信息中心內(nèi)部網(wǎng)絡改造與網(wǎng)絡安全建設

時間:2022-05-10 08:54:35

導語:信息中心內(nèi)部網(wǎng)絡改造與網(wǎng)絡安全建設一文來源于網(wǎng)友上傳,不代表本站觀點,若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。

信息中心內(nèi)部網(wǎng)絡改造與網(wǎng)絡安全建設

本文針對中心內(nèi)部局域網(wǎng)建設初期缺乏整體規(guī)劃的混亂局面,整合規(guī)劃一個完善且具有擴展性的方案。論述了網(wǎng)絡改造方案、網(wǎng)絡安全規(guī)劃與建設。

一、概述

信息中心(通信公司)成立于1989年,是油田范圍內(nèi)唯一一家經(jīng)營通信服務的公司。上世紀90年代末,網(wǎng)絡技術的開始在油田發(fā)展,信息中心開始搭建公司內(nèi)部使用的局域網(wǎng)絡,由于當時技術的局限性,對網(wǎng)絡的擴展性和延伸性未進行很好的規(guī)劃。隨著信息化時代的來臨,中心的各項業(yè)務流程及應用服務都逐漸移植到網(wǎng)絡服務上。在中心內(nèi)部逐漸形成了運行生產(chǎn)報表匯總的生產(chǎn)運行網(wǎng),運行電信業(yè)務營收及業(yè)務辦理的計費網(wǎng),與集團公司進行公文收發(fā)的信息網(wǎng),還有大部分計算機還要外部互聯(lián)網(wǎng)進行聯(lián)系,滿足工作學習的需要。由于不同的需求跨越不同的網(wǎng)段,占用不同的物理鏈路,且各個部門的需求又不盡相同,所以造成公司內(nèi)部網(wǎng)絡異?;靵y,各類應用無法暢通的運行。不但加大了對網(wǎng)絡的維護的難度,而且網(wǎng)絡的安全性也無從保障。

二、現(xiàn)有網(wǎng)絡改造

改造后網(wǎng)絡系統(tǒng)采用星型結(jié)構(gòu),以寬帶機房為中心,連接應用服務器群,機關樓,中心機房大樓、還有地處各個礦區(qū)的通信站,綜合服務公司。涉及聯(lián)網(wǎng)的機器約有300余臺,20余個部門。網(wǎng)絡出口部署中網(wǎng)黑客愁防火墻,3個百兆端口分別連接到互聯(lián)網(wǎng)、信息網(wǎng)和內(nèi)部網(wǎng),利用防火墻的NAT功能,抵御來自互聯(lián)網(wǎng)的網(wǎng)絡攻擊,管理,限制內(nèi)部用戶的互聯(lián)網(wǎng)訪問。核心層采用Cisco3548-EMI三層交換機,該交換機能夠?qū)崿F(xiàn)數(shù)據(jù)保的路由及數(shù)據(jù)快速轉(zhuǎn)發(fā)交換。接入層采用Cisco2948二層交換機,實現(xiàn)各終端的接入。全網(wǎng)按照部門和物理位置劃分出了20個VLAN,利用Cisco3548實現(xiàn)三層交換,有效的抑制了廣播風暴的影響。各接入層交換機與Cisco3548之間采用TRUNK方式連接,不同交換機的端口可以規(guī)劃到相同的Vlan中。

三、網(wǎng)絡規(guī)劃整體規(guī)劃與設計

1.Vlan劃分:按照公司不同部門位置和地域的情況,結(jié)合管理需要,劃分為16個VLAN,每個VLAN的電腦可以進行交換數(shù)據(jù),不通VLAN內(nèi)的電腦通過Cisco3548三層交換機進行數(shù)據(jù)交換,這樣可以有效的降低網(wǎng)絡內(nèi)的廣播風暴,減少病毒傳播。

2.計費數(shù)據(jù)中心的構(gòu)成:將計費核心數(shù)據(jù)庫用CiscoPix525防火墻隔離,通過防火墻的端口重定功能開放營收客戶端的訪問功能。保證核心數(shù)據(jù)庫的安全穩(wěn)定。

3.各外圍單位的網(wǎng)絡接入:南部通信站和團泊洼站通過E1/Ethernet協(xié)議轉(zhuǎn)換器接入到內(nèi)部核心交換機。港東站、港西站、幸福里站通過傳輸網(wǎng)絡的Ethernet接口接入到內(nèi)部核心交換機。中心西院通過光收發(fā)器接入到內(nèi)部網(wǎng)絡核心交換機。

4.IP地址規(guī)劃:鑒于中心內(nèi)部網(wǎng)絡規(guī)模中等,所以啟用B類保留地址,172.16.0.0/16,按照不同VLAN分配不同網(wǎng)段。

四、網(wǎng)絡安全規(guī)劃與建設

中心內(nèi)部網(wǎng)絡承載各種不同功能的應用系統(tǒng),如辦公自動化系統(tǒng)、營收管理系統(tǒng)、監(jiān)控保安系統(tǒng)等。網(wǎng)絡中存在的病毒與黑客等信息安全威脅,都會影響到各類系統(tǒng)得穩(wěn)定使用。因此制定防毒反黑、安全隔離等網(wǎng)絡安全策略,是內(nèi)部網(wǎng)絡建設不可或缺的部分。根據(jù)中心內(nèi)部網(wǎng)絡的安全需求,通過防火墻把整個網(wǎng)絡分為內(nèi)部網(wǎng)絡、DMZ區(qū),外部網(wǎng)絡(包括公網(wǎng)與信息網(wǎng))實現(xiàn)內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間的安全隔離。首先,利用防火墻的網(wǎng)絡級包過濾進行反黑與有效的安全隔離。其中,運用防火墻的多極過濾、動態(tài)過濾技術、通過數(shù)據(jù)包監(jiān)測,保護內(nèi)部網(wǎng)絡不被破壞,并且保護網(wǎng)絡服務和重要的私人數(shù)據(jù)。運用NAT技術,一方面節(jié)約有限的公網(wǎng)地址,另一方面也隱藏了內(nèi)部網(wǎng)的IP地址,有效的保護內(nèi)部網(wǎng)絡不受外部的攻擊。另外,防火墻具有基于WEB的全中文圖形用戶界面,允許通過HTTPS加密方式進行防火墻的配置和管理,包括安全策略的執(zhí)行。本方案采用賽門鐵克的網(wǎng)絡版殺毒軟件,作為一個符合網(wǎng)絡版殺毒軟件新標準的產(chǎn)品,賽門鐵克網(wǎng)絡版殺毒軟件通過可移動集中控制管理帶來的高效率,不但增強了防病毒的安全性,更讓整個網(wǎng)絡的管理更輕松,無需投入巨大人力、物力財力的防病毒安全解決方案。

五、結(jié)束語

綜上所述,內(nèi)部網(wǎng)絡建設是一個按照實際網(wǎng)絡情況,結(jié)合網(wǎng)絡新技術和應用的發(fā)展方向和重點,制定長期和短期相結(jié)合的網(wǎng)絡安全發(fā)展規(guī)劃,并逐步實施,建立一個安全、高效的企業(yè)內(nèi)部網(wǎng)絡。

作者:屈格寧 單位:天津市大港油田信息中心