一种钢铁企业多层网络安全架构方法

技术领域

本发明涉及一种钢铁企业多层网络安全架构方法，属于互联网控制方法技术领域。

背景技术

企业中的重要数据采集和传输依赖于网络系统，例如工业数据、能源数据等，而一般网络中都有很多电脑终端，而电脑终端的使用过程中，通过互联网、U盘等途径，极易被病毒入侵，从而威胁数据采集的安全，导致数据传输效率降低、系统瘫痪、数据被破坏等严重后果。而且网络设备故障也会引起网络中断，导致数据传输中断和丢失，因而数据采集网络稳定性和安全性有待提高。

发明内容

本发明目的是提供一种钢铁企业多层网络安全架构方法，采用稳定的三层架构，结合网络设备N:1整合型虚拟化技术，简化网络架构，提升网络可靠性和转发能力；将数据采集网络、服务器网络与办公网络分开，避免了办公网中的病毒影响重要数据的传输；采用高性能下一代防火墙系统，对各区域的数据进行过滤和防护，既保证了数据安全，又保证了数据高效传输，有效地解决了背景技术中存在的上述问题。

本发明的技术方案是：一种钢铁企业多层网络安全架构方法，包含以下步骤：采用三层部署，重要设备采用冗余架构，划分为数据区域、办公区域和数据采集区域三个不同区域，数据区域只部署服务器系统，办公区域接入电脑终端，数据采集区域只允许接入数据采集相关设备，区域之间用防火墙隔离。

所述重要设备采用冗余架构，冗余部署网络设备采用N:1整合型虚拟化技术，将两台网络设备通过特定的集群线缆连接，对外呈现为一台逻辑设备，简化网络架构，提升网络可靠性和转发能力。

所述数据区域，服务器系统采用数据区域核心层和数据区域接入层双层架构部署，数据区域核心层交换机向下通过40GE链路连接至数据区域接入层交换机，数据区域接入层交换机连接至服务器采用万兆光纤链路；在高可靠和高性能的设计上，数据区域核心层采用两台冗余的设备实现负载分担，链路也采用双冗余链路，通过链路聚合实现链路的负载分担。

所述办公区域，在网络建设上采用三层组网架构，包含办公区域核心层、办公区域汇聚层和办公区域接入层；

办公区域核心层：办公区域核心层交换机采用高性能框式设备，提供高速的三层交换骨干。办公区域核心层交换机采用双机冗余架构，采用横向虚拟化技术；办公区域核心层交换机到数据区域核心层交换机采用40G光纤链路连接，提供高速转发通道；办公区域核心层不进行终端系统的连接；少用或不实施影响高速交换性能的ACL等功能；

办公区域汇聚层：办公区域汇聚层交换机采用高性能框式设备，作为办公区域接入层和办公区域核心层的分界层，办公区域汇聚层交换机采用双机冗余架构，采用横向虚拟化技术；办公区域汇聚层交换机到办公区域核心层交换机采用40G光纤链路连接，办公区域汇聚层完成本功能区VLAN 间的路由、IP地址或路由区域的汇聚功能；

办公区域接入层：办公区域接入层交换机采用标准1U设备，提供足够数量的千兆电接口用于用户接入，足够数量的万兆光接口用于向上级联；办公区域接入层交换机采用单机部署，采用10G光缆或电缆与办公区域汇聚层连接,为终端用户提供10/100/1000M网络接入服务。

所述数据采集区域，在网络建设上采用三层组网架构，包含数据采集区域核心层、数据采集区域汇聚层和数据采集区域接入层；

数据采集区域核心层：数据采集区域核心层交换机采用高性能框式设备，提供高速的三层交换骨干，数据采集区域核心层交换机采用双机冗余架构，采用横向虚拟化技术；数据采集区域核心层交换机到数据区域核心层交换机采用10G光纤链路连接，并通过防火墙进行隔离，对数据流进行策略控制，保障数据安全性；

数据采集区域汇聚层：数数据采集区域汇聚层交换机采用高性能盒式设备，作为数据采集区域接入层和数据采集区域核心层的分界层，数据采集区域汇聚层交换机采用双机冗余架构，采用横向虚拟化技术；数据采集区域汇聚层交换机到数据采集区域核心层交换机采用10G光纤链路连接；数据采集区域汇聚层完成本功能区VLAN 间的路由、IP地址或路由区域的汇聚功能；

数据采集区域接入层：数据采集区域接入层交换机采用标准1U设备，采用单机部署；接口包含千兆电口和万兆上联光接口；数据采集区域接入层交换机到数据采集区域汇聚层交换机采用10G光纤链路连接。

所述防火墙，各区域核心层网络设备之间采用高性能下一代防火墙隔离，网络核心层设备和防火墙之间采用10G或40G光链路连接，防火墙启用七层防护，添加访问策略，只允许必要的流量通过。

本发明的有益效果是：采用稳定的三层架构，结合网络设备N:1整合型虚拟化技术，简化网络架构，提升网络可靠性和转发能力；将数据采集网络、服务器网络与办公网络分开，避免了办公网中的病毒影响重要数据的传输；采用高性能下一代防火墙系统，对各区域的数据进行过滤和防护，既保证了数据安全，又保证了数据高效传输。

附图说明

图1是本发明总体网络结构图；

图2是本发明数据区域网络结构图；

图3是本发明办公区域网络结构图；

图4是本发明数据采集区哉网络结构图。

具体实施方式

为了使发明实施案例的目的、技术方案和优点更加清楚，下面将结合实施案例中的附图，对本发明实施案例中的技术方案进行清晰的、完整的描述，显然，所表述的实施案例是本发明一小部分实施案例，而不是全部的实施案例，基于本发明中的实施案例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施案例，都属于本发明保护范围。

一种钢铁企业多层网络安全架构方法，包含以下步骤：采用三层部署，重要设备采用冗余架构，划分为数据区域、办公区域和数据采集区域三个不同区域，数据区域只部署服务器系统，办公区域接入电脑终端，数据采集区域只允许接入数据采集相关设备，区域之间用防火墙隔离。

所述重要设备采用冗余架构，冗余部署网络设备采用N:1整合型虚拟化技术，将两台网络设备通过特定的集群线缆连接，对外呈现为一台逻辑设备，简化网络架构，提升网络可靠性和转发能力。

所述数据区域，服务器系统采用数据区域核心层和数据区域接入层双层架构部署，数据区域核心层交换机向下通过40GE链路连接至数据区域接入层交换机，数据区域接入层交换机连接至服务器采用万兆光纤链路；在高可靠和高性能的设计上，数据区域核心层采用两台冗余的设备实现负载分担，链路也采用双冗余链路，通过链路聚合实现链路的负载分担。

所述办公区域，在网络建设上采用三层组网架构，包含办公区域核心层、办公区域汇聚层和办公区域接入层；

办公区域核心层：办公区域核心层交换机采用高性能框式设备，提供高速的三层交换骨干。办公区域核心层交换机采用双机冗余架构，采用横向虚拟化技术；办公区域核心层交换机到数据区域核心层交换机采用40G光纤链路连接，提供高速转发通道；办公区域核心层不进行终端系统的连接；少用或不实施影响高速交换性能的ACL等功能；

办公区域汇聚层：办公区域汇聚层交换机采用高性能框式设备，作为办公区域接入层和办公区域核心层的分界层，办公区域汇聚层交换机采用双机冗余架构，采用横向虚拟化技术；办公区域汇聚层交换机到办公区域核心层交换机采用40G光纤链路连接，办公区域汇聚层完成本功能区VLAN 间的路由、IP地址或路由区域的汇聚功能；

办公区域接入层：办公区域接入层交换机采用标准1U设备，提供足够数量的千兆电接口用于用户接入，足够数量的万兆光接口用于向上级联；办公区域接入层交换机采用单机部署，采用10G光缆或电缆与办公区域汇聚层连接,为终端用户提供10/100/1000M网络接入服务。

所述数据采集区域，在网络建设上采用三层组网架构，包含数据采集区域核心层、数据采集区域汇聚层和数据采集区域接入层；

数据采集区域核心层：数据采集区域核心层交换机采用高性能框式设备，提供高速的三层交换骨干，数据采集区域核心层交换机采用双机冗余架构，采用横向虚拟化技术；数据采集区域核心层交换机到数据区域核心层交换机采用10G光纤链路连接，并通过防火墙进行隔离，对数据流进行策略控制，保障数据安全性；

数据采集区域汇聚层：数数据采集区域汇聚层交换机采用高性能盒式设备，作为数据采集区域接入层和数据采集区域核心层的分界层，数据采集区域汇聚层交换机采用双机冗余架构，采用横向虚拟化技术；数据采集区域汇聚层交换机到数据采集区域核心层交换机采用10G光纤链路连接；数据采集区域汇聚层完成本功能区VLAN 间的路由、IP地址或路由区域的汇聚功能；

数据采集区域接入层：数据采集区域接入层交换机采用标准1U设备，采用单机部署；接口包含千兆电口和万兆上联光接口；数据采集区域接入层交换机到数据采集区域汇聚层交换机采用10G光纤链路连接。

所述防火墙，各区域核心层网络设备之间采用高性能下一代防火墙隔离，网络核心层设备和防火墙之间采用10G或40G光链路连接，防火墙启用七层防护，添加访问策略，只允许必要的流量通过。

在实际应用中，本发明包括以下区域：

1、数据区域：也称服务器区域，用于部署信息化内部服务器、云平台和存储等，主要用于各个业务系统间数据的传输，主要考虑的是流量转发的速率和高可靠性，采用数据区域核心层和数据区域接入层双层架构部署。

2、办公区域：主要用于工作人员办公和信息化各业务系统的数据访问，主要传输的业务数据来源于数据区域服务器；在网络建设上采用三层组网架构，包含办公区域核心层、办公区域汇聚层和办公区域接入层。

3、数据采集区域：主要用于各区域工业控制网的数据互联和数据采集，主要负责传输工业控制网和数据区域服务器之间的数据；在网络建设上采用三层组网架构，包含数据采集区域核心层、数据采集区域汇聚层和数据采集区域接入层。

4、防火墙说明：

在三个区域之间采用高性能下一代防火墙进行隔离防护。下一代防火墙（NGFW），是一种可以全面应对应用层威胁的高性能防火墙。通过深入洞察网络流量中的用户、应用和内容，并借助全新的高性能单路径异构并行处理引擎，NGFW能够为用户提供有效的应用层一体化安全防护，帮助用户安全地开展业务并简化用户的网络安全架构。以下是下一代防火墙优于传统防火墙的五大优势。

（1）多功能

传统防火墙提供基本的数据包过滤，网络和端口地址转换，状态检查，甚至可以支持虚拟专用网络。但是，它们仅限于OSI模型的数据链路层和传输层。

除了传统防火墙的所有功能外，下一代防火墙还包括集成入侵检测系统（IDS）和入侵防护系统（IPS），可根据流量行为分析，威胁签名或异常活动检测攻击。此功能有助于执行更深入的检查，并改进网络流量的数据包内容过滤，直至应用程序层。

（2）应用意识

传统防火墙通常会阻止网络上的常见应用程序端口或服务，以控制应用程序访问和监视特定威胁。但是，随着网络连接变得越来越复杂，多个应用程序使用多个或各种端口，这使得传统防火墙很难识别目标端口。

此外，这些端口以各种其他方式使用，例如隧道，其中网络协议被包含在由第二网络承载的分组内并且在目的地被解封装。

为了解决这个问题，下一代防火墙设备监控从第2层到第7层的流量，并且足够智能以确定发送或接收的确切内容。如果内容在策略范围内，则会进一步发送，否则会被阻止。

应用程序感知还使公司能够根据用户和应用程序设置策略。例如，允许用户访问Facebook，但阻止Facebook聊天。

（3）简化基础设施

传统防火墙需要为每个新威胁使用单独的安全设备，这会导致维护和更新每个设备的额外成本和工作量。

使用动态IP地址，配置识别和管理流量所需的数千条规则变得非常复杂。而且，这些设备甚至不为内容，应用程序甚至用户提供急需的控制和安全性。

NGFW仅使用一个设备或控制台提供集成的防病毒，垃圾邮件过滤，深度数据包检查和应用程序控制。不需要额外的设备，因此降低了基础设施的复杂性。

（4）威胁防护

与传统防火墙不同，NGFW包括防病毒和恶意软件防护，无论何时发现新威胁，都会自动升级。NGFW设备还通过限制在其上运行的应用程序来最小化攻击途径。

然后，它会扫描所有已批准的应用程序，以查找任何隐藏的漏洞或机密数据泄漏，并降低任何未知应用程序的风险。这也有助于减少任何无用流量的带宽使用，这是传统防火墙无法实现的。

（5）网络速度

虽然许多传统防火墙供应商声称可以从每个端口提供特定的吞吐量（通常是千兆字节），但事实却完全不同。

打开时，保护设备和服务数量的增加往往会阻碍网络速度。当流量到达最终用户时，速度几乎是实际承诺速度的三分之一。

相比之下，无论保护服务的数量如何，下一代防火墙吞吐量都保持不变。

本发明通过采用上述技术方案，具有以下优点：采用稳定的三层架构，结合网络设备N:1整合型虚拟化技术，简化网络架构，提升网络可靠性和转发能力；将数据采集网络、服务器网络与办公网络分开，避免了办公网中的病毒影响重要数据的传输；采用高性能下一代防火墙系统，对各区域的数据进行过滤和防护，既保证了数据安全，又保证了数据高效传输。

上述实施例仅例示性说明本申请的原理及其功效，而非用于限制本申请。任何熟悉此技术的人士皆可在不违背本申请的精神及范畴下，对上述实施例进行修饰或改变。因此，举凡所属技术领域中具有通常知识者在未脱离本申请所揭示的精神与技术思想下所完成的一切等效修饰或改变，仍应由本申请的权利要求所涵盖。