企业网络中的安全设计

有人的地方就有江湖，有江湖的地方就有纷争，网络的江湖水更深。

作为保护网络秩序的重要一环，网络安全从来都是网络管理人员日常工作中的一大重任。不出问题则以，出问题都是大问题。

介于此，即便网络技术日新月异，分分合合，合合分分。大部分企业网络安全仍然以防火墙为主，辅以各个层级的安全措施来为网络保驾护航。

今天我们就从企业网的角度来看，如何设计-一个安全的网络。

从大框架到小细节

现如今大部分企业网，仍然是主流的层次化的网络设计。

常见的层次化划分如下:

终端:用户主机，工作站，服务终端等设备。

接入层:直面终端，企业网的底层边界，负责把终端连接入网络，绝大部分接入层交换机均工作在数据链路层，并有根据业务配置各种各样的VLAN。

汇聚层:大量的接入层交换机通过上联高带宽接口汇聚到汇聚层。例如楼层接入交换机到每栋楼的汇聚交换机，汇聚交换机为各种终端的IP网关。

核心层:多个汇聚交换机最终上联到核心交换机，核心交换机根据规模和园区数量，数量可能从2台到多台不等。汇聚和核心可能运行路由协议，核心和核心直接也是用路由协议互联。

服务器集群:企业网可能存在很多虚拟化的服务器用于服务内部业务或者开放给Internet，并服务于公众。服务器集群会通过对应的数据中心交换机连接到核心交换机。

网络边界:企业网络边界，向外连接Internet或者广 域网WAN。

上述为所谓的大框架，即企业的网络规划总览。

而所谓的小细节，则是在大框架的基础上，每- -个层级都有对应的安全策略。

接下来，我们以框架为主线，-步步讨论每一个层级的安全细节: