网络安全加固与优化 - 图文

在信息系统安全等级保护基本要求中，安全等级保护三级GB/T 22239—2008的基本要求中，明确要求网络系统必须具备结构化的安全保护能力，具体要求包括： 结构安全（G3）

本项要求包括：

a) 应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；

b) 应保证网络各个部分的带宽满足业务高峰期需要；

c) 应在业务终端与业务服务器之间进行路由控制建立安全的访问路径； d) 应绘制与当前运行情况相符的网络拓扑结构图；

e) 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段；

f) 应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段；

g) 应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。

根据GB/T22239-2008《信息安全技术信息安全等级保护基本要求》和国家烟草专卖局办公室 2011年颁布的《国家烟草专卖局办公室关于开展烟草行业信息系统安全等级保护整改工作的通知》（国烟办综〔2011〕440号）等文件的内容，甘肃烟草公司信息网络安全域需根据业务系统等级进行重新划分。甘肃烟草公司信息系统按照业务系统定级，根据不同级别保护需求，按要求划分安全区域进行分级保护。因此，安全域划分是进行信息安全等级保护建设的首要步骤。

目前甘肃烟草公司各安全域之间缺乏有效的控制措施不能够保障业务系统安全、独立运行，不受其他业务系统的影响,现有拓扑结构如下图所示：

依据甘肃省烟草公司安全分区、分级、分域及分层防护的原则，管理信息按照双网隔离方案又分为信息内网与信息外网。本方案主要针对公司信息系统进行等级保护建设。在进行安全防护建设之前，首先实现对信息系统的安全域划分。结合甘肃烟草公司网络现状，采用VLAN划分的方法，将甘肃烟草信息系统分为：内部业务域，数据存储域、外部业务域、运维管理域、内部用户接入域、地市用户域、合作单位接入域以及核心网络域。并且在内部业务域中，根据业务系统的重要性以及信息系统的分级情况，把三级系统和数据库系统单独划分独立区域，二级信息系统及非重要未定级的信息系统划分为一个区域。从而形成分区、分级、分域的立体式安全域划分。

针对此次安全域的划分，对二三级域与其他区域之间存在的边界进行分类描述。主要分为三种边界类型，一种是与Internet边界相连的互联网边界，一种是与国家烟草局、合作单位及各地市烟草相连的纵向网络边界，一种是与桌面终端内部用户相连的横向域间的边界。在此次整改建设中要梳理出个域之间的访问控制关系，明晰区域边界的范围。

拓扑结构的改造目标如下图所示：

数据中心区DNSMAILH3C-Info-S7510E-1FirewallNeteye4120-2Cisco-3825-2CISCO-S6509外联DMZH3C-Info-S7510E-2FirewallNeteye5120-1MSR5040-1垃圾邮件网关五泉办公区Neteye4120-1Cisco-3825-1外联银行ISAIBM垃圾邮件网关外联区外联银行S7506E-1S7506E-2Neteye5120-2MSR5040-2互联网区电信InternetNeteye4120-1H3Cs5500上网行为管理MSR5060Neteye4120-2DMZ交换机绿盟IPSIds/ipsIds/ipsRadwareSSL绿盟WAF-1WWW下一代防火墙上网行为管理Data-S7510E-1Data-S7510E-2绿盟WAF-2新商盟RadwareRadwareRadwareRadwareRadware核心交换区移动Internet公共服务区新网管区地县节点准入控制-1运维审计-1动态短信口令漏洞扫描数据库审计-1FS2000A1000IP SANIMC信安CA数据库审计-2准入控制-2运维审计-2网络安全审计新数据中心区甘肃烟草行业网站H3C-5040neteye4032国家局防火墙-1烟草行业网地市公司稽查/质检分公司物流/仓库SRG3250国家局防火墙-2下一代防火墙CISCO7507电信SDH地市节点电信MSTPSR8805-1S7502E-1T200-1CISCO-S6509下一代防火墙CISCO7606兰州市中心县公司/区域营销CISCO2611交易中心内联区县区节点SR8805-2S7502E-2T200-2东口办公区CISCO3640 甘肃烟草公司网络规划拓扑图

1) 网络域的划分

a.互联网域

是甘肃烟草公司全省的统一互联网访问出口，为省级、地市级办公域的内部用户提供互联网的访问。是甘肃烟草办公网络与互联网之间的边界，在此区域部署有入侵防护、下一代防火墙及上网行为管理等安全设备。通过上网行为规范内

部用户访问互联网的各种行为，同时保证对带宽的合理分配及资源的有效控制。通过防火墙及入侵防护应对进出网络的信息内容进行过滤，实现了网络边界处的防范。 b.内联域

涵盖了烟草行业内部机构，包括地市公司、质检、物流、稽查队、县营销部、客户服务部、欣大公司及国家烟草局的接入，实现行业内部系统应用的互访及数据交互等功能。在每一类内部行业用户的接入点均部署有防火墙及入侵防护及网络准入等边界防护设备，可实现对内联用户细粒度的访问控制规则设定。 c.外联域

外联域主要提供烟草行业内部的业务系统与外联银行的数据接口服务，实现对银行扣款，在线支付等功能的安全接入。在边界处部署有防火墙进行访问控制及边界防护。 d.网络安全管理域

此区域是本次项目建设采购的安全设备单独划分的管理区域，只允许后台管理人员进行访问。部署有网络准入控制、终端管理、运维审计、网络安全审计、动态短信口令身份认证系统及漏洞扫描系统等安全管理设备，通过运维审计系统实现对运维人员的访问控制。 e.核心交换域

甘肃烟草骨干网络的核心数据交换区域，采用双核心的冗余链路设计，保障了稳定性的同时，将其他各个区域联通实现内部业务数据的高速交换。 f.公共服务域

是甘肃烟草公司依据国家烟草局的相关要求，建设的新商盟对外发布公共服

务的区域。此区域不提供内部办公人员的业务访问，只为后台管理人员开放运维接口。该区域按照国家局的要求，部署有IPS,WAF，FW等安全设备，通过本次项目的安全加固，可令该区域基本满足信息安全等级保护三级的基本要求。 g.办公域

办公域为东口及五泉两处的烟草办公人员提供烟草内部网络的访问接入，实现对烟草业务系统的办公访问需求及互联网访问需求。 h.服务器域

部署有支撑甘肃烟草公司八大核心业务系统的各种服务器及小型机。对该区域需实现详细的访问控制过程，主要通过数据库审计对数据库的各类业务操作实现详细记录，并通过与网络安全管理域的联动，实现对访问该区域的人员的身份鉴别及行为审计等安全控制措施。

2) 访问控制规则的完善

a. 从甘肃烟草网络拓扑结构可以看到，在目前，甘肃互联边界使用了两台netsys4120设备作为安全控制设备及一台上网行为管理，存在单点故障，同时，由于两台netsys4120设备使用年限比较长，存在一定的性能问题，为此，经过沟通，在本次设备更换实施中，将使用两台性能更好的山石防火墙，替换现有的netsys4120防火墙，并以冗余热备的形式，实现业务系统接入的冗余功能。 针对以上问题，结合《信息安全技术信息安全等级保护基本要求》，整改方案如下：

割接前部分拓扑如下：

互联网域InternetH3Cs5500上网行为管理MSR5060netsys4120netsys4120S75106E-1S75106E-2本次割接替换设备Ids/ipsIds/ips本次割接替换设备核心交换区 割接后部分拓扑如下：

互联网域S7506E-1S7506E-2Internet上网行为管理MSR5060下一代防火墙Ids/ips本次割接替换设备Ids/ips核心交换区Data-S7510E-1Data-S7510E-1Internet下一代防火墙上网行为管理本次割接替换设备Ids/ipsIds/ips五泉数据中心 netsys4120防火墙策略统计如下：

上网行为管理策略统计如下：

1）设备上架：将两台防火墙及上网行为管理设备安装上架，并进行加电测试及线缆的布放（H3C-S5500至新增上网行为管理网线一根、新增上网行为管理至MSR5060路由器网线一根）。

2）由于现网中防火墙及上网行为管理都为透明模式，不需要新增互联地址。根据防火墙及上网行为管理现有策略配置好山石防火墙及深信服上网行为管理，配置如下：

3）测试互联网业务，测试表格如下：

甘肃烟草业务测试 序业务名称 号 1 2 IP地址 测试结果 备注 3 4 5 6 7 8 4）由于现网中H3C-S5500至路由器之间为双链路，其中一条链路中串接行为管理，断开未串接行为管理的链路，将新增的深信服上网行为管理串接到网络中。 5）关闭路由器（MSR5060）与备用netsys4120防火墙的互联接口（即GigabitEthernet5/1口），测试业务是否正常，若正常则将配置好的山石防火墙接入网络中，暂时先不关闭netsys4120备用防火墙设备。

6）开启路由器（MSR5060）的GigabitEthernet5/1口，并关闭路由器（MSR5060）的GigabitEthernet6/1口，测试业务是否正常，若正常则将配置好的山石防火墙接入网络中，开启路由器（MSR5060）的GigabitEthernet6/1口，测试业务是否正常

甘肃烟草业务测试 序号 1 2 3 4 5 6 7 8 业务名称 IP地址 测试结果 备注 7）待业务正常运行一周后，下线netsys4120防火墙设备。

b、建于甘肃烟草公司信息网络中所有的电脑、服务器、网络设备在同一个网络内，这意味着这些设备之间可以任意的互连互通，任意一台电脑感染病毒或受黑客控制的时候，可以直接影响公司的所有IT设备也意味着电脑可以任意访

问服务器的所有端口，而不是根据应用服务的需要去限制只可访问需要的服务，这样服务器的任何一个漏洞都可以被计算机利用来攻击服务器。

针对以上问题，结合《信息安全技术信息安全等级保护基本要求》，整改方案如下：

本方案改变现有的网络结构，将现有的H3C防火墙板卡及山石下一代防火墙串接到网络中。

割接前部分拓扑如下：

H3C板卡割接前DNS服务器中心MAIL垃圾邮件网关S75106E-1S7510E-1S75106E-2ISAIBM垃圾邮件网关S7510E-2Ids/ipsIds/ips核心交换区国家局H3C板卡割接前五泉办公区Cisco6509Data-S7510E-1Data-S7510E-2东口办公区Cisco6509POWER7数据服务器中心割接后部分拓扑如下：

H3C板卡割接后DNS服务器中心MAIL垃圾邮件网关S75106E-1S7510E-1S75106E-2ISAIBM垃圾邮件网关下一代防火墙S7510E-2Ids/ipsIds/ips核心交换区国家局下一代防火墙H3C板卡割接后五泉办公区Cisco6509Data-S7510E-1Data-S7510E-2东口办公区交换机接入下一代防火墙东口办公区Cisco6509POWER7数据服务器中心服务器中心核心交换机网络IP统计如下：

甘肃烟草网络设备接口信息 INFO_SW_7510E_1 INFO_SW_7510E_2 IP及掩码 10.52.210.151/32 10.52.0.1/24 10.52.7.33/27 10.52.8.1/24 10.52.25.1/25 10.52.24.97/28 10.52.24.34/28 192.168.24.2/24 10.52.22.2/27 10.52.40.241/28 10.52.1.67/26 IP及掩码 10.52.210.152/32 10.52.24.67/28 10.52.25.2/25 10.52.24.98/28 10.52.24.35/28 192.168.24.3/24 10.52.22.3/27 10.52.1.66/26 VRRP网关地址 10.52.24.65 10.52.25.7 10.52.24.99 10.52.24.33 192.168.24.1 10.52.22.1 10.52.1.65 序号 1 2 3 4 5 6 7 设备 VLAN lo0 vlan 3 vlan 102 vlan 108 vlan 113 vlan 114 vlan 116 描述 lanzhoulingshi JiFangJianKong yewufuwuqi wangguan qianzhiji yihaoserver VOICESERVER shipinhuiyi daopian ZhiJianZhan_tem 备注 down down 8 vlan 120 9 10 11 12 vlan 121 vlan 126 vlan 150 vlan 202

13 vlan 801 10.52.21.6/29 GSYC_CORE_SW_7506E_1--Gi3/0/3 14 vlan 802 10.52.21.38/29 GSYC_CORE_SW_7506E_2--Gi3/3 15 vlan 813 10.52.21.65/29 GSYC_DATA_SW_7510E_1--Gi3/0/46 16 vlan 814 10.52.21.73/29 GSYC_DATA_SW_7510_2--G3/46 17 vlan 815 10.52.21.113/29 GSYC_INFO_FW_1 --Gi0/1 FW_2 GSYC_INFO_SW_7510E--Gi4/0/47&Gi4/0/48 18 vlan 816 10.52.21.121/29 19 vlan 900 10.52.21.89/29 10.52.21.94/29 数据中心核心交换机网络IP统计如下：

设备 序VLAN 号 1 lo 0 2 vlan 50 3 vlan 90 4 vlan 98 DATA_SW_7510E_1 IP及掩码 10.52.210.153/32 10.52.16.2/27 10.52.21.225/29 10.52.19.253/28 10.52.4.253/25 192.168.33.253/24 192.168.34.253/24 甘肃烟草网络设备接口信息 DATA_SW_7510E_2 IP及掩码 10.52.210.154/32 10.52.16.3/27 10.52.19.252/28 10.52.4.252/25 192.168.33.252/24 192.168.34.252/24 10.52.7.1/27 10.52.20.33/27 10.52.20.17/27 VRRP网关地址 10.52.16.1 描述 备注 5 6 7 8 vlan 100 vlan 102 vlan 103 vlan 110 Inter_SSL WuQuan_BG out-of-band 10.52.19.254 managment 10.52.4.254 DONGRUAN-SERVER 192.168.33.254 192.168.34.254 JiFangJianKong touziguanlixito ng_dahe ZhiJianZhan 9 vlan 140 10.52.35.1/26 10.52.35.65/26 10.52.35.129/26 10.52.35.193/26 10.52.9.1/24 10.52.24.2/27 192.168.11.2/24 192.168.12.2/24 10.52.24.129/28 192.168.25.2/28 192.168.26.2/28 10.52.16.226/27 10.52.16.194/27 10.52.16.33/27 10.52.21.169/29 10.52.21.185/29 10.52.19.45/30 10.52.18.29/27 10.52.18.60/27 10.52.18.94/27 10.52.18.125/27 10.52.18.254/26 10.52.18.129/27 10.52.19.113/29 10.52.17.2/27 10.52.17.34/27 10.52.17.66/27 10.52.17.129/27 10.52.21.14/29 10.52.35.2/26 10.52.35.66/26 10.52.35.130/26 10.52.35.194/26 10.52.9.2/24 10.52.24.3/27 192.168.11.3/24 192.168.12.3/24 10.52.24.130/28 192.168.25.3/24 192.168.26.3/24 10.52.16.227/27 10.52.16.195/27 10.52.21.193/29 10.52.19.49/30 10.52.18.30/27 10.52.18.61/27 10.52.18.93/27 10.52.18.126/27 10.52.18.253/26 10.52.19.121/29 10.52.17.97/27 10.52.21.46/29 10.52.35.3 10.52.35.67 10.52.35.131 10.52.35.195 10.52.9.3 10.52.24.1 192.168.11.1 192.168.12.1 10.52.24.131 192.168.25.1 192.168.26.1 10.52.16.225 10.52.16.193 10 vlan 150 11 vlan 160 12 vlan 170 13 vlan 199 14 vlan 200 15 vlan 300 16 vlan 400 17 vlan 402 18 19 20 21 vlan 405 vlan 406 vlan 450 vlan 451 22 vlan 462 23 24 25 26 27 28 29 30 31 32 33 34 35 36 vlan 463 vlan 510 vlan 520 vlan 530 vlan 540 vlan 550 vlan 560 vlan 580 vlan 581 vlan 610 vlan 620 vlan 630 vlan 640 vlan 650 10.52.18.1 10.52.18.33 10.52.18.65 10.52.18.97 10.52.18.193 10.52.17.1 10.52.17.33 10.52.17.65 dongruan-powerrvm dongruan-powerrvm dongruan-powerrvm dongruan-powerrvm dongruan-powerrvm-guanli TO P570 TO NEW P570 Zijinjiankong ZiJinJianKong_temp DHCfs2_int DHC_FS2_MGT CBank_1_g0 SG-1_to_5500SI_G2 DaoPian_CA&AD DaoPian_Mail_1 DaoPian_Web_1 DaoPian_XSM_1 DaoPianMgt_1 GZFWQ to-s7502e-1 OCS FangBingDu seccenterzhuji GSYC_CORE_SW_7506E_1--Gi3/1 GSYC_CORE_SW_7506E_2--Gi3/1 down 37 vlan 803 38 vlan 804 39 vlan 813 40 vlan 814 41 vlan 815 42 vlan 816 10.52.21.70/29 10.52.21.129/29 10.52.21.78/29 10.52.21.137/29 43 vlan 900 10.52.21.97/29 10.52.21.102/29 GSYC_INFO_SW_7510E_1--Gi4/46 GSYC_INFO_SW_7510E_2--Gi3/22 GSYC_DATA_FW_1--Gi0/1 GSYC_DATA_FW_2--Gi0/1 GSYC_DATA_SW_7510E_2--Gi3/23&Gi3/24 核心交换机网络IP统计如下：

序号 1 2 3 4 5 6 7 8 设备 VLAN lo 0 vlan 2 vlan 5 vlan 22 vlan 100 vlan 151 vlan 160 vlan 161 甘肃烟草网络设备接口信息 CORE_SW_S7506_1 CORE_SW_S7506_2 IP及掩码 IP及掩码 描述 10.52.210.155/32 10.52.210.156/32 10.52.23.65/28 neteye-7606 10.52.23.194/30 10.52.23.81/28 neteye-2 10.52.40.2/30 10.52.1.249/30 5500A 10.52.23.5/30 fw-1-C3850 10.52.23.9/30 neteye-3825-2 GSYC_INFO_SW_7506E_1--Gi3/010.52.21.1/29 /45 GSYC_INFO_SW_7510E_2--Gi3/0 10.52.21.33/29 /45 GSYC_DATA_SW_7506E_1--Gi3/00.52.21.9/29 /45 GSYC_DATA_SW_7510E_2--Gi3/0 10.52.21.41/29 /45 10.52.21.49/29 NETSYS-1 10.52.21.49 NETSYS-2 10.52.21.25/29 10.52.21.145/29 10.52.21.161/29 10.52.21.57/29 10.52.21.153/29 10.52.21.105/29 10.52.21.169/29 GSYC_OA_SW_C6509_1--Gix/1 GSYC_OA_SW_C6509_2--Gix/1 GSYC_CORE_STREAM_1--Gi0/1 GSYC_CORE_IDS for Mgt Force View_1 备注 down 9 vlan 801 10 vlan 802 11 vlan 803 12 vlan 804 13 vlan 805 14 vlan 806 15 vlan 807 16 vlan 808 17 vlan 812 18 vlan 817 19 vlan 819 20 vlan 820 21 vlan 900 22 vlan 1000 10.52.21.8/29 10.52.21.177/29 10.52.21.86/29 GSYC_CORE_SW_7506E_2--Gi3/0/23&Gi3/0/2

本方案割接步骤如下：

1）由于此方案中防火墙板卡已经安装完毕，并且防火墙板卡与H3C交换机之间通过万兆背板带宽交换数据，无需准备任何线缆。

2）保存现有网络设备所有配置信息，测试业务是否正常,测试结果如下：

甘肃烟草网络割接前业务测试 序号 1 2 3 4 5 6 7 8 业务名称 IP地址 测试结果 备注 3)配置好H3C防火墙板卡，防火墙为路由模式，策略先调整为允许所有，保存配置，准备割接工作。防火墙板卡配置如下：

4)关闭服务器中心核心交换机-2（INFO_SW_7510E_2）的Gi3/0/35口，测试网络连通性是否正常，若正常则配置此交换机，配置如下： interface teng0/0/1

description to INFO_FW_7510E port link-type access

port default vlan 802 quit

interface vlan 802

description to INFO_FW_7510E undo ip address ip address 10.52.21.xx undo shutdown

5）将服务器中心核心交换机-2（INFO_SW_7510E_2）的Gi3/0/35口线缆改接至防火墙板卡上Gi0/0/1口，打开所有接口后测试网络连通性（在服务器中心核心交换机上执行合令ping -a 10.52.21.xx 10.52.21.33）。

6）在服务器中心核心交换机-2上执行命令display ospf lsdb 查看OSPF链路状态数据库，查看是否在vlan802接口上学到链路状态信息,在防火墙板卡（INFO_FW_7510E_2）上执行命令ping -a 10.52.21.38 10.52.21.33及display ospf lsdb等命令，查看网络运行是否正常。

7）关闭服务器中心核心交换机-1（INFO_SW_7510E_1）上的Gi3/0/35口，测试网络连通性，若正常则将Gi3/0/35口线缆改接至防火墙板卡上Gi0/0/1口，配置服务器中心核心交换机-1（INFO_SW_7510E_1）配置如下： interface teng0/0/1

description to INFO_FW_7510E port link-type access port default vlan 801 quit

interface vlan 801

description to INFO_FW_7510E undo ip address ip address 10.52.21.xx undo shutdown interface gi3/0/45 undo shutdown

8) 在服务器中心核心交换机-1上执行命令display ospf lsdb 查看OSPF链路状态数据库，查看是否在vlan801接口上学到链路状态信息，在防火墙板卡（INFO_FW_7510E_1）上执行命令ping -a 10.52.21.6 10.52.21.1及display ospf lsdb等命令，查看网络运行是否正常。

9）关闭数据中心核心交换机-2（DATA_SW_7510E_2）的Gi3/0/35口，测试网络连通性是否正常，若正常则配置此交换机，配置如下： interface teng0/0/1

description to DATA _FW_7510E port link-type access port default vlan 804 quit

interface vlan 804

description to DATA _FW_7510E undo ip address ip address 10.52.21.xx

undo shutdown

10）将数据中心核心交换机-2（DATA_SW_7510E_2）的Gi3/0/35口线缆改接至防火墙板卡上Gi0/0/1口，打开所有接口后测试网络连通性（在服务器中心核心交换机上执行合令ping -a 10.52.21.xx 10.52.21.41）。

11）在数据中心核心交换机-2（DATA_SW_7510E_2）上执行命令display ospf lsdb 查看OSPF链路状态数据库，查看是否在vlan804接口上学到链路状态信息,在防火墙板卡（DATA_FW_7510E_2）上执行命令ping -a 10.52.21.38 10.52.21.33及display ospf lsdb等命令，查看网络运行是否正常。

12）关闭数据中心核心交换机-1（DATA_SW_7510E_1）上的Gi3/0/35口，测试网络连通性，若正常则将Gi3/0/35口线缆改接至防火墙板卡上Gi0/0/1口，配置数据中心核心交换机-1（DATA_SW_7510E_1）配置如下： interface teng0/0/1

description to DATA _FW_7510E port link-type access port default vlan 803 quit

interface vlan 803

description to DATA _FW_7510E undo ip address ip address 10.52.21.xx undo shutdown interface gi3/0/45

undo shutdown

13) 在数据中心核心交换机-1（DATA_SW_7510E_1）上执行命令display ospf lsdb 查看OSPF链路状态数据库，查看是否在vlan801接口上学到链路状态信息，在防火墙板卡（DATA_FW_7510E_1）上执行命令ping -a 10.52.21.14 10.52.21.9及display ospf lsdb等命令，查看网络运行是否正常。

14)在所有网络设备上测试，查看是否与割接之前保存的信息一致，表格如下：

测试内容 割接链路互通性测试 割接链路错包及链路error信息统计 协议互通性测试（尽量创造条件测试） disp cur disp health/cpu disp mem disp device disp ospf peer disp version 设备侧 信息收集 disp ip int bri disp ip rou sta disp ospf lsdb disp ip rou disp arp disp ip rou 0.0.0.0 disp int ping所有业务网网络侧 信息收集 段主机（或选择典型业务网段） Ping DNS地址 Tracert DNS地址 观察延时 观察路径信息 如果路由表数量过多，选择某几类业务网段进行路由信息收集 查看网络中可学到的MAC地址信息 收集流量信息 如果条件允许建议要测试 关注光纤及光模块质量 测试命令 ping –s 2000 测试结果 备注 也可ping大包测试 15)割接后业务测试

甘肃烟草网络割接后业务测试 序号 1 2 3 4 5 6 7 8 业务名称 IP地址 测试结果 正常 正常 正常 正常 正常 正常 正常 正常 备注 在本次割接过程中所有配置都是提前配置的，所有的数据、测试都是提前准备好的，成功几率很高。割接万一不成功，如果在时间的允许状态下及时处理，如果时间来不及，需要倒回原来的设备也需把线缆换回原来的位置和对应口。观察倒回的设备，查看网络的应用是否正常，如果不正常及时处理。确认业务回复正常后，分析割接失败的原因。 割接应急预案：

在本次割接过程中可能出现在故障及解决方法如下： 一、网络设备端口翻动 采用以下步骤逐步排查故障：

1.用命令display diagnostic-information 核查端口硬件信息是否正常； 2.用命令display interface <端口号> 核查端口状态； 3.查看端口下连设备物理状态； 恢复措施：

1.如果已经改造具备冗余保护，可考虑先断掉flap端口，保证业务，随后排查 2.如果不具备冗余保护，至少应有冷备链路，手工更换链路，端口 二、网络设备硬件故障

设备故障，采用以下步骤逐步排查故障：

1.查看设备状态；display gsr; display module ,display logg来确认设备问题所在。2.如果不能确认故障，则抓取display diagnostic-information信息提交 TAC中心；

三、网络路由故障

例如某目的地址不可达，采用以下步骤逐步排查故障： 1.首先确认是否有人员对网内设备配置进行过配置

2.在该目的地址直连的设备上通过display int ， display arp，display mac， 3.Ping 等命令确认该目的地址设备是正常的。

4.如果该目的地址设备运行正常，则从源端设备开始tracert，确认是否能tracert。有防火墙的情况需要特别注意。

5.在各中间环节路由器上通过display ip route，确认是否有该目的地址路由。 四、网络丢包或响应缓慢

1.从目标地址最近的网络设备开始查找，查看端口是否流量过大，查看设备cpu及mem利用率 2.查看是否网络攻击 3.查看是否病毒

4.确认从源地址到目的地址全程网络响应情况 5.定位拥塞点并进行处理。

3) 运维服务管理的完善

在信息系统安全等级保护基本要求中，安全等级保护三级GB/T

22239—2008的基本要求中，明确要求网络系统必须具备结构化的安全保护能力，具体要求包括： 网络设备防护（G3）

本项要求包括：

a) 应对登录网络设备的用户进行身份鉴别； b) 应对网络设备的管理员登录地址进行限制； c) 网络设备用户的标识应唯一；

d) 主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别；

e) 身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；

f) 应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；

g) 当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；

h) 应实现设备特权用户的权限分离。

根据信息系统安全等级保护基本要求及测评结果，省公司信息网络中网络设备及技术在运维管理方面主要存在以下问题： 1）网络设备的远程管理采用明文的Telnet方式； 2）部分网络设备采用出厂时的默认用户名；

3）交换机、IPS等未开启日志审计功能，未配置相应的日志服务器； 4）IPS为B/S控制模式，管理服务器地址、登录等未作访问控制;

5)防火墙目前为网段级的访问控制，控制粒度较粗；

6)网络设备登录身份鉴别信息复杂度较低，口令简单并未定期更换；

7)未开启网络设备登录失败处理功能，未限制非法登录次数，当网络登录连接超时时未设置自动退出等措施；

8)缺少对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查与监测措施；

9)未限制网络最大流量数及网络连接数。

10）网络中透明模式的防火墙较多，当防火墙转发出现故障，但接口为UP时无法实现切换。

11）未对OSPF进行接口认证配置

针对以上问题，结合《信息安全技术信息安全等级保护基本要求》，整改方案如下：

1）关闭防火墙、交换机和IDS的telnet服务，启用安全的管理服务，如SSH和https。实施配置如下： 思科设备配置命令： Router#config terminal

Router(config)#access-list 101 permit tcp 10.52.xx.xx 0.0.0.0 eq 22 any（只允许10.52.xx.xx保垒机ssh登录）

Router(config)#line vty 0 4（配置端口0-4）

Router(Config-line)#Transport input ssh（开启ssh协议） Router(Config-line)#exec-timeout 5 0 Router(Config-line)#access-class 101 in

Router(Config-line)#end Router#config terminal Router(config)#line vty 5 15

Router(Config-line)#no login(建议vty开放5个即可，多余的可以关闭) Router(Config-line)#exit Router(Config)#exit Router#write

H3C设备配置命令 //生成1024位的rsa本地密钥对 [H3C]public-key local create rsa The range of public key size is (512 ~ 2048). NOTES: If the key modulus is greater than 512, It will take a few minutes. Press CTRL+C to abort. Input the bits in the modulus[default = 512]:1024 Generating keys... .......++++++ ........++++++ ...................++++++++ ............++++++++ [H3C] H3C设备配置命令 # //并发配置用户数量为5 configure-user count 5 # //用于登录的用户名client1、密码client1和登录类型SSH、登录优先级3 local-user client1 password simple client1 service-type ssh level 1 # //SSH服务器配置， ssh server enable //SSH用户client1的服务类型为stelnet，即安全Telnet，使用密码认证方式 ssh user client1 service-type stelnet authentication-type password # user-interface vty 0 4 //vty登录用户需要进行aaa认证 authentication-mode scheme # //关闭telnet登陆 undo telnet server enable # //设置允许登陆设备IP地址 acl number 3000 rule 1 permit tcp source 10.52.xx.xx 0 destination-port eq 22 //设置scheme认证及登陆访问控制 user-interface vty 0 4 authentication-mode scheme protocol inbound ssh acl 3000 inbound 2)修改网络设备出厂时的默认口令，且修改后的口令应满足长度大于等于8位、含字母数字和字符的强度要求，其它不满足此口令强度要求的，均需要进行修改。IDS验收后，需及时修改口令；交换机需修改其SNMP口令串；防火墙口令应满足口令强度要求。交换机SNMP口令串修改实施步骤如下： 思科设备配置命令： Router#config terminal

Router(config)# no snmp-server community COMMUNITY-NAME1 RO （删除原来具有RO权限的COMMUNITY-NAME1）

Router(config)# snmp-server community COMMUNITY-NAME RO

（如需要通过snmp进行管理，则创建一个具有读权限的COMMUNITY-NAME，若COMMUNITY-NAME权限为RW,则将命令行中RO更改为RW） Router(config)# snmp-server enable traps （允许发出Trap） Router(config)#exit Router#write

H3C设备配置命令 # //配置SNMP参数，不需要配置 snmp-agent //local-engineid是自动生成的，不需要配置 snmp-agent local-engineid 800007DB03000FE2000003 //配置SNMP读写属性，必须配置 snmp-agent community write private snmp-agent community read public //配置SNMP版本，缺省版本3 snmp-agent sys-info version all # 3）交换机、IDS和防火墙等应开启日志审计功能，并配置日志服务器保存交换机、IDS和防火墙的日志信息。日志审计和日志收集存储于服务器实施配置如下： 思科设备配置命令： Route#config terminal

Route(config)#logging on （启用日志审计）

Route(config)#logging console notification （设置控制等级为5级：notification） Route(config)#!Set a 16K log buffer at information level

Route(config)#logging buffered 16000 information （设置其大小为16K） Route(config)#!turn on time/date stamps in log messages

Route(config)#service timestamp log datetime msec local show-timezone Route(config)#!set monitor logging level to level 6 Route(config)#logging monitor information Route(config)#exit

Route#!make this session receive log messages Route#terminal monitor Route#config terminal

Route(config)#logging trap information （控制交换机发出日志的级别为6级：information）

Route(config)#logging 192.168.10.188 （将日志发送到192.168.10.188，如需修改服务器，可采用Route(config)#no logging 192.168.10.188删除，然后重新配置日志服务器）

Route(config)#logging facility local6

Route(config)#logging source-interface FastEthernet 0/1 （设置发送日志的以太网口） Route(config)#exit Route#config terminal

Route(config)#logging trap information

Route(config)#snmp-server host 10.52.xx.xx traps public （配置发送trap信息主机）

Route(config)#snmp-server trap-source Ethernet 0/1 Route(config)#snmp-server enable traps syslog Route(config)#exit Route# write

H3C设备配置命令 # //指定loopback0作为发送日志信息的源地址 info-center loghost source LoopBack0 //配置日志主机IP地址 info-center loghost 10.52.xx.xx # //连接日志主机接口配置 interface Ethernet0/1 port link-mode route ip address 10.52.21.xx 255.255.255.0 # //配置 loopback0地址 interface LoopBack0 ip address 10.52.210.xx 255.255.255.255 # 4) 口令必须具有一定强度、长度和复杂度，长度不得小于8位字符串，要求是字母和数字或特殊字符的混合，用户名和口令禁止相同。

口令要及时更新，要建立定期修改制度，其中系统管理员口令修改间隔不得超过3个月，并且不得重复使用前3次以内的口令。用户登录事件要有记录和审计，同时限制同一用户连续失败登录次数，一般不超过3次。

5)所有网络设备均应开启网络设备登录失败处理功能、限制非法登录次数、当网络登录连接超时时自动退出等措施。网络登录连接超时时自动退出实施如下： 思科设备配置命令： Router#config terminal

Router(Config)#line con 0 配置控制口

Router(Config-line)#exec-timeout 5 0 设置超时5分钟 Router(Config-line)#exit Router(Config)#exit Router#write

6)部署桌面管理系统，对内部网络中的用户网络连接状态进行实时监控，以保证内部用户不可私自联到外部网络；配置桌面管理系统策略，对私自连接到外网的内部用户进行准确定位并阻断内外网互通。

7)在交换机上限制网络最大流量数及网络连接数。实施配置如下： 思科设备配置命令： Router#config terminal

Router(config)# access-list 101 deny tcp 10.52.31.0 0.0.0.255 any www（禁止10.52.31.0网段访问Internet）

Router(config)# access-list 102 deny tcp 10.52.31.0 0.0.0.255 any ftp（禁止10.52.31.0网段ftp服务）

Router(config)# ip nat translation max-entries 10.52.31.0 0.0.0.255 200（限制10.52.31.0网段的主机NAT的条目为200条） Route(config)#exit Route# write

MSR配置 # //指定NAT日志主机地址及UDP端口号，9021是XLog默认端口 userlog nat export host 10.52.xx.xx 9021 # //用于NAT的ACL acl number 2000 rule 0 permit source 10.52.xx.xx 0.0.0.255 # //使能NAT日志功能 nat log enable //创建NAT Session时创建日志 nat log flow-begin //打开NAT活跃流记录功能 nat log flow-active 10 # 8)由于网络中防火墙为透明模式，当防火墙接口为UP，但存在转发故障时，无法实现切换，故需要对路由器及交换机配置检测机制以实现网络冗余切换，配置如下:

H3C设备配置 # interface GigabitEthernet0/0 port link-mode route ip address 1.2.0.1 255.255.255.0 # //配置探测组admin oper nqa entry admin oper //类型为ICMP-Echo，即ping操作 type icmp-echo //ping的目的地址1.2.0.2 destination ip 1.2.0.2 //频率为1000毫秒，即1秒 frequency 1000 //配置反应组1，即如果连续测试3次失败则触发相关动作 reaction 1 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only # //将静态路由和跟踪组1绑定 ip route-static 0.0.0.0 0.0.0.0 1.2.0.2 track 1 # //跟踪组1和admin oper的reaction 1绑定，即反应组1触发跟踪组1 track 1 nqa entry admin oper reaction 1 # //使能nqa nqa agent enable //nqa调度配置，即从配置开始起一直进行调度测试 nqa schedule admin oper start-time now lifetime forever 9）开启楼层接入交换机的接口安全特性，并作MAC绑定 10）关闭不必要的服务

? 禁止CDP(Cisco Discovery Protocol) ? 禁止TCP、UDP Small服务 ? 禁止Finger服务 ? 禁止NTP服务

? 禁止BOOTp服务（路由器适用） ? 禁止IP Source Routing

? 禁止IP Directed Broadcast（路由器和三层交换机适用） ? 启用service password-encryption ? 关闭WINS和DNS服务 ? 关闭ARP-Proxy服务

11）其它安全要求

? 禁止从网络启动和自动从网络下载初始配置文件。 ? 禁止未使用或空闲的端口 ? 符合banner的设置要求 ? 符合设备提示符的设置要求 ? 启用源地址路由检查（路由器适用） ? VTP设置密码（交换机适用）

本文来源：https://www.bwwdw.com/article/cbww.html