看完視頻，首先有容我先吐個槽。如果是真實的企業里，老克是無奈的，技術總監是混飯的，下面投訴的是不負責的，企業老板是什么都不懂的。

為什么這樣講，假設企業沒有任何的標準的信息化規范，那么技術總監起碼要知道企業網絡將面臨什么問題，恰恰又是一個外貿企業,涉密的就不說了，至少在提高內部辦公的整體效率上,作為一個CTO，這種技術總監還不如網吧的網管。根據視頻內容猜測，此類網絡癥狀絕對不是突發的，應該是長期管理不當導致，涉及到的技術層面反而并非根本原因。OK，吐槽完畢 進入話題

在當今的信息化企業中，企業網絡的搭建主要滿足不斷增長的商務拓展需求，其中以提高生產力以及辦公效率為主，所以會有更多的IT設備和企業應用投入到企業的生產環境中，使得企業IT基礎架構變得越來越復雜。可以承認一點一個公司的成立除了業務上的投資，剩下大量的內部預算有超過一半花費在不斷的部署，配制，更新以及管理IT資產。

從網關安全到網內安全，從主動防御到行為審計，這些都在表明企業網絡將來面臨的問題會越來越多。

單從視頻內容上看老克面臨的問題和現在很多企業基本一樣，企業僅僅單純的為了解決internet可能會帶來的網絡濫用，非法訪問，病毒入侵，內部信息丟失等一系列問題。很多企業也僅僅引入網關型的安全設備，如防火墻，IPS，UTM等。

但是被眾多網管或技術人員忽略的是內網的安全，堡壘往往從內部攻破，而超過三分之一的問題都是內網傳播的。

比如說APR病毒，ARP的變種帶來影響至今是眾多網管的噩夢，至于各個廠商提出的"絕對防御"如果不從實際環境考慮ARP，那么只是說明大部分商家在吹牛。

分析老克可能面臨的問題基本如下：

1.移動設備未經安全檢查直接接入到內部網絡，未經允許介入內部設備給網絡帶來病毒傳播、黑客入侵等不安全因素

2.內部網絡用戶中有人可能通過雙網卡、無線網卡等網絡設備進行違規的撥號上網。

3.可能將內部專網專用的計算機帶出網絡接入到其他網絡中

4.網絡出現類似病毒，蠕蟲攻擊等安全問題后，不能做安全事件實時的定位遠程阻斷操作。安全事件發生后，網管一般只會通過交換機和路由器防火墻進行阻截，但設置和操作風險較大，但是大多數的交換機也沒有開啟SNMP管理模式，所以不能快速進行隔離操作

5.老克的管理上缺少規劃性，在大規模安全事件發生后，根本無法確定黑客事件的源頭、無法找到網絡中的薄弱環節，說白了就是事前豬一樣，事后還不是諸葛亮，還是豬一樣--------------事后需要分析以及加強安全預警。（關于這點群里的趙云童鞋曾經制作過過一個記錄服務器遠端訪問的腳本，這個習慣非常好，相信很多人已經意識到這點了）

6.靜態IP地址的網絡由于用戶的原因造成使用管理混亂、網關甚至無法知道IP地址的對應關系、IP同MAC地址的綁定情況和網絡中IP的分配情況。

7.企業網絡系統中區域結構復雜，不能夠明確劃分管理職責范圍。（域控制可能沒有規劃）

8.網絡中的計算機設備硬件繁多，可能沒做到精確統計。

其實老克所有的問題總結就兩點：安全和管理

內網問題的優化方案一直就沒有停過，由于涉及到的技術領域和相關數據比較多我們僅以視頻中可能出現的問題來討論相對安全的內網規范。

老克的內網問題

個人認為的視頻中內網安全涉及到兩個廣義的方面

安全方面：最終目的是保證終端提供正常工作的應用服務，即計算機安全可用。

管理方面：最終目的是保證生產環境內的計算機是用來工作的，即規范計算機在企業網絡中的行為。

好了，剝絲抽繭，面對以上兩大問題，防病毒軟件以及防火墻的出現解決其中矛盾突出也是最基本的問題-------基礎安全。現階段日趨完善的桌面和終端內網安全管理類的產品出現，也集中解決內網計算機的安全管理漏洞，同時整合了對主機防病毒的監控。面對日益復雜的網絡使得企業有必要部署一套擴展性非常強的企業網絡，業務的擴展會讓企業內部存在太多的應用系統以及支撐這個應用系統的服務器、數據庫、中間件以及WEB服務等，面對眾多的應用服務，不但要保證基礎安全和基礎的業務操作，并且也要保證整個網絡的工作效率，也就是不能崩潰，所以想必很多企業現在已經開始走上了"中央集權式的管理與控制"。

說到此，我們和老克都已經清晰了一個觀念，那就是集中的內網安全管理是完全可以實現的，其中包括監控與審計和行為控制等一系列的管理辦法。（很多虛擬化平臺業務的設計方案強調的就是這一點）

下面我們開始細化一下管理細節，與傳統的防火墻、入侵監測系統、防病毒組成的安全網絡相比，現階段網絡安全的復雜性、多樣性突出的體現了傳統的被動防御，邊界防護等技術的局限。所以基于可信身份的帶寬管理、業務感知和控制，以及對全網安全問題和工作效能的檢測、分析、統計、評估的網絡架構已成趨勢。

上面一系列大家都清楚的廢話只表達一個問題，面對ARP欺騙、CAM攻擊、IP欺騙、虛假IP、虛假MAC、IP分片、DDoS攻擊、超大Ping包、格式錯誤數據、發包頻率超標等協議病毒攻擊等網絡威脅。所產生的安全策略必須要有自主防御和管理，源頭抑制、群防群控、全網聯動使網絡內每一個節點都具有安全功能，在面臨攻擊時調動各種安全資源進行應對。不敢保證絕對安全，但是至少要保證不發作，盡可能的減少經濟損失。

結合自身的工作經歷和老克的實際環境，粗略設想了一個拓撲，至于架構的復雜性和實用性，個人傾向于后者。

（涉及到的具體操作實在太多比如，進程禁止、窗口禁止、進程保護、驅動防火墻、IE安全、遠程集中管理客戶、還原保護、關閉非常用端口號等等此處不討論，全部包含在整體架構中）

下面闡述一下，此圖的設計思路（從外網向內網里說吧）

面向外網的設計考慮（路由，訪問控制，入侵防護）

1.路由思路。在設備選型上首先考慮實現基于源/目的的智能選路。按照查找優先級排列分別是：策略路由、源接口路由、源路由、目的路由。即不僅可以實現基于srcIP的源路由、基于In-interface（源接口）＋srcIP的源接口路由、還可以按照srcIP＋srcPort＋dstIP＋dstPort＋Protocol五元組來完成智能選路的高級PBR功能。與之配套的是采用ECMP智能負載均衡技術的設備，最大可以實現在多條路徑之間作負載均衡。

2.出口策略設計思路。按照上面拓撲的思路，在面對外網的路由設備上，一定要支持透明、路由、NAT、混合等四種部署模式。尤其是把NAT/路由模式以及透明模式無縫結合在一起，輔助以靈活的物理端口類型和數量，完全可以替換傳統的路由器加防火墻的接入方式，簡化網絡拓撲，降低投資,方便管理。

3.訪問控制思路。出口策略設置完畢，開始考慮防火墻安全防護能力，首先訪問控制：根據安全策略對數據流進行檢查，讓合法的流量通過，將非法的流量阻止，從而達到訪問控制的目的。現在大部分市面上的設備都有狀態檢測技術和優化的規則匹配算法，

舉個例子。DOS/DDOS攻擊，由于其攻擊的突發性和隨機性的特點，最有效的防御方式其實就是做到實時的檢測和即時防御。

面向內網的設計考慮（流量控制，內網監控，上網行為控制，提升可靠性）

1.流控思路。優化企業內部網絡第一個要求大部分同行想到的可能就是流控。P2P的應用越來越廣泛，所以曾經提高應用帶寬早變成治標不治本的辦法。

而現在生產環境要求，保證重要業務最大帶寬（如HTTP應用），減少外部用戶對帶寬的消耗，支持基于時間段生效的帶寬控制策略（可以通過配置不同的時間段策略進行時間與應用帶寬上的管理與控制），精準的應用協議精確識別等相對人性化策略。在此提句題外話，或許有些朋友把專業流控設備與上網行為管理混淆，二者有本質區別，比方說后者強調的技術是URL特征庫的識別，而專業流控設備強調的是協議特征庫的精準識別。當然本質區別還請童鞋們百度。

2.監控思路。如果按照上面拓撲展示，那么老克的單位規模并不小，所以內網監控是解決視頻中一些員工不遵守規定偷看小電影等問題的有效手段。對于員工訪問成人、反動、掛病毒木馬的網站--URL過濾這類的功能（這是行為管理產品最起碼的技術亮點），根據URL黑名單、關鍵字列表有選擇性地限制用戶對某些網頁的訪問。此外，企業中如果有需要，還可以對用戶的IM使用(Yahoo! Messenger 、MSN、Windows Messenger、QQ、新浪UC、網易POPO、搜Q)進行控制，如阻止登錄、阻止文本聊天行為或者阻止文件傳輸行為等。

3.高性能，高可靠性思路。我們往往忽視了一個重點-------企業網絡安全的最重要的一方面就是設備的性能、可靠性。

有很多人為了節省成本，采購一批性能強勁的流控設備，但偏偏網卡選擇買雜牌，最后導致設備頻繁崩潰，軟件性能再高，硬件承載能力不夠等于自毀城墻

當然，至于在事業型單位工作的朋友來說，基于這一點很多有錢的單位選擇了"燒錢"的方式來提升整體性能，這里涉及到領導那點內幕，此處忽略一萬字。

網絡安全的設備必須要具備先進的多核處理器，安全處理芯片＋內部高效的交換總線硬件平臺，穩定的操作系統，最高的吞吐能力、并發會話和的每秒TCP/UDP會話創建速率，這樣才能夠提供高性能的應用安全處理能力和更強的應用層抗攻擊能力

必須支持雙機熱備，主機和備機之間可以同步規則、對象、路由和Session等信息。當主機出現問題后，各種網絡服務都可以平滑的切換到備機上，保證用戶不斷網。減少企業網絡中單點故障，增強網絡的可靠性，穩定性。

以上想法和建議僅僅是針對老克的情況做出的一個分析，當然本人經驗有限，在遍布高手的天朝帝都中，還是抱著學習的心態與大家交流探討。

針對老克的情況推薦2種相對簡單的方案，并貼出以下可能涉及到的廠家以及設備（排名不分先后），僅供大家參考。

方案1：安全網關產品(UTM：Unified Threat Management）+流量控制

方案2：防火墻產品+防病毒(AV：Anti Virus) +入侵檢測(IPS： Intrusion Prevention System) +虛擬專用網絡(VPN：Virtual Private Network ) +流控系統

推薦產品方案：

安全網關產品： 飛塔(Fortinet) 、山石網科(Hillstone) 、瞻博網絡(Juniper)啟明星辰、天融信(Topsec)等…

流量控制產品：派網科技(Panabit) 、網康科技(NetentSec Inc) 、邁科網絡(Maxnet) 、Allot、Packeteer等…(建議選擇國內產品,國外產品識別率有局限)

防病毒產品：飛塔(Fortinet) 、山石網科(Hillstone) 、啟明星辰、天融信(Topsec)等….

入侵檢測產品：飛塔(Ftotinet) 、山石網科(Hillstone) 、啟明星辰、天融信(Topsec)等…

VPN產品：深信服(Sangfor) 、網康科技(NetentSec Inc) 、飛塔(Fortinet) 、山石網科(Hillstone) 、啟明星辰、天融信(Topsec) 、居易科技(Vigor) 等…