中小型企業網絡安全規劃與解決方案
前言:本站為你精心整理了中小型企業網絡安全規劃與解決方案范文,希望能為你的創作提供參考價值,我們的客服老師可以幫助你提供個性化的參考范文,歡迎咨詢。
摘要:互聯網的飛速發展,互聯網技術應用活躍,中小型企業網絡規模和應用范圍也不斷擴大,導致網絡安全問題日益突顯。企業網絡安全一旦出現問題,造成的損失不可估量。因而以中小型企業為實例,探討這類企業的網絡安全問題以及一些解決方案。分析了目前網絡安全理論相關技術、中小型企業網絡安全規劃原則,針對中小型企業規劃出了一個較為完善的網絡拓撲結構且具有一定的擴展能力,運用當前主流的一些網絡安全技術從中小型企業設備的物理環境安全、網絡邊界安全、網絡內部安全等方面進行了重復加固和實現,提高了企業的網絡安全等級。
關鍵詞:中小型企業;網絡安全規劃;VLAN技術;方案
0引言
隨著全球信息化浪潮的不斷推進,社會經濟、生活方面都發生了日新月異的變革,網絡技術正在進行一場革命突破。網絡技術長期的發展與完善,在信息安全方面已經從最初的數據保密逐步轉變為信息安全技術的可用性、可控性以及完整性,如今網絡安全又朝著“檢測-管控-攻防”等方向發展,逐漸成為一個綜合性的學科研究領域,也是目前研究的熱點。如今,無論政府、大中小企業、學校、醫院全部采用信息化平臺工作,提高工作效率和社會競爭力。但是在網絡安全管理和維護上存在一些問題和隱患,尤其中小型企業網絡安全更被人忽視。本文深入分析網絡安全相關技術、中小型企業網絡安全規劃原則,進一步提出中小型企業網絡安全規劃模型及解決方案,以滿足中小型企業對網絡的穩定性、可靠性和安全性需求。
1網絡安全相關技術
網絡安全是指利用網絡管理控制和技術措施,保證在一個網絡環境數據的保密性、完整性及可使用性受到保護。常見的技術有如下幾個:(1)防火墻技術。防火墻技術(Firewall)是指設置在兩個或多個網絡之間的安全阻隔,用于保證本地網絡資源的安全,由軟件部分和硬件部分組成的一個系統或多個系統。工作原理是在可信任的網絡邊界上建立網絡控制系統,隔離內部網絡和外部網絡,執行網絡訪問控制策略,防止外部的未授權節點訪問內部網絡和非法向外傳遞內部信息,同時也防止非法和惡意的網絡行為導致內部網絡的運行被破壞。(2)虛擬專用網技術。虛擬專用網技術(VirtualPrivateNetwork,VPN)是一種利用在互聯網或其他公共網絡上構建專有的虛擬私有網絡安全技術,通過對網絡數據的封裝和加密,為用戶在公共網絡上建立一個臨時的、安全的傳輸隧道,以達到專用網絡的安全級別。用戶數據通過發起端上的VPN設備建立邏輯隧道,數據在傳輸過程中是完全封裝的,在接收端采用相應的解密和認證技術來確認發起的請求合法性,從而實現網絡數據在整個傳輸過程中的安全,使其不要流向非法用戶,以達到防范的目的。VPN優點在于加大了安全機制,即使信息被截獲也不用擔心泄密,數據傳輸采用認證模式,保證信息的完整性。(3)ACL技術。ACL技術在路由器中被廣泛采用,是一種基于包過濾的流控制技術。控制列表通過把源地址、目的地址及端口號作為數據包檢查的基本元素,并且可以規定符合條件的數據包是否允許通過。ACL通常用在企業的出口控制上,通過ACL的部署,可以有效的規劃企業網絡的出網策略。(4)入侵檢測技術。入侵檢測技術是從計算機網絡和系統的若干關鍵節點收集信息并對其進行分析,從中發現網絡或系統中是否存在違反安全策略的行為或者遭到入侵的現象,并根據一定的策略采取一定的措施。(5)VLAN技術。VLAN(VirtualLocalAreaNetwork)又稱“虛擬局域網”,是一組邏輯上獨立的設備和用戶,不受物理位置的限制,可以根據功能、部門及應用等因素組織起來進行通信,相互之間的通信就好像在同一個網段中一樣。一個VLAN就是一個廣播域,VLAN之間的通信是通過第三層的路由器來完成的。通過VLAN可以靈活定義在同一物理網段上網絡節點之間的通信,即在同一VLAN的網絡節點之間可以通信,不同VLAN的網絡節點之間不可以通信。(6)數據存儲備份與恢復技術。將計算機硬盤中的數據復制到磁帶或光盤上,而企業級的數據備份是指對精確定義的數據收集進行備份,無論數據的組織形式是文件、數據庫,還是邏輯卷或磁盤,管理保存上述備份介質,以便需要時能迅速、準確地找到任何目標數據的任何備份,并準確地追蹤大量的介質。
2中小型企業網絡安全規劃原則
網絡安全的實質是指安全立法、安全管理和安全技術的共同運用,這3個方面體現了網絡安全策略的約束、監控和保障的一般職能。依據SSE-CMM(系統安全工程能力成熟模型)及ISO17799(信息安全管理標準)等國際標準,綜合考慮中小型企業網絡安全規劃過程中,需要遵循以下幾方面的規則:(1)整體性原則。中小型企業網絡安全規劃應充分考慮到各種安全配套方案的整體一致性,不能片面的只注重對于攻擊的防御,也不能只考慮網絡遭到攻擊后的如何快速修復防護。所以網絡安全系統應該包括網絡安全防護機制、監測機制和恢復機制。(2)均衡性原則。在設計中小型企業網絡安全策略時,應當全面地評估企業對網絡安全的實際需求和企業的實際經濟能力,從而找尋網絡安全風險和企業網絡安全實際需求之間的一個均衡點,通過企業的實際網絡安全要求和特殊的網絡應用環境為基礎來進行具體問題具體分析。(3)有效性與實用性原則。根據企業網絡安全的實際需求來進行整體評價,實施量身定做的防火墻和殺毒軟件更好地進行安全防護就可以了,對于中小型企業來說,購買一些高性能、高價位的設備是沒有必要的。(4)易操作性原則。制定的網絡安全措施最后的執行者還是網絡管理人員,如果過于繁瑣復雜,對執行人員的安全素質要求也比較高,這樣就很難執行。(5)動態化原則。安全策略制定要充分考慮到企業的規模不斷擴大、實力不斷提升、網絡業務不斷變化,因此對網絡安全系統就需要根據實際情況不斷做出調整,滿足新的網絡安全需要。依據實際情況,通過使用更高性能的檢測和防御的設備、提高安全設備的冗余度等措施來提高網絡安全系統的安全等級。
3中小型企業網絡安全規劃總體解決方案
3.1網絡拓撲結構規劃
以一棟七層的辦公大樓中小型企業為例,每個部門占據一個樓層。七層是經理部,需要1臺電腦辦公;六層是財務部,需要100臺電腦辦公;五層是人事部,需要80臺電腦辦公;四層是策劃部,需要110臺電腦辦公;三層是技術部,需要200臺電腦,并且在這層設立一個中心管理機房,放置的是企業中一些外部應用服務器、企業內部的重要服務器,如DNS服務器、FTP服務器和備份服務器等,還需放置核心交換機、匯聚交換機及防火墻等重要的網絡安全設備,平時只有網絡安全管理人員才擁有進出該中心機房的權限,并且有嚴格的門禁系統,必須進行刷臉認證;二層是工程部,需要150臺電腦來辦公;一層是銷售部,需要210臺電腦來辦公。設計該大樓網絡拓撲結構如圖1所示。該拓撲圖首先通過一個路由器和外網相連,然后由這個路由器再連接到防火墻上,分隔外網和內網,并且進行進出數據包的過濾;再次連接到企業的核心交換機上,核心交換機上連接企業的內部服務器,如郵件服務器和一些備份服務器等;最后再連接到匯聚交換機上,匯聚交換機再接到各部門的二層交換機上。
3.2網絡安全解決方案
3.2.1網絡邊界安全解決方案
此企業的網絡邊界處采用防火墻和VPN相結合的方式構建一個安全的防護網。通過防火墻將外部的網絡和企業的內網相互隔離開來,提高安全級別。防火墻上VPN的配置能為在外的企業員工訪問企業內網提供安全的遠程訪問,極大地方便了在外出差的員工,同時這種方式的遠程訪問也具有極高的安全性。另外,外部網絡接入企業內部網絡時,可以通過NAT(網絡地址轉換)來接入Internet,這樣做不僅隱藏了企業內部的網絡結構,同時節約了大量的IPv4地址,具有一定的實際意義。
3.2.2網絡內部安全解決方案
此企業的各個部門進行VLAN的劃分,實現各部門的業務數據隔離安全。這樣在不同VLAN里面的部門之間則不能相互訪問,尤其是財務處需要單獨劃分在一個VLAN里,確保財務處的數據安全。VLAN的成員可以靈活地增刪,當終端設備位置不固定時,也不用修改其IP地址,若要修改用戶加入的VLAN時,也無需改變設備的物理連接。
4中小型企業網絡安全解決方案的實現
4.1物理和環境的安全
提供專用的中心機房空間,合理的劃分機房的各種設備的占用空間,將所有的網絡安全設備和重要的數據服務器都放在這個機房中,將這些設備都固定在相應的安全柜中,使其不受外界環境的干擾。對于進出中心機房的人員加強進門審查裝置,比如人臉識別技術、指紋識別技術等來保證中心機房的安全。在中心機房內部安裝攝像頭來實時監控和記錄機房內的安全狀況,方便后期網絡安全維護。
4.2防火墻和虛擬專用網(VPN)的聯動安全實現
中小型企業一般會考慮到經濟承受能力,一般采用Cis-coPIX525作為企業接入網絡時過濾數據的防火墻,將企業的內部網絡和外部網絡隔離開來,維護網絡的邊界安全。上述圖1所示,防火墻和與外部網絡的路由器相連,作為與外網相連的第一道防護,可以有效的防止來自外部的惡意攻擊,也可以確保對DMZ區的應用服務器進行方便管理和安全維護。員工如果外出時,通過VPN來實現遠程接入的安全性,這樣就可以構成強大功能的審計系統,可以實時記錄企業中關鍵業務的數據流向,并且可以對那些不斷訪問關鍵業務數據的主機進行實時監控。
4.3NAT和ACL的實現
目前IPv4的地址比較緊張,通過NAT轉換技術來解決這個問題,企業只需購買一個全球的IP地址,比如172.138.2.5,然后在連接外部網絡的路由器上配置NAT轉換。當企業內部用戶需要訪問外部的網絡時,經過企業的入口處路由器,將內部IP地址轉換為全球的IP地址,才能把數據包發送出去,在外部網絡中經傳輸到達目的地。如果目的地報文發回時,首先在外網中用全球IP地址查詢,當到達企業網絡邊界的入口路由器時,再經過NAT地址轉換,將外網IP地址轉換為企業內部的IP地址,通過NAT地址轉換表,就可以將報文發送給對應的主機,完成消息的發送。同時在企業的入口路由器上可以部署ACL,通過訪問控制列表嚴格控制進出的數據包,通過設定一系列的過濾規則,當數據包要通過時,訪問控制列表通過把源地址、目的地址及端口號作為數據包檢查的基本元素,并決定符合條件的數據包是否允許通過。
4.4VLAN技術和單臂路由技術的實現
該中小型企業包含的部門有經理、人事部、銷售部、財務部、技術部、策劃部和工程部七個部門,對部門進行VLAN的劃分。(1)首先按部門劃分VLAN,分別定義VLAN的標簽。經理:VLAN10;人事部:VLAN20;銷售部:VLAN30;財務部:VLAN40;技術部:VLAN50;策劃部:VLAN60;工程部:VLAN70。(2)根據各部門員工的要求,規定VLAN之間的通信規則為:VLAN10可以和其它VLAN中的各部門都可以通信,但是除過經理所在的VLAN10,其余的部門不能訪問財務部,然后其余部門之間都不能相互訪問。(3)實現不同部門之間的訪問需要使用單臂路由技術來實現。單臂路由原理簡單,配置容易,還可以在各部門入口路由器上配置ACL規則,提高VLAN之間通信的安全性。(4)根據各部門的網絡安全要求,VLAN劃分及各部門IP地址段劃分的具體情況如表1所示:(5)根據員工要求配置單臂路由技術,經理所連交換機上面連接一個路由器,使用單臂路由技術,實現經理所在的VLAN10可以和其它的不同部門之間的VLAN通信。其余部門的VLAN之間不需要配置單臂路由,保證不同VLAN之間不能相互訪問。
4.5企業數據存儲備份與恢復技術
一般中小型企業內部數據包括客戶服務系統、MIS管理系統和數據營銷系統等,因此制定一套完善的數據備份方案,建立方便有效的企業級數據備份系統,保證企業中這些關鍵業務數據的安全性至關重要。充分考慮到中小型企業的經濟承受能力和經濟費用,推薦使用LAN-Base與LAN-Free相結合的備份方式。在整個企業的數據備份中心采用LAN-Free的技術方案,這樣可以很好地解決傳統備份方式中在備份大量的業務數據時占用網絡帶寬較多的問題,在各個部門中采用LAN-Base的備份方式,通過配置的備份管理服務器來管理各個部門備份的操作。
5總結
隨著網絡的不斷普及,中小型企業無處不在使用網絡,但是網絡安全卻日益凸顯,所以企業中的網絡安全策略也應該動態變化,要逐漸從被動的防御轉變為主動的檢測和防御,安全防御產品也要及時的更新,逐漸向智能化的方向發展,提高安全防護能力。本文對當前主流的一些網絡安全技術理論進行了深入的分析和研究,例如防火墻技術、VPN技術、VLAN技術、存儲備份與恢復技術等,然后通過一棟大樓的中小型企業進行了網絡拓撲結構的設計與規劃,研究了網絡邊界和網絡內部的安全解決方案,運用網絡安全相關技術對中小型企業網絡安全方面進行全面加固與實現,對中小型企業的網絡安全建設具有一定的實際應用意義。
作者:張如花 屈正庚 單位:陜西郵電職業技術學院 商洛學院數學與計算機應用學院
