湯水根

（廣州白云工商高級技工學(xué)校，廣東 廣州 510450）

企業(yè)局域網(wǎng)安全設(shè)計與實現(xiàn)

湯水根

（廣州白云工商高級技工學(xué)校，廣東 廣州 510450）

文章以東莞某一大型美資食品公司的企業(yè)局域網(wǎng)升級項目為案例，討論了企業(yè)局域網(wǎng)的安全設(shè)計與實現(xiàn)。從企業(yè)局域網(wǎng)的物理安全、網(wǎng)絡(luò)體系結(jié)構(gòu)、防病毒及垃圾郵件和網(wǎng)絡(luò)管理四個方面給出了相關(guān)的網(wǎng)絡(luò)安全解決方案，在設(shè)計中考慮并遵循了網(wǎng)絡(luò)信息安全系統(tǒng)的木桶原則、整體性原則、有效性和實用性原則，并盡量利用現(xiàn)有的網(wǎng)絡(luò)安全方面的成熟技術(shù)。完成安全升級后的局域網(wǎng)已經(jīng)開始在該公司運行，運行結(jié)果表明，基本滿足設(shè)計需求，是一個運行良好可管理的安全局域網(wǎng)絡(luò)。

局域網(wǎng)；網(wǎng)絡(luò)安全；設(shè)計

1．引言

項目所在單位為一家大型外資食品企業(yè)，公司于2002年成立，專業(yè)從事大豆產(chǎn)品的深加工與相關(guān)技術(shù)服務(wù)，同年，公司局域網(wǎng)也建成投入使用。隨著網(wǎng)絡(luò)規(guī)模的不斷擴展和企業(yè)應(yīng)用系統(tǒng)對網(wǎng)絡(luò)安全性要求的提高，現(xiàn)有局域網(wǎng)的安全性問題日益突顯出來，客戶機病毒集中爆發(fā)，服務(wù)器拒絕服務(wù)等網(wǎng)絡(luò)安全問題時有發(fā)生，提升網(wǎng)絡(luò)安全性勢在必行。經(jīng)多方面準備，網(wǎng)絡(luò)升級改造項目于2013年6月開始，歷經(jīng)3個月完成。在本項目中，作者擔任了該項目的主要負責(zé)人，負責(zé)整個網(wǎng)絡(luò)安全系統(tǒng)升級方案的規(guī)劃設(shè)計，并指導(dǎo)網(wǎng)絡(luò)工程師進行具體的網(wǎng)絡(luò)安全實現(xiàn)。

2．企業(yè)局域網(wǎng)物理安全設(shè)計與實現(xiàn)

物理安全是系統(tǒng)安全的第一道關(guān)卡，由于原網(wǎng)絡(luò)主機房使用已近8年，在機房面積、防火、防雷及供電系統(tǒng)等方面都不能滿足企業(yè)信息安全的需求，此次升級，機房的物理安全是作者重點關(guān)注的對象。主要作了以下設(shè)計和改進：機房按《電子計算機機房設(shè)計規(guī)范》重新裝修，機房的直流接地、交流接地機、防雷保護接地均與機房所在大樓的聯(lián)合接地體相連，并采用了50mm*50mm寬的銅箔做成等電位基準接地網(wǎng)格，與機房的接地系統(tǒng)相連，提高了機房的按地安全性。房內(nèi)地板、墻面、電線均采用防火材質(zhì)。機房供電線路采用了獨立的輸入輸出設(shè)計，對服務(wù)器和網(wǎng)絡(luò)設(shè)備采用了山特公司的30千伏安UPS實行了雙回路供電。機房大門安裝門禁系統(tǒng)，建立了機房出入管理制度。采用硬盤錄像機加固定攝像槍，建立實時的全天候24小時機房視頻監(jiān)控系統(tǒng)。

3．企業(yè)局域網(wǎng)網(wǎng)絡(luò)體系結(jié)構(gòu)安全設(shè)計與實現(xiàn)

一個好的網(wǎng)絡(luò)體系結(jié)構(gòu)是實現(xiàn)一個網(wǎng)絡(luò)安全的前提條件?，F(xiàn)有網(wǎng)絡(luò)體系結(jié)構(gòu)存在的主要問題：首先是服務(wù)器數(shù)量眾多，造成配置復(fù)雜，管理混亂，容易留下安全隱患。其次，原網(wǎng)絡(luò)采用二層的網(wǎng)絡(luò)結(jié)構(gòu)體系，對于一個具有3000多個用戶節(jié)點的中型企業(yè)局域網(wǎng)絡(luò)來說，在管理和安全上是存在隱患的。第三，企業(yè)內(nèi)網(wǎng)沒有實現(xiàn)子網(wǎng)隔離，網(wǎng)絡(luò)性能低下，導(dǎo)致ERP、OA等應(yīng)用服務(wù)器響應(yīng)時間緩慢，財務(wù)部等敏感部門的數(shù)據(jù)容易被竊取和監(jiān)聽。分析了現(xiàn)有網(wǎng)絡(luò)體系存在的問題后，提出以下網(wǎng)絡(luò)體系結(jié)構(gòu)安全解決方案。

第一，對整個網(wǎng)絡(luò)采用三層的網(wǎng)絡(luò)體系架構(gòu)（接入層，匯聚層和核心層）進行重新設(shè)計。接入層負責(zé)將客戶機接入網(wǎng)絡(luò)，并在接入層交換機上對重要的服務(wù)器做IP地址、MAC地址及端口綁定，有效阻止ARP等病毒攻擊。在匯聚層通過訪問控制列表實現(xiàn)流量控制和訪問權(quán)限約束，配置2臺cisco6509三層交換機作為核心層交換機，保證核心層擁有較好的可靠性和高速數(shù)據(jù)吞吐量，并通過應(yīng)用HSRP協(xié)議，實現(xiàn)核心網(wǎng)關(guān)設(shè)備的冗余。第二，整個內(nèi)部網(wǎng)絡(luò)采用基于端口的VLAN劃分方法，按部門和管理需求劃分成15個VLAN，以保障重要部門如財務(wù)部門等的數(shù)據(jù)安全、提高網(wǎng)絡(luò)帶寬利用率和減少廣播風(fēng)暴。第三，采用VMware公司的ESX Server虛擬服務(wù)器軟件，將多個網(wǎng)絡(luò)服務(wù)和企業(yè)應(yīng)用服務(wù)以虛擬機的形式整合運行在配置較高的10臺IBM System x3650服務(wù)器上，實現(xiàn)服務(wù)器的集中管理和配置，并通過ESX的HA（高可用性）形成服務(wù)器的冗余。原分布在各臺服務(wù)器上單獨存貯的數(shù)據(jù)采用IBM DS3400專業(yè)磁盤柜進行數(shù)據(jù)的集中存儲，并通過Veritas NetBackup For Windows專業(yè)備份軟件備份到IBM TS2900磁帶庫中。第四，升級Internet接入路由器和核心交換機之間的防火墻為華賽USG3030，主要是為了增加接入設(shè)備的報文過濾功能，減輕路由器的處理負擔。該防火墻啟用NAT，方便內(nèi)網(wǎng)用戶訪問互聯(lián)網(wǎng)絡(luò)。使用PIX515E防火墻能有效防止SYN FLOOD、UDP FLOOD、ICMP FLOOD和DNS FLOOD等Dos攻擊，能有效阻斷RPC這類漏洞攻擊。同時，在防火墻上啟用了IPSec VPN，這樣公司員工可以遠程連接到公司內(nèi)網(wǎng)。

4．企業(yè)局域網(wǎng)防病毒和垃圾郵件系統(tǒng)設(shè)計與實現(xiàn)

第一，防病毒解決方案：經(jīng)過多次調(diào)研和測試，采用趨勢科技的防毒墻網(wǎng)絡(luò)版8．0代替代原來的單機版的殺毒軟件。除了趨勢科技防毒墻正常的掃毒殺毒功能以外，作者還在其上配置了與防毒墻配套的損害清除服務(wù)和Web威脅防護組件，形成了具有高度集成的防病毒解決方案。針對防病毒軟件的被動防護特點，作者在Internet接入路由器上建立了一個策略禁止訪問常見病毒攻擊端口，并且把它應(yīng)用到Internet出口上，防止病毒入侵。第二，防垃圾郵件解決方案：通過引入Symantec 8360垃圾郵件硬件防火墻，通過配置IP阻斷清單、用戶自定義規(guī)則、垃圾郵件指紋過濾、垃圾郵件意圖分析等，解決了公司郵件服務(wù)器經(jīng)常中毒、接收轉(zhuǎn)發(fā)大量的垃圾郵件問題。

5．企業(yè)局域網(wǎng)網(wǎng)絡(luò)管理安全設(shè)計與實現(xiàn)

該公司網(wǎng)絡(luò)規(guī)模較大，為了避免網(wǎng)絡(luò)安全管理上的混亂和漏洞，將網(wǎng)絡(luò)從被動管理狀態(tài)轉(zhuǎn)為主動管理狀態(tài)，采用一套專業(yè)網(wǎng)絡(luò)管理軟件建立統(tǒng)一的網(wǎng)絡(luò)管理平臺是非常重要的。本方案中采用溢信科技的IP-Guard專業(yè)網(wǎng)絡(luò)管理軟件對網(wǎng)絡(luò)進行監(jiān)控和安全管理。利用IP-Guard的補丁管理功能實現(xiàn)了局域網(wǎng)內(nèi)所有服務(wù)器和客戶機微軟補丁下載、安裝自動化，避免了操作系統(tǒng)和軟件漏洞引起的網(wǎng)絡(luò)安全。利用IP-Guard的漏洞檢查功能，定期對網(wǎng)內(nèi)所有機器進行安全檢查，包括共享資源權(quán)限、管理員帳號密碼是否安全、Guest帳號是否禁用、是否有限制匿名連接、啟用了哪些服務(wù)和端口、IE安全漏洞等，幫助作者公司信息化部門的網(wǎng)絡(luò)管理人員確定計算機是否安全。IP-Guard系統(tǒng)報警功能一旦檢查出網(wǎng)絡(luò)配置、系統(tǒng)啟動項、系統(tǒng)服務(wù)、系統(tǒng)時鐘等發(fā)生變化，將及時通過郵件對網(wǎng)絡(luò)管理員發(fā)出報警。因此，IP-Guard為網(wǎng)絡(luò)管理人員提供了強大而又實用的網(wǎng)絡(luò)安全管理平臺。最后，安全是“三分技術(shù)、七分管理”，如果沒有良好的管理機制，沒有落實好管理機制，所有的技術(shù)都將成為空談，為此，作者制定了嚴格的企業(yè)信息安全管理制度，并確保執(zhí)行到位，如作者要求網(wǎng)管人員每天必須檢查服務(wù)器的運行日志，通過日志可以及時發(fā)現(xiàn)有無異常登錄、有無對系統(tǒng)作出修改等操作。

6．總結(jié)

本文從企業(yè)局域網(wǎng)物理安全、網(wǎng)絡(luò)體系結(jié)構(gòu)、防病毒及垃圾郵件和網(wǎng)絡(luò)管理四個方面闡述了企業(yè)局域網(wǎng)的安全設(shè)計與實現(xiàn)，升級后的網(wǎng)絡(luò)體系結(jié)構(gòu)層次分明，內(nèi)、外網(wǎng)絡(luò)安全隔離，內(nèi)網(wǎng)核心設(shè)備具備冗余功能，服務(wù)器通過虛擬化技術(shù)實現(xiàn)集中配置和管理，并形成服務(wù)器冗余。公司數(shù)據(jù)集中存儲和備份。在局域網(wǎng)中部署了網(wǎng)絡(luò)版防毒軟件，配置了專業(yè)的網(wǎng)絡(luò)安全管理軟件，基本實現(xiàn)了一個運行良好、可管理的安全企業(yè)局域網(wǎng)。由于成本等原因，也存在一些不足之處，未來可進一步改進：一是Internet接入路由器和接入鏈路都沒有冗余備份，容易出現(xiàn)單點故障，引起整個網(wǎng)絡(luò)出口中斷；二是如果資金充足，可在網(wǎng)絡(luò)中加裝專業(yè)的IDS或IPS設(shè)備，與防火墻設(shè)備聯(lián)動，可更加有效地預(yù)防和阻擋來自內(nèi)、外部的網(wǎng)絡(luò)攻擊。

[1]朱?。嬎銠C網(wǎng)絡(luò)安全方案的設(shè)計[J]．中北大學(xué)學(xué)報，2008，(24)：74．

[2]姜枊．龐德明．VMware ESX Server解決方案[R]．中國通信學(xué)會，2008．

Security Design and Implementation of Enterprise LocalArea Network

Shang Shuigen
(Guangzhou Baiyun Business Senior Technical School,Guangzhou 510450,Guangdong)

Taking the enterprise LAN upgrade project of a large American food company in dongguan as an example,this paper discusses the security design and implementation of enterprise LAN.The network security solution is proposed from four aspects: the physical security,enterprise LAN architecture,anti-virus and spam and network management,following the cask principle,the integrity principle,the validity principle and the practicability principle,and making the best use of the existing mature technology of network security.The upgraded LAN has started running in the company.Results show that it basically meets the design requirements and performs well.

LAN;network security;design

湯水根，男，江西宜春人，本科，高級工程師，研究方向：計算機網(wǎng)絡(luò)組建、管理，計算機網(wǎng)絡(luò)安全。