中信登项目实施方案Word格式.docx
《中信登项目实施方案Word格式.docx》由会员分享,可在线阅读,更多相关《中信登项目实施方案Word格式.docx(26页珍藏版)》请在冰点文库上搜索。
黄彬
2017/4/23
修改
黄娇龙
■适用性声明
本模板用于撰写绿盟科技内外各种正式文件,包括技术手册、标书、白皮书、会议通知、公司制度等文档使用。
**部署拓扑5
**部署说明6
**基础环境6
**合同清单6
**接口地址规划8
**IPS8
**IDS9
**机房流量峰值9
**部署位置以及接口9
**IPS10
**IPS主设备10
**IPS从设备13
**IDS16
**Bypass测试18
**IPS主设备18
**IPS从设备19
**IPS实施流程20
**产品配置20
**上线割接20
**运行观察21
**IDS实施流程21
**产品配置21
**加电上架21
**实施时间计划21
**IPS1实施时间计划21
**IPS2实施时间计划22
**IDS实施时间计划22
一.项目背景
为响应中国信拖登记关于加强网上信息系统防攻击措施的要求,进一步加强上海信托登记网络边界的安全防护能力,上海信托登记购置了绿盟科技安全设备。
本项目中包括绿盟网络入侵检测系统(IDS)1台,绿盟网络入侵检测系统(IPS)2台。
二.部署方式
三.部署拓扑
绿盟安全设备在信托登记部署位置如下图:
四.部署说明
两台绿盟IPS设备采用透明部署的方式部署在客户网路拓扑中,对服务端和客户端均透明。
两台设备上行链路连接外网,分别是电信和联通,下行链路连接内网,G1/1和G1/2同属于一个DirectA,G1/3和G1/4同属DirectB。
两台IPS均有一个心跳口H1,用来收发心跳信息、会话信息以及同步配置文件。
一台IDS设备采用旁路部署方式部署在虚拟化区域,流经此区域的流量被镜像到IDS设备中进行检测。
五.环境需求
六.基础环境
七.合同清单
产品名称
部件名称
部件编码/型号
描述/规格与模块
单价
单位
数量
金额
绿盟网络入侵防护系统V5.6
引擎系统
NIPSNX5-N6000A-NOS-01
NIPSNX5-N6000A引擎系统
套
2
引擎模块
NIPSNX5-N6000A-NDE-01
NIPSNX5-N6000A引擎模块-2U,含交流冗余电源模块,2*USB接口,1*RJ45串口,2*GE管理口,4个扩展槽位,标配不提供网卡模块,须另外购买
2
网卡
NIC-A-GE-SFP4
4个千兆SFP插槽(不含光纤接口模块),支持千兆多模光纤接口模块、千兆单模光纤接口模块、千兆电口接口模块。
套
NIC-A-GE-TX4-B
4个10/100/1000M电口(2路Bypass)。
黄金服务包(首年)
NIPSNX5-N6000A-NSPS-GOL(FY)-N01
NIPSNX5-N6000A黄金服务包(首年),包含产品系统升级授权、产品规则升级授权、硬件保修、远程支持、产品安装服务、硬件故障上门支持、安全通告服务;
需单独购买
套年
黄金服务包(续约)
NIPSNX5-N6000A-NSPS-GOL(CE)-N01
NIPSNX5-N6000A黄金服务包(续约),包含产品系统升级授权、产品规则升级授权、硬件保修、远程支持、硬件故障上门支持、安全通告服务;
4
绿盟网络入侵检测系统V5.6
NIDSNX5-N8000A-NOS-01
NIDSNX5-N8000A引擎系统
1
NIDSNX5-N8000A-NDE-01
NIDSNX5-N8000A引擎模块-2U,含交流冗余电源模块,2*USB接口,1*RJ45串口,2*GE管理口,4个扩展槽位,标配不提供网卡模块,须另外购买
NIDSNX5-N8000A-NSPS-GOL(FY)-N01
NIDSNX5-N8000A黄金服务包(首年),包含产品系统升级授权、产品规则升级授权、硬件保修、远程支持、产品安装服务、硬件故障上门支持、安全通告服务;
NIDSNX5-N8000A-NSPS-GOL(CE)-N01
NIDSNX5-N8000A黄金服务包(续约),包含产品系统升级授权、产品规则升级授权、硬件保修、远程支持、硬件故障上门支持、安全通告服务;
合计:
八.接口地址规划
九.IPS
设备名称
接口地址
备注
绿盟IPS主设备
M
IP地址:
10.10.50.13
带外管理
掩码:
255.255.255.0
网关:
10.10.50.254
G1/1
**/0
DirectA
G1/2
G1/3
DirectB
G1/4
H1
2.2.3.2
心跳口
255.255.0.0
绿盟IPS从设备
10.10.50.14
2.2.2.2
一十.IDS
绿盟IDS
10.10.50.12
一十一.机房流量峰值
链路名称
峰值/bps
上行链路
下行链路
一十二.部署位置以及接口
主IPS
(A0322-23U)
连接
交换机(A03/33U)接口
交换机(A04/33U)接口
交换机(A05/09U)接口
交换机(A06/09U)接口
交换机(A03/25U)接口
交换机(A04/25U)接口
G0/2
G0/4
G0/10
G0/12
G0/5
从IPS
(A0422-23U)
G0/3
G0/11
G0/13
IDS
(A0338-39U)
G0/8
一十三.配置截图说明
一十四.IPS
一十五.IPS主设备
1.首页
2.接口状态以及配置
3.策略配置
**切换
一十六.IPS从设备
2.接口状态及配置
主设备down后
一十七.IDS
3.策略
**配置
一十八.Bypass测试
一十九.IPS主设备
二十.IPS从设备
二十一.实施流程
二十二.IPS实施流程
二十三.产品配置
根据绿盟科技工程师以往实施的经验,IPS预配置包括以下内容:
开箱验货
确认配件、网线、资质文件、说明书等内容齐全。
设备加电、导入证书
保证设备正常使用
设备升级
保证上线后的设备是不存在已知BUG,保证系统在上线后稳定运行;
防护策略
二十四.上线割接
在验证IPS预配置没有问题后,将IPS割接到现有的网络中,并验证IPS策略是否对业务产生影响。
二十五.运行观察
在取得上线成功后,绿盟科技工程师将针对IPS运行状况进行分析,并在必要的情况下调整配置策略,以更好的满足检测要求。
二十六.IDS实施流程
二十七.产品配置
根据绿盟科技工程师以往实施的经验,IDS预配置包括以下内容:
二十八.加电上架
IDS采用旁路部署到网络中,不会影响网络业务,直接接到交换机的镜像口上即可。
二十九.运行观察
上线成功后查看IDS上是否有流量,是否有相关的日志产生。
三十.实施时间计划
三十一.实施时间计划
三十二.IPS1实施时间计划
编号
工作阶段
用时
产品配置&
上线割接
运行观察
N/A
三十三.IPS2实施时间计划
三十四.IDS实施时间计划
三十五.后续工作
本次项目实施结束后,绿盟科技将会继续跟进,对客户提出的问题以及产品问题我们将及时解决,以保证客户业务顺畅运行。
三十六.账户、密码
设备管理员/密码
审计员/密码
IPS
admin/!
@#$qwer1234
webaudit/webaudit
升级会员 