网管中心机房安全性设计浅议

如果计算机和网络系统的安全受到危害，将会危及政府安全，引起社会混乱，造成严重的损失，所以网络安全性设计非常重要，本文以绿春网管中心机房设计为例，从物理隔离与逻辑隔离、防火墙设计、核心层设计、病毒防治四个方面与大家探讨机房安全性设计。

【关键词】机房 安全性设计 隔离 防火墙 核心层 病毒

随着信息化进程的深入和internet网的迅速发展，网络化已经成为政府信息化发展大趋势，信息资源也得到最大程度的共亨。但是，紧随信息化发展而来的网络安全问题日渐突出，已经成为信息时代人类共同面临的挑战。目前，危害计算机信息系统安全的事件频繁发生，而且有越来越烈之势，甚至会影响国家之间的战争形势，由现有战争方式转变为没有硝烟的网络战争。

如果计算机和网络系统的安全受到危害，将会危及政府安全，引起社会混乱，造成严重的损失，所以网络安全性设计非常重要，现在我就与大家一起探讨一下网管中心机房安全性设计。

1 物理隔离与逻辑隔离

网络隔离主要有两类隔离，一类是物理隔离，另一类是逻辑隔离。物理隔离指使两个网络在物理连线上完全隔开，而且没有任何公用的存储信息，保证计算机的数据在网络间不被重用。被隔离的两端永远无法通过隔离部件交换信息。 而逻辑隔离则指被隔离的两端仍然存在物理上数据通道连线，但通过一些技术手段保证被隔离的两端没有数据通道，也就是逻辑上隔离。物理隔离的安全性要高于逻辑隔离。在网络安全性设计时主要是从安全性要求的程度来进行隔离。安全性要求极高的网络，如电子政务内网，我们采用物理隔离的方式与互连网隔离，即各用各的线路和设备，互不连接。安全性要求不是很高的专网，从节省开销、避免重复建设、方便使用等情况考虑，设计为与internet网逻辑隔离，比如我市的电子政务外网、统计专网、OA专网等，上级部门没有物理隔离的要求，并且逻辑隔离也不会产生什么危害，我们就设计为与internet网逻辑隔离，通过SSL VPN技术、VLAN技术实现网络的逻辑隔离，共用相同的防火墙、核心交换机、楼层交换机、内部通信线路等。

2 防火墙设计

防火墙（Firewall），是建立在内外网络边界上的过滤封锁机制，它认为内部网络是安全和可信的，而外部网络是不安全和不可信的。防火墙的作用是防止不希望的、没有经过授权的数据包进出被保护的内部网络，通过边界控制强化内部网络的安全策略。它的实现有很多形式，其原理很简单，可把它当成一对开关，一个用来阻止传输，另一个用来允许传输。防火墙作为网络安全体系的基础和核心设备，贯穿于受控网络通信的主干线路，对通过受控干线的任何通信行为进行安全处理，如：审计、控制、报警和反应等。同时也承担着繁重的通信任务。由于它自身处于网络系统中的敏感位置，它还要面对各种安全威胁，因此，选用一个安全、稳定和可靠的防火墙产品，其重要性不言而喻。

我中心机房配备了一台H3C F1000-C防火墙。利用防火墙的端口映射功能，隐蔽了服务器的真实IP地址，并把服务器放置于防火墙的DMZ区域，有效避免黑客的攻击。使用防火墙的firewall defend 功能开启了必要的防攻击功能，有效的避免了外界系统的攻击。采用缺省路由和明细路由的方式，有效的使互连网的访问和专网的访问相隔离。通过访问控制列表（ACL）命令，禁止了对一些游戏网站和一些娱乐网站的访问。通过SSL VPN技术，在internet和中心机房OA服务器之间开通了一条虚拟的安全数据隧道，使办公区外的办公用户可以通过这隧道安全地与OA服务器进行通讯。通过防火墙对P2P软件进行了限流，达到了限制网络流量，提高网络性能的目的。

3 核心层设计

网络主干部分称为核心层，核心层的主要目的在于通过高速转发通信，提供优化、可靠的骨干传输结构，所以，核心交换机应拥有更高的可靠性、吞吐量和性能。

我中心机房核心层选用了H3C S7506E-S作为核心交换机。由于核心层可靠性要求高，所以我们选用了同样的一台核心交换机作为冗余交换机，正常使用时主核心交换机在运行，当主核心交换机出现故障时系统自动切换到冗余交换机。为了便于楼层的管理和减少病毒的扩散，我们采用了VLAN（虚拟局域网）技术，在核心交换机上划分了VLAN和建立了VLAN虚接口，8个楼层交换机分别采用了不同的VLAN段。并在核心交换机上建立了一段登录IP，通过核心交换机可以方便的登到任何一台楼层交换机上。为了控制病毒和ARP攻击的大范围传播，我们在核心交换机中采用了MAC地址+IP地址+交换机端口进行绑定。有效地防止了ARP等病毒的攻击。并定期对核心交换机的版本进行升级。

4 病毒防治

电脑病毒是指编制或者在电脑程序中插入的破坏电脑功能或者毁坏数据，影响电脑使用，并能自我复制的一组电脑指令或者电脑代码。传统意义上的电脑病毒通常具有破坏性、隐蔽性、潜伏性和传染性。随着电脑软件和网络技术的发展，在现在的网络时代，电脑病毒又有了很多新的特点，例如，主动通过网络和电子邮件传播、变种，具有病毒、蠕虫和黑客程序的功能等。

为了方便管理，防止重复建设和重复投资，我们在汇集交换机上安装了一台装有卡巴斯基网络版服务器端杀毒软件的服务器，并把它划入了某一个VLAN段中，而整个局域网的电脑都安装了卡巴斯基客户端软件，这样每台电脑都可以定期、不定期的进行升级，并大大的降低了投资成本。

由于该机房安全性设计得比较好，所以几年以来，该机房及下连设备一直未出现过重大的安全性问题，该机房的设计得到了州中心领导的一致好评。

参考文献

[1]张友生.系统分析师教程[M].北京：清华大学出版社，2010（02）.

[2]黄居源.地级市电子政务网站运行情况分析[D].山东：山东大学（硕士学位论文），2008（04）.

[3]储庄，张全海，李建华.上海市电子政务外网安全保障体系研究与设计[J].信息网络安全，2012（04）.

[4]黎水林.基于安全域的政务外网安全防护体系研究，信息网络安全，2012（07）.

[5]丰继林，刘庆杰.计算机网络工程与实践[M].北京：清华大学出版社，2005（01）.

作者简介

范玉福（1970-），男，大学本科学历。现为云南省绿春县电子政务网络管理中心工程师。主要研究领域为信息安全、计算机网络、软件设计等。

作者单位

绿春县电子政务网络管理中心 云南省绿春县 662599