陳俊祺，谷大豐

（1.武警山西省總隊(duì)網(wǎng)管中心，山西 太原 030012；2.國網(wǎng)山西省電力公司電力科學(xué)研究院，山西 太原 030001）

0 引言

隨著信息技術(shù)的廣泛使用，各類中小企業(yè)的日常運(yùn)作越來越依賴于計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)。許多企業(yè)都建有了自己專用的計(jì)算機(jī)網(wǎng)絡(luò)，其中注重網(wǎng)絡(luò)應(yīng)用的企業(yè)還擁有自己專用的門戶網(wǎng)站，隨之也就出現(xiàn)了一系列的問題，在網(wǎng)絡(luò)安全與穩(wěn)定方面尤其突出。如：病毒、木馬在網(wǎng)絡(luò)上肆意蔓延，員工長時間使用點(diǎn)對點(diǎn)下載軟件P2P（Point to Point）、下載電影等大量占用帶寬，這些行為均會嚴(yán)重影響企業(yè)網(wǎng)絡(luò)的正常運(yùn)行。因此，加強(qiáng)企業(yè)網(wǎng)絡(luò)的安全防護(hù)非常重要。

1 中小企業(yè)網(wǎng)絡(luò)安全需求分析

中小企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)有本身自有的特點(diǎn)，一般來說，計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不會很大；由于企業(yè)規(guī)模所限，對網(wǎng)絡(luò)的投入也不會太多，網(wǎng)絡(luò)設(shè)備需要集成度高，性能強(qiáng)勁，功能多樣；因技術(shù)力量方面相對薄弱，需要網(wǎng)絡(luò)設(shè)備操作簡單，維護(hù)方便；用戶對網(wǎng)絡(luò)性能要求相對較高，注重網(wǎng)絡(luò)使用的穩(wěn)定性和便捷性等。

本文主要從企業(yè)網(wǎng)絡(luò)所面臨的安全威脅等現(xiàn)實(shí)問題，提出需求分析。

1.1 病毒木馬的防護(hù)

一般情況下，需在客戶機(jī)上安裝殺毒軟件等安全防護(hù)措施，并通過因特網(wǎng)及時更新病毒庫，從而能夠快速發(fā)現(xiàn)并消滅病毒，有效制止危害和防止其擴(kuò)散。有條件的企業(yè)也可以安裝防病毒墻（應(yīng)用網(wǎng)關(guān)），防止病毒進(jìn)入內(nèi)部網(wǎng)絡(luò)，有效提升內(nèi)部網(wǎng)絡(luò)的安全防護(hù)能力。

1.2 對外部網(wǎng)絡(luò)攻擊的防護(hù)

因連接到因特網(wǎng)，不可避免地會受到外部網(wǎng)絡(luò)的攻擊，通常的做法是安裝部署網(wǎng)絡(luò)防火墻進(jìn)行防護(hù)。通過設(shè)置防護(hù)策略防止外部網(wǎng)絡(luò)的掃描和攻擊，通過網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)NAT（Network Address Translation）等方式隱藏內(nèi)部網(wǎng)絡(luò)的細(xì)節(jié)，防止其窺探，從而加強(qiáng)網(wǎng)絡(luò)的安全性[1]。

1.3 員工上網(wǎng)行為的管控

對于在辦公區(qū)內(nèi)的員工，要禁止其在工作期間做無關(guān)工作的網(wǎng)絡(luò)行為，如QQ聊天、論壇發(fā)帖子、炒股等，尤其禁止其玩征途等各類網(wǎng)絡(luò)游戲。常用做法就是安裝網(wǎng)絡(luò)行為管理設(shè)備（應(yīng)用網(wǎng)關(guān)），也有些企業(yè)會出于成本考慮安裝一些網(wǎng)絡(luò)管理類軟件，但若操作不當(dāng)，很容易會造成網(wǎng)絡(luò)擁塞，出現(xiàn)莫名其妙的故障。

1.4 對不同接入者權(quán)限的區(qū)分

企業(yè)網(wǎng)絡(luò)中的接入者應(yīng)用目的是不相同的，有些必須接入互聯(lián)網(wǎng)，而有些設(shè)備不能接入互聯(lián)網(wǎng)；有些是一定時間能接入，一定時間不能接入等等，出于成本等因素考慮，不可能也沒必要鋪設(shè)多套網(wǎng)絡(luò)。通常的做法是通過3層交換機(jī)劃分虛擬局域網(wǎng)VLAN （Virtual Local Area Network） 來區(qū)分不同的網(wǎng)段，與防火墻等網(wǎng)絡(luò)控制設(shè)備配合來實(shí)現(xiàn)有關(guān)功能。

1.5 安全審計(jì)功能

通過在網(wǎng)絡(luò)旁路掛載的方式,對網(wǎng)絡(luò)進(jìn)行監(jiān)聽，捕獲并分析網(wǎng)絡(luò)數(shù)據(jù)包，還原出完整的協(xié)議原始信息，并準(zhǔn)確記錄網(wǎng)絡(luò)訪問的關(guān)鍵信息，從而實(shí)現(xiàn)網(wǎng)絡(luò)訪問記錄、郵件訪問記錄、上網(wǎng)時間控制、不良站點(diǎn)訪問禁止等功能。審計(jì)設(shè)備安裝后不能影響原有網(wǎng)絡(luò)，并需具有提供內(nèi)容安全控制的功能，使網(wǎng)絡(luò)維護(hù)人員能夠及時發(fā)現(xiàn)系統(tǒng)漏洞和入侵行為等，從而使網(wǎng)絡(luò)系統(tǒng)性能能夠得到有效改善。通常的做法就是安裝安全運(yùn)行維護(hù)系統(tǒng)SOC（Security Operations Center），網(wǎng)管員定時查看日志來分析網(wǎng)絡(luò)狀況，并制定相應(yīng)的策略來維護(hù)穩(wěn)定網(wǎng)絡(luò)的安全運(yùn)行。

1.6 外網(wǎng)用戶訪問內(nèi)部網(wǎng)絡(luò)

公司會有一些出差在外地的人員以及居家辦公人員SOHO（Small Office Home Office），因辦公需要，會到公司內(nèi)網(wǎng)獲取相關(guān)數(shù)據(jù)資料，出于安全和便捷等因素考慮，需要借助虛擬專用網(wǎng)絡(luò)技術(shù)VPN（Virtual Private Network） 來實(shí)現(xiàn)。通常的做法是安裝VPN設(shè)備（應(yīng)用網(wǎng)關(guān)）來實(shí)現(xiàn)。

2 網(wǎng)絡(luò)安全設(shè)備的部署與應(yīng)用

通過企業(yè)網(wǎng)絡(luò)安全分析，結(jié)合中小企業(yè)網(wǎng)絡(luò)的實(shí)際需求進(jìn)行設(shè)計(jì)，網(wǎng)絡(luò)拓?fù)淙鐖D1所示。

圖1 某企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)拓?fù)鋱D

從拓?fù)鋱D1可以看出，該網(wǎng)絡(luò)中的核心網(wǎng)絡(luò)設(shè)備為UTM綜合安全網(wǎng)關(guān)。它集成了防病毒、入侵檢測和防火墻等多種網(wǎng)絡(luò)安全防護(hù)功能，從而成為統(tǒng)一威脅管理UTM(Unified Threat Management)綜合安全網(wǎng)關(guān)。它是一種由專用硬件、專用軟件和網(wǎng)絡(luò)技術(shù)組成的具有專門用途的設(shè)備，通過提供一項(xiàng)或多項(xiàng)安全功能，將多種安全特性集成于一個硬件設(shè)備，構(gòu)成一個標(biāo)準(zhǔn)的統(tǒng)一管理平臺[2]。通常，UTM設(shè)備應(yīng)該具備的基本功能有網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)入侵檢測（防御）和網(wǎng)關(guān)防病毒等功能。為使這些功能能夠協(xié)同運(yùn)作，有效降低操作管理難度，研發(fā)人員會從易于操作使用的角度對系統(tǒng)進(jìn)行優(yōu)化，提升產(chǎn)品的易用性并降低用戶誤操作的可能性。對于沒有專業(yè)信息安全知識的人員或者技術(shù)力量相對薄弱的中小企業(yè)來說，使用UTM產(chǎn)品可以很方便地提高這些企業(yè)應(yīng)用信息安全設(shè)施的質(zhì)量。在本案例中主要使用的功能有防火墻、防病毒、VPN、流量控制、訪問控制、入侵檢測盒日志審計(jì)等。

網(wǎng)絡(luò)接入和路由轉(zhuǎn)發(fā)功能也可由UTM設(shè)備來實(shí)現(xiàn)。因其具有多個接口（即多個網(wǎng)卡），可通過設(shè)定接口組把辦公區(qū)、車間、服務(wù)器組等不同區(qū)域劃分成不同的網(wǎng)段；通過對不同網(wǎng)段設(shè)定不同的訪問規(guī)則，制定不同的訪問策略，來實(shí)現(xiàn)非軍事化區(qū)DMZ（demilitarized zone）、可信任區(qū)以及非信任區(qū)的劃分，從而有效增強(qiáng)網(wǎng)絡(luò)的安全性和穩(wěn)定性。

對于上網(wǎng)行為的管理，可以通過內(nèi)置UTM設(shè)備的功能來實(shí)現(xiàn)管控，并可以實(shí)現(xiàn)Web過濾以及安全審計(jì)功能。如圖1所示，設(shè)定了辦公區(qū)和車間1可以訪問互聯(lián)網(wǎng)，而車間2不能訪問互聯(lián)網(wǎng)。在辦公區(qū)和部分車間安裝無線AP，可方便人員隨時接入網(wǎng)絡(luò)。通過訪問密碼和身份認(rèn)證等手段，可對接入者進(jìn)行身份識別，對其訪問網(wǎng)絡(luò)的權(quán)限進(jìn)行區(qū)分管控。市場上還有一些專用的上網(wǎng)行為管理設(shè)備，有條件的單位可進(jìn)行安裝，用以實(shí)現(xiàn)對員工上網(wǎng)行為進(jìn)行更為精準(zhǔn)的管控。

對于出差在外地的人員和SOHO人員可在任何時間通過VPN客戶端，用事先分配好的VPN賬戶，借助UTM設(shè)備的VPN功能，與總部建立VPN隧道，從而保證相互間通信的保密性，安全訪問企業(yè)內(nèi)部網(wǎng)絡(luò)，實(shí)現(xiàn)高效安全的網(wǎng)絡(luò)應(yīng)用。

3 結(jié)束語

通過某中小企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)備的部署，UTM產(chǎn)品為中小規(guī)模計(jì)算機(jī)網(wǎng)絡(luò)的安全防護(hù)提供了一種更加實(shí)用也更加易用的選擇。用戶可以在一個更加統(tǒng)一的架構(gòu)上建立自己的安全基礎(chǔ)設(shè)施，保證企業(yè)網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行。要實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)安全建設(shè)的可持續(xù)性發(fā)展，還需要立足實(shí)際，從意識、制度、管理、資金、人員、設(shè)備、技術(shù)等方面進(jìn)行不斷的改進(jìn)和提高，這樣才能保障網(wǎng)絡(luò)快速、穩(wěn)定、暢通地運(yùn)行。

［1］ 路亞，楊麗.中學(xué)校園網(wǎng)絡(luò)安全設(shè)計(jì)［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014（8）：181-183.

［2］ 百度百科.othella［EB/OL］.（2013-11-15）［2014-8-20］.http∶//baike.baidu.com/view/115004.htmfr=aladdin.