作者信息:姜磊福
在当前计算机网络管理中,安全已成为了一个重中之重的敏感话题。全球范围内的信息与网络安全问题日益突出,而普遍采取的网络安全机制如防火墙、***检测、漏洞扫描、防病毒等却不能有效地解决上述问题。更为严重的是,网络***和病毒有结合的趋势,由于网络***方式和***技术的不断提高,企业在IT管理中如何协调好内部互联网应用带来的工作效率低下、计算机病毒泛滥,网络瘫痪,如何保护好内网的商业信息不泄露,都是摆在IT管理者面前急需要思索和解决的问题,而内外网物理隔离不失为解决这些问题的一个良策。
近期单位计算机升级,换下来约十几台旧型号计算机,这些计算机卖了不值钱,留着无处可用!经过内部商议决定利用这批计算机在公司实施互联网与内网双网隔离改造措施。目前双网隔离改造已经完成,效果非常明显。最显著的就是病毒问题与五花八门的故障减少了,求助电话少了等等。鉴于此次升级改造花费小,成效大,特将方法介绍给大家,以备广大网管员朋友借鉴参考。
一、根据应用场合不同采用不同方式实现内外网隔离连接
1、针对公司领导应用,在不增加计算机的情况下实现双网隔离连接
为原计算机增加一块硬盘并安装双网隔离卡,布置两条网线分别连接内网与外网。在计算机启动时通过选择画面进入内网或外网。这种方式主要应用于公司领导,在不额外增加计算机的情况下实现一台计算机连接内网与外网,此方法拓朴结构如图一。此种方法因为要为每台计算机都布置两条网线,如计算机离交换机距离过长时布线可能有些困难,这时也可采用单根网线隔离方法,在交换机前安装一台安全隔离交换机,加装双网隔离卡的计算机通过单根网线首先连接到这台安全隔离交换机上,再由安全隔离交换机分别连接内网和外网,由用户在本机进行选择,安全隔离交换机来分配进入内网或外网的通路,如图二。因为笔者单位办公区墙壁网络面板较多,所以采用了双网线隔离的方法,省掉了采购安全隔离计算机的费用。
2、针对部门人员较多的应用场合,实现内外隔离连接
有些部门人员较多,上网需求也较大,这时采用每台计算机安装隔离卡的方式需增加很多费用。本着少花钱办好事的原则,可为这些部门配置一台或多台互联网专用机。因为笔者单位有淘汰下来的计算机,所以这一块基本没有产生什么费用。只是考虑到因为是公用上网机,使用人员较多会产生一些软故障,购买了几块还原卡花了一些钱。这些公用上网机因为安装有还原卡,每次启动后系统自动恢复到初始状态,避免了很多系统设置问题,软件安装问题,病毒问题等,运行几个月都没有出过故障,大大减轻了网管人员的工作量。
3、针对其它人员较少和上网需求不强的部门内外网隔离连接。
单位内部有一些部门人员较少,上网需求不强但平时工作中也需要上网查询资料。对于这部份应用,可在单位内部增设一个网络浏览室,配置几台可以上互联网的公用计算机,安装还原卡或是影子系统等还原软件,以达到每次启动后系统自动恢复到初始状态,减少网管工作量的做法。如果增设网络浏览室较困难,可以将公用上网计算机放置在单位的活动室内,图书阅览室内,这样即可增强公司文化建设,又能实现大家上网查询的需求,并且还可达到双网隔离,可谓“三全齐美”!
二、安全设置
1、上网路由器设置
为每台上网计算机设置固定IP地址,并在上网路由器上将每台上网计算机的IP地址,MAC
地址,主机名三者绑定,如其中一项在上网机上被更改将无法连接互联网,同时此法还可防止有人将非授权计算机私接入外网的行为。除此以外在路由器上还可设置禁用BT,带宽控制等上网行为管理。
2、上网计算机设置
在BIOS中禁用USB端口与光驱并设置密码,机箱加锁或粘贴易碎标签,防止有人私拆机箱。每台计算机设立一个USER组的上网用户帐号,因为该帐号没有权限更改IP之类的设置,可以进一步增加安全性。
三、资料转移设置
双网隔离后,因为工作原因肯定会遇到两个网络数据相互转移的需求,如员工上网查询的
工作资料要求转到内网中,员工发送电子邮件时附件需要转到上网计算机上。对于这些问题可设置一台“中间计算机”来解决。当需要转移资料时由专人负责通过“中间计算机”使用U盘将资料转移到目标网中。这样做很多人可能会觉的很麻烦,其实好处是多多的。第一,在转移资料时所用U盘每次都要经过病毒检测,可减少病毒传播问题。第二,要转移资料时因为要由专人负责,转移的内容需要审核,可以避免员工将一些网上下载的非法程序与游戏等非工作资料复制到内网中。第三,上网计算机因为USB口都被禁用,发邮件时必须到“中间计算机”上发送,可避免员工随意将商业秘密传递到互联网上。这些好处对于保护企业的数据安全是很有必要的。
OK,就介绍到这里吧!双网隔离的好处实在太多了,其中的一些妙处还需要大家自己去体会,反正给我感触最深的就是它给我们网管省下了时间进行思考,思考如何更好的进行IT运维管理,而不是整天东奔西跑的充当“救火员”!