企業的內網存放著很多重要信息,比如公司的技術資料、客戶信息等。一旦發生信息泄露,會給企業帶來不可估計的損失。信息安全是系統工程,涉及到管理行政手段,文件加密技術、網絡安全技術等各方面。本文中,我將從網絡架構的角度,來論述如何保障內網的信息安全。主要涉及到如下兩點:
如何防范非法接入?
如何保障重要信息的安全?
1. 如何防范非法接入?
防范非法接入是網絡安全的第一道防護。一旦攻擊者進入到內網,那么等于盜賊已經到了大門內。防范非法接入可以通過如下手段:
有線和無線區分不同的VLAN,無線不允許訪問內網。
有線網段開啟“IP和MAC綁定”。
開啟共享檢測,禁止內網電腦共享網絡連接。
開啟新設備告警,一旦發現新設備時進行人工干預。
一些配置如下圖:
劃分不同VLAN
開啟ip-mac綁定
開啟共享檢測
開啟新設備告警
2. 如何保障重要信息的安全?
經過上述的非法接入防范,網絡安全性已經可以得到很大的提高。但是,攻擊者如果可以物理接觸到內網,仍然可以通過usb拷貝,直接讀取硬盤等方式威脅到信息安全。重要的信息資料,還需要在物理上做隔絕,比如把服務器資源都鎖在機房里面,不允許未授權的人員物理接觸到。并且在服務器前部署防火墻設備,只有允許的MAC地址才可以訪問到服務器資源。如圖:
通過WSG的“應用過濾”即可管控到服務器組的訪問。如圖:
綜上所述,結合“接入認證”和“服務器資源控制訪問”,可以有效的保護內網的信息安全。
