摘要隨著計算機網絡的不斷發(fā)展和普及，計算機網絡帶來了無窮的資源，但隨之而來的網絡安全問題也顯得尤為重要，局域網內的安全問題引起了我們的重視。局域網內網的安全隱患給我們帶來了許多麻煩，來自網絡內部的計算機客戶端的安全威脅缺乏必要的安全管理措施，安全威脅較大。未經授權的網絡設備或用戶就可能通過到局域網的網絡設備自動進入網絡，形成極大的安全隱患。本課題對局域網的進行基本的架設，通過局域網所面臨的安全進行分析，提出解決安全的方案，對網絡安全的防范技術做了分析和比較。在介紹網絡安全概念及其產生原因的基礎上，介紹了各種信息技術及其在局域網信息安全中的作用和地位，特別是對加強安全應采取的應對措施做了較深入的討論。局域網的安全措施應是能全方位地針對各種不同的威脅和脆弱性，這樣才能確保網絡信息的保密性、完整性和可用性。為了確保信息的安全與暢通，研究局域網的安全以及防范措施已迫在眉睫。關鍵詞局域網威脅安全控制病毒防治ABSTRACTALONGWITHTHECOMPUTERNETWORKDEVELOPMENTANDPOPULARIZATION,COMPUTERNETWORKBROUGHTINFINITERESOURCES,BUTFOLLOWINGTHEPROBLEMOFNETWORKSECURITYISALSOAPPEARSESPECIALLYIMPORTANT,LOCALAREANETWORKSECURITYISTHECAUSEOFOURATTENTIONTHECONNECTIONOFLOCALAREANETWORKSECURITYHIDDENDANGERBRINGINGUSALOTOFTROUBLE,FROMTHECLIENTWITHINTHENETWORKCOMPUTERSECURITYTHREATTOTHELACKOFNECESSARYSAFETYMANAGEMENTMEASURES,BIGGERSECURITYTHREATUNAUTHORIZEDNETWORKEQUIPMENTORTHEUSERMIGHTTHROUGHTHENETWORKTOLOCALAREANETWORKEQUIPMENTAUTOMATICINTOTHENETWORK,FORMTHEGREATSECURITYHIDDENDANGERTHISTOPICOFLOCALAREANETWORKFORTHEERECTIONOFTHEBASIC,THROUGHTHELANFACINGTHESAFETYANALYSISANDPUTFORWARDTHESOLUTIONOFSAFETYSCHEMEOFNETWORKSECURITYPREVENTIVETECHNOLOGYAREANALYZEDANDCOMPAREDINTRODUCEDINNETWORKSECURITYCONCEPTSANDREASONWASINTRODUCEDONTHEBASISOFALLKINDSOFINFORMATIONTECHNOLOGYANDINTHELOCALAREANETWORKINFORMATIONSECURITYOFTHEFUNCTIONANDPOSITION,ESPECIALLYTOSTRENGTHENSECURITYSHOULDTAKEMEASURESTODOAMOREINDEPTHDISCUSSIONLANSECURITYMEASURESSHOULDBETOBEABLETOCOMPLETETHETHREATTOVARIOUSKINDSOFDIFFERENTANDVULNERABILITY,SUCHABILITYMAKESURENETWORKINFORMATIONPRIVACY,INTEGRITY,ANDAVAILABILITYINORDERTOENSURETHATTHEINFORMATIONSAFETYANDSMOOTH,STUDYTHESAFETYMEASURESTOPREVENTANDLANISIMMINENTKEYWORDSLANTHREATSAFETYCONTROLVIRUSPREVENTION目錄第一章緒論1一、網絡安全概述1一網絡安全的內容1二網絡安全的關鍵技術1二、課題需解決的問題及設計思想1第二章安全風險分析3一、網絡平臺的安全風險分析3二、系統(tǒng)的安全風險分析3三、應用的安全風險分析4第三章安全需求與安全目標5一、安全需求分析5二、系統(tǒng)安全目標5第四章企業(yè)局域網的安全分析與設計7一、某企業(yè)原網絡拓撲結構7二、網絡結構說明7三、網絡安全風險分析7四、安全設計方案9（一）企業(yè)具有安全措施的網絡拓撲圖9（二）安全體系設計9五、防火墻的選擇12（一）選擇的理由13（二）CISCOASA5500配置13六、入侵檢測系統(tǒng)14七、網絡殺毒軟件的選擇15（一）體系結構與安裝方式分析16（二）管理功能分析16（三）性能分析18參考文獻21致謝23小型局域網安全分析與設計第一章緒論一、網絡安全概述從本質上講，網絡安全就是網絡上的信息安全，是指網絡系統(tǒng)的硬件，軟件及其系統(tǒng)中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網絡服務不中斷。網絡安全就是如何保證網絡信息的保密性完整性可用性可控性可審查性的問題。一網絡安全的內容網絡安全涉及的因素有物理安全、系統(tǒng)安全、信息安全。1、物理安全保證計算機信息系統(tǒng)各種設備的物理安全是整個計算機信息系統(tǒng)安全的。2、系統(tǒng)安全系統(tǒng)的安全主要是指操作系統(tǒng)、應用系統(tǒng)的安全性以及網絡硬件平臺的可靠性。3、信息安全信息存儲及傳遞中的完整性私密性及不可否認機制。二網絡安全的關鍵技術網絡信息安全的關鍵技術主要包括身份認證技術、訪問控制技術、防火墻技術、加密技術、病毒防范技術、安全管理技術等。二、課題需解決的問題及設計思想1安全性A黑客的非法入侵和攻擊；B網絡病毒；C內部人員的攻擊2可操作性為用戶提供親切的交互界面是構建安全局域網系統(tǒng)的基本要求。作為一個良好的系統(tǒng)，必須能夠很方便的實施，并且功能明確、特點鮮明，易于管理和維護。在設計時我們要綜合考慮用戶的情況，簡化系統(tǒng)的層次結構和操作環(huán)節(jié)，從最終用戶的角度出發(fā)，為其提供良好的可操作性。3擴展性由于實際的實施情況千差萬別，而且用戶的網絡拓撲也隨著技術規(guī)模的不斷發(fā)展而變化，所以安全局域網系統(tǒng)應該具有良好的擴展性，以適應用戶不斷變化的需求。4經濟性系統(tǒng)應當具有良好的性能價格比，在提供高性能服務的前提下，盡可能地節(jié)省資金投入。同時系統(tǒng)應該盡量降低操作和維護的開銷，便于自動化管理，節(jié)省管理和維護等后續(xù)費用。第二章安全風險分析一、網絡平臺的安全風險分析網絡結構的安全涉及到網絡拓撲結構、網絡路由狀況及網絡的環(huán)境等。公開服務器面臨的威脅這個企業(yè)局域網內公開服務器區(qū)（WWW、EMAIL等服務器）作為公司的信息發(fā)布平臺，一旦不能運行后者受到攻擊，對企業(yè)的聲譽影響巨大。同時公開服務器本身要為外界服務，必須開放相應的服務；每天，黑客都在試圖闖入INTERNET節(jié)點，這些節(jié)點如果不保持警惕，可能連黑客怎么闖入的都不知道，甚至會成為黑客入侵其他站點的跳板。因此，規(guī)模比較大網絡的管理人員對INTERNET安全事故做出有效反應變得十分重要。我們有必要將公開服務器、內部網絡與外部網絡進行隔離，避免網絡結構信息外泄；同時還要對外網的服務請求加以過濾，只允許正常通信的數據包到達相應主機，其他的請求服務在到達主機之前就應該遭到拒絕。整個網絡結構和路由狀況安全的應用往往是建立在網絡系統(tǒng)之上的。網絡系統(tǒng)的成熟與否直接影響安全系統(tǒng)成功的建設。在這個企業(yè)局域網絡系統(tǒng)中，只使用了一臺路由器，用作與INTERNET連結的邊界路由器，網絡結構相對簡單，具體配置時可以考慮使用靜態(tài)路由，這就大大減少了因網絡結構和網絡路由造成的安全風險。二、系統(tǒng)的安全風險分析所謂系統(tǒng)的安全顯而易見是指整個局域網網絡操作系統(tǒng)、網絡硬件平臺是否可靠且值得信任。網絡操作系統(tǒng)、網絡硬件平臺的可靠性，我們可以這樣講沒有完全安全的操作系統(tǒng)。但是，我們可以對現(xiàn)有的操作平臺進行安全配置、對操作和訪問權限進行嚴格控制，提高系統(tǒng)的安全性。因此，不但要選用盡可能可靠的操作系統(tǒng)和硬件平臺。而且，必須加強登錄過程的認證（特別是在到達服務器主機之前的認證），確保用戶的合法性；其次應該嚴格限制登錄者的操作權限，將其完成的操作限制在最小的范圍內。三、應用的安全風險分析應用系統(tǒng)的安全跟具體的應用有關，它涉及很多方面。應用系統(tǒng)的安全是動態(tài)的、不斷變化的。應用的安全性也涉及到信息的安全性，它包括很多方面。應用的安全性涉及到信息、數據的安全性信息的安全性涉及到機密信息泄露、未經授權的訪問、破壞信息完整性、假冒、破壞系統(tǒng)的可用性等。由于這個企業(yè)局域網跨度不大，絕大部分重要信息都在內部傳遞，因此信息的機密性和完整性是可以保證的。對于有些特別重要的信息需要對內部進行保密的（比如領導子網、財務系統(tǒng)傳遞的重要信息）可以考慮在應用級進行加密，針對具體的應用直接在應用系統(tǒng)開發(fā)時進行加密。第三章安全需求與安全目標一、安全需求分析通過前面我們對這個企業(yè)局域網絡結構、應用及安全威脅分析，可以看出其安全問題主要集中在對服務器的安全保護、防黑客和病毒上。因此，我們必須采取相應的安全措施杜絕安全隱患，其中應該做到公開服務器的安全保護；防止黑客從外部攻擊；入侵檢測與監(jiān)控；病毒防護；數據安全保護；數據備份與恢復。針對這個企業(yè)局域網絡系統(tǒng)的實際情況，在系統(tǒng)考慮如何解決上述安全問題的設計時應滿足如下要求1大幅度地提高系統(tǒng)的安全性（重點是可用性和可控性）；2保持網絡原有的能特點，即對網絡的協(xié)議和傳輸具有很好的透明性，能透明接入，無需更改網絡設置；3易于操作、維護，并便于自動化管理，而不增加或少增加附加操作；4盡量不影響原網絡拓撲結構，同時便于系統(tǒng)及系統(tǒng)功能的擴展；5安全保密系統(tǒng)具有較好的性能價格比，一次性投資，可以長期使用；6安全產品具有合法性，及經過國家有關管理部門的認可或認證；7分布實施。二、系統(tǒng)安全目標建立一套完整可行的網絡安全與網絡管理策略。將內部網絡、公開服務器網絡和外網進行有效隔離，避免與外部網絡的直接通信。建立網站各主機和服務器的安全保護措施，保證他們的系統(tǒng)安全。對網上服務請求內容進行控制，使非法訪問在到達主機前被拒絕。加強合法用戶的訪問認證，同時將用戶的訪問權限控制在最低限度。全面監(jiān)視對公開服務器的訪問，及時發(fā)現(xiàn)和拒絕不安全的操作和黑客攻擊行為。備份與災難恢復強化系統(tǒng)備份，實現(xiàn)系統(tǒng)快速恢復。第四章企業(yè)局域網的安全分析與設計一、某企業(yè)原網絡拓撲結構圖41企業(yè)原網絡拓撲結構二、網絡結構說明這個企業(yè)局域網是一個信息點較為密集的千兆局域網絡系統(tǒng)，它為企業(yè)的各部門提供了一個快速、方便的信息交流平臺。在分析企業(yè)局域網安全風險時，應考慮以下該網絡結構的特點網絡與外部網絡連接，可能通過外網傳播進來的病毒，黑客攻擊以及自外網的非授權訪問等；網絡中存在公開服務器，避免公開服務器的安全風險擴散到內部；該局域網中存在許多不同的子網，不同的子網有不同的安全性，應考慮將不同功能和安全級別的網絡分隔開，這可以由交換機劃分VLAN來實現(xiàn)。局域網內用戶之間以及與外網用戶的敏感信息交流，需要保證信息傳輸過程中的安全性，可以通過增加VPN服務器和VPN路由器等來實現(xiàn)建立安全的通信隧道；在應用程序開發(fā)時應考慮加強用戶登錄驗證，防止非授權訪問。三、網絡安全風險分析目前對網絡的攻擊手段主要表現(xiàn)在非授權訪問，信息泄露或丟失，破壞數據完整性，拒絕服務攻擊，利用網絡傳播病毒。因此，應該做到公開服務器的安全保護，防止黑客從外部攻擊，用戶的身份認證，入侵檢測與監(jiān)控，信息審計與記錄，病毒防護，數據安全保護，數據備份與恢復，網絡的安全管理。網絡安全可以從以下幾個方面來分析（1）物理安全風險分析網絡的物理安全主要是指環(huán)境事故，電源故障，人為操作失誤，設備毀壞等。只要制定健全的安全管理制度，做好備份，這些風險是可以避免的。（2）網絡平臺安全風險分析網絡結構安全涉及到網絡拓撲結構、網絡路由狀況及網絡的環(huán)境等，在該企業(yè)的公開服務器區(qū)容易遭受黑客攻擊。因此，將公開服務器、內部網絡與外部網絡進行隔離，同時還要對外網的服務請求加以過濾才能更好的保證局域網的安全。（3）系統(tǒng)安全風險分析系統(tǒng)安全是指整個局域網網絡操作系統(tǒng)，網絡硬件平臺是否可靠值得信任；網絡操作系統(tǒng)的可靠性對中國來說恐怕絕對安全的操作系統(tǒng)是沒有的，但是，我們可以通過對現(xiàn)有的操作平臺進行安全配置、對操作和訪問權限進行嚴格控制，來提高系統(tǒng)的安全性。（4）應用安全風險分析應用系統(tǒng)的安全是動態(tài)的不斷變化的，所以保證應用系統(tǒng)的安全也是一個隨著網絡技術發(fā)展而不斷完善的過程。應用安全也涉及到信息數據的安全，對于有些特別重要的信息需要進行保密可以考慮在應用級上進行加密，針對具體的應用直接應用系統(tǒng)的開發(fā)時進行加密，并且通過VPN隧道進行加密傳送。（5）管理安全風險分析管理安全是網絡安全中重要的部分，只有嚴格執(zhí)行完整可靠的安全管理制度才能有效的避免其帶來的風險。四、安全設計方案（一）企業(yè)具有安全措施的網絡拓撲圖圖42企業(yè)具有安全措施的網絡拓撲圖（二）安全體系設計通過對網絡的全面了解，按照安全策略的要求，安全風險分析的結果及整個網絡的安全目標，整個網絡安全措施應按系統(tǒng)體系建立。具體的安全控制系統(tǒng)由以下幾個方面組成物理安全、網絡安全、系統(tǒng)安全、信息安全、應用安全和安全管理。1、物理安全內容包括場地安全、機房建設安全、動力保障系統(tǒng)安全以及系統(tǒng)抗性、防災難的應急措施和恢復能力。主要采取的安全措施有在布線方面充分考慮電磁輻射，同時重要部門的機房采用電磁屏蔽措施；重要計算機終端采用電磁屏蔽和加干擾器，避免電磁泄露；門窗保護重要場地采用防盜門窗或帶身份識別功能的門鎖，對進入機房的人員和時間進行記錄和限制；報警監(jiān)控措施在重要部位設監(jiān)控報警措施；專用保險機柜的保護對于一些重要的密碼設備，采用專用安全機柜進行保護，避免偷竊和破壞行動的發(fā)生。2、系統(tǒng)安全系統(tǒng)安全主要是指操作系統(tǒng)、應用系統(tǒng)的安全性以及網絡硬件平臺的可靠性。操作系統(tǒng)安全，在市場上幾乎所有的操作系統(tǒng)均已發(fā)現(xiàn)有安全漏洞，并且越流行的操作系統(tǒng)發(fā)現(xiàn)的問題越多。為了保證企業(yè)局域網操作系統(tǒng)的安全，除了需不斷地增加安全補丁外，還需進行如下要求檢查系統(tǒng)設置（敏感數據的存放方式訪問控制口令選擇/更新）將系統(tǒng)的安全級別設置為最高級。應用系統(tǒng)安全，應用系統(tǒng)的安全性由支持應用系統(tǒng)的網絡、平臺、操作系統(tǒng)和數據庫的安全性所決定，因此，應用系統(tǒng)應充分利用系統(tǒng)的安全性。但由于各行業(yè)的應用系統(tǒng)千差萬別，故很難對應用系統(tǒng)的安全實現(xiàn)進行具體的規(guī)劃。3、網絡安全數據包在局域網中是采用廣播方式傳播，的在某個廣播域中可以偵聽到域內所有的信息包，如果黑客對信息包進行分析，那么廣播域內的信息傳遞都會暴露在黑客面前。因此，特對企業(yè)局域網作如下設計網絡分段是保證安全的一項重要措施同時也是一項基本措施其指導思想，在于將非法用戶與網絡資源相互隔離，從而達到限制用戶非法訪問的目的。在企業(yè)局域網實際應用中可采取物理分段與邏輯分段相結合的方法來實現(xiàn)對網絡系統(tǒng)的安全性控制。內部網不同網絡安全域的隔離及訪問控制VLAN技術主要基于近年發(fā)展的局域網交換技術。交換技術將傳統(tǒng)的基于廣播的局域網技術發(fā)展為面向連接的技術。因此，網管系統(tǒng)有能力限制局域網通訊的范圍而無需通過開銷很大的路由器。網絡安全檢測網絡安全檢測工具通常是一個網絡安全性評估分析軟件，其功能是用實踐性的方法掃描分析網絡系統(tǒng)檢查報告系統(tǒng)存在的弱點和漏洞提出建議補救措施和安全策略以達到增強網絡安全性的目的。應具備以下功能具備網絡監(jiān)控分析和自動響應功能；找出經常發(fā)生問題的根源所在；建立必要的循環(huán)過程確保隱患時刻被糾正控制各種網絡安全危險；漏洞分析和響應；配置分析和響應；漏洞形勢分析和響應；認證和趨勢分析；將各種服務器受黑客攻擊的可能降為最低；對網絡訪問做出有效響應保護重要應用系統(tǒng)數據安全不受黑客攻擊和內部人員誤操作的侵害。網絡病毒防護由于在網絡環(huán)境下計算機病毒有著不可估量的威脅性和破壞力因此計算機病毒的防范是網絡安全性設計中的重要一環(huán)。網絡反病毒技術包括預防病毒、檢測病毒和消毒三種技術A、預防病毒技術它通過自身常駐系統(tǒng)內存，優(yōu)先獲得系統(tǒng)的控制權，監(jiān)視和判斷系統(tǒng)中是否有病毒存在，進而阻止計算機病毒進入計算機系統(tǒng)和對系統(tǒng)進行破壞。這類技術有加密可執(zhí)行程序、引導區(qū)保護、系統(tǒng)監(jiān)控與讀寫控制。B、檢測病毒技術它是通過對計算機病毒的特征來進行判斷的技術，如自身校驗、關鍵詞、文件長度的變化等C、清除病毒技術它通過對計算機病毒的分析，開發(fā)出具有刪除病毒程序并恢復原文件的軟件。網絡反病毒技術的具體實現(xiàn)方法包括對網絡服務器中的文件進行頻繁地掃描和監(jiān)測；在工作站上用防病毒芯片對網絡目錄及文件設置訪問權限等。網絡備份系統(tǒng)備份系統(tǒng)為一個目的而存在，即盡可能快地全盤恢復運行計算機系統(tǒng)所需的數據和系統(tǒng)信息。根據系統(tǒng)安全需求可選擇的備份機制有場點內高速度大容量自動的數據存儲備份與恢復；場點外的數據存儲備份與恢復；對系統(tǒng)設備的備份，備份不僅要在網絡系統(tǒng)硬件故障或人為失誤時起到保護作用，還可在入侵者非授權訪問或對網絡攻擊及破壞數據完整性時起到保護作用，同時亦是系統(tǒng)災難恢復的前提之一。4、信息安全企業(yè)局域網網絡系統(tǒng)的業(yè)務信息可分為公共信息、內部信息、秘密信息等。不同性質的信息，其安全要求也不同。公共信息的完整性要求比較高，如那些可以向整個系統(tǒng)發(fā)布的WEB信息，不能被非法篡改；內部信息除要具有普通的安全要求外，還要以有力的訪問控制手段來保證它只能在內部被及時正確地使用；秘密信息的安全性要求最高，如何保證秘密信息的安全是整個安全系統(tǒng)建設的重中之重。秘密信息的安全性主要體現(xiàn)在它的保密性上，對秘密信息的防護除了要求高強度的訪問控制外，還需要有高強度的加密措施。5、安全管理面對網絡安全的脆弱性，除了在網絡設計上增加安全服務功能，完善系統(tǒng)的安全保密措施外，還必須花大力氣建立網絡安全管理規(guī)范，因為諸多的不安全因素恰恰反映在組織管理和人員錄用等方面，而這又是保證計算機網絡安全所必須考慮的基本問題，所以應引起各計算機網絡應用部門領導的重視。安全管理的主要功能指A、對安全設備的管理；B、監(jiān)視網絡危險情況對危險進行隔離并把危險控制在最小范圍內；C、身份認證權限設置；D、對資源的存取權限的管理；E、對資源或用戶動態(tài)的或靜態(tài)的審計；F、對違規(guī)事件自動生成報警或生成事件消息；G、口令管理如操作員的口令鑒權對無權操作人員進行控制；H、密鑰管理對于與密鑰相關的服務器應對其設置密鑰生命期密鑰備份等管理功能；I、冗余備份為增加網絡的安全系數對于關鍵的服務器應冗余備份。安全管理需通過管理制度和管理平臺技術實現(xiàn)兩個方面來完成安全管理產品應支持統(tǒng)一的中心控制平臺五、防火墻的選擇下面是CISCOASA5500系列防火墻介紹圖43CISCOASA5500系列防火墻（一）選擇的理由1、值得信賴的防火墻和威脅防御VPN技術；2、CISCOASA5500系列建立于值得信賴的CISCOPIX安全設備和CISCOVPN3000系列集中器技術，ASA5500系列是第一個兼具市場領先的防火墻技術保護，同時提供SSL和IPSECVPN服務的解決方案；3、業(yè)內領先的ANTIX服務；將TRENDMICRO在互聯(lián)網邊緣的威脅防御和內容控制優(yōu)勢與切實可行的思科解決方案結合在一起，提供全面的防病毒、防間諜軟件、文件阻擋、防垃圾郵件、防誘騙、URL阻擋和過濾以及內容過濾服務。4、高級入侵防御服務；提供主動型全功能入侵防御服務，有效阻止各種威脅，包括蠕蟲、應用層攻擊、操作系統(tǒng)級攻擊、ROOTKIT攻擊、間諜軟件、對等文件共享和即時消息傳送。5、豐富的管理和監(jiān)控服務；通過CISCOADAPTIVESECURITYDEVICEMANAGER（ASDM）提供直觀的單設備管理和監(jiān)控服務，通過CISCOSECURITYMANAGEMENTSUITE提供企業(yè)級多設備集中管理服務。6、降低部署和運作成本；由于CISCOASA5500系列提供與現(xiàn)有思科安全解決方案一致的設計和界面，因而能顯著降低初始安全部署成本和日常管理成本。（二）CISCOASA5500配置（1）配置主機名CISCOASACONFIGHOSTNAMEASAFW（2）配置ETHERNET0/0ASAFWCONFIGINTERFACEETHERNET0/0ASAFWCONFIGIPADDRESS2021001102552552550ASAFWCONFIGNAMEIFOUTSIDEASAFWCONFIGNOSHUTDOWN（3）配置ETHERNET0/1ASAFWCONFIGINTERFACEE0/1ASAFWCONFIGNOSHUTDOWNASAFWCONFIGINTERFACEE0/13ASAFWCONFIGSUBIFVLAN3ASAFWCONFIGSUBIFNAMEIFINSIDEASAFWCONFIGSUBIFIPADDRESS1011102552552550ASAFWCONFIGSUBIFINTERFACEE0/14ASAFWCONFIGSUBIFVLAN4ASAFWCONFIGSUBIFNAMEIFMDZASAFWCONFIGSUBIFSECURITYLEVEL50ASAFWCONFIGSUBIFIPADDRESS1921681102552552550六、入侵檢測系統(tǒng)用CISCOCATALYST6500系列入侵檢測系統(tǒng)IDSM2服務模塊。CISCOIDSM2是思科入侵檢測系統(tǒng)的組成部分。它可以與其他組件合作，有效地保護您的數據基礎設施。隨著安全威脅的復雜性的日益提高，實施有效的網絡入侵安全解決方案對于確保高水平的安全保障至關重要。高水平的安全保障可以確保業(yè)務連續(xù)性，最大限度地避免入侵可能造成的巨額損失。思科的集成化網絡安全解決方案讓機構可以防止他們的聯(lián)網業(yè)務資產受到威脅，提高入侵防范的效率這些解決方案中包括第二代思科入侵檢測系統(tǒng)IDS，模塊即IDSM2，它可以用在廣泛部署的CISCOCATALYST系列設備上。CATALYST系列設備的裝機量已經達到數十萬臺，它是包括防火墻、虛擬專用網（VPN）和入侵檢測系統(tǒng)（IDS）服務在內的附加服務的理想平臺。由于認識到這種方式的價值思科推出了這個第二代模塊以便為那些尋求IDS攻擊防范的客戶提供獨特的優(yōu)勢。圖44CISCOIDSM2CISCOIDSM2可以提供下列特性和優(yōu)點思科是唯一可以提供一個交換機內置IDS解決方案的廠商，這種解決方案可以通過VLAN訪問控制列表VACL獲取功能來提供對數據流的訪問權限。VACL可以支持無限個VLAN。通過被動的、綜合的操作提供透明的操作。這種操作方式可以通過VACL獲取功能和交換機端口分析工具/遠程SPAN（RSPAN/SPAN）檢測分組的復本，而且如果設備需要維護，因為它并不位于交換機轉發(fā)路徑上，因而它不會導致網絡性能降低或者中斷。體積只占一個機架單元，在CISCOCATALYST設備中只占用一個插槽，從而使它成為能夠有效地支持所有CATALYST設備（從有三個插槽的CATALYST6503到這個系列中最大的設備）的平臺，并讓用戶可以根據自己的需要，同時安裝多個模塊，為更多的VLAN和流量提供保護。每秒500MB的IDS檢測能力可以提供高速的分組檢查功能，讓用戶可以為各種類型的網絡和流量提供更多的保護。多種用于獲取和響應的技術，包括SPAN/RSPAN和VACL獲取功能，以及屏蔽和TCP重置功能，從而讓用戶可以監(jiān)控不同的網段和流量，同時讓產品可以采取及時的措施，以消除威脅。使用與曾獲大獎的CISCOIDS網絡設備相同的程序代碼，讓用戶可以將單一的管理技術作為標準，并讓安裝、培訓、操作和支持變得更加便捷，同時可以利用CISCOIDS的全面的攻擊識別能力和特征庫。重要的管理技術（例如CISCOVMS21安全產品包提供的支持以及內置的CISCOIDS設備管理器（IDM）、IDS事件瀏覽器（IEV）本地管理功能和CLI支持）讓IDSM2更加便于管理，更加善于檢測和響應威脅，同時就潛在的攻擊向管理人員發(fā)出警報。此外，這個新的產品還讓管理人員可以更加方便地在范圍廣泛、多樣化的網絡上管理多個設備。七、網絡殺毒軟件的選擇在這個企業(yè)局域網中我建議用金山毒霸網絡版20。在此分別對SYMANTECATIVIRUS企業(yè)版100、金山毒霸網絡版20、趨勢防毒墻網絡版70和瑞星殺毒軟件網絡版2006這四款網絡版產品，在安裝部署方式、管理功能操作和系統(tǒng)資源占用等幾個方面進行橫向對比測試。測試過程將遵循傳統(tǒng)測試的基本原理和步驟，測試過程會在一定程度上有所簡化。（一）體系結構與安裝方式分析表41體系結構與安裝方式金山毒霸瑞星趨勢科技SYMANTEC體系結構B/SC/SB/SC/SC/S模塊組成系統(tǒng)中心服務器端客戶端系統(tǒng)中心服務器端客戶端OFFICESCANSERVERPROTECT系統(tǒng)中心服務器客戶端隔離區(qū)首先來看它們各自的體系結構。賽門鐵克和瑞星兩家的網絡版產品，都采用了傳統(tǒng)的C/S架構，這樣的客戶端對于跨網段和跨廣域網的安裝和管理，具有一定的局限性。與之相比，金山毒霸的網絡版采用的是業(yè)內較先進的B/S架構，兼容性和可擴展性較好，尤其值得一提的是，毒霸的管理模塊可以靈活部署，能夠滿足不同用戶的需求。而趨勢科技的網絡版則是前面提到的兩種架構的結合體，采用的是C/SB/S架構，可以兼顧中小網絡和跨地域的大型網絡，兼容性和可擴展性表現(xiàn)優(yōu)異。但是，趨勢科技的服務器和客戶端采用的是兩個版本，用戶成本增高，在管理和使用方面也略顯復雜。在此環(huán)節(jié)中，金山毒霸與趨勢科技的表現(xiàn)占優(yōu)，但兩家的側重點卻有所不同，金山毒霸更加注重用戶使用的靈活性，而趨勢科技則更重視軟件的兼容性和擴展性，對于用戶體驗與成本方面的關注略顯不足。在安裝方式上，瑞星與賽門鐵克的產品均不能直接支持WEB安裝。而金山毒霸與趨勢科技提供的的安裝方式就較為多樣化，可以在WEB安裝、遠程安裝和腳本安裝中進行選擇，前者的WEB安裝，操作非常簡單，即使是初次使用的用戶安裝起來也毫不費力，而后者的網絡版產品在前面提到的安裝方式之外還增加了光盤安裝等方式。（二）管理功能分析對于一款殺毒軟件，用戶最為看重的就是其對系統(tǒng)的管理能力。接下來，我們將從以下的三個方面來分析比較四款網絡版產品在系統(tǒng)管理方面的特點。1、可移動式管理與分級功能從可移動管理功能來看，由于瑞星和賽門鐵克均不支持基于WEB的管理控制臺，所以這兩款網絡版殺毒軟件，都需要在機器上額外安裝管理控制組件，才能達到移動管理的目的，相對比較麻煩。而金山與趨勢科技的兩款產品，在移動管理性能方面的優(yōu)越性則十分顯著，它們都支持移動的WEB管理控制臺，可以比較輕松地實現(xiàn)對整個網絡的管理，無須單獨安裝控制臺，其中金山毒霸的操作界面更加直觀，使用起來很方便。至于分級管理功能，雖然這四款產品都能通過不同途徑加以實現(xiàn)，但效果卻各不相同。瑞星和賽門鐵克的兩款產品均采用層層遞進的結構實現(xiàn)分級管理。不同之處在于，瑞星產品的一、二級系統(tǒng)中心之間，是通過通訊代理進行交互，用戶可以明顯感覺到信息傳送的滯后和不穩(wěn)定；同時，瑞星的一級系統(tǒng)中心不能直接管理到二級系統(tǒng)中心下的客戶端，企業(yè)級用戶在使用時會感覺比較繁瑣。金山毒霸則是通過管理中心集中管理數據，對多個系統(tǒng)中心、升級服務器進行集中管理，保證了信息傳遞的穩(wěn)定性和操作的簡便性。趨勢科技則通過WEB控制臺實現(xiàn)分級管理，但用戶如果要向同一局域網內其它服務器報告，就需要通過客戶機移動工具來實現(xiàn)，相對繁瑣。比較來看，金山與趨勢的兩款產品表現(xiàn)較為優(yōu)秀，而在用戶操作上金山毒霸最為簡便。2、漏洞掃描與修復功能利用系統(tǒng)漏洞進行攻擊已經成為當前網絡侵害的主流之一，用戶對于殺毒軟件的漏洞掃描與修復功能的需求日益增多。然而遺憾的是，賽門鐵克與趨勢科技的兩款產品都不支持此項功能。余下的兩款國內產品中，金山毒霸能夠對局域網內的所有在線用戶進行漏洞掃描，智能選擇客戶機所需要安裝的補丁，自動下載和安裝補丁，整個過程完全不需要用戶的參與，非常省心；這一功能保證了整個網絡系統(tǒng)能夠在最短時間內統(tǒng)一修補漏洞，使企業(yè)級用戶的病毒防護真正做到滴水不漏，從根本上杜絕了安全隱患。而瑞星的網絡版產品雖然能夠逐一通知用戶安裝，但在補丁安裝向導啟動之后，需要用戶自己參與安裝，并沒有實現(xiàn)真正的全網漏洞自動修復，一旦終端用戶取消安裝就不能順利對系統(tǒng)漏洞進行修復，在一定程度上存在著安全隱患。在這一個環(huán)節(jié)的比拼上，趨勢科技與賽門鐵克交了白卷，而金山毒霸的主動漏洞掃描與修復功能則表現(xiàn)得最為搶眼。3、搶先加載防毒功能殺毒是場速度戰(zhàn)，不僅僅要求病毒庫的更新要快，殺毒軟件的加載速度更要快。如果不能搶在病毒之前對系統(tǒng)進行加載保護，被病毒搶占先機，后果就會不堪設想。賽門鐵克與趨勢科技的兩款產品在這一功能上再次缺席，它們都是在系統(tǒng)完全啟動后才能生效，對于計算機中已經存在病毒的情況，這兩款殺毒軟件在機器啟動后，無法阻止病毒向整個網絡擴散，從而導致用戶無法進行正常的工作。而瑞星具有的搶先殺毒功能，能夠在系統(tǒng)啟動前便對硬盤進行病毒掃描，掃描完成后再引導系統(tǒng)，可以清除掉正常模式下無法清除的病毒程序；但在啟動系統(tǒng)過程中，仍存在染毒隱患，同時會使系統(tǒng)啟動的時間相對變長。金山毒霸不僅能夠在用戶的系統(tǒng)尚未完全啟動前對病毒進行防范，毒霸的實時監(jiān)控模塊還可以在系統(tǒng)未登錄網絡之前便啟動完整的查殺病毒功能，全面保證用戶上網無憂。（三）性能分析表42各殺毒軟件性能分析表金山毒霸瑞星趨勢SYMANTEC靜態(tài)資源占用KANGUIEXE3M4MKANSVREXE8MKMAILMONEXE1MRAVEXE1MRAVMONEXE2MRAVTRAYEXE6MRSAGENTEXE2MRAVMONDEXE8MPCCNTMONEXE545MVPTRAYEXE910MVPC32EXE1074M病毒庫升級網絡資源占用CPU15,最高值達25內存8MCPU60,最高值達100內存18MCPU最高26內存330MCPU最高87內存936M病毒查殺速度KANSCANEXECPU80左右內存40M左右清除病毒259個耗時10秒RAVEXECPU99左右清除病毒257個耗時40秒TSCEXECPU94內存1301M清除病毒78個耗時19秒RTVSCANEXECPU98內存3973M清除病毒254個耗時24分32秒測試樣本共275個從中不難看出，金山毒霸網絡版在查殺病毒的數量與速度上都占據了明顯優(yōu)勢，而趨勢的網絡版產品表現(xiàn)則相當讓人失望。值得注意的是，金山毒霸網絡版在殺毒的工作狀態(tài)下，對用戶CPU的占用卻只有80，為四款產品中最少的；而趨勢、賽門鐵克、瑞星的三款產品對用戶的CPU占用率分別達到了94、98和99，在殺毒狀態(tài)下，CPU基本已被占滿，用戶完全做不了其他的事情。同樣的，在病毒庫升級的狀況下，金山毒霸