安全平滑升级单位内网

近日，某单位坚持以全市工作业务网络平台为基础，以在线协同办公系统建设为核心，已经逐步建设成功了一批在线办公运行应用系统，有一些工作业务应用系统正在开发中。

伴随着在线办公审批应用建设的逐步深入，应用系统的安全保障问题日益明显，怎样有效确保工作业务平台系统的安全成为一项迫在眉睫的问题。

现在，本文就以地区工作业务平台中心升级、改造内网组网结构为例，向大家详细介绍一下怎样有效提升内网各个应用系统的安全运行问题。

安全升级需求

图1 地区工作业务平台网络结构图

该地区的工作业务中心平台原先是采用的组网结构非常简单，安全防护能力也是一般。整个工作业务内网中的所有客户端系统，通过普通5类网络双绞线连接到各自楼层中的二层交换机中，各个楼层中的所有二层交换机全部接入到工作业务内网的百兆硬件防火墙上，同时通过该防火墙访问工作业务内网中的各个应用系统，整个网络结构图如图1所示。

伴随着网络病毒的疯狂肆虐以及各种非法入侵的增多，局域网中频繁发生各式各样的安全故障，这些问题让网络管理员整天疲于应付，而且问题在解决之后，网络管理员也拿不出很好的办法来防范相同安全问题的再次发生。

同时，随着工作时间的推移，原先网络中的许多设备发生了老化现象，同时整个内网网络只是简单通过一个百兆硬件防火墙作为边界防御，工作业务内网中的所有应用系统与所有普通的客户端系统位于相同的工作网段中，这么一来局域网中就很容易出现网络广播风暴现象。同时这种单一的网段部署方式也给各式各样网络病毒的疯狂传播带来了便利。

与此同时，位于各个楼层中的所有二层交换机由于不支持VLAN划分功能，那么整个网络中就十分容易发生地址冲突故障，同时也不方便网络故障的快速定位、排查。

还有一点，所有客户端系统全部通过百兆的硬件防火墙访问工作业务专网以及Internet，这样一来整个局域网的上网速度受到了严重制约，而且整个工作业务网络也没有设置DMZ区域，所有这些问题都已不能满足日益增多的网络应用需求了。所以，单位决定对工作业务内网结构进行升级改造，以便提升内网系统运行安全性能。

安全升级原则

考虑到传统网络的组网结构安全防护能力非常差，升级改造工作业务网络时，自然要从最根本的安全防范能力着手，来确保升级后的工作业务网络尽可能地安全、稳定。

下面是内网组网结构具体的升级原则：

图2 升级后的平台网络结构图

第一是通过增加专业的网络安全设备，同时进行正确的安全配置，来保护整个工作业务内网的运行安全；第二是为了提升数据交换的安全可控性能，在基本的网络安全防护基础上，采取用户权限分级、身份认证、数据加密、通道加密、安全审计以及边界访问控制等技术措施，对网络安全进行强化控制。

当然，根据逻辑隔离需求，在工作业务网络边界防护前提下使用VPN网关技术来增大工作业务专网的覆盖范围。

安全升级事项

在安全升级网络的过程中，我们还要注意下面一些事项来加固工作业务网络的运行安全性，升级改造后的网络结构图如图2所示。

1.设置子网事项

为了提高整个网络的管理效率，我们为工作业务内网重新装配了三层交换机，同时在三层交换机上进行VLAN划分设置操作；在划分VLAN时，本着每一楼层用户位于相同网段的原则，我们总共划分了八个VLAN，各个楼层中的所有二层交换机分别连接到三层交换机上的对应VLAN区域端口上，同时对VLAN区域端口进行隔离设置，确保不同楼层中的客户端系统不能相互访问，这样一来可以有效地抑制广播风暴现象，同时也能有效控制网络病毒的疯狂传播，大大提高了整个网络的运行稳定性。

此外，为了能及时监控整个网络的数据流量，我们在工作业务内网的三层交换机上启用了一个镜像端口，同时将该镜像端口直接连接到一台普通客户端系统上。在该系统中我们可以借助专业的抓包工具，来对网络中可能存在异常的数据流量进行实时地监控和分析，以便快速找到引起异常流量的故障原因。

2.身份认证事项

大家知道，所有的用户账号和数据访问权限并不是与生俱来是平等的，我们一定要想办法对所有访问用户的身份账号合法性进行验证，来确保每个访问用户账号的合法权利，并且管理其访问特权，以控制其对重要数据信息的访问权限；在这里，我们启用数字证书技术，对工作业务应用系统的登录访问进行身份认证，以保证只有合法用户才能进行登录访问操作。

此外，我们还按照用户账号类型以及访问需求，为不同的访问用户账号定义不同的访问权限等级，保证不同的用户账号登录进入工作业务应用系统后，可以获得对应用户账号需要的权限。

除了上面的一些安全部署之外，我们还在工作业务网络中的重要节点安装了最新版的防病毒软件，以便预防各类新型网络病毒或木马程序的袭击。

在完成升级和改造任务后，整个工作业务网络的安全性能得到了大幅地提升，基本上实现了在遇到突发故障时，可以快速定位到故障位置、找到故障产生原因，同时可以迅速地拿出应对措施的目的，这么一来就能在最大限度内确保全地区工作业务网络的运行可靠性和高效性。

3.安全审计事项

为了方便追溯非法攻击和提供非法攻击证据，我们新装备了安全审计系统，来动态监控、记录工作业务网络访问状态，从而达到对工作业务网络中的重要服务器系统的安全审计和动态追踪。

在硬件防火墙下面的DMZ区直接部署安全审计系统，并通过该系统采集、识别、分析访问工作业务各个应用系统的数据信息，及时监控网络传输流量以及网络访问行为，实时捕获各类违规行为和发现各类敏感信息，做到对各类安全事件的全程定位、跟踪。

4.边界控制事项

为了适应数据访问流量不断增长的要求，我们将以前百兆标准的硬件防火墙，升级成为千兆标准的硬件防火墙，这样能够有效提升整个工作业务网络的数据吞吐能力。

并且在千兆标准的硬件防火墙上，进行DMZ区域的划分配置操作，将工作业务网络的各种应用服务器以及扩展服务器，统统连接到硬件防火墙的DMZ区域，同时对该设备上的相关网络端口进行适当的安全策略配置，比方说能够进行端口限制策略的配置、ACL策略的配置，以及IP访问策略的配置等等，以达到对工作业务内网所有应用服务器系统的安全防护目的。

为了保护DMZ区域中各个工作业务应用系统的安全，我们对该区域装配了IPS入侵保护系统，禁止所有非法攻击行为。IPS采用双线路接入，每条线路都支持Bypass功能，并采用透明工作模式，如此一来位于DMZ区域的各个内网系统在数据流量过载或遭遇非法网络攻击的时候，网络连接稳定性不会受到影响。

此外，为了能让工作业务网络与Internet实现逻辑隔离，我们还特意引入VPN网关技术，在硬件防火墙上挂接一个VPN网关设备。同时在使用VPN技术远程访问工作业务网络时，必须采用通道加密技术来确保数据在网络通道上传输的安全性，拒绝以明文方式进行不安全传输。