筆者工作的單位因為業(yè)務性質的特殊性，需要與多個領域的企業(yè)公司進行數(shù)據(jù)交換，這部分的業(yè)務構建的網(wǎng)絡就是外聯(lián)網(wǎng)，絕大部分業(yè)務是通過租用運營商的專線來搭建網(wǎng)絡的。因為業(yè)務發(fā)展得過快，網(wǎng)絡搭建缺乏規(guī)劃管理，導致了這部分區(qū)域較為混亂，存在網(wǎng)絡安全問題。原來的外聯(lián)網(wǎng)拓撲圖，如圖1所示。

租用運營商專線搭建外聯(lián)網(wǎng)的方式，一方面考慮的是信息在傳遞過程中較為安全，降低被竊取的可能性；另一方面為了加強網(wǎng)絡的可靠性與穩(wěn)定性，保證業(yè)務能正常交換數(shù)據(jù)。最大的缺點是費用較為昂貴，這一點在這里就不加以討論了。由拓撲圖分析存在的問題是這部分網(wǎng)絡邊界不明晰，外聯(lián)網(wǎng)的專線都通過一臺匯聚交換機直接與核心骨干網(wǎng)對接。倘若從專線那邊發(fā)起過的網(wǎng)絡攻擊，內部的網(wǎng)絡將會變得十分脆弱，沒有任何防御的措施，對外聯(lián)網(wǎng)的實時網(wǎng)絡性能缺乏監(jiān)控手段。

圖1 原來的外聯(lián)網(wǎng)拓撲圖

從最初的設計分析，使用的匯聚交換機是為了簡單化組網(wǎng)，把外聯(lián)網(wǎng)的接入企業(yè)當成了局域網(wǎng)的成員。其實這兩部分是有明確的區(qū)別的。外聯(lián)網(wǎng)的第一個特點是業(yè)務性質單一，它的接入成員僅是與服務器進行數(shù)據(jù)對接，不需要提供服務給企業(yè)內部人員使用，也不需要使用企業(yè)的互聯(lián)網(wǎng)出口。外聯(lián)網(wǎng)使用的專線都是低帶寬的鏈路，一般帶寬為2M、4M的較多。分配的IP地址較為凌亂，劃分的子網(wǎng)掩碼較為隨意且沒有規(guī)律可循。

結合上述問題，筆者單位計劃改造這部分的網(wǎng)絡。首先部署邊界防火墻，這里我們使用的是山石網(wǎng)科的下一代防火墻，對整個外聯(lián)網(wǎng)的業(yè)務提供安全訪問策略。為什么使用下一代防火墻，因為不僅有傳統(tǒng)防火墻的功能，而且還集成了防病毒、流量控制、入侵檢測等功能模塊。最重要的一點是集合在一臺設備上面實現(xiàn)多個功能，這樣使得我們部署起來較為容易。簡要拓撲圖如圖2所示。為此，我們需要進行以下改造工作。

表1 分配地址情況

圖2 改造后的簡要網(wǎng)絡拓撲圖

重新規(guī)劃IP地址，進行路由匯總

新規(guī)劃出一個IP網(wǎng)段地址為 192.168.100.0/24，通過劃分子網(wǎng)掩碼劃分給多個外聯(lián)企業(yè)使用。原則上業(yè)務數(shù)據(jù)交換只需要兩個對接IP就可以，分配的地址情況如表1所示。

這部分更改IP地址是最為重要的一個環(huán)節(jié)，在推進的時候遇到了一些困難涉及到程度代碼的一些更改，但為了統(tǒng)一部署我們還是很強硬地推進下去，有一些特殊的情況改不了，我們也用地址轉換的方式解決。過去的地址使用混亂導致很多問題，規(guī)范地址之后新增加的業(yè)務分配就很清淅了。

嚴格管理訪問權限，根據(jù)業(yè)務開放相應端口：

簡單來說就是要控制外互聯(lián)網(wǎng)的權限，這部分區(qū)域默認的策略是禁止訪問所有的地址（deny any）。然后跟據(jù)業(yè)務開放訪問權限，盡量控制到最精細度僅開放某個IP的某個應用端口。每做一條策略都要標注是什么業(yè)務，這能夠將業(yè)務與策略結合起來。

保證業(yè)務的穩(wěn)定，加強信息安全

通過外聯(lián)網(wǎng)傳送的數(shù)據(jù)都是一些比較重要的數(shù)據(jù)，雖然專線本身已有一定的安全防泄漏的功能，但是為進一步保障我們開啟防火墻的入侵檢測和防病毒模塊功能，實時監(jiān)控著整個外聯(lián)網(wǎng)的運行情況。