端口隔離與企業(yè)網(wǎng)絡(luò)安全

前言：本站為你精心整理了端口隔離與企業(yè)網(wǎng)絡(luò)安全范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

1、應(yīng)用分析

在企業(yè)網(wǎng)絡(luò)應(yīng)用中，存在涉及各個部門、各個方面的數(shù)據(jù)，這些數(shù)據(jù)既有企業(yè)內(nèi)外的區(qū)別，又有企業(yè)內(nèi)部各部門之間的區(qū)別，往往需要在企業(yè)內(nèi)外、內(nèi)部各部門之間進行嚴(yán)格的數(shù)據(jù)控制。例如，企業(yè)內(nèi)部很多數(shù)據(jù)和文件，都涉及企業(yè)內(nèi)部機密，是不能讓企業(yè)外部知道的，這就必須對企業(yè)外部進行嚴(yán)格的隔離；再如企業(yè)內(nèi)部財務(wù)數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)，很多數(shù)據(jù)都需要向其它部門員工保密，而財務(wù)部網(wǎng)絡(luò)又不可能和其它部門網(wǎng)絡(luò)完全獨立，否則無法完成相關(guān)數(shù)據(jù)的采集整理工作，因此要對這些數(shù)據(jù)進行業(yè)務(wù)隔離。在企業(yè)數(shù)據(jù)網(wǎng)絡(luò)中，利用交換機構(gòu)建起二層數(shù)據(jù)網(wǎng)絡(luò)，通過交換機進行端口掩碼配置，使企業(yè)同一網(wǎng)絡(luò)的多個端口形成不同的隔離組相互隔開，這些隔離開端口要想互通必須通過上游設(shè)備進行，給不同的業(yè)務(wù)提供不同的隔離組，即可實現(xiàn)二層業(yè)務(wù)的隔離，提高企業(yè)數(shù)據(jù)的安全性。而利用交換機，僅需要通過簡單的VLan劃分，即可實現(xiàn)不同端口間的隔離，具有成本低性能好的優(yōu)點，在企業(yè)網(wǎng)絡(luò)安全中具有極高的可用性。

2、系統(tǒng)構(gòu)建

2.1網(wǎng)絡(luò)拓樸結(jié)構(gòu)

本文以一小型企業(yè)為例，就利用端口隔離構(gòu)建企業(yè)網(wǎng)絡(luò)，提升企業(yè)網(wǎng)絡(luò)安全進行淺要的探討。該企業(yè)有PC機6臺，服務(wù)器一臺，PC機供各部門進行具體業(yè)務(wù)操作，服務(wù)器存儲管理企業(yè)各方面數(shù)據(jù)。企業(yè)內(nèi)網(wǎng)與外網(wǎng)之間通過防火墻與Internet相連，內(nèi)部各部門計算機以及數(shù)據(jù)服務(wù)器通過交換機互聯(lián)。其中，內(nèi)部各部門計算機之間采用端口隔離技術(shù)進行分組，構(gòu)建二層業(yè)務(wù)數(shù)據(jù)隔離結(jié)構(gòu)。本文以H3C交換機為例實現(xiàn)端口隔離，系統(tǒng)網(wǎng)絡(luò)拓樸結(jié)構(gòu)示意圖如圖1所示:

2.2技術(shù)實現(xiàn)

利用H3C交換機來實現(xiàn)端口隔離，僅需通過三個步驟即可：第一步：進入系統(tǒng)視圖；輸入命令：System-view第二步：進入以太網(wǎng)端口視圖；輸入命令：InterfaceEthernet第三步：配置隔離組。輸入命令：portisolate

2.3配置實例

以本文6臺業(yè)務(wù)部門計算機端口隔離配置為例，相關(guān)代碼如下：InterfaceEthernet1/0/1//PC-1連接的端口Portisolate//設(shè)置本端口為隔離端口QuitInterfaceEthernet1/0/2//PC-2連接的端口Portisolate//設(shè)置本端口為隔離端口QuitInterfaceEthernet1/0/3//PC-3連接的端口Portisolate//設(shè)置本端口為隔離端口QuitInterfaceEthernet1/0/4//PC-4連接的端口Portisolate//設(shè)置本端口為隔離端口QuitInterfaceEthernet1/0/5//PC-5連接的端口Portisolate//設(shè)置本端口為隔離端口QuitInterfaceEthernet1/0/6//PC-6連接的端口Portisolate//設(shè)置本端口為隔離端口QuitSave//保存配置至此，各業(yè)務(wù)部門計算機端口隔離配置工作完成。

2.4配置檢測

在Dos工作窗口，輸入以下命令，驗證經(jīng)端口隔離的業(yè)務(wù)計算機是否能ping通。如Pc-2的IP地址為：192.168.0.2，要驗證其它計算機與PC-2能否ping通，在Dos工作窗口輸入:Ping192.168.0.2如果得到以下結(jié)果，即表示隔離成功：Pinging192.168.0.2with32bytesoftata:Requesttimedout.Requesttimedout.Requesttimedout.Requesttimedout.Pingstatisticsfo192.168.0.2:Packets:sent=4,Received=0,Lost=4（100loss）,

3、結(jié)束語

利用交換機進行端口隔離，構(gòu)建企業(yè)二級數(shù)據(jù)網(wǎng)絡(luò)通信機制，對提高企業(yè)網(wǎng)絡(luò)安全性有極大的幫助。在應(yīng)用中，恰當(dāng)?shù)姆纸M布局，能使不同分組的計算機之間形成相對獨立的網(wǎng)絡(luò)，以提高企業(yè)各部門數(shù)據(jù)的安全性，在保證必要數(shù)據(jù)傳輸交換的同時，避免不必要數(shù)據(jù)的泄露，同時也能提高企業(yè)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)連接的安全性，具有極高的實用價值。

作者：谷安琪單位：中國運載火箭技術(shù)研究院