长江南京航道局网络安全设备升级改造实施方案

长江南京航道局网络安全设备

升级改造实施方案

一、网络概述 1.1网络环境描述

南京航道局网络如图所示，这是一种星型网络拓扑结构图。在我们所看到的这张航道局的网络拓扑图上，左下角这块就是以华为AR46-80为核心的内网；右上角这块就是以FG300A、启明星辰IPS、绿盟等安全设备为主的外网；右下角这块主要针对挂在支撑平台交换6506R下的WEB网站服务器。

当前长江南京航道局网络拓扑图：

1.2网络设备及IP描述

? 外网路由器AR46-80

1) 管理地址：172.18.194.1 ? 外网防火墙FG300A

2) 工作模式：透明模式。 3) 管理地址：172.18.194.253 ? 启明星辰IPS

1) 工作模式：单对串接模式（相当于透明模式）。 ? 绿盟内容安全管理

1) 工作模式：直通模式（相当于透明模式）。 2) 管理地址：172.18.194.252 ? 内网防火墙FG300A

1) 工作模式：NAT模式。 2) 管理地址：172.18.193.253 ? 内网核心交换机6506R

1) 管理地址：172.18.192.254 ? 支撑平台交换机6506R

1) 管理地址：172.18.193.254 ? WEB网站服务器

2) 网站地址：172.18.193.193

1.3网络设备改造前接口图

二、网络安全实施方案

2.1网络安全实施前期准备

在外网网络中，涉及的网络设备为外网路由器华为AR46-80、外网防火墙飞塔FG300A、入侵防御IPS NDP100和内容安全管理绿盟ICEYE604C，在本次实施中，我们需要对入侵防御IPS进行网络位置迁移，因此我们需要做好相关设备配置备份工作，当因网络迁移导致网络故障后，第一时间还原并恢复网络的正常。

关于网络设备配置备份的重要性，这里不作过多描述，毋庸置疑的是一旦设备因配置丢失导致网络中断后，那么恢复起来需要消耗大量的时间，对因长时间网络中断而造成的损失是无法估计的，它的重要性也就不言而喻了。

在实际网络设备迁移中，如果排除设备之间线缆连接距离的问题，甚至我们的实施工作都不需要中断设备电源，这样也保证了对网络的影响降到了最低。针对网络设备的配置备份，这里不再区分外网与内网，因为实际上我们实施时除了不会对内网造成影响外，其它外网访问及WEB网站服务器都会有相应的影响，因此我们会对网络中所有主要网络设备进行配置备份，主要设备如下：外网路由器华为AR46-80、外网防火墙FG300A、绿盟内容安全管理、内网防火墙FG300A、内网核心交换机6506R、支撑平台交换机6506R。

2.2网络安全实施停机时间

关于在网络安全实施过程中的网络中断时间，我们分为外网停机时间与WEB网站服务器停机时间，理论上两者是独立开来不受影响的，至于内网数据，这里不单独分离开来的原因是内网的独立性较强，当外网没有需求访问内网数据时，内网本身与外网就是断开的。

2.2.1外网停机时间

在对外网进行实施时，我们不需要移动设备物理位置，因为本身就在一个机柜，因此我们选择合适的线缆进行连接即可。预计外网停机时间在10分钟内。

2.2.2WEB网站服务器停机时间

在完成外网测试后，需要考虑将入侵防御IPS调整到外网路由器AR46-80和内网防火墙FG300A之间，此时需要中断WEB网站服务器，并且如果当前外网对内网数据有访问需求的话也要暂时中断，原启明星辰IPS保留当前接入模式接入外网路由器和内网防火墙之间。预计WEB网站服务器停机时间在10分钟内。

2.3网络安全实施应急演练 2.3.1网络安全实施演练目的

减少发生网络事故时南京航道局网络修复时间，减少因设备迁移而导致的网络故障；在最短的时间恢复设备正常运行将损失降低到最低。

2.3.2网络安全实施演练范围

此次演练对象为以启明星辰入侵防御IPS NDP100 安全设备为主，主要涉及网络设备有外网路由器AR46-80、外网防火墙FG300A、绿盟内容安全管理、内网防火墙FG300A、内网核心交换机6506R和支撑平台交换6506R。

2.3.3网络安全实施演练内容

本次网络安全实施需要涉及网络设备节点比较多，但是除了需要网络迁移的启明星辰IPS外，其它设备的物理与逻辑位置都不用改变，因此其它设备除了正常的配置做好备份外，不会对网络造成影响。这里我们需要对改变网络位置的启明星辰IPS进行网络安全实施演练即可，这么操作的目的在于当迁移启明星辰IPS后，如果设备出现问题或网络不通畅时，可以在第一时间对网络进行恢复工作。

1) 中断启明星辰IPS两个通信端口后，将对应的外网防火墙与绿盟内容安全管理设备通过线缆连接在一起，并测试相关业务，确保外网恢复正常；如果外网访问存在异常，则接回启明星辰IPS，恢复原本网络并测试业务，确保网络恢

复正常。

2) 中断WEB服务器网络，断掉外网路由器AR46-80和内网防火墙之间的通信端口，并接入启明星辰IPS，如果WEB网站服务器可以正常访问，并且当把内网核心交换机与内网防火墙连接时，可以通过外网访问内网数据，则网络正常；如果迁移进IPS后，WEB服务器不可以被访问，外网也不可以正常访问内网数据，则撤掉IPS，恢复原本网络并测试业务，确保网络恢复正常。

2.4网络安全实施过程

2.4.1网络安全实施端口拓扑图

2.4.1.1当前网络安全实施端口拓扑图

2.4.1.2改造后网络安全实施端口拓扑图

2.4.2网络安全实施过程

2.4.2.1外网网络安全实施过程

外网网络安全的实施主要以迁移启明星辰入侵防御IPS NDP100为主，当前IPS通过Port1与外网防火墙的Port6口连接，Port2与绿盟内容安全管理的Eth1口连接，网络改动后，外网防火墙的Port6口与绿盟内容安全管理的Eth1口连接。操作步骤如下：

1) 迁移前先测试相关业务，确保当前外网可以正常访问。

2) 拔出IPS、外网防火墙和绿盟内容安全管理设备三者之间对应接口的通

信线缆。

3) 将外网防火墙的Port6口与绿盟内容安全管理设备的Eth1口通过线缆

连接。

4) 测试相关业务，确保外网可以正常访问。

2.4.2.2WEB服务器安全实施过程

WEB服务器安全的实施主要也是以迁移启明星辰入侵防御IPS NDP100为主，当前内网防火墙的Port6口与外网路由器AR46-80的GE0/0/1口连接。网络改动后，内网防火墙的Port6口与启明星辰入侵防御IPS NDP100的Port2口连接，启明星辰入侵防御IPS NDP100的Port1口与外网路由器AR46-80的GE0/0/1口连接。操作步骤如下：

1) 迁移前先测试相关业务，确保当前WEB服务器可以被正常访问。 2) 拔出内网防火墙FG300A和外网路由器AR46-80之间对应接口的通信线

缆。

3) 将内网防火墙的Port6口与IPS的Port2口通过线缆连接，将IPS的

Port1口与外网路由器AR46-80的GE0/0/1口通过线缆连接。 4) 测试相关业务，确保WEB网站服务器可以被正常访问，内网数据也可以

被外网访问。

本文来源：https://www.bwwdw.com/article/hnkx.html