解释为什么使用内部网络地址可以上网,对网络安全有何意义

关于网络安全方面的实际问题，请高手帮忙！~

用有VLAN划分功能的主交换机，将酒店内部的办公局域网和面向住店客人的网络划在不同的VLAN，内部办公网络最好采用固定IP地址，将IP地址和MAC地址在交换机上进行绑定处理。而住店客人的网段采用DHCP协议（在交换机上配就行）。设置两个VLAN互相不能访问。再将主交换机接到路由器。实现两个网段都可以上网。


如果还有预算，最好能上个单独的防火墙系统，路由器上自带的防火墙功能比较弱。

交换机投资大致在几千到万把（看总的计算机台数）
防火墙大概在几万块吧。

这种事情交给专业的网络公司做吧。交换机都可能需要用命令行调试的。

谈对网络安全的认识

近几年来，网络越来越深入人心，它是人们工作、学习、生活的便捷工具和丰富资源。但是，我们不得不注意到，网络虽然功能强大，也有其脆弱易受到攻击的一面。据美国FBI统计，美国每年因网络安全问题所造成的经济损失高达75亿美元，而全球平均每20秒钟就发生一起Internet 计算机侵入事件。在我国，每年因黑客入侵、计算机病毒的破坏也造成了巨大的经济损失。人们在利用网络的优越性的同时，对网络安全问题也决不能忽视。作为学校，如何建立比较安全的校园网络体系，值得我们关注研究。

建立校园网络安全体系，主要依赖三个方面：一是威严的法律；二是先进的技术；三是严格的管理。

从技术角度看，目前常用的安全手段有内外网隔离技术、加密技术、身份认证、访问控制、安全路由、网络防病毒等，这些技术对防止非法入侵系统起到了一定的防御作用。代理及防火墙作为一种将内外网隔离的技术，普遍运用于校园网安全建设中。

网络现状

我校是一所市一级中学，目前有两所网络教室、200多台教学办公电脑，校园网一期工程为全校教教学教研建立了计算机信息网络，实现了校园内计算机联网，信息资源共享并通过中国公用Internet网（CHINANET）与Internet互连，校园网结构是：校园内建筑物之间的连接选用多模光纤，以网管中心为中心，辐射向其他建筑物，楼内水平线缆采用超五类非屏双绞线缆。3Com 4900交换机作为核心交换机；二级交换机为3Com 3300。

安全隐患

当时，校园网络存在的安全隐患和漏洞有：

1、校园网通过CHINANET与Internet相连，在享受Internet方便快捷的同时，也面临着遭遇攻击的风险。

2、校园网内部也存在很大的安全隐患，由于内部用户对网络的结构和应用模式都比较了解，因此来自内部的安全威胁更大一些。现在，黑客攻击工具在网上泛滥成灾，而个别学生的心理特点决定了其利用这些工具进行攻击的可能性。

3、目前使用的操作系统存在安全漏洞，对网络安全构成了威胁。我校的网络服务器安装的操作系统有Windows2000 Server，其普遍性和可操作性使得它也是最不安全的系统：本身系统的漏洞、浏览器的漏洞、IIS的漏洞，这些都对原有网络安全构成威胁。

4、随着校园内计算机应用的大范围普及，接入校园网节点日渐增多，而这些节点大部分都没有采取一定的防护措施，随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。

由此可见，构筑具有必要的信息安全防护体系，建立一套有效的网络安全机制显得尤其重要。

措施及解决方案

根据我校校园网的结构特点及面临的安全隐患，我们决定采用下面一些安全方案和措施。

一、安全代理部署

在Internet与校园网内网之间部署一台安全代理（ISA），并具防火墙等功能，形成内外网之间的安全屏障。其中WWW、MAIL、FTP、DNS对外服务器连接在安全代理，与内、外网间进行隔离。那么，通过Internet进来的公众用户只能访问到对外公开的一些服务（如WWW、MAIL、FTP、DNS等），既保护内网资源不被外部非授权用户非法访问或破坏，也可以阻止内部用户对外部不良资源的滥用，并能够对发生在网络中的安全事件进行跟踪和审计。在安全代理设置上可以按照以下原则配置来提高网络安全性：

1、据校园网安全策略和安全目标，规划设置正确的安全过滤规则，规则审核IP数据包的内容包括：协议、端口、源地址、目的地址、流向等项目，严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从“关闭一切，只开有用”的原则。

2、安全代理配置成过滤掉以内部网络地址进入Internet的IP包，这样可以防范源地址假冒和源路由类型的攻击；过滤掉以非法IP地址离开内部网络的IP包，防止内部网络发起的对外攻击。

3、安全代理上建立内网计算机的IP地址和MAC地址的对应表，防止IP地址被盗用。

4、定期查看安全代理访问日志，及时发现攻击行为和不良上网记录，并保留日志90天。

5、允许通过配置网卡对安全代理设置，提高安全代理管理安全性。

二、入侵检测系统部署

入侵检测能力是衡量一个防御体系是否完整有效的重要因素，强大完整的入侵检测体系可以弥补防火墙相对静态防御的不足。对来自外部网和校园网内部的各种行为进行实时检测，及时发现各种可能的攻击企图，并采取相应的措施。具体来讲，就是将入侵检测引擎接入中心交换机上。入侵检测系统集入侵检测、网络管理和网络监视功能于一身，能实时捕获内外网之间传输的所有数据，利用内置的攻击特征库，使用模式匹配和智能分析的方法，检测网络上发生的入侵行为和异常现象，并在数据库中记录有关事件，作为网络管理员事后分析的依据；如果情况严重，系统可以发出实时报警，使得学校管理员能够及时采取应对措施。

三、漏洞扫描系统

采用目前最先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查，并根据检查结果向系统管理员提供详细可靠的安全性分析报告，为提高网络安全整体水平产生重要依据。

四、诺顿网络版杀毒产品部署

在该网络防病毒方案中，我们最终要达到一个目的就是：要在整个局域网内杜绝病毒的感染、传播和发作，为了实现这一点，我们应该在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段。同时为了有效、快捷地实施和管理整个网络的防病毒体系，应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能。

1、在学校网络中心配置一台高效的Windows2000服务器安装一个诺顿软件网络版的系统中心，负责管理200多个主机网点的计算机。

2、在各行政、教学单位等200多台主机上分别安装诺顿杀毒软件网络版的客户端。

3、安装完诺顿杀毒软件网络版后，在管理员控制台对网络中所有客户端进行定时查杀毒的设置，保证所有客户端即使在没有联网的时候也能够定时进行对本机的查杀毒。

4、网管中心负责整个校园网的升级工作。为了安全和管理的方便起见，由网络中心的系统中心定期地、自动地到诺顿网站上获取最新的升级文件（包括病毒定义码、扫描引擎、程序文件等），然后自动将最新的升级文件分发到其它200多个主机网点的客户端与服务器端，并自动对诺顿杀毒软件网络版进行更新，使全校的防毒病毒库始终处于最新的状态。

五、划分内部虚拟专网（VLAN），针对内部有效VLAN设置合法地址池，针对不同VLAN开放相应端口，阻止广播风暴发生。

六、实时升级Windows2000 Server、IE等各软件补丁，减少漏洞；实行个人办公电脑实名制。

七、安全管理

常言说：“三分技术，七分管理”，安全管理是保证网络安全的基础，安全技术是配合安全管理的辅助措施。我们建立了一套校园网络安全管理模式，制定详细的安全管理制度，如机房管理制度、病毒防范制度、上网规定等，同时要注意物理安全，防止设备器材的暴力损坏，防火、防雷、防潮、防尘、防盗等，并采取切实有效的措施保证制度的执行。

近几年，通过对以上措施的逐步实施，我校校园网络能鸲安全正常运行，为学校教育教学工作的顺利开展提供了有力辅助，并渐入佳境。

因为有路由器这类三层网络设备在内网和外网之间进行了NAT(Network Address Translate，网络地址转换)。
具体是：
内网的电脑向外访问四，路由器这类三层网络设备将数据包中内网的源地址转换为外网地址，并根据目的IP地址查找路由表，发给下一台路由器。
路由器这类三层网络设备收到回应的数据包之后，把数据包中公网的目的地址转换为访问外网的内网电脑的IP地址。
这样一来一回，就让使用内部网络地址来上网了。

其实，我们通常所说的NAT，主要指的是PAT(Port Address Translate，端口地址转换)。这种方式，可以让多个内网IP地址只使用一个公网地址来上网。

NAT(特别是PAT)的网络安全的意义是：对外屏蔽了内部网络的地址细节，使内网变得安全，不会像外网那样容易受到攻击。

简单点说，内部网络地址，即私有地址，一是为了解决当前IP不够用的现状，二是为了增加网络安全系数。
内网到外网，中间会有网关设备，通过路由、地址转换，把内网访问外网的请求，转到外网去，并且把ip地址改成网关的地址。所以当内网用户通过网络查看自己IP时，会发现同一个内网用户对外的IP都相同。
内网到外网，稍大型点的网络，都会有防火墙，是一个防病毒、防攻击的硬件设备。
就说这么多，希望能帮到你。

---

聂荣县15668197770： 在同一个局域网上网,别机可以上外网,而我只可以上内部网.为什么? - ？
卢亮帅同： IP设置吧,你点开你的本地连接,就是右下角的两个小电脑 点开后,点属性,然后点选择框里的TCP/IP协议 然后设置你的IP地址,你可以看看你们同事的IP,第一栏的最后一个数 要调的不跟他一样的一共255的,应该有一个够你选的吧 然后下面的都跟他的一样就OK了(注:如果是动态IP,就点直接搜索IP地址就行了,一般是无限居域网才调哪个)

聂荣县15668197770： 为什么公司的网络要设IP才可以上网,为什么不会自动获取地址?? - ？
卢亮帅同： 正规的公司企业对内部网络的IP地址管理都比较严格,不允许员工在公司内部网络中随便私接上网设备,因此公司网络管理员对公司内部网络禁用自动获取IP地址功能,只允许员工使用公司分配到人头的固定IP地址.

聂荣县15668197770： 为什么共享一个IP可以上网 - ？
卢亮帅同： 一般来说局域网和广域网可以互通有好三种方法,至于路由器一般是使用多路端口复用实现的.主要方式有3种:1、静态转换2、动态转换3、端口多路复用(Port address Translation,PAT) 一般情况下我们采用第三种也是使用最多的一种方式,...

聂荣县15668197770： 外网访问内网的原理 - ？
卢亮帅同： NAT………… NAT原理简介NAT英文全称是“Network Address Translation”,中文意思是“网络地址转换”,它是一个IETF(Internet Engineering Task Force, Internet工程任务组)标准,允许一个整体机构以一个公用IP(Internet Protocol)地址出...

聂荣县15668197770： 请问 内网的 dns服务器 为什么和 外网的dns服务器 一样?? - ？
卢亮帅同： 一、为什么内部网客户端使用的DNS服务器是公网上的IP呢? DNS的作用是将域名地址,解析成网络上可识别的IP地址; 内网的电脑访问外网的域名,可通过三种方式进行DNS解析: (1)本机解析:在本机的HOSTS文件中可以设置域名的IP...

聂荣县15668197770： 内部的局域网是用来做什么的 - ？
卢亮帅同： 内部的局域网就是说公司内部的的网络,这个网络小到2台电脑互相互相通信,大到一栋大楼或几栋大厦之间的电脑互联,既然内网的主机可以通信,那么资源共享自然没有问题,内部网络的特点是内网的主机用的都是私有地址!一个内部网络...

聂荣县15668197770： 如何用内网IP访问网络? - ？
卢亮帅同： 不可以.因为内网IP在访问外网时都是经网关或路由器转换成外网IP来访问的,内网的IP对外网是不可见的.

聂荣县15668197770： 本人电脑使用的是内部网络,要设置固定IP地址才能上网.手机要用WiFi,所以买了个无线路由器.请问 - ？
卢亮帅同： 路由器有三种设置方式,一是pppoe拔号,静态IP和动态IP,把你的固定IP设置在路由器的静态IP,记得把你自己的路由器的IP段改下哦,免得IP冲突,整个网络都不能用哦

聂荣县15668197770： 小弟网络小白,对于路由器的上网原理实在不了解: - ？
卢亮帅同： 兄弟求学心切,精神可嘉,但是这个问题说来话长,不是十句八句可以解释清楚的,就算是复制过来也太长了,你现在可以上网,就在百科里面学习一下路由器、交换机知识...

聂荣县15668197770： 为什么企业要自建DNS服务器 - ？
卢亮帅同： 公网的DNS只是使用公网解析的,一般大单位都有内部网络,使用内网办公网页如果想用域名访问的话就要在内网建DNS,这样才能在内网实现内网域名的解析,内网的域名在外网的DNS上一般是解析不出来的.有的单位如果想屏蔽某些网站不让员工登陆的,也可以在内网DNS上做相应的配置以使该网站域名无法解析或者做出错误解析.