东莞市XX局房维系统防火墙前置∴整改方案
一、项目背景
目前东莞XX局与政务外网直接连接,并没有经过防火墙进行安全控制,存在安全隐患。经了解目前XX局机房卐内的“房维系统”有一台在用的启明星辰防火墙,此防火墙只对房维系统的服务器进行安全保护。计划把此防火墙调整到政务外网线路接入△的位置,调整网络之后防火墙既可以对房维系统的服务器进行保护,也可以对xx局的内网进♂行安全保护。可解决目前的网络安全隐患。
二、现有网ぷ络拓扑〖
目前存在问题:
东莞XX局内网▂与电子政务外网直接互连,并没有防火墙进行ω 安全访问控制,存在安全隐患。
三、网】络整改方案
1、 整改后的网◇络拓扑
2、 整改说明
1) 把房维∩系统的启明星辰防火墙调整到政务网○线路接入的位置,对XX局内网进行全面保护。
2) 整改后房维系统的服务器直◥接接到核心︾交换机S7706。
3、 割接准备工作
1) 预先铺放好割接需要更换的线缆,以便于割接时更换。核心交换机到房维系统IBM刀※片服务器需¤要2根网线,启明星辰防火墙到政务网光纤收发器和深︻信服SG设备各需▆要1根网线。
2) 对整改涉及到的设备进行数据配置进行备份,存档。主∮要是启明星辰防火墙,华为S7706交换机。
3) 准备好割√接使用的耗材,如:扎带、网线、水晶头等。
4) 准备好割接使用的工具,如:笔记本ㄨ电脑、网络测线仪、压线钳、斜口钳等。
4、 割接操作步骤
1) 拆除№防火墙上面的3根网线,1根到S7706交换机,2根到IBM刀片服务器。
2) 从核心交换机连接两▲根网线到IBM 刀片服务器,核心交换机的端口配置成VLAN1。
3) 测试房→维系统的网络工作是否正常,测试通过后进行下一步操作。
4) 防火墙的外网︾口(E1接口)连接〗到政务网的光纤收发器,防护墙的内网口(E3)连接到深信服SG设备。
5) 割接完成,全面测试网络是否正常。
5、风险控制及整改回退
1) 由于防火墙是透明模式,把防火墙◤前置之后,并不影响网络的总体结构,整改风◥险较小。
2) 整改过程主要分两步,第一步是把防火墙从房维系统剥㊣离出来,第二步是把防ω火墙接入政务网线路的位置。做完第一步之后马上进行业务测试,测试通过□之后再做第二步。假如整改出现异◣常,进行回退操作即可。
3) 旧有的线□ 缆暂时不拆除ㄨ,假如整改后出现异常,直接接回原来的ξ线缆即可。旧线缆在整改ζ完成后,系统正常运行一周后再拆除。