园区网安全解决方案

应用需求

    在很多人看来，园区网代表企业内部的数据交流，被看作是安全的，可信任的网络。但如同我们在前言中所述，内部用户不经意的差错或恶意的攻击，往往会被来自外部的威胁带来更直接和严重的后果－－正是因为局域网的便利性，使数据侦听、地址欺骗、恶意斟测、信息窃取变得更为容易。为此，客户一方面要加强员工的安全培训，提高安全意识；另一方面，在网络架构上也应加强防御，将威胁可能性降到最小。

解决方案
 

    在本例中，我们考虑的是单纯的业务或办公网络，其核心是互为冗余的两台第三层交换机；重要的应用服务器可直接以高带宽接入核心交换机，而最终用户的客户机则接入各自的楼层交换机，再双线上连至核心；分支机构则通过两台路由器以冗余结构作专线接入。

    鉴于局域网上运行了多种不同的应用，一般采用VLAN来实现数据和广播的隔离――如业务部、财务部、技术部可使用不同的VLAN，VLAN内部可以自由通讯，VLAN间的互访要通过第三层设备来完成。

    为了将网络管理和安全监控的流量与业务或办公数据流分开，特别设定了一个管理VLAN，将所有网络设备的管理地址、网络管理服务器、安全监控和应用服务器等放置其中。具体包括：网管平台，IDS管理器，认证服务器，防病毒管理平台，日志服务器等。

关键点描述

    在第三层网络设备上可以实现的安全功能有：VLAN间的访问控制（通过对数据流的识别来实现），反向路由检测（防止地址欺骗），设备本身登录的AAA认证等。

    在第二层交换机上可以实现的安全功能有：端口与MAC地址的绑定，802.1x用户身份认证、设备本身登录的AAA认证等。

    在核心交换机上部署了IDS入侵检测系统，可以监控内部网络中存在的非法攻击行为。IDS一般由两部分组成，探测器和管理平台――具体实现时需要将被监控的数据流镜像到IDS探测器所连的交换机端口。由于许多交换机（如思科的Catalyst系列）支持多端口镜像（多个源端口的流量映射到同一目标端口）和远程镜像（不同交换机的多个源端口流量映射到同一目标端口）功能，使IDS的位置和数量设计显得不那么绝对――一般建议将IDS探测器连接到核心交换机的某个千兆或百兆端口上，其数量由网络中数据流和IDS的处理能力决定。IDS的管理平台可以放置于网络的任一位置，只要探测器的管理端口的IP地址能与其互通即可，一般建议将管理平台放置于管理VLAN内。

在管理VLAN内服务器的功能包括但不仅限于：

    网管平台：使用特定的网管软件对网络实行监控，以呈现设备工作状况、链接使用情况，汇报网络事件并生成日志和报表；

    IDS管理平台：收集并整理由IDS探测器发来的攻击事件，实时显示与报警，日志存储，生成历史报表；

    认证服务器：提供对被认证用户的身份存储，在用户登录应用系统时由服务器验证其身份的有效性和合法权限；

    防病毒管理平台：从全面安全考虑，防病毒软件需要部署到园区网的每一个客户端，而这些部署和更新工作需要有一个集中的管理平台来实现，这就是置于管理VLAN内的防病毒管理平台的功能；

    日志服务器：网络中有大量网络设备、安全设备和应用系统每天要发送大量日志信息，因此，需要有一台日志服务器对其进行集中存储和监控。值得一提的是，有些网管平台具有强大的日志管理功能，可以将日志服务器集成在这样的网管平台之上。

• ·IP VPN技术及其应用[组图]
• ·轻松实现移动安全办公——EETRUST SecureVPN
• ·医疗卫生行业异地互连VPN应用
• ·华为民航信息化网络解决方案[组图]
• ·华为小型机构VPN安全互联方案

• ·宽兆科技VPN/数据无线传输解决方案[图]
• ·NEC大客户城域网VPN的VoIP解决方案[图]
• ·中国联通虚拟专网VPN/VPDN专线系统[图]
• ·中联科技银行储蓄所GPRS联网解决方案[图]
• ·北京四达时代MPLS VPN的网络安全[组图]