安全域改造項目網絡割接方案.doc

安全域改造項目安全域改造項目 網絡割接方案網絡割接方案 有限公司有限公司 2008 年年 7 月月 安全域改造項目 網絡割接方案 技術有限公司 第 2 頁 共 13 頁 目目 錄錄 1概述概述 3 1 1項目內容 3 1 2項目目標 3 1 3實施流程 4 1 4實施風險控制 4 1 5實施計劃 5 1 6參與人員 5 2安全域改造方案安全域改造方案 6 2 1網絡現(xiàn)狀 6 2 2安全域改造方案 6 2 3新增設備 7 3割接前的準備割接前的準備 9 3 1布線實施 9 3 2新增設備通電測試上架 9 3 3新增設備策略規(guī)劃 9 4割接步驟割接步驟 9 1 BOSS 業(yè)務系統(tǒng)割接業(yè)務系統(tǒng)割接 9 4 1步驟一 愛立信交換機割接 10 4 2步驟二 BOSS 業(yè)務系統(tǒng)割接 10 4 3步驟三 IDS 割接 12 5割接后跟蹤總結割接后跟蹤總結 14 5 1割接后跟蹤 14 5 2割接測試報告 14 5 3總結 14 安全域改造項目 網絡割接方案 技術有限公司 第 3 頁 共 13 頁 1概述概述 1 1項目內容項目內容 安全域改造項目割接實施 涉及業(yè)務系統(tǒng)主要內容包括 新增 H3C 防火墻到 BOSS 系統(tǒng)的接入 對這個區(qū)域進行重點防護 新增 2 臺三層交換機做成冗余配置 將各網管系統(tǒng)統(tǒng)一接入 新增 2 臺三層交換機 將 BOSS 系統(tǒng)統(tǒng)一接入 新增 IDS 監(jiān)控 BOSS 系統(tǒng) 網管系統(tǒng)流量 對可能發(fā)生的攻擊行為進行檢測 1 2項目目標項目目標 通過本次安全域改造項目 提高核心網絡性能 提升網絡可用性和擴展性 以適應業(yè) 務系統(tǒng)的發(fā)展需求 同時 通過安全域的規(guī)劃調整 新增安全設備的部署 完善網絡的安全防護措施和手 段 全面提升網絡的整體安全防護能力 安全域改造項目 網絡割接方案 技術有限公司 第 4 頁 共 13 頁 1 3實施流程實施流程 圖 1 實施流程圖 1 4實施風險控制實施風險控制 割接方案的設計 遵從平滑過渡 最小影響的原則 在網絡核心層 匯聚層進行設備 部署調整 割接實施選擇在業(yè)務量少的時間段 分步驟進行 做好回退措施 減少業(yè)務中 斷次數(shù) 盡量降低對業(yè)務系統(tǒng)的影響 安全域改造項目 網絡割接方案 技術有限公司 第 5 頁 共 13 頁 本次割接任務可能造成的影響為 電子運維系統(tǒng) 計費采集系統(tǒng)和其他網管系統(tǒng)的連接中斷一次 每次一小時以內 BOSS 業(yè)務系統(tǒng)的訪問受上述相同影響 本次割接任務分兩個步驟實施 每個步驟出現(xiàn)問題時 回退到上個步驟的連接方式即 可恢復正常 每個部分的割接與回退比較平滑 1 5實施計劃實施計劃 割接實施時間預計為 1 6參與人員參與人員 序號所屬單位姓名手機號碼 E Mail 職責 1 2 3 4 5 6 7 8 安全域改造項目 網絡割接方案 技術有限公司 第 6 頁 共 13 頁 2安全域改造方案安全域改造方案 2 1網絡現(xiàn)狀網絡現(xiàn)狀 本次安全域改造項目涉及的網絡部分 拓撲現(xiàn)狀如下圖所示 圖 2 網絡拓撲現(xiàn)狀 2 2安全域改造方案安全域改造方案 安全域改造的主要內容包括 1 使用兩臺新增 H3C 防火墻 對 BOSS 業(yè)務系統(tǒng)進行安全隔離 大幅提高 BOSS 業(yè)務 系統(tǒng)的安全性 實施有效的網絡訪問控制措施 隔離安全威脅 2 新增 2 臺三層交換機 將各 BOSS 系統(tǒng)統(tǒng)一接入到這 2 臺交換機上 決定采用原有 鏈路 這樣需要 4003 和 4006 的位置 可能會造成 BOSS 業(yè)務系統(tǒng)的中斷 需省 公司進行審批 3 新增 2 臺三層交換機做成冗余配置 將各網管系統(tǒng)統(tǒng)一接入到這 2 臺交換機上 這樣網管系統(tǒng)接口能形成獨立管理 也方便日后進行拓展和維護 同時也實現(xiàn)了 安全域改造項目 網絡割接方案 技術有限公司 第 7 頁 共 13 頁 網管系統(tǒng)接口鏈路的冗余和備份 方考慮到網管系統(tǒng)重新布線的工程量比較 大 決定采用原有線路 這樣需要 4003 和 4006 的位置 可能會造成網管系統(tǒng)業(yè) 務的中斷 需省公司進行審批 4 新增部署網絡 IDS 完善網絡的安全防護手段 全面提升網絡的整體安全防護能力 安全域改造的方案示意圖如下所示 圖 3 安全域改造方案示意圖 2 3新增設備新增設備 序號新增設備數(shù)量功能描述 1H3c 防火墻 2 隔離 BOSS 業(yè)務系統(tǒng)的安全威脅 2安氏 IDS 2 監(jiān)控 BOSS 系統(tǒng) 網管系統(tǒng)的流量 3新增愛立信交換機 2 各網管系統(tǒng)統(tǒng)一接入 4新增愛立信交換機 2 BOSS 系統(tǒng)統(tǒng)一接入 安全域改造項目 網絡割接方案 技術有限公司 第 8 頁 共 13 頁 3割接前的準備割接前的準備 3 1布線實施布線實施 牽涉到較多線纜的遷移以及新線纜的鋪設工作 此項工作預計于 6 月 13 日前完成 3 2新增設備通電測試上架新增設備通電測試上架 6 月 13 日前 將組織新增防火墻 IDS 等設備集成廠商進行設備的通電測試 部署上架 3 3新增設備策略規(guī)劃新增設備策略規(guī)劃 新增設備的策略規(guī)劃 以新增的 H3C 防火墻和 IDS 為主 安全設備僅部署基本運行策 略 在割接完成后 再根據(jù)業(yè)務訪問和安全管理的需求 逐步完善 1 H3C 防火墻防火墻 根據(jù)現(xiàn)有的網絡結構狀況 為保證業(yè)務系統(tǒng)割接的平滑過渡 暫時將兩臺 H3C 作為透 明模式使用 其中 在一臺 H3C 防火墻上確定四個接口 接入對應的接口上 分別為 4003 兩個接口 新增交換機 1 新增交換機 2 在另一臺 H3C 防火墻上確定四個接口 接入對 應的接口上 分別為 4006 兩個接口 新增交換機 1 新增交換機 2 割接成功以后訪問策 略根據(jù)業(yè)務訪問和安全管理的需求 逐步完善 2 安氏安氏 IDS 通過端口鏡像 監(jiān)聽數(shù)據(jù)流量 進行入侵檢測和攻擊告警 允許 IDS 管理服務器訪問 公網指定升級路徑 進行 IDS 特征庫的自動升級更新 4割接步驟割接步驟 本次割接任務 主要分三個步驟實施 1 BOSS 業(yè)務系統(tǒng)割接業(yè)務系統(tǒng)割接 2 IDS 割接割接 每個步驟的詳細實施內容如下所述 安全域改造項目 網絡割接方案 技術有限公司 第 9 頁 共 13 頁 4 1步驟一 愛立信交換機割接步驟一 愛立信交換機割接 升級愛立信三層交換機 IOS 新增 2 臺帶三層路由功能的接口交換機做成冗余的配置 啟用 VRRP 做成熱備 并把 所有 BOSS 業(yè)務系統(tǒng)遠程接口都集中部署到這 2 臺接口交換機上 其中一臺愛立信三層交 換機上新增兩個 vlan 一個做為上聯(lián) 4006 的接口 一個做為與另外一臺愛立信交換機互聯(lián) 的接口 其中一臺愛立信三層交換機上新增兩個 vlan 一個做為上聯(lián) 4003 的接口 一個做 為與另外一臺愛立信交換機互聯(lián)的接口 需要提供三對設備互聯(lián)的 IP 地址 另外新增 2 臺帶三層路由功能的接口交換機做成冗余的配置 啟用 VRRP 做成熱備 并把所有網管業(yè)務系統(tǒng)遠程接口都集中部署到這 2 臺接口交換機上 其中一臺愛立信三層 交換機上新增兩個 vlan 一個做為上聯(lián) 4006 的接口 一個做為與另外一臺愛立信交換機互 聯(lián)的接口 其中一臺愛立信三層交換機上新增兩個 vlan 一個做為上聯(lián) 4003 的接口 一個 做為與另外一臺愛立信交換機互聯(lián)的接口 需要提供三對設備互聯(lián)的 IP 地址 BOSS 系統(tǒng)和網管系統(tǒng)的接入采用原有線路 需要 4003 和 4006 的位置 從原來 D 01 機柜移到 D 02 機柜 把新增的四臺交換機部署在原來 4003 和 4006 的位置 4003 和 4006 的位置 會造成業(yè)務系統(tǒng)的中斷 vlan 全部啟用 ospf 將 BOSS 營業(yè)點接口域和 BOSS 終端接口域中的路由器網關全部 配置為愛立信三層交換機上對應的子接口 ip 地址 由于本次割接涉及業(yè)務較多 BOSS 系統(tǒng)和網管系統(tǒng)全部都會受到影響 我們將盡量縮 短割接時間 順利完成割接 4 2步驟二 步驟二 BOSS 業(yè)務系統(tǒng)割接業(yè)務系統(tǒng)割接 對 BOSS 業(yè)務系統(tǒng)的割接 我們將分為兩步走 一是割接上架 二是加載策略 1 割接內容割接內容 兩臺新增的 H3C 防火墻 在一臺 H3C 防火墻上確定兩個個接口 接入對應的接口上 分別為 4003 一個接口 新增交換機 1 一個接口 新增交換機 1 的 1 號端口 4003 的端口 在另一臺 H3C 防火墻上確定兩個個接口 接入對應的接口上 分別為 4006 一個接口 新 安全域改造項目 網絡割接方案 技術有限公司 第 10 頁 共 13 頁 增交換機 2 一個接口 新增交換機 2 的 1 號端口 4006 現(xiàn)在無閑置端口 需把網管和 BOSS 系統(tǒng)的接入割接到新增交換機以后使用兩個閑置端口 在防火墻上架后 我們將采 用 any 到 any 的策略測試 確定無誤后 再逐步加載相應的策略 實現(xiàn)對網絡的控制 確保對網絡的正常訪問 2 示意圖示意圖 圖 4 防火墻割接示意圖 3 檢查測試檢查測試 使用 show cdp nei 命令檢查對端設備連接情況 通過 ping 命令檢查鏈路連接情況 4 影響分析及回退措施影響分析及回退措施 安全域改造項目 網絡割接方案 技術有限公司 第 11 頁 共 13 頁 暫時將設備部署為透明模式 所有的策略為 any 到 any 不會對網絡造成影響 做好 4003 和 4006 配置的備份 如出現(xiàn)故障 拆除 H3C 防火墻和愛立信交換機的鏈路 恢復原有鏈路 4 3步驟三 步驟三 IDS 割接割接 1 割接內容割接內容 將 IDS 1 割接到新增的兩臺交換機對應端口上 通過端口鏡像 監(jiān)聽新增的兩臺交換 機的數(shù)據(jù)流量 對網管系統(tǒng)的接入進行入侵檢測和攻擊告警 需要把新增交換機 1 上相關端口鏡像到新增交換機 1 的 48 端口上 把新增交換機 2 上 相關端口鏡像到新增交換機 2 的 48 端口上 將 IDS 2 割接到新增的兩臺交換機對應端口上 通過端口鏡像 監(jiān)聽 BOSS 系統(tǒng)的數(shù)據(jù) 流量 需要把新增交換機 3 上相關端口鏡像到新增交換機 3 的 48 端口上 把新增交換機 3 上 相關端口鏡像到新增交換機 3 的 48 端口上 采用的是旁路鏈接 不會對現(xiàn)有的業(yè)務系統(tǒng)造成任何影響 2 示意圖示意圖 安全域改造項目 網絡割接方案 技術有限公司 第 12 頁 共 13 頁 圖 5 IDS 割接示意圖 3 檢查測試檢查測試 使用 show cdp nei 命令檢查對端設備連接情況 通過 ping 命令檢查鏈路連接情況 相關設備維護廠商檢查自身設備運行情況 查看 IDS 日志 是否收到監(jiān)聽數(shù)據(jù) 4 影響分析及回退措施影響分析及回退措施 采用的是旁路鏈接 不會對現(xiàn)有的業(yè)務系統(tǒng)造成任何影響 安全域改造項目 網絡割接方案 技術有限公司 第 13 頁 共 1