當(dāng)前位置 : 首頁(yè)>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>黑客攻防>正文

防火墻和交換機(jī)結(jié)合實(shí)現(xiàn)內(nèi)外網(wǎng)隔離

http://www.yibo1263.com　2009-10-30 13:16:19 　來源:東北IT網(wǎng) 　編輯:葉子

　　隨著網(wǎng)絡(luò)技術(shù)和因特網(wǎng)技術(shù)的成熟和高速發(fā)展，越來越多的企事業(yè)單位開始組建網(wǎng)絡(luò)來實(shí)現(xiàn)辦公自動(dòng)化和共享因特網(wǎng)的信息。但是，安全問題也突現(xiàn)出來，iMaxNetworks(記憶網(wǎng)絡(luò)公司)根據(jù)電子政務(wù)網(wǎng)絡(luò)的特點(diǎn)提出了以交換機(jī)、防火墻和交換機(jī)相結(jié)合實(shí)現(xiàn)內(nèi)外網(wǎng)隔離的解決方案。

　　方案一：交換機(jī)實(shí)現(xiàn)內(nèi)外網(wǎng)的物理隔離

　　網(wǎng)絡(luò)系統(tǒng)由內(nèi)部局域網(wǎng)和外部因特網(wǎng)兩個(gè)相對(duì)獨(dú)立又相互關(guān)聯(lián)的部分組成，均采用星形拓?fù)浣Y(jié)構(gòu)和100M交換式快速以太網(wǎng)技術(shù)。內(nèi)部網(wǎng)與外部網(wǎng)之間不存在物理上的連接，使來自Internet的入侵者無法通過計(jì)算機(jī)從外部網(wǎng)進(jìn)入內(nèi)部網(wǎng)，從而最有效地保障了內(nèi)部網(wǎng)重要數(shù)據(jù)的安全，內(nèi)部局域網(wǎng)和外部因特網(wǎng)實(shí)現(xiàn)物理隔離。

　　imaxnetworks終端提供了經(jīng)濟(jì)安全的內(nèi)外網(wǎng)物理隔離功能，它通過物理開關(guān)進(jìn)行內(nèi)外網(wǎng)的切換，在物理上信息終端只與其中一個(gè)網(wǎng)絡(luò)連通，所以黑客即使侵入其中一個(gè)網(wǎng)絡(luò)也無法越過物理屏障侵入另一個(gè)網(wǎng)絡(luò)。建立內(nèi)外網(wǎng)隔離方案需要在內(nèi)網(wǎng)和外網(wǎng)各安裝至少一臺(tái)終端服務(wù)器。

　　方案二：防火墻和交換機(jī)結(jié)合，實(shí)現(xiàn)內(nèi)外網(wǎng)隔離

　　VLAN隔離內(nèi)外網(wǎng)：電子政務(wù)網(wǎng)絡(luò)中存在多種業(yè)務(wù)，要實(shí)現(xiàn)多網(wǎng)的統(tǒng)一互聯(lián)，同時(shí)又要保證各個(gè)網(wǎng)絡(luò)的安全，除了在應(yīng)用層上通過加密、簽名等手段避免數(shù)據(jù)泄漏和篡改外，在局域網(wǎng)的交換機(jī)上采用VLAN技術(shù)進(jìn)行，將不同業(yè)務(wù)網(wǎng)的設(shè)備放置在不同的VLAN中進(jìn)行物理隔離，徹底避免各網(wǎng)之間的不必要的任意相互訪問。在實(shí)現(xiàn)VLAN的技術(shù)中，以基于以太網(wǎng)交換機(jī)端口的VLAN(IEEE 802.1Q)最為成熟和安全。防火墻訪問控制保證。

　　網(wǎng)絡(luò)核心安全：為了網(wǎng)絡(luò)構(gòu)建簡(jiǎn)單，避免采用太多的設(shè)備使管理復(fù)雜化，從而降低網(wǎng)絡(luò)的安全性，可以放置一個(gè)高速防火墻，如圖所示，通過這個(gè)這個(gè)防火墻，對(duì)所有出入中心的數(shù)據(jù)包進(jìn)行安全控制及過濾，保證訪問核心的安全。另外，為保證業(yè)務(wù)主機(jī)及數(shù)據(jù)的安全，不允許辦公網(wǎng)及業(yè)務(wù)網(wǎng)間的無控制互訪，應(yīng)在進(jìn)行VLAN劃分的三層交換機(jī)內(nèi)設(shè)置ACL。

　　數(shù)據(jù)加密傳輸：對(duì)于通過公網(wǎng)(寬帶城域網(wǎng))進(jìn)行傳輸?shù)臄?shù)據(jù)及互聯(lián)，數(shù)據(jù)加密是必須的，在對(duì)關(guān)鍵業(yè)務(wù)做加密時(shí)，可以考慮采用更強(qiáng)的加密算法。

　　設(shè)置DMZ區(qū)進(jìn)行外部訪問：通常對(duì)于外部網(wǎng)絡(luò)的接入，必須采取的安全策略是拒絕所有接受特殊的原則。即對(duì)所有的外部接入，缺省認(rèn)為都是不安全的，需要完全拒絕，只有一些特別的經(jīng)過認(rèn)證和允許的才能進(jìn)入網(wǎng)絡(luò)內(nèi)部。與網(wǎng)絡(luò)中心及其它內(nèi)部局域網(wǎng)之間的互連采用停火區(qū)(DMZ)，設(shè)置集中認(rèn)證點(diǎn)對(duì)接入用戶進(jìn)行安全認(rèn)證，認(rèn)證及相關(guān)服務(wù)器位于�；饏^(qū)，業(yè)務(wù)通過代理服務(wù)器進(jìn)行交換，不允許外部網(wǎng)絡(luò)直接訪問內(nèi)部系統(tǒng)。

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·磊科NS108交換機(jī)特價(jià)45元!耐用不掉線

·Cisco三層交換機(jī)堆棧連接問題

·長(zhǎng)春市政府采購(gòu)中心采購(gòu)交換機(jī)

·廉價(jià)交換機(jī)走俏的原因以及使用風(fēng)險(xiǎn)

·思科ASA防火墻精華配置總結(jié)

·詳談交換機(jī)的連接方式組建交換網(wǎng)絡(luò)

·程控交換機(jī)的綜合性防雷保護(hù)措施

·巧用交換機(jī)控制IP地址沖突故障的技巧

·不能忽略交換機(jī)初始設(shè)置

·巧用交換機(jī)控制IP地址沖突故障

·透過現(xiàn)象看問題 Cisco交換機(jī)狀態(tài)燈

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费