企業網絡安全構架設計【摘要】本文主要介紹了如何建立以安全策略為核心、以安全技術為支撐、以安全管理為手段的網絡安全體系。同時根據該企業綜合業務數據網絡項目，介紹啟動局域網絡標準化改造、統一互聯網出口、綜合業務數據網絡安全防護建設及網絡安全管理模式建立等一批網絡安全措施。同時，制定了“安全分區、網絡專用、橫向隔離、縱向認證”的總體防護策略，并提出了“三層四區”安全防護體系的總體框架，這對企業網絡安全體系建設進行了有益的探索和實踐。【關鍵詞】網絡;數據;安全2012年開始，某企業啟動了企業網絡安全優化工程。目的是為了實現在企業系統內，進行一體化管理，實現各分支網絡之間互聯互通。項目重點是建設好綜合數據網絡，實現所屬單位局域網及廠、站信息傳輸通道全面接入；形成該企業綜合業務處理廣域網絡。同時還將進一步建設專門的調度數據網絡，實現“專網專用”，從而確保生產安全有序的開展。該企業生產、辦公等各個領域當中，無論是企業內部管理還是各級機構間的遠程信息交互，都將建立在網絡基礎之上，而通過網絡進行交互的信息范圍也涵蓋了包括生產調度數據、財務人事數據、辦公管理數據等在內的諸多方面，在這樣的前提下，進一步完善企業網絡架構，全局性和系統性地構建網絡安全體系，使其為企業發展和信息化提供有力支持，已成為當前需要開展的首要工作之一。網絡安全技術架構策略網絡安全建設是一項系統工程，該企業網絡安全體系建設按照“統一規劃、統籌安排、統一標準、相互配套”的原則組織實施，采用先進的“平臺化”建設思想、模塊化安全隔離技術，避免重復投入、重復建設，充分考慮整體和局部的關系，堅持近期目標與遠期目標相結合。在該企業廣域網絡架構建設中，為了實現可管理的、可靠的、高性能網絡，采用層次化的方法，將網絡分為核心層、分布層和接入層3個層次，這種層次結構劃分方法也是目前國內外網絡建設中普遍采用的網絡拓撲結構。在這種結構下，3個層次的網絡設備各司其職又相互協同工作，從而有效保證了整個網絡的高可靠性、高性能、高安全性和靈活的擴展性。局域網絡標準化（1）中心交換區域局域網的中心交換區域負責網絡核心層的高性能交換和傳輸功能，提供各項數據業務的交換，同時負責連接服務器區域、網絡管理區域、樓層區域、廣域網路由器和防火墻設備等，此外還要提供分布層的統一控制策略功能。具體到安全防護層面，可通過部署防火墻模塊、高性能網絡分析模塊、入侵探測系統模塊實現安全加固。（2）核心數據服務器區域因為數據大集中和存儲中心已經勢在必行，可建設專門的核心數據區域，并采用2臺獨立的具有安全控制能力的局域網交換機，通過千兆雙鏈路和服務器群連接。在安全防護方面，可在通過防火墻模塊實現不同等級安全區域劃分的同時，部署DDOS攻擊檢測模塊和保護模塊，以保障關鍵業務系統和服務器的安全不受攻擊。（3）樓層區域樓層交換區域的交換機既做接入層又做分布層，將直接連接用戶終端設備，如PC機等，因此設備需要具有能夠實現VLAN的合理劃分和基本的VLAN隔離。（4）合作伙伴和外包區域提供合作伙伴的開發測試環境、與內部數據中心的安全連接及與Internet區域的連接通路。（5）外聯網區域企業營銷系統需要與銀行等外聯網連接，建議部署銀行外聯匯接交換機，通過2條千兆鏈路分別連接到核心交換機。并通過防火墻模塊劃分外聯系統安全區域。（6）網絡和安全管理區域為了對整個網絡進行更加安全可靠的管理，可使用獨立的安全區域來集中管理，通過防火墻或交換機模塊來保護該區域，并賦予較高的安全級別，在邊界進行嚴格安全控制。統一互聯網出口對于該企業的廣域網絡，統一互聯網絡出口，減少企業廣域網絡與互聯網絡接口，能夠有效減少來自外網的安全威脅，對統一出口接點的安全防護加固，能夠集中實施安全策略。面對企業各個分支機構局域網絡都與互聯網絡連接的局面，將會給企業廣域網絡安全帶來更大的威脅。由于綜合業務數據網絡作為相對獨立的一個大型企業網絡，設置如此眾多的互聯網出口，一方面不利于互聯網出口的安全管理，增加了安全威脅的幾率;另一方面也勢必增加互聯網出口的租用費用，提高了運營成本。由于該企業綜合數據網的骨干帶寬是622M，在綜合數據網絡上利用MPLSVPN開出一個“互聯網VPN”，使各分支的互聯網訪問都通過這個VPN通道建立鏈接。通過統一互聯網絡出口，強化互聯網接入區域安全控制，可防御來自Internet的安全威脅，DMZ區的安全防護得到進一步加強;通過提供安全可靠的VPN遠程接入，互聯網出口的負載均衡策略得到加強，對不同業務和不同用戶組的訪問服務策略控制，有效控制P2P等非工作流量對有限帶寬的無限占用，能夠對互聯網訪問的NAT記錄進行保存和查詢。三層四區規劃提出“安全分區、網絡專用、橫向隔離、縱向認證'的總體防護策略，并提出了“三層四區”安全防護體系的總體框架。基于這一設計規范，并結合該企業網絡的實際情況，未來公司的網絡區域可以劃分為企業生產系統和企業管理信息系統，其中企業生產系統包括I區和II區的業務;企業管理信息系統包括III區和IV區的業務。I區到IV區的安全級別逐級降低，I區最高，IV區最低。在上述區域劃分的基礎上，可在橫向和縱向上采用下列技術方式實現不同安全區域間的隔離。（1）縱向隔離在未來調度數據網建成后，將安全區I和安全區II運行在獨立的調度數據網上，安全區III和安全區IV運行在目前的綜合數據網上，達到2網完全分開，實現物理隔離。在調度數據網中，采用MPLSVPN將安全區I和安全區II的連接分別分隔為實時子網和非實時子網，在綜合數據網中，則采用MPLSVPN將互聯網連接和安全區III及安全區IV的連接分開，分為管理信息子網和互聯網子網。（2）橫向隔離考慮到I區和II區對安全性的要求極高，對于I區和II區進行重點防護，采用物理隔離裝置與其他區域隔離;而在I區和II區之間可采用防火墻隔離，配合分布式威脅防御機制，防范網絡威脅;考慮到III區和IV區之間頻繁的數據交換需求，III區和IV區之間視情況采用交換機防火墻模塊進行隔離，并在區域內部署IDS等安全監控設備，在骨干網上不再分成2個不同的VPN;由于外部的威脅主要來自于Intern過出口，因此可在全省Internet出口集中的基礎上，統一設置安全防護策略，通過防火墻與III區、IV區之間進行隔離。綜合數據網安全防護綜合業務數據網，主要承載了0A、95598、營銷、財務等應用系統，同時也在進行SCADA/EMS等調度業務的接入試點。采用網絡安全監控響應中心為核心的分布式威脅防御技術，對全網的病毒攻擊和病毒傳播進行主動防護，通過關聯網絡和安全設備配置信息、NetFlow、應用日志和安全事件，從中心的控制臺實時發現、跟蹤、分析、防御、報告和存儲整個企業網絡中的安全事件和攻擊。同時分布式威脅防御手段不但用于對綜合數據骨干網進行安全防護，而且通過建立2級安全監控響應中心，對包括綜合數據網、企業本部局域網、分支機構局域網在內的全網設備進行監控。6.總結局域網、廣域網、互聯網以及企業網絡系統特有的三層四區架構從技術層面形成了一套較為完備的網絡安全防護體系，但“三分技術、七