专利名称:一种局域网网站安全架构系统的制作方法
技术领域:
一种局域网网站安全架构系统技术领域[0001]本实用新型涉及一种局域网技术,尤其是一种局域网网站安全架构系统。
技术背景[0002]随着网络技术的发展,企事业单位利用计算机的水平越来越高,不仅建立了互 联网宣传网站,而且在企业局域网内部,许多日常事务处理系统均采用B/S架构,即浏 览器/服务器服务模式进行管理,如办公自动化系统(OA系统)、图纸设计管理系统及 研发项目管理系统等,以实现企事业单位内部数据的高效率、高质量的传输、处理和存 档。尤其是一些局域网机密网站,如研发项目管理系统,涉及到单位的商业机密数据, 只供局域网内部研发部门和其他部门少数人使用。[0003]在这种情况下,对局域网安全,尤其是局域网机密网站的安全就变的非常重要 了。[0004]目前,一般的局域网网站系统平台结构设备方案有如下几种[0005]1.信赖企事业单位构建的局域网内部环境,直接建立局域网网站,提供局域网 数据服务;[0006]2.用防火墙在局域网内部构建DMZ区,即用防火墙节点设备,构建DMZ区, 提供局域网服务。[0007]但是这些架构设计都没有真正解决局域网内部的安全隔离问题,虽然能够通过 防火墙节点阻断局域网内各部分的连接,但是由于局域网内各部分仍然存在直接的物理 连接,其逻辑阻断必然存在不确定性,因此,局域网机密网站的防护仍然存在一定的隐串)Qi、O发明内容[0008]本实用新型要解决的技术问题是提供一种局域网机密网站安全架构系统,解决 在局域网网站系统平台设计中建立高安全架构实现局域网中机密网站的安全保护问题。[0009]为解决上述技术问题,本实用新型所采取的技术方案是[0010]本实用新型包括路由器、局域网防火墙、DMZ区、部门子网区和VLAN机密 区;所述DMZ区包括局域网核心交换机、局域网交换机、服务器和VLAN区交换机,所 述部门子网区和所述VLAN机密区均包括至少一台计算机;所述服务器依次通过所述局 域网核心交换机、局域网防火墙、路由器与局域网连接,所述部门子网区通过所述局域 网交换机与所述局域网核心交换机连接,所述VLAN机密区通过所述VLAN区交换机与 所述服务器连接;所述服务器包括至少一台服务器;所述每台服务器安装两块网卡,所 述两块网卡分别为配置网卡和服务器网卡,所述配置网卡与VLAN区交换机连接,所述 服务器网卡与局域网核心交换机连接;所述每台服务器具有两个IP地址,其中一个IP地 址为VLAN区内部IP,另一个IP地址为局域网IP;所述每台服务器上设置IP访问限制 和实行网站用户登陆认证机制。[0011]为了防止局域网内其他部门非法人员访问服务器,获得机密信息,首先用防火 墙把允许访问的局域网IP划入DMZ区域,然后在服务器上对局域网IP进行访问控制设 置,并且设置登陆首页,只有合法的用户和密码才可以登陆网站实现内部数据信息的交 流和传递。[0012]本实用新型的有益效果是可以切断局域网区域到局域网中机密区域的物理连 接,即不会影响研发部门VLAN机密区对服务器的访问、维护和数据更新,也不会影响 局域网中其他部门少数人员对网站的访问,同时还保证了局域网网站的安全。
[0013]
以下结合附图和具体实施方式
对本实用新型作进一步详细的说明。[0014]图1是本发明系统硬件配置图;[0015]图2是DMZ区服务器结构模型图。
具体实施方式
[0016]由图1-图2所示的实施例可知,本实用新型包括路由器1、局域网防火墙2、 DMZ区3、部门子网区8和VLAN机密区9 ;所述DMZ区3包括局域网核心交换机4、 局域网交换机5、服务器6和VLAN区交换机7,所述部门子网区8和所述VLAN机密区 9均包括至少一台计算机;所述服务器6依次通过所述局域网核心交换机4、局域网防火 墙2、路由器1与局域网连接,所述部门子网区8通过所述局域网交换机5与所述局域网 核心交换机4连接,所述VLAN机密区9通过所述VLAN区交换机7与所述服务器6连 接;所述服务器6包括至少一台服务器;所述每台服务器6安装两块网卡,所述两块网 卡分别为配置网卡和服务器网卡,所述配置网卡与VLAN区交换机7连接,所述服务器 网卡与局域网核心交换机4连接;所述每台服务器6具有两个IP地址,其中一个IP地址 为VLAN区内部IP,另一个IP地址为局域网IP;所述每台服务器6上设置IP访问限制 和实行网站用户登陆认证机制。[0017]本实施例的实现方法如下[0018]为避免现有技术中由于存在直接的物理连接链路而带来的安全隐患,采取了防 火墙过滤与交换机VLAN区域划分相结合的设计,本实用新型的局域网网站系统平台架 构实际上是通过三个方面的处理,达到高安全性架构要求,即[0019]1.局域网防火墙连接结构处理[0020]局域网防火墙用于划分局域网区和DMZ两个区域,实施局域网区对DMZ区的 访问控制。[0021]2.DMZ区服务器结构处理[0022]DMZ区放置服务器,用于向局域网提供网站服务,这些服务器的连接具有特定 要求,连接模型见图2。如图2所示的服务器,为实现VLAN和局域网连接的不连续。 服务器连接结构的配置要求包括[0023](1)需要通过VLAN对服务器进行访问、管理和数据更新的配置网卡,连接 VLAN网络交换机;[0024](2)需要向局域网提供服务的服务器网卡,连接局域网络交换机。[0025](3)配置网卡的配置按照VLAN区的标准配置设置即可。[0026](4)服务器网卡的配置按照标准配置进行,配置IP地址、子网掩码、网关、 DNS服务器等参数。[0027](5)同时安装了配置网卡和服务器网卡的服务器,不设置两个网卡之间的路由。[0028]3.服务器IP限制和用户认证[0029](1)在服务器上对可以访问局域网网站的局域网IP地址进行授权,加强服务器 的机密和安全性。[0030](2)局域网网站设置登陆认证首页,非法用户即使窃用合法IP计算机访问局域 网网站,如果不知道授权用户和密码,也一样无法登陆网站访问网站内部数据,保障了 企业内部机密数据的安全。[0031]例如,在一个使用本实用新型的具体实施例中,采取了如下设置[0032]1.服务器与VLAN交换机连接端口的IP地址为192.168丄2 ;[0033]2.服务器与局域网交换机连接端口的IP地址为192丄160.168 ;[0034]3.局域网 IP 授权访问地址为 192.1.45.180、192.1.45.181 及 192.1.46.192 ;[0035]4.登陆认证用户密码为用户名test,密码1234。[0036]如图1所示,是采用本实用新型的网站系统结构示意图。采用本实用新型的网 站结构避免了直接的物理连接链路,解决了由此产生的安全隐患,同时也有效满足了机 密局域网网站系统的业务需求。[0037]综上所述,本实用新型提出的网站架构系统,一方面保证了网站为局域网提供 服务,同时实现了内部VLAN机密区域对网站系统的访问、管理和更新;另一方面,由 于真正切断了局域网内VLAN机密区域和其他区域的物理连接,确保了 VLAN区域的信 息安全。另外,在服务器上设置IP访问限制和实行网站用户登陆认证机制,确保了服务 器的安全运行。
权利要求1.一种局域网网站安全架构系统,其特征在于它包括路由器(1)、局域网防火墙 (2), DMZ区(3)、部门子网区⑶和VLAN机密区(9);所述DMZ区(3)包括局域网 核心交换机G)、局域网交换机(5)、服务器(6)和VLAN区交换机(7),所述部门子网 区(8)和所述VLAN机密区(9)均包括至少一台计算机;所述服务器(6)依次通过所述 局域网核心交换机G)、局域网防火墙O)、路由器(1)与局域网连接,所述部门子网区(8)通过所述局域网交换机( 与所述局域网核心交换机(4)连接,所述VLAN机密区(9)通过所述VLAN区交换机(7)与所述服务器(6)连接;所述服务器(6)包括至少一台 服务器;所述每台服务器(6)安装两块网卡,所述两块网卡分别为配置网卡和服务器网 卡,所述配置网卡与VLAN区交换机(7)连接,所述服务器网卡与局域网核心交换机(4) 连接;所述每台服务器(6)具有两个IP地址,其中一个IP地址为VLAN区内部IP,另 一个IP地址为局域网IP;所述每台服务器(6)上设置IP访问限制和实行网站用户登陆认 证机制。
2.根据权利要求1所述的一种局域网网站安全架构系统,其特征在于所述VLAN区交 换机(7)是带有VLAN划分功能的交换机。
专利摘要本实用新型公开了一种局域网网站安全架构系统,它包括路由器、局域网防火墙、DMZ区、部门子网区、VLAN机密区;所述DMZ区包括局域网核心交换机、局域网交换机、服务器和VLAN区交换机,所述部门子网区和所述VLAN机密区均包括至少一台计算机;所述服务器依次通过所述局域网核心交换机、局域网防火墙、路由器与局域网连接,所述部门子网区通过所述局域网交换机与所述局域网核心交换机连接,所述VLAN机密区通过所述VLAN区交换机与所述服务器连接。本实用新型的有益效果是可以切断局域网区域到局域网中机密区域的物理连接,既不会影响研发部门VLAN区对服务器的访问、维护和数据更新,也不会影响局域网中其他部门少数人员对网站的访问,同时还保证了局域网网站的安全。
文档编号H04L29/06GK201813403SQ20102057167
公开日2011年4月27日 申请日期2010年10月22日 优先权日2010年10月22日
发明者信绍广, 刘江涛, 孙广旗, 宋亚峰, 王恩清, 王黎辉, 申勇 申请人:新兴铸管股份有限公司