信息中心内部网络改造与网络安全建设

时间:2022-05-10 08:54:35

导语:信息中心内部网络改造与网络安全建设一文来源于网友上传,不代表本站观点,若需要原创文章可咨询客服老师,欢迎参考。

信息中心内部网络改造与网络安全建设

本文针对中心内部局域网建设初期缺乏整体规划的混乱局面,整合规划一个完善且具有扩展性的方案。论述了网络改造方案、网络安全规划与建设。

一、概述

信息中心(通信公司)成立于1989年,是油田范围内唯一一家经营通信服务的公司。上世纪90年代末,网络技术的开始在油田发展,信息中心开始搭建公司内部使用的局域网络,由于当时技术的局限性,对网络的扩展性和延伸性未进行很好的规划。随着信息化时代的来临,中心的各项业务流程及应用服务都逐渐移植到网络服务上。在中心内部逐渐形成了运行生产报表汇总的生产运行网,运行电信业务营收及业务办理的计费网,与集团公司进行公文收发的信息网,还有大部分计算机还要外部互联网进行联系,满足工作学习的需要。由于不同的需求跨越不同的网段,占用不同的物理链路,且各个部门的需求又不尽相同,所以造成公司内部网络异常混乱,各类应用无法畅通的运行。不但加大了对网络的维护的难度,而且网络的安全性也无从保障。

二、现有网络改造

改造后网络系统采用星型结构,以宽带机房为中心,连接应用服务器群,机关楼,中心机房大楼、还有地处各个矿区的通信站,综合服务公司。涉及联网的机器约有300余台,20余个部门。网络出口部署中网黑客愁防火墙,3个百兆端口分别连接到互联网、信息网和内部网,利用防火墙的NAT功能,抵御来自互联网的网络攻击,管理,限制内部用户的互联网访问。核心层采用Cisco3548-EMI三层交换机,该交换机能够实现数据保的路由及数据快速转发交换。接入层采用Cisco2948二层交换机,实现各终端的接入。全网按照部门和物理位置划分出了20个VLAN,利用Cisco3548实现三层交换,有效的抑制了广播风暴的影响。各接入层交换机与Cisco3548之间采用TRUNK方式连接,不同交换机的端口可以规划到相同的Vlan中。

三、网络规划整体规划与设计

1.Vlan划分:按照公司不同部门位置和地域的情况,结合管理需要,划分为16个VLAN,每个VLAN的电脑可以进行交换数据,不通VLAN内的电脑通过Cisco3548三层交换机进行数据交换,这样可以有效的降低网络内的广播风暴,减少病毒传播。

2.计费数据中心的构成:将计费核心数据库用CiscoPix525防火墙隔离,通过防火墙的端口重定功能开放营收客户端的访问功能。保证核心数据库的安全稳定。

3.各外围单位的网络接入:南部通信站和团泊洼站通过E1/Ethernet协议转换器接入到内部核心交换机。港东站、港西站、幸福里站通过传输网络的Ethernet接口接入到内部核心交换机。中心西院通过光收发器接入到内部网络核心交换机。

4.IP地址规划:鉴于中心内部网络规模中等,所以启用B类保留地址,172.16.0.0/16,按照不同VLAN分配不同网段。

四、网络安全规划与建设

中心内部网络承载各种不同功能的应用系统,如办公自动化系统、营收管理系统、监控保安系统等。网络中存在的病毒与黑客等信息安全威胁,都会影响到各类系统得稳定使用。因此制定防毒反黑、安全隔离等网络安全策略,是内部网络建设不可或缺的部分。根据中心内部网络的安全需求,通过防火墙把整个网络分为内部网络、DMZ区,外部网络(包括公网与信息网)实现内部网络与外部网络之间的安全隔离。首先,利用防火墙的网络级包过滤进行反黑与有效的安全隔离。其中,运用防火墙的多极过滤、动态过滤技术、通过数据包监测,保护内部网络不被破坏,并且保护网络服务和重要的私人数据。运用NAT技术,一方面节约有限的公网地址,另一方面也隐藏了内部网的IP地址,有效的保护内部网络不受外部的攻击。另外,防火墙具有基于WEB的全中文图形用户界面,允许通过HTTPS加密方式进行防火墙的配置和管理,包括安全策略的执行。本方案采用赛门铁克的网络版杀毒软件,作为一个符合网络版杀毒软件新标准的产品,赛门铁克网络版杀毒软件通过可移动集中控制管理带来的高效率,不但增强了防病毒的安全性,更让整个网络的管理更轻松,无需投入巨大人力、物力财力的防病毒安全解决方案。

五、结束语

综上所述,内部网络建设是一个按照实际网络情况,结合网络新技术和应用的发展方向和重点,制定长期和短期相结合的网络安全发展规划,并逐步实施,建立一个安全、高效的企业内部网络。

作者:屈格宁 单位:天津市大港油田信息中心