企業(yè)的內(nèi)網(wǎng)存放著很多重要信息，比如公司的技術(shù)資料、客戶信息等。一旦發(fā)生信息泄露，會(huì)給企業(yè)帶來(lái)不可估計(jì)的損失。信息安全是系統(tǒng)工程，涉及到管理行政手段，文件加密技術(shù)、網(wǎng)絡(luò)安全技術(shù)等各方面。本文中，我將從網(wǎng)絡(luò)架構(gòu)的角度，來(lái)論述如何保障內(nèi)網(wǎng)的信息安全。主要涉及到如下兩點(diǎn)：

1. 如何防范非法接入？

2. 如何保障重要信息的安全？

1. 如何防范非法接入？

防范非法接入是網(wǎng)絡(luò)安全的第一道防護(hù)。一旦攻擊者進(jìn)入到內(nèi)網(wǎng)，那么等于盜賊已經(jīng)到了大門內(nèi)。防范非法接入可以通過(guò)如下手段：

1. 有線和無(wú)線區(qū)分不同的VLAN，無(wú)線不允許訪問(wèn)內(nèi)網(wǎng)。
   

2. 有線網(wǎng)段開啟“IP和MAC綁定”。

3. 開啟共享檢測(cè)，禁止內(nèi)網(wǎng)電腦共享網(wǎng)絡(luò)連接。

4. 開啟新設(shè)備告警，一旦發(fā)現(xiàn)新設(shè)備時(shí)進(jìn)行人工干預(yù)。
   

一些配置如下圖：

劃分不同VLAN

開啟ip-mac綁定

開啟共享檢測(cè)

開啟新設(shè)備告警

2. 如何保障重要信息的安全？

經(jīng)過(guò)上述的非法接入防范，網(wǎng)絡(luò)安全性已經(jīng)可以得到很大的提高。但是，攻擊者如果可以物理接觸到內(nèi)網(wǎng)，仍然可以通過(guò)usb拷貝，直接讀取硬盤等方式威脅到信息安全。重要的信息資料，還需要在物理上做隔絕，比如把服務(wù)器資源都鎖在機(jī)房里面，不允許未授權(quán)的人員物理接觸到。并且在服務(wù)器前部署防火墻設(shè)備，只有允許的MAC地址才可以訪問(wèn)到服務(wù)器資源。如圖：

通過(guò)WSG的“應(yīng)用過(guò)濾”即可管控到服務(wù)器組的訪問(wèn)。如圖：

綜上所述，結(jié)合“接入認(rèn)證”和“服務(wù)器資源控制訪問(wèn)”，可以有效的保護(hù)內(nèi)網(wǎng)的信息安全。