最近,笔者帮本地一建筑企业进行了局域网改造,现把相关过程还原出来,希望对大家有所帮助。
该企业改造前的网络拓扑见图1,网络中的所有服务器直接连接到核心交换机,工作站根据职能部门分成3个子网,通过接入层交换机接到核心交换机。
图1
一、说明
1.改造原因:由于该企业没有专职的网络管理人员,服务器疏于管理往往不能及时打补丁,系统存在严重漏洞。服务器经常遭受外部或者来自内部客户端的攻击,造成企业信息的泄露,服务器瘫痪。
2.改造要求:
(1).加固服务器的安全性,进行UAC控制。
(2).尽量不对当前的网络结构进行大的调整,实现网络的平滑改造。
(4).不改变员工的使用体验。
二、分析
1.诊断:从图1的拓扑可以看到,该企业局域网通过“路由器”与Internet连接,可以阻止Internet的用户访问“服务器”,从而对服务器提供了一定的保护能力。但对于局域网来说,所有的工作站可以“直接”访问服务器,如果服务器没有及时打补丁或者存在某些漏洞,很容易被内网上的工作站攻击,这种攻击有时候并不是由使用工作站的用户发起的,而可能是这些工作站上感染了某些病毒或者木马而“自动”形成的到内网服务器的攻击。另外,在大多数情况下,使用“路由器”提供到Internet的访问,性能与功能有限。
2.方案:基于以上的分析,笔者决定在局域网中用ISA Server 2006部署一台ISA服务器来代替原来的“路由器”连接Internet。服务器和各个子网分别通过交换机连接到ISA=服务器,进行网络隔离,然后在ISA服务器中对客户端访问服务器进行UAC控制,改造后的网络拓扑见图2。
图2
【责编:Zenghui】
|
相关文章
相关产品和培训
文章评论
专题推荐
今日更新
认证培训
频道精选
您现在的位置: 
中国IT实验室收集整理 
佚名 
2008-5-5 
