基于网络安全的企业网性能优化

基于网络安全的企业网性能优化

张敏刘海恩

中国飞行试验研究院陕西西安710089

摘要：通过分析企业网现状提出企业网目前存在的问题，从顶层网络架构规划、核心接入层策略优化及接入层非授权阻断优化等三方面展开论述，并详细介绍了解决方案和技术实现过程。

关键词：企业网；网络性能；优化；802.1X认证；端口控制

前言：随着网络化进程的加快，国内大中型企业几乎均已建立了各自的企业网络。该网络既承担着企业科研、经营、生产、交流等任务，也是办公、数据传输、文件上传下载的重要基础性设施。企业网网络的性能和安全，将直接影响到科研生产的发展进程，更关系到科研任务完成的质量和效率。

1企业网现状及面临的问题

随着单位信息化建设不断深入，应用系统的增加，网络节点的增多，网络用户的激增，企业网早期的网络结构和路由策略已不能满足当前业务增长需求和网络扩展需求，急需优化升级。同时按照企业信息化和保密管理相关要求，网络安全问题也日益突出。对于完全独立于Internet的网络，其安全威胁主要来自网络内部。若某企业建立了较为完善的安全防御体系，但众多安全产品都是C/S架构的，均需要在客户端安装运行，极大地影响了终端的运行速率。因此，如何平衡安全和效率之间的矛盾是当前研究的重点。本文重点探讨了如何在保证网络安全的前提下优化企业网性能。

2企业网性能优化措施

企业网性能整体优化分为三个方面，首先在顶层对整个网络架构进行扁平化调整；其次在核心交换层建立访问控制列表并优化路由策略；最后改变非授权接入阻断方式，优化用户终端接入。

2.1企业网架构优化

最初核心网络设备采用“核心-汇聚-接入”三层架构串行链接，如图1所示。该链接方式无冗余热备，存在单点故障，因此对网络架构进行扁平化结构调整，将3号区域与2号区域直连。通过调整有效降低1号区域的网络负载，提高3号区域的访问效率。优化后的网络拓扑结构如图2所示。通过架构优化，用户可直接到达核心层进行服务器访问，简化了拓扑结构，有效提高了用户的访问效率。

2.2核心交换机策略优化

（1）路由策略的变更

OSPF（OpenShortestPathFirst，开放式最短路径优先）是一个内部网关协议，用于在单一自治系统内决策路由。其特点是收敛速度快、传递路由信息数量少等，但路由协议比较复杂多变，给日常网络维护管理带来很大难度。由于实际网络中所有节点均只有一条路径可以到达，因此将原有的OSPF变更为默认静态路由。默认路由是一种特殊的静态路由，是对IP数据包中的目的地址找不到存在的其他路由时，路由器所选择的路由。目的地不在路由器的路由表里的所有数据包都会使用默认路由。采用静态路由之后，所有下一跳路由均为核心指向，有效降低了节点关联成本，提高了通信效率。因此，核心路由层采用最简单的静态路由，代替复杂的OSPF，使网络拓扑结构更加清晰明了，更加方便管理。

（2）建立访问控制列表

访问控制列表是路由器和交换机接口的指令列表，用来控制端口进出的数据包。如根据不同业务范围设置不同访问规则，有效控制企业网的业务访问，避免了终端用户的非法操作，有效提高企业网的安全性；在工作时间限制员工的部分行为，如工作时间限制访问论坛、视频点播服务等；预防计算机病毒在企业网内传播，通过关闭135、139、445、4444等端口，有效减少破坏性。通过建立访问控制列表，设置不同访问规则，提供基本安全防护，控制数据流量，有效避免信息的高密低传，极大地提高了网络性能和安全性。

2.3内网非授权接入阻断优化

用户接入层的主要工作是将基于802.1X端口接入认证方式改为交换机端口控制。

（1）基于802.1X端口接入认证

802.1X协议是基于端口的网络接入控制协议，以实现网络接入设备端口级的认证和控制。在认证时，采用了与域认证相结合的方式加强网络安全管理。具体实现过程为：所有入域计算机终端均要安装智能客户端，所有的连接交换机端口在配置接入时都启用802.1x认证，认证方式配置为PAP（密码认证协议）。通过多年的使用，该访问控制方式存在诸多问题，如服务器一旦发生故障，所有终端都无法正常上网，影响面积极大；误报率较高，存在误阻断、误报警情况；属于C/S结构，部署工作量大，耗时耗力；两次认证，两次信息匹配，产生额外网络流量。基于以上几点，对企业内所有交换设备进行了配置升级，采用了交换机端口控制方式进行非法授权阻断，并结合MAC地址绑定、安全域划分等措施进行非法授权阻断。

（2）交换机端口控制

交换机端口控制是通过对交换机的物理端口信息与终端主机的IP、MAC地址信息进行绑定，有效控制企业网内计算机的访问，分为静态绑定和动态绑定。

静态绑定关闭交换机的MAC学习功能，计算机只能从网络中预先配置好的交换机端口接入到网络中。该方式的缺点是维护性较差，需要人工配置MAC。由于接入端口信息固定，因此网络准入安全级别高，可有效避免计算机身份冒充行为，从交换机底层就可控制计算机非法接入。

动态绑定是指终端主机可以随机接入到交换机的不同端口，在网络接入身份认证时，从交换机中动态获取终端主机所在端口的信息，并动态的与MAC地址等信息绑定。动态绑定具有灵活性的优点，因此端口信息均采用动态绑定。通过MAC地址、访问VLAN和交换机端口号等信息的绑定，并限制端口MAC地址数，可有效的阻断交换机上接入主机的非授权接入。

由于交换机没有专门的日志服务器，因此存在难以追溯非授权行为的问题，很难发现交换机上的任何操作和修改。但该技术是网管人员最熟悉的典型处理方式，直接、有效、对网络无副作用且控制灵活；其次交换机配置可重复使用，减少部署工作量，而一旦交换设备出现问题时，仅影响该交换机及其下联用户，故障影响面小；最后，由于访问控制直接在底层进行，因此极大提高接入效率。

总结：通过顶层结构优化，有效提高网络的可管理性、可维护性和可扩展性；通过建立访问控制列表、优化路由策略，增强了网络接入安全性，提高了节点关联的通信效率；修改终端用户认证方式，减少用户终端的操作性和认证过程，通过对底层数据通信进行访问控制和非授权阻断，一次认证实现用户终端接入，减少了用户记忆用户名与密码的繁琐，同时提高终端接入效率。随着科学技术的发展，提升网络性能的新技术也越来越多，我们也在通过不断学习、应用新技术，力求在保证网络安全的前提下不断提升企业网网络性能。

参考文献：

[1]Ciscosystems公司CiscoNetworkingAcademyProgram著，思科网络技术学院教程[M].2004年.第三版.人民邮电出版社

[2]陈红梅.企事业单位内网常见非授权接入问题解决方案浅析.保密科学技术[J]，2011（1）

作者简介：

张敏（1984-），女，工程师，主要从事网络安全及保密技术研究

刘海恩（1984-），男，工程师，主要从事网络安全研究