企業(yè)的內(nèi)網(wǎng)存放著很多重要信息,比如公司的技術(shù)資料、客戶信息等。一旦發(fā)生信息泄露,會給企業(yè)帶來不可估計的損失。信息安全是系統(tǒng)工程,涉及到管理行政手段,文件加密技術(shù)、網(wǎng)絡(luò)安全技術(shù)等各方面。本文中,我將從網(wǎng)絡(luò)架構(gòu)的角度,來論述如何保障內(nèi)網(wǎng)的信息安全。主要涉及到如下兩點(diǎn):
如何防范非法接入?
如何保障重要信息的安全?
1. 如何防范非法接入?
防范非法接入是網(wǎng)絡(luò)安全的第一道防護(hù)。一旦攻擊者進(jìn)入到內(nèi)網(wǎng),那么等于盜賊已經(jīng)到了大門內(nèi)。防范非法接入可以通過如下手段:
有線和無線區(qū)分不同的VLAN,無線不允許訪問內(nèi)網(wǎng)。
有線網(wǎng)段開啟“IP和MAC綁定”。
開啟共享檢測,禁止內(nèi)網(wǎng)電腦共享網(wǎng)絡(luò)連接。
開啟新設(shè)備告警,一旦發(fā)現(xiàn)新設(shè)備時進(jìn)行人工干預(yù)。
一些配置如下圖:
劃分不同VLAN
開啟ip-mac綁定
開啟共享檢測
開啟新設(shè)備告警
2. 如何保障重要信息的安全?
經(jīng)過上述的非法接入防范,網(wǎng)絡(luò)安全性已經(jīng)可以得到很大的提高。但是,攻擊者如果可以物理接觸到內(nèi)網(wǎng),仍然可以通過usb拷貝,直接讀取硬盤等方式威脅到信息安全。重要的信息資料,還需要在物理上做隔絕,比如把服務(wù)器資源都鎖在機(jī)房里面,不允許未授權(quán)的人員物理接觸到。并且在服務(wù)器前部署防火墻設(shè)備,只有允許的MAC地址才可以訪問到服務(wù)器資源。如圖:
通過WSG的“應(yīng)用過濾”即可管控到服務(wù)器組的訪問。如圖:
綜上所述,結(jié)合“接入認(rèn)證”和“服務(wù)器資源控制訪問”,可以有效的保護(hù)內(nèi)網(wǎng)的信息安全。
