李素朵

LI Su-duo

（石家莊法商職業(yè)學(xué)院，石家莊 050091）

0 引言

目前，隨著網(wǎng)絡(luò)技術(shù)不斷發(fā)展，企業(yè)網(wǎng)絡(luò)發(fā)展規(guī)模也不斷擴(kuò)大，所以企業(yè)網(wǎng)的正常運(yùn)行也顯得尤為重要。另外一方面，網(wǎng)絡(luò)管理的維護(hù)同時(shí)存在一定的困難，學(xué)生在網(wǎng)絡(luò)學(xué)習(xí)的需求也顯得尤為突出，網(wǎng)絡(luò)業(yè)務(wù)容量分配優(yōu)化工作也顯得很重要，如何有效應(yīng)對(duì)企業(yè)網(wǎng)存在的問題，有效積極進(jìn)行企業(yè)網(wǎng)絡(luò)帶寬調(diào)度和分配，提高企業(yè)網(wǎng)絡(luò)安全管理水平[1,2]。本文主要探討了某企業(yè)網(wǎng)全局網(wǎng)絡(luò)安全體系解決方案，對(duì)于提高企業(yè)網(wǎng)絡(luò)安全具有一定作用。

1 企業(yè)網(wǎng)絡(luò)安全解決方案

1.1 VLAN的規(guī)劃

企業(yè)網(wǎng)采用的核心交換機(jī)是一臺(tái)Extreme 6808，核心與南區(qū)的一臺(tái)Extreme 6808通過1000M單模聚合連接，其他建筑的分控制室采用基于多模和單模光纖的千兆以太網(wǎng)與銳捷3760、2126G等連接。通過對(duì)企業(yè)網(wǎng)整體結(jié)構(gòu)的分析，采用虛擬局域網(wǎng)VLAN技術(shù)。

我校企業(yè)網(wǎng)交換機(jī)上的VLAN劃分，是采用基于端口（光纖接口）的，相同VLAN名的端口位于同一VLAN，通過其VLAN ID來互相傳輸數(shù)據(jù)，不同VLAN之間通過做標(biāo)記的Tag口來轉(zhuǎn)發(fā)數(shù)據(jù)。

所以有必要從以太網(wǎng)的機(jī)制來探討，基于廣播機(jī)制的以太網(wǎng)，結(jié)合交換器和VLAN技術(shù)，則就轉(zhuǎn)變?yōu)辄c(diǎn)對(duì)點(diǎn)的通訊方式。這樣就能夠隔離廣播，也就是說信息可以按照要求達(dá)到指定地點(diǎn)，防止基于網(wǎng)絡(luò)監(jiān)聽的入侵手段；另一方面，還可以增設(shè)虛擬網(wǎng)絡(luò)的訪問控制，虛擬網(wǎng)內(nèi)部不能直接被被虛擬網(wǎng)外的網(wǎng)絡(luò)節(jié)點(diǎn)訪問。

1.2 防火墻配置方案

學(xué)院的網(wǎng)絡(luò)主要包括10M Base_T的因特網(wǎng)接入。運(yùn)行在Lotus系統(tǒng)上的信息中心以及OA系統(tǒng)，其中OA系統(tǒng)包括通道DDN遠(yuǎn)程接入的校區(qū)網(wǎng)絡(luò)。在這部分網(wǎng)絡(luò)中使用防火墻將網(wǎng)絡(luò)劃分為三個(gè)安全域：因特網(wǎng)、信息中心和OA網(wǎng)絡(luò)。由于網(wǎng)絡(luò)中使用了一個(gè)核心交換機(jī)，因此在防火墻的連接中，需耍將防火墻的DMZ接口和LAN接口同時(shí)接到Cisco 4006核心交換機(jī)，使用交換機(jī)VLAN劃分功能使其位于不同的VLAN。

防火墻的使用使網(wǎng)絡(luò)在此節(jié)點(diǎn)上劃分為三個(gè)相互隔離的安全域，可以通過設(shè)置規(guī)則規(guī)劃三個(gè)安全域、六個(gè)方向、多個(gè)網(wǎng)絡(luò)用戶編點(diǎn)之間的訪問情況。防火墻的使用的第一步就將網(wǎng)絡(luò)的訪問變成可單向控制的，盡管TCP/IP協(xié)議是雙向的。因此來自因特湖的闖入風(fēng)險(xiǎn)、非法訪問很快就會(huì)全部屏蔽掉。防火墻的另一個(gè)作用是防火墻以表的節(jié)點(diǎn)看起采從因特網(wǎng)上消失了：除了對(duì)外提供的必需業(yè)務(wù)之外，網(wǎng)絡(luò)和系統(tǒng)的其他屬性從因特網(wǎng)上不可見了。網(wǎng)絡(luò)既不可探測(cè)，內(nèi)部網(wǎng)絡(luò)信息也不可獲知了。

大部分的防火墻是為了防止一種Ethernet Sniffer的攻擊方式，在基本的結(jié)構(gòu)設(shè)計(jì)上使用三接口的硬件模式。防火墻也因此將網(wǎng)絡(luò)節(jié)點(diǎn)劃分為三個(gè)安全域：用于因特網(wǎng)接入的WAN接口，用于企業(yè)網(wǎng)接入的LAN接口和專為服務(wù)器群設(shè)計(jì)的DMZ接口。

1.3 入侵檢測(cè)系統(tǒng)的部署

根據(jù)企業(yè)網(wǎng)絡(luò)的特點(diǎn)，應(yīng)選擇同時(shí)具備IPS（入侵檢測(cè)系統(tǒng)）和IDS（入侵檢測(cè)系統(tǒng)）等功能，基于代理的分布式入侵監(jiān)測(cè)技術(shù)的入侵檢測(cè)系統(tǒng)。這里選擇SymantecNetwork Security（SNS）入侵檢測(cè)系統(tǒng)為例。

1）主動(dòng)防御，而非被動(dòng)報(bào)警。SNS可以實(shí)現(xiàn)自動(dòng)防御，無需人工干預(yù)，自動(dòng)檢測(cè)，屏蔽網(wǎng)絡(luò)入侵行為．減少用戶用于日常維護(hù)的人力成本。SNS是以透明方式部署在網(wǎng)絡(luò)結(jié)構(gòu)中，不用修改原有網(wǎng)絡(luò)結(jié)構(gòu)，也不用修改交換機(jī)配置。

2）安全策略自動(dòng)維護(hù)

傳統(tǒng)IDS產(chǎn)品被用戶所排斥的主要原因就是需要用戶人工設(shè)定檢測(cè)策略，并需要定期維護(hù)更新。SNS改變了這種傳統(tǒng)的更新模式，他可以自動(dòng)更新、加載、生效最新的安全策略，大大降低了產(chǎn)品對(duì)操作人員的依賴。通過這種策略自動(dòng)更新的工作方式，爭(zhēng)取了在出現(xiàn)可能對(duì)系統(tǒng)和網(wǎng)絡(luò)造成嚴(yán)重影響的重大安全隱患的緊急狀況下的響應(yīng)時(shí)間（如：沖擊波），在主機(jī)還沒有來得及完成補(bǔ)丁分發(fā)的情況下，SNS通過自動(dòng)化的策略更新，就己經(jīng)實(shí)現(xiàn)了整個(gè)網(wǎng)絡(luò)的安全防護(hù)。

1.4 VPN的使用

本方案中的VPN系統(tǒng)是通過采用防火墻/VPN一體化設(shè)備來實(shí)現(xiàn)的。增加了VPN系統(tǒng)防火墻系統(tǒng)與前述的防火墻系統(tǒng)在結(jié)構(gòu)上沒有多大區(qū)別，但是由于VPN系統(tǒng)的使用，網(wǎng)絡(luò)就支持遠(yuǎn)程的移動(dòng)用戶以加密的方式對(duì)內(nèi)部網(wǎng)絡(luò)的重要的服務(wù)器進(jìn)行訪問，甚至三個(gè)網(wǎng)絡(luò)之間也可以通過因特網(wǎng)連成一體，這樣為網(wǎng)絡(luò)的應(yīng)用節(jié)省成本。另外，在該VPN系統(tǒng)中，總校的網(wǎng)絡(luò)節(jié)點(diǎn)須申請(qǐng)可路由的IP地址，其地位是VPN的核心節(jié)點(diǎn)。其它的節(jié)點(diǎn)全部連接到此節(jié)點(diǎn)。

1.5 防病毒系統(tǒng)

病毒是一種具有自我復(fù)制能力，由編寫者出于各種目的編寫，能夠在隱蔽情況下執(zhí)行編寫者意圖的非法程序。目前，許多計(jì)算機(jī)病毒都具有特定的功能，而遠(yuǎn)非僅僅是自我復(fù)制。其功能（常稱為PAYLOAD）可能無害，如，只是在計(jì)算機(jī)的監(jiān)視器中顯示消息，也可能有害，如毀壞系統(tǒng)硬盤中所存儲(chǔ)的數(shù)據(jù)，一旦條件（比如：特定的組合鍵擊、特定的日期或預(yù)定義操作數(shù)）觸發(fā)，就會(huì)引發(fā)病毒表現(xiàn)。

來自系統(tǒng)外部（Internet或外網(wǎng)）的病毒入侵：這是目前病毒進(jìn)入最多的途徑。因此在與外部連接的網(wǎng)關(guān)處進(jìn)行病毒攔截是效率最高，耗費(fèi)資源最少的措施?？梢允惯M(jìn)入內(nèi)部系統(tǒng)的病毒數(shù)量大為減少。但很明顯，它只能阻擋采自外部病毒的入侵。

病毒集散地之一，網(wǎng)絡(luò)郵件/群件系統(tǒng)：如果網(wǎng)絡(luò)內(nèi)采用了自己的郵件/群件系統(tǒng)實(shí)施辦公和信息自動(dòng)化，那么一旦有某個(gè)用戶感染了病毒，通過郵件方式該病毒將幾何級(jí)數(shù)在網(wǎng)絡(luò)內(nèi)迅速傳播，并且很快會(huì)導(dǎo)致郵件系統(tǒng)負(fù)荷過大而癱瘓。因此在郵件系統(tǒng)上部署防病毒也顯得尤為重要。

病毒集散地之二，文件服務(wù)器：文件資源共享是網(wǎng)絡(luò)提供的基本功能。文件服務(wù)器大大提高了資源的重復(fù)利用率，并且能對(duì)信息進(jìn)行長(zhǎng)期有效的存儲(chǔ)和保護(hù)。但是一旦服務(wù)器本身感染了病毒，就會(huì)對(duì)所有的訪問者構(gòu)成威脅。因此文件服務(wù)器也需要設(shè)置防病毒保護(hù)。

最終用戶：病毒最后的入侵途徑就是最終的桌面用戶。由于網(wǎng)絡(luò)共享的便利性，某個(gè)感染病毒的桌面機(jī)隨時(shí)有可能會(huì)感染其它的機(jī)器，或是被種上了黑客程序而向外傳送機(jī)密文件（如“SirCam”病毒）。因此在網(wǎng)絡(luò)內(nèi)對(duì)所有的客戶機(jī)進(jìn)行防毒控制也很有必要。

內(nèi)容保護(hù)：隨著病毒所采用的技術(shù)日趨復(fù)雜，單純依靠病毒碼和被動(dòng)的文件分析技術(shù)往往造成防病毒的響應(yīng)時(shí)間過長(zhǎng)。為了能夠在第一時(shí)間主動(dòng)地阻止新型病毒的入侵，在防病毒系統(tǒng)中附加內(nèi)容過濾和保護(hù)功能就顯得十分重要。例如，由于目前郵件系統(tǒng)的使用異常方便，造成了用戶很容易在不經(jīng)意間將重要的、機(jī)密的或是不當(dāng)?shù)男畔⑼ㄟ^郵件發(fā)送出去；另一方面，來自Internet上的垃圾郵件也到處都是，導(dǎo)致用戶需花大量的精力和時(shí)間去處理，降低了工作效率。因此對(duì)往來的郵件內(nèi)容進(jìn)行過濾也很重要。

集中管理：一個(gè)缺少管理的系統(tǒng)就是一個(gè)無效的系統(tǒng)。對(duì)于一個(gè)大型網(wǎng)絡(luò)來說，部署的防毒系統(tǒng)將十分復(fù)雜和龐大。尤其在各網(wǎng)點(diǎn)在地域上分離的情況下，通過一個(gè)監(jiān)控中心對(duì)整個(gè)系統(tǒng)內(nèi)的防毒服務(wù)和情況進(jìn)行管理和維護(hù)顯得十分重要。這樣可以大大降低維護(hù)人員的數(shù)量和維護(hù)成本，并且縮短了升級(jí)、維護(hù)系統(tǒng)的響應(yīng)時(shí)間。防毒系統(tǒng)的最大特點(diǎn)是需要不斷的升級(jí)和更新防毒軟件，以對(duì)應(yīng)新產(chǎn)生的各類病毒。

1.6 認(rèn)證管理

近年來，我國的企業(yè)網(wǎng)建設(shè)得到了飛速的發(fā)展和廣泛的應(yīng)用，教師和學(xué)生能夠隨時(shí)隨地從網(wǎng)絡(luò)獲得相關(guān)的資源，已經(jīng)成為廣大的師生員工獲取資源的重要手段之一。由于網(wǎng)絡(luò)上原有的認(rèn)證系統(tǒng)如PPPoE和Web認(rèn)證技術(shù)，對(duì)企業(yè)網(wǎng)中的用戶數(shù)據(jù)包處理比較繁瑣，報(bào)文封裝代價(jià)比較高，造成了網(wǎng)絡(luò)傳輸瓶頸，業(yè)務(wù)靈活性和擴(kuò)展性不強(qiáng)，己經(jīng)越來越不適應(yīng)企業(yè)網(wǎng)發(fā)展的認(rèn)證需求。

IEEE 802．1X協(xié)議標(biāo)準(zhǔn)認(rèn)證協(xié)議，一經(jīng)推出就引起了廣大網(wǎng)絡(luò)設(shè)備制造商的重視。IEEE 802.1X通過對(duì)認(rèn)證方式和體系結(jié)構(gòu)的優(yōu)化，有效地解決了傳統(tǒng)認(rèn)證方式帶來的昂貴花銷。IEEE 802.1X認(rèn)證方式有著簡(jiǎn)潔高效，易于實(shí)現(xiàn)，安全可靠，易于運(yùn)營(yíng)優(yōu)點(diǎn)。因此，各大廠商紛紛組織研發(fā)力量進(jìn)行基于IEEE 802.1X協(xié)議相關(guān)產(chǎn)品的開發(fā)，并在企業(yè)網(wǎng)中廣泛地應(yīng)用。

1.7 安全管理制度

網(wǎng)絡(luò)安全管理是保證網(wǎng)絡(luò)安全的基礎(chǔ)。安全技術(shù)是配合安全管理的輔助措施。我們建立了一套企業(yè)網(wǎng)絡(luò)安全管理模式，制定了詳細(xì)的安全管理制度，如：網(wǎng)絡(luò)管理中心安全管理規(guī)則、企業(yè)網(wǎng)安全和使用管理?xiàng)l例、病毒防范制度等，并采取切實(shí)有效的措施，保證了制度的執(zhí)行。

2 結(jié)束語

企業(yè)網(wǎng)安全體系解決方案總體上來說是成功的，如黑客入侵事件較早得到警告，及早采取有效措施，有效阻止了事件進(jìn)一步惡化；控制了ARP病毒攻擊；網(wǎng)絡(luò)病毒控制在了一定可控范圍：建立了完整的數(shù)據(jù)備份系統(tǒng)，提供了數(shù)據(jù)快速回復(fù)機(jī)制；建立了完善的日志審查制度。該方案的實(shí)施后，我校的網(wǎng)絡(luò)安全事件大大減少，企業(yè)網(wǎng)絡(luò)安全得到最大限度的保障。

[1]劉曉云.企業(yè)網(wǎng)安全訪問控制體系的構(gòu)建[J].現(xiàn)代電子技術(shù)，2010，33（17）.

[2]蘇君麗.Snort技術(shù)在企業(yè)網(wǎng)安全防御中的應(yīng)用[J].企業(yè)家天地（下旬刊），2010,（2）.

[3]李健，楊幸，楊麗莎，等.企業(yè)網(wǎng)的主要安全問題研究[J].計(jì)算機(jī)與現(xiàn)代化，2009,（8）.