劉廣平 劉雅潔

國網(wǎng)河南省電力公司湯陰縣供電公司 河南安陽 456150

企業(yè)網(wǎng)時企業(yè)在現(xiàn)代社會中生存和發(fā)展的重要憑證，并且還是企業(yè)進行信息化技術的不可或缺的重要基礎設施，還是企業(yè)進行電子商務的重要支撐平臺。然而交換機與路由器則是影響企業(yè)網(wǎng)的正常運行的重要因素，因為如若交換機和路由器出現(xiàn)安全隱患，極有可能給網(wǎng)絡入侵者提供入侵機會，而對企業(yè)信息進行竊聽及篡改，進而對企業(yè)造成重大的安全隱患。所以企業(yè)在社會中的發(fā)展時，必須重視交換機與路由器的安全防范措施，盡可能降低其對企業(yè)發(fā)展的威脅[1]。

1 企業(yè)網(wǎng)交換機的安全防范措施分析

交換機是企業(yè)網(wǎng)運行的重要組成部分，因而企業(yè)需要重視交換機的安全，并對其在運行中所存在的問題進行解讀，然后采取科學的應對措施，進而有效的實現(xiàn)企業(yè)網(wǎng)交換機的安全，進一步保證企業(yè)各個部門信息的安全。所以企業(yè)在對交換機進行保護時，可以進行如下幾點的安全防范措施。

1.1 利用VLAN技術對企業(yè)網(wǎng)交換機端口隔離

VLAN技術是虛擬局域網(wǎng)的簡稱，其端口有兩種類型，分別是Access與Trunk兩個端口，其中Trunk端口能轉發(fā)所有的企業(yè)VLAN幀。VLAN技術在企業(yè)的運行中有一定的優(yōu)勢，如：安全、高效和低開銷等優(yōu)勢，并且還能在一定程度上降低廣播風暴，進而有效的提升企業(yè)網(wǎng)管理的工作效率。但是絕大多數(shù)企業(yè)的網(wǎng)絡設計都是各個部門之間的網(wǎng)絡相互聯(lián)系，并且能夠相互訪問的，然而這樣的網(wǎng)絡設計則極有可能給網(wǎng)絡入侵者入侵的機會，并降低了企業(yè)網(wǎng)的安全性，尤其是財務部門及檔案部門。所以企業(yè)需要在加強內部工作人員的網(wǎng)絡安全意識前提下，將財務部門和檔案部門與其他部門之間的通信。例如：企業(yè)可以依據(jù)本企業(yè)的部門數(shù)量，對企業(yè)內部的IP地址與子網(wǎng)個數(shù)進行規(guī)劃，如：有四個部門，則可以將IP地址和子網(wǎng)個數(shù)設置為四個，并在二層交換機上分別構建VLAN，并對各個IP地址和子網(wǎng)進行命名，然后將接口接入相對應的VLAN中，接著再三層交換機上建立SVI，進而實現(xiàn)企業(yè)網(wǎng)的各個VLAN之間的相互通信。最后為了保證企業(yè)網(wǎng)的安全性，企業(yè)還可以在交換機相關端口配置allow—VLAN，對企業(yè)網(wǎng)中重要部門的VLAN之間的通信進行限制，從而有效加強企業(yè)網(wǎng)絡的安全性。

1.2 合理利用MSTP和VRRP技術，實現(xiàn)網(wǎng)絡冗余備份

網(wǎng)絡對企業(yè)的發(fā)展尤為重要，但是其卻存在一定的危險性。所以企業(yè)需要采取科學的技術手段增加企業(yè)網(wǎng)的安全性，如：通過三層網(wǎng)絡設備實現(xiàn)企業(yè)的各個VLAN之間的通信，巧用MSTP技術，將企業(yè)網(wǎng)絡冗余備份，進一步降低網(wǎng)絡對企業(yè)的威脅。而為了擴展鏈路帶寬，企業(yè)可以適當?shù)倪\用VRRP技術，將企業(yè)網(wǎng)分為虛擬三層設備，進而使得主設備在停止工作時，可以將處于備份狀態(tài)的三層設備替代主設備，進而保證企業(yè)的正常運行。而企業(yè)在創(chuàng)建二層和三層交換機的接口時，企業(yè)需要在三層交換機上開啟路由器功能，并在二層和三層交換機上開啟STP，進一步消除企業(yè)網(wǎng)絡環(huán)路，緊接著企業(yè)需在三層交換機上建立AP。最后企業(yè)還需要在三層交換機上配置VRRP技術，進而有效實現(xiàn)網(wǎng)絡冗余備份。

2 路由器安全防范有效措施分析

對企業(yè)網(wǎng)絡運行的影響因素，除了交換機之外，還有路由器。因而在實際工作中，企業(yè)需要重視企業(yè)網(wǎng)路由器的安全，并依據(jù)路由器在實際工作中的威脅，而采取合理的應對措施，進一步提升企業(yè)的安全性，以及企業(yè)數(shù)據(jù)信息的安全性。所以企業(yè)可以通過ACL和NAT技術的利用，以及利用IPsecVPN技術對身份信息進行驗證。

2.1 科學利用ACL和NAT技術，實現(xiàn)企業(yè)網(wǎng)訪問控制

為了保證企業(yè)路由器的安全，企業(yè)可以根據(jù)實際需求，而對企業(yè)網(wǎng)絡地址進行劃分，進一步實現(xiàn)企業(yè)網(wǎng)與互聯(lián)網(wǎng)之間的連接，并將企業(yè)內部的web服務器映射到互聯(lián)網(wǎng)，以便于提供客戶訪問。此外，企業(yè)還可以科學利用AVL和NAT技術，對技術部門及人事部門等工作人員進行限制，如：不允許工作人員在上班時間內不能連接外部互聯(lián)網(wǎng)。例如：企業(yè)可以在二層和三層交換機上構建相對應的VLAN，并將其接入接口，然后在三層交換機上建立SVI，并對其開啟路由功能，以實現(xiàn)各個部門VLAN之間的相互通信，并在路由器上配置NAT，用以實現(xiàn)企業(yè)私有地址與公有地址之間的相互轉換。

2.2 合理利用IPsecVPN技術，實現(xiàn)身份驗證

網(wǎng)絡技術已經(jīng)在社會中普及，并且絕大多數(shù)的企業(yè)都已經(jīng)運用了網(wǎng)絡，并分享了一些數(shù)據(jù)和信息，尤其是企業(yè)總部及分部之間的數(shù)據(jù)通信。然而路由器則是企業(yè)運行網(wǎng)絡的關鍵之處，為了保證企業(yè)的路由器安全，企業(yè)需要對總部和分部之間的通信網(wǎng)管，搭建一條VPN通道，并利用IPsecVPN技術對數(shù)據(jù)進行加密。例如：企業(yè)可以先在三層交換機及路由器上配置合理的動態(tài)路由協(xié)議，如：OSPF協(xié)議，進而確保企業(yè)網(wǎng)絡的連通性，然后在路由器上配置NAT地址轉換，并創(chuàng)建IPsecVPN隧道，進而實現(xiàn)VLAN的安全通信，以及有效保證企業(yè)網(wǎng)交換機和路由器的安全[2]。

總而言之，交換機和路由器對企業(yè)在現(xiàn)代社會中的生存及發(fā)展有著關鍵性作用，企業(yè)必須保證兩者之間的安全，進而為企業(yè)提供正常運行，并且還能大大提升企業(yè)的對網(wǎng)絡的利用率，并有效提升了企業(yè)網(wǎng)絡及數(shù)據(jù)信息的機密性。