企业网络构架优化研究.docVIP

企业网络构架优化研究 　　本文以河北钢铁承德分公司为例介绍了大型制造企业网络构架的设计模式，以及在当前扁平化网络构架下如何逐步实现网络结构升级改造。 　　【关键词】企业 网络 构架 优化 　　近年来，公司进行了大规模信息化系统建设，各种系统相继开发完成并投入运行，从管理层到生产层，信息化系统越来越完善，运行效率越来越高，为公司的整体运营提供了强有力的技术支撑。但是随着设备的不断增多、网络规模的不断增长、整体拓扑结构变得越来越复杂，难于管理，特别最近几年，信息安全问题不断凸显，对公司涉密数据、设备安全以及个人隐私方面的威胁越来越大，而我们所使用的大部分安全设备购置于2000年左右，虽部分还能够运行，但早已无法满足当前的安全防护需求，存在极大安全漏洞，网络结构繁杂、服务器分布式部署、无法进行整体安全防护、安全控制策略冗余难以进行管理。 　　1 现状分析 　　目前公司的网络现状如图1所示。 　　（1）各级网络呈网状分布，层级结构不清晰，各区域之间通过单台防火墙进行安全防护，存在单点故障隐患，且连接繁冗，管理困难。 　　（2）服务器放置在各自区域的网络中为业务提供服务，服务器完全暴漏在网络中，除部分安装有软件防火墙外，没有任何安全防护；各个系统间并不独立，存在大量的、频繁的数据交互，目前通过四层防火墙和访问控制列表进行控制，管理繁琐困难，安全防护等级不高，对网络高层协议的安全攻击基本没有防护能力。 　　（3）接入终端没有安全有效的统一管理手段，目前公司各级终端用户已达到三千多台，用户计算机的操作水平参差不齐，总体信息安全意识薄弱，缺少防护手段，用户可以随意访问网络中的各种资源，由于无法控制其在网络中对服务器资源的访问行为，可能会造成公司内部的涉密信息被窃，存在各种安全隐患，给局域网内的信息安全带来很大威胁，经查用户非法安装代理、一机多网、私自安装路由器等行为屡屡发生，特别是一机多网，对一级生产网络造成巨大的安全隐患。 　　（4）邮件过滤、IPS等系统运行十多年，已无法正常使用。 　　2 系统实现方案 　　一套完整而行之有效的信息安全保障体系需要合理高效的网络构架作为基础，所以在方案中其思路是首先要对当前网络构架进行合理的调整优化，使其能够为信息安全系统的部署提供基础构架，其次是对重点部位、安全薄弱部位从物理层面到技术层面进行较为全面的安全防护及监控，保证信息系统安全。具体如下： 　　2.1 网络结构优化 　　（1） 对三级mes网络和计量专网进行并网，作为公司生产网络。根据公司当前网络现状，仍保持大四级、小三级的主体构架不变，今后如无特殊需求，杜绝建立专网。 　　（2）对服务器子网进行整合，除现有192.168.1.0/24、192.168.88.0/24、192.168.98.0/24、192.168.40.0/24外，将计量192.168.103.0/24、一卡通192.168.56.0/24、能源10.15.153.0/24并入服务器子网中，三级网络192.168.32.0/24中除服务器外还运行有大量客户端、视频子网流量过大不宜使用防火墙进行隔离故此次不做整合。 　　（3）在网络机房增加一台Cisco 4506交换机作为服务器子网核心交换机，通过双链路与Cisco 6509核心交换机进行连接、中间使用2台高性能7层防火墙进行隔离，负载均衡；对各机房网络进行梳理，各机房服务器网络上连到服务器子网核心交换机，办公网络使用新光路连接到四级办公子网汇聚交换机（0.8）上。 　　（4）网络出口部分进行整合，包含负载均衡、出口防火墙、上网行为、IPsec vpn和外单位接入防火墙等，在网络层级结构上与服务器网络分离，整体上移。如图2所示。 　　2.2 安全系统部署 　　（1）在四级核心交换机和服务器子网核心交换机间增加2台高性能7层防火墙，对服务器区域进行安全防护，更换外网区域反垃圾邮件网关，实现海量垃圾邮件的过滤。 　　（2）在四级网络中部署终端安全准入管理系统，明确网络边界，解决DDos攻击、病毒、木马威胁、非法入侵、异常接入、终端数据泄密、用户隐私泄漏等问题，增加资产管理、系统安全审计、客体重用等安全功能，并实施以用户为基本粒度的自主访问控制，使系统具有在统一安全策略管控下，保护敏感资源的能力，具有更强的自主安全保护能力。 　　3 系统的实施效果 　　（1）系统实施后，使网络从扁平化结构转变为纵向层级化结构，使得各层级网络结构变得清晰，层与层之间的联系和控制变得简单，安全行得以提高，维护难度得以降低。 　　（2）服务器从各级网络分离出来进行了统一管理和防护，使得服务器之间的数据交换不再通过层层防火墙和访问控制列表进行控制，提高了通讯效率，降低了网络负载和故障率。 　　4 结论