長江南京航道局網(wǎng)絡安全設備升級改造實施方案(8頁).docx
下載文檔
上傳人:正***
編號:853615
2023-12-21
5頁
18.01KB
1、長江南京航道局網(wǎng)絡安全設備升級改造實施方案一、網(wǎng)絡概述1.1網(wǎng)絡環(huán)境描述南京航道局網(wǎng)絡如圖所示,這是一種星型網(wǎng)絡拓撲結構圖。在我們所看到的這張航道局的網(wǎng)絡拓撲圖上,左下角這塊就是以華為AR46-80為核心的內(nèi)網(wǎng);右上角這塊就是以FG300A、啟明星辰IPS、綠盟等安全設備為主的外網(wǎng);右下角這塊主要針對掛在支撐平臺交換6506R下的WEB網(wǎng)站服務器。當前長江南京航道局網(wǎng)絡拓撲圖:1.2網(wǎng)絡設備及IP描述 外網(wǎng)路由器AR46-801) 管理地址: 外網(wǎng)防火墻FG300A2) 工作模式:透明模式。 啟明星辰IPS1) 工作模式:單對串接模式(相當于透明模式)。 綠盟內(nèi)容安全管理1) 工作模式:直通模2、式(相當于透明模式)。 內(nèi)網(wǎng)防火墻FG300A1) 工作模式:NAT模式。 內(nèi)網(wǎng)核心交換機6506R1) 管理地址: 支撐平臺交換機6506R1) .254 WEB網(wǎng)站服務器2) .1931.3網(wǎng)絡設備改造前接口圖二、網(wǎng)絡安全實施方案2.1網(wǎng)絡安全實施前期準備在外網(wǎng)網(wǎng)絡中,涉及的網(wǎng)絡設備為外網(wǎng)路由器華為AR46-80、外網(wǎng)防火墻飛塔FG300A、入侵防御IPS NDP100和內(nèi)容安全管理綠盟ICEYE604C,在本次實施中,我們需要對入侵防御IPS進行網(wǎng)絡位置遷移,因此我們需要做好相關設備配置備份工作,當因網(wǎng)絡遷移導致網(wǎng)絡故障后,第一時間還原并恢復網(wǎng)絡的正常。關于網(wǎng)絡設備配置備份的重要性,這里3、不作過多描述,毋庸置疑的是一旦設備因配置丟失導致網(wǎng)絡中斷后,那么恢復起來需要消耗大量的時間,對因長時間網(wǎng)絡中斷而造成的損失是無法估計的,它的重要性也就不言而喻了。在實際網(wǎng)絡設備遷移中,如果排除設備之間線纜連接距離的問題,甚至我們的實施工作都不需要中斷設備電源,這樣也保證了對網(wǎng)絡的影響降到了最低。針對網(wǎng)絡設備的配置備份,這里不再區(qū)分外網(wǎng)與內(nèi)網(wǎng),因為實際上我們實施時除了不會對內(nèi)網(wǎng)造成影響外,其它外網(wǎng)訪問及WEB網(wǎng)站服務器都會有相應的影響,因此我們會對網(wǎng)絡中所有主要網(wǎng)絡設備進行配置備份,主要設備如下:外網(wǎng)路由器華為AR46-80、外網(wǎng)防火墻FG300A、綠盟內(nèi)容安全管理、內(nèi)網(wǎng)防火墻FG300A、內(nèi)網(wǎng)4、核心交換機6506R、支撐平臺交換機6506R。2.2網(wǎng)絡安全實施停機時間關于在網(wǎng)絡安全實施過程中的網(wǎng)絡中斷時間,我們分為外網(wǎng)停機時間與WEB網(wǎng)站服務器停機時間,理論上兩者是獨立開來不受影響的,至于內(nèi)網(wǎng)數(shù)據(jù),這里不單獨分離開來的原因是內(nèi)網(wǎng)的獨立性較強,當外網(wǎng)沒有需求訪問內(nèi)網(wǎng)數(shù)據(jù)時,內(nèi)網(wǎng)本身與外網(wǎng)就是斷開的。外網(wǎng)停機時間在對外網(wǎng)進行實施時,我們不需要移動設備物理位置,因為本身就在一個機柜,因此我們選擇合適的線纜進行連接即可。預計外網(wǎng)停機時間在10分鐘內(nèi)。網(wǎng)站服務器停機時間在完成外網(wǎng)測試后,需要考慮將入侵防御IPS調(diào)整到外網(wǎng)路由器AR46-80和內(nèi)網(wǎng)防火墻FG300A之間,此時需要中斷WEB網(wǎng)站服5、務器,并且如果當前外網(wǎng)對內(nèi)網(wǎng)數(shù)據(jù)有訪問需求的話也要暫時中斷,原啟明星辰IPS保留當前接入模式接入外網(wǎng)路由器和內(nèi)網(wǎng)防火墻之間。預計WEB網(wǎng)站服務器停機時間在10分鐘內(nèi)。2.3網(wǎng)絡安全實施應急演練網(wǎng)絡安全實施演練目的減少發(fā)生網(wǎng)絡事故時南京航道局網(wǎng)絡修復時間,減少因設備遷移而導致的網(wǎng)絡故障;在最短的時間恢復設備正常運行將損失降低到最低。網(wǎng)絡安全實施演練范圍此次演練對象為以啟明星辰入侵防御IPS NDP100 安全設備為主,主要涉及網(wǎng)絡設備有外網(wǎng)路由器AR46-80、外網(wǎng)防火墻FG300A、綠盟內(nèi)容安全管理、內(nèi)網(wǎng)防火墻FG300A、內(nèi)網(wǎng)核心交換機6506R和支撐平臺交換6506R。網(wǎng)絡安全實施演練內(nèi)容6、本次網(wǎng)絡安全實施需要涉及網(wǎng)絡設備節(jié)點比較多,但是除了需要網(wǎng)絡遷移的啟明星辰IPS外,其它設備的物理與邏輯位置都不用改變,因此其它設備除了正常的配置做好備份外,不會對網(wǎng)絡造成影響。這里我們需要對改變網(wǎng)絡位置的啟明星辰IPS進行網(wǎng)絡安全實施演練即可,這么操作的目的在于當遷移啟明星辰IPS后,如果設備出現(xiàn)問題或網(wǎng)絡不通暢時,可以在第一時間對網(wǎng)絡進行恢復工作。1) 中斷啟明星辰IPS兩個通信端口后,將對應的外網(wǎng)防火墻與綠盟內(nèi)容安全管理設備通過線纜連接在一起,并測試相關業(yè)務,確保外網(wǎng)恢復正常;如果外網(wǎng)訪問存在異常,則接回啟明星辰IPS,恢復原本網(wǎng)絡并測試業(yè)務,確保網(wǎng)絡恢復正常。2) 中斷WEB服務器網(wǎng)絡7、,斷掉外網(wǎng)路由器AR46-80和內(nèi)網(wǎng)防火墻之間的通信端口,并接入啟明星辰IPS,如果WEB網(wǎng)站服務器可以正常訪問,并且當把內(nèi)網(wǎng)核心交換機與內(nèi)網(wǎng)防火墻連接時,可以通過外網(wǎng)訪問內(nèi)網(wǎng)數(shù)據(jù),則網(wǎng)絡正常;如果遷移進IPS后,WEB服務器不可以被訪問,外網(wǎng)也不可以正常訪問內(nèi)網(wǎng)數(shù)據(jù),則撤掉IPS,恢復原本網(wǎng)絡并測試業(yè)務,確保網(wǎng)絡恢復正常。2.4網(wǎng)絡安全實施過程2.4.1網(wǎng)絡安全實施端口拓撲圖當前網(wǎng)絡安全實施端口拓撲圖改造后網(wǎng)絡安全實施端口拓撲圖網(wǎng)絡安全實施過程2.4.2.1外網(wǎng)網(wǎng)絡安全實施過程外網(wǎng)網(wǎng)絡安全的實施主要以遷移啟明星辰入侵防御IPS NDP100為主,當前IPS通過Port1與外網(wǎng)防火墻的Port8、6口連接,Port2與綠盟內(nèi)容安全管理的Eth1口連接,網(wǎng)絡改動后,外網(wǎng)防火墻的Port6口與綠盟內(nèi)容安全管理的Eth1口連接。操作步驟如下:1) 遷移前先測試相關業(yè)務,確保當前外網(wǎng)可以正常訪問。2) 拔出IPS、外網(wǎng)防火墻和綠盟內(nèi)容安全管理設備三者之間對應接口的通信線纜。3) 將外網(wǎng)防火墻的Port6口與綠盟內(nèi)容安全管理設備的Eth1口通過線纜連接。4) 測試相關業(yè)務,確保外網(wǎng)可以正常訪問。服務器安全實施過程WEB服務器安全的實施主要也是以遷移啟明星辰入侵防御IPS NDP100為主,當前內(nèi)網(wǎng)防火墻的Port6口與外網(wǎng)路由器AR46-80的GE0/0/1口連接。網(wǎng)絡改動后,內(nèi)網(wǎng)防火墻的Port6口與啟明星辰入侵防御IPS NDP100的Port2口連接,啟明星辰入侵防御IPS NDP100的Port1口與外網(wǎng)路由器AR46-80的GE0/0/1口連接。操作步驟如下:1) 遷移前先測試相關業(yè)務,確保當前WEB服務器可以被正常訪問。2) 拔出內(nèi)網(wǎng)防火墻FG300A和外網(wǎng)路由器AR46-80之間對應接口的通信線纜。3) 將內(nèi)網(wǎng)防火墻的Port6口與IPS的Port2口通過線纜連接,將IPS的Port1口與外網(wǎng)路由器AR46-80的GE0/0/1口通過線纜連接。4) 測試相關業(yè)務,確保WEB網(wǎng)站服務器可以被正常訪問,內(nèi)網(wǎng)數(shù)據(jù)也可以被外網(wǎng)訪問。