企業網絡安全解決方案設計

趙菁

摘要：本文討論了企業網絡安全解決方案中的三大技術，給出企業網絡安全解決方案設計的方法：在充分做好企業網絡安全現狀及風險評估的基礎上，對企業網絡安全進行需求分析，進而從邊界安全、身份安全和訪問管理、數據保密、安全監控和安全管理5部分給出了網絡安全方案設計的依據。

關鍵詞：企業網絡；風險評估；防火墻；VPN；入侵防御；安全；解決方案

中圖分類號：TP393 文獻標識碼：A 文章編號：1007-9416（2017）09-0195-01

1 相關技術

（1）防火墻。防火墻是不同網絡（如可信任的企業內部網和不可信的公共網）或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口，能根據企業的安全政策控制出入網絡的信息流。

（2）VPN。VPN（Virtual Private Network）即虛擬專用網，被定義為通過一個公用網絡（通常是因特網）建立一個臨時的、安全的連接，是一條穿過非安全網絡的安全、穩定的隧道。根據VPN的服務類型，VPN業務大致分為三類：接入VPN（Access VPN）、內聯網VPN（Intranet VPN）和外聯網VPN（Extranet VPN）。

（3）Ips。IPS（Intrusion Prevention System，入侵防御系統），是一種基于應用層、主動預防的產品，它以在線方式部署于網絡關鍵路徑，通過對數據報文的深度檢測，實時發現威脅并主動進行處理，目前已成為應用層安全防護的主流設備。入侵防御系統的兩大基本技術點：DPI（深度報文檢測）與在線模式。

2 企業網絡安全現狀及風險評估

（1）了解企業安全現狀。要做好這一步工作，首先應充分了解企業的業務背景，如企業的網絡規模與信息應用的情況？業務系統有哪些，它們的網絡應用情況？根據這些情況，調研該企業對目前的應用情況，并進行分析，客觀地得出企業的應用及網絡情況，如企業的核心應用與企業局域網、互聯網的連接情況如何？核心數據的存儲方式與訪問方式如何？企業對網絡或計算機故障的潛在風險的承受力如何？在調研以上基本情況的前提下，調研并分析該企業的基本網絡結構。

（2）風險評估。在企業網絡安全現狀分析的基礎上，分析并評估企業網絡安全情況。這項工作應給出具體風險，包括企業內網安全控制方面，網絡邊界的防護情況；對用戶的訪問控制；防病毒；企業的遠程用戶、分支機構或合作伙伴對企業資源的訪問、網絡平臺安全等情況。

3 企業網絡安全需求分析

針對當前網絡系統存在的安全隱患，提出具體的要求，從而保障網絡環境的安全。網絡安全需求分析可以從邊界安全、身份安全和訪問管理、數據保密、安全監控和安全管理5部分考慮。并應根據企業的實際情況進行具體分析，根據對企業安全評估的結果進行具體分析。

4 方案設計

4.1 邊界安全

邊界的復雜性：除了指內部網絡和公網之間的界線，也可以建立在網絡內部的任何位置，或者建立在公司的網絡與合作伙伴的網絡之間。

可靠的邊界安全解決方案：應做到放行那些由安全策略所定義的通信，同時保護網絡資源免遭破壞、攻擊和非法使用。它可以控制網絡的各個出入口，也可以通過實施多層安全措施來保護用戶的通信。

防御的分層：即把網絡分為邊界、分布層、核心層和接入層。多層邊界解決方案如圖1所示。

在邊界安全問題上，應充分考慮網絡二層、三層的安全特性。在網絡設備之間進行數據傳輸時，如果二層不能得到有效的保護，那么即使在上層實施最好的安全策略也無濟于事。因此加固數據鏈路層勢在必行。

4.2 身份安全和訪問管理

當網絡延伸到園區之外時，網絡安全的重要性和管理網絡的復雜性隨之增加。訪問管理解決方案是一個基于策略的實施模型，它可以確保用戶是在以安全的方式管理網絡。如在網絡設計時提供AAA安全服務，以控制用戶對網絡和資源的訪問。還可以根據需要，設計更加強大的用戶認證方式，如多重認證系統、硬件標記、S/KEY和智能卡等方式進行認證。另外，還應考慮WLAN的安全接入問題。

4.3 數據保密

VPN有兩大類型：安全VPN（也稱作加密VPN），包括IPSEC、基于IPSEC的L2TP、SSL；可信VPN（也稱作非加密VPN），包括MPLS VPN（L3 VPN）、LPLS（虛擬專用LAN服務，L2VPN）等。可信VPN最主要的特點是依賴于運營商來為客戶提供專用電路或通道。當企業的分支機構、合作伙伴、出差用戶等需要訪問企業的資源時，對于企業網絡來說，常見的包括IPSEC VPN、SSL VPN。

4.4 安全監控

當今的企業網絡系統應能實時檢測并緩解由病毒、蠕蟲及其他入侵代碼和程序造成的網絡威脅。在網絡中合理地設計IPS解決方案，可以有效解決以上威脅，IPS 可以部署在數據中心、部署在廣域網邊界、部署在外網Internet邊界、旁路部署在DMZ、部署在內部局域網段之間。另一個重要的部分是主機層面的安全，相關的安全產品可以解決終端設備的安全，如Cisco安全代理（CSA）。

4.5 安全管理

安全管理通常包括兩大方面，一是安全和策略管理，主要指對網絡中的各種設備的管理；二是指在管理企業時，相關人員必須對信息的機密性和完整性進行有效的控制和管理。

5 結語

本文從邊界安全、身份安全和訪問管理、數據保密、安全監控和安全管理5部分討論了企業網絡安全整體解決方案的設計方法，在設計網絡方案時，應綜合考慮這些方面，以降低企業網絡風險，為擴展企業內部網、外部網和電子商務網等業務提供基本保障，并保護敏感數據及公司資源，使它們免遭黑客的入侵和破壞。endprint