防火墻和交換機結合實現(xiàn)內外網(wǎng)隔離

http://www.yibo1263.com　2009-10-30 13:16:19 　來源:東北IT網(wǎng) 　編輯:葉子

　　隨著網(wǎng)絡技術和因特網(wǎng)技術的成熟和高速發(fā)展，越來越多的企事業(yè)單位開始組建網(wǎng)絡來實現(xiàn)辦公自動化和共享因特網(wǎng)的信息。但是，安全問題也突現(xiàn)出來，iMaxNetworks(記憶網(wǎng)絡公司)根據(jù)電子政務網(wǎng)絡的特點提出了以交換機、防火墻和交換機相結合實現(xiàn)內外網(wǎng)隔離的解決方案。

　　方案一：交換機實現(xiàn)內外網(wǎng)的物理隔離

　　網(wǎng)絡系統(tǒng)由內部局域網(wǎng)和外部因特網(wǎng)兩個相對獨立又相互關聯(lián)的部分組成，均采用星形拓撲結構和100M交換式快速以太網(wǎng)技術。內部網(wǎng)與外部網(wǎng)之間不存在物理上的連接，使來自Internet的入侵者無法通過計算機從外部網(wǎng)進入內部網(wǎng)，從而最有效地保障了內部網(wǎng)重要數(shù)據(jù)的安全，內部局域網(wǎng)和外部因特網(wǎng)實現(xiàn)物理隔離。

　　imaxnetworks終端提供了經(jīng)濟安全的內外網(wǎng)物理隔離功能，它通過物理開關進行內外網(wǎng)的切換，在物理上信息終端只與其中一個網(wǎng)絡連通，所以黑客即使侵入其中一個網(wǎng)絡也無法越過物理屏障侵入另一個網(wǎng)絡。建立內外網(wǎng)隔離方案需要在內網(wǎng)和外網(wǎng)各安裝至少一臺終端服務器。

　　方案二：防火墻和交換機結合，實現(xiàn)內外網(wǎng)隔離

　　VLAN隔離內外網(wǎng)：電子政務網(wǎng)絡中存在多種業(yè)務，要實現(xiàn)多網(wǎng)的統(tǒng)一互聯(lián)，同時又要保證各個網(wǎng)絡的安全，除了在應用層上通過加密、簽名等手段避免數(shù)據(jù)泄漏和篡改外，在局域網(wǎng)的交換機上采用VLAN技術進行，將不同業(yè)務網(wǎng)的設備放置在不同的VLAN中進行物理隔離，徹底避免各網(wǎng)之間的不必要的任意相互訪問。在實現(xiàn)VLAN的技術中，以基于以太網(wǎng)交換機端口的VLAN(IEEE 802.1Q)最為成熟和安全。防火墻訪問控制保證。

　　網(wǎng)絡核心安全：為了網(wǎng)絡構建簡單，避免采用太多的設備使管理復雜化，從而降低網(wǎng)絡的安全性，可以放置一個高速防火墻，如圖所示，通過這個這個防火墻，對所有出入中心的數(shù)據(jù)包進行安全控制及過濾，保證訪問核心的安全。另外，為保證業(yè)務主機及數(shù)據(jù)的安全，不允許辦公網(wǎng)及業(yè)務網(wǎng)間的無控制互訪，應在進行VLAN劃分的三層交換機內設置ACL。

　　數(shù)據(jù)加密傳輸：對于通過公網(wǎng)(寬帶城域網(wǎng))進行傳輸?shù)臄?shù)據(jù)及互聯(lián)，數(shù)據(jù)加密是必須的，在對關鍵業(yè)務做加密時，可以考慮采用更強的加密算法。

　　設置DMZ區(qū)進行外部訪問：通常對于外部網(wǎng)絡的接入，必須采取的安全策略是拒絕所有接受特殊的原則。即對所有的外部接入，缺省認為都是不安全的，需要完全拒絕，只有一些特別的經(jīng)過認證和允許的才能進入網(wǎng)絡內部。與網(wǎng)絡中心及其它內部局域網(wǎng)之間的互連采用停火區(qū)(DMZ)，設置集中認證點對接入用戶進行安全認證，認證及相關服務器位于停火區(qū)，業(yè)務通過代理服務器進行交換，不允許外部網(wǎng)絡直接訪問內部系統(tǒng)。

【收藏】【打印】【進入論壇】

·磊科NS108交換機特價45元!耐用不掉線

·詳談交換機的連接方式組建交換網(wǎng)絡

·透過現(xiàn)象看問題 Cisco交換機狀態(tài)燈

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费