引言
网络信息安全是一个企业信息化发展和进步的重要信息安全基础,也是国家信息安全等级保护基本要求的内容之一。浙江省电力试验研究院高度重视网络信息安全管理,把信息安全纳入电力生产安全同等管理。2010年,浙江省电力试验研究院依据国网公司“SG186工程安全防护总体方案”中的“双网双机、分区分域、等级保护、多层防护”基本要求,在企业原有网络安全防护基础上开展了网络二级域改造建设,以提升企业网络安全防护水平。
1 网络概况
浙江省电力试验研究院作为省电力公司直属企业,企业网络以局域网方式接入省公司骨干网为主,信息网的骨干数据交换通过3层主交换机Foundry Biglron 8000实现,各部门及其下属单位通过二层接入交换机或汇聚交换机接入企业信息网,实现用户终端接入企业办公信息网。企业信息网中的3层核心主交换机采用Foundry Biglron 8000设备(下称Foundry Biglron 8000-1和Founcry Biglron 8000—2)进行部署,采用静态路由方式与省公司对端设备进行静态路由相联。企业信息网网络拓扑示意图如图1所示。
基于图1中的网络拓扑示意结构图,核心主交换机Foundry Biglron 8000-1和Foundry Biglron 8000-2之间运行虚拟路由器冗余协议(VRRP:Virtual Router RedundancyProtoco1),以达到路由备份冗余的目的。各楼层交换机亦采用双链路分别上联核心主交换机Foundry Biglron 8000一1和Founcry Biglron 8000-2设备,达到网络链路及设备的热备份效果。但问题在于:企业信息网中所有应用服务器均直接接入到核心主交换机Foundry BigIron 8000设备上,均通过主交换机Foundry Biglron 8000的物理端口实现数据包转发。基于图1网络架构示意图,网络架构主要缺陷在于,即本项目改造的主要出发点:是企业信息网无法定义结构化的路由域以及无法清晰地界定重要服务器与普通内网PC的之间的边界。因此,企业信息网络需要进行网络安全域改造,通过建设二级服务器域和桌面系统域,以划分清晰的二级服务器域和桌面终端域,实行边界安全防护。
图1 网络拓扑示意图
2 改造方法及步骤
按照“三级系统独立成域、二级系统统一成域 的域划分原则,在本案中,应该为本企业信息网络系统划分一个统一的二级系统服务器域和桌面终端域,并分别进行安全防护和管理。二级系统服务器域与桌面终端域间实行横向域间的安全防护措施,以实现域间的安全防护。安全域划分示意图如图2所示。
图2 安全域划分示意图
因此,为建立二级系统服务器域,需新增加两台交换机(下称Cisco A 和CiscoB)作为二级系统服务器域的接入交换机,并把原部属在核心主交换机Foundry Bigiron 8000设备上的所有应用服务器下移到新增的网络交换机Cisco设备上。同时,CiscOA和CiscoB将通过开放式最短路径优先协议(OSPF:Open Shortest Path)分别与两台核心主交换机Foundry Biglron 8000互联,且原有在Founcry Biglron 8000设备上的服务器网段的网关将下移至Cisco A和Cisco B上,Cisco A和Cisco B之间将运行热备份路由器协议(HSRP),实现服务器网段网关、设备、链路冗余。据此,工程实施步骤需分三步进行:
(1)Cisco A和Cisco B路由设备配置服务器网段(Vlan),井与核心主交换机Foundry Biglron 8000进行Trunc连接。即:在Foundry Biglron 8000-1、Foundry Biglron 8000—2、CiscoA和CiscoB 4台设备间设置二层Trunc链路,形成环网。
(2)服务器链路按重要等级顺序迁移到Cisco A和CiscoB路由设备上,并测试所有应用系统网络及业务是否正常。
(3)将Foundry Biglron 8000-1设备与Cisco A设备互联接口由二层Trunc模式修改为三层模式,同样将FoundryBiglron 8000-2设备与Cisco B设备的互联接口由二层Trunc模式修改为三层模式,并在此4台设备上分别启用OSPF协议,产生动态路由条目。
(4)实行vlan访问控制措施,实现横向域间边界防护。即在新增的服务器域交换机上,根据业务访问规则和安全需求,配置vlan ACL,达到桌面终端到服务器的横向访问控制。
3 异常情况分析与处理
3.1 异常情况描述
在实施了第1步、第2步后,所有应用服务器均平滑下移到新增的Cisco A和Cisco B路由设备上,但当实施了第3步后,即当把Foundry Biglron 8000-1与CiscoA ,FoundryBiglron 8000-2与CiscoB之间由二层Trunc链路修改为物理三层接口互联,并启用CiscoA、CiscoB与2台Foundry Biglron8000设备的OSPF路由动态协议,产生动态路由条目信息后,我们经过测试发现:4台设备路由表信息建立正常,用户终端到服务器端设备的PING 包正常,客户端到服务器端TELNET端口正常,但是存在部分7层应用服务出现异常现象。如远程桌面只能连通一次就无法再连接,部分服务器的WEB应用服务只能个别终端能访问,大部分终端无法正常访问等异常现象。
3.2 异常情况分析
当网络遇到异常时,技术人员首先关心的是如何确定并修复异常,使网络快速恢复正常运行。因此,必须及时收集有关信息,并对所发生的问题进行仔细分析,通常从以下3个方面进行分析。
(1)应用程序问题:部分应用可能出现网络中断后,应用服务需要重启才能正常提供服务的情况。
(2)网络硬件问题:如设备连接、硬件、线路问题而引发网络不稳定或网路异常问题。
(3)网络配置问题:如网络协议、配置问题造成网络不稳定异常。
3.3 异常情况处理
(1)应用程序问题排查:针对部分应用服务器的远程桌面无法正常连接的问题,我们通过与业务部门联系,采用应用程序重启的方式。重启后,经过测试,我们发现故障仍然存在。因此,排除了应用服务本身问题的可能性。
(2)网络硬件问题排查:我们从网络设备及硬件基础设施着手,逐步更换了网络设备的尾纤、光模块(SFP)、设备接入板卡槽位。通过测试发现,问题依然无法解决。故也排除了硬件引发故障的可能性。
(3)网络配置问题排查:首先,我们怀疑可能是网络数据包收和发的网络路径不一致而引发网络的不稳定。因此,我们上调了主交换设备Foundry Biglron 8000-1和主交换Foundry Biglron 8000-2之间、路由器Cisco A和路由器Cisco B之间的路由成本值(cost),进一步确保网络数据包收和发能使用同一路径。但测试表明,cost值调整后,问题依然存在。
然后,我们将Foundry Biglron 8000-2与CiscoB之间的链路断开后,经过测试,问题仍然存在}但是当断开FoundryBiglron 8000—1与Cisco A链路(保留Foundry Biglron 8000-2与Cisco B的链路),我们测试发现:7层应用恢复正常,远程桌面等问题也得到正常恢复。所以,我们确定了是FoundryBiglron 8000-1和Cisco A之间链路配置的问题。
明确问题所在后,我们通过分析,核心主交换机FoundryBiglron 8000与Cisco A或Cisco B路由器的网络互连可以有3种方式(三层物理接口互连、网段Vlan接口的Trunc互连、网段Vlan接口的Access互连),为实现Foundry Biglron-1与Cisco A的正常连接.如表1所示,我们对各种可能性进行了测试,结果我们发现,若Foundry Biglron 8000-1使用物理3层接口,无论CicSOA 设备采用3种方式(三层物理接口互连、网段Vlan接口的Trunc互连、网段Vlan接口的Access互连)的任何一种,网络异常将存在。而当Foundry Biglron8000-1采用基于Trunc链路模式的Vlan接口,或基于Access的Vlan接口,则网络恢复正常。
表1 Foundry Biglron 8000 与Cisco 三层互联测试表
因此,为加强安全性,我们将Foundry Biglron 8000-1的互联接口设置为基于Access的Vlan接口,Cisco A采用物理三层接口,网络及应用均恢复了正常。通过网络异常的分析与处理,我们发现问题主要在于不同网络厂家设备之间三层互联方式问题上,通过转换互连方式,网络异常最终得以解决。
4 结语
本文探讨了电力直属企业基于等级保护的网络安全防护改造方法,提出了通过新增加网络设备,构建服务器二级域,以清晰划分企业信息网的服务器域与桌面终端域,通过配置Vlan ACL措施实现安全域安全防护的基本措施和基本步骤,并在浙江省电力试验研究院具体案例中加以实践。实践表明:该方法简单、有效,能够达到国家等级保护基本要求,达到国网公司SG186工程安全总体防护的要求。在工程实施中,也遇到了不同厂家设备之间在启用3层接口互联上,由于技术人员对设备性能及配置不够熟悉等原因产生网络异常现象。技术人员通过多种方法测试、验证、排错,最终采用了安全性较高一种互联配置模式,恢复正常网络。因此.本文中基于等级保护的网络安全防护改造方法及网络改造中网络异常的分析排查处理经验对同类型企业网络改造具有一定的参考和借鉴意义。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/