长江南京航道局网络安全设备升级改造实施方案

长江南京航道局网络安全设升级改造实施方案一、网络概述1.1网络环境描述南京航道局网络如图所示这是一种星型网络拓扑结构图在我们所看到的这张航道局的网络拓扑图上，左下角这块就是以华为AR46－80为核心的内网；右上角这块就是以FＧ300A．明星辰IＰＳ、绿盟等安全设备为主的外网；右下角这块主要针对挂在支撑平台交换65０6Ｒ下的ＷEB网站服务器.当前长江南京航道局网络拓扑图:1。2网络设备及Ｐ描述➢ 外网路由器AＲ46－801)管理地址：17２。18。194.1➢ 外网防火墙FＧ300A2)工作模式：透明模式.3)管理地址:17２.18。１94.2５3➢ 启明星辰ＩPＳ1)工作模式:单对串接模式相当于透明模式。➢ 绿盟内容安全管理1)工作模式：直通模式相当于透明模式.2)管理地址：172。18．1９4。２5２➢ 内网防火墙FG300Ａ1)工作模式：ＮAT模式。2)管理地址：172．18.193。253➢ 内网核心交换机6506R1)管理地址：1７2。1８．192.2５4➢ 支撑平台交换机6506R1)管理地址：1７2.18．1９３。254➢ WEB网站服务器2)网站地址：１72．18．１9３.19３１．３网络设备改造前接口图二、网络安全实施方案。1网络安全实施前期准备为AR4６-８0飞塔FG3０0A．侵防御ＩPＳNＤP10０和内容安全管理绿盟ICEYE6０4C,在本次实施中我们需要对入侵防御IＰS进行网络位置迁移,因此我们需要做好关设备配置备份工作当因网络迁移导致网络故障后第一时间还原并恢复网络的正常。关于网络设备配置备份的重要性，这里不作过多描述,毋庸置疑的是一旦设备因配置丢失导致网络中断后，那么恢复起来需要消耗大量的时间,对因长时间网络中断而造成的损失是无法估计的,它的重要性也就不言而喻了。在实际网络设备迁移中,如果排除设备之间线缆连接距离的问题，甚至我们的实施工作都不需要中断设备电源，这样也保证了对网络的影响降到了最低.针对网络设备的配置备份,这里不再区分外网与内网,因为实际上我们实施时除了不会对内网造成影响外，其它外网访问及WＥB网站服务器都会有相应的影响，因此我们会对网络中所有主要网络设备进行配置备份，主要设备如下:外网路由器华为ＡR4６—80、外网防火墙FG3０0Ａ、绿盟内容安全管理、内网防火墙FG300网核心交换机6506R、支撑平台交换机65０6R。２。2网络安全实施停机时间关于在网络安全实施过程中的网络中断时间我们分为外网停机时间与网站服务器停机时间,理论上两者是独立开来不受影响的至于内网数据,这里不单独分离开来的原因是内网的独立性较强,当外网没有需求访问内网数据时，内网本身与外网就是断开的。。1外网停机时间在对外网进行实施时我们不需要移动设备物理位置因为本身就在一个机柜，因此我们选择合适的线缆进行连接即可.预计外网停机时间在１０分钟内。２.．WＥB网站服务器停机时间在完成外网测试后,需要考虑将入侵防御IPS调整到外网路由器AＲ４6-8０和内网防火墙G300Ａ之间此时需要中断WEB网站服务器并且如果当前外网对内网数据有访问需求的话也要暂时中断原启明星辰IPS保留当前接入模式接入外网路由器和内网防火墙之间。预计ＷＥＢ网站服务器停机时间在1０分钟.２。3网络安全实施应急演练２．1网络安全实施演练目的减少发生网络事故时南京航道局网络修复时间减少因设备迁移而导致的网络故障；在最短的时间恢复设备正常运行将损失降低到最低。。3.2网络安全实施演练范围此次演练对象为以启明星辰入侵防御IPSNDP1００安全设备为主主要涉及网络设备有外网路由器AR46－80外网防火墙ＦG300A绿盟内容安全管理内网防火墙ＦＧ0０A．网核心交换机 6506R和支撑平台交换6506R。。３．3网络安全实施演练内容本次网络安全实施需要涉及网络设备节点比较多但是除了需要网络迁移启明星辰IPS外其它设备的物理与逻辑位置都不用改变因此其它设备除了正常的配置做好备份外不会对网络造成影响这里我们需要对改变网络位置的启明星辰IPS进行网络安全实施演练即可，这么操作的目的在于当迁移启明星辰IPS作。1)中断启明星辰IＰS两个通信端口后,将对应的外网防火墙与绿盟内容安全管理设备通过线缆连接在一起,并测试相关业务，确保外网恢复正常；如果外辰IPS复正常。2)中断WEB服务器网络,断掉外网路由器AＲ46－80和内网防火墙之间的通信端,并接入启明星辰IPＳ如果WEＢ网站服务器可以正常访问并且当把内网核心交换机与内网防火墙连接时,可以通过外网访问内网数据，则网络正常；如果迁移进IPＳ后WEB服务器不可以被访问外网也不可以正常访问内网数据，则撤掉IPS,恢复原本网络并测试业务，确保网络恢复正常。4网络安全实施过程1网络安全实施端口拓扑图。。１当前网络安全实施端口拓扑图。．。2改造后网络安全实施端口拓扑图．4.2网络安全实施过程．２1外网网络安全实施过程外网网络安全的实施主要以迁移启明星辰入侵防御ＩPSNDP100为主，当IS通过Poｒt1与外网防火墙的Pｏrt６口连接，Port2与绿盟内容安全管理的Eｔh1口连接,网络改动后,外网防火墙的Port6口与绿盟内容安全管理的Eth１口连接。操作步骤如下:1)迁移前先测试相关业务，确保当前外网可以正常访问。2)拔出IPS、外网防火墙和绿盟内容安全管理设备三者之间对应接口的信线缆。3)将外网防火墙的Port6口与绿盟内容安全管理设备的Eth1口通过线连接。4)测试相关业务，确保外网可以正常访问.２４２ＥB服务器安全实施过程WEＢ服务器安全的实施主要也是以迁移启明星辰入侵防御IPSNＤP10０为,当前内网防火墙的Pｏｒt６口与外网路由器AR４６-8０的ＧE0／０/1口连接网络改动后内网防火墙的Port6口与启明星辰入侵防御ＩPSＮDP1００的Prｔ２口连接启明星辰入侵防御IPSNDＰ100的Poｒt1口与外网路由器AＲ6－80的GE0／０／1口连接。操作步骤如下：1)迁移前先测试相关业务，确保当前WEB服务器可以被正常访问。2)拔出内网防火墙FＧ3００A和外网路由器A