企業(yè)網(wǎng)絡(luò)安全設(shè)計(jì)論文3篇

　　以下是學(xué)習(xí)啦小編為大家?guī)淼钠髽I(yè)網(wǎng)絡(luò)安全設(shè)計(jì)論文，歡迎大家閱讀!!!

　　企業(yè)網(wǎng)絡(luò)安全設(shè)計(jì)論文一：

　　計(jì)算機(jī)系統(tǒng)一旦遭受破壞,將給使用單位造成重大經(jīng)濟(jì)損失,并嚴(yán)重影響正常工作的順利開展。加強(qiáng)企業(yè)網(wǎng)絡(luò)安全工作,是一些企業(yè)建設(shè)工作的重要工作內(nèi)容之一。本文主要分析了企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)和一些基本的安全情況,包括系統(tǒng)安全的需求分析、概要設(shè)計(jì),防火墻應(yīng)用等,重點(diǎn)針對(duì)企業(yè)網(wǎng)絡(luò)中出現(xiàn)的網(wǎng)絡(luò)安全問題,作了個(gè)介紹。對(duì)有關(guān)安全問題方面模塊的劃分,解決的方案與具體實(shí)現(xiàn)等部分.

　　一、網(wǎng)絡(luò)威脅、風(fēng)險(xiǎn)分析

　　隨著通訊技術(shù)和計(jì)算機(jī)技術(shù)的飛速發(fā)展,網(wǎng)絡(luò)正逐步成為當(dāng)今社會(huì)發(fā)展的一個(gè)主題,其改變著人們的工作方式和生活方式。網(wǎng)絡(luò)的互連性,開放性,共享性程度的擴(kuò)大,然而網(wǎng)絡(luò)的重要性和對(duì)社會(huì)的影響也越來越大主要是Internet的出現(xiàn)。隨著數(shù)字貨幣,電子現(xiàn)金,電子商務(wù)和政府上網(wǎng)以及網(wǎng)絡(luò)銀行等網(wǎng)絡(luò)行為的出現(xiàn),網(wǎng)絡(luò)安全的問題變得越來越重要。

　　(一)其他網(wǎng)絡(luò)的攻擊

　　據(jù)數(shù)據(jù)統(tǒng)計(jì),在美國網(wǎng)絡(luò)中每400封電子郵件里就有一封可能攜帶病毒。電腦病毒是如今社會(huì)網(wǎng)絡(luò)業(yè)發(fā)展的最大危害,它們往往通過電子郵件這個(gè)傳播途徑使用戶的整個(gè)電腦系統(tǒng)都處于癱瘓狀態(tài)。據(jù)“Security Portal”的報(bào)告,計(jì)算機(jī)病毒事件在1999年計(jì)算機(jī)安全問題上排名第一位,然而與計(jì)算機(jī)病毒相關(guān)的黑客問題也在其中占有相當(dāng)大的比例。從科研人員的分析結(jié)果科研看出計(jì)算機(jī)病毒的表現(xiàn)有以下新特點(diǎn):

　　當(dāng)今社會(huì)電子郵件已經(jīng)成為計(jì)算機(jī)病毒傳播的主要媒介,它的比例占所有計(jì)算機(jī)病毒傳播媒介的56%。由于電子郵件可以附帶任何類型的文件,所以幾乎所有類型的計(jì)算機(jī)病毒都可通過它來進(jìn)行快速傳播,事實(shí)上,有一些電子郵件病毒根本就沒有附件,因?yàn)樗旧砭褪且粋€(gè)HTML。在不久前出現(xiàn)的許多的計(jì)算機(jī)病毒就無需用戶打開附件就會(huì)感染文件,如果用戶的郵件可以自動(dòng)打開HTML格式的郵件,那么該計(jì)算機(jī)病毒就會(huì)立刻感染用戶的系統(tǒng)。

　　近年來由于互聯(lián)網(wǎng)的快速發(fā)展,互聯(lián)網(wǎng)出現(xiàn)了許多新一代的計(jì)算機(jī)病毒種類,比如包含蠕蟲、木馬、電子郵件計(jì)算機(jī)病毒、以及惡意ActiveX Control和Java Applets的網(wǎng)頁等黑客程序。其種類、數(shù)量正在迅速激增。同時(shí),根據(jù)最新數(shù)據(jù)統(tǒng)計(jì)計(jì)算機(jī)病毒的數(shù)量正在急劇增加,現(xiàn)在每天都有超過40種新計(jì)算機(jī)病毒出現(xiàn),因此每年的新型計(jì)算機(jī)病毒就有就有1.2萬種左右出現(xiàn),這樣的數(shù)目超過了截至1997年為止世界上計(jì)算機(jī)病毒的總數(shù)。然而最近又出現(xiàn)了很多專門針對(duì)掌上電腦和手機(jī)的計(jì)算機(jī)病毒。

　　計(jì)算機(jī)病毒造成的破壞日益嚴(yán)重。2000年5月“I Love You”情書病毒的影響,全球的損失預(yù)計(jì)已經(jīng)高達(dá)100億美元,而受CIH計(jì)算機(jī)病毒在全球造成的損失據(jù)估計(jì)已超過10億美元。對(duì)于行業(yè)的用戶當(dāng)系統(tǒng)每死機(jī)一小時(shí)其損失都在650萬美元以上,其包括電視機(jī)構(gòu)、證券公司、國際航運(yùn)公司、信用卡公司和郵購公司在內(nèi),然而對(duì)于Internet公司,尚無人能統(tǒng)計(jì)其損失的金額。

　　(二)管理及操作人員缺乏安全知識(shí)

　　我們認(rèn)為,全面的安全管理體系是由全面的安全產(chǎn)品解決方案、雇員的培訓(xùn)、事后的安全審計(jì)、安全策略制定、安全策略架構(gòu)的實(shí)施、企業(yè)系統(tǒng)風(fēng)險(xiǎn)評(píng)估、安全架構(gòu)制定等部分有機(jī)結(jié)合,構(gòu)成的完善的管理體系。全面的安全產(chǎn)品解決方案是包含在系統(tǒng)的各個(gè)方面和層次上部署相應(yīng)安全產(chǎn)品的工具。

　　現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)要加強(qiáng)系統(tǒng)的總體安全級(jí)別,必須從應(yīng)用業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)、計(jì)算機(jī)操作系統(tǒng)甚至系統(tǒng)安全管理規(guī)范,因?yàn)榘踩[患會(huì)隱藏在系統(tǒng)的各個(gè)角落,使用人員應(yīng)該考慮安全意識(shí)等各個(gè)層面統(tǒng)籌。木筒裝水的多少?zèng)Q定于最矮的木板,然而系統(tǒng)的總體安全級(jí)別就象裝在木筒中的水,系統(tǒng)安全級(jí)別的高低取決于系統(tǒng)安全管理最薄弱的環(huán)節(jié)。所以我們對(duì)系統(tǒng)安全管理應(yīng)該是多方面的、多層次的,要從網(wǎng)絡(luò)、應(yīng)用系統(tǒng)、操作系統(tǒng)各個(gè)方面來提高系統(tǒng)的安全級(jí)別,還要把原來通過管理規(guī)定由使用人員自覺維護(hù)的安全規(guī)則用系統(tǒng)來自動(dòng)實(shí)現(xiàn),來加強(qiáng)系統(tǒng)的總體安全性。

　　二、網(wǎng)絡(luò)安全總體設(shè)計(jì)

　　據(jù)統(tǒng)計(jì),在英國50%的用戶口令都是寵物名稱,而在全世界銷售的150,000套防火墻中有85%的防火墻沒有正確的配置,60%的防火墻按缺省設(shè)置安裝。然而對(duì)于系統(tǒng)安全的維護(hù)和管理需要各種層次的系統(tǒng)和安全專家才能完成。如果沒有專業(yè)人員的介入,根據(jù)實(shí)際情況對(duì)安全管理產(chǎn)品進(jìn)行詳細(xì)地配置,對(duì)于企業(yè)的策略進(jìn)行設(shè)計(jì)和安全管理規(guī)范,就算功能再強(qiáng)大的安全產(chǎn)品也會(huì)達(dá)不到非常好的安全防護(hù)作用。

　　三、安全系統(tǒng)的建設(shè)原則

　　“使入侵者花費(fèi)不可接受的金錢與時(shí)間,并且承受非常高的風(fēng)險(xiǎn)才可以闖入的系統(tǒng)叫做安全系統(tǒng)。我們認(rèn)為,絕對(duì)安全與可靠的信息系統(tǒng)并不存在。然而安全性的增加通常會(huì)導(dǎo)致企業(yè)費(fèi)用的增長,這些費(fèi)用包括系統(tǒng)復(fù)雜性增加、系統(tǒng)性能下降、操作與維護(hù)成本增加和系統(tǒng)可用性降低等等。安全不是目的而是一個(gè)過程。威脅與弱點(diǎn)會(huì)隨時(shí)間變化。然而安全的努力依賴于許多因素,例如新業(yè)務(wù)應(yīng)用的實(shí)施、職員的調(diào)整、安全漏洞和新攻擊技術(shù)與工具的導(dǎo)入。

　　企業(yè)網(wǎng)絡(luò)安全設(shè)計(jì)論文二：

　　1.網(wǎng)絡(luò)安全技術(shù)架構(gòu)策略

　　網(wǎng)絡(luò)安全建設(shè)是一項(xiàng)系統(tǒng)工程，該企業(yè)網(wǎng)絡(luò)安全體系建設(shè)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標(biāo)準(zhǔn)、相互配套”的原則組織實(shí)施，采用先進(jìn)的“平臺(tái)化”建設(shè)思想、模塊化安全隔離技術(shù)，避免重復(fù)投入、重復(fù)建設(shè)，充分考慮整體和局部的關(guān)系，堅(jiān)持近期目標(biāo)與遠(yuǎn)期目標(biāo)相結(jié)合。在該企業(yè)廣域網(wǎng)絡(luò)架構(gòu)建設(shè)中，為了實(shí)現(xiàn)可管理的、可靠的、高性能網(wǎng)絡(luò)，采用層次化的方法，將網(wǎng)絡(luò)分為核心層、分布層和接入層3個(gè)層次，這種層次結(jié)構(gòu)劃分方法也是目前國內(nèi)外網(wǎng)絡(luò)建設(shè)中普遍采用的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。在這種結(jié)構(gòu)下，3個(gè)層次的網(wǎng)絡(luò)設(shè)備各司其職又相互協(xié)同工作，從而有效保證了整個(gè)網(wǎng)絡(luò)的高可靠性、高性能、高安全性和靈活的擴(kuò)展性。

　　2.局域網(wǎng)絡(luò)標(biāo)準(zhǔn)化

　　(1)中心交換區(qū)域

　　局域網(wǎng)的中心交換區(qū)域負(fù)責(zé)網(wǎng)絡(luò)核心層的高性能交換和傳輸功能，提供各項(xiàng)數(shù)據(jù)業(yè)務(wù)的交換，同時(shí)負(fù)責(zé)連接服務(wù)器區(qū)域、網(wǎng)絡(luò)管理區(qū)域、樓層區(qū)域、廣域網(wǎng)路由器和防火墻設(shè)備等，此外還要提供分布層的統(tǒng)一控制策略功能。具體到安全防護(hù)層面，可通過部署防火墻模塊、高性能網(wǎng)絡(luò)分析模塊、入侵探測(cè)系統(tǒng)模塊實(shí)現(xiàn)安全加固。

　　(2)核心數(shù)據(jù)服務(wù)器區(qū)域

　　因?yàn)閿?shù)據(jù)大集中和存儲(chǔ)中心已經(jīng)勢(shì)在必行，可建設(shè)專門的核心數(shù)據(jù)區(qū)域，并采用2臺(tái)獨(dú)立的具有安全控制能力的局域網(wǎng)交換機(jī)，通過千兆雙鏈路和服務(wù)器群連接。在安全防護(hù)方面，可在通過防火墻模塊實(shí)現(xiàn)不同等級(jí)安全區(qū)域劃分的同時(shí)，部署DDOS攻擊檢測(cè)模塊和保護(hù)模塊，以保障關(guān)鍵業(yè)務(wù)系統(tǒng)和服務(wù)器的安全不受攻擊。

　　(3)樓層區(qū)域

　　樓層交換區(qū)域的交換機(jī)既做接入層又做分布層，將直接連接用戶終端設(shè)備，如PC機(jī)等，因此設(shè)備需要具有能夠?qū)崿F(xiàn)VLAN的合理劃分和基本的VLAN隔離。

　　(4)合作伙伴和外包區(qū)域

　　提供合作伙伴的開發(fā)測(cè)試環(huán)境、與內(nèi)部數(shù)據(jù)中心的安全連接及與Internet區(qū)域的連接通路。

　　(5)外聯(lián)網(wǎng)區(qū)域

　　企業(yè)營銷系統(tǒng)需要與銀行等外聯(lián)網(wǎng)連接，建議部署銀行外聯(lián)匯接交換機(jī)，通過2條千兆鏈路分別連接到核心交換機(jī)。并通過防火墻模塊劃分外聯(lián)系統(tǒng)安全區(qū)域。

　　(6)網(wǎng)絡(luò)和安全管理區(qū)域

　　為了對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行更加安全可靠的管理，可使用獨(dú)立的安全區(qū)域來集中管理，通過防火墻或交換機(jī)模塊來保護(hù)該區(qū)域，并賦予較高的安全級(jí)別，在邊界進(jìn)行嚴(yán)格安全控制。

　　3.統(tǒng)一互聯(lián)網(wǎng)出口

　　對(duì)于該企業(yè)的廣域網(wǎng)絡(luò)，統(tǒng)一互聯(lián)網(wǎng)絡(luò)出口，減少企業(yè)廣域網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)接口，能夠有效減少來自外網(wǎng)的安全威脅，對(duì)統(tǒng)一出口接點(diǎn)的安全防護(hù)加固，能夠集中實(shí)施安全策略。面對(duì)企業(yè)各個(gè)分支機(jī)構(gòu)局域網(wǎng)絡(luò)都與互聯(lián)網(wǎng)絡(luò)連接的局面，將會(huì)給企業(yè)廣域網(wǎng)絡(luò)安全帶來更大的威脅。由于綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)絡(luò)作為相對(duì)獨(dú)立的一個(gè)大型企業(yè)網(wǎng)絡(luò)，設(shè)置如此眾多的互聯(lián)網(wǎng)出口，一方面不利于互聯(lián)網(wǎng)出口的安全管理，增加了安全威脅的幾率;另一方面也勢(shì)必增加互聯(lián)網(wǎng)出口的租用費(fèi)用，提高了運(yùn)營成本。

　　由于該企業(yè)綜合數(shù)據(jù)網(wǎng)的骨干帶寬是622M，在綜合數(shù)據(jù)網(wǎng)絡(luò)上利用MPLS 開出一個(gè)“互聯(lián)網(wǎng)”，使各分支的互聯(lián)網(wǎng)訪問都通過這個(gè)通道建立鏈接。通過統(tǒng)一互聯(lián)網(wǎng)絡(luò)出口，強(qiáng)化互聯(lián)網(wǎng)接入?yún)^(qū)域安全控制，可防御來自Internet的安全威脅，DMZ區(qū)的安全防護(hù)得到進(jìn)一步加強(qiáng);通過提供安全可靠的遠(yuǎn)程接入，互聯(lián)網(wǎng)出口的負(fù)載均衡策略得到加強(qiáng)，對(duì)不同業(yè)務(wù)和不同用戶組的訪問服務(wù)策略控制，有效控制P2P等非工作流量對(duì)有限帶寬的無限占用，能夠?qū)ヂ?lián)網(wǎng)訪問的NAT記錄進(jìn)行保存和查詢。

　　4.三層四區(qū)規(guī)劃

　　提出“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的總體防護(hù)策略，并提出了“三層四區(qū)”安全防護(hù)體系的總體框架?；谶@一設(shè)計(jì)規(guī)范，并結(jié)合該企業(yè)網(wǎng)絡(luò)的實(shí)際情況，未來公司的網(wǎng)絡(luò)區(qū)域可以劃分為企業(yè)生產(chǎn)系統(tǒng)和企業(yè)管理信息系統(tǒng)，其中企業(yè)生產(chǎn)系統(tǒng)包括I區(qū)和II區(qū)的業(yè)務(wù);企業(yè)管理信息系統(tǒng)包括III區(qū)和IV區(qū)的業(yè)務(wù)。I區(qū)到IV區(qū)的安全級(jí)別逐級(jí)降低，I區(qū)最高，IV區(qū)最低。

　　在上述區(qū)域劃分的基礎(chǔ)上，可在橫向和縱向上采用下列技術(shù)方式實(shí)現(xiàn)不同安全區(qū)域間的隔離。

　　(1)縱向隔離

　　在未來調(diào)度數(shù)據(jù)網(wǎng)建成后，將安全區(qū)I和安全區(qū)II運(yùn)行在獨(dú)立的調(diào)度數(shù)據(jù)網(wǎng)上，安全區(qū)III和安全區(qū)IV運(yùn)行在目前的綜合數(shù)據(jù)網(wǎng)上，達(dá)到2網(wǎng)完全分開，實(shí)現(xiàn)物理隔離。在調(diào)度數(shù)據(jù)網(wǎng)中，采用MPLS 將安全區(qū)I和安全區(qū)II的連接分別分隔為實(shí)時(shí)子網(wǎng)和非實(shí)時(shí)子網(wǎng)，在綜合數(shù)據(jù)網(wǎng)中，則采用MPLS 將互聯(lián)網(wǎng)連接和安全區(qū)III及安全區(qū)IV的連接分開，分為管理信息子網(wǎng)和互聯(lián)網(wǎng)子網(wǎng)。

　　(2)橫向隔離

　　考慮到I區(qū)和II區(qū)對(duì)安全性的要求極高，對(duì)于I區(qū)和II區(qū)進(jìn)行重點(diǎn)防護(hù)，采用物理隔離裝置與其他區(qū)域隔離;而在I區(qū)和II區(qū)之間可采用防火墻隔離，配合分布式威脅防御機(jī)制，防范網(wǎng)絡(luò)威脅;考慮到III區(qū)和IV區(qū)之間頻繁的數(shù)據(jù)交換需求，III區(qū)和IV區(qū)之間視情況采用交換機(jī)防火墻模塊進(jìn)行隔離，并在區(qū)域內(nèi)部署IDS等安全監(jiān)控設(shè)備，在骨干網(wǎng)上不再分成2個(gè)不同的;由于外部的威脅主要來自于Intern過出口，因此可在全省Internet出口集中的基礎(chǔ)上，統(tǒng)一設(shè)置安全防護(hù)策略，通過防火墻與III區(qū)、IV區(qū)之間進(jìn)行隔離。

　　5.綜合數(shù)據(jù)網(wǎng)安全防護(hù)

　　綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)，主要承載了0A、95598、營銷、財(cái)務(wù)等應(yīng)用系統(tǒng)，同時(shí)也在進(jìn)行SCADA/EMS等調(diào)度業(yè)務(wù)的接入試點(diǎn)。

　　采用網(wǎng)絡(luò)安全監(jiān)控響應(yīng)中心為核心的分布式威脅防御技術(shù)，對(duì)全網(wǎng)的病毒攻擊和病毒傳播進(jìn)行主動(dòng)防護(hù)，通過關(guān)聯(lián)網(wǎng)絡(luò)和安全設(shè)備配置信息、NetFlow、應(yīng)用日志和安全事件，從中心的控制臺(tái)實(shí)時(shí)發(fā)現(xiàn)、跟蹤、分析、防御、報(bào)告和存儲(chǔ)整個(gè)企業(yè)網(wǎng)絡(luò)中的安全事件和攻擊。同時(shí)分布式威脅防御手段不但用于對(duì)綜合數(shù)據(jù)骨干網(wǎng)進(jìn)行安全防護(hù)，而且通過建立2級(jí)安全監(jiān)控響應(yīng)中心，對(duì)包括綜合數(shù)據(jù)網(wǎng)、企業(yè)本部局域網(wǎng)、分支機(jī)構(gòu)局域網(wǎng)在內(nèi)的全網(wǎng)設(shè)備進(jìn)行監(jiān)控。

　　6.總結(jié)

　　局域網(wǎng)、廣域網(wǎng)、互聯(lián)網(wǎng)以及企業(yè)網(wǎng)絡(luò)系統(tǒng)特有的三層四區(qū)架構(gòu)從技術(shù)層面形成了一套較為完備的網(wǎng)絡(luò)安全防護(hù)體系，但“三分技術(shù)、七分管理”，在進(jìn)行技術(shù)改良的同時(shí)，還需要對(duì)公司的網(wǎng)絡(luò)信息安全管理進(jìn)行相應(yīng)的優(yōu)化調(diào)整，可將目前分散化的管理模式轉(zhuǎn)變?yōu)楹虾跷磥戆l(fā)展趨勢(shì)的集中式管理模式，并通過設(shè)置專門的網(wǎng)絡(luò)信息安全管理職能部門加強(qiáng)對(duì)相關(guān)規(guī)章制度執(zhí)行效果的管控，突出安全管理主線，從而真正實(shí)現(xiàn)技術(shù)與管理的齊頭并進(jìn)，為企業(yè)營造一個(gè)高效、安全的網(wǎng)絡(luò)環(huán)境。

　　企業(yè)網(wǎng)絡(luò)安全設(shè)計(jì)論文三：

　　一、企業(yè)內(nèi)網(wǎng)通信模型

　　當(dāng)前絕大多數(shù)企業(yè)內(nèi)網(wǎng)的接入層網(wǎng)絡(luò)訪問是基于以太網(wǎng)協(xié)議規(guī)范的，常見的有10/100BaseT、100BaseFx、1000BaseT等規(guī)范。在帶寬方面支持從10Mbps到1000Mbps速率集，從線纜材質(zhì)上又分為雙絞線和光纜。企業(yè)內(nèi)網(wǎng)接入層的通信模式主要有三種：VLAN內(nèi)部通信、VLAN間通信、外網(wǎng)通信。

　　VLAN內(nèi)部通信方式主要是存在于某個(gè)VLAN中的主機(jī)與本VLAN中的其他主機(jī)進(jìn)行通信的過程。這個(gè)通信過程只需要通過第二層交換即可完成。該通信過程經(jīng)過如下幾個(gè)步驟完成：(1)通信發(fā)起方在已知接收方IP地址的情況下，對(duì)接收方IP地址及自己的子網(wǎng)掩碼進(jìn)行邏輯與運(yùn)算，以檢查接收方IP地址是否與自己處于同一網(wǎng)段。(2)因?yàn)樾枰獙?duì)數(shù)據(jù)報(bào)文在第二層數(shù)據(jù)鏈路層進(jìn)行封裝，發(fā)送方接下來會(huì)發(fā)送ARP廣播來查詢接收方的MAC地址。當(dāng)發(fā)送方發(fā)出ARP查詢報(bào)文后，由于是廣播報(bào)文，于是交換機(jī)會(huì)將該報(bào)文向除了接受該報(bào)文的接口之外的其他所有接口發(fā)出。(3)報(bào)文到達(dá)數(shù)據(jù)接受方之后，接收方會(huì)以自己的MAC地址作為回應(yīng)發(fā)送給發(fā)送方。這樣以來，發(fā)送方在本地ARP緩存表中就有了接收方的IP與MAC地址的對(duì)應(yīng)關(guān)系。

　　緩存表中包含了接收方的IP地址和MAC地址，發(fā)送方主機(jī)可以利用這些地址對(duì)應(yīng)關(guān)系進(jìn)行二層和三層封裝。PDU封裝完成后，隨即被發(fā)送給交換設(shè)備。本地交換設(shè)備通過查詢自身的MAC地址表，然后將數(shù)據(jù)幀從正確的端口上轉(zhuǎn)發(fā)出去。最終接收方收到了數(shù)據(jù)，并依據(jù)現(xiàn)有信息對(duì)數(shù)據(jù)作出回應(yīng)。

　　二、企業(yè)內(nèi)網(wǎng)安全防護(hù)體系的設(shè)計(jì)

　　企業(yè)內(nèi)網(wǎng)接入層安全防護(hù)系統(tǒng)需要滿足如下功能需求：(1)能夠及時(shí)得知接入交換機(jī)的運(yùn)行狀態(tài)，并根據(jù)運(yùn)行狀態(tài)分析網(wǎng)絡(luò)運(yùn)行是否存在ARP欺騙攻擊、DHCP欺騙攻擊、廣播風(fēng)暴攻擊行為。對(duì)攻擊信息的分析要做到全面準(zhǔn)確。對(duì)于交換機(jī)的運(yùn)行狀態(tài)獲取，需要覆蓋多個(gè)接入層樓宇，并且對(duì)交換機(jī)的日志能夠持久存儲(chǔ)以備查閱。(2)能夠確定攻擊源在接入交換機(jī)中的位置，并進(jìn)行隔離使其無法影響其他上網(wǎng)主機(jī)，對(duì)于已處理的主機(jī)可以進(jìn)行解除隔離。隔離操作的執(zhí)行需要做到直接簡便高效。攻擊主機(jī)的位置確定對(duì)用戶需要做到透明。(3)設(shè)備的控制需要對(duì)網(wǎng)絡(luò)管理員透明化，提供對(duì)多廠商交換設(shè)備的支持，控制功能需要使用公共標(biāo)準(zhǔn)協(xié)議，能夠監(jiān)控接入設(shè)備的服務(wù)狀態(tài)和IP可達(dá)狀態(tài)。并將這些狀態(tài)呈獻(xiàn)給網(wǎng)絡(luò)管理員。對(duì)于網(wǎng)絡(luò)管理員作出的針對(duì)攻擊主機(jī)的操作，能夠?qū)⑵滢D(zhuǎn)化為交換設(shè)備可以識(shí)別的指令。(4)提供安全的用戶登錄驗(yàn)證功能，能夠讓用戶使用除靜態(tài)用戶名密碼之外的第三種認(rèn)證方式，保障用戶登錄信息達(dá)到不可猜測(cè)、無法破解、登錄參數(shù)無法重復(fù)使用，有效防范帳戶密碼盜取。(5)能夠提供基本的用戶權(quán)限功能，管理員、維護(hù)員和普通用戶三層管理權(quán)限，分別對(duì)應(yīng)全部操作權(quán)限、后期維護(hù)權(quán)限、日志查看權(quán)限。對(duì)網(wǎng)絡(luò)管理員需要提供對(duì)接入網(wǎng)絡(luò)設(shè)備日志信息和攻擊主機(jī)信息的查詢，對(duì)管理員權(quán)限的用戶除提供查詢功能之外，還要提供對(duì)攻擊主機(jī)進(jìn)行隔離和解除隔離的操作功能。對(duì)于維護(hù)員來說，除了提供查詢功能外，只允許其具備對(duì)已隔離攻擊主機(jī)的解除隔離操作。上網(wǎng)用戶不具備系統(tǒng)的操作權(quán)限，只具備攻擊主機(jī)信息的查詢功能。

　　三、安全管理

　　在用戶登錄驗(yàn)證方面，本系統(tǒng)使用了基于雙因素用戶驗(yàn)證的登錄功能。用戶驗(yàn)證使用雙因素驗(yàn)證，用戶除了使用用戶名與密碼之外，還需要使用一個(gè)同步碼。同步碼是由令牌生成，與服務(wù)器上產(chǎn)生的同步碼一致。用戶登錄驗(yàn)證時(shí)，需要在特定時(shí)間段內(nèi)輸入同步碼，所以即便是用戶的密碼被盜了，也不會(huì)導(dǎo)致系統(tǒng)被攻擊，大大增強(qiáng)了系統(tǒng)的安全性。

　　網(wǎng)絡(luò)設(shè)備日志分析方面，主要研究通過SYSLOG服務(wù)，將接入層交換機(jī)的日志信息捕獲，以便于對(duì)接入交換機(jī)的運(yùn)行狀況進(jìn)行動(dòng)態(tài)分析。通過分析對(duì)接入層的三大攻擊行為進(jìn)行定位，為下一步操作做鋪墊。日志信息同步數(shù)據(jù)量極大，但對(duì)細(xì)節(jié)數(shù)據(jù)的準(zhǔn)確性要求不高，主要以大量數(shù)據(jù)宏觀分析得出結(jié)果。所以，日志信息同步功能的可靠性要比數(shù)據(jù)準(zhǔn)確性更加重要。它要能夠持續(xù)的接收分析大量數(shù)據(jù)。

　　接入網(wǎng)絡(luò)設(shè)備控制功能是系統(tǒng)同接入層網(wǎng)絡(luò)設(shè)備進(jìn)行交互的窗口，對(duì)攻擊主機(jī)進(jìn)行隔離等操作需要通過它來完成，所以它需要具備對(duì)接入層設(shè)備進(jìn)行控制操作的能力。這種能力是通過TELNET和SNMP協(xié)議完成的。本文著重研究了TELNET與SNMP的開發(fā)接口以及對(duì)設(shè)備控制功能的實(shí)現(xiàn)?？偠灾?，系統(tǒng)對(duì)日志分析功能得出的結(jié)果，最后進(jìn)行隔離操作是通過本功能直接完成的。

　　日志記錄與存儲(chǔ)方面，用戶對(duì)攻擊目標(biāo)的操作和系統(tǒng)對(duì)攻擊目標(biāo)的隔離的記錄都通過本功能完成。這個(gè)功能在實(shí)際使用過程中，主要用于攻擊目標(biāo)的事后處理。數(shù)據(jù)存儲(chǔ)功能則是將日志分析結(jié)果數(shù)據(jù)、隔離操作記錄等數(shù)據(jù)存入數(shù)據(jù)庫，由于系統(tǒng)的數(shù)據(jù)量較大，沒有使用復(fù)雜的數(shù)據(jù)持久化組件，而是單獨(dú)實(shí)現(xiàn)數(shù)據(jù)庫連接池的功能，輕量簡便。日志分析功能包含了SYSLOG套接字的創(chuàng)建，數(shù)據(jù)讀取分析兩大主要功能。其中SYSLOG套接字的創(chuàng)建主要目的是為了接收交換機(jī)發(fā)至UDP514端口的日志信息。數(shù)據(jù)分析的主要目的有兩個(gè)，一是判斷當(dāng)前網(wǎng)絡(luò)運(yùn)行是否正常，二是如果不正常，需要確定攻擊源的信息。SYSLOG套接字用于將接入交換機(jī)發(fā)來的日志信息進(jìn)行讀取，然后交與日志處理邏輯對(duì)日志進(jìn)行分割。日志處理邏輯使用正則表達(dá)式對(duì)日志分割完成后，數(shù)據(jù)分兩部分流向，日志信息本身交由數(shù)據(jù)庫存儲(chǔ)邏輯處理，另一向交由攻擊主機(jī)判定邏輯分析攻擊主機(jī)信息。對(duì)于設(shè)備控制模塊交互邏輯，當(dāng)自動(dòng)隔離攻擊主機(jī)開關(guān)打開時(shí)，向設(shè)備控制模塊發(fā)送控制指令。