1.网络的设计
1.1 架构的设计
为了满足企业在 办公、生产、研发、远程协作及安全管理的需求,本文企业网络方案采用分层式网络架构,包括接入层、汇聚层、核心层,并结合VPN 技术 提供安全稳定的远程访问能力,以支持企业跨地域协作及混合办公模式。本文基于上述需求进行网络的设计。
网络从上往下核心层是企业网络的 数据交换与路由中心,负责企业总部、数据中心及各个分支机构的数据 高速转发。所以在核心层部署高性能核心交换机和核心路由器,支持 万兆甚至更高带宽,确保企业内部的数据传输畅通无阻。在核心层的网络边界部署VPN网关,作为远程用户、安全接入点,支持 IPSec VPN、SSL VPN 等协议,确保远程办公和跨地域业务的安全连接。
汇聚层分布于各个办公区域、数据中心及工厂园区,主要用于整合接入层的流量,并提供 流量控制、安全策略执行及访问管理。汇聚层实施访问控制策略、VLAN 隔离及微分段,限制不同部门之间的 横向移动攻击,提高企业网络安全性。
接入层面向企业员工、管理人员及智能终端,提供稳定的有线接入,确保各类业务系统的流畅运行。在接入层支持OpenVPN工在外出差或在家办公时,可以安全访问企业内网资源。
企业在网络边界徐需部署安全策略与VPN服务。对于不通的区域使用IPSEVPN实现无线网络的接入,在改接口上因为接入的终端统一,所以只用密钥和硬件白名单认证,实现VPN的不通区域接入。对于远程用户来说在网络的边界上还需要部署OPENVPN,并且改VPN结合用户密码和Google验证码的组合认证,实现远程网络的接入。
并且根据用户权限在所有的边界设备上进行安全策略的部署,实现用户的精细的访问控制,降低横向攻击风险。
1.2 网络IP地址的设计
IP地址规划是网络稳定性、安全性及可扩展性的关键因素。若企业IP地址规划不合理,可能导致地址冲突、路由混乱及访问异常,影响业务运行。因此合理的网络划分可以有效提升安全性。采用私有地址并结合NAT,可优化地址利用率,避免公网IP资源不足的问题。本文的IP地址设计如下表。
| 部门 | 网络地址 | 接口 | 网关/对端地址 |
| 部门1 | 192.168.10.0/24 | VLAN10 | 192.168.10.254 |
| 部门2 | 192.168.20.0/24 | VLAN20 | 192.168.20.254 |
| HJ-Swtch-HX-route | 10.10.0.1-2 | 10.10.0.2 | |
| Server-Web | 172.28.200.0/24 | VLAN90 | 172.28.200.254 |
| Server-Swtch-HX-route | 10.10.1.1-2 | 10.10.1.2 | |
| HX-route-Bj-WAF1 | 10.10.2.1-2 | 10.10.2.2 | |
| Bj-WAF1-HX-AR1 | 10.255.0.1 | 10.255.0.2 | |
| Bj-WAF1-HX-AR3 | 10.255.1.1 | 10.255.1.2 | |
| HX-AR1- HX-AR3 | 10.255.4.1 | 10.255.4.2 | |
| HX-AR1- HX-AR2 | 10.255.2.1 | 10.255.2.2 | |
| HX-AR3- HX-AR4 | 10.255.3.1 | 10.255.3.2 | |
| HX-AR1- HX-AR4 | 10.255.7.1 | 10.255.7.2 | |
| HX-AR2- HX-AR3 | 10.255.6.1 | 10.255.6.2 | |
| HX-AR2- HX-AR4 | 10.255.5.1 | 10.255.5.2 | |
| HX-AR2- BJ-WAF2 | 10.255.9.1 | 10.255.9.2 | |
| HX-AR4- BJ-WAF2 | 10.255.8.1 | 10.255.8.2 | |
| BJ-WAF2-Fhx-Router | 10.0.3.1 | 10.0.3.2 | |
| Fhx-Router-Jrwl-Switch | 10.0.4.1 | 10.0.4.2 | |
| 分部门1 | 192.168.30.0/24 | VLAN30 | 192.168.30.254 |
| 分部门2 | 192.168.40.0/24 | VLAN40 | 192.168.40.254 |
| IPSVPN隧道 | 172.16.2.1 | 172.16.2.2 | |
| OPENVPN | 10.2.25.0/24 |
1.3 网络VPN设计
随着企业规模的不断扩大,分支机构、数据中心及远程办公需求日益增长。不同办公地点之间的业务系统、数据共享、远程协作需求,使得传统的独立网络模式难以支撑现代企业的高效运营。所以在企业网络边界上使用IPSec VPN的企业多站点互联。因为IPsecVPN可以支持大量的数据传输,该方案可在公网环境下建立安全、稳定的加密隧道,实现公司跨区域网络资源互通,同时确保数据的机密性、完整性和可用性。
企业VPN在边界采用部署OPenVPN,相较于IPSecVPN改VPN他比较灵活支持多终端的接入的时候对设备开销较小,但是对大规模的流量的承载能力不如IPsecVPN可靠,所以结合使用场景,本文再企业边界部署OpenVPN并且结合身份验证、证书,实现只有授权用户和设备可接入企业网络,有效防止非法访问与数据泄露,保障企业网络安全和业务连续性,其中部署示意图如下图所示。
1.4 网络认证体系设计
在本次高校中,需要在两处位置部署不同协议VPN网络,实现网络的跨区域连通和外部的高效接入。其中在企业的总部和分部门之间的网络因为是网络设备之间构建的VPN相对面向外部接入的VPN来说,不管是终端还是数量都比较稳定。所以本文采用IPSecVPN协议,在认证上采用预共享密钥的认证用来实现总部门和分部门之间的无感连通。在企业对外发布的VPN中因为需要提供给外部的员工进行远程的连接,网络接入的人数众多,而且设备繁杂,所以在该区域需要加强网络的管控,并且在VPN的认证体系上采用用户米密码的同时,还要部署数字证书用来防止密码的爆破,最后为了更进一步提高网络的安全性,需要在接入的账号上开启Google的二次验证码认证从而实现网VPN认证体系的建设,本文VPN认证体系的架构如下图所示。
2 网络的实现
在对VPN网络的架构进行设计之后,在本章将对上述设计的VPN进行实现,通过本章将对网络设备进行配置,可以实现在企业的不同区域之间使用IPSec实现无感的连接,在企业的外部接入使用OPENVPN的密码和证书联合二次认证,提高网络的安全性,详细配置步骤如下。
2.1 网络基础的实现
在企业中首先进行基础的网络配置,按照拓扑的要求,首先在网络中进行环境的搭建,然后使用路由交换技术实现网络基本的连通,最后对防火墙进行配置,实现网络中内网到外网的访问,配置步骤如下。
2.1.1 网络接口的实现
在网络中首先连接好物理设备之后,接下来需要对网络中各个接口的配置。在配置的时候按照接口工作在网络的模式,给接口进行IP地址和接口模式的配置,其中接口模式配置中将连接下层终端的接口设置为Access模式,方便只有一个VLAN通过,将连接上层路由器的接口配置为路由接口,在交换机中还需要配置VLAN接口信息,并且给VLAN配置对应的IP地址,全部配置完成之后如下图所示。
2.1.2 路由的实现
在本次网络设计中,路由的配置上使用了动态OSPF路由个静态相互结合的模式,在全网的总部区域互联网区域以及分部门区域使用了OSPF动态路由在保证网络连通的同时提高灵活且,增加网络的健壮性,在互联网核心区中配置了多条链路来保证网络的冗余,防止单点故障造成全网的不。在网络的外部接入的办公区域,本文配置了静态路由来实现外部VPN用户接入的时候的网络可达,配置完成如下图所示。
2.2 网络服务的实现
2.2.1 DHCP服务的实现
在网络中为了能够实现网络地址的自动分配,本文在总部区域和分部区域都配置了DHCP服务,DHCP的主要是是自动为设备分配IP地址,避免手动配置的繁琐过程,提高网络管理的效率。而且DHCP还能动态回收和重新分配IP地址,使网络资源得到更有效的利用,尤其适用于终端设备频繁更换的企业和大型网络环境。在企业网络中通过DHCP可以简化网络管理、减少IP地址冲突、提高网络的灵活性和可扩展性。它能确保终端设备在接入网络时自动获取有效的网络参数,从而快速建立连接,减少人为配置错误。
本文在配置的时候,使用在交换机配置的模式为不通的VLAN配置DHCP并且在交换机的VLAN接口上开启全局获取的模式实现DHCP的自动发下配置,配置完成如下图所示。
在配置完成之后交换机下层连接的终端即可通过DHCP自动获取地址实现自动的上网,本文使用网络中VLAN20的终端进行获取测试,测试如下图所示。
2.2.2 WEB服务的实现
在当前的网络技术环境中,Httpd是最广泛使用的Web服务器,它主要是处理的 HTTP请求,为所有的浏览器终端提供内容的访问,通过配置httpd可以实现静态和动态网页的托管、虚拟主机配置、并且对传输内容可以进行HTTPS 加密、在安全模式上它可以进行身份验证与访问控制。在大型网络中Httpd可以通过配置文件自定义 URL 重写规则,实现反向代理以及负载均衡,增强 Web 服务器的灵活性和性能。
在现在的企业中网也内容早已不能满足于文字内容,所以一般企业中通过Httpd配合PHP,ASP等脚本语言实现网络的动态处理,在数据的存储上该服务一般和MySQL、PostgreSQL数据库进行了无缝集成,为当下企业的Web需求应用提供强大支持。
综上所述,本文在企业网络中在DMZ区域部署了Web服务,Web 服务的作用在于提供统一的接口,方便企业内部系统集成,提高数据共享效率通过WEB服务方便企业对外的门户展示和对内的办公。所以在配置的时候首先在Linux服务器上安装httpd服务,开启默认的httpd服务,安装完成如下图所示。
部署完成企业的Httpd服务之后,选择启动服务,并且设置当前服务的启动模式为开机自动启动,所有配置完成之后,将企业的Web应用代码部署到服务器的默认/var/www/html目录中,然后关闭该服务器的防火墙firewalld,此时该服务器的80端口处于开放状态,外部用户可以访问如下图所示。
2.3 企业边缘VPN的实现
在本次网络中有两种VPN实现了总部区域和分部区域的连接以及外部用户远程拨入的连接,这两种连接部署在不同区域的网络设备上,并且通过密钥和数字证书的多种认证提高网络的安全性和可管理性,配置的时候将分为以下几步实现。
而在不同样的部门连接上,本文使用IPSecVPN,该VPN主要用于在公共网络上建立安全、加密的通信通道,以确保数据的机密性、完整性和真实性它采用加密算法(如 AES、3DES)对数据进行加密传输,防止敏感信息被窃取。同时,它使用身份认证机制来确保通信双方的合法性,从而防止恶意攻击。通过在企业边界配置VPN使企业员工能够安全访问公司内部资源,同时确保不同分支机构之间的安全数据交换。相比于其他 VPN 技术,IPSec VPN 具备高安全性、兼容性强和性能稳定的特点,是企业级网络安全通信的主流方案之一。
2.3.1 VPN基础的实现
在网络种首先进行VPN的基础配置,对两个防火墙进行基础设定,实现网络的可达,配置步骤如下。
(1)首先在防火墙上设置安全区域,设置连接外部的区域为非信任区域,连接内网的区域接口为可信区域,根据不同的区域设定安全级别,配置完成之后如下图所示。
(2)为了提高网络的健壮性,所以在防火墙上采用多出口的配置,当一条设备发生故障的时候,另外的链路可以进行迅速的切换保证所有的设备正常,所以在两端的防火墙上都需要进行健壮性的配置,首先创建一个健康检查,然后设置过载保护,设置阈值为超过百分之就是则进行切换,并在接口上应用健康检查。配置完成如下图所示。
(3)然后进行NAT的配置,通过NAT配置实现内网的互联网访问,首先创建两条静态路由,然后为不同的路由设置优先级,完成之后创建一个NAT策略设置NAT策略的转换地址为出口的公网IP然后因为使用了多出口设计,所以还需要源进源出的配置,配置完成如下图所示。
2.3.2 防火墙VPN的实现
在防火墙完成了基础配置之后,接下来需要在防火墙上进行VPN的配置通过配IPSecVPN实现端到端的隧道对接,然后实现部门之间的流量在配置的时候,主要包含配置安全策略,内网的路由以及IPSec策略。包括配置IPSec策略的基本信息、配置待加密的数据流、配置安全提议的协商参数。
首先在两个防火墙上创建安全策略,内网之间的互相通信,并且允许防火墙之间的IPsecVPN隧道的连接,分别在防火墙上创建四个策略,配置完成之后如下图所示。
2.3.3 VPN安全策略的实现
在防火墙完成接口基本配置之后,需要进行安全策略的配置之后就进行IPSecVPN的配置,首先使用配置基本信息、然后使用加密算法将IPSecVPN加密的数据流、配置安全提议的协商参数。配置完成之后如下图所示。
2.3.4 VPN隧道的实现
然后在防火墙上将隧道应用到安全策略中,并且设置对类型的IPSecVPN协议,设置对端IP为互相的防火墙对端IP,配置完成如图4.12所示。
2.4 企业接入VPN的实现
在本次网络中有企业接入的VPN上,选择使用OpenVPN。OpenVPN是开源的虚拟专用网络解决方案,主要用于在公共网络上建立安全的加密通信通道。它基于 SSL/TLS 协议,支持高强度加密和身份验证,能够确保数据在传输过程中的安全性和完整性。而且OpenVPN还支持动态 IP 地址、负载均衡和高可用性配置,提高网络的灵活性和稳定性。在本次企业环境中,OpenVPN主要用于建立安全的远程连接,使员工能够随时随地访问内部网络,同时确保数据的机密性和完整性。
2.4.1 接入VPN的实现
在企业网络的总部边界通过Opnsense安全设备进行了OPENVPN的配置,通过该VPN配置,配置之前首先进行证书颁发机构的配置,创建一个证书颁发机构,配置完成如下图所示。
然后设置创建OPENVPN的工作端口为1194,创建一个网段为VPN网段,并且该VPN和内网的网段进行打通,然后设置刚才证书颁发机构创建的服务器证书为当前VPN的证书,最后点击保存,完成之后如下图所示。
2.4.2 二次认证的实现
为了提高网络的安全性,所以在认证VPN的时候,除上述描述的用户米密码和数字证书意外,本文还引入了Google的随机验证码认证,通过引入二次认证,实现用户在接入的时候,还需要使用动态密码从而提高网络的安全性,防止用户密码泄露造成的安全问题,相较于传统的网络的单用户名密码的认证模式,有效提高了VPN接入的安全性,及时用户名密码泄露,没有二次验证的验证码,攻击者也很难接入到内网中,配置步骤如下。
(1)首先在Opnsense中的服务器中配置认证类型为本地认证加基于时间的密码认证,配置完成之后如下图所示。
(2)然后在移动设备上安装Google的认证软件,改软件是免费支持移动平台得安装,为用户提供基于时间得动态密码的软件,用来增加企业网络中单密码的不安全导致的不安全性。安装完成之后如下图所示。
(3)然后添加或修改用户,创建一个新用户,然后单击进行添加,输入用户名和密码,并像填写其他用户一样填写用户密码证书等信息。然后在OTP 种子下选择生成新(160 位)密钥,配置完成之后获取到用户绑定二次认证的二维码,如下图所示。
(4)获取到用户的二次验证的验二维码之后,需要在刚才添加的移动端进行绑定,绑定完成之后移动端获取到当前的设备的随机密码,并且有效期一般保持在半分钟,配置完成之后如下图所示。
(5)继续在防火墙上进行切换,将认证模式从当前本地认证,改为本地用户加一次性密码校验,完成之后点击确定进行提交,此时本地认证的用户全部无效,如果用户要进行VPN的登录,需要进行密码+随机密钥以及证书的综合认证,配置完成之后如下图所示。
(6)然后在移动设备上安装Google的认证软件,配置完成之后如下图所示。
3. 企业VPN网络的测试
企业VPN网络测试是VPN连接可靠性、安全性和性能的关键步骤。通过对VPN进行全面的测试,可以发现的网络故障、配置错误或安全漏洞。在测试的时候,主要分为三个部分,分别是企业内网的连通性测试,以及企业的IPSECVPN和OPENVPN测试,通过这三个的测试,企业可以及时发现并解决网络问题,确保VPN为远程员工和分支机构提供安全、稳定的访问服务,支持企业业务的持续运作。
3.1 网络连通性测试
(1)首先对在内网中使用内网终端获取IP地址,然后对企业内部的网络进行ping测试,通过对服务器区域以及网络的核心区域的ping测试进行网络基础配置,路由配置等的验证,通过测试可以得知当前网络在测试的过程中访问正常,说明内网的基础配置正确,符合测试的验收要求,配置测试结果如下图所示。
(2)然后在企业内部访问防火墙等网络设备,经过访问发现企业内部可以有效管理到防火墙设备,说明企业中运维管理的配置正确,测试结果如下图所示。
(3)在上述的网络的测试中有部分数据经过防火墙流向了其他的网络,所以在测试的时候对上述防火墙的策略命中情况进行测试,经过登录防火墙验证发现防火墙的安全策略按照要求预期进行了命中,说明防火墙的安全策略配置正确,测试结果如下图所示。
3.2 IPSecVPN的测试
在本次网络中,在总部门和分部门之间部署了ipsecvpn,并且在认证方式上采用了预共享密钥的认证方式,所以在测试的时候,需要对隧道进行验证,首先登录防火墙查看两个墙对端的防火墙认证,隧道建立连接的情况,经过查看发现防火墙隧道构建成功,符合部署的IPSECVPN隧道的要求,测试结果如下图所示。
然后登录到企业的分部门计算机上,对企业的总部门进行访问测试,经过测试发现企业分部门到总部门都可以正常访问,说明企业中防火墙之间的隧道建立成功,测试结果如下图所示。
3.3 OpenVPN的测试
在网络的边界上为了方便外部用户的远程登入,所以在防火墙上还配置了Oenvpn并且配合数字证书和密码的方式进行了远程的拨入绑定,所以在测试的时候使用外部主机进行连接然后尝试访问内网情况用来验证配置的有效性,测试步骤如下。
(1)首先在互联网的机器上配置openvpn的客户端,然后下载用户的证书和密码信息导入到客户机中,完成之后点击连接,系统需要进行用户名和密码验证,并且需要在密码之前输入动态验证码如下图所示。
如果全部的输入正确,则系统完成认证,系统则回想服务器请求VPN隧道得地址请求完成之后系统成功获取到网络地址,如下图所示。
获取成功之后,使用该机器对内网进行访问,经过访问发现该设备可以成功的访问到内网的资源,并且防火墙对其访问的权限做了精细的控制,所以证明企业网络边界的OpenVPN配置正确,符合预期的要求,测试结果如下图所示。
