李文超

【摘要】 本文通过分析内部支撑网络中多个专网间管理混乱、存在的单点故障和其它安全隐患，提出了防火墙的冗余设计以增强网络可靠性、重新配置访问控制策略以实现内部多个专网间的相互隔离和受控访问，从而保证了内部支撑网络的可管理性和可靠性。

【关键词】 支撑网络 改造 防火墙 可靠性

一、改造前分析

1、南充电信分公司内部支撑网络内有多个支撑系统：10000号，大唐网管，财务营账，OA办公网等。子系统之间的的安全访问策略控制都是经过CISCO 7507和7513两个PE实现，在实现访问控制的管理方面带来了很多不便，甚至有时无法控制满足要求。从用户层面网络需求分析，各子系统又都统一包含县公司用户、市公司用户、服务器访问需求、省公司访问需求、Internet访问需求几个方面。因此在对终端的管控上存在不易管理和重复建设投入的弊端。

2、改造前的网络拓扑如图1所示。

3、网络拓扑结构分析及存在的相关问题

改造前，南充电信各子系统的访问控制通过分布式来实现，部分在PIX535上策略，部分在3560上实现。部分则由数据维护中心来管理和维护，这给各子系统的管理和维护带来了不便之处，不利于管理。（1）网络中的核心设备PIX535防火墙没有进行冗余配置，如果该防火墙出现故障，会影响整个网络，影响整个业务。所以本网络的冗余性极差。（2）整个网络架构没有层次，如需新增设备，只能单一串接入当前网络当中，没有扩展性。

二、改造方案说明

为解决上述支撑网络存在的问题，我主持对网络架构进行了重新设计和优化改造。主要是从防火墙冗余设计以增强网络可靠性、重新部署各专网间的访问控制策略、重新划分用户接入区域和淘汰陈旧设备等方面我公司支撑网络进行了全方位优化。

1、防火墙冗余设计以增强网络可用性和可靠性

为了防止局部故障引起整个网络系统的瘫痪，要尽量避免网络中的单点故障。为此，我们对防火墙进行了冗余设计，将防火墙由一台CISCO PIX535升级为两台CISCO ASA5550，并采用failover技术，实现这两台CISCO ASA5550之间互为热备，无论哪一台防火墙出现问题时，都能立即无缝切换到另一台防火墙上去，终端用户根本感觉不到切换的过程。从而有效解决了一台防火墙当机引起的网络安全隐患，极大地提高了网络可靠性。

2、重新部署各专网间的访问控制策略

将原集中在CISCO 75xx上的访问控制策略ACL下移到CISCO ASA5550防火墙上，实现了综合营帐网络、大唐网管系统网络、10000号坐席网络、OA办公网在VPN里的分离；充分利用CISCO ASA5550防火墙的路由功能，又实现大唐网管，财务营账，OA办公网等专网间的受控访问指定地址和特定服务器的功能，保证了上述几个内部专网的安全。

3、重新划分用户接入区域

网络优化后，实现了用户群区inside与服务器群区DMZ的分开。在用户区inside和服务器群DMZ区中各新增两台汇聚交换机，在其上启用三层路由功能，采用了HRSP技术实现各区域内的汇聚交换机热备份，从而实现接入层与汇聚层分开，以提升各区域的安全级别。此外，根据不同业务部门或中心而划分不同的VLAN，实现不同部门之间的相互独立，进一步提升了安全性，解决了支撑网络内部接入管理混乱问题。

4、淘汰陈旧设备，增强专网内用户受控访问互联网的能力

原来支撑网络内各专网用户访问互联网是通过华为S8505出口，因该设备上线年线过久，且存在防攻击能力差的弱点，改造时一并将其更换为S9306。并在其上布置防范攻击的访问控制策略ACL。

改造后的内部支撑网络拓扑图如图2所示：

三、小结

我公司上述内部支撑网络改造从11年改造至今，至今已稳定运行三年，其间从未发生宕机和其它网络安全事故。说明了我们上述改造方案是成功的，具有在其它本地网推广运用的较大实现价值。