前言:中文期刊网精心挑选了企业网络安全论文范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
企业网络安全论文范文1
1网络安全风险分析
1.1网络结构的安全风险分析
电力企业网络与外网有互连。基于网络系统的范围大、函盖面广,内部网络将面临更加严重的安全威胁,入侵者每天都在试图闯入网络节点。网络系统中办公系统及员工主机上都有信息,假如内部网络的一台电脑安全受损(被攻击或者被病毒感染),就会同时影响在同一网络上的许多其他系统。
1.2操作系统的安全风险分析
所谓系统安全通常是指操作系统的安全。操作系统的安装以正常工作为目标,一般很少考虑其安全性,因此安装通常都是以缺省选项进行设置。从安全角度考虑,其表现为装了很多用不着的服务模块,开放了很多不必开放的端口,其中可能隐含了安全风险。
1.3应用的安全风险分析
应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的安全性也是动态的。这就需要我们对不同的应用,检测安全漏洞,采取相应的安全措施,降低应用的安全风险。主要有文件服务器的安全风险、数据库服务器的安全风险、病毒侵害的安全风险、数据信息的安全风险等。
1.4管理的安全分析
管理方面的安全隐患包括:内部管理人员或员工图方便省事,不设置用户口令,或者设置的口令过短和过于简单,导致很容易破解。责任不清,使用相同的用户名、口令,导致权限管理混乱,信息泄密。把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。内部不满的员工有的可能造成极大的安全风险。
2网络信息与网络安全的防护对策
尽管计算机网络信息安全受到威胁,但是采取恰当的防护措施也能有效的保护计算机网络信息的安全。网络安全不仅仅是技术问题,同时也是一个安全管理问题。我们必须综合考虑安全因素,制定合理的目标、技术方案和相关的配套法规等。以下分别就这两个方面进行论述。
2.1管理维护措施
1)应建立健全计算机网络安全管理制度体系,定期对管理制度进行检查和审定,对存在不足或需要改进的管理制度及时进行修订。2)使用人员应该了解国家有关法规、方针、政策、标准和规范,并主动贯彻与执行;掌握终端的基本使用常识,了解国家电网公司、省公司及分公司有关管理制度,并严格遵守。3)坚持“分区、分级、分域”的总体防护策略,执行网络安全等级保护制度。将网络分为内网和外网,内、外网之间实施强逻辑隔离的措施。4)内外网分离,外网由信息职能管理部门统一出口接入互联网,其他部门和个人不得以其它方式私自接入互联网,业务管理部门如有任何涉及网络互联的需求,应向信息职能管理部门提出网络互联的书面申请,并提交相关资料,按规定流程进行审批,严禁擅自对外联网,如果互联网使用人员发生人动,原来申请的互联网账户必须注销。5)必须实行实名制,实行“谁使用,谁负责”,通过建立电力企业网络中确定用户的身份标识,将网络用户与自然人建立起一一对应的关系。6)加强网络监管人员的信息安全意识,特别是要消除那些影响计算机网络通信安全的主观因素。计算机系统网络管理人员缺乏安全观念和必备技术,必须进行加强。7)有关部门监管的力度落实相关责任制,对计算机网络和信息安全应用与管理工作实行“谁主管、谁负责、预防为主、综合治理、人员防范与技术防范相结合”的原则,逐级建立安全保护责任制,加强制度建设,逐步实现管理的科学化、规范化。8)办公人员每天直接面对计算机的时间是最长的,如果办公人员本身的计算机操作水平很高,就会有效地减少一些不必要的维护工作。因此,建议计算机管理员在每次维护的过程中,可以适当地把故障产生的原因和维护办法以及注意事项向办公人员做以讲解。随着维护工作不断地进行,时间长了,再遇到类似的故障办公人员便可轻松独立处理,而不只是束手无策。这样,既能提高工作效率,又能降低故障,还能避免重复维护。
2.2技术维护措施
1)操作系统因为自身的复杂性和对网络需求的适应性,需要及时进行升级和更新,因此要及时升级并打上最新的系统补丁,严防网络恶意工具和黑客利用漏洞进行入侵。2)按要求安装防病毒软件、补丁分发系统、移动存储介质管理系统等安全管理软件,进行安全加固,未经许可,不得擅自卸载。防病毒软件系统的应用基本上可以防治绝大多数计算机病毒,保障信息系统的安全。及时升级防病毒软件,加强全员防病毒、木马的意识,不打开、阅读来历不明的邮件;要指定专人对网络和主机进行恶意代码检测并做好记录,定期开展分析;加强防恶意代码软件授权使用、恶意代码库升级等管理。在信息系统的各个环节采用全面的防病毒策略,在计算机病毒预防、检测和病毒库的升级分发等环节统一管理,建立较完善的管理制度,有效地防止和抑制病毒的侵害。3)防火墙是用于将信任网络与非信任网络隔离的一种技术,它通过单一集中的安全检查点,强制实施相应的安全策略进行检查,防止对重要信息资源进行非法存取和访问。电力系统的生产、计量、营销、调度管理等系统之间,信息的共享、整合与调用,都需要在不同网段之间对这些访问行为进行过滤和控制,阻断攻击破坏行为,分权限合理享用信息资源。采用防火墙或入侵防护设备(IPS)对内网边界实施访问审查和控制,对进出网络信息内容实施过滤,对应用层常用协议命令进行控制,网关应限制网络最大流量数及网络连接数。严格拨号访问控制措施。4)对操作系统和数据库系统用户进行身份标识和鉴别,具有登录失败处理,限制非法登录次数,设置连接超时功能;用户访问不得采用空账号和空口令,口令要足够强健,长度不得少于8位,并定期更换,计算机帐号和口令要严格保密,用户短时离开要启动带口令的计算机屏幕保护程序或锁定计算机,长时间不使用计算机,必须将计算机关机,以防他人非法使用。5)要执行备份管理制度,对重要数据进行备份。加强对数据和介质的管理,规范数据的备份、恢复以及废弃介质、数据的处理措施。6)对于办公计算机而言,每天都要在办公区高频地收发处理文件,特别是使用U盘作为传输载体,传播病毒的几率更是居高不下,破坏力极强。可通过批处理程序在开机时把驱动加进去,然后关机时恢复原来设置;或通过组策略设置不自动打开U盘,然后启用杀毒软件扫描。
企业网络安全论文范文2
【关键词】通讯企业;信息网络;网络安全;控制通讯
企业信息网络比较复杂和繁琐,不仅包括受理人的资料,而且还有相关产品的详细资料以及企业内部员工的资料等,信息网络系统能否正常运行,直接关系到通讯企业发展的好与坏[1]。但是由于计算机网络和信息技术不断的发展,经常存在各种各样的要素威胁着系统的安全,从而损坏甚至丢失内部的重要信息,从而影响通信企业内部正常的运作,最终导致一系列损失[2]。因此,对于通信企业信息网络安全的控制刻不容缓,应该加大力度提高系统的安全性能。
1.信息网络安全概述
信息网络安全是指通过各种各样的网络技术手段,保证计算机在正常运行的过程中处于安全的状态,避免硬件及软件受到网络相关的危险因素的干扰与破坏,同时还可以阻止一些危险程序对整个系统进行攻击与破坏,从而将信息泄露和篡改等,最终保证信息网络在互联网的大环境中正常运行[3]。信息网络安全的维护主要是以信息与数据的完整性与可控性作为核心,并且能够通过用户的操作,实现基本的应用目的。在信息网络的安全维护中,主要包括两个方面。一是设备安全,包括计算机系统的稳定、硬件实体的安全以及软件的正常运行。二是信息安全,主要指的是数据的备份、数据库的安全性等。
2.通信企业信息网络面临的主要安全威胁
2.1人为的恶意攻击
目前信息网络所面临的最大的威胁和挑战就是认为的恶意攻击,人们采取各种各样的方式对于信息进行选择性的破坏和控制,从而造成机密信息的丢失和篡改。
2.2人为的无意失误
通讯企业通过对专门的管理人员进行管理与培训从而保证信息网络系统的正常运行,在日常管理和培训的过程中,会无意的使相应的措施处理不当,这是在所难免的,当工作人员因为自己的原因导致操作不当,会使信息网络系统出现或多或少的漏洞,还有可能造成设备的损坏,这些都是由于人为的无意失误造成的后果[4]。
2.3计算机病毒
由于计算机网络的复杂性及联系性,在工作过程中会尽可能的实现资源共享,因此所接收的结点会有很多。由于无法检测每个结点是否是安全的,因此极容易造成系统的病毒感染。而一旦信息网络受到病毒的感染后,病毒会在信息网络中以非常快的速度进行再生并且传染给其他系统,最终将波及整个网络,后果将不堪设想[5]。
3.通信企业做好信息网络工作的措施
3.1对内部网的访问保护
(1)用户身份认证。如果用户想要进入网络必须经过三个步骤即首先进行用户名进行验证,其次进行用户口令进行验证,最后依据用户帐号进入网络。在这三个步骤中最关键的操作就是用户口令,用户口令需要同时进行系统的加密从而保护网络的安全,并且还应控制同一个账户同时登陆多个计算机的这种现象[6]。(2)权限控制。管理员及用户在进入网络前需要履行某一个任务因此必须遵守所谓的权限原则,这种控制方法可以有效的防止一些非法的用户在一定时间内访问网络资源,从而从根本上阻断这条途径。在进行权限设置的过程中,一定要遵守一些原则,第一,一定要合理的设置网络权限,确保网络权限设置的准确性,不能因为所设置的权限从而影响了整个网络的正常工作,影响了工作的整体效率;第二应该增加一些先进的合理的加密操作技术来减少病毒的入侵,从而从一定程度上保证网络的正常运行,对网络信息数据使用系统性的加密来确保网络安全性和合理性,最终实现对计算机所有结点信息的实时保护。(3)加密技术。通过合理准确的数学函数转换的方法对系统以密文的形式代替明文的现象称之为数据加密,当数据加密后,只有特定的管理人员可以对其进行解密,在数据加密的过程中主要包含两大类:对称加密和不对称加密。
3.2对内外网间的访问保护
(1)安全扫描。互联网互动过程中,及时的对计算机安全卫士和杀毒软件等进行升级,以便及时的对流动数据包进行检测,以便及时有效的对网络中发现的木马和病毒采取有效的防护措施。(2)防火墙系统。防火墙作为计算机网络信息安全防护的第一道屏障,是一种加强网络之间访问控制,以此来决定网络之间传输信息的准确性、真实性及安全性,对于计算机的安全与正常运行具有重要的意义[7]。(3)入侵检测。计算机当中的病毒传播的速度较快且危害性极大,为此应该对网络系统进行病毒的预防及统一的、集中管理,采用防病毒技术及时有效的进行杀毒软件系统的升级,以便对网络互动中发现的木马或病毒程序采取及时的防护措施。
3.3网络物理隔离
在进行信息网络安全控制的过程中不能单一的采用一种安全控制对其保护,而应该根据网络的复杂性采取不同的安全策略加以控制,因此管理人员可以依据密保的等级的程度、各种功能的保护以及不同形式安全设施的水平等差异,通过网络分段隔离的方式提高通信企业信息网络安全。这样的形式及控制方法将以往的错综复杂的控制体系转变成为细化的安全控制体系,能够对于各种恶意的攻击和入侵所造成的危害降低到最小。我们通常所说的物理隔离是指能满足物理隔离的安全性要求的、相对的物理隔离技术。物理隔离的原理是使单个用户在同一时间、同一空间不能同时使用内部网和外部网两个系统。如果两个系统在空间上物理隔离,在不同的时间运行,那么就可以得到两个完全物理隔离的系统[8]。
3.4安全审计及入侵检测技术
安全审计技术对于整个信息网络安全的控制起到了关键性作用,它可以针对不同的用户其入侵的方式、过程以及活动进行系统精密的记录,主要分为两个阶段即诱捕和反击。诱捕是一种特异安排出现的漏洞,可以在一定程度允许入侵者在一定时间内侵入,以便在今后能够获得更多的入侵证据及入侵的特征;当获得足够多的特征及证据的基础上开始进行反击,通过计算机精密的系统对用户的非法入侵的行为进行秘密跟踪并且在较快的时间里查询对方的身份以及来源,从而将系统与入侵者的连接切断,还可追踪定位并对攻击源进行反击。
3.5制定切实可行的网络安全管理策略
要想使通信企业信息网络安全正常运行其前提必须保证整个网络系统的安全,必须针对网络安全提出相应的安全策略,应该使信息网络使用起来安全方便,从而寻找最方便有效的安全措施。在工作的过程中管理人员一定要熟知对于开放性和安全性的具体要求,并且在工作过程中试图寻求两者的共同点和平衡点,当两者出现矛盾的时候应该考虑事情的实际情况有进行准确的取舍。对本网络拓扑结构和能够承受的安全风险进行评估,从网络安全技术方面为保证信息基础的安全性提供了一个支撑。
信息网络的发展需要计算机技术具有跟高的要求,特别是针对通信企业的信息网络安全的控制问题应该加以关注,这直接关系到整个企业的发展。信息网络工程是一个巨大而又复杂的动态的系统工程,需要从多角度进行思索与探讨从而进行综合性的分析,才能选择出更好地安全网络设备,并且对其进行有针对的系统的优化,从而提高管理人员及工作人员的业务水平,最终全面提高整个通讯企业信息网络安全。
作者:王春宝 于晓鹏 单位:吉林师范大学计算机学院
参考文献
[1]卢昱.网络控制论浅叙[J].装备指挥技术学院学报,2002,3(6):60-64.
[2]王雨田,控制论、信息论、系统科学与哲学[M].北京:中国人民大学出版社,1986.
[3]南湘浩,陈钟.网络安全技术概论[M].北京:国防工业出版社,2003.
[4]涂华.医院信息系统的网络安全与防范[J].中山大学学报论丛,2011,04(12).
[5]王芸《.电子商务法规》.高等教育出版社,2010年版.
[6]张新宝主编:《互联网上的侵权问题研究》,中国人民大学出版社,2003年版.
企业网络安全论文范文3
1:长春广播电视大学毕业设计题目.
2:吉林省森工集团信息化发展前景与规划.
3:吉林省林业设计院网络中心网络改造与发展规划.
4:吉林省林业系统生态信息高速公路构建课题.
二、论文撰写与设计研究的目的
跟随1946年第一台计算机在美国诞生,人类文明发展到一个崭新的时代.尤其是20世纪后10年,以计算机网络的飞速发展为契机,我们进入了信息时代.人们的生活和工作逐渐以信息为中心,信息时代更离不开网络,任何一个规模企业尤其开始依赖网络,没有网络企业就面临着落后.
吉林省的林业分布十分广泛,以长白山系为主要脉络的山地广泛分布各种森林资源,而作为林业及林业环境的发展,林业生态信息则是一个更为庞大的系统,快捷,准确,合理,系统的采集,处理,分析,存储这些信息是摆在我们面前的十分现实的问题.在信息交流的这个世界中,信息好比货物,我们需要将这些货物(信息)进行合理的处理,其中以硬件为主的计算机网络系统是这些货物(信息)交流的"公路"和"处理厂",我做这个题目,就是要为它画出一条"公路"和若干"处理方法"的蓝图.
由于森工集团这样的特定企业,其一,它是一个统一管理的企业,具有集团化的特点,网络的构建具有统一性.其二,它又在地理上是一个分散的企业,网络点也具有分散性.然而,分散中还具有集中的特点,它的网络系统的设计就应该是板块化的.从信息的角度来讲,信息的种类多,各种信息的采集传输处理角度也不尽相同,我们在设计的过程中不仅要考虑硬件的地域布局,也要考虑软件平台的配合.
没有最好,只有更好;更新观念,大步向前.我相信,在导师的精心指导下,经过我的努力,我将为它们创造出一条平坦,宽阔的"高速公路".
1,论文(设计)研究的对象:
拟订以吉林省林业系统为地理模型,以林业网络综合服务为基本需求,以网络拓扑结构为设计方向,以软件整合为应用方法,开发设计一套完整的基于集散集团企业的企业网络系统.
2,论文(设计)研究预期达到目标:
通过设计,论文的撰写,预期达到网络设计全面化,软件整合合理化,网络性能最优化,资金应用最低化,工程周期最短化的目标.
3,论文(设计)研究的内容:
一),主要问题:
设计解决网络地域规范与现有网络资源的利用和开发.
设计解决集中单位的网络统一部署.
设计解决多类型网络的接口部署.
设计解决分散网络用户的接入问题.
设计解决远程瘦用户网络分散点的性能价格合理化问题.
设计解决具有针对性的输入设备的自动化信息采集问题.
合理部署网络服务中心的网络平衡.
优化网络服务系统,营造合理的网络平台.
网络安全问题.
10,基本应用软件整合问题.
二),论文(设计)包含的部分:
1,地理模型与网络模型的整合.
2,企业内部集中部门网络设计.
3,企业内部分散单元网络设计——总体分散.
4,企业内部分散单元网络设计——远程结点.
5,企业内部分散单元网络设计——移动结点.
6,企业网络窗口(企业外信息交流)设计.
7,企业网络中心,服务平台的设计.
8,企业网络基本应用软件结构设计.
9,企业网络特定终端接点设计.
10,企业网络整合设计.
5,论文(设计)的实验方法及理由:
由于设计的过程并不是工程的施工过程,在设计过程中详尽的去现场建设肯定有很大的难度,也不是十分可行的,那么我们在设计的阶段就应该进行仿真试验和科学计算.第一步,通过小型网络测试软件平台,第二步,构建多个小型网络搭建全局网络模拟环境,第三步,构建干扰源利用小型网络集总仿真测试.
6,论文(设计)实施安排表:
1.论文(设计)阶段第一周次:相关理论的学习研究,阅读参考文献资料,制订课题研究的实施方案,准备试验用网络硬件和软件形成试验程序表及试验细则.
2.论文(设计)阶段第二周次:开始第一轮实验,进行小型网络构建试验,模拟网络服务中心,模拟区域板块,模拟远程及移动网络.
3.论文(设计)阶段第三周次:进行接口模拟试验,测试软件应用平台,完善课题研究方案.
4.论文(设计)阶段第四周次:完成第一轮实验,提交中期成果(实验报告1).
5.论文(设计)阶段第五周次:进行第二轮实验,模拟环境(干扰仿真)实验,提交实验报告2.
6.论文(设计)阶段第六周次:完成结题报告,形成论文.
三,论文(设计)实施工具及参考资料
小型网络环境,模拟干扰环境,软件平台.
吴企渊《计算机网络》.
郑纪蛟《计算机网络》.
陈济彪丹青等《计算机局域网与企业网》.
christianhuitema《因特网路由技术》.
[美]othmarkyas《网络安全技术——风险分析,策略与防火墙》.
其他相关设备,软件的说明书.
1、论文(设计)的创新点:
努力实现网络资源的全面应用,摆脱将单纯的网络硬件设计为企业网络设计的模式,大胆实践将软件部署与硬件设计阶段相整合的网络设计方法.
题目可行性说明及预期成果:
2、可行性说明:
由于题目结合了"吉林省森工集团信息化发展前景与规划""吉林省林业设计院网络中心网络改造与发展规划""吉林省林业系统生态信息高速公路构建课题",使得题目紧密结合生产实际,于是进行《企业网络设计——基于集散企业的综合网络设计》具有现实意义.超级秘书网:
企业网络安全论文范文4
>> 访问控制列表的配置与实现 企业网中的VoIP实现 扩展访问控制列表在校园网中的应用 动态访问列表在网络安全中的应用 访问控制列表在高校校园网络安全中的应用 防火墙在企业网中的应用 IPv6在企业网中的部署 GREoverIPsecVPN在企业网中的应用研究 利用路由器访问控制列表实现内部网络安全的研究 “动态企业”引领企业网变革 计算机终端安全管理标准化在企业网的实现 访问控制列表在包过滤防火墙上的应用与研究 电子公文系统中基于LDAP访问控制的动态配置设计与实现 动态安全域保护企业网 浅谈访问控制列表在学生机房中的应用 基于时间的访问控制列表的应用研究 基于访问控制列表应用的教学探究 基于ACL访问控制列表的机房上网管理 项目教学法在“园区与企业网”课程中的应用与研究 入侵检测技术原理及在企业网中的应用实例 常见问题解答 当前所在位置:l,如图4所示,以此作为外网主机通过动态ACL技术访问内网Web页面的验证。具体的配置请参考相关资料,不再赘述。
图3 DNS服务器的设置
图4 WWW服务器中制作的Web页面
3.3 配置内、外网的远程登录功能
在全局模式下配置外网ISP_Router路由器及内网Enterprise_Router路由器的VTY密码和特权密码,分别为OuterNet和IntraNet,以允许远程登录,配置命令以ISP_Router路由器为例进行说明,如图5所示。同时在ISP_Router路由器和Enterprise_Router路由器上分别telnet对方,结果均成功,如图6和图7所示。
ISP_Router(config)#line vty 0 4
ISP_Router(config-line)#password OuterNet
ISP_Router(config-line)#loging
ISP_Router(config-line)#enable password OuterNet
图5 ISP_Router路由器的远程登录配置命令
3.4 配置动态ACL
全局模式下,在Checking_Router路由器上配置动态ACL,配置命令和相关解析如下:
1)Checking_Router(config)# access-list 100 permit tcp any host 202.101.172.1 eq 23! 允许外网telnet Checking_Router路由器进行身份验证
2)Checking_Router(config)# access-list 100 permit tcp any host 202.101.172.1 eq 3001! 允许外网telnet Checking_Router路由器的3001端口进行管理
3)Checking_Router(config)# access-list 100 dynamic LQP123 timeout 120 permit ip any any !创建动态ACL,命名为LQP123。语句中第一个any关键字将被通过验证的用户IP地址替代,第二个any代指内网所有主机。timeout是绝对时间,为120分钟
4)Checking_Router(config)# user LQP456 password LQP456 !创建用户LQP456和密码LQP456,用于身份验证
5)Checking_Router(config)# line vty 0 3 !虚拟终端用户0、1、2、3
6)Checking_Router(config-line)# login local !使用Checking_Router路由器本地的用户名和密码进行验证
7)Checking_Router(configline)# autocommand access-enable host timeout 5 !语句中的host参数表示主机的源IP地址替换动态ACL中的any关键字,timeout指空闲时间,为5分钟
8)Checking_Router(config-line)# line vty 4!虚拟终端用户4
9)Checking_Router(config-line)# login local
10)Checking_Router(config-line)# rotary 1!设置vty 4号线路为管理员使用telnet对Checking_Router路由器进行管理,telnet端口为3001
11)Checking_Router(config-line)# interface serial 1/0! Checking_Router路由器的串行接口
12)Checking_Router(config-if)# ip access-group 100 in!在Checking_Router路由器的Serial1/0接口上应用动态ACL
3.5 验证动态ACL
1)在外网ISP_Router路由器上telnet内网Enterprise_Router路由器,不能成功,结果如图8所示:
ISP_Router#telnet 10.0.0.2
Trying 10.0.0.2…
% Destination unreachable:gateway or host down
图8 配置动态ACL后,外网路由器
telnet内网路由器的结果
这是因为ISP_Router路由器去往Enterprise_Router路由器的telnet数据包进入Checking_Router路由器的serial1/0接口时,被Checking_Router路由器的ACL100拒绝。同理,Enterprise_Router路由器去往ISP_Router路由器的流量没有问题,但返回的流量进入Checking_Router路由器的serial1/0接口时,被拒绝。
2)在ISP_Router路由器上telnet Checking_Router路由器的外网接口202.101.172.1,要求验证。输入用户名LQP456和密码LQP456,验证通过,telnet会话自动被终止。在ISP_Router路由器上再次telnet Enterprise_Router路由器,远程登录成功,结果分别如图9、图10所示。Enterprise_Router路由器此时也同样能成功登录ISP_Router路由器。
ISP_Router#telnet 202.101.172.1
Trying 202.101.172.1…Open
User Access Verification
4)查看Checking_Router路由器的ACL,结果如下所示。
Checkin_Router#show access-lists
Extended IP access list 100
permit tcp any host 202.101.172.1 eq telnet(60 matches)
permit tcp anyhost 202.101.172.1 eq 3001
Dynamic LQP123 permit ip any any
permit ip host 202.101.172.2 any (102 matches)(time left 281)
从以上的输出结果可以看出,最后一行是动态ACL产生的一个条目,该条目再过281秒将被删除。有任何符合“permit ip host 202.101.172.2 any”的流量,都会刷新该计时器,如果没有任何流量来刷新计时器,那么这个动态条目将在281秒后被删除。
4 结束语
动态访问控制列表是对传统访问控制列表的一种功能增强,通过使用动态访问控制列表,不仅为授权用户提供了一个访问受保护网络的通道,还可以有效阻止未授权用户的访问和网络攻击,因此研究动态访问控制列表在企业网络上的应用具有一定的现实意义。文章设计了模拟拓扑图,给出了路由器、服务器等的接口设置、IP地址分配以及配置命令,对使用动态访问控制列表前后的结果进行了测试和对比分析,并在实际的网络设备上进行了实验验证,为动态访问控制列表在实际网络上的应用提供了参考依据。
参考文献
[1] 王芳.路由器访问控制列表及其应用技术研究[D].中国优秀硕士学位论文全文数据库,2008(06).
[2] 李清平.路由器和三层交换机联合实现扩展ACL[J].计算机与数字工程,2010(05):170-174.
[3] 王道胜.利用路由器访问控制列表实现内部网络安全的研究[J].电脑学习,2009(02):129-130.
[4] 唐子蛟,李红蝉.基于ACL的网络安全管理的应用研究[J].四川理工学院学报:自然科学版,2009(02):48-51.
[5] 高扬.控制列表构建安全企业网络[J].数字石油和化工,2009(03):45-48.
[6] 冯乃光,程曦.基于端口引用访问的ACL/包过滤技术实现[J].现代电子技术,2009(20):82-84,96.
[7] 白帆,罗进文,王.访问控制列表的配置与实现[J].电脑知识与技术,2009(22):6133-6134,6165.
[8] 赵开新,吕书波,葛红芳.Reflexive-ACL技术及典型应用设计[J].河南机电高等专科学校学报,2007,15(01):101-103.
[9] 曾旷怡,杨家海.访问控制列表的优化问题[J].软件学报,2007,18(04):978-986.
[10]A姚宇峰,涂睿.基于位置与标志分离的访问控制列表优化[J].计算机应用研究,2010,27(03):1145-1150.
[11]A陈金莲.动态访问控制列表在网络远程管理中的应用[J]. 黄冈职业技术学院学报,2010(03):11-12.
企业网络安全论文范文5
关键词:RRAS Windows 虚拟专用网技术 安全
虚拟专用网是公共数据网的一种类型,但可以方便的让企业外地用户直接连接到企业的内部网络。虚拟专用网可以跨专用网络或公用网络(如Internet)创建安全的点对点连接,极大地降低了企业用户的费用,而且提供了很强的安全性和可用性。虚拟专用网中采用了一些网络安全机制,如隧道技术、认证技术、加密技术、解密技术以及密钥管理技术等,这些网络安全技术能够确保各种数据在公用网络中传输时不被非法用户获取,即便被窃取也无法读取数据包中的有效信息。
1 构建RRAS服务
RRAS也叫路由和远程访问服务,通过将“路由和远程访问”配置为充当远程访问服务器,可以将企业的远程工作人员或流动工作人员连接到企业内部网络上,远程用户可以像其计算机物理连接到企业内部网络上一样进行资源共享和数据交换。虽然现在很多企业网络组建都采用了VPN技术,但是基本上是基于网络硬件设备的,比如锐捷硬件VPN、路由器等,而利用Windows Server 2003内置的RRAS组建VPN网络价格低廉、管理方便、性能良好,而且容易维护。
利用路由和远程访问连接的用户可以使用企业内网的所有服务,其中包括文件服务的共享、企业打印机共享、企业Web服务的访问和邮件服务及数据库服务的访问。例如,在运行“路由和远程访问”的服务器上,客户端可以使用Windows资源管理器来建立驱动器连接和连接到打印机。由于远程访问完全支持驱动器号和统一资源定位器UNC名称,因此连接到企业内网的外部用户的大多数应用程序不必进行修改即可直接使用职称论文。
RRAS是Windows Server 2003的默认Windows组件,其初始状态为停用,因此在构建RRAS之前必须将其激活,只有在RRAS管理控制台中服务器上的箭头变为绿色的向上箭头,才表明此RRAS服务已经被激活,激活状态如下图所示:
2 配置远程访问服务器
2.1 远程访问服务器属性的配置
2.1.1 常规属性设置 在Windows Server 2003的路由和远程访问服务中,可以使该服务器作为一个路由器或者是一个远程访问服务器。当作为路由器时,它可以作为企业网和因特网之间的一座桥梁,因此可以通过选中“远程访问服务器”复选框来改变该服务器的角色,使其成为一台VPN服务器。
2.1.2 安全设置 VPN始终是通过公用网络如Internet在VPN客户端与服务器之间建立的逻辑连接。为了确保隐私安全,必须对通过该连接发送的数据进行加密。RRAS中的安全信息包括身份验证方法和记账提供程序。身份验证方法包括默认的Windows身份验证和RADIUS身份验证,服务器通过一系列的验证方法对远程系统进行身份验证。
2.1.3 远程用户IP设置 远程VPN客户必须通过IP地址连接到服务器从而访问企业网络,通过IP设置可以给远程客户机指派IP地址。一般通过两种方法来指派:第一种是利用企业网络内部的DHCP服务器动态的分配IP地址,另一种方法是指定某个范围的静态地址池,其中“启用IP路由”可以使远程企业用户访问到此远程访问服务器所连接的整个企业内部网络。
2.2 远程访问服务器端口的配置 在企业网络远程访问过程中,网络设备是建立点到点连接所使用端口的硬件或软件,而端口是用来支持单个点对点连接的设备的信道,在路由和远程访问管理控制台中可以监视和管理各种端口,而且可以更改各端口的配置,例如:对WAN微型端口(PPTP)和(L2TP)的数量的更改。在WAN微型端口(PPTP)中,“远程访问连接(仅入站)”是为企业用户启用远程访问,“请求拨号路由选择连接(入站和出站)”是为企业用户启用请求拨号路由。
2.3 用户拨入的配置 企业远程访问服务器同时也具备域控制器的功能,它是通过“Active Directory 用户和计算机”来管理企业远程客户的,而它所管理的用户对象属性中存在“拨入”选项卡,“拨入”属性可以允许或禁止远程企业用户连接到企业内部服务器上。其中“回拨选项”可以为远程用户拨入实现多种不同的功能,当用户拨号到企业RRAS服务器后,只要账户正确就允许与企业网络建立连接,则选择“不回拨”;当远程企业用户拨入到RRAS服务器后,输入正确的账户,服务器会要求用户输入回拨的电话号码,然后挂断电话,并由服务器对用户进行拨号,为远程用户节省电话费用,则选择“由呼叫方设置(仅路由和远程访问服务)”。
由于企业的规模各不相同,因此企业内部节点数量和网络带宽等也不同,当远程客户端通过VPN连接自动获取到一个和企业内网同一网段的IP地址后,就可以像在公司内部一样安全、方便、快速、高效地与Intranet交换机密的商务信息,从而实现企业网络用户跨因特网的安全访问。
参考文献
[1]Ivan Pepelnjak Jim Guichard. MPLS和VPN体系结构[M].北京:人民邮电出版社,2004.
[2](美)罗等,刘伟琴,米强译.第二层VPN体系结构[M].北京:人民邮电出版社,2006.
[3]徐祗祥.Windows网络服务[M].北京:科学技术文献出版社,2008.
[4]玛尼尔(Ruest,D.),尼尔森(Ruest,N.).Windows Server 2003企业部署原理与实践[M].北京:清华大学出版社,2006.远程访问服务器可以根据企业自身的状况选择以下三种不同的方式来部署:
2.3.1 单接口VPN服务器。此时用企业的核心路由器或硬件防火墙负责转发IP数据包到因特网并对外网提供各种服务,企业客户端在呼叫服务器时的地址就是核心路由器或硬件防火墙的公网地址。
2.3.2 双接口VPN服务器。适用于企业网络中具有多个公网地址。这种方式可以减少核心路由器或者硬件防火墙的网络负载,因为双接口VPN服务器网络中,客户端直接通过VPN服务器访问企业内部网络。
2.3.3 服务器做VPN服务器。如果企业原先通过服务器构建企业网络,可以在服务器上启用VPN服务器,或者是直接采用ISA Server作为服务器,在ISA Server上启用VPN服务器并且代替原来的防火墙与路由器。
企业网络安全论文范文6
关键词:网络技术专业;实践教学;教学方法
由于社会信息化的发展,使得网络应用不断普及,网络技术飞速发展。随着计算机网络技术的快速发展,计算机网络几乎与企业的每一位员工都息息相关,从企业局域网的规划、组建、运行和升级维护,到企业网站的运行,从网络安全的管理到数据库管理、存储管理以及网络和人员管理等制度建立,都和计算机网络相关联。网络的应用如此广泛,计算机网络课程也成为高职院校很多专业的必修课程。该门课程的实用性很强,同时变化和发展较快,新知识层出不穷,如何在有限的课时内让学生具有较强的实践操作技能,对广大教师来说是一个很大的挑战。这里以笔者在计算机网络实践教学的教学体会与大家探讨,主要包括有计算机网络实践的教学大纲与教学计划、教学内容和教学方法。
一、计算机网络实践教学的教学大纲与教学计划。
计算机网络课程设计的目的:是让学生综合利用所学的网络知识,解决一些实际问题,能够完成一些简单的网络管理、组建、维护等工作。在正式上课之前,应对网络在实际中的具体应用、网络的发展概况、在网络应用中常出现的问题等进行详细分析,制订出切合实际的教学大纲。在全面了解学生所具有的基础知识状况的前提下,根据教学大纲制订好教学计划。在制订教学计划的过程中针对学生的知识基础和学习能力,将该课程中学生不易接受的内容转换成学生易接受的,并且侧重于锻炼学生的实际操作能力。
二、计算机网络实践教学的内容。
(1)网络基础类实训。这类实训的目的主要是培养学生网络组建实施的能力,要求学生通过实训熟悉网络工程的实施流程和方案设计方法,完成小型家庭办公网络的构建。这方面的主要实训有:双绞线制作(直通线和交叉线)、ADSL拨号上网、多台PC通过宽带路由器共享上网、交换机的基本配置实训、交换机的级联和链路聚合配置、使用交换机划分VLAN、路由器的基本配置等。通过这些实训,使学生基本掌握了构建小型家庭办公网络及网络综合布线等基本网络技能。
(2)网络管理类实训。这类实训的目的是培养学生的网络管理能力,以应付在工作中会出现的问题。这方面的实训主要有:使用抓包工具软件分析网络数据、交换机的端口镜像、端口和MAC地址的绑定、VPN(虚拟专用网)配置、IP地址的规划、基于802.1x的AAA服务配置、网络带宽的监控维护等。通过这些实训,使学生基本掌握网络设备管理、网络故障、性能管理、网络认证、计费管理等方面的技能。
(3)网络综合类实训。这类实训的目的主要是为了提高学生的网络综合应用能力,满足大中型企业网络工作的需求。这方面的实训主要有:生成树协议的启用、三层交换机的VLAN互通、ACL访问控制列表的配置、路由器静态路由配置、路由器动态路由RIP配置、路由器动态路由OSPF配置、通过单臂路由实现VLAN间互访等,通过实训使学生能够掌握较为深入的网络技术,胜任更为复杂的大中型企业网络管理工作。
(4)网络安全类实训。这类实训的目标是为了在网络安全监控方面培养学生防范网络入侵、网络攻击的技能,能够应付一定的网络入侵和攻击,掌握相关网络安全设备的配置方法。实训内容主要包括:防火墙的透明模式配置、防火墙的NET配置、上网行为策略认证配置、网络监听、操作系统安全、数据备份与灾难恢复等。通过此类实训,使学生掌握一定的网络安全相关技能。
三、计算机网络实践教学方法。
如何让学生对学习网络实践课感兴趣并能喜欢网络课程,教学方法是非常重要的。在我的教学中,主要采用了项目教学法、任务驱动法、分组教学法、讨论教学法、提问教学法、示范教学法、通过网络学习网络等,主要是以项目引领任务驱动贯穿整个教学,多种教学方法互补。以教学方法为项目教学法,项目是学会使用互联网为例进行说明。实训教学的主要目的是巩固理论知识,培养学生的动手操作能力,特别是对应相关职业的解决实际工作问题的能力。实训项目教学更是突出了这一点,最关键的是实训教学主要培养学生面对具体问题独立分析、解决的能力。因此在实训中,要加强对学生排除故障能力的培养。在实训中故意设置故障,让实训小组自行进行解决,老师在旁只给出提示,不给具体原因。
结语:计算机网络的发展很快,要做好计算机网络实践教学,作为教师,我们必须紧贴网络实际情况,从真实的网络应用入手讲解网络的组建、应用、管理和维护,提高学生分析问题、动手能力和解决实际问题的能力。同时,应注重讲解内容的实用性,要在整个教学中真正体现“以就业为导向,以学生为基本”的思想。只有这样,才能在教学中针对实际情况进行合理教学,才能游刃有余地进行教学,才能让学生感到学这门课程是非常有用的,让学生产生兴趣,并能在工作时很快投入到自己的角色中去。[论文格式]
参考文献: