办公网公网线路整改总结

1、办公网公网线路整改总结1、整改原状1.1业务分散各业务部门公网光纤线路均采用单点接入，线路部署分散，故障发生需要较长时间进行故障节点判定，业务影响时间较长。1.2无流量监管现有公网光纤线路均采用 2层设备接入，不具备流量监控条件，不能对各部门业务流量 进行分析处理，无法对后期网络布局影响范围、线路带宽增减等提供依据1.3缺乏安全管控目前所有线路均由公网直接接入局域网内部，所有访问路径未部署任何安全管控设备， 服务端遭受外部恶意主机攻击不仅影响该业务线路，对公司内网安全也有很大安全风险。2、整改方案2.1改造方向对公网线路、内网连接重新部署，完成统一整合，形成完整且独立的事业部公网网 络区域实现

2、公网线路的流量监控和安全防护功能，对各业务流量进行分析，为后期线路增减提供依据并且实现内网外网的安全隔离整合后的网络必须具备一定的可用性，由于接入线路比较集中，要尽量避免重要节点的单点故障造成的整体线路中断2.2网络架构图整体网络架构图如下:动光纤接冗余對潞安全防护防光墻通光纤丹公网揺入交艳机安全防护防火爛图1-1公网线路调整拓扑图3、实施情况3.1公网整改架构调整为了更好的达到公网整合后预期的效果，在实施方案形成后，经过不断的商讨和凝练, 我们定义了新的网络架构拓扑，如下图:珂闵卫咬祗机图1-2调整后拓扑由于后期，针对于公网公网网络现状的深入了解，发现有部分公网线路已经存在类似防火墙之类的网

3、络设备接入，从现有的设备中，我们即可观察到线路利用情况，因此对需要整改的公网线路进行精简后，发现一台防火墙足以承载相关流量，此次实际梳理的公网线路如F表:电信联通移动备注2624256434615830142696141260272-176983.2公网物理线路整理由于整改前的公网线路，在上线实施使用前，并没有经过周全的布线规划，导致网络线缆凌乱不堪，交织在一起

4、，此次实施前，我们清理掉全部不在使用的光电转换设备及其线缆，在实施中，我们针对全部线缆进行了统一梳理、部署及扎线贴标工作，使其看起来简单有序，但由于历史缘故，仍有部分其他设备线路无法挪动，美中仍有不足。4、整改后效果4.1流量监控通过将公网流量透过防火墙的方式，实现对所有公网线路的监控，在防火墙主页中，可以实时监控所有线路的总机带宽及会话数。Imt礎OUbp-t2H103 41DSII15:41图4.1监控防火墙整机流量图在首页中，我们只能看到所有线路的总体流量情况趋势图，为了监控到每一条线路每个IP地址的流量情况，我们可以自定义根据公网 IP地址来监控其对应的流量，根据每条线 路所拥有的IP

5、地址段，定义一个监控组，即可监控这条线路的IP地址使用情况及该地址的 流量使用情况，如下图所示:e 口宝-科危1：丄直直mht-HtI IHt3话砖t皿湘ir切梅.卜彌护I4* 12wiw ia in #W IE! 13 F4 m* IM! IJ irH W*Mii 佗21:0*E9盯“冊叫 DI如i佃ijnaa航 和曲 的氓 订utis 応“ n $f VID 心 * 心轧 Bl诃 w V. B 门iflLLLUitE mFtWv nttf1時 it 注f 22.iB.3fi6.MHS2Mtx#ci0 | H4 |j3.114li虐呻1.1m3.3/FIS1.1; TC ES3JBI-L2.

6、11M33 JAK3XMG3MG3J14GEK3_I.Bl_；2.L2aUttIISjBHiaJl.EHR .M4B*bZ.llT1 JIM31.WMbU-Lbh-L2.L4?肾盘附1iAj.ii_li2.Lll.lilXJ.frrnd.乩-唸.41 it41.-4&LL.4b刑皿Ji 1 H L日wwm 为鼻vnm;m巧I。图4-2自定义公网线路监控124JJ2图4-3自定义公网线路监控2如图中所以，我们根据公网线路的作用定义了流量监控组，在流量监控组中可以清晰的看到每一个在用IP地址的流量使用情况及历史曲线图，可以一目了然的看到每条线路的带宽使用情况，然后评估该线路的利用率是否符合公司要求

7、。4.2安全管控将所有公网流量透过防火墙之后， 防火墙即可对这些流量进行安全分析，进行安全监测、安全过滤，保障内网服务器的安全。在监控防火墙上，开启二层安全防护后，可以针对流入防火墙的流量进行固定的安全防护，并针对不同的攻击类型，做出相应响应，完成对内网服务器的安全防护，如下图:匚皿上遢冲凸总缶腳应 SHIW1计 *I* d|1 M M4iti出主H g111 N搠 gfri ib1 N押 Eeid 魁 凰smjM计；HhOI2f电乂挥討UH亠业胡i3.B3M934JI5KfrfilJlIH罰T Ml斡3 蔚百11 ftl竝r n *1 t较“匚力PJ白1 1的空y3.4aHL3.5KGt.7

8、1k-13mMW2JtiL.7Jfk酗.gMWfiihj-Z苛応 *非单全逶Fk.TdpFfi補炉时nd。哲叭pfl丹打曲孙壊却F创fekltAM:罰PJK4： H :1 - . t nr .i r 知： 嗟耳2 KMPJi才:題胡护dfll :(“珈003行丸：直弃団UCfil和n轩护聲書社J15D0330Ml阳】好和監算*DIDJE反亟谒朝S讎衣对击時：*W5Si15D0(0*50,000)行扬二去算*M?TP350D(DSD.M&J* U于轲1以口冃|时册：图4-4开启攻击防护在开启公网防护后，防火墙会针对外部不安全流量进行安全管控，根据默认的安全管控 行为，做出相应措施，如下图:-33

9、；n *&HU卿 肛F4P pW冃4吐DQII】弋3；昶苦则“】臥，埔L.蛊札盘丁沱丄D .2 *9 h Xwrr衣蛊0叶3 IX啊 *t亂LiS 321M協时HufidTCWPpalatbd4 .DRDPI11乂2甜心小叩址“ 6 L 5lt 1.24,27-J 10.1 G3.43.1. Dcojnwkd2Einv inthdlbt fitscdmIg2013u 10-09 1031:03鮭HugoIEMP-paleaftadezDHOPI lJ-tnKt:aogragjfl I QI .191.Z4.227-21DL1C3L43.1-Occurrad2Unss in ttulast Bl

10、smirdGSQlS-34-04:便2舌HugriUP*口*Lad- .0胆和 i的曜9氈 Ak.1. Lkrrfrd2fetrntd 爪 64UiE Al9r4i30 If 34320l5-：Jdn:闢41,3n OegfTfrd1 tiws infch aHClMuQC CM ps arrai DRl：i*H2-triy5.t!武1 61.LSla?-i.227-?fl!?63:Occurred2 5 rT Te 3【6iSCCirrJfiMufl： IEHP pale attach.-DflWI 1 J-tricbt! uggnagjd L fri .iM.24.2Z7-21DLi!&3

11、L43.i- -Dceunnd2 Hims InUw tutAlsecDUdtMUGS fN4D油 Hid快伽淖1 Plrfl；沾豹悄N1 乐2爭163*3 3Ocriil2 timH mCW Ji|1It J4;5T?巫戶tCW riil： aniii1 屮卄口恥屮刊初車|飢“轲匚梓諳打前m :密砧1 OccurroE 2 nnim 3$配唱轉嫌EC-23;龟辞Huye TCW- pale nttack-DRO*l 11.191.?210 161+3 j Occurred 工intKe Lt 41 9 ecu rd s：3015-10-WlMl9SUuq电CWfatud -DROP! 12-

12、truest： asoreOJCe 1 E:54出,227-淀IO 163- 3 DCVrr&3 2 timM inLt 61 aeeoMtZQIaOO4!1 16J1SM2 :Ml!爬EM* 口W mla出.DH*I llrilt：Kj%Od13D.l 63?*3.1. Dcturr&d 1 Krm 血旳 M Al 才MGVXU2Q|o-cniHuge ITipali： uRHiiPFiei lpr叶tin*；）勺常tl.1*1：虽邵导了 2 Dcinjrrad 1iplapt *1 fMcardi2013-10-0919:30:52Huqs ErWP 口匸It attack:DROPI l

13、2-tri-t：3ac口BgNxl fi t . IB 9.24.227-2 . Dccurra-J 2 brrss in 论 Lact fil sCDirdsigLi-ij-gs；d.J.EL：31Hijge ICMP 口dlLBtlack.DHJGP! IE-trML；dG丁已口4土1 1.15丄.SlUZHf-AZJD.；阴.*九 LkgrreS 2 Sres ir tMe jtst 01 s-cordsHuQ4 TtMP-atQraJC41I.Ab阳了中3UD ：Q.血 CKujrrM 1 bHWC i饰eCl t4Cirdl胆门“;210.161.3 _i. Dc

14、currad 2tn tha Labfc 百i scoirdG咖 5-103Hijqa fOIPpak attackJM3#I ll-trmrtiLAMnQJat l.llfi-L.SM.if7-21t.lifi3.4l3s.l. Occurred 1 hnttd intfwfi list Cl 9CDHdE图4-5攻击防护措施实现对外部不安全流量的管控如上图所示，当有攻击发生后，防火墙会匹配防护措施,功能，途中针对ICMP泛洪攻击，防火墙及时有效的drop掉疑似攻击流量，完成对内网安全域防护功能。5、整改外公网线路监控由于此次公网线路整改，并没有涉及全部公网线路，因为部分公网线路已经存在 4

15、层以 上设备，可做监控使用，这部分线路梳理如下：公网线路监控设备备注26-23001621665448https:/ 06:4430/3014223通过上表，可以通过相关监控设备对相应的公网线路进行流量监控，举例说明如下:6、实施总结在实施前，由于对实施工作及细节考虑的不充分，导致线路整改方案一改再改，实施时间一推再推，最终成型的方案，也就是我们实施的方案，最终全部实现了最初预期