安全域改造项目网络割接方案.docx

1、安全域改造项目网络割接方案*安全域改造项目(*) 网络割接方案*有限公司2008年7月1概述1.1项目内容安全域改造项目割接实施，涉及业务系统主要内容包括：新增H3C防火墙到BOSS系统的接入、对这个区域进行重点防护新增2台三层交换机做成冗余配置，将各网管系统统一接入新增2台三层交换机，将BOSS系统统一接入新增IDS监控BOSS系统、网管系统流量，对可能发生的攻击行为进行检测1.2项目目标通过本次安全域改造项目，提高核心网络性能，提升网络可用性和扩展性，以适应业务系统的发展需求。同时，通过安全域的规划调整、新增安全设备的部署，完善网络的安全防护措施和手段，全面提升网络的整体安全防护能力。1.

2、3实施流程图1：实施流程图1.4实施风险控制割接方案的设计，遵从平滑过渡，最小影响的原则。在网络核心层、汇聚层进行设备部署调整。割接实施选择在业务量少的时间段，分步骤进行，做好回退措施，减少业务中断次数，尽量降低对业务系统的影响。本次割接任务可能造成的影响为：电子运维系统、计费采集系统和其他网管系统的连接中断一次，每次一小时以内BOSS业务系统的访问受上述相同影响。本次割接任务分两个步骤实施，每个步骤出现问题时，回退到上个步骤的连接方式即可恢复正常，每个部分的割接与回退比较平滑。1.5实施计划割接实施时间预计为： 1.6参与人员序号所属单位姓名手机号码E-Mail职责123456782安全域改

3、造方案2.1网络现状本次安全域改造项目涉及的网络部分，拓扑现状如下图所示：图2：网络拓扑现状2.2安全域改造方案安全域改造的主要内容包括：1、使用两台新增H3C防火墙，对BOSS业务系统进行安全隔离。大幅提高BOSS业务系统的安全性，实施有效的网络访问控制措施，隔离安全威胁。2、新增2台三层交换机，将各BOSS系统统一接入到这2台交换机上。决定采用原有链路。这样需要*4003和4006的位置，可能会造成BOSS业务系统的中断，需省公司进行审批。3、新增2台三层交换机做成冗余配置，将各网管系统统一接入到这2台交换机上。这样网管系统接口能形成独立管理，也方便日后进行拓展和维护。同时也实现了网管系统

4、接口链路的冗余和备份。*方考虑到网管系统重新布线的工程量比较大，决定采用原有线路。这样需要*4003和4006的位置，可能会造成网管系统业务的中断，需省公司进行审批。4、新增部署网络IDS，完善网络的安全防护手段，全面提升网络的整体安全防护能力。安全域改造的方案示意图如下所示：图3：安全域改造方案示意图2.3新增设备序号新增设备数量功能描述1H3c防火墙2隔离BOSS业务系统的安全威胁2安氏IDS2监控BOSS系统、网管系统的流量3新增爱立信交换机2各网管系统统一接入4新增爱立信交换机2BOSS系统统一接入3割接前的准备3.1布线实施牵涉到较多线缆的迁移以及新线缆的铺设工作。此项工作预计于6月

5、13日前完成。3.2新增设备通电测试上架6月13日前，将组织新增防火墙,IDS等设备集成厂商进行设备的通电测试，部署上架。3.3新增设备策略规划新增设备的策略规划，以新增的H3C防火墙和IDS为主，安全设备仅部署基本运行策略。在割接完成后，再根据业务访问和安全管理的需求，逐步完善。1、H3C防火墙根据现有的网络结构状况，为保证业务系统割接的平滑过渡，暂时将两台H3C作为透明模式使用。其中，在一台H3C防火墙上确定四个接口，接入对应的接口上，分别为4003两个接口，新增交换机1，新增交换机2。在另一台H3C防火墙上确定四个接口，接入对应的接口上，分别为4006两个接口，新增交换机1，新增交换机2

6、。割接成功以后访问策略根据业务访问和安全管理的需求，逐步完善。2、安氏IDS通过端口镜像，监听数据流量，进行入侵检测和攻击告警。允许IDS管理服务器访问公网指定升级路径，进行IDS特征库的自动升级更新。4割接步骤本次割接任务，主要分三个步骤实施：1、BOSS业务系统割接2、IDS割接每个步骤的详细实施内容如下所述：4.1步骤一：爱立信交换机割接升级爱立信三层交换机IOS新增2台带三层路由功能的接口交换机做成冗余的配置，启用VRRP做成热备。并把所有BOSS业务系统远程接口都集中部署到这2台接口交换机上。其中一台爱立信三层交换机上新增两个vlan，一个做为上联4006的接口，一个做为与另外一台爱

7、立信交换机互联的接口。其中一台爱立信三层交换机上新增两个vlan，一个做为上联4003的接口，一个做为与另外一台爱立信交换机互联的接口。需要提供三对设备互联的IP地址。另外新增2台带三层路由功能的接口交换机做成冗余的配置，启用VRRP做成热备。并把所有网管业务系统远程接口都集中部署到这2台接口交换机上。其中一台爱立信三层交换机上新增两个vlan，一个做为上联4006的接口，一个做为与另外一台爱立信交换机互联的接口。其中一台爱立信三层交换机上新增两个vlan，一个做为上联4003的接口，一个做为与另外一台爱立信交换机互联的接口。需要提供三对设备互联的IP地址。（BOSS系统和网管系统的接入采用原

8、有线路，需要*4003和4006的位置，从原来D-01机柜移到D-02机柜。把新增的四台交换机部署在原来4003和4006的位置。*4003和4006的位置，会造成业务系统的中断。）vlan全部启用ospf。将BOSS营业点接口域和BOSS终端接口域中的路由器网关全部配置为爱立信三层交换机上对应的子接口ip地址。由于本次割接涉及业务较多，BOSS系统和网管系统全部都会受到影响，我们将尽量缩短割接时间，顺利完成割接。4.2步骤二：BOSS业务系统割接对BOSS业务系统的割接，我们将分为两步走，一是割接上架，二是加载策略。1、割接内容两台新增的H3C防火墙，在一台H3C防火墙上确定两个个接口，接入

9、对应的接口上，分别为4003一个接口，新增交换机1一个接口（新增交换机1的1号端口，4003的端口）。在另一台H3C防火墙上确定两个个接口，接入对应的接口上，分别为4006一个接口，新增交换机2一个接口（新增交换机2的1号端口，4006现在无闲置端口，需把网管和BOSS系统的接入割接到新增交换机以后使用两个闲置端口）。在防火墙上架后，我们将采用any到any的策略测试，确定无误后，再逐步加载相应的策略。实现对网络的控制。确保对网络的正常访问。2、示意图图4：防火墙割接示意图3、检查测试使用show cdp nei命令检查对端设备连接情况通过ping命令检查链路连接情况4、影响分析及回退措施暂时

10、将设备部署为透明模式，所有的策略为any到any，不会对网络造成影响。做好4003和4006配置的备份。如出现故障，拆除H3C防火墙和爱立信交换机的链路，恢复原有链路。4.3步骤三：IDS割接1、割接内容将IDS-1割接到新增的两台交换机对应端口上，通过端口镜像，监听新增的两台交换机的数据流量，对网管系统的接入进行入侵检测和攻击告警。需要把新增交换机1上相关端口镜像到新增交换机1的48端口上，把新增交换机2上相关端口镜像到新增交换机2的48端口上。将IDS-2割接到新增的两台交换机对应端口上，通过端口镜像，监听BOSS系统的数据流量。需要把新增交换机3上相关端口镜像到新增交换机3的48端口上，

11、把新增交换机3上相关端口镜像到新增交换机3的48端口上。采用的是旁路链接，不会对现有的业务系统造成任何影响。2、示意图图5：IDS割接示意图3、检查测试使用show cdp nei命令检查对端设备连接情况通过ping命令检查链路连接情况相关设备维护厂商检查自身设备运行情况查看IDS日志，是否收到监听数据。4、影响分析及回退措施采用的是旁路链接，不会对现有的业务系统造成任何影响。5割接后跟踪总结5.1割接后跟踪割接完成后，现场监控2个小时；并在工作时间内组织相关人员进行持续跟踪，出现问题，及时响应处理5.2割接测试报告拟制割接测试报告，由相关各方人员（业务系统维护人员、设备维护厂商、集成商）测试完成，并签字确认实施成果，并提交给*方。5.3总结完成割接实施汇总报告，并提交给局方内容包括：割接的实施情况概述割接的具体实施过程遇到的问题及解决过程遗留的问题及解决方案