服务器存储网络安全设备项目实施方案.docx

1、服务器存储网络安全设备项目实施方案1项目实施方案1.1项目实施计划考虑到xxx与数据库建设项目的工程量、质量与涉及面等因素，在此工程实施前必需有严密的进度控制和精心的组织安排。我们根据本方案确定的项目目标以及具体建设要求，对建设任务以及工程进度进行综合安排计划，具体各个部分的实施可以视工程情况相互协调、齐头并进。1.2项目任务分解 序号任务内容描述1方案调整与合同签订完成投标文件修改，确定本项目订购的硬件设备和软件。2项目组成立正式合同签订后，将成立工程项目组，任命项目经理，确定最终的项目组成员，并以书面形式正式通知用户。3设备采购按照项目建设合同中关于设备购货有关条款和议定的日期，组织设备软

2、、硬件的购置工作。4前期调研对用户安装现场的电源、地线、空间、照明等工程实施时必需的安装环境进行调查确认，并做好系统安装准备。5详细方案设计对项目建设最终确定的总体方案作实施等方案设计。6施工准备项目建设工程施工前，我公司项目组将进行一些必要的准备工作。7设备交货设备到货并发送到用户指定地点并进行设备验收，按照合同的软、硬件清单签收到货的设备。8设备安装与节点调试按照合同要求、技术方案和工程安装实施计划，完成项目建设合同内各系统的安装调试工作，包括全面实施准备、项目全面实施等内容。9系统联合调试项目建设系统安装完成后，对整个设备及系统在实际环境中进行整体调试。10系统试运行项目建设系统在初步验

3、收后投入试运行。11系统终验系统投入正常工作。1.3安装调试、系统集成1.3.1准备工作 查看软件版本1) 通过IE浏览器登陆到安全设备,查看当前安全设备的软件版本。2) 通过串口登陆到安全设备后台,查看软件版本。 产品信息记录记录下用户安全设备编号，作好记录工作1.3.2实施前注意事项 查看安全设备重启后能否正常启动 查看安全设备的console口是否可用1.3.3配置网络安全设备1.3.3.1边界防护系统配置1. 要求管理员分级，包括超级管理员、安全管理员、日志管理员等，并定义相应的职责，维护相应的文档和记录。2. 防火墙管理人员应定期接受培训。3. 对防火墙管理的限制，包括，关闭teln

4、et、http、ping、snmp等，以及使用SSH而不是telnet远程管理防火墙。4. 账号管理是否安全，设置了哪些口令和帐户策略，员工辞职，如何进行口令变更？ 5. 防火墙配置文件是否备份？如何进行配置同步？6. 改变防火墙缺省配置。7. 是否有适当的防火墙维护控制程序？8. 加固防火墙操作系统，并使用防火墙软件的最新稳定版本或补丁，确保补丁的来源可靠。9. 是否对防火墙进行脆弱性评估/测试？（随机和定期测试）10. 防火墙访问控制规则集是否和防火墙策略一致？应该确保访问控制规则集依从防火墙策略，如严格禁止某些服务、严格开放某些服务、缺省时禁止所有服务等，以满足用户安全需求，实现安全目标

5、。11. 防火墙访问控制规则是否有次序性？是否将常用的访问控制规则放在前面以增加防火墙的性能？评估防火墙规则次序的有效性。12. 防火墙访问控制规则集的一般次序为： 反电子欺骗的过滤（如，阻断私有地址、从外口出现的内部地址） 用户允许规则（如，允许HTTP到公网Web服务器） 管理允许规则 拒绝并报警（如，向管理员报警可疑通信） 拒绝并记录（如，记录用于分析的其它通信）防火墙是在第一次匹配的基础上运行，因此，按照上述的次序配置防火墙，对于确保排除可疑通信是很重要的。13. 防火墙访问控制规则中是否有保护防火墙自身安全的规则14. 防火墙是否配置成能抵抗DoS/DDoS攻击？15. 防火墙是否阻

6、断下述欺骗、私有（RFC1918）和非法的地址 标准的不可路由地址（255.255.255.255、127.0.0.0） 私有（RFC1918）地址（10.0.0.0 10.255.255.255、172.16.0.0 172.31.255.255、192.168.0.0 192.168.255.255） 保留地址（224.0.0.0） 非法地址（0.0.0.0）16. 是否确保外出的过滤？17. 确保有仅允许源IP是内部网的通信通过而源IP不是内部网的通信被丢弃的规则，并确保任何源IP不是内部网的通信被记录。18. 是否执行NAT，配置是否适当？19. 任何和外网有信息交流的机器都必须经过地

7、址转换（NAT）才允许访问外网，同样外网的机器要访问内部机器，也只能是其经过NAT后的IP，以保证系统的内部地址、配置和有关的设计信息如拓扑结构等不能泄露到不可信的外网中去。20. 在适当的地方，防火墙是否有下面的控制？21. 如，URL过滤、端口阻断、防IP欺骗、过滤进入的Java或ActiveX、防病毒等。22. 防火墙是否支持“拒绝所有服务，除非明确允许”的策略？23. 根据xxx的需求，配置系统所需对外开放的端口映射。1.3.3.2审计监控1. 具有特权访问防火墙的人员的活动是否鉴别、监控和检查？对防火墙的管理人员的活动，防火墙应该有记录，并要求记录不能修改，以明确责任，同时能检查对防

8、火墙的变化。2. 通过防火墙的通信活动是否日志？在适当的地方，是否有监控和响应任何不适当的活动的程序？确保防火墙能够日志，并标识、配置日志主机，确保日志安全传输。管理员通过检查日志来识别可能显示攻击的任何潜在模式，使用审计日志可以监控破坏安全策略的进入服务、外出服务和尝试访问。3. 是否精确设置并维护防火墙时间？ 配置防火墙使得在日志记录中包括时间信息。精确设置防火墙的时间，使得管理员追踪网络攻击更准确。4. 是否按照策略检查、回顾及定期存档日志，并存储在安全介质上？确保对防火墙日志进行定期存储并检查，产生防火墙报告，为管理人员提供必需的信息以帮助分析防火墙的活动，并为管理部门提供防火墙效率情

9、况。5. 重大事件或活动是否设置报警？是否有对可以攻击的响应程序？6. 如适当设置入侵检测功能，或者配合使用IDS（入侵检测系统），以防止某些类型的攻击或预防未知的攻击。7. 是否有灾难恢复计划？恢复是否测试过？8. 评估备份和恢复程序（包括持续性）的适当性，考虑：对重要防火墙的热备份、备份多长时间做一次、执行备份是否加密、最近成功备份测试的结果等。1.3.3.3交换机1. 交换机配置文件是否离线保存、注释、保密、有限访问，并保持与运行配置同步2. 是否在交换机上运行最新的稳定的IOS版本3. 是否定期检查交换机的安全性？特别在改变重要配置之后。4. 是否限制交换机的物理访问？仅允许授权人员才

10、可以访问交换机。5. VLAN 1中不允许引入用户数据，只能用于交换机内部通讯。6. 考虑使用PVLANs，隔离一个VLAN中的主机。7. 考虑设置交换机的Security Banner，陈述“未授权的访问是被禁止的”。8. 是否关闭交换机上不必要的服务？包括：TCP和UDP小服务、CDP、finger等。9. 必需的服务打开，是否安全地配置这些服务？。10. 保护管理接口的安全11. shutdown所有不用的端口。并将所有未用端口设置为第3层连接的vlan。12. 加强con、aux、vty等端口的安全。13. 将密码加密，并使用用户的方式登陆。14. 使用SSH代替Telnet，并设置强

11、壮口令。无法避免Telnet时，是否为Telnet的使用设置了一些限制？15. 采用带外方式管理交换机。如果带外管理不可行，那么应该为带内管理指定一个独立的VLAN号。16. 设置会话超时，并配置特权等级。17. 使HTTP server失效，即，不使用Web浏览器配置和管理交换机。18. 如果使用SNMP，建议使用SNMPv2，并使用强壮的SNMP community strings。或者不使用时，使SNMP失效。19. 实现端口安全以限定基于MAC地址的访问。使端口的auto-trunking失效。20. 使用交换机的端口映像功能用于IDS的接入。21. 使不用的交换机端口失效，并在不使用

12、时为它们分配一个VLAN号。22. 为TRUNK端口分配一个没有被任何其他端口使用的native VLAN号。23. 限制VLAN能够通过TRUNK传输，除了那些确实是必需的。24. 使用静态VLAN配置。25. 如果可能，使VTP失效。否则，为VTP设置：管理域、口令和pruning。然后设置VTP为透明模式。26. 在适当的地方使用访问控制列表。27. 打开logging功能，并发送日志到专用的安全的日志主机。28. 配置logging使得包括准确的时间信息，使用NTP和时间戳。29. 依照安全策略的要求对日志进行检查以发现可能的事件并进行存档。30. 为本地的和远程的访问交换机使用AAA

13、特性。1.3.3.4入侵检测1. 配置IDS产品安全策略策略包括需要保护对象的优先顺序、规定谁可以对IDS产品进行配置管理、以及根据操作系统、应用服务或部署位置等来制定的IDS检测策略。2. 定期维护IDS安全策略IDS的安全策略应该是活动的，当环境发生变化时，安全策略应该改变，并应该通知相关人员。3. 将IDS产品（传感器和管理器）放置在一个环境安全且可控的区域，以保证IDS产品的物理安全4. 安全地配置装有IDS的主机系统5. IDS配置文件离线保存、注释、有限访问，并保持与运行配置同步。6. 使用IDS产品的最新稳定版本或补丁。7. 保持IDS产品的最新的签名数据库。8. 定期检查IDS

14、产品自身的安全性，特别在改变重要配置之后。9. 对管理用户进行权限分级，并对用户进行鉴别。要求不同权限级别的用户应该具有相应的技术能力（掌握信息安全知识）及非技术能力（责任心、管理能力、分析能力等）。10. 口令配置安全例如，使用难以猜测的口令、限制知晓范围、重要员工辞职时更换口令。11. 精确设置并维护IDS时间（生产系统变更窗口）。12. 在发生报警时，能进行快速响应对于报警事件，应该首先进行分析，判断事件是攻击事件还是正常事件，然后对攻击事件进行处理。13. 当非法入侵行为时，有相应的处理措施1.3.3.5安全隔离与信息交换系统1、控制台安装硬件环境 586或更高型号的PC计算机或其兼容

15、机； 128M或更高容量的内存； 光盘驱动器； 100M以上剩余硬盘空间。2、控制台安装软件环境管理控制台安装包支持以下操作系统：Windows XP、Windows 2003 Server 、Windows7；推荐使用Windows XP。3、控制台软件安装运行安装光盘下的安装包文件，依默认配置即可安装控制台软件。4、启动在正确安装天融信安全隔离与信息交换系统并确保各种线缆正确连接之后，开始使用天融信安全隔离与信息交换系统。本系统的所有管理、配置、监控工作均在控制台完成，双击桌面“TopRules-控制台”图标即可运行控制台程序，您也可通过点击“开始/程序/天融信安全隔离与信息交换系统控制台

16、/TopRules-控制台”运行控制台程序。5、设置设备工作模式安全隔离与信息交换系统设备的工作模式可设置为三种：透明模式、代理模式、路由模式。下面以常用的代理模式进行调试：当设备工作为代理模式时，客户端比较容易理解隔离设备的工作原理，即代理。这时的客户端需要将与服务器通信的内容全部改由隔离设备的IP来进行通信，在客户端看来，服务器的IP已经不可见，客户端只需要把隔离设备的内、外端机的IP作为其目标服务器即可。比如，允许内网客户端192.168.1.1访问外网服务器10.10.10.1，这时需要给隔离设备分配两个可以与该网段通信的IP，如在内端机分配192.168.1.2，外端机分配10.10

17、.10.2。这时内网客户端需要访问外网服务器的WEB应用时，只需要访问http:/192.168.1.2，即可。因为在代理模式时，隔离设备会非常形象的代理客户端与服务器进行会话。客户端是192.168.0.18，服务端有两个，分别为192.168.1.100和192.168.1.101，两个服务器均提供WEB服务，并且端口均为80。当源地址与目标地址处于不同段网络时，之前客户端与服务端从未进行过通信或数据交换，将设备设置为代理模式，以更好表现形式来完成网络的隔离性。定制访问策略，步骤如下： 其他步骤与上一案例一致，除了以下几个步骤。1. 增加对象“WEB服务器100”，地址为192.168.1

18、.100。2. 将新增的服务器归到服务器组。3. 将服务中的WEB服务的映射端口修改为80。4. 删除当前所有系统规则，再应用所有系统规则。1. 为设备分配IP地址由于要求客户端访问两个服务器时都要用80端口进行访问，并且不允许访问直接的真实IP，因此需要在网络接口界面中，分别为内端机的INT0接口设置两个IP用来对应两个服务器的真实IP。这里我们举例为192.168.0.19对应192.168.1.100和192.168.0.20对应192.168.1.101；2. 按下网络接口界面的“应用设置”按钮，配置生效。至此，隔离设备规则设置完成，此时隔离设备仅允许“测试工程师”在9：00-17：3

19、0访问“WEB服务器”和“WEB服务器100”的TCP80端口的HTTP服务，且在HTTP协议内容上仅允许GET动作发生，同时过滤DLL、EXE文件。访问192.168.1.100的方式为Http:/192.168.0.19192.168.0.19会自动对应到服务器192.168.1.100。访问192.168.1.101的方式为Http:/192.168.0.20192.168.0.20会自动对应到服务器192.168.1.101。1.3.3.6运维审计系统配置管理主要包括策略配置、服务配置、系统配置3部分组成。运维管理审计系统支持多种部署方式，在本项目中，考虑到xxx与数据库建设项目的实际

20、需求，我们将采用旁路部署方式。部署示意图如下所示：部署时，谐润运维管理审计系统旁路接入网络，只需要1个独立的IP即可，保证堡垒主机能够通过网络连接被管理资源提供远程运维服务的端口，应用托管中心与堡垒主机做直连，通过堡垒主机NAT转换技术使应用托管中心能够访问网络中的资源。若堡垒主机和被管理资源之间存在防火墙，则需要在增加或修改防火墙的策略，防火墙的策略增加或修改如下：源地址：堡垒主机IP，源端口：any，目标地址：被管理资源IP，目标端口：提供运维服务的监听端口。如堡垒主机需要连接被管理的Linux服务器，Linux服务提提供ssh运维服务，则需要在防火墙上增加或修改策略如下：源地址：堡垒主机

21、IP，源端口：any，目标地址：被管理资源IP，目标端口：22。维护人员只要登录运维管理系统即可访问到所有服务器，无须进行二次登录。若运维人员与运维管理系统之间存在防火墙，则防火墙需要开放如下端口：22（ssh、telnet协议代理模块），443（堡垒主机提供web服务），3389（rdp协议代理模块）等。有关实施时防火墙开放策略，日志服务器旁路接入网络，并开发SMB共享服务，为堡垒主机提供日志存储服务，堡垒主机通过页面配置，将数据文件存储至日志服务器。1.3.4服务器虚拟化配置在本期项目中，将遵照规划和架构设计进行项目实施。本实施方案不涉及具体操作步骤和细节配置，而主要针对项目实施的过程进行

22、控制。预计的实施步骤如下：1.3.4.1准备阶段准备阶段是为项目的实施搜集各方面资料和必要的工具，同时也包括双方参与实施人员的确定。准备阶段主要内容如下；软件介质准备，包含项目涉及的所有软件产品介质，如果是项目内采购则由卖方准备，如采用用户现有的软件则由用户方提供，主要的介质包含：（1） FusionCloud产品介质（2） 各虚拟机的操作系统介质（3） 在应用服务器上运行的所有应用软件介质（4） 服务器硬件驱动程序介质如涉及到License则需要提供方确保在提供软件介质时同时提供有效的License授权。如Windows操作系统需要S/N号码等。在准备阶段还需要确定实施需要的人员名单，每个步

23、骤的参与人员要事先确定下来。为了确保应用迁移时的现场技术支持，要求在应用迁移或服务器迁移时确保应用软件的管理员或厂家技术人员能够现场支持。1.3.4.2FusionSphere虚拟架构实施在实施过程中，主要的工作包括虚拟环境搭建和系统迁移两部分，本节主要针对FusionSphere虚拟化架构搭建的过程进行描述。针对本期项目的情况，需要按照下列步骤进行FusionSphere架构建设。在此，只对实施的过程列表并进行简要说明，详细地安装和配置技术实现步骤将在安装过程中为用户进行现场培训，并在项目实施后的安装报告中将具体参数设置等进行汇总和记录，安装报告将在总结与交付阶段与项目的其他文档共同转移给用

24、户的管理团队。项目实施内容任务描述物理环境准备服务器硬件预先安装和配置确认1. 服务器硬件安装；2. 服务器硬件机架安装位置标示；3. 服务器内部硬件配置确认；网络交换机安装和物理环境确认1. 交换机端口预留；2. 网络线缆连接；3. 交换机内部配置。存储系统安装和环境确认1. SAN交换机安装以及端口预留；2. SAN交换机配置确认（Zoning等）；3. FC光纤跳线的连接确认;4. 磁盘阵列存储配置确认。FusionSphere虚拟化实施安装FusionCompute主机1. 确认硬件驱动的预先准备；2. 按照一般的FusionCompute主机安装过程进行，通过FusionSphere

25、e安装光盘进行裸机安装；3. 安装过程中的参数填写按照系统规划相关表格内的内容填写，避免临时变更。安装和配置FusionManager1. 安装操作系统；2. 安装SQL Server数据库（如果采用本地数据库）；3. 安装FusionManager和相关组件，连接到SQL Server数据库；4. 安装License服务器（如果采用与FusionCloud 集成在一台服务器上）；5. 输入FusionSphere License；6. 打开管理控制台并确认可用。1. 安装Update Manager；2. 配置Update Manager： 配置网络连接参数 配置Patch下载等基础参数配置

26、数据中心（Data Centers）1. 根据规划方案配置FusionCloud数据中心（Date Center）2. 创建Cluster3. 配置HA和DRS4. 配置电源管理5. 配置各项监控策略参数和虚拟机默认参数6. 开启VMotion等基础功能7. 建立Swap file策略8. 其他需要设置的内容添加FusionCompute主机到FusionCloud FusionManager1. 将已经安装完成的FusionCompute服务器添加到FusionManager内进行管理2. 察看FusionCompute服务器的软硬件系统资源，确认FusionCompute的运行正常配置存储

27、1. 根据规划方案将存储与FusionCompute服务器进行连接2. 确定HBA卡与存储的连接状态，搜索新的磁盘设备3. 添加存储，选择磁盘/LUN4. 配置存储的基础参数创建VMkernel Network使用的vSwitch（或dvSwitch）1. 创建vSwitch2. 创建Port Group（端口组）3. 设置kernel网络的其他功能或附加功能4. 增加kernel的网络连接到vSwitch创建虚拟机网络使用的vSwitch（或dvSwitch）1. 添加新的vSwitch用于虚拟机网络连接2. 为vSwitch增加网卡3. 配置VLAN等网络设置4. 创建端口组5. 增加虚拟

28、机网络连接到vSwitch配置时间（如需要）1. 配置时间参数，指定NTP服务器设置2. 设置NTP参数配置SNMP相关设定将FusionCompute主机添加至Cluster1. 将添加到FusionManager管理的FusionCompute加入相应的Cluster2. 确认FusionCompute添加到Cluster正确。配置VM部署模板1. 配置Windows部署模板2. 配置Linux部署模板1.3.4.3 FusionSphere虚拟架构实施步骤在实施过程中，主要的工作包括虚拟环境搭建和系统迁移两部分，本节主要针对FusionSphere虚拟化架构搭建的过程进行描述。针对本期项

29、目的情况，需要按照下列步骤进行FusionSphere架构建设。在此，只对实施的过程列表并进行简要说明，详细地安装和配置技术实现步骤将在安装过程中为用户进行现场培训，并在项目实施后的安装报告中将具体参数设置等进行汇总和记录，安装报告将在总结与交付阶段与项目的其他文档共同转移给用户的管理团队。(一) 物理环境准备1. 服务器硬件预先安装和配置确认a) 服务器硬件安装b) 服务器硬件机架安装位置标示c) 服务器内部硬件配置确认d) 服务器KVM管理方式确认2. 网络交换机安装和物理环境确认a) 交换机端口预留b) 网络线缆连接c) 交换机内部配置3. 存储系统安装和环境确认a) SAN交换机安装（

30、如需）以及端口预留主机端口交换机端口存储1端口存储2端口A控B控A控B控b) SAN交换机配置确认（Zoning等）zone名称含端口描述c) FC光纤跳线的连接确认d) 磁盘阵列存储配置确认(二) 安装FusionCompute主机1. 确认硬件驱动的预先准备2. 配置主机BIOS，HBA卡参数。3. 按照一般的FusionCompute主机安装过程进行，通过FusionSphere安装光盘进行裸机安装4. 安装过程中的参数填写按照系统规划相关表格内的内容填写，避免临时变更(三) 安装FusionCloud FusionManager服务器1. 安装FusionCloud FusionManager的操作系统2. 安装SQL Server数据库（如果采用本地数据库）3. 安装FusionCloud FusionManager和相关组件，连接到SQL Server数据库4. 安装License服务器（如果采用与FusionCloud 集成在一台服务器上）5. 输入FusionSphere License6. 打开管理控制台并确认可用7. 安装升级工具包(四) 安装和配置FusionCloud FusionManager Update Ma