安全域改造项目网络割接方案.docx
《安全域改造项目网络割接方案.docx》由会员分享,可在线阅读,更多相关《安全域改造项目网络割接方案.docx(11页珍藏版)》请在冰点文库上搜索。
安全域改造项目网络割接方案
****安全域改造项目
(**)网络割接方案
*******有限公司
2008年7月
1概述
1.1项目内容
安全域改造项目割接实施,涉及业务系统主要内容包括:
⏹新增H3C防火墙到BOSS系统的接入、对这个区域进行重点防护
⏹新增2台三层交换机做成冗余配置,将各网管系统统一接入
⏹新增2台三层交换机,将BOSS系统统一接入
⏹新增IDS监控BOSS系统、网管系统流量,对可能发生的攻击行为进行检测
1.2项目目标
通过本次安全域改造项目,提高核心网络性能,提升网络可用性和扩展性,以适应业务系统的发展需求。
同时,通过安全域的规划调整、新增安全设备的部署,完善网络的安全防护措施和手段,全面提升网络的整体安全防护能力。
1.3实施流程
图1:
实施流程图
1.4实施风险控制
割接方案的设计,遵从平滑过渡,最小影响的原则。
在网络核心层、汇聚层进行设备部署调整。
割接实施选择在业务量少的时间段,分步骤进行,做好回退措施,减少业务中断次数,尽量降低对业务系统的影响。
本次割接任务可能造成的影响为:
⏹电子运维系统、计费采集系统和其他网管系统的连接中断一次,每次一小时以内
⏹BOSS业务系统的访问受上述相同影响。
本次割接任务分两个步骤实施,每个步骤出现问题时,回退到上个步骤的连接方式即可恢复正常,每个部分的割接与回退比较平滑。
1.5实施计划
割接实施时间预计为:
1.6参与人员
序号
所属单位
姓名
手机号码
E-Mail
职责
1
2
3
4
5
6
7
8
2安全域改造方案
2.1网络现状
本次安全域改造项目涉及的网络部分,拓扑现状如下图所示:
图2:
网络拓扑现状
2.2安全域改造方案
安全域改造的主要内容包括:
1、使用两台新增H3C防火墙,对BOSS业务系统进行安全隔离。
大幅提高BOSS业务系统的安全性,实施有效的网络访问控制措施,隔离安全威胁。
2、新增2台三层交换机,将各BOSS系统统一接入到这2台交换机上。
决定采用原有链路。
这样需要**4003和4006的位置,可能会造成BOSS业务系统的中断,需省公司进行审批。
3、新增2台三层交换机做成冗余配置,将各网管系统统一接入到这2台交换机上。
这样网管系统接口能形成独立管理,也方便日后进行拓展和维护。
同时也实现了网管系统接口链路的冗余和备份。
****方考虑到网管系统重新布线的工程量比较大,决定采用原有线路。
这样需要**4003和4006的位置,可能会造成网管系统业务的中断,需省公司进行审批。
4、新增部署网络IDS,完善网络的安全防护手段,全面提升网络的整体安全防护能力。
安全域改造的方案示意图如下所示:
图3:
安全域改造方案示意图
2.3新增设备
序号
新增设备
数量
功能描述
1
H3c防火墙
2
隔离BOSS业务系统的安全威胁
2
安氏IDS
2
监控BOSS系统、网管系统的流量
3
新增爱立信交换机
2
各网管系统统一接入
4
新增爱立信交换机
2
BOSS系统统一接入
3割接前的准备
3.1布线实施
牵涉到较多线缆的迁移以及新线缆的铺设工作。
此项工作预计于6月13日前完成。
3.2新增设备通电测试上架
6月13日前,将组织新增防火墙,IDS等设备集成厂商进行设备的通电测试,部署上架。
3.3新增设备策略规划
新增设备的策略规划,以新增的H3C防火墙和IDS为主,安全设备仅部署基本运行策略。
在割接完成后,再根据业务访问和安全管理的需求,逐步完善。
1、H3C防火墙
根据现有的网络结构状况,为保证业务系统割接的平滑过渡,暂时将两台H3C作为透明模式使用。
其中,在一台H3C防火墙上确定四个接口,接入对应的接口上,分别为4003两个接口,新增交换机1,新增交换机2。
在另一台H3C防火墙上确定四个接口,接入对应的接口上,分别为4006两个接口,新增交换机1,新增交换机2。
割接成功以后访问策略根据业务访问和安全管理的需求,逐步完善。
2、安氏IDS
通过端口镜像,监听数据流量,进行入侵检测和攻击告警。
允许IDS管理服务器访问公网指定升级路径,进行IDS特征库的自动升级更新。
4割接步骤
本次割接任务,主要分三个步骤实施:
1、BOSS业务系统割接
2、IDS割接
每个步骤的详细实施内容如下所述:
4.1步骤一:
爱立信交换机割接
升级爱立信三层交换机IOS
新增2台带三层路由功能的接口交换机做成冗余的配置,启用VRRP做成热备。
并把所有BOSS业务系统远程接口都集中部署到这2台接口交换机上。
其中一台爱立信三层交换机上新增两个vlan,一个做为上联4006的接口,一个做为与另外一台爱立信交换机互联的接口。
其中一台爱立信三层交换机上新增两个vlan,一个做为上联4003的接口,一个做为与另外一台爱立信交换机互联的接口。
需要提供三对设备互联的IP地址。
另外新增2台带三层路由功能的接口交换机做成冗余的配置,启用VRRP做成热备。
并把所有网管业务系统远程接口都集中部署到这2台接口交换机上。
其中一台爱立信三层交换机上新增两个vlan,一个做为上联4006的接口,一个做为与另外一台爱立信交换机互联的接口。
其中一台爱立信三层交换机上新增两个vlan,一个做为上联4003的接口,一个做为与另外一台爱立信交换机互联的接口。
需要提供三对设备互联的IP地址。
(BOSS系统和网管系统的接入采用原有线路,需要**4003和4006的位置,从原来D-01机柜移到D-02机柜。
把新增的四台交换机部署在原来4003和4006的位置。
**4003和4006的位置,会造成业务系统的中断。
)
vlan全部启用ospf。
将BOSS营业点接口域和BOSS终端接口域中的路由器网关全部配置为爱立信三层交换机上对应的子接口ip地址。
由于本次割接涉及业务较多,BOSS系统和网管系统全部都会受到影响,我们将尽量缩短割接时间,顺利完成割接。
4.2步骤二:
BOSS业务系统割接
对BOSS业务系统的割接,我们将分为两步走,一是割接上架,二是加载策略。
1、割接内容
两台新增的H3C防火墙,在一台H3C防火墙上确定两个个接口,接入对应的接口上,分别为4003一个接口,新增交换机1一个接口(新增交换机1的1号端口,4003的端口)。
在另一台H3C防火墙上确定两个个接口,接入对应的接口上,分别为4006一个接口,新增交换机2一个接口(新增交换机2的1号端口,4006现在无闲置端口,需把网管和BOSS系统的接入割接到新增交换机以后使用两个闲置端口)。
在防火墙上架后,我们将采用any到any的策略测试,确定无误后,再逐步加载相应的策略。
实现对网络的控制。
确保对网络的正常访问。
2、示意图
图4:
防火墙割接示意图
3、检查测试
⏹使用showcdpnei命令检查对端设备连接情况
⏹通过ping命令检查链路连接情况
4、影响分析及回退措施
暂时将设备部署为透明模式,所有的策略为any到any,不会对网络造成影响。
做好4003和4006配置的备份。
如出现故障,拆除H3C防火墙和爱立信交换机的链路,恢复原有链路。
4.3步骤三:
IDS割接
1、割接内容
将IDS-1割接到新增的两台交换机对应端口上,通过端口镜像,监听新增的两台交换机的数据流量,对网管系统的接入进行入侵检测和攻击告警。
需要把新增交换机1上相关端口镜像到新增交换机1的48端口上,把新增交换机2上相关端口镜像到新增交换机2的48端口上。
将IDS-2割接到新增的两台交换机对应端口上,通过端口镜像,监听BOSS系统的数据流量。
需要把新增交换机3上相关端口镜像到新增交换机3的48端口上,把新增交换机3上相关端口镜像到新增交换机3的48端口上。
采用的是旁路链接,不会对现有的业务系统造成任何影响。
2、示意图
图5:
IDS割接示意图
3、检查测试
⏹使用showcdpnei命令检查对端设备连接情况
⏹通过ping命令检查链路连接情况
⏹相关设备维护厂商检查自身设备运行情况
⏹查看IDS日志,是否收到监听数据。
4、影响分析及回退措施
采用的是旁路链接,不会对现有的业务系统造成任何影响。
5割接后跟踪总结
5.1割接后跟踪
割接完成后,现场监控2个小时;并在工作时间内组织相关人员进行持续跟踪,出现问题,及时响应处理
5.2割接测试报告
拟制《割接测试报告》,由相关各方人员(业务系统维护人员、设备维护厂商、集成商)测试完成,并签字确认实施成果,并提交给**方。
5.3总结
完成《割接实施汇总报告》,并提交给局方
内容包括:
⏹割接的实施情况概述
⏹割接的具体实施过程
⏹遇到的问题及解决过程
⏹遗留的问题及解决方案
升级会员 