- 1、本文档共13页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
安全域改造项目网络割接方案
****安全域改造项目
(**) 网络割接方案
*******有限公司
2008年7月
目 录
1 概述 3
1.1 项目内容 3
1.2 项目目标 3
1.3 实施流程 4
1.4 实施风险控制 4
1.5 实施计划 5
1.6 参与人员 5
2 安全域改造方案 6
2.1 网络现状 6
2.2 安全域改造方案 6
2.3 新增设备 7
3 割接前的准备 9
3.1 布线实施 9
3.2 新增设备通电测试上架 9
3.3 新增设备策略规划 9
4 割接步骤 9
1、 BOSS业务系统割接 9
4.1 步骤一:爱立信交换机割接 10
4.2 步骤二:BOSS业务系统割接 10
4.3 步骤三:IDS割接 12
5 割接后跟踪总结 14
5.1 割接后跟踪 14
5.2 割接测试报告 14
5.3 总结 14
概述
项目内容
安全域改造项目割接实施,涉及业务系统主要内容包括:
新增H3C防火墙到BOSS系统的接入、对这个区域进行重点防护
新增2台三层交换机做成冗余配置,将各网管系统统一接入
新增2台三层交换机,将BOSS系统统一接入
新增IDS监控BOSS系统、网管系统流量,对可能发生的攻击行为进行检测
项目目标
通过本次安全域改造项目,提高核心网络性能,提升网络可用性和扩展性,以适应业务系统的发展需求。
同时,通过安全域的规划调整、新增安全设备的部署,完善网络的安全防护措施和手段,全面提升网络的整体安全防护能力。
实施流程
图1:实施流程图
实施风险控制
割接方案的设计,遵从平滑过渡,最小影响的原则。在网络核心层、汇聚层进行设备部署调整。割接实施选择在业务量少的时间段,分步骤进行,做好回退措施,减少业务中断次数,尽量降低对业务系统的影响。
本次割接任务可能造成的影响为:
电子运维系统、计费采集系统和其他网管系统的连接中断一次,每次一小时以内
BOSS业务系统的访问受上述相同影响。
本次割接任务分两个步骤实施,每个步骤出现问题时,回退到上个步骤的连接方式即可恢复正常,每个部分的割接与回退比较平滑。
实施计划
割接实施时间预计为:
参与人员
序号 所属单位 姓名 手机号码 E-Mail 职责
安全域改造方案
网络现状
本次安全域改造项目涉及的网络部分,拓扑现状如下图所示:
图2:网络拓扑现状
安全域改造方案
安全域改造的主要内容包括:
使用两台新增H3C防火墙,对BOSS业务系统进行安全隔离。大幅提高BOSS业务系统的安全性,实施有效的网络访问控制措施,隔离安全威胁。
新增2台三层交换机,将各BOSS系统统一接入到这2台交换机上。决定采用原有链路。这样需要**4003和4006的位置,可能会造成BOSS业务系统的中断,需省公司进行审批。
新增2台三层交换机做成冗余配置,将各网管系统统一接入到这2台交换机上。这样网管系统接口能形成独立管理,也方便日后进行拓展和维护。同时也实现了网管系统接口链路的冗余和备份。****方考虑到网管系统重新布线的工程量比较大,决定采用原有线路。这样需要**4003和4006的位置,可能会造成网管系统业务的中断,需省公司进行审批。
新增部署网络IDS,完善网络的安全防护手段,全面提升网络的整体安全防护能力。
安全域改造的方案示意图如下所示:
图3:安全域改造方案示意图
新增设备
序号 新增设备 数量 功能描述 H3c防火墙 2 隔离BOSS业务系统的安全威胁 安氏IDS 2 监控BOSS系统、网管系统的流量 新增爱立信交换机 2 各网管系统统一接入 新增爱立信交换机 2 BOSS系统统一接入
割接前的准备
布线实施
牵涉到较多线缆的迁移以及新线缆的铺设工作。此项工作预计于6月13日前完成。
新增设备通电测试上架
6月13日前,将组织新增防火墙,IDS等设备集成厂商进行设备的通电测试,部署上架。
新增设备策略规划
新增设备的策略规划,以新增的H3C防火墙和IDS为主,安全设备仅部署基本运行策略。在割接完成后,再根据业务访问和安全管理的需求,逐步完善。
H3C防火墙
根据现有的网络结构状况,为保证业务系统割接的平滑过渡,暂时将两台H3C作为透明模式使用。其中,在一台H3C防火墙上确定四个接口,接入对应的接口上,分别为4003两个接口,新增交换机1,新增交换机2。在另一台H3C防火墙上确定四个接口,接入对应的接口上,分别为4006两个接口,新增交换机1,新增交换机2。割接成功以后访问策略根据业务访问和安全管理的需求,逐步完善。
安氏IDS
通过端口镜像,监听数据流量,进行入侵检测和攻击告警。允许IDS管理服务器访问公网指定升级路径,进行IDS特征库的自
您可能关注的文档
- 如何在路由器配置访问控制列表ACL.ppt
- 如何制定有效的媒介计划。很新很全面.ppt
- 如何召开有效检讨会议.ppt
- 如何塑造课堂气氛.ppt
- 如何塑造民营企业的企业文化 企业文化课程论文 人力资源管理专业课程论文.doc
- 如何孕育健康的孩子.doc
- 如何在PC上安装Mac OS X.doc
- 如何定位天馈接反.doc
- 如何店面选址.doc
- 如何培育新人-保险营销新人培训教育辅导提高保险公司早会晨会夕会培训课件专题.ppt
- 第十一章 电流和电路专题特训二 实物图与电路图的互画 教学设计 2024-2025学年鲁科版物理九年级上册.docx
- 人教版七年级上册信息技术6.3加工音频素材 教学设计.docx
- 5.1自然地理环境的整体性 说课教案 (1).docx
- 4.1 夯实法治基础 教学设计-2023-2024学年统编版九年级道德与法治上册.docx
- 3.1 光的色彩 颜色 电子教案 2023-2024学年苏科版为了八年级上学期.docx
- 小学体育与健康 四年级下册健康教育 教案.docx
- 2024-2025学年初中数学九年级下册北京课改版(2024)教学设计合集.docx
- 2024-2025学年初中科学七年级下册浙教版(2024)教学设计合集.docx
- 2024-2025学年小学信息技术(信息科技)六年级下册浙摄影版(2013)教学设计合集.docx
- 2024-2025学年小学美术二年级下册人美版(常锐伦、欧京海)教学设计合集.docx
最近下载
- 把握高考,精致备考——2024届语文备考策略 课件.pptx VIP
- 新生儿肺透明膜病个案.pptx VIP
- 2024年国家电网招聘之财务会计类题库附参考答案(轻巧夺冠).docx
- 2023-2024学年牛津上海版英语八年级上学期单元测试提升卷 Unit 3Trouble含详解.docx VIP
- 最新老年病的临床特征及其诊治原则PPT课件.ppt
- 2023-2024学年牛津上海版英语八年级上学期单元测试基础卷 Unit 3 Trouble含详解.docx VIP
- 2024年高考英语3500词汇朗读加例句.pdf
- 老年病的临床特征及其诊治原则课件.pptx VIP
- “双带头人”教师党支部书记工作室申报书.docx VIP
- BIM技术与应用-Revit 2023建筑与结构建模-课件全套-第1--17章BIM概述-综合案例.pptx
文档评论(0)