農(nóng)村商業(yè)銀行內(nèi)網(wǎng)準(zhǔn)入項(xiàng)目竣工文檔

1、百度文庫(kù)讓每個(gè)人平等地提升自我XX農(nóng)村商業(yè)銀行內(nèi)網(wǎng)準(zhǔn)入項(xiàng)目竣工文 檔目錄一、項(xiàng)目概述3二、部署架構(gòu)4三、實(shí)施內(nèi)容5交換機(jī)路由器配置17華為AR46-40路由器配置舉例17邁普3840路由器配置舉例17H3C S5500交換機(jī)配置18五、故障排查及應(yīng)急預(yù)案18重大網(wǎng)絡(luò)故障18特殊設(shè)備識(shí)別18客戶端注冊(cè)故障1815一、項(xiàng)目概述內(nèi)網(wǎng)準(zhǔn)入項(xiàng)目用于解決不可信終端的隨意接入可能帶來(lái)的網(wǎng)絡(luò)及信息資源 的安全問(wèn)題，對(duì)于不可信終端的定義，主要包含以下情況：內(nèi)網(wǎng)存在風(fēng)險(xiǎn)漏洞的終端，例如未安裝殺毒軟件、未安裝關(guān)鍵補(bǔ)?。淮嬖诓话踩呗耘渲玫慕K端；未經(jīng)身份授權(quán)的終端；外來(lái)未經(jīng)訪問(wèn)許可的終端；越權(quán)訪問(wèn)的終端；項(xiàng)目以終端驗(yàn)

2、證和終端安全為基礎(chǔ)，通過(guò)身份認(rèn)證以及安全域控制等手段, 從根本上保證接入網(wǎng)絡(luò)的終端可信程度，并控制可信計(jì)算機(jī)的訪問(wèn)權(quán)限，為農(nóng)信 系統(tǒng)的終端入網(wǎng)安全管理提供強(qiáng)有效的保障，規(guī)避來(lái)自于內(nèi)部的信息安全風(fēng)險(xiǎn)。二、部署架構(gòu)S，T區(qū)辦公區(qū)生產(chǎn)區(qū)S+T區(qū) 辦公區(qū)生產(chǎn)區(qū) S+T區(qū) 辦公區(qū) 生產(chǎn)區(qū)如上圖，在市聯(lián)社服務(wù)器區(qū)部署北信源安全管理服務(wù)器，用于全網(wǎng)準(zhǔn)入的集 中管理。此外每區(qū)縣部署一臺(tái)4路旁接準(zhǔn)入網(wǎng)關(guān)和安全認(rèn)證服務(wù)器，用于安全準(zhǔn) 入。其中4路分別為：1路接主核心交換機(jī)鏡像口，2路接主路由器策略路山口, 3路接備核心交換鏡像口，4路接備路由策略路山口。三、實(shí)施內(nèi)容EDP服務(wù)器的安裝SQL2005的安裝點(diǎn)擊下一步

3、|§ii eras oft SQL Server ?005 安箍程樂(lè)系統(tǒng)配置檢查下一步(H) ;詰若待，正在梅追家境中是否有潛在的安裝間慰。iA11總計(jì)0錯(cuò)誤©成功M成功0君吉J決IE內(nèi)S泊息母股鰻件要求成功ns功能要求成功3拄起的堇斯月動(dòng)要求成功;性能生機(jī)野汁為:轉(zhuǎn)要求成功2冢漢安蝴徑極限要求成功QInternet Explorer 力求成功。二肝目錄妾求成功aASP的t版本注冊(cè)要求成功WDAC坂本的勒氏妾求成功梃 報(bào)告® 帶助® |點(diǎn)擊下一步iis組件的安裝WinPcap的安裝點(diǎn)擊“安裝WinPcap網(wǎng)卡驅(qū)動(dòng)模塊”，進(jìn)入安裝向?qū)ы?yè)面，如下圖所示:點(diǎn)擊

4、【Next，如下圖所示:同意WinPcap許可證協(xié)議，并點(diǎn)擊I Agree】。如下圖所示:安裝成功后，點(diǎn)擊【Finish】退出安裝程序，如下圖所示:SQL數(shù)據(jù)庫(kù)服務(wù)器環(huán)境初始化的安裝在“系統(tǒng)各模塊安裝界面”選擇“安裝數(shù)據(jù)庫(kù)初始化模塊”進(jìn)入“系統(tǒng)環(huán)境初始 化”界面，如下圖所示：配置數(shù)據(jù)庫(kù)服務(wù)器地址和連接數(shù)據(jù)庫(kù)驗(yàn)證方式。因?yàn)榘惭b數(shù)據(jù)庫(kù)時(shí)身份驗(yàn)證方式 選擇的是混合模式，所以這里請(qǐng)使用SQL身份認(rèn)證。SQL Server數(shù)據(jù)庫(kù)地址為 代表本地計(jì)算機(jī)IP。SQL用戶名填寫“sa”,密碼填寫安裝S本Server 數(shù)據(jù)庫(kù)時(shí)所設(shè)置的sa密碼。填寫完畢后，點(diǎn)擊【下一步】后，進(jìn)行數(shù)據(jù)庫(kù)初始 化。如下圖所示：系統(tǒng)正

5、在進(jìn)行數(shù)據(jù)庫(kù)初始化。點(diǎn)擊【完成】完成數(shù)據(jù)庫(kù)初始化。用工nitEnv-系統(tǒng)環(huán)境初始化)ON FHMARY GOANSI NULLS ONQUOIEDJDEXTIFIER ONANSI PADDING ONTM<?R»T提示Jilode , Encryptic.Mode , Encryptic!初始修i據(jù)庫(kù)結(jié)構(gòu)成功，網(wǎng)頁(yè)平臺(tái)的安裝在“系統(tǒng)各模塊安裝界面”選擇“安裝WEB管理平臺(tái)模塊”進(jìn)入“安裝WEB管理平臺(tái)模塊”界面，如下圖所示:同意軟件許可證協(xié)議，并點(diǎn)擊【是】，如下圖所示:內(nèi)同安全笆理殺統(tǒng)C冏頁(yè)平臺(tái)）講可證怫諛請(qǐng)仔細(xì)閱倭下面的許可證協(xié)以。技PAGE DDWff建以登春歷奴的剌余郃

6、分。軟件產(chǎn)品許可協(xié)議：北京北信源歟件股份有限公司特此按本協(xié)設(shè)的條款和條件同用尸授權(quán)使用和復(fù)制北信源軟件（以下禰本條級(jí)“）的非獨(dú)冢訐可，而用尸特此技 照本協(xié)議條款和條件接受本訐可。用尸一旦付港購(gòu)買本系統(tǒng)所簽的主部北京北信源軟外股份有限公司是本協(xié)議中何用尸許可、租貨或銷售的 一切知識(shí)產(chǎn)權(quán)的所有人，有權(quán)何用尸訐可、租貨或銷售前逑知識(shí)產(chǎn)權(quán)。M款，印決得本協(xié)議所規(guī)定的軟件許可。除本協(xié)議具體規(guī)定的以外，未 授予用戶任何許可，無(wú)論明示的或默示的。上一步）|星© 否面輸入用戶名、公司名及序列號(hào)，軟件序列號(hào)可從用戶卡、光盤封面或說(shuō)明書封面 獲得。輸入完畢后，點(diǎn)擊【下一步，如圖所示：選擇WEB管理平臺(tái)安

7、裝路徑，建議選擇默認(rèn)安裝路徑，然后點(diǎn)擊【下一步，如 圖所示：輸入數(shù)據(jù)庫(kù)服務(wù)器IP地址及數(shù)據(jù)庫(kù)的用戶名和密碼。這里輸入的是“."， 本地服務(wù)器地址，您可以根據(jù)實(shí)際情況填寫服務(wù)器IP地址。建議使用sa數(shù)據(jù)庫(kù) 用戶。輸入完畢后，點(diǎn)擊【下一步，如下圖所示：設(shè)置WEB管理平臺(tái)虛擬目錄，建議使用默認(rèn)名稱，然后點(diǎn)擊【下一步】，如下圖 所示：百度文庫(kù)讓每個(gè)人平等地提升自我廠競(jìng)速I17確認(rèn)設(shè)置信息，點(diǎn)擊【下一步】開始進(jìn)行文件復(fù)制，如下圖所示:開始復(fù)制文件究帶及件前話3者設(shè)置.藏嘴罐耀瞄嚶翳嘉爵歌何設(shè)置'"擊“上一當(dāng)前設(shè)置：名號(hào)錄址錄戶列金地呻用 OIIIP虛:jinshengxrei

8、:OJBIMDFOHOLLIJBIIHFGPCOFBFAFCFKFEFGErcCBLFG：c:vmvRms：192.168.88.50:VR7EIS語(yǔ)速U您填寫的信息 按下一步開始復(fù)制文件IrvUonShie|上一步）正在復(fù)制WEB管理平臺(tái)程序文件安裝成功，點(diǎn)擊【完成】退出安裝。安裝完成安裝程序已完砒計(jì)復(fù)機(jī)中安裝百度文庫(kù)讓每個(gè)人平等地提升自我RegionManage 的安裝1、點(diǎn)擊“是”內(nèi)網(wǎng)安全管理系綜（區(qū)球管理器!許可證協(xié)議話仔細(xì)閱讀下面的許可證協(xié)議-22按PAGE DOW健以查看協(xié)議的乘I余部分°軟件產(chǎn)品許可協(xié)議：北京北信源軟件股份有限公司是本協(xié)議中向用戶許可、租賃或銷售的 一切

9、知識(shí)產(chǎn)權(quán)的所有大，有權(quán)向用戶許可、租賃或銷售前述知識(shí)產(chǎn)權(quán)。 北京北信源軟件股份有限公司特此按本協(xié)議的條款和條件向用尸授權(quán)使用 和復(fù)制北信源軟件 < 以下稱“本系統(tǒng)“）的非獨(dú)家許可，而用戶特此按 照本協(xié)議條款和條件接受本許可。用戶一旦付清購(gòu)買本系統(tǒng)所需的全部 價(jià)款，即獲得本協(xié)議所規(guī)定的軟件許可，除本協(xié)議具體規(guī)定的以外，未予用尸任何許可，無(wú)論明示的或默示的。打印電）是否接受上述許可證協(xié)議中的全部條款？如果選擇“否”，則安裝程 序?qū)㈥P(guān)閉。要安裝內(nèi)網(wǎng)安全管理系統(tǒng)（區(qū)域笞理器），必須接受本 協(xié)議。InstallShield（上一步起“是9|否®1|2、輸入序列號(hào)，然后點(diǎn)擊下一步。授枕序列

10、號(hào)您可以從用戶卡、光盤封面或說(shuō)明書封面獲得?用戶名QJ）：F公司名稱定）：序列號(hào) ：iBJACAKHKGCGHGFGBGGGBGJGJHCBJAOGNInstaUShield<上一步®l|下一步國(guó)）| 取消 |3、點(diǎn)擊下一步用安全管理系統(tǒng)（區(qū)域管理器）選擇目的地位置選擇安裝程序在其中安裝文件的文件夾口 安裝程序?qū)⒃谝韵挛募A中安裝內(nèi)網(wǎng)安全管理系統(tǒng)（區(qū)域管理器）O 要安裝到此文件夾，請(qǐng)單擊"下一步"。要安裝到苴它文件夾,請(qǐng)單擊“瀏覽 然后選擇其它文件夾.瀏覽忠）目的地文件夾C : ,VRVRegionNan.ageInstalls hie Id4、點(diǎn)擊下一步E

11、DP服務(wù)器web管理平臺(tái)的配置準(zhǔn)入網(wǎng)關(guān)的配置交換機(jī)路由器配置華為AR46-40路由器配置舉例acl number 3040rule 0 permit ip source destination number 3050rule 0 permit ip source destination rule 1 permit ip source destination連接網(wǎng)關(guān)的接口description zhunruip address zhunru deny node 1if-match acl 3040apply ip-address next-hop zhunru permit node 2if-m

12、atch acl 3050apply ip-address next-hop具體接口調(diào)用如SerialW/l：0interface Seriall/0/l:0ip policy route-policy zhunru邁普3840路由器配置舉例ip access-list extended 12001 permit ip exitip access-list extended 13002 permit ipany3 permit ipanyexitinterface gigaethernet2description To_zhunruip addresskeepalive gateway zhu

13、nru deny 10match ip address 1200set ip next-hop zhunru permit 20match ip address 1300set ip next-hop exit將策略路由應(yīng)用到互連各網(wǎng)點(diǎn)路由的接口上如：s5yO/l:Oint s5)/l:0ip policy route-map zhunruexitH3C S5500交換機(jī)配置mirroring-group 1 localinterface GigabitEthernetlX)/9鏡像 口mirroring-group 1 monitor-portinterface GigabitEthernetlX)/18匚聚mirroring-group 1 mirroring-port bothinterface GigabitEthernetlX)Z23一交換上聯(lián)mirroring-group 1 mirroring-port both五、故障排查及應(yīng)急預(yù)案重大網(wǎng)絡(luò)故障由于交換、路由配置均按照可逃生的模式進(jìn)行配置，如果出現(xiàn)大面積網(wǎng)絡(luò)中 斷，可立即斷掉設(shè)備鏈路，網(wǎng)絡(luò)可立即恢復(fù)正常模式。特殊設(shè)備識(shí)別目前通過(guò)在青州市農(nóng)商行試點(diǎn)，已經(jīng)研發(fā)了對(duì)身份證閱讀器、升騰字符終端、 升騰S+T主機(jī)的識(shí)別，如果出現(xiàn)新的特殊設(shè)備，且無(wú)法安裝客戶端，可進(jìn)行抓包 識(shí)別，后臺(tái)研發(fā)。抓包代碼：tcpdump - i et