规划Vlan 撑起企业数据安全的保护伞

　　要保障企业数据的安全，还要从根源做起。企业通过虚拟局域网，就可以从问题的根源，保障企业信息数据的安全。

　　下面，笔者将用我公司的Vlan规划，来谈谈在企业中如何利用虚拟局域网来保障企业数据的安全。下图是我们企业网络的简单架构。为了描述的简单方便，我只截取了部分架构。企业有三个部门，每个部门的电脑都用交换机

　　一、没有Vlan规划的网络存在的数据风险。

　　若以上的网络架构，CIO在设计基础网络时，若没有采用虚拟局域网，则企业的数据是非常危险的，很容易被人非法窃取。

　　如电脑1是财务会计的电脑，电脑2是财务出纳的电脑。当出纳做好工资表，因为会计也需要查看工资信息。所以出纳就会在电脑中新建一个文件夹、共享，把工资表共享在这个文件夹中。虽然在工资表中设置了密码，但是，若没有相关保护措施的话，其他人员可以轻而易举的拿到密码。如通过密码群举器，高级一点的话，通过键盘记录器等工具，就可以非常轻松的拿到密码。而这些工具现在网络上是随处可得。所以说，光设置密码，现在已经不能保护企业信息的安全。

　　研发部也是如此。虽然研发部门的配方等关键信息为了安全起见，都保存在本部门的电脑上，而没有放在文件服务器上，并且，都设置了密码。但是，只要稍微有心一点的员工，还是可以轻而易举的拿到文件，破解密码。

　　再如，研发部门员工，如电脑3与电脑4，有时候可能要通过邮件或者其他工具交流相关信息，而这些信息对企业来说，又是保密的，只有研发部门的员工可以知道。但是，根据现在网络数据的传递规则，当电脑3给电脑4进行通讯时，电脑3会把数据包传递给企业内网的所有电脑。如此，企业内部员工就可以利用相关的工具软件探测到他们的谈话。若这些数据没有加密的话，则企业的数据信息就很快会被泄露出去。

　　可见，没有采取保护措施的网络，是很脆弱的。我们在实际部门设置时，会把各个部门分开在各自的房间里，而且，如财务部这些比较敏感的部门，还会用铁门之类的，以加强安全。那我们做网络规划时，能否也给他们装上防盗门呢?

　　二、Vlan的优势。

　　答案当然是可以的。通过Vlan技术，就可以把公司网络按照部门不同，划分成一个个独立的网络。这就像一扇扇防盗门一样，只有用户允许的人才能访问这个部门。而且，本部门的文件也不会随意的给其他部门访问。

　　如我们在财务部门的交换机上，设置虚拟局域网的话，则就可以把财务部门跟公司的其他网络隔离开来。此时，在电脑1上共享的文件夹，除了财务部门自己，其他人是无法访问的。有了这个安全保护，即使员工用了网络探测器等黑客工具，也无法取得财务部门电脑的相关信息。因为Vlan技术把网络从根部把财务部门的网络跟公司的网络区分开来了。外界无法访问财务部门的电脑。

　　当财务部门确实有文件需要给其他部门时，或者其他部门需要把文件传递给财务部门时，只需要把相关文件放在文件服务器上。通过文件服务器这个中转站，则用户就可以自己控制文件的访问人员了。如此，可以最大限度的保障文件不被非法的访问。

　　研发部门的网络也可以做如此的设计。从而保证数据不被外人非法访问。

[next]

　三、具体实现方式。

　　Vlan技术有如此优势，其实施起来，是否很困难呢?

　　其实，Vlan技术通过几年的发展，现在已经比较成熟，在企业内部署起来，也不是一件很困难的事情。

　　1、 通过静态实现。

　　可以根据交换机的端口来实现Vlan的配置。如可以把财务部的几台电脑所用的端口，设置成一个虚拟网络，把研发部门的电脑所连的端口设置成另一个虚拟网络。这种根据端口来配置虚拟局域网，我们叫做静态配置。

　　这种配置方法有个缺陷，就是若财务经理用的是笔记本电脑，有时候把电脑拿到会议室去上网，就不能访问财务部门的网络了。因为其网线在交换机上连的端口不一样，所以，交换机在数据交流进行判断时，会认为其不是财务部门的人，不能访问财务部门的共享文件。

　　此外，还有另外一个风险。如有些可以接触交换机的人，可以把端口换掉，让自己电脑的网线插在财务部门网络的端口上，就可以骗过交换机，实现访问财务部门网络的目的。

　　2、 通过动态实现。

　　正因为静态实现方法有以上的不足之处。所以，就出现了动态实现的方式。动态配置，顾名思义，就是无论电脑位置怎么换，你只要用的还是这台电脑，那交换机就不会认错人。在动态配置模式下，交换机用来辨别身份，不再是靠那网线的端口，而是靠电脑使用的IP地址或者MAC地址。因为IP地址或者MAC地址，在企业网络内是唯一的。所以，交换机也就可以一对一，而不会认错人。

　　所以，财务经理的笔记本就可以随时随地的访问财务部门的内部网络因为其是根据电脑的IP地址或者MAC地址来辨别人的身份的，所以，就没有了位置的限制。

　　虚拟局域网是专门为了提高企业网络的安全性而设计的，在保护企业数据的安全性上，有不凡的表现。若你企业有数据安全的考虑，若你想把财务部门等关键部门的数据特殊的保护起来，可以考虑采用Vlan技术。不过，有一个条件，就是你企业的交换机要支持这个技术。