信息中心内部网络改造与网络安全建设

本文针对中心内部局域网建设初期缺乏整体规划的混乱局面，整合规划一个完善且具有扩展性的方案。论述了网络改造方案、网络安全规划与建设。

一、概述

信息中心（通信公司）成立于1989年，是油田范围内唯一一家经营通信服务的公司。上世纪90年代末，网络技术的开始在油田发展，信息中心开始搭建公司内部使用的局域网络，由于当时技术的局限性，对网络的扩展性和延伸性未进行很好的规划。随着信息化时代的来临，中心的各项业务流程及应用服务都逐渐移植到网络服务上。在中心内部逐渐形成了运行生产报表汇总的生产运行网，运行电信业务营收及业务办理的计费网，与集团公司进行公文收发的信息网，还有大部分计算机还要外部互联网进行联系，满足工作学习的需要。由于不同的需求跨越不同的网段，占用不同的物理链路，且各个部门的需求又不尽相同，所以造成公司内部网络异常混乱，各类应用无法畅通的运行。不但加大了对网络的维护的难度，而且网络的安全性也无从保障。

二、现有网络改造

改造后网络系统采用星型结构，以宽带机房为中心，连接应用服务器群，机关楼，中心机房大楼、还有地处各个矿区的通信站，综合服务公司。涉及联网的机器约有300余台，20余个部门。网络出口部署中网黑客愁防火墙，3个百兆端口分别连接到互联网、信息网和内部网，利用防火墙的NAT功能，抵御来自互联网的网络攻击，管理，限制内部用户的互联网访问。核心层采用Cisco3548-EMI三层交换机，该交换机能够实现数据保的路由及数据快速转发交换。接入层采用Cisco2948二层交换机，实现各终端的接入。全网按照部门和物理位置划分出了20个VLAN，利用Cisco3548实现三层交换，有效的抑制了广播风暴的影响。各接入层交换机与Cisco3548之间采用TRUNK方式连接，不同交换机的端口可以规划到相同的Vlan中。

三、网络规划整体规划与设计

1.Vlan划分：按照公司不同部门位置和地域的情况，结合管理需要，划分为16个VLAN，每个VLAN的电脑可以进行交换数据，不通VLAN内的电脑通过Cisco3548三层交换机进行数据交换，这样可以有效的降低网络内的广播风暴，减少病毒传播。

2.计费数据中心的构成：将计费核心数据库用CiscoPix525防火墙隔离，通过防火墙的端口重定功能开放营收客户端的访问功能。保证核心数据库的安全稳定。

3.各单位的网络接入：南部通信站和团泊洼站通过E1/Ethernet协议转换器接入到内部核心交换机。港东站、港西站、幸福里站通过传输网络的Ethernet接口接入到内部核心交换机。中心西院通过光收发器接入到内部网络核心交换机。

4.IP地址规划：鉴于中心内部网络规模中等，所以启用B类保留地址，172.16.0.0/16，按照不同VLAN分配不同网段。

四、网络安全规划与建设

中心内部网络承载各种不同功能的应用系统，如办公自动化系统、营收管理系统、监控保安系统等。网络中存在的病毒与黑客等信息安全威胁，都会影响到各类系统得稳定使用。因此制定防毒反黑、安全隔离等网络安全策略，是内部网络建设不可或缺的部分。根据中心内部网络的安全需求，通过防火墙把整个网络分为内部网络、DMZ区，外部网络（包括公网与信息网）实现内部网络与外部网络之间的安全隔离。首先，利用防火墙的网络级包过滤进行反黑与有效的安全隔离。其中，运用防火墙的多极过滤、动态过滤技术、通过数据包监测，保护内部网络不被破坏，并且保护网络服务和重要的私人数据。运用NAT技术，一方面节约有限的公网地址，另一方面也隐藏了内部网的IP地址，有效的保护内部网络不受外部的攻击。另外，防火墙具有基于WEB的全中文图形用户界面，允许通过HTTPS加密方式进行防火墙的配置和管理，包括安全策略的执行。本方案采用赛门铁克的网络版杀毒软件，作为一个符合网络版杀毒软件新标准的产品，赛门铁克网络版杀毒软件通过可移动集中控制管理带来的高效率，不但增强了防病毒的安全性，更让整个网络的管理更轻松，无需投入巨大人力、物力财力的防病毒安全解决方案。

五、结束语

综上所述，内部网络建设是一个按照实际网络情况，结合网络新技术和应用的发展方向和重点，制定长期和短期相结合的网络安全发展规划，并逐步实施，建立一个安全、高效的企业内部网络。

作者:屈格宁 单位:天津市大港油田信息中心