前言：本站為你精心整理了中小型企業(yè)網(wǎng)絡安全規(guī)劃與解決方案范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

摘要：互聯(lián)網(wǎng)的飛速發(fā)展，互聯(lián)網(wǎng)技術應用活躍，中小型企業(yè)網(wǎng)絡規(guī)模和應用范圍也不斷擴大，導致網(wǎng)絡安全問題日益突顯。企業(yè)網(wǎng)絡安全一旦出現(xiàn)問題，造成的損失不可估量。因而以中小型企業(yè)為實例，探討這類企業(yè)的網(wǎng)絡安全問題以及一些解決方案。分析了目前網(wǎng)絡安全理論相關技術、中小型企業(yè)網(wǎng)絡安全規(guī)劃原則，針對中小型企業(yè)規(guī)劃出了一個較為完善的網(wǎng)絡拓撲結構且具有一定的擴展能力，運用當前主流的一些網(wǎng)絡安全技術從中小型企業(yè)設備的物理環(huán)境安全、網(wǎng)絡邊界安全、網(wǎng)絡內部安全等方面進行了重復加固和實現(xiàn)，提高了企業(yè)的網(wǎng)絡安全等級。

關鍵詞：中小型企業(yè)；網(wǎng)絡安全規(guī)劃；VLAN技術；方案

0引言

隨著全球信息化浪潮的不斷推進，社會經(jīng)濟、生活方面都發(fā)生了日新月異的變革，網(wǎng)絡技術正在進行一場革命突破。網(wǎng)絡技術長期的發(fā)展與完善，在信息安全方面已經(jīng)從最初的數(shù)據(jù)保密逐步轉變?yōu)樾畔踩夹g的可用性、可控性以及完整性，如今網(wǎng)絡安全又朝著“檢測－管控－攻防”等方向發(fā)展，逐漸成為一個綜合性的學科研究領域，也是目前研究的熱點。如今，無論政府、大中小企業(yè)、學校、醫(yī)院全部采用信息化平臺工作，提高工作效率和社會競爭力。但是在網(wǎng)絡安全管理和維護上存在一些問題和隱患，尤其中小型企業(yè)網(wǎng)絡安全更被人忽視。本文深入分析網(wǎng)絡安全相關技術、中小型企業(yè)網(wǎng)絡安全規(guī)劃原則，進一步提出中小型企業(yè)網(wǎng)絡安全規(guī)劃模型及解決方案，以滿足中小型企業(yè)對網(wǎng)絡的穩(wěn)定性、可靠性和安全性需求。

1網(wǎng)絡安全相關技術

網(wǎng)絡安全是指利用網(wǎng)絡管理控制和技術措施，保證在一個網(wǎng)絡環(huán)境數(shù)據(jù)的保密性、完整性及可使用性受到保護。常見的技術有如下幾個：（1）防火墻技術。防火墻技術（Firewall）是指設置在兩個或多個網(wǎng)絡之間的安全阻隔，用于保證本地網(wǎng)絡資源的安全，由軟件部分和硬件部分組成的一個系統(tǒng)或多個系統(tǒng)。工作原理是在可信任的網(wǎng)絡邊界上建立網(wǎng)絡控制系統(tǒng)，隔離內部網(wǎng)絡和外部網(wǎng)絡，執(zhí)行網(wǎng)絡訪問控制策略，防止外部的未授權節(jié)點訪問內部網(wǎng)絡和非法向外傳遞內部信息，同時也防止非法和惡意的網(wǎng)絡行為導致內部網(wǎng)絡的運行被破壞。（2）虛擬專用網(wǎng)技術。虛擬專用網(wǎng)技術（VirtualPrivateNetwork，VPN）是一種利用在互聯(lián)網(wǎng)或其他公共網(wǎng)絡上構建專有的虛擬私有網(wǎng)絡安全技術，通過對網(wǎng)絡數(shù)據(jù)的封裝和加密，為用戶在公共網(wǎng)絡上建立一個臨時的、安全的傳輸隧道，以達到專用網(wǎng)絡的安全級別。用戶數(shù)據(jù)通過發(fā)起端上的VPN設備建立邏輯隧道，數(shù)據(jù)在傳輸過程中是完全封裝的，在接收端采用相應的解密和認證技術來確認發(fā)起的請求合法性，從而實現(xiàn)網(wǎng)絡數(shù)據(jù)在整個傳輸過程中的安全，使其不要流向非法用戶，以達到防范的目的。VPN優(yōu)點在于加大了安全機制，即使信息被截獲也不用擔心泄密，數(shù)據(jù)傳輸采用認證模式，保證信息的完整性。（3）ACL技術。ACL技術在路由器中被廣泛采用，是一種基于包過濾的流控制技術。控制列表通過把源地址、目的地址及端口號作為數(shù)據(jù)包檢查的基本元素，并且可以規(guī)定符合條件的數(shù)據(jù)包是否允許通過。ACL通常用在企業(yè)的出口控制上，通過ACL的部署，可以有效的規(guī)劃企業(yè)網(wǎng)絡的出網(wǎng)策略。（4）入侵檢測技術。入侵檢測技術是從計算機網(wǎng)絡和系統(tǒng)的若干關鍵節(jié)點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否存在違反安全策略的行為或者遭到入侵的現(xiàn)象，并根據(jù)一定的策略采取一定的措施。（5）VLAN技術。VLAN（VirtualLocalAreaNetwork）又稱“虛擬局域網(wǎng)”，是一組邏輯上獨立的設備和用戶，不受物理位置的限制，可以根據(jù)功能、部門及應用等因素組織起來進行通信，相互之間的通信就好像在同一個網(wǎng)段中一樣。一個VLAN就是一個廣播域，VLAN之間的通信是通過第三層的路由器來完成的。通過VLAN可以靈活定義在同一物理網(wǎng)段上網(wǎng)絡節(jié)點之間的通信，即在同一VLAN的網(wǎng)絡節(jié)點之間可以通信，不同VLAN的網(wǎng)絡節(jié)點之間不可以通信。（6）數(shù)據(jù)存儲備份與恢復技術。將計算機硬盤中的數(shù)據(jù)復制到磁帶或光盤上，而企業(yè)級的數(shù)據(jù)備份是指對精確定義的數(shù)據(jù)收集進行備份，無論數(shù)據(jù)的組織形式是文件、數(shù)據(jù)庫，還是邏輯卷或磁盤，管理保存上述備份介質，以便需要時能迅速、準確地找到任何目標數(shù)據(jù)的任何備份，并準確地追蹤大量的介質。

2中小型企業(yè)網(wǎng)絡安全規(guī)劃原則

網(wǎng)絡安全的實質是指安全立法、安全管理和安全技術的共同運用，這3個方面體現(xiàn)了網(wǎng)絡安全策略的約束、監(jiān)控和保障的一般職能。依據(jù)SSE－CMM（系統(tǒng)安全工程能力成熟模型）及ISO17799（信息安全管理標準）等國際標準，綜合考慮中小型企業(yè)網(wǎng)絡安全規(guī)劃過程中，需要遵循以下幾方面的規(guī)則：（1）整體性原則。中小型企業(yè)網(wǎng)絡安全規(guī)劃應充分考慮到各種安全配套方案的整體一致性，不能片面的只注重對于攻擊的防御，也不能只考慮網(wǎng)絡遭到攻擊后的如何快速修復防護。所以網(wǎng)絡安全系統(tǒng)應該包括網(wǎng)絡安全防護機制、監(jiān)測機制和恢復機制。（2）均衡性原則。在設計中小型企業(yè)網(wǎng)絡安全策略時，應當全面地評估企業(yè)對網(wǎng)絡安全的實際需求和企業(yè)的實際經(jīng)濟能力，從而找尋網(wǎng)絡安全風險和企業(yè)網(wǎng)絡安全實際需求之間的一個均衡點，通過企業(yè)的實際網(wǎng)絡安全要求和特殊的網(wǎng)絡應用環(huán)境為基礎來進行具體問題具體分析。（3）有效性與實用性原則。根據(jù)企業(yè)網(wǎng)絡安全的實際需求來進行整體評價，實施量身定做的防火墻和殺毒軟件更好地進行安全防護就可以了，對于中小型企業(yè)來說，購買一些高性能、高價位的設備是沒有必要的。（4）易操作性原則。制定的網(wǎng)絡安全措施最后的執(zhí)行者還是網(wǎng)絡管理人員，如果過于繁瑣復雜，對執(zhí)行人員的安全素質要求也比較高，這樣就很難執(zhí)行。（5）動態(tài)化原則。安全策略制定要充分考慮到企業(yè)的規(guī)模不斷擴大、實力不斷提升、網(wǎng)絡業(yè)務不斷變化，因此對網(wǎng)絡安全系統(tǒng)就需要根據(jù)實際情況不斷做出調整，滿足新的網(wǎng)絡安全需要。依據(jù)實際情況，通過使用更高性能的檢測和防御的設備、提高安全設備的冗余度等措施來提高網(wǎng)絡安全系統(tǒng)的安全等級。

3中小型企業(yè)網(wǎng)絡安全規(guī)劃總體解決方案

3．1網(wǎng)絡拓撲結構規(guī)劃

以一棟七層的辦公大樓中小型企業(yè)為例，每個部門占據(jù)一個樓層。七層是經(jīng)理部，需要1臺電腦辦公；六層是財務部，需要100臺電腦辦公；五層是人事部，需要80臺電腦辦公；四層是策劃部，需要110臺電腦辦公；三層是技術部，需要200臺電腦，并且在這層設立一個中心管理機房，放置的是企業(yè)中一些外部應用服務器、企業(yè)內部的重要服務器，如DNS服務器、FTP服務器和備份服務器等，還需放置核心交換機、匯聚交換機及防火墻等重要的網(wǎng)絡安全設備，平時只有網(wǎng)絡安全管理人員才擁有進出該中心機房的權限，并且有嚴格的門禁系統(tǒng)，必須進行刷臉認證；二層是工程部，需要150臺電腦來辦公；一層是銷售部，需要210臺電腦來辦公。設計該大樓網(wǎng)絡拓撲結構如圖1所示。該拓撲圖首先通過一個路由器和外網(wǎng)相連，然后由這個路由器再連接到防火墻上，分隔外網(wǎng)和內網(wǎng)，并且進行進出數(shù)據(jù)包的過濾；再次連接到企業(yè)的核心交換機上，核心交換機上連接企業(yè)的內部服務器，如郵件服務器和一些備份服務器等；最后再連接到匯聚交換機上，匯聚交換機再接到各部門的二層交換機上。

3．2網(wǎng)絡安全解決方案

3．2．1網(wǎng)絡邊界安全解決方案

此企業(yè)的網(wǎng)絡邊界處采用防火墻和VPN相結合的方式構建一個安全的防護網(wǎng)。通過防火墻將外部的網(wǎng)絡和企業(yè)的內網(wǎng)相互隔離開來，提高安全級別。防火墻上VPN的配置能為在外的企業(yè)員工訪問企業(yè)內網(wǎng)提供安全的遠程訪問，極大地方便了在外出差的員工，同時這種方式的遠程訪問也具有極高的安全性。另外，外部網(wǎng)絡接入企業(yè)內部網(wǎng)絡時，可以通過NAT（網(wǎng)絡地址轉換）來接入Internet，這樣做不僅隱藏了企業(yè)內部的網(wǎng)絡結構，同時節(jié)約了大量的IPv4地址，具有一定的實際意義。

3．2．2網(wǎng)絡內部安全解決方案

此企業(yè)的各個部門進行VLAN的劃分，實現(xiàn)各部門的業(yè)務數(shù)據(jù)隔離安全。這樣在不同VLAN里面的部門之間則不能相互訪問，尤其是財務處需要單獨劃分在一個VLAN里，確保財務處的數(shù)據(jù)安全。VLAN的成員可以靈活地增刪，當終端設備位置不固定時，也不用修改其IP地址，若要修改用戶加入的VLAN時，也無需改變設備的物理連接。

4中小型企業(yè)網(wǎng)絡安全解決方案的實現(xiàn)

4．1物理和環(huán)境的安全

提供專用的中心機房空間，合理的劃分機房的各種設備的占用空間，將所有的網(wǎng)絡安全設備和重要的數(shù)據(jù)服務器都放在這個機房中，將這些設備都固定在相應的安全柜中，使其不受外界環(huán)境的干擾。對于進出中心機房的人員加強進門審查裝置，比如人臉識別技術、指紋識別技術等來保證中心機房的安全。在中心機房內部安裝攝像頭來實時監(jiān)控和記錄機房內的安全狀況，方便后期網(wǎng)絡安全維護。

4．2防火墻和虛擬專用網(wǎng)（VPN）的聯(lián)動安全實現(xiàn)

中小型企業(yè)一般會考慮到經(jīng)濟承受能力，一般采用Cis－coPIX525作為企業(yè)接入網(wǎng)絡時過濾數(shù)據(jù)的防火墻，將企業(yè)的內部網(wǎng)絡和外部網(wǎng)絡隔離開來，維護網(wǎng)絡的邊界安全。上述圖1所示，防火墻和與外部網(wǎng)絡的路由器相連，作為與外網(wǎng)相連的第一道防護，可以有效的防止來自外部的惡意攻擊，也可以確保對DMZ區(qū)的應用服務器進行方便管理和安全維護。員工如果外出時，通過VPN來實現(xiàn)遠程接入的安全性，這樣就可以構成強大功能的審計系統(tǒng)，可以實時記錄企業(yè)中關鍵業(yè)務的數(shù)據(jù)流向，并且可以對那些不斷訪問關鍵業(yè)務數(shù)據(jù)的主機進行實時監(jiān)控。

4．3NAT和ACL的實現(xiàn)

目前IPv4的地址比較緊張，通過NAT轉換技術來解決這個問題，企業(yè)只需購買一個全球的IP地址，比如172．138．2．5，然后在連接外部網(wǎng)絡的路由器上配置NAT轉換。當企業(yè)內部用戶需要訪問外部的網(wǎng)絡時，經(jīng)過企業(yè)的入口處路由器，將內部IP地址轉換為全球的IP地址，才能把數(shù)據(jù)包發(fā)送出去，在外部網(wǎng)絡中經(jīng)傳輸?shù)竭_目的地。如果目的地報文發(fā)回時，首先在外網(wǎng)中用全球IP地址查詢，當?shù)竭_企業(yè)網(wǎng)絡邊界的入口路由器時，再經(jīng)過NAT地址轉換，將外網(wǎng)IP地址轉換為企業(yè)內部的IP地址，通過NAT地址轉換表，就可以將報文發(fā)送給對應的主機，完成消息的發(fā)送。同時在企業(yè)的入口路由器上可以部署ACL，通過訪問控制列表嚴格控制進出的數(shù)據(jù)包，通過設定一系列的過濾規(guī)則，當數(shù)據(jù)包要通過時，訪問控制列表通過把源地址、目的地址及端口號作為數(shù)據(jù)包檢查的基本元素，并決定符合條件的數(shù)據(jù)包是否允許通過。

4．4VLAN技術和單臂路由技術的實現(xiàn)

該中小型企業(yè)包含的部門有經(jīng)理、人事部、銷售部、財務部、技術部、策劃部和工程部七個部門，對部門進行VLAN的劃分。（1）首先按部門劃分VLAN，分別定義VLAN的標簽。經(jīng)理：VLAN10；人事部：VLAN20；銷售部：VLAN30；財務部：VLAN40；技術部：VLAN50；策劃部：VLAN60；工程部：VLAN70。（2）根據(jù)各部門員工的要求，規(guī)定VLAN之間的通信規(guī)則為：VLAN10可以和其它VLAN中的各部門都可以通信，但是除過經(jīng)理所在的VLAN10，其余的部門不能訪問財務部，然后其余部門之間都不能相互訪問。（3）實現(xiàn)不同部門之間的訪問需要使用單臂路由技術來實現(xiàn)。單臂路由原理簡單，配置容易，還可以在各部門入口路由器上配置ACL規(guī)則，提高VLAN之間通信的安全性。（4）根據(jù)各部門的網(wǎng)絡安全要求，VLAN劃分及各部門IP地址段劃分的具體情況如表1所示：（5）根據(jù)員工要求配置單臂路由技術，經(jīng)理所連交換機上面連接一個路由器，使用單臂路由技術，實現(xiàn)經(jīng)理所在的VLAN10可以和其它的不同部門之間的VLAN通信。其余部門的VLAN之間不需要配置單臂路由，保證不同VLAN之間不能相互訪問。

4．5企業(yè)數(shù)據(jù)存儲備份與恢復技術

一般中小型企業(yè)內部數(shù)據(jù)包括客戶服務系統(tǒng)、MIS管理系統(tǒng)和數(shù)據(jù)營銷系統(tǒng)等，因此制定一套完善的數(shù)據(jù)備份方案，建立方便有效的企業(yè)級數(shù)據(jù)備份系統(tǒng)，保證企業(yè)中這些關鍵業(yè)務數(shù)據(jù)的安全性至關重要。充分考慮到中小型企業(yè)的經(jīng)濟承受能力和經(jīng)濟費用，推薦使用LAN－Base與LAN－Free相結合的備份方式。在整個企業(yè)的數(shù)據(jù)備份中心采用LAN－Free的技術方案，這樣可以很好地解決傳統(tǒng)備份方式中在備份大量的業(yè)務數(shù)據(jù)時占用網(wǎng)絡帶寬較多的問題，在各個部門中采用LAN－Base的備份方式，通過配置的備份管理服務器來管理各個部門備份的操作。

5總結

隨著網(wǎng)絡的不斷普及，中小型企業(yè)無處不在使用網(wǎng)絡，但是網(wǎng)絡安全卻日益凸顯，所以企業(yè)中的網(wǎng)絡安全策略也應該動態(tài)變化，要逐漸從被動的防御轉變?yōu)橹鲃拥臋z測和防御，安全防御產(chǎn)品也要及時的更新，逐漸向智能化的方向發(fā)展，提高安全防護能力。本文對當前主流的一些網(wǎng)絡安全技術理論進行了深入的分析和研究，例如防火墻技術、VPN技術、VLAN技術、存儲備份與恢復技術等，然后通過一棟大樓的中小型企業(yè)進行了網(wǎng)絡拓撲結構的設計與規(guī)劃，研究了網(wǎng)絡邊界和網(wǎng)絡內部的安全解決方案，運用網(wǎng)絡安全相關技術對中小型企業(yè)網(wǎng)絡安全方面進行全面加固與實現(xiàn)，對中小型企業(yè)的網(wǎng)絡安全建設具有一定的實際應用意義。

作者:張如花 屈正庚 單位:陜西郵電職業(yè)技術學院 商洛學院數(shù)學與計算機應用學院