信息中心內部網絡改造與網絡安全建設

導語：信息中心內部網絡改造與網絡安全建設一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

本文針對中心內部局域網建設初期缺乏整體規劃的混亂局面，整合規劃一個完善且具有擴展性的方案。論述了網絡改造方案、網絡安全規劃與建設。

一、概述

信息中心（通信公司）成立于1989年，是油田范圍內唯一一家經營通信服務的公司。上世紀90年代末，網絡技術的開始在油田發展，信息中心開始搭建公司內部使用的局域網絡，由于當時技術的局限性，對網絡的擴展性和延伸性未進行很好的規劃。隨著信息化時代的來臨，中心的各項業務流程及應用服務都逐漸移植到網絡服務上。在中心內部逐漸形成了運行生產報表匯總的生產運行網，運行電信業務營收及業務辦理的計費網，與集團公司進行公文收發的信息網，還有大部分計算機還要外部互聯網進行聯系，滿足工作學習的需要。由于不同的需求跨越不同的網段，占用不同的物理鏈路，且各個部門的需求又不盡相同，所以造成公司內部網絡異?；靵y，各類應用無法暢通的運行。不但加大了對網絡的維護的難度，而且網絡的安全性也無從保障。

二、現有網絡改造

改造后網絡系統采用星型結構，以寬帶機房為中心，連接應用服務器群，機關樓，中心機房大樓、還有地處各個礦區的通信站，綜合服務公司。涉及聯網的機器約有300余臺，20余個部門。網絡出口部署中網黑客愁防火墻，3個百兆端口分別連接到互聯網、信息網和內部網，利用防火墻的NAT功能，抵御來自互聯網的網絡攻擊，管理，限制內部用戶的互聯網訪問。核心層采用Cisco3548-EMI三層交換機，該交換機能夠實現數據保的路由及數據快速轉發交換。接入層采用Cisco2948二層交換機，實現各終端的接入。全網按照部門和物理位置劃分出了20個VLAN，利用Cisco3548實現三層交換，有效的抑制了廣播風暴的影響。各接入層交換機與Cisco3548之間采用TRUNK方式連接，不同交換機的端口可以規劃到相同的Vlan中。

三、網絡規劃整體規劃與設計

1.Vlan劃分：按照公司不同部門位置和地域的情況，結合管理需要，劃分為16個VLAN，每個VLAN的電腦可以進行交換數據，不通VLAN內的電腦通過Cisco3548三層交換機進行數據交換，這樣可以有效的降低網絡內的廣播風暴，減少病毒傳播。

2.計費數據中心的構成：將計費核心數據庫用CiscoPix525防火墻隔離，通過防火墻的端口重定功能開放營收客戶端的訪問功能。保證核心數據庫的安全穩定。

3.各外圍單位的網絡接入：南部通信站和團泊洼站通過E1/Ethernet協議轉換器接入到內部核心交換機。港東站、港西站、幸福里站通過傳輸網絡的Ethernet接口接入到內部核心交換機。中心西院通過光收發器接入到內部網絡核心交換機。

4.IP地址規劃：鑒于中心內部網絡規模中等，所以啟用B類保留地址，172.16.0.0/16，按照不同VLAN分配不同網段。

四、網絡安全規劃與建設

中心內部網絡承載各種不同功能的應用系統，如辦公自動化系統、營收管理系統、監控保安系統等。網絡中存在的病毒與黑客等信息安全威脅，都會影響到各類系統得穩定使用。因此制定防毒反黑、安全隔離等網絡安全策略，是內部網絡建設不可或缺的部分。根據中心內部網絡的安全需求，通過防火墻把整個網絡分為內部網絡、DMZ區，外部網絡（包括公網與信息網）實現內部網絡與外部網絡之間的安全隔離。首先，利用防火墻的網絡級包過濾進行反黑與有效的安全隔離。其中，運用防火墻的多極過濾、動態過濾技術、通過數據包監測，保護內部網絡不被破壞，并且保護網絡服務和重要的私人數據。運用NAT技術，一方面節約有限的公網地址，另一方面也隱藏了內部網的IP地址，有效的保護內部網絡不受外部的攻擊。另外，防火墻具有基于WEB的全中文圖形用戶界面，允許通過HTTPS加密方式進行防火墻的配置和管理，包括安全策略的執行。本方案采用賽門鐵克的網絡版殺毒軟件，作為一個符合網絡版殺毒軟件新標準的產品，賽門鐵克網絡版殺毒軟件通過可移動集中控制管理帶來的高效率，不但增強了防病毒的安全性，更讓整個網絡的管理更輕松，無需投入巨大人力、物力財力的防病毒安全解決方案。

五、結束語

綜上所述，內部網絡建設是一個按照實際網絡情況，結合網絡新技術和應用的發展方向和重點，制定長期和短期相結合的網絡安全發展規劃，并逐步實施，建立一個安全、高效的企業內部網絡。

作者:屈格寧 單位:天津市大港油田信息中心