企业网升级改造中的网络安全设计

1、企业网晋级改造中的网络平安设计摘要：介绍了天津钢铁集团企业网现状，分析了网络存在的问题，提出了设计改造的解决方案，并且加强网络平安，通过施行验证了晋级改造的可行性。关键词：企业网；网络规划；网络晋级；网络平安1企业概况天津钢铁集团是集炼铁、烧结、炼钢、连铸、轧钢、等一系列以金属制品消费工艺为一体的大型钢铁企业。2022年产量铁550万吨，钢750万吨，钢材700万吨。公司采用国际管理体系，并已通过IS9001质量管理体系、IS14001环境管理体系和GB/T280012001职业安康平安管理体系认证。为增强企业竞争力适应市场需要，对于钢铁企业来说企业核心业务的组织方式必须建立在企业信息化的根底

2、之上，并与之严密联络，同时如何通过企业信息化进展综合管理，充分发挥企业的消费力，减少原料与能源的消耗，合理调配消费设备与人力资源，使之最大限度地发挥其作用，是钢铁企业需要着重考虑的问题。2网络状况天津钢铁集团办公信息网建于2022年，网络构造以千兆传输速率的星型构造主干网为根底，主要承载公司A、Intranet、Internet等业务，至今已经分三期建立，前期网络为二层构造，直接从接入层双链路接入核心，运行STP协议；三期工程于2022年与厂前区工程同时投入建立，采用核心、会聚和接入三层架构，运行SPF协议；网络边界处设置硬件防宋扬，男，30岁，天津工业大学，工程硕士研究生火墙与Interne

3、t连接。公司内部使用Intranet技术的局域网，通过防火墙接入Internet。核心层位于中心机房，以两台一样的AVAYAP882交换机作为网络核心。会聚层分布于各办公楼，每个节点的配线间安装一台AVAYAP334或华为3600，6502，3902P，7503，5500与AVAYAP882连接。接入层分布于总杂库，各个办公楼，营销中心，轨道衡和汽车衡，采用的交换机为AVAYAP133和华为3952，3928，3600。目前的拓扑构造如下：图1天津钢铁集团企业网现状拓扑图经过几年的网络建立和运行，逐步发现存在的一些问题：2.1双核心设备互相冗余备份，共同承当整个办公网的数据、业务处理，之后上联

4、到办公楼设备P334上。这样P334设备成为网络中的性能瓶颈，容易变为故障点，影响整个网络的出口。2.2效劳器直接连接在两台核心设备上，较为分散，不便于管理，网络可靠性差，核心设备出现问题会导致大面积网络故障，影响正常的消费办公秩序，内网的病毒蔓延和外网的攻击都容易引起效劳器受攻击。2.3一期投入的设备除核心设备以外，接入层均为二层设备，所有路由选择都由核心设备负担；而第三期建立由于建立时间较晚，运行SPF协议；如此以来二、三层协议并存于网络之中，核心交换机配置不一致，随着后期网络规模扩展，这将不利于网络的维护和管理。2.4在网络平安方面原有IDS因为协议库、病毒库、防攻击库等不能及时更新，百

5、兆带宽的接口不能满足用户核心交换机千兆网络监控流量等原因，需要对IDS设备进展晋级换代。2.5网络中的设备品牌型号众多，不便于管理，在保证网络系统性能的前提下，充分考虑设备和线缆的利旧，更换选用国产设备以节省工程投资，保护已有的投资。3改造方案3.1此次改造使用S9306核心路由交换机交换目前AVAYAP882，利用旧线路将原有会聚层、接入层设备连接至新装核心交换机S9306。3.2效劳器群前安置两台接入交换机S5800-60，使得效劳器单独成区。有利于今后效劳器的扩容，直接在交换机上接入新接的设备，不需要更改核心交换机上的配置。并且，在交换机上配置防火墙插卡，对效劳器区实行专门的保护，过滤内

6、网对效劳器的访问和病毒传染。将eb效劳器移出效劳器区，外网用户访问公司时，不进入内网，减少对内网的访问。3.3在第一、二期建立的设备前增添会聚层设备S7503E，办公楼的接入层设备就近接入会聚层，会聚层与核心层之间运行SPF协议，把局部路由功能在会聚层上实现，用来减少播送风暴区域，且使整个网络构造趋向于简单，减少接入与核心之间的光纤链路。3.4平安设备改造采用NIP(NetrkIntelligentPlie,NIP)即基于网络的智能网络入侵检测系统NIP200交换现有的IDS设备。设置一台上网行为管理器实现对互联网访问行为的全面管理。监控点到点流量、防止内网泄密、防范法规风险、即时通讯软件等多

7、个方面。3.5使用新的SPF三层路由协议取代原有的STP二层协议，并增加了新的VRRP三层路由网关协议，解决不同品牌设备间的兼容性问题，弥补了设备利用率低和稳定性低等缺乏，进步了设备的数据处理性能和使用率，加强了系统的稳定性和扩展性。充分利用了已有网络资源，在原有设备根底上对局域网的网络构造进展了优化调整，改造后的网络拓扑如下列图所示：选用华为核心交换机S93061采用了业界最先进的交换网技术和硬件A(peratin,Adinistratinaintenane,A)设计，和绿色环保的设计新理念。S9306路由交换机的背板容量到达6T比特，能充分满足下一代网络和大型数据中心对带宽、业务质量开展的

8、需求。该设备具备业界最灵敏的扩展性，并通过堆叠技术实现亿兆交换容量，满足企业持续开展的业务需求。绿色环保的设计理念，即根据不同的应用环境自动调节电源的工作功率和风扇的转速，并且通过独特的左后风道散热技术，可整体节省30%35%的功耗。4网络平安在钢铁行业网络规划中，网络的平安性问题直接关系到消费网络的平安性，一旦消费网络由于平安问题而出现问题或瘫痪，对于钢铁企业的消费系统产生的影响是极其严重的，将造成宏大的经济损失，因此大多数钢铁企业都在三级消费网络和四级管理网络之间部署防火墙，通过一定的平安策略来确保消费网络的平安，保障消费。NIP2002具有强大的入侵检测和监控才能，能提供扫描检测、木马检

9、测、蠕虫检测、DS攻击检测、代码攻击检测等功能；同时采用应用层分析技术，集成了应用协议解码器，可以完好的分析各种应用协议；提供高级协议识别技术，即使修改默认端口，也可以进展正确解析；提供邮件、即时通讯、文件传输、以及效劳器工作状态监控，准确掌握用户行为，及时发现网络和效劳器的异常。并且具有高性能的网络流量处理机制、多样化的报警响应方式、强大的协作联动才能、灵敏多样的部署方式、完备的攻击特征库和事件自定义功能和功能强大的事件管理及其流量统计功能等功能，完全满足用户对内网平安的需求。5完毕语这次网络系统的晋级改造是在实用性的前提下充分考虑了网络的可靠性、平安性、可维护、可扩展性等诸多方面的平衡，改善了以前设备和链路冗余度低、设备性能和利用率低、网络故障率高和进口设备维护本钱高等情况，进步了网络的吞吐量和交换性能提供更高速的数据处理和业务交换才能，在