陳俊祺，谷大豐

（1.武警山西省總隊(duì)網(wǎng)管中心，山西 太原 030012；2.國(guó)網(wǎng)山西省電力公司電力科學(xué)研究院，山西 太原 030001）

0 引言

隨著信息技術(shù)的廣泛使用，各類(lèi)中小企業(yè)的日常運(yùn)作越來(lái)越依賴(lài)于計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)。許多企業(yè)都建有了自己專(zhuān)用的計(jì)算機(jī)網(wǎng)絡(luò)，其中注重網(wǎng)絡(luò)應(yīng)用的企業(yè)還擁有自己專(zhuān)用的門(mén)戶(hù)網(wǎng)站，隨之也就出現(xiàn)了一系列的問(wèn)題，在網(wǎng)絡(luò)安全與穩(wěn)定方面尤其突出。如：病毒、木馬在網(wǎng)絡(luò)上肆意蔓延，員工長(zhǎng)時(shí)間使用點(diǎn)對(duì)點(diǎn)下載軟件P2P（Point to Point）、下載電影等大量占用帶寬，這些行為均會(huì)嚴(yán)重影響企業(yè)網(wǎng)絡(luò)的正常運(yùn)行。因此，加強(qiáng)企業(yè)網(wǎng)絡(luò)的安全防護(hù)非常重要。

1 中小企業(yè)網(wǎng)絡(luò)安全需求分析

中小企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)有本身自有的特點(diǎn)，一般來(lái)說(shuō)，計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不會(huì)很大；由于企業(yè)規(guī)模所限，對(duì)網(wǎng)絡(luò)的投入也不會(huì)太多，網(wǎng)絡(luò)設(shè)備需要集成度高，性能強(qiáng)勁，功能多樣；因技術(shù)力量方面相對(duì)薄弱，需要網(wǎng)絡(luò)設(shè)備操作簡(jiǎn)單，維護(hù)方便；用戶(hù)對(duì)網(wǎng)絡(luò)性能要求相對(duì)較高，注重網(wǎng)絡(luò)使用的穩(wěn)定性和便捷性等。

本文主要從企業(yè)網(wǎng)絡(luò)所面臨的安全威脅等現(xiàn)實(shí)問(wèn)題，提出需求分析。

1.1 病毒木馬的防護(hù)

一般情況下，需在客戶(hù)機(jī)上安裝殺毒軟件等安全防護(hù)措施，并通過(guò)因特網(wǎng)及時(shí)更新病毒庫(kù)，從而能夠快速發(fā)現(xiàn)并消滅病毒，有效制止危害和防止其擴(kuò)散。有條件的企業(yè)也可以安裝防病毒墻（應(yīng)用網(wǎng)關(guān)），防止病毒進(jìn)入內(nèi)部網(wǎng)絡(luò)，有效提升內(nèi)部網(wǎng)絡(luò)的安全防護(hù)能力。

1.2 對(duì)外部網(wǎng)絡(luò)攻擊的防護(hù)

因連接到因特網(wǎng)，不可避免地會(huì)受到外部網(wǎng)絡(luò)的攻擊，通常的做法是安裝部署網(wǎng)絡(luò)防火墻進(jìn)行防護(hù)。通過(guò)設(shè)置防護(hù)策略防止外部網(wǎng)絡(luò)的掃描和攻擊，通過(guò)網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)NAT（Network Address Translation）等方式隱藏內(nèi)部網(wǎng)絡(luò)的細(xì)節(jié)，防止其窺探，從而加強(qiáng)網(wǎng)絡(luò)的安全性[1]。

1.3 員工上網(wǎng)行為的管控

對(duì)于在辦公區(qū)內(nèi)的員工，要禁止其在工作期間做無(wú)關(guān)工作的網(wǎng)絡(luò)行為，如QQ聊天、論壇發(fā)帖子、炒股等，尤其禁止其玩征途等各類(lèi)網(wǎng)絡(luò)游戲。常用做法就是安裝網(wǎng)絡(luò)行為管理設(shè)備（應(yīng)用網(wǎng)關(guān)），也有些企業(yè)會(huì)出于成本考慮安裝一些網(wǎng)絡(luò)管理類(lèi)軟件，但若操作不當(dāng)，很容易會(huì)造成網(wǎng)絡(luò)擁塞，出現(xiàn)莫名其妙的故障。

1.4 對(duì)不同接入者權(quán)限的區(qū)分

企業(yè)網(wǎng)絡(luò)中的接入者應(yīng)用目的是不相同的，有些必須接入互聯(lián)網(wǎng)，而有些設(shè)備不能接入互聯(lián)網(wǎng)；有些是一定時(shí)間能接入，一定時(shí)間不能接入等等，出于成本等因素考慮，不可能也沒(méi)必要鋪設(shè)多套網(wǎng)絡(luò)。通常的做法是通過(guò)3層交換機(jī)劃分虛擬局域網(wǎng)VLAN （Virtual Local Area Network） 來(lái)區(qū)分不同的網(wǎng)段，與防火墻等網(wǎng)絡(luò)控制設(shè)備配合來(lái)實(shí)現(xiàn)有關(guān)功能。

1.5 安全審計(jì)功能

通過(guò)在網(wǎng)絡(luò)旁路掛載的方式,對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)聽(tīng)，捕獲并分析網(wǎng)絡(luò)數(shù)據(jù)包，還原出完整的協(xié)議原始信息，并準(zhǔn)確記錄網(wǎng)絡(luò)訪問(wèn)的關(guān)鍵信息，從而實(shí)現(xiàn)網(wǎng)絡(luò)訪問(wèn)記錄、郵件訪問(wèn)記錄、上網(wǎng)時(shí)間控制、不良站點(diǎn)訪問(wèn)禁止等功能。審計(jì)設(shè)備安裝后不能影響原有網(wǎng)絡(luò)，并需具有提供內(nèi)容安全控制的功能，使網(wǎng)絡(luò)維護(hù)人員能夠及時(shí)發(fā)現(xiàn)系統(tǒng)漏洞和入侵行為等，從而使網(wǎng)絡(luò)系統(tǒng)性能能夠得到有效改善。通常的做法就是安裝安全運(yùn)行維護(hù)系統(tǒng)SOC（Security Operations Center），網(wǎng)管員定時(shí)查看日志來(lái)分析網(wǎng)絡(luò)狀況，并制定相應(yīng)的策略來(lái)維護(hù)穩(wěn)定網(wǎng)絡(luò)的安全運(yùn)行。

1.6 外網(wǎng)用戶(hù)訪問(wèn)內(nèi)部網(wǎng)絡(luò)

公司會(huì)有一些出差在外地的人員以及居家辦公人員SOHO（Small Office Home Office），因辦公需要，會(huì)到公司內(nèi)網(wǎng)獲取相關(guān)數(shù)據(jù)資料，出于安全和便捷等因素考慮，需要借助虛擬專(zhuān)用網(wǎng)絡(luò)技術(shù)VPN（Virtual Private Network） 來(lái)實(shí)現(xiàn)。通常的做法是安裝VPN設(shè)備（應(yīng)用網(wǎng)關(guān)）來(lái)實(shí)現(xiàn)。

2 網(wǎng)絡(luò)安全設(shè)備的部署與應(yīng)用

通過(guò)企業(yè)網(wǎng)絡(luò)安全分析，結(jié)合中小企業(yè)網(wǎng)絡(luò)的實(shí)際需求進(jìn)行設(shè)計(jì)，網(wǎng)絡(luò)拓?fù)淙鐖D1所示。

圖1 某企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)拓?fù)鋱D

從拓?fù)鋱D1可以看出，該網(wǎng)絡(luò)中的核心網(wǎng)絡(luò)設(shè)備為UTM綜合安全網(wǎng)關(guān)。它集成了防病毒、入侵檢測(cè)和防火墻等多種網(wǎng)絡(luò)安全防護(hù)功能，從而成為統(tǒng)一威脅管理UTM(Unified Threat Management)綜合安全網(wǎng)關(guān)。它是一種由專(zhuān)用硬件、專(zhuān)用軟件和網(wǎng)絡(luò)技術(shù)組成的具有專(zhuān)門(mén)用途的設(shè)備，通過(guò)提供一項(xiàng)或多項(xiàng)安全功能，將多種安全特性集成于一個(gè)硬件設(shè)備，構(gòu)成一個(gè)標(biāo)準(zhǔn)的統(tǒng)一管理平臺(tái)[2]。通常，UTM設(shè)備應(yīng)該具備的基本功能有網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)入侵檢測(cè)（防御）和網(wǎng)關(guān)防病毒等功能。為使這些功能能夠協(xié)同運(yùn)作，有效降低操作管理難度，研發(fā)人員會(huì)從易于操作使用的角度對(duì)系統(tǒng)進(jìn)行優(yōu)化，提升產(chǎn)品的易用性并降低用戶(hù)誤操作的可能性。對(duì)于沒(méi)有專(zhuān)業(yè)信息安全知識(shí)的人員或者技術(shù)力量相對(duì)薄弱的中小企業(yè)來(lái)說(shuō)，使用UTM產(chǎn)品可以很方便地提高這些企業(yè)應(yīng)用信息安全設(shè)施的質(zhì)量。在本案例中主要使用的功能有防火墻、防病毒、VPN、流量控制、訪問(wèn)控制、入侵檢測(cè)盒日志審計(jì)等。

網(wǎng)絡(luò)接入和路由轉(zhuǎn)發(fā)功能也可由UTM設(shè)備來(lái)實(shí)現(xiàn)。因其具有多個(gè)接口（即多個(gè)網(wǎng)卡），可通過(guò)設(shè)定接口組把辦公區(qū)、車(chē)間、服務(wù)器組等不同區(qū)域劃分成不同的網(wǎng)段；通過(guò)對(duì)不同網(wǎng)段設(shè)定不同的訪問(wèn)規(guī)則，制定不同的訪問(wèn)策略，來(lái)實(shí)現(xiàn)非軍事化區(qū)DMZ（demilitarized zone）、可信任區(qū)以及非信任區(qū)的劃分，從而有效增強(qiáng)網(wǎng)絡(luò)的安全性和穩(wěn)定性。

對(duì)于上網(wǎng)行為的管理，可以通過(guò)內(nèi)置UTM設(shè)備的功能來(lái)實(shí)現(xiàn)管控，并可以實(shí)現(xiàn)Web過(guò)濾以及安全審計(jì)功能。如圖1所示，設(shè)定了辦公區(qū)和車(chē)間1可以訪問(wèn)互聯(lián)網(wǎng)，而車(chē)間2不能訪問(wèn)互聯(lián)網(wǎng)。在辦公區(qū)和部分車(chē)間安裝無(wú)線AP，可方便人員隨時(shí)接入網(wǎng)絡(luò)。通過(guò)訪問(wèn)密碼和身份認(rèn)證等手段，可對(duì)接入者進(jìn)行身份識(shí)別，對(duì)其訪問(wèn)網(wǎng)絡(luò)的權(quán)限進(jìn)行區(qū)分管控。市場(chǎng)上還有一些專(zhuān)用的上網(wǎng)行為管理設(shè)備，有條件的單位可進(jìn)行安裝，用以實(shí)現(xiàn)對(duì)員工上網(wǎng)行為進(jìn)行更為精準(zhǔn)的管控。

對(duì)于出差在外地的人員和SOHO人員可在任何時(shí)間通過(guò)VPN客戶(hù)端，用事先分配好的VPN賬戶(hù)，借助UTM設(shè)備的VPN功能，與總部建立VPN隧道，從而保證相互間通信的保密性，安全訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)，實(shí)現(xiàn)高效安全的網(wǎng)絡(luò)應(yīng)用。

3 結(jié)束語(yǔ)

通過(guò)某中小企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)備的部署，UTM產(chǎn)品為中小規(guī)模計(jì)算機(jī)網(wǎng)絡(luò)的安全防護(hù)提供了一種更加實(shí)用也更加易用的選擇。用戶(hù)可以在一個(gè)更加統(tǒng)一的架構(gòu)上建立自己的安全基礎(chǔ)設(shè)施，保證企業(yè)網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行。要實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)安全建設(shè)的可持續(xù)性發(fā)展，還需要立足實(shí)際，從意識(shí)、制度、管理、資金、人員、設(shè)備、技術(shù)等方面進(jìn)行不斷的改進(jìn)和提高，這樣才能保障網(wǎng)絡(luò)快速、穩(wěn)定、暢通地運(yùn)行。

［1］ 路亞，楊麗.中學(xué)校園網(wǎng)絡(luò)安全設(shè)計(jì)［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014（8）：181-183.

［2］ 百度百科.othella［EB/OL］.（2013-11-15）［2014-8-20］.http∶//baike.baidu.com/view/115004.htmfr=aladdin.