论文部分内容阅读
摘要:为进一步规范我台技术网,完善641台技术网的建设,结合六四一台OA网与技术网现状,对技术网的网络设备的配置,参照局信息办制定的《全局网络建设要求V1.0(修订稿)》,在办公网核心交换机和技术网核心交换机之间增加一台Eudemon 200防火墙,重新规划技术网网络拓扑结构,实现对办公网和技术网进行安全访问限制。
关健词:Eudemon 200防火墙;技术网;OA网;VLAN
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)10-2193-04
2007年5月,641台信息化小组按局信息办制定的规范独立自主地完成了台站局域网的建设。641台局域网分为OA网和技术网两个部分。641台OA网通过专用的2M电信线路连接至无线局,OA网下联技术网。OA网与技术网之间按局信息办的规范要求应采用“网闸”进行隔离,但由于客观原因,并没有进行实施,只是在核心交换机S6503采用安全访问控制列表的方式简单地对台站技术网进行隔离,这样OA网与技术网之间没有任何网络安全产品,技术网完全暴露在OA网下,各发射机控制系统很容易受到攻击、病毒入侵,甚至受控制,网络安全将直接关系到安全播音。2009年10月,太极公司将在我台部署技术业务管理系统和运行管理系统,从安全的角度考虑,台站的生产业务和日常办公业务分别位于技术网和办公网中,两网之间应采用防火墙作为安全隔离设备,以避免办公网上的非业务人员进入技术网。这种隔离,也使得各类人员都可以专注于自己专项的业务,提高工作效率。由于当时OA网防火墙改用启明星辰的USG防火墙(多功能网关)替换下Eudemon 200防火墙,为进一步规范我台技术网,完善641台技术网的建设,结合六四一台OA网与技术网现状,参照局信息办制定的《全局网络建设要求V1.0(修订稿)》,我们重新规划技术网网络拓朴结构(如图2示),在办公网核心交换机和技术网核心交换区之间增加一台Eudemon 200防火墙,防火墙配置IP地址和技术网/办公网核心交换机相连,通过静态路由实现网络连通,配置安全策略,对办公网和技术网进行安全访问限制。并在技术网核心交换机上划分VLAN隔离安全播出业务,包括管理VLAN、服务器VLAN、中波发射机房vlan、短波发射机房VLAN、电力运行室VLAN等,并在交换机的业务网段过滤掉一些病毒、恶意软件使用的端口,实现对OA网和技术网进行安全访问限制。具体实施如下:
为了满足应用系统安全性考虑,在OA网核心交换机和技术网核心交换区之间增加一台Eudemon 200防火墙,重新规划技术网网络拓扑结构后,实现与OA网隔离,通过采取各种安全措施从而防范来自广域网和台内OA网的恶意攻击,同时控制技术网内部网络对广域网和台内OA网的访问,因此在OA网核心交换机和技术网核心交换机之间增加一台Eudemon 200防火墙,重新规划技术网网络拓扑结构,根据我台的实际情况从以下几个方面实现对办公网和技术网进行安全访问限制。
1641台技术网逻辑设计
1.1技术网IP地址和VLAN设计
641台技术网按照全局统一IP地址管理规则进行IP地址管理和分配,遵循IP地址编址的基本原则:唯一性、连续性,可扩充性和可管理性。根据自台的网络状况并考虑到将来的扩展,设计VLAN划分方案如下表1。
表1
图1
1.3技术网网络安全
a.通过路由协议设置,限制广域网无法访問台站技术网;
b.通过技术网防火墙,限制只有本台特定的通讯服务器可以和技术网特定服务器进行数据交换,并保障台站办公网无法访问技术网;
c.在技术网建立虚拟局域网。通过VLAN的划分隔离安全播出业务;
d.基于用户定义的策略,建立访问控制列表,控制技术网内业务之间的互访。
e.通过对连接应用的交换机端口添加ACL策略来限制可以访问的用户,也可以采用单向访问列表的方式允许一个网段或一段地址访问其他地址,但其他地址不能访问这个网段。
f.办公网的某特定PC用户要访问技术网需通过l2tp vpn拔号接入。
2技术网网络规划与网络设备安全策略的实施
为了满足安全性考虑,在办公网核心交换机和技术网核心交换区之间增加一台Eudemon 200防火墙,重新规划技术网网络拓扑结构如图(2),实现与OA网隔离,通过采取各种安全措施从而防范来自广域网和台内OA网的恶意攻击,同时控制技术网内部网络对广域网和台内OA网的访问,因此在防火墙设备引入安全域的概念,引入这个概念后,安全策略的配置就要方便多了。根据我台的实际情况以及对网络规划的需求,通过分析,从以下几个方面满足我台技术网对网络安全性的要求:
图3
表2具体实现的措施
配置技术网交换机网络设备管理地址网段为172.200.52.0/24,网络管理员可以在OA网采用l2tp vpn方式拔入安全进入技术网,才能对技术网内的交换机进行TELNET连接和登陆设备,还有在技术网S3952-EI核心交换机上将同一部门的计算机划分至同一个逻辑子网,然后再根据不同部门的地理位置分配不同的子网IP地址和子网掩码。为了保证网络的安全,在技术网核心交换机S3952-EI上的业务网段过滤掉一些病毒、恶意软件使用的端口。访问控制列表配置如下:
acl number 3001 match-order auto
rule 0 deny tcp destination-port eq 6881
rule 1 deny tcp destination-port eq 6882
rule 2 deny udp destination-port eq 6883
rule 3 deny tcp destination-port eq 6884
rule 4 deny udp destination-port eq 6885
rule 5 deny tcp destination-port eq 6886
rule 6 deny udp destination-port eq 6887
rule 7 deny tcp destination-port eq 6888
rule 8 deny udp destination-port eq 6889
rule 9 deny tcp destination-port eq 4444
rule 10 deny udp destination-port eq tftp
rule 11 deny tcp destination-port eq 135
rule 12 deny udp destination-port eq 135
rule 13 deny tcp destination-port eq 445
rule 14 deny udp destination-port eq 445
rule 15 deny tcp destination-port eq 593
rule 16 deny udp destination-port eq 593
rule 17 deny udp destination-port eq 1434
rule 18 deny tcp destination-port eq 1234
rule 19 deny tcp destination-port eq 7070
rule 20 deny tcp destination-port eq 139
rule 21 deny udp destination-port eq netbios-ssn
图5
3总结
通过以上重新规划整改建设完成后以及所采取的安全策略后,网络的安全性得到很大的提升,得到了各方面的认可。网络运行一年以来,网络安全可靠地运行,这充分说明我们采取的安全策略效果显著,改造之前来自台OA网、广域网的网络蠕虫病毒经常侵扰着技术网的应用系统,改造之后网络病毒在台技术网内大肆传播的现象不再发生。当然为确保信息系统的使用安全,我们不仅仅只局限在网络设备做安全策略,我们还在物理安全方面做重要的建设与部署,如机房的防火、防盗、防雷、网络线路和设备的物理安全、运行环境的安全等等。在数据安全方面,我们采购两套磁盘阵列(每个6TB),实现应用系统的存储和备份。在防病毒方面,我们在OA网服务器网段上安装诺顿Symantec网络版杀毒软件,在技术网Eudemon 200防火墙上开放特定端口允许在OA网和技术网全网部署杀毒软件。最后我们还向台领导提出:安全是“三分技术、七分管理”在进行技术改良的同时,还要对我台的网络信息安全管理进行相应的优化调整,制定合理的管理制度,加强对相关规章制度执行效果的管控,突出安全管理主线,从而真正实现技术与管理的齐头并进,为我台营造一个高效、安全的网络环境。
参考文献:
[1]陈晓苏,林植,肖道举.基于策略的网络安全防护系统框架研究[J].计算机工程与科学,2007(6).
[2]唐成华,余顺争.基于安全保障能力的网络安全策略评估[J].武汉大学学报(理学版),2009(1).
关健词:Eudemon 200防火墙;技术网;OA网;VLAN
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)10-2193-04
2007年5月,641台信息化小组按局信息办制定的规范独立自主地完成了台站局域网的建设。641台局域网分为OA网和技术网两个部分。641台OA网通过专用的2M电信线路连接至无线局,OA网下联技术网。OA网与技术网之间按局信息办的规范要求应采用“网闸”进行隔离,但由于客观原因,并没有进行实施,只是在核心交换机S6503采用安全访问控制列表的方式简单地对台站技术网进行隔离,这样OA网与技术网之间没有任何网络安全产品,技术网完全暴露在OA网下,各发射机控制系统很容易受到攻击、病毒入侵,甚至受控制,网络安全将直接关系到安全播音。2009年10月,太极公司将在我台部署技术业务管理系统和运行管理系统,从安全的角度考虑,台站的生产业务和日常办公业务分别位于技术网和办公网中,两网之间应采用防火墙作为安全隔离设备,以避免办公网上的非业务人员进入技术网。这种隔离,也使得各类人员都可以专注于自己专项的业务,提高工作效率。由于当时OA网防火墙改用启明星辰的USG防火墙(多功能网关)替换下Eudemon 200防火墙,为进一步规范我台技术网,完善641台技术网的建设,结合六四一台OA网与技术网现状,参照局信息办制定的《全局网络建设要求V1.0(修订稿)》,我们重新规划技术网网络拓朴结构(如图2示),在办公网核心交换机和技术网核心交换区之间增加一台Eudemon 200防火墙,防火墙配置IP地址和技术网/办公网核心交换机相连,通过静态路由实现网络连通,配置安全策略,对办公网和技术网进行安全访问限制。并在技术网核心交换机上划分VLAN隔离安全播出业务,包括管理VLAN、服务器VLAN、中波发射机房vlan、短波发射机房VLAN、电力运行室VLAN等,并在交换机的业务网段过滤掉一些病毒、恶意软件使用的端口,实现对OA网和技术网进行安全访问限制。具体实施如下:
为了满足应用系统安全性考虑,在OA网核心交换机和技术网核心交换区之间增加一台Eudemon 200防火墙,重新规划技术网网络拓扑结构后,实现与OA网隔离,通过采取各种安全措施从而防范来自广域网和台内OA网的恶意攻击,同时控制技术网内部网络对广域网和台内OA网的访问,因此在OA网核心交换机和技术网核心交换机之间增加一台Eudemon 200防火墙,重新规划技术网网络拓扑结构,根据我台的实际情况从以下几个方面实现对办公网和技术网进行安全访问限制。
1641台技术网逻辑设计
1.1技术网IP地址和VLAN设计
641台技术网按照全局统一IP地址管理规则进行IP地址管理和分配,遵循IP地址编址的基本原则:唯一性、连续性,可扩充性和可管理性。根据自台的网络状况并考虑到将来的扩展,设计VLAN划分方案如下表1。
表1
图1
1.3技术网网络安全
a.通过路由协议设置,限制广域网无法访問台站技术网;
b.通过技术网防火墙,限制只有本台特定的通讯服务器可以和技术网特定服务器进行数据交换,并保障台站办公网无法访问技术网;
c.在技术网建立虚拟局域网。通过VLAN的划分隔离安全播出业务;
d.基于用户定义的策略,建立访问控制列表,控制技术网内业务之间的互访。
e.通过对连接应用的交换机端口添加ACL策略来限制可以访问的用户,也可以采用单向访问列表的方式允许一个网段或一段地址访问其他地址,但其他地址不能访问这个网段。
f.办公网的某特定PC用户要访问技术网需通过l2tp vpn拔号接入。
2技术网网络规划与网络设备安全策略的实施
为了满足安全性考虑,在办公网核心交换机和技术网核心交换区之间增加一台Eudemon 200防火墙,重新规划技术网网络拓扑结构如图(2),实现与OA网隔离,通过采取各种安全措施从而防范来自广域网和台内OA网的恶意攻击,同时控制技术网内部网络对广域网和台内OA网的访问,因此在防火墙设备引入安全域的概念,引入这个概念后,安全策略的配置就要方便多了。根据我台的实际情况以及对网络规划的需求,通过分析,从以下几个方面满足我台技术网对网络安全性的要求:
图3
表2具体实现的措施
配置技术网交换机网络设备管理地址网段为172.200.52.0/24,网络管理员可以在OA网采用l2tp vpn方式拔入安全进入技术网,才能对技术网内的交换机进行TELNET连接和登陆设备,还有在技术网S3952-EI核心交换机上将同一部门的计算机划分至同一个逻辑子网,然后再根据不同部门的地理位置分配不同的子网IP地址和子网掩码。为了保证网络的安全,在技术网核心交换机S3952-EI上的业务网段过滤掉一些病毒、恶意软件使用的端口。访问控制列表配置如下:
acl number 3001 match-order auto
rule 0 deny tcp destination-port eq 6881
rule 1 deny tcp destination-port eq 6882
rule 2 deny udp destination-port eq 6883
rule 3 deny tcp destination-port eq 6884
rule 4 deny udp destination-port eq 6885
rule 5 deny tcp destination-port eq 6886
rule 6 deny udp destination-port eq 6887
rule 7 deny tcp destination-port eq 6888
rule 8 deny udp destination-port eq 6889
rule 9 deny tcp destination-port eq 4444
rule 10 deny udp destination-port eq tftp
rule 11 deny tcp destination-port eq 135
rule 12 deny udp destination-port eq 135
rule 13 deny tcp destination-port eq 445
rule 14 deny udp destination-port eq 445
rule 15 deny tcp destination-port eq 593
rule 16 deny udp destination-port eq 593
rule 17 deny udp destination-port eq 1434
rule 18 deny tcp destination-port eq 1234
rule 19 deny tcp destination-port eq 7070
rule 20 deny tcp destination-port eq 139
rule 21 deny udp destination-port eq netbios-ssn
图5
3总结
通过以上重新规划整改建设完成后以及所采取的安全策略后,网络的安全性得到很大的提升,得到了各方面的认可。网络运行一年以来,网络安全可靠地运行,这充分说明我们采取的安全策略效果显著,改造之前来自台OA网、广域网的网络蠕虫病毒经常侵扰着技术网的应用系统,改造之后网络病毒在台技术网内大肆传播的现象不再发生。当然为确保信息系统的使用安全,我们不仅仅只局限在网络设备做安全策略,我们还在物理安全方面做重要的建设与部署,如机房的防火、防盗、防雷、网络线路和设备的物理安全、运行环境的安全等等。在数据安全方面,我们采购两套磁盘阵列(每个6TB),实现应用系统的存储和备份。在防病毒方面,我们在OA网服务器网段上安装诺顿Symantec网络版杀毒软件,在技术网Eudemon 200防火墙上开放特定端口允许在OA网和技术网全网部署杀毒软件。最后我们还向台领导提出:安全是“三分技术、七分管理”在进行技术改良的同时,还要对我台的网络信息安全管理进行相应的优化调整,制定合理的管理制度,加强对相关规章制度执行效果的管控,突出安全管理主线,从而真正实现技术与管理的齐头并进,为我台营造一个高效、安全的网络环境。
参考文献:
[1]陈晓苏,林植,肖道举.基于策略的网络安全防护系统框架研究[J].计算机工程与科学,2007(6).
[2]唐成华,余顺争.基于安全保障能力的网络安全策略评估[J].武汉大学学报(理学版),2009(1).