网络安全内网管理精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的网络安全内网管理主题范文，仅供参考，欢迎阅读并收藏。

第1篇：网络安全内网管理范文

总体管理要求

首先看一下数字出版的特点。

数字业务形态多样：目前数字出版产品形态主要包括电子图书、数字报纸、数字期刊、网络原创文学、网络教育出版物、网络地图、数字音乐、网络动漫、网络游戏、数据库出版物、手机出版、App应用程序等，丰富的业务形态要求网络提供多种接入方式、多种内容共享方式，同时要保证安全。

强调对数字化资源的管理：国外知名出版公司特别强调对数字化资源的管理，很多公司通过建设自己的内容管理平台来更有效地建设、管理和重用数字化资源。汤姆森公司委托其下属的Course Technology、Delmar、Promotric和NETg开发内容管理平台LLG，计划五年内完成；培生内部已经运行了WPS，与前台的Coursecompass结合以更加有效的建设模式为学校提供服务；麦格劳-希尔出版公司已经成功地将内容管理平台运用在百科全书的出版上。

整体安全性要求高：数据化资源对整体安全性要求较高，现在网上支付手段丰富，如快钱、Paypal、支付宝等都需要在纯净的网络环境进行操作，以保护机构和个人财产安全；要求建立完善的数字版权机制，保障作者、编辑单位的合法权益；网上交易和传播的数字内容越来越多。网络安全形势十分严峻，域名劫持、网页篡改等事件时有发生，给网民和机构造成了严重影响和重大损失。工业和信息化部2010年的数据表明，仅中国网民每年需要为网络攻击支付的费用就达到153亿元之多。

笔者认为，网络的应用在出版机构一般经过三个发展阶段：第一为沟通交流阶段，在这个阶段，出版机构的工作人员上互联网、了解外界知识、通过即时通信工具沟通信息等。第二阶段为管理应用阶段，在这个阶段，工作人员通过网络协同办公，出版机构采用ERP、财务管控系统等内部业务管理系统。第三阶段为创造、创新阶段，出版机构使用综合业务系统进行数字内容收集、组织或加工，形成数字资产，通过网络进行推广。

根据这三个阶段的应用特点，可以将管理要求归结为：第一个阶段应用比较简单，用户都可以使用网络，要求网速快、安全性要求不高；第二个阶段，并非所有用户都能进入内部网络，设定上网权限，同时能对带宽进行有效管理，防止员工滥用网络而挤占主要业务的网络带宽，防止堡垒在内部被攻破；第三个阶段有了较多的数字资产，要防止网窥和盗窃行为发生，主动防御来自互联网端的威胁，防止业务流数据和内容数据出现问题，保证数据安全，即能处理来自外部、内部的威胁，保存好数据，防范非法入侵。

管理及技术分析

根据数字出版的业务特点，笔者总结了消除网络安全隐患的策略。

在第一应用阶段，网络中有防火墙、核心路由等元素，要保障物理线路畅通，具备一定的安全性。篇幅所限，这里不详细描述了。

第二应用阶段要求建立终端准入机制和应用控制机制。

此阶段遇到的挑战：用户多导致内部安全问题，带宽滥用情况严重。内网的安全事件约有70%来源于内网的接入终端，虽然网络中使用了一些安全措施如应用防火墙、网络设备访问控制规则等改进了网络的安全性，但由于网内终端数量较大、Windows系统的不稳定和多处漏洞，终端用户的应用水平参差不齐等造成内网安全事件频发。对内网终端的安全隐患管理和处理方法概括如下：建立用户接入准入制度，防止截取地址信息随意接入，对合法用户接入访问权限进行细化，加强整网应用安全机制。

同时，应用也存在监管的问题，如员工在日常工作时间进行P2P下载、看影视等从而挤占正常业务的网络带宽。因此，系统中要设应用控制网关，对带宽进行有效管理，提供足够带宽给ERP、财务处理等主要业务，满足吞吐量要求。网内用户上网行为复杂，网络中的异常流量、即时通信流量逐步增大，侵占了原本就不富余的出口带宽；爆发内网安全事件时也会出现相应的流量异常，因此网内要设有行之有效的流量控制和分析手段，以便对网络进行流量监管以及安全事件的快速定位。

在第三应用阶段，可通过入侵检测系统进行主动防御，对入网设备进行终端准入，建立独立存储甚至远程异地灾备系统。网络入侵防御系统是一种在线部署产品，旨在准确监测网络异常流量，自动对各类攻击性的流量，尤其是应用层的威胁进行实时阻断，而不是在监测到恶意流量的同时或之后才发出告警。这类产品弥补了防火墙、入侵检测等产品的不足，提供动态的、深度的、主动的安全防御，提供一个全新的入侵保护。

第三阶段是较高级应用阶段，因数字出版应用内容丰富、强调应用安全、响应速度，网络技术参数设定要对应用需求有足够响应。

安全网络应用实例

下面是一个出版公司在保障网络安全方面的具体方案，其他数字出版企业也可以从中借鉴。

一、使用一台IP存储解决专业存储问题。

信息或数据在IT系统中，必然处于计算、存储、传输三个状态之一。这三个方面也正好对应于整个IT架构的三个基础架构单元――计算、存储和网络。该方案选用一套高端SAN存储作为整个信息系统的核心在线存储。

该方案中，核心存储设备通过IP SAN交换机与局域网多台服务器建立连接。服务器通过普通千兆网卡或iSCSI HBA卡接入IP SAN。核心存储设备提供海量存储空间，实现高稳定性、高可靠性的数据集中和存储资源统一管理。核心存储设备可以混插高性能的SAS磁盘和大容量的SATA II磁盘，单台设备即可满足两种不同的应用需求，大大提高设备性价比。核心存储也可以满足包括数据库、Web、OA、文件等多个应用的集中访问需求。ERP应用作为关键应用之一，IX3000存储上为其提供独立的存储空间，并采用15000转的SAS硬盘。

二、以应用控制网关解决带宽利用和用户上网行为监管问题。

公司员工越来越依赖于互联网的同时，上网行为却不能得到有效控制和管理，不正当地使用互联网从事各种活动（如网上炒股、玩游戏等）会造成公司外网运行效率下降、带宽资源浪费、商业信息泄密等问题。该公司的财务部曾反映，在制作半年报期间网络时常不通，导致工作无法进行。经查是防火墙严重超负荷造成，负载时常超过90%，这些都是过度使用网络资源产生的后果。

该公司的解决方案如下：在公司出口防火墙与核心交换机之间部署一台应用控制网关。该网关可以很好地完成公司信息中心对员工行为监管的需求，针对P2P/IM、网络游戏、炒股、非法网站访问等行为，可以进行精细化识别和控制，解决带宽滥用影响正常业务、员工工作效率低下、访问非法网站感染病毒蠕虫的问题，帮助公司规范网络的应用层流量，为公司创造一个良好的网络使用环境。

三、通过端点安全准入系统EAD解决终端安全问题。

为了弥补公司现有安全防御体系中存在的不足，公司部署了一套端点安全准入防御系统，旨在加强对员工电脑的集中管理，统一实施安全策略，提高网络终端的主动抵抗能力。终端安全准入防御将防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御，变单点防御为全面防御，变分散管理为集中策略管理，提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。

终端安全准入防御通过安全客户端、安全策略服务器、接入设备以及病毒库服务器、补丁服务器的相互配合，可以将不符合安全要求的终端限制在“隔离区” 内，防止“危险”客户端对网络安全的损害，避免“易感”客户端受病毒、蠕虫的攻击。

四、使用入侵检测系统阻止来自互联网的攻击行为。

在公司互联网出口部署1套千兆硬件入侵防御系统，专门针对公司服务器应用层进行防护，填补防火墙安全级别不够的问题，并与防火墙一起实现公司网络L2－L7层立体的、全面的安全防护。

千兆高性能IPS入侵检测系统可以针对公司Web服务器三层架构中的底层操作系统、中间层数据库服务、上层网页程序的每一层提供安全防护。为公司Web服务器提供包括漏洞利用、SQL注入、蠕虫、病毒、木马、协议异常等在内的应用层安全威胁的防范，防止网页被篡改的发生，并在每检测和阻断一个针对Web服务器的安全威胁之后，记录一条安全日志，为公司服务器的安全审计和安全优化提供全面的依据。

综合管理措施

笔者认为，要维护数字出版公司网络安全，在网络综合管理上要同时做好以下几点：

制定合理有效的计算机网络系统工作管理规定，明确责任，分工到人。

设置全集团（公司）网络管理员制度，各分（子）公司专人对网络和终端进行管理。

中心机房设置专人管理机房网络设备，定期检查并分析设备日志，定期升级软件和补丁，防止“破窗”出现，发现异常及时处理。

定期召开网络应用会议，通报网络安全情况，部署下一阶段工作重点。要打造一支能协同的团队，这比单纯有几台好设备要复杂，培训、协同和组织要付出更多心血。

第2篇：网络安全内网管理范文

关键词:内网;安全;网络;管理;措施

中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)36-10207-02

The Importance of Enterprise Network Security and Management Measures

ZHU Chang-yun

(Anhui Daily Newspaper Group Network Information Center, Hefei 230071, China)

Abstract: In recent years, in all of network security incidents, more than 70% of security incidents occurred, including online, and with a large network-based and complex, this proportion is still growing trend. Therefore, network security within the building of network security has been the focus of attention, but due to the second floor within the network to a pure exchange environment, which more than the number of nodes, the distribution of complex and varying end-user application level security and other reasons, has always been safe construction difficult.

Key words: intranet; security; network; management; measures

1 内网安全的定义以及与外网安全的区别

既然要探讨内网安全,首先要理解内网安全的含义,网络安全主要包含两部分,一个就是传统网络安全考虑的是防范外网对内网的攻击,即可以说是外网安全;另一个就是内网安全,它是对应于外网而言的。主要是指在小范围内的计算机互联网络,这个“小范围”可以是一个家庭,一所学校,或者是一家公司。内网上的每一台电脑(或其他网络设备)内部分配得到的局域网IP地址在不同的局域网内是可以重复的,不会相互影响。

外网安全的威胁模型假设内部网络都是安全可信的,威胁都来自于外部网络,其途径主要通过内外网边界出口。所以,在外网安全的威胁模型假设下,只要将网络边界处的安全控制措施做好,就可以确保整个网络的安全。也就是说,网络边界安全技术防范来自Internet上的攻击,主要是防范来自公共的网络服务器如HTTP或SMTP的攻击。网络边界防范减小了黑客仅仅只需接入互联网、写程序就可访问企业网的几率。传统的防火墙、人侵检测系统和VPN都是基于这种思路设计和考虑的。

对众多大型企业而言,随着业务的发展,用户希望ERP、OA、Intranet、互联网在一张网上实现,能够同时使用有线、无线网络,在一个网络上实现Web、即时通信、协作、语音、视频的融合。外网在某种程度上已经成为了内网的一部分。而随着移动办公的兴起,安全的边界越发模糊,笔记本电脑、手机都成为了企业OA网络中的一部分,而这也增加了内网安全的管理难度。

内网安全的威胁模型与外网安全模型相比,更加全面和细致。它假设内网网络中的任何一个终端、用户和网络都是不安全和不可信的,威胁既可能来自外网,也可能来自内网的任何―个节点上。 所以,在内网安全的威胁模型下,需要对内部网络中所有组成节点和参与者进行细致的管理,实现―个可管理、可控制和可信任的内网。

由此可见,相比于外网安全,内网安全具有以下特点:

1)要求建立一种更加全面、客观和严格的信任体系和安全体系。

2)要求建立更加细粒度的安全控制措施,对计算机终端、服务器、网络和使用者都进行更加具有针对性的管理。

3)对信息进行生命周期的完善管理。

2 内网安全的威胁

在所有的安全事件中,有超过70%的安全事件是发生在内网上的,并且随着网络的庞大化和复杂化,这一比例仍有增长的趋势。因此内网安全一直是网络安全建设关注的重点,但是由于内网以纯二层交换环境为主、节点数量多、分布复杂、终端用户安全应用水平参差不齐等原因,一直以来也都是安全建设的难点。

在实际应用当中,内网安全的威胁主要来自以下几个方面:

1)移动设备(笔记本电脑等)和新增设备未经过安全过滤和检查违规接入内部网络。未经允许擅自接入电脑设备会给网络带来病毒传播、黑客入侵等不安全因素;

2)内部网络用户通过调制解调器、双网卡、无线网卡等网络设备进行在线违规拨号上网、违规离线上网等行为;

3)违反规定将专网专用的计算机带出网络进入到其它网络;

4)网络出现病毒、蠕虫攻击等安全问题后,不能做到安全事件源的实时、快速、精确定位、远程阻断隔离操作。安全事件发生后,网管一般通过交换机、路由器或防火墙进行封堵,但设置复杂,操作风险大,而且绝大多数普通交换机并没有被设置成SNMP可管理模式,因此不能够方便地进行隔离操作;

5)大规模病毒(安全)事件发生后,网管无法确定病毒黑客事件源头、无法找到网络中的薄弱环节,无法做到事后分析、加强安全预警;

6)静态IP地址的网络由于用户原因造成使用管理混乱、网管人员无法知道IP地址的使用、IP同MAC地址的绑定情况以及网络中IP分配情况;

7)针对网络内部安全隐患,自动检测网络中主机的安全防范等级,进行补丁大面积分发,彻底解决网络中的不安全因素;

8)大型网络系统中区域结构复杂,不能明确划分管理责任范围;

9)网络中计算机设备硬件设备繁多,不能做到精确统计。

以上问题其实可以归到两个基本需求:安全与管理。安全方面,需要保证在终端方面可以提供正常工作的基础IT设施即计算机是可用的;而管理方面,则保证企业或都说组织的计算机是用来工作的,规范计算机在企业网络里边的行为。

3 加强内网安全管理的建议和措施

可管理的安全才是真正的安全。虽然管理对于信息安全的重要性已经逐渐达成共识,但如何将安全管理规章和技术手段有效的结合在一起,真正提高信息安全的有效性,依然是我们共同面临的挑战。安全关注的趋势由外而内,由边界到主机,由分散到集中,由系统到应用,由通用到专用,由分离到整合,由技术到管理。从实际工作出发和借鉴兄弟单位成功经验,我总结了加强内网安全的措施如下:

1)按照企业的管理框架,根据不同的业务部门或子公司划成了不同的虚拟网(Vlan)。通过划分虚拟网,可以把广播限制在各个虚拟网的范围内,从而减少整个网络范围内广播包的传输,提高了网络的传输效率,同时,由于各虚拟网之间不能直接进行通讯,而必须通过路由器转,为高级的安全控制提供了可能,增强了网络的安全性,也给管理带来了极大的方便性。特别是核心业务和重要部门根据安全的需要划成了不同的虚拟网,采用完全隔离或者相对隔离的措施,保证了核心业务和重要部门的安全性。

2)对企业网络的物理线路进行规范化管理。按照区域、楼层、配线间、房间、具置规范化管理编号的原则,把所有的网络线路编号,套上清晰的线标,配置可网管的交换机。同时对交换机、配线架、电脑等设备的物理配置、存放的具置以及电脑的软件系统和系统配置等基础数据进行详细的登记,同时还对IP地址进行统一管理,把电脑的IP地址、MAC地址、使用人和各种基础数据进行关联,当网络或者电脑发生故障时,网管们能够通过基础数据管理系统实现快速定位、快速排查故障,极大地提高了网管们解决故障的工作效率。

3)部署桌面安全管理系统。企业部署一套桌面安全策略管理系统,是一个面向IT领域建设的专业安全解决方案。它采用集成化网络安全防卫体系,通过多种技术手段的融合帮助整个企业有效达成在物理访问、链路传输、操作系统、业务应用、数据保护、网间访问和人员管理等方面的安全策略制定、自动分发和自动实现,减小客户为保障安全需要付出的高额管理控制成本,在为每一个终端用户提供透明但高度个性化安全保证的前提下真正提高组织的动作效率和管理水平。终端安全管理是基础,它解决了终端计算机经常为病毒、木马困扰的问题,帮助管理员智能安装系统与应用补丁,提供一系列的终端维护工具与管理工具,使管理员做到对于终端的“中央集权管理与控制”。

4)部署防病毒系统。病毒、木马、流氓软件一直是困扰大家的一大难题,因此通过部署一套专业防病毒系统是最有效的解决办法。防毒系统内嵌病毒扫描和清除、个人防火墙、安全风险检测与删除,可以检测、隔离、删除和消除或修复间谍软件、广告软件、拨号程序、黑客工具、玩笑程序等多种安全风险造成的负面影响。通过防毒系统中心控制台可以集中管理客户端,统一部署防护策略、病毒码定义更新策略等,集中查看客户端病毒码更新情况、病毒分布情况、病毒种类及查杀情况,可以控制客户端集中或单独清除病毒。另外,还可以通过病毒隔离区控制台,追踪病毒传播情况,快速找到病毒源,在第一时间对中毒的电脑进行有效的杀毒和隔离。

5)部署网络管理系统。随着企业网络规模的扩大,交换机、服务器的数量也逐渐增多,如何管理监控重点设备、服务器的运行情况,不是一件容易的事。为此部署一套网络管理系统,可对网络、系统以及应用进行全面的监视。它可以提供完整的故障管理和性能管理功能,能自动发现网络主动监视网络、系统和服务器并将关键参数保存在数据库中。通过综合控制台可实现对路由器、交换机、服务器、URL、UPS无线设备以及打印机等性能的监视,不仅提供了网络设备的多种视图,而且将收集的信息以丰富的图、报表形式呈现给操作者。

6)部署安全管理系统(SOC)。为了让管理人员能够实时了解网络中动态和事件,满足不断变化的网络安全管理(网络设备、服务器、应用程序、应用服务、安全设备、操作系统、数据库、机房环境等发生的故障、超阀值行为、安全事件统称为网络安全问题)的要求,需要有一套专门的安全管理系统来完成。网络管理系统是从事件驱动的目的出发强调系统运维、系统故障处理和加强网络的性能三个方面的内容。与网络管理系统不同,安全管理系统最重要的是对威胁的管理,它的侧重点关注在三个层次上:资产层面,关注安全威胁对业务及资产的影响;威胁层面了解哪些威胁会影响业务及资产;防护措施层面怎样防护威胁,保护业务及资产。一句话概括,就是安全管理是从保护业务及资产的层面进行的风险管理。

7)部署垃圾邮件防火墙。随着电子邮件的普及,电子邮件的作用也越发重要,但是垃圾邮件却是件令人烦恼的事,严重干扰了邮件收发的正常工作。为了解决垃圾邮件问题,可以布署一套垃圾邮件防火墙。垃圾邮件防火墙能支持25000个活跃的电子邮件帐户每天处理两千五百万封电子邮件。

8)对重要资料进行备份。在内网系统中数据对用户的重要性越来越大,实际上引起电脑数据流失或被损坏、篡改的因素已经远超出了可知的病毒或恶意的攻击,用户的一次错误操作,系统的一次意外断电以及其他一些更有针对性的灾难可能对用户造成的损失比直接的病毒和黑客攻击还要大。为了维护企业内网的安全,必须对重要资料进行备份,以防止因为各种软硬件故障、病毒的侵袭和黑客的破坏等原因导致系统崩溃,进而蒙受重大损失。对数据的保护来说,选择功能完善、使用灵活的备份软件是必不可少的。目前应用中的备份软件是比较多的,配合各种灾难恢复软件,可以较为全面地保护数据的安全。

9)密钥管理。在现实中,入侵者攻击Intranet目标的时候,90%会把破译普通用户的口令作为第一步。以Unix系统或Linux 系统为例,先用“finger远端主机名”找出主机上的用户账号,然后用字典穷举法进行攻击。这个破译过程是由程序来完成的。大概十几个小时就可以把字典里的单词都完成。

如果这种方法不能奏效,入侵者就会仔细地寻找目标的薄弱环节和漏洞,伺机夺取目标中存放口令的文件 shadow或者passwd。然后用专用的破解DES加密算法的程序来解析口令。

在内网中系统管理员必须要注意所有密码的管理,如口令的位数尽可能的要长;不要选取显而易见的信息做口令;不要在不同系统上使用同一口令;输入口令时应在无人的情况下进行;口令中最好要有大小写字母、字符、数字;定期改变自己的口令;定期用破解口令程序来检测shadow文件是否安全。没有规律的口令具有较好的安全性。

4 结束语

当然为了更好地解决内网的安全问题,需要有更为开阔的思路看待内网的安全问题。七分管理,三分技术。管理是企业网络安全的核心,技术是安全管理的保证。只有制定完整的规章制度、行为准则并和安全技术手段合理结合,网络系统的安全才会有最大的保障。

参考文献:

第3篇：网络安全内网管理范文

网吧路由器的好坏直接决定了网吧网络的稳定。而单体网吧技术员通常对路由器不太了解，也不懂如何优化配置路由器，经常导致网吧掉线。而在每个网吧单独设―个精通网络的网管成本太高，所以经常是临时找厂家或者商的工程师进行远程Telnet登陆进行排错和相应配置，这样做效率比较低，耗时很长，直接影响网吧经营。

H3C网络设备管理方式及其优点：

连锁网吧在总部薪聘请―位网管，对所有分支网吧的网络设备尤其是路由器进行统一配置，可以减少很多的麻烦。而H3C的AR18路由器支持BIMS(智能分支管理)，网管能在总部直接下发关键配置给各个网吧，方便快捷。并且可以实施监控网吧路由器配置。一旦配置被恶意修改，总部处会及时告警提示网管。这样就避免了分支网吧技术员擅自修改路由器配置或者被他人恶意修改配置带来的麻烦。

二、对连锁网吧服务器的集中管理

传统网吧服务器管理方式及其缺点：

传统的连锁网吧要对分支的游戏服务器或者电影服务器进行管理的时候，只能开放其公网端口，这样就给黑客入侵留下了机会。另外由于分支网吧位于不同的地点，分属于不同的网络，网吧与网吧之间的资源无法实现共享，某些网吧的一些好电影资源其他网吧无法访问，这又给网吧经营影视节目带来了高成本的资源重复投入。

H3C网络设备管理方式及其优点：使用H3C网吧设备的连锁网吧是一个真正意义上的连锁，因为通过VPN互联之后，所有网吧与网吧之间，网吧与总部之间都是一个虚拟的局域网了，局域网之间相互访问资源就非常的容易了。同时总部网管要维护下面的服务器，通过局域网IP地址就可以直接访问分支网吧服务器的文件夹，即方便又安全。

三、H3C网吧解决方案特色

作为网内网络设备的领导厂商，H3C公司始终关注客户最急迫的需求，以客户需求为导向来开发产品和设计方案。通过对目前网吧行业的深入调研，H3C公司基于强大的技术实力和突出的方案整合能力，推出了面向广大网吧经营者的网吧解决方案，为网吧经营者提供了集经济和高效于一身的理想解决方案。

对于网吧来讲，稳定压倒一切，而如今导致网吧不稳定的主要原因就是安全性太差，内网攻击或者ARP病毒就能轻轻松松让一个网吧掉线：网吧扩建之后，设备增多，对设备的管理和配置也是一大麻烦，专门雇一个精通网络的技术人员成本又太高，所以网吧都希望设备管理越简单越好。H3c公司正是了解到网吧最迫切的需求，在网吧解决方案中突出两大特色，网络安全与傻瓜式管理。

网络安全：彻底堵住安全死角

网吧出口被攻击，网民账号被盗，计费服务器被攻击等这些不安全的因素对网吧金带来严重的影响。造成安全性差的原因有四个：

1、黑客或竞争对手发动针对出口路由的外网DDoS攻击

2、内网用户发起的DDoS攻击造成网吧网络瘫痪

3、ARP欺骗病毒造成用户无法上网，以及QQ和游戏等帐号密码被盗

4、计费服务器，游戏服务器被病毒攻击造成无法计费

针对这4种常见的安全问题，H3C研发整套解决方案，从路由到交换都融入了安全方案：

1、防外：目前网吧使用的多数的出口设备以及服务器在攻击情况下就会死机；而AR18-63-1路由器具备完善的安全防护功能，防DDoS攻击，Srnurf/Fraggle攻击，防端口扫描攻击等网络中常见的24种外网攻击，彻底杜绝黑客的侵入或者竞争网吧的攻击。

2、堵内，网吧局域网内部的攻击，ARP欺骗，蠕虫病毒等等都会导致内部掉线，H3C交换机可以完成端到端的防御，S1526接入交换机可以直接进行端口隔离来防止ARP病毒扩散，S5000E交换机可以进行MAC+IP+端口绑定，实现硬件过滤非法ARP报文。另外S5000E创新的提出交换机防DoS攻击报文的功能，在交换机处直接将攻击丢弃掉，攻击无法达到路由器，从而保护了内网安全。另外在S5000E交换机上面还能对常见的网络病毒进行封堵，保证内网蠕虫病毒不会扩散，引导到网吧服务器的正常运行。

傻瓜式管理：让网吧管理变得简单

网吧里面有PC机、计费服务器、收费服务器、交换机、路由器、网线等、这些设备都是不同的类型，操作管理都不相同，需要一个全方位都懂的技术员才能打理。而普通的网管对操作系统，PC硬件等比较熟悉，而对网络不甚了解，所以在对网络设备的管理上面时常出现问题：

1、网吧设备配置：网吧网管的技术水平较低，对手传统的命令行配置方式掌握程度低

2、网络排错：网吧排查错误的方式都是通过插拔线，这种方式不仅工作量十分巨大，而且效率很低网管需要对网吧的网络现状进行全局的监控

3、连锁网吧设备管理：连锁网吧总部会有一个专职大网管，他对技术非常了解，包括网络。但是由于下面的加盟或者直营网吧较多，一旦出了问题，只能亲自到现场去解决，效率非常低。

第4篇：网络安全内网管理范文

[关键词] 网络安全方案设计实现

一、计算机网络安全方案设计与实现概述

影响网络安全的因素很多，保护网络安全的技术、手段也很多。一般来说，保护网络安全的主要技术有防火墙技术、入侵检测技术、安全评估技术、防病毒技术、加密技术、身份认证技术，等等。为了保护网络系统的安全，必须结合网络的具体需求，将多种安全措施进行整合，建立一个完整的、立体的、多层次的网络安全防御体系，这样一个全面的网络安全解决方案，可以防止安全风险的各个方面的问题。

二、计算机网络安全方案设计并实现

1.桌面安全系统

用户的重要信息都是以文件的形式存储在磁盘上，使用户可以方便地存取、修改、分发。这样可以提高办公的效率，但同时也造成用户的信息易受到攻击，造成泄密。特别是对于移动办公的情况更是如此。因此，需要对移动用户的文件及文件夹进行本地安全管理，防止文件泄密等安全隐患。

本设计方案采用清华紫光公司出品的紫光S锁产品，“紫光S锁”是清华紫光“桌面计算机信息安全保护系统”的商品名称。紫光S锁的内部集成了包括中央处理器（CPU）、加密运算协处理器（CAU）、只读存储器（ROM），随机存储器（RAM）、电可擦除可编程只读存储器（E2PROM）等，以及固化在ROM内部的芯片操作系统COS（Chip Operating System）、硬件ID号、各种密钥和加密算法等。紫光S锁采用了通过中国人民银行认证的SmartCOS，其安全模块可防止非法数据的侵入和数据的篡改，防止非法软件对S锁进行操作。

2.病毒防护系统

基于单位目前网络的现状，在网络中添加一台服务器，用于安装IMSS。

（1)邮件防毒。采用趋势科技的ScanMail for Notes。该产品可以和Domino的群件服务器无缝相结合并内嵌到Notes的数据库中，可防止病毒入侵到LotueNotes的数据库及电子邮件，实时扫描并清除隐藏于数据库及信件附件中的病毒。可通过任何Notes工作站或Web界面远程控管防毒管理工作，并提供实时监控病毒流量的活动记录报告。ScanMail是Notes Domino Server使用率最高的防病毒软件。

（2)服务器防毒。采用趋势科技的ServerProtect。该产品的最大特点是内含集中管理的概念，防毒模块和管理模块可分开安装。一方面减少了整个防毒系统对原系统的影响，另一方面使所有服务器的防毒系统可以从单点进行部署，管理和更新。

（3)客户端防毒。采用趋势科技的OfficeScan。该产品作为网络版的客户端防毒系统，使管理者通过单点控制所有客户机上的防毒模块，并可以自动对所有客户端的防毒模块进行更新。其最大特点是拥有灵活的产品集中部署方式，不受Windows域管理模式的约束，除支持SMS，登录域脚本，共享安装以外，还支持纯Web的部署方式。

（4)集中控管TVCS。管理员可以通过此工具在整个企业范围内进行配置、监视和维护趋势科技的防病毒软件，支持跨域和跨网段的管理，并能显示基于服务器的防病毒产品状态。无论运行于何种平台和位置，TVCS在整个网络中总起一个单一管理控制台作用。简便的安装和分发部署，网络的分析和病毒统计功能以及自动下载病毒代码文件和病毒爆发警报，给管理带来极大的便利。

3.动态口令身份认证系统

动态口令系统在国际公开的密码算法基础上，结合生成动态口令的特点，加以精心修改，通过十次以上的非线性迭代运算，完成时间参数与密钥充分的混合扩散。在此基础上，采用先进的身份认证及加解密流程、先进的密钥管理方式，从整体上保证了系统的安全性。

4.访问控制“防火墙”

单位安全网由多个具有不同安全信任度的网络部分构成，在控制不可信连接、分辨非法访问、辨别身份伪装等方面存在着很大的缺陷，从而构成了对网络安全的重要隐患。本设计方案选用四台网御防火墙，分别配置在高性能服务器和三个重要部门的局域网出入口，实现这些重要部门的访问控制。

通过在核心交换机和高性能服务器群之间及核心交换机和重要部门之间部署防火墙，通过防火墙将网络内部不同部门的网络或关键服务器划分为不同的网段，彼此隔离。这样不仅保护了单位网络服务器，使其不受来自内部的攻击，也保护了各部门网络和数据服务器不受来自单位网内部其他部门的网络的攻击。如果有人闯进您的一个部门，或者如果病毒开始蔓延，网段能够限制造成的损坏进一步扩大。

5.信息加密、信息完整性校验

为有效解决办公区之间信息的传输安全，可以在多个子网之间建立起独立的安全通道，通过严格的加密和认证措施来保证通道中传送的数据的完整性、真实性和私有性。

SJW-22网络密码机系统组成

网络密码机（硬件）:是一个基于专用内核，具有自主版权的高级通信保护控制系统。

本地管理器（软件）:是一个安装于密码机本地管理平台上的基于网络或串口方式的网络密码机本地管理系统软件。

中心管理器（软件）:是一个安装于中心管理平台（Windows系统）上的对全网的密码机设备进行统一管理的系统软件。

6.安全审计系统

根据以上多层次安全防范的策略，安全网的安全建设可采取“加密”、“外防”、“内审”相结合的方法，“内审”是对系统内部进行监视、审查，识别系统是否正在受到攻击以及内部机密信息是否泄密，以解决内层安全。

安全审计系统能帮助用户对安全网的安全进行实时监控，及时发现整个网络上的动态，发现网络入侵和违规行为，忠实记录网络上发生的一切，提供取证手段。作为网络安全十分重要的一种手段，安全审计系统包括识别、记录、存储、分析与安全相关行为有关的信息。

在安全网中使用的安全审计系统应实现如下功能：安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件存储、安全审计事件选择等。

本设计方案选用“汉邦软科”的安全审计系统作为安全审计工具。

汉邦安全审计系统是针对目前网络发展现状及存在的安全问题，面向企事业的网络管理人员而设计的一套网络安全产品，是一个分布在整个安全网范围内的网络安全监视监测、控制系统。

（1）安全审计系统由安全监控中心和主机传感器两个部分构成。主机传感器安装在要监视的目标主机上，其监视目标主机的人机界面操作、监控RAS连接、监控网络连接情况及共享资源的使用情况。安全监控中心是管理平台和监控平台，网络管理员通过安全监控中心为主机传感器设定监控规则，同时获得监控结果、报警信息以及日志的审计。主要功能有文件保护审计和主机信息审计。

①文件保护审计：文件保护安装在审计中心，可有效的对被审计主机端的文件进行管理规则设置，包括禁止读、禁止写、禁止删除、禁止修改属性、禁止重命名、记录日志、提供报警等功能。以及对文件保护进行用户管理。

②主机信息审计:对网络内公共资源中，所有主机进行审计，可以审计到主机的机器名、当前用户、操作系统类型、IP地址信息。

（2)资源监控系统主要有四类功能。①监视屏幕:在用户指定的时间段内，系统自动每隔数秒或数分截获一次屏幕;用户实时控制屏幕截获的开始和结束。

②监视键盘:在用户指定的时间段内，截获Host Sensor Program用户的所有键盘输入，用户实时控制键盘截获的开始和结束。

③监测监控RAS连接：在用户指定的时间段内，记录所有的RAS连接信息。用户实时控制ass连接信息截获的开始和结束。当gas连接非法时，系统将自动进行报警或挂断连接的操作。

④监测监控网络连接：在用户指定的时间段内，记录所有的网络连接信息(包括:TCP， UDP，NetBios）。用户实时控制网络连接信息截获的开始和结束。由用户指定非法的网络连接列表，当出现非法连接时，系统将自动进行报警或挂断连接的操作。

单位内网中安全审计系统采集的数据来源于安全计算机，所以应在安全计算机安装主机传感器，保证探头能够采集进出网络的所有数据。安全监控中心安装在信息中心的一台主机上，负责为主机传感器设定监控规则，同时获得监控结果、报警信息以及日志的审计。单位内网中的安全计算机为600台，需要安装600个传感器。

7.入侵检测系统IDS

入侵检测作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。从网络安全的立体纵深、多层次防御的角度出发，入侵检测理应受到人们的高度重视，这从国际入侵检测产品市场的蓬勃发展就可以看出。

根据网络流量和保护数据的重要程度，选择IDS探测器（百兆）配置在内部关键子网的交换机处放置，核心交换机放置控制台，监控和管理所有的探测器因此提供了对内部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。

在单位安全内网中，入侵检测系统运行于有敏感数据的几个要害部门子网和其他部门子网之间，通过实时截取网络上的是数据流，分析网络通讯会话轨迹，寻找网络攻击模式和其他网络违规活动。

8.漏洞扫描系统

本内网网络的安全性决定了整个系统的安全性。在内网高性能服务器处配置一台网络隐患扫描I型联动型产品。I型联动型产品适用于该内网这样的高端用户，I型联动型产品由手持式扫描仪和机架型扫描服务器结合一体，网管人员就可以很方便的实现了集中管理的功能。网络人员使用I型联动型产品，就可以很方便的对200信息点以上的多个网络进行多线程较高的扫描速度的扫描，可以实现和IDS、防火墙联动，尤其适合于制定全网统一的安全策略。同时移动式扫描仪可以跨越网段、穿透防火墙，实现分布式扫描，服务器和扫描仪都支持定时和多IP地址的自动扫描，网管人员可以很轻松的就可以进行整个网络的扫描，根据系统提供的扫描报告，配合我们提供的三级服务体系，大大的减轻了工作负担，极大的提高了工作效率。

联动扫描系统支持多线程扫描，有较高的扫描速度，支持定时和多IP地址的自动扫描，网管人员可以很轻松的对自己的网络进行扫描和漏洞的弥补。同时提供了Web方式的远程管理，网管不需要改变如何的网络拓扑结构和添加其他的应用程序就可以轻轻松松的保证了网络的安全性。另外对于信息点少、网络环境变化大的内网配置网络隐患扫描II型移动式扫描仪。移动式扫描仪使用灵活，可以跨越网段、穿透防火墙，对重点的服务器和网络设备直接扫描防护，这样保证了网络安全隐患扫描仪和其他网络安全产品的合作和协调性，最大可能地消除安全隐患。

在防火墙处部署联动扫描系统，在部门交换机处部署移动式扫描仪，实现放火墙、联动扫描系统和移动式扫描仪之间的联动，保证了网络安全隐患扫描仪和其他网络安全产品的合作和协调性，最大可能的消除安全隐患，尽可能早地发现安全漏洞并进行修补，优化资源，提高网络的运行效率和安全性。

三、结束语

随着网络应用的深入普及，网络安全越来越重要，国家和企业都对建立一个安全的网络有了更高的要求。一个特定系统的网络安全方案，应建立在对网络风险分析的基础上，结合系统的实际应用而做。由于各个系统的应用不同，不能简单地把信息系统的网络安全方案固化为一个模式，用这个模子去套所有的信息系统。

本文根据网络安全系统设计的总体规划,从桌面系统安全、病毒防护、身份鉴别、访问控制、信息加密、信息完整性校验、抗抵赖、安全审计、入侵检测、漏洞扫描等方面安全技术和管理措施设计出一整套解决方案，目的是建立一个完整的、立体的、多层次的网络安全防御体系。

参考文献:

[1]吴若松:新的网络威胁无处不在[J].信息安全与通信保密，2005年12期

[2]唐朝京张权张森强:有组织的网络攻击行为结果的建模[J].信息与电子工程，2003年2期

第5篇：网络安全内网管理范文

关键词：边界防护；安全域划分；入侵检测；等级保护

中图分类号： TM247 文献标识码： A 文章编号：

0 引言

随着电网公司SG186工程的实施和信息化建设的逐步推进，重要应用系统已集中部署到省公司，市级电力企业将主要负责数据采集和网络实时传输工作，信息网络的安全稳定性将直接影响信息系统的安全、可靠。电力企业通过网络分区分域、边界防护、规范安全配置及部署网络监测防护等手段，建立信息网络安全防护体系，提高了信息安全运行水平。

1 企业信息网分区分域

1.1 信息网络分区

电力企业信息网络分为信息外网区和信息内网区。结合资金、通道资源等因素考虑，省、地、县信息广域骨干网将做内外网逻辑隔离，全部骨干网节点上投运具备MPLS-VPN功能的高端路由器设备，信息外网以信息内网为承载网，开通MPLS-VPN通道到各地、县本地网接入点，地、县本地局域网以物理隔离方式分别组建信息内网和信息外网实现内外网隔离。

1.2 安全域建设

网络安全的基本策略是进行安全区域划分，根据信息业务安全等级差异可划分不同安全等级的区域，实现对安全风险的有效隔离。市级电力企业主要的营销管理系统、生产管理系统、协同办公系统等已全部集中部署在省公司，因此在市公司中，系统均为二级系统。根据网络安全域与网络功能区相匹配的原则，信息内网安全域可划分为系统服务器域和内网终端域两个，并通过防火墙实现安全风险隔离。信息外网因没有对外业务应用系统，全部为外网终端，因此外网只有外网终端域。信息内网网络示意图如图1所示:

图1 信息内网网络示意图

2 网络边界防护

边界防护是指网络区域间和区域内所有网络流量必须在明确的策略允许下进行传输，数据流进行严格的控制，包括数据流的源和目的地址，控制精度达到端口级，默认拒绝所有不确定的数据流。边界的隔离防护功能可以从物理上实现，也可在网络层和系统层实现。市级电力企业信息内外网实现物理隔离方式，信息内网不存在第三方边界，信息内网的网络边界根据区域网络数据流向划分为纵向边界、横向边界和终端接入边界。划分示意图如图2所示。

图2 边界划分示意图

2.1 纵向边界防护

市级信息网络纵向边界分为上联省公司边界和下联县级公司边界两部分，边界划分和隔离方式基本相同，采用BGP协议划分不同的自治系统域网络边界，以口字形方式双机冗余连接，部署防火墙做网络边界隔离，通过防火墙的访问控制策略实现数据流的纵向访问控制防护。

2.2 横向边界防护

市级信息网络横向边界分为安全域间边界防护和网段间防护。安全域边界防护采用防火墙作边界安全策略配置，实现服务器域和内网终端域间的安全访问控制；网段间防护包括服务器网段VLAN划分和内网终端域网段VLAN划分，通过在网络设备层上配置详细的VLAN访问控制策略实现网段间的边界防护。

2.3 终端接入边界防护

终端接入边界防护主要是计算机终端和接入层交换机的安全接入控制，包括设备接入许可控制和外联阻断。设备接入控制采用网络层的IP-MAC地址绑定功能做接入许可控制，并在网络设备端作端口访问控制策略；外联阻断控制是部署终端管理系统实时对设备外联进行检测，如有连接外网可主动发起阻断操作并告警，通过应用系统层做边界接入防护。

3 规范网络安全配置

网络安全威胁是实际存在的，网络本身的安全性配置是网络系统的安全基础，可最大程度地降低网络层的攻击威胁。如何正确有效地启用各类网络安全配置是网络日常维护深入的重点。网络设备安全配置总体包括网络服务、网络协议和网络访问控制三方面。以cisco网络设备为例，列举以下安全配置：

4 网络安全监测防护

4.1 网络管理系统

网管系统可对网络设备进行远程管理和状态监控，实现对网络内所有网络设备的告警监测和故障定位，使用运行管理功能能提供网络故障预警、故障定位。同时能确定网络设备CPU、内存的负荷、站点的可到达性、网络链路流量、传输速率、带宽利用率、时延、丢包等。并发现系统的物理连接和系统配置的问题，进而优化网络性能、提高网络运行效益。是网络管理员管理网络的重要手段。

4.2 入侵检测系统

人侵检测系统能提供安全审计、监视、攻击识别和防攻击等多项功能；具有事前警告、事中防护和事后取证等特点；可以监视用户和系统的运行状态，查找非法用户和合法用户的越权操作；检测系统配置的正确性和安全漏洞，并提示管理员修补漏洞。通过入侵检测系统，管理员能实时检测到用户网络受攻击行为，并即时采取应急措施。

4.3 漏洞扫描系统

漏洞扫描系统将网络、主机和桌面终端的系统配置信息进行漏洞规则匹配分析，能即时检测到网络上各设备的系统漏洞，发现系统隐患及脆弱点，能通过补丁更新系统更新。

4.4 日志审计系统

日志审计系统能将网络设备、防火墙设备、入侵检测及主机系统的日志数据进行采集、分析和识别，对各类事件归类汇总分析，实时定位网络安全事件的准确性，并进行报警响应。

4.5 防病毒系统

计算机病毒是造成网络大规模瘫痪的重要原因，通过防病毒系统对病毒感染传播的遏制，是网络安全的重要防护手段。终端防病毒软件安装率是电力企业信息安全考核的重要指标。

第6篇：网络安全内网管理范文

最近，国内某造船厂发生了一起有惊无险的网络安全事件。由于该造船厂的计算机系统内储存有大量的重要设计数据，某一天，系统突然报警，显示某个电脑终端正在非法拷贝这些重要文件数据，而网管人员通过内网审计系统的跟踪，立刻锁定了拷贝文件的电脑和登陆系统的用户名，从而在重要文件还没被外传之前，及时制止了该行为，避免了无谓的经济损失。

事实上，类似的内网安全事件在很多企业都有发生，但由于内网安全的完善程度不同，并非每个企业都能避免损失发生。有调查显示，超过85.0％的安全威胁来自企业内部，其中16.0％来自企业内部未经授权的非法访问，40.0％来自电子文件的泄露，由此可见，内网安全问题已是企业网络安全建设的重头戏。

为了确保网络安全，防火墙、杀毒软件、IPS等产品早已成为企业用户的普遍部署，但是，这些主要针对外网的安全防护在面对内网安全威胁时，往往形同虚设，因为“内忧”胜于“外患”，企业不仅需要坚固的边界安全，更需要稳定的内网安全。

那么，目前企业CIO们对于内网安全的认识是否到位，他们在内网安全部署方面处于何种程度，还存在哪些有待完善之处，内网安全在产品技术上又存在哪些发展趋势。

为此，《中国计算机用户》杂志社实施了为期一个月的用户调查，以期通过用户反馈呈现内网安全的现状及趋势。

过半企业重视内网安全

网络安全威胁层出不穷，网络安全问题无处不在，但是，事情总有轻重缓急之分，哪个领域的安全问题是企业用户当前首需解决的呢?调查反馈显示，“内网安全”以54.9％的比例占据第一位置，其次，25.7％的用户选择外网安全，10.6％的用户选择了终端安全，8.8％的用户选择了Web安全。

显然，企业网络安全建设行进之今，过半用户已经将“内网安全”设定为首需解决的问题。同时，这也表明用户对于内网安全重要性的认识已经达到相当程度。

北京互联通网络科技有限公司产品项目部顾问黄毅就明确表示，内网的安全管理，很多时候比外网安全管理更加重要，因为企业的机密信息泄漏、业务系统被如侵等，往往就是透过内部的非授权访问和木马泛滥导致的，所以，保障内网安全势在必行。

作为内网安全建设领域的专家，北京鼎普科技股份有限公司战略市场部经理万俊告诉记者，一直以来，企业安全防御的理念更多局限在常规的网管级别(防火墙等)、网络边界(漏洞扫描、安全审计、防病毒、IDS)等方面，主要的安全设施大多集中于机房、网络入口处。应该说，在这些安全设备的严密监控下，来自网络外部的安全威胁得到显著缓解。

然而，随着企业信息化的不断深入，来自网络内部的安全威胁开始逐步凸显出来，网络的内部安全问题大于外部问题渐渐成为业界共识。

对此，我们可以从企业用户当前对于安全细节问题的关注度得到印证。在“哪些安全细节问题是贵公司当前比较重视的”这一问题中，83.2％的用户选择了病毒查杀，69.0％的用户选择了数据库安全，46.9％的用户选择了网络设备安全，31.9％的用户选择了补丁升级管理，31.0％的用户选择了网站运维安全，27.4％的用户选择了身份认证，22.1％的用户选择了信息加密。

可以看出，不论是常见的病毒查杀，还是身份认证或信息加密，用户对此都持有相当的关注。

“提高意识管理到位”是首要

为什么需要管理内网安全，我们从企业员工的日常小事即可明白。如今，很多员工在上班闲暇时，偶尔聊聊QQ或MSN，要不上开心网玩“偷菜”或观看在线电影，要不干脆打开BT电驴等下载软件下载大容量文件。这些在大小企业中普遍存在的现象不仅影响了员工的工作效率，而且还会占用企业网络流量，从而影响其他正常业务的开展。

事实当然不仅如此，根据本次调查反馈，70.8％的企业存在“员工随便登陆MSN、QQ、BT等内容”，37.2％的企业存在“经常有人改动IP地址从而造成冲突”，62.8％的企业存在“经常出现某台电脑没有打补丁或补丁不全”，31.0％的企业存在“经常受到非法入侵”，48.7％的企业存在“不能完全限制内网的设备与重要信息的保管”。

可以看出，近七成左右的企业存在“员工随便登陆MSN、QQ、BT等内容”和“经常出现某台电脑没有打补丁或补丁不全”的现象，另外三项困扰也有近五成企业有所遭遇。

另外，根据调查反馈，目前企业网络主要遭遇的安全威胁中，76.1％的用户选择木马病毒，14.2％的用户选择蠕虫，8.8％的用户选择电子邮件攻击，0.9％的用户选择网络钓鱼／欺骗。可见，木马泛滥的确到了人人喊打的地步。

需要指出的是，木马病毒除了可以跟随Web应用从外网进入内网之外，还有一个重要的传播渠道，即通过移动U盘直接在内网终端上蔓延开来。

对此，在诸多安全厂商的内网安全产品中，都或多或少存在防止移动终端传播病毒的功能。比如鼎普科技的安全U盘系统，它是通过智能判断和权限访问控制技术，使数据信息在U盘上实现存取控制，同时也具备对U盘进行身份认证、敏感信息外带时防止非授权访问和病毒窃取等功能。目前，金融、电信等行业用户大多应用了类似系统以杜绝终端隐患。

抛开行业特殊性，抛开单一内网安全产品或功能，目前企业用户针对网络安全的部署现状如何呢。根据调查反馈，96.5％的用户选择了杀毒软件，78.8％的用户选择了防火墙，24.8％的用户选择了VPN(安全传输)，20.4％的用户选择了身份认证系统，27.4％的用户选择了内网安全管理，8.8％的用户选择了IDS／IPS。

很明显，虽然近八成企业都部署了杀毒软件和防火墙，但这正好说明企业在网络安全建设过程中，外网安全是优先经历的阶段，而接下来的重点则在内网安全。

那么，内网安全建设应该从何处下手呢，首先，我们可以从“企业网络中发生安全事件的原因通常包括有哪些”这一问题的调查结果看，有48.7％的用户选择“网络或软件配置错误”，28.3％的用户选择“管理员弱口令”，62.8％的用户选择“系统漏洞”，74.3％的用户选择“员工安全意识淡薄、管理不到位”，15.0％的用户选择“DDoS攻击”。

显然，“员工安全意识淡薄、管理不到位”是企业发生网络安全事件的最普遍原因，这与很多企业CIO的看法也是一致。

山西省大同市阳高县畜牧服务中心饲料牧草管理站站长杭军表示，影响内网安全管理的因素很多，其中，用户

的认识水平、重视程度及使用习惯，尤其是普通用户的安全意识和相关管理人员的管理水平，尤为重要。

同样，在吉林吉恩镍业股份有限公司信息中心主任周军利看来，保障内网安全，首先需要制订科学完善的内网安全管理制度，从制度上规范员工的上网行为，其次要加大制度的执行和考核力度，让员工自觉地树立信息安全意识，最后就是使用先进的内网安全管理产品，从技术上保障内网的安全。

从“偏安全”到“偏管理”

从技术角度讲，内网安全包含的内容其实很多，比如如何发现客户端设备的系统漏洞并自动分发补丁，如何防范移动存储设备随意介入内网、如何防范内网设备非法外联，如何点对点控制异常客户端的运行，如何防范内部信息泄露等。

换句话说，与防范外网安全主要集中于边界部署不同，保障内网安全需要涉及的环节较多，相应的产品部署也相对更加多样。比如有的侧重内网终端防护，有的侧重流量和上网行为控制，有的侧重监控审计，有的侧重身份认证或信息加密等。

万俊介绍，过去几年，人们对于内网安全的管理主要偏向于防止信息泄密，因此，严格控制电脑终端的外设及各类端口成为各大厂商产品方案的重点诉求。

然而，随着网络安全形势的不断演变，企业用户开始不仅满足于对电脑终端的监控，而是希望从管理的角度对内网安全进行防护。比如本文开头所说的那家造船厂，通过内网审计系统锁定非法操作，再比如统计网络流量、补丁分发以及系统软硬件的升级管理等。

这在本次调查也有所反映。“在内网安全管理方面，贵公司期望在哪个部分得到加强”，有51.3％的用户选择了“监控审计”，26.5％的用户选择了“桌面管理”，14.2％的用户选择了“文档加密”，8.0％的用户选择了“磁盘加密”。

事实上，为了满足用户需求，厂商的产品策略上也在随之跟进。“当然，我们在产品策略上也从最初单纯的监控审计，到现在把监控审计和管理相结合，走向偏重管理的方向。”万俊表示，“毕竟，内网安全的重心已经从偏重安全转移到偏重管理，内网的概念已不仅集中在这块，许多非企业、非业务也开始从管理的角度落实内网安全。”

在实践应用中，偏重管理就是要求企业在运用内网功能的时候，不是为了在事后进行补救，而是一方面可以做到预防危险的发生，另一方面把公司一些理念、文化都能在计算机内网监控中得到体现。

比如鼎普科技最新研发的“猎隼”网络信息监测系统，这个系统通过对所有网络的内容进行解析，能够及时阻止内部的计算机通过互联网发生的敏感信息泄露，快速定位追查源头，防止违规事件发生。它还能对整个网络及计算机用户上网行为、网络流量进行监控，帮助网络高效、稳定、安全的运行，为信息化建设及管理提供有效的技术支撑。

打造立体防御体系

“未来一年，贵公司是否制定了进一步加强内网安全管理的计划”，结果显示，41.6％的企业表示有，32.7％的用户表示暂时没有，25.7％的用户表示不确定。可见，有四成多的用户打算加强内网安全部署。

不过，涉及内网安全的因素非常多，产品形式也比较多样，在哪些环节如何部署就显得非常重要。

总体而言，内网安全集中关注的对象包括引起信息安全威胁的内网用户、应用环境、应用环境边界和内网通信安全。

因此，如何在企业内网构建一个有机统一的安全控制系统，实现立体式实时监管，才是实施内网安全部署的关键所在。

在万俊看来，保障内网安全不能仅靠各种功用安全产品的堆叠，而需要由单纯的安全产品部署上升到如何实现可信、可控的立体防护体系。比如通过四级可信认证机制，则可以让系统既突出安全性，又注重管理性。

第一级认证：基于硬件级别的安全防护和访问控制。在最底层实现对计算机终端进行物理安全加固，例如使用鼎普计算机安全防护卡从BIOS级实现登录认证和全盘数据保护，一方面可以杜绝非法用户从光盘启动绕过软件防护窃取数据，同时还可令用户不能随意安装操作系统、卸载已安装的软件系统改变现有安全环境。

第二级认证：基于操作系统的身份认证和文件保护。采用基于USB-KEY的双因素认证技术实现操作系统登录的可信可控，即在计算机硬件启动之后，可以限制用户权限，如是否可以进一步登录操作系统，以及可以进行何种权限的文件操作，文件如何安全存放以及安全删除。

第三级认证：实现对程序安装运行的授权控制。对应用程序进行黑白名单控制，只有经过管理员签名授权的程序才能在单机终端上运行使用，进一步规范终端用户的软件程序使用行为，可以最大程度防止程序的随意安装使用带来的病毒、木马的传播。

第四级认证：实现可信计算机接入内网的认证管理。网络边界的安全可控是内网安全的基本问题，通过基于802.1X认证协议的可信终端认证子系统，实现网络的安全接入――只有经过授权许可的可信、可控、健康计算机才能接入到内网，并对人终端的运行、健康状态进行实时监控，通过创新的技术理念打造出一个信得过、进得来、控得住的健康可信内部网络。如果不健康，防护系统会采取进一步措施，如报警、断阿等。

在建立以上四级可信认证机制的纵深防御体系基础上，企业用户还要实现身份鉴别、介质管理，数据保护、安全审计、实时监控等防护要求，如此才能达到扎实有效的安全效果。

用户声音

对于完善企业内网安全管理，您认为哪些因素比较重要?

吉林吉恩镍业股份有限公司信息中心主任　周军利

首先要制订科学完善的内网安全管理制度，从制度上有所保障；要加大制度的执行和考核力度，要让员工自觉树立信息安全意识；要有先进的内网安全管理软件，从技术上保障内网安全。

中国石化管道储运公司技术作业分公司科研所高级工程师杨家琳

1、规范内网用户上网行为；2、堵塞系统漏洞；3、加强防范措施(网络监控和预警、防病毒、木马与非法入侵)

山东省泰安市国家税务局　胡志京

1、提高全员对信息安全的防护意识，建章立制，落实制度，规范操作；2、提高领导层的高度重视意识，每年要有一定投入，进行一些安全设备和杀毒软件的更新换代，以保证将病毒、不安全隐惠消灭在萌芽状态。3、加强日常管理，抓好制度落实，做到勤检查，常督促，把网络信息安全工作落到实处。

第7篇：网络安全内网管理范文

IM和P2P沦为黑客攻击管道

从终端来看，垃圾邮件，蠕虫病毒，间谍软件，针对即时通讯和P2P应用安全事件正成为终端安全隐患的主要来源。

FaceTime通讯公司最新的调查报告说，微软的MSN网络仍然是被攻击得最多的即时通讯网络，2004年和2005年都是如此，而被攻击数量下降得最快的网络是美国在线的AIM 网络。即时通讯威胁对于企业的IT人员来说是一种非常大的挑战，因为它们利用了实时通讯的管道以及全球各地的即时通讯网络进行繁殖，它们的传播速度比电子邮件攻击快很多。

根据披露，2005年11月有一个国际黑客组织已经利用即时通讯软件病毒控制了1.7万台个人电脑组成僵尸网络为商业目的攻击行为做准备。

我们也已知道，即时消息和P2P 应用在带来方便性、实时性、新业务商机的同时，也给最终用户、企业网络和电信网络带来多方位的安全威胁。通常来说，这些安全威胁包括：边界安全措施失效；难以控制文件数据的共享和流动，带来病毒、木马、蠕虫等；容易导致知识产权损失、泄密等；由于大量使用非标准、不公开协议，使用动态、随即、非固定的端口；难以检测、过滤和管理；隐藏于HTTP管道中的各种潜在的隐秘通道。

我们也可以看到在复杂的网络环境下一些有代表性的P2P网络安全产品，提供基于包过滤特性提供针对P2P传输的防护，在保障安全的同时还可阻止并记录国际上几乎所有的P2P封杀机构(如RIAA、MPAA、MediaForce、BaySTP、NetPD等等)对计算机进行探测连接，从而避免隐私外泄，可以自动下载最新的屏蔽列表来屏蔽各种广告、间谍软件及研究机构对机器的扫描。

目前业界一些致力于IM/P2P的专业厂商也推出了针对保护用户免受IM与P2P的安全威胁，将检测和分析通过IM传播的病毒与蠕虫、通过IM发送的垃圾邮件“SPIM”、恶意代码等的整体方案。

针对IM的安全管理，比如IM监控，P2P的监控等，正在成为网关级防御，针对IM和P2P，垃圾邮件监控、管理和控制等等需求和话题正在不断催生出相关应用的针对性安全解决方案。

UTM：潮流趋势所至

在企业级领域，由于信息基础设施的不断增加和应用的不断扩展，企业公共出口的网络安全基础设施的布局已经发展到一定阶段，随着纵深防御概念逐渐深入，威胁已经从外部转向内部。从产品来看，UTM（一体化的威胁管理）正在成为新的增长点。在混合攻击肆虐的时代，单一功能的防火墙远不能满足业务的需要，而对于集成多种安全功能的UTM设备来说，以其基于应用协议层防御、超低误报率检测、高可靠高性能平台、统一组件化管理的优势将得到越来越多的青睐。

由于UTM设备是串联接入的安全设备，因此UTM设备本身的性能和可靠性要求非常高，同时，UTM时代的产品形态，实际上是结合了原有的多种产品、技术精华，在统一的产品管理平台下，集成防火墙、VPN、网关防病毒、IPS、防拒绝服务攻击等众多产品功能于一体，实现多种的防御功能。

鉴此，安全厂商与网络厂商合作，共同开发和研制UTM设备将是今后发展的必然趋势。

威胁由外转内

对于内网安全，已经进入到内网合规性管理的阶段。目前，内网安全的需求有两大趋势，一是终端的合规性管理，即终端安全策略、文件策略和系统补丁的统一管理；二是内网的业务行为审计，即从传统的安全审计或网络审计，向对业务行为审计的发展，这两个方面都是非常重要的。

从现状来看，根据美国洋基集团（Yankee Group）一项针对北美和西欧六百家公司的调查显示，2005年的安全问题有六成源自内部，高于前一年的四成。该集团表示：“威胁已从外部转向内部”。每年企业界动辄投资上千万防毒防黑，但企业防御失效的另一个容易被忽略的问题是：来自员工、厂商或其它合法使用系统者的内部滥用。在漏洞攻击愈来愈快速的今日，有可能因为一个访客携入的计算机而瘫痪几千万IT设备。

中小企业面临的三大安全威胁是病毒攻击、垃圾邮件、网络攻击，因而有很多厂商推出了针对中小企业的集成式套装产品。对内网终端设备的管理，通过基于网络的控制台使管理员能够从产品分发、运行监控、组件升级、配置修改、统一杀毒、应急响应等全过程，实施集中式的管理，强制部署的安全策略，有助于避免企业用户无心过错导致的安全漏洞。而新型病毒与黑客技术结合得越来越紧密，与此相对应，防病毒软件与防火墙、IDS等技术配合得越来越紧密。只有多种技术相互补充配合，才可以有效对付混合威胁。

大型企业有一定的信息化基础，对于内网安全来说，企业用户需要实施整体的安全管理策略。 内网安全管理系统需要将安全网管、内网审计与内网监控有机地结合在一起，以解决企业内部专用网络的安全管理、安全控制和行为监视为目标，采用主动的安全管理和安全控制的方式。将内部网络的安全隐患以技术的手段进行有效的控制，全面保护网络、系统、应用和数据。运用多种技术手段，从源头上阻止了敏感信息泄漏事件的发生。

对于大型企业来说，选用的产品需要能够自动发现关键业务资产，并确定威胁企业IT环境完整性的安全漏洞。通过采集实时的技术库，并且将它们与基于风险的任务列表（带有补救指导）中已验证的漏洞相关联，并且帮助企业确定哪些漏洞将影响哪些资产。最终为企业提供一份即时的关于关键性业务资产的风险评估。对于企业内网来说，行之有效的安全管理是各种规模企业所企盼的，固若金汤的城池，往往在内部安全威胁面前形同虚设。“内忧”胜于“外患”，企业不仅需要铸造抵抗外部风险的纵深防御体系，同样需要着重管理，打造安全和谐的内部环境。

第8篇：网络安全内网管理范文

关键词：校园网；网络安全；防范措施；防火墙；VLAN技术

校园网是指利用网络设备、通信介质和适宜的组网技术与协议以及各类系统管理软件和应用软件，将校园内

计算机和各种终端设备有机地集成在一起，用于教学、科研、管理、资源共享等方面的局域网络系统。校园网络安全是指学校网络系统的硬件、软件及其系统中的数据受到保护，不因偶然和恶意等因素而遭到破坏、更改、泄密，保障校园网的正常运行。随着“校校通”工程的深入实施，学校教育信息化、校园网络化已经成为网络时代的教育的发展方向。目前校园网络内存在很大的安全隐患，建立一套切实可行的校园网络防范措施，已成为校园网络建设中面临和亟待解决的重要问题。

一、校园网络安全现状分析

（一）网络安全设施配备不够

学校在建立自己的内网时，由于意识薄弱与经费投入不足等方面的原因，比如将原有的单机互联，使用原有的网络设施；校园网络的各种硬件设备以及保存数据的光盘等都有可能因为自然因素的损害而导致数据的丢失、泄露或网络中断；机房设计不合理，温度、湿度不适应以及无抗静电、抗磁干扰等设施；网络安全方面的投入严重不足，没有系统的网络安全设施配备等等；以上情况都使得校园网络基本处在一个开放的状态，没有有效的安全预警手段和防范措施。

（二）学校校园网络上的用户网络信息安全意识淡薄、管理制度不完善

学校师生对网络安全知识甚少，安全意识淡薄，U盘、移动硬盘、手机等存贮介质随意使用；学校网络管理人员缺乏必要的专业知识，不能安全地配置和管理网络；学校机房的登记管理制度不健全，允许不应进入的人进入机房；学校师生上网身份无法唯一识别，不能有效的规范和约束师生的非法访问行为；缺乏统一的网络出口、网络管理软件和网络监控、日志系统，使学校的网络管理混乱；缺乏校园师生上网的有效监控和日志；计算机安装还原卡或使用还原软件，关机后启动即恢复到初始状态，这些导致校园网形成很大的安全漏洞。

（三）学校校园网中各主机和各终端所使用的操作系统和应用软件均不可避免地存在各种安全“漏洞”或“后门”

大部分的黑客入侵网络事件就是由系统的“漏洞”及“后门”所造成的。网络中所使用的网管设备和软件绝大多数是舶来品，加上系统管理员以及终端用户在系统设置时可能存在各种不合理操作，在网络上运行时，这些网络系统和接口都相应增加网络的不安全因素。

（四）计算机病毒、网络病毒泛滥，造成网络性能急剧下降，重要数据丢失

网络病毒是指病毒突破网络的安全性，传播到网络服务器，进而在整个网络上感染，危害极大。感染计算机病毒、蠕虫和木马程序是最突出的网络安全情况，遭到端口扫描、黑客攻击、网页篡改或垃圾邮件次之。校园网中教师和学生对文件下载、电子邮件、QQ聊天的广泛使用，使得校园网内病毒泛滥。计算机病毒是一种人为编制的程序，它具有传染性、隐蔽性、激发性、复制性、破坏性等特点。它的破坏性是巨大的，一旦学校网络中的一台电脑感染上病毒，就很可能在短短几分钟中内使病毒蔓延到整个校园网络，只要网络中有几台电脑中毒，就会堵塞出口，导致网络的“拒绝服务”，严重时会造成网络瘫痪。《参考消息》1989年8月2日刊登的一则评论，列出了下个世纪的国际恐怖活动将采用五种新式武器和手段，计算机病毒名列第二，这给未来的信息系统投上了一层阴影。从近期的“熊猫烧香”、“灰鸽子”、“仇英”、“艾妮”等网络病毒的爆发中可以看出，网络病毒的防范任务越来越严峻。

综上所述，学校校园网络的安全形势非常严峻，在这种情况下，学校如何能够保证网络的安全运行，同时又能提供丰富的网络资源，保障办公、教学以及学生上网的多种需求成为了一个难题。根据校园网络面临的安全问题，文章提出以下校园网络安全防范措施。

二、校园网络的主要防范措施

（一）服务器

学校在建校园网络之时配置一台服务器，它是校园网和互联网之间的中介，在服务器上执行服务的软件应用程序，对服务器进行一些必要的设置。校园网内用户访问Internet都是通过服务器，服务器会检查用户的访问请求是否符合规定，才会到被用户访问的站点取回所需信息再转发给用户。这样，既保护内网资源不被外部非授权用户非法访问或破坏，也可以阻止内部用户对外部不良资源的滥用，外部网络只能看到该服务器而无法获知内部网络上的任何计算机信息，整个校园网络只有服务器是可见的，从而大大增强了校园网络的安全性。

（二）防火墙

防火墙系统是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术产品，是一种使用较早的、也是目前使用较广泛的网络安全防范产品之一。它是软件或硬件设备的组合，通常被用来进行网络安全边界的防护。防火墙通过控制和检测网络之中的信息交换和访问行为来实现对网络安全的有效管理，在网络间建立一个安全网关，对网络数据进行过滤（允许/拒绝），控制数据包的进出，封堵某些禁止行为，提供网络使用状况（网络数据的实时/事后分析及处理，网络数据流动情况的监控分析，通过日志分析，获取时间、地址、协议和流量，网络是否受到监视和攻击），对网络攻击行为进行检测和告警等等，最大限度地防止恶意或非法访问存取，有效的阻止破坏者对计算机系统的破坏，可以最大限度地保证校园网应用服务系统的安全工作。

（三）防治网络病毒

校园网络的安全必须在整个校园网络内形成完整的病毒防御体系，建立一整套网络软件及硬件的维护制度，定期对各工作站进行维护，对操作系统和网络系统软件采取安全保密措施。为了实现在整个内网杜绝病毒的感染、传播和发作，学校应在网内有可能感染和传播病毒的地方采用相应的防病毒手段，在服务器和各办公室、工作站上安装瑞星杀毒软件网络版，对病毒进行定时的扫描检测及漏洞修复，定时升级文件并查毒杀毒，使整个校园网络有防病毒能力。

（四）口令加密和访问控制

校园网络管理员通过对校园师生用户设置用户名和口令加密验证，加强对网络的监控以及对用户的管理。网管理员要对校园网内部网络设备路由器、交换机、防火墙、服务器的配置均设有口令加密保护，赋予用户一定的访问存取权限、口令字等安全保密措施，用户只能在其权限内进行操作，合理设置网络共享文件，对各工作站的网络软件文件属性可采取隐含、只读等加密措施，建立严格的网络安全日志和审查系统，建立详细的用户信息数据库、网络主机登录日志、交换机及路由器日志、网络服务器日志、内部用户非法活动日志等，定时对其进行审查分析，及时发现和解决网络中发生的安全事故，有效地保护网络安全。

（五）VLAN(虚拟局域网)技术

VLAN(虚拟局域网)技术，是指在交换局域网的基础上，采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。根据实际需要划分出多个安全等级不同的网络分段。学校要将不同类型的用户划分在不同的VLAN中，将校园网络划分成几个子网。将用户限制在其所在的VLAN里，防止各用户之间随意访问资源。各个子网间通过路由器、交换机、网关或防火墙等设备进行连接，网络管理员借助VLAN技术管理整个网络，通过设置命令，对每个子网进行单独管理，根据特定需要隔离故障，阻止非法用户非法访问，防止网络病毒、木马程序，从而在整个网络环境下，计算机能安全运行。

（六）系统备份和数据备份

虽然有各种防范手段，但仍会有突发事件给网络系统带来不可预知的灾难，对网络系统软件应该有专人管理，定期做好服务器系统、网络通信系统、应用软件及各种资料数据的数据备份工作，并建立网络资源表和网络设备档案，对网上各工作站的资源分配情况、故障情况、维修记录分别记录在网络资源表和网络设备档案上。这些都是保证网络系统正常运行的重要手段。

（七）入侵检测系统（IntrusionDetectionSystem，IDS）

IDS是一种网络安全系统，是对防火墙有益的补充。当有敌人或者恶意用户试图通过Internet进入网络甚至计算机系统时，IDS能检测和发现入侵行为并报警，通知网络采取措施响应。即使被入侵攻击，IDS收集入侵攻击的相关信息，记录事件，自动阻断通信连接，重置路由器、防火墙，同时及时发现并提出解决方案，列出可参考的网络和系统中易被黑客利用的薄弱环节，增强系统的防范能力，避免系统再次受到入侵。入侵检测系统作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵，大大提高了网络的安全性。

（八）增强网络安全意识、健全学校统一规范管理制度

根据学校实际情况，对师生进行网络安全防范意识教育，使他们具备基本的网络安全知识。制定相关的网络安全管理制度（网络操作使用规程、人员出入机房管理制度、工作人员操作规程和保密制度等）。安排专人负责校园网络的安全保护管理工作，对学校专业技术人员定期进行安全教育和培训，提高工作人员的网络安全的警惕性和自觉性，并安排专业技术人员定期对校园网进行维护。

三、结论

校园网的安全问题是一个较为复杂的系统工程，长期以来，从病毒、黑客与防范措施的发展来看，总是“道高一尺，魔高一丈”，没有绝对安全的网络系统，只有通过综合运用多项措施，加强管理，建立一套真正适合校园网络的安全体系，提高校园网络的安全防范能力。

参考文献：

1、王文寿,王珂.网管员必备宝典――网络安全[M].清华大学出版社,2006.

2、张公忠.现代网络技术教程[M].清华大学出版社,2004.

3、刘清山.网络安全措施[M].电子工业出版社,2000.

4、谢希仁.计算机网络[M].大连理工大学出版社,2000.

5、张冬梅.网络信息安全的威胁与防范[J].湖南财经高等专科学校学报,2002(8).

6、李卫.计算机网络安全与管理[M].清华大学出版社,2004.

7、孟晓明.网络信息的安全问题与安全防护策略研究[J].情报杂志,2004(3).

第9篇：网络安全内网管理范文

关键词：准入控制；802.1x；协议；Radius

内网接入管理是近年来国内外很多企业对内部网络安全提出的一项技术需求。它要求内网中计算机接入能得到控制。未经授权的计算机禁止接入内网，从而确保内部网络的安全性。内网准入控制技术的目标是：通过对内网准入技术的分析，实现未注册内网终端的阻断功能，同时，只有完全符合安全标准的计算机才能接入受保护网络。

一、早期的内网准入控制技术

早期局域网一般由不可网管交换机或Hub组建而成。针对这种局域网，国内安全厂商很多都是通过ARP欺骗的方式实现这一功能，实现原理如下。

1.用户计算机安装准入控制客户端，客户端检测用户计算机是否达到接入要求。

2.准入控制服务器对所在网段使用ARP扫描功能，在很短时间内（2-3s）获得新接入的计算机的IP地址和MAC地址。

3.通过准入控制服务器对未注册用户计算机实施ARP欺骗，发送IP地址已占用的信息，并发送错误的网关地址。利用Windows操作系统本身机制，未注册客户端会发现自己的IP地址在网络中已经存在，并认为自己的IP地址甚至错误，系统会在未注册计算机上提示IP地址设置错误。

早期的内网接入控制技术存在一些缺点。例如会在网络中生成大量的ARP数据包，影响整体网络性能；ARP欺骗的方式也会造成用户侧计算机ARP防火墙软件的产生报警信息。

二、当前三种可行的准入控制方案

目前针对大型园区网络可行的准入方案主要有三种。

第一通过软件准入网关实现未注册阻断功能。

第二通过硬件准入网关实现未注册阻断功能。

第三与支持802.1x协议的交换机设备联动，在接入层实现未注册终端阻断功能。

1.软件准入网关

软件准入网关发现自己“辖区”内有未注册计算机时，不为其分配IP地址，或者拒绝其数据包，对已注册计算机一律放行。

软件准入网关的一般结构如图1所示。

软件准入网关的原理和下面将要介绍的硬件准入网关原理基本一致，但是适用环境较为单一。软件准入网关一般使用WinPcap网络驱动开发，客户端超过100后，系统性能会急剧下降，应用环境受到很大限制。

2.硬件准入网关

硬件准入网关比软件准入网关性能高，很多园区网采用这种控制方式。硬件准入网关的部署方式类似于软件准入网关，由终端管理服务器将内网客户机状态发送给硬件网关，再由硬件网关判断并执行阻断或URL重定向。以某知名厂商为例，终端管理服务器和准入网关之间通信的数据格式如图2和表1所示。

准入网关和终端管理服务器之间采用应答握手验证协议（CHAP），认证采用预共享口令，认证后派生出随机加密密钥对内容进行加密。

用准入网关实现准入控制受限于所处网络的结构，一般部署在安全级别不同的两个网络边界之间。低安全级别的计算机在进入高安全级别的网络之前，必须经终端管理服务器检查各项安全策略，之后通知准入网关进行放行、阻断或重定向操作。

3.基于交换机端口的准入控制

基于交换机端口的准入控制需要使用IEEE 802.1x协议。802.1x协议是一种访问控制和认证协议。它可以限制未经授权的用户通过网络交换机接入端口访问局域网。在认证通过之前，802.1x只允许EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。

802.1x协议运行在OSI模型链路层，借用EAP（扩展认证协议），不需要到网络层，对设备的整体性能要求不高，可以有效降低建网成本，提供良好的扩展性和适应性。802.1x的认证体系结构中采用了"可控端口"和"不可控端口"的逻辑功能，可以实现业务与认证的分离，由RADIUS服务器和交换机利用可控端口共同完成对用户的认证与控制，业务报文直接承载在正常的二层报文上，通过可控端口进行交换，通过认证之后的数据包是无需封装的纯数据包。802.1x协议可以映射不同的用户认证等级到不同的VLAN。

为了实现基于802.1x协议的准入控制，需要将准入网关与支持802.1x EAP协议的交换机配合实施，目的是为内网提供高度灵活的用户接入强制策略。同时，为了保证能够了解内网终端在网络接入时的安全状态以及网络应用行为，需要在接入内网的终端上安装和运行准入客户端软件（Agent）。

准入控制过程如下：交换机发起EAP认证，Agent在收到EAP认证质询时，将当前终端安全状态以及终端身份向交换机报告，交换机在收到Agent的应答以后，将应答信息以Radius协议封装，发送到终端管理服务器，终端管理服务器按照管理设定的规则检验Agent的应答信息。如果终端的身份合法并且安全状态也符合企业安全策略的要求，终端管理服务器将指示准入网关放行。准入网关同时作为Radius服务器，负责通知交换机将终端放入正常的工作VLAN；如果终端验证失败，准入网关就按照管理的设定，通知交换机将终端放入隔离VLAN或直接关闭端口。在隔离VLAN的终端，Agent会自动进行终端安全状态的修复，在修复完成以后，系统自动将终端重新接入正常工作VLAN。

目前支持的802.1x协议的有Nortel、Alcatel、Cisco、Huawei等主流设备供应商。以Cisco公司的网络交换机为例，802.1X认证配置如下：

aaa new-model

aaa authentication login default none

aaa authentication dot1x default group radius

dot1x system-auth-control

！

interface FastEthernet0/1

switchport mode access

dot1x port-control auto

！

interface FastEthernet0/2

switchport mode access

dot1x port-control auto

！

radius-server host 192.168.1.100

radius-server key PASSWORD

以上配置中192.168.1.100为准入网关的IP地址。

本文主要介绍了三种可行的内网准入控制技术，其中以基于网络端口的控制方案最为严格，对系统管理水平的要求也最高。通常在园区网管理中，一般采用硬件准入网关与基于端口的准入网关相结合的方式，达到即经济又高效的管理效果。

参考文献：

[1]于昇，祝璐.网络接入控制架构研究综述[J/OL].信息安全与通信保密，2009（8）：41-43.