基于思科設備的大中型安全企業網絡設計探究

王洪平

摘要：大中型企業計算機網絡的高效、可靠和安全運行，不僅影響企業各方面的正常運轉，而且是企業提升精細化管理水平的重要保障。首先基于思科公司網絡設備的路由和交換技術，給出了一個大中型企業網的組建方案，然后基于網絡安全策略和技術，從網絡安全防護和計算機系統配置兩方面探討了企業網的安全設計，以此構建一個安全企業網絡。

關鍵詞：大中型企業；路由與交換；網絡組建；網絡安全

一、前言

伴隨新一代信息技術的不斷涌現，許多有遠見的企業都認識到很有必要依托先進的IT技術構建企業自身的業務和運營平臺以提升企業的核心競爭力。經營管理對計算機應用系統的依賴性增強，計算機應用系統對計算機網絡的依賴性增強，并且對計算機網絡的高效性、可靠性和安全性提出了更高的要求。因此，在大中型企業中組建Intranet（內聯網）或對原有網絡進行改善，以實現網絡的保密性、完整性、可用性、可控性和可審查性，是適應新時代企業業務發展的必然舉措。對于一個大中型企業網絡，其地理覆蓋范圍大多數情況下是城域網。假如X公司，總部設在四川省會成都，一個分公司在四川南充，南充分公司設有一個中心機房和A、B辦事處，辦事處下設有N個網點。這是一個典型的大中型企業的組織架構，這里以X公司為例來探討一種安全的企業網絡的設計方案。

二、企業網建設需求分析

企業網根據開展業務的需求，一般應該具備以下基本功能：共享資源，提供數字化辦公與信息處理系統的運行平臺，安全地與異地分支機構通信，網絡系統運行穩定、安全可靠，具有較強的抗攻擊能力。按照上述功能需求，組建并配置企業網絡。

（一）網絡組建的設計

路由與交換技術作為新型技術，其對計算機網絡系統起到信息聯通與數據交換的作用，保證系統驅動過程中網絡內部的多元化數據體系可通過跟蹤形式以及數據對接模式，對不同模塊進行數據化控制，增強網絡管理的精確性[1]。大中型企業的網絡是通過交換機和路由器等網絡設備連接而成的企業內聯網，并且可以連接Internet。本方案基于思科網絡設備，從路由與交換技術角度來探討企業網絡的組建。為了企業網具有較好的可擴展性，采用星形拓撲結構。在網絡的設計中，企業網絡在結構上按網絡層次進行分層設計，分為三層，分別為核心層、匯聚層和接入層。接入層交換機可全部或部分冗余上行鏈路，分別上聯到匯聚層交換機，這樣既保證了企業網絡的安全性和可靠性，同時又實現了企業虛擬局域網的統一配置管理和企業網絡環路的避免[2]。

（二）網絡安全的設計

網絡安全的本質就是要確保網絡中的信息安全。網絡安全涉及甚廣，對于大中型企業網絡，要確保網絡安全，不僅需要制定網絡安全策略，還得應用關鍵網絡安全技術。網絡安全策略包含物理安全策略、信息加密策略、訪問控制策略、安全管理策略。只有在法律、制度和管理上采取綜合策略，再結合先進的網絡安全技術，才能使網絡系統具有較好的安全性，即網絡安全防護要從管理和技術兩方面入手。管理包括各種網絡安全規章制度的建立、實施以及監督；技術層面包括各種安全設備的應用和安全技術措施的應用等。網絡安全關鍵技術是指為解決網絡安全問題進行有效監控和管理，保障數據及系統安全的專門技術，一般分為預防保護、檢測跟蹤、響應恢復三類。本文將基于技術角度從網絡系統和計算機系統兩個方面給出具體的安全實施方案。

三、網絡設計實施方案

（一）分公司與省公司之間的路由

在分公司與省公司之間使用靜態路由協議，靜態路由的優勢在于它能夠非常準確地將消息傳輸到正確的目的地，因為消息要傳向的目的網絡和要經過的下一跳（或出接口）都已經由管理員預先定義好了。另外，因為管理員已經定義好路徑，客戶端可以利用這些靜態路由把消息傳送到目的地，所以安全性提高。此外，靜態路由還可以更好地控制整個網絡的流量，可以根據具體情況將流量路由到不同的路徑，以避免出現數據阻塞現象，從而提高網絡性能。由于靜態路由比較簡單，系統的維護和管理開銷也相對較小。在此方案中，分公司與省公司之間采用靜態路由通信，根據圖1，在R1上配置到省公司的靜態路由：ip route 202.114.62.0 255.255.255.0 202.114.67.6，在R2上配置省公司到分公司的靜態路由：ip route 202.114.66.0 255.255.255.0 202.114.67.5。

（二）分公司內部的路由

在分公司內部采用動態路由協議RIP v2或OSPF。一般的分公司都不止一處辦公地點，比如某銀行在一個三線城市設有分行，市內又有很多支行，支行下面還有不同的網點，特別是這些網點的網絡規模都比較小，整個市內分行的所有網絡節點匯總在一起可構成一個中等規模的網絡。如圖2拓撲，包括中心機房和A、B兩個辦事處，辦事處下面可以再連接不同的網段。類似這樣的企業組織結構，都可采用數臺思科三層交換機分別將下面的中心機房和A、B辦事處連接起來，辦事處下面還可連接分支機構。三層交換機不僅具有交換功能，還可以啟用路由功能。圖2中S1和S2兩臺交換機直接連接在路由器R1上，S3分別與S1和S2連接，這樣的好處一是可以減輕R1的負荷，二是增加了上行冗余鏈路，當一臺核心設備出現故障時，所有的數據流量會自動切換到另一臺核心設備進行數據的轉發，鏈路也會相應進行切換[3]。比如，路由器R1與交換機S2之間的鏈路出了故障，那么分公司B辦事處可以通過R3連入網絡；同理，如果路由器R1與交換機S1之間出現鏈路故障，那么分公司中心機房也可以通過交換機S3保持網絡暢通。網絡連接好后，需要考慮子網劃分的問題。首先根據申請到的IP地址范圍劃分出足夠的子網，圖2中，對分公司的C類網絡202.114.66.0/24，可劃分出變長子網掩碼的多個網段。對于三層交換機之間，以及交換機與路由器之間相互連接構成的網段，都采用30位子網掩碼，這樣可以恰到好處地分出更多的子網，而且每個子網的兩個IP地址正好滿足需求。圖2中，交換機S1與路由器R1的連接構成子網202.114.66.12/30，可用IP地址是202.114.66.13/30和202.114.66.14/30，能分別分配給R1和S1相連的兩個接口。

三層交換機與路由器之間宜采用動態路由協議RIP v2或者OSPF實現互連。靜態路由在分公司這種規模的網絡環境中已經不適用了，因為分公司的網絡規模較大，路由條目較多，管理員手動維護大量的靜態路由是非常困難的，并且容易出錯。而RIP v2是一種距離矢量路由協議，適用于中型網絡，支持路由聚合和認證，支持無類別域間路由（CIDR），非常靈活。OSPF協議也適用于大中型規模的網絡，它是一種內部網關協議，用于在同一個自制系統（AS）中的路由器之間交換路由信息，它收斂速度快，無路由環路[4]。根據企業分公司規模的大小，可以在這兩種動態協議中選取一種。根據圖2，表1采用RIP v2協議實現分公司路由，給出了路由器R1、R4和交換機S1的路由配置，交換機S2和S3的路由配置可參照交換機S1，路由器R3的配置可參照R4。

（三）接入層的配置

對于分公司A辦事處下面的網段，一般會根據不同業務部門劃分不同的VLAN。VLAN是為解決以太網的廣播風暴和安全性而提出的。不同VLAN是相互獨立的廣播域，一個VLAN中的廣播幀和單播幀都只能在本VLAN中傳輸，即使兩臺計算機位于相同物理網段，但如果所屬VLAN不同，它們也是不能相互通信的。網絡中劃分VLAN也用于控制流量和均衡負載。由于VLAN隔離了廣播風暴，也隔離了不同VLAN之間的通訊，因此，不同VLAN之間的通訊必須依靠路由器或者三層交換機來實現。單臂路由技術常用于實現VLAN間的通信，使用路由器的一個物理接口與交換機的干道端口連接，然后在路由器這一個物理接口上為網絡中不同的VLAN創建子接口，最后配置各個子接口的IP地址作為對應VLAN的網關。對于分公司B辦事處路由器R3下面的網段，計算機可全部采用配置內部私有地址：192.168.1.0 /24，因為公網IP地址作為資源是有限的，局域網內部使用私有IP地址可以不受限制。由于接入層計算機數量一般較多，網絡管理員為接入層計算機逐一配置IP地址工作量大，且容易出錯，因此可通過路由器R3中的DHCP服務為計算機自動分配IP地址。 DHCP服務器最主要的功能就是動態向網絡中的客戶機分配IP信息，保障動態分配的IP唯一性。客戶端計算機將自動獲得IP地址信息并完成配置，這極大地提高了工作效率，代替了手工配置的繁重工作，減少了手工配置可能出現的錯誤，同時還便于管理。當網絡中網絡號需要變動時，無須逐臺手動修改計算機的IP，只需調整DHCP服務器中IP地址池的網絡號即可。由于客戶機關機后，自動獲取的IP地址會釋放，因此使用DHCP服務也節約了IP地址。

四、企業網絡安全防護

（一）企業網絡安全的多層防護策略

根據網絡安全的策略，對企業網絡安全防護采用多層次的安全防護，在各個層次上部署相關的網絡安全產品，從而有效地降低被入侵的危險，達到安全防護的目標。如果將整個企業網絡比作城堡，防火墻就好比是城堡的護城河，入侵檢測系統就是城堡中的瞭望哨，訪問控制就是城堡內的管制，VPN（虛擬專用網） 就是從城堡外進入城堡內的一個安全地道，漏洞評估就是檢測城堡是否堅固以及是否存在隱患，NAT（網絡地址轉換）就是喬裝打扮出城，防病毒就是城堡中的將士把發現的敵人消滅。圖3是安全企業網絡的多層防護模型。

（二）企業網絡安全防護措施

1.部署防火墻。防火墻是一種位于內網與外網之間的高級訪問控制設備，能根據企業的網絡安全策略，在內網與外網之間實現訪問控制，是部署在網絡中的第一道安全防線，是不同網絡安全域間信息流的唯一通道。在圖1中，因為分公司和省公司的邊界路由器R1和R2直接與因特網相連，所以可根據需求，考慮是否需要分別在R1和R2之外配置兩臺防火墻。

2.部署入侵檢測系統。入侵檢測系統（IDS）可以彌補防火墻的不足，有助于預警網絡攻擊，提高外部入侵內網的門檻。它的作用就是監控網絡和計算機系統是否出現被入侵或濫用的征兆。入侵檢測系統分為NIDS、HIDS和DIDS三種基本類型。根據網絡規模的大小，可以選用不同的類型。HIDS是基于主機的入侵檢測系統，通常安裝在被保護的主機上（如服務器），而NIDS（基于網絡的入侵檢測系統）和DIDS（分布式入侵檢測系統）作為探測器放置在網絡中的關鍵節點上，并向中央控制臺匯報情況。

3.建立VPN。虛擬專用網（VPN）就是通過公用網絡建立的一個臨時、安全的連接，是對企業內部網的擴展[5]，為兩個網絡（或兩臺主機）之間的通信提供一個虛擬的、安全的專用通道。VPN使用了密鑰管理、訪問控制和身份認證等多種技術。比如在分公司的中心機房可以配置一臺VPN服務器，便于出差在外的員工通過VPN臨時通道安全訪問公司內網服務器。

4.配置NAT。網絡地址轉換（NAT）能把內網中訪問因特網的IP地址進行轉換，使外部無法獲悉內網主機的真正IP，也隱藏了內部網絡的結構。使用NAT的網絡，只能由內到外發起訪問，這就增強了內部網絡的安全，降低了被外網攻擊的風險。如在圖2的內網中，可以在邊界路由器R1上配置動態NAT，定義一個轉換中使用的全局地址池（如202.114.66.101/24-202.114.66.120/24），配置標準訪問控制列表允許兩臺服務器和內網中某些網段進行地址轉換。

5.訪問控制。訪問控制技術主要用于授權、限制和監控用戶對網絡資源的訪問，是保證資源的合法使用和網絡系統安全的主要措施。在企業網絡中，可以通過以下方式來應用訪問控制。一是MAC地址過濾，根據交換機的MAC地址過濾，限制主機和服務器之間的訪問。二是VLAN隔離，隔離不同的用戶組，這樣兩個分組之間不能通信。三是ACL訪問控制，在路由器的網絡層上用包過濾中的源地址、目的地址、端口來管理訪問權限。四是防火墻訪問控制，在網絡通信中配置防火墻控制訪問。

6.漏洞評估。定期使用掃描軟件對整個網絡進行掃描，旨在發現漏洞，再根據掃描評估結果及時采取相應措施，可以大大地減少網絡被入侵的風險。

7.查殺病毒。防火墻的弱點之一就是不能防備病毒。計算機病毒與黑客攻擊技術日益融合，造成的危害越來越大，防治病毒是網絡安防中的重要一環。企業應建立全方位的病毒防護體系，從而有效降低病毒帶來的危害。全方位病毒防護體系的構建應該包括：在個人計算機上安裝殺毒軟件和單機防火墻；在服務器上安裝基于服務器的防病毒軟件；在網關上安裝基于Internet網關的防病毒產品（如瑞星防毒墻 5.0）。這一防護體系能極大地減少病毒造成的危害。

（三）計算機系統安全防護措施

企業網中有很多個人計算機和服務器，如果一臺計算機被控制，攻擊者將以此為跳板對整個網絡發起攻擊，結果可能導致整個企業網絡癱瘓，因此，做好個人計算機系統的防護措施至關重要，根據國內網絡安全評估準則—《計算機信息系統安全保護等級劃分準則》，個人計算機和服務器的信息安全保護等級應該達到用戶自主保護級和系統審計保護級，對于服務器來說，安全保護等級還可以配置為更高。

1.計算機系統基本安全配置

一是設置開機密碼、系統登錄密碼、屏保密碼，有條件還可以對硬件采取簡單的安全措施（如加鎖）。二是在本地安全策略中配置賬戶策略，網站安全調查的結果表明，超過80%的安全侵犯都是由于弱口令而導致的，而80%的入侵可以通過使用復雜口令來阻止。三是不要啟用Guest賬戶，并確保在本地安全策略的安全選項中配置為“使用空密碼的本地賬戶只允許進行控制臺登錄”。四是啟用安全日志，創建和維護訪問審計跟蹤記錄。此外，我們還可以設置禁止系統自動登錄、拒絕修改防火規則、開啟系統自帶的加密與解密功能等。

2.關鍵信息的保護

一是要盡可能隱藏IP地址。攻擊者獲得了計算機的IP地址，就等于明確了攻擊目標。隱藏IP地址的主要方法是使用代理服務器，或者使用NAT技術（網絡地址轉換）。二是封閉計算機中不必要的端口，如遠程訪問的3389端口、流行病毒的后門端口、TCP 135等等端口，我們可以使用本機自帶防火墻或管理工具中的本地安全策略來關閉端口。三是對管理員賬戶和來賓賬戶（Guest）進行特殊處理，Windows系統中的Administrator賬戶是管理員賬戶，我們應先對管理員賬戶進行更名，再把沒有權限的Guest賬戶更名為管理員以欺騙攻擊者。

3.必要的安全保護措施

首先是安裝必要的安全軟件，包括殺毒軟件（如360殺毒）和個人防火墻軟件（如瑞星個人防火墻），這樣系統即便遭遇入侵，也能具有較好的防御能力；其次要經常升級系統版本（包括應用程序），確保系統中的漏洞在被黑客發現之前就已經修補上了，從而保證了系統的安全；三是不要回復陌生人的郵件；最后還要進行瀏覽器的安全級別設置，常見的瀏覽器包括Chrome、Firefox、Edge等，不同瀏覽器的安全級別設置方法不同，通過設置瀏覽器的安全級別，可以限制外部攻擊，保護用戶隱私，控制網站內容。

4.數據的保護

從兩個方面保護數據，一是及時備份重要數據，即便系統遭到攻擊也可以在短時間內恢復，挽回不必要的損失。國外很多商務網站都會在每天晚上對系統數據進行備份，數據的備份最好放在其他電腦或驅動器上。二是使用加密機制傳輸數據。網絡上的信息一般是明文傳輸的，一旦被別有用心的人使用嗅探軟件獲取關鍵信息，將會帶來損失，因此對網絡中傳輸的數據進行加密是必要的。DES加密是一套沒有逆向破解的加密算法，即便黑客得到了加密處理后的文件，破解工作也會在無休止地嘗試后終止。

五、結語

本文給出了一個應用思科網絡設備的大中型企業網的組建及安全方案，一方面從路由與交換技術的角度討論了網絡的組建，以實例的形式對網絡組建方案做了具體的分析；另一方面從網絡安全技術角度討論了企業網絡的安全防護措施，但網絡安全防護僅靠技術是遠遠不夠的，管理重于技術。安防工作是一個動態的過程，沒有一成不變的安防系統，也沒有一勞永逸的安防系統。

參考文獻

[1]薛董敏.計算機網絡路由交換技術的應用研究[J].軟件，2022，43（08）：58-60.

[2]謝小蘭.基于思科設備的大中型企業網安全方案設計[J].企業技術開發，2013，32（14）：83+102.

[3]伊健.校園網的規劃與實現[J].電腦知識與技術，2023，19（13）：91-93.

[4]王明昊.路由和交換技術（第二版）[M].大連：大連理工大學出版社，2021.

[5]徐照興，劉慶，蔚治國.網絡安全技術[M].上海：上海交通大學出版社，2020.

作者單位：南充職業技術學院