辦公網(wǎng)公網(wǎng)線路整改總結(jié)

1、辦公網(wǎng)公網(wǎng)線路整改總結(jié) 1、整改原狀 1.1 業(yè)務(wù)分散 各業(yè)務(wù)部門公網(wǎng)光纖線路均采用單點接入， 線路部署分散， 故障發(fā)生需要較長時間進行 故障節(jié)點判定，業(yè)務(wù)影響時間較長。 1.2 無流量監(jiān)管 現(xiàn)有公網(wǎng)光纖線路均采用 2 層設(shè)備接入， 不具備流量監(jiān)控條件， 不能對各部門業(yè)務(wù)流量 進行分析處理，無法對后期網(wǎng)絡(luò)布局影響范圍、線路帶寬增減等提供依據(jù) 1.3 缺乏安全管控 目前所有線路均由公網(wǎng)直接接入局域網(wǎng)內(nèi)部，所有訪問路徑未部署任何安全管控設(shè)備， 服務(wù)端遭受外部惡意主機攻擊不僅影響該業(yè)務(wù)線路，對公司內(nèi)網(wǎng)安全也有很大安全風(fēng)險。 2、整改方案 2.1 改造方向 對公網(wǎng)線路、內(nèi)網(wǎng)連接重新部署，完成統(tǒng)一整合，

2、形成完整且獨立的事業(yè)部公網(wǎng)網(wǎng) 絡(luò)區(qū)域 實現(xiàn)公網(wǎng)線路的流量監(jiān)控和安全防護功能， 對各業(yè)務(wù)流量進行分析， 為后期線路增 減提供依據(jù)并且實現(xiàn)內(nèi)網(wǎng)外網(wǎng)的安全隔離 整合后的網(wǎng)絡(luò)必須具備一定的可用性， 由于接入線路比較集中， 要盡量避免重要節(jié) 點的單點故障造成的整體線路中斷 2.2 網(wǎng)絡(luò)架構(gòu)圖 整體網(wǎng)絡(luò)架構(gòu)圖如下： 圖 1-1 公網(wǎng)線路調(diào)整拓?fù)鋱D 3、實施情況 3.1 公網(wǎng)整改架構(gòu)調(diào)整 為了更好的達到公網(wǎng)整合后預(yù)期的效果，在實施方案形成后，經(jīng)過不斷的商討和凝練， 我們定義了新的網(wǎng)絡(luò)架構(gòu)拓?fù)?，如下圖： 圖 1-2 調(diào)整后拓?fù)?由于后期， 針對于公網(wǎng)公網(wǎng)網(wǎng)絡(luò)現(xiàn)狀的深入了解， 發(fā)現(xiàn)有部分公網(wǎng)線路已經(jīng)存在類似防

3、火墻之類的網(wǎng)絡(luò)設(shè)備接入， 從現(xiàn)有的設(shè)備中， 我們即可觀察到線路利用情況， 因此對需要整 改的公網(wǎng)線路進行精簡后， 發(fā)現(xiàn)一臺防火墻足以承載相關(guān)流量， 此次實際梳理的公網(wǎng)線路如 表： 電信 聯(lián)通 移動 備注 26242 5 643 46158 30142 696 14126 02 72-176 98 3.2 公網(wǎng)物理線路整理 由于整改前的公網(wǎng)線路， 在上線實施使用前

4、， 并沒有經(jīng)過周全的布線規(guī)劃， 導(dǎo)致網(wǎng)絡(luò)線 纜凌亂不堪， 交織在一起， 此次實施前， 我們清理掉全部不在使用的光電轉(zhuǎn)換設(shè)備及其線纜， 在實施中， 我們針對全部線纜進行了統(tǒng)一梳理、 部署及扎線貼標(biāo)工作， 使其看起來簡單有序， 但由于歷史緣故，仍有部分其他設(shè)備線路無法挪動，美中仍有不足。 4、整改后效果 4.1 流量監(jiān)控 通過將公網(wǎng)流量透過防火墻的方式， 實現(xiàn)對所有公網(wǎng)線路的監(jiān)控， 在防火墻主頁中， 可 以實時監(jiān)控所有線路的總機帶寬及會話數(shù)。 圖 4.1 監(jiān)控防火墻整機流量圖 在首頁中， 我們只能看到所有線路的總體流量情況趨勢圖， 為了監(jiān)控到每一條線路每 個 IP 地址的流量情況， 我們可以自定義

5、根據(jù)公網(wǎng) IP 地址來監(jiān)控其對應(yīng)的流量， 根據(jù)每條線 路所擁有的 IP 地址段， 定義一個監(jiān)控組， 即可監(jiān)控這條線路的 IP 地址使用情況及該地址的 流量使用情況，如下圖所示： 圖 4-2 自定義公網(wǎng)線路監(jiān)控 1 圖 4-3 自定義公網(wǎng)線路監(jiān)控 2 如圖中所以， 我們根據(jù)公網(wǎng)線路的作用定義了流量監(jiān)控組， 在流量監(jiān)控組中可以清 晰的看到每一個在用 IP 地址的流量使用情況及歷史曲線圖，可以一目了然的看到每條線路 的帶寬使用情況，然后評估該線路的利用率是否符合公司要求。 4.2 安全管控 將所有公網(wǎng)流量透過防火墻之后， 防火墻即可對這些流量進行安全分析， 進行安全監(jiān)測、 安全過濾，保障內(nèi)網(wǎng)服務(wù)器的

6、安全。 在監(jiān)控防火墻上， 開啟二層安全防護后， 可以針對流入防火墻的流量進行固定的安全防 護，并針對不同的攻擊類型，做出相應(yīng)響應(yīng)，完成對內(nèi)網(wǎng)服務(wù)器的安全防護，如下圖： 圖 4-4 開啟攻擊防護 在開啟公網(wǎng)防護后， 防火墻會針對外部不安全流量進行安全管控， 根據(jù)默認(rèn)的安全管控 行為，做出相應(yīng)措施，如下圖： 圖 4-5 攻擊防護措施 實現(xiàn)對外部不安全流量的管控 如上圖所示， 當(dāng)有攻擊發(fā)生后， 防火墻會匹配防護措施， drop 掉疑似攻擊流量，完成對內(nèi)網(wǎng) 功能，途中針對 ICMP 泛洪攻擊，防火墻及時有效的 安全域防護功能。 5、整改外公網(wǎng)線路監(jiān)控 由于此次公網(wǎng)線路整改， 并沒有涉及全部公網(wǎng)線路，

7、因為部分公網(wǎng)線路已經(jīng)存在 4 層以 上設(shè)備，可做監(jiān)控使用，這部分線路梳理如下： 公網(wǎng)線路 監(jiān)控設(shè)備 備注 26-230 01 62166 54 48 https:/ 06:4430/ 30142 23 通過上表，可以通過相關(guān)監(jiān)控設(shè)備對相應(yīng)的公網(wǎng)線路進行流量監(jiān)控，舉例說明如下： 6、實施總結(jié) 在實施前， 由于對實施工作及細(xì)節(jié)考慮的不充分， 導(dǎo)致線路整改方案一改再改， 實施時 間一推再推，最終成型的方案，也就是我們實施的方案，最終全部實現(xiàn)了最初預(yù)期的暢想， 完成了對公網(wǎng)線路的整理， 對公網(wǎng)流量的監(jiān)控， 對公網(wǎng)安全性進行了防護工作， 使科大訊飛 A1 樓公網(wǎng)梳理成一個有機的整體，具體可觀性、可控性，使我們可以對每一條線路了然于 目，知道其使用情況，帶寬利用率。 在實施過程中， 突發(fā)將所有線路整合到同一臺交換