某企业网全局网络安全体系解决方案

2011-11-25 02:37李素朵
制造业自动化 2011年2期
关键词:因特网交换机防火墙

李素朵

LI Su-duo

(石家庄法商职业学院,石家庄 050091)

0 引言

目前,随着网络技术不断发展,企业网络发展规模也不断扩大,所以企业网的正常运行也显得尤为重要。另外一方面,网络管理的维护同时存在一定的困难,学生在网络学习的需求也显得尤为突出,网络业务容量分配优化工作也显得很重要,如何有效应对企业网存在的问题,有效积极进行企业网络带宽调度和分配,提高企业网络安全管理水平[1,2]。本文主要探讨了某企业网全局网络安全体系解决方案,对于提高企业网络安全具有一定作用。

1 企业网络安全解决方案

1.1 VLAN的规划

企业网采用的核心交换机是一台Extreme 6808,核心与南区的一台Extreme 6808通过1000M单模聚合连接,其他建筑的分控制室采用基于多模和单模光纤的千兆以太网与锐捷3760、2126G等连接。通过对企业网整体结构的分析,采用虚拟局域网VLAN技术。

我校企业网交换机上的VLAN划分,是采用基于端口(光纤接口)的,相同VLAN名的端口位于同一VLAN,通过其VLAN ID来互相传输数据,不同VLAN之间通过做标记的Tag口来转发数据。

所以有必要从以太网的机制来探讨,基于广播机制的以太网,结合交换器和VLAN技术,则就转变为点对点的通讯方式。这样就能够隔离广播,也就是说信息可以按照要求达到指定地点,防止基于网络监听的入侵手段;另一方面,还可以增设虚拟网络的访问控制,虚拟网内部不能直接被被虚拟网外的网络节点访问。

1.2 防火墙配置方案

学院的网络主要包括10M Base_T的因特网接入。运行在Lotus系统上的信息中心以及OA系统,其中OA系统包括通道DDN远程接入的校区网络。在这部分网络中使用防火墙将网络划分为三个安全域:因特网、信息中心和OA网络。由于网络中使用了一个核心交换机,因此在防火墙的连接中,需耍将防火墙的DMZ接口和LAN接口同时接到Cisco 4006核心交换机,使用交换机VLAN划分功能使其位于不同的VLAN。

防火墙的使用使网络在此节点上划分为三个相互隔离的安全域,可以通过设置规则规划三个安全域、六个方向、多个网络用户编点之间的访问情况。防火墙的使用的第一步就将网络的访问变成可单向控制的,尽管TCP/IP协议是双向的。因此来自因特湖的闯入风险、非法访问很快就会全部屏蔽掉。防火墙的另一个作用是防火墙以表的节点看起采从因特网上消失了:除了对外提供的必需业务之外,网络和系统的其他属性从因特网上不可见了。网络既不可探测,内部网络信息也不可获知了。

大部分的防火墙是为了防止一种Ethernet Sniffer的攻击方式,在基本的结构设计上使用三接口的硬件模式。防火墙也因此将网络节点划分为三个安全域:用于因特网接入的WAN接口,用于企业网接入的LAN接口和专为服务器群设计的DMZ接口。

1.3 入侵检测系统的部署

根据企业网络的特点,应选择同时具备IPS(入侵检测系统)和IDS(入侵检测系统)等功能,基于代理的分布式入侵监测技术的入侵检测系统。这里选择SymantecNetwork Security(SNS)入侵检测系统为例。

1)主动防御,而非被动报警。SNS可以实现自动防御,无需人工干预,自动检测,屏蔽网络入侵行为.减少用户用于日常维护的人力成本。SNS是以透明方式部署在网络结构中,不用修改原有网络结构,也不用修改交换机配置。

2)安全策略自动维护

传统IDS产品被用户所排斥的主要原因就是需要用户人工设定检测策略,并需要定期维护更新。SNS改变了这种传统的更新模式,他可以自动更新、加载、生效最新的安全策略,大大降低了产品对操作人员的依赖。通过这种策略自动更新的工作方式,争取了在出现可能对系统和网络造成严重影响的重大安全隐患的紧急状况下的响应时间(如:冲击波),在主机还没有来得及完成补丁分发的情况下,SNS通过自动化的策略更新,就己经实现了整个网络的安全防护。

1.4 VPN的使用

本方案中的VPN系统是通过采用防火墙/VPN一体化设备来实现的。增加了VPN系统防火墙系统与前述的防火墙系统在结构上没有多大区别,但是由于VPN系统的使用,网络就支持远程的移动用户以加密的方式对内部网络的重要的服务器进行访问,甚至三个网络之间也可以通过因特网连成一体,这样为网络的应用节省成本。另外,在该VPN系统中,总校的网络节点须申请可路由的IP地址,其地位是VPN的核心节点。其它的节点全部连接到此节点。

1.5 防病毒系统

病毒是一种具有自我复制能力,由编写者出于各种目的编写,能够在隐蔽情况下执行编写者意图的非法程序。目前,许多计算机病毒都具有特定的功能,而远非仅仅是自我复制。其功能(常称为PAYLOAD)可能无害,如,只是在计算机的监视器中显示消息,也可能有害,如毁坏系统硬盘中所存储的数据,一旦条件(比如:特定的组合键击、特定的日期或预定义操作数)触发,就会引发病毒表现。

来自系统外部(Internet或外网)的病毒入侵:这是目前病毒进入最多的途径。因此在与外部连接的网关处进行病毒拦截是效率最高,耗费资源最少的措施。可以使进入内部系统的病毒数量大为减少。但很明显,它只能阻挡采自外部病毒的入侵。

病毒集散地之一,网络邮件/群件系统:如果网络内采用了自己的邮件/群件系统实施办公和信息自动化,那么一旦有某个用户感染了病毒,通过邮件方式该病毒将几何级数在网络内迅速传播,并且很快会导致邮件系统负荷过大而瘫痪。因此在邮件系统上部署防病毒也显得尤为重要。

病毒集散地之二,文件服务器:文件资源共享是网络提供的基本功能。文件服务器大大提高了资源的重复利用率,并且能对信息进行长期有效的存储和保护。但是一旦服务器本身感染了病毒,就会对所有的访问者构成威胁。因此文件服务器也需要设置防病毒保护。

最终用户:病毒最后的入侵途径就是最终的桌面用户。由于网络共享的便利性,某个感染病毒的桌面机随时有可能会感染其它的机器,或是被种上了黑客程序而向外传送机密文件(如“SirCam”病毒)。因此在网络内对所有的客户机进行防毒控制也很有必要。

内容保护:随着病毒所采用的技术日趋复杂,单纯依靠病毒码和被动的文件分析技术往往造成防病毒的响应时间过长。为了能够在第一时间主动地阻止新型病毒的入侵,在防病毒系统中附加内容过滤和保护功能就显得十分重要。例如,由于目前邮件系统的使用异常方便,造成了用户很容易在不经意间将重要的、机密的或是不当的信息通过邮件发送出去;另一方面,来自Internet上的垃圾邮件也到处都是,导致用户需花大量的精力和时间去处理,降低了工作效率。因此对往来的邮件内容进行过滤也很重要。

集中管理:一个缺少管理的系统就是一个无效的系统。对于一个大型网络来说,部署的防毒系统将十分复杂和庞大。尤其在各网点在地域上分离的情况下,通过一个监控中心对整个系统内的防毒服务和情况进行管理和维护显得十分重要。这样可以大大降低维护人员的数量和维护成本,并且缩短了升级、维护系统的响应时间。防毒系统的最大特点是需要不断的升级和更新防毒软件,以对应新产生的各类病毒。

1.6 认证管理

近年来,我国的企业网建设得到了飞速的发展和广泛的应用,教师和学生能够随时随地从网络获得相关的资源,已经成为广大的师生员工获取资源的重要手段之一。由于网络上原有的认证系统如PPPoE和Web认证技术,对企业网中的用户数据包处理比较繁琐,报文封装代价比较高,造成了网络传输瓶颈,业务灵活性和扩展性不强,己经越来越不适应企业网发展的认证需求。

IEEE 802.1X协议标准认证协议,一经推出就引起了广大网络设备制造商的重视。IEEE 802.1X通过对认证方式和体系结构的优化,有效地解决了传统认证方式带来的昂贵花销。IEEE 802.1X认证方式有着简洁高效,易于实现,安全可靠,易于运营优点。因此,各大厂商纷纷组织研发力量进行基于IEEE 802.1X协议相关产品的开发,并在企业网中广泛地应用。

1.7 安全管理制度

网络安全管理是保证网络安全的基础。安全技术是配合安全管理的辅助措施。我们建立了一套企业网络安全管理模式,制定了详细的安全管理制度,如:网络管理中心安全管理规则、企业网安全和使用管理条例、病毒防范制度等,并采取切实有效的措施,保证了制度的执行。

2 结束语

企业网安全体系解决方案总体上来说是成功的,如黑客入侵事件较早得到警告,及早采取有效措施,有效阻止了事件进一步恶化;控制了ARP病毒攻击;网络病毒控制在了一定可控范围:建立了完整的数据备份系统,提供了数据快速回复机制;建立了完善的日志审查制度。该方案的实施后,我校的网络安全事件大大减少,企业网络安全得到最大限度的保障。

[1]刘晓云.企业网安全访问控制体系的构建[J].现代电子技术,2010,33(17).

[2]苏君丽.Snort技术在企业网安全防御中的应用[J].企业家天地(下旬刊),2010,(2).

[3]李健,杨幸,杨丽莎,等.企业网的主要安全问题研究[J].计算机与现代化,2009,(8).

猜你喜欢
因特网交换机防火墙
构建防控金融风险“防火墙”
更换汇聚交换机遇到的问题
基于地铁交换机电源设计思考
缔造工业级的强悍——评测三旺通信IPS7110-2GC-8PoE工业交换机
上网
揭开“接入因特网”的神秘面纱
在舌尖上筑牢抵御“僵尸肉”的防火墙
罗克韦尔自动化交换机Allen-Bradley ArmorStratix 5700
下一代防火墙要做的十件事
筑起网吧“防火墙”