管理企業(yè)外聯(lián)網(wǎng)

筆者工作的單位因?yàn)闃I(yè)務(wù)性質(zhì)的特殊性，需要與多個領(lǐng)域的企業(yè)公司進(jìn)行數(shù)據(jù)交換，這部分的業(yè)務(wù)構(gòu)建的網(wǎng)絡(luò)就是外聯(lián)網(wǎng)，絕大部分業(yè)務(wù)是通過租用運(yùn)營商的專線來搭建網(wǎng)絡(luò)的。因?yàn)闃I(yè)務(wù)發(fā)展得過快，網(wǎng)絡(luò)搭建缺乏規(guī)劃管理，導(dǎo)致了這部分區(qū)域較為混亂，存在網(wǎng)絡(luò)安全問題。原來的外聯(lián)網(wǎng)拓?fù)鋱D，如圖1所示。

租用運(yùn)營商專線搭建外聯(lián)網(wǎng)的方式，一方面考慮的是信息在傳遞過程中較為安全，降低被竊取的可能性；另一方面為了加強(qiáng)網(wǎng)絡(luò)的可靠性與穩(wěn)定性，保證業(yè)務(wù)能正常交換數(shù)據(jù)。最大的缺點(diǎn)是費(fèi)用較為昂貴，這一點(diǎn)在這里就不加以討論了。由拓?fù)鋱D分析存在的問題是這部分網(wǎng)絡(luò)邊界不明晰，外聯(lián)網(wǎng)的專線都通過一臺匯聚交換機(jī)直接與核心骨干網(wǎng)對接。倘若從專線那邊發(fā)起過的網(wǎng)絡(luò)攻擊，內(nèi)部的網(wǎng)絡(luò)將會變得十分脆弱，沒有任何防御的措施，對外聯(lián)網(wǎng)的實(shí)時網(wǎng)絡(luò)性能缺乏監(jiān)控手段。

圖1 原來的外聯(lián)網(wǎng)拓?fù)鋱D

從最初的設(shè)計(jì)分析，使用的匯聚交換機(jī)是為了簡單化組網(wǎng)，把外聯(lián)網(wǎng)的接入企業(yè)當(dāng)成了局域網(wǎng)的成員。其實(shí)這兩部分是有明確的區(qū)別的。外聯(lián)網(wǎng)的第一個特點(diǎn)是業(yè)務(wù)性質(zhì)單一，它的接入成員僅是與服務(wù)器進(jìn)行數(shù)據(jù)對接，不需要提供服務(wù)給企業(yè)內(nèi)部人員使用，也不需要使用企業(yè)的互聯(lián)網(wǎng)出口。外聯(lián)網(wǎng)使用的專線都是低帶寬的鏈路，一般帶寬為2M、4M的較多。分配的IP地址較為凌亂，劃分的子網(wǎng)掩碼較為隨意且沒有規(guī)律可循。

結(jié)合上述問題，筆者單位計(jì)劃改造這部分的網(wǎng)絡(luò)。首先部署邊界防火墻，這里我們使用的是山石網(wǎng)科的下一代防火墻，對整個外聯(lián)網(wǎng)的業(yè)務(wù)提供安全訪問策略。為什么使用下一代防火墻，因?yàn)椴粌H有傳統(tǒng)防火墻的功能，而且還集成了防病毒、流量控制、入侵檢測等功能模塊。最重要的一點(diǎn)是集合在一臺設(shè)備上面實(shí)現(xiàn)多個功能，這樣使得我們部署起來較為容易。簡要拓?fù)鋱D如圖2所示。為此，我們需要進(jìn)行以下改造工作。

表1 分配地址情況

圖2 改造后的簡要網(wǎng)絡(luò)拓?fù)鋱D

重新規(guī)劃IP地址，進(jìn)行路由匯總

新規(guī)劃出一個IP網(wǎng)段地址為 192.168.100.0/24，通過劃分子網(wǎng)掩碼劃分給多個外聯(lián)企業(yè)使用。原則上業(yè)務(wù)數(shù)據(jù)交換只需要兩個對接IP就可以，分配的地址情況如表1所示。

這部分更改IP地址是最為重要的一個環(huán)節(jié)，在推進(jìn)的時候遇到了一些困難涉及到程度代碼的一些更改，但為了統(tǒng)一部署我們還是很強(qiáng)硬地推進(jìn)下去，有一些特殊的情況改不了，我們也用地址轉(zhuǎn)換的方式解決。過去的地址使用混亂導(dǎo)致很多問題，規(guī)范地址之后新增加的業(yè)務(wù)分配就很清淅了。

嚴(yán)格管理訪問權(quán)限，根據(jù)業(yè)務(wù)開放相應(yīng)端口：

簡單來說就是要控制外互聯(lián)網(wǎng)的權(quán)限，這部分區(qū)域默認(rèn)的策略是禁止訪問所有的地址（deny any）。然后跟據(jù)業(yè)務(wù)開放訪問權(quán)限，盡量控制到最精細(xì)度僅開放某個IP的某個應(yīng)用端口。每做一條策略都要標(biāo)注是什么業(yè)務(wù)，這能夠?qū)I(yè)務(wù)與策略結(jié)合起來。

保證業(yè)務(wù)的穩(wěn)定，加強(qiáng)信息安全

通過外聯(lián)網(wǎng)傳送的數(shù)據(jù)都是一些比較重要的數(shù)據(jù)，雖然專線本身已有一定的安全防泄漏的功能，但是為進(jìn)一步保障我們開啟防火墻的入侵檢測和防病毒模塊功能，實(shí)時監(jiān)控著整個外聯(lián)網(wǎng)的運(yùn)行情況。