一種內部支撐網絡改造方案

李文超

【摘要】 本文通過分析內部支撐網絡中多個專網間管理混亂、存在的單點故障和其它安全隱患，提出了防火墻的冗余設計以增強網絡可靠性、重新配置訪問控制策略以實現內部多個專網間的相互隔離和受控訪問，從而保證了內部支撐網絡的可管理性和可靠性。

【關鍵詞】 支撐網絡 改造 防火墻 可靠性

一、改造前分析

1、南充電信分公司內部支撐網絡內有多個支撐系統：10000號，大唐網管，財務營賬，OA辦公網等。子系統之間的的安全訪問策略控制都是經過CISCO 7507和7513兩個PE實現，在實現訪問控制的管理方面帶來了很多不便，甚至有時無法控制滿足要求。從用戶層面網絡需求分析，各子系統又都統一包含縣公司用戶、市公司用戶、服務器訪問需求、省公司訪問需求、Internet訪問需求幾個方面。因此在對終端的管控上存在不易管理和重復建設投入的弊端。

2、改造前的網絡拓撲如圖1所示。

3、網絡拓撲結構分析及存在的相關問題

改造前，南充電信各子系統的訪問控制通過分布式來實現，部分在PIX535上策略，部分在3560上實現。部分則由數據維護中心來管理和維護，這給各子系統的管理和維護帶來了不便之處，不利于管理。（1）網絡中的核心設備PIX535防火墻沒有進行冗余配置，如果該防火墻出現故障，會影響整個網絡，影響整個業務。所以本網絡的冗余性極差。（2）整個網絡架構沒有層次，如需新增設備，只能單一串接入當前網絡當中，沒有擴展性。

二、改造方案說明

為解決上述支撐網絡存在的問題，我主持對網絡架構進行了重新設計和優化改造。主要是從防火墻冗余設計以增強網絡可靠性、重新部署各專網間的訪問控制策略、重新劃分用戶接入區域和淘汰陳舊設備等方面我公司支撐網絡進行了全方位優化。

1、防火墻冗余設計以增強網絡可用性和可靠性

為了防止局部故障引起整個網絡系統的癱瘓，要盡量避免網絡中的單點故障。為此，我們對防火墻進行了冗余設計，將防火墻由一臺CISCO PIX535升級為兩臺CISCO ASA5550，并采用failover技術，實現這兩臺CISCO ASA5550之間互為熱備，無論哪一臺防火墻出現問題時，都能立即無縫切換到另一臺防火墻上去，終端用戶根本感覺不到切換的過程。從而有效解決了一臺防火墻當機引起的網絡安全隱患，極大地提高了網絡可靠性。

2、重新部署各專網間的訪問控制策略

將原集中在CISCO 75xx上的訪問控制策略ACL下移到CISCO ASA5550防火墻上，實現了綜合營帳網絡、大唐網管系統網絡、10000號坐席網絡、OA辦公網在VPN里的分離；充分利用CISCO ASA5550防火墻的路由功能，又實現大唐網管，財務營賬，OA辦公網等專網間的受控訪問指定地址和特定服務器的功能，保證了上述幾個內部專網的安全。

3、重新劃分用戶接入區域

網絡優化后，實現了用戶群區inside與服務器群區DMZ的分開。在用戶區inside和服務器群DMZ區中各新增兩臺匯聚交換機，在其上啟用三層路由功能，采用了HRSP技術實現各區域內的匯聚交換機熱備份，從而實現接入層與匯聚層分開，以提升各區域的安全級別。此外，根據不同業務部門或中心而劃分不同的VLAN，實現不同部門之間的相互獨立，進一步提升了安全性，解決了支撐網絡內部接入管理混亂問題。

4、淘汰陳舊設備，增強專網內用戶受控訪問互聯網的能力

原來支撐網絡內各專網用戶訪問互聯網是通過華為S8505出口，因該設備上線年線過久，且存在防攻擊能力差的弱點，改造時一并將其更換為S9306。并在其上布置防范攻擊的訪問控制策略ACL。

改造后的內部支撐網絡拓撲圖如圖2所示：

三、小結

我公司上述內部支撐網絡改造從11年改造至今，至今已穩定運行三年，其間從未發生宕機和其它網絡安全事故。說明了我們上述改造方案是成功的，具有在其它本地網推廣運用的較大實現價值。

參 考 文 獻

[1] CISCO ASA5550技術說明書

[2] CISCO PIX535技術說明書