導(dǎo)語(yǔ)：信息中心內(nèi)部網(wǎng)絡(luò)改造與網(wǎng)絡(luò)安全建設(shè)一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

本文針對(duì)中心內(nèi)部局域網(wǎng)建設(shè)初期缺乏整體規(guī)劃的混亂局面，整合規(guī)劃一個(gè)完善且具有擴(kuò)展性的方案。論述了網(wǎng)絡(luò)改造方案、網(wǎng)絡(luò)安全規(guī)劃與建設(shè)。

一、概述

信息中心（通信公司）成立于1989年，是油田范圍內(nèi)唯一一家經(jīng)營(yíng)通信服務(wù)的公司。上世紀(jì)90年代末，網(wǎng)絡(luò)技術(shù)的開(kāi)始在油田發(fā)展，信息中心開(kāi)始搭建公司內(nèi)部使用的局域網(wǎng)絡(luò)，由于當(dāng)時(shí)技術(shù)的局限性，對(duì)網(wǎng)絡(luò)的擴(kuò)展性和延伸性未進(jìn)行很好的規(guī)劃。隨著信息化時(shí)代的來(lái)臨，中心的各項(xiàng)業(yè)務(wù)流程及應(yīng)用服務(wù)都逐漸移植到網(wǎng)絡(luò)服務(wù)上。在中心內(nèi)部逐漸形成了運(yùn)行生產(chǎn)報(bào)表匯總的生產(chǎn)運(yùn)行網(wǎng)，運(yùn)行電信業(yè)務(wù)營(yíng)收及業(yè)務(wù)辦理的計(jì)費(fèi)網(wǎng)，與集團(tuán)公司進(jìn)行公文收發(fā)的信息網(wǎng)，還有大部分計(jì)算機(jī)還要外部互聯(lián)網(wǎng)進(jìn)行聯(lián)系，滿足工作學(xué)習(xí)的需要。由于不同的需求跨越不同的網(wǎng)段，占用不同的物理鏈路，且各個(gè)部門的需求又不盡相同，所以造成公司內(nèi)部網(wǎng)絡(luò)異常混亂，各類應(yīng)用無(wú)法暢通的運(yùn)行。不但加大了對(duì)網(wǎng)絡(luò)的維護(hù)的難度，而且網(wǎng)絡(luò)的安全性也無(wú)從保障。

二、現(xiàn)有網(wǎng)絡(luò)改造

改造后網(wǎng)絡(luò)系統(tǒng)采用星型結(jié)構(gòu)，以寬帶機(jī)房為中心，連接應(yīng)用服務(wù)器群，機(jī)關(guān)樓，中心機(jī)房大樓、還有地處各個(gè)礦區(qū)的通信站，綜合服務(wù)公司。涉及聯(lián)網(wǎng)的機(jī)器約有300余臺(tái)，20余個(gè)部門。網(wǎng)絡(luò)出口部署中網(wǎng)黑客愁防火墻，3個(gè)百兆端口分別連接到互聯(lián)網(wǎng)、信息網(wǎng)和內(nèi)部網(wǎng)，利用防火墻的NAT功能，抵御來(lái)自互聯(lián)網(wǎng)的網(wǎng)絡(luò)攻擊，管理，限制內(nèi)部用戶的互聯(lián)網(wǎng)訪問(wèn)。核心層采用Cisco3548-EMI三層交換機(jī)，該交換機(jī)能夠?qū)崿F(xiàn)數(shù)據(jù)保的路由及數(shù)據(jù)快速轉(zhuǎn)發(fā)交換。接入層采用Cisco2948二層交換機(jī)，實(shí)現(xiàn)各終端的接入。全網(wǎng)按照部門和物理位置劃分出了20個(gè)VLAN，利用Cisco3548實(shí)現(xiàn)三層交換，有效的抑制了廣播風(fēng)暴的影響。各接入層交換機(jī)與Cisco3548之間采用TRUNK方式連接，不同交換機(jī)的端口可以規(guī)劃到相同的Vlan中。

三、網(wǎng)絡(luò)規(guī)劃整體規(guī)劃與設(shè)計(jì)

1.Vlan劃分：按照公司不同部門位置和地域的情況，結(jié)合管理需要，劃分為16個(gè)VLAN，每個(gè)VLAN的電腦可以進(jìn)行交換數(shù)據(jù)，不通VLAN內(nèi)的電腦通過(guò)Cisco3548三層交換機(jī)進(jìn)行數(shù)據(jù)交換，這樣可以有效的降低網(wǎng)絡(luò)內(nèi)的廣播風(fēng)暴，減少病毒傳播。

2.計(jì)費(fèi)數(shù)據(jù)中心的構(gòu)成：將計(jì)費(fèi)核心數(shù)據(jù)庫(kù)用CiscoPix525防火墻隔離，通過(guò)防火墻的端口重定功能開(kāi)放營(yíng)收客戶端的訪問(wèn)功能。保證核心數(shù)據(jù)庫(kù)的安全穩(wěn)定。

3.各外圍單位的網(wǎng)絡(luò)接入：南部通信站和團(tuán)泊洼站通過(guò)E1/Ethernet協(xié)議轉(zhuǎn)換器接入到內(nèi)部核心交換機(jī)。港東站、港西站、幸福里站通過(guò)傳輸網(wǎng)絡(luò)的Ethernet接口接入到內(nèi)部核心交換機(jī)。中心西院通過(guò)光收發(fā)器接入到內(nèi)部網(wǎng)絡(luò)核心交換機(jī)。

4.IP地址規(guī)劃：鑒于中心內(nèi)部網(wǎng)絡(luò)規(guī)模中等，所以啟用B類保留地址，172.16.0.0/16，按照不同VLAN分配不同網(wǎng)段。

四、網(wǎng)絡(luò)安全規(guī)劃與建設(shè)

中心內(nèi)部網(wǎng)絡(luò)承載各種不同功能的應(yīng)用系統(tǒng)，如辦公自動(dòng)化系統(tǒng)、營(yíng)收管理系統(tǒng)、監(jiān)控保安系統(tǒng)等。網(wǎng)絡(luò)中存在的病毒與黑客等信息安全威脅，都會(huì)影響到各類系統(tǒng)得穩(wěn)定使用。因此制定防毒反黑、安全隔離等網(wǎng)絡(luò)安全策略，是內(nèi)部網(wǎng)絡(luò)建設(shè)不可或缺的部分。根據(jù)中心內(nèi)部網(wǎng)絡(luò)的安全需求，通過(guò)防火墻把整個(gè)網(wǎng)絡(luò)分為內(nèi)部網(wǎng)絡(luò)、DMZ區(qū)，外部網(wǎng)絡(luò)（包括公網(wǎng)與信息網(wǎng)）實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的安全隔離。首先，利用防火墻的網(wǎng)絡(luò)級(jí)包過(guò)濾進(jìn)行反黑與有效的安全隔離。其中，運(yùn)用防火墻的多極過(guò)濾、動(dòng)態(tài)過(guò)濾技術(shù)、通過(guò)數(shù)據(jù)包監(jiān)測(cè)，保護(hù)內(nèi)部網(wǎng)絡(luò)不被破壞，并且保護(hù)網(wǎng)絡(luò)服務(wù)和重要的私人數(shù)據(jù)。運(yùn)用NAT技術(shù)，一方面節(jié)約有限的公網(wǎng)地址，另一方面也隱藏了內(nèi)部網(wǎng)的IP地址，有效的保護(hù)內(nèi)部網(wǎng)絡(luò)不受外部的攻擊。另外，防火墻具有基于WEB的全中文圖形用戶界面，允許通過(guò)HTTPS加密方式進(jìn)行防火墻的配置和管理，包括安全策略的執(zhí)行。本方案采用賽門鐵克的網(wǎng)絡(luò)版殺毒軟件，作為一個(gè)符合網(wǎng)絡(luò)版殺毒軟件新標(biāo)準(zhǔn)的產(chǎn)品，賽門鐵克網(wǎng)絡(luò)版殺毒軟件通過(guò)可移動(dòng)集中控制管理帶來(lái)的高效率，不但增強(qiáng)了防病毒的安全性，更讓整個(gè)網(wǎng)絡(luò)的管理更輕松，無(wú)需投入巨大人力、物力財(cái)力的防病毒安全解決方案。

五、結(jié)束語(yǔ)

綜上所述，內(nèi)部網(wǎng)絡(luò)建設(shè)是一個(gè)按照實(shí)際網(wǎng)絡(luò)情況，結(jié)合網(wǎng)絡(luò)新技術(shù)和應(yīng)用的發(fā)展方向和重點(diǎn)，制定長(zhǎng)期和短期相結(jié)合的網(wǎng)絡(luò)安全發(fā)展規(guī)劃，并逐步實(shí)施，建立一個(gè)安全、高效的企業(yè)內(nèi)部網(wǎng)絡(luò)。

作者:屈格寧 單位:天津市大港油田信息中心