安全域改造项目网络割接方案.doc

****安全域改造项目 (**) 网络割接方案 *******有限公司 2008年7月 目 录 1 概述 3 1.1 项目内容 3 1.2 项目目标 3 1.3 实施流程 4 1.4 实施风险控制 4 1.5 实施计划 5 1.6 参与人员 5 2 安全域改造方案 6 2.1 网络现状 6 2.2 安全域改造方案 6 2.3 新增设备 7 3 割接前的准备 9 3.1 布线实施 9 3.2 新增设备通电测试上架 9 3.3 新增设备策略规划 9 4 割接步骤 9 1、 BOSS业务系统割接 9 4.1 步骤一：爱立信交换机割接 10 4.2 步骤二：BOSS业务系统割接 10 4.3 步骤三：IDS割接 12 5 割接后跟踪总结 14 5.1 割接后跟踪 14 5.2 割接测试报告 14 5.3 总结 14 概述 项目内容 安全域改造项目割接实施，涉及业务系统主要内容包括： 新增H3C防火墙到BOSS系统的接入、对这个区域进行重点防护 新增2台三层交换机做成冗余配置，将各网管系统统一接入 新增2台三层交换机，将BOSS系统统一接入 新增IDS监控BOSS系统、网管系统流量，对可能发生的攻击行为进行检测 项目目标 通过本次安全域改造项目，提高核心网络性能，提升网络可用性和扩展性，以适应业务系统的发展需求。 同时，通过安全域的规划调整、新增安全设备的部署，完善网络的安全防护措施和手段，全面提升网络的整体安全防护能力。 实施流程 图1：实施流程图 实施风险控制 割接方案的设计，遵从平滑过渡，最小影响的原则。在网络核心层、汇聚层进行设备部署调整。割接实施选择在业务量少的时间段，分步骤进行，做好回退措施，减少业务中断次数，尽量降低对业务系统的影响。 本次割接任务可能造成的影响为： 电子运维系统、计费采集系统和其他网管系统的连接中断一次，每次一小时以内 BOSS业务系统的访问受上述相同影响。 本次割接任务分两个步骤实施，每个步骤出现问题时，回退到上个步骤的连接方式即可恢复正常，每个部分的割接与回退比较平滑。 实施计划 割接实施时间预计为： 参与人员 序号 所属单位 姓名 手机号码 E-Mail 职责 安全域改造方案 网络现状 本次安全域改造项目涉及的网络部分，拓扑现状如下图所示： 图2：网络拓扑现状 安全域改造方案 安全域改造的主要内容包括： 使用两台新增H3C防火墙，对BOSS业务系统进行安全隔离。大幅提高BOSS业务系统的安全性，实施有效的网络访问控制措施，隔离安全威胁。 新增2台三层交换机，将各BOSS系统统一接入到这2台交换机上。决定采用原有链路。这样需要**4003和4006的位置，可能会造成BOSS业务系统的中断，需省公司进行审批。 新增2台三层交换机做成冗余配置，将各网管系统统一接入到这2台交换机上。这样网管系统接口能形成独立管理，也方便日后进行拓展和维护。同时也实现了网管系统接口链路的冗余和备份。****方考虑到网管系统重新布线的工程量比较大，决定采用原有线路。这样需要**4003和4006的位置，可能会造成网管系统业务的中断，需省公司进行审批。 新增部署网络IDS，完善网络的安全防护手段，全面提升网络的整体安全防护能力。 安全域改造的方案示意图如下所示： 图3：安全域改造方案示意图 新增设备 序号 新增设备 数量 功能描述 H3c防火墙 2 隔离BOSS业务系统的安全威胁 安氏IDS 2 监控BOSS系统、网管系统的流量 新增爱立信交换机 2 各网管系统统一接入 新增爱立信交换机 2 BOSS系统统一接入 割接前的准备 布线实施 牵涉到较多线缆的迁移以及新线缆的铺设工作。此项工作预计于6月13日前完成。 新增设备通电测试上架 6月13日前，将组织新增防火墙,IDS等设备集成厂商进行设备的通电测试，部署上架。 新增设备策略规划 新增设备的策略规划，以新增的H3C防火墙和IDS为主，安全设备仅部署基本运行策略。在割接完成后，再根据业务访问和安全管理的需求，逐步完善。 H3C防火墙 根据现有的网络结构状况，为保证业务系统割接的平滑过渡，暂时将两台H3C作为透明模式使用。其中，在一台H3C防火墙上确定四个接口，接入对应的接口上，分别为4003两个接口，新增交换机1，新增交换机2。在另一台H3C防火墙上确定四个接口，接入对应的接口上，分别为4006两个接口，新增交换机1，新增交换机2。割接成功以后访问策略根据业务访问和安全管理的需求，逐步完善。 安氏IDS 通过端口镜像，监听数据流量，进行入侵检测和攻击告警。允许IDS管理服务器访问公网指定升级路径，进行IDS特征库的自