如何在有限的条件下实现信息网络安全__墨水学术,论文发表,发表论

所属栏目：计算机网络论文范文发布时间：2011-02-25浏览量:179

副标题#e#摘要：在现代的信息社会，企业上网已经成为一个必然趋势，但是面对上网需求与上网所带来的负面影响，企业如何能够在较少投资的情况下有效实现网络安全？本文通过实现案例进行分析，在阐述实现原理的前提下，结合目前企业的通用情况给出实际解决方案。
　　关键字：信息安全、有限条件、企业上网、内部网络
　　一.概述
　　现代社会是一个信息社会，信息在现代社会就是生产力，做为现代信息传播的重要载体－信息网络，已经成为21世纪生活的重要组成部分。21世纪全世界的计算机都将通过Internet联到一起，信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范，而且还从一种专门的领域变成了无处不在，已经深入到日常的生活和工作之中，为信息传递准备一个安全、畅通的网络环境。
　　作为构建安全信息网络的各种网络产品及网络安全产品设备目前种类繁多，但是最终可以分为硬件方式和软件方式，价格也从高到低，为各种需求提供了充分地可选择的空间。网络安全产品有以下几大特点：第一，网络安全来源于安全策略与技术的多样化，如果采用一种统一的技术和策略也就不安全了；第二，网络的安全机制与技术要不断地变化；第三，随着网络在社会个方面的延伸，进入网络的手段也越来越多，因此，网络安全技术是一个十分复杂的系统工程。
　　针对目前信息网络的各类应用条件，网络安全的问题和对策也是各种各样，选择应对的方案也是名目繁多，由于本文篇幅有限，就只针对应用较多的普遍情况进行分析。
　　二、案例提出
　　现阶段Internet网络已经在大中型城市比较普及，作为中国经济发展支柱的中小型企业由于工作的需要已经基本实现了上网，由于各个企业的经济能力不一样，所以信息网络条件参差不齐，经济能力强的企业购置了顶级网络设备及安全产品，利用较大带宽的光纤进行上网，条件比较差的企业则可能只是添置HUB或者档次较低的交换机，通过ADSL线路进行上网，无论通过什么通路，总之达到了连接互联网进行信息交流及传递的目的。在这些情况中，比较多的情况就是企业内部有普通中低档的路由器和较低档次的可管理交换机，然后通过光纤线路或者ADSL线路上网。在这种网络条件下产生了很多问题，比如网络资源滥用，企业内部受限资料被越权访问等等，直接影响工作效果，很多企业不知道如何控制这些行为，为了减少损失，甚至有点企业选择了回到单机时代或者把一些重要的部门孤立起来，不能有效利用网络优势资源，种种现象反应了这些企业不知道如何在现有有限条件下较好实现网络安全。
　　下面针对比较典型的网络环境，提出如何在有限的条件下较好实现网络安全。提出的网络环境为一个中小型企业，有140台左右的计算机，有6个部门，网络设备主要是华为2631路由器一台、港湾的μ24交换机7台和其它不可管理的交换机设备若干，有电信提供的5M光纤上网线路和一个固定IP地址。需要对外提供的服务为WEB服务、邮件服务和文件下载服务，对内主要是实现各个部门的内部信息互通和上互联网服务。网络结构图如下：
　　企业要求：
　　⑴、要求内部根据各个部门的分工不同分成不同网段（虚拟子网）；
　　⑵、要求内部网络中，所有计算机都可以访问互联网；
　　⑶、要求个别部门不能让其它部门的计算机访问；
　　⑷、企业内部可以对外发布网站，提供邮件服务和文件下载服务；
　　⑸、要求内部的计算机可以进行适当控制，减少资源滥用的情况；
　　三、解决方案
　　分析企业情况可以得出，该企业的设备主要是一些低端的网络产品，并且没有配置硬件防火墙设备，所以要想低成本实现企业要求，有两种办法可以实现企业要求，一种办法是购置网络管理软件，如微软的ISA2006等，另外一个办法就是把企业目前现有的路由器进行V#p#副标题#e#RP系统升级到最新版本，再充分挖掘现有设备的功能，尽可能实现企业要求。
　　考虑节省资金的情况下，采用第二种方案进行网络规划，确定采用以下方案进行网络规划。
　　⑴、交换机产品支持VLAN功能，所以可以把内部根据各个部门的不同划分不同的VLAN，基本是按照一个部门划分一个VLAN，把服务器单另划成一个VLAN，这样，整个网络规划成为7个VLAN；
　　⑵、路由器产品支持NAT功能，所以可以通过地址转换满足内部网络上网的需求，同时通过端口映射功能实现对外的网络服务功能；
　　⑶、为了实现内部网络控制要求，可以在路由器上实现IP地址与MAC地址的绑定，从而达到内部网络控制的要求；
　　⑷、另外利用路由器的访问列表功能，设计一些访问策略，从而实现内部网络的控制要求；
　　⑸、再配置一些安全方面的访问控制策略，从而保证内部网络和相关设备的安全。
　　四、实际配置
　　1、虚拟子网的配置：在本案例中，华为路由器只有两个网络接口，一个接内网，一个接外网，没有多余的接口连接各个虚拟子网，对于内部的虚拟子网，考虑用虚拟子接口进行连接，保证各个虚拟子网的正常连接，在具体的配置方面为：
　　interfaceEthernet0
　　tcpmss2048
　　
　　interfaceEthernet0.1
　　descriptionThisisxitongjichenbuworkgrouparea;
　　vlan-typedot1qvid2046
　　tcpmss2048
　　ipaddress192.168.1.254255.255.255.0
　　
　　………………
　　interfaceEthernet0.7
　　vlan-typedot1qvid2040
　　ipaddress192.168.7.254255.255.255.0
　　2、对于内部网络访问互联网及向互联网用户提供服务的功能的实现，具体配置为：
　　interfaceEthernet1
　　duplexfull
　　tcpmss2048
　　ipaddress222.82.2X.XXX255.255.255.252
　　undoipfast-forwarding
　　natoutbound2000interface
　　natserverglobal222.82.2X.XXXsmtpinside192.168.6.49smtptcp
　　natserverglobal222.82.2X.XXXpop3inside192.168.6.49pop3tcp
　　natserverglobal222.82.2X.XXXwwwinside192.168.6.49wwwtcp
　　natserverglobal222.82.2X.XXX2021inside192.168.1.1102021tcp
　　natserverglobal222.82.2X.XXX1030inside192.168.1.1101030tcp
　　………………
　　natserverglobal222.82.2X.XXX1047inside192.168.1.1101047tcp
　　通过以上配置，可以实现内部两台服务器对外的WEB服务、邮件服务和文件下载服务，在实现文件下载服务的配置中，由于该款华为路由器的硬件及软件版本问题，它不支持文件服务器的主动模式，所以需要通过加端口的被动模式让外部网络能够访问文件服务器。
　　在WEB服务、邮件服务的实现过程中都是使用标准端口进行访问，主要是此类服务的访问量不大并且可以控制，不会对服务器及通讯线路产生较大的影响，但是对于文件下载服务器来说，如果采用标准服务，外部的随意访问量，会让服务器忙于应付外部下载访问，趋于瘫痪状态，而不能对公司人员提供较好服务，所以在文件下载服务方面采用了非标准服务模式，即利用服务器端口进行文件下载服务，同时加上用户名及密码控制，有效地减少外部的其它访问，从而保证了下载服务器为公司人员有效服务的目的。
　　3、在对内控制功能，主要是利用路由器本身提供的IP地址与MAC地址绑定功能和访问列表功能来实现，由于在内部网络，内部IP地址是放开的，所以可能导致IP地址绑定失效，所以首先需要做的一个工作就是对于内部IP地址进行有效规划，将内部IP地址分配给各个部门，在保证各个部门使用的同时也利于管理。对于内部IP地址控制主要实现方法就是先把所有内部IP地址全部禁止，然后再按照地址规划进行选通，从而可以有效控制IP地址使用，同时也保证了IP地址绑定功能的实现。
　　IP#p#副标题#e#地址绑定的配置如下：
　　arpstatic192.168.1.1400-50-xx-26-50-1c
　　arpstatic192.168.1.1180-d-87-23-xx-24
　　………………
　　arpstatic192.168.4.1330-11-d8-xx-61-ea
　　………
　　4、安全控制功能的实现，安全主要分为内部访问权限的控制及设备的访问控制，这个功能的实现主要是通过访问列表来实现，通过访问列表可以实现各个VLAN之间的访问控制、终端对不同设备及服务的访问控制及病毒控制等功能，从而有效保证了内部网络的安全。
　　通过以上配置，既保证了企业内部的网络使用，同时又可以有效控制网络使用效率，有效利用企业的既有设备，减少投资，较大程度地发挥网络的使用性能。在目前的中小企业应用中具有一定的代表性，希望通过本文能够帮助中小企业提高网络安全，更好地利用网络资源，提高生产力。