东莞市XX局办公电脑与服务器隔离整改方案
一、项目背景
目前东莞XX局的办公电脑与服务器在同一个网段,没有经过安全设备进行隔离,假如办公电脑出现问题,会直接影响到服务器的运行。存在较大的安全隐患。因此,为了提高网络安全性,计划针对办公电脑的接入方式进行整改,实现办公电脑与服务器的安全隔离,保证XX局的网络安全。
二、现有网络拓扑
目前存在问题:
1、 内网办公电脑与服务器同在一个网段(172.21.78.0/24),没有经过任何安全隔离,假如办公电脑感染了病毒将直接影响到服务器的运行,存在极大的安全隐患。
2、 办公电脑和服务在同一个VLAN内,假如办公电脑修改IP地址与服务器IP地址冲突,也容易导致服务器网络异常。
3、 电子政务网线路直接接入XX局内网,没经过防火墙保护,极容易被非法入侵,存在较大的安全隐患。
三、网络整改方案
1、 整改后的网络拓扑
2、 整改说明
1) 新增一台防火墙用于办公电脑与服务器之间的隔离。在防火墙里面做策略限制,只放通需要使用的服务端口,禁用与系统运行无关的端口。
2) 把目前闲置的思科C4503交换机作为汇聚层设备,所有楼层交换机先汇聚到C4503,然后经过防火墙再上联到华为S7706核心交换机。
3) 办公电脑不在使用政务网地址,重新规划私网地址段,如:192.168.0.0/24,办公电脑访问外网时,在防火墙上通过NAT转换成政务网地址。
4) 把目前在用的启明星辰防火墙迁移到电子政务网线路接入的位置,只放通业务系统指定开发的端口,禁用与业务无关的访问。