网络安全域的划分二

　依据安全域、安全子域的划分结果，进行了中国石化总部与企业网络的安全架构设计，基本架构如图8 -4所示。

通过网络安全域划分，基本实现了网络模块化、层次化的特点。模块化，使安全域／安全子域的划分与网络功能分区相对应，相互之间相对独立，便于安全策略的部署和网络的扩展。层次化，将网络分为核心层、分布层、接入层三个层次，在接入层通过VLAN定义实现接人的隔离；在分布层完成本功能区VLAN间的路由IP地址或路由区域的汇聚，部署功能区内、功能区之间的安全访问策略；通过核心层提供高速的三层交换骨干，核心层不进行终端系统的连接、不实施影响高速交换性能的访问控制策略。