構建企業網絡安全方案設備安全、VPN、QOS、服務器 李燕子摘要：互聯網給我們帶來了極大的便利。但是，隨著互聯網的空前發展以及互聯網技術的普及，使我們面臨另外提個困境：私人數據、重要的企業資源以及政府機密等信息被暴露在公共網絡空間之下，伴隨而來的網絡安全問題越來越引起人們的關注。計算機系統一旦遭受破壞，將給使用單位造成重大經濟損失，并嚴重影響正常工作的順利開展。加強企業網絡安全工作，是一些企業建設工作的重要工作內容之一。本文主要分析了企業的網絡結構和一些基本的安全情況，包括系統安全的需求分析、概要設計，詳細設計分析等，重點針對企業網絡中出現的網絡安全問題，作了個簡單介紹。對有關安全問題方面模塊的劃分，解決的方案與具體實現等部分關鍵詞：拓撲 物理安全 VPN技術 QOS技術 容災備份 服務器安全. 引言隨著互聯網的空前發展以及互聯網技術的不斷普及，企業的重要數據信息都被暴露在公共網絡空間下，很容易丟失或者被一些不法人士獲取。由于黑客的攻擊、病毒的入侵、以及人為操作的不當等，都有可能威脅到重要信息數據，這些危害也越來越受到人們的重視。因此，根據企業的實際情況建立一套切實可行的安全網絡方案來改善這個情況，使企業的數據機密信息得以保護，并且可以保證企業的網絡順暢的工作，有助于公司的長遠發展。目錄摘要11. 引言11.1本課題的研究意義21.2本論文的目的、內容22. 企業網絡現狀及設計目標（需求分析）22.1概述22.2實際網絡的特點及目前企業網絡優缺點分析42.3設計目標43. 要解決的幾個關鍵問題53.1研究設計中要解決的問題53.2針對現在網絡中出現的網絡安全問題，本課題所作的改善設計54. 系統設計關鍵技術64.1.目標具體實現中采用的關鍵技術及分析64.2設計實現的策略和途徑描述84.3 設計模型及系統結構（新的拓撲圖）95. 系統實現技術9概述95.1物理設備安全95.2 VPN技術115.3 訪問控制列表與QOS技術145.4服務器的安全141.1本課題的研究意義本課題的研究意義在于研究企業網絡的安全解決方案以及實際的應用方法，是整個企業網絡安全設計的指南，是為公司做出一套正確有效的網絡安全方案的重點。本需求的閱讀者是公司企業網絡管理方面的決策人，操作應用人員。1.2本論文的目的、內容本論文的目的是為企業提出一個有效的網絡安全方案，使企業的網絡上的安全威脅降到最低。從企業的設備配置安全、系統軟件的安全、以及放火墻與入侵檢測等來保證企業的網絡安全。2. 企業網絡現狀及設計目標（需求分析）2.1概述中國國內目前的企業需要的網絡安全產品不僅僅是簡單的安裝，更重要的是要有針對復雜網絡應用的一體化解決方案，如：網絡安全、病毒檢測、網站過濾等等。其著眼點在于：國內外領先的廠商產品；具備處理突發事件的能力；能夠實時監控并易于管理；提供安全策略配置定制；是用戶能夠很容易地完善自身安全體系。然而，有網絡的地方就有安全的問題。過去的網絡大多是封閉式的，因而比較容易確保其安全性，簡單的安全性設備就足以承擔其任務。然而，當今的網絡已經發生了變化，確保網絡的安全性和可用性已經成為更加復雜而且必需的任務。用戶每一次連接到網絡上，原有的安全狀況就會發生變化。所以，很多企業頻繁地成為網絡犯罪的犧牲品。因為當今網絡業務的復雜性，依靠早期的簡單安全設備已經對這些安全問題無能為力了。網絡攻擊在迅速地增多：網絡攻擊通常利用網絡某些內在特點，進行非授權的訪問、竊取密碼、拒絕服務等等。考慮到業務的損失和生產效率的下降，以及排除故障和修復損壞設備所導致的額外開支等方面，對網絡安全的破壞可能是毀滅性的。此外，嚴重的網絡安全問題還可能導致企業的公眾形象的破壞、法律上的責任乃至客戶信心的喪失，并進而造成的成本損失將是無法估量的。2.1.1項目概述：（1）待改企業描述本文的企業為一個早期玩具制造和銷售企業，希望能具有競爭力并提高生產效率，這就必須對市場需求作出及時有力的響應，從而引發了依賴互聯網來獲取、共享信息的趨勢，這樣才能進一步提高生產效率進而推動未來增長。本方案旨在使公司的網絡更安全，以保證企業安全和減少安全問題帶來的損失。可以快速的對網絡攻擊做出反應。（2）功能此方案可讓企業保證硬件設備減少安全隱患，公司重要信息不被人獲取，應對突發的安全情況能力大大加強。（3）用戶特點本方案的對象是企業的職工、網絡管理人員、技術處工作人員、公司領導、信息中心系統管理人員和維護人員。（4）一般約束這是一個針對企業網絡各方面進行調整的方案，不可避免要受于布線地理位置和系統安裝的兼容性的限制。（5）假設依據本方案具有較高的可靠性和安全保密性。網絡性能穩定，不出差錯。在具體實施方面，應該由企業網絡相關專業人員進行管理，本方案只負責具體的實施方法建議。應對用戶定義不同的使用權限，技術處負責大部分管理。不能由其他人進行查看更改。2.1.2性能需求為了保證系統能夠長期、安全、穩定、可靠、高效的運行，企業網絡安全方案應該滿足以下需求：（1） 系統處理的全面性和及時性方案的全面性和處理事件的及時性是必要的性能。從各個方面考慮到可能受到的網絡攻擊，做好全方面的補救和抵御措施。且在發生突發情況下能及時的補救，保證企業網絡的正常運行。（2） 系統方案的可擴充性在方案的設計過程中，應該充分考慮系統的可擴充性，為以后企業的發展，網絡設備的擴充，提供良好條件。（3） 系統的易用性和易維護性在完成這套方案之后，只需要技術人員在硬件上做好管理措施、系統上及時更新升級，以及做好備份工作。（4） 方案的標準性方案在設計過程中，要涉及很多計算機硬件、軟件。所有這些都要符合主流國際、國家和行業標準。列如要用到的操作系統、網絡設備以及軟件、技術都要符合通用的標準。2.2實際網絡的特點及目前企業網絡優缺點分析圖2-1 公司的原拓撲圖如圖，上圖為一玩具企業的大概網絡拓撲圖，經過分析，公司網絡主要分為4個部分，一部分為工廠生產網絡，一部分是負責銷售、網站維護和構想玩具工作等的寫字樓辦公網絡，另兩部分為領導決策的主網絡以及公司的服務器群。其優點是結構簡單靈活可靠性高，共享性強,適合于一點發送、多點接收的場合，容易擴展網絡，使用的電纜少，且安裝容易。缺點是安全行不高，維護不方便，分支節點出現故障會影響整個網絡。其網絡的交換機路由器已經經過一部分設置與設備NAT技術，使公司內部合理通信訪問，工廠辦公地點不能上網，員工辦公階段時間性的上網，領導辦公沒有限制。這都有效提高了公司的工作質量與安全性，我們在這基礎上，再設置一些安全措施，設計出一套完整的安全解決方案。2.3設計目標根據實際情況，全方面的找出并解決企業存在的各方面安全問題，從網絡的硬件設備的安全以及配置、系統防御軟件檢測防御、流量控制優先級（QOS技術）、以及數據的加密傳輸、簽名認證和遠程專用網絡，以及合理應用內外防火墻，達到最大限度保證企業信息的安全，以及網絡的通信順暢。注：NAT技術NAT英文全稱是“Network Address Translation”，中文意思是“網絡地址轉換”，它是一個IETF(Internet Engineering Task Force, Internet工程任務組)標準，允許一個整體機構以一個公用IP（Internet Protocol）地址出現在Internet上。顧名思義，它是一種把內部私有網絡地址（IP地址）翻譯成合法網絡IP地址的技術。簡單的說，NAT就是在局域網內部網絡中使用內部地址，而當內部節點要與外部網絡進行通訊時，就在網關（可以理解為出口，打個比方就像院子的門一樣）處，將內部地址替換成公用地址，從而在外部公網（internet）上正常使用，雖然地址轉換技術設計的目的是為了節省IP地址，但是客觀上，這種技術對網絡外部隱藏了一個網絡內部的地址結構，加大了內網的安全。QOS技術QoS的英文全稱為Quality of Service，中文名為服務質量。QoS是網絡的一種安全機制,是用來解決網絡延遲和阻塞等問題的一種技術。用于衡量使用一個服務的滿意程度。QoS不是創造帶寬，而是管理帶寬，因此它能應用得更為廣泛，能滿足更多的應用需求。QoS的目標是要提供一些可預測性的質量級別，以及控制超過目前IP網絡最大服務能力的服務3. 要解決的幾個關鍵問題3.1研究設計中要解決的問題3.1.1設備、服務器、流量控制（1）從拓撲圖上可知，類似總線型的網絡拓撲結構，存在著明顯的安全問題，如果其中一臺交換機設備出現故障，將嚴重影響網絡的正常運行，這是很大的安全隱患。（2）保證物理設備的安全，也沒有針對一些突發情況的保護措施，以保證網絡的隨時通暢，容災備份（3）外部訪問企業內部網絡，共享資源，沒有一個好的安全保護措施。（4）QOS流量服務控制，保證網絡通順（5）服務器的安全非常重要3.1.2應用系統軟件系統的安全存在問題，沒有好的軟件工具防御外來攻擊，列如垃圾病毒郵件的防御。3.1.3防火墻因為本企業對網絡安全的不重視，還未安裝外部防火墻，不能防御控制外來的攻擊。3.2針對現在網絡中出現的網絡安全問題，本課題所作的改善設計3.2.1改善設計（1）改善其拓撲結構，把各設備協同工作時的隱患降到最低。（2），對物理設備實施保護措施，擁有少量備用和擴充的設備，建立流量控制措施，達到遇到突發情況從容面對，加以保證網絡的正常運行。（3）采用現有的最有效安全的虛擬專用網絡（VPN）技術，達到外部訪問內部資源時的安全。（4）QOS流量服務和ACL訪問控制，保證網絡通順（5）打造服務器安全3.2.2系統軟件擁有一些安全的系統和防御、殺毒、篩選檢測工具，達到最大限度防御外來攻擊。采用身份人證和數據加密，保護郵件安全，再及時更新漏洞補丁隨著電子郵件的普及和應用，伴隨而來的電子郵件安全方面問題也越來越多的引起人們的關注。我們已經認識到電子郵件用戶所面臨的安全性風險變得日益嚴重。病毒、蠕蟲、垃圾郵件、網頁仿冒欺詐、間諜軟件和一系列更新、更復雜的攻擊方法，使得電子郵件通信和電子郵件基礎結構的管理成為了一種更加具有風險的行為。3.2.3防火墻、入侵檢測安裝好專業切功能強勁的防火墻，來有效防御外來黑客病毒等方面的攻擊。在兩個網絡之間加強訪問控制的一整套裝置，是內部網絡與外部網絡之間的安全防范系統通常安裝在內部網絡與外部網絡的鏈接點上。所有來自internet（外部網）的傳輸信息或從內部網絡發出的信息都必須穿過防火墻。入侵行為的發覺。它通過對計算機網絡或計算機系統中若干關鍵點收集信息，并對其進行分析，從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。行進入侵檢測的軟件與硬件的組合便是入侵監測系統。與其他安全產品不同的是，入侵檢測系統需要更多的智能，它必須可以將得到的數據進行分析，并得出有用的結果。一個合格的入侵檢測系統能大大簡化管理員的工作，保證網絡安全的運行。4. 系統設計關鍵技術4.1.目標具體實現中采用的關鍵技術及分析4.1.1 本文主要用到的2種拓撲結構：1.總線拓撲總線拓撲結構采用一個信道作為傳輸媒體，所有站點都通過相應的硬件接口直接連到這一公共傳輸媒體上，該公共傳輸媒體即稱為總線。總線拓撲結構的優點：（1）總線結構所需要的電纜數量少。（2）總線結構簡單，又是無源工作，有較高的可靠性。（3）易于擴充，增加或減少用戶比較方便。總線拓撲的缺點： （1）總線的傳輸距離有限，通信范圍受到限制。（2）故障診斷和隔離較困難。（3）分布式協議不能保證信息的及時傳送，不具有實時功能2. 星形拓撲星形拓撲是由中央節點和通過點到到通信鏈路接到中央節點的各個站點組成。星形拓撲結構具有以下優點：（1）控制簡單。（2）故障診斷和隔離容易。（3）方便服務。星形拓撲結構的缺點：（1）電纜長度和安裝工作量可觀。（2）中央節點的負擔較重，形成瓶頸。（3）各站點的分布處理能力較低。4.1.2 容災備份技術首先，要解決網絡的物理安全，網絡的物理安全主要是指地震、水災、火災等環境事故;電源故障;人為操作失誤或錯誤;設備被盜、被毀;電磁干擾;線路截獲。以及高可用性的硬件、雙機多冗余的設計、機房環境及報警系統、安全意識等。在這個企業區局域網內，由于網絡的物理跨度不大，只要制定健全的安全管理制度，做好備份，并且加強網絡設備和機房的管理，這些風險是可以避免的。這個是整個網絡系統安全的前提。容災備份：容災備份是通過特定的容災機制，在各種災難損害發生后，仍然能夠最大限度地保障提供正常應用服務的信息系統。容災備份可以分為數據備份和應用備份。數據備份需要保證用戶數據的完整性、可靠性和一致性。而對于提供實時服務的信息系統，用戶的服務請求在災難中可能會中斷，應用備份卻能提供不間斷的應用服務，讓客戶的服務請求能夠繼續運行，保證信息系統提供的服務完整、可靠、一致。一個完整的容災備份系統包括本地數據備份、遠程數據復制和異地備份中心。當然并不是所有的企業都需要這樣一個系統，只有對不可中斷的關鍵業務才有必要建立容災備份中心。4.1.3 VPN技術一個完全私有的網絡可以解決許多安全問題，因為很多惡意攻擊者根本無法進入網絡實施攻擊。但是，對于一個普通的地理覆蓋范圍廣的企業或公司，要搭建物理上私有的網絡，往往在財政預算上是不合理的。VPN技術就是為了解決這樣一種安全需求的技術。VPN的英文全稱是“Virtual Private Network”，翻譯過來就是“虛擬專用網絡”。顧名思義，虛擬專用網絡我們可以把它理解成是虛擬出來的企業內部專線。它可以通過特殊的加密的通訊協議在連接在Internet上的位于不同地方的兩個或多個企業內部網之間建立一條專有的通訊線路，就好比是架設了一條專線一樣，但是它并不需要真正的去鋪設光纜之類的物理線路。這就好比去電信局申請專線，但是不用給鋪設線路的費用，也不用購買路由器等硬件設備。4.2設計實現的策略和途徑描述本方案為局域網網絡安全解決方案，包括原有網絡系統分析、安全需求分析、安全目標的確立、安全體系結構的設計、等。本安全解決方案的目標是在不影響企業局域網當前業務的前提下，實現對他們局域網全面的安全管理：（1）將安全策略、硬件設備及軟件等方法結合起來，構成一個統一的防御系統，有效阻止非法用戶進入網絡，減少網絡的安全風險。（2） 定期進行漏洞掃描，審計跟蹤，及時發現問題，解決問題。（3） 通過入侵檢測等方式實現實時安全監控，提供快速響應故障的手段，同時具備很好的安全取證措施。（4） 使網絡管理者能夠很快重新組織被破壞了的文件或應用。使系統重新恢復到破壞前的狀態，最大限度地減少損失。（5）在工作站、服務器上安裝相應的防病毒軟件，由中央控制臺統一控制和管理，實現全網統一防病毒。4.3 設計模型及系統結構（新的拓撲圖）圖4-1 改善后的拓撲圖在原拓撲圖的基礎上，增加了重要的防火墻，并把工廠辦公子網的連接換到主交換機上，避免了員工子網交換機如果出現問題故障，導致重要生產線子網不能工作的問題。即是完全把企業的拓撲改成主流的星形拓撲結構。員工辦公子網中間也可多增加一些交換機，減輕負擔，對里面的部門分化也比較容易管理，再加上只要制定健全的安全管理制度，做好備份，并且加強網絡設備和機房的管理，就能達到在現有設備基礎上，實現網絡安全的目標。5. 系統實現技術概述確保現有的設備穩定安全的基礎上，對交換機路由器等，采用一些安全技術，進行內部網絡的設置。例如對各種設備都做了哪些修改，這些修改帶來的優勢，以達到增強網絡安全的目的。5.1物理設備安全5.1.1 容災備份從廣義上講，任何提高系統可用性的努力，都可稱之為容災（或容災備份）。本地容災就是主機集群，當某臺主機出現故障，不能正常工作時，其他的主機可以替代該主機，繼續進行正常的工作。當一處系統因災難而停止工作時，整個應用系統可以切換到另一處，使得該系統可以繼續正常工作。在建立容災備份系統時會涉及到多種技術，如：遠程鏡像技術、基于IP的SAN（存儲區域網絡）的互連技術、快照技術等。遠程鏡像技術就是遠程同步復制技術，指通過遠程鏡像軟件，將本地數據以完全同步的方式復制到異地。通過鏡像把數據備份到遠程存儲系統中，再用快照技術把遠程存儲系統中的信息備份到遠程的磁帶庫、光盤庫中。基于IP的SAN的遠程數據容災備份技術，是將主數據中心SAN中的信息通過現有的TCP/IP網絡，遠程復制到備援中心SAN中。當備援中心存儲的數據量過大時，可利用快照技術將其備份到磁帶庫或光盤庫中。5.1.2 防盜和防毀當計算機系統或設備被盜、被毀時，除了設備本身丟失或毀損帶來的損失外，更多的損失則是失去了有價值的程序和數據。因此，防盜、防毀是計算機防護的一個重要內容。通常采取的防盜、防毀措施主要有：設置報警器在機房周圍空間放置侵入報警器，侵入報警的形式主要有光電、微波、紅外線和超聲波；鎖定裝置在計算機設備中，特別是在個人計算機中設置鎖定裝置，以防犯罪盜竊；計算機保險在計算機系統受到侵犯后，可以得到損失的經濟補償，但是無法補償失去的程序和數據，為此應設置一定的保險裝置5.1.3 防止電磁泄漏發射計算機主機及其附屬電子設備如視頻顯示終端、打印機等在工作時不可避免地會產生電磁波輻射，這些輻射中攜帶有計算機正在進行處理的數據信息。抑制計算機中信息泄漏的技術途徑有兩種：一是電子隱蔽技術，二是物理抑制技術。電子隱蔽技術主要是用干擾、調頻等技術來掩飾計算機的工作狀態和保護信息；物理抑制技術則是抑制一切有用信息的外泄。物理抑制技術可分為包容法和抑源法。包容法主要是對輻射源進行屏蔽，以阻止電磁波的外泄傳播。抑源法就是從線路和元器件入手，從根本上阻止計算機系統向外輻射電磁波，消除產生較強電磁波的根源。5.1.4 防電磁干擾電磁干擾是指當電子設備輻射出的能量超過一定程度時，就會干擾設備本身以及周圍的其他電子設備的現象。計算機與各種電子設備和廣播、電視、雷達等無線設備及電子儀器等都會發出電磁干擾信號，計算機要在這樣復雜的電磁干擾環境中工作，其可靠性、穩定性和安全性將受到嚴重影響。因此，實際使用中需要了解和考慮計算機的抗電磁干擾問題，即電磁兼容性問題。5.1.5 媒介安全包括媒介數據的安全以及媒介本身的安全。對于存放重要數據的計算機設備，要有定期數據備份計劃，用磁盤、光盤等介質及時備份數據，妥善存檔保管。也要有數據恢復方案，在系統癱瘓或出現嚴重故障時，能夠進行數據恢復。5.1.6保密技術計算機系統的保密主要是指存放于磁盤上的文件、數據庫等數據存儲的保密措施，應用于這方面的技術主要有訪問控制、數據加密等。可用加密系統有數據加/解密卡、數據加密機、數據采編加密系統、抗輻射干擾器、電子印章系統等。5.2 VPN技術為了遠程訪問的快捷與安全，我們采用了VPN技術，可按照企業的情況對主路由進行配置實現。這是原本企業沒采用的方式。VPN(Virtual Private Network，虛擬專用網絡)是專用網絡的延伸，包含了類似 Internet 的共享或公共網絡連接。通過VPN可以模擬點對點專用連接的方式通過共享或公共網絡在兩臺計算機之間發送數據。它具有良好的保密和不受干擾性，使雙方能進行自由而安全的點對點連接，因此廣泛地受到網絡管理員們的關注。5.2.1 配置VPN服務器（需有路由和遠程訪問功能）：1. 開始配置：要想讓Win2000計算機能接受客戶機的VPN撥入，必須對VPN服務器進行配置。在左邊窗口中選中SERVER(服務器名)，在其上單擊右鍵，選配置并啟用路由和遠程訪問圖5-12.如果以前已經配置過這臺服務器，現在需要重新開始，則在 SERVER(服務器名)上單擊右鍵，選禁用路由和遠程訪問，即可停止此服務，以便重新配置。 3. 當進入配置向導之后，在公共設置中，點選中虛擬專用網絡(VPN)服務器，以便讓用戶能通過公共網絡(比如Internet)來訪問此服務器。 4. 一般來說，在遠程客戶協議的對話框中，至少應該已經有了TCP/IP協議，則只需直接點選是，所有可用的協議都在列表上，再按下一步即可。 5. 之后系統會要求你再選擇一個此服務器所使用的Internet連接，在其下的列表中選擇所用的連接方式(比如已建立好的撥號連接或通過指定的網卡進行連接等)，再按下一步。 6. 接著在回答您想如何對遠程客戶機分配IP地址的詢問時，除非你已在服務器端安裝好了DHCP服務器，否則請在此處選來自一個指定的IP地址范圍(推薦)。 7. 然后再根據提示輸入你要分配給客戶端使用的起始IP地址，添加進列表中，比如192.168.0.10192.168.0.20(請注意，此IP地址范圍要同服務器本身的IP地址處在同一個網段中，即前面的192.168.0部分一定要相同！)。 8. 最后再選不，我現在不想設置此服務器使用RADIUS即可完成最后的設置。此時屏幕上將自動出現一個正在開戶路由和遠程訪問服務的小窗口。當它消失之后，打開管理工具中的服務，即可以看到Routing and Remote Access(路由和遠程訪問)項自動處于已啟動狀態了。圖5-25.2.2如何賦予用戶撥入的權限：1. 想要給一個用戶賦予撥入到此服務器的權限(默認是任何用戶均被拒絕撥入到服務器上)，需打開管理工具中的用戶管理器(在計算機管理項或Active Directory用戶和計算機中)，選中所需要的用戶，在其上單擊右鍵，選屬性。2. 在該用戶屬性窗口中選撥入項，然后點擊允許訪問項，再按確定即可完成賦予此用戶撥入權限的工作。5.2.3通過局域網進行VPN連接：1.進入Win98的計算機，要想連接到VPN服務器，則需要先安裝虛擬專用網絡服務。在控制面板的網絡下，進入通訊即可找到此項并添加上去。安裝完成之后再根據提示重啟動計算機。 2. 重新啟動之后，在控制面板的網絡中就有了Microsoft 虛擬私人網絡適配器，即說明VPN服務已安裝成功！ 3. 還需要建立到VPN服務器的連接。首先進入我的電腦的撥號網絡中，雙擊建立新連接，然后在請鍵入對方計算機的名稱中輸入連接名，比如局域網內的VPN連接，在選擇設備選中Microsoft VPN Adapter項！再按下一步。 4. 接著出現請輸入VPN服務器的名稱或IP地址，在其下的文字框中輸入Win2K服務器的名字或IP地址，比如此處為192.168.0.1，再根據提示操作即可建立成功！ 5. 然后在撥號網絡中雙擊剛才建立好的局域網內的VPN連接圖標，再輸入相應的用戶名(需具有撥入服務器的權限)和密碼，再按連接按鈕。 6. 如果成功連接到了VPN服務器，此時就會像普通撥號上網成功一樣，在任務欄右下角會出現兩個小電腦的圖標，雙擊它即可出現連接狀態小窗口，在其中可以看到。 5.2.4通過Internet進行VPN連接1.首先得確保服務器已經連入了Internet，用ipconfg測出其在Internet上合法的IP地址。 2. 在Win98客戶機端參照本節上文相關內容建立一個新的VPN連接，在相應處輸入服務器在Internet上合法的IP地址，然后將客戶機端也撥入Internet，再雙擊所建立的VPN連接，輸入相應用戶名和密碼，再點連接按鈕。 3. 連接成功之后可以看到，雙方的任務欄右側均會出現兩個撥號網絡成功運行的圖標，其中一個是到Intenet的連接，另一個則是VPN的連接了。圖5-34.當雙方建立好了通過Internet的VPN連接后，即相當于又在Internet上建立好了一個雙方專用的虛擬通道，而通過此通道，雙方可以在網上鄰居中進行互訪，也就是說相當于又組成了一個局域網絡！這個網絡是雙方專用的，而且具有非常好的保密性能。 VPN建立成功之后，雙方便可以通過IP地址或網上鄰居來達到互訪的目的，當然也就可以使用對方所共享出來的資源了！5.3 訪問控制列表與QOS技術（1）在路由器上配置控制訪問列表（ACL），主要的目的是為了應用防火墻的功能。ACL是一個很好的描述數據流的方法，即它定義了區分數據流的規則。這些規則不但可以應用在路由器的防火墻功能中，同時在路由的具體實現中，ACL還可以被應用在許多需要描述數據流的場合，如NAT、QOS、策略路由等。ACL主要的功效就是在企業中，外部的網絡只有特定的用戶可以訪問內部服務器，而內部網絡中只有特定的主機才可以訪問外部的網絡，控制訪問。（2）QOS聯網服務質量，是在整個網絡連接上應用的各種通信或程序類型優先技術。QoS技術的存在是為了獲得更好的聯網服務質量。QoS是一組服務要求，網絡必須滿足這些要求才能確保適當服務級別的數據傳輸。起到很好避免網絡堵塞的目的。企業中，用控制訪問列表來限制公司內部對外的訪問，再配合上QOS的程序優先級技術，能很好的解決網絡寬帶的問題，保證企業網絡安全順暢的運行。5.4服務器的安全近些年來，服務器遭受的風險比以前更大了。越來越多的病毒，心懷不軌的黑客都將服務器作為了自己的目標。很明顯，服務器的安全問題是不容忽視的。在這里談談企業維護服務器安全的方法。5.4.1、將磁盤分區轉換成NTFS格式當服務器上的資料都存在于一個FAT的磁盤分區的時候，即使安裝上世界上所有的安全軟件也不會對你有多大幫助的。因為這個原因，你需要從基本做起。你需要將服務器上所有包含了敏感資料的磁盤分區都轉換成NTFS格式的。5.4.2、構建安全的工作站加強工作站的安全能夠提高整個網絡的安全性，我們建議初步所有工作站上使用Windows2000，Windows2000是一個非常安全的操作系統，如果不這樣做，那么至少也要安裝Windows NT.然后可以鎖定站，讓沒有安全訪問權的人不能獲得網絡配置信息。5.4.3、建立嚴格的用戶權限嚴格控制用戶