首页 > 文章中心 > 正文

中小型企业网络安全规划与解决方案

前言:本站为你精心整理了中小型企业网络安全规划与解决方案范文,希望能为你的创作提供参考价值,我们的客服老师可以帮助你提供个性化的参考范文,欢迎咨询。

中小型企业网络安全规划与解决方案

摘要:互联网的飞速发展,互联网技术应用活跃,中小型企业网络规模和应用范围也不断扩大,导致网络安全问题日益突显。企业网络安全一旦出现问题,造成的损失不可估量。因而以中小型企业为实例,探讨这类企业的网络安全问题以及一些解决方案。分析了目前网络安全理论相关技术、中小型企业网络安全规划原则,针对中小型企业规划出了一个较为完善的网络拓扑结构且具有一定的扩展能力,运用当前主流的一些网络安全技术从中小型企业设备的物理环境安全、网络边界安全、网络内部安全等方面进行了重复加固和实现,提高了企业的网络安全等级。

关键词:中小型企业;网络安全规划;VLAN技术;方案

0引言

随着全球信息化浪潮的不断推进,社会经济、生活方面都发生了日新月异的变革,网络技术正在进行一场革命突破。网络技术长期的发展与完善,在信息安全方面已经从最初的数据保密逐步转变为信息安全技术的可用性、可控性以及完整性,如今网络安全又朝着“检测-管控-攻防”等方向发展,逐渐成为一个综合性的学科研究领域,也是目前研究的热点。如今,无论政府、大中小企业、学校、医院全部采用信息化平台工作,提高工作效率和社会竞争力。但是在网络安全管理和维护上存在一些问题和隐患,尤其中小型企业网络安全更被人忽视。本文深入分析网络安全相关技术、中小型企业网络安全规划原则,进一步提出中小型企业网络安全规划模型及解决方案,以满足中小型企业对网络的稳定性、可靠性和安全性需求。

1网络安全相关技术

网络安全是指利用网络管理控制和技术措施,保证在一个网络环境数据的保密性、完整性及可使用性受到保护。常见的技术有如下几个:(1)防火墙技术。防火墙技术(Firewall)是指设置在两个或多个网络之间的安全阻隔,用于保证本地网络资源的安全,由软件部分和硬件部分组成的一个系统或多个系统。工作原理是在可信任的网络边界上建立网络控制系统,隔离内部网络和外部网络,执行网络访问控制策略,防止外部的未授权节点访问内部网络和非法向外传递内部信息,同时也防止非法和恶意的网络行为导致内部网络的运行被破坏。(2)虚拟专用网技术。虚拟专用网技术(VirtualPrivateNetwork,VPN)是一种利用在互联网或其他公共网络上构建专有的虚拟私有网络安全技术,通过对网络数据的封装和加密,为用户在公共网络上建立一个临时的、安全的传输隧道,以达到专用网络的安全级别。用户数据通过发起端上的VPN设备建立逻辑隧道,数据在传输过程中是完全封装的,在接收端采用相应的解密和认证技术来确认发起的请求合法性,从而实现网络数据在整个传输过程中的安全,使其不要流向非法用户,以达到防范的目的。VPN优点在于加大了安全机制,即使信息被截获也不用担心泄密,数据传输采用认证模式,保证信息的完整性。(3)ACL技术。ACL技术在路由器中被广泛采用,是一种基于包过滤的流控制技术。控制列表通过把源地址、目的地址及端口号作为数据包检查的基本元素,并且可以规定符合条件的数据包是否允许通过。ACL通常用在企业的出口控制上,通过ACL的部署,可以有效的规划企业网络的出网策略。(4)入侵检测技术。入侵检测技术是从计算机网络和系统的若干关键节点收集信息并对其进行分析,从中发现网络或系统中是否存在违反安全策略的行为或者遭到入侵的现象,并根据一定的策略采取一定的措施。(5)VLAN技术。VLAN(VirtualLocalAreaNetwork)又称“虚拟局域网”,是一组逻辑上独立的设备和用户,不受物理位置的限制,可以根据功能、部门及应用等因素组织起来进行通信,相互之间的通信就好像在同一个网段中一样。一个VLAN就是一个广播域,VLAN之间的通信是通过第三层的路由器来完成的。通过VLAN可以灵活定义在同一物理网段上网络节点之间的通信,即在同一VLAN的网络节点之间可以通信,不同VLAN的网络节点之间不可以通信。(6)数据存储备份与恢复技术。将计算机硬盘中的数据复制到磁带或光盘上,而企业级的数据备份是指对精确定义的数据收集进行备份,无论数据的组织形式是文件、数据库,还是逻辑卷或磁盘,管理保存上述备份介质,以便需要时能迅速、准确地找到任何目标数据的任何备份,并准确地追踪大量的介质。

2中小型企业网络安全规划原则

网络安全的实质是指安全立法、安全管理和安全技术的共同运用,这3个方面体现了网络安全策略的约束、监控和保障的一般职能。依据SSE-CMM(系统安全工程能力成熟模型)及ISO17799(信息安全管理标准)等国际标准,综合考虑中小型企业网络安全规划过程中,需要遵循以下几方面的规则:(1)整体性原则。中小型企业网络安全规划应充分考虑到各种安全配套方案的整体一致性,不能片面的只注重对于攻击的防御,也不能只考虑网络遭到攻击后的如何快速修复防护。所以网络安全系统应该包括网络安全防护机制、监测机制和恢复机制。(2)均衡性原则。在设计中小型企业网络安全策略时,应当全面地评估企业对网络安全的实际需求和企业的实际经济能力,从而找寻网络安全风险和企业网络安全实际需求之间的一个均衡点,通过企业的实际网络安全要求和特殊的网络应用环境为基础来进行具体问题具体分析。(3)有效性与实用性原则。根据企业网络安全的实际需求来进行整体评价,实施量身定做的防火墙和杀毒软件更好地进行安全防护就可以了,对于中小型企业来说,购买一些高性能、高价位的设备是没有必要的。(4)易操作性原则。制定的网络安全措施最后的执行者还是网络管理人员,如果过于繁琐复杂,对执行人员的安全素质要求也比较高,这样就很难执行。(5)动态化原则。安全策略制定要充分考虑到企业的规模不断扩大、实力不断提升、网络业务不断变化,因此对网络安全系统就需要根据实际情况不断做出调整,满足新的网络安全需要。依据实际情况,通过使用更高性能的检测和防御的设备、提高安全设备的冗余度等措施来提高网络安全系统的安全等级。

3中小型企业网络安全规划总体解决方案

3.1网络拓扑结构规划

以一栋七层的办公大楼中小型企业为例,每个部门占据一个楼层。七层是经理部,需要1台电脑办公;六层是财务部,需要100台电脑办公;五层是人事部,需要80台电脑办公;四层是策划部,需要110台电脑办公;三层是技术部,需要200台电脑,并且在这层设立一个中心管理机房,放置的是企业中一些外部应用服务器、企业内部的重要服务器,如DNS服务器、FTP服务器和备份服务器等,还需放置核心交换机、汇聚交换机及防火墙等重要的网络安全设备,平时只有网络安全管理人员才拥有进出该中心机房的权限,并且有严格的门禁系统,必须进行刷脸认证;二层是工程部,需要150台电脑来办公;一层是销售部,需要210台电脑来办公。设计该大楼网络拓扑结构如图1所示。该拓扑图首先通过一个路由器和外网相连,然后由这个路由器再连接到防火墙上,分隔外网和内网,并且进行进出数据包的过滤;再次连接到企业的核心交换机上,核心交换机上连接企业的内部服务器,如邮件服务器和一些备份服务器等;最后再连接到汇聚交换机上,汇聚交换机再接到各部门的二层交换机上。

3.2网络安全解决方案

3.2.1网络边界安全解决方案

此企业的网络边界处采用防火墙和VPN相结合的方式构建一个安全的防护网。通过防火墙将外部的网络和企业的内网相互隔离开来,提高安全级别。防火墙上VPN的配置能为在外的企业员工访问企业内网提供安全的远程访问,极大地方便了在外出差的员工,同时这种方式的远程访问也具有极高的安全性。另外,外部网络接入企业内部网络时,可以通过NAT(网络地址转换)来接入Internet,这样做不仅隐藏了企业内部的网络结构,同时节约了大量的IPv4地址,具有一定的实际意义。

3.2.2网络内部安全解决方案

此企业的各个部门进行VLAN的划分,实现各部门的业务数据隔离安全。这样在不同VLAN里面的部门之间则不能相互访问,尤其是财务处需要单独划分在一个VLAN里,确保财务处的数据安全。VLAN的成员可以灵活地增删,当终端设备位置不固定时,也不用修改其IP地址,若要修改用户加入的VLAN时,也无需改变设备的物理连接。

4中小型企业网络安全解决方案的实现

4.1物理和环境的安全

提供专用的中心机房空间,合理的划分机房的各种设备的占用空间,将所有的网络安全设备和重要的数据服务器都放在这个机房中,将这些设备都固定在相应的安全柜中,使其不受外界环境的干扰。对于进出中心机房的人员加强进门审查装置,比如人脸识别技术、指纹识别技术等来保证中心机房的安全。在中心机房内部安装摄像头来实时监控和记录机房内的安全状况,方便后期网络安全维护。

4.2防火墙和虚拟专用网(VPN)的联动安全实现

中小型企业一般会考虑到经济承受能力,一般采用Cis-coPIX525作为企业接入网络时过滤数据的防火墙,将企业的内部网络和外部网络隔离开来,维护网络的边界安全。上述图1所示,防火墙和与外部网络的路由器相连,作为与外网相连的第一道防护,可以有效的防止来自外部的恶意攻击,也可以确保对DMZ区的应用服务器进行方便管理和安全维护。员工如果外出时,通过VPN来实现远程接入的安全性,这样就可以构成强大功能的审计系统,可以实时记录企业中关键业务的数据流向,并且可以对那些不断访问关键业务数据的主机进行实时监控。

4.3NAT和ACL的实现

目前IPv4的地址比较紧张,通过NAT转换技术来解决这个问题,企业只需购买一个全球的IP地址,比如172.138.2.5,然后在连接外部网络的路由器上配置NAT转换。当企业内部用户需要访问外部的网络时,经过企业的入口处路由器,将内部IP地址转换为全球的IP地址,才能把数据包发送出去,在外部网络中经传输到达目的地。如果目的地报文发回时,首先在外网中用全球IP地址查询,当到达企业网络边界的入口路由器时,再经过NAT地址转换,将外网IP地址转换为企业内部的IP地址,通过NAT地址转换表,就可以将报文发送给对应的主机,完成消息的发送。同时在企业的入口路由器上可以部署ACL,通过访问控制列表严格控制进出的数据包,通过设定一系列的过滤规则,当数据包要通过时,访问控制列表通过把源地址、目的地址及端口号作为数据包检查的基本元素,并决定符合条件的数据包是否允许通过。

4.4VLAN技术和单臂路由技术的实现

该中小型企业包含的部门有经理、人事部、销售部、财务部、技术部、策划部和工程部七个部门,对部门进行VLAN的划分。(1)首先按部门划分VLAN,分别定义VLAN的标签。经理:VLAN10;人事部:VLAN20;销售部:VLAN30;财务部:VLAN40;技术部:VLAN50;策划部:VLAN60;工程部:VLAN70。(2)根据各部门员工的要求,规定VLAN之间的通信规则为:VLAN10可以和其它VLAN中的各部门都可以通信,但是除过经理所在的VLAN10,其余的部门不能访问财务部,然后其余部门之间都不能相互访问。(3)实现不同部门之间的访问需要使用单臂路由技术来实现。单臂路由原理简单,配置容易,还可以在各部门入口路由器上配置ACL规则,提高VLAN之间通信的安全性。(4)根据各部门的网络安全要求,VLAN划分及各部门IP地址段划分的具体情况如表1所示:(5)根据员工要求配置单臂路由技术,经理所连交换机上面连接一个路由器,使用单臂路由技术,实现经理所在的VLAN10可以和其它的不同部门之间的VLAN通信。其余部门的VLAN之间不需要配置单臂路由,保证不同VLAN之间不能相互访问。

4.5企业数据存储备份与恢复技术

一般中小型企业内部数据包括客户服务系统、MIS管理系统和数据营销系统等,因此制定一套完善的数据备份方案,建立方便有效的企业级数据备份系统,保证企业中这些关键业务数据的安全性至关重要。充分考虑到中小型企业的经济承受能力和经济费用,推荐使用LAN-Base与LAN-Free相结合的备份方式。在整个企业的数据备份中心采用LAN-Free的技术方案,这样可以很好地解决传统备份方式中在备份大量的业务数据时占用网络带宽较多的问题,在各个部门中采用LAN-Base的备份方式,通过配置的备份管理服务器来管理各个部门备份的操作。

5总结

随着网络的不断普及,中小型企业无处不在使用网络,但是网络安全却日益凸显,所以企业中的网络安全策略也应该动态变化,要逐渐从被动的防御转变为主动的检测和防御,安全防御产品也要及时的更新,逐渐向智能化的方向发展,提高安全防护能力。本文对当前主流的一些网络安全技术理论进行了深入的分析和研究,例如防火墙技术、VPN技术、VLAN技术、存储备份与恢复技术等,然后通过一栋大楼的中小型企业进行了网络拓扑结构的设计与规划,研究了网络边界和网络内部的安全解决方案,运用网络安全相关技术对中小型企业网络安全方面进行全面加固与实现,对中小型企业的网络安全建设具有一定的实际应用意义。

作者:张如花 屈正庚 单位:陕西邮电职业技术学院 商洛学院数学与计算机应用学院