73、深入了解企业内部网络：架构、服务与安全方案-优快云博客

本文链接：https://blog.youkuaiyun.com/vim8coder/article/details/153707009

深入了解企业内部网络：架构、服务与安全方案

一、内部网络基础架构与桌面设备

1.1 内部网络概述

内部网络是一种规模受限的网络，通常覆盖几个房间、一层楼、几层楼或一座建筑物。其用户属于同一公司、组织、部门等，处于相同的管理控制之下。它将用户的工作站（即桌面设备）与内部网络服务器相连，为企业运营提供高效的工作环境。

1.2 网络架构

局域网（LAN）与广域网（WAN） ：内部网络可实现为单个局域网，不过从性能角度看，将其组织成层次化网络更佳，子网划分对网络吞吐量和速度有益。实现为广域网的内部网络也有其他优势。常见的局域网技术包括以太网、快速以太网、千兆以太网、ARCnet 和令牌环等，有时也会使用综合业务数字网（ISDN）和拨号连接。
硬件组件 ：内部网络的基本硬件基础设施与互联网类似，包括双绞线、光纤、无线传输链路、网桥、集线器、交换机、路由器和网关等。

1.3 客户端/服务器模型

客户端 ：主要是桌面计算机，通过高速链路连接到内部网络。大多数桌面设备是个人计算机（PC），也有苹果工作站（Mac）或基于 UNIX（主要是 Linux）的工作站，它们主要运行在微软 Windows 平台上。
服务器 ：是功能强大、高速且磁盘容量较大的计算机，为桌面客户端提供特定服务。服务器和桌面设备都包含运行网络和执行特定服务所需的网络支持软件。

1.4 网络软件

基本软件 ：Web 软件使服务器支持 HTTP 以与客户端交换信息；防火墙软件保护内部信息免受外部侵害；浏览器软件允许使用超链接在文档中导航。
网络协议 ：TCP/IP 是内部网络中占主导地位的网络协议，但也会使用其他协议，如 Novell NetWare IPX 或微软 NetBIOS，这与互联网中几乎仅使用 TCP/IP 有所不同。

1.5 人员因素

成功的内部网络不仅依赖于硬件和软件，还主要取决于运营该网络的人员。新的内部网络项目可能需要新的人员配置，项目启动时可能需要顾问。网络建成后，需要 Web 开发人员、信息设计师，还需要人员培训员工使用内部网络。

1.6 总结

总体而言，内部网络在硬件和软件方面与互联网匹配，基于互联网的技能和 UNIX 管理技能可在内部网络中充分应用。

以下是内部网络基础架构的主要组件表格：
| 类别 | 具体组件 |
| ---- | ---- |
| 硬件 | 双绞线、光纤、无线传输链路、网桥、集线器、交换机、路由器、网关 |
| 软件 | Web 软件、防火墙软件、浏览器软件、TCP/IP、Novell NetWare IPX、微软 NetBIOS |
| 人员 | 顾问、Web 开发人员、信息设计师、培训人员 |

下面是一个简单的内部网络架构 mermaid 流程图：

graph LR
    A[桌面设备] --> B[内部网络]
    B --> C[服务器]
    D[网络支持软件] --> A
    D --> C
    E[防火墙] --> B

二、内部服务

2.1 互联网服务延伸

从用户角度看，内部网络可视为互联网的延伸，用户期望在内部网络中使用常见的互联网服务，如 Web 浏览、电子邮件等。内部网络防火墙可能会限制用户对互联网的使用，用户希望实现对互联网的完全透明访问。使外部互联网服务在内部可用很大程度上取决于内部网络策略，技术上主要涉及如何配置和调整内部网络防火墙。

2.2 特定内部服务

内部网络还有一系列严格针对内部的网络服务，这些服务与互联网上的服务概念相同，可直接在内部网络中实现。以下是一些常见的内部服务：
- DNS（域名系统） ：是必需的服务，用于内部主机名解析，对外部主机的 DNS 请求应转发到外部 DNS 服务器。
- 打印服务 ：用户经常需要打印，打印服务可围绕具有多个本地打印机的打印服务器组织，或者使用直接连接到内部网络的网络打印机，后者如今更为常见。
- NIS（网络信息服务） ：适用于管理内部网络的 UNIX 部分，内部网络环境非常适合集中管理。
- NFS（网络文件系统） ：高度适合内部网络文件服务，可确保整个内部网络的数据一致性，便于数据备份和恢复。对于非 UNIX 客户端，有多种仿真软件可用。
- 网络备份 ：内部网络适合实现网络备份，如免费的 Amanda 或专业的 Legato Networker、Veritas NetBackup 等。
- 电子邮件 ：内部网络和与外部互联网用户之间都需要电子邮件服务，入站电子邮件流量需扫描病毒和恶意代码，内部网络病毒墙可有效提供保护。
- 远程登录和命令 ：内部网络社区由可信主机组成，内部远程登录和其他远程命令通常比较安全，但仍建议使用安全的远程命令和安全外壳（SSH）。
- 内部 Web 服务 ：可将所有内部信息发布在内部网站上，供公司内部人员访问，技术上与外部 Web 服务相同，只是受众仅限于内部网络用户。
- 其他服务 ：大多数其他互联网服务也可在内部网络中实现，但需考虑实施的效益。

2.3 动态主机配置协议（DHCP）

2.3.1 概念

DHCP 是一种允许在计算机网络上集中自动分配 IP 配置的协议。此前我们假设手动分配 IP 地址（即静态 IP 地址），这在 UNIX 平台上几乎是标准做法，因为 UNIX 主机主要作为网络服务器运行，大多需要静态 IP 地址。但内部网络并非仅基于 UNIX，桌面设备数量众多且大多不是 UNIX 主机，自动分配 IP 客户端配置可减轻内部网络 IP 地址管理的痛苦过程。

2.3.2 工作原理

当客户端需要启动 TCP/IP 操作时，它会广播地址信息请求。DHCP 服务器接收请求，为客户端分配一个特定时间段（租赁期）的新地址，并连同其他所需配置信息一起发送给客户端。客户端确认该信息并用于设置其配置。在租赁期内，DHCP 服务器不会重新分配该地址，并会在客户端每次请求地址时尝试返回相同地址。客户端可通过后续请求延长租赁期，并可在租赁期到期前通知服务器不再需要该地址，以便将其释放给网络上的其他客户端。

2.3.3 优点

节省 IP 地址 ：每台内部网络计算机在特定租赁期内自动从可用 IP 地址池中获取配置，不会浪费 IP 号码。
管理便捷 ：配置信息可从单点管理，主要网络资源变更只需更新 DHCP 服务器的信息，而无需更新内部网络中的每台计算机。
适合移动办公 ：移动用户在内部网络中只需将笔记本电脑连接到网络，即可自动获得所需配置，无需手动重新配置。

2.3.4 注意事项

内部网络中的一些设备（如服务器、路由器、打印机等）需要固定 IP 地址，DHCP 服务器应能够为这些特定设备分配预分配的 IP 地址。
为避免 DHCP 服务器分配的地址与手动分配的地址冲突，应劝阻或防止内部网络用户自行重新配置 IP 地址。此外，一些旧的操作系统不支持 DHCP。

以下是内部服务的列表总结：
| 服务名称 | 描述 |
| ---- | ---- |
| DNS | 必需服务，用于内部主机名解析 |
| 打印服务 | 满足用户打印需求 |
| NIS | 适合管理 UNIX 部分 |
| NFS | 提供文件服务，确保数据一致性 |
| 网络备份 | 实现内部网络数据备份 |
| 电子邮件 | 内部和外部通信所需 |
| 远程登录和命令 | 内部相对安全，建议使用 SSH |
| 内部 Web 服务 | 发布内部信息 |
| DHCP | 自动分配 IP 配置 |

下面是 DHCP 工作流程的 mermaid 流程图：

graph LR
    A[客户端启动 TCP/IP 操作] --> B[广播地址信息请求]
    B --> C[DHCP 服务器接收请求]
    C --> D[分配地址和配置信息]
    D --> E[发送给客户端]
    E --> F[客户端确认并配置]
    G[客户端请求延长租赁期] --> H[DHCP 服务器处理]
    I[客户端通知释放地址] --> J[DHCP 服务器释放地址]

三、虚拟专用网络（VPN）

3.1 VPN 解决的问题

企业内部网络虽然为员工提供了安全的工作环境和所需的互联网服务，但它受限于地理空间，覆盖范围相对有限。对于远程的公司分支机构或全国有众多门店的零售组织来说，如何让这些远程节点接入公司内部网络，获取所需的服务器和数据库资源是一个难题。而虚拟专用网络（VPN）技术为解决这一问题提供了方案。

3.2 VPN 概述

VPN 允许利用现有的互联网基础设施构建低成本的虚拟内部网络，将所有远程参与者纳入其中，同时在大地理区域内保持网络隐私。它能在较长的物理距离上提供网络连接，属于广域网（WAN）的一种形式。其关键特点是使用公共网络（如互联网）而非依赖专用租赁线路，通过实现受限访问网络，在不牺牲功能和基本安全的前提下利用互联网资源。

3.3 VPN 的优势

3.3.1 成本节约

减少租赁线路成本 ：无需昂贵的长途租赁线路，只需与互联网服务提供商（ISP）建立相对较短的专用连接，如本地租赁线路、DSL、电缆调制解调器或 ISDN 服务。
降低远程访问费用 ：减少了远程访问的长途电话费用。
减轻支持负担 ：ISP 承担拨号访问支持，由于其成本可分摊给众多客户，理论上费用低于企业内部支持成本。

3.3.2 可扩展性

传统的租赁线路广域网在企业扩展、增加远程主机时，成本会急剧增加，存在组合爆炸问题，限制了增长灵活性。而基于互联网的 VPN 可直接利用地理分布的现有访问资源，避免了这一问题。

3.4 VPN 的劣势

安全理解与部署要求高 ：需要深入了解公共网络安全问题并正确部署预防措施。
网络可用性和性能受限 ：企业广域内部网络通过互联网使用 VPN 的可用性和性能很大程度上受外部因素影响，企业自身难以控制。
标准不成熟 ：不同供应商的 VPN 技术可能因标准不成熟而无法很好地协同工作。
协议兼容性问题 ：需要适应除 IP 之外的其他协议和现有的（“遗留”）内部网络技术。

3.5 VPN 的安全问题与应对

VPN 努力确保数据安全，但仍可能被攻破。互联网上的黑客可能会试图窃取 VPN 数据。大多数 VPN 技术采用强加密，防止数据被网络嗅探器直接查看，但可能更容易受到“中间人”攻击，即拦截会话并冒充客户端或服务器。此外，一些私有数据（如 IP 头）在传输前可能未被加密，黑客可能捕获这些地址并对设备进行未来攻击。VPN 技术基于隧道策略，将数据包封装在其他协议中，如在互联网上运行的 VPN 会将几种 VPN 协议格式的数据包封装在 IP 数据包中。几种用于 VPN 的网络协议强调认证和加密，以尝试弥补 VPN 固有的安全漏洞。认证允许 VPN 客户端和服务器在访问内部网络时正确确定人员身份，加密可隐藏潜在敏感数据，防止被互联网公众获取。

3.6 常见 VPN 协议

点对点隧道协议（PPTP） ：由多家公司开发，因微软几乎所有版本的 Windows 都内置支持该协议而常与微软相关联。微软早期发布的 Windows 版 PPTP 安全功能被一些专家认为较弱，但微软一直在改进。PPTP 的主要优势是支持非 IP 协议，主要缺点是未选择单一的加密和认证标准，完全符合 PPTP 规范的两个产品可能因加密方式不同而完全不兼容。

以下是 VPN 优缺点的表格总结：
| 类别 | 描述 |
| ---- | ---- |
| 优点 | 成本节约（减少租赁线路成本、降低远程访问费用、减轻支持负担）、可扩展性强 |
| 缺点 | 安全理解与部署要求高、网络可用性和性能受限、标准不成熟、协议兼容性问题 |

下面是 VPN 远程访问架构的 mermaid 流程图：

graph LR
    A[远程客户端] --> B[本地 ISP]
    B --> C[互联网]
    C --> D[公司 VPN 服务器]
    D --> E[公司内部网络]
    A -->|安全通信| E

综上所述，企业内部网络涵盖了基础架构、内部服务和 VPN 等多个方面。基础架构搭建了网络的硬件和软件框架，内部服务满足了企业内部各种业务需求，而 VPN 则解决了远程节点接入的问题。企业在构建和使用内部网络时，需要综合考虑各方面的因素，权衡利弊，以实现高效、安全的网络运营。在选择技术和服务时，要根据自身的业务需求、预算和安全要求等进行合理决策，确保内部网络能够为企业的发展提供有力支持。