湖北中网科技有限公司

企业系统

1、概况

某集团公司信息业务的主要范围集中在集团公司本部的数据中心，数据中心存储了绝大部分集团的信息资产。 30多台服务器构成了核心服务器区，服务器的类型和服务的类型比较多，有只对内发布的生产系统、人事系统，有对外发布的WWW网站，内外都使用的网上业务系统，还有网络正常业务需要的邮件、域名、代理等系统，还有数量不少的各系统使用的后台，如数机库、目录系统等；集团公司新办公楼所承载的信息系统除了数据中心的重要服务器外，还包括分布于各个楼层的内部办公网，和部分出租楼层的办公网；数据中心对外有互连网出口和内部广域网出口。

2.安全区划分

合理的安全区划分是为了更清晰的定义和区分信息资产，同时也更利于我们对安全需求进行分析，进而更有针对性的进行安全建设。

为了更清晰地描绘出集团公司网络的逻辑分布，参照IATF3.1标准，我们根据安全需求的不同,将集团公司网络信息系统划分为以下的安全域结构。

集团公司安全区划分

通过对各个安全区进行分析，我们可以将集团公司的安全需求归纳为如下：：

分类	内容
防火墙	在Internet边界设立防火墙
	在出租边界设立防火墙
	在广域网边界设立防火墙
	在服务器区边界设立防火墙
入侵检测	在集团公司内部网中设置IDS，检测来自于互连网和内部之间的攻击行为
邮件网关	在集团公司邮件服务器前部署邮件网关，用于防止垃圾邮件和过滤邮件病毒
SSL VPN系统	在集团公司与互连网边界部署SSL VPN系统，用于实现集团移动办公用户的访问需求

3、解决方案

3.1、访问控制解决解决方案

集团企业网整体安全的建设是一个系统工程，我们在制定安全网络策略时首先考虑到的就是边界的访问控制，在网络层对计算机通信及各种应用访问进行严格的控制，保障合法的访问，同时杜绝非法或非授权的访问。通常我们采用合理的划分VLAN和部署防火墙这两个措施来实现边界访问控制，从而保障集网络边界安全和访问控制。

3.1.1、VLAN

为了克服以太网的广播问题，除了按照物理位置将网络隔离外，还可以运用VLAN（虚拟局域网）技术，将以太网通信变为点到点通信，通过VLAN隔离，VLAN间采用访问控制策略，能够加强网络的整体安全。

通过VLAN技术，可以将集团新办公楼的网络信息节点根据访问特点和应用系统的不同，划分为多个虚拟子网，对各个子网共享资源进行限定。

3.1.2、防火墙解决方案

在不同安全域之间安装防火墙设备是实现边界访问控制一个非常重要的技术手段，防火墙利用IP和TCP包的头信息对进出被保护网络的IP包信息进行过滤，能根据企业的安全政策来控制（允许、拒绝、监测）出入网络的信息流。同时可实现网络地址转换（NAT）、审记与实时告警等功能。由于这种防火墙安装在被保护网络与路由器之间的通道上，因此也对被保护网络和外部网络起到隔离作用。

为保证集团广域网接入的安全，在广域网接入区域和集团公司内部网区域设置千兆防火墙，实现集团总公司和广域网的隔离，保证集团企业广域网数据的安全性和高速的数据交换。

另外，利用此防火墙的DMZ区接口与广域网DMZ区相连，保证一个防火墙同时连接 3个不同的安全区域，在各个区域之间进行访问控制，基本原则如下：

各楼层办公网可以访问集团公司广域网；
各楼层办公网可以访问广域网 DMZ ；
广域网 DMZ 不可以访问各楼层办公网；
集团公司广域网可以访问广域网 DMZ ；
集团公司广域网不可以访问内部办公网。

为保证集团总公司内网安全接入互联网，在集团总公司内网区域与互联网区域边界设置百兆防火墙，实现公网区域服务器的保护以及集团总公司内网安全接入，基本配置原则如下：

内部办公网用户可以访问互联网；
服务器区用户可以访问互连网；
互连网用户不可以访问内部办公网；
互连网用户不可以访问服务器区。

为了保证出租网与集团总公司内网数据的安全性，在出租网区域和互联网区域边界设置百兆防火墙，同时通过互连网路由器限制出租网对内部网的访问，基本配置原则如下：

允许出租网访问互连网；
不允许互连网访问出租网。

为了保证核心数据区域的安全性，在核心数据区与内网办公区边界设置千兆防火墙，保证核心数据业务服务器和数据的安全性，基本配置原则如下：

办公网对服务器区的访问只允许开放必要的端口；
服务器区对办公网的访问只允许开放必要的IP；
其他区域对服务器区的访问全部禁止。

3.2、入侵检测系统解决方案

利用防火墙技术，经过仔细的配置，通常能够在内外网之间提供安全的网络保护，降低了网络安全风险，但是入侵者可寻找防火墙背后可能敞开的后门，或者入侵者也可能就在防火墙内。

在集团总公司新办公楼局域网部署基于网络的入侵检测探测器，并利用集中安全管理平台进行统一的管理，从而实现对特定网段、服务建立的攻击监控体系，可实时检测出绝大多数攻击，并采取响应的行动（如断开网络连接、记录攻击过程、跟踪攻击源等）；入侵检测分系统与防火墙分系统进行联动，形成多层次的防御体系，一旦攻击者在突破前道防线后，利用后道的防护手段可以延缓或阻断其到达攻击目标。

3.3、邮件网关解决方案

垃圾电子邮件是指用户未主动请求或同意接收的电子刊物、电子广告和各种形式的电子宣传品等电子邮件，没有明确发信人、发信地址、退信方式、发信人和收信人之间没有任何可识别关系的电子邮件，含有伪造信息源、发信地址、路由信息或收信人不存在的电子邮件。

集团公司必须要在邮件服务器之前部署邮件网关设备对进出邮件系统的邮件进行过滤，部署如下：

邮件网关逻辑上必须架设在邮件系统前端，防火墙的后端。邮件必需先经过邮件网关再投递到后端的邮件系统。

3.4、SSL VPN系统解决方案

虚拟专用网络（Virtual Private Net）可以实现不同网络的组件和资源之间的相互连接。虚拟专用网络能够利用internet或其它公共互联网络的基础设施为用户创建隧道，并提供与专用网络一样的安全和功能保障。

在集团公司的实际工作中，部分员工经常需要移动办公，而这些移动办公人员的上网形式又各不相同，有的用宽带接入、有的用拨号、用的用NAT方式等，他们随时需要访问公司内部信息，就像坐在办公室一样。

为了保证移动办公用户能够随时随地访问内部网，并且确保数据传输的安全，最有效的办法是采用SSL VPN的实现方式。

在内网交换机上部署一台SSL VPN网关，移动办公用户不需要安装任何客户端，只要能上网就可以访问 VPN网关，并通过VPN网关来访问内部网，所有访问过程中信息确保加密传输。