企业内网安全从子网安全入口开始

　　现在，规模较大、职能部门较多的企业，在部署局域网时一般都划分了子网。把不同的职能部门归并为一个子网，定制不同的策略，方便不同的生产、安全的需要。这种分化管理的最大好处是：灵活性，适应不同的环境和需求。划分之后的网络安全，就应该从每一个子网的入口开始，做好规划，制定策略，进行部署。管理员通过灵活定制，就能防在攻击之前，最大限度地把威胁杜绝在门外。

    企业子网安全部署策略：

　　1、IP子网策略

　　由于我们在网络设计时通常将不同的业务部门划分到不同的VLAN，同时将VLAN对应不同的IP子网;因此，IP子网策略适用于对安全需求不高，对移动性和简易管理需求较高的的网络设计中。通常采用以下一条命令就完成了一个IP子网策略VLAN的设定：

　　当用户终端的IP地址设为192.168.10.*时，该终端将自动进入VLAN1。这种子网策略具有一定的安全性，因为要进入IP子网VLAN必须知道交换机中定义了哪些IP子网。

　　2、MAC地址策略

　　MAC地址策略需要我们事先将归属该VLAN的终端MAC地址配置到交换机上，只有符合我们预设的MAC地址的终端才可以进入该VLAN。MAC地址VLAN相比IP子网VLAN安全性要高，但配置工作量相对较大；策略适用于对安全和移动性需求较高的网络设计中。MAC地址VLAN通常采用以下命令就完成设定：

　　当用户终端的MAC地址设为01:01:01:02:02:02时，该终端将自动进入VLAN1。这种子网策略比第一种安全性高，因为要进入MAC子网VLAN必须知道交换机中是否定义的MACVLAN策略，同时需知道至少一个已定义的MAC地址。

　　3、IP/MAC绑定策略

　　IP/MAC绑定策略需要我们事先将归属该VLAN的终端IP/MAC配置到交换机上，只有符合我们预设的IP/MAC地址的终端才可以进入该VLAN。IP/MAC绑定地址VLAN相比MACVLAN安全性更高，适用于对安全和移动性需求非常高且VLAN用户较少的网络设计中。

　　IP/MAC绑定VLAN的另一个作用是禁止符合策略的用户对IP或MAC进行改动，IP/MAC的改动将失去VLAN策略的匹配，该终端从而被放入隔离VLAN。IP/MAC绑定VLAN通常采用以下命令完成设定：

　　当用户终端的IP地址设为21.0.0.10，MAC为00:00:39:59:0a:0c时，该终端将自动进入VLAN1。这种子网策略安全性更高，因为要进入IP/MAC子网VLAN必须知道交换机中是否定义了IP/MACVLAN策略，同时需知道至少一个已定义的IP/MAC地址。

　　4、用户认证策略

　　用户认证VLAN与上述策略VLAN的最大不同是检测终端使用者的合法性而非终端本身的合法性，更适用于多人共用终端的场合。为终端用户提供合法账号，不同的账号对应不同的VLAN或决定交换机端口的开、闭，终端进入哪一个VLAN由用户账号决定。由于是对用户的认证，所以该策略的实施必须引入用户认证服务器来完成相应的认证、授权工作，相对增加了网络管理的复杂度。

　　这种子网策略要求进入用户认证的VLAN必须获得合法的用户账号，适应于公共场合对不同用户的认证。

　　5、DHCP策略

　　DHCP是终端自动获得IP地址的协议，对于访客非常方便。通过对VLAN定义DHCP，使得访客自动获得IP地址并进入相应的访客VLAN。通常采用以下命令完成一个DHCP策略VLAN的设定：

　　当用户终端的IP地址设为自动获得时时，该终端将自动进入VLAN1并获得相应的IP地址。这种子网策略适应于无特殊安全性需求的场合，便于访客的灵活接入同时与保障企业内网的安全隔离。

　　
　　有些企业的局域网也划分了子网，但往往每个子网都采用了同样的安全策略。这种整齐划一的方式虽然比较方便，但是不能够满足企业各部门的具体需求。通常的情况是，因为不同子网的客户端的不同需求，使得网络管理员疲于奔命。因此，根据企业的具体需求，灵活定制子网安全及接入策略既满足了企业需要也在极大程度上解放了网络管理员自己，何乐而不为呢？