文档介绍：企业网络构架优化研究
本文以河北钢铁承德分公司为例介绍了大型制造企业网络构架的设计模式,以及在当前扁平化网络构架下如何逐步实现网络结构升级改造。
【关键词】企业网络构架优化
近年来,公司进行了大规模信息化系统建设,各种系统相继开发完成并投入运行,从管理层到生产层,信息化系统越来越完善,运行效率越来越高,为公司的整体运营提供了强有力的技术支撑。但是随着设备的不断增多、网络规模的不断增长、整体拓扑结构变得越来越复杂,难于管理,特别最近几年,信息安全问题不断凸显,对公司涉密数据、设备安全以及个人隐私方面的威胁越来越大,而我们所使用的大部分安全设备购置于2000年左右,虽部分还能够运行,但早已无法满足当前的安全防护需求,存在极大安全漏洞,网络结构繁杂、服务器分布式部署、无法进行整体安全防护、安全控制策略冗余难以进行管理。
1 现状分析
目前公司的网络现状如图1所示。
(1)各级网络呈网状分布,层级结构不清晰,各区域之间通过单台防火墙进行安全防护,存在单点故障隐患,且连接繁冗,管理困难。
(2)服务器放置在各自区域的网络中为业务提供服务,服务器完全暴漏在网络中,除部分安装有软件防火墙外,没有任何安全防护;各个系统间并不独立,存在大量的、频繁的数据交互,目前通过四层防火墙和访问控制列表进行控制,管理繁琐困难,安全防护等级不高,对网络高层协议的安全攻击基本没有防护能力。
(3)接入终端没有安全有效的统一管理手段,目前公司各级终端用户已达到三千多台,用户计算机的操作水平参差不齐,总体信息安全意识薄弱,缺少防护手段,用户可以随意访问网络中的各种资源,由于无法控制其在网络中对服务器资源的访问行为,可能会造成公司内部的涉密信息被窃,存在各种安全隐患,给局域网内的信息安全带来很大威胁,经查用户非法安装代理、一机多网、私自安装路由器等行为屡屡发生,特别是一机多网,对一级生产网络造成巨大的安全隐患。
(4)邮件过滤、IPS等系统运行十多年,已无法正常使用。
2 系统实现方案
一套完整而行之有效的信息安全保障体系需要合理高效的网络构架作为基础,所以在方案中其思路是首先要对当前网络构架进行合理的调整优化,使其能够为信息安全系统的部署提供基础构架,其次是对重点部位、安全薄弱部位从物理层面到技术层面进行较为全面的安全防护及监控,保证信息系统安全。具体如下:
网络结构优化
(1) 对三级mes网络和计量专网进行并网,作为公司生产网络。根据公司当前网络现状,仍保持大四级、小三级的主体构架不变,今后如无特殊需求,杜绝建立专网。
(2)对服务器子网进行整合,、、、,、、,
中除服务器外还运行有大量客户端、视频子网流量过大不宜使用防火墙进行隔离故此次不做整合。
(3)在网络机房增加一台Cisco 4506交换机作为服务器子网核心交换机,通过双链路与Cisco 6509核心交换机进行连接、中间使用2台高性能7层防火墙进行隔离,负载均衡;对各机房网