一種內(nèi)部支撐網(wǎng)絡(luò)改造方案

李文超

【摘要】 本文通過分析內(nèi)部支撐網(wǎng)絡(luò)中多個專網(wǎng)間管理混亂、存在的單點故障和其它安全隱患，提出了防火墻的冗余設(shè)計以增強網(wǎng)絡(luò)可靠性、重新配置訪問控制策略以實現(xiàn)內(nèi)部多個專網(wǎng)間的相互隔離和受控訪問，從而保證了內(nèi)部支撐網(wǎng)絡(luò)的可管理性和可靠性。

【關(guān)鍵詞】 支撐網(wǎng)絡(luò) 改造 防火墻 可靠性

一、改造前分析

1、南充電信分公司內(nèi)部支撐網(wǎng)絡(luò)內(nèi)有多個支撐系統(tǒng)：10000號，大唐網(wǎng)管，財務(wù)營賬，OA辦公網(wǎng)等。子系統(tǒng)之間的的安全訪問策略控制都是經(jīng)過CISCO 7507和7513兩個PE實現(xiàn)，在實現(xiàn)訪問控制的管理方面帶來了很多不便，甚至有時無法控制滿足要求。從用戶層面網(wǎng)絡(luò)需求分析，各子系統(tǒng)又都統(tǒng)一包含縣公司用戶、市公司用戶、服務(wù)器訪問需求、省公司訪問需求、Internet訪問需求幾個方面。因此在對終端的管控上存在不易管理和重復(fù)建設(shè)投入的弊端。

2、改造前的網(wǎng)絡(luò)拓撲如圖1所示。

3、網(wǎng)絡(luò)拓撲結(jié)構(gòu)分析及存在的相關(guān)問題

改造前，南充電信各子系統(tǒng)的訪問控制通過分布式來實現(xiàn)，部分在PIX535上策略，部分在3560上實現(xiàn)。部分則由數(shù)據(jù)維護中心來管理和維護，這給各子系統(tǒng)的管理和維護帶來了不便之處，不利于管理。（1）網(wǎng)絡(luò)中的核心設(shè)備PIX535防火墻沒有進行冗余配置，如果該防火墻出現(xiàn)故障，會影響整個網(wǎng)絡(luò)，影響整個業(yè)務(wù)。所以本網(wǎng)絡(luò)的冗余性極差。（2）整個網(wǎng)絡(luò)架構(gòu)沒有層次，如需新增設(shè)備，只能單一串接入當(dāng)前網(wǎng)絡(luò)當(dāng)中，沒有擴展性。

二、改造方案說明

為解決上述支撐網(wǎng)絡(luò)存在的問題，我主持對網(wǎng)絡(luò)架構(gòu)進行了重新設(shè)計和優(yōu)化改造。主要是從防火墻冗余設(shè)計以增強網(wǎng)絡(luò)可靠性、重新部署各專網(wǎng)間的訪問控制策略、重新劃分用戶接入?yún)^(qū)域和淘汰陳舊設(shè)備等方面我公司支撐網(wǎng)絡(luò)進行了全方位優(yōu)化。

1、防火墻冗余設(shè)計以增強網(wǎng)絡(luò)可用性和可靠性

為了防止局部故障引起整個網(wǎng)絡(luò)系統(tǒng)的癱瘓，要盡量避免網(wǎng)絡(luò)中的單點故障。為此，我們對防火墻進行了冗余設(shè)計，將防火墻由一臺CISCO PIX535升級為兩臺CISCO ASA5550，并采用failover技術(shù)，實現(xiàn)這兩臺CISCO ASA5550之間互為熱備，無論哪一臺防火墻出現(xiàn)問題時，都能立即無縫切換到另一臺防火墻上去，終端用戶根本感覺不到切換的過程。從而有效解決了一臺防火墻當(dāng)機引起的網(wǎng)絡(luò)安全隱患，極大地提高了網(wǎng)絡(luò)可靠性。

2、重新部署各專網(wǎng)間的訪問控制策略

將原集中在CISCO 75xx上的訪問控制策略ACL下移到CISCO ASA5550防火墻上，實現(xiàn)了綜合營帳網(wǎng)絡(luò)、大唐網(wǎng)管系統(tǒng)網(wǎng)絡(luò)、10000號坐席網(wǎng)絡(luò)、OA辦公網(wǎng)在VPN里的分離；充分利用CISCO ASA5550防火墻的路由功能，又實現(xiàn)大唐網(wǎng)管，財務(wù)營賬，OA辦公網(wǎng)等專網(wǎng)間的受控訪問指定地址和特定服務(wù)器的功能，保證了上述幾個內(nèi)部專網(wǎng)的安全。

3、重新劃分用戶接入?yún)^(qū)域

網(wǎng)絡(luò)優(yōu)化后，實現(xiàn)了用戶群區(qū)inside與服務(wù)器群區(qū)DMZ的分開。在用戶區(qū)inside和服務(wù)器群DMZ區(qū)中各新增兩臺匯聚交換機，在其上啟用三層路由功能，采用了HRSP技術(shù)實現(xiàn)各區(qū)域內(nèi)的匯聚交換機熱備份，從而實現(xiàn)接入層與匯聚層分開，以提升各區(qū)域的安全級別。此外，根據(jù)不同業(yè)務(wù)部門或中心而劃分不同的VLAN，實現(xiàn)不同部門之間的相互獨立，進一步提升了安全性，解決了支撐網(wǎng)絡(luò)內(nèi)部接入管理混亂問題。

4、淘汰陳舊設(shè)備，增強專網(wǎng)內(nèi)用戶受控訪問互聯(lián)網(wǎng)的能力

原來支撐網(wǎng)絡(luò)內(nèi)各專網(wǎng)用戶訪問互聯(lián)網(wǎng)是通過華為S8505出口，因該設(shè)備上線年線過久，且存在防攻擊能力差的弱點，改造時一并將其更換為S9306。并在其上布置防范攻擊的訪問控制策略ACL。

改造后的內(nèi)部支撐網(wǎng)絡(luò)拓撲圖如圖2所示：

三、小結(jié)

我公司上述內(nèi)部支撐網(wǎng)絡(luò)改造從11年改造至今，至今已穩(wěn)定運行三年，其間從未發(fā)生宕機和其它網(wǎng)絡(luò)安全事故。說明了我們上述改造方案是成功的，具有在其它本地網(wǎng)推廣運用的較大實現(xiàn)價值。

參 考 文 獻

[1] CISCO ASA5550技術(shù)說明書

[2] CISCO PIX535技術(shù)說明書