引言
網(wǎng)絡(luò)信息安全是一個(gè)企業(yè)信息化發(fā)展和進(jìn)步的重要信息安全基礎(chǔ),也是國(guó)家信息安全等級(jí)保護(hù)基本要求的內(nèi)容之一。浙江省電力試驗(yàn)研究院高度重視網(wǎng)絡(luò)信息安全管理,把信息安全納入電力生產(chǎn)安全同等管理。2010年,浙江省電力試驗(yàn)研究院依據(jù)國(guó)網(wǎng)公司“SG186工程安全防護(hù)總體方案”中的“雙網(wǎng)雙機(jī)、分區(qū)分域、等級(jí)保護(hù)、多層防護(hù)”基本要求,在企業(yè)原有網(wǎng)絡(luò)安全防護(hù)基礎(chǔ)上開展了網(wǎng)絡(luò)二級(jí)域改造建設(shè),以提升企業(yè)網(wǎng)絡(luò)安全防護(hù)水平。
1 網(wǎng)絡(luò)概況
浙江省電力試驗(yàn)研究院作為省電力公司直屬企業(yè),企業(yè)網(wǎng)絡(luò)以局域網(wǎng)方式接入省公司骨干網(wǎng)為主,信息網(wǎng)的骨干數(shù)據(jù)交換通過3層主交換機(jī)Foundry Biglron 8000實(shí)現(xiàn),各部門及其下屬單位通過二層接入交換機(jī)或匯聚交換機(jī)接入企業(yè)信息網(wǎng),實(shí)現(xiàn)用戶終端接入企業(yè)辦公信息網(wǎng)。企業(yè)信息網(wǎng)中的3層核心主交換機(jī)采用Foundry Biglron 8000設(shè)備(下稱Foundry Biglron 8000-1和Founcry Biglron 8000—2)進(jìn)行部署,采用靜態(tài)路由方式與省公司對(duì)端設(shè)備進(jìn)行靜態(tài)路由相聯(lián)。企業(yè)信息網(wǎng)網(wǎng)絡(luò)拓?fù)涫疽鈭D如圖1所示。
基于圖1中的網(wǎng)絡(luò)拓?fù)涫疽饨Y(jié)構(gòu)圖,核心主交換機(jī)Foundry Biglron 8000-1和Foundry Biglron 8000-2之間運(yùn)行虛擬路由器冗余協(xié)議(VRRP:Virtual Router RedundancyProtoco1),以達(dá)到路由備份冗余的目的。各樓層交換機(jī)亦采用雙鏈路分別上聯(lián)核心主交換機(jī)Foundry Biglron 8000一1和Founcry Biglron 8000-2設(shè)備,達(dá)到網(wǎng)絡(luò)鏈路及設(shè)備的熱備份效果。但問題在于:企業(yè)信息網(wǎng)中所有應(yīng)用服務(wù)器均直接接入到核心主交換機(jī)Foundry BigIron 8000設(shè)備上,均通過主交換機(jī)Foundry Biglron 8000的物理端口實(shí)現(xiàn)數(shù)據(jù)包轉(zhuǎn)發(fā);趫D1網(wǎng)絡(luò)架構(gòu)示意圖,網(wǎng)絡(luò)架構(gòu)主要缺陷在于,即本項(xiàng)目改造的主要出發(fā)點(diǎn):是企業(yè)信息網(wǎng)無法定義結(jié)構(gòu)化的路由域以及無法清晰地界定重要服務(wù)器與普通內(nèi)網(wǎng)PC的之間的邊界。因此,企業(yè)信息網(wǎng)絡(luò)需要進(jìn)行網(wǎng)絡(luò)安全域改造,通過建設(shè)二級(jí)服務(wù)器域和桌面系統(tǒng)域,以劃分清晰的二級(jí)服務(wù)器域和桌面終端域,實(shí)行邊界安全防護(hù)。
圖1 網(wǎng)絡(luò)拓?fù)涫疽鈭D
2 改造方法及步驟
按照“三級(jí)系統(tǒng)獨(dú)立成域、二級(jí)系統(tǒng)統(tǒng)一成域 的域劃分原則,在本案中,應(yīng)該為本企業(yè)信息網(wǎng)絡(luò)系統(tǒng)劃分一個(gè)統(tǒng)一的二級(jí)系統(tǒng)服務(wù)器域和桌面終端域,并分別進(jìn)行安全防護(hù)和管理。二級(jí)系統(tǒng)服務(wù)器域與桌面終端域間實(shí)行橫向域間的安全防護(hù)措施,以實(shí)現(xiàn)域間的安全防護(hù)。安全域劃分示意圖如圖2所示。
圖2 安全域劃分示意圖
因此,為建立二級(jí)系統(tǒng)服務(wù)器域,需新增加兩臺(tái)交換機(jī)(下稱Cisco A 和CiscoB)作為二級(jí)系統(tǒng)服務(wù)器域的接入交換機(jī),并把原部屬在核心主交換機(jī)Foundry Bigiron 8000設(shè)備上的所有應(yīng)用服務(wù)器下移到新增的網(wǎng)絡(luò)交換機(jī)Cisco設(shè)備上。同時(shí),CiscOA和CiscoB將通過開放式最短路徑優(yōu)先協(xié)議(OSPF:Open Shortest Path)分別與兩臺(tái)核心主交換機(jī)Foundry Biglron 8000互聯(lián),且原有在Founcry Biglron 8000設(shè)備上的服務(wù)器網(wǎng)段的網(wǎng)關(guān)將下移至Cisco A和Cisco B上,Cisco A和Cisco B之間將運(yùn)行熱備份路由器協(xié)議(HSRP),實(shí)現(xiàn)服務(wù)器網(wǎng)段網(wǎng)關(guān)、設(shè)備、鏈路冗余。據(jù)此,工程實(shí)施步驟需分三步進(jìn)行:
(1)Cisco A和Cisco B路由設(shè)備配置服務(wù)器網(wǎng)段(Vlan),井與核心主交換機(jī)Foundry Biglron 8000進(jìn)行Trunc連接。即:在Foundry Biglron 8000-1、Foundry Biglron 8000—2、CiscoA和CiscoB 4臺(tái)設(shè)備間設(shè)置二層Trunc鏈路,形成環(huán)網(wǎng)。
(2)服務(wù)器鏈路按重要等級(jí)順序遷移到Cisco A和CiscoB路由設(shè)備上,并測(cè)試所有應(yīng)用系統(tǒng)網(wǎng)絡(luò)及業(yè)務(wù)是否正常。
(3)將Foundry Biglron 8000-1設(shè)備與Cisco A設(shè)備互聯(lián)接口由二層Trunc模式修改為三層模式,同樣將FoundryBiglron 8000-2設(shè)備與Cisco B設(shè)備的互聯(lián)接口由二層Trunc模式修改為三層模式,并在此4臺(tái)設(shè)備上分別啟用OSPF協(xié)議,產(chǎn)生動(dòng)態(tài)路由條目。
(4)實(shí)行vlan訪問控制措施,實(shí)現(xiàn)橫向域間邊界防護(hù)。即在新增的服務(wù)器域交換機(jī)上,根據(jù)業(yè)務(wù)訪問規(guī)則和安全需求,配置vlan ACL,達(dá)到桌面終端到服務(wù)器的橫向訪問控制。
3 異常情況分析與處理
3.1 異常情況描述
在實(shí)施了第1步、第2步后,所有應(yīng)用服務(wù)器均平滑下移到新增的Cisco A和Cisco B路由設(shè)備上,但當(dāng)實(shí)施了第3步后,即當(dāng)把Foundry Biglron 8000-1與CiscoA ,F(xiàn)oundryBiglron 8000-2與CiscoB之間由二層Trunc鏈路修改為物理三層接口互聯(lián),并啟用CiscoA、CiscoB與2臺(tái)Foundry Biglron8000設(shè)備的OSPF路由動(dòng)態(tài)協(xié)議,產(chǎn)生動(dòng)態(tài)路由條目信息后,我們經(jīng)過測(cè)試發(fā)現(xiàn):4臺(tái)設(shè)備路由表信息建立正常,用戶終端到服務(wù)器端設(shè)備的PING 包正常,客戶端到服務(wù)器端TELNET端口正常,但是存在部分7層應(yīng)用服務(wù)出現(xiàn)異,F(xiàn)象。如遠(yuǎn)程桌面只能連通一次就無法再連接,部分服務(wù)器的WEB應(yīng)用服務(wù)只能個(gè)別終端能訪問,大部分終端無法正常訪問等異,F(xiàn)象。
3.2 異常情況分析
當(dāng)網(wǎng)絡(luò)遇到異常時(shí),技術(shù)人員首先關(guān)心的是如何確定并修復(fù)異常,使網(wǎng)絡(luò)快速恢復(fù)正常運(yùn)行。因此,必須及時(shí)收集有關(guān)信息,并對(duì)所發(fā)生的問題進(jìn)行仔細(xì)分析,通常從以下3個(gè)方面進(jìn)行分析。
(1)應(yīng)用程序問題:部分應(yīng)用可能出現(xiàn)網(wǎng)絡(luò)中斷后,應(yīng)用服務(wù)需要重啟才能正常提供服務(wù)的情況。
(2)網(wǎng)絡(luò)硬件問題:如設(shè)備連接、硬件、線路問題而引發(fā)網(wǎng)絡(luò)不穩(wěn)定或網(wǎng)路異常問題。
(3)網(wǎng)絡(luò)配置問題:如網(wǎng)絡(luò)協(xié)議、配置問題造成網(wǎng)絡(luò)不穩(wěn)定異常。
3.3 異常情況處理
(1)應(yīng)用程序問題排查:針對(duì)部分應(yīng)用服務(wù)器的遠(yuǎn)程桌面無法正常連接的問題,我們通過與業(yè)務(wù)部門聯(lián)系,采用應(yīng)用程序重啟的方式。重啟后,經(jīng)過測(cè)試,我們發(fā)現(xiàn)故障仍然存在。因此,排除了應(yīng)用服務(wù)本身問題的可能性。
(2)網(wǎng)絡(luò)硬件問題排查:我們從網(wǎng)絡(luò)設(shè)備及硬件基礎(chǔ)設(shè)施著手,逐步更換了網(wǎng)絡(luò)設(shè)備的尾纖、光模塊(SFP)、設(shè)備接入板卡槽位。通過測(cè)試發(fā)現(xiàn),問題依然無法解決。故也排除了硬件引發(fā)故障的可能性。
(3)網(wǎng)絡(luò)配置問題排查:首先,我們懷疑可能是網(wǎng)絡(luò)數(shù)據(jù)包收和發(fā)的網(wǎng)絡(luò)路徑不一致而引發(fā)網(wǎng)絡(luò)的不穩(wěn)定。因此,我們上調(diào)了主交換設(shè)備Foundry Biglron 8000-1和主交換Foundry Biglron 8000-2之間、路由器Cisco A和路由器Cisco B之間的路由成本值(cost),進(jìn)一步確保網(wǎng)絡(luò)數(shù)據(jù)包收和發(fā)能使用同一路徑。但測(cè)試表明,cost值調(diào)整后,問題依然存在。
然后,我們將Foundry Biglron 8000-2與CiscoB之間的鏈路斷開后,經(jīng)過測(cè)試,問題仍然存在}但是當(dāng)斷開FoundryBiglron 8000—1與Cisco A鏈路(保留Foundry Biglron 8000-2與Cisco B的鏈路),我們測(cè)試發(fā)現(xiàn):7層應(yīng)用恢復(fù)正常,遠(yuǎn)程桌面等問題也得到正;謴(fù)。所以,我們確定了是FoundryBiglron 8000-1和Cisco A之間鏈路配置的問題。
明確問題所在后,我們通過分析,核心主交換機(jī)FoundryBiglron 8000與Cisco A或Cisco B路由器的網(wǎng)絡(luò)互連可以有3種方式(三層物理接口互連、網(wǎng)段Vlan接口的Trunc互連、網(wǎng)段Vlan接口的Access互連),為實(shí)現(xiàn)Foundry Biglron-1與Cisco A的正常連接.如表1所示,我們對(duì)各種可能性進(jìn)行了測(cè)試,結(jié)果我們發(fā)現(xiàn),若Foundry Biglron 8000-1使用物理3層接口,無論CicSOA 設(shè)備采用3種方式(三層物理接口互連、網(wǎng)段Vlan接口的Trunc互連、網(wǎng)段Vlan接口的Access互連)的任何一種,網(wǎng)絡(luò)異常將存在。而當(dāng)Foundry Biglron8000-1采用基于Trunc鏈路模式的Vlan接口,或基于Access的Vlan接口,則網(wǎng)絡(luò)恢復(fù)正常。
表1 Foundry Biglron 8000 與Cisco 三層互聯(lián)測(cè)試表
因此,為加強(qiáng)安全性,我們將Foundry Biglron 8000-1的互聯(lián)接口設(shè)置為基于Access的Vlan接口,Cisco A采用物理三層接口,網(wǎng)絡(luò)及應(yīng)用均恢復(fù)了正常。通過網(wǎng)絡(luò)異常的分析與處理,我們發(fā)現(xiàn)問題主要在于不同網(wǎng)絡(luò)廠家設(shè)備之間三層互聯(lián)方式問題上,通過轉(zhuǎn)換互連方式,網(wǎng)絡(luò)異常最終得以解決。
4 結(jié)語
本文探討了電力直屬企業(yè)基于等級(jí)保護(hù)的網(wǎng)絡(luò)安全防護(hù)改造方法,提出了通過新增加網(wǎng)絡(luò)設(shè)備,構(gòu)建服務(wù)器二級(jí)域,以清晰劃分企業(yè)信息網(wǎng)的服務(wù)器域與桌面終端域,通過配置Vlan ACL措施實(shí)現(xiàn)安全域安全防護(hù)的基本措施和基本步驟,并在浙江省電力試驗(yàn)研究院具體案例中加以實(shí)踐。實(shí)踐表明:該方法簡(jiǎn)單、有效,能夠達(dá)到國(guó)家等級(jí)保護(hù)基本要求,達(dá)到國(guó)網(wǎng)公司SG186工程安全總體防護(hù)的要求。在工程實(shí)施中,也遇到了不同廠家設(shè)備之間在啟用3層接口互聯(lián)上,由于技術(shù)人員對(duì)設(shè)備性能及配置不夠熟悉等原因產(chǎn)生網(wǎng)絡(luò)異常現(xiàn)象。技術(shù)人員通過多種方法測(cè)試、驗(yàn)證、排錯(cuò),最終采用了安全性較高一種互聯(lián)配置模式,恢復(fù)正常網(wǎng)絡(luò)。因此.本文中基于等級(jí)保護(hù)的網(wǎng)絡(luò)安全防護(hù)改造方法及網(wǎng)絡(luò)改造中網(wǎng)絡(luò)異常的分析排查處理經(jīng)驗(yàn)對(duì)同類型企業(yè)網(wǎng)絡(luò)改造具有一定的參考和借鑒意義。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:基于等級(jí)保護(hù)的網(wǎng)絡(luò)改造方法及異常情況分析與處理
本文網(wǎng)址:http://www.ezxoed.cn/html/support/1112185051.html