基于Vlan技術(shù)的企業(yè)內(nèi)部網(wǎng)絡(luò)的安全策略淺析

張玨

摘要：企業(yè)內(nèi)部網(wǎng)絡(luò)的可靠與否對(duì)企業(yè)的日常運(yùn)營(yíng)有著很大的影響。為了保證企業(yè)內(nèi)網(wǎng)的安全、穩(wěn)定地運(yùn)行，需要采用人防+技防相結(jié)合的總體策略。該文主要闡述了由Vlan、三層交換技術(shù)、ACL控制列表以及端口綁定等幾種中小型局域網(wǎng)中常見的技術(shù)所構(gòu)成的安全策略，分析了每一種技術(shù)的原理及作用，有針對(duì)性地逐步解決了企業(yè)內(nèi)網(wǎng)中容易出現(xiàn)的安全問(wèn)題。

關(guān)鍵詞：Vlan；三層交換；ACL；端口綁定

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2019）10-0009-03

開放科學(xué)（資源服務(wù)）標(biāo)識(shí)碼（OSID）：

1 引言

隨著網(wǎng)絡(luò)的應(yīng)用越來(lái)越廣泛，企業(yè)的日常運(yùn)營(yíng)對(duì)內(nèi)部網(wǎng)絡(luò)的依賴性也越來(lái)越高，網(wǎng)絡(luò)的安全性與穩(wěn)定性也日益受到企業(yè)的重視。一個(gè)沒有安全措施防護(hù)的企業(yè)內(nèi)部網(wǎng)絡(luò)，很容易產(chǎn)生病毒蔓延、廣播風(fēng)暴等嚴(yán)重的網(wǎng)絡(luò)問(wèn)題，對(duì)網(wǎng)絡(luò)安全造成了嚴(yán)重的威脅，極大地影響了網(wǎng)絡(luò)的日常使用，甚至?xí)蛊髽I(yè)的機(jī)密信息外泄。一般來(lái)說(shuō)，企業(yè)內(nèi)網(wǎng)的安全威脅具體體現(xiàn)在以下幾個(gè)方面：濫用網(wǎng)絡(luò)資源，降低了員工日常工作效率；內(nèi)部非法外聯(lián)，給外部入侵打開了方便之門；重要信息外泄，給企業(yè)造成了無(wú)可挽回的損失；網(wǎng)絡(luò)經(jīng)常癱瘓，影響網(wǎng)絡(luò)的正常使用；病毒、木馬橫行肆虐，一旦發(fā)作，整個(gè)網(wǎng)絡(luò)再無(wú)安全可言，即使花費(fèi)巨大的代價(jià)也不能完全消除這種隱患。

要使企業(yè)內(nèi)部網(wǎng)絡(luò)一直能處于安全、可靠、保密的環(huán)境下運(yùn)行，需要哪些具體的措施呢？這是網(wǎng)絡(luò)管理中經(jīng)常思考的問(wèn)題。經(jīng)調(diào)查分析，要保證網(wǎng)絡(luò)安全可靠，對(duì)網(wǎng)絡(luò)管理的要求可簡(jiǎn)單地概括為以下幾點(diǎn)：

? 能迅速控制網(wǎng)絡(luò)內(nèi)病毒的擴(kuò)散與蔓延，將影響限制在盡可能小的范圍。

? 能及時(shí)控制廣播風(fēng)暴的形成，防止網(wǎng)絡(luò)堵塞甚至癱瘓。

? 能禁止外來(lái)人員自帶設(shè)備隨意接入企業(yè)內(nèi)網(wǎng)，杜絕病毒等安全隱患。

? 能有效地控制對(duì)關(guān)鍵部門的訪問(wèn)，防止重要數(shù)據(jù)信息外泄。

要達(dá)到以上網(wǎng)絡(luò)管理目的，需采用人防+技防相結(jié)合的方法。也就是說(shuō)除了制定嚴(yán)格的網(wǎng)絡(luò)使用規(guī)范和懲處制度外，還需要在企業(yè)內(nèi)網(wǎng)中應(yīng)用由相應(yīng)的技術(shù)所構(gòu)成安全策略：

（1）使用Vlan劃分相互隔離的子網(wǎng)，縮小廣播域的范圍，防止廣播風(fēng)暴在全網(wǎng)的形成。

（2）使用三層交換技術(shù)有控制實(shí)現(xiàn)Vlan間的數(shù)據(jù)交換，禁止隨意的訪問(wèn)。

（3）使用防火墻+ACL實(shí)現(xiàn)數(shù)據(jù)包的過(guò)濾，控制對(duì)關(guān)鍵部門、關(guān)鍵數(shù)據(jù)的訪問(wèn)。

（4）使用端口安全及訪問(wèn)管理技術(shù)實(shí)現(xiàn)將交換機(jī)端口與下聯(lián)主機(jī)的MAC地址及IP地址的綁定，可以有效地控制隨意地接入。

2 Vlan及三層交換技術(shù)

2.1 二層交換的技術(shù)缺陷

OSI七層標(biāo)準(zhǔn)網(wǎng)絡(luò)模型從下至上共分七層，二層交換技術(shù)就是基于數(shù)據(jù)鏈路層的相關(guān)協(xié)議來(lái)完成數(shù)據(jù)交換操作的。MAC地址是二層交換技術(shù)中數(shù)據(jù)幀轉(zhuǎn)發(fā)的依據(jù)，所謂MAC地址就是硬件的物理地址，因此二層交換實(shí)際上靠硬件來(lái)實(shí)現(xiàn)數(shù)據(jù)交換的。與基于軟件的數(shù)據(jù)交換相比，二層交換的最大優(yōu)點(diǎn)是速度快，但其也存在著較大的缺點(diǎn)，即其廣播域太大容易引起廣播風(fēng)暴，從而可能導(dǎo)致整個(gè)網(wǎng)絡(luò)阻塞而癱瘓；同時(shí)二層交換只能把交換范圍局限于同一個(gè)網(wǎng)絡(luò)，無(wú)法實(shí)現(xiàn)不同IP子網(wǎng)間的數(shù)據(jù)交換，對(duì)網(wǎng)絡(luò)的安全控制能力也較弱。

早期大部分的企業(yè)內(nèi)部信息網(wǎng)絡(luò)都是在采用二層交換技術(shù)為架構(gòu)的局域網(wǎng)基礎(chǔ)之上建立起來(lái)的，所采用的組網(wǎng)設(shè)備主要包括Hub、網(wǎng)橋或二層交換機(jī)等，網(wǎng)絡(luò)中的所有節(jié)點(diǎn)可以沒有任何限制的直接通信。當(dāng)網(wǎng)絡(luò)規(guī)模較小時(shí)，網(wǎng)絡(luò)的性能也許還能滿足企業(yè)業(yè)務(wù)處理的需求，但一旦網(wǎng)絡(luò)的規(guī)模隨著企業(yè)本身的需求而擴(kuò)大到一定規(guī)模時(shí)，網(wǎng)絡(luò)的整體性能也隨之會(huì)明顯下降，特別是大量無(wú)效廣播包的存在始終是二層交換網(wǎng)絡(luò)中無(wú)法回避的問(wèn)題。

2.2 Vlan的概念及作用

VLAN（Virtual Local Area Network）是虛擬局域網(wǎng)的英文簡(jiǎn)稱，是一種實(shí)現(xiàn)虛擬工作組的網(wǎng)絡(luò)技術(shù)，它是通過(guò)將局域網(wǎng)內(nèi)的設(shè)備從邏輯的角度劃分在不同的網(wǎng)絡(luò)分段內(nèi)、不依靠設(shè)備的物理位置實(shí)現(xiàn)隔離或分組。不同VLAN內(nèi)的數(shù)據(jù)在沒有三層路由的支持下是不能直接通信的，一定程度上實(shí)現(xiàn)了虛網(wǎng)之間的隔離。這不僅有效地防止來(lái)自外部的非法入侵，提高了網(wǎng)絡(luò)安全性，同時(shí)也縮小了廣播域，將廣播風(fēng)暴控制在一個(gè)VLAN內(nèi)，大大地改善了網(wǎng)絡(luò)性能，最終使網(wǎng)絡(luò)的管理也趨于簡(jiǎn)單和直接。

由于VLAN可以跨不同的交換機(jī)實(shí)現(xiàn)，某個(gè)網(wǎng)絡(luò)用戶根據(jù)自己的業(yè)務(wù)需求、不受物理位置的限制而自由地移動(dòng)。只要不改變所屬的VLAN，就意味著原來(lái)的應(yīng)用環(huán)境沒有變化，該用戶也不需要做出相應(yīng)的變化來(lái)適應(yīng)環(huán)境，因此VLAN也可以增強(qiáng)網(wǎng)絡(luò)應(yīng)用的靈活性。

2.3 三層交換技術(shù)

OSI網(wǎng)絡(luò)模型的第三層即網(wǎng)絡(luò)層，也稱IP層，因此三層交換技術(shù)，也稱IP交換技術(shù)。三層交換技術(shù)的最大優(yōu)勢(shì)是基于二層交換技術(shù)基礎(chǔ)上借助路由技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)分組的高速轉(zhuǎn)發(fā)，因此三層交換技術(shù)可以簡(jiǎn)單地概括為“二層交換技術(shù)+路由”。三層交換技術(shù)的出現(xiàn)既解決了二層交換技術(shù)中不能跨子網(wǎng)或VLAN轉(zhuǎn)發(fā)數(shù)據(jù)的缺點(diǎn)，又解決了傳統(tǒng)路由器轉(zhuǎn)發(fā)效率低而造成的網(wǎng)絡(luò)瓶頸問(wèn)題。

1999年，IEEE頒布了用以實(shí)現(xiàn)標(biāo)準(zhǔn)化VLAN方案的802.1q協(xié)議草案，在該協(xié)議中規(guī)定不同VLAN間的通信需要通過(guò)基于第三層的交換技術(shù)來(lái)實(shí)現(xiàn)。因此結(jié)合第三層交換技術(shù)與VLAN技術(shù)的優(yōu)點(diǎn)，可以搭建既安全可靠，又簡(jiǎn)單有效，同時(shí)也能靈活應(yīng)用的企業(yè)內(nèi)部網(wǎng)絡(luò)。

2.4 層次化的三層網(wǎng)絡(luò)架構(gòu)

為了使得網(wǎng)絡(luò)便于實(shí)施和有效管理，一般在網(wǎng)絡(luò)組建時(shí)采用層次化模型設(shè)計(jì)，常見的模型就是將網(wǎng)絡(luò)分成核心層、匯聚層和接入層的三層網(wǎng)絡(luò)架構(gòu)。在這種層次化的架構(gòu)模型中，每一層只注重于實(shí)現(xiàn)特定的功能，使得網(wǎng)絡(luò)的每個(gè)部分有明確的分工而便于管理。

（1）核心層

該層是網(wǎng)絡(luò)實(shí)現(xiàn)高速交換的關(guān)鍵主干，主要負(fù)責(zé)完成各匯聚層之間的互聯(lián)，同時(shí)最重要的是能高效地實(shí)現(xiàn)相互之間數(shù)據(jù)傳輸及交換。該層不僅用于內(nèi)部網(wǎng)絡(luò)高速互聯(lián)與交換，也提供對(duì)外部網(wǎng)絡(luò)（主要是Internet）的訪問(wèn)與連接。核心層所使用的交換機(jī)應(yīng)當(dāng)全部采用模塊化結(jié)構(gòu)，具有強(qiáng)大的網(wǎng)絡(luò)擴(kuò)展能力和強(qiáng)大的吞吐量。

（2）匯聚層

該層起到承上啟下的作用，是網(wǎng)絡(luò)接入層和核心層的分界點(diǎn)，負(fù)責(zé)將各種接入業(yè)務(wù)集中在一起與核心層相連。除了為接入層提供數(shù)據(jù)的匯聚外，還能進(jìn)行局部的數(shù)據(jù)交換及轉(zhuǎn)發(fā)，也能為接入層提供基于策略的連接、VLAN的劃分與內(nèi)網(wǎng)的隔離，并限制對(duì)核心層的隨意訪問(wèn)，保證核心層的安全與穩(wěn)定。匯聚層所使用的交換機(jī)需提供到核心層的上行鏈路，與接入層交換機(jī)相比，需要更高的性能，更少的接口和更高的交換速率。

（3）接入層

該層提供了網(wǎng)絡(luò)最終用戶被許可接入的點(diǎn)位，直接面向用戶的訪問(wèn)，也是企業(yè)網(wǎng)絡(luò)業(yè)務(wù)實(shí)現(xiàn)的節(jié)點(diǎn)，因此該層也被稱為業(yè)務(wù)層。該層的主要功能是完成用戶流量的接入和隔離，并通過(guò)訪問(wèn)控制技術(shù)（ACL）提供對(duì)用戶流量的有效控制，從源頭上防止無(wú)效的訪問(wèn)和非法的訪問(wèn)，從而減輕整個(gè)網(wǎng)絡(luò)的負(fù)擔(dān)。在該層的實(shí)現(xiàn)上可以選擇不支持VLAN和三層交換技術(shù)的普通交換機(jī)。

3 利用ACL實(shí)現(xiàn)Vlan間的訪問(wèn)控制

3.1 Vlan 劃分

基于二層交換技術(shù)的網(wǎng)絡(luò)架構(gòu)存在著致命的弱點(diǎn)，無(wú)法解決廣播域過(guò)大而引起的廣播風(fēng)暴問(wèn)題，網(wǎng)絡(luò)中安全控制也無(wú)法有效地解決。通過(guò)Vlan把一個(gè)大的交換網(wǎng)絡(luò)劃分為多個(gè)較小的廣播域；同一個(gè)Vlan內(nèi)的設(shè)備才能交換數(shù)據(jù)，不同的Vlan之間不能直接相互訪問(wèn)；各Vlan之間通過(guò)三層交換技術(shù)互通是目前普遍采用的方法，可以使整個(gè)網(wǎng)絡(luò)更加合理、安全與穩(wěn)定。

Vlan的劃分本質(zhì)上就是根據(jù)用戶需要進(jìn)行網(wǎng)絡(luò)分段，可以采用以下幾種方法：

（1）基于端口的劃分：這是一種最常用的劃分方法，把一個(gè)或多個(gè)交換機(jī)上的幾個(gè)端口劃分在一個(gè)Vlan內(nèi)。

（2）基于MAC地址的劃分：根據(jù)每個(gè)主機(jī)網(wǎng)卡的MAC地址來(lái)劃分，通過(guò)檢查并記錄端口所連接的網(wǎng)卡的MAC地址來(lái)決定端口所屬的VALN。

（3）基于IP地址的劃分：根據(jù)每個(gè)主機(jī)的網(wǎng)絡(luò)層地址劃分，將任何屬于同一個(gè)IP廣播組的主機(jī)認(rèn)為屬于同一VLAN。

（4）基于網(wǎng)絡(luò)層協(xié)議的劃分：根據(jù)每個(gè)主機(jī)所使用協(xié)議類型，可以劃分為IP/IPX/DECnet/AppleTalk/Banyan等VLAN網(wǎng)絡(luò)。

每一種Vlan劃分的方法都有其優(yōu)點(diǎn)和缺點(diǎn)，用戶可根據(jù)實(shí)際情況選擇合適的劃分方法。

3.2 Vlan間訪問(wèn)控制的必要性

Vlan的其中一個(gè)重要作用就是用來(lái)隔離網(wǎng)絡(luò)，提高安全性。但是當(dāng)在三層交換機(jī)配置各Vlan的路由虛擬接口（SVI）后，默認(rèn)情況下，各個(gè)Vlan之間就可以進(jìn)行相互訪問(wèn)了。隨著網(wǎng)絡(luò)規(guī)模的逐步擴(kuò)大，假如不采用相應(yīng)的措施來(lái)限制這種隨意訪問(wèn)的話，那么在訪問(wèn)上與二層交換網(wǎng)絡(luò)并無(wú)二致，給企業(yè)內(nèi)網(wǎng)的安全、高效與穩(wěn)定帶來(lái)新的隱患。因此就必須在Vlan間采用訪問(wèn)控制策略，才能加強(qiáng)網(wǎng)絡(luò)的整體安全性，消除這種新的隱患。

通過(guò)在核心層或匯聚層交換機(jī)的相應(yīng)接口上建立訪問(wèn)控制列表（ACL）并利用三層交換機(jī)的防火墻技術(shù)來(lái)實(shí)現(xiàn)Vlan間的訪問(wèn)控制策略，有選擇性地確定哪些用戶的哪些流量可以在哪些VLAN間進(jìn)行交換，并決定最終到達(dá)核心層的流量類型（由流量的來(lái)源、去向、上層協(xié)議類型及端口號(hào)確定）。這種訪問(wèn)控制不僅可以根據(jù)數(shù)據(jù)流量的類型，還可以規(guī)定具體的訪問(wèn)時(shí)間，從而進(jìn)一步加強(qiáng)網(wǎng)絡(luò)的整體安全性和控制的有效性。

3.3 訪問(wèn)控制列表ACL

訪問(wèn)控制列表ACL是一個(gè)有序的語(yǔ)句集，包含了一系列許可語(yǔ)句和拒絕語(yǔ)句。ACL使用數(shù)據(jù)包過(guò)濾技術(shù)，通過(guò)自上而下逐條匹配報(bào)文中相關(guān)參數(shù)信息，從而允許報(bào)文或拒絕報(bào)文通過(guò)某個(gè)特定接口，并且采用一旦匹配成功就結(jié)束的原則；若無(wú)匹配語(yǔ)句，則采用隱含規(guī)則。

ACL控制列表可以概括為下面三個(gè)作用：

? 安全控制：非特權(quán)用戶只能訪問(wèn)特定的網(wǎng)絡(luò)資源。

? 流量過(guò)濾：只在特定的時(shí)間內(nèi)通過(guò)感興趣流。

? 數(shù)據(jù)流量標(biāo)識(shí)：標(biāo)識(shí)相關(guān)的流量以便做特殊處理。

訪問(wèn)控制列表ACL有以下兩種類型：

（1）基于IP的訪問(wèn)控制（IP規(guī)則）

這種類型的訪問(wèn)控制基于第三層而實(shí)現(xiàn)，對(duì)于需要轉(zhuǎn)發(fā)的數(shù)據(jù)包，可以先獲取協(xié)議號(hào)、數(shù)據(jù)的源IP、目的IP、源端口和目的端口等報(bào)頭信息，并與列表中設(shè)定的訪問(wèn)規(guī)則相比較，從而決定是否允許數(shù)據(jù)通過(guò)?；贗P的訪問(wèn)控制又可分為標(biāo)準(zhǔn)型（只根據(jù)目的IP地址）和擴(kuò)展型（根據(jù)所有可能的報(bào)頭信息）兩種。

（2）L2訪問(wèn)控制（MAC規(guī)則）

L2訪問(wèn)控制列表也稱第二層訪問(wèn)控制，對(duì)于通過(guò)第二層交換而實(shí)現(xiàn)轉(zhuǎn)發(fā)的數(shù)據(jù)幀，可以根據(jù)幀頭信息設(shè)置具體的過(guò)濾和轉(zhuǎn)發(fā)規(guī)則。二層報(bào)文常用的過(guò)濾屬性有：源/目的MAC地址、I/O端口、以太網(wǎng)封裝類型、以太網(wǎng)所承載的協(xié)議和Vlan標(biāo)識(shí)符。

在實(shí)際應(yīng)用中，可以將兩種類型的ACL結(jié)合起來(lái)（MAC-IP規(guī)則）以實(shí)現(xiàn)更嚴(yán)格和精確的訪問(wèn)控制。

4 端口綁定技術(shù)的應(yīng)用

端口綁定技術(shù)的應(yīng)用也是安全策略中的非常重要一環(huán)，可分為端口安全（Port Security）和訪問(wèn)管理AM（Access Management）兩種技術(shù)。

端口安全可實(shí)現(xiàn)將端口與一個(gè)或多個(gè)MAC地址的綁定，并可以設(shè)定違例處理。由于MAC地址綁定的安全性能，所以被大多數(shù)的終端用戶所運(yùn)用，以防止網(wǎng)絡(luò)非法用戶從非法途徑進(jìn)入網(wǎng)絡(luò)，盜用網(wǎng)絡(luò)資源。

訪問(wèn)管理AM可以事先綁定下聯(lián)主機(jī)的IP地址池或硬件（MAC）地址池，通過(guò)掃描所收到下聯(lián)主機(jī)的數(shù)據(jù)報(bào)文中的地址信息（源IP 地址或者源IP+源MAC），然后與所綁定的地址池相比較，如果匹配成功則轉(zhuǎn)發(fā)，否則丟棄。通過(guò)AM功能就可以實(shí)現(xiàn)控制特定用戶接入，從而嚴(yán)格、有效地管理內(nèi)部用戶的訪問(wèn)，在實(shí)現(xiàn)機(jī)制上可以有多種方式，主要有端口+IP、端口+IP+MAC 綁定。

5 結(jié)語(yǔ)

為保證一個(gè)企業(yè)內(nèi)網(wǎng)安全、穩(wěn)定地運(yùn)行，上述幾種常見的技術(shù)是遠(yuǎn)遠(yuǎn)不夠的，還要在保證網(wǎng)絡(luò)設(shè)備的物理安全基礎(chǔ)之上，通過(guò)相關(guān)的網(wǎng)絡(luò)管理軟件對(duì)網(wǎng)絡(luò)做實(shí)時(shí)監(jiān)控，并做到安裝最新的防病毒軟件、及時(shí)安裝系統(tǒng)補(bǔ)丁、做好系統(tǒng)數(shù)據(jù)備份、記錄詳細(xì)操作日志等日常工作，甚至有可能的話還要對(duì)保存的關(guān)鍵數(shù)據(jù)作加密處理。只有更全面、細(xì)致的安全策略才能保證網(wǎng)絡(luò)更可靠地運(yùn)行，才能更好地發(fā)揮網(wǎng)絡(luò)在企業(yè)日常運(yùn)營(yíng)中的作用。

參考文獻(xiàn)：

[1] 卓曉瑜.淺談VLAN技術(shù)在提高企業(yè)局域網(wǎng)內(nèi)安全性中的應(yīng)用[J].信息通信，2018（09）：153-154.

[2] 陶沁.VLAN技術(shù)在企業(yè)網(wǎng)絡(luò)管理中的應(yīng)用[J].電子技術(shù)與軟件工程，2018（08）：13.

[3] 陶崢.淺談VLAN技術(shù)研究及其在網(wǎng)絡(luò)管理中的應(yīng)用[J].中國(guó)新通信，2018，20（07）：94.

[4] 甘麗，胡昊.中小企業(yè)內(nèi)網(wǎng)安全管理的研究與實(shí)現(xiàn)[J].計(jì)算機(jī)技術(shù)與發(fā)展，2013（8）.

[5] 洪學(xué)銀，李亞娟.中小企業(yè)網(wǎng)絡(luò)構(gòu)建[M].北京：清華大學(xué)出版社，2008.

【通聯(lián)編輯：代影】