1 引言
網(wǎng)絡(luò)安全是國(guó)家發(fā)展所面臨的一個(gè)重要問(wèn)題。對(duì)于這個(gè)問(wèn)題,還沒(méi)有從系統(tǒng)的規(guī)劃上去考慮它,從技術(shù)上、產(chǎn)業(yè)上、政策上來(lái)發(fā)展它。網(wǎng)絡(luò)安全問(wèn)題一般包括網(wǎng)絡(luò)系統(tǒng)安仝和數(shù)據(jù)安全。網(wǎng)絡(luò)系統(tǒng)安全是防止網(wǎng)絡(luò)系統(tǒng)遭到?jīng)]有授權(quán)的非法訪問(wèn)、存取或破壞;數(shù)據(jù)安全主要是防止重要、敏感數(shù)據(jù)被竊取等。將重點(diǎn)探討基于VLAN的企業(yè)網(wǎng)絡(luò)安全的架構(gòu)設(shè)計(jì)。
2 原理
什么是虛擬局域網(wǎng)?由于有眾多的供應(yīng)商所制定的虛擬局域網(wǎng)解決方案和實(shí)施策略,所以精確地給虛擬局域網(wǎng)下定義就成為一個(gè)有爭(zhēng)議的問(wèn)題。然而,多數(shù)人對(duì)這種說(shuō)法表示同意:VLAN即虛擬局域網(wǎng),是一種通過(guò)將局域網(wǎng)內(nèi)的設(shè)備邏輯地劃分成一個(gè)個(gè)網(wǎng)段,從而實(shí)現(xiàn)虛擬工作組的新興技術(shù)。
2.1根據(jù)端口劃分VIAN
許多最初的虛擬局域網(wǎng)實(shí)施按照交換機(jī)端口分組來(lái)定義虛擬局域網(wǎng)成員。例如,一臺(tái)交換機(jī)的端口1、2、3、7和8上的上作站組成,r虛擬局域網(wǎng)A,而端口4、5和6上的T作站組成了虛擬局域網(wǎng)B。此外,在多數(shù)最初的實(shí)施當(dāng)中,虛擬局域網(wǎng)只能在同一臺(tái)交換機(jī)上得到支持。第二代實(shí)施支持跨越多臺(tái)交換機(jī)的虛擬局域網(wǎng)。
2.2根據(jù)MAC地址劃分VLAN
這種劃分VIAN的方法是根據(jù)每個(gè)主機(jī)的MAC地址來(lái)劃分,即對(duì)每個(gè)MAC地址的主機(jī)都配置它屬于哪個(gè)組。基于MAC地址的虛擬局域網(wǎng)具有不同的優(yōu)點(diǎn)和缺點(diǎn)。由于硬件地址層的地址是硬連接到工作站的網(wǎng)絡(luò)界而卡(NIC)上的,所以基于硬件地址層地址的的虛擬局域網(wǎng)使網(wǎng)絡(luò)管理者能夠把網(wǎng)絡(luò)上的工作站移動(dòng)到不同的實(shí)際位置,而且可以讓這臺(tái)工作站自動(dòng)地保持它原有的虛擬局域網(wǎng)成員資格。
2.3基于第三層的VLAN
基于第三層信息的虛擬局域網(wǎng)在確定虛擬局域網(wǎng)成員時(shí)考慮協(xié)議類(lèi)型(如果多協(xié)議得到支持)或網(wǎng)絡(luò)層地址(例如,TCP/IP網(wǎng)絡(luò)的子網(wǎng)地址)。雖然這些虛擬局域網(wǎng)是基于第三層信息的,但這并不構(gòu)成一種“路甫”功能,也不應(yīng)與網(wǎng)絡(luò)層路由相混淆。即使交換機(jī)檢查數(shù)據(jù)包的IP地址以確定虛擬局域網(wǎng)成員,也不會(huì)施行路由計(jì)算,不會(huì)采用RIP或OSPF協(xié)議,而且穿越交換機(jī)的數(shù)據(jù)幀通常根據(jù)生成樹(shù)算法橋接。
3 企業(yè)網(wǎng)絡(luò)三層結(jié)構(gòu)的設(shè)計(jì)
企業(yè)網(wǎng)絡(luò)三層結(jié)構(gòu)的設(shè)計(jì)如圖1所示:
圖1 企業(yè)網(wǎng)絡(luò)三層結(jié)構(gòu)拓?fù)鋱D
(1)內(nèi)部網(wǎng)絡(luò)分級(jí)隔離、分級(jí)施策
把原有的服務(wù)器區(qū)分隔為對(duì)外公開(kāi)的服務(wù)器區(qū)(DMZ區(qū))和企、№專(zhuān)用的服務(wù)器區(qū)。將對(duì)外開(kāi)放的服務(wù)器如:Web服務(wù)器、Mail服務(wù)器等移入DMZ區(qū)。重要的僅供企業(yè)內(nèi)部使用的服務(wù)器作為一個(gè)服務(wù)子網(wǎng),使用適合的保護(hù)措施保護(hù)起來(lái)。其他部分分別按用途劃分為辦公子網(wǎng)、管理子網(wǎng)、生產(chǎn)子網(wǎng),做到分級(jí)隔離,劃分清晰。在各子網(wǎng)之間根據(jù)不同的保護(hù)級(jí)別實(shí)施保護(hù)策略,做到分級(jí)施策。
(2)安全產(chǎn)品聯(lián)動(dòng),實(shí)現(xiàn)交叉防守,立體防御
在網(wǎng)絡(luò)產(chǎn)品的選擇和部署時(shí)。考慮各產(chǎn)品的功能和特點(diǎn),相互結(jié)合,充分發(fā)揮各自?xún)?yōu)勢(shì)。實(shí)現(xiàn)安全聯(lián)動(dòng),交叉防守,立體防御。
(3)設(shè)備線路設(shè)計(jì)冗余,避免單點(diǎn)失敗
在原有網(wǎng)絡(luò)中,內(nèi)部網(wǎng)絡(luò)所有的流量都要通過(guò)主交換機(jī)匯入外網(wǎng)。主交換機(jī)幾乎承載了整個(gè)內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)交換工作,極易出現(xiàn)故障,造成整個(gè)網(wǎng)絡(luò)的癱瘓。新的設(shè)計(jì)中考慮到這方面的要求,在主交換機(jī)處設(shè)置了備用交換機(jī),避免單點(diǎn)失敗造成網(wǎng)絡(luò)的中斷。
(4)管理安全、集中方便
設(shè)置安全管理區(qū)。管理員很容易在管理區(qū)內(nèi)對(duì)網(wǎng)絡(luò)中的主機(jī)和設(shè)備進(jìn)行集中統(tǒng)一的管理。通過(guò)安全產(chǎn)品的監(jiān)控、報(bào)警、審計(jì)等功能,了解網(wǎng)絡(luò)的實(shí)時(shí)狀態(tài),實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的安全管理。
4 VLAN設(shè)計(jì)
4.1劃分
在安全控制方面,采用虛擬局域網(wǎng)(VLAN)來(lái)控制廣播域和網(wǎng)段流量,提高網(wǎng)絡(luò)性能、安全性和可管理性。比如員工常常通過(guò)網(wǎng)絡(luò)聯(lián)機(jī)游戲,有時(shí)游戲產(chǎn)生的網(wǎng)絡(luò)流量嚴(yán)重沖擊了骨干網(wǎng)絡(luò)的整體性能。再比如,有些員工好奇心強(qiáng),常常喜歡在網(wǎng)絡(luò)中充當(dāng)“黑客“的角色,給網(wǎng)絡(luò)的其他用戶(hù)造成很大威脅。那么,必須采用劃分虛擬局域網(wǎng)(VLA聊的方法,限制信息點(diǎn)之間的互相訪問(wèn),從而提高了網(wǎng)絡(luò)的整體性能。
更值得一提的是,接入交換機(jī)可以采用VLAN實(shí)現(xiàn)端口之間相互隔離,不必占用VLAN資源。在使用VLAN時(shí),各端口不可以互通,僅可通過(guò)擴(kuò)展模塊上聯(lián)端口或其他上聯(lián)端口可訪問(wèn)互聯(lián)網(wǎng)或社區(qū)服務(wù)器。若用戶(hù)希望端口之間通信,則借助三層交換機(jī)或路由器進(jìn)行路由轉(zhuǎn)發(fā)。通過(guò)采取這些相應(yīng)的安全措施,沒(méi)有授權(quán)的用戶(hù)在網(wǎng)絡(luò)中的不能任意上網(wǎng),給網(wǎng)絡(luò)的安全性帶來(lái)了基本保障。
4.2訪問(wèn)控制
三層交換機(jī)設(shè)置了VLAN路由接口后,默認(rèn)情況下,任何兩個(gè)VLAN之間都可以進(jìn)行通信,實(shí)現(xiàn)資源共享。隨著網(wǎng)絡(luò)規(guī)模的升級(jí),信息流量逐漸加大,人員管理變得日益復(fù)雜,給企業(yè)網(wǎng)的安全、穩(wěn)定和高效運(yùn)行帶來(lái)新的隱患,如何消除這些隱患呢?在VLAN間采用訪問(wèn)控制策略,能夠加強(qiáng)網(wǎng)絡(luò)的整體安全。
在核心層和匯接層交換機(jī)的接口上建立訪問(wèn)控制列表來(lái)實(shí)現(xiàn)VLAN之間的訪問(wèn)控制,決定哪些用戶(hù)數(shù)據(jù)流可以在VLAN之間進(jìn)行交換,以及最終到達(dá)核心層。訪問(wèn)控制列表ACL由基于一套測(cè)試標(biāo)準(zhǔn)的一系列許可和拒絕語(yǔ)句組成。其處理過(guò)程是自上向下的,一旦找到了匹配語(yǔ)句,就不再繼續(xù)處理。在訪問(wèn)控制列表末尾設(shè)置一條隱含拒絕語(yǔ)句,若在訪問(wèn)控制列表中沒(méi)有發(fā)現(xiàn)匹配,則最終與隱含拒絕語(yǔ)句相匹配。
4.3配置命令
5 結(jié)語(yǔ)
網(wǎng)絡(luò)安全體系的建設(shè)是一個(gè)長(zhǎng)期的、動(dòng)態(tài)變化的過(guò)程,在新的網(wǎng)絡(luò)安全技術(shù)手段不斷出現(xiàn)的同時(shí),新的攻擊入侵手段也會(huì)隨之出現(xiàn)。任何一個(gè)安全體系設(shè)計(jì)方案都不能完全解決所有的安全問(wèn)題。因此,如何將網(wǎng)絡(luò)安全技術(shù)與網(wǎng)絡(luò)安全管理無(wú)縫地融合在一起,如何能讓網(wǎng)絡(luò)安全實(shí)施策略隨著不同的網(wǎng)絡(luò)環(huán)境的改變而自動(dòng)做出相應(yīng)的改變,這就是在未來(lái)的網(wǎng)絡(luò)安全解決方案研究中需要解決的。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴(lài)品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://m.lukmueng.com/
本文標(biāo)題:基于VLAN的企業(yè)網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)
本文網(wǎng)址:http://m.lukmueng.com/html/support/11121510348.html
相關(guān)文章
