作者信息:姜磊福
在當前計算機網絡管理中,安全已成爲了一個重中之重的敏感話題。全球範圍內的信息與網絡安全問題日益突出,而普遍採取的網絡安全機制如防火牆、***檢測、漏洞掃描、防病毒等卻不能有效地解決上述問題。更爲嚴重的是,網絡***和病毒有結合的趨勢,由於網絡***方式和***技術的不斷提高,企業在IT管理中如何協調好內部互聯網應用帶來的工作效率低下、計算機病毒氾濫,網絡癱瘓,如何保護好內網的商業信息不泄露,都是擺在IT管理者面前急需要思索和解決的問題,而內外網物理隔離不失爲解決這些問題的一個良策。
近期單位計算機升級,換下來約十幾臺舊型號計算機,這些計算機賣了不值錢,留着無處可用!經過內部商議決定利用這批計算機在公司實施互聯網與內網雙網隔離改造措施。目前雙網隔離改造已經完成,效果非常明顯。最顯著的就是病毒問題與五花八門的故障減少了,求助電話少了等等。鑑於此次升級改造花費小,成效大,特將方法介紹給大家,以備廣大網管員朋友借鑑參考。
一、根據應用場合不同採用不同方式實現內外網隔離連接
1、針對公司領導應用,在不增加計算機的情況下實現雙網隔離連接
爲原計算機增加一塊硬盤並安裝雙網隔離卡,佈置兩條網線分別連接內網與外網。在計算機啓動時通過選擇畫面進入內網或外網。這種方式主要應用於公司領導,在不額外增加計算機的情況下實現一臺計算機連接內網與外網,此方法拓樸結構如圖一。此種方法因爲要爲每臺計算機都佈置兩條網線,如計算機離交換機距離過長時佈線可能有些困難,這時也可採用單根網線隔離方法,在交換機前安裝一臺安全隔離交換機,加裝雙網隔離卡的計算機通過單根網線首先連接到這檯安全隔離交換機上,再由安全隔離交換機分別連接內網和外網,由用戶在本機進行選擇,安全隔離交換機來分配進入內網或外網的通路,如圖二。因爲筆者單位辦公區牆壁網絡面板較多,所以採用了雙網線隔離的方法,省掉了採購安全隔離計算機的費用。
2、針對部門人員較多的應用場合,實現內外隔離連接
有些部門人員較多,上網需求也較大,這時採用每臺計算機安裝隔離卡的方式需增加很多費用。本着少花錢辦好事的原則,可爲這些部門配置一臺或多臺互聯網專用機。因爲筆者單位有淘汰下來的計算機,所以這一塊基本沒有產生什麼費用。只是考慮到因爲是公用上網機,使用人員較多會產生一些軟故障,購買了幾塊還原卡花了一些錢。這些公用上網機因爲安裝有還原卡,每次啓動後系統自動恢復到初始狀態,避免了很多系統設置問題,軟件安裝問題,病毒問題等,運行幾個月都沒有出過故障,大大減輕了網管人員的工作量。
3、針對其它人員較少和上網需求不強的部門內外網隔離連接。
單位內部有一些部門人員較少,上網需求不強但平時工作中也需要上網查詢資料。對於這部份應用,可在單位內部增設一個網絡瀏覽室,配置幾臺可以上互聯網的公用計算機,安裝還原卡或是影子系統等還原軟件,以達到每次啓動後系統自動恢復到初始狀態,減少網管工作量的做法。如果增設網絡瀏覽室較困難,可以將公用上網計算機放置在單位的活動室內,圖書閱覽室內,這樣即可增強公司文化建設,又能實現大家上網查詢的需求,並且還可達到雙網隔離,可謂“三全齊美”!
二、安全設置
1、上網路由器設置
爲每臺上網計算機設置固定IP地址,並在上網路由器上將每臺上網計算機的IP地址,MAC
地址,主機名三者綁定,如其中一項在上網機上被更改將無法連接互聯網,同時此法還可防止有人將非授權計算機私接入外網的行爲。除此以外在路由器上還可設置禁用BT,帶寬控制等上網行爲管理。
2、上網計算機設置
在BIOS中禁用USB端口與光驅並設置密碼,機箱加鎖或粘貼易碎標籤,防止有人私拆機箱。每臺計算機設立一個USER組的上網用戶帳號,因爲該帳號沒有權限更改IP之類的設置,可以進一步增加安全性。
三、資料轉移設置
雙網隔離後,因爲工作原因肯定會遇到兩個網絡數據相互轉移的需求,如員工上網查詢的
工作資料要求轉到內網中,員工發送電子郵件時附件需要轉到上網計算機上。對於這些問題可設置一臺“中間計算機”來解決。當需要轉移資料時由專人負責通過“中間計算機”使用U盤將資料轉移到目標網中。這樣做很多人可能會覺的很麻煩,其實好處是多多的。第一,在轉移資料時所用U盤每次都要經過病毒檢測,可減少病毒傳播問題。第二,要轉移資料時因爲要由專人負責,轉移的內容需要審覈,可以避免員工將一些網上下載的非法程序與遊戲等非工作資料複製到內網中。第三,上網計算機因爲USB口都被禁用,發郵件時必須到“中間計算機”上發送,可避免員工隨意將商業祕密傳遞到互聯網上。這些好處對於保護企業的數據安全是很有必要的。
OK,就介紹到這裏吧!雙網隔離的好處實在太多了,其中的一些妙處還需要大家自己去體會,反正給我感觸最深的就是它給我們網管省下了時間進行思考,思考如何更好的進行IT運維管理,而不是整天東奔西跑的充當“救火員”!