某地市96159扩容网络项目

　　1.网络现状

　　现网某地市96159内网服务器通过PIX525防火墙外连MDCN网、12580坐席和CMNET网。PIX525通过连接华为S3552G数据BOSS交换机和S6503网管交换机连通MDCN网(BOSS、NSP、IP网管、欢迎短信)。PIX525通过连接迈普S4126E交换机连通12580坐席。PIX525通过连接S5328C交换机实现连通CMNET网。

　　网络拓扑如下：

　　2.预期改造目的

　　本次网络改造内容主要为以下几个方面：

　　1新增两台思科ASA5550防火墙组成冗余结构做为96159系统的防火墙，替换原来的PIX525。

　　2新增两台华三S5528C交换机做为ASA5550和F1000E之间连接防火墙

　　3新增两台华三F1000E防火墙组成冗余结构做为连接CMENT网前双重保护异构防火墙。

　　4新增两台华三S5552C交换机，其中一台连接普天机框式协议转换器，做为专线交换机连接到各地社保医保专线。另一台交换机上架，暂做备用。

　　实施步骤按照以上顺序进行，最终拓扑结构如下：

　　3.改造内容

　　本次网络改造，分为两个阶段完成，第一阶段用新购ASA5550替换原来的PIX525。第二阶段启用华三F1000E防火墙，建立专线连接到各地社保医保。

　　第一阶段用新购ASA5550替换原PIX525，防火墙配置完全替换。各系统测试业务连通性。

　　第二阶段添加F1000E防火墙、S5528C交换机、S5552C交换机建立专线连接到各地社保医保，测试到CMENT连通性。

　　本次改造重点把PIX525上的公网地址外移到新增F1000E防火墙上。重点不修改原系统的IP地址。

　　4. 方案特点：

　　第一：防火墙PIX525替换成ASA5550，因ASA系列是PIX系列的升级版，不会产生配置不兼容问题;

　　第二：改造为在原来PIX525出口到CMENT网络基础上新增异构防火墙，达到双层防护的功能。

　　第三：按照用户的需求，通过设置面向对象的策略，使Untrust区域中被用户允许的对象可以访问Trust区域中的设备，而不被允许的对象将禁止访问Trust区域中的设备。

2016年01月