提升企業(yè)網(wǎng)絡(luò)穩(wěn)定和安全

1、提升企業(yè)網(wǎng)絡(luò)穩(wěn)定和安全穩(wěn)定性網(wǎng)絡(luò)結(jié)構(gòu)通常分核心層、匯聚層和接入層。在網(wǎng)絡(luò)中采用層次化的網(wǎng)絡(luò)設(shè)計(jì) 結(jié)構(gòu)，解決不同級(jí)別的可靠性要求。、核心層交換機(jī)、匯聚交換機(jī)、接入交換機(jī)1）、核心層交換機(jī)核心層設(shè)備作為網(wǎng)絡(luò)的骨干，需要能提供快速的數(shù)據(jù)交換和極高的永續(xù) 性。從備份和負(fù)載分擔(dān)的角度選用雙核心；從單臺(tái)設(shè)備考慮，選用交換性能 和可靠性高的設(shè)備，支持雙主控、電源冗余、風(fēng)扇冗余、分布式轉(zhuǎn)發(fā)等特性。 并降低核心設(shè)備配置的復(fù)雜度，減少出現(xiàn)錯(cuò)誤的幾率。2）、匯聚交換機(jī)2.1匯聚層應(yīng)使用與核心層相同結(jié)構(gòu)的冗余節(jié)點(diǎn)備份連接，以實(shí)現(xiàn)最快速的路由收斂并避免黑洞產(chǎn)生。2.2匯聚層到核心層間采用OSPF等動(dòng)態(tài)路由協(xié)議進(jìn)行路由層

2、面高可用保 障。2.3匯聚層到核心層具有全冗余鏈路和轉(zhuǎn)發(fā)路徑。2.4連接方法如下圖。匯聚層與核心層的拓?fù)?）接入層交換機(jī)3.1使用冗余引擎和冗余電源獲得系統(tǒng)級(jí)冗余，為關(guān)鍵用戶群提供高可靠性；3.2與具備冗余系統(tǒng)的匯聚層進(jìn)行雙歸屬連接，獲得缺省網(wǎng)關(guān)冗余，支持在匯 聚層的主備交換機(jī)間快速實(shí)現(xiàn)故障切換；3.3通過鏈路匯聚提高帶寬利用率，同時(shí)降低復(fù)雜性；3.4通過配置802.1X，動(dòng)態(tài)ARP檢查及IP源地址保護(hù)等功能增加安全性，有 效防止非法訪問。3.5采用三角形組網(wǎng)方式。接入交換機(jī)與匯聚交換機(jī)之間有冗余鏈路、冗余路 徑。VLAN可以跨匯聚層交換機(jī)，服務(wù)器部署靈活。如下圖高可靠性接入組網(wǎng)方式4）、IR

3、F虛擬化技術(shù)提高可靠性采用IRF設(shè)計(jì)時(shí)的網(wǎng)絡(luò)高可靠性切換方式。服務(wù)器流量經(jīng)過網(wǎng)絡(luò)接入層和 匯聚層的IRF堆疊組。當(dāng)接入層的一臺(tái)交換機(jī)出現(xiàn)故障，服務(wù)器網(wǎng)卡進(jìn)行切換， 通過IRF另一臺(tái)交換機(jī)即可恢復(fù)網(wǎng)絡(luò)通信，而匯聚層設(shè)備無需任何變化，數(shù)據(jù)流 仍從同一聚合鏈路進(jìn)入網(wǎng)絡(luò)。當(dāng)匯聚層設(shè)備出現(xiàn)單臺(tái)故障，服務(wù)器不感知，只由 接入交換機(jī)將流量轉(zhuǎn)發(fā)到聚合鏈路，匯聚層存活的交換機(jī)感知的仍是從現(xiàn)有聚合 鏈路接收數(shù)據(jù)流。當(dāng)發(fā)生捆綁鏈路故障，交換機(jī)會(huì)將數(shù)據(jù)流轉(zhuǎn)發(fā)到捆綁組存活鏈 路上，對(duì)于IRF交換機(jī)組來說，數(shù)據(jù)流轉(zhuǎn)的邏輯接口并未改變。IRF的實(shí)施可以提供更高的網(wǎng)絡(luò)可靠性，進(jìn)一步簡(jiǎn)化網(wǎng)絡(luò)管理。IRF組網(wǎng)的HA部署安全性網(wǎng)絡(luò)

4、安全：計(jì)算機(jī)系統(tǒng)的硬件、軟件、數(shù)據(jù)受到保護(hù)，不因偶然的或惡意的原因而遭到 破壞、更改、顯露，系統(tǒng)能連續(xù)正常運(yùn)行。因此，所謂網(wǎng)絡(luò)安全就是指基于網(wǎng)絡(luò)的互聯(lián)互通 和運(yùn)作而涉及的物理線路和連接的安全，網(wǎng)絡(luò)系統(tǒng)的安全，操作系統(tǒng)的安全，應(yīng)用服務(wù)的安 全和人員管理的安全等幾個(gè)方面。但總的說來，計(jì)算機(jī)網(wǎng)絡(luò)的安全性是由數(shù)據(jù)的安全性、通 信的安全性和管理人員的安全意識(shí)三部分組成。一、產(chǎn)生網(wǎng)絡(luò)安全的問題的幾個(gè)因素1、信息網(wǎng)絡(luò)安全技術(shù)的發(fā)展滯后于信息網(wǎng)絡(luò)技術(shù)2、操作系統(tǒng)及IT業(yè)務(wù)系統(tǒng)本身的安全性，來自Internet的郵件夾帶的病毒及Web瀏覽可能存在的惡意Java/ActiveX控件3、來自內(nèi)部網(wǎng)用戶的安全威脅以及

5、物理環(huán)境安全威脅4、缺乏有效的手段監(jiān)視、評(píng)估網(wǎng)絡(luò)系統(tǒng)的安全性5、使用者缺乏安全意識(shí)，許多應(yīng)用服務(wù)系統(tǒng)在訪問控制及安全通信方面考慮較少，并 且如果系統(tǒng)設(shè)置錯(cuò)誤，很容易造成損失。二、網(wǎng)絡(luò)安全的幾點(diǎn)做法和管理方法1、硬件安全網(wǎng)絡(luò)安全的防護(hù)中，硬件安全是最基礎(chǔ)的也是最簡(jiǎn)單的。定時(shí)檢查網(wǎng)絡(luò)安全以防鏈路的 老化，人為破壞，被動(dòng)物咬斷。及時(shí)修復(fù)網(wǎng)絡(luò)設(shè)備自身故障。常見的硬件安全保障措施主要 有使用UPS電源，以確保網(wǎng)絡(luò)能夠以持續(xù)的電壓運(yùn)行；防雷、防水、防火、防盜、防電磁 干擾及對(duì)存儲(chǔ)媒體的安全防護(hù)。2、系統(tǒng)安全網(wǎng)絡(luò)設(shè)備應(yīng)使用大小寫字母和數(shù)字以及特殊符號(hào)混合的密碼，且安裝防病毒軟件并及時(shí) 對(duì)系統(tǒng)補(bǔ)丁進(jìn)行更新，對(duì)

6、于不必要的服務(wù)及權(quán)限盡可能的關(guān)閉，對(duì)于外來的存儲(chǔ)介質(zhì)一定要 先進(jìn)行病毒查殺后再使用，對(duì)于已中病毒或者木馬的計(jì)算機(jī)應(yīng)該迅速切斷網(wǎng)絡(luò)并進(jìn)行病毒查 殺，必要時(shí)重新安裝操作系統(tǒng)。3、防御系統(tǒng)及備份恢復(fù)系統(tǒng)防火墻是網(wǎng)絡(luò)安全領(lǐng)域首要的、基礎(chǔ)的設(shè)備，它對(duì)維護(hù)內(nèi)部網(wǎng)絡(luò)的安全起著重要的作 用。利用防火墻可以有效地劃分網(wǎng)絡(luò)不同安全級(jí)別區(qū)域間的邊界，并在邊界上對(duì)不同區(qū)域間 的訪問實(shí)施訪問控制、身份鑒別和審計(jì)等安全功能。入侵檢測(cè)是防火墻的合理補(bǔ)充，能幫助 系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測(cè)系統(tǒng)（IPS）是一種主動(dòng) 保護(hù)網(wǎng)絡(luò)資源的網(wǎng)絡(luò)安全系統(tǒng)，它從計(jì)算機(jī)網(wǎng)絡(luò)中的關(guān)鍵點(diǎn)收集信息，并進(jìn)行分析，查看網(wǎng)

7、 絡(luò)中是否有違反安全策略的行為和受到攻擊的跡象。建立網(wǎng)絡(luò)監(jiān)控和恢復(fù)系統(tǒng)能夠在系統(tǒng)受 到攻擊時(shí)具備繼續(xù)完成既定任務(wù)的能力，可及時(shí)發(fā)現(xiàn)入侵行為并做出快速、準(zhǔn)確的響應(yīng)，預(yù) 防同類事件的再發(fā)生。在災(zāi)難發(fā)生后，使用完善的備份機(jī)制確保內(nèi)容的可恢復(fù)性，將損失降 至最低。4、安全審計(jì)與系統(tǒng)運(yùn)維安全審計(jì)平臺(tái)及運(yùn)維系統(tǒng)是彌補(bǔ)防火墻及IPS不能監(jiān)控網(wǎng)絡(luò)內(nèi)容和已經(jīng)授權(quán)的正常內(nèi) 部網(wǎng)絡(luò)訪問行為，對(duì)正常網(wǎng)絡(luò)訪問行為導(dǎo)致的信息泄密事件、網(wǎng)絡(luò)資源濫用行為（即時(shí)通訊、 論壇、在線視頻、P2P下載、網(wǎng)絡(luò)游戲等）無能為力的補(bǔ)充，它可以實(shí)時(shí)了解網(wǎng)內(nèi)各客戶機(jī) 及服務(wù)器出現(xiàn)的情況，存在的異常進(jìn)程及硬件的改變，系統(tǒng)漏洞補(bǔ)丁的修復(fù)情況等等，

8、從而 達(dá)到起到實(shí)時(shí)提醒，安全使用計(jì)算機(jī)。5、人員管理與制度安全加強(qiáng)計(jì)算機(jī)人員安全防范意識(shí)，提高人員的安全素質(zhì)以及健全的規(guī)章制度和有效、易 于操作的網(wǎng)絡(luò)安全管理平臺(tái)是做好網(wǎng)絡(luò)安全工作的重要條件。行業(yè)部分員工缺乏互聯(lián)網(wǎng)安全 意識(shí)，對(duì)不明來源的軟件、網(wǎng)頁和郵件等缺乏警惕意識(shí)，這些都給網(wǎng)絡(luò)安全帶來了危機(jī)。人 是信息系統(tǒng)的操作者與管理者，而人又極易受到外部環(huán)境的影響，可能因?yàn)椴僮魇д`等原因 造成安全威脅。為此，“防外”應(yīng)先“安內(nèi)”即對(duì)行業(yè)內(nèi)部涉密人員加強(qiáng)管理。在人員發(fā)生 工作調(diào)動(dòng)、提升、免職、退休等時(shí)，要做好涉密信息及操作權(quán)限的交接工作，加強(qiáng)涉密人員 的思想教育和安全業(yè)務(wù)培訓(xùn)。目前，網(wǎng)絡(luò)技術(shù)飛速發(fā)展，企

9、業(yè)要不斷加強(qiáng)對(duì)企業(yè)網(wǎng)絡(luò)管理員 和系統(tǒng)管理員的培訓(xùn)，引領(lǐng)他們順應(yīng)新形勢(shì)，學(xué)習(xí)新技術(shù)，提高自身技能。6、無線網(wǎng)絡(luò)安全無線應(yīng)用已經(jīng)深入到企業(yè)當(dāng)中，除了日常辦公之外，很多應(yīng)用也正依賴于無線技術(shù)， 比如訪客服務(wù)，會(huì)議室，工廠車間，智能倉庫、MES系統(tǒng)等等。無線網(wǎng)絡(luò)劃分為企業(yè)內(nèi)部無線網(wǎng)、訪客無線網(wǎng)絡(luò)：企業(yè)內(nèi)部無線網(wǎng)絡(luò)供公司員工使用。訪客無線網(wǎng)絡(luò)供外來人員使用，比如供應(yīng)商、客戶等。并且對(duì)訪客無線網(wǎng)絡(luò)進(jìn)行物 理隔離。企業(yè)無線管理方法：6.1精細(xì)化角色識(shí)別與授權(quán)管理針對(duì)各個(gè)部門不同角色對(duì)象，對(duì)用戶進(jìn)行多級(jí)的角色授權(quán)，根據(jù)不同角色分配不同 的訪問和流控策略。6.2危險(xiǎn)應(yīng)用和URL的識(shí)別和管控員工和訪客通過無線訪問

10、網(wǎng)絡(luò)，有可能會(huì)出現(xiàn)反問非法網(wǎng)絡(luò)的情況，給公司帶來安全 風(fēng)險(xiǎn)。針對(duì)于此信銳無線控制器內(nèi)置全國最大的應(yīng)用識(shí)別庫和URL庫，能自動(dòng)識(shí)別危險(xiǎn)應(yīng) 用和URL，我們可針對(duì)這些危險(xiǎn)應(yīng)用和URL進(jìn)行封堵和控制，從而提高公司網(wǎng)絡(luò)的安全性。6.3動(dòng)態(tài)黑名單無線控制器NAC會(huì)實(shí)時(shí)監(jiān)控?zé)o線網(wǎng)絡(luò)安全情況，如果網(wǎng)絡(luò)中出現(xiàn)攻擊終端，無線控制 器會(huì)將其自動(dòng)列入動(dòng)態(tài)黑名單，在一段時(shí)間內(nèi)禁止其接入。一段時(shí)間后檢測(cè)如果該終端還存 在攻擊，則繼續(xù)列入黑名單。如果恢復(fù)正常則允許其接入。6.4安全、便捷的二維碼訪客認(rèn)證系統(tǒng)外來訪客來到我公司接入網(wǎng)絡(luò)后，無線設(shè)備自動(dòng)向訪客的終端推送浙江華朔科技股份公 司的頁面，頁面中包含一個(gè)二維碼，這個(gè)二維碼中包含了訪客終端的MAC信息。被授予接 待權(quán)限的內(nèi)部員工（行政部和領(lǐng)導(dǎo)）用自己已經(jīng)接入內(nèi)網(wǎng)