对于企业来说，缺乏统一管理、稳定性和安全性不足的网络环境不仅影响工作效率，甚至还有可能遭到各种外部和内部的“坏东西”，也就是各类网络威胁， 造成企业损失。因此，企业拥有一个可靠安全的网络防护对于企业正常运行来说非常重要。在企业网络安全防护方面，网络安全域隔离也是网络安全防御最重要、最基础的手段之一。

　　今天我们以浙江吉利控股集团安全域建设为例，给大家介绍企业安全域建设的方法。针对吉利目前存在的网络安全问题，杭州亮通网络工程有限公司 为吉利量身打造了安全域方案，力求让吉利网络容易受到病毒攻击等问题能够得到解决。

　　项目背景

　　 吉利集团网络包括总部办公网、数据中心网、研究院网、基地网等，存在系统规模大、结构复杂的特点，并存在以下问题：

1.组网方式和统一规划有待提升，扩展性上稍有不足；

2.网络区域之间边界略微不清晰，存在互连互通现象；

3.安全防护策略和安全防护手段部署原则有待完善和明确；　

4.对外部供应商、基础设施工作的管控效率有待提升；

5.对访问关键业务的相对不可信终端接入网络的情况的有效控制力度需要进一步提高。　

　　解决方案

　　 根据现网业务在汇聚交换机上划分VRF，实现逻辑隔离；防火墙上配置虚墙及策略实现不同安全域之间的安全访问控制，及IPS、反病毒、应用控制、SSL检测功能，提高网络的安全能力。

1.核心交换机部署虚拟路由表

核心交换机部署虚拟路由表（VRF技术），实现不同区域业务流量逻辑隔离，不增加设备成本，通过现网设备使用VRF隔离满足业务互访安全检测需求。

2.虚拟防火墙规划

安全域隔离防火墙采用虚拟化技术（vFW）,在高性能硬件防火墙基础上，虚拟出多台业务防火墙，用于和安全域业务对接，实现 跨安全域之间业务数据的安全管控。

3. 基线安全策略配置

　　最终成效和总结

　　 通过安全域建设，吉利各园区网提高现网应对安全风险的能力，通过严格的7层策略有效控制业务访问，确保业务安全的同时也提高了运维团队的工作效率，杭州亮通为吉利总结出适合现网的安全域规范标准，为后续园区建设提供宝贵的经验！