企業網絡安全結構設計及相關問題解析

◆姜傳江馬 赟

（1 新疆金牛能源物聯網科技股份有限公司 新疆 834008；2 新疆油田公司工程技術研究院 新疆 834000）

企業網絡安全結構設計及相關問題解析

◆姜傳江1馬 赟2

（1 新疆金牛能源物聯網科技股份有限公司 新疆 834008；2 新疆油田公司工程技術研究院 新疆 834000）

伴隨著科學技術的不斷更新，網絡信息技術在各行各業中普及應用，企業網絡的規模也在不斷地擴建，以提高自身的知名度，進而增強自身在經濟市場中的競爭力。規模擴大的過程中必然會有些新鮮的元素融入其中，也就是說此時企業的結構體系變得繁雜化。本文認為企業網絡的安全性與企業經濟利益取得的大小息息相關。

企業網絡；安全；結構設計；問題；解析

0 引言

有關資料顯示，60%以上的企業網站都曾遭受過黑客的侵襲，大約有80%的企業網站曾受到病毒的困擾，這些數據信息證明了企業中的信息安全問題越來越顯著，因此企業網絡的設計工作就受到了極高的重視度。本文總結長期的工作經驗，在解析現階段企業網絡存在問題的基礎上，主觀地認為企業的網絡可以被劃分為兩個模板，即企業園區網絡與企業邊界網絡。

1 目前企業網絡安全存在的顯著問題

1.1 企業內部網絡存在的問題

企業內部總會存在一些缺乏職業責任心的工作人員，他們有意破壞網絡信息系統，對其穩定性造成干擾。有些工作人員甚至將企業機密信息外泄出去，使企業網絡的安全性遭受嚴重的威脅。當然病毒的侵入帶來的危害也是不容忽視的，因為它對計算機系統的正常運行造成了干擾。除此之外，科室網上辦公的實現，使企業網絡的監督管理工作難度大大增加。

1.2 與外部互聯網銜接方面存在的安全隱患問題

企業在接受某些業務，與外界環境中的互聯網網絡進行銜接時，內部網絡的訪問次數就會有所增加，那么在與互聯網網絡相互連接的情況下，有些企業的內部網絡就有更大的幾率受到來自因特網的攻擊。

1.3 黑客的攻擊

現階段，黑客的行為愈發猖狂，破壞手段也愈發多元化。其對企業網絡的攻擊會使重要商業資料泄密，給企業帶來嚴重的經濟損失，只有在加密技術以及訪問控制技術的配合下，才會降低黑客的攻擊行為的幾率。

1.4 網絡癱瘓

廣播風暴、網絡環路的產生，都會致使企業網絡系統的訪問問題。此外ARP病毒的侵襲也會致使網絡癱瘓現象的發生，還有黑客的肆意攻擊也會使計算機系統的主機正常工作受到阻礙。

2 企業園區網安全相關的設計工作

企業園區網可以被視為企業的內部網絡，它可以細化為核心網絡、分布層網絡、接入層網絡、服務器網絡以及邊界分布網絡這五個部分，以下本文對前三種模板進行詳細的探究，解析使設計工作達到安全目標的手段和技術。

2.1 核心網絡模塊安全

在企業網絡體系中，核心模塊的功能是使兩個以上不同網絡體系中的信息源實現迅速流通以及交匯融合的目標。

在該類型網絡模塊的設計工作中，第三層交換設施必須參與其中，它能夠使兩個異樣的模板實現網絡數據信息傳遞與互換的目標。此外該設施的性價比是極高的，可以使數據信息傳輸的速率大幅度地提升，其在輔助信息傳送的進程中，通過冗余熱備份結構的應用，對核心網絡體系起到了極大的維護作用，使其更具穩定性。總之，核心網絡模塊如果實現安全的目標，那么企業網絡中分組竊聽等事件發生的幾率就會大大地縮減。

2.2 分布層網絡模塊安全

分布層網絡模塊設計的必要性體現在其能夠為接入層互換機供應路由、質量服務（QoS）以及訪問限制等服務內容，當然該服務內容均攜有分布層的這一特殊性質，數據信息傳送的需求必須經過該類互換機的允許才有機會傳輸進企業核心網絡模塊中，否則以相反的方向運行。

標準網絡的設計以及安裝對企業使用者的網絡安全起到了的保護作用，而對交互機相關零件優化工作的開展，使入侵檢驗以及分層網絡模塊這些環節顯得不再必要。但是如果在服務器、遠程接入設備以及互聯網共同參與的重要數據信息傳送的模塊中，信息就必須經歷入侵檢驗這一道程序。分層網絡模塊也可以被看作為“防御門”，通過設置訪問權限的途徑，可以防止企業內部中一個部門頻繁地對另一個部門進行訪問活動，這就提高了服務器上信息資源的保密性。對分層網絡模塊的作用進行歸納，其最重要的作用是實現與企業接入層網絡第二層交互機連接的目標。其次它的設計與應用，有效地遏制了沒有獲得訪問權的用戶隨意對企業網絡進行探訪現象的出現，使IP不法電子欺騙行為得到管控，使分組竊聽不會再對企業網絡的安全環境構成威脅。

2.3 接入層網絡模塊安全

該網絡作為企業內部攻擊的核心部分，為了落實對企業網絡進行全方位維護的目標，主機以及IDS網絡、專用VLAN的應用發揮了全面保護的作用。交換機端口鏡像的安設優化了企業網絡的監控形式。在該網絡模塊中，主要參與的設備有以下幾類：第三層交換機、企業有關部門的服務器、內部郵件服務器。在主機的IDS的管控下，那些帶有危害性的未授權訪問者就不會對企業網絡的安全性造成破壞。此外在其的保護下，網絡安裝端口二次定向代理現象被有效地杜絕。與此同時，如果網絡系統的相關設施實現了及時更新更換的目標，那么在接入層網絡模塊的輔助下，企業網絡體系的安全系數必然提高。

3 企業邊界網絡安全的設計工作

企業邊界網絡是存在于企業內、外部網之間的結構，該網絡的設計工作中的重大內容是使將企業內外部的信息處于平衡。

3.1 企業互聯網模塊安全

防火墻的安裝一直是企業互聯網模塊設計工作中的核心程序[2]，換句話說這一裝置的安設使企業內部用戶在對企業網絡體系應用時提供了安全保障。這是因為各個方向的信息資源若想要流入企業網絡結構中，防火墻就像一道“防護門”一樣，對信息資源進行檢測，將那些非法的信息拒之門外。

企業互聯網模塊的結構設計并非是復雜的，它將ISP客戶邊緣路由器最為設計的初始點，在面對那些不在預定門限范圍之內的、并且重要性不大的信息，對其運行的速率進行管控，以使DoS結構受到的傷害程度降低。

一些中小型企業所處的區域中經常會存在電子欺騙事件，這對企業網絡體系造成攻擊，而防火墻結構中的RFC1918和2827處于ISP路由器出口位置，可以對那些不法分子的電子欺騙行為進行過濾，起到了緩沖的效果。

3.2 VPN與遠程接入模塊安全

企業外部用戶可以分為三種類型，但是一般情況下這三種外部用戶是相對獨立存在的，只有在企業網絡VPN與遠程接入模塊得以設計并落實應用之時，它們的身份才會得到準確的驗證，同時實現了相互連接的目標。

該模板具體由遠程接入VPN、撥號接入使用者、點對點VPN等元素構成。遠程接入VPN可以理解為那些從企業互聯網模塊接入路由器發出的VPN信息源經過一系列的處理程序最終流向專屬VPN服務體系的某一特定的IP地址以及協議中，例如IPSec、PPTP以及L2TP這些常見的安全協議；撥號接入面對的對象大多數為傳統的撥號用戶，為了保證他們所提供信息的安全性，路由器服務的供應發揮了很大的成效，此時驗證方式是多種多樣的，可以是CHAP，也可以是AAA或者是OTP等；點對點VPN就是將點站間的IP信息資源在ESP的維護下而達到傳輸的目標。

3.3 電子商務模塊安全

電子商務模塊的構建實現了企業與外界網絡數據資源相互交換的目標，其應用以及服務性能是極為重要的。此外該模塊的設計理念必須有平衡性接入以及安全性作為支柱。該網絡模塊的中心部分是Web，ISP邊界路由器的安裝起到了輔助與維護的作用。對電子商務模塊進行細致地觀察分析，研究者發現主機IDS軟件的安裝對服務器起到了全面維護的作用，其發揮的保護作用是不可替代的。

4 結束語

盡管科學技術日新月異，不斷改善優化，但是企業網絡安全問題還是存在的，解決企業內外部以及黑客攻擊等問題是企業工作中的重點內容，因此企業管理人員必須提高對企業網絡設計的重視度，結合企業網絡的現實情況，將模塊化這一新型的設計理念滲入其中[3]，切實地做好企業園區網以及企業邊界網的設計工作，同時也可以借助購買第三方軟件、對不同廠商的設備進行協調管理等方法，去建立健全企業信息資源統一管理的平臺。

[1]陳麗，陳姍雪.企業網絡安全結構設計與方案選擇[J].中國石油和化工，2011.

[2]戎小芳.淺談網絡安全中的防火墻技術[J].機械管理開發，2007.

[3]徐善美.企業網絡安全結構設計[J].電腦知識與技術，2010.