现在,各个企业为了便当事务的展开和进步作业功率,都将网络的运用引入了企业的E1常作业,但各部分职工运用网络的随意性,对企业网络功用和安全构成很大要挟,例如各部分职工随意拜访财政部的信息,下载电影,玩游戏,聊天等,别的办理人员或许为了便当办理,敞开电脑的Telnet端口,这样就会存在严峻的要挟。
确保各部分网络的疏通,并约束他们的上网时刻和拜访的网站,也要设法回绝不合法的外网恳求,现在有许多办法来完结这些要求,如:加密、加强办理员权限、构建内部局域网等。但这些办理只能完结一些简略的内部办理功用,并且这种办理还缺少灵活性。假如经过选用一些网络安全设备来办理整个企业的网络,关于比较大型的企业来说,各地分企业与总部的通讯,各地分企业之间的通讯安全、企业内部部分的通讯安全,就大大增加了企业的额定开支。因而,关于这些问题都可以经过拜访操控列表来完结,运用拜访操控列表来进步对企业网络安全的办理与维护。
拜访操控列表是作用于路由器端口上的指令列表,首要用来操控和监测路由器各个端口的进出数据流量。拜访操控列表是由源地址、端121号和意图地址来决议是否答应和回绝经过的条件,进行配对报文里边的信息与拜访操控列表里边的参数来经过发进和宣布的信息包的恳求,然后能完结通路。
图1 ACL原理图
1 以一个企业为实例来阐明整个问题,企业的需求剖析
该企业有人事部、软件开发部、网站规划部、财政部四个中心部分。企业内部有一台主交流机,各部分可以再接一般交流机进行扩展,一台路由器来完结企业内部各部分间的拜访操控及互联网拜访操控,因而企业要求内部完结以下功用:
(1)不同部分之间不能彼此拜访,同部分之间的职工可以彼此拜访;
(2)企业办理者可以拜访一切的部分,自在拜访lntetrnet;
③部分的职工在特定时刻段规模Internet;
(4)对服务器的拜访有约束,要差异不同部分的网络;
(5)财政部只要Email的数据被答应,而其他类型的数据流量都会被路由器制止。这样可以约束企业内部对外部网络的拜访,只答应收发邮件,而不能进行其他的网络拜访;
(6)各部分制止拜访QQ和网络游戏,还可以约束职工阅读网页、约束职工上传企业内部的材料,然后维护企业信息的安全,约束运用BT下载工具糟蹋流量等;
(7)操控上班期间上网时刻分配。
2 处理计划的规划
(1)首要给4个部分区分VLAN,人事、软件开发、网站规划和财政部别离对应VLAN2,VLAN3, VLAN4和VLANS,再为它们分配相应的IP网段,再依据企业的需求,如图2所示运用依据IP地址的扩展ACL来操控各部分之间的拜访约束。
图2 企业部分区分图
将交流机的Int f0/24端口设置为trunk形式并与路由器的f0/I端口衔接Switchport modetrunk;
将交流机的Int f0/1和f0/2端口分配给人事部VLAN2(其间一个端口备用,各部分各自接交流机进行扩展,以下类同);
将交流机的Int f0/3和f0/4端口分配给软件开发部部VLAN3;
将交流机的Int f0/5和f0/6端口分配给网站规划部VLAN4;
将交流机的Int f0/7和f0/8端口分配给财政部VLANS;
这样区分VLAN可以使同一VLAN的每个部分的自己内部人员之间可以彼此拜访,一同处理问题,并且不同VLAN的不同部分之IhJ不可以彼此拜访,而办理部分可以拜访各个部分。
(2)制止部分特定主机的外网拜访如图3所示制止网站规划部的主机hostl拜访外网。
图3 网站规划部
别离在Hostl和Host2主机ping 192.168.5.2,成果如图4所示主机hcstl显现意图网络不通。
如图5所示主机host2正常可以ping通,阐明主机hostl被制止拜访外网了。
图4 ping指令
图5 ping指令
(3)约束职工进行BT等P2P下载
运用路由器ACL可以约束网络中的BT等P2P软件的网络的拜访,削减企业网络资源的糟蹋,约束BT, eMule都是用的端口。
access-list 1 0 1 deny tcp any any rang 68816890
access-list 101 deny tcp any rang 688l6890 any
access-fiat 1 0 1 permit ip any any
对路由器端口流量限速
一般的服务端口大多低于3000,大都蠕虫病毒和P2P端口都是3000以上,因而,对端口在3000以上的流量进行约束,既确保一般的网络运用,又避免对网络的乱用。
界说ACL access-fist 101 permit tcp anyany gt 3000
access-fist 1 0 1 permit udp any any gt 3000运用到接口interface f0/0
service-policy input xs
(4)制止拜访内部网的特定端口
黑客的侵略经常会运用某些特别端口,像135,139,138,80等端口,封闭这些端口可以有用地阻挠一些病毒和木马程序的进犯,避免电脑被黑,这些可以经过ACL的装备来对这些端口进行过滤。
别离在Hostl和Host2主机上ping 192.168.5.2,成果hostl不光可以ping通并且能正常拜访routerl的web服务阅读器网页,host2只能ping通routerl,但不能拜访routerl的80端口(不能拜访web服务阅读器网页)。
(5)约束虚拟终端Telnet的拜访
首要在两个主机上别离telnet路由器Routerl,必需先在路由器Routerl上装备:
Routerl(config)#enable password cisco
Routerl(config)#line vty 0 4
Routerl(config-line)#login
Router 1(config——fine)#password cisco
确保两个主机都能telnet路由器Routerl,即teNet 192.168.5.2成功。
在Routerl上装备:
Routerl(config)#access-list 1 permit host192.168.4.2
Routerl(config)#access-fist l deny deny
RouterI(config)#line vty 0 4
Routerl(configr-if)#access-fist 1 m
终究在Hostl上telnet 192.168.5.2,成果是成功的,而在host2上Telnet则操作是失利的,阐明绑定在虚拟终端上的ACL发挥了作用。
(6)界说时刻段及时刻规模,然后进行ACL装备,将具体的规矩和企业的要求添加到A CL中,终究将装备好的ACL添加到需求的端口中去。企业的网络办理员就可以依据ACL的协议、各种端口、IP源、意图地址等来对职工的网络行为进行有用的办理操控。
3 总结
假如一个企业的部分较多,只需求在本规划上类似地扩展即可,本规划不光便当了企业的网络办理,进步了企业网络安全性,更节省了企业在网络方面的额定开支。
中心重视:拓步ERP体系渠道是覆盖了许多的事务范畴、职业运用,蕴涵了丰厚的ERP办理思维,集成了乐投letou事务办理理念,功用触及供应链、本钱、制作、CRM、HR等许多事务范畴的办理,全面涵盖了企业重视ERP办理体系的中心范畴,是许多中小企业信息化建造首选的ERP办理软件信任品牌。
转载请注明出处:资讯网http://www.fqxinyiyuan.com/
本文标题:中小型企业网络操控计划的剖析与规划
本文网址:http://www.fqxinyiyuan.com/html/consultation/1083945528.html
相关文章
