依据安全域、安全子域的划分结果,进行了中国石化总部与企业网络的安全架构设计,基本架构如图8 -4所示。
通过网络安全域划分,基本实现了网络模块化、层次化的特点。模块化,使安全域/安全子域的划分与网络功能分区相对应,相互之间相对独立,便于安全策略的部署和网络的扩展。层次化,将网络分为核心层、分布层、接入层三个层次,在接入层通过VLAN定义实现接人的隔离;在分布层完成本功能区VLAN间的路由IP地址或路由区域的汇聚,部署功能区内、功能区之间的安全访问策略;通过核心层提供高速的三层交换骨干,核心层不进行终端系统的连接、不实施影响高速交换性能的访问控制策略。