某企業(yè)網(wǎng)全局網(wǎng)絡(luò)安全體系解決方案

李素朵

LI Su-duo

（石家莊法商職業(yè)學(xué)院，石家莊 050091）

0 引言

目前，隨著網(wǎng)絡(luò)技術(shù)不斷發(fā)展，企業(yè)網(wǎng)絡(luò)發(fā)展規(guī)模也不斷擴大，所以企業(yè)網(wǎng)的正常運行也顯得尤為重要。另外一方面，網(wǎng)絡(luò)管理的維護同時存在一定的困難，學(xué)生在網(wǎng)絡(luò)學(xué)習(xí)的需求也顯得尤為突出，網(wǎng)絡(luò)業(yè)務(wù)容量分配優(yōu)化工作也顯得很重要，如何有效應(yīng)對企業(yè)網(wǎng)存在的問題，有效積極進行企業(yè)網(wǎng)絡(luò)帶寬調(diào)度和分配，提高企業(yè)網(wǎng)絡(luò)安全管理水平[1,2]。本文主要探討了某企業(yè)網(wǎng)全局網(wǎng)絡(luò)安全體系解決方案，對于提高企業(yè)網(wǎng)絡(luò)安全具有一定作用。

1 企業(yè)網(wǎng)絡(luò)安全解決方案

1.1 VLAN的規(guī)劃

企業(yè)網(wǎng)采用的核心交換機是一臺Extreme 6808，核心與南區(qū)的一臺Extreme 6808通過1000M單模聚合連接，其他建筑的分控制室采用基于多模和單模光纖的千兆以太網(wǎng)與銳捷3760、2126G等連接。通過對企業(yè)網(wǎng)整體結(jié)構(gòu)的分析，采用虛擬局域網(wǎng)VLAN技術(shù)。

我校企業(yè)網(wǎng)交換機上的VLAN劃分，是采用基于端口（光纖接口）的，相同VLAN名的端口位于同一VLAN，通過其VLAN ID來互相傳輸數(shù)據(jù)，不同VLAN之間通過做標(biāo)記的Tag口來轉(zhuǎn)發(fā)數(shù)據(jù)。

所以有必要從以太網(wǎng)的機制來探討，基于廣播機制的以太網(wǎng)，結(jié)合交換器和VLAN技術(shù)，則就轉(zhuǎn)變?yōu)辄c對點的通訊方式。這樣就能夠隔離廣播，也就是說信息可以按照要求達(dá)到指定地點，防止基于網(wǎng)絡(luò)監(jiān)聽的入侵手段；另一方面，還可以增設(shè)虛擬網(wǎng)絡(luò)的訪問控制，虛擬網(wǎng)內(nèi)部不能直接被被虛擬網(wǎng)外的網(wǎng)絡(luò)節(jié)點訪問。

1.2 防火墻配置方案

學(xué)院的網(wǎng)絡(luò)主要包括10M Base_T的因特網(wǎng)接入。運行在Lotus系統(tǒng)上的信息中心以及OA系統(tǒng)，其中OA系統(tǒng)包括通道DDN遠(yuǎn)程接入的校區(qū)網(wǎng)絡(luò)。在這部分網(wǎng)絡(luò)中使用防火墻將網(wǎng)絡(luò)劃分為三個安全域：因特網(wǎng)、信息中心和OA網(wǎng)絡(luò)。由于網(wǎng)絡(luò)中使用了一個核心交換機，因此在防火墻的連接中，需耍將防火墻的DMZ接口和LAN接口同時接到Cisco 4006核心交換機，使用交換機VLAN劃分功能使其位于不同的VLAN。

防火墻的使用使網(wǎng)絡(luò)在此節(jié)點上劃分為三個相互隔離的安全域，可以通過設(shè)置規(guī)則規(guī)劃三個安全域、六個方向、多個網(wǎng)絡(luò)用戶編點之間的訪問情況。防火墻的使用的第一步就將網(wǎng)絡(luò)的訪問變成可單向控制的，盡管TCP/IP協(xié)議是雙向的。因此來自因特湖的闖入風(fēng)險、非法訪問很快就會全部屏蔽掉。防火墻的另一個作用是防火墻以表的節(jié)點看起采從因特網(wǎng)上消失了：除了對外提供的必需業(yè)務(wù)之外，網(wǎng)絡(luò)和系統(tǒng)的其他屬性從因特網(wǎng)上不可見了。網(wǎng)絡(luò)既不可探測，內(nèi)部網(wǎng)絡(luò)信息也不可獲知了。

大部分的防火墻是為了防止一種Ethernet Sniffer的攻擊方式，在基本的結(jié)構(gòu)設(shè)計上使用三接口的硬件模式。防火墻也因此將網(wǎng)絡(luò)節(jié)點劃分為三個安全域：用于因特網(wǎng)接入的WAN接口，用于企業(yè)網(wǎng)接入的LAN接口和專為服務(wù)器群設(shè)計的DMZ接口。

1.3 入侵檢測系統(tǒng)的部署

根據(jù)企業(yè)網(wǎng)絡(luò)的特點，應(yīng)選擇同時具備IPS（入侵檢測系統(tǒng)）和IDS（入侵檢測系統(tǒng)）等功能，基于代理的分布式入侵監(jiān)測技術(shù)的入侵檢測系統(tǒng)。這里選擇SymantecNetwork Security（SNS）入侵檢測系統(tǒng)為例。

1）主動防御，而非被動報警。SNS可以實現(xiàn)自動防御，無需人工干預(yù)，自動檢測，屏蔽網(wǎng)絡(luò)入侵行為．減少用戶用于日常維護的人力成本。SNS是以透明方式部署在網(wǎng)絡(luò)結(jié)構(gòu)中，不用修改原有網(wǎng)絡(luò)結(jié)構(gòu)，也不用修改交換機配置。

2）安全策略自動維護

傳統(tǒng)IDS產(chǎn)品被用戶所排斥的主要原因就是需要用戶人工設(shè)定檢測策略，并需要定期維護更新。SNS改變了這種傳統(tǒng)的更新模式，他可以自動更新、加載、生效最新的安全策略，大大降低了產(chǎn)品對操作人員的依賴。通過這種策略自動更新的工作方式，爭取了在出現(xiàn)可能對系統(tǒng)和網(wǎng)絡(luò)造成嚴(yán)重影響的重大安全隱患的緊急狀況下的響應(yīng)時間（如：沖擊波），在主機還沒有來得及完成補丁分發(fā)的情況下，SNS通過自動化的策略更新，就己經(jīng)實現(xiàn)了整個網(wǎng)絡(luò)的安全防護。

1.4 VPN的使用

本方案中的VPN系統(tǒng)是通過采用防火墻/VPN一體化設(shè)備來實現(xiàn)的。增加了VPN系統(tǒng)防火墻系統(tǒng)與前述的防火墻系統(tǒng)在結(jié)構(gòu)上沒有多大區(qū)別，但是由于VPN系統(tǒng)的使用，網(wǎng)絡(luò)就支持遠(yuǎn)程的移動用戶以加密的方式對內(nèi)部網(wǎng)絡(luò)的重要的服務(wù)器進行訪問，甚至三個網(wǎng)絡(luò)之間也可以通過因特網(wǎng)連成一體，這樣為網(wǎng)絡(luò)的應(yīng)用節(jié)省成本。另外，在該VPN系統(tǒng)中，總校的網(wǎng)絡(luò)節(jié)點須申請可路由的IP地址，其地位是VPN的核心節(jié)點。其它的節(jié)點全部連接到此節(jié)點。

1.5 防病毒系統(tǒng)

病毒是一種具有自我復(fù)制能力，由編寫者出于各種目的編寫，能夠在隱蔽情況下執(zhí)行編寫者意圖的非法程序。目前，許多計算機病毒都具有特定的功能，而遠(yuǎn)非僅僅是自我復(fù)制。其功能（常稱為PAYLOAD）可能無害，如，只是在計算機的監(jiān)視器中顯示消息，也可能有害，如毀壞系統(tǒng)硬盤中所存儲的數(shù)據(jù)，一旦條件（比如：特定的組合鍵擊、特定的日期或預(yù)定義操作數(shù)）觸發(fā)，就會引發(fā)病毒表現(xiàn)。

來自系統(tǒng)外部（Internet或外網(wǎng)）的病毒入侵：這是目前病毒進入最多的途徑。因此在與外部連接的網(wǎng)關(guān)處進行病毒攔截是效率最高，耗費資源最少的措施。可以使進入內(nèi)部系統(tǒng)的病毒數(shù)量大為減少。但很明顯，它只能阻擋采自外部病毒的入侵。

病毒集散地之一，網(wǎng)絡(luò)郵件/群件系統(tǒng)：如果網(wǎng)絡(luò)內(nèi)采用了自己的郵件/群件系統(tǒng)實施辦公和信息自動化，那么一旦有某個用戶感染了病毒，通過郵件方式該病毒將幾何級數(shù)在網(wǎng)絡(luò)內(nèi)迅速傳播，并且很快會導(dǎo)致郵件系統(tǒng)負(fù)荷過大而癱瘓。因此在郵件系統(tǒng)上部署防病毒也顯得尤為重要。

病毒集散地之二，文件服務(wù)器：文件資源共享是網(wǎng)絡(luò)提供的基本功能。文件服務(wù)器大大提高了資源的重復(fù)利用率，并且能對信息進行長期有效的存儲和保護。但是一旦服務(wù)器本身感染了病毒，就會對所有的訪問者構(gòu)成威脅。因此文件服務(wù)器也需要設(shè)置防病毒保護。

最終用戶：病毒最后的入侵途徑就是最終的桌面用戶。由于網(wǎng)絡(luò)共享的便利性，某個感染病毒的桌面機隨時有可能會感染其它的機器，或是被種上了黑客程序而向外傳送機密文件（如“SirCam”病毒）。因此在網(wǎng)絡(luò)內(nèi)對所有的客戶機進行防毒控制也很有必要。

內(nèi)容保護：隨著病毒所采用的技術(shù)日趨復(fù)雜，單純依靠病毒碼和被動的文件分析技術(shù)往往造成防病毒的響應(yīng)時間過長。為了能夠在第一時間主動地阻止新型病毒的入侵，在防病毒系統(tǒng)中附加內(nèi)容過濾和保護功能就顯得十分重要。例如，由于目前郵件系統(tǒng)的使用異常方便，造成了用戶很容易在不經(jīng)意間將重要的、機密的或是不當(dāng)?shù)男畔⑼ㄟ^郵件發(fā)送出去；另一方面，來自Internet上的垃圾郵件也到處都是，導(dǎo)致用戶需花大量的精力和時間去處理，降低了工作效率。因此對往來的郵件內(nèi)容進行過濾也很重要。

集中管理：一個缺少管理的系統(tǒng)就是一個無效的系統(tǒng)。對于一個大型網(wǎng)絡(luò)來說，部署的防毒系統(tǒng)將十分復(fù)雜和龐大。尤其在各網(wǎng)點在地域上分離的情況下，通過一個監(jiān)控中心對整個系統(tǒng)內(nèi)的防毒服務(wù)和情況進行管理和維護顯得十分重要。這樣可以大大降低維護人員的數(shù)量和維護成本，并且縮短了升級、維護系統(tǒng)的響應(yīng)時間。防毒系統(tǒng)的最大特點是需要不斷的升級和更新防毒軟件，以對應(yīng)新產(chǎn)生的各類病毒。

1.6 認(rèn)證管理

近年來，我國的企業(yè)網(wǎng)建設(shè)得到了飛速的發(fā)展和廣泛的應(yīng)用，教師和學(xué)生能夠隨時隨地從網(wǎng)絡(luò)獲得相關(guān)的資源，已經(jīng)成為廣大的師生員工獲取資源的重要手段之一。由于網(wǎng)絡(luò)上原有的認(rèn)證系統(tǒng)如PPPoE和Web認(rèn)證技術(shù)，對企業(yè)網(wǎng)中的用戶數(shù)據(jù)包處理比較繁瑣，報文封裝代價比較高，造成了網(wǎng)絡(luò)傳輸瓶頸，業(yè)務(wù)靈活性和擴展性不強，己經(jīng)越來越不適應(yīng)企業(yè)網(wǎng)發(fā)展的認(rèn)證需求。

IEEE 802．1X協(xié)議標(biāo)準(zhǔn)認(rèn)證協(xié)議，一經(jīng)推出就引起了廣大網(wǎng)絡(luò)設(shè)備制造商的重視。IEEE 802.1X通過對認(rèn)證方式和體系結(jié)構(gòu)的優(yōu)化，有效地解決了傳統(tǒng)認(rèn)證方式帶來的昂貴花銷。IEEE 802.1X認(rèn)證方式有著簡潔高效，易于實現(xiàn)，安全可靠，易于運營優(yōu)點。因此，各大廠商紛紛組織研發(fā)力量進行基于IEEE 802.1X協(xié)議相關(guān)產(chǎn)品的開發(fā)，并在企業(yè)網(wǎng)中廣泛地應(yīng)用。

1.7 安全管理制度

網(wǎng)絡(luò)安全管理是保證網(wǎng)絡(luò)安全的基礎(chǔ)。安全技術(shù)是配合安全管理的輔助措施。我們建立了一套企業(yè)網(wǎng)絡(luò)安全管理模式，制定了詳細(xì)的安全管理制度，如：網(wǎng)絡(luò)管理中心安全管理規(guī)則、企業(yè)網(wǎng)安全和使用管理條例、病毒防范制度等，并采取切實有效的措施，保證了制度的執(zhí)行。

2 結(jié)束語

企業(yè)網(wǎng)安全體系解決方案總體上來說是成功的，如黑客入侵事件較早得到警告，及早采取有效措施，有效阻止了事件進一步惡化；控制了ARP病毒攻擊；網(wǎng)絡(luò)病毒控制在了一定可控范圍：建立了完整的數(shù)據(jù)備份系統(tǒng)，提供了數(shù)據(jù)快速回復(fù)機制；建立了完善的日志審查制度。該方案的實施后，我校的網(wǎng)絡(luò)安全事件大大減少，企業(yè)網(wǎng)絡(luò)安全得到最大限度的保障。

[1]劉曉云.企業(yè)網(wǎng)安全訪問控制體系的構(gòu)建[J].現(xiàn)代電子技術(shù)，2010，33（17）.

[2]蘇君麗.Snort技術(shù)在企業(yè)網(wǎng)安全防御中的應(yīng)用[J].企業(yè)家天地（下旬刊），2010,（2）.

[3]李健，楊幸，楊麗莎，等.企業(yè)網(wǎng)的主要安全問題研究[J].計算機與現(xiàn)代化，2009,（8）.