[发明专利]一种企业网安全管理方法

说明书

本发明公开了一种企业网安全管理方法，包括企业网与外网之间构建DMZ防火墙，实现真实IP的隐藏和访问控制的功能，以及总公司和分公司之间创建IPSecVPN实现不同区域内网的安全信息传输，降低了风险，提高了安全；其中，通过在二层交换机上配置端口安全，并预设端口通过的数据包阈值或通过MAC地址表记录允许连接到交换机端口的MAC地址，允许特定数量或特定MAC地址使用本端口通信，防止非法设备访问网络，也能防止MAC地址泛洪导致MAC地址表满溢，通过划分vlan，减少了广播风暴，充分分担了二层交换机的压力；另外，使用链路捆绑聚合，增加交换机之间的传输带宽，通过配置PPP协议，采用chap进行双向认证，防止非法用户的连接，进一步提高安全性。

技术领域

本发明涉及网络安全技术领域，具体为一种企业网安全管理方法。

背景技术

近年来，企业开始适应信息化时代，到如今企业的日常运作都依靠着网络；世界各地的企业都在加大信息化建设的力度，网络的发展使得网络应用越来越广泛，企业也开始重视信息化建设，建立自己的企业网络，企业的很多业务和管理都依靠网络来运行；企业信息化程度已经成为权量一个企业实力的标准；由于企业网络建设初期，网络总体设计不够明确、缺乏系统规划和长远规划，网络管理人员不足等原因，目前很多企业的网络依旧存在巨大的安全隐患，对企业网络的使用和企业信息造成了安全隐患，所以急需一种企业网安全管理方法来解决上述问题。

发明内容

本发明提供一种既能确保网络安全，又能提高办公效率，便于集中管理企业的网安全管理方法，来解决上述现有技术中存在的问题。

为实现上述目的，本发明提供如下技术方案：一种企业网安全管理方法，包括企业网与外网之间构建DMZ防火墙，实现真实IP的隐藏和访问控制的功能，以及总公司和分公司之间创建IPSec VPN实现不同区域内网的安全信息传输；

其中，企业局域网接在内部信任端口，并在二层交换机上配置端口安全，预设端口通过的数据包阈值或通过MAC地址表记录允许连接到交换机端口的MAC地址，同时，采用PVST生成树协议为企业每个vlan均建立一棵生成树。

优选的，预设端口通过的数据包阈值，并在交换机端口通信量超过阈值时，采取保护措施包括：

a、Shutdown，直接关闭交换机端口，阻止用户访问企业网络服务；

b、Protect，直接丢弃这些非法数据包同时报警；

c、Restrict，仅仅丢弃这些非法数据包。

优选的，在采用PVST生成树协议时，把GW1配置成vlan 10、vlan 20的根，把GW2配置成vlan 30、vlan 40的根；并在交换机连接交换机的端口要配置为trunk。

优选的，在交换机之间，使用链路捆绑聚合，增加交换机之间的传输带宽。

优选的，采用chap来进行身份认证，验证方法包括：

a、链路建立后，验证方向端点发送请求消息；

b、端点用单向哈希函数计算，将计算得到的值做应答；

c、验证者同时使用哈希函数计算，若计算得到的值和端点返回的值相同则认证成功，否则连接中断；

d、经过一段随机间隔时间，验证者重新发送一个新的请求给端点，返回步骤a。

优选的，在企业网中，采用GNS3配置HSRP热备份路由选择协议，其中，在一个上游端口添加给活跃路由器，当上游端口挂断时，自动将活跃路由器切换成备份路由器。

优选的，在企业网中，配置多种路由协议，且设置RIP和OSPF的重发布。