1 引言
網(wǎng)絡安全是國家發(fā)展所面臨的一個重要問題。對于這個問題,還沒有從系統(tǒng)的規(guī)劃上去考慮它,從技術上、產(chǎn)業(yè)上、政策上來發(fā)展它。網(wǎng)絡安全問題一般包括網(wǎng)絡系統(tǒng)安仝和數(shù)據(jù)安全。網(wǎng)絡系統(tǒng)安全是防止網(wǎng)絡系統(tǒng)遭到?jīng)]有授權的非法訪問、存取或破壞;數(shù)據(jù)安全主要是防止重要、敏感數(shù)據(jù)被竊取等。將重點探討基于VLAN的企業(yè)網(wǎng)絡安全的架構設計。
2 原理
什么是虛擬局域網(wǎng)?由于有眾多的供應商所制定的虛擬局域網(wǎng)解決方案和實施策略,所以精確地給虛擬局域網(wǎng)下定義就成為一個有爭議的問題。然而,多數(shù)人對這種說法表示同意:VLAN即虛擬局域網(wǎng),是一種通過將局域網(wǎng)內的設備邏輯地劃分成一個個網(wǎng)段,從而實現(xiàn)虛擬工作組的新興技術。
2.1根據(jù)端口劃分VIAN
許多最初的虛擬局域網(wǎng)實施按照交換機端口分組來定義虛擬局域網(wǎng)成員。例如,一臺交換機的端口1、2、3、7和8上的上作站組成,r虛擬局域網(wǎng)A,而端口4、5和6上的T作站組成了虛擬局域網(wǎng)B。此外,在多數(shù)最初的實施當中,虛擬局域網(wǎng)只能在同一臺交換機上得到支持。第二代實施支持跨越多臺交換機的虛擬局域網(wǎng)。
2.2根據(jù)MAC地址劃分VLAN
這種劃分VIAN的方法是根據(jù)每個主機的MAC地址來劃分,即對每個MAC地址的主機都配置它屬于哪個組;贛AC地址的虛擬局域網(wǎng)具有不同的優(yōu)點和缺點。由于硬件地址層的地址是硬連接到工作站的網(wǎng)絡界而卡(NIC)上的,所以基于硬件地址層地址的的虛擬局域網(wǎng)使網(wǎng)絡管理者能夠把網(wǎng)絡上的工作站移動到不同的實際位置,而且可以讓這臺工作站自動地保持它原有的虛擬局域網(wǎng)成員資格。
2.3基于第三層的VLAN
基于第三層信息的虛擬局域網(wǎng)在確定虛擬局域網(wǎng)成員時考慮協(xié)議類型(如果多協(xié)議得到支持)或網(wǎng)絡層地址(例如,TCP/IP網(wǎng)絡的子網(wǎng)地址)。雖然這些虛擬局域網(wǎng)是基于第三層信息的,但這并不構成一種“路甫”功能,也不應與網(wǎng)絡層路由相混淆。即使交換機檢查數(shù)據(jù)包的IP地址以確定虛擬局域網(wǎng)成員,也不會施行路由計算,不會采用RIP或OSPF協(xié)議,而且穿越交換機的數(shù)據(jù)幀通常根據(jù)生成樹算法橋接。
3 企業(yè)網(wǎng)絡三層結構的設計
企業(yè)網(wǎng)絡三層結構的設計如圖1所示:
圖1 企業(yè)網(wǎng)絡三層結構拓撲圖
(1)內部網(wǎng)絡分級隔離、分級施策
把原有的服務器區(qū)分隔為對外公開的服務器區(qū)(DMZ區(qū))和企、№專用的服務器區(qū)。將對外開放的服務器如:Web服務器、Mail服務器等移入DMZ區(qū)。重要的僅供企業(yè)內部使用的服務器作為一個服務子網(wǎng),使用適合的保護措施保護起來。其他部分分別按用途劃分為辦公子網(wǎng)、管理子網(wǎng)、生產(chǎn)子網(wǎng),做到分級隔離,劃分清晰。在各子網(wǎng)之間根據(jù)不同的保護級別實施保護策略,做到分級施策。
(2)安全產(chǎn)品聯(lián)動,實現(xiàn)交叉防守,立體防御
在網(wǎng)絡產(chǎn)品的選擇和部署時。考慮各產(chǎn)品的功能和特點,相互結合,充分發(fā)揮各自優(yōu)勢。實現(xiàn)安全聯(lián)動,交叉防守,立體防御。
(3)設備線路設計冗余,避免單點失敗
在原有網(wǎng)絡中,內部網(wǎng)絡所有的流量都要通過主交換機匯入外網(wǎng)。主交換機幾乎承載了整個內部網(wǎng)絡的數(shù)據(jù)交換工作,極易出現(xiàn)故障,造成整個網(wǎng)絡的癱瘓。新的設計中考慮到這方面的要求,在主交換機處設置了備用交換機,避免單點失敗造成網(wǎng)絡的中斷。
(4)管理安全、集中方便
設置安全管理區(qū)。管理員很容易在管理區(qū)內對網(wǎng)絡中的主機和設備進行集中統(tǒng)一的管理。通過安全產(chǎn)品的監(jiān)控、報警、審計等功能,了解網(wǎng)絡的實時狀態(tài),實現(xiàn)對網(wǎng)絡的安全管理。
4 VLAN設計
4.1劃分
在安全控制方面,采用虛擬局域網(wǎng)(VLAN)來控制廣播域和網(wǎng)段流量,提高網(wǎng)絡性能、安全性和可管理性。比如員工常常通過網(wǎng)絡聯(lián)機游戲,有時游戲產(chǎn)生的網(wǎng)絡流量嚴重沖擊了骨干網(wǎng)絡的整體性能。再比如,有些員工好奇心強,常常喜歡在網(wǎng)絡中充當“黑客“的角色,給網(wǎng)絡的其他用戶造成很大威脅。那么,必須采用劃分虛擬局域網(wǎng)(VLA聊的方法,限制信息點之間的互相訪問,從而提高了網(wǎng)絡的整體性能。
更值得一提的是,接入交換機可以采用VLAN實現(xiàn)端口之間相互隔離,不必占用VLAN資源。在使用VLAN時,各端口不可以互通,僅可通過擴展模塊上聯(lián)端口或其他上聯(lián)端口可訪問互聯(lián)網(wǎng)或社區(qū)服務器。若用戶希望端口之間通信,則借助三層交換機或路由器進行路由轉發(fā)。通過采取這些相應的安全措施,沒有授權的用戶在網(wǎng)絡中的不能任意上網(wǎng),給網(wǎng)絡的安全性帶來了基本保障。
4.2訪問控制
三層交換機設置了VLAN路由接口后,默認情況下,任何兩個VLAN之間都可以進行通信,實現(xiàn)資源共享。隨著網(wǎng)絡規(guī)模的升級,信息流量逐漸加大,人員管理變得日益復雜,給企業(yè)網(wǎng)的安全、穩(wěn)定和高效運行帶來新的隱患,如何消除這些隱患呢?在VLAN間采用訪問控制策略,能夠加強網(wǎng)絡的整體安全。
在核心層和匯接層交換機的接口上建立訪問控制列表來實現(xiàn)VLAN之間的訪問控制,決定哪些用戶數(shù)據(jù)流可以在VLAN之間進行交換,以及最終到達核心層。訪問控制列表ACL由基于一套測試標準的一系列許可和拒絕語句組成。其處理過程是自上向下的,一旦找到了匹配語句,就不再繼續(xù)處理。在訪問控制列表末尾設置一條隱含拒絕語句,若在訪問控制列表中沒有發(fā)現(xiàn)匹配,則最終與隱含拒絕語句相匹配。
4.3配置命令
5 結語
網(wǎng)絡安全體系的建設是一個長期的、動態(tài)變化的過程,在新的網(wǎng)絡安全技術手段不斷出現(xiàn)的同時,新的攻擊入侵手段也會隨之出現(xiàn)。任何一個安全體系設計方案都不能完全解決所有的安全問題。因此,如何將網(wǎng)絡安全技術與網(wǎng)絡安全管理無縫地融合在一起,如何能讓網(wǎng)絡安全實施策略隨著不同的網(wǎng)絡環(huán)境的改變而自動做出相應的改變,這就是在未來的網(wǎng)絡安全解決方案研究中需要解決的。
核心關注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理,全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域,是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/
本文標題:基于VLAN的企業(yè)網(wǎng)絡安全架構設計
本文網(wǎng)址:http://www.guhuozai8.cn/html/support/11121510348.html