升级组网结构 提升内网安全
来源:51cto 更新时间:2012-04-15

 最近这两年,笔者所在市的电子政务中心坚持以全市内网平台为基础,以权力阳光运行系统建设为核心,已经逐步建设成功了一批权力阳光运行应用系统,有一些电子政务应用系统正在开发中。伴随着权力阳光运行应用建设的逐步深入,应用系统的安全保障问题日益明显,如何有效保证内网系统的安全成为一项迫在眉睫需要解决的问题。现在,本文就以该市电子政务中心升级、改造内网组网结构为操作蓝本,向各位朋友重点介绍一下如何有效提升内网各个应用系统的安全问题。

  组网结构升级需求

  笔者所在市的电子政务中心原先采用的组网结构非常简单,安全防护能力也是一般。整个内网中的所有终端,直接连接到各自楼层中的二层交换机中,各个楼层中的所有二层交换机全部接入到内网的百兆硬件防火墙上,并通过该防火墙访问内网中的各个应用系统,整个网络结构图如图1所示。伴随着病毒的疯狂肆虐以及各种非法入侵的增多,局域网中频繁发生各式各样的安全故障。此外,随着工作时间的推移,原先网络中的许多设备发生了老化现象,并且整个内网只是简单通过一个百兆硬件防火墙作为边界防御,内网中的所有应用系统与所有普通终端位于相同的工作网段中,如此一来局域网中就很容易发生广播风暴现象,同时这种单一的网段也给各式各样病毒的疯狂传播带来了便利。与此同时,位于各个楼层中的所有二层交换机由于不支持VLAN划分功能,那么整个网络中就十分容易出现地址冲突现象,并且也不利于网络故障的快速定位、排查;另外,所有终端全部通过百兆的硬件防火墙访问内网以及外网,如此一来整个局域网的上网速度受到了严重制约,而且整个内网也没有设置DMZ区域,所有这些问题都已不能满足日益增多的网络应用需求了。所以,单位决定对内网结构进行升级改造,以便提升内网系统运行安全性能。

升级组网结构 提升内网安全

  图1

  内网结构升级原则

  由于传统网络的组网结构安全防护能力非常差,我们升级改造网络当然要从最根本的安全防范能力着手,保证升级后的内网尽可能地安全、稳定,下面是内网组网结构具体的升级原则:

  首先通过增加专业的网络安全设备,同时进行正确的安全配置,来保护整个内网的运行安全;其次为了提升数据交换的安全可控性能,在基本的网络安全防护基础上,采取用户权限分级、身份认证、数据加密、通道加密、安全审计以及边界访问控制等技术措施,对网络进行加强控制;此外,依照逻辑隔离要求,在内网边界防护基础上引入VPN网关技术,来扩展内网的覆盖范围。

  升级改造具体措施

  在升级、改造过程中,我们采取了下面一些措施,来加固内网的运行安全性,升级改造后的网络结构图如图2所示:

升级组网结构 提升内网安全

  图2

  1、强化边界控制

  为了满足日益增长的数据流量要求,我们将原先百兆级别的硬件防火墙,调整成为千兆级别的硬件防火墙,这样可以大大提升整个网络的数据吞吐能力;同时在千兆硬件防火墙进行DMZ区域的划分配置操作,将内网的各种应用服务器以及扩展服务器,全部连接到硬件防火墙的DMZ区域,并对防火墙上的相关连接端口进行安全策略配置,例如可以进行IP访问策略的配置、ACL策略的配置、端口限制策略的配置等等,实现对内网各个应用服务器系统的安全保护目的。

  为了保护DMZ区域中各个电子政务应用系统的安全,我们对该区域装配了IPS入侵保护系统,禁止各类非法入侵行为;IPS采用双线路接入,每条线路都支持Bypass功能,并采用透明工作模式,如此一来位于DMZ区域的各个内网系统在数据流量过载或遭遇非法网络攻击的时候,网络连接稳定性不会受到影响。此外,为了让内网与外网实现逻辑隔离,我们特意引入VPN网关技术,在硬件防火墙上挂接一个VPN网关设备;同时在使用VPN技术远程访问内网时,必须采用通道加密技术来保证数据传输的安全性,禁止以明文方式进行传输。

  2、划分设置VLAN

  为了提高整个网络的管理效率,我们为内网重新装配了三层交换机,同时在三层交换机上进行VLAN划分设置操作;在划分VLAN时,本着每一楼层用户位于相同网段的原则,我们总共划分了八个VLAN,各个楼层中的所有二层交换机分别连接到三层交换机上的对应VLAN区域端口上,同时对VLAN区域端口进行隔离设置,确保不同楼层中的终端不能相互访问,这样一来可以有效地抑制广播风暴现象,同时也能有效控制病毒的疯狂传播,大大提高了整个网络的运行稳定性。此外,为了及时监控整个网络的数据流量,我们在内网的三层交换机上启用了一个镜像端口,同时将该镜像端口直接连接到一台普通终端上,在该系统中我们可以借助专业的抓包工具,来对网络中可能存在异常的数据流量进行实时、监控分析,以便快速找到引起异常流量的故障原因。

  3、进行安全审计

  为了便于追溯恶意攻击以及提供司法证据,我们新装备了安全审计系统,来动态监控、记录内网访问状态,从而达到对内网中的重要服务器系统的安全审计和动态追踪;在硬件防火墙下面的DMZ区直接部署安全审计系统,并通过该系统采集、识别、分析访问电子政务各个应用系统的数据信息,及时监控网络传输流量以及网络访问行为,实时捕获各类违规行为和发现各类敏感信息,做到对各类安全事件的全程定位、跟踪。

  4、进行身份认证

  我们知道,并不是所有的用户和数据与生俱来是平等的,我们必须想办法对所有访问用户的身份合法性进行验证,来保障每个访问用户的合法权利,同时管理其访问特权,以控制其对重要数据信息的访问权限;在这里,我们启用数字证书技术,对电子政务应用系统的登录访问进行身份认证,保证只有合法用户才能进行登录访问操作。

  此外,我们还根据用户类型以及访问需求,为不同的访问用户设置不同的访问权限等级,确保不同的用户登录进入电子政务应用系统后,能够获得对应用户需要的权限。

  除了上面的一些安全部署之外,我们还在内网中的重要节点安装了最新版的防病毒软件,以便预防各类新型病毒或木马程序的袭击。在完成升级、改造任务后,整个内网的安全性能得到了大幅提升,基本实现了在遇到突发故障时,能够快速定位故障位置、找到故障产生原因,同时能够迅速拿出应对办法的目的,如此一来就能在最大限度内保证内网的运行安全性和高效性。