yè)網(wǎng)絡(luò)在結(jié)構(gòu)上按網(wǎng)絡(luò)層次進(jìn)行分層設(shè)計(jì)，分為三層，分別為核心層、匯聚層和接入層。接入層交換機(jī)可全部或部分冗余上行鏈路，分別上聯(lián)到匯聚層交換機(jī)，這樣既保證了企業(yè)網(wǎng)絡(luò)的安全性和可靠性，同時(shí)又實(shí)現(xiàn)了企業(yè)虛擬局域網(wǎng)的統(tǒng)一配置管理和企業(yè)網(wǎng)絡(luò)環(huán)路的避免[2]。

（二）網(wǎng)絡(luò)安全的設(shè)計(jì)

網(wǎng)絡(luò)安全的本質(zhì)就是要確保網(wǎng)絡(luò)中的信息安全。網(wǎng)絡(luò)安全涉及甚廣，對于大中型企業(yè)網(wǎng)絡(luò)，要確保網(wǎng)絡(luò)安全，不僅需要制定網(wǎng)絡(luò)安全策略，還得應(yīng)用關(guān)鍵網(wǎng)絡(luò)安全技術(shù)。網(wǎng)絡(luò)安全策略包含物理安全策略、信息加密策略、訪問控制策略、安全管理策略。只有在法律、制度和管理上采取綜合策略，再結(jié)合先進(jìn)的網(wǎng)絡(luò)安全技術(shù)，才能使網(wǎng)絡(luò)系統(tǒng)具有較好的安全性，即網(wǎng)絡(luò)安全防護(hù)要從管理和技術(shù)兩方面入手。管理包括各種網(wǎng)絡(luò)安全規(guī)章制度的建立、實(shí)施以及監(jiān)督；技術(shù)層面包括各種安全設(shè)備的應(yīng)用和安全技術(shù)措施的應(yīng)用等。網(wǎng)絡(luò)安全關(guān)鍵技術(shù)是指為解決網(wǎng)絡(luò)安全問題進(jìn)行有效監(jiān)控和管理，保障數(shù)據(jù)及系統(tǒng)安全的專門技術(shù)，一般分為預(yù)防保護(hù)、檢測跟蹤、響應(yīng)恢復(fù)三類。本文將基于技術(shù)角度從網(wǎng)絡(luò)系統(tǒng)和計(jì)算機(jī)系統(tǒng)兩個(gè)方面給出具體的安全實(shí)施方案。

三、網(wǎng)絡(luò)設(shè)計(jì)實(shí)施方案

（一）分公司與省公司之間的路由

在分公司與省公司之間使用靜態(tài)路由協(xié)議，靜態(tài)路由的優(yōu)勢在于它能夠非常準(zhǔn)確地將消息傳輸?shù)秸_的目的地，因?yàn)橄⒁獋飨虻哪康木W(wǎng)絡(luò)和要經(jīng)過的下一跳（或出接口）都已經(jīng)由管理員預(yù)先定義好了。另外，因?yàn)楣芾韱T已經(jīng)定義好路徑，客戶端可以利用這些靜態(tài)路由把消息傳送到目的地，所以安全性提高。此外，靜態(tài)路由還可以更好地控制整個(gè)網(wǎng)絡(luò)的流量，可以根據(jù)具體情況將流量路由到不同的路徑，以避免出現(xiàn)數(shù)據(jù)阻塞現(xiàn)象，從而提高網(wǎng)絡(luò)性能。由于靜態(tài)路由比較簡單，系統(tǒng)的維護(hù)和管理開銷也相對較小。在此方案中，分公司與省公司之間采用靜態(tài)路由通信，根據(jù)圖1，在R1上配置到省公司的靜態(tài)路由：ip route 202.114.62.0 255.255.255.0 202.114.67.6，在R2上配置省公司到分公司的靜態(tài)路由：ip route 202.114.66.0 255.255.255.0 202.114.67.5。

（二）分公司內(nèi)部的路由

在分公司內(nèi)部采用動(dòng)態(tài)路由協(xié)議RIP v2或OSPF。一般的分公司都不止一處辦公地點(diǎn)，比如某銀行在一個(gè)三線城市設(shè)有分行，市內(nèi)又有很多支行，支行下面還有不同的網(wǎng)點(diǎn)，特別是這些網(wǎng)點(diǎn)的網(wǎng)絡(luò)規(guī)模都比較小，整個(gè)市內(nèi)分行的所有網(wǎng)絡(luò)節(jié)點(diǎn)匯總在一起可構(gòu)成一個(gè)中等規(guī)模的網(wǎng)絡(luò)。如圖2拓?fù)?，包括中心機(jī)房和A、B兩個(gè)辦事處，辦事處下面可以再連接不同的網(wǎng)段。類似這樣的企業(yè)組織結(jié)構(gòu)，都可采用數(shù)臺(tái)思科三層交換機(jī)分別將下面的中心機(jī)房和A、B辦事處連接起來，辦事處下面還可連接分支機(jī)構(gòu)。三層交換機(jī)不僅具有交換功能，還可以啟用路由功能。圖2中S1和S2兩臺(tái)交換機(jī)直接連接在路由器R1上，S3分別與S1和S2連接，這樣的好處一是可以減輕R1的負(fù)荷，二是增加了上行冗余鏈路，當(dāng)一臺(tái)核心設(shè)備出現(xiàn)故障時(shí)，所有的數(shù)據(jù)流量會(huì)自動(dòng)切換到另一臺(tái)核心設(shè)備進(jìn)行數(shù)據(jù)的轉(zhuǎn)發(fā)，鏈路也會(huì)相應(yīng)進(jìn)行切換[3]。比如，路由器R1與交換機(jī)S2之間的鏈路出了故障，那么分公司B辦事處可以通過R3連入網(wǎng)絡(luò)；同理，如果路由器R1與交換機(jī)S1之間出現(xiàn)鏈路故障，那么分公司中心機(jī)房也可以通過交換機(jī)S3保持網(wǎng)絡(luò)暢通。網(wǎng)絡(luò)連接好后，需要考慮子網(wǎng)劃分的問題。首先根據(jù)申請到的IP地址范圍劃分出足夠的子網(wǎng)，圖2中，對分公司的C類網(wǎng)絡(luò)202.114.66.0/24，可劃分出變長子網(wǎng)掩碼的多個(gè)網(wǎng)段。對于三層交換機(jī)之間，以及交換機(jī)與路由器之間相互連接構(gòu)成的網(wǎng)段，都采用30位子網(wǎng)掩碼，這樣可以恰到好處地分出更多的子網(wǎng)，而且每個(gè)子網(wǎng)的兩個(gè)IP地址正好滿足需求。圖2中，交換機(jī)S1與路由器R1的連接構(gòu)成子網(wǎng)202.114.66.12/30，可用IP地址是202.114.66.13/30和202.114.66.14/30，能分別分配給R1和S1相連的兩個(gè)接口。

三層交換機(jī)與路由器之間宜采用動(dòng)態(tài)路由協(xié)議RIP v2或者OSPF實(shí)現(xiàn)互連。靜態(tài)路由在分公司這種規(guī)模的網(wǎng)絡(luò)環(huán)境中已經(jīng)不適用了，因?yàn)榉止镜木W(wǎng)絡(luò)規(guī)模較大，路由條目較多，管理員手動(dòng)維護(hù)大量的靜態(tài)路由是非常困難的，并且容易出錯(cuò)。而RIP v2是一種距離矢量路由協(xié)議，適用于中型網(wǎng)絡(luò)，支持路由聚合和認(rèn)證，支持無類別域間路由（CIDR），非常靈活。OSPF協(xié)議也適用于大中型規(guī)模的網(wǎng)絡(luò)，它是一種內(nèi)部網(wǎng)關(guān)協(xié)議，用于在同一個(gè)自制系統(tǒng)（AS）中的路由器之間交換路由信息，它收斂速度快，無路由環(huán)路[4]。根據(jù)企業(yè)分公司規(guī)模的大小，可以在這兩種動(dòng)態(tài)協(xié)議中選取一種。根據(jù)圖2，表1采用RIP v2協(xié)議實(shí)現(xiàn)分公司路由，給出了路由器R1、R4和交換機(jī)S1的路由配置，交換機(jī)S2和S3的路由配置可參照交換機(jī)S1，路由器R3的配置可參照R4。

（三）接入層的配置

對于分公司A辦事處下面的網(wǎng)段，一般會(huì)根據(jù)不同業(yè)務(wù)部門劃分不同的VLAN。VLAN是為解決以太網(wǎng)的廣播風(fēng)暴和安全性而提出的。不同VLAN是相互獨(dú)立的廣播域，一個(gè)VLAN中的廣播幀和單播幀都只能在本VLAN中傳輸，即使兩臺(tái)計(jì)算機(jī)位于相同物理網(wǎng)段，但如果所屬VLAN不同，它們也是不能相互通信的。網(wǎng)絡(luò)中劃分VLAN也用于控制流量和均衡負(fù)載。由于VLAN隔離了廣播風(fēng)暴，也隔離了不同VLAN之間的通訊，因此，不同VLAN之間的通訊必須依靠路由器或者三層交換機(jī)來實(shí)現(xiàn)。單臂路由技術(shù)常用于實(shí)現(xiàn)VLAN間的通信，使用路由器的一個(gè)物理接口與交換機(jī)的干道端口連接，然后在路由器這一個(gè)物理接口上為網(wǎng)絡(luò)中不同的VLAN創(chuàng)建子接口，最后配置各個(gè)子接口的IP地址作為對應(yīng)VLAN的網(wǎng)關(guān)。對于分公司B辦事處路由器R3下面的網(wǎng)段，計(jì)算機(jī)可全部采用配置內(nèi)部私有地址：192.168.1.0 /24，因?yàn)楣W(wǎng)IP地址作為資源是有限的，局域網(wǎng)內(nèi)部使用私有IP地址可以不受限制。由于接入層計(jì)算機(jī)數(shù)量一般較多，網(wǎng)絡(luò)管理員為接入層計(jì)算機(jī)逐一配置IP地址工作量大，且容易出錯(cuò)，因此可通過路由器R3中的DHCP服務(wù)為計(jì)算機(jī)自動(dòng)分配IP地址。 DHCP服務(wù)器最主要的功能就是動(dòng)態(tài)向網(wǎng)絡(luò)中的客戶機(jī)分配IP信息，保障動(dòng)態(tài)分配的IP唯一性。客戶端計(jì)算機(jī)將自動(dòng)獲得IP地址信息并完成配置，這極大地提高了工作效率，代替了手工配置的繁重工作，減少了手工配置可能出現(xiàn)的錯(cuò)誤，同時(shí)還便于管理。當(dāng)網(wǎng)絡(luò)中網(wǎng)絡(luò)號(hào)需要變動(dòng)時(shí)，無須逐臺(tái)手動(dòng)修改計(jì)算機(jī)的IP，只需調(diào)整DHCP服務(wù)器中IP地址池的網(wǎng)絡(luò)號(hào)即可。由于客戶機(jī)關(guān)機(jī)后，自動(dòng)獲取的IP地址會(huì)釋放，因此使用DHCP服務(wù)也節(jié)約了IP地址。

四、企業(yè)網(wǎng)絡(luò)安全防護(hù)

（一）企業(yè)網(wǎng)絡(luò)安全的多層防護(hù)策略

根據(jù)網(wǎng)絡(luò)安全的策略，對企業(yè)網(wǎng)絡(luò)安全防護(hù)采用多層次的安全防護(hù)，在各個(gè)層次上部署相關(guān)的網(wǎng)絡(luò)安全產(chǎn)品，從而有效地降低被入侵的危險(xiǎn)，達(dá)到安全防護(hù)的目標(biāo)。如果將整個(gè)企業(yè)網(wǎng)絡(luò)比作城堡，防火墻就好比是城堡的護(hù)城河，入侵檢測系統(tǒng)就是城堡中的瞭望哨，訪問控制就是城堡內(nèi)的管制，VPN（虛擬專用網(wǎng)） 就是從城堡外進(jìn)入城堡內(nèi)的一個(gè)安全地道，漏洞評估就是檢測城堡是否堅(jiān)固以及是否存在隱患，NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）就是喬裝打扮出城，防病毒就是城堡中的將士把發(fā)現(xiàn)的敵人消滅。圖3是安全企業(yè)網(wǎng)絡(luò)的多層防護(hù)模型。

（二）企業(yè)網(wǎng)絡(luò)安全防護(hù)措施

1.部署防火墻。防火墻是一種位于內(nèi)網(wǎng)與外網(wǎng)之間的高級(jí)訪問控制設(shè)備，能根據(jù)企業(yè)的網(wǎng)絡(luò)安全策略，在內(nèi)網(wǎng)與外網(wǎng)之間實(shí)現(xiàn)訪問控制，是部署在網(wǎng)絡(luò)中的第一道安全防線，是不同網(wǎng)絡(luò)安全域間信息流的唯一通道。在圖1中，因?yàn)榉止竞褪」镜倪吔缏酚善鱎1和R2直接與因特網(wǎng)相連，所以可根據(jù)需求，考慮是否需要分別在R1和R2之外配置兩臺(tái)防火墻。

2.部署入侵檢測系統(tǒng)。入侵檢測系統(tǒng)（IDS）可以彌補(bǔ)防火墻的不足，有助于預(yù)警網(wǎng)絡(luò)攻擊，提高外部入侵內(nèi)網(wǎng)的門檻。它的作用就是監(jiān)控網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)是否出現(xiàn)被入侵或?yàn)E用的征兆。入侵檢測系統(tǒng)分為NIDS、HIDS和DIDS三種基本類型。根據(jù)網(wǎng)絡(luò)規(guī)模的大小，可以選用不同的類型。HIDS是基于主機(jī)的入侵檢測系統(tǒng)，通常安裝在被保護(hù)的主機(jī)上（如服務(wù)器），而NIDS（基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)）和DIDS（分布式入侵檢測系統(tǒng)）作為探測器放置在網(wǎng)絡(luò)中的關(guān)鍵節(jié)點(diǎn)上，并向中央控制臺(tái)匯報(bào)情況。

3.建立VPN。虛擬專用網(wǎng)（VPN）就是通過公用網(wǎng)絡(luò)建立的一個(gè)臨時(shí)、安全的連接，是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展[5]，為兩個(gè)網(wǎng)絡(luò)（或兩臺(tái)主機(jī)）之間的通信提供一個(gè)虛擬的、安全的專用通道。VPN使用了密鑰管理、訪問控制和身份認(rèn)證等多種技術(shù)。比如在分公司的中心機(jī)房可以配置一臺(tái)VPN服務(wù)器，便于出差在外的員工通過VPN臨時(shí)通道安全訪問公司內(nèi)網(wǎng)服務(wù)器。

4.配置NAT。網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）能把內(nèi)網(wǎng)中訪問因特網(wǎng)的IP地址進(jìn)行轉(zhuǎn)換，使外部無法獲悉內(nèi)網(wǎng)主機(jī)的真正IP，也隱藏了內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)。使用NAT的網(wǎng)絡(luò)，只能由內(nèi)到外發(fā)起訪問，這就增強(qiáng)了內(nèi)部網(wǎng)絡(luò)的安全，降低了被外網(wǎng)攻擊的風(fēng)險(xiǎn)。如在圖2的內(nèi)網(wǎng)中，可以在邊界路由器R1上配置動(dòng)態(tài)NAT，定義一個(gè)轉(zhuǎn)換中使用的全局地址池（如202.114.66.101/24-202.114.66.120/24），配置標(biāo)準(zhǔn)訪問控制列表允許兩臺(tái)服務(wù)器和內(nèi)網(wǎng)中某些網(wǎng)段進(jìn)行地址轉(zhuǎn)換。

5.訪問控制。訪問控制技術(shù)主要用于授權(quán)、限制和監(jiān)控用戶對網(wǎng)絡(luò)資源的訪問，是保證資源的合法使用和網(wǎng)絡(luò)系統(tǒng)安全的主要措施。在企業(yè)網(wǎng)絡(luò)中，可以通過以下方式來應(yīng)用訪問控制。一是MAC地址過濾，根據(jù)交換機(jī)的MAC地址過濾，限制主機(jī)和服務(wù)器之間的訪問。二是VLAN隔離，隔離不同的用戶組，這樣兩個(gè)分組之間不能通信。三是ACL訪問控制，在路由器的網(wǎng)絡(luò)層上用包過濾中的源地址、目的地址、端口來管理訪問權(quán)限。四是防火墻訪問控制，在網(wǎng)絡(luò)通信中配置防火墻控制訪問。

6.漏洞評估。定期使用掃描軟件對整個(gè)網(wǎng)絡(luò)進(jìn)行掃描，旨在發(fā)現(xiàn)漏洞，再根據(jù)掃描評估結(jié)果及時(shí)采取相應(yīng)措施，可以大大地減少網(wǎng)絡(luò)被入侵的風(fēng)險(xiǎn)。

7.查殺病毒。防火墻的弱點(diǎn)之一就是不能防備病毒。計(jì)算機(jī)病毒與黑客攻擊技術(shù)日益融合，造成的危害越來越大，防治病毒是網(wǎng)絡(luò)安防中的重要一環(huán)。企業(yè)應(yīng)建立全方位的病毒防護(hù)體系，從而有效降低病毒帶來的危害。全方位病毒防護(hù)體系的構(gòu)建應(yīng)該包括：在個(gè)人計(jì)算機(jī)上安裝殺毒軟件和單機(jī)防火墻；在服務(wù)器上安裝基于服務(wù)器的防病毒軟件；在網(wǎng)關(guān)上安裝基于Internet網(wǎng)關(guān)的防病毒產(chǎn)品（如瑞星防毒墻 5.0）。這一防護(hù)體系能極大地減少病毒造成的危害。

（三）計(jì)算機(jī)系統(tǒng)安全防護(hù)措施

企業(yè)網(wǎng)中有很多個(gè)人計(jì)算機(jī)和服務(wù)器，如果一臺(tái)計(jì)算機(jī)被控制，攻擊者將以此為跳板對整個(gè)網(wǎng)絡(luò)發(fā)起攻擊，結(jié)果可能導(dǎo)致整個(gè)企業(yè)網(wǎng)絡(luò)癱瘓，因此，做好個(gè)人計(jì)算機(jī)系統(tǒng)的防護(hù)措施至關(guān)重要，根據(jù)國內(nèi)網(wǎng)絡(luò)安全評估準(zhǔn)則—《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》，個(gè)人計(jì)算機(jī)和服務(wù)器的信息安全保護(hù)等級(jí)應(yīng)該達(dá)到用戶自主保護(hù)級(jí)和系統(tǒng)審計(jì)保護(hù)級(jí)，對于服務(wù)器來說，安全保護(hù)等級(jí)還可以配置為更高。

1.計(jì)算機(jī)系統(tǒng)基本安全配置

一是設(shè)置開機(jī)密碼、系統(tǒng)登錄密碼、屏保密碼，有條件還可以對硬件采取簡單的安全措施（如加鎖）。二是在本地安全策略中配置賬戶策略，網(wǎng)站安全調(diào)查的結(jié)果表明，超過80%的安全侵犯都是由于弱口令而導(dǎo)致的，而80%的入侵可以通過使用復(fù)雜口令來阻止。三是不要啟用Guest賬戶，并確保在本地安全策略的安全選項(xiàng)中配置為“使用空密碼的本地賬戶只允許進(jìn)行控制臺(tái)登錄”。四是啟用安全日志，創(chuàng)建和維護(hù)訪問審計(jì)跟蹤記錄。此外，我們還可以設(shè)置禁止系統(tǒng)自動(dòng)登錄、拒絕修改防火規(guī)則、開啟系統(tǒng)自帶的加密與解密功能等。

2.關(guān)鍵信息的保護(hù)

一是要盡可能隱藏IP地址。攻擊者獲得了計(jì)算機(jī)的IP地址，就等于明確了攻擊目標(biāo)。隱藏IP地址的主要方法是使用代理服務(wù)器，或者使用NAT技術(shù)（網(wǎng)絡(luò)地址轉(zhuǎn)換）。二是封閉計(jì)算機(jī)中不必要的端口，如遠(yuǎn)程訪問的3389端口、流行病毒的后門端口、TCP 135等等端口，我們可以使用本機(jī)自帶防火墻或管理工具中的本地安全策略來關(guān)閉端口。三是對管理員賬戶和來賓賬戶（Guest）進(jìn)行特殊處理，Windows系統(tǒng)中的Administrator賬戶是管理員賬戶，我們應(yīng)先對管理員賬戶進(jìn)行更名，再把沒有權(quán)限的Guest賬戶更名為管理員以欺騙攻擊者。

3.必要的安全保護(hù)措施

首先是安裝必要的安全軟件，包括殺毒軟件（如360殺毒）和個(gè)人防火墻軟件（如瑞星個(gè)人防火墻），這樣系統(tǒng)即便遭遇入侵，也能具有較好的防御能力；其次要經(jīng)常升級(jí)系統(tǒng)版本（包括應(yīng)用程序），確保系統(tǒng)中的漏洞在被黑客發(fā)現(xiàn)之前就已經(jīng)修補(bǔ)上了，從而保證了系統(tǒng)的安全；三是不要回復(fù)陌生人的郵件；最后還要進(jìn)行瀏覽器的安全級(jí)別設(shè)置，常見的瀏覽器包括Chrome、Firefox、Edge等，不同瀏覽器的安全級(jí)別設(shè)置方法不同，通過設(shè)置瀏覽器的安全級(jí)別，可以限制外部攻擊，保護(hù)用戶隱私，控制網(wǎng)站內(nèi)容。

4.數(shù)據(jù)的保護(hù)

從兩個(gè)方面保護(hù)數(shù)據(jù)，一是及時(shí)備份重要數(shù)據(jù)，即便系統(tǒng)遭到攻擊也可以在短時(shí)間內(nèi)恢復(fù)，挽回不必要的損失。國外很多商務(wù)網(wǎng)站都會(huì)在每天晚上對系統(tǒng)數(shù)據(jù)進(jìn)行備份，數(shù)據(jù)的備份最好放在其他電腦或驅(qū)動(dòng)器上。二是使用加密機(jī)制傳輸數(shù)據(jù)。網(wǎng)絡(luò)上的信息一般是明文傳輸?shù)?，一旦被別有用心的人使用嗅探軟件獲取關(guān)鍵信息，將會(huì)帶來損失，因此對網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)進(jìn)行加密是必要的。DES加密是一套沒有逆向破解的加密算法，即便黑客得到了加密處理后的文件，破解工作也會(huì)在無休止地嘗試后終止。

五、結(jié)語

本文給出了一個(gè)應(yīng)用思科網(wǎng)絡(luò)設(shè)備的大中型企業(yè)網(wǎng)的組建及安全方案，一方面從路由與交換技術(shù)的角度討論了網(wǎng)絡(luò)的組建，以實(shí)例的形式對網(wǎng)絡(luò)組建方案做了具體的分析；另一方面從網(wǎng)絡(luò)安全技術(shù)角度討論了企業(yè)網(wǎng)絡(luò)的安全防護(hù)措施，但網(wǎng)絡(luò)安全防護(hù)僅靠技術(shù)是遠(yuǎn)遠(yuǎn)不夠的，管理重于技術(shù)。安防工作是一個(gè)動(dòng)態(tài)的過程，沒有一成不變的安防系統(tǒng)，也沒有一勞永逸的安防系統(tǒng)。

參考文獻(xiàn)

[1]薛董敏.計(jì)算機(jī)網(wǎng)絡(luò)路由交換技術(shù)的應(yīng)用研究[J].軟件，2022，43（08）：58-60.

[2]謝小蘭.基于思科設(shè)備的大中型企業(yè)網(wǎng)安全方案設(shè)計(jì)[J].企業(yè)技術(shù)開發(fā)，2013，32（14）：83+102.

[3]伊健.校園網(wǎng)的規(guī)劃與實(shí)現(xiàn)[J].電腦知識(shí)與技術(shù)，2023，19（13）：91-93.

[4]王明昊.路由和交換技術(shù)（第二版）[M].大連：大連理工大學(xué)出版社，2021.

[5]徐照興，劉慶，蔚治國.網(wǎng)絡(luò)安全技術(shù)[M].上海：上海交通大學(xué)出版社，2020.

作者單位：南充職業(yè)技術(shù)學(xué)院