网络安全控制

某地移动安全域工程简介

  某地移动企业信息网划分为六个子安全域,包括核心交换区、核心生产区、安全管理服务区、日常办公区、接口区、内部系统互连区,另外新增一个外部系统互连区,用于和CMNET互连,主要用于某地本地公司的网络维护人员在外地出差时可以通过CMNET网络接入本地MDCN网进行维护用。

  核心交换区由企业信息网内的两台3750核心交换机组成,用于接入某地本地企业信息网的核心生产区和安全管理服务区的服务器接入、以及日常办公区、内部系统互连区、外部系统互连、接口区等的设备接入。

  核心生产区由某地本地企业信息网的应用服务器、数据库服务器和存储设备组成,包括内部邮件服务器;公文服务器;DHCP服务器;DNS服务器;MIS服务器;本地设备网管服务器;应用系统网管服务器等。

  安全管理服务区是各类安全产品的控制、管理及配置设备构成。包括本次工程新增的一台IC4000安全认证网关;安全审计服务器;IDS漏洞扫描服务器;防病毒管理服务器;双因素认证服务器等等。

  日常办公服务区主要由某地本地全球通大楼的核心交换机以及各楼层交换机和本地办公用的各类接入终端等构成,包括在会议厅移动接入的临时Laptop。

  另外由于日常办公区的核心交换机7609和楼层交换机之间采用光纤互连,在个别情况下ROOT 交换机的光发光缆失效而光收可以正常工作,这时网络内有可能出现二层环路,使用autonegotiation 避免单通问题,使用UDLD feature 在layer 2可避免该问题的发生。

  同时在全网统一配置使用VTP Password验证,最大限度的避免外部交换机接入本地企业信息网可能出现的隐患。

  内部系统互连区仍然不变由连接移动内部系统的3750交换机构成。

  本次安全域工程在接口区两台PIX525防火墙组成FAILOVER结构,构成热备模式,当一台主防火墙出现故障的情况下,另外一台备防火墙将接管该防火墙的工作。

  另外在接口区新增一台NETSCREEN208的防火墙用于本地网管人员通过CMNET网络进行VPN拨号接入MDCN网的安全控制。