局域网安全控制实施方案及安全产品部署

目录1引言111项目背景112国内外现状113项目意义114项目实现方法12局域网的概论、网络结构分类及特点221局域网概念222局域网的组成及功能223局域网的拓扑结构分类及特点2231总线型网2232星型网3233环型网4234混合型拓扑结构524无线网络结构531局域网网络结构6311XX信息服务公司的局域网6312网络结构632网络应用633网络结构的特点633网络系统安全风险分析74局域网安全控制实施方案及安全产品部署841物理安全的防范控制842系统安全的防范控制8421计算机网络设备系统的安全配置8422计算机操作系统的安全配置843企业邮件系统安全的解决方案1044网络安全的防范控制1145应用安全的防范控制135局域网安全控制措施测试1651测试方案16结论18致谢19参考文献201引言11项目背景随着计算机技术的飞速发展，办公信息化和设备数字化的不断普及，企业网络的建设也越来越重要。目前我国大多企业都已经搭建了公司的局域网，用于实现办公自动化和网络化，从提高办公效率，为企业创造更多的效益。但随之而来的计算机网络安全问题也日益突出，局域网的安全问题引起了我们的重视，局域网内网的安全隐患给我们带来了许多麻烦，来自网络内部的计算机客户端的安全威胁缺乏必要的安全管理措施，安全威胁较大。未经授权的网络设备或用户就可能通过到无线局域网的网络设备自动进入网络，形成极大的安全隐患。很多有线网络中的安全策略在无线方式下不再适用。局域网在带来巨大应用便利的同时，也存在许多安全上的问题。为了确保各项工作的安全高效运行，保证网络信息的安全，计算机网络和系统安全建设就显得尤为重要。这也是本课题研究的意义和目的。12国内外现状国外现状国外的信息安全研究起步较早，早在20世纪70年代美国就在网络安全技术基础理论研究成果“计算机保密模型BEULAPADUH模型”的基础上，提出了“可信计算机系统安全评估准则TESEC”以及后来的关于网络系统数据库方面的相关解释，形成了安全信息系统体系结构的准则。安全协议作为信息安全的重要内容，处于发展提高阶段，仍存在局限性和漏洞。另外基于计算机运算速度的不断提高和网络安全要求的不断提升，各种安全技术不断发展，网络安全技术21世纪将成为信息安全的关键技术。国内现状近期，国内反病毒厂商江民科技进行了一项针对我国中小企业局域网状况的调查，调查对象包括北京、广东、武汉等十余个城市的中小企业。报告显示全国有7804的中小型企业局域网中都存在病毒威胁，仅有2196的企业拥有良好的网络环境，在所有参与调查的企业中，有1575的企业局域网中没有任何的防护措施，8148的企业只安装了单机版杀毒软件。所以在国内局域网的安全现状还是非常的突出，也极大地影响公司的发展与形象。13项目意义通过对局域网的结构功能等内容的了解，对局域网所面临的安全进行分析，并提出相应的解决方案，对网络安全的防范技术做了分析和比较。在介绍网络安全概念及其产生原因的基础上，介绍了各种安全产品的信息技术及其在局域网信息安全中的作用和地位，特别是对加强安全应采取的应对措施做了较深入的阐述。14项目实现方法通过对路由器，交换机，服务器等设备的设置，提出了对物理设备的安全解决方案。通过对WINDDOWS2003SERVER系统管理实施，提出了系统信息安全的解决方案。通过对WINDOWSEXCHANGESERVER2003系统的实施，提出了邮件系统安全的解决方案。通过的WINDOWSISASERVER2004系统实施，提出了网络系统安全的解决方案。通过江民科技企业版杀毒软件系统实施，提出了应用安全管理的解决方案。2局域网的概论、网络结构分类及特点21局域网概念局域网（LOCALAREANETWORK）是在一个局部的地理范围内如一个学校、工厂和机关内，将各种计算机。外部设备和数据库等互相联接起来组成的计算机通信网。它可以通过数据通信网或专用数据电路，与远方的局域网、数据库或处理中心相连接，构成一个大范围的信息处理系统。简称LAN，是指在某一区域内由多台计算机互联成的计算机组。“某一区域”指的是同一办公室、同一建筑物、同一公司和同一学校等，一般是方圆几千米以内。局域网可以实现文件管理、应用软件共享、打印机共享、扫描仪共享、工作组内的日程安排、电子邮件和传真通信服务等功能。局域网是封闭型的，可以由办公室内的两台计算机组成，也可以由一个公司内的上千台计算机组成。22局域网的组成及功能局部网络的构成并不复杂，一般由微机及外部设备、通讯控制信息传输的接口机及相应的网络管理软件等四大部分组成。要把多台个人计算机连接起来，构成局部网络，必须使用一定的联网硬件。最简单的联网硬件是插入个人计算机的网络接口插件和将这些网络插件连接起来的电缆系统。LAN最主要的功能是提供资源共享和相互通信，它可提供以下几项主要服务资源共享包括硬件资源共享、软件资源共享及数据库存共享。在局域网上各用户可以共享昴贵的硬件资源，如大型外部存储器、绘图仪、激光打印机、图文扫描仪等特殊外设。用户可共享网络上系统软件和应用软件，避免重复投资及重复劳动。网络技术可使大量分散的数据能被迅速集中、分析和处理，分散在网内的计算机用户可以共享网内的大型数据库而不必重要设计这些数据库。数据传送和电子邮件数据和文件的传输是网络的重要功能，现代局域网不仅能传送文件、数据信息，还可以传送声音、图像。局域网站点之间可提供电子邮件服务，某网络用户可以输入信件并传送给另一用户，收信人可打开“邮箱”阅读处理信件并可写回信再发回电子邮件，既节省纸张又快捷方便。提高计算机系统的可靠性局域网中的计算机可以互为后备，避免了单机系统的无后备时可能出现的故障导致系统瘫痪，大大提高了系统的可靠性，特别在工业过程控制、实时数据处理等应用中尤为重要。易于分布处理利用网络技术能将多台计算机连成具有高性能的计算机系统，通过一定算法，将较大型的综合性问题分给不同的计算机去完成。在网络上可建立分布式数据库系统，使整个计算机系统的性能大大提高。23局域网的拓扑结构分类及特点局域网通常是分布在一个有限地理范围内的网络系统，一般所涉及的地理范围只有几公里。局域网专用性非常强，具有比较稳定和规范的拓扑结构。常见的局域网拓朴结构如下计算机局域网一般采用四种基本拓扑结构总线型、星型、环型、和树型结构。231总线型网在总线型网中所有入网的、计算机设备共用一条传输线路，如图231所示。计算机通过专用的分接头接入线路。由于线路对信号的衰减作用，总线型网仅用于在有限的区域内组建局域网。总线型拓扑结构采用竞争方式传送信息，总线上所有计算机共享网络带宽，网上计算机越多，速度越慢，而且会因总线上某个结点接触不好，影响网络的正常通信，网络不易维护。随着交换机的功能不断提高，人们已不再采用总线方式组建局域网总线形结构网络是将各个节点设备和一根总线相连。网络中所有的节点工作站都是通过总线进行信息传输的。作为总线的通信连线可以是同轴电缆、双绞线，也可以是扁平电缆。在总线结构中，作为数据通信必经的问好线的负载能量是有限度的，这是由通信媒体本身的物理性能决定的。所以，总线结构网络中工作站节点的个数是有限制的，如果工作站节点的个数超出总线负载能量，就需要延长总线的长度，并加入相当数量的附加转接部件，使总线负载达到容量要求。总线形结构网络简单、灵活，可扩充性能好。所以，进行节点设备的插入与拆卸非常方便。另外，总线结构网络可靠性高、网络节点间响应速度快、共享资源能力强、设备投入量少、成本低、安装使用方便，当某个工作站节点出现故障时，对整个网络系统影响小。因此，总线结构网络是最普遍使用的一种网络。但是由于所有的工作站通信均通过一条共用的总线，所以，实时性较差。图231总线型网络232星型网星型网是以一台中心处理机为主而构成的网络，其它入网的计算机设备与该中心处理机之间有直接的物理链路，所有网上传输的信息均需通过该中心处理机转发，如图232所示。目前，大多数企业的局域网从物理连接上都采用星型结构，将上网的计算机连到一台或多台交换机上，构成星型结构或树型结构。这种结构是目前在局域网中应用得最为普遍的一种，在企业网络中几乎都是采用这一方式。星型网络几乎是ETHERNET（以太网）网络专用，它是因网络中的各工作站节点设备通过一个网络集中设备（如集线器或者交换机）连接在一起，各节点呈星状分布而得名。这类网络目前用的最多的传输介质是双绞线，如常见的五类线、超五类双绞线等。这种拓扑结构网络的基本特点主要有如下几点容易实现它所采用的传输介质一般都是采用通用的双绞线，这种传输介质相对来说比较便宜，如目前正品五类双绞线每米也仅15元左右，而同轴电缆最便宜的也要200元左右一米，光缆那更不用说了。这种拓扑结构主要应用于IEEE8022、IEEE8023标准的以太局域网中；节点扩展和移动方便节点扩展时只需要从集线器或交换机等集中设备中拉一条线即可，而要移动一个节点只需要把相应节点设备移到新节点即可，而不会像环型网络那样“牵其一而动全局”；维护容易一个节点出现故障不会影响其它节点的连接，可任意拆走故障节点；采用广播信息传送方式任何一个节点发送信息在整个网中的节点都可以收到，这在网络方面存在一定的隐患，但这在局域网中使用影响不大；网络传输数据快这一点可以从目前最新的1000MBPS到10G以太网接入速度可以看出。这种结构的网络是各工作站以星形方式连接起来的，网中的每一个节点设备都以中防节为中心，通过连接线与中心节点相连，如果一个工作站需要传输数据，它首先必须通过中心节点。由于在这种结构的网络系统中，中心节点是控制中心，任意两个节点间的通信最多只需两步，所以，能够传输速度快，并且网络构形简单、建网容易、便于控制和管理。但这种网络系统，网络可靠性低，网络共享能力差，并且一旦中心节点出现故障则导致全网瘫痪。图232星型网络233环型网在环型网中入网的计算机通过通信设备接入网络，每个通信设备仅与两个相邻的通信设备有直接的物理链路，所有的通信设备及其物理链路构成了一个环状的网络系统，如图233所示。环形拓扑可以用于组建局域网和广域网。环形结构是网络中各节点通过一条首尾相连的通信链路连接起来的一个闭合一闭合环形结构网。环形结构网络的结构也比较简单，系统中各工作站地位相等。系统中通信设备和线路比较节省。在网中信息设有固定方向单向流动，两个工作站节点之间仅有一条通路，系统中无信道选择问题；某个结点的故障将导致物理瘫痪。环网中，由于环路是封闭的，所以不便于搁充，系统响应延时长，且信息传输效率相对较低。这种结构的网络形式主要应用于令牌网中，在这种网络结构中各设备是直接通过电缆来串接的，最后形成一个闭环，整个网络发送的信息就是在这个环中传递，通常把这类网络称之为“令牌环网”。实际上大多数情况下这种拓扑结构的网络不会是所有计算机真的要连接成物理上的环型，一般情况下，环的两端是通过一个阻抗匹配器来实现环的封闭的，因为在实际组网过程中因地理位置的限制不方便真的做到环的两端物理连接。这种拓扑结构的网络主要有如下几个特点这种网络结构一般仅适用于IEEE8025的令牌网（TOKENRINGNETWORK），在这种网络中，“令牌”是在环型连接中依次传递。所用的传输介质一般是同轴电缆。这种网络实现也非常简单，投资最小。可以从其网络结构示意图中看出，组成这个网络除了各工作站就是传输介质同轴电缆，以及一些连接器材，没有价格昂贵的节点集中设备，如集线器和交换机。但也正因为这样，所以这种网络所能实现的功能最为简单，仅能当作一般的文件服务模式。传输速度较快在令牌网中允许有16MBPS的传输速度，它比普通的10MBPS以太网要快许多。当然随着以太网的广泛应用和以太网技术的发展，以太网的速度也得到了极大提高，目前普遍都能提供100MBPS的网速，远比16MBPS要高。维护困难从其网络结构可以看到，整个网络各节点间是直接串联，这样任何一个节点出了故障都会造成整个网络的中断、瘫痪，维护起来非常不便。另一方面因为同轴电缆所采用的是插针式的接触方式，所以非常容易造成接触不良，网络中断，而且这样查找起来非常困难，这一点相信维护过这种网络的人都会深有体会。扩展性能差也是因为它的环型结构，决定了它的扩展性能远不如星型结构的好，如果要新添加或移动节点，就必须中断整个网络，在环的两端作好连接器才能连接。图233环形型网络234混合型拓扑结构这种网络拓扑结构是由前面所讲的星型结构和总线型结构的网络结合在一起的网络结构，这样的拓扑结构更能满足较大网络的拓展，解决星型网络在传输距离上的局限，而同时又解决了总线型网络在连接用户数量的限制。这种网络拓扑结构同时兼顾了星型网与总线型网络的优点，在缺点方面得到了一定的弥补。24无线网络结构无线局域网，也被称为WLAN（WIRELESSLAN），一般用于宽带家庭，大楼内部以及园区内部，典型距离覆盖几十米至几百米，目前采用的技术主要是80211A/B/G/N系列。WLAN利用无线技术在空中传输数据、话音和视频信号，作为传统布线网络的一种替代方案或延伸。无线局域网的出现使得原来有线网络所遇到的问题迎刃而解，它可以使用户任意对有线网络进行扩展和延伸。只要在有线网络的基础上通过无线接入点、无线网桥、无线网卡等无线设备使无线通信得以实现。在不进行传统布线的同时，提供有线局域网的所有功能，并能够随着用户的需要随意的更改扩展网络，实现移动应用。无线局域网把个人从办公桌边解放了出来，使他们可以随时随地获取信息，提高了员工的办公效率。一般而言，对比于传统的有线网络，无线局域网的应用价值体现在可移动性由于没有线缆的限制，用户可以在不同的地方移动工作，网络用户不管在任何地方都可以实时地访问信息。布线容易由于不需要布线，消除了穿墙或过天花板布线的繁琐工作，因此安装容易，建网时间可大大缩短。组网灵活无线局域网可以组成多种拓扑结构，可以十分容易地从少数用户的点对点模式扩展到上千用户的基础架构网络。成本优势这种优势体现在用户网络需要租用大量的电信专线进行通信的时候，自行组建的WLAN会为用户节约大量的租用费用。在需要频繁移动和变化的动态环境中，无线局域网的投资更有回报。企业实际局域网结构总体分析本安全解决方案的目标是以XX信息服务公司为例，在不影响XX当前业务的前提下，实现对局域网全面的安全管理，内容包括公司重要文件的安全、保密，避免信息泄密。对电脑操作系统、ERP系统进行管理设置，加强审计跟踪，及时发现问题，解决问题。通过网络检测系统等方式实现实时安全监控，利用各种形式安全策略，提供对企业用户进行整体化管理，提高局域网安全性使网络管理员能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态，最大限度地减少损失。在所有服务器、用户电脑上安装相应的防病毒软件，由系统控制台统一控制和管理，实现全网统一防病毒。将公司内所有的硬件、软件及安全策略等方法结合起来，构成一个统一的防御系统，有效阻止非法用户进入公司网络，减少网络的安全风险。31局域网网络结构网络概况,如图311所示。图311网络结构311XX信息服务公司的局域网是一个信息点较为集中的百兆局域网络系统，它所联接的现有信息点为XX公司各部门提供了一个快速、方便的信息共享与交流的平台。不仅如此，通过ADSL、专线与INTERNET的连接，打通了一扇通向外部世界的窗户，各个部门可以直接通过互联网与客户进行交流、联系；操作ERP等应用系统、查询资料等。通过公开的MSN、QQ、邮件服务器，企业可以直接对外发布信息或者发送电子邮件。从而达到节约通信成本、优化资源的目的。312网络结构整个局域网按访问区域可以划分为三个主要的区域INTERNET区域用户通过代理服务器，共享ADSL进行上网、网络传真、应用MSN、企业QQ、了解最新信息等。内部网络区域ERP、金蝶、企业邮箱及打印共享的应用。公开服务器区域ERP服务器、文件服务器、邮件服务器等32网络应用XX信息服务公司的局域网目前为用户提供如下主要应用文件共享、办公自动化、WWW服务、电子邮件服务、沟通与联络等。重要文件数据的统一存储与拷贝。财务系统、ERP系统等的应用。提供与INTERNET的访问、MSN、QQ等在线联系。通过公开服务器对外发布企业信息、发送电子邮件等。移动办公，包括手提电脑的应用，或员工出差时使用的其它电脑。33网络结构的特点从安全风险考虑，XX信息公司网络有如下几个特点网络与INTERNET直接连结，因此存在许多与INTERNET连结的有关风险，包括可能通过INTERNET传播进来病毒，黑客攻击，来自INTERNET的非授权访问等。网络中存在公开服务器，由于公开服务器对外必须开放部分业务，因此在进行安全方案设计时应该考虑采用安全服务器网络，避免公开服务器的安全风险扩散到内部。33网络系统安全风险分析带有目的的员工将给公司造成不可估量的损失对于已经离职的不满员工，可以通过定期改变口令和删除系统记录以减少这类风险。但还有心怀不满的在职员工，这些员工比已经离开的员工能造成更大的损失，例如他们可以通过邮件、QQ、盗用同事密码等手段，传出至关重要的信息、泄露安全重要信息、错误地进入数据库、删除数据等等。网络平台风险分析网络结构的安全涉及到网络拓扑结构、网路状况及网络的环境等。公开服务器面临的威胁XX企业局域网内公开服务器区（ERP、EMAIL、文件服务等服务器）作为公司的信息发布平台，一旦不能运行或者受到攻击，对企业的声誉影响巨大。同时公开服务器本身要为外界服务，必须开放相应的服务；因此，对INTERNET安全做出有效反应变得十分重要。我们有必要将公开服务器、内部网络与外部网络进行隔离，避免网络结构信息外泄；同时还要对外网的服务请求加以过滤，只允许正常通信的数据包到达相应主机，其他的请求服务在到达主机之前就应该遭到拒绝。同时还需要对服务器的重要数据进行定期维护，备份。以达到服务器出现问题后及时采取相对应的急救措施。系统安全风险分析主要是指操作系统、应用系统的安全性以及网络硬件平台的可靠性。对于操作系统的安全防范可以采取如下策略对操作系统进行规范、统一的安全配置，提高系统的安全性。系统内部调用不对INTERNET公开。关键性信息不直接公开，尽可能都采用安全性高的WINDOWS2003操作系统。网络上的服务器和网络设备尽可能不采取同一家的产品；并对服务器进行定期备份。应用安全风险分析主要考虑ERP系统的应用，确保用户的合法性；应该严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。另外，在加强主机和系统漏洞检测并紧密注视其BUG；对扫描软件不断升级。互联网病毒风险分析计算机病毒一直是计算机安全的主要威胁。能在INTERNET上传播的新型病毒，例如通过EMAIL传播的病毒，增加了这种威胁的程度。病毒的种类和传染方式也在增加，国际空间的病毒总数已达上万甚至更多。当然，查看文档、浏览图像或在WEB上填表都不用担心病毒感染，然而，下载可执行文件和接收来历不明的EMAIL文件需要特别警惕，否则很容易使系统导致严重的破坏。典型的“冲击波”病毒就是一个可怕的例子。通过前面我们对这个企业局域网络结构、应用及安全威胁分析，可以看出其安全问题主要集中在对重要文档资料的管理、服务器的安全保护、防黑客和病毒以及重要网点的保护上。因此，我们必须采取相应的安全措施杜绝安全隐患，其中应该做到ERP、金蝶、各部门重要文档等数据的安全保护。ERP、用友、各部门重要文档等数据的数据备份与恢复。EMAIL、FTP文件服务器与ERP公开服务器的安全保护，防止公司重要资料与文件的外泄，防止黑客从外部攻击入侵检测与监控。信息审计与记录。病毒防护。网络的安全管理。4局域网安全控制实施方案及安全产品部署通过对网络的全面了解，按照安全策略的要求、风险分析的结果及整个网络的安全目标，整个网络措施应按系统体系建立。具体的安全控制系统由以下几个方面组成物理安全的防范控制、系统安全的防范控制、邮件系统安全的防范控制、网络安全的防范控制、应用安全的防范控制41物理安全的防范控制电脑系统的各种设备的物理安全是整个信息系统安全的前提，物理安全是保护电脑网络设备、设施以及其它媒体免遭水灾、火灾，电击等环境事故以及人为操作失误或错误导致的破坏过程。42系统安全的防范控制421计算机网络设备系统的安全配置路由器的安全配置路由器设置安全登录密码。尽量关闭TELENT远程登录，保证路由器密码安全。利用路由器路由协议的安全配置和访问控制策略，禁止和关闭如PING、FINGER、ARPPROXY等一些公司不必要的服务，减少外部网络的恶意攻击，利用建立访问控制列表实现网络不被非法访问，加强网络安全屏蔽。对于拥有无线网络功能的路由器要求做到，隐藏、更改、关闭SSID无线广播，通过WEP或WPA设置无线登录密码，禁用DHCP的IP自动分配功能，使用手动分配IP并建立IP访问列表，防止非法用户进入局域网。对路由器的配置文件进行备份。交换机的安全配置通过交换机进行网络流量控制，避免网络堵塞。安全交换机进行采用专门技术防范DDOS攻击，防止内部网络遭受恶意攻击。交换机虚拟局域网功能VLANVLAN可以跨越一个或多个交换机，设备之间与物理位置无关，VLAN限制了各个不同VLAN之间的非授权访问，提高了网络访问的安全性，IP与MAC地址绑定可以限制用户的非法访问及IP地址欺骗攻击。交换机的IDS入侵检测功能还可以对数据流进行检测，在发现网络安全事件时，进行有针对性的操作。对交换机的操作配置文件进行备份。422计算机操作系统的安全配置对公司的操作系统使用以服务器为WINDOWS2003SERVER，客户端为WINDOWSXP的域模式的系统结构，对公司系统安全进行配置，操作系统的安全配置公司局域网以WINDOWSSERVERS2003为服务器，WINDOWSXP为工作站位的单域结构模式组成，公司的每一个员工都必须有一个账户，才能登录到计算机和服务器，并且访问网络上的资源，通过服务器相关的设置来达到对公司各级别员工使用系统和网络的权限控制服务器建立DC（域控制器）。建立AD活动目录。建立OU组织单位。建立用户并按部门加入不同权限级别的OU或组。为每个用户设置密码，并修改用户账户属性“账户”选项卡中可以更改用户登录名、密码策略和账户策略，在“账户”选项卡中，可以控制用户的登录时间和只能登录哪些服务器或计算机。单击“登录时间”按钮，可在如图426所示的对话框中设置登录时间。同时可以通过单击“登录到”按钮，控制用户只能登录哪些服务器或计算机如图421和422所示。图421创建用户图422账户登录设置服务器文件系统格式采用NTFS文件系统，标准NTFS权限分别为读取、写入、读取和运行、修改、完全控制。我们可以将服务器上的公用和共享文件设置不同的访问权限，允许或拒绝某个用户或用户组的访问，如图423所示图423访问权限同时NTFS文件系统的EFS（文件加密系统）功能可以将文件以加密形式存放在磁盘上，一般情况下只有加密的用户自己可以打开加密的文件，由于解密信息时存储在加密用户账户的信息中，所以即使一个具有完全控制权限的管理员登录，也不能访问此文件。而且对于加密文件的存取过程也是透明的，就像访问其他没有加密的文件一样，如图424（默认颜色为绿色）所示图424文件加密使用域安全策略及组策略对用户的密码长度，复杂性，密码使用期限等选项进行设置，提高用户账户安全如图425所示图425账户安全使用WINDOWSSERVER2003中的NTBACKUP工具对用户数据及系统数据进行备份，还可以使用备份工具中的计划备份功能对数据进行定期自动备份，如图426所示。图426计划备份8磁盘安全管理为提高存储数据的磁盘的物理安全性，WINDOWSSERVER2003中的磁盘管理功能可以将磁盘设为镜像卷或RAID5卷，提高磁盘数据的容错功能，那么即使在服务器的某一块磁盘出现物理损坏的情况下，系统依然可以将丢失的数据进行部分或完全还原。43企业邮件系统安全的解决方案对于广大的企业来说，电子邮件无疑是一个很重要的通信工具，用户对电子邮件作为生产力工具是越来越依赖，但是公司邮箱太多的垃圾邮件，严重影响工作，许多垃圾邮件还带有多种病毒，邮件病毒破坏系统数据及盗窃邮件信息的情况时有发生，对公司造成极大的负面影响。因此我们通过在DC域控制器上安装EXCHANGESERVER2003邮件系统及客户端安装OUTLOOK2003,并且通过对EXCHANGESERVER2003的安全配置来提高企业邮件系统的安全性。在DC域控制器上安装EXCHANGESERVER2003邮件系统以及相关的组件和服务客户端安装OUTLOOK2003创建EXCHANGE邮箱用户、联系人和组，根据邮箱用户所属公司的部门加入不同的组，并对拥有不同权限的用户邮箱分别进行权限设置。如图431和图432所示。图431传递限制图432存储限制对EXCHANGE服务器的公用文件夹创建安全的系统策略。对邮件进行数字签名或加密，防止数据泄密，提高邮件的安全性。使用OUTLOOK2003客户端反垃圾邮件技术通过对邮件的发件人地址的过滤、对收件人地址的过滤、对邮件主题的过滤、对邮件内容关键字的过滤、邮件头信息的过滤以及创建邮件规则来实现对垃圾邮件的过滤，如图433所示。图433邮件过滤关闭服务器OPENRELAY功能，避免成为传递和转发垃圾邮件的中转站。44网络安全的防范控制ISASERVER2004是目前世界上最好的路由级软件防火墙之一，它可以让企业网络安全、快速的连接到INTERNET，性能可以和硬件防火墙媲美，并且深层的应用层识别功能是很多基于包过滤的硬件防火墙都不具有的。在网络的任何地方，如两个或多个网络的边缘层（LAN到INTERNET、LAN到LAN、LAN到DMZ、LAN到VPN等等）、单个主机上配置ISASERVER2004来对企业的网络或主机进行防护，而且其图形化操作界面让企业网络管理员更容易、更快速的掌握和使用ISASERVER2004的各项强大功能来实现企业网络的安全防范控制设定访问规则设定访问规则，如图441所示。图441ISA访问规则建立防火墙系统策略和建立访问策略，以允许或拒绝具有相对应权限用户的访问，如图442和图443所示。图442ISA系统策略图443ISA访问策略ISASERVER的系统和网络监控、报告通过ISA控制台的“监视”节点，可以了解到ISA的日志、内部客户和ISA服务器之间的会话、ISA的系统服务运行情况，还可以通过日志来查询当前的网络活动，也可以配置连接性检查和生成网络活动的报告如图444所示为ISASERVER当前的系统和网络运行状况。图444ISA运行情况使用访问规则向导来禁止某些内部用户访问某些网站对需要禁止上网的客户建立一个地址范围或者计算机集；然后为禁止这些用户访问的那些站点建立一个地址范围或域名集。在防火墙策略中新建一个访问规则；阻止内部的这些计算机集访问定义的外部站点地址范围或域名集。禁止使用P2P软件利用控制规则配置禁止UDP8000端口地址集和HTTP80端口地址集，禁P2P软件发布内部网络中的服务器利用防火墙策略新建服务器发布规则，发布内网中的服务器，并利用设置访问规则决定该服务器有哪些人可以访问。如图445所示。图445ISA服务器发布利用ISASERVER2004，建立VPN服务器通过配置VPN服务器，可以让在远程的公司异地办公人员利用公司分配的登录账号方便的访问公司内部网络的数据，如图446所示。图446ISA建立VPN规则45应用安全的防范控制针对计算机病毒的泛滥和危害公司采用部署安装江民杀毒软件KV网络版，对公司局域网中的服务器和客户端进行病毒防护。WEB方式登陆管理页面。江民杀毒软件KV网络版，采用IIS信使进行配制，有效的增加了控制中心的安全性和稳定性。WEB方式的登陆界面，将保证所有可连接主控中心机器的客户端都能正常的进行登陆,增加验证码安全认证，保障账号在网络内使用的安全性。先进的体系结构。KV网络版采用了先进的分布式的体系结构，使用了B/S（浏览噐/服务噐）和C/S（客户端/服务器）两种模式进行通讯和管理，B/S模式用于控制和管理方面，使用该模式控制中心进行全网控制和管理更加方便、快捷；C/S模式用于通讯方面，该模式使客户端和主控中心在通讯方面更加稳定。移动管理功能网络管理员只要拥有管理员口令，就可以通过IE浏览器，实现对整个网络上所有计算机的集中管理，清楚地掌握整个网络环境中各个节点的病毒状态，既方便管理员管理，又可以有效地减少网络安全风险，最大限度地为用户的网络系统提供了可靠的安全解决方案。支持INTELAMT（ACTIVEMANAGEMENTTECHNOLOGY）技术的使用。KV网络版支持最先进的INTELAMT（ACTIVEMANAGEMENTTECHNOLOGY）技术，通过控制中心控制支持AMT技术的客户端计算机，实现远程开机，客户端计算机资产的管理等功能，方便管理员对远端计算机执行远程故障排除与恢复、显著减少现场维修量，进而提高工作效率，可以有效的掌握客户端的病毒库和系统漏洞补丁的更新时间，而且不影响客户端的正常工作。完备的远程控制、权限集中管理KV网络版提供了强大的远程控制功能，用户通过控制中心不仅可以方便的在网络中的其它计算机上安装和卸载KV网络版，而且可以通过控制中心管理页面对网络中所有安装了客户端的计算机进行远程杀毒、查毒、设置、升级操作，此外加强了病毒的日志显示功能。不但减轻了管理员的工作负担，同时也极大的提高了管理员的工作效率。权限集中，核心管理权限集中在控制中心，管理员通过不同权限的账户登录江民控制中心，获得相应的操作权限，可方便的实现对全网进行集中控制。远程管理通过网络版控制中心，对客户端进行远程管理，通过分组设置，对于不同的组进行相应的网络设置和权限分配，实现智能化管理分级分组管理。密码保护通过管理员权限设置保护密码，对客户端的卸载、修改、退出、关闭监控、控制网站、移动存储设置进行密码管理，增强客户端的防病毒能力。全网开机、关机、重启管理通过控制中心对安装网络版客户端的计算机实现全网或者单独计算机执行远程开机（仅限支持INTELAMT技术）、远程关机，客户端重新启动的操作。远程报警局域网中任何一台计算机上发现病毒时，KV杀毒软件自动将病毒信息传递给网络管理员，智能的记录系统将会对病毒进行分类统计。未安装客户端检测该功能可使主控中心主动进行全网搜索可安装的计算机，并显示在界面中的未安装组。另外还可以使网络管理员对网内计算机的统计及查询提供便利。全网统一杀毒网络管理员可以在任一台计算机上，通过登陆控制中心页面对全网络的计算机进行查杀病毒；也可对指定的计算机及指定工作组查杀病毒,甚至没有开机的客户端也会在下次开机的第一时间自动开始扫描工作。全网统一升级网络版管理员可以在任一台计算机上，通过控制中心页面对全网的计算机进行升级管理，也可以指定特定的计算机和工作组进行升级操作，默认情况下，控制中心会自动执行定时升级操作，控制中心升级成功后，会自动向客户端发送升级指令，进行全网升级。方便的分级、分组管理利用KV网络版的分级、分组管理功能，管理员可以在控制中心，对多个网段进行统一管理，这样不但显著的减少了繁重的重复性工作，同时极大的提高了管理效率，并且可有效降低企业的开销。管理账户分级管理管理员账户和普通账户分工严谨分明。对大型网络进行分级、跨地域、跨网段布防。不同的权限针对多样化的客户端管理方案；客户端分组管理全新的组管理模式，管理员只需新建逻辑组，即可对客户端进行统一的集中式分类管理，并可以实现随意迁移。功能实用的客户端KV网络版的客户端具有非常实用的功能。客户端迁移如果管理员建立了组信息。此选项将被自动激活，用户可以依照网络环境将相应的一台或者多台计算机随意迁移到相应分组内，以便实现集中化的管理。IP自动分组通过对组进行管理，首先选择一个需要设置的组，设置一个迁移的IP地址段，客户端安装后会自动识别组设置中的IP地址信息，自动进行分组操作。文件下发对远程客户端下发文档，远程执行程序等操作。当有重大的病毒爆发时，江民主站会及时的公布专杀工具，主控中心可以通过此功能将工具及时的下发下去进行扫描操作。该功能也增加了网络内传输文件的安全性，避免了当网络内的计算机通过共享文件夹进行文件互换时而被病毒侵入的情况发生。隔离带毒客户端对于已经中病毒的客户端，控制中心可以通过断开网络连接的功能，将带毒客户端进行隔离，防止病毒继续扩散。集中式管理、分步式杀毒。KV网络采用先进的分布式管理技术，调用每个节点各自的杀毒软件对该计算机上所有文件进行全面查杀病毒，使各节点计算机可以脱离主控中心独立工作，因为江民杀毒软件KV网络版的每一个节点都有一个独立的杀毒引擎。由于不在网络上传输文件，既保障了每个节点使用者的隐私，又大大提高了全网查杀病毒的效率。控制中心结合移动性极强的控制中心页面实现全网方便管理局域网内任意一台计算机均可登陆控制管理页面。网络管理员通过帐号和口令使用管理控制页面，即可清楚地掌握整个网络环境中各个节点客户端的病毒监测状态，对局域网进行远程集中式安全管理。5局域网安全控制措施测试51测试方案通过公司内各个岗位的员工的工作性质设定具有针对性的访问规则，测试各安全软件在实际工作过程中的安全性。测试方案1、计划部员工张三的工作报告只允许市场部的所有员工浏览，其他部门无权限浏览测试方法在文件服务器上创建名为计划部的共享文件夹，在共享权限中添加OU计划部，访问权限为完全控制，并在访问权限中删除其他所有用户和组。张三将其工作报告传至该文件夹测试结果当计划部经理张斌访问服务器中该文件夹中的工作报告时，可以正常打开读取和修改该报告，而当市场部员工李四尝试访问该文件夹时，系统出现”您可能没有权限使用该网络资源，请与该服务器的管理员联系以查明您是否有访问权限”的错误提示。测试方案2市场部员工李四的邮箱设置自动筛选垃圾邮件，同时收到的邮件自动转发一份给市场部经理李明阅览。测试方法EXCHANGE服务器上建立联系人李四的电子邮件，选择“SMTP地址“，点确定。然后在常规选项卡里的电子邮件地址中输入转发到李明的邮件地址。选择“账户”“属性“”常规“选项卡中选择“传输选项“，在“转发到“里选择李明的邮件地址，然后选择“将邮件同时传递到转发地址和原始收件人邮箱。并在李四的OUTLOOK客户端“工具”“规则和通知”选项中“主题或正文中包含特定语句”栏内输入“特价促销”，在“将主题中包含的特定语句的邮件移至文件夹”选择“垃圾邮件”测试结果当行政部员工赵洪给李四发送一份邮件主题为“本周会议安排”的邮件时，当李四打开邮箱时收到了该邮件，当市场部经理李明打开邮箱时也同时收到了李四转发的主题为“本周会议安排”的邮