摘要: 随着信息技术的发展,企业对网络环境的要求不断提高,企业为适应自身快速发展,对内部网络建设提出了更高的要求。2020年5月,本人作为项目负责人,负责规划设计市物联网设备设计制造公司的企业网络。在设计方案中,为解决公司网络安全问题,本人在企业网络入口部署了防火墙设备,企业内部设备终端上安装了企业版杀毒软件。用户在公司内接入网络需要经过RADIUS认证,在公司外部接入公司网络需要通过SSL VPN 设备连接公司内部局域网。公司内部各部门和人员分配不同的访问权限,限制对网络和各种服务的访问权限。公司外部人员上网通过配置不同的SSID进行隔离。通过上述安全策略,有效地防范了网路攻击,保证了公司的各个网络系统正常运行。本项目经过5个月的实施顺利完工并投入使用,取得了良好的效果。正文: 某市某物联网设计制造公司由于业务的高速发展,现有的办公环境和办公网络已经不能满足公司快速发展的需求,严重影响到了公司的运营效率。公司要求新建网络用于提高公司的日常办公效率,公司内部员工能够安全高效地访问公司内部资源和互联网,能够满足内部物联网设备测试的网络需求。本人作为乙方网络集成商的项目负责人,参与了整个项目的规划和设计,历时5个月,耗资500万元,最终顺利交付甲方使用。下面我就企业局域网建设方面的安全问题进行深入探讨。一、业务需求分析 作为一家物联网设计制造厂家,公司内部设置研发部、市场部、财务部、采购部、技术部等部门。各部门平时通过公司内部网络连接并使用0A、IM、ERP等系统。研发人员可以访问企业内部资料、代码资源、连接实验环境。测试人员能够通过内部有线和无线网络进行设备测试。市场部可以访问企业内部资料。除此之外,各部门人员还需要能够安全地访问互联网。 为满足上述需求,节省企业管理成本,本人采用华为敏捷网络设计方案,整体网络采用三层架构,核心交换机采用华为S7712交换机,采用CCS堆叠方式部署旁挂华为Agile Controller 设备进行全网RADIUS 统一接入认证;出口处部署华为USG5510防火墙,并在DMZ区放置公网展务器。防火墙上部署NAT功能,保证内网私密性。外出员工访问企业内部网络可通过SSL VPN方式连接。二、局域网中信息安全问题及相应防范技术 网络攻击方式多种多样,比较常见的有利用局域网内部漏洞和端口对内部网络进行入侵:或者因为一些员工上网中了病毒和木马,成为外部攻击的跳板甚至变成内部网络攻击源,造成内部网络瘫痪或者企业重要文件泄露,企业内部资料被恶意删除。为了防范这些攻击,我通过部署新一代UTM设备进行防范。UTM设备的作用除了依据IP、端口、协议进行隔离之外,还提供了防病毒,入侵防御等功能;同时还可以配置 NAT对局域网内部结构进行屏蔽,然后配置访问策略,禁止非法访问。另外,针对病毒和木马攻击,应在客户端和服务器统一安装企业级网络版杀毒软件,进行统一的病毒库更新和杀毒管理。在抵御外部网络威胁的同时,兼顾满足企业员工通过外部网络访问企业内部网络的需求,我们还部署了VPN 打通与企业内部网络的连接。 1、局域网内部的网络安全威胁与防范。 内部网络安全威胁有病毒或者木马,此类威胁可以通过安装网络版杀毒软件结合防火墙进行统一防护。针对二层网络面临的安全问题,比如洪泛MAC攻击,可以通过开启设备端口保护来解决。针对内部员工私自搭建DHCP服务器分配非法IP,劫持客户端的安全问题,可以通过开启DHCPSnooping功能解决;针对ARP攻击使得正常用户无法上网或者导致流量拦截的问题,可以使用开启交换机的 DAI 功能来解决。 2、局域网内资源的非法访问。 内部网络安全威胁还有局域网内资源的非法访问。针对这类问题可以通过合理划分VLAN,部署 RADIUS认证服务,对用户进行接入认证,并赋予合法的访问权限来解决。三、网络项目中所采用的安全方案 公司网络接入需求分为从内部网络接入和从外部网络接入。由于公司员工经常需要出差或者居家办公,需要通过外部网络访问企业内部网络,接入内部的OA、IM、ERP等系统。这种方式下,需要外部终端设备先通过SSL VPN连接企业网络,然后登录统一账号访问企业内部网络。 另一种情况是用户在公司内部访问公司网络。公司内部包括各种不同的部门每个部门都有同的网络访问的需求和规定,同时还经常会有访客来公司参观或者洽谈业务等。我们通过给各个部门和人员配置不同的VLAN 进行一定策略的隔离,同时通过华为 Agile Controller 提供统一 RADIUS 认证,然后根据各个部门设置不同的安全组,每个人设置相应的访问权限,控制对企业内部资源的访问问题。对于访客,与企业员工提供不同的SSID,访客登录通过单独的SSID只能访问互联网或者公开的资料共享。 为了隔离内外网络,我们在互联网出口处部署了华为USG6650防火墙,将公司网络划分为内网区域、外网区域和 DMZ区。通过防火墙分别对内网和 DMZ区的提供公共服务的服务器和网站等提供保护。为了满足企业对企业内部机密保护的需求,防火墙上开启防泄密功能,对多种文件格式进行扫描,识别真实文件种类防止机密信息泄露。 为了防止服务器遭受病毒攻击和非法软件侵害,在服务器上统一安装了的网络版防火墙,并实施统一、定期的病毒查杀,并及时更新网络版防火墙的病毒库。四、本项目采用方案所遵循的原则 原则一:通过增加核心设备,确保主干网络的可靠性和高性能。本项目所使用网络设备皆采用国内知名品牌,在保障较高可靠性的同时,通过CSS堆叠等技术实现设备冗余,从而进一步提高网络的性能和安全性。 原则二:通过统一的授权认证管理,兼顾网络的安全性和易用性。在满足企业对安全性要求的同时。尽可能提高企业的网络使用性能。本方案采用华为的敏捷网络设计方案,核心交换机上安装随板AC,旁挂AgileController来提供统一的网络认证,使得用户不管在何处,使用无线网络或者有线网络,都不用重复登录账号。 原则三:通过统一的安全管理办法提高网络的可管理性。通过华为敏捷网络管理方案,实施RADIUS认证,这样一来网络二层的ARP欺诈,DHCP等安全问题都在核心交换机中得到解决。同时在核心交换机中进行二层隔离。华为敏捷网络管理方案的部署使得网络管理更加智能化和便捷化。通过项目组全体成员不懈地努力,项目成功按时上线,获得了用户的高度评价。本项目能够如期投入运行,与我们充分重视内部网络安全设计、充分了解用户对性能和可管理性的需求是密不可分的。 当然尽管项目如期上线运行,但网络运行一段时间后,还是发现了一些不足比如我们发现用户私自重装操作系统后,没有及时安装杀毒软件;公司网络仍然会遭受到外部网络的DDoS 攻击等问题。为了解决上述存在的问题,我们计划后期在用户接入网络时进行杀毒软件安装统计数据比对,如果没有安装杀毒软件,可通知部门领导进行处理。对于DDoS攻击可加装华为ANTI-DDOS设备,识别网络攻击流量,对攻击流量进行清洗,并把正常的访问流量返回网络。我会在以后的网络规划与设计的工作中不断学习,提高自己的技术能力。