信息中心内部网络改造与网络安全建设.doc

《信息中心内部网络改造与网络安全建设.doc》由会员上传分享，免费在线阅读，更多相关内容在应用文档-天天文库。

1、学无止境信息中心内部网络改造与网络安全建设本文针对中心内部局域网建设初期缺乏整体规划的混乱局面，整合规划一个完善且具有扩展性的方案。论述了网络改造方案、网络安全规划与建设。一、概述信息中心（通信公司）成立于1989年，是油田范围内唯一一家经营通信服务的公司。上世纪90年代末，网络技术的开始在油田发展，信息中心开始搭建公司内部使用的局域网络，由于当时技术的局限性，对网络的扩展性和延伸性未进行很好的规划。随着信息化时代的来临，中心的各项业务流程及应用服务都逐渐移植到网络服务上。在中心内部逐渐形成了运

2、行生产报表汇总的生产运行网，运行电信业务营收及业务办理的计费网，与集团公司进行公文收发的信息网，还有大部分计算机还要外部互联网进行联系，满足工作学习的需要。由于不同的需求跨越不同的网段，占用不同的物理链路，且各个部门的需求又不尽相同，所以造成公司内部网络异常混乱，各类应用无法畅通的运行。不但加大了对网络的维护的难度，而且网络的安全性也无从保障。二、现有网络改造改造后网络系统采用星型结构，以宽带机房为中心，连接应用服务器群，机关楼，中心机房大楼、还有地处各个矿区的通信站，综合服务公司。涉及联网的机

3、器约有300余台，20余个部门。网络出口部署中网黑客愁防火墙，3个百兆端口分别连接到互联网、信息网和内部网，利用防火墙的NAT功能，抵御来自互联网的网络攻击，管理，限制内部用户的互联网访问。核心层采用Cisco3548-EMI三层交换机，该交换机能够实现数据保的路由及数据快速转发交换。接入层采用Cisco2948二层交换机，实现各终端的接入。全网按照部门和物理位置划分出了20个VLAN，利用Cisco3548实现三层交换，有效的抑制了广播风暴的影响。各接入层交换机与Cisco3548之间采用TR

4、UNK方式连接，不同交换机的端口可以规划到相同的Vlan中。三、网络规划整体规划与设计3学无止境1.Vlan划分：按照公司不同部门位置和地域的情况，结合管理需要，划分为16个VLAN，每个VLAN的电脑可以进行交换数据，不通VLAN内的电脑通过Cisco3548三层交换机进行数据交换，这样可以有效的降低网络内的广播风暴，减少病毒传播。2.计费数据中心的构成：将计费核心数据库用CiscoPix525防火墙隔离，通过防火墙的端口重定功能开放营收客户端的访问功能。保证核心数据库的安全稳定。3.各外围单

5、位的网络接入：南部通信站和团泊洼站通过E1/Ethernet协议转换器接入到内部核心交换机。港东站、港西站、幸福里站通过传输网络的Ethernet接口接入到内部核心交换机。中心西院通过光收发器接入到内部网络核心交换机。4.IP地址规划：鉴于中心内部网络规模中等，所以启用B类保留地址，172.16.0.0/16，按照不同VLAN分配不同网段。四、网络安全规划与建设中心内部网络承载各种不同功能的应用系统，如办公自动化系统、营收管理系统、监控保安系统等。网络中存在的病毒与黑客等信息安全威胁，都会影响到

6、各类系统得稳定使用。因此制定防毒反黑、安全隔离等网络安全策略，是内部网络建设不可或缺的部分。根据中心内部网络的安全需求，通过防火墙把整个网络分为内部网络、DMZ区，外部网络（包括公网与信息网）实现内部网络与外部网络之间的安全隔离。首先，利用防火墙的网络级包过滤进行反黑与有效的安全隔离。其中，运用防火墙的多极过滤、动态过滤技术、通过数据包监测，保护内部网络不被破坏，并且保护网络服务和重要的私人数据。运用NAT技术，一方面节约有限的公网地址，另一方面也隐藏了内部网的IP地址，有效的保护内部网络不受外

7、部的攻击。另外，防火墙具有基于WEB的全中文图形用户界面，允许通过HTTPS加密方式进行防火墙的配置和管理，包括安全策略的执行。本方案采用赛门铁克的网络版杀毒软件，作为一个符合网络版杀毒软件新标准的产品，赛门铁克网络版杀毒软件通过可移动集中控制管理带来的高效率，不但增强了防病毒的安全性，更让整个网络的管理更轻松，无需投入巨大人力、物力财力的防病毒安全解决方案。五、结束语3学无止境综上所述，内部网络建设是一个按照实际网络情况，结合网络新技术和应用的发展方向和重点，制定长期和短期相结合的网络安全发展

8、规划，并逐步实施，建立一个安全、高效的企业内部网络。3