上网行为管理部署技术方案.docxVIP

上网行为管理部署技术方案

1、方案设计背景

目前XX集团信息事业部为了进一步提高企业的信息安全等级,满足政府安全部门对企业的上网行为管理规定，希望可以对公司内部的员工的互联网行为进行合理的管控，在出现网络问题时能够快速定位问题的来源，并能够提供丰富的行为纪录存档（6个月）便于后期的行为审计，同时还需要能够给企业的管理部门提供简明，种类丰富的报表从而及时的进行各项管理制度上的调整。

2、网络现状拓扑

目前XX集团的网络采用了多重冗余技术，并配置了大量的安全设备。已经可以十分有效的抵御基于客体应用的威胁，具体拓扑如下：

Int.rwmrl

CorvL3

3、部署上网行为管理产品后的网络拓扑

AccessL2

AccessL2

LinkIB

1stTireEV

DKZL2

2ndTirehl

Core13

4、网络可用性，可靠性分析

以下情况均为小概率事件，但为了能够确保客户认知网络的可靠性，在此仍需要说明

XX设备提供交换式Bypass功能，当网络中出现超大流量攻击时首先保障用户网络通畅，因此会自动进行报文bypass,并提供告警，指导客户定位问题来源。

5、割接方案说明

原有防火墙和DMZ交换机之间采用多模千兆光口进行互联，割接期间为了保障对原有线路改动最小，因此采用如下方式：

步骤一：将XXICG设备上架固定，上电，检查必要配置。

步骤二：将1stTire的防火墙的光纤拔出，光纤接口保留在原有接口附近不移动

步骤三：防火墙的光口和XXICG外出接口使用XX提供的光纤进行互联。

步骤四：DMZ交换机的光纤拔出，光纤接口保留在原有接口附近不移动。

步骤五：将DMZ交换机光口和XXICG光口使用XX提供的光纤进行互联。

步骤六：检查网络路由走向是否按照原有的主干线路转发。

步骤七：测试内部上网的稳定性。

6、设备IP、路由说明，地址分配说明

网管接口地址设置：ICG自身的网管端口设置为用户提供的一个普通客户的网段的地址。

ICG工作端口地址设置：由于ICG在需要审计的信息上要求实现快速流过滤，因此建议用户分配给ICG一个合法地址。如实在无合法地址可提供可采用其他变通方法实现，不会影响ICG的功能。

默认路由添加：将ICG的默认路由配置成xx骨干网出口网络的负载均衡设备地址

内网段路由添加：添加XX的内部子网的聚合网段到ICG的静态路由表中，以协助实现快速流过率。

7、设备可用性测试

针对XX集团的现有网络应用进行逐一的测试

HTTP的访问发帖测试

FTP,telnet常用应用。

IM即时通信测试。

Email发送测试。

xx集团特有互联网应用测试。

8、风险分析及回退

风险可能性：

假如部署设备后测试案例无法正常使用，经过排查无法现场解决，可进行变更回退。回退方法为取下ICG的光纤线路，将原有的放在一边的防火墙和交换机的光纤插回即可。

9、变更实施人员工作分工

XX集团信息部门网络工程师提供XX工程师所需要的信息，由XX工程师完成ICG的配置。

线路链接可由XX工程师在xx集团信息主管部门的工程师配合

下完成割接。

测试项目由XX集团提供在网的电脑，或者允许XX工程师的笔记本接入测试网段。

10、使用期间的维护

XX公司提供7x24小时热线，如果测试期间有任何不可远程指导解决的问题，XX工程师会第一事件感到现场协助解决。确保xx集团部署的顺利进行。

11、部署完毕后守局并制作使用报告

部署结束后，XX公司会和XX集团的信息主管部门一起确定报告

主要涵盖内容，并由XX工程师制作监控报告，并将监控报告制作方法和xx集团的工程师进行沟通，力求报告能够给xx集团提供更多的可用数据。