企業網絡安全架構的建立與應用

　　互聯網的快速發展，使得黑客工具在網絡上迅速傳播。信息系統在沒有得到有效保護的情況下，隨時可能遭受到外界的攻擊，遭到破壞，甚至崩潰，對生產造成嚴重的后果。
　　
　　安全體系模型
　　
　　針對目前計算機網絡中所存在的嚴重安全問題，各種網絡安全應用起到了一定的作用。但對于計算機網絡安全問題需要綜合考慮網絡中所存在的各種安全隱患，建立整體的安全架構，使計算機網絡的安全防護成為一個安全體系，具備自防御的功能。根據目前網絡的特點，安全體系的設計應突出防范重點、保護重點、策略分布重點。網絡安全的建立需要對整體網絡進行統一的規劃。在各個重點中，以策略為中心的安全模型可以更充分地發揮模型的各項功能。以安全策略為中心的輪形安全模型，可以從安全、監測、測試、調優四個部分對安全架構進行不斷的完善，使其成為一個自防御體系，能夠快速、有效、可靠、全面地發現各種系統遭受的攻擊，并實現有效的防范，以確保系統的穩定運行。針對這種模型，具體應用到實際的網絡環境中，安全體系架構包含四個模塊，分別為企業互聯網接入模塊、企業園區網模塊、企業網互聯模塊、企業廣域網模塊。這種結構化的設計，有利于在不同的網絡功能模塊之間更好地劃分安全防范的重點，并具有良好的擴展性，允許在今后的網絡安全規劃中，以一種層次的關系來分發安全策略。
　　
　　企業應用
　　
　　根據企業安全的基本模型，對某企業的網絡實施以防火墻、入侵監測設備、漏洞掃描設備為安全模塊設備，安全策略為核心的企業安全體系的架構。整個架構共包含以下三個部分。
　　1.企業Internet接入模塊
　　企業Internet接入模塊主要是預防Internet攻擊的第一道門戶，是防范Internet上黑客攻擊的最主要屏障。因此，它的設計思想是以最少的策略實現最嚴格的限制與最少的漏洞，同時保證最快的轉發速度。
　　2.企業園區網模塊
　　企業園區網是企業內部網的核心，保護著包括內網用戶、重要服務器的安全。企業園區網由一臺防火墻、兩臺互為冗余的主干交換機、企業內部應用服務器與樓層交換機、IDS模塊組成。在防火墻上根據用戶、服務進行詳細的分類，并針對每一個服務訪問做到具體的策略應用，園區網上防火墻作為安全防護的中心，其安全配置要求對每個訪問做到具體、全面、嚴格的限制，為每個用戶都劃分訪問的具體范圍。
　　3.企業間互聯模塊
　　隨著各單位間的合作越來越緊密，信息化建設也是圍繞著生產發展的需要而進行不斷的調整與適應的。因各個單位都有自己的Internet出口，為了保證互聯后的網絡安全，在進行設計時需要在各自的接入端安裝僅對外開放需要使用端口的防火墻設備。
　　
　　安全架構的檢測
　　
　　為了保證各項安全措施能夠滿足防御要求，在完成基本架構的搭建后，要采用多種方式進行系統的模擬安全檢測。使用兩種漏洞掃描軟件對系統進行測試，一方面對Symantec NetStat及SSS軟件進行比較安全測試；另一方面，在防火墻的不同位置，如Trust、Untrust、DMZ、DMZ1等區域對包括網絡設備、主機系統進行模擬攻擊。結果顯示，根據企業安全模型搭建的網絡安全架構沒有任何漏洞，完全能夠保證網絡中各種應用的安全運行。