3.安全域划分

　　重点防护范围（如图2所示）。按照物理网络构建和逻辑地址分配的独立及完整性划分为：一级数据中心安全域、二级数据中心安全域和若干核心服务器安全域。

图2   重点防护范围

　　一级数据中心安全域：内部各应用系统使用私有IP，由安全域出口设备进行公网IP和私有IP的映射，对外隐藏实际内网拓扑结构，各系统对外仅开放Web应用端口。

　　二级数据中心安全域：IP地址范围为独立的C类网段，划分多个VLAN。采用完全独立的网络设备将若干台院系级服务系统汇聚，统一上连至安全域外部校园网主干设备。各系统对外服务大部分为Web应用，包括少量数据库、FTP及自研应用。

　　核心服务器安全域：由于核心服务器的IP地址分散，并没有形成统一完整的网络区域，而修改地址会造成较大网络振动，因此采取将单台服务器直接接入安全设备的方案，使每台服务器都构成一个独立安全域。

　　普通防护范围：普通用户上网区域。