网络安全 361 重则全网瘫痪。集中式数据转发方式已经在复杂多 样的白山电厂局域网中显得力不从心。 3 网络建设目标 根据国家电网公司信息化工作的总体部署及建 设要求，为加速办公管理信息化、现代化进程。白 山发电厂局域网将逐步改造为，以物理安全、链路 安全、网络安全、系统安全、信息安全五大安全建 设为核心的网络建设理念，提升办公网基础数据集 中度和共享度，构筑起信息化支持下的办公管理工 作的新格局。 针对上述分析，对原有的网络结构进行全面而系 统的改造。本着技术上必须“兼收并蓄”和业务上必 须“融会贯通”的原则，将 IP 技术融入到实际的网 络改造后的实际运用中，提出网络改造规划如下： 3.1 建设一个先进、高速、易扩展、易管理的 网络 对核心交换机、接入交换机进行升级改造，实 现千兆为核心、三层到桌面，有效扩展链路带宽， 实现流量监管控制，全面提升全网承载容量，确保 所有业务均能得到持续可靠的网络服务保障。同时 通过网络管理软件的部署，减轻网络管理负担，实 现全网设备的统一拓扑、实时监控网络流量及故障、 告警管理。 3.2 建设一个标准、安全、可靠、顺畅的安全 网络 信息网络依赖于安全而发展，安全依托于网络 而存在，两者完全交融并相互渗透。核心交换机内 双主控双电源设计；外置高端防火墙的访问策略、 隔离策略的健全和完善；IPS 设备的内容监控、应用 分析、P2P 运用监控；接入交换机端口绑定等举措， 确保全网的动态安全特性。 3.3 信息内、外网实现隔离，提升信息化应用 的安全管理效能 对原有网络结构进行改造，初步实现信息内网 与信息外网的完全物理隔离，对信息内、外网边界， 部署访问控制策略及入侵检测系统，桌面管控系统、 防病毒系统等，实现信息安全稳定可靠。 4 网络设计与实施 将所有核心服务器集中于核心网段，同时通过 VLAN 的规划和 100M 到桌面的部署。 实现双机双网建 设，提升白山发电厂网络安全稳定，以严、细、实、 精的工作理念，构建信息安全防护体系，实现信息 网络及应用的稳定高效、快捷运行 4.1 核心层设计： 核心层设备直接关系整个网络系统的稳定运 行，由于核心交换设备处于整个网络中是最关键的 地位，任何故障都可能造成系统的瘫痪。因此对于 核心交换机必须采用高性能的具有冗余性能的第三 层交换设备作为整个网络的交换中心。此外所有的 业务数据均有由其承载，网络的可靠性能和核心服 务器网段的安全性尤其重要。因此选用两台 H3C 7506E 做为核心交换机和冗余热备用交换机， 以防止 单点设备故障或单点链路故障导致全网瘫痪的可 能。 通过防火墙、入侵检测等安全设备链接 CISCO7206 路由器 155M 链路，接入网省公司。企业 内部采用三层交换机的分层网络机构模式为网络提 供如下优势： 1．网络结构清晰，维护管理简单，故障定位容 易； 2．广域网和局域网彼此影响降为零。结构影响 为零：对于局域网拓扑结构的变化不会对广域网造 成冲击；数据影响为零：局域网内部信息的互访不 会对整个广域网信息传送造成影响。 3．隔离网络病毒影响的范围，局域网内部如果 病毒泛滥或出现病毒攻击，故障区域将被局限到局 域网范围之内，而不会造成广域网设备的瘫机导致 整网故障的出现。 4．更为容易完成网络扩容升级，如可以单独对 局域网层面进行改造升级而不会造成对广域网造成 影响，对广域网进行整改而不会对局域网造成冲击。 4.2 接入层设计 接入层交换机，选用全千兆三层交换机，交换 机较高的数据转发能力，可为所有端口提供三层千 兆线速交换功能。交换机还具备端口限速功能，可 以进行端口带宽分配，控制用户的接入速率，防止 恶意侵占网络带宽。支持 MAC 地址和端口绑定、广