1、长江南京航道局网络安全设备升级改造实施方案一、网络概述1.1网络环境描述南京航道局网络如图所示，这是一种星型网络拓扑结构图。在我们所看到的这张航道局的网络拓扑图上，左下角这块就是以华为AR46-80为核心的内网；右上角这块就是以FG300A、启明星辰IPS、绿盟等安全设备为主的外网；右下角这块主要针对挂在支撑平台交换6506R下的WEB网站服务器。当前长江南京航道局网络拓扑图：1.2网络设备及IP描述 外网路由器AR46-801) 管理地址： 外网防火墙FG300A2) 工作模式：透明模式。 启明星辰IPS1) 工作模式：单对串接模式（相当于透明模式）。 绿盟内容安全管理1) 工作模式：直通模2、式（相当于透明模式）。 内网防火墙FG300A1) 工作模式：NAT模式。 内网核心交换机6506R1) 管理地址： 支撑平台交换机6506R1) .254 WEB网站服务器2) .1931.3网络设备改造前接口图二、网络安全实施方案2.1网络安全实施前期准备在外网网络中，涉及的网络设备为外网路由器华为AR46-80、外网防火墙飞塔FG300A、入侵防御IPS NDP100和内容安全管理绿盟ICEYE604C，在本次实施中，我们需要对入侵防御IPS进行网络位置迁移，因此我们需要做好相关设备配置备份工作，当因网络迁移导致网络故障后，第一时间还原并恢复网络的正常。关于网络设备配置备份的重要性，这里3、不作过多描述，毋庸置疑的是一旦设备因配置丢失导致网络中断后，那么恢复起来需要消耗大量的时间，对因长时间网络中断而造成的损失是无法估计的，它的重要性也就不言而喻了。在实际网络设备迁移中，如果排除设备之间线缆连接距离的问题，甚至我们的实施工作都不需要中断设备电源，这样也保证了对网络的影响降到了最低。针对网络设备的配置备份，这里不再区分外网与内网，因为实际上我们实施时除了不会对内网造成影响外，其它外网访问及WEB网站服务器都会有相应的影响，因此我们会对网络中所有主要网络设备进行配置备份，主要设备如下：外网路由器华为AR46-80、外网防火墙FG300A、绿盟内容安全管理、内网防火墙FG300A、内网4、核心交换机6506R、支撑平台交换机6506R。2.2网络安全实施停机时间关于在网络安全实施过程中的网络中断时间，我们分为外网停机时间与WEB网站服务器停机时间，理论上两者是独立开来不受影响的，至于内网数据，这里不单独分离开来的原因是内网的独立性较强，当外网没有需求访问内网数据时，内网本身与外网就是断开的。外网停机时间在对外网进行实施时，我们不需要移动设备物理位置，因为本身就在一个机柜，因此我们选择合适的线缆进行连接即可。预计外网停机时间在10分钟内。网站服务器停机时间在完成外网测试后，需要考虑将入侵防御IPS调整到外网路由器AR46-80和内网防火墙FG300A之间，此时需要中断WEB网站服5、务器，并且如果当前外网对内网数据有访问需求的话也要暂时中断，原启明星辰IPS保留当前接入模式接入外网路由器和内网防火墙之间。预计WEB网站服务器停机时间在10分钟内。2.3网络安全实施应急演练网络安全实施演练目的减少发生网络事故时南京航道局网络修复时间，减少因设备迁移而导致的网络故障；在最短的时间恢复设备正常运行将损失降低到最低。网络安全实施演练范围此次演练对象为以启明星辰入侵防御IPS NDP100 安全设备为主，主要涉及网络设备有外网路由器AR46-80、外网防火墙FG300A、绿盟内容安全管理、内网防火墙FG300A、内网核心交换机6506R和支撑平台交换6506R。网络安全实施演练内容6、本次网络安全实施需要涉及网络设备节点比较多，但是除了需要网络迁移的启明星辰IPS外，其它设备的物理与逻辑位置都不用改变，因此其它设备除了正常的配置做好备份外，不会对网络造成影响。这里我们需要对改变网络位置的启明星辰IPS进行网络安全实施演练即可，这么操作的目的在于当迁移启明星辰IPS后，如果设备出现问题或网络不通畅时，可以在第一时间对网络进行恢复工作。1) 中断启明星辰IPS两个通信端口后，将对应的外网防火墙与绿盟内容安全管理设备通过线缆连接在一起，并测试相关业务，确保外网恢复正常；如果外网访问存在异常，则接回启明星辰IPS，恢复原本网络并测试业务，确保网络恢复正常。2) 中断WEB服务器网络7、，断掉外网路由器AR46-80和内网防火墙之间的通信端口，并接入启明星辰IPS，如果WEB网站服务器可以正常访问，并且当把内网核心交换机与内网防火墙连接时，可以通过外网访问内网数据，则网络正常；如果迁移进IPS后，WEB服务器不可以被访问，外网也不可以正常访问内网数据，则撤掉IPS，恢复原本网络并测试业务，确保网络恢复正常。2.4网络安全实施过程2.4.1网络安全实施端口拓扑图当前网络安全实施端口拓扑图改造后网络安全实施端口拓扑图网络安全实施过程2.4.2.1外网网络安全实施过程外网网络安全的实施主要以迁移启明星辰入侵防御IPS NDP100为主，当前IPS通过Port1与外网防火墙的Port8、6口连接，Port2与绿盟内容安全管理的Eth1口连接，网络改动后，外网防火墙的Port6口与绿盟内容安全管理的Eth1口连接。操作步骤如下：1) 迁移前先测试相关业务，确保当前外网可以正常访问。2) 拔出IPS、外网防火墙和绿盟内容安全管理设备三者之间对应接口的通信线缆。3) 将外网防火墙的Port6口与绿盟内容安全管理设备的Eth1口通过线缆连接。4) 测试相关业务，确保外网可以正常访问。服务器安全实施过程WEB服务器安全的实施主要也是以迁移启明星辰入侵防御IPS NDP100为主，当前内网防火墙的Port6口与外网路由器AR46-80的GE0/0/1口连接。网络改动后，内网防火墙的Port6口与启明星辰入侵防御IPS NDP100的Port2口连接，启明星辰入侵防御IPS NDP100的Port1口与外网路由器AR46-80的GE0/0/1口连接。操作步骤如下：1) 迁移前先测试相关业务，确保当前WEB服务器可以被正常访问。2) 拔出内网防火墙FG300A和外网路由器AR46-80之间对应接口的通信线缆。3) 将内网防火墙的Port6口与IPS的Port2口通过线缆连接，将IPS的Port1口与外网路由器AR46-80的GE0/0/1口通过线缆连接。4) 测试相关业务，确保WEB网站服务器可以被正常访问，内网数据也可以被外网访问。