【拯救赵明】通过网络改造拯救赵明

通过文章说明赵明遇到的主要问题如下：

网站被攻击，公司网络断网，

目前主要设备：

其中包含：负载均衡器 1 个， Web 服务器 2 个（一主一备），文件服务器 1 个，监控机（只记录日志） 1 个，数据库 2 个，交换机 1 个。

 

根据以上要求方案分为土狼派解决方案，学院派解决方案，商务派解决方案，土狼版的方案自然有土狼的精神，问题出在哪里就要在哪里解决，以解决问题为主。学院

版，就是从学术传统解决方案出发，来完成解决方案。商务派的方案就是联系到钱上来看问题。

土狼派解决方案

根据网络图可以说明，赵明的公司不大，所以让赵明公司做到把问题解决，就要在花钱少的情况下，完成公司的基本要求。在成本要求严格的情况下完成。具体方案如下。

 

该方案的主要目的：

1，  区分办公网络和服务器网络

通过赵明遇到问题，说明办公网络和服务网络都会出现问题。所以，我们要把它们区分开，遇到问题分别对待。应用交换机进行分隔。

2，  加强安全防护

公司有这么多公司级服务器，所以一定要在出口放一个防火墙。防火墙两个主要功能第一，防止黑客攻击。第二，将内部网络与外部网络分隔开来。

具体方案：

根据方案可以看到，我们可能还需要购买防火墙，核心交换机。下面详细说明防火墙和交换机选择的目的，主要的应用。

防火墙配置及选择：

1，  划分 Untrust 区和 trust 区，整合安全策略，将互联网设外 untrust 区 公司内网设为 trust 区。

2，  流量分析控制，将服务划分为固定 IP ，将办公员工划分为 DHCP 指定地址。基于 IP 地址的控制。查看每个 IP 地址接口，流量，主要应用协议等。

3，  审计报警，数据分析完成后，进行接受，拒绝，丢弃等应用。

4，  NAT 配置，主要对服务器进行针对性的配置。给服务器相应出口。

5，  防火墙防范常见的攻击 ARP ， DDOS ， IP 冲突，挂马等。

防火墙的选择：

防火墙要有流量控制，审计报警等功能。所以请选择防火墙除了带宽可以足够应用之外，最好是第三代防火墙。

核心交换机配置及选择：

1.       划分 VLAN ，服务器 VLAN ，员工 VLAN 网段。对该两部分区进行区分。也为以后方便管理。

2.       ACL 应用，

a) 财务人员，行政人员，开发人员 不可以访问服务器，防火墙，交换机等

b) IT 人员 可以访问服务器，防火墙，交换机等

c) 除财务人员外，其它人员不可以访问财务部门

3 生成树

配置生成树，保证网络在有环路也可以正常运行。

核心交换机比较重要，所以没能让防火墙做 ACL 就是希望核心交换机承担更重一些的负担。现在的防火墙很多的时候，真的不如核心交换机让人放心，这只是个人心得。

4 DHCP

  员工上网的 IP 地址要根据用户所在部分进行划分。但服务器要指定 IP 地址。

核心交换机的选择

现在核心交换机（三层交换机）的功能也很多。但要注意以下几点。

扩展能力：采用模块化结构，必须拥有相当数量的插槽。以适应公司发展变化的网络需求。以可以进行模块冗余。

性能参数：在该设计方案中，对核心工作比较重要，所以根据公司日常流量来选择。

三层交换：核心一定要是三层交换，如果要为四层交换有更多的花钱，我以为没有必要，因为我们选择了第三代防火墙。

还有一些功能，比如 QoS ，安全性能。可能不是必要的，因为部分可以在防火墙应用。

 

学院派解决方案

学院派就是要按照传统方法进行，按传统方法的划分就是从哪里区分哪就放防火墙。如果网络比较大就要放防火墙和路由器。但是，我本人太不喜欢用路由器了。因为一些基本的路由，核心就可以完成。如果路由器都是静态路由还好。如果都是动态路由， debug 时候太困难了。

该方案的主要目的：

将安排 DMZ 区，将网络分为 Internet 区， Web 服务器区，员工网络区，公司级应用服务器级区。其中员工网络区和公司级应用先放在一起，这里就不多说了。

按照传统理论将网络区分通常要用防火墙，按照传统术方法，需要应用两个防火墙。将 WEB 相关服务器放在 DMZ 区， DMZ 区服务器到 Internet 策略相对宽松。对公司服务器应该放在相对安全的环境下。所以放在公司网内中。

 

 

网络改造后情况

改造后主要增加的设备

 

根据方案可以看到，我们可能还需要购买两个防火墙， IPS ，交换机。下面详细说明防火墙和交换机选择的目的，主要的应用。

防火墙配置及选择：

从 Internet 到公司的第一个防火墙很重要，所以要有以下的功能。

A 划分 Untrust 区和 trust 区，将互联网设为 untrust 区 公司 DM\Z 为 trust 区。

B 流量分析控制，该防火墙作为一个总出口。所以一定要有流量分析。了解公司内网用户的主要行为。

C 审计报警，数据分析完成后，进行接受，拒绝，丢弃等应用。

D NAT 配置，主要对服务器进行针对性的配置。 WEB 服务器相对应的出口。

E 防火墙防范常见的攻击 ARP ， DDOS ， IP 冲突，挂马等。主要防止外部的攻击。

 

从 DMZ 区到公司内网的防火墙就要求就不用太高了。只要可以做简单的 Policy 就可以了。

防火墙配置及选择：

A 划分 Untrust 区和 trust 区，将 WEB 服务器设为 untrust 区 公司内网设为 trust 区

B 审计报警，数据分析完成后，进行接受，拒绝，丢弃等应用。

C 防火墙防范常见的攻击 ARP ， IP 冲突等。常见内部问题。

 

 

交换机配置及选择：

交换机主要起到与服务器的连接的功能，所以不需要有太多的功能，只要质量好一点就 Ok 了。

但是希望图中原有的机器有以下功能。为了员工网络的安全。

1 ，划分 VLAN ，服务器 VLAN ，员工 VLAN 网段。对该两部分区进行区分。也为以后方便管理。

2 ， ACL 应用，

a) 财务人员，行政人员，开发人员 不可以访问服务器，防火墙，交换机等

b) IT 人员 可以访问服务器，防火墙，交换机等

c) 除财务人员外，其它人员不可以访问财务部门

3 生成树

配置生成树，保证网络在有环路也可以正常运行。

核心交换机比较重要，所以没能让防火墙做 ACL 就是希望核心交换机承担更重一些的负担。现在的防火墙很多的时候，真的不如核心交换机让人放心，这只是个人心得。

4 DHCP

  员工上网的 IP 地址要根据用户所在部分进行划分。但服务器要指定 IP 地址。

IPS 配置及选择：

因看到 WEB 应用出现了问题所以， WEB 常常出现的问题就是挂马，篡改 WEB 信息。有不少防火墙是有网站安全解决方案。但是，为了更加安全，万无一失传统方案会对症下药。这个样子就比较安心了。网站服务器还是主动的好一些。 IPS 就比较好一点。

 

商务派解决方案：

商务派解决方案，一切从钱考虑。从钱考虑就要想到另一个方案。如图：

 

 

把公司 WEB 相关服务器都交给专业的人。比如比较大运营商来做，把自己公司网络做好就好了。因为，看录像了解，公司就赵明一个人，而且也没有专门的制度来管理。如果想针对公司业务进行 IT 相关管理，专业的人员的费用也很高，而且很可能让公司买很多设备。但是，如果说让专业的人来做专业的事情就好很多。所以选择服务托管方式，或者就用信用好的运营商哪里租用服务器。所以不用对网络进行大量改造。只要把服务给托管就好了。

 

以上是我想到的主要方案，我本人很实在，方法全部是从用户角度来说。为了避免被人说成软文，所以没有推荐任何网络设备。

 

本文出自 “luojing” 博客，转载请与作者联系！