当前位置:首页 >

企业网安全从边界做起


  要建造一个安全的企业网,首先要保证企业网边界的安全,可以说,企业网的边界是企业网络安全的第一道防线。
  一个典型的企业网,其网络边界主要包含三大组成部分,即因特网接入模块、内联网VPN和远程接入模块以及外联网VPN接入模块。 大多数的企业网都注意到了因特网接入模块的安全问题,并且大都采取了相应的有效措施,保证了因特网接入模块的网络性。而目前VPN的商业优势非常吸引人,许多公司都开始制订自身的战略,要利用Internet作为主要的传输媒介,采用VPN技术进行互通。因此,本文主要介绍内联网VPN和远程接入模块,以及外联网VPN接入模块的网络安全问题。
  1.内联网VPN和
  远程接入模块
  内联网VPN指的是公司内部不同地域之间采用VPN技术互通信息,以降低运营成本及增加网络安全性。用户可以采用高性能的Passport 8600骨干交换机作为与因特网接入模块的接口,并采用4台Alteon内容交换机对Contivity 4600 VPN网关实现负载均分。Contivity 4600带有硬件加密卡,进一步提高了VPN加解密的性能。解密后的数据流经Alteon交换式防火墙,对流入企业内部网的数据进行高性能的状态检测及攻击防范,IDS的负载均分进一步提高了入侵检测的性能。
  
  ● 远程用户VPN接入部分
  
  远程用户的VPN数据首先流经因特网接入模块,然后通过Passport 8600流向Contivity 4600 VPN访问服务器。因此,需要在Passport 8600 上配置相应的过滤器,只允许IKE(UDP 500)、ESP及IPSEC NAT 方式所采用的UDP/TCP数据流向Contivity 4600 VPN访问服务器,而拒绝其余任何形式的数据流。
  
  ● 远程办公室VPN接入部分
  
  远程办公室的VPN数据首先流经因特网接入模块,然后通过Passport 8600分别流向两台Contivity 4600 VPN网关(由Alteon 内容交换机实现负载均分)。因此,需要在Passport 8600 上配置相应的过滤器,只允许IKE(UDP 500)、ESP流向Contivity 4600 VPN网关,同时对数据流的端点IP进行限制。目的地址只能为Contivity 4600 VPN网关IP地址,而源地址只能为远程办公室VPN网关的IP地址,拒绝其余任何形式的数据流。
  
  2.外联网VPN接入模块
  
  外联网指的是不同公司之间采用VPN方式通过公网互相交流信息,以实现B2B的电子商务。
  
  在本方案中,商业伙伴的VPN数据首先流经因特网接入模块,然后通过Passport 8600分别流向两台Contivity 4600 VPN网关(由Alteon 内容交换机实现负载均分)。因此,需要在Passport 8600 上配置相应的过滤器,只允许IKE(UDP 500)、ESP流向Contivity 4600 VPN网关,同时对数据流的端点IP进行限制。目的地址只能为Contivity 4600 VPN网关IP地址,而源地址只能为商业伙伴VPN网关的IP地址(如果其使用固定IP地址),拒绝其余任何形式的数据流。
最热门文章推荐:
网站推广的方法
网站推广文章
网站推广心得
跑跑卡丁车教程
跑跑卡丁车连喷教程
网站制作工具
制作网站的软件
opengl是什么
 ↓相关文章:
© 2006-2008 All Rights Reserved