NBAD案例分析 电子企业安全网络改造规划

　　前言：

　　一般而言，网络问题会随局域网使用人数多寡而有明显变化，而网络设备需求也同样会依照使用网络大小而有明显区隔，通常会分为Solo使用，SMB、SME、enterprise…等。

　　对于Solo使用而言，问题通常仅限于单机，但对于较大型的企业网络而言，网络问题如异常广播封包及ARP攻击欺骗…等问题相对就会显得较为严重，特别是当使用者超过一定数量时(如一个C Class256为使用者)若未通过适当的规划，如VLAN的切割或安全设备的区隔防护，一旦问题发生时常会使得管理者疲于奔命，不易及时发现问题，随内部使用人数增长也会使得内网效能有逐步下降的趋势。

　　本文以近期项目客户XX电子厂建置过程规划及上线期间所遭遇的问题，与后续调整及成效，就技术面与业务面提供同仁类似规划时参考，文中针对骨干Alcatel 6850 mobile Vlan部分架构规划过程，及实际使用所需注意的限制做较详尽说明，接着针对Edge目前NBAD规划作法提供说明，藉以导入分析XX电子项目建置前后成效与阶段性功能需求展望，同时也分析就公司销售而言可再未来规划哪些新产品。

　　概述：

　　本案客户是以生产电子辨识设备为主的电子厂，公司内近400位使用者包含产线、业务部、软硬件研究RD、管理部门与信息部门，公司信息部门编制大约5名人员，IT部分大致由三位同仁负责需处理公司PC维护与网络问题(含Servers)。因网络使用者较多，三位同仁大多时间都在处理公司PC问题，相对网络设备熟悉度较低，也无充分时间针对此部分研究，但公司以往网络并无做分割内网使用者与Server，所有设备皆在192.168.0.0/255.255.254.0，所以并未对部门与使用者做适当区隔。

　　问题：

　　网络对MAC/IP资料库管理没有有效的机制，因此容易滋生IP地址冲突、ARP攻击/欺骗、蠕虫泛滥等问题;此外MIS常遭遇到未知名的入侵者侵入，更改使用者文件及服务器档案，但MIS通过以往有限的设备却难以理清实际问题，及对麻烦制造者的准确追踪及定位。

　　方案规划：

　　项目建置其间与客户讨论后初步规划，以Alcatel6850配合NBAD的架构做为内部网络骨干，出口端先经过FortiGate通过管制条例过滤，最后透过出口端AboCom UTM做两路Multi-homing，内部会按部门分为VLAN1-13，按照部门属性作为VLAN的分隔基础，所有使用者的MAC会记录于Alcatel6850上，通过其中DHCP Relay与mobile VLAN功能将指定MAC归属于指定VLAN，未登记MAC的PC将被归属于VLAN999，而此VLAN不与前述VLAN互通，藉此管控使用者，底层藉由NBAD异常侦测功能配合NBAD Manager及时对异常流量做记录与适当处理，透过多层分工控管简化管理层次并及时处理异常事件。分析以往入侵事件，经讨论后锁定软硬件RD研究部分较具此专业能力与犯案可能性，因此针对此部分，除开启此部门NBAD侦测监控外，也通过Alcatel做port mirror配合Sniffer软件做长时间监控备份，作为类似事件发生时回溯追踪依据。

　　上线过程中较繁杂的部分在MAC建立上，因为条目较多且仍须配合DHCP Relay，因此花费时间较长。上线后以往客户网络共享通过Wins加注故仍能照旧使用(NetBIOS转换成NetBIOS Over TCP/IP)，过程中较为麻烦的是Printer Server与Wireless AP与Mobile VLAN搭配时的问题(无Spanning tree机制无法取的MAC辨识)，通过底层设备孔位集结与Alcatel设定排除此问题。