大中型企业局域网组网规划和信息安全建议

2018-04-18邹江滨

数字通信世界 2018年1期

邹江滨

（中移铁通云南分公司，昆明 650011）

1 引言

自从李克强总理在政府工作报告中首次提出互联网+行动计划。互联网+ 代表一种新的经济形态，即充分发挥互联网在生产要素配置中的优化和集成作用，将互联网的创新成果深度融合于经济社会各领域之中，提升实体经济的创新力和生产力，形成更广泛的以互联网为基础设施和实现工具的经济发展新形态。

企业参与到互联网+ 的前提是有自己的企业信息化基础，而企业信息化的最基本的是企业局域网。

通过日常网络维护中，发现目前大量企业的局域网构建的时候只考虑了一个基本的互通的网络，很少考虑到网络的可靠性和安全性；网络中的数据配置没有规划，存在管理和后续扩展的问题；并且随着无线接入技术的发展，大量无规划的无线WIFI接入造成了企业信息的外泄。

本文从构建一个可靠性高的基础网络，并对其中的数据规划提出建议，并结合网络安全进行论述。考虑到目前无线WIFI的实际应用，提出了企业组建无线WIFI网络的方案。并对企业网络信息安全工作提出指导建议。

2 大中型企业局域网组网架构

图1 企业组网图

组网的原则：

（1）通常采用星型结构，在中心区域放置两台高性能的汇聚交换机。

（2）分公司或分支机构网络上行至两台中心汇聚交换机。

（3）服务器通常放置在防火墙内部。

（4）局域网出网处部署DPI流量分析控制设备。

（5）通过VPN接入设备，对远程办公人员提供接入。

（6）如果企业对网络安全性要求更高，可以将全部核心层和汇聚层的设备改为双设备负荷分担的方式。

图中，分公司如果需租用长途电路连接至中心汇聚交换机，成本较高，可以采用MPLS-VPN接入的方式进行组网。

3 大中型企业局域网网络数据规划建议

一个好的网络除了较好的网络结构外，还需要好的数据规划，以便于后续网络的扩容、调整，以及访问控制的策略的制定等。网络的数据规划主要有几个方面，路由组织、IP地址规划、VLAN规划。

路由组织：较小的网络可以采用静态路由来规划，但是中大型的网络建议采用动态路由，以便实现路由层面的网络保护和网络维护的便捷性。企业局域网建议采用OSPF路由协议。

IP地址规划原则：

（1）企业内部使用私网地址，三段私网地址：10.0.0.0/8；172.16.0.0/12；192.168.0.0/16。

（2）IP地址规划的原则建议采用先大类业务、再区域的原则进行分配，这里的业务要求是区别较大的业务，比如内网办公、互联网业务、无线WIFI地址。

（3）不同业务采用不同的网段，将设备地址、用户业务地址、服务器使用地址分开。

VLAN规划原则：

（1）建议VLAN以部门来划分，每个部门一个VLAN。

（2）应该将每个VLAN的终端数控制在100以内，以避免过大的广播域，如果部门人数过多，可以分配多个VLAN来限制广播域。

规划范例：某大集团下属10个公司，每个公司有财务部、综合部、人力资源部、销售部、采购部、生产中心6个部门；公司内部有几台服务器提供邮件、OA服务；公司经常有人出差，需外部办公VPN接入内网。

设备之间互联使用ip地址段172.16.1.0/24，每个互联IP使用30位掩码的互联地址；设备之间启用OSPF动态路由；办公地址使用网段10.0.0.0/8，每个分公司分配4个C，如分公司A使用10.0.0.0/22、分公司B使用10.0.4.0/22等；每个分公司每个部门1个VLAN，每个VLAN分配半个C地址。公司内部服务器使用的地址段可以使用192.168.0.0/24；另外分配一段VPN接入地址池，192.168.1.0/24；每个业务后续的地址可以作为扩容使用。

4 大中型企业局域网网络安全性

企业为了保障正常的办公，需有一个强健的局域网，需从网络接入、数据配置策略、安全管理设备等方面来保障网络的安全性和可靠性。

4.1 网络架构安全性

网络的架构的安全主要是设备的主备和链路的冗余备份；通常核心设备采用主备的方式，接入链路通过异传输径路双上行至不同核心设备来实现冗余备份；网络出口的可以接入两家ISP来实现网络出口的安全性。

企业内部的服务器通常存有大量的企业内部机密信息，为了安全性，通常应将此类服务器置于企业内部的防火墙。

还可以通过VRRP（Virtual Router Redundancy Protocol，虚拟路由冗余协议）技术来实现更高的可靠性，VRRP通常用在边缘网络，通过两台网关设备虚拟成一台设备，实现网关的冗余备份。此类建设成本较高，建议对于非常重要的接入节点采用此技术；上图中，可以对企业防火墙内部的服务器采用VRRP技术，以保证企业内部信息系统的高可靠性。

如果企业通过局域网部署了网络电话等高时延敏感性业务，对链路中断切换要求较高，可以采用BFD（Bidirectional Forwarding Detection双向转发检测机制）可以提供毫秒级的检测，可以实现链路的快速检测，BFD通过与上层路由协议联动，可以实现路由的快速收敛，确保业务的永续性。

4.2 数据配置策略

数据配置的策略应只保障每个团体或个人只有相应的权限范围内的访问需求。具体为：

（1）每个人的IP地址和MAC地址进行绑定，网络较大的情况下可以部署DHCP服务器来进行管理。

（2）企业网络设备应只有信息管理人员可以访问。

（3）内部办公的服务器应该只允许内部员工访问，各部门内部的服务器只允许特定部门员工访问。

（4）部门之间访问存在限制，比如其他部门均不能访问财务部。

（5）只允许部分用户访问外网。

（6）企业网站对外提供服务。

为了实现以上的策略，有以下方法：

（1）在各地市接入交换机上加访问控制列表，限制部门之间的访问。

（2）在设备登录管理里面添加访问控制列表，只允许信息管理人员的地址登录。

（3）在企业内部防火墙上添加策略，只允许特定的部门IP地址访问特定的服务器。

（4）除了在服务器外面的防火墙布置访问控制外，还应该在特定重要的服务器上配置防火墙策略上只允许特定的IP访问。

（5）在出口路由器上进行NAT配置允许特定的IP地址访问外网。

（6）需对外提供服务的私网服务器，在出口路由器上只对相应的私网IP做相应服务的端口的公网映射，避免一对一的NAT；因为一对一的NAT会将内网服务器的全部服务端口映射至公网上，提供的端口越多，被攻破的风险越大。

4.3 部署安全管理设备

堡垒很多时候都是从内部被攻破的，除了前面的一些安全措施外，企业还应通过部署一些安全管理设备，如日志存储设备、DPI（Deep Packet Inspection，深度包检测技术）流控设备，加强企业内网的安全防护。

作为大中型企业，由于员工众多，企业内部信息安全存在很大的风险，通过部署日志存储系统，将出口路由器上的员工上网记录做好存储，以便在必要的时候进行追查。

DPI流控设备的工作原理是一种基于应用层的流量检测和控制技术，当IP数据包、TCP或UDP数据流通过基于DPI技术的带宽管理系统时，该系统通过深入读取IP包载荷的内容来对OSI七层协议中的应用层信息进行重组，从而得到整个应用程序的内容，然后按照系统定义的管理策略对流量进行整形操作。通过DPI流控设备对局域网的流量、协议、用户进行多维度的分析统计，可以及时发现异常流量的报文信息，并可以将部分影响带宽和工作的协议进行限制，提升企业效益和工作效率；对后续的网络规划、信息安全都具有较大意义。

4.4 企业信息安全管理

前面提到的是一些网络设备层面的网络安全事项，此外，企业内部还应加强对信息安全的管理，以下是一些常用的信息安全管理事项：

（1）各种软件的漏洞已经成为大规模网络与信息安全事件和重大信息泄露事件的主要原因之一。针对计算机漏洞带来的危害，安装相应的补丁是最有效、也是最经济的防范措施。而大型企业由于设备型号和软件版本众多，为了降低因为软件漏洞造成的信息安全事件，企业应加强对企业涉及到的软件进行管理，加强软件应用系统的版本和补丁管理，定期对官方的一些漏洞补丁发布网站（如补天网butian.360.cn）进行查看。

（2）加强各系统的账号管理，包括分配、删除、授权等方面，账号的权限应该符合使用人员的职责，避免授权过高；企业员工离职和调离原岗位，需将相应系统的账号进行删除。

（3）由于现在单台计算机性能较强和密码破解软件的强大，企业应加强系统的用户密码强度和有效期管理，密码强度通常要求8位数字、字母、特殊字符混合组成，有效期通常3个月；企业最好是通过系统自动实现密码强度和有效期管理。