1 引言
网络安全是国家发展所面临的一个重要问题。对于这个问题,还没有从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。网络安全问题一般包括网络系统安仝和数据安全。网络系统安全是防止网络系统遭到没有授权的非法访问、存取或破坏;数据安全主要是防止重要、敏感数据被窃取等。将重点探讨基于VLAN的企业网络安全的架构设计。
2 原理
什么是虚拟局域网?由于有众多的供应商所制定的虚拟局域网解决方案和实施策略,所以精确地给虚拟局域网下定义就成为一个有争议的问题。然而,多数人对这种说法表示同意:VLAN即虚拟局域网,是一种通过将局域网内的设备逻辑地划分成一个个网段,从而实现虚拟工作组的新兴技术。
2.1根据端口划分VIAN
许多最初的虚拟局域网实施按照交换机端口分组来定义虚拟局域网成员。例如,一台交换机的端口1、2、3、7和8上的上作站组成,r虚拟局域网A,而端口4、5和6上的T作站组成了虚拟局域网B。此外,在多数最初的实施当中,虚拟局域网只能在同一台交换机上得到支持。第二代实施支持跨越多台交换机的虚拟局域网。
2.2根据MAC地址划分VLAN
这种划分VIAN的方法是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置它属于哪个组。基于MAC地址的虚拟局域网具有不同的优点和缺点。由于硬件地址层的地址是硬连接到工作站的网络界而卡(NIC)上的,所以基于硬件地址层地址的的虚拟局域网使网络管理者能够把网络上的工作站移动到不同的实际位置,而且可以让这台工作站自动地保持它原有的虚拟局域网成员资格。
2.3基于第三层的VLAN
基于第三层信息的虚拟局域网在确定虚拟局域网成员时考虑协议类型(如果多协议得到支持)或网络层地址(例如,TCP/IP网络的子网地址)。虽然这些虚拟局域网是基于第三层信息的,但这并不构成一种“路甫”功能,也不应与网络层路由相混淆。即使交换机检查数据包的IP地址以确定虚拟局域网成员,也不会施行路由计算,不会采用RIP或OSPF协议,而且穿越交换机的数据帧通常根据生成树算法桥接。
3 企业网络三层结构的设计
企业网络三层结构的设计如图1所示:
图1 企业网络三层结构拓扑图
(1)内部网络分级隔离、分级施策
把原有的服务器区分隔为对外公开的服务器区(DMZ区)和企、№专用的服务器区。将对外开放的服务器如:Web服务器、Mail服务器等移入DMZ区。重要的仅供企业内部使用的服务器作为一个服务子网,使用适合的保护措施保护起来。其他部分分别按用途划分为办公子网、管理子网、生产子网,做到分级隔离,划分清晰。在各子网之间根据不同的保护级别实施保护策略,做到分级施策。
(2)安全产品联动,实现交叉防守,立体防御
在网络产品的选择和部署时。考虑各产品的功能和特点,相互结合,充分发挥各自优势。实现安全联动,交叉防守,立体防御。
(3)设备线路设计冗余,避免单点失败
在原有网络中,内部网络所有的流量都要通过主交换机汇入外网。主交换机几乎承载了整个内部网络的数据交换工作,极易出现故障,造成整个网络的瘫痪。新的设计中考虑到这方面的要求,在主交换机处设置了备用交换机,避免单点失败造成网络的中断。
(4)管理安全、集中方便
设置安全管理区。管理员很容易在管理区内对网络中的主机和设备进行集中统一的管理。通过安全产品的监控、报警、审计等功能,了解网络的实时状态,实现对网络的安全管理。
4 VLAN设计
4.1划分
在安全控制方面,采用虚拟局域网(VLAN)来控制广播域和网段流量,提高网络性能、安全性和可管理性。比如员工常常通过网络联机游戏,有时游戏产生的网络流量严重冲击了骨干网络的整体性能。再比如,有些员工好奇心强,常常喜欢在网络中充当“黑客“的角色,给网络的其他用户造成很大威胁。那么,必须采用划分虚拟局域网(VLA聊的方法,限制信息点之间的互相访问,从而提高了网络的整体性能。
更值得一提的是,接入交换机可以采用VLAN实现端口之间相互隔离,不必占用VLAN资源。在使用VLAN时,各端口不可以互通,仅可通过扩展模块上联端口或其他上联端口可访问互联网或社区服务器。若用户希望端口之间通信,则借助三层交换机或路由器进行路由转发。通过采取这些相应的安全措施,没有授权的用户在网络中的不能任意上网,给网络的安全性带来了基本保障。
4.2访问控制
三层交换机设置了VLAN路由接口后,默认情况下,任何两个VLAN之间都可以进行通信,实现资源共享。随着网络规模的升级,信息流量逐渐加大,人员管理变得日益复杂,给企业网的安全、稳定和高效运行带来新的隐患,如何消除这些隐患呢?在VLAN间采用访问控制策略,能够加强网络的整体安全。
在核心层和汇接层交换机的接口上建立访问控制列表来实现VLAN之间的访问控制,决定哪些用户数据流可以在VLAN之间进行交换,以及最终到达核心层。访问控制列表ACL由基于一套测试标准的一系列许可和拒绝语句组成。其处理过程是自上向下的,一旦找到了匹配语句,就不再继续处理。在访问控制列表末尾设置一条隐含拒绝语句,若在访问控制列表中没有发现匹配,则最终与隐含拒绝语句相匹配。
4.3配置命令
5 结语
网络安全体系的建设是一个长期的、动态变化的过程,在新的网络安全技术手段不断出现的同时,新的攻击入侵手段也会随之出现。任何一个安全体系设计方案都不能完全解决所有的安全问题。因此,如何将网络安全技术与网络安全管理无缝地融合在一起,如何能让网络安全实施策略随着不同的网络环境的改变而自动做出相应的改变,这就是在未来的网络安全解决方案研究中需要解决的。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:基于VLAN的企业网络安全架构设计
相关文章
