李文超

【摘要】 本文通過(guò)分析內(nèi)部支撐網(wǎng)絡(luò)中多個(gè)專網(wǎng)間管理混亂、存在的單點(diǎn)故障和其它安全隱患，提出了防火墻的冗余設(shè)計(jì)以增強(qiáng)網(wǎng)絡(luò)可靠性、重新配置訪問(wèn)控制策略以實(shí)現(xiàn)內(nèi)部多個(gè)專網(wǎng)間的相互隔離和受控訪問(wèn)，從而保證了內(nèi)部支撐網(wǎng)絡(luò)的可管理性和可靠性。

【關(guān)鍵詞】 支撐網(wǎng)絡(luò) 改造 防火墻 可靠性

一、改造前分析

1、南充電信分公司內(nèi)部支撐網(wǎng)絡(luò)內(nèi)有多個(gè)支撐系統(tǒng)：10000號(hào)，大唐網(wǎng)管，財(cái)務(wù)營(yíng)賬，OA辦公網(wǎng)等。子系統(tǒng)之間的的安全訪問(wèn)策略控制都是經(jīng)過(guò)CISCO 7507和7513兩個(gè)PE實(shí)現(xiàn)，在實(shí)現(xiàn)訪問(wèn)控制的管理方面帶來(lái)了很多不便，甚至有時(shí)無(wú)法控制滿足要求。從用戶層面網(wǎng)絡(luò)需求分析，各子系統(tǒng)又都統(tǒng)一包含縣公司用戶、市公司用戶、服務(wù)器訪問(wèn)需求、省公司訪問(wèn)需求、Internet訪問(wèn)需求幾個(gè)方面。因此在對(duì)終端的管控上存在不易管理和重復(fù)建設(shè)投入的弊端。

2、改造前的網(wǎng)絡(luò)拓?fù)淙鐖D1所示。

3、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分析及存在的相關(guān)問(wèn)題

改造前，南充電信各子系統(tǒng)的訪問(wèn)控制通過(guò)分布式來(lái)實(shí)現(xiàn)，部分在PIX535上策略，部分在3560上實(shí)現(xiàn)。部分則由數(shù)據(jù)維護(hù)中心來(lái)管理和維護(hù)，這給各子系統(tǒng)的管理和維護(hù)帶來(lái)了不便之處，不利于管理。（1）網(wǎng)絡(luò)中的核心設(shè)備PIX535防火墻沒(méi)有進(jìn)行冗余配置，如果該防火墻出現(xiàn)故障，會(huì)影響整個(gè)網(wǎng)絡(luò)，影響整個(gè)業(yè)務(wù)。所以本網(wǎng)絡(luò)的冗余性極差。（2）整個(gè)網(wǎng)絡(luò)架構(gòu)沒(méi)有層次，如需新增設(shè)備，只能單一串接入當(dāng)前網(wǎng)絡(luò)當(dāng)中，沒(méi)有擴(kuò)展性。

二、改造方案說(shuō)明

為解決上述支撐網(wǎng)絡(luò)存在的問(wèn)題，我主持對(duì)網(wǎng)絡(luò)架構(gòu)進(jìn)行了重新設(shè)計(jì)和優(yōu)化改造。主要是從防火墻冗余設(shè)計(jì)以增強(qiáng)網(wǎng)絡(luò)可靠性、重新部署各專網(wǎng)間的訪問(wèn)控制策略、重新劃分用戶接入?yún)^(qū)域和淘汰陳舊設(shè)備等方面我公司支撐網(wǎng)絡(luò)進(jìn)行了全方位優(yōu)化。

1、防火墻冗余設(shè)計(jì)以增強(qiáng)網(wǎng)絡(luò)可用性和可靠性

為了防止局部故障引起整個(gè)網(wǎng)絡(luò)系統(tǒng)的癱瘓，要盡量避免網(wǎng)絡(luò)中的單點(diǎn)故障。為此，我們對(duì)防火墻進(jìn)行了冗余設(shè)計(jì)，將防火墻由一臺(tái)CISCO PIX535升級(jí)為兩臺(tái)CISCO ASA5550，并采用failover技術(shù)，實(shí)現(xiàn)這兩臺(tái)CISCO ASA5550之間互為熱備，無(wú)論哪一臺(tái)防火墻出現(xiàn)問(wèn)題時(shí)，都能立即無(wú)縫切換到另一臺(tái)防火墻上去，終端用戶根本感覺(jué)不到切換的過(guò)程。從而有效解決了一臺(tái)防火墻當(dāng)機(jī)引起的網(wǎng)絡(luò)安全隱患，極大地提高了網(wǎng)絡(luò)可靠性。

2、重新部署各專網(wǎng)間的訪問(wèn)控制策略

將原集中在CISCO 75xx上的訪問(wèn)控制策略ACL下移到CISCO ASA5550防火墻上，實(shí)現(xiàn)了綜合營(yíng)帳網(wǎng)絡(luò)、大唐網(wǎng)管系統(tǒng)網(wǎng)絡(luò)、10000號(hào)坐席網(wǎng)絡(luò)、OA辦公網(wǎng)在VPN里的分離；充分利用CISCO ASA5550防火墻的路由功能，又實(shí)現(xiàn)大唐網(wǎng)管，財(cái)務(wù)營(yíng)賬，OA辦公網(wǎng)等專網(wǎng)間的受控訪問(wèn)指定地址和特定服務(wù)器的功能，保證了上述幾個(gè)內(nèi)部專網(wǎng)的安全。

3、重新劃分用戶接入?yún)^(qū)域

網(wǎng)絡(luò)優(yōu)化后，實(shí)現(xiàn)了用戶群區(qū)inside與服務(wù)器群區(qū)DMZ的分開(kāi)。在用戶區(qū)inside和服務(wù)器群DMZ區(qū)中各新增兩臺(tái)匯聚交換機(jī)，在其上啟用三層路由功能，采用了HRSP技術(shù)實(shí)現(xiàn)各區(qū)域內(nèi)的匯聚交換機(jī)熱備份，從而實(shí)現(xiàn)接入層與匯聚層分開(kāi)，以提升各區(qū)域的安全級(jí)別。此外，根據(jù)不同業(yè)務(wù)部門或中心而劃分不同的VLAN，實(shí)現(xiàn)不同部門之間的相互獨(dú)立，進(jìn)一步提升了安全性，解決了支撐網(wǎng)絡(luò)內(nèi)部接入管理混亂問(wèn)題。

4、淘汰陳舊設(shè)備，增強(qiáng)專網(wǎng)內(nèi)用戶受控訪問(wèn)互聯(lián)網(wǎng)的能力

原來(lái)支撐網(wǎng)絡(luò)內(nèi)各專網(wǎng)用戶訪問(wèn)互聯(lián)網(wǎng)是通過(guò)華為S8505出口，因該設(shè)備上線年線過(guò)久，且存在防攻擊能力差的弱點(diǎn)，改造時(shí)一并將其更換為S9306。并在其上布置防范攻擊的訪問(wèn)控制策略ACL。

改造后的內(nèi)部支撐網(wǎng)絡(luò)拓?fù)鋱D如圖2所示：

三、小結(jié)

我公司上述內(nèi)部支撐網(wǎng)絡(luò)改造從11年改造至今，至今已穩(wěn)定運(yùn)行三年，其間從未發(fā)生宕機(jī)和其它網(wǎng)絡(luò)安全事故。說(shuō)明了我們上述改造方案是成功的，具有在其它本地網(wǎng)推廣運(yùn)用的較大實(shí)現(xiàn)價(jià)值。