依據(jù)安全域、安全子域的劃分結(jié)果，進(jìn)行了中國(guó)石化總部與企業(yè)網(wǎng)絡(luò)的安全架構(gòu)設(shè)計(jì)，基本架構(gòu)如圖8 -4所示。

通過(guò)網(wǎng)絡(luò)安全域劃分，基本實(shí)現(xiàn)了網(wǎng)絡(luò)模塊化、層次化的特點(diǎn)。模塊化，使安全域／安全子域的劃分與網(wǎng)絡(luò)功能分區(qū)相對(duì)應(yīng)，相互之間相對(duì)獨(dú)立，便于安全策略的部署和網(wǎng)絡(luò)的擴(kuò)展。層次化，將網(wǎng)絡(luò)分為核心層、分布層、接入層三個(gè)層次，在接入層通過(guò)VLAN定義實(shí)現(xiàn)接人的隔離；在分布層完成本功能區(qū)VLAN間的路由IP地址或路由區(qū)域的匯聚，部署功能區(qū)內(nèi)、功能區(qū)之間的安全訪問(wèn)策略；通過(guò)核心層提供高速的三層交換骨干，核心層不進(jìn)行終端系統(tǒng)的連接、不實(shí)施影響高速交換性能的訪問(wèn)控制策略。