企業(yè)網(wǎng)絡(luò)安全架構(gòu)的建立與應(yīng)用

　　互聯(lián)網(wǎng)的快速發(fā)展，使得黑客工具在網(wǎng)絡(luò)上迅速傳播。信息系統(tǒng)在沒(méi)有得到有效保護(hù)的情況下，隨時(shí)可能遭受到外界的攻擊，遭到破壞，甚至崩潰，對(duì)生產(chǎn)造成嚴(yán)重的后果。
　　
　　安全體系模型
　　
　　針對(duì)目前計(jì)算機(jī)網(wǎng)絡(luò)中所存在的嚴(yán)重安全問(wèn)題，各種網(wǎng)絡(luò)安全應(yīng)用起到了一定的作用。但對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題需要綜合考慮網(wǎng)絡(luò)中所存在的各種安全隱患，建立整體的安全架構(gòu)，使計(jì)算機(jī)網(wǎng)絡(luò)的安全防護(hù)成為一個(gè)安全體系，具備自防御的功能。根據(jù)目前網(wǎng)絡(luò)的特點(diǎn)，安全體系的設(shè)計(jì)應(yīng)突出防范重點(diǎn)、保護(hù)重點(diǎn)、策略分布重點(diǎn)。網(wǎng)絡(luò)安全的建立需要對(duì)整體網(wǎng)絡(luò)進(jìn)行統(tǒng)一的規(guī)劃。在各個(gè)重點(diǎn)中，以策略為中心的安全模型可以更充分地發(fā)揮模型的各項(xiàng)功能。以安全策略為中心的輪形安全模型，可以從安全、監(jiān)測(cè)、測(cè)試、調(diào)優(yōu)四個(gè)部分對(duì)安全架構(gòu)進(jìn)行不斷的完善，使其成為一個(gè)自防御體系，能夠快速、有效、可靠、全面地發(fā)現(xiàn)各種系統(tǒng)遭受的攻擊，并實(shí)現(xiàn)有效的防范，以確保系統(tǒng)的穩(wěn)定運(yùn)行。針對(duì)這種模型，具體應(yīng)用到實(shí)際的網(wǎng)絡(luò)環(huán)境中，安全體系架構(gòu)包含四個(gè)模塊，分別為企業(yè)互聯(lián)網(wǎng)接入模塊、企業(yè)園區(qū)網(wǎng)模塊、企業(yè)網(wǎng)互聯(lián)模塊、企業(yè)廣域網(wǎng)模塊。這種結(jié)構(gòu)化的設(shè)計(jì)，有利于在不同的網(wǎng)絡(luò)功能模塊之間更好地劃分安全防范的重點(diǎn)，并具有良好的擴(kuò)展性，允許在今后的網(wǎng)絡(luò)安全規(guī)劃中，以一種層次的關(guān)系來(lái)分發(fā)安全策略。
　　
　　企業(yè)應(yīng)用
　　
　　根據(jù)企業(yè)安全的基本模型，對(duì)某企業(yè)的網(wǎng)絡(luò)實(shí)施以防火墻、入侵監(jiān)測(cè)設(shè)備、漏洞掃描設(shè)備為安全模塊設(shè)備，安全策略為核心的企業(yè)安全體系的架構(gòu)。整個(gè)架構(gòu)共包含以下三個(gè)部分。
　　1.企業(yè)Internet接入模塊
　　企業(yè)Internet接入模塊主要是預(yù)防Internet攻擊的第一道門(mén)戶，是防范Internet上黑客攻擊的最主要屏障。因此，它的設(shè)計(jì)思想是以最少的策略實(shí)現(xiàn)最嚴(yán)格的限制與最少的漏洞，同時(shí)保證最快的轉(zhuǎn)發(fā)速度。
　　2.企業(yè)園區(qū)網(wǎng)模塊
　　企業(yè)園區(qū)網(wǎng)是企業(yè)內(nèi)部網(wǎng)的核心，保護(hù)著包括內(nèi)網(wǎng)用戶、重要服務(wù)器的安全。企業(yè)園區(qū)網(wǎng)由一臺(tái)防火墻、兩臺(tái)互為冗余的主干交換機(jī)、企業(yè)內(nèi)部應(yīng)用服務(wù)器與樓層交換機(jī)、IDS模塊組成。在防火墻上根據(jù)用戶、服務(wù)進(jìn)行詳細(xì)的分類，并針對(duì)每一個(gè)服務(wù)訪問(wèn)做到具體的策略應(yīng)用，園區(qū)網(wǎng)上防火墻作為安全防護(hù)的中心，其安全配置要求對(duì)每個(gè)訪問(wèn)做到具體、全面、嚴(yán)格的限制，為每個(gè)用戶都劃分訪問(wèn)的具體范圍。
　　3.企業(yè)間互聯(lián)模塊
　　隨著各單位間的合作越來(lái)越緊密，信息化建設(shè)也是圍繞著生產(chǎn)發(fā)展的需要而進(jìn)行不斷的調(diào)整與適應(yīng)的。因各個(gè)單位都有自己的Internet出口，為了保證互聯(lián)后的網(wǎng)絡(luò)安全，在進(jìn)行設(shè)計(jì)時(shí)需要在各自的接入端安裝僅對(duì)外開(kāi)放需要使用端口的防火墻設(shè)備。
　　
　　安全架構(gòu)的檢測(cè)
　　
　　為了保證各項(xiàng)安全措施能夠滿足防御要求，在完成基本架構(gòu)的搭建后，要采用多種方式進(jìn)行系統(tǒng)的模擬安全檢測(cè)。使用兩種漏洞掃描軟件對(duì)系統(tǒng)進(jìn)行測(cè)試，一方面對(duì)Symantec NetStat及SSS軟件進(jìn)行比較安全測(cè)試；另一方面，在防火墻的不同位置，如Trust、Untrust、DMZ、DMZ1等區(qū)域?qū)ΠňW(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)進(jìn)行模擬攻擊。結(jié)果顯示，根據(jù)企業(yè)安全模型搭建的網(wǎng)絡(luò)安全架構(gòu)沒(méi)有任何漏洞，完全能夠保證網(wǎng)絡(luò)中各種應(yīng)用的安全運(yùn)行。