趋势科技DeepEdge实施网络交割方案.docVIP

文档信息文档名称 保密级别 文档版本编号 人 日期 复审人 复审日期 人 日期 修改描述 修改人 2014-5-10 C 文档建立 * 修改类型分为 C - CREATED M - MODIFIED D - DELETED 文档信息 文档名称 网络割接方案 保密级别 公开 文档版本编号 V1.0 拟定人 拟定日期 复审人 复审日期 批准人 批准日期 更改记录 日期 修改章节 类型* 修改描述 修改人 2014-5-10 C 文档建立 * 修改类型分为 C - CREATED M - MODIFIED D - DELETED 目 录 1 概述 3 2 割接总体规划 3 2.1 目标 3 2.2 总体规划 3 2.2.1 前期调研 3 2.2.2 安全域划分前期调整 4 2.2.3 物理线路准备 4 2.2.4 安全域划分 4 2.2.5 安全防护策略部署 4 2.3 实施原则 4 2.4 设备规划 5 2.4.1 设备名称规划说明 5 2.4.2 管理地址规划说明 5 2.4.3 互联地址规划说明 6 2.5 实施步骤 6 3 割接计划 6 4 割接详细步骤 7 4.1 对外服务区和安全互联域割接 7 4.1.1 实施目标 7 4.1.2 实施规划 8 4.1.3 实施风险 8 4.1.4 实施条件 9 4.1.5 实施前准备 9 4.1.6 实施前的预配置 9 4.1.7 实施步骤 10 5 测试及验证 10 6 回退 11 概述 XX公司IT业务覆盖信息系统开发、系统运维和信息服务。业务系统的开发、测试以及日常运维都实行了外包。 XX公司现有的网络系统为二级构架，包括总部、31个办事处…… 其拓扑结构如下图所示： 割接总体规划 目标 根据XX公司的情况，进行如下的安全域规划。 域是本次安全域划分的第一层结构，划分的原则是业务行为。XX安全域总体设计计划划分为4个域，分别是安全服务域、安全管理支撑域、安全接入域和安全互联域。 子域是本次安全域划分的第二层结构，划分的原则是威胁的等级和类型，设计中拟细化为7个区，包括…… 单元是本次安全域划分的第三层结构，…… 最终网络拓扑图如下： 总体规划 XX公司信息系统网络割接总体规划如下： 前期调研 应用服务器调研 机房综合布线信息调研 应用系统访问控制策略调研 安全域划分前期调整 根据安全域划分的原则对应用系统进行前期调整 根据安全域划分的原则对网络设备配置进行前期调整 物理线路准备 根据项目需求对光纤进行准备 根据项目需求对网线进行准备 安全域划分 对外服务区和安全互联域割接 核心/非核心业务服务区割接 开发/测试服务区割接 安全管理服务、终端区割接 总部、办事处办公接入区割接 安全防护策略部署 对外服务区和安全互联域防护策略部署 核心/非核心业务服务区防护策略部署 开发/测试服务区防护策略部署 安全管理服务、终端区防护策略部署 总部、办事处办公接入区防护策略部署 实施原则 相关各方明确自己的任务和相应的责任，进行人员分工； 做好必要的切换准备工作； 所有新增设备均为离线配置，割接时以做测试工作为主； 预估切换时间； 按时间顺序，制定详细的实施步骤和相应的检查程序； 预估切换风险和后果，作好备份，并准备回退计划； 和各业务部门充分沟通。 设备规划 设备名称规划说明 设备命名采用区域+设备类型+型号+数字，例如安全互联区防火墙“HF-FW5144-1” 设备编号 设备名称 设备品牌型号 用途 占用空间 （机柜号/U） SW-1 DY-SW S3100-1 华为LS-S3100-16C-SI-AC 对外服务区交换机 A8/1U SW-7 DY-SW S3100-2 华为LS-S3100-16C-SI-AC 对外服务区交换机 A8/1U C2900 (原有) DY-SW C2900-3 CISCO 2924 对外服务区交换机 A8/1U …… 管理地址规划说明 设备管理地址用于管理所有的设备，方便维护人员登陆察看设备运行状态等信息。 设备编号 管理IP地址/掩码 Vlan或是网关信息 对外服务区 SW-1 安全互联域 FW-1 Cisco7507 核心/非核心业务服务区 SW-2 互联地址规划说明 设备互联地址用于三层设备之间连接通讯使用的地址，不同区域的互连地址段应当不一样便于区分。具体参加Vlan和IP规划表。 实施步骤 根据网络割接的总体规划，具体实施分以下几个