今天给大家带来的是一套《XX机构1号网部分业务区域间新增防火墙-割接方案》,该文档适合网络割接实施工程师进行参考,下面是目录:
XX机构1号网自2015年新建运行至今已达6年,由于在此时间段内,行业相关架构安全政策已经发生较大的变化,且在经过对现网架构进行全面评估后,发现当前架构区域和区域之间缺少明显的区域边界设备,不符合相关架构安全政策要求,因此在经过多方多轮技术讨论之后,计划于2021年5月中旬,即该网服务器及其应用升级改造项目实施计划中的专家评审前,对1号网办公OA区、运维管理区、数据资源共享区这三个区域与核心交换区之间进行防火墙新增工作。本次防火墙新增工作主要是在各区域和核心交换区直连的链路上新增一台天融信NGFW4000-UF防火墙,因为该链路原本是一个二层链路,所以该防火墙主要是运行交换模式,并在之后的试运行期间在策略完全放开(any any)的基础上按照现网实际需求写入相应的安全策略,最终在运行平稳后取消完全放开的安全策略。
本文档针对的阅读对象为参与网络割接实施工程师、客户方和相关监理单位,作为此后运维文档以及服务器及其应用升级改造项目交付资料留存。
本实施方案涉及如下范围:
本次实施内容主要包括如下方面:
完成XX机构防火墙新增工作,并保证相关业务通信的正常运行,为后续整个项目的专家评审顺利进行打下基础。
在全面实施前,对整个项目的实施进行统一的总体规划,作为项目实施的设计标准和规范。这部分工作的完成情况将直接影响到整个项目的实施可靠性、安全性和有效性。
XX机构相关区域中的服务器均接入相关的接入交换机,这些交换机的型号均为H3C-S5560-SI,在原有规划中,这些交换机的1号接口均通过一个Trunk链路与H3C-S7506E核心交换机相连,核心交换机上配置有相关区域的vlanif接口作为网关。
该架构在变更之后,原有的办公OA区、运维管理区、资源共享区与核心交换机之间将新增一台防火墙,用于区域和核心、区域和区域之间做访问控制,从而体现出区域边界,由于原有的链路是二层链路,所以该防火墙运行的模式为交换模式,并根据后续的业务需求配置相应的安全策略。
A-XX-Core-Switch
A-XX-OA-access-Switch
A-XX-YunGuan-access-Switch
A-XX-Ziyuan-access-Switch
天融信防火墙与1号网核心交换机通过4号光口连接,办公OA区接入交换机通过5号网口连接、运维管理区接入交换机、资源共享区接入交换机,则通过1、2号电口相连接,其接口互联如下:
防火墙和交换机互联端口规划表:
针对于该防火墙的配置,主要是通过web界面配置进行,步骤如下:
1、将相应的端口配置为交换模式——点击“网络管理 > 接口 > 物理接口”,然后选择相应接口点击“编辑”,根据提示配置接口交换模式,并将相应接口配置为Trunk接口,现阶段在Trunk接口下允许所有vlan-tag通过;(以下为示例图片,并非真实配置)
2、创建和划分安全区域——点击“资源管理 > 区域”,然后在弹出的“添加”窗口配置,其中feth15、feth11、feth12为Trust区域,feth14为untrust区域;(以下为示例图片,并非真实配置)
3、配置安全策略——点击“安全策略 > 访问控制”,在访问控制界面中点击“添加”即可配置相应安全策略,其中Trust到Untrust为放行,用户接入区的所有终端都可以和办公OA区、运维管理区和资源共享区的网络通信配置为放行,最后配置一个临时性安全策略any any。(以下是示例图片,并非真实配置)
“ 21:00开始实施变更 ”
display vlan
display configuration
display interface brief
display ip routing-table(仅在核心交换机上进行)
display mac-address static(仅在各区域接入交换机上进行)
将前期布放的网络线缆打标签并再次复核;
1、将核心交换机上的线缆全部拔出,并接入防火墙的相应接口上;
2、使用一根光纤跳线将防火墙通往核心交换机的接口于核心交换机相连。
在用户接入区交换机上接入一台终端,对各个区域的业务系统进行联通性测试;
1、通过网管平台防火墙进行登录测试;
2、确保SNMP能够网管,确保SecureCRT能远程登录.
1、测试终端与相关业务服务器进行ping测试;核心交换机与相关业务服务器进行ping测试;
Ping 135.46.100.10—13
Ping 135.46.101.10—13
Ping 135.46.102.10—13
2、测试终端与办公OA区内的业务系统进行浏览器登录测试;
3、测试终端与资源共享区内的FTP服务器进行登录测试;
4、运维管理区终端与相关区域内的设备进行网管系统登录测试。
如果在更换过程中遇到暂时不能解决的问题,或者在预期时间内不能完成变更,必须按照以下步骤进行回退:
display interface brief
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。