基于思科设备的大中型安全企业网络设计探究
2023-04-29王洪平
王洪平
摘要:大中型企业计算机网络的高效、可靠和安全运行,不仅影响企业各方面的正常运转,而且是企业提升精细化管理水平的重要保障。首先基于思科公司网络设备的路由和交换技术,给出了一个大中型企业网的组建方案,然后基于网络安全策略和技术,从网络安全防护和计算机系统配置两方面探讨了企业网的安全设计,以此构建一个安全企业网络。
关键词:大中型企业;路由与交换;网络组建;网络安全
一、前言
伴随新一代信息技术的不断涌现,许多有远见的企业都认识到很有必要依托先进的IT技术构建企业自身的业务和运营平台以提升企业的核心竞争力。经营管理对计算机应用系统的依赖性增强,计算机应用系统对计算机网络的依赖性增强,并且对计算机网络的高效性、可靠性和安全性提出了更高的要求。因此,在大中型企业中组建Intranet(内联网)或对原有网络进行改善,以实现网络的保密性、完整性、可用性、可控性和可审查性,是适应新时代企业业务发展的必然举措。对于一个大中型企业网络,其地理覆盖范围大多数情况下是城域网。假如X公司,总部设在四川省会成都,一个分公司在四川南充,南充分公司设有一个中心机房和A、B办事处,办事处下设有N个网点。这是一个典型的大中型企业的组织架构,这里以X公司为例来探讨一种安全的企业网络的设计方案。
二、企业网建设需求分析
企业网根据开展业务的需求,一般应该具备以下基本功能:共享资源,提供数字化办公与信息处理系统的运行平台,安全地与异地分支机构通信,网络系统运行稳定、安全可靠,具有较强的抗攻击能力。按照上述功能需求,组建并配置企业网络。
(一)网络组建的设计
路由与交换技术作为新型技术,其对计算机网络系统起到信息联通与数据交换的作用,保证系统驱动过程中网络内部的多元化数据体系可通过跟踪形式以及数据对接模式,对不同模块进行数据化控制,增强网络管理的精确性[1]。大中型企业的网络是通过交换机和路由器等网络设备连接而成的企业内联网,并且可以连接Internet。本方案基于思科网络设备,从路由与交换技术角度来探讨企业网络的组建。为了企业网具有较好的可扩展性,采用星形拓扑结构。在网络的设计中,企业网络在结构上按网络层次进行分层设计,分为三层,分别为核心层、汇聚层和接入层。接入层交换机可全部或部分冗余上行链路,分别上联到汇聚层交换机,这样既保证了企业网络的安全性和可靠性,同时又实现了企业虚拟局域网的统一配置管理和企业网络环路的避免[2]。
(二)网络安全的设计
网络安全的本质就是要确保网络中的信息安全。网络安全涉及甚广,对于大中型企业网络,要确保网络安全,不仅需要制定网络安全策略,还得应用关键网络安全技术。网络安全策略包含物理安全策略、信息加密策略、访问控制策略、安全管理策略。只有在法律、制度和管理上采取综合策略,再结合先进的网络安全技术,才能使网络系统具有较好的安全性,即网络安全防护要从管理和技术两方面入手。管理包括各种网络安全规章制度的建立、实施以及监督;技术层面包括各种安全设备的应用和安全技术措施的应用等。网络安全关键技术是指为解决网络安全问题进行有效监控和管理,保障数据及系统安全的专门技术,一般分为预防保护、检测跟踪、响应恢复三类。本文将基于技术角度从网络系统和计算机系统两个方面给出具体的安全实施方案。
三、网络设计实施方案
(一)分公司与省公司之间的路由
在分公司与省公司之间使用静态路由协议,静态路由的优势在于它能够非常准确地将消息传输到正确的目的地,因为消息要传向的目的网络和要经过的下一跳(或出接口)都已经由管理员预先定义好了。另外,因为管理员已经定义好路径,客户端可以利用这些静态路由把消息传送到目的地,所以安全性提高。此外,静态路由还可以更好地控制整个网络的流量,可以根据具体情况将流量路由到不同的路径,以避免出现数据阻塞现象,从而提高网络性能。由于静态路由比较简单,系统的维护和管理开销也相对较小。在此方案中,分公司与省公司之间采用静态路由通信,根据图1,在R1上配置到省公司的静态路由:ip route 202.114.62.0 255.255.255.0 202.114.67.6,在R2上配置省公司到分公司的静态路由:ip route 202.114.66.0 255.255.255.0 202.114.67.5。
(二)分公司内部的路由
在分公司内部采用动态路由协议RIP v2或OSPF。一般的分公司都不止一处办公地点,比如某银行在一个三线城市设有分行,市内又有很多支行,支行下面还有不同的网点,特别是这些网点的网络规模都比较小,整个市内分行的所有网络节点汇总在一起可构成一个中等规模的网络。如图2拓扑,包括中心机房和A、B两个办事处,办事处下面可以再连接不同的网段。类似这样的企业组织结构,都可采用数台思科三层交换机分别将下面的中心机房和A、B办事处连接起来,办事处下面还可连接分支机构。三层交换机不仅具有交换功能,还可以启用路由功能。图2中S1和S2两台交换机直接连接在路由器R1上,S3分别与S1和S2连接,这样的好处一是可以减轻R1的负荷,二是增加了上行冗余链路,当一台核心设备出现故障时,所有的数据流量会自动切换到另一台核心设备进行数据的转发,链路也会相应进行切换[3]。比如,路由器R1与交换机S2之间的链路出了故障,那么分公司B办事处可以通过R3连入网络;同理,如果路由器R1与交换机S1之间出现链路故障,那么分公司中心机房也可以通过交换机S3保持网络畅通。网络连接好后,需要考虑子网划分的问题。首先根据申请到的IP地址范围划分出足够的子网,图2中,对分公司的C类网络202.114.66.0/24,可划分出变长子网掩码的多个网段。对于三层交换机之间,以及交换机与路由器之间相互连接构成的网段,都采用30位子网掩码,这样可以恰到好处地分出更多的子网,而且每个子网的两个IP地址正好满足需求。图2中,交换机S1与路由器R1的连接构成子网202.114.66.12/30,可用IP地址是202.114.66.13/30和202.114.66.14/30,能分别分配给R1和S1相连的两个接口。
三层交换机与路由器之间宜采用动态路由协议RIP v2或者OSPF实现互连。静态路由在分公司这种规模的网络环境中已经不适用了,因为分公司的网络规模较大,路由条目较多,管理员手动维护大量的静态路由是非常困难的,并且容易出错。而RIP v2是一种距离矢量路由协议,适用于中型网络,支持路由聚合和认证,支持无类别域间路由(CIDR),非常灵活。OSPF协议也适用于大中型规模的网络,它是一种内部网关协议,用于在同一个自制系统(AS)中的路由器之间交换路由信息,它收敛速度快,无路由环路[4]。根据企业分公司规模的大小,可以在这两种动态协议中选取一种。根据图2,表1采用RIP v2协议实现分公司路由,给出了路由器R1、R4和交换机S1的路由配置,交换机S2和S3的路由配置可参照交换机S1,路由器R3的配置可参照R4。
(三)接入层的配置
对于分公司A办事处下面的网段,一般会根据不同业务部门划分不同的VLAN。VLAN是为解决以太网的广播风暴和安全性而提出的。不同VLAN是相互独立的广播域,一个VLAN中的广播帧和单播帧都只能在本VLAN中传输,即使两台计算机位于相同物理网段,但如果所属VLAN不同,它们也是不能相互通信的。网络中划分VLAN也用于控制流量和均衡负载。由于VLAN隔离了广播风暴,也隔离了不同VLAN之间的通讯,因此,不同VLAN之间的通讯必须依靠路由器或者三层交换机来实现。单臂路由技术常用于实现VLAN间的通信,使用路由器的一个物理接口与交换机的干道端口连接,然后在路由器这一个物理接口上为网络中不同的VLAN创建子接口,最后配置各个子接口的IP地址作为对应VLAN的网关。对于分公司B办事处路由器R3下面的网段,计算机可全部采用配置内部私有地址:192.168.1.0 /24,因为公网IP地址作为资源是有限的,局域网内部使用私有IP地址可以不受限制。由于接入层计算机数量一般较多,网络管理员为接入层计算机逐一配置IP地址工作量大,且容易出错,因此可通过路由器R3中的DHCP服务为计算机自动分配IP地址。 DHCP服务器最主要的功能就是动态向网络中的客户机分配IP信息,保障动态分配的IP唯一性。客户端计算机将自动获得IP地址信息并完成配置,这极大地提高了工作效率,代替了手工配置的繁重工作,减少了手工配置可能出现的错误,同时还便于管理。当网络中网络号需要变动时,无须逐台手动修改计算机的IP,只需调整DHCP服务器中IP地址池的网络号即可。由于客户机关机后,自动获取的IP地址会释放,因此使用DHCP服务也节约了IP地址。
四、企业网络安全防护
(一)企业网络安全的多层防护策略
根据网络安全的策略,对企业网络安全防护采用多层次的安全防护,在各个层次上部署相关的网络安全产品,从而有效地降低被入侵的危险,达到安全防护的目标。如果将整个企业网络比作城堡,防火墙就好比是城堡的护城河,入侵检测系统就是城堡中的瞭望哨,访问控制就是城堡内的管制,VPN(虚拟专用网) 就是从城堡外进入城堡内的一个安全地道,漏洞评估就是检测城堡是否坚固以及是否存在隐患,NAT(网络地址转换)就是乔装打扮出城,防病毒就是城堡中的将士把发现的敌人消灭。图3是安全企业网络的多层防护模型。
(二)企业网络安全防护措施
1.部署防火墙。防火墙是一种位于内网与外网之间的高级访问控制设备,能根据企业的网络安全策略,在内网与外网之间实现访问控制,是部署在网络中的第一道安全防线,是不同网络安全域间信息流的唯一通道。在图1中,因为分公司和省公司的边界路由器R1和R2直接与因特网相连,所以可根据需求,考虑是否需要分别在R1和R2之外配置两台防火墙。
2.部署入侵检测系统。入侵检测系统(IDS)可以弥补防火墙的不足,有助于预警网络攻击,提高外部入侵内网的门槛。它的作用就是监控网络和计算机系统是否出现被入侵或滥用的征兆。入侵检测系统分为NIDS、HIDS和DIDS三种基本类型。根据网络规模的大小,可以选用不同的类型。HIDS是基于主机的入侵检测系统,通常安装在被保护的主机上(如服务器),而NIDS(基于网络的入侵检测系统)和DIDS(分布式入侵检测系统)作为探测器放置在网络中的关键节点上,并向中央控制台汇报情况。
3.建立VPN。虚拟专用网(VPN)就是通过公用网络建立的一个临时、安全的连接,是对企业内部网的扩展[5],为两个网络(或两台主机)之间的通信提供一个虚拟的、安全的专用通道。VPN使用了密钥管理、访问控制和身份认证等多种技术。比如在分公司的中心机房可以配置一台VPN服务器,便于出差在外的员工通过VPN临时通道安全访问公司内网服务器。
4.配置NAT。网络地址转换(NAT)能把内网中访问因特网的IP地址进行转换,使外部无法获悉内网主机的真正IP,也隐藏了内部网络的结构。使用NAT的网络,只能由内到外发起访问,这就增强了内部网络的安全,降低了被外网攻击的风险。如在图2的内网中,可以在边界路由器R1上配置动态NAT,定义一个转换中使用的全局地址池(如202.114.66.101/24-202.114.66.120/24),配置标准访问控制列表允许两台服务器和内网中某些网段进行地址转换。
5.访问控制。访问控制技术主要用于授权、限制和监控用户对网络资源的访问,是保证资源的合法使用和网络系统安全的主要措施。在企业网络中,可以通过以下方式来应用访问控制。一是MAC地址过滤,根据交换机的MAC地址过滤,限制主机和服务器之间的访问。二是VLAN隔离,隔离不同的用户组,这样两个分组之间不能通信。三是ACL访问控制,在路由器的网络层上用包过滤中的源地址、目的地址、端口来管理访问权限。四是防火墙访问控制,在网络通信中配置防火墙控制访问。
6.漏洞评估。定期使用扫描软件对整个网络进行扫描,旨在发现漏洞,再根据扫描评估结果及时采取相应措施,可以大大地减少网络被入侵的风险。
7.查杀病毒。防火墙的弱点之一就是不能防备病毒。计算机病毒与黑客攻击技术日益融合,造成的危害越来越大,防治病毒是网络安防中的重要一环。企业应建立全方位的病毒防护体系,从而有效降低病毒带来的危害。全方位病毒防护体系的构建应该包括:在个人计算机上安装杀毒软件和单机防火墙;在服务器上安装基于服务器的防病毒软件;在网关上安装基于Internet网关的防病毒产品(如瑞星防毒墙 5.0)。这一防护体系能极大地减少病毒造成的危害。
(三)计算机系统安全防护措施
企业网中有很多个人计算机和服务器,如果一台计算机被控制,攻击者将以此为跳板对整个网络发起攻击,结果可能导致整个企业网络瘫痪,因此,做好个人计算机系统的防护措施至关重要,根据国内网络安全评估准则—《计算机信息系统安全保护等级划分准则》,个人计算机和服务器的信息安全保护等级应该达到用户自主保护级和系统审计保护级,对于服务器来说,安全保护等级还可以配置为更高。
1.计算机系统基本安全配置
一是设置开机密码、系统登录密码、屏保密码,有条件还可以对硬件采取简单的安全措施(如加锁)。二是在本地安全策略中配置账户策略,网站安全调查的结果表明,超过80%的安全侵犯都是由于弱口令而导致的,而80%的入侵可以通过使用复杂口令来阻止。三是不要启用Guest账户,并确保在本地安全策略的安全选项中配置为“使用空密码的本地账户只允许进行控制台登录”。四是启用安全日志,创建和维护访问审计跟踪记录。此外,我们还可以设置禁止系统自动登录、拒绝修改防火规则、开启系统自带的加密与解密功能等。
2.关键信息的保护
一是要尽可能隐藏IP地址。攻击者获得了计算机的IP地址,就等于明确了攻击目标。隐藏IP地址的主要方法是使用代理服务器,或者使用NAT技术(网络地址转换)。二是封闭计算机中不必要的端口,如远程访问的3389端口、流行病毒的后门端口、TCP 135等等端口,我们可以使用本机自带防火墙或管理工具中的本地安全策略来关闭端口。三是对管理员账户和来宾账户(Guest)进行特殊处理,Windows系统中的Administrator账户是管理员账户,我们应先对管理员账户进行更名,再把没有权限的Guest账户更名为管理员以欺骗攻击者。
3.必要的安全保护措施
首先是安装必要的安全软件,包括杀毒软件(如360杀毒)和个人防火墙软件(如瑞星个人防火墙),这样系统即便遭遇入侵,也能具有较好的防御能力;其次要经常升级系统版本(包括应用程序),确保系统中的漏洞在被黑客发现之前就已经修补上了,从而保证了系统的安全;三是不要回复陌生人的邮件;最后还要进行浏览器的安全级别设置,常见的浏览器包括Chrome、Firefox、Edge等,不同浏览器的安全级别设置方法不同,通过设置浏览器的安全级别,可以限制外部攻击,保护用户隐私,控制网站内容。
4.数据的保护
从两个方面保护数据,一是及时备份重要数据,即便系统遭到攻击也可以在短时间内恢复,挽回不必要的损失。国外很多商务网站都会在每天晚上对系统数据进行备份,数据的备份最好放在其他电脑或驱动器上。二是使用加密机制传输数据。网络上的信息一般是明文传输的,一旦被别有用心的人使用嗅探软件获取关键信息,将会带来损失,因此对网络中传输的数据进行加密是必要的。DES加密是一套没有逆向破解的加密算法,即便黑客得到了加密处理后的文件,破解工作也会在无休止地尝试后终止。
五、结语
本文给出了一个应用思科网络设备的大中型企业网的组建及安全方案,一方面从路由与交换技术的角度讨论了网络的组建,以实例的形式对网络组建方案做了具体的分析;另一方面从网络安全技术角度讨论了企业网络的安全防护措施,但网络安全防护仅靠技术是远远不够的,管理重于技术。安防工作是一个动态的过程,没有一成不变的安防系统,也没有一劳永逸的安防系统。
参考文献
[1]薛董敏.计算机网络路由交换技术的应用研究[J].软件,2022,43(08):58-60.
[2]谢小兰.基于思科设备的大中型企业网安全方案设计[J].企业技术开发,2013,32(14):83+102.
[3]伊健.校园网的规划与实现[J].电脑知识与技术,2023,19(13):91-93.
[4]王明昊.路由和交换技术(第二版)[M].大连:大连理工大学出版社,2021.
[5]徐照兴,刘庆,蔚治国.网络安全技术[M].上海:上海交通大学出版社,2020.
作者单位:南充职业技术学院
