導(dǎo)語：信息中心內(nèi)部網(wǎng)絡(luò)改造與網(wǎng)絡(luò)安全建設(shè)一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

本文針對中心內(nèi)部局域網(wǎng)建設(shè)初期缺乏整體規(guī)劃的混亂局面，整合規(guī)劃一個完善且具有擴展性的方案。論述了網(wǎng)絡(luò)改造方案、網(wǎng)絡(luò)安全規(guī)劃與建設(shè)。

一、概述

信息中心（通信公司）成立于1989年，是油田范圍內(nèi)唯一一家經(jīng)營通信服務(wù)的公司。上世紀(jì)90年代末，網(wǎng)絡(luò)技術(shù)的開始在油田發(fā)展，信息中心開始搭建公司內(nèi)部使用的局域網(wǎng)絡(luò)，由于當(dāng)時技術(shù)的局限性，對網(wǎng)絡(luò)的擴展性和延伸性未進(jìn)行很好的規(guī)劃。隨著信息化時代的來臨，中心的各項業(yè)務(wù)流程及應(yīng)用服務(wù)都逐漸移植到網(wǎng)絡(luò)服務(wù)上。在中心內(nèi)部逐漸形成了運行生產(chǎn)報表匯總的生產(chǎn)運行網(wǎng)，運行電信業(yè)務(wù)營收及業(yè)務(wù)辦理的計費網(wǎng)，與集團公司進(jìn)行公文收發(fā)的信息網(wǎng)，還有大部分計算機還要外部互聯(lián)網(wǎng)進(jìn)行聯(lián)系，滿足工作學(xué)習(xí)的需要。由于不同的需求跨越不同的網(wǎng)段，占用不同的物理鏈路，且各個部門的需求又不盡相同，所以造成公司內(nèi)部網(wǎng)絡(luò)異常混亂，各類應(yīng)用無法暢通的運行。不但加大了對網(wǎng)絡(luò)的維護的難度，而且網(wǎng)絡(luò)的安全性也無從保障。

二、現(xiàn)有網(wǎng)絡(luò)改造

改造后網(wǎng)絡(luò)系統(tǒng)采用星型結(jié)構(gòu)，以寬帶機房為中心，連接應(yīng)用服務(wù)器群，機關(guān)樓，中心機房大樓、還有地處各個礦區(qū)的通信站，綜合服務(wù)公司。涉及聯(lián)網(wǎng)的機器約有300余臺，20余個部門。網(wǎng)絡(luò)出口部署中網(wǎng)黑客愁防火墻，3個百兆端口分別連接到互聯(lián)網(wǎng)、信息網(wǎng)和內(nèi)部網(wǎng)，利用防火墻的NAT功能，抵御來自互聯(lián)網(wǎng)的網(wǎng)絡(luò)攻擊，管理，限制內(nèi)部用戶的互聯(lián)網(wǎng)訪問。核心層采用Cisco3548-EMI三層交換機，該交換機能夠?qū)崿F(xiàn)數(shù)據(jù)保的路由及數(shù)據(jù)快速轉(zhuǎn)發(fā)交換。接入層采用Cisco2948二層交換機，實現(xiàn)各終端的接入。全網(wǎng)按照部門和物理位置劃分出了20個VLAN，利用Cisco3548實現(xiàn)三層交換，有效的抑制了廣播風(fēng)暴的影響。各接入層交換機與Cisco3548之間采用TRUNK方式連接，不同交換機的端口可以規(guī)劃到相同的Vlan中。

三、網(wǎng)絡(luò)規(guī)劃整體規(guī)劃與設(shè)計

1.Vlan劃分：按照公司不同部門位置和地域的情況，結(jié)合管理需要，劃分為16個VLAN，每個VLAN的電腦可以進(jìn)行交換數(shù)據(jù)，不通VLAN內(nèi)的電腦通過Cisco3548三層交換機進(jìn)行數(shù)據(jù)交換，這樣可以有效的降低網(wǎng)絡(luò)內(nèi)的廣播風(fēng)暴，減少病毒傳播。

2.計費數(shù)據(jù)中心的構(gòu)成：將計費核心數(shù)據(jù)庫用CiscoPix525防火墻隔離，通過防火墻的端口重定功能開放營收客戶端的訪問功能。保證核心數(shù)據(jù)庫的安全穩(wěn)定。

3.各外圍單位的網(wǎng)絡(luò)接入：南部通信站和團泊洼站通過E1/Ethernet協(xié)議轉(zhuǎn)換器接入到內(nèi)部核心交換機。港東站、港西站、幸福里站通過傳輸網(wǎng)絡(luò)的Ethernet接口接入到內(nèi)部核心交換機。中心西院通過光收發(fā)器接入到內(nèi)部網(wǎng)絡(luò)核心交換機。

4.IP地址規(guī)劃：鑒于中心內(nèi)部網(wǎng)絡(luò)規(guī)模中等，所以啟用B類保留地址，172.16.0.0/16，按照不同VLAN分配不同網(wǎng)段。

四、網(wǎng)絡(luò)安全規(guī)劃與建設(shè)

中心內(nèi)部網(wǎng)絡(luò)承載各種不同功能的應(yīng)用系統(tǒng)，如辦公自動化系統(tǒng)、營收管理系統(tǒng)、監(jiān)控保安系統(tǒng)等。網(wǎng)絡(luò)中存在的病毒與黑客等信息安全威脅，都會影響到各類系統(tǒng)得穩(wěn)定使用。因此制定防毒反黑、安全隔離等網(wǎng)絡(luò)安全策略，是內(nèi)部網(wǎng)絡(luò)建設(shè)不可或缺的部分。根據(jù)中心內(nèi)部網(wǎng)絡(luò)的安全需求，通過防火墻把整個網(wǎng)絡(luò)分為內(nèi)部網(wǎng)絡(luò)、DMZ區(qū)，外部網(wǎng)絡(luò)（包括公網(wǎng)與信息網(wǎng)）實現(xiàn)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的安全隔離。首先，利用防火墻的網(wǎng)絡(luò)級包過濾進(jìn)行反黑與有效的安全隔離。其中，運用防火墻的多極過濾、動態(tài)過濾技術(shù)、通過數(shù)據(jù)包監(jiān)測，保護內(nèi)部網(wǎng)絡(luò)不被破壞，并且保護網(wǎng)絡(luò)服務(wù)和重要的私人數(shù)據(jù)。運用NAT技術(shù)，一方面節(jié)約有限的公網(wǎng)地址，另一方面也隱藏了內(nèi)部網(wǎng)的IP地址，有效的保護內(nèi)部網(wǎng)絡(luò)不受外部的攻擊。另外，防火墻具有基于WEB的全中文圖形用戶界面，允許通過HTTPS加密方式進(jìn)行防火墻的配置和管理，包括安全策略的執(zhí)行。本方案采用賽門鐵克的網(wǎng)絡(luò)版殺毒軟件，作為一個符合網(wǎng)絡(luò)版殺毒軟件新標(biāo)準(zhǔn)的產(chǎn)品，賽門鐵克網(wǎng)絡(luò)版殺毒軟件通過可移動集中控制管理帶來的高效率，不但增強了防病毒的安全性，更讓整個網(wǎng)絡(luò)的管理更輕松，無需投入巨大人力、物力財力的防病毒安全解決方案。

五、結(jié)束語

綜上所述，內(nèi)部網(wǎng)絡(luò)建設(shè)是一個按照實際網(wǎng)絡(luò)情況，結(jié)合網(wǎng)絡(luò)新技術(shù)和應(yīng)用的發(fā)展方向和重點，制定長期和短期相結(jié)合的網(wǎng)絡(luò)安全發(fā)展規(guī)劃，并逐步實施，建立一個安全、高效的企業(yè)內(nèi)部網(wǎng)絡(luò)。

作者:屈格寧 單位:天津市大港油田信息中心