中信登项目实施方案.docx

中信登项目实施方案.docx

《中信登项目实施方案.docx》由会员分享，可在线阅读，更多相关《中信登项目实施方案.docx（26页珍藏版）》请在冰豆网上搜索。

中信登项目实施方案

中信登安全防护项目

实施方案

■文档编号

■密级

商业机密

■版本编号

**

■日期

2017-4-23

©2020绿盟科技

■版权声明

本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，受到有关产权及版权法保护。

任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。

■版本变更记录

时间

版本

说明

修改人

2017/4/22

**

新建

黄彬

2017/4/23

修改

黄娇龙

■适用性声明

本模板用于撰写绿盟科技内外各种正式文件，包括技术手册、标书、白皮书、会议通知、公司制度等文档使用。

**部署拓扑5

**部署说明6

**基础环境6

**合同清单6

**接口地址规划8

**IPS8

**IDS9

**机房流量峰值9

**部署位置以及接口9

**IPS10

**IPS主设备10

**IPS从设备13

**IDS16

**Bypass测试18

**IPS主设备18

**IPS从设备19

**IPS实施流程20

**产品配置20

**上线割接20

**运行观察21

**IDS实施流程21

**产品配置21

**加电上架21

**运行观察21

**实施时间计划21

**IPS1实施时间计划21

**IPS2实施时间计划22

**IDS实施时间计划22

一.项目背景

为响应中国信拖登记关于加强网上信息系统防攻击措施的要求,进一步加强上海信托登记网络边界的安全防护能力，上海信托登记购置了绿盟科技安全设备。

本项目中包括绿盟网络入侵检测系统（IDS）1台，绿盟网络入侵检测系统（IPS）2台。

二.部署方式

三.部署拓扑

绿盟安全设备在信托登记部署位置如下图：

四.部署说明

两台绿盟IPS设备采用透明部署的方式部署在客户网路拓扑中，对服务端和客户端均透明。

两台设备上行链路连接外网，分别是电信和联通，下行链路连接内网，G1/1和G1/2同属于一个DirectA，G1/3和G1/4同属DirectB。

两台IPS均有一个心跳口H1，用来收发心跳信息、会话信息以及同步配置文件。

一台IDS设备采用旁路部署方式部署在虚拟化区域，流经此区域的流量被镜像到IDS设备中进行检测。

五.环境需求

六.基础环境

七.合同清单

产品名称

部件名称

部件编码/型号

描述/规格与模块

单价

单位

数量

金额

绿盟网络入侵防护系统V5.6　

引擎系统

NIPSNX5-N6000A-NOS-01

NIPSNX5-N6000A引擎系统

套　

2

引擎模块

NIPSNX5-N6000A-NDE-01

NIPSNX5-N6000A引擎模块-2U，含交流冗余电源模块，2*USB接口，1*RJ45串口，2*GE管理口，4个扩展槽位，标配不提供网卡模块，须另外购买

套　

2　

网卡

NIC-A-GE-SFP4

4个千兆SFP插槽（不含光纤接口模块），支持千兆多模光纤接口模块、千兆单模光纤接口模块、千兆电口接口模块。

套

2

网卡

NIC-A-GE-TX4-B

4个10/100/1000M电口（2路Bypass）。

套

2

黄金服务包（首年）

NIPSNX5-N6000A-NSPS-GOL（FY）-N01

NIPSNX5-N6000A黄金服务包（首年），包含产品系统升级授权、产品规则升级授权、硬件保修、远程支持、产品安装服务、硬件故障上门支持、安全通告服务；需单独购买

套年

2

黄金服务包（续约）

NIPSNX5-N6000A-NSPS-GOL（CE）-N01

NIPSNX5-N6000A黄金服务包（续约），包含产品系统升级授权、产品规则升级授权、硬件保修、远程支持、硬件故障上门支持、安全通告服务；需单独购买

套年

4

绿盟网络入侵检测系统V5.6

引擎系统

NIDSNX5-N8000A-NOS-01

NIDSNX5-N8000A引擎系统

套

1

引擎模块

NIDSNX5-N8000A-NDE-01

NIDSNX5-N8000A引擎模块-2U，含交流冗余电源模块，2*USB接口，1*RJ45串口，2*GE管理口，4个扩展槽位，标配不提供网卡模块，须另外购买

套

1

网卡

NIC-A-GE-TX4-B

4个10/100/1000M电口（2路Bypass）。

套

1

黄金服务包（首年）

NIDSNX5-N8000A-NSPS-GOL（FY）-N01

NIDSNX5-N8000A黄金服务包（首年），包含产品系统升级授权、产品规则升级授权、硬件保修、远程支持、产品安装服务、硬件故障上门支持、安全通告服务；需单独购买

套年

黄金服务包（续约）

NIDSNX5-N8000A-NSPS-GOL（CE）-N01

NIDSNX5-N8000A黄金服务包（续约），包含产品系统升级授权、产品规则升级授权、硬件保修、远程支持、硬件故障上门支持、安全通告服务；需单独购买

套年

合计：

八.接口地址规划

九.IPS

设备名称

接口地址

备注

绿盟IPS主设备

M

IP地址：

10.10.50.13

带外管理

掩码：

255.255.255.0

网关：

10.10.50.254

G1/1

**/0

DirectA

G1/2

**/0

DirectA

G1/3

**/0

DirectB

G1/4

**/0

DirectB

H1

IP地址：

2.2.3.2

心跳口

掩码：

255.255.0.0

网关：

2.2.3.2

设备名称

接口地址

备注

绿盟IPS从设备

M

IP地址：

10.10.50.14

带外管理

掩码：

255.255.255.0

网关：

10.10.50.254

G1/1

**/0

DirectA

G1/2

**/0

DirectA

G1/3

**/0

DirectB

G1/4

**/0

DirectB

H1

IP地址：

2.2.2.2

心跳口

掩码：

255.255.0.0

网关：

2.2.2.2

一十.IDS

设备名称

接口地址

备注

绿盟IDS

M

IP地址：

10.10.50.12

带外管理

掩码：

255.255.255.0

网关：

10.10.50.254

G1/1

**/0

G1/2

**/0

一十一.机房流量峰值

链路名称

峰值/bps

上行链路

下行链路

一十二.部署位置以及接口

主IPS

（A0322-23U）

连接

交换机（A03/33U）接口

交换机（A04/33U）接口

交换机（A05/09U）接口

交换机（A06/09U）接口

交换机（A03/25U）接口

交换机（A04/25U）接口

G1/1

G0/2

G1/2

G0/4

G1/3

G0/10

G1/4

G0/12

M

G0/5

从IPS

（A0422-23U）

G1/1

G0/3

G1/2

G0/5

G1/3

G0/11

G1/4

G0/13

M

G0/5

IDS

（A0338-39U）

M

G0/8

G1/1

G0/13

G1/2

G0/13

一十三.配置截图说明

一十四.IPS

一十五.IPS主设备

1.首页

2.接口状态以及配置

3.策略配置

**切换

一十六.IPS从设备

1.首页

2.接口状态及配置

3.策略配置

**切换

主设备down后

一十七.IDS

1.首页

2.接口状态及配置

3.策略

**配置

一十八.Bypass测试

一十九.IPS主设备

二十.IPS从设备

二十一.实施流程

二十二.IPS实施流程

二十三.产品配置

根据绿盟科技工程师以往实施的经验，IPS预配置包括以下内容：

开箱验货

确认配件、网线、资质文件、说明书等内容齐全。

设备加电、导入证书

保证设备正常使用

设备升级

保证上线后的设备是不存在已知BUG，保证系统在上线后稳定运行；

防护策略

二十四.上线割接

在验证IPS预配置没有问题后，将IPS割接到现有的网络中，并验证IPS策略是否对业务产生影响。

二十五.运行观察

在取得上线成功后，绿盟科技工程师将针对IPS运行状况进行分析，并在必要的情况下调整配置策略，以更好的满足检测要求。

二十六.IDS实施流程

二十七.产品配置

根据绿盟科技工程师以往实施的经验，IDS预配置包括以下内容：

开箱验货

确认配件、网线、资质文件、说明书等内容齐全。

设备加电、导入证书

保证设备正常使用

设备升级

保证上线后的设备是不存在已知BUG，保证系统在上线后稳定运行；

防护策略

二十八.加电上架

IDS采用旁路部署到网络中，不会影响网络业务，直接接到交换机的镜像口上即可。

二十九.运行观察

上线成功后查看IDS上是否有流量，是否有相关的日志产生。

三十.实施时间计划

三十一.实施时间计划

三十二.IPS1实施时间计划

编号

工作阶段

用时

1

产品配置&上线割接

2

运行观察

N/A

三十三.IPS2实施时间计划

编号

工作阶段

用时

1

产品配置&上线割接

2

运行观察

N/A

三十四.IDS实施时间计划

编号

工作阶段

用时

1

产品配置&上线割接

2

运行观察

N/A

三十五.后续工作

本次项目实施结束后，绿盟科技将会继续跟进，对客户提出的问题以及产品问题我们将及时解决，以保证客户业务顺畅运行。

三十六.账户、密码

设备名称

设备管理员/密码

审计员/密码

IPS

admin/!

@#$qwer1234

webaudit/webaudit

IDS

admin/!

@#$qwer1234

webaudit/webaudit