[实用新型]一种局域网网站安全架构系统

说明书

技术领域

本实用新型涉及一种局域网技术，尤其是一种局域网网站安全架构系统。

背景技术

随着网络技术的发展，企事业单位利用计算机的水平越来越高，不仅建立了互联网宣传网站，而且在企业局域网内部，许多日常事务处理系统均采用B/S架构，即浏览器/服务器服务模式进行管理，如办公自动化系统(OA系统)、图纸设计管理系统及研发项目管理系统等，以实现企事业单位内部数据的高效率、高质量的传输、处理和存档。尤其是一些局域网机密网站，如研发项目管理系统，涉及到单位的商业机密数据，只供局域网内部研发部门和其他部门少数人使用。

在这种情况下，对局域网安全，尤其是局域网机密网站的安全就变的非常重要了。

目前，一般的局域网网站系统平台结构设备方案有如下几种：

1.信赖企事业单位构建的局域网内部环境，直接建立局域网网站，提供局域网数据服务；

2.用防火墙在局域网内部构建DMZ区，即用防火墙节点设备，构建DMZ区，提供局域网服务。

但是这些架构设计都没有真正解决局域网内部的安全隔离问题，虽然能够通过防火墙节点阻断局域网内各部分的连接，但是由于局域网内各部分仍然存在直接的物理连接，其逻辑阻断必然存在不确定性，因此，局域网机密网站的防护仍然存在一定的隐患。

发明内容

本实用新型要解决的技术问题是提供一种局域网机密网站安全架构系统，解决在局域网网站系统平台设计中建立高安全架构实现局域网中机密网站的安全保护问题。

为解决上述技术问题，本实用新型所采取的技术方案是：

本实用新型包括路由器、局域网防火墙、DMZ区、部门子网区和VLAN机密区；所述DMZ区包括局域网核心交换机、局域网交换机、服务器和VLAN区交换机，所述部门子网区和所述VLAN机密区均包括至少一台计算机；所述服务器依次通过所述局域网核心交换机、局域网防火墙、路由器与局域网连接，所述部门子网区通过所述局域网交换机与所述局域网核心交换机连接，所述VLAN机密区通过所述VLAN区交换机与所述服务器连接；所述服务器包括至少一台服务器；所述每台服务器安装两块网卡，所述两块网卡分别为配置网卡和服务器网卡，所述配置网卡与VLAN区交换机连接，所述服务器网卡与局域网核心交换机连接；所述每台服务器具有两个IP地址，其中一个IP地址为VLAN区内部IP，另一个IP地址为局域网IP；所述每台服务器上设置IP访问限制和实行网站用户登陆认证机制。

为了防止局域网内其他部门非法人员访问服务器，获得机密信息，首先用防火墙把允许访问的局域网IP划入DMZ区域，然后在服务器上对局域网IP进行访问控制设置，并且设置登陆首页，只有合法的用户和密码才可以登陆网站实现内部数据信息的交流和传递。

本实用新型的有益效果是可以切断局域网区域到局域网中机密区域的物理连接，即不会影响研发部门VLAN机密区对服务器的访问、维护和数据更新，也不会影响局域网中其他部门少数人员对网站的访问，同时还保证了局域网网站的安全。

附图说明

下面结合附图和具体实施方式对本实用新型作进一步详细的说明。

图1是本发明系统硬件配置图；

图2是DMZ区服务器结构模型图。

具体实施方式

由图1-图2所示的实施例可知，本实用新型包括路由器1、局域网防火墙2、DMZ区3、部门子网区8和VLAN机密区9；所述DMZ区3包括局域网核心交换机4、局域网交换机5、服务器6和VLAN区交换机7，所述部门子网区8和所述VLAN机密区9均包括至少一台计算机；所述服务器6依次通过所述局域网核心交换机4、局域网防火墙2、路由器1与局域网连接，所述部门子网区8通过所述局域网交换机5与所述局域网核心交换机4连接，所述VLAN机密区9通过所述VLAN区交换机7与所述服务器6连接；所述服务器6包括至少一台服务器；所述每台服务器6安装两块网卡，所述两块网卡分别为配置网卡和服务器网卡，所述配置网卡与VLAN区交换机7连接，所述服务器网卡与局域网核心交换机4连接；所述每台服务器6具有两个IP地址，其中一个IP地址为VLAN区内部IP，另一个IP地址为局域网IP；所述每台服务器6上设置IP访问限制和实行网站用户登陆认证机制。

本实施例的实现方法如下：

为避免现有技术中由于存在直接的物理连接链路而带来的安全隐患，采取了防火墙过滤与交换机VLAN区域划分相结合的设计，本实用新型的局域网网站系统平台架构实际上是通过三个方面的处理，达到高安全性架构要求，即：

1.局域网防火墙连接结构处理