欢迎来到天天文库
浏览记录
ID:10974218
大小:1.42 MB
页数:13页
时间:2018-07-09
《安全域改造项目网络割接方案》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、****安全域改造项目(**)网络割接方案****安全域改造项目(**)网络割接方案*******有限公司2008年7月*******技术有限公司第13页共13页****安全域改造项目(**)网络割接方案目录1概述31.1项目内容31.2项目目标31.3实施流程41.4实施风险控制41.5实施计划51.6参与人员52安全域改造方案62.1网络现状62.2安全域改造方案62.3新增设备73割接前的准备93.1布线实施93.2新增设备通电测试上架93.3新增设备策略规划94割接步骤91、BOSS业务系统割接94.1步骤一:
2、爱立信交换机割接104.2步骤二:BOSS业务系统割接104.3步骤三:IDS割接125割接后跟踪总结145.1割接后跟踪145.2割接测试报告145.3总结141*******技术有限公司第13页共13页****安全域改造项目(**)网络割接方案1概述1.1项目内容安全域改造项目割接实施,涉及业务系统主要内容包括:n新增H3C防火墙到BOSS系统的接入、对这个区域进行重点防护n新增2台三层交换机做成冗余配置,将各网管系统统一接入n新增2台三层交换机,将BOSS系统统一接入n新增IDS监控BOSS系统、网管系统流量,对
3、可能发生的攻击行为进行检测1.2项目目标通过本次安全域改造项目,提高核心网络性能,提升网络可用性和扩展性,以适应业务系统的发展需求。同时,通过安全域的规划调整、新增安全设备的部署,完善网络的安全防护措施和手段,全面提升网络的整体安全防护能力。*******技术有限公司第13页共13页****安全域改造项目(**)网络割接方案1.1实施流程图1:实施流程图1.2实施风险控制割接方案的设计,遵从平滑过渡,最小影响的原则。在网络核心层、汇聚层进行设备部署调整。割接实施选择在业务量少的时间段,分步骤进行,做好回退措施,减少业务
4、中断次数,尽量降低对业务系统的影响。*******技术有限公司第13页共13页****安全域改造项目(**)网络割接方案本次割接任务可能造成的影响为:n电子运维系统、计费采集系统和其他网管系统的连接中断一次,每次一小时以内nBOSS业务系统的访问受上述相同影响。本次割接任务分两个步骤实施,每个步骤出现问题时,回退到上个步骤的连接方式即可恢复正常,每个部分的割接与回退比较平滑。1.1实施计划割接实施时间预计为:1.2参与人员序号所属单位姓名手机号码E-Mail职责12345678*******技术有限公司第13页共13页
5、****安全域改造项目(**)网络割接方案1安全域改造方案1.1网络现状本次安全域改造项目涉及的网络部分,拓扑现状如下图所示:图2:网络拓扑现状1.2安全域改造方案安全域改造的主要内容包括:1、使用两台新增H3C防火墙,对BOSS业务系统进行安全隔离。大幅提高BOSS业务系统的安全性,实施有效的网络访问控制措施,隔离安全威胁。2、新增2台三层交换机,将各BOSS系统统一接入到这2台交换机上。决定采用原有链路。这样需要**4003和4006的位置,可能会造成BOSS业务系统的中断,需省公司进行审批。3、新增2台三层交换机
6、做成冗余配置,将各网管系统统一接入到这2台交换机上。这样网管系统接口能形成独立管理,也方便日后*******技术有限公司第13页共13页****安全域改造项目(**)网络割接方案进行拓展和维护。同时也实现了网管系统接口链路的冗余和备份。****方考虑到网管系统重新布线的工程量比较大,决定采用原有线路。这样需要**4003和4006的位置,可能会造成网管系统业务的中断,需省公司进行审批。1、新增部署网络IDS,完善网络的安全防护手段,全面提升网络的整体安全防护能力。安全域改造的方案示意图如下所示:图3:安全域改造方案示意
7、图1.1新增设备序号新增设备数量功能描述1H3c防火墙2隔离BOSS业务系统的安全威胁2安氏IDS2监控BOSS系统、网管系统的流量3新增爱立信交换机2各网管系统统一接入4新增爱立信交换机2BOSS系统统一接入2*******技术有限公司第13页共13页****安全域改造项目(**)网络割接方案1割接前的准备1.1布线实施牵涉到较多线缆的迁移以及新线缆的铺设工作。此项工作预计于6月13日前完成。1.2新增设备通电测试上架6月13日前,将组织新增防火墙,IDS等设备集成厂商进行设备的通电测试,部署上架。1.3新增设备策略
8、规划新增设备的策略规划,以新增的H3C防火墙和IDS为主,安全设备仅部署基本运行策略。在割接完成后,再根据业务访问和安全管理的需求,逐步完善。1、H3C防火墙根据现有的网络结构状况,为保证业务系统割接的平滑过渡,暂时将两台H3C作为透明模式使用。其中,在一台H3C防火墙上确定四个接口,接入对应的接口上,分别为4003两个接口,新增
此文档下载收益归作者所有