⑴ 如何構建安全的網路架構的方案
「人在江湖漂,哪能不挨刀」--這應該算得上是引用率非常高的一句經典俏皮話。如今,企業在網路中如何避免這句讖語落到自家頭上也成了企業互相慰問或捫心自問時常常想起的一件事。而在構建安全的企業網路這樣一個並不簡單的問題上,看看別人的應用實踐和組網思路,應該可以讓企業盡早懂得如何利用自己的長處來保護自己。 網路江湖防身術 - 實踐中,網路平台從總體上可以分為用戶接入區和應用服務區。應用服務區從結構上又可以分成三部分:發布區即外部區域,面向公眾供直接訪問的開放網路;數據區,通過防火牆隔離的、相對安全和封閉的數據資源區,把大量重要的信息資源伺服器放置在該區域內,在較嚴密的安全策略控制下,不直接和外網訪問用戶發生連接;內部工作區主要連接內網伺服器和工作站,完成網站管理、信息採集編輯等方面的工作。 布陣 採用兩台防火牆將整個網路的接入區和應用服務區徹底分開。接入區通過接入交換機,利用光纖、微波、電話線等通信介質,實現各部門、地市的網路接入。出於性能和安全上的考慮,數據區放在第二道防火牆之後。對於Web伺服器的服務請求,由Web伺服器提交應用伺服器、資料庫伺服器後,進行相關操作。 為避免網站內容遭到入侵後被篡改,在數據區還設置一個Web頁面恢復系統,通過內部通訊機制,Web恢復系統會實時檢測WWW伺服器的頁面內容,如果發現未授權的更改,恢復系統會自動將一份拷貝發送到Web伺服器上,實現Web頁面的自動恢復。發布區域的主機充分暴露,有WWW、FTP、DNS、E-mail。在與二個防火牆的兩個介面上使用入侵檢測系統實時檢測網路的使用情況,防止對系統的濫用和入侵行為。 中心交換機可選用高性能路由交換器,例如Catalyst 6000,它具有提供虛網劃分及內部路由連接功能,避免了網路廣播風暴,減輕了網路負荷,同時也提供了一定的安全性。冗餘電源及冗餘連接為網路正常運行打下了較好的基礎,把第二層交換機的轉發性能和路由器的可伸縮性及控制能力融於一身。第二級交換機可選用類似Catalyst 3500級別的設備,它支持VLAN功能,交換能力強大,提供高密度埠集成,配置光纖模塊,提供與Catalyst 6000的高帶寬上行連接,保證了部門接入網路、工作站的高帶寬應用。 網路平台總體結構圖 招數 首先,把第一台防火牆設置在路由器與核心交換機之間,實現較粗的訪問控制,以降低安全風險。設置第二台防火牆則主要為了保護數據區內的伺服器,合理地配置安全策略,使伺服器的安全風險降到最低。只開放伺服器必要的服務埠,對於不必要的服務埠一律禁止。 其次,IP地址分配。所有部門的接入網路都在防火牆之後,一律使用內部保留IP地址。每個部門各分配一個完整的C類地址。 再次,中心交換機VLAN配置。具體劃分採用基於埠的虛擬LAN方式,將每一個部門作為一個 VLAN, VLAN間的路由協議採用 RIP。 此外,通用信息服務設計。外網的建設,突出了統一規劃、資源共享的原則。除了在安全問題上由網路平台統一考慮外,對於各部門需要通用的信息服務系統如域名系統、郵件系統、代理系統等,也統一設計、統一實施。 最後,郵件伺服器統一規劃,採用集中的郵件服務,給用戶提供了完整的TCP/IP支持下的郵件系統。 秘笈 網站建設主要體現以下技術特點: 其一,網站應用系統從傳統的兩層客戶機/伺服器結構,轉向BWAD(瀏覽器+Web 應用伺服器+資料庫)的三層體系架構。這種跨平台、多技術融合的三層結構的技術方案,保證網站應用系統的先進性和可擴展性。 其二,採用非結構化和結構化資料庫技術,靈活支持、方便擴展寬頻應用和多媒體應用,使用戶界面不只是文字和圖片,而是以文字、聲音、圖像、視頻等發布的全媒體界面,提高用戶的關注率、提升服務水平。 其三,採用自主開發的網站動態管理平台技術,可以任意組合和改變網頁界面風格,定義不同模板,將網站管理的人力成本降低,並降低由於網站管理復雜而產生的技術風險和人員更迭風險。降低和減少了頁面開發的工作量,使大量的人力可以投入到具體的政務應用系統中去。 其四,網站管理系統為網站的建設、管理、維護、統計分析提供了一個統一的環境。提供各類業務系統上網發布介面,以及信息發布模板和工具,使普通用戶不需要編程就可建立信息發布欄目,並可自行對欄目信息進行編輯與維護。網站管理系統具有靈活的功能,方便的內容創作環境,靈活的發布方式,強大的信息查詢能力,能進行實用而有效的模板設計、支持豐富的內容類型,按照欄目結構進行信息組織。它採用了ASP、JSP和資料庫的技術,基於B/S結構,還可以對用戶的IP地址進行限定信息檢索功能。 戰績 從運行的效果上看,所設定的方案合理、可靠,有效地保護了內部網路,因為所有的訪問都是一個間接過程,直接攻擊比較困難。代理技術的使用,隨著內部網路規模的擴大,重復訪問的可能性就越大,使傳輸效果的改善也就越明顯,同時也提高了信道的利用率,降低了網路使用成本。
⑵ 如何建立完善的網路安全架構
建立完善的網路資源管理系統的意義1、是適應外部環境變化和加快市場反應速度的需要。如何盡快的響應市場和客戶的需求,提高對客戶的服務質量,並留住現有客戶和吸引新生客戶。這就需要利用網路資源系統將網路資源和客戶、業務相關聯起來,提供以客戶為中心的端到端應用,最終將電信運營商的網路資源優勢轉化為競爭優勢,並最大限度的提升客戶價值,為企業獲取最大的經濟效益。2、是實現企業資源優化配置的需要。為有效實現現代化企業的資源優化配置,企業迫切需要將原有的粗放式人工管理轉變以管理系統為核心的精確管理;迫切需要通過網路資源管理系統的優化與建設,以合理的利用有限的建設資金、盤活現有各項資源,實現資源的優化配置;迫切需要依靠完善的網路資源管理系統,來為企業可持續化發展提供准確的決策支持。