長江南京航道局網(wǎng)絡(luò)安全設(shè)備升級(jí)改造實(shí)施方案_第1頁
長江南京航道局網(wǎng)絡(luò)安全設(shè)備升級(jí)改造實(shí)施方案_第2頁
長江南京航道局網(wǎng)絡(luò)安全設(shè)備升級(jí)改造實(shí)施方案_第3頁
長江南京航道局網(wǎng)絡(luò)安全設(shè)備升級(jí)改造實(shí)施方案_第4頁
長江南京航道局網(wǎng)絡(luò)安全設(shè)備升級(jí)改造實(shí)施方案_第5頁
已閱讀5頁,還剩3頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

長江南京航道局網(wǎng)絡(luò)安全設(shè)升級(jí)改造實(shí)施方案一、網(wǎng)絡(luò)概述1.1網(wǎng)絡(luò)環(huán)境描述南京航道局網(wǎng)絡(luò)如圖所示這是一種星型網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖在我們所看到的這張航道局的網(wǎng)絡(luò)拓?fù)鋱D上,左下角這塊就是以華為AR46-80為核心的內(nèi)網(wǎng);右上角這塊就是以FG300A.明星辰IPS、綠盟等安全設(shè)備為主的外網(wǎng);右下角這塊主要針對(duì)掛在支撐平臺(tái)交換6506R下的WEB網(wǎng)站服務(wù)器.當(dāng)前長江南京航道局網(wǎng)絡(luò)拓?fù)鋱D:1。2網(wǎng)絡(luò)設(shè)備及P描述? 外網(wǎng)路由器AR46-801)管理地址:172。18。194.1? 外網(wǎng)防火墻FG300A2)工作模式:透明模式.3)管理地址:172.18。194.253? 啟明星辰IPS1)工作模式:單對(duì)串接模式相當(dāng)于透明模式。? 綠盟內(nèi)容安全管理1)工作模式:直通模式相當(dāng)于透明模式.2)管理地址:172。18.194。252? 內(nèi)網(wǎng)防火墻FG300A1)工作模式:NAT模式。2)管理地址:172.18.193。253? 內(nèi)網(wǎng)核心交換機(jī)6506R1)管理地址:172。18.192.254? 支撐平臺(tái)交換機(jī)6506R1)管理地址:172.18.193。254? WEB網(wǎng)站服務(wù)器2)網(wǎng)站地址:172.18.193.1931.3網(wǎng)絡(luò)設(shè)備改造前接口圖二、網(wǎng)絡(luò)安全實(shí)施方案。1網(wǎng)絡(luò)安全實(shí)施前期準(zhǔn)備為AR46-80飛塔FG300A.侵防御IPSNDP100和內(nèi)容安全管理綠盟ICEYE604C,在本次實(shí)施中我們需要對(duì)入侵防御IPS進(jìn)行網(wǎng)絡(luò)位置遷移,因此我們需要做好關(guān)設(shè)備配置備份工作當(dāng)因網(wǎng)絡(luò)遷移導(dǎo)致網(wǎng)絡(luò)故障后第一時(shí)間還原并恢復(fù)網(wǎng)絡(luò)的正常。關(guān)于網(wǎng)絡(luò)設(shè)備配置備份的重要性,這里不作過多描述,毋庸置疑的是一旦設(shè)備因配置丟失導(dǎo)致網(wǎng)絡(luò)中斷后,那么恢復(fù)起來需要消耗大量的時(shí)間,對(duì)因長時(shí)間網(wǎng)絡(luò)中斷而造成的損失是無法估計(jì)的,它的重要性也就不言而喻了。在實(shí)際網(wǎng)絡(luò)設(shè)備遷移中,如果排除設(shè)備之間線纜連接距離的問題,甚至我們的實(shí)施工作都不需要中斷設(shè)備電源,這樣也保證了對(duì)網(wǎng)絡(luò)的影響降到了最低.針對(duì)網(wǎng)絡(luò)設(shè)備的配置備份,這里不再區(qū)分外網(wǎng)與內(nèi)網(wǎng),因?yàn)閷?shí)際上我們實(shí)施時(shí)除了不會(huì)對(duì)內(nèi)網(wǎng)造成影響外,其它外網(wǎng)訪問及WEB網(wǎng)站服務(wù)器都會(huì)有相應(yīng)的影響,因此我們會(huì)對(duì)網(wǎng)絡(luò)中所有主要網(wǎng)絡(luò)設(shè)備進(jìn)行配置備份,主要設(shè)備如下:外網(wǎng)路由器華為AR46—80、外網(wǎng)防火墻FG300A、綠盟內(nèi)容安全管理、內(nèi)網(wǎng)防火墻FG300網(wǎng)核心交換機(jī)6506R、支撐平臺(tái)交換機(jī)6506R。2。2網(wǎng)絡(luò)安全實(shí)施停機(jī)時(shí)間關(guān)于在網(wǎng)絡(luò)安全實(shí)施過程中的網(wǎng)絡(luò)中斷時(shí)間我們分為外網(wǎng)停機(jī)時(shí)間與網(wǎng)站服務(wù)器停機(jī)時(shí)間,理論上兩者是獨(dú)立開來不受影響的至于內(nèi)網(wǎng)數(shù)據(jù),這里不單獨(dú)分離開來的原因是內(nèi)網(wǎng)的獨(dú)立性較強(qiáng),當(dāng)外網(wǎng)沒有需求訪問內(nèi)網(wǎng)數(shù)據(jù)時(shí),內(nèi)網(wǎng)本身與外網(wǎng)就是斷開的。。1外網(wǎng)停機(jī)時(shí)間在對(duì)外網(wǎng)進(jìn)行實(shí)施時(shí)我們不需要移動(dòng)設(shè)備物理位置因?yàn)楸旧砭驮谝粋€(gè)機(jī)柜,因此我們選擇合適的線纜進(jìn)行連接即可.預(yù)計(jì)外網(wǎng)停機(jī)時(shí)間在10分鐘內(nèi)。2..WEB網(wǎng)站服務(wù)器停機(jī)時(shí)間在完成外網(wǎng)測試后,需要考慮將入侵防御IPS調(diào)整到外網(wǎng)路由器AR46-80和內(nèi)網(wǎng)防火墻G300A之間此時(shí)需要中斷WEB網(wǎng)站服務(wù)器并且如果當(dāng)前外網(wǎng)對(duì)內(nèi)網(wǎng)數(shù)據(jù)有訪問需求的話也要暫時(shí)中斷原啟明星辰IPS保留當(dāng)前接入模式接入外網(wǎng)路由器和內(nèi)網(wǎng)防火墻之間。預(yù)計(jì)WEB網(wǎng)站服務(wù)器停機(jī)時(shí)間在10分鐘.2。3網(wǎng)絡(luò)安全實(shí)施應(yīng)急演練2.1網(wǎng)絡(luò)安全實(shí)施演練目的減少發(fā)生網(wǎng)絡(luò)事故時(shí)南京航道局網(wǎng)絡(luò)修復(fù)時(shí)間減少因設(shè)備遷移而導(dǎo)致的網(wǎng)絡(luò)故障;在最短的時(shí)間恢復(fù)設(shè)備正常運(yùn)行將損失降低到最低。。3.2網(wǎng)絡(luò)安全實(shí)施演練范圍此次演練對(duì)象為以啟明星辰入侵防御IPSNDP100安全設(shè)備為主主要涉及網(wǎng)絡(luò)設(shè)備有外網(wǎng)路由器AR46-80外網(wǎng)防火墻FG300A綠盟內(nèi)容安全管理內(nèi)網(wǎng)防火墻FG00A.網(wǎng)核心交換機(jī) 6506R和支撐平臺(tái)交換6506R。。3.3網(wǎng)絡(luò)安全實(shí)施演練內(nèi)容本次網(wǎng)絡(luò)安全實(shí)施需要涉及網(wǎng)絡(luò)設(shè)備節(jié)點(diǎn)比較多但是除了需要網(wǎng)絡(luò)遷移啟明星辰IPS外其它設(shè)備的物理與邏輯位置都不用改變因此其它設(shè)備除了正常的配置做好備份外不會(huì)對(duì)網(wǎng)絡(luò)造成影響這里我們需要對(duì)改變網(wǎng)絡(luò)位置的啟明星辰IPS進(jìn)行網(wǎng)絡(luò)安全實(shí)施演練即可,這么操作的目的在于當(dāng)遷移啟明星辰IPS作。1)中斷啟明星辰IPS兩個(gè)通信端口后,將對(duì)應(yīng)的外網(wǎng)防火墻與綠盟內(nèi)容安全管理設(shè)備通過線纜連接在一起,并測試相關(guān)業(yè)務(wù),確保外網(wǎng)恢復(fù)正常;如果外辰IPS復(fù)正常。2)中斷WEB服務(wù)器網(wǎng)絡(luò),斷掉外網(wǎng)路由器AR46-80和內(nèi)網(wǎng)防火墻之間的通信端,并接入啟明星辰IPS如果WEB網(wǎng)站服務(wù)器可以正常訪問并且當(dāng)把內(nèi)網(wǎng)核心交換機(jī)與內(nèi)網(wǎng)防火墻連接時(shí),可以通過外網(wǎng)訪問內(nèi)網(wǎng)數(shù)據(jù),則網(wǎng)絡(luò)正常;如果遷移進(jìn)IPS后WEB服務(wù)器不可以被訪問外網(wǎng)也不可以正常訪問內(nèi)網(wǎng)數(shù)據(jù),則撤掉IPS,恢復(fù)原本網(wǎng)絡(luò)并測試業(yè)務(wù),確保網(wǎng)絡(luò)恢復(fù)正常。4網(wǎng)絡(luò)安全實(shí)施過程1網(wǎng)絡(luò)安全實(shí)施端口拓?fù)鋱D。。1當(dāng)前網(wǎng)絡(luò)安全實(shí)施端口拓?fù)鋱D。.。2改造后網(wǎng)絡(luò)安全實(shí)施端口拓?fù)鋱D.4.2網(wǎng)絡(luò)安全實(shí)施過程.21外網(wǎng)網(wǎng)絡(luò)安全實(shí)施過程外網(wǎng)網(wǎng)絡(luò)安全的實(shí)施主要以遷移啟明星辰入侵防御IPSNDP100為主,當(dāng)IS通過Port1與外網(wǎng)防火墻的Port6口連接,Port2與綠盟內(nèi)容安全管理的Eth1口連接,網(wǎng)絡(luò)改動(dòng)后,外網(wǎng)防火墻的Port6口與綠盟內(nèi)容安全管理的Eth1口連接。操作步驟如下:1)遷移前先測試相關(guān)業(yè)務(wù),確保當(dāng)前外網(wǎng)可以正常訪問。2)拔出IPS、外網(wǎng)防火墻和綠盟內(nèi)容安全管理設(shè)備三者之間對(duì)應(yīng)接口的信線纜。3)將外網(wǎng)防火墻的Port6口與綠盟內(nèi)容安全管理設(shè)備的Eth1口通過線連接。4)測試相關(guān)業(yè)務(wù),確保外網(wǎng)可以正常訪問.242EB服務(wù)器安全實(shí)施過程WEB服務(wù)器安全的實(shí)施主要也是以遷移啟明星辰入侵防御IPSNDP100為,當(dāng)前內(nèi)網(wǎng)防火墻的Port6口與外網(wǎng)路由器AR46-80的GE0/0/1口連接網(wǎng)絡(luò)改動(dòng)后內(nèi)網(wǎng)防火墻的Port6口與啟明星辰入侵防御IPSNDP100的Prt2口連接啟明星辰入侵防御IPSNDP100的Port1口與外網(wǎng)路由器AR6-80的GE0/0/1口連接。操作步驟如下:1)遷移前先測試相關(guān)業(yè)務(wù),確保當(dāng)前WEB服務(wù)器可以被正常訪問。2)拔出內(nèi)網(wǎng)防火墻FG300A和外網(wǎng)路由器A

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論