目前,各个企业为了方便业务的开展和提高工作效率,都将网络的应用引入了企业的E1常工作,但各部门员工使用网络的随意性,对企业网络性能和安全造成很大威胁,例如各部门员工随便访问财务部的信息,下载电影,玩游戏,聊天等,另外管理人员可能为了方便管理,开启电脑的Telnet端口,这样就会存在严重的威胁。
保障各部门网络的畅通,并限制他们的上网时间和访问的网站,也要设法拒绝非法的外网请求,现在有很多方法来实现这些要求,如:加密、加强管理员权限、构建内部局域网等。但这些管理只能完成一些简单的内部管理功能,并且这种管理还缺乏灵活性。如果通过采用一些网络安全设备来管理整个企业的网络,对于比较大型的企业来说,各地分企业与总部的通信,各地分企业之间的通信安全、企业内部部门的通信安全,就大大增加了企业的额外开销。因此,对于这些问题都可以通过访问控制列表来完成,利用访问控制列表来提高对企业网络安全的管理与维护。
访问控制列表是作用于路由器端口上的指令列表,主要用来控制和监测路由器各个端口的进出数据流量。访问控制列表是由源地址、端121号和目的地址来决定是否允许和拒绝通过的条件,进行配对报文里面的信息与访问控制列表里面的参数来通过发进和发出的信息包的请求,从而能实现通路。
图1 ACL原理图
1 以一个企业为实例来说明整个问题,企业的需求分析
该企业有人事部、软件开发部、网站设计部、财务部四个中心部门。企业内部有一台主交换机,各部门可以再接普通交换机进行扩充,一台路由器来实现企业内部各部门间的访问控制及互联网访问控制,因此企业要求内部实现以下功能:
(1)不同部门之间不能互相访问,同部门之间的员工可以互相访问;
(2)企业管理者可以访问所有的部门,自由访问lntetrnet;
③部门的员工在特定时间段范围Internet;
(4)对服务器的访问有限制,要区分不同部门的网络;
(5)财务部只有Email的数据被允许,而其他类型的数据流量都会被路由器禁止。这样可以限制企业内部对外部网络的访问,只允许收发邮件,而不能进行其他的网络访问;
(6)各部门禁止访问QQ和网络游戏,还可以限制员工浏览网页、限制员工上传企业内部的资料,从而保护企业信息的安全,限制使用BT下载工具浪费流量等;
(7)控制上班期间上网时间分配。
2 解决方案的设计
(1)首先给4个部门划分VLAN,人事、软件开发、网站设计和财务部分别对应VLAN2,VLAN3, VLAN4和VLANS,再为它们分配相应的IP网段,再根据企业的需要,如图2所示利用基于IP地址的扩展ACL来控制各部门之间的访问限制。
图2 企业部门划分图
将交换机的Int f0/24端口设置为trunk模式并与路由器的f0/I端口连接Switchport modetrunk;
将交换机的Int f0/1和f0/2端口分配给人事部VLAN2(其中一个端口备用,各部门各自接交换机进行扩充,以下类同);
将交换机的Int f0/3和f0/4端口分配给软件开发部部VLAN3;
将交换机的Int f0/5和f0/6端口分配给网站设计部VLAN4;
将交换机的Int f0/7和f0/8端口分配给财务部VLANS;
这样划分VLAN可以使同一VLAN的每个部门的自己内部人员之间能够互相访问,共同解决问题,并且不同VLAN的不同部门之IhJ不能够相互访问,而管理部门可以访问各个部门。
(2)禁止部门特定主机的外网访问如图3所示禁止网站设计部的主机hostl访问外网。
图3 网站设计部
分别在Hostl和Host2主机ping 192.168.5.2,结果如图4所示主机hcstl显示目的网络不通。
如图5所示主机host2正常能够ping通,说明主机hostl被禁止访问外网了。
图4 ping命令
图5 ping命令
(3)限制员工进行BT等P2P下载
利用路由器ACL可以限制网络中的BT等P2P软件的网络的访问,减少企业网络资源的浪费,限制BT, eMule都是用的端口。
access-list 1 0 1 deny tcp any any rang 68816890
access-list 101 deny tcp any rang 688l6890 any
access-fiat 1 0 1 permit ip any any
对路由器端口流量限速
普通的服务端口大多低于3000,多数蠕虫病毒和P2P端口都是3000以上,因此,对端口在3000以上的流量进行限制,既保障一般的网络应用,又避免对网络的滥用。
定义ACL access-fist 101 permit tcp anyany gt 3000
access-fist 1 0 1 permit udp any any gt 3000应用到接口interface f0/0
service-policy input xs
(4)禁止访问内部网的特定端口
黑客的入侵经常会利用某些特殊端口,像135,139,138,80等端口,关闭这些端口能够有效地阻止一些病毒和木马程序的攻击,防止电脑被黑,这些可以通过ACL的配置来对这些端口进行过滤。
分别在Hostl和Host2主机上ping 192.168.5.2,结果hostl不但能够ping通而且能正常访问routerl的web服务浏览器网页,host2只能ping通routerl,但不能访问routerl的80端口(不能访问web服务浏览器网页)。
(5)限制虚拟终端Telnet的访问
首先在两个主机上分别telnet路由器Routerl,必需先在路由器Routerl上配置:
Routerl(config)#enable password cisco
Routerl(config)#line vty 0 4
Routerl(config-line)#login
Router 1(config——fine)#password cisco
确保两个主机都能telnet路由器Routerl,即teNet 192.168.5.2成功。
在Routerl上配置:
Routerl(config)#access-list 1 permit host192.168.4.2
Routerl(config)#access-fist l deny deny
RouterI(config)#line vty 0 4
Routerl(configr-if)#access-fist 1 m
最后在Hostl上telnet 192.168.5.2,结果是成功的,而在host2上Telnet则操作是失败的,说明绑定在虚拟终端上的ACL发挥了作用。
(6)定义时间段及时间范围,然后进行ACL配置,将详细的规则和企业的要求添加到A CL中,最后将配置好的ACL添加到需要的端口中去。企业的网络管理员就可以根据ACL的协议、各种端口、IP源、目的地址等来对员工的网络行为进行有效的管理控制。
3 总结
如果一个企业的部门较多,只需要在本设计上类似地扩充即可,本设计不但方便了企业的网络管理,提高了企业网络安全性,更节省了企业在网络方面的额外开支。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:中小型企业网络控制方案的分析与设计
本文网址:http://www.toberp.com/html/consultation/1083945528.html
相关文章
