信息安全2.0管理手册第四册安全边界_20141127_徐军_V1解析.doc

 修订记录表 序号 修订日期 修订内容 修订人 修订状态 版本号 1初稿 徐军 新建 V1  目 录 一、 中心安全边界 - 4 - 1.1 中心对车站接口安全边界拓扑图 - 4 - 1.2 中心安全边界故障排查 - 5 - 1.3 中心安全边界故障紧急预案 - 6 - 1.4 中心安全边界硬件巡检 - 7 - 二、 车站安全边界 - 9 - 2.1 车站安全边界拓扑图 - 9 - 2.2 车站安全边界故障排查 - 11 - 2.3 车站安全边界故障紧急预案 - 13 - 2.4 车站安全边界硬件巡检 - 13 -  中心安全边界 中心对车站接口安全边界拓扑图 中心对车站接口安全边界采用透明接入方式，接入核心交换机和核心路由器之间的4个通道上各串联1台，保持原有网络结构和冗余机制。安全边界接入前后请参考图1和2。 中心对车站网络原图 中心对车站接口安全边界接入图 中心安全边界故障排查 中心对车站网络的安全边界接入都是透明接入模式，不起到路由转发功能，因此，可以通过登录核心交换机直接ping对应路由器接口地址即可判断安全边界是否有故障。 如中心对车站发生网络故障，应通过如下排查方法判断安全边界是否发生故障。参考如下中心安全边界故障排查表和图2。 中心安全边界故障排查表 排查操作 结论 登录核心交换机A ，ping核心路由器A的A口 　 登录核心交换机A ，ping核心路由器B的A口 　 登录核心交换机B ，ping核心路由器A的B口 　 登录核心交换机A ，ping核心路由器B的B口 　 根据上表，如果发现ping不通或者丢包，则可能和该通道安全边界有关系，则应先检查相关通道上的网口灯是否正常，并将相关网线全部插拔，如果故障依旧，则应采取旁路措施进行验证。旁路措施请参考1.3 紧急预案。 中心安全边界故障排查图 中心安全边界故障紧急预案 在判断有安全边界故障时，应采取紧急预案，将防火墙旁路，恢复网络正常运行。 旁路方法（如图3）： 步骤1：拔除安全边界在交换机和路由器上的联系； 步骤2：将相应通道的旁路线直接连接核心交换机和路由器，以此跳过安全边界的隔离。 中心安全边界故障紧急预案旁路图 中心安全边界硬件巡检 应定期对硬件进行巡检，具体方法如下： 端口指示灯 防火墙中心设备端口包括6个10/100/1000M自适应以太网接口，防火墙车站设备端口包括4个10/100/1000M自适应以太网接口，。 以太网接口 每个网口上的两个指示灯左边为橘黄色（电源，闪烁代表有数据），右边为绿色（10M不亮，100M绿色，对端接1000M本端也是绿色）。 光纤接口 与以太网接口一致，但光纤接口因为是万兆接口，右边指示灯的颜色与千兆一致，同为绿色。 电源指示灯 防火墙中心设备均采用双电源，在设备背板每个电源均有一个指示灯，在故障的情况下，呈现红色，同时会伴有长滴声音报警。在无故障的情况下，电源指示灯为绿色。 注：对其他网络的接口安全边界，具体的旁路拓扑图请参考《信息安全2.0管理手册 第一册》中的网络拓扑图。  车站安全边界 车站安全边界拓扑图 各车站安全边界采用透明接入方式，接入车站交换机和车站路由器之间的4个通道上，每个网段的2个通道共用1台安全边界，保持原有网络结构和冗余机制。安全边界接入前后请参考图1和2。 车站网络原图 车站安全边界接入图  车站安全边界故障排查 车站网络的安全边界接入都是透明接入模式，不起到路由转发功能，因此，可以通过登录车站路由器直接ping各终端IP地址即可判断安全边界是否有故障。 如车站发生网络故障，应通过如下排查方法判断安全边界是否发生故障。参考如下中心安全边界故障排查表和图2。 安全边界故障排查表 排查操作 结论 登录车站路由器A ，ping车务A的A网地址； 　 登录车站路由器A ，ping车务B的B网地址； 　 登录车站路由器B ，ping自律机A的A网地址； 　 登录车站路由器B ，ping自律机B的B网地址； 　 情况一： 如果只有1个通道ping不通，则不是边界问题，有可能跟该通道上的网线有关，最终目标设备网络不通，应检查相关设备网口，并将网线重新插拔。如图6中的故障示例。 车站网络故障情况一 情况二： 如果在同一个通道上的2个ping都有不通，如图7故障示例，则应该是安全边界故障，应采取紧急预案将其旁路。旁路措施参考2.3。 车站网络故障情况二 车站安全边界故障紧急预案 在判断有安全边