東莞市XX局辦公電腦與服務(wù)器隔離整改方案

　　一、項(xiàng)目背景

　　目前東莞XX局的辦公電腦與服務(wù)器在同一個(gè)網(wǎng)段，沒有經(jīng)過安全設(shè)備進(jìn)行隔離，假如辦公電腦出現(xiàn)問題，會(huì)直接影響到服務(wù)器的運(yùn)行。存在較大的安全隱患。因此，為了提高網(wǎng)絡(luò)安全性，計(jì)劃針對(duì)辦公電腦的接入方式進(jìn)行整改，實(shí)現(xiàn)辦公電腦與服務(wù)器的安全隔離，保證XX局的網(wǎng)絡(luò)安全。

　　二、現(xiàn)有網(wǎng)絡(luò)拓?fù)?/strong>

　　目前存在問題：

　　1、 內(nèi)網(wǎng)辦公電腦與服務(wù)器同在一個(gè)網(wǎng)段(172.21.78.0/24)，沒有經(jīng)過任何安全隔離，假如辦公電腦感染了病毒將直接影響到服務(wù)器的運(yùn)行，存在極大的安全隱患。

　　2、 辦公電腦和服務(wù)在同一個(gè)VLAN內(nèi)，假如辦公電腦修改IP地址與服務(wù)器IP地址沖突，也容易導(dǎo)致服務(wù)器網(wǎng)絡(luò)異常。

　　3、 電子政務(wù)網(wǎng)線路直接接入XX局內(nèi)網(wǎng)，沒經(jīng)過防火墻保護(hù)，極容易被非法入侵，存在較大的安全隱患。

　　三、網(wǎng)絡(luò)整改方案

　　1、 整改后的網(wǎng)絡(luò)拓?fù)?/strong>

　　2、 整改說明

　　1) 新增一臺(tái)防火墻用于辦公電腦與服務(wù)器之間的隔離。在防火墻里面做策略限制，只放通需要使用的服務(wù)端口，禁用與系統(tǒng)運(yùn)行無關(guān)的端口。

　　2) 把目前閑置的思科C4503交換機(jī)作為匯聚層設(shè)備，所有樓層交換機(jī)先匯聚到C4503，然后經(jīng)過防火墻再上聯(lián)到華為S7706核心交換機(jī)。

　　3) 辦公電腦不在使用政務(wù)網(wǎng)地址，重新規(guī)劃私網(wǎng)地址段，如：192.168.0.0/24，辦公電腦訪問外網(wǎng)時(shí)，在防火墻上通過NAT轉(zhuǎn)換成政務(wù)網(wǎng)地址。

　　4) 把目前在用的啟明星辰防火墻遷移到電子政務(wù)網(wǎng)線路接入的位置，只放通業(yè)務(wù)系統(tǒng)指定開發(fā)的端口，禁用與業(yè)務(wù)無關(guān)的訪問。