企业网安全从边界做起

　　要建造一个安全的企业网，首先要保证企业网边界的安全，可以说，企业网的边界是企业网络安全的第一道防线。

　　一个典型的企业网，其网络边界主要包含三大组成部分，即因特网接入模块、内联网VPN和远程接入模块以及外联网VPN接入模块。 大多数的企业网都注意到了因特网接入模块的安全问题，并且大都采取了相应的有效措施，保证了因特网接入模块的网络性。而目前VPN的商业优势非常吸引人，许多公司都开始制订自身的战略，要利用Internet作为主要的传输媒介，采用VPN技术进行互通。因此，本文主要介绍内联网VPN和远程接入模块，以及外联网VPN接入模块的网络安全问题。

　　1．内联网VPN和

　　远程接入模块

　　内联网VPN指的是公司内部不同地域之间采用VPN技术互通信息，以降低运营成本及增加网络安全性。用户可以采用高性能的Passport 8600骨干交换机作为与因特网接入模块的接口，并采用4台Alteon内容交换机对Contivity 4600 VPN网关实现负载均分。Contivity 4600带有硬件加密卡，进一步提高了VPN加解密的性能。解密后的数据流经Alteon交换式防火墙，对流入企业内部网的数据进行高性能的状态检测及攻击防范，IDS的负载均分进一步提高了入侵检测的性能。

　　● 远程用户VPN接入部分

　　远程用户的VPN数据首先流经因特网接入模块，然后通过Passport 8600流向Contivity 4600 VPN访问服务器。因此，需要在Passport 8600 上配置相应的过滤器，只允许IKE（UDP 500）、ESP及IPSEC NAT 方式所采用的UDP/TCP数据流向Contivity 4600 VPN访问服务器，而拒绝其余任何形式的数据流。 　　

　　● 远程办公室VPN接入部分 　　

　　远程办公室的VPN数据首先流经因特网接入模块，然后通过Passport 8600分别流向两台Contivity 4600 VPN网关（由Alteon 内容交换机实现负载均分）。因此，需要在Passport 8600 上配置相应的过滤器，只允许IKE（UDP 500）、ESP流向Contivity 4600 VPN网关，同时对数据流的端点IP进行限制。目的地址只能为Contivity 4600 VPN网关IP地址，而源地址只能为远程办公室VPN网关的IP地址，拒绝其余任何形式的数据流。 　　

　　2．外联网VPN接入模块 　　

　　外联网指的是不同公司之间采用VPN方式通过公网互相交流信息，以实现B2B的电子商务。 　　

　　在本方案中，商业伙伴的VPN数据首先流经因特网接入模块，然后通过Passport 8600分别流向两台Contivity 4600 VPN网关（由Alteon 内容交换机实现负载均分）。因此，需要在Passport 8600 上配置相应的过滤器，只允许IKE（UDP 500）、ESP流向Contivity 4600 VPN网关，同时对数据流的端点IP进行限制。目的地址只能为Contivity 4600 VPN网关IP地址，而源地址只能为商业伙伴VPN网关的IP地址(如果其使用固定IP地址)，拒绝其余任何形式的数据流。