您现在的位置是:首页 > IT基础架构 > 网络与安全 >

灵活定制 子网安全从入口开始

2009-12-11 23:07:00作者: 来源:

摘要现在,规模较大、职能部门较多的企业,在部署局域网时一般都划分了子网。根据不同的部门划分了子网并制定了不同网络接入及其安全访问策略。...

现在,规模较大、职能部门较多的企业,在部署局域网时一般都划分了子网。把不同的职能部门归并为一个子网,定制不同的策略,方便不同的生产、安全的需要。这种分化管理的最大好处是:灵活性,适应不同的环境和需求。划分之后的网络安全,就应该从每一个子网的入口开始,做好规划,制定策略,进行部署。管理员通过灵活定制,就能防在攻击之前,最大限度地把威胁杜绝在门外。

  最近,笔者给一家企业部署了局域网,根据不同的部门划分了子网并制定了不同网络接入及其安全访问策略。下面把相关的策略和方案写下来,希望对大家有所帮助。不过,在介绍之前,先对各种子网安全策略进行一个简要的分析方便我们根据需要进行选择。

  一、安全策略

  1、IP子网策略

  由于我们在网络设计时通常将不同的业务部门划分到不同的VLAN,同时将VLAN对应不同的IP子网;因此,IP子网策略适用于对安全需求不高,对移动性和简易管理需求较高的的网络设计中。通常采用以下一条命令就完成了一个IP子网策略VLAN的设定:

  vlan 1 ip 192.168.10.0 255.255.255.0

  当用户终端的IP地址设为192.168.10.*时,该终端将自动进入VLAN 1。这种子网策略具有一定的安全性,因为要进入IP子网VLAN必须知道交换机中定义了哪些IP子网。

  2、MAC地址策略

  MAC地址策略需要我们事先将归属该VLAN的终端MAC地址配置到交换机上,只有符合我们预设的MAC地址的终端才可以进入该VLAN。MAC地址VLAN相比IP子网VLAN安全性要高,但配置工作量相对较大;策略适用于对安全和移动性需求较高的网络设计中。MAC地址VLAN通常采用以下命令就完成设定:

  vlan 1 mac 01:01:01:02:02:02

  当用户终端的MAC地址设为01:01:01:02:02:02时,该终端将自动进入VLAN 1。这种子网策略比第一种安全性高,因为要进入MAC子网VLAN必须知道交换机中是否定义的MAC VLAN策略,同时需知道至少一个已定义的MAC地址。

  3、IP/MAC绑定策略

  IP/MAC绑定策略需要我们事先将归属该VLAN的终端IP/MAC配置到交换机上,只有符合我们预设的IP/MAC地址的终端才可以进入该VLAN。IP/MAC绑定地址VLAN相比MAC VLAN安全性更高,适用于对安全和移动性需求非常高且VLAN用户较少的网络设计中。

  IP/MAC绑定VLAN的另一个作用是禁止符合策略的用户对IP或MAC进行改动,IP/MAC的改动将失去VLAN策略的匹配,该终端从而被放入隔离VLAN。IP/MAC绑定VLAN通常采用以下命令完成设定:

  vlan 1 binding mac-ip 00:00:39:59:0a:0c 21.0.0.10

  当用户终端的IP地址设为21.0.0.10,MAC为00:00:39:59:0a:0c 时,该终端将自动进入VLAN 1。这种子网策略安全性更高,因为要进入IP/MAC子网VLAN必须知道交换机中是否定义了IP/MAC VLAN策略,同时需知道至少一个已定义的IP/MAC地址。

  4、用户认证策略

  用户认证VLAN与上述策略VLAN的最大不同是检测终端使用者的合法性而非终端本身的合法性,更适用于多人共用终端的场合。为终端用户提供合法账号,不同的账号对应不同的VLAN或决定交换机端口的开、闭,终端进入哪一个VLAN由用户账号决定。由于是对用户的认证,所以该策略的实施必须引入用户认证服务器来完成相应的认证、授权工作,相对增加了网络管理的复杂度。

  这种子网策略要求进入用户认证的VLAN必须获得合法的用户账号,适应于公共场合对不同用户的认证。

  5、DHCP策略

  DHCP是终端自动获得IP地址的协议,对于访客非常方便。通过对VLAN定义DHCP,使得访客自动获得IP地址并进入相应的访客VLAN。通常采用以下命令完成一个DHCP策略VLAN的设定:

  vlan 1 dhcp port 3/1-24

  当用户终端的IP地址设为自动获得时时,该终端将自动进入VLAN 1并获得相应的IP地址。这种子网策略适应于无特殊安全性需求的场合,便于访客的灵活接入同时与保障企业内网的安全隔离。

  二、具体部署

  1、设计规划

  该企业是一家机器制造厂,规模比较大,拥有众多的部门,包括工程、销售、财务、领导以及访客等,在作网络规划设计时我们根据不同部门对网络安全的要求不同,予以不同的VLAN策略,使整个网络在安全、灵活、易用和易管理几个方面达到最大的统一。下面就是具体的子网划分和规划:

  我们将该企业划分为4个子网,其安全级别分为:

  财务部:安全级别高、且端口固定

  行政部:安全级别高、且有移动要求

  业务部门(工程、销售):安全级别一般、且有移动要求:

  临时部门(访客):安全级别低、访问受限制

  2、具体部署

  财务部门

  对于财务部门而言,安全接入是第一需求,我们对接入财务部门的用户、终端的接入方式和地点进行严格控制;这里我们采用了固定端口的VLAN接入设计。在交换机上指定固定接口分配给财务门,只有这些端口属于VLAN1(财务部门VLAN); 从而避免了其他部门人员从其他端口进入财务部门的安全隐患;对于接到财务部门网络接口的用户而言,同时采用了认证对其身份进行认证;这样,即使有用户通过某种手段接到了财务部门的网络接口上,由于无合法的身份账号,其相连网络端口将一直出于关闭状态,从而保障了财务部门接入访问的安全性。

  行政部门

  领导VLAN在企业里非常重要,原因在于领导VLAN具有相当高的优先级和访问权限;同时,由于领导本身的特殊性,我们在网络接入安全设计时不但要考虑该VLAN的安全性,还要考虑领导接入的便捷性。在网络VLAN设计中,除了财务部门的接入端口固定分配,其余网络接口全部采用“mobile”设定,这样对于用户接入到除财务部门外的任意端口,交换机都可以根据终端的特性以及交换机预先设定的VLAN策略进行VLAN的分配。对于领导,我们采用ip-mac绑定方式,领导无论从哪一个网络接口接入网络,交换机通过对其ip-mac学习直接将其划分到相应的VLAN中;由于其他用户接入网络时被分配到隔离VLAN中,即使通过扫描技术,其依然无法获得领导的ip-mac;因此,领导VLAN具有高安全性。

  业务部门

  对于销售部、工程部的VLAN设计我们可以采用ip子网方式,不同的部门由于其规定的ip地址不同,根据ip子网策略,自动进入相应的VLAN 。

  临时部门

  由于访客和临时部门的暂时性,我们在VLAN设计中采用了DHCP地址自动分配加ip子网策略;我们在除财务部门外的所有网络接口启用了DHCP策略;当该接口收到DHCP数据请求包时,该数据包将自动被分配到临时VLAN,从而获得与之匹配的ip地址;当访客获得相应临时VLAN的ip地址后,通过ip子网策略,访客终端将自动进入临时VLAN。这种设计保障了访客从网络的任意端口都可以上网,同时又和企业内网用户有效隔离。对于临时VLAN,我们通过ACL访问控制策略对其访问资源和应用进行严格限制,如只允许进行internet浏览和mail 的收发。

  总结:

  笔者曾见过一些企业的局域网,它们也划分了子网,但往往每个子网都采用了同样的安全策略。这种整齐划一的方式虽然比较方便,但是不能够满足企业各部门的具体需求。通常的情况是,因为不同子网的客户端的不同需求,使得网络管理员疲于奔命。因此,根据企业的具体需求,灵活定制子网安全及接入策略既满足了企业需要也在极大程度上解放了网络管理员自己,何乐而不为呢?


(本文不涉密)
责任编辑:

站点信息

  • 运营主体:中国信息化周报
  • 商务合作:赵瑞华 010-88559646
  • 微信公众号:扫描二维码,关注我们