企業(yè)的內(nèi)網(wǎng)存放著很多重要信息,比如公司的技術資料、客戶信息等。一旦發(fā)生信息泄露,會給企業(yè)帶來不可估計的損失。信息安全是系統(tǒng)工程,涉及到管理行政手段,文件加密技術、網(wǎng)絡安全技術等各方面。本文中,我將從網(wǎng)絡架構的角度,來論述如何保障內(nèi)網(wǎng)的信息安全。主要涉及到如下兩點:
如何防范非法接入?
如何保障重要信息的安全?
1. 如何防范非法接入?
防范非法接入是網(wǎng)絡安全的第一道防護。一旦攻擊者進入到內(nèi)網(wǎng),那么等于盜賊已經(jīng)到了大門內(nèi)。防范非法接入可以通過如下手段:
有線和無線區(qū)分不同的VLAN,無線不允許訪問內(nèi)網(wǎng)。
有線網(wǎng)段開啟“IP和MAC綁定”。
開啟共享檢測,禁止內(nèi)網(wǎng)電腦共享網(wǎng)絡連接。
開啟新設備告警,一旦發(fā)現(xiàn)新設備時進行人工干預。
一些配置如下圖:
劃分不同VLAN
開啟ip-mac綁定
開啟共享檢測
開啟新設備告警
2. 如何保障重要信息的安全?
經(jīng)過上述的非法接入防范,網(wǎng)絡安全性已經(jīng)可以得到很大的提高。但是,攻擊者如果可以物理接觸到內(nèi)網(wǎng),仍然可以通過usb拷貝,直接讀取硬盤等方式威脅到信息安全。重要的信息資料,還需要在物理上做隔絕,比如把服務器資源都鎖在機房里面,不允許未授權的人員物理接觸到。并且在服務器前部署防火墻設備,只有允許的MAC地址才可以訪問到服務器資源。如圖:
通過WSG的“應用過濾”即可管控到服務器組的訪問。如圖:
綜上所述,結合“接入認證”和“服務器資源控制訪問”,可以有效的保護內(nèi)網(wǎng)的信息安全。
