企业局域网安全设计与实现
2014-03-22汤水根
汤水根
(广州白云工商高级技工学校,广东 广州 510450)
企业局域网安全设计与实现
汤水根
(广州白云工商高级技工学校,广东 广州 510450)
文章以东莞某一大型美资食品公司的企业局域网升级项目为案例,讨论了企业局域网的安全设计与实现。从企业局域网的物理安全、网络体系结构、防病毒及垃圾邮件和网络管理四个方面给出了相关的网络安全解决方案,在设计中考虑并遵循了网络信息安全系统的木桶原则、整体性原则、有效性和实用性原则,并尽量利用现有的网络安全方面的成熟技术。完成安全升级后的局域网已经开始在该公司运行,运行结果表明,基本满足设计需求,是一个运行良好可管理的安全局域网络。
局域网;网络安全;设计
1.引言
项目所在单位为一家大型外资食品企业,公司于2002年成立,专业从事大豆产品的深加工与相关技术服务,同年,公司局域网也建成投入使用。随着网络规模的不断扩展和企业应用系统对网络安全性要求的提高,现有局域网的安全性问题日益突显出来,客户机病毒集中爆发,服务器拒绝服务等网络安全问题时有发生,提升网络安全性势在必行。经多方面准备,网络升级改造项目于2013年6月开始,历经3个月完成。在本项目中,作者担任了该项目的主要负责人,负责整个网络安全系统升级方案的规划设计,并指导网络工程师进行具体的网络安全实现。
2.企业局域网物理安全设计与实现
物理安全是系统安全的第一道关卡,由于原网络主机房使用已近8年,在机房面积、防火、防雷及供电系统等方面都不能满足企业信息安全的需求,此次升级,机房的物理安全是作者重点关注的对象。主要作了以下设计和改进:机房按《电子计算机机房设计规范》重新装修,机房的直流接地、交流接地机、防雷保护接地均与机房所在大楼的联合接地体相连,并采用了50mm*50mm宽的铜箔做成等电位基准接地网格,与机房的接地系统相连,提高了机房的按地安全性。房内地板、墙面、电线均采用防火材质。机房供电线路采用了独立的输入输出设计,对服务器和网络设备采用了山特公司的30千伏安UPS实行了双回路供电。机房大门安装门禁系统,建立了机房出入管理制度。采用硬盘录像机加固定摄像枪,建立实时的全天候24小时机房视频监控系统。
3.企业局域网网络体系结构安全设计与实现
一个好的网络体系结构是实现一个网络安全的前提条件。现有网络体系结构存在的主要问题:首先是服务器数量众多,造成配置复杂,管理混乱,容易留下安全隐患。其次,原网络采用二层的网络结构体系,对于一个具有3000多个用户节点的中型企业局域网络来说,在管理和安全上是存在隐患的。第三,企业内网没有实现子网隔离,网络性能低下,导致ERP、OA等应用服务器响应时间缓慢,财务部等敏感部门的数据容易被窃取和监听。分析了现有网络体系存在的问题后,提出以下网络体系结构安全解决方案。
第一,对整个网络采用三层的网络体系架构(接入层,汇聚层和核心层)进行重新设计。接入层负责将客户机接入网络,并在接入层交换机上对重要的服务器做IP地址、MAC地址及端口绑定,有效阻止ARP等病毒攻击。在汇聚层通过访问控制列表实现流量控制和访问权限约束,配置2台cisco6509三层交换机作为核心层交换机,保证核心层拥有较好的可靠性和高速数据吞吐量,并通过应用HSRP协议,实现核心网关设备的冗余。第二,整个内部网络采用基于端口的VLAN划分方法,按部门和管理需求划分成15个VLAN,以保障重要部门如财务部门等的数据安全、提高网络带宽利用率和减少广播风暴。第三,采用VMware公司的ESX Server虚拟服务器软件,将多个网络服务和企业应用服务以虚拟机的形式整合运行在配置较高的10台IBM System x3650服务器上,实现服务器的集中管理和配置,并通过ESX的HA(高可用性)形成服务器的冗余。原分布在各台服务器上单独存贮的数据采用IBM DS3400专业磁盘柜进行数据的集中存储,并通过Veritas NetBackup For Windows专业备份软件备份到IBM TS2900磁带库中。第四,升级Internet接入路由器和核心交换机之间的防火墙为华赛USG3030,主要是为了增加接入设备的报文过滤功能,减轻路由器的处理负担。该防火墙启用NAT,方便内网用户访问互联网络。使用PIX515E防火墙能有效防止SYN FLOOD、UDP FLOOD、ICMP FLOOD和DNS FLOOD等Dos攻击,能有效阻断RPC这类漏洞攻击。同时,在防火墙上启用了IPSec VPN,这样公司员工可以远程连接到公司内网。
4.企业局域网防病毒和垃圾邮件系统设计与实现
第一,防病毒解决方案:经过多次调研和测试,采用趋势科技的防毒墙网络版8.0代替代原来的单机版的杀毒软件。除了趋势科技防毒墙正常的扫毒杀毒功能以外,作者还在其上配置了与防毒墙配套的损害清除服务和Web威胁防护组件,形成了具有高度集成的防病毒解决方案。针对防病毒软件的被动防护特点,作者在Internet接入路由器上建立了一个策略禁止访问常见病毒攻击端口,并且把它应用到Internet出口上,防止病毒入侵。第二,防垃圾邮件解决方案:通过引入Symantec 8360垃圾邮件硬件防火墙,通过配置IP阻断清单、用户自定义规则、垃圾邮件指纹过滤、垃圾邮件意图分析等,解决了公司邮件服务器经常中毒、接收转发大量的垃圾邮件问题。
5.企业局域网网络管理安全设计与实现
该公司网络规模较大,为了避免网络安全管理上的混乱和漏洞,将网络从被动管理状态转为主动管理状态,采用一套专业网络管理软件建立统一的网络管理平台是非常重要的。本方案中采用溢信科技的IP-Guard专业网络管理软件对网络进行监控和安全管理。利用IP-Guard的补丁管理功能实现了局域网内所有服务器和客户机微软补丁下载、安装自动化,避免了操作系统和软件漏洞引起的网络安全。利用IP-Guard的漏洞检查功能,定期对网内所有机器进行安全检查,包括共享资源权限、管理员帐号密码是否安全、Guest帐号是否禁用、是否有限制匿名连接、启用了哪些服务和端口、IE安全漏洞等,帮助作者公司信息化部门的网络管理人员确定计算机是否安全。IP-Guard系统报警功能一旦检查出网络配置、系统启动项、系统服务、系统时钟等发生变化,将及时通过邮件对网络管理员发出报警。因此,IP-Guard为网络管理人员提供了强大而又实用的网络安全管理平台。最后,安全是“三分技术、七分管理”,如果没有良好的管理机制,没有落实好管理机制,所有的技术都将成为空谈,为此,作者制定了严格的企业信息安全管理制度,并确保执行到位,如作者要求网管人员每天必须检查服务器的运行日志,通过日志可以及时发现有无异常登录、有无对系统作出修改等操作。
6.总结
本文从企业局域网物理安全、网络体系结构、防病毒及垃圾邮件和网络管理四个方面阐述了企业局域网的安全设计与实现,升级后的网络体系结构层次分明,内、外网络安全隔离,内网核心设备具备冗余功能,服务器通过虚拟化技术实现集中配置和管理,并形成服务器冗余。公司数据集中存储和备份。在局域网中部署了网络版防毒软件,配置了专业的网络安全管理软件,基本实现了一个运行良好、可管理的安全企业局域网。由于成本等原因,也存在一些不足之处,未来可进一步改进:一是Internet接入路由器和接入链路都没有冗余备份,容易出现单点故障,引起整个网络出口中断;二是如果资金充足,可在网络中加装专业的IDS或IPS设备,与防火墙设备联动,可更加有效地预防和阻挡来自内、外部的网络攻击。
[1]朱俊.计算机网络安全方案的设计[J].中北大学学报,2008,(24):74.
[2]姜枊.庞德明.VMware ESX Server解决方案[R].中国通信学会,2008.
Security Design and Implementation of Enterprise LocalArea Network
Shang Shuigen
(Guangzhou Baiyun Business Senior Technical School,Guangzhou 510450,Guangdong)
Taking the enterprise LAN upgrade project of a large American food company in dongguan as an example,this paper discusses the security design and implementation of enterprise LAN.The network security solution is proposed from four aspects: the physical security,enterprise LAN architecture,anti-virus and spam and network management,following the cask principle,the integrity principle,the validity principle and the practicability principle,and making the best use of the existing mature technology of network security.The upgraded LAN has started running in the company.Results show that it basically meets the design requirements and performs well.
LAN;network security;design
汤水根,男,江西宜春人,本科,高级工程师,研究方向:计算机网络组建、管理,计算机网络安全。