管理企業(yè)外聯(lián)網(wǎng)

筆者工作的單位因?yàn)闃I(yè)務(wù)性質(zhì)的特殊性，需要與多個(gè)領(lǐng)域的企業(yè)公司進(jìn)行數(shù)據(jù)交換，這部分的業(yè)務(wù)構(gòu)建的網(wǎng)絡(luò)就是外聯(lián)網(wǎng)，絕大部分業(yè)務(wù)是通過(guò)租用運(yùn)營(yíng)商的專線來(lái)搭建網(wǎng)絡(luò)的。因?yàn)闃I(yè)務(wù)發(fā)展得過(guò)快，網(wǎng)絡(luò)搭建缺乏規(guī)劃管理，導(dǎo)致了這部分區(qū)域較為混亂，存在網(wǎng)絡(luò)安全問(wèn)題。原來(lái)的外聯(lián)網(wǎng)拓?fù)鋱D，如圖1所示。

租用運(yùn)營(yíng)商專線搭建外聯(lián)網(wǎng)的方式，一方面考慮的是信息在傳遞過(guò)程中較為安全，降低被竊取的可能性；另一方面為了加強(qiáng)網(wǎng)絡(luò)的可靠性與穩(wěn)定性，保證業(yè)務(wù)能正常交換數(shù)據(jù)。最大的缺點(diǎn)是費(fèi)用較為昂貴，這一點(diǎn)在這里就不加以討論了。由拓?fù)鋱D分析存在的問(wèn)題是這部分網(wǎng)絡(luò)邊界不明晰，外聯(lián)網(wǎng)的專線都通過(guò)一臺(tái)匯聚交換機(jī)直接與核心骨干網(wǎng)對(duì)接。倘若從專線那邊發(fā)起過(guò)的網(wǎng)絡(luò)攻擊，內(nèi)部的網(wǎng)絡(luò)將會(huì)變得十分脆弱，沒(méi)有任何防御的措施，對(duì)外聯(lián)網(wǎng)的實(shí)時(shí)網(wǎng)絡(luò)性能缺乏監(jiān)控手段。

圖1 原來(lái)的外聯(lián)網(wǎng)拓?fù)鋱D

從最初的設(shè)計(jì)分析，使用的匯聚交換機(jī)是為了簡(jiǎn)單化組網(wǎng)，把外聯(lián)網(wǎng)的接入企業(yè)當(dāng)成了局域網(wǎng)的成員。其實(shí)這兩部分是有明確的區(qū)別的。外聯(lián)網(wǎng)的第一個(gè)特點(diǎn)是業(yè)務(wù)性質(zhì)單一，它的接入成員僅是與服務(wù)器進(jìn)行數(shù)據(jù)對(duì)接，不需要提供服務(wù)給企業(yè)內(nèi)部人員使用，也不需要使用企業(yè)的互聯(lián)網(wǎng)出口。外聯(lián)網(wǎng)使用的專線都是低帶寬的鏈路，一般帶寬為2M、4M的較多。分配的IP地址較為凌亂，劃分的子網(wǎng)掩碼較為隨意且沒(méi)有規(guī)律可循。

結(jié)合上述問(wèn)題，筆者單位計(jì)劃改造這部分的網(wǎng)絡(luò)。首先部署邊界防火墻，這里我們使用的是山石網(wǎng)科的下一代防火墻，對(duì)整個(gè)外聯(lián)網(wǎng)的業(yè)務(wù)提供安全訪問(wèn)策略。為什么使用下一代防火墻，因?yàn)椴粌H有傳統(tǒng)防火墻的功能，而且還集成了防病毒、流量控制、入侵檢測(cè)等功能模塊。最重要的一點(diǎn)是集合在一臺(tái)設(shè)備上面實(shí)現(xiàn)多個(gè)功能，這樣使得我們部署起來(lái)較為容易。簡(jiǎn)要拓?fù)鋱D如圖2所示。為此，我們需要進(jìn)行以下改造工作。

表1 分配地址情況

圖2 改造后的簡(jiǎn)要網(wǎng)絡(luò)拓?fù)鋱D

重新規(guī)劃IP地址，進(jìn)行路由匯總

新規(guī)劃出一個(gè)IP網(wǎng)段地址為 192.168.100.0/24，通過(guò)劃分子網(wǎng)掩碼劃分給多個(gè)外聯(lián)企業(yè)使用。原則上業(yè)務(wù)數(shù)據(jù)交換只需要兩個(gè)對(duì)接IP就可以，分配的地址情況如表1所示。

這部分更改IP地址是最為重要的一個(gè)環(huán)節(jié)，在推進(jìn)的時(shí)候遇到了一些困難涉及到程度代碼的一些更改，但為了統(tǒng)一部署我們還是很強(qiáng)硬地推進(jìn)下去，有一些特殊的情況改不了，我們也用地址轉(zhuǎn)換的方式解決。過(guò)去的地址使用混亂導(dǎo)致很多問(wèn)題，規(guī)范地址之后新增加的業(yè)務(wù)分配就很清淅了。

嚴(yán)格管理訪問(wèn)權(quán)限，根據(jù)業(yè)務(wù)開(kāi)放相應(yīng)端口：

簡(jiǎn)單來(lái)說(shuō)就是要控制外互聯(lián)網(wǎng)的權(quán)限，這部分區(qū)域默認(rèn)的策略是禁止訪問(wèn)所有的地址（deny any）。然后跟據(jù)業(yè)務(wù)開(kāi)放訪問(wèn)權(quán)限，盡量控制到最精細(xì)度僅開(kāi)放某個(gè)IP的某個(gè)應(yīng)用端口。每做一條策略都要標(biāo)注是什么業(yè)務(wù)，這能夠?qū)I(yè)務(wù)與策略結(jié)合起來(lái)。

保證業(yè)務(wù)的穩(wěn)定，加強(qiáng)信息安全

通過(guò)外聯(lián)網(wǎng)傳送的數(shù)據(jù)都是一些比較重要的數(shù)據(jù)，雖然專線本身已有一定的安全防泄漏的功能，但是為進(jìn)一步保障我們開(kāi)啟防火墻的入侵檢測(cè)和防病毒模塊功能，實(shí)時(shí)監(jiān)控著整個(gè)外聯(lián)網(wǎng)的運(yùn)行情況。