某企業網全局網絡安全體系解決方案

李素朵

LI Su-duo

（石家莊法商職業學院，石家莊 050091）

0 引言

目前，隨著網絡技術不斷發展，企業網絡發展規模也不斷擴大，所以企業網的正常運行也顯得尤為重要。另外一方面，網絡管理的維護同時存在一定的困難，學生在網絡學習的需求也顯得尤為突出，網絡業務容量分配優化工作也顯得很重要，如何有效應對企業網存在的問題，有效積極進行企業網絡帶寬調度和分配，提高企業網絡安全管理水平[1,2]。本文主要探討了某企業網全局網絡安全體系解決方案，對于提高企業網絡安全具有一定作用。

1 企業網絡安全解決方案

1.1 VLAN的規劃

企業網采用的核心交換機是一臺Extreme 6808，核心與南區的一臺Extreme 6808通過1000M單模聚合連接，其他建筑的分控制室采用基于多模和單模光纖的千兆以太網與銳捷3760、2126G等連接。通過對企業網整體結構的分析，采用虛擬局域網VLAN技術。

我校企業網交換機上的VLAN劃分，是采用基于端口（光纖接口）的，相同VLAN名的端口位于同一VLAN，通過其VLAN ID來互相傳輸數據，不同VLAN之間通過做標記的Tag口來轉發數據。

所以有必要從以太網的機制來探討，基于廣播機制的以太網，結合交換器和VLAN技術，則就轉變為點對點的通訊方式。這樣就能夠隔離廣播，也就是說信息可以按照要求達到指定地點，防止基于網絡監聽的入侵手段；另一方面，還可以增設虛擬網絡的訪問控制，虛擬網內部不能直接被被虛擬網外的網絡節點訪問。

1.2 防火墻配置方案

學院的網絡主要包括10M Base_T的因特網接入。運行在Lotus系統上的信息中心以及OA系統，其中OA系統包括通道DDN遠程接入的校區網絡。在這部分網絡中使用防火墻將網絡劃分為三個安全域：因特網、信息中心和OA網絡。由于網絡中使用了一個核心交換機，因此在防火墻的連接中，需耍將防火墻的DMZ接口和LAN接口同時接到Cisco 4006核心交換機，使用交換機VLAN劃分功能使其位于不同的VLAN。

防火墻的使用使網絡在此節點上劃分為三個相互隔離的安全域，可以通過設置規則規劃三個安全域、六個方向、多個網絡用戶編點之間的訪問情況。防火墻的使用的第一步就將網絡的訪問變成可單向控制的，盡管TCP/IP協議是雙向的。因此來自因特湖的闖入風險、非法訪問很快就會全部屏蔽掉。防火墻的另一個作用是防火墻以表的節點看起采從因特網上消失了：除了對外提供的必需業務之外，網絡和系統的其他屬性從因特網上不可見了。網絡既不可探測，內部網絡信息也不可獲知了。

大部分的防火墻是為了防止一種Ethernet Sniffer的攻擊方式，在基本的結構設計上使用三接口的硬件模式。防火墻也因此將網絡節點劃分為三個安全域：用于因特網接入的WAN接口，用于企業網接入的LAN接口和專為服務器群設計的DMZ接口。

1.3 入侵檢測系統的部署

根據企業網絡的特點，應選擇同時具備IPS（入侵檢測系統）和IDS（入侵檢測系統）等功能，基于代理的分布式入侵監測技術的入侵檢測系統。這里選擇SymantecNetwork Security（SNS）入侵檢測系統為例。

1）主動防御，而非被動報警。SNS可以實現自動防御，無需人工干預，自動檢測，屏蔽網絡入侵行為．減少用戶用于日常維護的人力成本。SNS是以透明方式部署在網絡結構中，不用修改原有網絡結構，也不用修改交換機配置。

2）安全策略自動維護

傳統IDS產品被用戶所排斥的主要原因就是需要用戶人工設定檢測策略，并需要定期維護更新。SNS改變了這種傳統的更新模式，他可以自動更新、加載、生效最新的安全策略，大大降低了產品對操作人員的依賴。通過這種策略自動更新的工作方式，爭取了在出現可能對系統和網絡造成嚴重影響的重大安全隱患的緊急狀況下的響應時間（如：沖擊波），在主機還沒有來得及完成補丁分發的情況下，SNS通過自動化的策略更新，就己經實現了整個網絡的安全防護。

1.4 VPN的使用

本方案中的VPN系統是通過采用防火墻/VPN一體化設備來實現的。增加了VPN系統防火墻系統與前述的防火墻系統在結構上沒有多大區別，但是由于VPN系統的使用，網絡就支持遠程的移動用戶以加密的方式對內部網絡的重要的服務器進行訪問，甚至三個網絡之間也可以通過因特網連成一體，這樣為網絡的應用節省成本。另外，在該VPN系統中，總校的網絡節點須申請可路由的IP地址，其地位是VPN的核心節點。其它的節點全部連接到此節點。

1.5 防病毒系統

病毒是一種具有自我復制能力，由編寫者出于各種目的編寫，能夠在隱蔽情況下執行編寫者意圖的非法程序。目前，許多計算機病毒都具有特定的功能，而遠非僅僅是自我復制。其功能（常稱為PAYLOAD）可能無害，如，只是在計算機的監視器中顯示消息，也可能有害，如毀壞系統硬盤中所存儲的數據，一旦條件（比如：特定的組合鍵擊、特定的日期或預定義操作數）觸發，就會引發病毒表現。

來自系統外部（Internet或外網）的病毒入侵：這是目前病毒進入最多的途徑。因此在與外部連接的網關處進行病毒攔截是效率最高，耗費資源最少的措施?？梢允惯M入內部系統的病毒數量大為減少。但很明顯，它只能阻擋采自外部病毒的入侵。

病毒集散地之一，網絡郵件/群件系統：如果網絡內采用了自己的郵件/群件系統實施辦公和信息自動化，那么一旦有某個用戶感染了病毒，通過郵件方式該病毒將幾何級數在網絡內迅速傳播，并且很快會導致郵件系統負荷過大而癱瘓。因此在郵件系統上部署防病毒也顯得尤為重要。

病毒集散地之二，文件服務器：文件資源共享是網絡提供的基本功能。文件服務器大大提高了資源的重復利用率，并且能對信息進行長期有效的存儲和保護。但是一旦服務器本身感染了病毒，就會對所有的訪問者構成威脅。因此文件服務器也需要設置防病毒保護。

最終用戶：病毒最后的入侵途徑就是最終的桌面用戶。由于網絡共享的便利性，某個感染病毒的桌面機隨時有可能會感染其它的機器，或是被種上了黑客程序而向外傳送機密文件（如“SirCam”病毒）。因此在網絡內對所有的客戶機進行防毒控制也很有必要。

內容保護：隨著病毒所采用的技術日趨復雜，單純依靠病毒碼和被動的文件分析技術往往造成防病毒的響應時間過長。為了能夠在第一時間主動地阻止新型病毒的入侵，在防病毒系統中附加內容過濾和保護功能就顯得十分重要。例如，由于目前郵件系統的使用異常方便，造成了用戶很容易在不經意間將重要的、機密的或是不當的信息通過郵件發送出去；另一方面，來自Internet上的垃圾郵件也到處都是，導致用戶需花大量的精力和時間去處理，降低了工作效率。因此對往來的郵件內容進行過濾也很重要。

集中管理：一個缺少管理的系統就是一個無效的系統。對于一個大型網絡來說，部署的防毒系統將十分復雜和龐大。尤其在各網點在地域上分離的情況下，通過一個監控中心對整個系統內的防毒服務和情況進行管理和維護顯得十分重要。這樣可以大大降低維護人員的數量和維護成本，并且縮短了升級、維護系統的響應時間。防毒系統的最大特點是需要不斷的升級和更新防毒軟件，以對應新產生的各類病毒。

1.6 認證管理

近年來，我國的企業網建設得到了飛速的發展和廣泛的應用，教師和學生能夠隨時隨地從網絡獲得相關的資源，已經成為廣大的師生員工獲取資源的重要手段之一。由于網絡上原有的認證系統如PPPoE和Web認證技術，對企業網中的用戶數據包處理比較繁瑣，報文封裝代價比較高，造成了網絡傳輸瓶頸，業務靈活性和擴展性不強，己經越來越不適應企業網發展的認證需求。

IEEE 802．1X協議標準認證協議，一經推出就引起了廣大網絡設備制造商的重視。IEEE 802.1X通過對認證方式和體系結構的優化，有效地解決了傳統認證方式帶來的昂貴花銷。IEEE 802.1X認證方式有著簡潔高效，易于實現，安全可靠，易于運營優點。因此，各大廠商紛紛組織研發力量進行基于IEEE 802.1X協議相關產品的開發，并在企業網中廣泛地應用。

1.7 安全管理制度

網絡安全管理是保證網絡安全的基礎。安全技術是配合安全管理的輔助措施。我們建立了一套企業網絡安全管理模式，制定了詳細的安全管理制度，如：網絡管理中心安全管理規則、企業網安全和使用管理條例、病毒防范制度等，并采取切實有效的措施，保證了制度的執行。

2 結束語

企業網安全體系解決方案總體上來說是成功的，如黑客入侵事件較早得到警告，及早采取有效措施，有效阻止了事件進一步惡化；控制了ARP病毒攻擊；網絡病毒控制在了一定可控范圍：建立了完整的數據備份系統，提供了數據快速回復機制；建立了完善的日志審查制度。該方案的實施后，我校的網絡安全事件大大減少，企業網絡安全得到最大限度的保障。

[1]劉曉云.企業網安全訪問控制體系的構建[J].現代電子技術，2010，33（17）.

[2]蘇君麗.Snort技術在企業網安全防御中的應用[J].企業家天地（下旬刊），2010,（2）.

[3]李健，楊幸，楊麗莎，等.企業網的主要安全問題研究[J].計算機與現代化，2009,（8）.