【正文】 局域網(wǎng)高速交換區(qū)，不做過多的安全策略，只要求部署交換機(jī)自我保護(hù)策略。l 業(yè)務(wù)1類客戶端能訪問網(wǎng)管安管類服務(wù)器。l 管理類客戶端能訪問Internet。l 業(yè)務(wù)管理類和基礎(chǔ)設(shè)施能相互訪問。3. 預(yù)防惡意代碼服務(wù)器區(qū)不做惡意代碼防范，防惡意代碼工作實施在其他邊緣區(qū)域，保證惡意代碼不會侵犯到服務(wù)器區(qū)。 客戶端區(qū)安全策略的部署客戶端區(qū)劃分VLAN，隔離業(yè)務(wù)1類客戶端和管理類客戶端，在兩類客戶端的VLAN上部署ACL，限制兩類客戶端之間的互訪。 外聯(lián)區(qū)安全策略的部署外聯(lián)區(qū)保持現(xiàn)有策略不變，詳細(xì)參見《一級分行統(tǒng)一外聯(lián)平臺建設(shè)網(wǎng)絡(luò)技術(shù)規(guī)范_詳細(xì)設(shè)計規(guī)范》。 準(zhǔn)備工作在正式割接之前，需要完成以下準(zhǔn)備工作：序號工作內(nèi)容要求完成時間操作人確認(rèn)人1制定割接方案，發(fā)給項目技術(shù)負(fù)責(zé)人或廠商進(jìn)行審查。有條件時應(yīng)使用與現(xiàn)網(wǎng)設(shè)備類似型號的設(shè)備進(jìn)行割接演練?？蛻羰┕し?完成線纜連接，原線纜保留，以便出現(xiàn)問題回退。施工方客戶分支機(jī)構(gòu)：序號工作內(nèi)容開始完成時間操作人確認(rèn)人1接總部通知開始操作。施工方客戶7保存設(shè)備的運行配置。10分鐘施工方客戶4確認(rèn)設(shè)備工作狀態(tài)正常。測試結(jié)果qOK qPOK qNG qNT備注測試編號HARD_01_02測試目的檢查網(wǎng)絡(luò)設(shè)備的硬件運行狀態(tài)。CPU Usage 50%Memory Used Percentage 50%測試結(jié)果qOK qPOK qNG qNT備注測試編號HARD_02_02測試目的檢查網(wǎng)絡(luò)設(shè)備的CPU、內(nèi)存使用情況。測試工具PC測試對象分支機(jī)構(gòu)骨干路由器預(yù)制條件割接完成測試步驟1．在路由器上查看OSPF和BGP鄰居狀態(tài)：dis。CPU Usage 50%Memory Used Percentage 50%測試結(jié)果qOK qPOK qNG qNT備注 路由測試 OSPF和BGP鄰居檢查測試編號ROUT_01_01測試目的檢查OSPF和BGP的鄰居狀態(tài)。測試結(jié)果qOK qPOK qNG qNT備注 CPU和內(nèi)存檢查測試編號HARD_02_01測試目的檢查網(wǎng)絡(luò)設(shè)備的CPU、內(nèi)存使用情況。10分鐘客戶施工方第8章 測試方案 測試項目序號測試項目編號測試項目測試子項目測試結(jié)論表示方式說明1HARD_01硬件測試硬件運行狀態(tài)測試OK：測試結(jié)果全部正確POK：測試結(jié)果大部分正確NG：測試結(jié)果有較大的錯誤NT：由于各種原因本次無法測試2HARD_02CPU和內(nèi)存測試3ROUT_01路由測試OSPF和BGP鄰居檢查4ROUT_02路由檢查5CONN_01連通性測試ICMP測試6REDU_01冗余性測試設(shè)備冗余性測試7REDU_02線路冗余性測試8APPL_01業(yè)務(wù)測試郵件測試9APPL_02主機(jī)訪問測試總項目數(shù)9 硬件測試 硬件運行狀態(tài)測試測試編號HARD_01_01測試目的檢查網(wǎng)絡(luò)設(shè)備的硬件運行狀態(tài)。15分鐘施工方客戶2如果無法定位和解決問題，請示相關(guān)領(lǐng)導(dǎo)，啟動回退機(jī)制。施工方客戶3修改設(shè)備運行配置，但不保存施工方客戶4測試驗證，確認(rèn)割接后的路由、網(wǎng)絡(luò)連通性以及設(shè)備狀態(tài)是否正常（詳細(xì)內(nèi)容見《網(wǎng)絡(luò)割接業(yè)務(wù)測試報告》）。施工方客戶5通知相關(guān)部門進(jìn)行業(yè)務(wù)測試客戶施工方6如果一切正常，轉(zhuǎn)到5；如果出現(xiàn)問題， 回退步驟。割接前2小時施工方客戶6保存相關(guān)設(shè)備的運行配置，并備份至外部存儲介質(zhì)。割接前一周客戶施工方3完成割接設(shè)備之間的線纜布放，測試線纜的連通性，設(shè)備之間不實際連接。如有沖突或例外，必須上報總行，經(jīng)批準(zhǔn)后才能執(zhí)行。在客戶端區(qū)的網(wǎng)絡(luò)設(shè)備上，根據(jù)網(wǎng)絡(luò)設(shè)備自身安全策略設(shè)計，配置相應(yīng)的安全管理命令。5. 安全策略特例總推分應(yīng)用系統(tǒng)安全策略在部署中與上述原則有沖突，須向總行提出申請需求，總行將根據(jù)應(yīng)用需求修改安全策略方案。l 網(wǎng)管安管和業(yè)務(wù)1互訪，網(wǎng)管安管和業(yè)務(wù)2互訪，網(wǎng)管安管和管理類互訪，網(wǎng)管安管和基礎(chǔ)設(shè)施互訪。l 業(yè)務(wù)1和業(yè)務(wù)2互訪，業(yè)務(wù)1和基礎(chǔ)設(shè)施互訪。l 管理類客戶端能訪問業(yè)務(wù)2類WEB、管理類WEB服務(wù)器和網(wǎng)管安管類服務(wù)器。業(yè)務(wù)1類WEB業(yè)務(wù)2類WEBOA WEB基礎(chǔ)設(shè)施類網(wǎng)管安管類Internet業(yè)務(wù)客戶端允許訪問禁止訪問禁止訪問禁止訪問允許訪問禁止訪問OA客戶端禁止訪問允許訪問允許訪問禁止訪問允許訪問允許訪問安全控制策略具體描述如下：l 業(yè)務(wù)1類客戶端能訪問業(yè)務(wù)1類WEB服務(wù)器。 禁止非授權(quán)人員物理接觸設(shè)備。216。 預(yù)防惡意代碼的安全策略網(wǎng)絡(luò)中的惡意代碼包括病毒、蠕蟲、木馬等，這類惡意代碼發(fā)作時，對網(wǎng)絡(luò)安全有嚴(yán)重的影響。對應(yīng)的安全控制策略如下：n 劃分VLAN，隔離各應(yīng)用系統(tǒng)和各應(yīng)用系統(tǒng)內(nèi)部處在不同安全層次上的服務(wù)器；n 根據(jù)確定的類規(guī)則在VLAN上部署ACL。 網(wǎng)絡(luò)分區(qū)根據(jù)濟(jì)南分行網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的設(shè)計結(jié)構(gòu)，濟(jì)南分行局域網(wǎng)被劃分為9個功能區(qū)域。在網(wǎng)絡(luò)中應(yīng)用ACL，能夠達(dá)到這樣一些目的：n 阻斷網(wǎng)絡(luò)中的異常流量n 應(yīng)用系統(tǒng)間訪問控制n SNMP網(wǎng)管工作站控制n 設(shè)備本身防護(hù) 防火墻專用的硬件防火墻，是網(wǎng)絡(luò)中重要的安全設(shè)備，為網(wǎng)絡(luò)提供快速、安全的保護(hù)。通過網(wǎng)絡(luò)分區(qū)，明確不同網(wǎng)絡(luò)區(qū)域之間的安全關(guān)系，也可以對每一個區(qū)域進(jìn)行安全的評估和實施，不必考慮對其他區(qū)域的影響，保障了網(wǎng)絡(luò)的高擴(kuò)展性、可管理性和彈性。 安全分析在本次項目中，濟(jì)南分行局域網(wǎng)內(nèi)的安全威脅分析基于：n 網(wǎng)絡(luò)基礎(chǔ)拓?fù)浼軜?gòu)在邏輯上分成了7個功能區(qū)n 應(yīng)用系統(tǒng)訪問關(guān)系 應(yīng)用系統(tǒng)服務(wù)器內(nèi)部安全分析應(yīng)用系統(tǒng)服務(wù)器按應(yīng)用類型被分為業(yè)務(wù)展現(xiàn)層（Web層），應(yīng)用/業(yè)務(wù)邏輯層（AP層）和數(shù)據(jù)庫層（DB層）。核心交換機(jī)1到各功能區(qū)交換機(jī)線路cost值設(shè)為10，核心交換機(jī)2到各功能區(qū)交換機(jī)線路cost值設(shè)為30。 外聯(lián)區(qū)路由設(shè)計 OSPF設(shè)計 OSPF Routerid設(shè)置OSPF需要使用唯一的Router ID標(biāo)識每一臺路由器，建議相關(guān)網(wǎng)絡(luò)設(shè)備的Loopback地址作為其OSPF Router ID。 分行用戶接入?yún)^(qū)域路由設(shè)計分行用戶接入?yún)^(qū)域拓?fù)鋱D如下所示：圖表 36 客戶端區(qū)路由設(shè)計圖如上圖所示，各分行用戶網(wǎng)關(guān)在匯聚交換機(jī)上創(chuàng)建，利用VRRP形成虛擬網(wǎng)關(guān)，VRRP主為匯聚交換機(jī)1。l 外聯(lián)兩臺路由器之間啟用單獨的ospf外聯(lián)兩臺路由器啟用ospf，將外聯(lián)單位靜態(tài)路由引入并發(fā)布給另一臺路由器。外聯(lián)線路描述：description To 外聯(lián)單位名稱 VLAN命名規(guī)則為便于管理，VLAN名稱應(yīng)使用統(tǒng)一的命名規(guī)則網(wǎng)絡(luò)互聯(lián)VLAN主要以英文縮寫命名：本方案涉及的VLAN名稱如下: 核心區(qū)Vlan IDVLAN名VLAN劃分描述用途801LINK801ToJNPEC1G5/2分行核心1與上聯(lián)總行路由器1互聯(lián)821LINK821TOJN_PE_C1G6/2分行核心2與上聯(lián)總行路由器1互聯(lián)802LINK802TOJNPEC2G1/2分行核心1與上聯(lián)總行路由器2互聯(lián)822LINK822TOJN_PE_C2G1/1分行核心2與上聯(lián)總行路由器2互聯(lián)803LINK803TOJN_BRANCONN_DL_RT_1_G3/0/0分行核心1與下聯(lián)路由器1互聯(lián)823LINK823TOJN_BRANCONN_DL_RT_1G3/0/1分行核心2與下聯(lián)路由器1互聯(lián)804LINK804TOJN_BRANCONN_DL_RT_2_G3/0/0分行核心1與下聯(lián)路由器2互聯(lián)824LINK824TOJN_BRANCONN_DL_RT_2G3/0/1分行核心2與下聯(lián)路由器2互聯(lián)805LINK805TOJN_APPSVR_DL_SW_1_G1/0/49分行核心1與業(yè)務(wù)服務(wù)器區(qū)匯聚交換機(jī)1互聯(lián)825LINK825TOJN_APPSVR_DL_SW_2G1/0/49分行核心2與業(yè)務(wù)服務(wù)器區(qū)匯聚交換機(jī)2互聯(lián)806LINK806TOJN_OASVR_DL_SW_1_G1/0/49分行核心1與辦公服務(wù)器區(qū)匯聚交換機(jī)1互聯(lián)826LINK826TOJN_OASVR_DL_SW_2G1/0/49分行核心2與辦公服務(wù)器區(qū)匯聚交換機(jī)2互聯(lián)807LINK807TOJN_DT_DL_SW_1_G1/0/49分行核心1與開發(fā)測試區(qū)匯聚交換機(jī)1互聯(lián)827LINK827TOJN_DT_DL_SW_1G1/0/50分行核心2與開發(fā)測試區(qū)匯聚交換機(jī)1互聯(lián)808LINK808TOJN_TA_DL_SW_1_G1/0/49分行核心1與終端接入?yún)^(qū)匯聚交換機(jī)1互聯(lián)828LINK828TOJN_TA_DL_SW_1G1/0/50分行核心2與終端接入?yún)^(qū)匯聚交換機(jī)1互聯(lián)809LINK809ToJN_OAUSR_DL_SW_1分行核心1與分行用戶區(qū)匯聚交換機(jī)1互聯(lián)829LINK829TOJN_OAUSR_DL_SW_2分行核心2與分行用戶區(qū)匯聚交換機(jī)2互聯(lián)810LINK810ToJN_ADMIN_DL_SW_1G1/0/49分行核心1與管理控制區(qū)匯聚交換機(jī)1互聯(lián)830LINK830TOJN_ADMIN_DL_SW_1G1/0/50分行核心2與管理控制區(qū)匯聚交換機(jī)2互聯(lián)811LINK811ToJNDYH1G0/0分行核心1與分行核心2互聯(lián)841LINK841TOJN_EXTCONN_IPS_1Eth1分行核心與外聯(lián)接入?yún)^(qū)IPS互聯(lián) 業(yè)務(wù)服務(wù)器區(qū)Vlan IDVLAN名VLAN劃分描述用途805LINK805TOJN_CORE_SW_1G5/0/3業(yè)務(wù)服務(wù)器區(qū)匯聚交換機(jī)1與分行核心1互聯(lián)851LINK851TOJN_APPSVR_DL_SW_2G1/0/5051業(yè)務(wù)服務(wù)器區(qū)匯聚交換機(jī)1與業(yè)務(wù)服務(wù)器區(qū)匯聚交換機(jī)2互聯(lián)120YEWUYeWu分行業(yè)務(wù)服務(wù)器103CESHICESHI用于測試使用 辦公服務(wù)器區(qū)Vlan IDVLAN名VLAN劃分描述用途806LINK806ToJN_CORE_SW_1_G5/0/4辦公服務(wù)器匯聚交換機(jī)1與分行核心1互聯(lián)826LINK826ToJN_CORE_SW_2_G5/0/4辦公服務(wù)器匯聚交換機(jī)2與分行核心2互聯(lián)852LINK852ToJN_OASVR_DL_SW_2辦公服務(wù)器匯聚交換機(jī)1與辦公服務(wù)器匯聚交換機(jī)2互聯(lián)601OAOAOA服務(wù)器128ShuZiGongWenShuZiGongWen數(shù)字公文系統(tǒng) 開發(fā)測試區(qū)Vlan IDVLAN名VLAN劃分描述用途160CeShiCeShi測試網(wǎng) 終端接入?yún)^(qū)Vlan IDVLAN名VLAN劃分描述用途808LINK808ToJN_CORE_SW_1終端匯聚交換機(jī)1與分行核心1互聯(lián)828LINK828ToJN_CORE_SW_1終端匯聚交換機(jī)1與分行核心2互聯(lián)100JNGXJNGX高新支行101JNSBJNSB市北支行102JNYYBJNYYB營業(yè)部103JNCDJNCD城東支行104JNHPLJNHPL和平路支行105JNHYJNHY槐蔭支行106JNJFLJNJFL解放路支行107JNWELJNWEL緯二路支行108JNJSLJNJSL經(jīng)十路支行109JNSNJNSN市南支行110JNJGJNJG分行機(jī)關(guān)111JNZQJNZQ章丘支行112JNWFJNWF濰坊支行120JNZDJNZD終端服務(wù)器148JNXXFBJNXXFB信息發(fā)布系統(tǒng)149JNSPHYJNSPHY視頻會議150JNJZJKJNJZJK集中監(jiān)控151PEIXUNPEIXUN用于培訓(xùn) 分行用戶接入?yún)^(qū)Vlan IDVLAN名VLAN劃分描述用途809LINK809TOJN_CORE_SW_1G5/0/7辦公用戶接入交換機(jī)1與分行核心1互聯(lián)829LINK829TOJN_CORE_SW_2G5/0/7辦公用戶接入交換機(jī)2與分行核心2互聯(lián)853LINK853TOJN_OAUSR_DL_SW_2Bridge1辦公用戶交換機(jī)1與辦公用戶交換機(jī)2互聯(lián)86