安全域改造项目网络割接方案.doc

安全域改造项目安全域改造项目 网络割接方案网络割接方案 有限公司有限公司 2008 年年 7 月月 安全域改造项目 网络割接方案 技术有限公司 第 2 页 共 13 页 目目 录录 1概述概述 3 1 1项目内容 3 1 2项目目标 3 1 3实施流程 4 1 4实施风险控制 4 1 5实施计划 5 1 6参与人员 5 2安全域改造方案安全域改造方案 6 2 1网络现状 6 2 2安全域改造方案 6 2 3新增设备 7 3割接前的准备割接前的准备 9 3 1布线实施 9 3 2新增设备通电测试上架 9 3 3新增设备策略规划 9 4割接步骤割接步骤 9 1 BOSS 业务系统割接业务系统割接 9 4 1步骤一 爱立信交换机割接 10 4 2步骤二 BOSS 业务系统割接 10 4 3步骤三 IDS 割接 12 5割接后跟踪总结割接后跟踪总结 14 5 1割接后跟踪 14 5 2割接测试报告 14 5 3总结 14 安全域改造项目 网络割接方案 技术有限公司 第 3 页 共 13 页 1概述概述 1 1项目内容项目内容 安全域改造项目割接实施 涉及业务系统主要内容包括 新增 H3C 防火墙到 BOSS 系统的接入 对这个区域进行重点防护 新增 2 台三层交换机做成冗余配置 将各网管系统统一接入 新增 2 台三层交换机 将 BOSS 系统统一接入 新增 IDS 监控 BOSS 系统 网管系统流量 对可能发生的攻击行为进行检测 1 2项目目标项目目标 通过本次安全域改造项目 提高核心网络性能 提升网络可用性和扩展性 以适应业 务系统的发展需求 同时 通过安全域的规划调整 新增安全设备的部署 完善网络的安全防护措施和手 段 全面提升网络的整体安全防护能力 安全域改造项目 网络割接方案 技术有限公司 第 4 页 共 13 页 1 3实施流程实施流程 图 1 实施流程图 1 4实施风险控制实施风险控制 割接方案的设计 遵从平滑过渡 最小影响的原则 在网络核心层 汇聚层进行设备 部署调整 割接实施选择在业务量少的时间段 分步骤进行 做好回退措施 减少业务中 断次数 尽量降低对业务系统的影响 安全域改造项目 网络割接方案 技术有限公司 第 5 页 共 13 页 本次割接任务可能造成的影响为 电子运维系统 计费采集系统和其他网管系统的连接中断一次 每次一小时以内 BOSS 业务系统的访问受上述相同影响 本次割接任务分两个步骤实施 每个步骤出现问题时 回退到上个步骤的连接方式即 可恢复正常 每个部分的割接与回退比较平滑 1 5实施计划实施计划 割接实施时间预计为 1 6参与人员参与人员 序号所属单位姓名手机号码 E Mail 职责 1 2 3 4 5 6 7 8 安全域改造项目 网络割接方案 技术有限公司 第 6 页 共 13 页 2安全域改造方案安全域改造方案 2 1网络现状网络现状 本次安全域改造项目涉及的网络部分 拓扑现状如下图所示 图 2 网络拓扑现状 2 2安全域改造方案安全域改造方案 安全域改造的主要内容包括 1 使用两台新增 H3C 防火墙 对 BOSS 业务系统进行安全隔离 大幅提高 BOSS 业务 系统的安全性 实施有效的网络访问控制措施 隔离安全威胁 2 新增 2 台三层交换机 将各 BOSS 系统统一接入到这 2 台交换机上 决定采用原有 链路 这样需要 4003 和 4006 的位置 可能会造成 BOSS 业务系统的中断 需省 公司进行审批 3 新增 2 台三层交换机做成冗余配置 将各网管系统统一接入到这 2 台交换机上 这样网管系统接口能形成独立管理 也方便日后进行拓展和维护 同时也实现了 安全域改造项目 网络割接方案 技术有限公司 第 7 页 共 13 页 网管系统接口链路的冗余和备份 方考虑到网管系统重新布线的工程量比较 大 决定采用原有线路 这样需要 4003 和 4006 的位置 可能会造成网管系统业 务的中断 需省公司进行审批 4 新增部署网络 IDS 完善网络的安全防护手段 全面提升网络的整体安全防护能力 安全域改造的方案示意图如下所示 图 3 安全域改造方案示意图 2 3新增设备新增设备 序号新增设备数量功能描述 1H3c 防火墙 2 隔离 BOSS 业务系统的安全威胁 2安氏 IDS 2 监控 BOSS 系统 网管系统的流量 3新增爱立信交换机 2 各网管系统统一接入 4新增爱立信交换机 2 BOSS 系统统一接入 安全域改造项目 网络割接方案 技术有限公司 第 8 页 共 13 页 3割接前的准备割接前的准备 3 1布线实施布线实施 牵涉到较多线缆的迁移以及新线缆的铺设工作 此项工作预计于 6 月 13 日前完成 3 2新增设备通电测试上架新增设备通电测试上架 6 月 13 日前 将组织新增防火墙 IDS 等设备集成厂商进行设备的通电测试 部署上架 3 3新增设备策略规划新增设备策略规划 新增设备的策略规划 以新增的 H3C 防火墙和 IDS 为主 安全设备仅部署基本运行策 略 在割接完成后 再根据业务访问和安全管理的需求 逐步完善 1 H3C 防火墙防火墙 根据现有的网络结构状况 为保证业务系统割接的平滑过渡 暂时将两台 H3C 作为透 明模式使用 其中 在一台 H3C 防火墙上确定四个接口 接入对应的接口上 分别为 4003 两个接口 新增交换机 1 新增交换机 2 在另一台 H3C 防火墙上确定四个接口 接入对 应的接口上 分别为 4006 两个接口 新增交换机 1 新增交换机 2 割接成功以后访问策 略根据业务访问和安全管理的需求 逐步完善 2 安氏安氏 IDS 通过端口镜像 监听数据流量 进行入侵检测和攻击告警 允许 IDS 管理服务器访问 公网指定升级路径 进行 IDS 特征库的自动升级更新 4割接步骤割接步骤 本次割接任务 主要分三个步骤实施 1 BOSS 业务系统割接业务系统割接 2 IDS 割接割接 每个步骤的详细实施内容如下所述 安全域改造项目 网络割接方案 技术有限公司 第 9 页 共 13 页 4 1步骤一 爱立信交换机割接步骤一 爱立信交换机割接 升级爱立信三层交换机 IOS 新增 2 台带三层路由功能的接口交换机做成冗余的配置 启用 VRRP 做成热备 并把 所有 BOSS 业务系统远程接口都集中部署到这 2 台接口交换机上 其中一台爱立信三层交 换机上新增两个 vlan 一个做为上联 4006 的接口 一个做为与另外一台爱立信交换机互联 的接口 其中一台爱立信三层交换机上新增两个 vlan 一个做为上联 4003 的接口 一个做 为与另外一台爱立信交换机互联的接口 需要提供三对设备互联的 IP 地址 另外新增 2 台带三层路由功能的接口交换机做成冗余的配置 启用 VRRP 做成热备 并把所有网管业务系统远程接口都集中部署到这 2 台接口交换机上 其中一台爱立信三层 交换机上新增两个 vlan 一个做为上联 4006 的接口 一个做为与另外一台爱立信交换机互 联的接口 其中一台爱立信三层交换机上新增两个 vlan 一个做为上联 4003 的接口 一个 做为与另外一台爱立信交换机互联的接口 需要提供三对设备互联的 IP 地址 BOSS 系统和网管系统的接入采用原有线路 需要 4003 和 4006 的位置 从原来 D 01 机柜移到 D 02 机柜 把新增的四台交换机部署在原来 4003 和 4006 的位置 4003 和 4006 的位置 会造成业务系统的中断 vlan 全部启用 ospf 将 BOSS 营业点接口域和 BOSS 终端接口域中的路由器网关全部 配置为爱立信三层交换机上对应的子接口 ip 地址 由于本次割接涉及业务较多 BOSS 系统和网管系统全部都会受到影响 我们将尽量缩 短割接时间 顺利完成割接 4 2步骤二 步骤二 BOSS 业务系统割接业务系统割接 对 BOSS 业务系统的割接 我们将分为两步走 一是割接上架 二是加载策略 1 割接内容割接内容 两台新增的 H3C 防火墙 在一台 H3C 防火墙上确定两个个接口 接入对应的接口上 分别为 4003 一个接口 新增交换机 1 一个接口 新增交换机 1 的 1 号端口 4003 的端口 在另一台 H3C 防火墙上确定两个个接口 接入对应的接口上 分别为 4006 一个接口 新 安全域改造项目 网络割接方案 技术有限公司 第 10 页 共 13 页 增交换机 2 一个接口 新增交换机 2 的 1 号端口 4006 现在无闲置端口 需把网管和 BOSS 系统的接入割接到新增交换机以后使用两个闲置端口 在防火墙上架后 我们将采 用 any 到 any 的策略测试 确定无误后 再逐步加载相应的策略 实现对网络的控制 确保对网络的正常访问 2 示意图示意图 图 4 防火墙割接示意图 3 检查测试检查测试 使用 show cdp nei 命令检查对端设备连接情况 通过 ping 命令检查链路连接情况 4 影响分析及回退措施影响分析及回退措施 安全域改造项目 网络割接方案 技术有限公司 第 11 页 共 13 页 暂时将设备部署为透明模式 所有的策略为 any 到 any 不会对网络造成影响 做好 4003 和 4006 配置的备份 如出现故障 拆除 H3C 防火墙和爱立信交换机的链路 恢复原有链路 4 3步骤三 步骤三 IDS 割接割接 1 割接内容割接内容 将 IDS 1 割接到新增的两台交换机对应端口上 通过端口镜像 监听新增的两台交换 机的数据流量 对网管系统的接入进行入侵检测和攻击告警 需要把新增交换机 1 上相关端口镜像到新增交换机 1 的 48 端口上 把新增交换机 2 上 相关端口镜像到新增交换机 2 的 48 端口上 将 IDS 2 割接到新增的两台交换机对应端口上 通过端口镜像 监听 BOSS 系统的数据 流量 需要把新增交换机 3 上相关端口镜像到新增交换机 3 的 48 端口上 把新增交换机 3 上 相关端口镜像到新增交换机 3 的 48 端口上 采用的是旁路链接 不会对现有的业务系统造成任何影响 2 示意图示意图 安全域改造项目 网络割接方案 技术有限公司 第 12 页 共 13 页 图 5 IDS 割接示意图 3 检查测试检查测试 使用 show cdp nei 命令检查对端设备连接情况 通过 ping 命令检查链路连接情况 相关设备维护厂商检查自身设备运行情况 查看 IDS 日志 是否收到监听数据 4 影响分析及回退措施影响分析及回退措施 采用的是旁路链接 不会对现有的业务系统造成任何影响 安全域改造项目 网络割接方案 技术有限公司 第 13 页 共 1