近日，某單位堅(jiān)持以全市工作業(yè)務(wù)網(wǎng)絡(luò)平臺(tái)為基礎(chǔ)，以在線協(xié)同辦公系統(tǒng)建設(shè)為核心，已經(jīng)逐步建設(shè)成功了一批在線辦公運(yùn)行應(yīng)用系統(tǒng)，有一些工作業(yè)務(wù)應(yīng)用系統(tǒng)正在開發(fā)中。

伴隨著在線辦公審批應(yīng)用建設(shè)的逐步深入，應(yīng)用系統(tǒng)的安全保障問題日益明顯，怎樣有效確保工作業(yè)務(wù)平臺(tái)系統(tǒng)的安全成為一項(xiàng)迫在眉睫的問題。

現(xiàn)在，本文就以地區(qū)工作業(yè)務(wù)平臺(tái)中心升級(jí)、改造內(nèi)網(wǎng)組網(wǎng)結(jié)構(gòu)為例，向大家詳細(xì)介紹一下怎樣有效提升內(nèi)網(wǎng)各個(gè)應(yīng)用系統(tǒng)的安全運(yùn)行問題。

安全升級(jí)需求

圖1 地區(qū)工作業(yè)務(wù)平臺(tái)網(wǎng)絡(luò)結(jié)構(gòu)圖

該地區(qū)的工作業(yè)務(wù)中心平臺(tái)原先是采用的組網(wǎng)結(jié)構(gòu)非常簡單，安全防護(hù)能力也是一般。整個(gè)工作業(yè)務(wù)內(nèi)網(wǎng)中的所有客戶端系統(tǒng)，通過普通5類網(wǎng)絡(luò)雙絞線連接到各自樓層中的二層交換機(jī)中，各個(gè)樓層中的所有二層交換機(jī)全部接入到工作業(yè)務(wù)內(nèi)網(wǎng)的百兆硬件防火墻上，同時(shí)通過該防火墻訪問工作業(yè)務(wù)內(nèi)網(wǎng)中的各個(gè)應(yīng)用系統(tǒng)，整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)圖如圖1所示。

伴隨著網(wǎng)絡(luò)病毒的瘋狂肆虐以及各種非法入侵的增多，局域網(wǎng)中頻繁發(fā)生各式各樣的安全故障，這些問題讓網(wǎng)絡(luò)管理員整天疲于應(yīng)付，而且問題在解決之后，網(wǎng)絡(luò)管理員也拿不出很好的辦法來防范相同安全問題的再次發(fā)生。

同時(shí)，隨著工作時(shí)間的推移，原先網(wǎng)絡(luò)中的許多設(shè)備發(fā)生了老化現(xiàn)象，同時(shí)整個(gè)內(nèi)網(wǎng)網(wǎng)絡(luò)只是簡單通過一個(gè)百兆硬件防火墻作為邊界防御，工作業(yè)務(wù)內(nèi)網(wǎng)中的所有應(yīng)用系統(tǒng)與所有普通的客戶端系統(tǒng)位于相同的工作網(wǎng)段中，這么一來局域網(wǎng)中就很容易出現(xiàn)網(wǎng)絡(luò)廣播風(fēng)暴現(xiàn)象。同時(shí)這種單一的網(wǎng)段部署方式也給各式各樣網(wǎng)絡(luò)病毒的瘋狂傳播帶來了便利。

與此同時(shí)，位于各個(gè)樓層中的所有二層交換機(jī)由于不支持VLAN劃分功能，那么整個(gè)網(wǎng)絡(luò)中就十分容易發(fā)生地址沖突故障，同時(shí)也不方便網(wǎng)絡(luò)故障的快速定位、排查。

還有一點(diǎn)，所有客戶端系統(tǒng)全部通過百兆的硬件防火墻訪問工作業(yè)務(wù)專網(wǎng)以及Internet，這樣一來整個(gè)局域網(wǎng)的上網(wǎng)速度受到了嚴(yán)重制約，而且整個(gè)工作業(yè)務(wù)網(wǎng)絡(luò)也沒有設(shè)置DMZ區(qū)域，所有這些問題都已不能滿足日益增多的網(wǎng)絡(luò)應(yīng)用需求了。所以，單位決定對(duì)工作業(yè)務(wù)內(nèi)網(wǎng)結(jié)構(gòu)進(jìn)行升級(jí)改造，以便提升內(nèi)網(wǎng)系統(tǒng)運(yùn)行安全性能。

安全升級(jí)原則

考慮到傳統(tǒng)網(wǎng)絡(luò)的組網(wǎng)結(jié)構(gòu)安全防護(hù)能力非常差，升級(jí)改造工作業(yè)務(wù)網(wǎng)絡(luò)時(shí)，自然要從最根本的安全防范能力著手，來確保升級(jí)后的工作業(yè)務(wù)網(wǎng)絡(luò)盡可能地安全、穩(wěn)定。

下面是內(nèi)網(wǎng)組網(wǎng)結(jié)構(gòu)具體的升級(jí)原則：

圖2 升級(jí)后的平臺(tái)網(wǎng)絡(luò)結(jié)構(gòu)圖

第一是通過增加專業(yè)的網(wǎng)絡(luò)安全設(shè)備，同時(shí)進(jìn)行正確的安全配置，來保護(hù)整個(gè)工作業(yè)務(wù)內(nèi)網(wǎng)的運(yùn)行安全；第二是為了提升數(shù)據(jù)交換的安全可控性能，在基本的網(wǎng)絡(luò)安全防護(hù)基礎(chǔ)上，采取用戶權(quán)限分級(jí)、身份認(rèn)證、數(shù)據(jù)加密、通道加密、安全審計(jì)以及邊界訪問控制等技術(shù)措施，對(duì)網(wǎng)絡(luò)安全進(jìn)行強(qiáng)化控制。

當(dāng)然，根據(jù)邏輯隔離需求，在工作業(yè)務(wù)網(wǎng)絡(luò)邊界防護(hù)前提下使用VPN網(wǎng)關(guān)技術(shù)來增大工作業(yè)務(wù)專網(wǎng)的覆蓋范圍。

安全升級(jí)事項(xiàng)

在安全升級(jí)網(wǎng)絡(luò)的過程中，我們還要注意下面一些事項(xiàng)來加固工作業(yè)務(wù)網(wǎng)絡(luò)的運(yùn)行安全性，升級(jí)改造后的網(wǎng)絡(luò)結(jié)構(gòu)圖如圖2所示。

1.設(shè)置子網(wǎng)事項(xiàng)

為了提高整個(gè)網(wǎng)絡(luò)的管理效率，我們?yōu)楣ぷ鳂I(yè)務(wù)內(nèi)網(wǎng)重新裝配了三層交換機(jī)，同時(shí)在三層交換機(jī)上進(jìn)行VLAN劃分設(shè)置操作；在劃分VLAN時(shí)，本著每一樓層用戶位于相同網(wǎng)段的原則，我們總共劃分了八個(gè)VLAN，各個(gè)樓層中的所有二層交換機(jī)分別連接到三層交換機(jī)上的對(duì)應(yīng)VLAN區(qū)域端口上，同時(shí)對(duì)VLAN區(qū)域端口進(jìn)行隔離設(shè)置，確保不同樓層中的客戶端系統(tǒng)不能相互訪問，這樣一來可以有效地抑制廣播風(fēng)暴現(xiàn)象，同時(shí)也能有效控制網(wǎng)絡(luò)病毒的瘋狂傳播，大大提高了整個(gè)網(wǎng)絡(luò)的運(yùn)行穩(wěn)定性。

此外，為了能及時(shí)監(jiān)控整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)流量，我們?cè)诠ぷ鳂I(yè)務(wù)內(nèi)網(wǎng)的三層交換機(jī)上啟用了一個(gè)鏡像端口，同時(shí)將該鏡像端口直接連接到一臺(tái)普通客戶端系統(tǒng)上。在該系統(tǒng)中我們可以借助專業(yè)的抓包工具，來對(duì)網(wǎng)絡(luò)中可能存在異常的數(shù)據(jù)流量進(jìn)行實(shí)時(shí)地監(jiān)控和分析，以便快速找到引起異常流量的故障原因。

2.身份認(rèn)證事項(xiàng)

大家知道，所有的用戶賬號(hào)和數(shù)據(jù)訪問權(quán)限并不是與生俱來是平等的，我們一定要想辦法對(duì)所有訪問用戶的身份賬號(hào)合法性進(jìn)行驗(yàn)證，來確保每個(gè)訪問用戶賬號(hào)的合法權(quán)利，并且管理其訪問特權(quán)，以控制其對(duì)重要數(shù)據(jù)信息的訪問權(quán)限；在這里，我們啟用數(shù)字證書技術(shù)，對(duì)工作業(yè)務(wù)應(yīng)用系統(tǒng)的登錄訪問進(jìn)行身份認(rèn)證，以保證只有合法用戶才能進(jìn)行登錄訪問操作。

此外，我們還按照用戶賬號(hào)類型以及訪問需求，為不同的訪問用戶賬號(hào)定義不同的訪問權(quán)限等級(jí)，保證不同的用戶賬號(hào)登錄進(jìn)入工作業(yè)務(wù)應(yīng)用系統(tǒng)后，可以獲得對(duì)應(yīng)用戶賬號(hào)需要的權(quán)限。

除了上面的一些安全部署之外，我們還在工作業(yè)務(wù)網(wǎng)絡(luò)中的重要節(jié)點(diǎn)安裝了最新版的防病毒軟件，以便預(yù)防各類新型網(wǎng)絡(luò)病毒或木馬程序的襲擊。

在完成升級(jí)和改造任務(wù)后，整個(gè)工作業(yè)務(wù)網(wǎng)絡(luò)的安全性能得到了大幅地提升，基本上實(shí)現(xiàn)了在遇到突發(fā)故障時(shí)，可以快速定位到故障位置、找到故障產(chǎn)生原因，同時(shí)可以迅速地拿出應(yīng)對(duì)措施的目的，這么一來就能在最大限度內(nèi)確保全地區(qū)工作業(yè)務(wù)網(wǎng)絡(luò)的運(yùn)行可靠性和高效性。

3.安全審計(jì)事項(xiàng)

為了方便追溯非法攻擊和提供非法攻擊證據(jù)，我們新裝備了安全審計(jì)系統(tǒng)，來動(dòng)態(tài)監(jiān)控、記錄工作業(yè)務(wù)網(wǎng)絡(luò)訪問狀態(tài)，從而達(dá)到對(duì)工作業(yè)務(wù)網(wǎng)絡(luò)中的重要服務(wù)器系統(tǒng)的安全審計(jì)和動(dòng)態(tài)追蹤。

在硬件防火墻下面的DMZ區(qū)直接部署安全審計(jì)系統(tǒng)，并通過該系統(tǒng)采集、識(shí)別、分析訪問工作業(yè)務(wù)各個(gè)應(yīng)用系統(tǒng)的數(shù)據(jù)信息，及時(shí)監(jiān)控網(wǎng)絡(luò)傳輸流量以及網(wǎng)絡(luò)訪問行為，實(shí)時(shí)捕獲各類違規(guī)行為和發(fā)現(xiàn)各類敏感信息，做到對(duì)各類安全事件的全程定位、跟蹤。

4.邊界控制事項(xiàng)

為了適應(yīng)數(shù)據(jù)訪問流量不斷增長的要求，我們將以前百兆標(biāo)準(zhǔn)的硬件防火墻，升級(jí)成為千兆標(biāo)準(zhǔn)的硬件防火墻，這樣能夠有效提升整個(gè)工作業(yè)務(wù)網(wǎng)絡(luò)的數(shù)據(jù)吞吐能力。

并且在千兆標(biāo)準(zhǔn)的硬件防火墻上，進(jìn)行DMZ區(qū)域的劃分配置操作，將工作業(yè)務(wù)網(wǎng)絡(luò)的各種應(yīng)用服務(wù)器以及擴(kuò)展服務(wù)器，統(tǒng)統(tǒng)連接到硬件防火墻的DMZ區(qū)域，同時(shí)對(duì)該設(shè)備上的相關(guān)網(wǎng)絡(luò)端口進(jìn)行適當(dāng)?shù)陌踩呗耘渲?，比方說能夠進(jìn)行端口限制策略的配置、ACL策略的配置，以及IP訪問策略的配置等等，以達(dá)到對(duì)工作業(yè)務(wù)內(nèi)網(wǎng)所有應(yīng)用服務(wù)器系統(tǒng)的安全防護(hù)目的。

為了保護(hù)DMZ區(qū)域中各個(gè)工作業(yè)務(wù)應(yīng)用系統(tǒng)的安全，我們對(duì)該區(qū)域裝配了IPS入侵保護(hù)系統(tǒng)，禁止所有非法攻擊行為。IPS采用雙線路接入，每條線路都支持Bypass功能，并采用透明工作模式，如此一來位于DMZ區(qū)域的各個(gè)內(nèi)網(wǎng)系統(tǒng)在數(shù)據(jù)流量過載或遭遇非法網(wǎng)絡(luò)攻擊的時(shí)候，網(wǎng)絡(luò)連接穩(wěn)定性不會(huì)受到影響。

此外，為了能讓工作業(yè)務(wù)網(wǎng)絡(luò)與Internet實(shí)現(xiàn)邏輯隔離，我們還特意引入VPN網(wǎng)關(guān)技術(shù)，在硬件防火墻上掛接一個(gè)VPN網(wǎng)關(guān)設(shè)備。同時(shí)在使用VPN技術(shù)遠(yuǎn)程訪問工作業(yè)務(wù)網(wǎng)絡(luò)時(shí)，必須采用通道加密技術(shù)來確保數(shù)據(jù)在網(wǎng)絡(luò)通道上傳輸?shù)陌踩?，拒絕以明文方式進(jìn)行不安全傳輸。