—－．　．　
Ｔｑ￣ｅｈｎｏ［ｇｙｅｅ　ｎｏ．｜ｏ￣ｙ　
●　—Ｉ技术　

企业安全制定了更多的选择方案。　
安全设计方案定利　企业在进行网络安全结构设计　过程中往往存在一系列的性能权衡，　网络安全结构合理与否，直接影响网　络系统的安全。上述模块化网络安全　设计方案中，很多部分都采用双设备　热备份冗余结构，存在一定冗余。为　此可根据实际情况对结构进行再次　定义，笔者制定设计方案如下：　方案一：　可以分布层网络模块拆分到核心　网络模块中。这样可以使第３层交换　机的数目减少５０％，成本节约将与网　络核心中的性能要求和实施所有分布　安全性过滤的灵活性之间进行权衡。　方案二：　将ＶＰＮ和远程接入模块的功能　与公司互联网模块的功能合并，并　且防火墙有足够接口来容纳不同服　务，这种精简方式就可能在不损失　功能的情况下实现。　方案三：　删除部分Ｎ［ＤＳ应用，如果主机　ＩＤＳ部署的较多，可相对减少ＮＩＤＳ　的应用。　方案四：　服务器网络以及边界分布网络　模块同分布层网络一样，如果网络　性能要求不是很高，都可以和核心　网络相合并，以减少经费投入。　方案五：　在各种网络设备以及安全设备　的选择上，可根据实际情况加以选　择。比如只在核心网络采用双机热　备份方式等，或仅采用主机ＩＤＳ与　ＮＩＤＳ相结合的方式或者只采用单个　方法。　方案六：　对于一些对信息安全要求较高　的企业，其内部网络与互联网完全　４２　Ｉ中国石油和化工２０１１．１２　Ｉ　物理隔离，此时可采用两个不同安　全等级的网络安全部署方案，并从　实际需求上进行相应的修改来适应　
各自的网络。　
由以上部署方案可以得出，网　
络结构设计不是一成不变的，企业　
必须根据自身需求完成最后的设计。　下文将对网络结构设计中的网络设　备配置安全进行阐述。　网络设备配置安全　网络设备配置安全为网络安全　提供了必要保障，对于大型企业，各　种网络设备众多，且分散在各个业　务现场、远程站点，现场没有专门的　技术人员管理，日常的远程维护和　配置更改较多，各硬件模块冗余配　置、参数管理配置或人为无意或有　意参数错误的变更，均可使网络安　全被攻击而造成网络设备的非正常　工作，并将局部安全性较低的网络　系统所造成的威胁，传播到整个网　络系统。所以必须对各种网络设备　实施严格统一的管理，加强对网络　设备口令和配置的安全管理。　下面将从网络设备的ＡＡＡ管　理　配置安全、路由安全以及ＮＴＰ　服务等方面谈谈网络设备的个体安　全。　在全网安装Ｔａｃａｃ￣－＋服务器，对网　络设备实现ＡＡＡ认证（Ａｕ￣ｅｎｔｉａｃｄｏｎ、　Ａｕｔｈｏｒｉｚａｔｉｏｎ、Ａ￣ｕｔｉｎｇ）。该认证方　法可以有效的对各个网络设备的系　统管理员口令进行统一管理，限制　不同级别管理员的权限，同时详细　记录管理员对网络设备配置所作的　修改。　根据笔者的经验，通常在配置网　络设备时，只要网络通了，就认为配　置完成。其实在路由器和交换机上，　除了路由、端口以外，还有许多其他　的服务和功能，有些服务在默认情况　下是开放的，如果没有加以限制，很可　能成为别人攻击的目标。另一方面，　一些缺省的配置，由于限制不够严　格，也可能给攻击者留下可乘之机。　根据实际经验，为了给计算机系　统管理员和网络管理员提供时间一　致的日志信息，为数据库文件备份提　
供准确的备份时间，为发现黑客潜在　
的攻击企图和入侵踪迹以及病毒事　
件发生提供线索和准备，将所有事件　
序列化，必须为整个网络系统建立统　

一
的时间系统。该系统以核心网设备　
为精准时间源，使网络设备及各种计　
算机系统通过ＮＴＰ协议与之同步。　
所以说，配置相应的访问控制规　
则，限制不必要的网络访问（如　
ＳＮＭＰ），小型服务（端口号小于２０的　
ＴＣＰ／ＵＤＰ）和时间服务（ＴＣＰ／ＵＤＰ　
端口号３７）可以关闭。总之可对网络　
设备的配置作进一步的优化，并使用　
ＳＳＨ协议，可以防止安全漏洞，确　
保企业的网络更安全。　

结束语　
本文主要从技术因素角度阐述　
了如何进行安全的网络结构设计，　
文章结合企业网络实际情况，提出　
了模块化设计理念，为企业安全网　
络构建提供了一些选择方案。同时　
针对网络设备的身份认证系统、配　
置安全、路由及路由协议安全等部　
分，介绍了如何保证网络设备个体　
安全的具体措施。企业可以根据自　
身网络的特点和具体的需要，找到　
适合自身的安全设计方案。　

作者简介：陈丽，中国石化北京　
化工研究院燕山分院，高级工程师，　
从事网络管理和维护２０年，在网络　
安全方案设计中有较多的实践经验；　
陈姗雪，北方工业大学经济管理学院　
会计系。囹