27
2020
09

从网络架构方面如何保障内网信息安全?

企业的内网存放着很多重要信息,比如公司的技术资料、客户信息等。一旦发生信息泄露,会给企业带来不可估计的损失。信息安全是系统工程,涉及到管理行政手段,文件加密技术、网络安全技术等各方面。本文中,我将从网络架构的角度,来论述如何保障内网的信息安全。主要涉及到如下两点:

  1. 如何防范非法接入?

  2. 如何保障重要信息的安全?

1. 如何防范非法接入?

防范非法接入是网络安全的第一道防护。一旦攻击者进入到内网,那么等于盗贼已经到了大门内。防范非法接入可以通过如下手段:

  1. 有线和无线区分不同的VLAN,无线不允许访问内网。

  2. 有线网段开启“IP和MAC绑定”。

  3. 开启共享检测,禁止内网电脑共享网络连接。

  4. 开启新设备告警,一旦发现新设备时进行人工干预。

一些配置如下图:

划分不同VLAN

201806221529638442765193.png

开启ip-mac绑定

201806221529638467650538.png

开启共享检测

201903261553584735138924.png

开启新设备告警

202009271601181700285488.png

2. 如何保障重要信息的安全?

经过上述的非法接入防范,网络安全性已经可以得到很大的提高。但是,攻击者如果可以物理接触到内网,仍然可以通过usb拷贝,直接读取硬盘等方式威胁到信息安全。重要的信息资料,还需要在物理上做隔绝,比如把服务器资源都锁在机房里面,不允许未授权的人员物理接触到。并且在服务器前部署防火墙设备,只有允许的MAC地址才可以访问到服务器资源。如图:

保护服务器.png

通过WSG的“应用过滤”即可管控到服务器组的访问。如图:

201908151565842554879707.png

综上所述,结合“接入认证”和“服务器资源控制访问”,可以有效的保护内网的信息安全。

? 上一篇 下一篇 ?