辦公網(wǎng)公網(wǎng)線(xiàn)路整改總結(jié)-10-10.doc

辦公網(wǎng)公網(wǎng)線(xiàn)路整改總結(jié)1、整改原狀1.1 業(yè)務(wù)分散各業(yè)務(wù)部門(mén)公網(wǎng)光纖線(xiàn)路均采用單點(diǎn)接入，線(xiàn)路部署分散，故障發(fā)生需要較長(zhǎng)時(shí)間進(jìn)行故障節(jié)點(diǎn)判定，業(yè)務(wù)影響時(shí)間較長(zhǎng)。1.2 無(wú)流量監(jiān)管現(xiàn)有公網(wǎng)光纖線(xiàn)路均采用2層設(shè)備接入，不具備流量監(jiān)控條件，不能對(duì)各部門(mén)業(yè)務(wù)流量進(jìn)行分析處理，無(wú)法對(duì)后期網(wǎng)絡(luò)布局影響范圍、線(xiàn)路帶寬增減等提供依據(jù)1.3 缺乏安全管控目前所有線(xiàn)路均由公網(wǎng)直接接入局域網(wǎng)內(nèi)部，所有訪問(wèn)路徑未部署任何安全管控設(shè)備，服務(wù)端遭受外部惡意主機(jī)攻擊不僅影響該業(yè)務(wù)線(xiàn)路，對(duì)公司內(nèi)網(wǎng)安全也有很大安全風(fēng)險(xiǎn)。2、整改方案2.1 改造方向l 對(duì)公網(wǎng)線(xiàn)路、內(nèi)網(wǎng)連接重新部署，完成統(tǒng)一整合，形成完整且獨(dú)立的事業(yè)部公網(wǎng)網(wǎng)絡(luò)區(qū)域l 實(shí)現(xiàn)公網(wǎng)線(xiàn)路的流量監(jiān)控和安全防護(hù)功能，對(duì)各業(yè)務(wù)流量進(jìn)行分析，為后期線(xiàn)路增減提供依據(jù)并且實(shí)現(xiàn)內(nèi)網(wǎng)外網(wǎng)的安全隔離l 整合后的網(wǎng)絡(luò)必須具備一定的可用性，由于接入線(xiàn)路比較集中，要盡量避免重要節(jié)點(diǎn)的單點(diǎn)故障造成的整體線(xiàn)路中斷2.2 網(wǎng)絡(luò)架構(gòu)圖整體網(wǎng)絡(luò)架構(gòu)圖如下：圖1-1 公網(wǎng)線(xiàn)路調(diào)整拓?fù)鋱D3、實(shí)施情況3.1 公網(wǎng)整改架構(gòu)調(diào)整為了更好的達(dá)到公網(wǎng)整合后預(yù)期的效果，在實(shí)施方案形成后，經(jīng)過(guò)不斷的商討和凝練，我們定義了新的網(wǎng)絡(luò)架構(gòu)拓?fù)?，如下圖：圖1-2 調(diào)整后拓?fù)溆捎诤笃?，針?duì)于公網(wǎng)公網(wǎng)網(wǎng)絡(luò)現(xiàn)狀的深入了解，發(fā)現(xiàn)有部分公網(wǎng)線(xiàn)路已經(jīng)存在類(lèi)似防火墻之類(lèi)的網(wǎng)絡(luò)設(shè)備接入，從現(xiàn)有的設(shè)備中，我們即可觀察到線(xiàn)路利用情況，因此對(duì)需要整改的公網(wǎng)線(xiàn)路進(jìn)行精簡(jiǎn)后，發(fā)現(xiàn)一臺(tái)防火墻足以承載相關(guān)流量，此次實(shí)際梳理的公網(wǎng)線(xiàn)路如下表：電信聯(lián)通移動(dòng)備注2624256434615830142696141260272-176983.2 公網(wǎng)物理線(xiàn)路整理由于整改前的公網(wǎng)線(xiàn)路，在上線(xiàn)實(shí)施使用前，并沒(méi)有經(jīng)過(guò)周全的布線(xiàn)規(guī)劃，導(dǎo)致網(wǎng)絡(luò)線(xiàn)纜凌亂不堪，交織在一起，此次實(shí)施前，我們清理掉全部不在使用的光電轉(zhuǎn)換設(shè)備及其線(xiàn)纜，在實(shí)施中，我們針對(duì)全部線(xiàn)纜進(jìn)行了統(tǒng)一梳理、部署及扎線(xiàn)貼標(biāo)工作，使其看起來(lái)簡(jiǎn)單有序，但由于歷史緣故，仍有部分其他設(shè)備線(xiàn)路無(wú)法挪動(dòng)，美中仍有不足。4、整改后效果4.1 流量監(jiān)控通過(guò)將公網(wǎng)流量透過(guò)防火墻的方式，實(shí)現(xiàn)對(duì)所有公網(wǎng)線(xiàn)路的監(jiān)控，在防火墻主頁(yè)中，可以實(shí)時(shí)監(jiān)控所有線(xiàn)路的總機(jī)帶寬及會(huì)話(huà)數(shù)。圖 4.1 監(jiān)控防火墻整機(jī)流量圖在首頁(yè)中，我們只能看到所有線(xiàn)路的總體流量情況趨勢(shì)圖，為了監(jiān)控到每一條線(xiàn)路每一個(gè)IP地址的流量情況，我們可以自定義根據(jù)公網(wǎng)IP地址來(lái)監(jiān)控其對(duì)應(yīng)的流量，根據(jù)每條線(xiàn)路所擁有的IP地址段，定義一個(gè)監(jiān)控組，即可監(jiān)控這條線(xiàn)路的IP地址使用情況及該地址的流量使用情況，如下圖所示：圖4-2 自定義公網(wǎng)線(xiàn)路監(jiān)控1圖4-3 自定義公網(wǎng)線(xiàn)路監(jiān)控2如圖中所以，我們根據(jù)公網(wǎng)線(xiàn)路的作用定義了流量監(jiān)控組，在流量監(jiān)控組中可以清晰的看到每一個(gè)在用IP地址的流量使用情況及歷史曲線(xiàn)圖，可以一目了然的看到每條線(xiàn)路的帶寬使用情況，然后評(píng)估該線(xiàn)路的利用率是否符合公司要求。4.2 安全管控將所有公網(wǎng)流量透過(guò)防火墻之后，防火墻即可對(duì)這些流量進(jìn)行安全分析，進(jìn)行安全監(jiān)測(cè)、安全過(guò)濾，保障內(nèi)網(wǎng)服務(wù)器的安全。在監(jiān)控防火墻上，開(kāi)啟二層安全防護(hù)后，可以針對(duì)流入防火墻的流量進(jìn)行固定的安全防護(hù)，并針對(duì)不同的攻擊類(lèi)型，做出相應(yīng)響應(yīng)，完成對(duì)內(nèi)網(wǎng)服務(wù)器的安全防護(hù)，如下圖：圖4-4 開(kāi)啟攻擊防護(hù)在開(kāi)啟公網(wǎng)防護(hù)后，防火墻會(huì)針對(duì)外部不安全流量進(jìn)行安全管控，根據(jù)默認(rèn)的安全管控行為，做出相應(yīng)措施，如下圖：圖4-5 攻擊防護(hù)措施如上圖所示，當(dāng)有攻擊發(fā)生后，防火墻會(huì)匹配防護(hù)措施，實(shí)現(xiàn)對(duì)外部不安全流量的管控功能，途中針對(duì)ICMP 泛洪攻擊，防火墻及時(shí)有效的drop掉疑似攻擊流量，完成對(duì)內(nèi)網(wǎng)安全域防護(hù)功能。5、整改外公網(wǎng)線(xiàn)路監(jiān)控由于此次公網(wǎng)線(xiàn)路整改，并沒(méi)有涉及全部公網(wǎng)線(xiàn)路，因?yàn)椴糠止W(wǎng)線(xiàn)路已經(jīng)存在4層以上設(shè)備，可做監(jiān)控使用，這部分線(xiàn)路梳理如下：公網(wǎng)線(xiàn)路監(jiān)控設(shè)備備注26-2300162166544806:4430/3014223通過(guò)上表，可以通過(guò)相關(guān)監(jiān)控設(shè)備對(duì)相應(yīng)的公網(wǎng)線(xiàn)路進(jìn)行流量監(jiān)控，舉例說(shuō)明如下：圖5-1 深信服設(shè)備流量監(jiān)控6、實(shí)施總結(jié)在實(shí)施前，由于對(duì)實(shí)施工作及細(xì)節(jié)考慮的不充分，導(dǎo)致線(xiàn)路整改方案一改再改，實(shí)施時(shí)間一推再推，最終成型的方案，也就是我們實(shí)施的方案，最終全部實(shí)現(xiàn)了最初預(yù)期的暢想，完成了對(duì)公網(wǎng)線(xiàn)路的整理，對(duì)公網(wǎng)流量的監(jiān)控，對(duì)公網(wǎng)安全性進(jìn)行了防護(hù)工作，使科大訊飛A1樓公網(wǎng)梳理成一個(gè)有機(jī)的整體，具體可觀性、可控性，使我們可以對(duì)每一條線(xiàn)路了然于目，知道其使用情況，帶寬利用率。在實(shí)施過(guò)程中，突發(fā)將所有線(xiàn)路整合到同一