企业网升级改造中的网络安全设计.docVIP

　　企业网升级改造中的网络安全设计 　摘要：介绍了天津钢铁集团有限公司企业网现状，分析了网络存在的问题，提出了设计改造的解决方案，并且加强网络安全，通过实施验证了升级改造的可行性。 　　关键词：企业网；网络规划；网络升级；网络安全 　　　 　　1．企业概况 　　天津钢铁集团有限公司是集炼铁、烧结、炼钢、连铸、轧钢、等一系列以金属制品生产工艺为一体的大型钢铁企业。2009年产量铁550万吨，钢750万吨，钢材700万吨。公司采用国际管理体系，并已通过ISO9001质量管理体系、ISO14001环境管理体系和GB/T28001－2001职业健康安全管理体系认证。 　　为增强企业竞争力适应市场需要，对于钢铁企业来说企业核心业务的组织方式必须建立在企业信息化的基础之上，并与之紧密联系，同时如何通过企业信息化进行综合管理，充分发挥企业的生产力，减少原料与能源的消耗，合理调配生产设备与人力资源，使之最大限度地发挥其作用，是钢铁企业需要着重考虑的问题。 　　2．网络状况 　　天津钢铁集团有限公司办公信息网建于2003年，网络结构以千兆传输速率的星型结构主干网为基础，主要承载公司OA、Intra、Inter等业务，至今已经分三期建设，前期网络为二层结构，直接从接入层双链路接入核心，运行STP协议；三期项目于2009年与厂前区项目同时投入建设，采用核心、汇聚和接入三层架构，运行OSPF协议；网络边界处设置硬件防[ 宋扬，男，30岁，天津工业大学，工程硕士研究生]火墙与Inter连接。公司内部使用Intra技术的局域网，通过防火墙接入Inter。 　　核心层位于中心机房，以两台相同的AVAYA P882交换机作为网络核心。汇聚层分布于各办公楼，每个节点的配线间安装一台AVAYA P334或华为3600，6502，3902P，7503，5500与AVAYA P882连接。接入层分布于总杂库，各个办公楼，营销中心，轨道衡和汽车衡，采用的交换机为AVAYA P133和华为3952，3928，3600。目前的拓扑结构如下： 　　 　　图1 天津钢铁集团有限公司企业网现状拓扑图 　　经过几年的网络建设和运行，逐步发现存在的一些问题： 　　2.1双核心设备相互冗余备份，共同承担整个办公网的数据、业务处理，之后上联到办公楼设备P334上。这样P334设备成为网络中的性能瓶颈，容易变为故障点，影响整个网络的出口。 　　2.2服务器直接连接在两台核心设备上，较为分散，不便于管理，网络可靠性差，核心设备出现问题会导致大面积网络故障，影响正常的生产办公秩序，内网的病毒蔓延和外网的攻击都容易引起服务器受攻击。 　　2.3一期投入的设备除核心设备以外，接入层均为二层设备，所有路由选择都由核心设备负担；而第三期建设由于建设时间较晚，运行OSPF协议；如此以来二、三层协议并存于网络之中，核心交换机配置不一致，随着后期网络规模扩展，这将不利于网络的维护和管理。 　　2.4在网络安全方面原有IDS因为协议库、病毒库、防攻击库等不能及时更新，百兆带宽的接口不能满足用户核心交换机千兆网络监控流量等原因，需要对IDS设备进行升级换代。 　　2.5网络中的设备品牌型号众多，不便于管理，在保证网络系统性能的前提下，充分考虑设备和线缆的利旧，更换选用国产设备以节省项目投资，保护已有的投资。 　　3．改造方案 　　3.1此次改造使用S9306核心路由交换机替换目前AVAYA P882，利用旧线路将原有汇聚层、接入层设备连接至新装核心交换机S9306。 　　3.2服务器群前安置两台接入交换机S5800-60C，使得服务器单独成区。有利于今后服务器的扩容，直接在交换机上接入新接的设备，不需要更改核心交换机上的配置。并且，在交换机上配置防火墙插卡，对服务器区实行专门的保护，过滤内网对服务器的访问和病毒传染。将aintenance, OAM)设计，和绿色环保的设计新理念。S9306路由交换机的背板容量达到6T比特，能充分满足下一代网络和大型数据中心对带宽、业务质量发展的需求。该设备具备业界最灵活的扩展性，并通过堆叠技术实现亿兆交换容量，满足企业持续发展的业务需求。绿色环保的设计理念，即根据不同的应用环境自动调节电源的工作功率和风扇的转速，并且通过独特的左后风道散热技术，可整体节省30%～35%的功耗。 　　4．网络安全 　　在钢铁行业网络规划中，网络的安全性问题直接关系到生产网络的安全性，一旦生产网络由于安全问题而出现问题或瘫痪，对于钢铁企业的生产系统产生的影响是极其严重的，将造成巨大的经济损失，因此大多数钢铁企业都在三级生产网络和四级管理网络之间部署防火墙，通过一定的安全策略来确保生产网络的安全，保障生产。 　　NIP200[2]具有强大的入侵检测和监控能