網路安全設置招標

『壹』 計算機網路中有哪些安全設置

1、對於計算機的網路安全可以加強和更新計算機中的防火牆來增加相應的系數，點擊——控制面板——系統和安全。

『貳』 如何設置網路安全密碼

關於密碼安全，還是看要達到什麼等級的防護了。世界上沒有絕對安全的密碼，只有不值得破譯的密碼。
1.無線加密方式：選擇較新的wpa2-psk，否則用專業軟體可以幾分鍾內就破解掉老的wep加密方式。
2.增加密碼強度：至少8位，隔一段時間就換一次。包含大寫字母，小寫字母、數字、特殊符號這四種中的三種及以上。這個主要是增加暴力破解的難度。
3.增加密碼強度：至少8位，隔一段時間就換一次。包含大寫字母，小寫字母、數字、特殊符號這四種中的三種及以上。這個主要是增加暴力破解的難度。
4.Mac地址綁定和關閉DHCP：讓別人連上路由器也分不到IP地址。
5.關閉SSID廣播，這樣別人就看不到自己的網路。一勞永逸。

一般來說，家庭級的防護主要看周圍是否有積極蹭網的人。如果沒人蹭網，不需要什麼防護，隨便設置個密碼或者就行了（建議不要使用12345678這種弱爆了的密碼）。如果常常有人蹭網，就得打一場網路防禦戰了。無線路由器怎麼設置密碼才最安全。

『叄』 如何做好網路安全管理

第一、物理安全

除了要保證要有電腦鎖之外，我們更多的要注意防火，要將電線和網路放在比較隱蔽的地方。我們還要准備UPS，以確保網路能夠以持續的電壓運行，在電子學中，峰值電壓是一個非常重要的概念，峰值電壓高的時候可以燒壞電器，迫使網路癱瘓，峰值電壓最小的時候，網路根本不能運行。使用UPS可以排除這些意外。另外我們要做好防老鼠咬壞網線。

第二、系統安全（口令安全）

我們要盡量使用大小寫字母和數字以及特殊符號混合的密碼，但是自己要記住，我也見過很多這樣的網管，他的密碼設置的的確是復雜也安全，但是經常自己都記不來，每次都要翻看筆記本。另外我們最好不要使用空口令或者是帶有空格的，這樣很容易被一些黑客識破。

我們也可以在屏保、重要的應用程序上添加密碼，以確保雙重安全。

第三、打補丁

我們要及時的對系統補丁進行更新，大多數病毒和黑客都是通過系統漏洞進來的，例如今年五一風靡全球臭名昭著的振盪波就是利用了微軟的漏洞ms04-011進來的。還有一直殺不掉的SQLSERVER上的病毒slammer也是通過SQL的漏洞進來的。所以我們要及時對系統和應用程序打上最新的補丁，例如IE、OUTLOOK、SQL、OFFICE等應用程序。

另外我們要把那些不需要的服務關閉，例如TELNET，還有關閉Guset帳號等。

第四、安裝防病毒軟體

病毒掃描就是對機器中的所有文件和郵件內容以及帶有.exe的可執行文件進行掃描，掃描的結果包括清除病毒，刪除被感染文件，或將被感染文件和病毒放在一台隔離文件夾裡面。所以我們要對全網的機器從網站伺服器到郵件伺服器到文件伺服器知道客戶機都要安裝殺毒軟體，並保持最新的病毒定義碼。我們知道病毒一旦進入電腦，他會瘋狂的自我復制，遍布全網，造成的危害巨大，甚至可以使得系統崩潰，丟失所有的重要資料。所以我們要至少每周一次對全網的電腦進行集中殺毒，並定期的清除隔離病毒的文件夾。

現在有很多防火牆等網關產品都帶有反病毒功能，例如netscreen總裁謝青旗下的美國飛塔Fortigate防火牆就是，她具有防病毒的功能。

第五、應用程序

我們都知道病毒有超過一半都是通過電子郵件進來的，所以除了在郵件伺服器上安裝防病毒軟體之外，還要對PC機上的outlook防護，我們要提高警惕性，當收到那些無標題的郵件，或是你不認識的人發過來的，或是全是英語例如什麼happy99，money，然後又帶有一個附件的郵件，建議您最好直接刪除，不要去點擊附件，因為百分之九十以上是病毒。我前段時間就在一個政府部門碰到這樣的情況，他們單位有三個人一直收到郵件，一個小時竟然奇跡般的收到了2000多封郵件，致使最後郵箱爆破，起初他們懷疑是黑客進入了他們的網路，最後當問到這幾個人他們都說收到了一封郵件，一個附件，當去打開附件的時候，便不斷的收到郵件了，直至最後郵箱撐破。最後查出還是病毒惹的禍。

除了不去查看這些郵件之外，我們還要利用一下outlook中帶有的黑名單功能和郵件過慮的功能。

很多黑客都是通過你訪問網頁的時候進來的，你是否經常碰到這種情況，當你打開一個網頁的時候，會不斷的跳出非常多窗口，你關都關不掉，這就是黑客已經進入了你的電腦，並試圖控制你的電腦。

所以我們要將IE的安全性調高一點，經常刪除一些cookies和離線文件，還有就是禁用那些Active X的控制項。

第六、代理伺服器

代理伺服器最先被利用的目的是可以加速訪問我們經常看的網站，因為代理伺服器都有緩沖的功能，在這里可以保留一些網站與IP地址的對應關系。

要想了解代理伺服器，首先要了解它的工作原理：

環境：區域網裡面有一台機器裝有雙網卡，充當代理伺服器，其餘電腦通過它來訪問網路。

1、內網一台機器要訪問新浪，於是將請求發送給代理伺服器。

2、代理伺服器對發來的請求進行檢查，包括題頭和內容，然後去掉不必要的或違反約定的內容。

3、代理伺服器重新整合數據包，然後將請求發送給下一級網關。

4、新浪網回復請求，找到對應的IP地址。

5、代理伺服器依然檢查題頭和內容是否合法，去掉不適當的內容。

6、重新整合請求，然後將結果發送給內網的那台機器。

由此可以看出，代理伺服器的優點是可以隱藏內網的機器，這樣可以防止黑客的直接攻擊，另外可以節省公網IP。缺點就是每次都要經由伺服器，這樣訪問速度會變慢。另外當代理伺服器被攻擊或者是損壞的時候，其餘電腦將不能訪問網路。

第七、防火牆

提到防火牆，顧名思義，就是防火的一道牆。防火牆的最根本工作原理就是數據包過濾。實際上在數據包過濾的提出之前，都已經出現了防火牆。

數據包過濾，就是通過查看題頭的數據包是否含有非法的數據，我們將此屏蔽。

舉個簡單的例子，假如體育中心有一場劉德華演唱會，檢票員坐鎮門口，他首先檢查你的票是否對應，是否今天的，然後撕下右邊的一條，將剩餘的給你，然後告訴你演唱會現場在哪裡，告訴你怎麼走。這個基本上就是數據包過濾的工作流程吧。

你也許經常聽到你們老闆說：要增加一台機器它可以禁止我們不想要的網站，可以禁止一些郵件它經常給我們發送垃圾郵件和病毒等，但是沒有一個老闆會說：要增加一台機器它可以禁止我們不願意訪問的數據包。實際意思就是這樣。接下來我們推薦幾個常用的數據包過濾工具。

『肆』 網路工程師請進！！

我給你 一個 概念 我還有更好的 真正項目下來的 給點分吧

目 錄

一、項目概述
二、需求概述
三、網路需求
1．布線結構需求
2．網路設備需求
3．IP地址規劃
四、系統需求
1．系統要求
2．網路和應用服務
五、存儲備份系統需求
1．總體要求
2．存儲備份系統建設目標
3．存儲系統需求
4．備份系統需求
六、網路安全需求
1．網路安全體系要求
2．網路安全設計模型

前言
根據項目招標書的招標要求來細化為可執行的詳細需求分析說明書，主要為針對項目需求進行深入的分析，確定詳細的需求狀況以及需求模型,作為制定技術設計方案、技術實施方案、技術測試方案、技術驗收方案的技術指導和依據
一、項目概述
1. 網路部分的總體要求:
 滿足集團信息化的要求,為各類應用系統提供方便、快捷的信息通路。
 良好的性能，能夠支持大容量和實時性的各類應用。
 能夠可靠的運行，較低的故障率和維護要求。
 提供安全機制，滿足保護集團信息安全的要求。
 具有較高的性價比。
 未來升級擴展容易，保護用戶投資。
 用戶使用簡單、維護容易。
 良好的售後服務支持。
2. 系統部分的總體要求：
 易於配置：所有的客戶端和伺服器系統應該是易於配置和管理的，並保障客戶端的方便使用；
 更廣泛的設備支持：所有操作系統及選擇的服務應盡量廣泛的支持各種硬體設備；
 穩定性及可靠性：系統的運行應具有高穩定性，保障7*24的高性能無故障運行。
 可管理性：系統中應提供盡量多的管理方式和管理工具，便於系統管理員在任何位置方便的對整個系統進行管理；
 更低的TCO：系統設計應盡量降低整個系統和TCO（擁有成本）；
 安全性：在系統的設計、實現及應用上應採用多種安全手段保障網路安全；
 良好的售後服務支持。
除了滿足上述的基本特徵外，本項目的設計還應具有開放性、可擴展性及兼容性，全部系統的設計要求採用開放的技術和標准選擇主流的操作系統及應用軟體，保障系統能夠適應未來幾年公司的業務發展需求，便於網路的擴展和集團的結構變更。
二、需求概述
在設計方案時，無論是系統或網路都嚴格遵循以下原則，以保障方案能充分滿足集團的需求。
 先進性和實用性原則
 高性能原則
 經濟性原則
 可靠性原則
 安全性原則
 可擴展性原則
 標准化原則
 易管理性原則

三、網路需求
集團園區網項目必須實現以下的功能需求：建設一個通暢、高效、安全、可擴展的集團園區網，支撐集團信息系統的運行，共享各種資源，提高集團辦公和集團生產效率，降低集團的總體運行費用。網路系統必須運行穩定。
集團園區網需要滿足集團各種計算機應用系統的大信息量的傳輸要求。
集團園區網要具備良好的可管理性。減輕維護人員的工作量，提高網路系統的運行質量。
集團園區網要具有良好的可擴展性。能夠滿足集團未來發展的需要，保護集團的投資。
整個項目的施工，系統集成商要精心組織、嚴格管理、定期提交各類項目文檔。
在項目實施完畢之後，系統集成商要對集團的相關人員進行培訓，並移交全部的項目工程資料，保證集團園區網的正常運行和管理維護。
1．布線結構需求
集團目前擁有六家子公司，包括集團總部在內共有2000多名員工；園區內有7棟建築物，分別是集團總部和子公司的辦公和生產經營場所；光纖+超五類綜合布線系統，3000個左右信息點；集團計劃為大部分的員工配置辦公用計算機；集團目前有多種計算機應用系統。
7棟建築物，每棟建築高7層，都具有一樣的內部物理結構。一層設有本樓的機房，一樓布有少量的信息點，供未來可能的需求使用，目前並不使用（不包括集團總部所在的樓）。二層和三層，每層樓布有96個信息點。四層到七層，每層樓布有48個信息點。每層樓有一個設備間。樓內綜合布線的垂直子系統採用多模光纖，每層樓到一層機房有兩條12芯室內光纖。每個子公司和集團總部之間通過兩條12芯的室外光纜連接。要求將除一層以外的全部信息點接入網路，但目前不用的信息點關閉。集團總部所在樓的一層，是集團的主機房，布有48個信息點，但目前只有20台左右的伺服器和工作站。
集團園區正在後期建設中，不存在遺留的網路系統。集團原有少量的網路設備，可以不作考慮或者用作臨時的補充之用。
2．網路設備需求
集團園區網計劃採用10M的光纖乙太網接入到網際網路服務提供商的網路，然後接入到網際網路中，使集團實現與外界的信息交換和網路通信。集團統一一個出口訪問Internet，集團能夠控制網路的安全。
根據集團的網路功能需求和實際的布線系統情況，系統集成商需要給出設備選擇的合理建議，包括樓層接入交換機、子公司主交換機、集團核心交換機等。其中，樓層接入設備需要選擇同一型號的設備；子公司主交換機可以根據需要通過堆疊方式進行靈活的升級擴容；核心交換機需要具有升級到720Gbps可用背板帶寬的能力。
網路設備必須在技術上具有先進性、通用性，必須便於管理、維護。網路設備應該滿足集團現有計算機設備的高速接入，應該具備未來良好的可擴展性、可升級性，保護用戶的投資。網路設備必須具有良好的在滿足功能與性能的基礎上性能價格比最優。網路設備應該選擇擁有足夠實力和市場份額的廠商的主流產品，同時設備廠商必須要有良好的市場形象與售後技術支持。
3．IP地址規劃
集團園區網計劃使用私有的A類IP地址。集團園區網的IP地址分配原則如下：
 集團使用IPv4地址方案。
 集團使用私有IP地址空間：10.0.0.0/8。
 集團使用VLSM（變長子網掩碼）技術分配IP地址空間。
 集團IP地址分配滿足合理利用的要求。
 集團IP地址分配滿足便於路由匯聚的要求。
 集團IP地址分配滿足分類控制等的要求。
 集團IP地址分配滿足未來公司網路擴容的需要。
集團園區網的IP地址的一些具體使用規定：
 了網化後，所有的第一個子網（0子網）都不分配給用戶使用。
 網關的地址統一使用子網的最後一個可用地址。
 IP地址的使用需要報集團總部審批備案。
 具體配置如下：
機構 IP地址/地址范圍 說明
總部 10.16.*.252/24 1號樓接入層交換機管理IP地址（*表示從97至102對應2至7層）
10.16.35.?/32 非二層交換機的Loopback地址(*表示1至7連接辦公區域、伺服器區域、核心區域的6台交換機以及邊界路由器)
10.16.*.1 ～ 10.16.*.251/24 各層客戶端DHCP地址范圍（*表示從97至102對應2至7層）
10.16.*.252、253/24 1號樓匯聚層交換機對應每一Vlan的IP地址（*表示從97至102對應Vlan12至17）
10.16.*.254/24 1號樓匯聚層交換機對應每一Vlan的虛擬IP地址即網關IP地址（*表示從97至102對應Vlan12至17）
10.16.64.1、2/30 核心層交換機之間互聯IP地址
10.16.64.5、6/30 伺服器區塊匯聚層交換機互聯IP地址
10.16.64.17、18/30 伺服器區塊匯聚層交換機與核心層交換機互聯IP地址1
10.16.64.21、22/30 伺服器區塊匯聚層交換機與核心層交換機互聯IP地址2
10.16.64.25、26/30 路由器與核心層交換機互聯IP地址1
10.16.64.29、30/30 路由器與核心層交換機互聯IP地址2
10.16.64.33、34/30 路由器與防火牆互聯IP地址
10.16.64.37、38/30 1號樓匯聚層交換機互聯IP地址
10.16.64.41、42/30 2號樓匯聚層交換機互聯IP地址
10.16.64.45、46/30 3號樓匯聚層交換機互聯IP地址
10.16.64.49、50/30 4號樓匯聚層交換機互聯IP地址
10.16.64.53、54/30 5號樓匯聚層交換機互聯IP地址
10.16.64.57、58/30 6號樓匯聚層交換機互聯IP地址
10.16.64.61、62/30 7號樓匯聚層交換機互聯IP地址
10.16.64.65、66/30 網管工作站及相應的網關地址
10.16.96.1、2/27 域控/DNS伺服器主備IP地址
10.16.96.3、4/27 NAS伺服器主備IP地址
10.16.96.5、6/27 Web/Mail伺服器主備IP地址
子公司1 10.32.*.252/24 2號樓接入層交換機管理IP地址（*表示從97至102對應2至7層）
10.32.35.1、2/32 三層交換機的Loopback地址
10.32.*.1 ～ 10.32.*.251/24 各層客戶端DHCP地址范圍（*表示從97至102對應2至7層）
10.32.*.252、253/24 2號樓匯聚層交換機對應每一Vlan的IP地址（*表示從97至102對應Vlan12至17）
10.32.*.254/24 2號樓匯聚層交換機對應每一Vlan的虛擬IP地址即網關IP地址（*表示從97至102對應Vlan12至17）
10.32.96.1/27 子域伺服器IP地址
10.32.96.2/27 Mail伺服器IP地址
子公司2 10.48.*.252/24 2號樓接入層交換機管理IP地址（*表示從97至102對應2至7層）
10.48.35.1、2/32 三層交換機的Loopback地址
10.48.*.1 ～ 10.48.*.251/24 各層客戶端DHCP地址范圍（*表示從97至102對應2至7層）
10.48.*.252、253/24 2號樓匯聚層交換機對應每一Vlan的IP地址（*表示從97至102對應Vlan12至17）
10.48.*.254/24 2號樓匯聚層交換機對應每一Vlan的虛擬IP地址即網關IP地址（*表示從97至102對應Vlan12至17）
10.48.96.1/27 子域伺服器IP地址
10.48.96.2/27 Mail伺服器IP地址
子公司3 10.64.*.252/24 2號樓接入層交換機管理IP地址（*表示從97至102對應2至7層）
10.64.35.1、2/32 三層交換機的Loopback地址
10.64.*.1 ～ 10.64.*.251/24 各層客戶端DHCP地址范圍（*表示從97至102對應2至7層）
10.64.*.252、253/24 2號樓匯聚層交換機對應每一Vlan的IP地址（*表示從97至102對應Vlan12至17）
10.64.*.254/24 2號樓匯聚層交換機對應每一Vlan的虛擬IP地址即網關IP地址（*表示從97至102對應Vlan12至17）
10.64.96.1/27 子域伺服器IP地址
10.64.96.2/27 Mail伺服器IP地址

四、系統需求
本項目的實施目的是在集團內部建立穩定、高效的辦公自動化網路，通過項目的實施，為所有員工配置桌面PC，使所有員工能通過總部網路接入Internet，從而提高所有員工的工作效率和加快企業內部的信息傳遞。同時需要建立集團的WEB伺服器，用於在互聯網上發布企業的信息。在總部及每個子公司均設立專用的伺服器，使集團內所有員工能夠利用伺服器方便的訪問公共的文件資源，並能夠完成企業內外的郵件收發。系統建立完成後，要求能滿足企業各方面應用的要求，包括辦公自動化、郵件收發、信息共享和發布、員工賬戶管理、系統安全管理等。
1．系統要求
① 集團原有少量筆記本電腦及PC機，由各級經理及財務部門使用，操作系統均為Windows98，為了滿足企業信息化建設的需要，集團將在本項目中更新所有的操作系統。本項目中的操作系統應選擇占市場份額最大的主流操作系統，整個網路（伺服器、客戶機）採用同一廠商的操作系統產品，所選擇的操作系統應簡單蝗用，便於安裝和管理。具體選擇應依據如下規則：
 操作系統要求選擇最新版本
 所選操作系統需要提供方便的更新與升級方法
 伺服器操作系統需要能夠提供目錄服務功能
 伺服器及客戶機操作系統都需要支持TCP/IP協議
 所選操作系統應能夠方便的實現用戶和許可權的管理
 秘選操作系統應能夠運行常用的大多數應用軟體，例如辦公軟體、圖像處理軟體、CAD財務軟體等
 伺服器操作系統應能夠提供WEB、FTP、DNS服務及完善的管理功能
 操作系統廠商應能夠提供優質的售後服務及技術支持
 客戶端操作系統要求簡單易用，提供圖形界面
② 隨著集團近年來的高速發展，集團的業務已經涉及到各個商業領域，集團及公司內部的組織結構也日益復雜，在本項目的設計實施過程中，要求工程實施方在規劃系統設計時，充分考慮到集團管理的需求，設計出合理的系統管理架構，能夠最大程度的降低集團的系統管理上的成本，並能滿足各種商務工作的需求，具體的設計應依據以下原則：
 清晰的邏輯結構：要求集團范圍內的系統管理結構清晰，層次分明，能夠充分的與集團的管理結構想吻合。集團總部及各個子公司應是相對獨立的管理單元。各個單位在自己公司范圍內實現用戶賬戶及網路安全的管理。總部管理員有許可權管理各子公司的系統。
 便於管理：整個系統設計要便於網路管理員管理，在系統中提供便於管理員管理的各種有效方式。使管理員工在任何一個位置均能對伺服器進行維護和管理。集團總部及各子公司都有自己的專職系統管理員，應保障管理員對只對本公司網路具有管理許可權。總部管理員對集團所有系統具有管理許可權。
 簡單的設計：在保障滿足集團需求的前提下，設計方案應以簡單為佳，避免由於復雜的設計增加工程實施的難度和增加集團系統管理的復雜性。
 合理的用戶管理：所有的用戶採用統一的命名規范，每個單位對本單位員工賬戶進行獨立的管理，並按不同的部門管理用戶賬戶。
2．網路和應用服務
① WEB服務
隨著企業業務的不斷拓展，集團在業界的影響力越來越大，越來越多的商業合作夥伴和客戶需要從互聯網上了解集團的信息，並希望通過互聯網進行商務合作。為了進一步提高企業知名度並在互聯網發布集團及子公司的商業信息，集團計劃在網路中建立WEB伺服器，集團已經宴請了域名gzlk.local。集團下屬子公司教育公司也在Internet上注冊了域名gzlke.com。其他子公司不需要建立自己的WEB伺服器。所有的網站內容已經製作完畢。詳細的需求如下所述：
 集團WEB伺服器放置在總部機房，教育公司WEB伺服器放置在該公司機房
 WEB服務應和操作系統具有良好的兼容性，避免由於服務的不兼容影響性能和穩定性
 WEB伺服器具有固定的IP地址配置
 WEB網站允許匿名訪問
 網站的文件存儲應具備良好的安全性
 允許互聯網及集團內部的用戶可以通過www.gzlk.local訪問集團及子公司網站
② FTP服務
為了實現集團內部的文件存儲和管理，集團計劃採用兩種方式管理文件資源，總部及各子公司設立自己的文件伺服器，上項工作由各單位的系統管理員自行完成。另外，總部及各子公司建立自己的FTP伺服器，此項工作包含在本項目中，由工程實施單位完成。FTP服務的建立要求具備足夠的存儲空間用於存儲各單位的文檔資料及應用軟體並能夠實現利用FTP客戶端軟體及WEB瀏覽器訪問。具體的需求如下所述：
 FTP伺服器具有固定的IP地址
 採用所選操作系統自帶的FTP服務建立FTP伺服器，不採用第三方軟體
 FTP伺服器允許本公司內部員工下載
 只允許系統管理員上傳文件到FTP伺服器
 FTP伺服器不對互聯網用戶開放
 FTP伺服器需要設置合理的許可權，保障公用文件不被非法的刪除和改寫
③ 郵件服務
隨著集團規模的不斷擴大，企業內部的信息交流變得越來越重要，企業迫切的需要建立內部的消息傳遞平台，用於讓員工之間方便的傳輸各種文件、數據和其他消息。集團計劃在本項目中利用郵件服務實現企業內部的消息傳遞平台，需要在集團總部及各子公司建立郵件伺服器，允許所有員工方便的收發電子郵件。並且通過集團的郵件伺服器，員工也可以和外部的用戶之間收發電子郵件。具體的需求如下：
 總部及各子公司均建立郵件伺服器
 集團內的郵件服務之間能夠互相轉發郵件
 每名員工均有公司統一分配的郵箱
 所有員工能夠利用自己的電子郵件與外部用戶通信
 所有員工發送郵件附件的大小不能超過4MB
 所有員工能夠利用outlook、outlook express、web瀏覽器收發郵件

這是 第2 種

目 錄
一、 項目實施拓撲圖

二、 設備命名規范
為了便於管理以及方面日後的維護，本實施方案對集團網路所使用的網路設備進行統一命名。在實際的實施過程中，網路設備按照命名規則完成命名後，將以標簽的方式粘貼在設備的顯要位置。
實行統一命名的設備類型包括：
 樓層接入交換機
 匯聚層交換機
 集團核心交換機
命名規則見下表
表1
設備類型 命名規則 說明 示例
樓層接入交換機 B?_F?_S??_T???? B？：表示樓號
F？：表示樓層號
S？？：表示該樓層中的交換機號，為了以後的擴展性考慮，交換機號用兩位數字表示
T????：表示交換機型號 B1_F2_S03表示1號樓2樓的第3台交換機
匯聚層交換機 B?_D_S??_T????
M_D_S??_T????
I_D_S??_T???? D：表示匯聚層
M：表示伺服器區塊
I：表示網際網路接入區塊
其餘同上 B1_D_S02表示1號樓第2台主交換機
M_D_S01表示伺服器區塊第1台主交換機
I_D_S01表示網際網路接入區塊第1台主交換機
集團核心交換機 C_S?? C：表示核心層
其餘同上 C_S01表示核心層第1台交換機

三、 設備管理口令
配置設備口令，是防止非授權人員更改網路系統的配置的重要手段。
要為所有的設備設置口令，對於網路設備需要為每一台設備設置CONSOLE口令、AUX口令、VTY口令、特權口令等。
對於口令的設置，需要制定管理制度並嚴格執行，口令管理制度包括口令的設置、保管、更改以及口令的強度等內容。
 口令強度
口令強度決定了口令被破譯的難度，是口令安全性的基本保障。從集團本身對網路安全性的要求來考慮，口令強度為一般性的強口令即可。
口令要求採用10－12位口令，該口令必須是數字和字母的組合，其中字母的個數不能少於4個。字母可以為大寫和小寫字母。
例如：XinWF7002
 口令設置
從安全的角度出發，最佳方案是為每一台設備設置不同的口令。但是從實際的工作需要出發，也可以對每一分公司的同一類型的設備設置相同的口令，便於管理和日常的維護。口令需要定時或不定時地進行經常性修改

對於口令的保管必須遵從嚴格的管理規范。口令的保管方式同上口令設置表。
口令原則上只能由系統管理員保管，保管的介質為紙質和電子兩種。
為了防止系統管理員丟失口令，每次發生口令更新以後，對於紙質口令資料，系統管理員進行封存。對於電子的口令資料，系統管理員需要保存在特定伺服器的專用目錄中。該目錄只有系統管理員能夠訪問。
 口令更改
為了減少口令發生泄漏或者被破譯的可能性，對於口令需要不定期進行修改。但是核心交換機口令必須至少90天修改一次，匯聚層、伺服器區塊和網際網路接入區塊交換機口令必須至少180天修改一次，接入層交換機口令必須至少360天修改一次。
一旦懷疑口令已經發生了泄漏，必須在12小時能對所有設備口令進行修改。
口令的更改由系統管理員進行，更改記錄填寫《網路設備口令更改單》，《網路設備口令更改單》的格式如下表所示：
表 3
網路設備口令更改單
更改事由
更改設備編號 更改日期
備注

操作人：

網路設備更改單完成後，系統管理員必須同時更新口令設置表，然後將更新後的口令設置表以及網路設備更改單同時保存。

四、 IP地址分配方案
根據集團公司的規模，集團內部網採用A類私有地址10.0.0.0/8。
為了管理方便除了伺服器、路由器等設備需要固定IP外，所有客戶端用戶均從DHCP伺服器上自動獲取IP地址。

五、 交換機管理地址分配
參見表4中相關項目

六、 路由器地址分配
由於本方案中採用三層交換機來實現路由器的功能，所以沒有單獨採用路由器。

七、 測試要求
為了保證網路設備正常使用，在網路設備配置完成後，需要進行網路設備連接測試。
測試要求：
 路由表正確
 各交換機之間兩兩互相執行Ping操作可以成功
各交換機之間兩兩互連，當其中的某一條連接鏈路失效的時候，交換機之間仍然可以互相Ping通。

八、 各種設備配置步驟（見PPT）
交換機的配置
交換機的配置步驟如下：
 所有的交換機之間連接的埠需要配置成為TRUNK。
配置命令：Switchport Trunk
 配置VIP域。啟用V2版本。

VTP模式為：各機構匯聚層交換機配置VTP Mode Server，接入層交換機配置為VTP Mode Client。


增加VLAN，配置VLAN名稱，將所屬埠加入到相應的VLAN中
在匯聚層交換機上創建Vlan，具體參見下表：
表 6
Vlan號 Vlan名稱 命令 說明
1 B？－NM Vlan 1 name B？－NM 設置IP用於管理交換機
10 B？－HL Vlan 10 name B？－HL 連接互聯網介面
11 B？－F2 Vlan 11 name B？－F2 連接2樓交換機
12 B？－F3 Vlan 12 name B？－F3 連接3樓交換機
13 B？－F4 Vlan 13 name B？－F4 連接4樓交換機
14 B？－F5 Vlan 14 name B？－F5 連接5樓交換機
15 B？－F6 Vlan 15 name B？－F6 連接6樓交換機
16 B？－F7 Vlan 16 name B？－F7 連接7樓交換機
說明：
、 分別表示1號樓、2號樓、3號樓、4號樓、5號樓、6號樓。

、 B?_D_S01和B?_D_S02交換機之間的兩條鏈路要能夠同時傳送數據，提高網路帶寬，同時需要減少中繼埠上不必要的流量，提高網路的性能。
在B?_D_S01和B?_D_S02交換機上啟用VTP Prunning

、 配置B?_F2_S01交換機，使得它到B?_D_S??的上行鏈路中的一條失效發生時，能夠有效減少對終端網路用戶的影響。
在B?_F2_S01交換機上配置上行速鏈路，當檢測到轉發鏈路發生失效時，可使交換機上一個阻斷的埠幾乎立刻開始進行轉發。
配置方法：B?_F2_S01（config）# Spanning-tree uplinkfast

、 每台交換機的F0/11都是用來連接伺服器的埠，需要配置速埠。
B?_F2_S01（config）# int F0/11
B?_F2_S01（config-if）# spanning-tree portfast

、 B?_D_S??可以增刪VLAN配置，而B?_F2_S01交換機不能增刪VLAN的配置。採取措施，使得當一台新的交換機接入網路的時候不能自動加入域；將交換機上不使用的埠關閉；以提高網路的安全性。
配置接入層交換機和匯聚層交換機的VTP功能具體配置參見表

、 配置所有交換機的VLAN1介面。
所有交換機的F0/01作為Vlan1介面
WINDOWS SERVER 2003架設配置

1. 在安裝完WINDOWS 2003伺服器上用dcpromo命令創建域；

① 開始安裝
② 在安裝時選擇：否，只在這台計算機上安裝並配置DNS，成為第一台的首選DNS伺服器；
③ 正在創建域寫入硬碟中；
④ 完成區域網中的第一台域控制器的安裝，點擊完成；

2. 在總公司的伺服器上建立首選DNS伺服器，將各子域的域添加到總公司的首選DNS伺服器中；
① 正向區域的配置：
② 在反向域區域添加相應的指針，確保能夠通過IP查找域名；

3. 總經理和各部門的經理不需要繼承他所屬部門的組策略，在另一個OU里添加他們，賦予他們能監督自己部門里的員工工作情況，而總經理就可以監督整個域里的員工工作情況。

OU分配圖如下：

① 創建經理OU；

② 創建人事部OU；

③ 創建市場部OU；

4. 為了增加安全性和容易管理，在伺服器里創建必需的域組策略和本地組策略，策略如下：
① 密碼策略
 啟用密碼必須滿足復雜性要求.
 密碼長度不小於7位.
 密碼最長保留為30天.
 密碼過期期限為50天

② 帳戶鎖定策略.
 帳戶鎖定閥值為5次無效登錄

③ 審核策略
 啟用審核登錄事件
 啟用審核對象訪問

④ 用戶配置-Internet Explorer維護-連接
 代理設置：代理伺服器設置：IP地址容後寫 埠：9999

⑤ 在用戶配置的軟體設置里將所有需要安裝的軟體指派給域的用戶，只要員工登錄域時就會全部全部安裝到他們本地的機器。

⑥ 更新組策略用gpupdate命令

5. 根據該公司的情況創建每個所屬的OU，而且在方案中採用AGDLP和AGUDLP策略。在每個域中創建全局組，用於組織本域的賬戶；在每個域中創建域本地組，用於完成許可權的指派。在本域內的許可權分配，可以使用AGDLP策略，在域間的許可權分配，使用AGUDLP策略，依次將用戶賬戶加入全局組，將全局組加入到通用組，再將通用組加入到域本地組，最後可以根據需要將許可權授予指定的域本地組。

『伍』 企業網路安全需要怎樣設置!

為了讓你的系統變為銅牆鐵壁，應該封閉這些埠，主要有：TCP 135、139、445、593、1025 埠和 UDP 135、137、138、445 埠，一些流行病毒的後門埠（如 TCP 2745、3127、6129 埠），以及遠程服務訪問埠3389。下面介紹如何在WinXP/2000/2003下關閉這些網路埠：
第一步，點擊「開始」菜單/設置/控制面板/管理工具，雙擊打開「本地安全策略」，選中「IP 安全策略，在本地計算機」，在右邊窗格的空白位置右擊滑鼠，彈出快捷菜單，選擇「創建 IP 安全策略」（如右圖），於是彈出一個向導。在向導中點擊「下一步」按鈕，為新的安全策略命名；再按「下一步」，則顯示「安全通信請求」畫面，在畫面上把「激活默認相應規則」左邊的鉤去掉，點擊「完成」按鈕就創建了一個新的IP 安全策略。

第二步，右擊該IP安全策略，在「屬性」對話框中，把「使用添加向導」左邊的鉤去掉，然後單擊「添加」按鈕添加新的規則，隨後彈出「新規則屬性」對話框，在畫面上點擊「添加」按鈕，彈出IP篩選器列表窗口；在列表中，首先把「使用添加向導」左邊的鉤去掉，然後再點擊右邊的「添加」按鈕添加新的篩選器。

第三步，進入「篩選器屬性」對話框，首先看到的是定址，源地址選「任何 IP 地址」，目標地址選「我的 IP 地址」；點擊「協議」選項卡，在「選擇協議類型」的下拉列表中選擇「TCP」，然後在「到此埠」下的文本框中輸入「135」，點擊「確定」按鈕（如左圖），這樣就添加了一個屏蔽 TCP 135（RPC）埠的篩選器，它可以防止外界通過135埠連上你的電腦。

點擊「確定」後回到篩選器列表的對話框，可以看到已經添加了一條策略，重復以上步驟繼續添加 TCP 137、139、445、593 埠和 UDP 135、139、445 埠，為它們建立相應的篩選器。

重復以上步驟添加TCP 1025、2745、3127、6129、3389 埠的屏蔽策略，建立好上述埠的篩選器，最後點擊「確定」按鈕。

第四步，在「新規則屬性」對話框中，選擇「新 IP 篩選器列表」，然後點擊其左邊的圓圈上加一個點，表示已經激活，最後點擊「篩選器操作」選項卡。在「篩選器操作」選項卡中，把「使用添加向導」左邊的鉤去掉，點擊「添加」按鈕，添加「阻止」操作（右圖）：在「新篩選器操作屬性」的「安全措施」選項卡中，選擇「阻止」，然後點擊「確定」按鈕。

第五步、進入「新規則屬性」對話框，點擊「新篩選器操作」，其左邊的圓圈會加了一個點，表示已經激活，點擊「關閉」按鈕，關閉對話框；最後回到「新IP安全策略屬性」對話框，在「新的IP篩選器列表」左邊打鉤，按「確定」按鈕關閉對話框。在「本地安全策略」窗口，用滑鼠右擊新添加的 IP 安全策略，然後選擇「指派」。

『陸』 如何配置網路伺服器安全

伺服器的安全設置很重要，所以相對也會很繁瑣，需要進行的操作有很多：
系統漏洞掃描與修復；管理員賬號、來賓賬號、普通賬號、影子賬號的優化保護系
統不被黑客惡意添加或修改；
對IIS下的ASP、ASPX網站相關的EXE和DLL文件進行保護操作防止網站被惡意上傳和特殊許可權的運行；
對系統文件夾下
的關鍵二進制文件進行保護操作，確保存儲的DLL文件和以及其他用於支持、配置或操作的文件的安全；對系統文件夾下的文件進行保護操作，防止系統文件被修
改，以確保系統的正常運行；
對用戶配置信息的文件夾進行保護操作，以防止用戶當前桌面環境、應用程序設置和個人數據信息的泄露；
對資料庫進行許可權優化以及
安全加固；
停止了類似Remote Registry（遠程修改注冊表服務） Remote Desktop Help Session
Manager（遠程協助服務）
這種不必要的服務，以防被黑客利用，降低安全隱患；
關閉135和445這類用於遠程過程調用，區域網中輕松訪問各種共享文件夾或共享列印機的埠；
禁止掉
ICP空連接功能，以防止連接者與目標主機建立無需用戶名與密碼的空連接造成的風險出現；
配置backlog，提高網路並發性及網路的處理能力；
優化設置
SYN-ACK等待時間，檢查無效網關用以提高網路性能；
檢查TCPIP協議棧IGMP堆棧溢出本地拒絕服務、檢查ICMP重定向報文，並進行優化操作，
防止被用於攻擊；
禁止路由發現功能，用以防止ICMP路由通告報文帶來的增加路由表紀錄的攻擊；
限制處於TIME_WAIT狀態的最長時間，使運行的應用
程序可以更快速地釋放和創建連接；
卸載掉wshom.ocx組件和shell32.dll組件，防止默認允許asp運行、exe可執行文件帶來的安全隱
患；
禁止掉系統自動啟動伺服器共享的功能，用以防止伺服器上的資源被共享功能泄露出去。
在手動配置的同時也可以安裝伺服器安全狗進行相應的設置，能夠更加的完善伺服器的安全設置，並且伺服器安全狗也能給伺服器提供實時防護，一舉兩得，新手和老手同樣適合使用，免費又安全。建議可以去試試
我的伺服器用的是小鳥雲的，性能穩定，訪問很流暢。