一種內部支撐網絡改造方案

李文超

【摘要】 本文通過分析內部支撐網絡中多個專網間管理混亂、存在的單點故障和其它安全隱患，提出了防火墻的冗余設計以增強網絡可靠性、重新配置訪問控制策略以實現(xiàn)內部多個專網間的相互隔離和受控訪問，從而保證了內部支撐網絡的可管理性和可靠性。

【關鍵詞】 支撐網絡 改造 防火墻 可靠性

一、改造前分析

1、南充電信分公司內部支撐網絡內有多個支撐系統(tǒng)：10000號，大唐網管，財務營賬，OA辦公網等。子系統(tǒng)之間的的安全訪問策略控制都是經過CISCO 7507和7513兩個PE實現(xiàn)，在實現(xiàn)訪問控制的管理方面帶來了很多不便，甚至有時無法控制滿足要求。從用戶層面網絡需求分析，各子系統(tǒng)又都統(tǒng)一包含縣公司用戶、市公司用戶、服務器訪問需求、省公司訪問需求、Internet訪問需求幾個方面。因此在對終端的管控上存在不易管理和重復建設投入的弊端。

2、改造前的網絡拓撲如圖1所示。

3、網絡拓撲結構分析及存在的相關問題

改造前，南充電信各子系統(tǒng)的訪問控制通過分布式來實現(xiàn)，部分在PIX535上策略，部分在3560上實現(xiàn)。部分則由數(shù)據(jù)維護中心來管理和維護，這給各子系統(tǒng)的管理和維護帶來了不便之處，不利于管理。（1）網絡中的核心設備PIX535防火墻沒有進行冗余配置，如果該防火墻出現(xiàn)故障，會影響整個網絡，影響整個業(yè)務。所以本網絡的冗余性極差。（2）整個網絡架構沒有層次，如需新增設備，只能單一串接入當前網絡當中，沒有擴展性。

二、改造方案說明

為解決上述支撐網絡存在的問題，我主持對網絡架構進行了重新設計和優(yōu)化改造。主要是從防火墻冗余設計以增強網絡可靠性、重新部署各專網間的訪問控制策略、重新劃分用戶接入區(qū)域和淘汰陳舊設備等方面我公司支撐網絡進行了全方位優(yōu)化。

1、防火墻冗余設計以增強網絡可用性和可靠性

為了防止局部故障引起整個網絡系統(tǒng)的癱瘓，要盡量避免網絡中的單點故障。為此，我們對防火墻進行了冗余設計，將防火墻由一臺CISCO PIX535升級為兩臺CISCO ASA5550，并采用failover技術，實現(xiàn)這兩臺CISCO ASA5550之間互為熱備，無論哪一臺防火墻出現(xiàn)問題時，都能立即無縫切換到另一臺防火墻上去，終端用戶根本感覺不到切換的過程。從而有效解決了一臺防火墻當機引起的網絡安全隱患，極大地提高了網絡可靠性。

2、重新部署各專網間的訪問控制策略

將原集中在CISCO 75xx上的訪問控制策略ACL下移到CISCO ASA5550防火墻上，實現(xiàn)了綜合營帳網絡、大唐網管系統(tǒng)網絡、10000號坐席網絡、OA辦公網在VPN里的分離；充分利用CISCO ASA5550防火墻的路由功能，又實現(xiàn)大唐網管，財務營賬，OA辦公網等專網間的受控訪問指定地址和特定服務器的功能，保證了上述幾個內部專網的安全。

3、重新劃分用戶接入區(qū)域

網絡優(yōu)化后，實現(xiàn)了用戶群區(qū)inside與服務器群區(qū)DMZ的分開。在用戶區(qū)inside和服務器群DMZ區(qū)中各新增兩臺匯聚交換機，在其上啟用三層路由功能，采用了HRSP技術實現(xiàn)各區(qū)域內的匯聚交換機熱備份，從而實現(xiàn)接入層與匯聚層分開，以提升各區(qū)域的安全級別。此外，根據(jù)不同業(yè)務部門或中心而劃分不同的VLAN，實現(xiàn)不同部門之間的相互獨立，進一步提升了安全性，解決了支撐網絡內部接入管理混亂問題。

4、淘汰陳舊設備，增強專網內用戶受控訪問互聯(lián)網的能力

原來支撐網絡內各專網用戶訪問互聯(lián)網是通過華為S8505出口，因該設備上線年線過久，且存在防攻擊能力差的弱點，改造時一并將其更換為S9306。并在其上布置防范攻擊的訪問控制策略ACL。

改造后的內部支撐網絡拓撲圖如圖2所示：

三、小結

我公司上述內部支撐網絡改造從11年改造至今，至今已穩(wěn)定運行三年，其間從未發(fā)生宕機和其它網絡安全事故。說明了我們上述改造方案是成功的，具有在其它本地網推廣運用的較大實現(xiàn)價值。

參 考 文 獻

[1] CISCO ASA5550技術說明書

[2] CISCO PIX535技術說明書