ACL在中小型企业网络中应用.docVIP

ACL在中小型企业网络中应用 　　摘要：现如今，各个企业为了方便业务开展和提高工作效率，都将网络应用引入企业的日常工作。但员工使用网络的随意性，对网络的性能和安全造成巨大威胁。为保障网络畅通，就要设法拒绝非法的外网访问，严格控制上网时间。若通过网络安全设备来管理整个网络，就大大增加了企业的额外开销。因此，对于这些问题，我们都可以通过网络控制来完成，利用ACL访问控制列表来进行企业网络安全的管理与维护。 　　关键词：网络安全；网络控制；ACL 　　 　　Abstract: Abstract: In order to facilitate business development and improve efficiency, every enterprise introduces network application of daily work, but the employees use the net as one pleases, performance and safety of network were faced a great threat. For the smooth of network, and limit access to web sites and online time, also want to refuse illegal access, To manage the entire network by the network security equipment will greatly increase the enterprise overhead. Thus, for these problems can be accomplished through network control, using the ACL access control list to improve the enterprise network security management and maintenance. 　　Keywords: Network security; Network control; ACL 　　 　　随着网络应用在企业运营中的作用越来越重要，网络的应用为不同企业之间的合作，企业内部部门之间通信，以及资源的共享提供了途径；但同时网络互联也导致了企业的资料和各部门之间数据的保密性降低，影响了企业的信息安全。因此，企业网络的安全管理必需考虑到各部门之间的访问控制，采用访问控制列表ACL能够保证企业网络资源不被非法使用和访问，外来入侵者不能盗窃到内部信息，并能降低企业增加网络安全设备所付出的额外开支。 　　现以一个实例，设计中小企业网络控制方案并实现： 　　企业有人事部、软件开发部、网站设计部、财务部4个中心部门。企业内部有一台主交换机，各部门可以再接普通交换机进行扩充，现用一台路由器来实现企业内部各部门间的访问控制及互联网访问控制。 　　 　　一、企业网络控制方案应实现的以下功能： 　　1.不同部门之间不能互相访问，同部门之间的员工可以互相访问； 　　2.企业管理者可以访问所有的部门，自由访问Internet； 　　3.部门的员工在特定时间段访问Internet； 　　4.对服务器的访问有限制，要区分不同部门的网络； 　　5.财务部只有Email的数据被允许，而其他类型的数据流量都会被路由器禁止。这样可以限制企业内部对外部网络的访问，只允许收发邮件，而不能进行其他的网络访问； 　　6.各部门禁止访问QQ和网络游戏，还可以限制员工浏览网页、限制员工上传企业内部的资料，从而保护企业信息的安全，限制使用BT下载工具浪费流量等； 　　7.控制上班期间上网时间分配。 　　 　　二、该方案的以上功能通过如下步骤实现： 　　1.首先给4个部门划分VLAN，人事、软件开发、网站设计和财务部分别对应VLAN2，VLAN3，VLAN4 和VLAN5，再为它们分配相应的IP 网段，再根据企业的需要，如图1所示利用基于IP 地址的扩展ACL 来控制各部门之间的访问限制。 　　 2.访问控制列表保护企业网络安全 　　在企业内部服务器和客户端上使用访问控制列表可以保护企业的内部网络安全，使该企业的网络连接互联网时免受外部黑客的攻击。然而对于企业网络来说，不仅有外部攻击还有内部的攻击。内部的访问控制列表ACL可以帮助保护网络安全免遭内部危害，如员工盗窃企业机密文件，各企业竞争有人造成内部破坏等。 　　所以，我们根据企业的安全分析和业务需求分析来决定该企业的安全策略，利用ACL来为该企业构建一套网络防火墙。 　　企业的网络防火墙安全策略指明了哪些外部数据包被允许或被禁止通