管理企业外联网

笔者工作的单位因为业务性质的特殊性，需要与多个领域的企业公司进行数据交换，这部分的业务构建的网络就是外联网，绝大部分业务是通过租用运营商的专线来搭建网络的。因为业务发展得过快，网络搭建缺乏规划管理，导致了这部分区域较为混乱，存在网络安全问题。原来的外联网拓扑图，如图1所示。

租用运营商专线搭建外联网的方式，一方面考虑的是信息在传递过程中较为安全，降低被窃取的可能性；另一方面为了加强网络的可靠性与稳定性，保证业务能正常交换数据。最大的缺点是费用较为昂贵，这一点在这里就不加以讨论了。由拓扑图分析存在的问题是这部分网络边界不明晰，外联网的专线都通过一台汇聚交换机直接与核心骨干网对接。倘若从专线那边发起过的网络攻击，内部的网络将会变得十分脆弱，没有任何防御的措施，对外联网的实时网络性能缺乏监控手段。

图1 原来的外联网拓扑图

从最初的设计分析，使用的汇聚交换机是为了简单化组网，把外联网的接入企业当成了局域网的成员。其实这两部分是有明确的区别的。外联网的第一个特点是业务性质单一，它的接入成员仅是与服务器进行数据对接，不需要提供服务给企业内部人员使用，也不需要使用企业的互联网出口。外联网使用的专线都是低带宽的链路，一般带宽为2M、4M的较多。分配的IP地址较为凌乱，划分的子网掩码较为随意且没有规律可循。

结合上述问题，笔者单位计划改造这部分的网络。首先部署边界防火墙，这里我们使用的是山石网科的下一代防火墙，对整个外联网的业务提供安全访问策略。为什么使用下一代防火墙，因为不仅有传统防火墙的功能，而且还集成了防病毒、流量控制、入侵检测等功能模块。最重要的一点是集合在一台设备上面实现多个功能，这样使得我们部署起来较为容易。简要拓扑图如图2所示。为此，我们需要进行以下改造工作。

表1 分配地址情况

图2 改造后的简要网络拓扑图

重新规划IP地址，进行路由汇总

新规划出一个IP网段地址为 192.168.100.0/24，通过划分子网掩码划分给多个外联企业使用。原则上业务数据交换只需要两个对接IP就可以，分配的地址情况如表1所示。

这部分更改IP地址是最为重要的一个环节，在推进的时候遇到了一些困难涉及到程度代码的一些更改，但为了统一部署我们还是很强硬地推进下去，有一些特殊的情况改不了，我们也用地址转换的方式解决。过去的地址使用混乱导致很多问题，规范地址之后新增加的业务分配就很清淅了。

严格管理访问权限，根据业务开放相应端口：

简单来说就是要控制外互联网的权限，这部分区域默认的策略是禁止访问所有的地址（deny any）。然后跟据业务开放访问权限，尽量控制到最精细度仅开放某个IP的某个应用端口。每做一条策略都要标注是什么业务，这能够将业务与策略结合起来。

保证业务的稳定，加强信息安全

通过外联网传送的数据都是一些比较重要的数据，虽然专线本身已有一定的安全防泄漏的功能，但是为进一步保障我们开启防火墙的入侵检测和防病毒模块功能，实时监控着整个外联网的运行情况。