1 引言
網絡安全是國家發展所面臨的一個重要問題。對于這個問題,還沒有從系統的規劃上去考慮它,從技術上、產業上、政策上來發展它。網絡安全問題一般包括網絡系統安仝和數據安全。網絡系統安全是防止網絡系統遭到沒有授權的非法訪問、存取或破壞;數據安全主要是防止重要、敏感數據被竊取等。將重點探討基于VLAN的企業網絡安全的架構設計。
2 原理
什么是虛擬局域網?由于有眾多的供應商所制定的虛擬局域網解決方案和實施策略,所以精確地給虛擬局域網下定義就成為一個有爭議的問題。然而,多數人對這種說法表示同意:VLAN即虛擬局域網,是一種通過將局域網內的設備邏輯地劃分成一個個網段,從而實現虛擬工作組的新興技術。
2.1根據端口劃分VIAN
許多最初的虛擬局域網實施按照交換機端口分組來定義虛擬局域網成員。例如,一臺交換機的端口1、2、3、7和8上的上作站組成,r虛擬局域網A,而端口4、5和6上的T作站組成了虛擬局域網B。此外,在多數最初的實施當中,虛擬局域網只能在同一臺交換機上得到支持。第二代實施支持跨越多臺交換機的虛擬局域網。
2.2根據MAC地址劃分VLAN
這種劃分VIAN的方法是根據每個主機的MAC地址來劃分,即對每個MAC地址的主機都配置它屬于哪個組。基于MAC地址的虛擬局域網具有不同的優點和缺點。由于硬件地址層的地址是硬連接到工作站的網絡界而卡(NIC)上的,所以基于硬件地址層地址的的虛擬局域網使網絡管理者能夠把網絡上的工作站移動到不同的實際位置,而且可以讓這臺工作站自動地保持它原有的虛擬局域網成員資格。
2.3基于第三層的VLAN
基于第三層信息的虛擬局域網在確定虛擬局域網成員時考慮協議類型(如果多協議得到支持)或網絡層地址(例如,TCP/IP網絡的子網地址)。雖然這些虛擬局域網是基于第三層信息的,但這并不構成一種“路甫”功能,也不應與網絡層路由相混淆。即使交換機檢查數據包的IP地址以確定虛擬局域網成員,也不會施行路由計算,不會采用RIP或OSPF協議,而且穿越交換機的數據幀通常根據生成樹算法橋接。
3 企業網絡三層結構的設計
企業網絡三層結構的設計如圖1所示:
圖1 企業網絡三層結構拓撲圖
(1)內部網絡分級隔離、分級施策
把原有的服務器區分隔為對外公開的服務器區(DMZ區)和企、№專用的服務器區。將對外開放的服務器如:Web服務器、Mail服務器等移入DMZ區。重要的僅供企業內部使用的服務器作為一個服務子網,使用適合的保護措施保護起來。其他部分分別按用途劃分為辦公子網、管理子網、生產子網,做到分級隔離,劃分清晰。在各子網之間根據不同的保護級別實施保護策略,做到分級施策。
(2)安全產品聯動,實現交叉防守,立體防御
在網絡產品的選擇和部署時。考慮各產品的功能和特點,相互結合,充分發揮各自優勢。實現安全聯動,交叉防守,立體防御。
(3)設備線路設計冗余,避免單點失敗
在原有網絡中,內部網絡所有的流量都要通過主交換機匯入外網。主交換機幾乎承載了整個內部網絡的數據交換工作,極易出現故障,造成整個網絡的癱瘓。新的設計中考慮到這方面的要求,在主交換機處設置了備用交換機,避免單點失敗造成網絡的中斷。
(4)管理安全、集中方便
設置安全管理區。管理員很容易在管理區內對網絡中的主機和設備進行集中統一的管理。通過安全產品的監控、報警、審計等功能,了解網絡的實時狀態,實現對網絡的安全管理。
4 VLAN設計
4.1劃分
在安全控制方面,采用虛擬局域網(VLAN)來控制廣播域和網段流量,提高網絡性能、安全性和可管理性。比如員工常常通過網絡聯機游戲,有時游戲產生的網絡流量嚴重沖擊了骨干網絡的整體性能。再比如,有些員工好奇心強,常常喜歡在網絡中充當“黑客“的角色,給網絡的其他用戶造成很大威脅。那么,必須采用劃分虛擬局域網(VLA聊的方法,限制信息點之間的互相訪問,從而提高了網絡的整體性能。
更值得一提的是,接入交換機可以采用VLAN實現端口之間相互隔離,不必占用VLAN資源。在使用VLAN時,各端口不可以互通,僅可通過擴展模塊上聯端口或其他上聯端口可訪問互聯網或社區服務器。若用戶希望端口之間通信,則借助三層交換機或路由器進行路由轉發。通過采取這些相應的安全措施,沒有授權的用戶在網絡中的不能任意上網,給網絡的安全性帶來了基本保障。
4.2訪問控制
三層交換機設置了VLAN路由接口后,默認情況下,任何兩個VLAN之間都可以進行通信,實現資源共享。隨著網絡規模的升級,信息流量逐漸加大,人員管理變得日益復雜,給企業網的安全、穩定和高效運行帶來新的隱患,如何消除這些隱患呢?在VLAN間采用訪問控制策略,能夠加強網絡的整體安全。
在核心層和匯接層交換機的接口上建立訪問控制列表來實現VLAN之間的訪問控制,決定哪些用戶數據流可以在VLAN之間進行交換,以及最終到達核心層。訪問控制列表ACL由基于一套測試標準的一系列許可和拒絕語句組成。其處理過程是自上向下的,一旦找到了匹配語句,就不再繼續處理。在訪問控制列表末尾設置一條隱含拒絕語句,若在訪問控制列表中沒有發現匹配,則最終與隱含拒絕語句相匹配。
4.3配置命令
5 結語
網絡安全體系的建設是一個長期的、動態變化的過程,在新的網絡安全技術手段不斷出現的同時,新的攻擊入侵手段也會隨之出現。任何一個安全體系設計方案都不能完全解決所有的安全問題。因此,如何將網絡安全技術與網絡安全管理無縫地融合在一起,如何能讓網絡安全實施策略隨著不同的網絡環境的改變而自動做出相應的改變,這就是在未來的網絡安全解決方案研究中需要解決的。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:基于VLAN的企業網絡安全架構設計
相關文章
