依据网络安全等级保护相关标准和指导规范,按照“整体保护、综合防控”的原则进行安全建设方案的设计,对安全建设进行统一规划和设备选型,实现方案合理、组网简单、扩容灵活、标准统一、经济适用的建设目标。
经过安全设备的利旧与建设整改,网络在统一的安全保护策略下要具有抵御大规模、较强恶意攻击的能力,抵抗较为严重的自然灾害的能力,以及防范计算机病毒和恶意代码危害的能力;具有检测、发现、报警及记录入侵行为的能力;具有对安全事件进行响应处置,并能够追踪安全责任的能力;遭到损害后,具有能够较快恢复正常运行状态的能力;对于服务保障性要求高的网络,应该能够快速恢复正常运行状态;
通过技术与管理层面的有机结合,在保障安全能力的基础之上,符合并达到《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》第三级的标准要求。
1️⃣南北向流量纵深防御:互联网出口到内网服务器区经过防火墙→IPS→WAF→核心交换机的四层过滤;
2️⃣东西向流量智能管控:核心交换机通过VXLAN+微分段隔离各业务区域,旁挂安全设备实现全流量分析;
3️⃣双活冗余高可用:出口路由器、防火墙、核心交换机均采用双设备冗余,关键链路启用ECMP+BFD检测;
1️⃣分层防御体系
边界防护:互联网/专网出口均部署 防火墙(FW)+ IPS + WAF 形成“三重过滤”:
防火墙:基于五元组的流量控制(ACL/NAT)和区域隔离(DMZ/Trust/Untrust)。
IPS:实时检测并阻断漏洞利用、恶意扫描等L3-L7层攻击(特征库需每日更新)。
WAF:防护SQL注入、XSS等Web应用层攻击,支持自定义规则匹配业务特征。
内部纵深防御:安全管理域通过 堡垒机+数据库审计+漏洞扫描 实现“最小权限+操作追溯+主动防御”。
2️⃣高可用性设计
核心层主要功能是完成各功能分区、网络之间数据流量的高速交换,是纵向流量与服务功能分区间横向流量的交汇点。核心交换设备应采用CLOS正交架构的核心交换机,配置冗余引擎,配置冗余交换网板,冗余电源,保证网络组件层面的稳定性。
网络架构层面,采用双核心设计,两台设备进行冗余,并通过虚拟化或集群技术进行横向整合,将两台物理设备虚拟化为一台逻辑设备,两台设备工作在双活模式,缩短链路故障与设备故障的倒换时间(毫秒级),保证出现单点故障时不中断业务。
设备级冗余:核心交换机、防火墙、IPS等关键设备采用 双机热备(VRRP/HSRP)。
链路级冗余:汇聚层与接入层通过 链路聚合(LACP) 和 STP/RSTP 防环。
服务器超融合区:采用 虚拟化集群+分布式存储,支持虚拟机HA迁移和存储多副本。
3️⃣安全合规管控
零信任访问:
外部用户通过 VPN(IPSec/SSL) 接入,绑定双因素认证(如短信/令牌)。
运维人员通过堡垒机跳转访问,操作全程录屏+指令审计。
日志集中分析:
防火墙、IPS、WAF日志推送至 态势感知平台,实现威胁可视化与联动响应。
数据库审计系统记录所有SQL操作,满足等保2.0“三权分立”要求。
内网服务器对外提供业务访问量大并且复杂,针对出口处考虑增加抗DDOS设备进行安全防护以保障出口网络稳定性和业务安全运行的能力。
1️⃣总体路由策略
基于开放性、可扩展性原则选择路由协议,IGP采用OSPF路由协议加静态路由的方式来实现互访互通;各个业务子系统业务核心交换机与核心交换机之间建立OSPF邻居关系,用于各个业务子系统之间互联互访;核心交换机使用缺省路由指向出口路由器,出口路由器使用明细静态路由把回程路由指向全厂核心交换机。
IGP路由规划
#️⃣OSPF进程号分配
OSPF进程号使用10,避免使用默认进程1。
#️⃣OSPF RouterID
OSPF RouterID使用设备互联IP地址,后续可直接通过Router ID查询OSPF邻居关系,便于后期维护。
#️⃣OSPFArea划分
OSPFArea划分为核心交换机与各个业务核心交换机使用area 0作为骨干区域,各个业务核心交换机一次使用area 1-9作为自己内部OSPF区域,用于宣告需要互访的IP地址网段。
2️⃣静态路由规划
核心交换机与出口路由器之间使用静态路由进行路由传递,核心交换机使用缺省静态路由指向出口路由器,出口路由器使用明细网段静态路由作为回程路由,保证不必要的IP网段访问外部。路由器通过静态路由+Preference的负载均衡方式接入多运营商互联网网络。
发表回复