CN113676469A

CN113676469A - 一种企业网安全管理方法

Info

Publication number: CN113676469A
Application number: CN202110943116.9A
Authority: CN
Inventors: 巩永旺; 王旭灵; 周刚; 宋法根
Original assignee: Yancheng Institute of Technology
Current assignee: Yancheng Institute of Technology
Priority date: 2021-08-17
Filing date: 2021-08-17
Publication date: 2021-11-19

Abstract

本发明公开了一种企业网安全管理方法，包括企业网与外网之间构建DMZ防火墙，实现真实IP的隐藏和访问控制的功能，以及总公司和分公司之间创建IPSecVPN实现不同区域内网的安全信息传输，降低了风险，提高了安全；其中，通过在二层交换机上配置端口安全，并预设端口通过的数据包阈值或通过MAC地址表记录允许连接到交换机端口的MAC地址，允许特定数量或特定MAC地址使用本端口通信，防止非法设备访问网络，也能防止MAC地址泛洪导致MAC地址表满溢，通过划分vlan，减少了广播风暴，充分分担了二层交换机的压力；另外，使用链路捆绑聚合，增加交换机之间的传输带宽，通过配置PPP协议，采用chap进行双向认证，防止非法用户的连接，进一步提高安全性。

Description

一种企业网安全管理方法

技术领域

本发明涉及网络安全技术领域，具体为一种企业网安全管理方法。

背景技术

近年来，企业开始适应信息化时代，到如今企业的日常运作都依靠着网络；世界各地的企业都在加大信息化建设的力度，网络的发展使得网络应用越来越广泛，企业也开始重视信息化建设，建立自己的企业网络，企业的很多业务和管理都依靠网络来运行；企业信息化程度已经成为权量一个企业实力的标准；由于企业网络建设初期，网络总体设计不够明确、缺乏系统规划和长远规划，网络管理人员不足等原因，目前很多企业的网络依旧存在巨大的安全隐患，对企业网络的使用和企业信息造成了安全隐患，所以急需一种企业网安全管理方法来解决上述问题。

发明内容

本发明提供一种既能确保网络安全，又能提高办公效率，便于集中管理企业的网安全管理方法，来解决上述现有技术中存在的问题。

为实现上述目的，本发明提供如下技术方案：一种企业网安全管理方法，包括企业网与外网之间构建DMZ防火墙，实现真实IP的隐藏和访问控制的功能，以及总公司和分公司之间创建IPSec VPN实现不同区域内网的安全信息传输；

其中，企业局域网接在内部信任端口，并在二层交换机上配置端口安全，预设端口通过的数据包阈值或通过MAC地址表记录允许连接到交换机端口的MAC地址，同时，采用PVST生成树协议为企业每个vlan均建立一棵生成树。

优选的，预设端口通过的数据包阈值，并在交换机端口通信量超过阈值时，采取保护措施包括：

a、Shutdown，直接关闭交换机端口，阻止用户访问企业网络服务；

b、Protect，直接丢弃这些非法数据包同时报警；

c、Restrict，仅仅丢弃这些非法数据包。

优选的，在采用PVST生成树协议时，把GW1配置成vlan 10、vlan 20的根，把GW2配置成vlan 30、vlan 40的根；并在交换机连接交换机的端口要配置为trunk。

优选的，在交换机之间，使用链路捆绑聚合，增加交换机之间的传输带宽。

优选的，采用chap来进行身份认证，验证方法包括：

a、链路建立后，验证方向端点发送请求消息；

b、端点用单向哈希函数计算，将计算得到的值做应答；

c、验证者同时使用哈希函数计算，若计算得到的值和端点返回的值相同则认证成功，否则连接中断；

d、经过一段随机间隔时间，验证者重新发送一个新的请求给端点，返回步骤a。

优选的，在企业网中，采用GNS3配置HSRP热备份路由选择协议，其中，在一个上游端口添加给活跃路由器，当上游端口挂断时，自动将活跃路由器切换成备份路由器。

优选的，在企业网中，配置多种路由协议，且设置RIP和OSPF的重发布。

与现有技术相比，本发明的有益效果：本发明中，在企业网与外网之间构建DMZ防火墙，利用地址转换、安全规则实现真实IP的隐藏和访问控制功能，部署了VPN，使分公司可以通过VPN隧道直接连接总公司服务器，降低了风险，提高了安全；

其中，通过在二层交换机上配置端口安全，并预设端口通过的数据包阈值或通过MAC地址表记录允许连接到交换机端口的MAC地址，从而允许特定数量或特定MAC地址使用本端口通信，从而防止非法设备访问网络，也能防止MAC地址泛洪导致MAC地址表满溢，同时，通过采用PVST生成树协议为企业每个vlan均建立一棵生成树，减少了广播风暴，充分分担了二层交换机的压力；

另外，在交换机之间，使用链路捆绑聚合，增加交换机之间的传输带宽，同时具有冗余容错性，通过配置PPP协议，采用chap进行双向认证，防止非法用户的连接，进一步提高安全性，还通过配置HSRP热备份网关冗余协议，能在当前使用的网关路由器故障时，会有另外一台备份的网关路由器自动顶替提供网络服务，使得企业网更可靠、运行更顺畅。

附图说明

附图用来提供对本发明的进一步理解，并且构成说明书的一部分，与本发明的实施例一起用于解释本发明，并不构成对本发明的限制。

在附图中：

图1是本发明的网络拓扑图；

图2是本发明外网访问DMZ服务器效果图；

图3是本发明企业内网可以ping通DMZ效果图；

图4是本发明DMZ不可以ping通内网效果图；

图5是本发明局域网内部的合法电脑始终可ping通效果图；

图6是本发明员工擅自接入交换机的无授权电脑效果图；

图7是本发明的路由器切换图；

图8是本发明未部署IPSec VPN的网络示意图。

具体实施方式

以下结合附图对本发明的优选实施例进行说明，应当理解，此处所描述的优选实施例仅用于说明和解释本发明，并不用于限定本发明。

实施例：一种企业网安全管理方法，包括企业网与外网之间构建DMZ防火墙，实现真实IP的隐藏和访问控制的功能，以及总公司和分公司之间创建IPSec VPN实现不同区域内网的安全信息传输；

如图1所示，为网络拓扑图，具体的，构建DMZ防火墙，通过地址转换和实现安全规则来实现隐藏真实IP以及访问控制的功能，首先根据清晰的网络拓扑图，规划网络信任区与非信任区域，同时实现5条访问控制功能，包括：

在R1和R4上配置NAT配置命令如下：

R1(config)#ip nat pool 68NAT 68.68.1.3 68.68.1.200 netmask255.255.255.0

R1(config)#ip nat inside source list 1 pool 68NAT

R1(config)#access-list 1 permit 192.168.0.00.0.255

R1(config)#int f0/0

R1(config-if)#ip nat inside

R1(config)#int f0/1

R1(config-if)#ip nat inside

R1(config)#int f1/0

R1(config-if)#ip nat inside

R1(config)#int s0/1/0

R1(config-if)#ip nat outside

R4(config)#ip nat pool 68NAT 68.68.3.3 68.68.3.100 netmask255.255.255.0

R4(config)#ip nat inside source list 1 pool 68NAT

R4(config)#access-list 1 permit 172.16.1.00.0.0.255

R4(config)#int f0/0

R4(config-if)#ip nat outside

R4(config)#int f0/1

R4(config-if)#ip nat inside

为DMZ服务器配置静态NAT，实现地址转换，这样外网才能访问；

R1(config)#ip nat inside source static 192.168.14.1 68.68.1.101

R1(config)#ip nat inside source static 192.168.14.2 68.68.1.102

R1(config)#ip nat inside source static 192.168.14.3 68.68.1.103；

参考图2所示，为外网访问DMZ服务器效果图，

在R1上配置扩展的ACL(访问控制列表)，来实现企业网内部可以ping通DMZ，而DMZ不能ping企业内网；

R1(config)#access-list 102 permit icmp 192.168.14.0 0.0.0.255192.168.0.00.0.255.255 echo-reply

R1(config)#interface FastEthernet0/0

R1(config-if)#ip access-group 102out

R1(config)#interface FastEthernet0/1

R1(config-if)#ip access-group 102 out

参考图3所示，为企业内网可以ping通DMZ效果图；其中，参考图4，DMZ不可以ping通内网。

另外，预设端口通过的数据包阈值，并在交换机端口通信量超过阈值时，采取保护措施包括：

b、Protect，直接丢弃这些非法数据包同时报警；

c、Restrict，仅仅丢弃这些非法数据包。

通过MAC地址表记录允许连接到交换机端口的MAC地址，可以只允许某个MAC地址使用本端口通信，当其他MAC地址通过此端口通信时，端口的安全特性会制止它，从而可以防止非法设备访问网络，而且也能防止MAC地址泛洪导致MAC地址表满溢，具体配置命令如下：

GW1(config)#int range f0/2–5

GW1(config-if)R2port port-security

GW1(config-if)R2port port-security maximum 2(这里的数字可以根据企业允许交换机连接多少而定，本实施例中为了模拟效果设置为2)

GW1(config-if)R2port port-security violation protect(protect是可选项，还有两个选项分别是shutdown，restrict)

GW2(config)#int range f0/2–5

GW2(config-if)R2port port-security

GW2(config-if)R2port port-security maximum 2

GW2(config-if)R2port port-security violation protect

分别在GW1、GW2两台交换机配置好后，清一下mac地址表，命令：

Show mac address-table然后再观察效果，其中，参考图5，局域网内部的合法电脑始终可ping通，参考图6，员工擅自接入交换机的无授权电脑,ping不通。

为了减少了广播风暴，充分分担了二层交换机的压力，在采用PVST生成树协议时，把GW1配置成vlan 10、vlan 20的根，把GW2配置成vlan 30、vlan 40的根；并在交换机连接交换机的端口要配置为trunk；

配置PVST的关键命令如下：

GW1上的配置如下：

GW1(config)#spanning-tree vlan 11 priority 4096

GW1(config)#spanning-tree vlan 12 priority 4096

GW1(config)#spanning-tree vlan 13 priority 8192

GW1(config)#spanning-tree vlan 14 priority 8192

GW2上的配置如下：

GW2(config)#spanning-tree vlan 13 priority 4096

GW2(config)#spanning-tree vlan 14 priority 4096

GW2(config)#spanning-tree vlan 11 priority 8192

GW2(config)#spanning-tree vlan 12 priority 8192

在GW1上验证是否成为vlan 11，vlan12的根网桥。

另外，在交换机之间，使用链路捆绑聚合，增加交换机之间的传输带宽，同时具有冗余容错性，本实施例中，GW1、GW2之间的f0/6和f0/7做etherchannel链路聚合，配置命令如下：

GW1(config)#int range f0/6-7

GW1(config-if)#R2port mode trunk

GW1(config-if)#R2port trunk encapsulation dot1q

GW1(config-if)#channel-protocol pagp

GW1(config-if)#channel-group 1 mode desirable

GW1(config)#int port-channel 1

GW1(config-if)#R2port mode trunk

GW1(config-if)#R2port trunk encapsulation dot1q

GW2(config)#int range f0/6-7

GW2(config-if)#R2port mode trunk

GW2(config-if)#R2port trunk encapsulation dot1q

GW2(config-if)#channel-protocol pagp

GW2(config-if)#channel-g roup 1 mode desirable

GW2(config)#int port-channel 1

GW2(config-if)#R2port mode trunk

GW2(config-if)#R2port trunk encapsulation dot1q。

为了防止非法用户的连接，采用chap来进行身份认证，验证方法包括：

a、链路建立后，验证方向端点发送请求消息；

b、端点用单向哈希函数计算，将计算得到的值做应答；

d、经过一段随机间隔时间，验证者重新发送一个新的请求给端点，返回步骤a，其中，在R1和ISP上启用chap双向认证，配置命令如下：

R1(config)#username ISP password cisco

R1(config)#int s0/1/0

R1(config-if)#encapsulation ppp

R1(config-if)#ppp authentication chap

ISP(config)#username R1 password cisco

ISP(config)#int s1/0

ISP(config-if)#encapsulation ppp

ISP(config-if)#ppp authentication chap。

另外，还通过配置HSRP热备份网关冗余协议，能在当前使用的网关路由器故障时，会有另外一台备份的网关路由器自动顶替提供网络服务，使得企业网更可靠、运行更顺畅，参考图7，在企业网中，采用GNS3配置HSRP热备份路由选择协议，其中，在一个上游端口添加给活跃路由器，当上游端口挂断时，自动将活跃路由器切换成备份路由器，配置如下：

R1(config)#int f0/0

R1(config-if)#standby 10 ip 192.168.10.254

R1(config-if)#standby 10 priority 130

R1(config-if)#standby 10 preempt(开启抢占)

R1(config-if)#standby 10 track s0/0 40(当s0/0down时，优先级减40)

R2(config)#int f0/0

R2(config-if)#standby 10 ip 192.168.10.254

R2(config-if)#standby 10 priority 100(默认也是100)

R2(config-if)#standby 10 preempt(开启抢占)

把PC的网关设置为虚拟网关ip地址：

R3(config)#ip default-gateway 192.168.10.254；

另外，在企业网中，配置多种路由协议，且设置RIP(路由信息协议)和OSPF(开放式最短路径优先)的重发布，配置如下：

R1(config)#R1 ospf 110

R1(config-R1)#redistribute rip subnets

R1(config-R1)#redistribute static subnets

R1(config-R1)#redistribute connected subnet

R1(config)#R1 rip

R1(config-R1)#redistribute ospf 110 metric 1

R3(config)#R1 ospf 110

R3(config-R1)#redistribute rip metric 40subnets

R3(config)#R1 rip

R3(config-R1)#redistribute ospf 110 metric 3。

其中，参考图8，未部署IPSec VPN，，分公司ping不通总公司内网的服务器(不做NAT)；IPSec VPN的部署：

R1(config)#crypto isakmp policy 1//配置IKE策略，其中1是策略号，可自定义

R1(config-isakmp)#encryption 3des

R1(config-isakmp)#hash md5

R1(config-isakmp)#authentication pre-share//配置IKE的验证方法，在此为pre-share，即预共享密钥认证方法

R1(config)#crypto isakmp key example address 68.68.3.2//设置远端对等体的共享密钥为example

R1(config)#crypto ipsec transform-set testtag ah-md5-hmac esp-3des

//设置名为“testtag”的交换集指定AH散列算法为md5,ESP加密算法为3DES

R1(config)#access-list 101 permit ip 10.0.0.0 0.255.255.255172.16.1.00.0.0.255

R1(config)#crypto map test 10 ipsec-isakmp//设置加密图，加密图名称为“test”，序号为10

R1(config-crypto-map)#set peer 68.68.3.2//设置对端IP地址

R1(config-crypto-map)#set transform-set testtag//设置隧道的AH及ESP，即将加密图用于交换集

R1(config-crypto-map)#match address 101//设置匹配101号访问列表

R1(config)#int s0/1/0

R1(config-if)#cryto map test。

最后应说明的是：以上所述仅为本发明的优选实例而已，并不用于限制本发明，尽管参照前述实施例对本发明进行了详细的说明，对于本领域的技术人员来说，其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

1.一种企业网安全管理方法，其特征在于：包括企业网与外网之间构建DMZ防火墙，实现真实IP的隐藏和访问控制的功能，以及总公司和分公司之间创建IPSec VPN实现不同区域内网的安全信息传输；

2.根据权利要求1所述的一种企业网安全管理方法，其特征在于：预设端口通过的数据包阈值，并在交换机端口通信量超过阈值时，采取保护措施包括：

b、Protect，直接丢弃这些非法数据包同时报警；

c、Restrict，仅仅丢弃这些非法数据包。

3.根据权利要求1所述的一种企业网安全管理方法，其特征在于：在采用PVST生成树协议时，把GW1配置成vlan 10、vlan 20的根，把GW2配置成vlan30、vlan 40的根；并在交换机连接交换机的端口要配置为trunk。

4.根据权利要求1所述的一种企业网安全管理方法，其特征在于：在交换机之间，使用链路捆绑聚合，增加交换机之间的传输带宽。

5.根据权利要求1所述的一种企业网安全管理方法，其特征在于：采用chap来进行身份认证，验证方法包括：

a、链路建立后，验证方向端点发送请求消息；

b、端点用单向哈希函数计算，将计算得到的值做应答；

6.根据权利要求1所述的一种企业网安全管理方法，其特征在于：在企业网中，采用GNS3配置HSRP热备份路由选择协议，其中，在一个上游端口添加给活跃路由器，当上游端口挂断时，自动将活跃路由器切换成备份路由器。

7.根据权利要求6所述的一种企业网安全管理方法，其特征在于：在企业网中，配置多种路由协议，且设置RIP和OSPF的重发布。