【正文】 采用技術(shù)部署位置功能及策略配置防火墻部署于網(wǎng)管系統(tǒng)接入路由器和核心交換機(jī)之間提供對出入網(wǎng)管系統(tǒng)的數(shù)據(jù)流量的過濾、攻擊防護(hù)；對核心系統(tǒng)的IP地址做映射。VPN接入路由器將接入路由器作為網(wǎng)管網(wǎng)VPN的CE設(shè)備，骨干層核心設(shè)備配置為P和PE入侵監(jiān)測系統(tǒng)核心交換機(jī)端口鏡像對網(wǎng)管核心系統(tǒng)的訪問，定期形成入侵威脅報(bào)告并據(jù)此改善防火墻及其他安全設(shè)備的配置，系統(tǒng)支持分布式多級管理能力，支持基于狀態(tài)的協(xié)議分析，具有自定義特征庫等功能。VLAN和PVLAN劃分核心交換機(jī)隔離核心生產(chǎn)區(qū)內(nèi)不同服務(wù)器間不必要的訪問安全加固各網(wǎng)絡(luò)設(shè)備漏洞掃描、服務(wù)最小化、策略配置優(yōu)化，密碼定期更換，形成安全基線。4. 4. 3日常辦公區(qū)的防護(hù)策略由于日常辦公區(qū)終端主要是WINDOWS操作系統(tǒng)(也含有少量Unix等其它操作系統(tǒng)終端),采取網(wǎng)絡(luò)版防病毒系統(tǒng)、補(bǔ)丁分發(fā)、設(shè)備ACL和路由策略、帳號口令和權(quán)限管理等技術(shù),同時(shí)采取終端桌面管理系統(tǒng),以保障接入終端的安全性和可控性。并且結(jié)合網(wǎng)管網(wǎng)終端標(biāo)準(zhǔn)化進(jìn)程,從硬件平臺、應(yīng)用軟件、用戶ID、外設(shè)使用、聯(lián)網(wǎng)管理等各方面進(jìn)行規(guī)范,建立完善的日常制度,以實(shí)現(xiàn)終端的統(tǒng)一管理和安全監(jiān)控。終端安全管理系統(tǒng)優(yōu)先解決WINDOWS終端安全問題,對終端接入、終端安全狀況檢查、補(bǔ)丁加載、病毒庫升級等進(jìn)行嚴(yán)格控制。日常辦公區(qū)安全部署如下表43所示。表43 日常辦公區(qū)安全部署表采用技術(shù)部署位置功能及策略配置防火墻核心交換機(jī)與外部系統(tǒng)互聯(lián)區(qū)之間；核心交換機(jī)與內(nèi)部系統(tǒng)互聯(lián)區(qū)之間提供外部系統(tǒng)或內(nèi)部系統(tǒng)訪問時(shí)數(shù)據(jù)流量的過濾、攻擊防護(hù)；對核心系統(tǒng)進(jìn)行保護(hù)，對內(nèi)部和外部系統(tǒng)的接口進(jìn)行IP地址映射。ACL和策略路由核心交換機(jī)設(shè)置只有本地終端能夠直接訪問核心系統(tǒng)；外部系統(tǒng)地址只能訪問外部接口或跳轉(zhuǎn)主機(jī)，核心系統(tǒng)只能單向訪問內(nèi)部采集接口。接口服務(wù)器內(nèi)部互聯(lián)區(qū)防火墻及外部互聯(lián)區(qū)防火墻網(wǎng)管系統(tǒng)核心服務(wù)器和內(nèi)部、外部系統(tǒng)間不能直接訪問，需通過應(yīng)用接口服務(wù)器或跳轉(zhuǎn)主機(jī)進(jìn)行數(shù)據(jù)交換；對外隱藏核心服務(wù)器的接口、IP地址等關(guān)鍵信息病毒防護(hù)核心交換機(jī)對網(wǎng)管系統(tǒng)中基于Windows系統(tǒng)的病毒防護(hù)和病毒庫分發(fā)管理補(bǔ)丁分發(fā)核心交換機(jī)管理員定期獲取最新的操作系統(tǒng)補(bǔ)丁列表，并在對其進(jìn)行測試后，下發(fā)到各終端。動態(tài)口令認(rèn)證和權(quán)限管理系統(tǒng)核心交換機(jī)對訪問網(wǎng)管系統(tǒng)的接入終端進(jìn)行統(tǒng)一的認(rèn)證，認(rèn)證成功后根據(jù)預(yù)設(shè)的角色進(jìn)行權(quán)限分配。安全加固各終端、接口主機(jī)漏洞掃描、服務(wù)最小化、策略配置優(yōu)化、密碼定期更換，形成安全基線4. 4. 4內(nèi)部互聯(lián)區(qū)的防護(hù)策略對內(nèi)部系統(tǒng)互聯(lián)區(qū),如支撐系統(tǒng)之間的互訪,需按照邊界防護(hù)的原則部署,并考慮訪問控制(只允許訪問內(nèi)部互聯(lián)接口區(qū)內(nèi)的特定應(yīng)用接口服務(wù)器)、防病毒等技術(shù),內(nèi)部互聯(lián)區(qū)安全部署見表44。表44 內(nèi)部互聯(lián)區(qū)安全部署表采用技術(shù)部署位置功能及策略配置防火墻核心交換機(jī)與內(nèi)部系統(tǒng)互聯(lián)區(qū)之間；提供內(nèi)部系統(tǒng)訪問時(shí)數(shù)據(jù)流量的過濾、攻擊防護(hù)；對核心系統(tǒng)進(jìn)行保護(hù)，對內(nèi)部系統(tǒng)的接口進(jìn)行IP地址映射。ACL和策略路由核心交換機(jī)設(shè)置只有本地終端能夠直接訪問核心系統(tǒng)；外部系統(tǒng)地址只能訪問外部接口或跳轉(zhuǎn)主機(jī)，核心系統(tǒng)只能單向訪問內(nèi)部采集接口。安全加固各終端、接口主機(jī)漏洞掃描、服務(wù)最小化、策略配置優(yōu)化、密碼定期更換，形成安全基線4. 4. 5外部互聯(lián)區(qū)的防護(hù)策略對外部系統(tǒng)互聯(lián)的第三方接入,需按照外部接口防護(hù)的原則部署,考慮訪問控制同時(shí)采用病毒防護(hù)等技術(shù)。并同時(shí)需按照邊界防護(hù)的原則部署，考慮到其操作的不可控性,同時(shí)需考慮ACL訪問控制、桌面管理,并采取在線殺毒、防毒墻、應(yīng)用層的帳號口令管理、補(bǔ)丁管理等技術(shù)。外部互聯(lián)區(qū)安全部署見表45。表45 外部互聯(lián)區(qū)安全部署表采用技術(shù)部署位置功能及策略配置防火墻核心交換機(jī)與外部系統(tǒng)互聯(lián)區(qū)之間；核心交換機(jī)與內(nèi)部系統(tǒng)互聯(lián)區(qū)之間提供外部系統(tǒng)或內(nèi)部系統(tǒng)訪問時(shí)數(shù)據(jù)流量的過濾、攻擊防護(hù)；對核心系統(tǒng)進(jìn)行保護(hù)，對內(nèi)部和外部系統(tǒng)的接口進(jìn)行IP地址映射。ACL和策略路由核心交換機(jī)設(shè)置只有本地終端能夠直接訪問核心系統(tǒng)；外部系統(tǒng)地址只能訪問外部接口或跳轉(zhuǎn)主機(jī)，核心系統(tǒng)只能單向訪問內(nèi)部采集接口。接口服務(wù)器內(nèi)部互聯(lián)區(qū)防火墻及外部互聯(lián)區(qū)防火墻網(wǎng)管系統(tǒng)核心服務(wù)器和內(nèi)部、外部系統(tǒng)間不能直接訪問，需通過應(yīng)用接口服務(wù)器或跳轉(zhuǎn)主機(jī)進(jìn)行數(shù)據(jù)交換；對外隱藏核心服務(wù)器的接口、IP地址等關(guān)鍵信息病毒防護(hù)核心交換機(jī)對網(wǎng)管系統(tǒng)中基于Windows系統(tǒng)的病毒防護(hù)和病毒庫分發(fā)管理補(bǔ)丁分發(fā)核心交換機(jī)管理員定期獲取最新的操作系統(tǒng)補(bǔ)丁列表，并在對其進(jìn)行測試后，下發(fā)到各終端。動態(tài)口令認(rèn)證和權(quán)限管理系統(tǒng)核心交換機(jī)對訪問網(wǎng)管系統(tǒng)的接入終端進(jìn)行統(tǒng)一的認(rèn)證，認(rèn)證成功后根據(jù)預(yù)設(shè)的角色進(jìn)行權(quán)限分配。安全加固各終端、接口主機(jī)漏洞掃描、服務(wù)最小化、策略配置優(yōu)化、密碼定期更換，形成安全基線4. 4. 6管理服務(wù)區(qū)的防護(hù)策略管理服務(wù)區(qū)在進(jìn)行功能域內(nèi)部的保護(hù)時(shí),對整個(gè)功能域進(jìn)行實(shí)時(shí)監(jiān)控、告警,綜合考慮安全設(shè)備的集中控制,及時(shí)更新對主機(jī)、操作系統(tǒng)、中間件、數(shù)據(jù)庫、終端、網(wǎng)絡(luò)的補(bǔ)丁管理；對于互聯(lián)邊界,在綜合設(shè)置入侵檢測、帳號口令管理的同時(shí),還應(yīng)部署雙因子認(rèn)證體系。除了部署安全設(shè)施外,還應(yīng)加強(qiáng)對防火墻日志、操作系統(tǒng)日志和應(yīng)用程序日志的統(tǒng)計(jì),考慮到內(nèi)部人員的潛在威脅,加強(qiáng)人員管理,對內(nèi)部人員進(jìn)行技能培訓(xùn),減免人為誤操作。管理服務(wù)區(qū)安全部署見表46。表46 管理服務(wù)區(qū)安全部署表采用技術(shù)部署位置功能及策略配置控制臺、策略配置服務(wù)器核心交換機(jī)各安全產(chǎn)品的管理控制5 網(wǎng)管網(wǎng)設(shè)備互聯(lián)互通為便于進(jìn)行網(wǎng)絡(luò)故障診斷和遠(yuǎn)程監(jiān)測，網(wǎng)管網(wǎng)將統(tǒng)一網(wǎng)絡(luò)設(shè)備的命名規(guī)則。命名規(guī)則應(yīng)體現(xiàn)出容易辨識，便于記憶的特點(diǎn)。做到只要看到設(shè)備名稱，就能夠知道設(shè)備位置、所屬區(qū)域和網(wǎng)絡(luò)中的功能。同時(shí)規(guī)則應(yīng)該遵循ARPANET主機(jī)名標(biāo)準(zhǔn)，即為以字母開頭、以字母或數(shù)字結(jié)尾、中間使用字母、數(shù)字或連字符。設(shè)備命名規(guī)則將采用字母與數(shù)字結(jié)合的方法，規(guī)則為：地點(diǎn)設(shè)備層次及類型設(shè)備廠商產(chǎn)品型號設(shè)備編號，字段與字段之間用“”或“_”分割，優(yōu)先選擇“”。各字段的具體含義如下表：字段名稱字段長度（字節(jié)）說明地點(diǎn)4標(biāo)識設(shè)備地點(diǎn)，使用英文字母大寫。固定為BJBG，表示北京白廣路。設(shè)備層次及類型2表示設(shè)備所處的網(wǎng)絡(luò)位置及設(shè)備類型，由23個(gè)大寫英文字母構(gòu)成，分為兩個(gè)部分：設(shè)備所在的網(wǎng)絡(luò)結(jié)構(gòu)層次（1個(gè)字節(jié)）：C——核心層設(shè)備；D——骨干層設(shè)備；A——接入設(shè)備；設(shè)備類型（1個(gè)字節(jié)）：R——路由器；S——交換機(jī)；F——防火墻；I——IPS。設(shè)備廠商1設(shè)備廠商由1個(gè)英文字母構(gòu)成（區(qū)分大小寫），包括：H——華為設(shè)備；h——華三設(shè)備；C——思科設(shè)備；J——juniper設(shè)備；產(chǎn)品型號4網(wǎng)絡(luò)設(shè)備的產(chǎn)品型號，由4個(gè)大寫英文字母和數(shù)字構(gòu)成，包括：N40E——華為 NE40EX8路由器；3560——Cisco Catalyst 3560交換機(jī)；設(shè)備編號2用于區(qū)分同層或同種功能的多臺設(shè)備，如兩臺核心交換機(jī)、兩臺接入交換機(jī)等，由兩位數(shù)字構(gòu)成， 01表示第一臺，02表示第二臺，以此類推。 命名示例BJBG CRHN40E01：北京白廣路核心區(qū)第一臺核心路由器，設(shè)備型號為華為NE40EX8。SCCDAS C356001：四川成都接入?yún)^(qū)第一臺接入交換機(jī)，設(shè)備型號為Catalyst 3560。網(wǎng)管網(wǎng)網(wǎng)絡(luò)設(shè)備的連接以網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)為基礎(chǔ)，確定網(wǎng)絡(luò)設(shè)備的連接規(guī)范。物理連接遵循以下基本原則： 設(shè)備間有多條物理鏈路連接的，如果硬件允許，端口從不同的板塊分配； 對于千兆光口板塊，除了進(jìn)行設(shè)備互聯(lián)外，更多的是連接終端設(shè)備。板塊編號最大的端口向下，依次用于同層設(shè)備間互聯(lián)、上聯(lián)網(wǎng)絡(luò)設(shè)備和下聯(lián)網(wǎng)絡(luò)設(shè)備，并考慮一定的預(yù)留。 端口描述規(guī)則在網(wǎng)絡(luò)設(shè)備互聯(lián)端口上采用端口描述有助于網(wǎng)絡(luò)故障診斷和配置，通信網(wǎng)管網(wǎng)絡(luò)將統(tǒng)一端口描述規(guī)則。端口描述規(guī)則將采用字母與數(shù)字結(jié)合的方法，規(guī)則為：To_對端設(shè)備名稱_對端端口_[IP地址]，字段與字段之間用“_”分割，各字段的具體含義如下表：字段名稱說明對端設(shè)備名稱標(biāo)識對端設(shè)備的名稱，對于網(wǎng)絡(luò)設(shè)備命名，參見 “設(shè)備命名規(guī)范”的相關(guān)描述。對端端口所連接對端端口的編號，編號由端口類型縮寫+端口槽位號/端口編號構(gòu)成。端口類型用一個(gè)英文字母表示（區(qū)分大小寫），根據(jù)平臺的不同，端口類型的編碼會有所不同：e——表示E1口；E——表示標(biāo)準(zhǔn)以太網(wǎng)口；G——表示千兆以太網(wǎng)口；端口槽位號和端口編號根據(jù)具體平臺的板塊位置和端口連接情況確定。IP地址對端設(shè)備的IP地址，分成幾種情況：終端設(shè)備——如服務(wù)器，造成終端等，使用設(shè)備工作或?qū)ν夥?wù)的IP地址；網(wǎng)絡(luò)設(shè)備互聯(lián)的三層接口——網(wǎng)絡(luò)設(shè)備間互聯(lián)三層接口地址；網(wǎng)絡(luò)設(shè)備間互聯(lián)的二層接口——對端設(shè)備的自環(huán)地址（對于交換機(jī)、路由器等設(shè)備）設(shè)備的管理地址（如二層交換機(jī)管理地址，透明防火墻管理地址等）。對于網(wǎng)絡(luò)設(shè)備的IP地址分配，參見規(guī)范篇中“IP地址規(guī)范”的相關(guān)描述。例如：To_ BJBGCRH N40E01_E1/代表端口連接的是通信網(wǎng)管網(wǎng)絡(luò)核心路由器華為NE40E，對端端口為E1/1。這個(gè)示例只作為演示使用，其中的設(shè)備名稱和IP地址不代表設(shè)備的實(shí)際情況。6 通信網(wǎng)管網(wǎng)管理原則要求制定通信網(wǎng)網(wǎng)管的管理辦法，以保證網(wǎng)管網(wǎng)安全可靠運(yùn)行。