長江南京航道局網絡安全設備升級改造實施方案_第1頁
長江南京航道局網絡安全設備升級改造實施方案_第2頁
長江南京航道局網絡安全設備升級改造實施方案_第3頁
長江南京航道局網絡安全設備升級改造實施方案_第4頁
長江南京航道局網絡安全設備升級改造實施方案_第5頁
已閱讀5頁,還剩3頁未讀, 繼續免費閱讀

付費下載

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

長江南京航道局網絡安全設升級改造實施方案一、網絡概述1.1網絡環境描述南京航道局網絡如圖所示這是一種星型網絡拓撲結構圖在我們所看到的這張航道局的網絡拓撲圖上,左下角這塊就是以華為AR46-80為核心的內網;右上角這塊就是以FG300A.明星辰IPS、綠盟等安全設備為主的外網;右下角這塊主要針對掛在支撐平臺交換6506R下的WEB網站服務器.當前長江南京航道局網絡拓撲圖:1。2網絡設備及P描述? 外網路由器AR46-801)管理地址:172。18。194.1? 外網防火墻FG300A2)工作模式:透明模式.3)管理地址:172.18。194.253? 啟明星辰IPS1)工作模式:單對串接模式相當于透明模式。? 綠盟內容安全管理1)工作模式:直通模式相當于透明模式.2)管理地址:172。18.194。252? 內網防火墻FG300A1)工作模式:NAT模式。2)管理地址:172.18.193。253? 內網核心交換機6506R1)管理地址:172。18.192.254? 支撐平臺交換機6506R1)管理地址:172.18.193。254? WEB網站服務器2)網站地址:172.18.193.1931.3網絡設備改造前接口圖二、網絡安全實施方案。1網絡安全實施前期準備為AR46-80飛塔FG300A.侵防御IPSNDP100和內容安全管理綠盟ICEYE604C,在本次實施中我們需要對入侵防御IPS進行網絡位置遷移,因此我們需要做好關設備配置備份工作當因網絡遷移導致網絡故障后第一時間還原并恢復網絡的正常。關于網絡設備配置備份的重要性,這里不作過多描述,毋庸置疑的是一旦設備因配置丟失導致網絡中斷后,那么恢復起來需要消耗大量的時間,對因長時間網絡中斷而造成的損失是無法估計的,它的重要性也就不言而喻了。在實際網絡設備遷移中,如果排除設備之間線纜連接距離的問題,甚至我們的實施工作都不需要中斷設備電源,這樣也保證了對網絡的影響降到了最低.針對網絡設備的配置備份,這里不再區分外網與內網,因為實際上我們實施時除了不會對內網造成影響外,其它外網訪問及WEB網站服務器都會有相應的影響,因此我們會對網絡中所有主要網絡設備進行配置備份,主要設備如下:外網路由器華為AR46—80、外網防火墻FG300A、綠盟內容安全管理、內網防火墻FG300網核心交換機6506R、支撐平臺交換機6506R。2。2網絡安全實施停機時間關于在網絡安全實施過程中的網絡中斷時間我們分為外網停機時間與網站服務器停機時間,理論上兩者是獨立開來不受影響的至于內網數據,這里不單獨分離開來的原因是內網的獨立性較強,當外網沒有需求訪問內網數據時,內網本身與外網就是斷開的。。1外網停機時間在對外網進行實施時我們不需要移動設備物理位置因為本身就在一個機柜,因此我們選擇合適的線纜進行連接即可.預計外網停機時間在10分鐘內。2..WEB網站服務器停機時間在完成外網測試后,需要考慮將入侵防御IPS調整到外網路由器AR46-80和內網防火墻G300A之間此時需要中斷WEB網站服務器并且如果當前外網對內網數據有訪問需求的話也要暫時中斷原啟明星辰IPS保留當前接入模式接入外網路由器和內網防火墻之間。預計WEB網站服務器停機時間在10分鐘.2。3網絡安全實施應急演練2.1網絡安全實施演練目的減少發生網絡事故時南京航道局網絡修復時間減少因設備遷移而導致的網絡故障;在最短的時間恢復設備正常運行將損失降低到最低。。3.2網絡安全實施演練范圍此次演練對象為以啟明星辰入侵防御IPSNDP100安全設備為主主要涉及網絡設備有外網路由器AR46-80外網防火墻FG300A綠盟內容安全管理內網防火墻FG00A.網核心交換機 6506R和支撐平臺交換6506R。。3.3網絡安全實施演練內容本次網絡安全實施需要涉及網絡設備節點比較多但是除了需要網絡遷移啟明星辰IPS外其它設備的物理與邏輯位置都不用改變因此其它設備除了正常的配置做好備份外不會對網絡造成影響這里我們需要對改變網絡位置的啟明星辰IPS進行網絡安全實施演練即可,這么操作的目的在于當遷移啟明星辰IPS作。1)中斷啟明星辰IPS兩個通信端口后,將對應的外網防火墻與綠盟內容安全管理設備通過線纜連接在一起,并測試相關業務,確保外網恢復正常;如果外辰IPS復正常。2)中斷WEB服務器網絡,斷掉外網路由器AR46-80和內網防火墻之間的通信端,并接入啟明星辰IPS如果WEB網站服務器可以正常訪問并且當把內網核心交換機與內網防火墻連接時,可以通過外網訪問內網數據,則網絡正常;如果遷移進IPS后WEB服務器不可以被訪問外網也不可以正常訪問內網數據,則撤掉IPS,恢復原本網絡并測試業務,確保網絡恢復正常。4網絡安全實施過程1網絡安全實施端口拓撲圖。。1當前網絡安全實施端口拓撲圖。.。2改造后網絡安全實施端口拓撲圖.4.2網絡安全實施過程.21外網網絡安全實施過程外網網絡安全的實施主要以遷移啟明星辰入侵防御IPSNDP100為主,當IS通過Port1與外網防火墻的Port6口連接,Port2與綠盟內容安全管理的Eth1口連接,網絡改動后,外網防火墻的Port6口與綠盟內容安全管理的Eth1口連接。操作步驟如下:1)遷移前先測試相關業務,確保當前外網可以正常訪問。2)拔出IPS、外網防火墻和綠盟內容安全管理設備三者之間對應接口的信線纜。3)將外網防火墻的Port6口與綠盟內容安全管理設備的Eth1口通過線連接。4)測試相關業務,確保外網可以正常訪問.242EB服務器安全實施過程WEB服務器安全的實施主要也是以遷移啟明星辰入侵防御IPSNDP100為,當前內網防火墻的Port6口與外網路由器AR46-80的GE0/0/1口連接網絡改動后內網防火墻的Port6口與啟明星辰入侵防御IPSNDP100的Prt2口連接啟明星辰入侵防御IPSNDP100的Port1口與外網路由器AR6-80的GE0/0/1口連接。操作步驟如下:1)遷移前先測試相關業務,確保當前WEB服務器可以被正常訪問。2)拔出內網防火墻FG300A和外網路由器A

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論