【51cto.com獨家特稿】最近這兩年，筆者所在市的電子政務中心堅持以全市內網(wǎng)平臺為基礎，以權力陽光運行系統(tǒng)建設為核心，已經逐步建設成功了一批權力陽光運行應用系統(tǒng)，有一些電子政務應用系統(tǒng)正在開發(fā)中。伴隨著權力陽光運行應用建設的逐步深入，應用系統(tǒng)的安全保障問題日益明顯，如何有效保證內網(wǎng)系統(tǒng)的安全成為一項迫在眉睫需要解決的問題。現(xiàn)在，本文就以該市電子政務中心升級、改造內網(wǎng)組網(wǎng)結構為操作藍本，向各位朋友重點介紹一下如何有效提升內網(wǎng)各個應用系統(tǒng)的安全問題。

組網(wǎng)結構升級需求

筆者所在市的電子政務中心原先采用的組網(wǎng)結構非常簡單，安全防護能力也是一般。整個內網(wǎng)中的所有終端，直接連接到各自樓層中的二層交換機中，各個樓層中的所有二層交換機全部接入到內網(wǎng)的百兆硬件防火墻上，并通過該防火墻訪問內網(wǎng)中的各個應用系統(tǒng)，整個網(wǎng)絡結構圖如圖1所示。伴隨著病毒的瘋狂肆虐以及各種非法入侵的增多，局域網(wǎng)中頻繁發(fā)生各式各樣的安全故障。此外，隨著工作時間的推移，原先網(wǎng)絡中的許多設備發(fā)生了老化現(xiàn)象，并且整個內網(wǎng)只是簡單通過一個百兆硬件防火墻作為邊界防御，內網(wǎng)中的所有應用系統(tǒng)與所有普通終端位于相同的工作網(wǎng)段中，如此一來局域網(wǎng)中就很容易發(fā)生廣播風暴現(xiàn)象，同時這種單一的網(wǎng)段也給各式各樣病毒的瘋狂傳播帶來了便利。與此同時，位于各個樓層中的所有二層交換機由于不支持VLAN劃分功能，那么整個網(wǎng)絡中就十分容易出現(xiàn)地址沖突現(xiàn)象，并且也不利于網(wǎng)絡故障的快速定位、排查；另外，所有終端全部通過百兆的硬件防火墻訪問內網(wǎng)以及外網(wǎng)，如此一來整個局域網(wǎng)的上網(wǎng)速度受到了嚴重制約，而且整個內網(wǎng)也沒有設置DMZ區(qū)域，所有這些問題都已不能滿足日益增多的網(wǎng)絡應用需求了。所以，單位決定對內網(wǎng)結構進行升級改造，以便提升內網(wǎng)系統(tǒng)運行安全性能。

圖1

內網(wǎng)結構升級原則

由于傳統(tǒng)網(wǎng)絡的組網(wǎng)結構安全防護能力非常差，我們升級改造網(wǎng)絡當然要從最根本的安全防范能力著手，保證升級后的內網(wǎng)盡可能地安全、穩(wěn)定，下面是內網(wǎng)組網(wǎng)結構具體的升級原則：

首先通過增加專業(yè)的網(wǎng)絡安全設備，同時進行正確的安全配置，來保護整個內網(wǎng)的運行安全；其次為了提升數(shù)據(jù)交換的安全可控性能，在基本的網(wǎng)絡安全防護基礎上，采取用戶權限分級、身份認證、數(shù)據(jù)加密、通道加密、安全審計以及邊界訪問控制等技術措施，對網(wǎng)絡進行加強控制；此外，依照邏輯隔離要求，在內網(wǎng)邊界防護基礎上引入VPN網(wǎng)關技術，來擴展內網(wǎng)的覆蓋范圍。

升級改造具體措施

在升級、改造過程中，我們采取了下面一些措施，來加固內網(wǎng)的運行安全性，升級改造后的網(wǎng)絡結構圖如圖2所示：

圖2

1、強化邊界控制

為了滿足日益增長的數(shù)據(jù)流量要求，我們將原先百兆級別的硬件防火墻，調整成為千兆級別的硬件防火墻，這樣可以大大提升整個網(wǎng)絡的數(shù)據(jù)吞吐能力；同時在千兆硬件防火墻進行DMZ區(qū)域的劃分配置操作，將內網(wǎng)的各種應用服務器以及擴展服務器，全部連接到硬件防火墻的DMZ區(qū)域，并對防火墻上的相關連接端口進行安全策略配置，例如可以進行IP訪問策略的配置、ACL策略的配置、端口限制策略的配置等等，實現(xiàn)對內網(wǎng)各個應用服務器系統(tǒng)的安全保護目的。

為了保護DMZ區(qū)域中各個電子政務應用系統(tǒng)的安全，我們對該區(qū)域裝配了IPS入侵保護系統(tǒng)，禁止各類非法入侵行為；IPS采用雙線路接入，每條線路都支持Bypass功能，并采用透明工作模式，如此一來位于DMZ區(qū)域的各個內網(wǎng)系統(tǒng)在數(shù)據(jù)流量過載或遭遇非法網(wǎng)絡攻擊的時候，網(wǎng)絡連接穩(wěn)定性不會受到影響。此外，為了讓內網(wǎng)與外網(wǎng)實現(xiàn)邏輯隔離，我們特意引入VPN網(wǎng)關技術，在硬件防火墻上掛接一個VPN網(wǎng)關設備；同時在使用VPN技術遠程訪問內網(wǎng)時，必須采用通道加密技術來保證數(shù)據(jù)傳輸?shù)陌踩裕挂悦魑姆绞竭M行傳輸。

2、劃分設置VLAN

為了提高整個網(wǎng)絡的管理效率，我們?yōu)閮染W(wǎng)重新裝配了三層交換機，同時在三層交換機上進行VLAN劃分設置操作；在劃分VLAN時，本著每一樓層用戶位于相同網(wǎng)段的原則，我們總共劃分了八個VLAN，各個樓層中的所有二層交換機分別連接到三層交換機上的對應VLAN區(qū)域端口上，同時對VLAN區(qū)域端口進行隔離設置，確保不同樓層中的終端不能相互訪問，這樣一來可以有效地抑制廣播風暴現(xiàn)象，同時也能有效控制病毒的瘋狂傳播，大大提高了整個網(wǎng)絡的運行穩(wěn)定性。此外，為了及時監(jiān)控整個網(wǎng)絡的數(shù)據(jù)流量，我們在內網(wǎng)的三層交換機上啟用了一個鏡像端口，同時將該鏡像端口直接連接到一臺普通終端上，在該系統(tǒng)中我們可以借助專業(yè)的抓包工具，來對網(wǎng)絡中可能存在異常的數(shù)據(jù)流量進行實時、監(jiān)控分析，以便快速找到引起異常流量的故障原因。

3、進行安全審計

為了便于追溯惡意攻擊以及提供司法證據(jù)，我們新裝備了安全審計系統(tǒng)，來動態(tài)監(jiān)控、記錄內網(wǎng)訪問狀態(tài)，從而達到對內網(wǎng)中的重要服務器系統(tǒng)的安全審計和動態(tài)追蹤；在硬件防火墻下面的DMZ區(qū)直接部署安全審計系統(tǒng)，并通過該系統(tǒng)采集、識別、分析訪問電子政務各個應用系統(tǒng)的數(shù)據(jù)信息，及時監(jiān)控網(wǎng)絡傳輸流量以及網(wǎng)絡訪問行為，實時捕獲各類違規(guī)行為和發(fā)現(xiàn)各類敏感信息，做到對各類安全事件的全程定位、跟蹤。

4、進行身份認證

我們知道，并不是所有的用戶和數(shù)據(jù)與生俱來是平等的，我們必須想辦法對所有訪問用戶的身份合法性進行驗證，來保障每個訪問用戶的合法權利，同時管理其訪問特權，以控制其對重要數(shù)據(jù)信息的訪問權限；在這里，我們啟用數(shù)字證書技術，對電子政務應用系統(tǒng)的登錄訪問進行身份認證，保證只有合法用戶才能進行登錄訪問操作。

此外，我們還根據(jù)用戶類型以及訪問需求，為不同的訪問用戶設置不同的訪問權限等級，確保不同的用戶登錄進入電子政務應用系統(tǒng)后，能夠獲得對應用戶需要的權限。

除了上面的一些安全部署之外，我們還在內網(wǎng)中的重要節(jié)點安裝了最新版的防病毒軟件，以便預防各類新型病毒或木馬程序的襲擊。在完成升級、改造任務后，整個內網(wǎng)的安全性能得到了大幅提升，基本實現(xiàn)了在遇到突發(fā)故障時，能夠快速定位故障位置、找到故障產生原因，同時能夠迅速拿出應對辦法的目的，如此一來就能在最大限度內保證內網(wǎng)的運行安全性和高效性。

【51CTO.com獨家特稿，非經授權謝絕轉載，合作媒體轉載請注明出處及作者！】