确保线路安全第3部分-访问控制

昨天我们讨论了使用虚拟局域网(vlan)来分割和分离语音和数据网络。这种级别的隔离极大地提高了数据和语音网络的安全性，也为任何潜在的黑客提供了另一种复杂性。虽然语音vlan听起来是个好主意(它们确实是)，但如果没有适当的跨vlan路由配置和保护措施，它们实际上是无用的。如果没有访问控制列表、防火墙和路由和保护两个vlan上的数据的策略，局域网分段实际上没有任何意义。在WAN、数据LAN、DMZ和语音LAN之间构建路由策略相对于语音流量来说应该比较容易。不像任何在您的网络上的其他部分，话音流量实际上是最容易管理的策略。仔细想想，网段的数据对等体被设计成允许和控制大量的异构流量。我们说的是SMB, WWW, SMTP等…这样的例子不胜枚举。这些区段的路由和防火墙策略可以很快变得非常复杂。然而，考虑到语音网络，流量是非常大的均匀，通常由信令协议和媒体传输或RTP传输组成。因此，来自语音网络的流量足迹中增加的“统一”可能更容易控制、防火墙和路由。政策相对容易管理，不需要太多的监督和改变。在构造任何跨vlan策略集时，请记住最小特权原则．首先，将政策限制在绝对必要的范围内，然后在必要时加以增加。考虑管理VPN隧道，允许远程和相邻vlan的管理员不受限制地访问该网段。