目前，各個企業為了方便業務的開展和提高工作效率，都將網絡的應用引入了企業的E1常工作，但各部門員工使用網絡的隨意性，對企業網絡性能和安全造成很大威脅，例如各部門員工隨便訪問財務部的信息，下載電影，玩游戲，聊天等，另外管理人員可能為了方便管理，開啟電腦的Telnet端口，這樣就會存在嚴重的威脅。

    保障各部門網絡的暢通，并限制他們的上網時間和訪問的網站，也要設法拒絕非法的外網請求，現在有很多方法來實現這些要求，如：加密、加強管理員權限、構建內部局域網等。但這些管理只能完成一些簡單的內部管理功能，并且這種管理還缺乏靈活性。如果通過采用一些網絡安全設備來管理整個企業的網絡，對于比較大型的企業來說，各地分企業與總部的通信，各地分企業之間的通信安全、企業內部部門的通信安全，就大大增加了企業的額外開銷。因此，對于這些問題都可以通過訪問控制列表來完成，利用訪問控制列表來提高對企業網絡安全的管理與維護。

    訪問控制列表是作用于路由器端口上的指令列表，主要用來控制和監測路由器各個端口的進出數據流量。訪問控制列表是由源地址、端121號和目的地址來決定是否允許和拒絕通過的條件，進行配對報文里面的信息與訪問控制列表里面的參數來通過發進和發出的信息包的請求，從而能實現通路。

圖1 ACL原理圖

1 以一個企業為實例來說明整個問題，企業的需求分析

    該企業有人事部、軟件開發部、網站設計部、財務部四個中心部門。企業內部有一臺主交換機，各部門可以再接普通交換機進行擴充，一臺路由器來實現企業內部各部門間的訪問控制及互聯網訪問控制，因此企業要求內部實現以下功能：

    (1)不同部門之間不能互相訪問，同部門之間的員工可以互相訪問;

    (2)企業管理者可以訪問所有的部門，自由訪問lntetrnet;

    ③部門的員工在特定時間段范圍Internet;

    (4)對服務器的訪問有限制，要區分不同部門的網絡;

    (5)財務部只有Email的數據被允許，而其他類型的數據流量都會被路由器禁止。這樣可以限制企業內部對外部網絡的訪問，只允許收發郵件，而不能進行其他的網絡訪問;

    (6)各部門禁止訪問QQ和網絡游戲，還可以限制員工瀏覽網頁、限制員工上傳企業內部的資料，從而保護企業信息的安全，限制使用BT下載工具浪費流量等;

    (7)控制上班期間上網時間分配。

2 解決方案的設計

    (1)首先給4個部門劃分VLAN，人事、軟件開發、網站設計和財務部分別對應VLAN2,VLAN3, VLAN4和VLANS，再為它們分配相應的IP網段，再根據企業的需要，如圖2所示利用基于IP地址的擴展ACL來控制各部門之間的訪問限制。

圖2 企業部門劃分圖

    將交換機的Int f0/24端口設置為trunk模式并與路由器的f0/I端口連接Switchport  modetrunk;

    將交換機的Int f0/1和f0/2端口分配給人事部VLAN2(其中一個端口備用，各部門各自接交換機進行擴充，以下類同);

    將交換機的Int f0/3和f0/4端口分配給軟件開發部部VLAN3;

    將交換機的Int f0/5和f0/6端口分配給網站設計部VLAN4;

    將交換機的Int f0/7和f0/8端口分配給財務部VLANS;

    這樣劃分VLAN可以使同一VLAN的每個部門的自己內部人員之間能夠互相訪問，共同解決問題，并且不同VLAN的不同部門之IhJ不能夠相互訪問，而管理部門可以訪問各個部門。

    (2)禁止部門特定主機的外網訪問如圖3所示禁止網站設計部的主機hostl訪問外網。

圖3 網站設計部

    分別在Hostl和Host2主機ping 192．168．5．2，結果如圖4所示主機hcstl顯示目的網絡不通。

    如圖5所示主機host2正常能夠ping通，說明主機hostl被禁止訪問外網了。

圖4 ping命令

圖5 ping命令

    (3)限制員工進行BT等P2P下載

    利用路由器ACL可以限制網絡中的BT等P2P軟件的網絡的訪問，減少企業網絡資源的浪費，限制BT, eMule都是用的端口。

    access-list 1 0 1 deny tcp any any rang 68816890

    access-list 101 deny tcp any rang 688l6890 any

    access-fiat 1 0 1 permit ip any any

    對路由器端口流量限速

    普通的服務端口大多低于3000，多數蠕蟲病毒和P2P端口都是3000以上，因此，對端口在3000以上的流量進行限制，既保障一般的網絡應用，又避免對網絡的濫用。

    定義ACL access-fist 101 permit tcp anyany gt 3000

    access-fist 1 0 1 permit udp any any gt 3000應用到接口interface f0／0

    service-policy input xs

    (4)禁止訪問內部網的特定端口

    黑客的入侵經常會利用某些特殊端口，像135，139，138，80等端口，關閉這些端口能夠有效地阻止一些病毒和木馬程序的攻擊，防止電腦被黑，這些可以通過ACL的配置來對這些端口進行過濾。

    分別在Hostl和Host2主機上ping 192．168．5．2，結果hostl不但能夠ping通而且能正常訪問routerl的web服務瀏覽器網頁，host2只能ping通routerl，但不能訪問routerl的80端口(不能訪問web服務瀏覽器網頁)。

    (5)限制虛擬終端Telnet的訪問

    首先在兩個主機上分別telnet路由器Routerl，必需先在路由器Routerl上配置：

    Routerl(config)#enable password cisco

    Routerl(config)#line vty 0 4

    Routerl(config-line)#login

    Router 1(config——fine)#password cisco

    確保兩個主機都能telnet路由器Routerl，即teNet 192．168．5．2成功。

    在Routerl上配置：

    Routerl(config)#access-list 1 permit host192．168．4．2

    Routerl(config)#access-fist l deny deny

    RouterI(config)#line vty 0 4

    Routerl(configr-if)#access-fist 1 m

    最后在Hostl上telnet 192．168．5．2，結果是成功的，而在host2上Telnet則操作是失敗的，說明綁定在虛擬終端上的ACL發揮了作用。

    (6)定義時間段及時間范圍，然后進行ACL配置，將詳細的規則和企業的要求添加到A CL中，最后將配置好的ACL添加到需要的端口中去。企業的網絡管理員就可以根據ACL的協議、各種端口、IP源、目的地址等來對員工的網絡行為進行有效的管理控制。

3 總結

    如果一個企業的部門較多，只需要在本設計上類似地擴充即可，本設計不但方便了企業的網絡管理，提高了企業網絡安全性，更節省了企業在網絡方面的額外開支。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：中小型企業網絡控制方案的分析與設計

本文網址：http://www.guhuozai8.cn/html/consultation/1083945528.html