线与 Internet 的连接, 打通了一扇通向外部世界的窗户, 各个部门可以直接与互联网用户进
行交流、查询资料等。通过公开服务器, 企业可以直接对外发布信息或者发送电子邮件。高
速交换技术的采用、 灵活的网络互连方案设计为用户提供快速、 方便、灵活通信平台的同时,
也为网络的安全带来了更大的风险。 因此, 在原有网络上实施一套完整、 可操作的安全解决
方案不仅是可行的,而且是必需的。
2.1.1 网络概述
这个企业的局域网, 物理跨度不大, 通过千兆交换机在主干网络上提供 1000M 的独享带宽,
通过下级交换机与各部门的工作站和服务器连结, 并为之提供 100M 的独享带宽。 利用与中
心交换机连结的 Cisco 路由器,所有用户可直接访问 Internet 。
2.1.2 网络结构
这个企业的局域网按访问区域可以划分为三个主要的区域: Internet 区域、内部网络、公开
服务器区域。内部网络又可按照所属的部门、职能、安全重要程度分为许多子网,包括:财
务子网、领导子网、办公子网、市场部子网、中心服务器子网等。在安全方案设计中,我们
基于安全的重要程度和要保护的对象,可以在 Catalyst 型交换机上直接划分四个虚拟局域
网( VLAN ),即:中心服务器子网、财务子网、领导子网、其他子网。不同的局域网分属
不同的广播域, 由于财务子网、 领导子网、中心服务器子网属于重要网段, 因此在中心交换
机上将这些网段各自划分为一个独立的广播域,而将其他的工作站划分在一个相同的网段。
(图省略)
2.2 网络应用
这个企业的局域网可以为用户提供如下主要应用:
1.文件共享、办公自动化、 WWW 服务、电子邮件服务;
2.文件数据的统一存储;
3.针对特定的应用在数据库服务器上进行二次开发 (比如财务系统 );
4.提供与 Internet 的访问;
5.通过公开服务器对外发布企业信息、发送电子邮件等;
2.3 网络结构的特点
在分析这个企业局域网的安全风险时,应考虑到网络的如下几个特点:
1.网络与 Internet 直接连结,因此在进行安全方案设计时要考虑与 Internet 连结的有关风险,
包括可能通过 Internet 传播进来病毒,黑客攻击,来自 Internet 的非授权访问等。
。
2.网络中存在公开服务器, 由于公开服务器对外必须开放部分业务, 因此在进行安全方案设
计时应该考虑采用安全服务器网络,避免公开服务器的安全风险扩散到内部。