2022年网络安全加固与优化 .pdf

《2022年网络安全加固与优化 .pdf》由会员分享，可在线阅读，更多相关《2022年网络安全加固与优化 .pdf（30页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、在 信 息 系 统 安 全 等 级 保 护 基 本 要 求 中，安 全 等 级 保 护 三 级GB/T 22239 2008 的基本要求中，明确要求网络系统必须具备结构化的安全保护能力，具体要求包括：结构安全（G3）本项要求包括：a)应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；b)应保证网络各个部分的带宽满足业务高峰期需要；c)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径；d)应绘制与当前运行情况相符的网络拓扑结构图；e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段；f)

2、应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段；g)应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。根据 GB/T22239-2008 信息安全技术信息安全等级保护基本要求和国家烟草专卖局办公室2011 年颁布的国家烟草专卖局办公室关于开展烟草行业信息系统安全等级保护整改工作的通知（国烟办综 2011 440 号）等文件的内容，甘肃烟草公司信息网络安全域需根据业务系统等级进行重新划分。甘肃烟草公司信息系统按照业务系统定级，根据不同级别保护需求，按要求划分安全区域进行分级保护。因此，安全域划分是进行

3、信息安全等级保护建设的首要步骤。名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页，共 30 页 -目前甘肃烟草公司各安全域之间缺乏有效的控制措施不能够保障业务系统安全、独立运行，不受其他业务系统的影响,现有拓扑结构如下图所示：依据甘肃省烟草公司安全分区、分级、分域及分层防护的原则，管理信息按照双网隔离方案又分为信息内网与信息外网。本方案主要针对公司信息系统进行等级保护建设。在进行安全防护建设之前，首先实现对信息系统的安全域划分。结合甘肃烟草公司网络现状，采用VLAN 划分的方法，将甘肃烟草信息系统分为：内部业务域，数据存储域、外部业务域、运维管理域、内部用户接入域、地市用户域、合作单位

4、接入域以及核心网络域。并且在内部业务域中，根据业务系统的重要性以及信息系统的分级情况，把三级系统和数据库系统单独划分独立区域，二级信息系统及非重要未定级的信息系统划分为一个区域。从而形成分区、分级、分域的立体式安全域划分。名师资料总结-精品资料欢迎下载-名师精心整理-第 2 页，共 30 页 -针对此次安全域的划分，对二三级域与其他区域之间存在的边界进行分类描述。主要分为三种边界类型，一种是与Internet 边界相连的互联网边界，一种是与国家烟草局、合作单位及各地市烟草相连的纵向网络边界，一种是与桌面终端内部用户相连的横向域间的边界。在此次整改建设中要梳理出个域之间的访问控制关系，明晰区域边

5、界的范围。拓扑结构的改造目标如下图所示：电信InternetH3Cs5500上网行为管理MSR5060电信 SDH地市公司稽查/质检分公司物流/仓库县公司/区域营销外联银行烟草行业网甘肃烟草行业网站下一代防火墙DNSMAILISAIBMInfo-S7510E-1Info-S7510E-2S7506E-1S7506E-2Ids/ipsIds/ipsData-S7510E-1Data-S7510E-2数据库审计-1Radware绿盟 WAF-1外联 DMZNeteye5120-1MSR5040-1Neteye4120-1Cisco-3825-1兰州市中心交易中心CISCO3640CISCO7606

6、CISCO7507CISCO2611neteye4032国家局防火墙-1国家局防火墙-2SRG3250H3C-5040垃圾邮件网关垃圾邮件网关漏洞扫描动态短信口令运维审计-1网络安全审计下一代防火墙绿盟 IPSDMZ 交换机地市节点Radware移动InternetH3C-Firewall外联银行MSR5040-2Neteye5120-2Neteye4120-2Cisco-3825-2绿盟 WAF-2RadwareRadware电信MSTP县区节点上网行为管理Neteye4120-1Neteye4120-2下一代防火墙SSLWWW新商盟RadwareRadware准入控制-1准入控制-2运维审

7、计-2数据库审计-2T200-1T200-2S7502E-2S7502E-1SR8805-1SR8805-2FS2000IP SANA1000IMC信安 CA东口办公区核心交换区新数据中心区五泉办公区CISCO-S6509CISCO-S6509H3C-Firewall新网管区地县节点互联网区数据中心区外联区公共服务区内联区甘肃烟草公司网络规划拓扑图1)网络域的划分a.互联网域是甘肃烟草公司全省的统一互联网访问出口，为省级、地市级办公域的内部用户提供互联网的访问。是甘肃烟草办公网络与互联网之间的边界，在此区域部署有入侵防护、下一代防火墙及上网行为管理等安全设备。通过上网行为规范内名师资料总结-精

8、品资料欢迎下载-名师精心整理-第 3 页，共 30 页 -部用户访问互联网的各种行为，同时保证对带宽的合理分配及资源的有效控制。通过防火墙及入侵防护应对进出网络的信息内容进行过滤，实现了网络边界处的防范。b.内联域涵盖了烟草行业内部机构，包括地市公司、质检、物流、稽查队、县营销部、客户服务部、欣大公司及国家烟草局的接入，实现行业内部系统应用的互访及数据交互等功能。在每一类内部行业用户的接入点均部署有防火墙及入侵防护及网络准入等边界防护设备，可实现对内联用户细粒度的访问控制规则设定。c.外联域外联域主要提供烟草行业内部的业务系统与外联银行的数据接口服务，实现对银行扣款，在线支付等功能的安全接入。

9、在边界处部署有防火墙进行访问控制及边界防护。d.网络安全管理域此区域是本次项目建设采购的安全设备单独划分的管理区域，只允许后台管理人员进行访问。部署有网络准入控制、终端管理、运维审计、网络安全审计、动态短信口令身份认证系统及漏洞扫描系统等安全管理设备，通过运维审计系统实现对运维人员的访问控制。e.核心交换域甘肃烟草骨干网络的核心数据交换区域，采用双核心的冗余链路设计，保障了稳定性的同时，将其他各个区域联通实现内部业务数据的高速交换。f.公共服务域是甘肃烟草公司依据国家烟草局的相关要求，建设的新商盟对外发布公共服名师资料总结-精品资料欢迎下载-名师精心整理-第 4 页，共 30 页 -务的区域。

10、此区域不提供内部办公人员的业务访问，只为后台管理人员开放运维接口。该区域按照国家局的要求，部署有IPS,WAF，FW 等安全设备，通过本次项目的安全加固，可令该区域基本满足信息安全等级保护三级的基本要求。g.办公域办公域为东口及五泉两处的烟草办公人员提供烟草内部网络的访问接入，实现对烟草业务系统的办公访问需求及互联网访问需求。h.服务器域部署有支撑甘肃烟草公司八大核心业务系统的各种服务器及小型机。对该区域需实现详细的访问控制过程，主要通过数据库审计对数据库的各类业务操作实现详细记录，并通过与网络安全管理域的联动，实现对访问该区域的人员的身份鉴别及行为审计等安全控制措施。2)访问控制规则的完善a

11、.从甘肃烟草网络拓扑结构可以看到，在目前，甘肃互联边界使用了两台netsys4120 设备作为安全控制设备及一台上网行为管理，存在单点故障，同时，由于两台 netsys4120 设备使用年限比较长，存在一定的性能问题，为此，经过沟通，在本次设备更换实施中，将使用两台性能更好的山石防火墙，替换现有的netsys4120 防火墙，并以冗余热备的形式，实现业务系统接入的冗余功能。针对以上问题，结合信息安全技术信息安全等级保护基本要求，整改方案如下：割接前部分拓扑如下：名师资料总结-精品资料欢迎下载-名师精心整理-第 5 页，共 30 页 -InternetH3Cs5500MSR5060netsys4

12、120S75106E-1S75106E-2Ids/ipsIds/ipsnetsys4120上网行为管理核心交换区互联网域本次割接替换设备本次割接替换设备割接后部分拓扑如下：InternetMSR5060上网行为管理S7506E-1S7506E-2Ids/ipsIds/ips下一代防火墙核心交换区互联网域本次割接替换设备本次割接替换设备Data-S7510E-1Ids/ips五泉数据中心Data-S7510E-1Internet上网行为管理下一代防火墙Ids/ipsnetsys4120 防火墙策略统计如下：名师资料总结-精品资料欢迎下载-名师精心整理-第 6 页，共 30 页 -上网行为管理策略

13、统计如下：1）设备上架：将两台防火墙及上网行为管理设备安装上架，并进行加电测试及线缆的布放（H3C-S5500至新增上网行为管理网线一根、新增上网行为管理至MSR5060 路由器网线一根）。2）由于现网中防火墙及上网行为管理都为透明模式，不需要新增互联地址。根据防火墙及上网行为管理现有策略配置好山石防火墙及深信服上网行为管理，配置如下：3）测试互联网业务，测试表格如下：甘肃烟草业务测试序号业务名称IP 地址测试结果备注1 2 名师资料总结-精品资料欢迎下载-名师精心整理-第 7 页，共 30 页 -3 4 5 6 7 8 4）由于现网中H3C-S5500至路由器之间为双链路，其中一条链路中串接

14、行为管理，断开未串接行为管理的链路，将新增的深信服上网行为管理串接到网络中。5）关闭路由器（MSR5060）与备用netsys4120防火墙的互联接口（即GigabitEthernet5/1口），测试业务是否正常，若正常则将配置好的山石防火墙接入网络中，暂时先不关闭netsys4120 备用防火墙设备。6）开启路由器（MSR5060）的 GigabitEthernet5/1 口，并关闭路由器（MSR5060）的 GigabitEthernet6/1口，测试业务是否正常，若正常则将配置好的山石防火墙接入网络中，开启路由器（MSR5060）的 GigabitEthernet6/1口，测试业务是否正

15、常甘肃烟草业务测试序号业务名称IP 地址测试结果备注1 2 3 4 5 6 7 8 7）待业务正常运行一周后，下线netsys4120 防火墙设备。b、建于甘肃烟草公司信息网络中所有的电脑、服务器、网络设备在同一个网络内，这意味着这些设备之间可以任意的互连互通，任意一台电脑感染病毒或受黑客控制的时候，可以直接影响公司的所有IT 设备也意味着电脑可以任意访名师资料总结-精品资料欢迎下载-名师精心整理-第 8 页，共 30 页 -问服务器的所有端口，而不是根据应用服务的需要去限制只可访问需要的服务，这样服务器的任何一个漏洞都可以被计算机利用来攻击服务器。针对以上问题，结合信息安全技术信息安全等级保

16、护基本要求，整改方案如下：本方案改变现有的网络结构，将现有的H3C 防火墙板卡及山石下一代防火墙串接到网络中。割接前部分拓扑如下：DNSMAILISAIBMS7510E-1S7510E-2Cisco6509S75106E-1S75106E-2Ids/ipsIds/ipsData-S7510E-1Data-S7510E-2POWER7五泉办公区数据服务器中心垃圾邮件网关垃圾邮件网关服务器中心核心交换区H3C 板卡割接前H3C 板卡割接前Cisco6509东口办公区国家局割接后部分拓扑如下：名师资料总结-精品资料欢迎下载-名师精心整理-第 9 页，共 30 页 -DNSMAILISAIBMS751

17、0E-1S7510E-2Cisco6509S75106E-1S75106E-2Ids/ipsIds/ipsData-S7510E-1Data-S7510E-2POWER7五泉办公区数据服务器中心垃圾邮件网关垃圾邮件网关服务器中心核心交换区H3C 板卡割接后H3C 板卡割接后Cisco6509东口办公区国家局东口办公区交换机接入下一代防火墙下一代防火墙下一代防火墙服务器中心核心交换机网络IP 统计如下：甘肃烟草网络设备接口信息设备INFO_SW_7510E_1 INFO_SW_7510E_2 序号VLAN IP 及掩码IP 及掩码VRRP 网关地址描述备注1 lo0 10.52.210.151/

18、32 10.52.210.152/32 2 vlan 3 10.52.0.1/24 lanzhoulingshi 3 vlan 102 10.52.7.33/27 JiFangJianKong 4 vlan 108 10.52.8.1/24 5 vlan 113 10.52.24.67/28 10.52.24.65 yewufuwuqi 6 vlan 114 10.52.25.1/25 10.52.25.2/25 10.52.25.7 wangguan 7 vlan 116 10.52.24.97/28 10.52.24.98/28 10.52.24.99 qianzhiji 8 vlan 1

19、20 10.52.24.34/28 10.52.24.35/28 10.52.24.33 yihaoserver 192.168.24.2/24 192.168.24.3/24 192.168.24.1 9 vlan 121 10.52.22.2/27 10.52.22.3/27 10.52.22.1 VOICESERVER 10 vlan 126 10.52.40.241/28 shipinhuiyi 11 vlan 150 10.52.1.67/26 10.52.1.66/26 10.52.1.65 daopian down 12 vlan 202 ZhiJianZhan_tem down

20、 名师资料总结-精品资料欢迎下载-名师精心整理-第 10 页，共 30 页 -数据中心核心交换机网络IP 统计如下：甘肃烟草网络设备接口信息设备DATA_SW_7510E_1 DATA_SW_7510E_2 序号VLAN IP 及掩码IP 及掩码VRRP 网关地址描述备注1 lo 0 10.52.210.153/32 10.52.210.154/32 2 vlan 50 10.52.16.2/27 10.52.16.3/27 10.52.16.1 Inter_SSL 3 vlan 90 10.52.21.225/29 WuQuan_BG 4 vlan 98 10.52.19.253/28 10

21、.52.19.252/28 10.52.19.254 out-of-band managment 5 vlan 100 10.52.4.253/25 10.52.4.252/25 10.52.4.254 DONGRUAN-SERVER 192.168.33.253/24 192.168.33.252/24 192.168.33.254 192.168.34.253/24 192.168.34.252/24 192.168.34.254 6 vlan 102 10.52.7.1/27 JiFangJianKong 7 vlan 103 10.52.20.33/27 touziguanlixito

22、ng_dahe 8 vlan 110 10.52.20.17/27 ZhiJianZhan 13 vlan 801 10.52.21.6/29 GSYC_CORE_SW_7506E_1-Gi3/0/3 14 vlan 802 10.52.21.38/29 GSYC_CORE_SW_7506E_2-Gi3/3 15 vlan 813 10.52.21.65/29 GSYC_DATA_SW_7510E_1-Gi3/0/46 16 vlan 814 10.52.21.73/29 GSYC_DATA_SW_7510_2-G3/46 17 vlan 815 10.52.21.113/29 GSYC_IN

23、FO_FW_1-Gi0/1 18 vlan 816 10.52.21.121/29 FW_2 19 vlan 900 10.52.21.89/29 10.52.21.94/29 GSYC_INFO_SW_7510E-Gi4/0/47&Gi4/0/48 名师资料总结-精品资料欢迎下载-名师精心整理-第 11 页，共 30 页 -9 vlan 140 10.52.35.1/26 10.52.35.2/26 10.52.35.3 dongruan-powerrvm 10 vlan 150 10.52.35.65/26 10.52.35.66/26 10.52.35.67 dongruan-power

24、rvm 11 vlan 160 10.52.35.129/26 10.52.35.130/26 10.52.35.131 dongruan-powerrvm 12 vlan 170 10.52.35.193/26 10.52.35.194/26 10.52.35.195 dongruan-powerrvm 13 vlan 199 10.52.9.1/24 10.52.9.2/24 10.52.9.3 dongruan-powerrvm-guanli 14 vlan 200 10.52.24.2/27 10.52.24.3/27 10.52.24.1 TO P570 192.168.11.2/2

25、4 192.168.11.3/24 192.168.11.1 192.168.12.2/24 192.168.12.3/24 192.168.12.1 15 vlan 300 10.52.24.129/28 10.52.24.130/28 10.52.24.131 TO NEW P570 192.168.25.2/28 192.168.25.3/24 192.168.25.1 192.168.26.2/28 192.168.26.3/24 192.168.26.1 16 vlan 400 10.52.16.226/27 10.52.16.227/27 10.52.16.225 Zijinjia

26、nkong down 17 vlan 402 10.52.16.194/27 10.52.16.195/27 10.52.16.193 ZiJinJianKong_temp 18 vlan 405 10.52.16.33/27 DHCfs2_int 19 vlan 406 10.52.21.169/29 DHC_FS2_MGT 20 vlan 450 10.52.21.185/29 CBank_1_g0 21 vlan 451 10.52.21.193/29 22 vlan 462 10.52.19.45/30 SG-1_to_5500SI_G2 23 vlan 463 10.52.19.49

27、/30 24 vlan 510 10.52.18.29/27 10.52.18.30/27 10.52.18.1 DaoPian_CA&AD 25 vlan 520 10.52.18.60/27 10.52.18.61/27 10.52.18.33 DaoPian_Mail_1 26 vlan 530 10.52.18.94/27 10.52.18.93/27 10.52.18.65 DaoPian_Web_1 27 vlan 540 10.52.18.125/27 10.52.18.126/27 10.52.18.97 DaoPian_XSM_1 28 vlan 550 10.52.18.2

28、54/26 10.52.18.253/26 10.52.18.193 DaoPianMgt_1 29 vlan 560 10.52.18.129/27 GZFWQ 30 vlan 580 10.52.19.113/29 to-s7502e-1 31 vlan 581 10.52.19.121/29 32 vlan 610 10.52.17.2/27 10.52.17.1 33 vlan 620 10.52.17.34/27 10.52.17.33 OCS 34 vlan 630 10.52.17.66/27 10.52.17.65 FangBingDu 35 vlan 640 10.52.17

29、.97/27 36 vlan 650 10.52.17.129/27 seccenterzhuji 37 vlan 803 10.52.21.14/29 GSYC_CORE_SW_7506E_1-Gi3/1 38 vlan 804 10.52.21.46/29 GSYC_CORE_SW_7506E_2-Gi3/1 名师资料总结-精品资料欢迎下载-名师精心整理-第 12 页，共 30 页 -39 vlan 813 10.52.21.70/29 GSYC_INFO_SW_7510E_1-Gi4/46 40 vlan 814 10.52.21.78/29 GSYC_INFO_SW_7510E_2-G

30、i3/22 41 vlan 815 10.52.21.129/29 GSYC_DATA_FW_1-Gi0/1 42 vlan 816 10.52.21.137/29 GSYC_DATA_FW_2-Gi0/1 43 vlan 900 10.52.21.97/29 10.52.21.102/29 GSYC_DATA_SW_7510E_2-Gi3/23&Gi3/24 核心交换机网络 IP 统计如下：甘肃烟草网络设备接口信息设备CORE_SW_S7506_1 CORE_SW_S7506_2 序号VLAN IP 及掩码IP 及掩码描述备注1 lo 0 10.52.210.155/32 10.52.210

31、.156/32 2 vlan 2 10.52.23.65/28 neteye-7606 3 vlan 5 10.52.23.194/30 4 vlan 22 10.52.23.81/28 neteye-2 5 vlan 100 10.52.40.2/30 down 6 vlan 151 10.52.1.249/30 5500A 7 vlan 160 10.52.23.5/30 fw-1-C3850 8 vlan 161 10.52.23.9/30 neteye-3825-2 9 vlan 801 10.52.21.1/29 GSYC_INFO_SW_7506E_1-Gi3/0/45 10 vl

32、an 802 10.52.21.33/29 GSYC_INFO_SW_7510E_2-Gi3/0/45 11 vlan 803 0.52.21.9/29 GSYC_DATA_SW_7506E_1-Gi3/0/45 12 vlan 804 10.52.21.41/29 GSYC_DATA_SW_7510E_2-Gi3/0/45 13 vlan 805 10.52.21.49/29 NETSYS-1 14 vlan 806 10.52.21.49 NETSYS-2 15 vlan 807 10.52.21.25/29 GSYC_OA_SW_C6509_1-Gix/1 16 vlan 808 10.

33、52.21.57/29 GSYC_OA_SW_C6509_2-Gix/1 17 vlan 812 10.52.21.145/29 10.52.21.153/29 GSYC_CORE_STREAM_1-Gi0/1 18 vlan 817 10.52.21.105/29 GSYC_CORE_IDS for Mgt 19 vlan 819 10.52.21.161/29 Force View_1 20 vlan 820 10.52.21.169/29 名师资料总结-精品资料欢迎下载-名师精心整理-第 13 页，共 30 页 -21 vlan 900 10.52.21.8/29 10.52.21.86

34、/29 GSYC_CORE_SW_7506E_2-Gi3/0/23&Gi3/0/2 22 vlan 1000 10.52.21.177/29 本方案割接步骤如下：1）由于此方案中防火墙板卡已经安装完毕，并且防火墙板卡与H3C 交换机之间通过万兆背板带宽交换数据，无需准备任何线缆。2）保存现有网络设备所有配置信息，测试业务是否正常,测试结果如下：甘肃烟草网络割接前业务测试序号业务名称IP 地址测试结果备注1 2 3 4 5 6 7 8 3)配置好 H3C 防火墙板卡，防火墙为路由模式，策略先调整为允许所有，保存配置，准备割接工作。防火墙板卡配置如下：4)关闭服务器中心核心交换机-2（INFO_S

35、W_7510E_2）的 Gi3/0/35 口，测试网络连通性是否正常，若正常则配置此交换机，配置如下：interface teng0/0/1 description to INFO_FW_7510E port link-type access 名师资料总结-精品资料欢迎下载-名师精心整理-第 14 页，共 30 页 -port default vlan 802 quit interface vlan 802 description to INFO_FW_7510E undo ip address ip address 10.52.21.xx undo shutdown 5）将服务器中心核心交换

36、机-2（INFO_SW_7510E_2）的 Gi3/0/35 口线缆改接至防火墙板卡上 Gi0/0/1 口，打开所有接口后测试网络连通性（在服务器中心核心交换机上执行合令ping-a 10.52.21.xx 10.52.21.33）。6）在服务器中心核心交换机-2 上执行命令 display ospf lsdb 查看 OSPF 链路状态数据库，查看是否在vlan802接口上学到链路状态信息,在防火墙板卡（INFO_FW_7510E_2）上执行命令 ping-a 10.52.21.38 10.52.21.33及 display ospf lsdb 等命令，查看网络运行是否正常。7）关闭服务器中心

37、核心交换机-1（INFO_SW_7510E_1）上的 Gi3/0/35 口，测试网络连通性，若正常则将 Gi3/0/35 口线缆改接至防火墙板卡上Gi0/0/1 口，配置服务器中心核心交换机-1（INFO_SW_7510E_1）配置如下：interface teng0/0/1 description to INFO_FW_7510E port link-type access port default vlan 801 quit 名师资料总结-精品资料欢迎下载-名师精心整理-第 15 页，共 30 页 -interface vlan 801 description to INFO_FW_751

38、0E undo ip address ip address 10.52.21.xx undo shutdown interface gi3/0/45 undo shutdown 8)在服务器中心核心交换机-1 上执行命令 display ospf lsdb 查看 OSPF 链路状态数据库，查看是否在vlan801接口上学到链路状态信息，在防火墙板卡（INFO_FW_7510E_1）上执行命令 ping-a 10.52.21.6 10.52.21.1 及 display ospf lsdb 等命令，查看网络运行是否正常。9）关闭数据中心核心交换机-2（DATA_SW_7510E_2）的 Gi3/

39、0/35 口，测试网络连通性是否正常，若正常则配置此交换机，配置如下：interface teng0/0/1 description to DATA _FW_7510E port link-type access port default vlan 804 quit interface vlan 804 description to DATA _FW_7510E undo ip address ip address 10.52.21.xx 名师资料总结-精品资料欢迎下载-名师精心整理-第 16 页，共 30 页 -undo shutdown 10）将数据中心核心交换机-2（DATA_SW_75

40、10E_2）的 Gi3/0/35 口线缆改接至防火墙板卡上 Gi0/0/1 口，打开所有接口后测试网络连通性（在服务器中心核心交换机上执行合令ping-a 10.52.21.xx 10.52.21.41）。11）在数据中心核心交换机-2（DATA_SW_7510E_2）上执行命令 display ospf lsdb 查看 OSPF 链路状态数据库，查看是否在vlan804 接口上学到链路状态信息,在防火墙板卡（DATA_FW_7510E_2）上执行命令ping-a 10.52.21.38 10.52.21.33 及 display ospf lsdb 等命令，查看网络运行是否正常。12）关闭数

41、据中心核心交换机-1（DATA_SW_7510E_1）上的 Gi3/0/35 口，测试网络连通性，若正常则将 Gi3/0/35 口线缆改接至防火墙板卡上Gi0/0/1 口，配置数据中心核心交换机-1（DATA_SW_7510E_1）配置如下：interface teng0/0/1 description to DATA _FW_7510E port link-type access port default vlan 803 quit interface vlan 803 description to DATA _FW_7510E undo ip address ip address 10.5

42、2.21.xx undo shutdown interface gi3/0/45 名师资料总结-精品资料欢迎下载-名师精心整理-第 17 页，共 30 页 -undo shutdown 13)在数据中心核心交换机-1（DATA_SW_7510E_1）上执行命令 display ospf lsdb 查看 OSPF 链路状态数据库，查看是否在vlan801 接口上学到链路状态信息，在防火墙板卡（DATA_FW_7510E_1）上执行命令ping-a 10.52.21.14 10.52.21.9 及 display ospf lsdb 等命令，查看网络运行是否正常。14)在所有网络设备上测试，查看是

43、否与割接之前保存的信息一致，表格如下：测试内容测试命令测试结果备注割接链路互通性测试ping s 2000 也可 ping 大包测试割接链路错包及链路 error 信息统计关注光纤及光模块质量协议互通性测试（尽量创造条件测试）如果条件允许建议要测试设备侧信息收集disp cur disp health/cpu disp mem disp device disp ospf peer disp version disp ip int bri disp ip rou sta disp ospf lsdb disp ip rou 如果路由表数量过多，选择某几类业务网段进行路由信息收集disp arp

44、查看网络中可学到的MAC 地址信息disp ip rou 0.0.0.0 网络侧信息收集disp int 收集流量信息ping 所有业务网段主机（或选择典型业务网段）Ping DNS 地址观察延时Tracert DNS地址观察路径信息15)割接后业务测试名师资料总结-精品资料欢迎下载-名师精心整理-第 18 页，共 30 页 -甘肃烟草网络割接后业务测试序号业务名称IP 地址测试结果备注1 正常2 正常3 正常4 正常5 正常6 正常7 正常8 正常在本次割接过程中所有配置都是提前配置的，所有的数据、测试都是提前准备好的，成功几率很高。割接万一不成功，如果在时间的允许状态下及时处理，如果时间来

45、不及，需要倒回原来的设备也需把线缆换回原来的位置和对应口。观察倒回的设备，查看网络的应用是否正常，如果不正常及时处理。确认业务回复正常后，分析割接失败的原因。割接应急预案：在本次割接过程中可能出现在故障及解决方法如下：一、网络设备端口翻动采用以下步骤逐步排查故障：1.用命令 display diagnostic-information 核查端口硬件信息是否正常；2.用命令 display interface 核查端口状态；3.查看端口下连设备物理状态；恢复措施：1.如果已经改造具备冗余保护，可考虑先断掉flap 端口，保证业务，随后排查2.如果不具备冗余保护，至少应有冷备链路，手工更换链路，端

46、口二、网络设备硬件故障名师资料总结-精品资料欢迎下载-名师精心整理-第 19 页，共 30 页 -设备故障，采用以下步骤逐步排查故障：1.查看设备状态；display gsr;display module,display logg来确认设备问题所在。2.如果不能确认故障，则抓取display diagnostic-information信息提交TAC 中心；三、网络路由故障例如某目的地址不可达，采用以下步骤逐步排查故障：1.首先确认是否有人员对网内设备配置进行过配置2.在该目的地址直连的设备上通过display int，display arp，display mac，3.Ping 等命令确认该

47、目的地址设备是正常的。4.如果该目的地址设备运行正常，则从源端设备开始tracert，确认是否能 tracert。有防火墙的情况需要特别注意。5.在各中间环节路由器上通过display ip route，确认是否有该目的地址路由。四、网络丢包或响应缓慢1.从目标地址最近的网络设备开始查找，查看端口是否流量过大，查看设备cpu及 mem 利用率2.查看是否网络攻击3.查看是否病毒4.确认从源地址到目的地址全程网络响应情况5.定位拥塞点并进行处理。3)运维服务管理的完善在 信 息 系 统 安 全 等 级 保 护 基 本 要 求 中，安 全 等 级 保 护 三 级GB/T 名师资料总结-精品资料欢迎

48、下载-名师精心整理-第 20 页，共 30 页 -22239 2008 的基本要求中，明确要求网络系统必须具备结构化的安全保护能力，具体要求包括：网络设备防护（G3）本项要求包括：a)应对登录网络设备的用户进行身份鉴别；b)应对网络设备的管理员登录地址进行限制；c)网络设备用户的标识应唯一；d)主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别；e)身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；f)应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；g)当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传

49、输过程中被窃听；h)应实现设备特权用户的权限分离。根据信息系统安全等级保护基本要求及测评结果，省公司信息网络中网络设备及技术在运维管理方面主要存在以下问题：1）网络设备的远程管理采用明文的Telnet 方式；2）部分网络设备采用出厂时的默认用户名；3）交换机、IPS 等未开启日志审计功能，未配置相应的日志服务器；4）IPS 为 B/S 控制模式，管理服务器地址、登录等未作访问控制;名师资料总结-精品资料欢迎下载-名师精心整理-第 21 页，共 30 页 -5)防火墙目前为网段级的访问控制，控制粒度较粗；6)网络设备登录身份鉴别信息复杂度较低，口令简单并未定期更换；7)未开启网络设备登录失败处理

50、功能，未限制非法登录次数，当网络登录连接超时时未设置自动退出等措施；8)缺少对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查与监测措施；9)未限制网络最大流量数及网络连接数。10）网络中透明模式的防火墙较多，当防火墙转发出现故障，但接口为 UP 时无法实现切换。11）未对 OSPF 进行接口认证配置针对以上问题，结合信息安全技术信息安全等级保护基本要求，整改方案如下：1）关闭防火墙、交换机和IDS 的 telnet 服务，启用安全的管理服务，如SSH和 https。实施配置如下：思科设备配置命令：Router#config terminal Router(config)#ac