互联网域InternetH3Cs5500上网行为管理MSR5060netsys4120netsys4120S75106E-1S75106E-2本次割接替换设备Ids/ipsIds/ips本次割接替换设备核心交换区 割接后部分拓扑如下:
互联网域S7506E-1S7506E-2Internet上网行为管理MSR5060下一代防火墙Ids/ips本次割接替换设备Ids/ips核心交换区Data-S7510E-1Data-S7510E-1Internet下一代防火墙上网行为管理本次割接替换设备Ids/ipsIds/ips五泉数据中心 netsys4120防火墙策略统计如下:
上网行为管理策略统计如下:
1)设备上架:将两台防火墙及上网行为管理设备安装上架,并进行加电测试及线缆的布放(H3C-S5500至新增上网行为管理网线一根、新增上网行为管理至MSR5060路由器网线一根)。
2)由于现网中防火墙及上网行为管理都为透明模式,不需要新增互联地址。根据防火墙及上网行为管理现有策略配置好山石防火墙及深信服上网行为管理,配置如下:
3)测试互联网业务,测试表格如下:
甘肃烟草业务测试 序业务名称 号 1 2 IP地址 测试结果 备注 3 4 5 6 7 8 4)由于现网中H3C-S5500至路由器之间为双链路,其中一条链路中串接行为管理,断开未串接行为管理的链路,将新增的深信服上网行为管理串接到网络中。 5)关闭路由器(MSR5060)与备用netsys4120防火墙的互联接口(即GigabitEthernet5/1口),测试业务是否正常,若正常则将配置好的山石防火墙接入网络中,暂时先不关闭netsys4120备用防火墙设备。
6)开启路由器(MSR5060)的GigabitEthernet5/1口,并关闭路由器(MSR5060)的GigabitEthernet6/1口,测试业务是否正常,若正常则将配置好的山石防火墙接入网络中,开启路由器(MSR5060)的GigabitEthernet6/1口,测试业务是否正常
甘肃烟草业务测试 序号 1 2 3 4 5 6 7 8 业务名称 IP地址 测试结果 备注 7)待业务正常运行一周后,下线netsys4120防火墙设备。
b、建于甘肃烟草公司信息网络中所有的电脑、服务器、网络设备在同一个网络内,这意味着这些设备之间可以任意的互连互通,任意一台电脑感染病毒或受黑客控制的时候,可以直接影响公司的所有IT设备也意味着电脑可以任意访
问服务器的所有端口,而不是根据应用服务的需要去限制只可访问需要的服务,这样服务器的任何一个漏洞都可以被计算机利用来攻击服务器。
针对以上问题,结合《信息安全技术信息安全等级保护基本要求》,整改方案如下:
本方案改变现有的网络结构,将现有的H3C防火墙板卡及山石下一代防火墙串接到网络中。
割接前部分拓扑如下:
H3C板卡割接前DNS服务器中心MAIL垃圾邮件网关S75106E-1S7510E-1S75106E-2ISAIBM垃圾邮件网关S7510E-2Ids/ipsIds/ips核心交换区国家局H3C板卡割接前五泉办公区Cisco6509Data-S7510E-1Data-S7510E-2东口办公区Cisco6509POWER7数据服务器中心割接后部分拓扑如下:
H3C板卡割接后DNS服务器中心MAIL垃圾邮件网关S75106E-1S7510E-1S75106E-2ISAIBM垃圾邮件网关下一代防火墙S7510E-2Ids/ipsIds/ips核心交换区国家局下一代防火墙H3C板卡割接后五泉办公区Cisco6509Data-S7510E-1Data-S7510E-2东口办公区交换机接入下一代防火墙东口办公区Cisco6509POWER7数据服务器中心服务器中心核心交换机网络IP统计如下:
甘肃烟草网络设备接口信息 INFO_SW_7510E_1 INFO_SW_7510E_2 IP及掩码 10.52.210.151/32 10.52.0.1/24 10.52.7.33/27 10.52.8.1/24 10.52.25.1/25 10.52.24.97/28 10.52.24.34/28 192.168.24.2/24 10.52.22.2/27 10.52.40.241/28 10.52.1.67/26 IP及掩码 10.52.210.152/32 10.52.24.67/28 10.52.25.2/25 10.52.24.98/28 10.52.24.35/28 192.168.24.3/24 10.52.22.3/27 10.52.1.66/26 VRRP网关地址 10.52.24.65 10.52.25.7 10.52.24.99 10.52.24.33 192.168.24.1 10.52.22.1 10.52.1.65 序号 1 2 3 4 5 6 7 设备 VLAN lo0 vlan 3 vlan 102 vlan 108 vlan 113 vlan 114 vlan 116 描述 lanzhoulingshi JiFangJianKong yewufuwuqi wangguan qianzhiji yihaoserver VOICESERVER shipinhuiyi daopian ZhiJianZhan_tem 备注 down down 8 vlan 120 9 10 11 12 vlan 121 vlan 126 vlan 150 vlan 202