| 當前位置：拓步ERP資訊網(wǎng) >>服務支持 >>ERP技術支持 >>技術支持知識庫

基于VLAN的企業(yè)網(wǎng)絡安全架構設計

發(fā)布日期：2013-08-18 5:59:17 來源：www.guhuozai8.cn 編輯：拓步ERP資訊網(wǎng) 瀏覽：評論

摘要：重點探討基于VLAN的企業(yè)網(wǎng)絡安全的架構設計，涉及到企業(yè)網(wǎng)絡三層結構的設計、VLAN的劃分、VLAN的訪問控制配置。 原標題：基于VLAN的企業(yè)網(wǎng)絡安全架構設計 原作者：發(fā)表時間：2013/8/17 沈煜來源：萬方數(shù)據(jù)

1 引言

網(wǎng)絡安全是國家發(fā)展所面臨的一個重要問題。對于這個問題，還沒有從系統(tǒng)的規(guī)劃上去考慮它，從技術上、產(chǎn)業(yè)上、政策上來發(fā)展它。網(wǎng)絡安全問題一般包括網(wǎng)絡系統(tǒng)安仝和數(shù)據(jù)安全。網(wǎng)絡系統(tǒng)安全是防止網(wǎng)絡系統(tǒng)遭到?jīng)]有授權的非法訪問、存取或破壞；數(shù)據(jù)安全主要是防止重要、敏感數(shù)據(jù)被竊取等。將重點探討基于VLAN的企業(yè)網(wǎng)絡安全的架構設計。

2 原理

什么是虛擬局域網(wǎng)?由于有眾多的供應商所制定的虛擬局域網(wǎng)解決方案和實施策略，所以精確地給虛擬局域網(wǎng)下定義就成為一個有爭議的問題。然而，多數(shù)人對這種說法表示同意：VLAN即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內的設備邏輯地劃分成一個個網(wǎng)段，從而實現(xiàn)虛擬工作組的新興技術。

2.1根據(jù)端口劃分VIAN

許多最初的虛擬局域網(wǎng)實施按照交換機端口分組來定義虛擬局域網(wǎng)成員。例如，一臺交換機的端口1、2、3、7和8上的上作站組成，r虛擬局域網(wǎng)A，而端口4、5和6上的T作站組成了虛擬局域網(wǎng)B。此外，在多數(shù)最初的實施當中，虛擬局域網(wǎng)只能在同一臺交換機上得到支持。第二代實施支持跨越多臺交換機的虛擬局域網(wǎng)。

2.2根據(jù)MAC地址劃分VLAN

這種劃分VIAN的方法是根據(jù)每個主機的MAC地址來劃分，即對每個MAC地址的主機都配置它屬于哪個組�；贛AC地址的虛擬局域網(wǎng)具有不同的優(yōu)點和缺點。由于硬件地址層的地址是硬連接到工作站的網(wǎng)絡界而卡(NIC)上的，所以基于硬件地址層地址的的虛擬局域網(wǎng)使網(wǎng)絡管理者能夠把網(wǎng)絡上的工作站移動到不同的實際位置，而且可以讓這臺工作站自動地保持它原有的虛擬局域網(wǎng)成員資格。

2.3基于第三層的VLAN

基于第三層信息的虛擬局域網(wǎng)在確定虛擬局域網(wǎng)成員時考慮協(xié)議類型(如果多協(xié)議得到支持)或網(wǎng)絡層地址(例如，TCP／IP網(wǎng)絡的子網(wǎng)地址)。雖然這些虛擬局域網(wǎng)是基于第三層信息的，但這并不構成一種“路甫”功能，也不應與網(wǎng)絡層路由相混淆。即使交換機檢查數(shù)據(jù)包的IP地址以確定虛擬局域網(wǎng)成員，也不會施行路由計算，不會采用RIP或OSPF協(xié)議，而且穿越交換機的數(shù)據(jù)幀通常根據(jù)生成樹算法橋接。

3 企業(yè)網(wǎng)絡三層結構的設計

企業(yè)網(wǎng)絡三層結構的設計如圖1所示：

圖1 企業(yè)網(wǎng)絡三層結構拓撲圖

(1)內部網(wǎng)絡分級隔離、分級施策

把原有的服務器區(qū)分隔為對外公開的服務器區(qū)(DMZ區(qū))和企、№專用的服務器區(qū)。將對外開放的服務器如：Web服務器、Mail服務器等移入DMZ區(qū)。重要的僅供企業(yè)內部使用的服務器作為一個服務子網(wǎng)，使用適合的保護措施保護起來。其他部分分別按用途劃分為辦公子網(wǎng)、管理子網(wǎng)、生產(chǎn)子網(wǎng)，做到分級隔離，劃分清晰。在各子網(wǎng)之間根據(jù)不同的保護級別實施保護策略，做到分級施策。

(2)安全產(chǎn)品聯(lián)動，實現(xiàn)交叉防守，立體防御

在網(wǎng)絡產(chǎn)品的選擇和部署時。考慮各產(chǎn)品的功能和特點，相互結合，充分發(fā)揮各自優(yōu)勢。實現(xiàn)安全聯(lián)動，交叉防守，立體防御。

(3)設備線路設計冗余，避免單點失敗

在原有網(wǎng)絡中，內部網(wǎng)絡所有的流量都要通過主交換機匯入外網(wǎng)。主交換機幾乎承載了整個內部網(wǎng)絡的數(shù)據(jù)交換工作，極易出現(xiàn)故障，造成整個網(wǎng)絡的癱瘓。新的設計中考慮到這方面的要求，在主交換機處設置了備用交換機，避免單點失敗造成網(wǎng)絡的中斷。

(4)管理安全、集中方便

設置安全管理區(qū)。管理員很容易在管理區(qū)內對網(wǎng)絡中的主機和設備進行集中統(tǒng)一的管理。通過安全產(chǎn)品的監(jiān)控、報警、審計等功能，了解網(wǎng)絡的實時狀態(tài)，實現(xiàn)對網(wǎng)絡的安全管理。

4 VLAN設計

4.1劃分

在安全控制方面，采用虛擬局域網(wǎng)(VLAN)來控制廣播域和網(wǎng)段流量，提高網(wǎng)絡性能、安全性和可管理性。比如員工常常通過網(wǎng)絡聯(lián)機游戲，有時游戲產(chǎn)生的網(wǎng)絡流量嚴重沖擊了骨干網(wǎng)絡的整體性能。再比如，有些員工好奇心強，常常喜歡在網(wǎng)絡中充當“黑客“的角色，給網(wǎng)絡的其他用戶造成很大威脅。那么，必須采用劃分虛擬局域網(wǎng)(VLA聊的方法，限制信息點之間的互相訪問，從而提高了網(wǎng)絡的整體性能。

更值得一提的是，接入交換機可以采用VLAN實現(xiàn)端口之間相互隔離，不必占用VLAN資源。在使用VLAN時，各端口不可以互通，僅可通過擴展模塊上聯(lián)端口或其他上聯(lián)端口可訪問互聯(lián)網(wǎng)或社區(qū)服務器。若用戶希望端口之間通信，則借助三層交換機或路由器進行路由轉發(fā)。通過采取這些相應的安全措施，沒有授權的用戶在網(wǎng)絡中的不能任意上網(wǎng)，給網(wǎng)絡的安全性帶來了基本保障。

4.2訪問控制

三層交換機設置了VLAN路由接口后，默認情況下，任何兩個VLAN之間都可以進行通信，實現(xiàn)資源共享。隨著網(wǎng)絡規(guī)模的升級，信息流量逐漸加大，人員管理變得日益復雜，給企業(yè)網(wǎng)的安全、穩(wěn)定和高效運行帶來新的隱患，如何消除這些隱患呢?在VLAN間采用訪問控制策略，能夠加強網(wǎng)絡的整體安全。

在核心層和匯接層交換機的接口上建立訪問控制列表來實現(xiàn)VLAN之間的訪問控制，決定哪些用戶數(shù)據(jù)流可以在VLAN之間進行交換，以及最終到達核心層。訪問控制列表ACL由基于一套測試標準的一系列許可和拒絕語句組成。其處理過程是自上向下的，一旦找到了匹配語句，就不再繼續(xù)處理。在訪問控制列表末尾設置一條隱含拒絕語句，若在訪問控制列表中沒有發(fā)現(xiàn)匹配，則最終與隱含拒絕語句相匹配。

4.3配置命令

5 結語

網(wǎng)絡安全體系的建設是一個長期的、動態(tài)變化的過程，在新的網(wǎng)絡安全技術手段不斷出現(xiàn)的同時，新的攻擊入侵手段也會隨之出現(xiàn)。任何一個安全體系設計方案都不能完全解決所有的安全問題。因此，如何將網(wǎng)絡安全技術與網(wǎng)絡安全管理無縫地融合在一起，如何能讓網(wǎng)絡安全實施策略隨著不同的網(wǎng)絡環(huán)境的改變而自動做出相應的改變，這就是在未來的網(wǎng)絡安全解決方案研究中需要解決的。

核心關注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理，全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域，是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/

本文標題：基于VLAN的企業(yè)網(wǎng)絡安全架構設計

本文網(wǎng)址：http://www.guhuozai8.cn/html/support/11121510348.html

關鍵詞標簽： 基于VLAN的企業(yè)網(wǎng)絡安全架構設計,VLAN 企業(yè)網(wǎng)絡架構設計網(wǎng)絡安全,ERP,ERP系統(tǒng),ERP軟件,ERP系統(tǒng)軟件,ERP管理系統(tǒng),ERP管理軟件,進銷存軟件,財務軟件,倉庫管理軟件,生產(chǎn)管理軟件,企業(yè)管理軟件,拓步,拓步ERP,拓步軟件,免費ERP,免費ERP軟件,免費ERP系統(tǒng),ERP軟件免費下載,ERP系統(tǒng)免費下載,免費ERP軟件下載,免費進銷存軟件,免費進銷存,免費財務軟件,免費倉庫管理軟件,免費下載,

本文轉自：e-works制造業(yè)信息化門戶網(wǎng)

本文來源于互聯(lián)網(wǎng)，拓步ERP資訊網(wǎng)本著傳播知識、有益學習和研究的目的進行的轉載，為網(wǎng)友免費提供，并盡力標明作者與出處，如有著作權人或出版方提出異議，本站將立即刪除。如果您對文章轉載有任何疑問請告之我們，以便我們及時糾正。聯(lián)系方式：QQ：10877846 Tel：0755-26405298。

上一篇： OpenStack開源云計算平臺

下一篇：華為存儲速度之謎

相關文章

服務支持

拓步ERP系統(tǒng)軟件平臺11.5專業(yè)版v10.1.2...

拓步ERP系統(tǒng)軟件平臺11.5標..

金蝶KIS財務軟件標準版V8.1..

金蝶KIS財務軟件迷你版V8.1..

金蝶KIS工業(yè)貿易專業(yè)版V12...

SQL2000 4in1 ISO..

MSDE2000 SP4 簡體中..

金蝶KIS商貿高級版V4.0|破..

金蝶KIS財務軟件行政事業(yè)版V9..

金蝶KIS零售版V4.1|破解版..

熱門培訓視頻

拓步ERP系統(tǒng)平臺庫存管理系統(tǒng)培訓視頻教材

拓步ERP系統(tǒng)平臺客戶端安裝培訓..

拓步ERP財務管理系統(tǒng)培訓視頻

拓步ERP系統(tǒng)平臺數(shù)據(jù)庫安裝培訓..

拓步ERP系統(tǒng)平臺通用操作培訓視..

拓步ERP系統(tǒng)平臺采購管理系統(tǒng)培..

拓步ERP系統(tǒng)平臺考勤管理系統(tǒng)培..

拓步ERP系統(tǒng)平臺財務報表系統(tǒng)培..

拓步ERP系統(tǒng)平臺財務總帳系統(tǒng)培..

拓步ERP系統(tǒng)平臺應收帳款系統(tǒng)培..

熱門電子圖書

拓步ERP財務管理系統(tǒng)電子圖書

熱門管理軟件

拓步ERP系統(tǒng)管理軟件介紹

拓步ERP平臺系列旗艦版

拓步ERP生產(chǎn)系列標準版（進銷存..

拓步ERP業(yè)務系列倉存版（倉庫管..

拓步ERP平臺系列標準版

拓步ERP財務系列迷你版（財務管..

拓步ERP條碼系列業(yè)務標準版（條..

拓步ERP平臺系列企業(yè)版

拓步ERP平臺系列專業(yè)版

拓步ERP行業(yè)系列電子行業(yè)版


	ERP新聞動態(tài) 拓步新聞行業(yè)新聞關注產(chǎn)品觀點縱橫企業(yè)管理企業(yè)應用

	ERP解決方案按ERP應用行業(yè)分類按ERP企業(yè)規(guī)模分類按ERP管理領域分類按ERP軟件功能分類按ERP系統(tǒng)特性分類用友ERP解決方案金蝶ERP解決方案易飛ERP解決方案速達ERP解決方案其他ERP解決方案

	ERP顧問咨詢 ERP管理咨詢 ERP戰(zhàn)略診斷 ERP流程分析 ERP流程優(yōu)化 ERP風險分析 ERP可行性研究 ERP整體規(guī)劃 ERP選型招標 ERP實施監(jiān)理 ERP評審驗收 ERP績效評價 ERP基礎知識 ERP課程培訓 ERP培訓教育 ERP視頻教材

	CIO技術專欄 CIO企業(yè)應用 CIO網(wǎng)絡通信 CIO信息安全 CIO基礎設施 CIO云計算

	ERP技術支持技術支持知識庫常見問題資料庫在線學習資料庫日常辦公資料庫企業(yè)管理知識庫

	ERP系統(tǒng)價格拓步ERP系統(tǒng)價格體系拓步EIS軟件價格體系合作品牌ERP價格體系技術支持服務價格體系

	合作品牌用友UFIDA 金蝶KingDee 神州數(shù)碼Digital 速達SuperData 拓步ERP系統(tǒng)成功案例

	代理加盟合作聯(lián)盟策略代理合作指南代理聯(lián)盟前景聯(lián)盟技術支持快速搜索ERP軟件資訊

	關于拓步公司介紹公司愿景企業(yè)文化誠聘英才聯(lián)系我們在線留言在線訂購意向下載體驗登記

日本高清色本免费现在观看-日本高清色图-日本高清色视频在线观看免费-日本高清免费一本视频在线观看-国产精品电影久久-国产精品对白刺激久久久

ERP技術支持

技術支持知識庫

常見問題資料庫

在線學習資料庫

日常辦公資料庫

企業(yè)管理知識庫

ERP系統(tǒng)教程

ERP免費下載

ERP在線咨詢

即時聯(lián)系

服務熱線

快捷互動

猜您喜歡