上网行为管理部署技术方案.docx

上网行为管理部署技术方案1、方案设计背景目前XX集团信息事业部为了进一步提高企业的信息安全等级,满足政府安全部门对企业的上网行为管理规定，希望可以对公司内部的员工的互联网行为进行合理的管控，在出现网络问题时能够快速定位问题的来源，并能够提供丰富的行为纪录存档（6个月）便于后期的行为审计，同时还需要能够给企业的管理部门提供简明，种类丰富的报表从而及时的进行各项管理制度上的调整。2、网络现状拓扑目前XX集团的网络采用了多重冗余技术，并配置了大量的安全设备。已经可以十分有效的抵御基于客体应用的威胁，具体拓扑如下：KartrenotIntramMt3、部署上网行为管理产品后的网络拓扑ExtranctIntrant4、网络可用性，可靠性分析以下情况均为小概率事件，但为了能够确保客户认知网络的可靠性，在此仍需要说明XX设备提供交换式Bypass功能，当网络中出现超大流量攻击时首先保障用户网络通畅，因此会自动进行报文bypass,并提供告警，指导客户定位问题来源。5、割接方案说明原有防火墙和DMZ交换机之间采用多模千兆光口进行互联，割接期间为了保障对原有线路改动最小，因此采用如下方式：步骤一：将XX1CG设备上架固定，上电，检查必要配置。步骤二：将IStTire的防火墙的光纤拔出，光纤接口保留在原有接口附近不移动步骤三：防火墙的光口和XXICG外出接口使用XX提供的光纤进行互联。步骤四：DMZ交换机的光纤拔出，光纤接口保留在原有接口附近不移动。步骤五：将DMZ交换机光口和XXICG光口使用XX提供的光纤进行互联。步骤六：检查网络路由走向是否按照原有的主干线路转发。步骤七：测试内部上网的稳定性。6、设备IP、路由说明，地址分配说明网管接口地址设置：ICG自身的网管端口设置为用户提供的一个普通客户的网段的地址。ICG工作端口地址设置：由于ICG在需要审计的信息上要求实现快速流过滤，因此建议用户分配给ICG一个合法地址。如实在无合法地址可提供可采用其他变通方法实现，不会影响ICG的功能。默认路由添加：将ICG的默认路由配置成XX骨干网出口网络的负载均衡设备地址内网段路由添加：添加XX的内部子网的聚合网段到ICG的静态路由表中，以协助实现快速流过率。7、设备可用性测试针对XX集团的现有网络应用进行逐一的测试HTTP的访问发帖测试FTP,te1net常用应用。IM即时通信测试。Emai1发送测试。XX集团特有互联网应用测试。8、风险分析及回退风险可能性：假如部署设备后测试案例无法正常使用，经过排查无法现场解决，可进行变更回退。回退方法为取下ICG的光纤线路，将原有的放在一边的防火墙和交换机的光纤插回即可。9、变更实施人员工作分工XX集团信息部门网络工程师提供XX工程师所需要的信息，由XX工程师完成ICG的配置。线路链接可由XX工程师在XX集团信息主管部门的工程师配合下完成割接。测试项目由XX集团提供在网的电脑，或者允许XX工程师的笔记本接入测试网段。10、使用期间的维护XX公司提供7x24小时热线，如果测试期间有任何不可远程指导解决的问题，XX工程师会第一事件感到现场协助解决。确保XX集团部署的顺利进行。11、部署完毕后守局并制作使用报告部署结束后，XX公司会和XX集团的信息主管部门一起确定报告主要涵盖内容，并由XX工程师制作监控报告，并将监控报告制作方法和XX集团的工程师进行沟通，力求报告能够给XX集团提供更多的可用数据。