引言

    網絡信息安全是一個企業信息化發展和進步的重要信息安全基礎，也是國家信息安全等級保護基本要求的內容之一。浙江省電力試驗研究院高度重視網絡信息安全管理，把信息安全納入電力生產安全同等管理。2010年，浙江省電力試驗研究院依據國網公司“SG186工程安全防護總體方案”中的“雙網雙機、分區分域、等級保護、多層防護”基本要求，在企業原有網絡安全防護基礎上開展了網絡二級域改造建設，以提升企業網絡安全防護水平。

1 網絡概況

    浙江省電力試驗研究院作為省電力公司直屬企業，企業網絡以局域網方式接入省公司骨干網為主，信息網的骨干數據交換通過3層主交換機Foundry Biglron 8000實現，各部門及其下屬單位通過二層接入交換機或匯聚交換機接入企業信息網，實現用戶終端接入企業辦公信息網。企業信息網中的3層核心主交換機采用Foundry Biglron 8000設備(下稱Foundry Biglron 8000-1和Founcry Biglron 8000—2)進行部署，采用靜態路由方式與省公司對端設備進行靜態路由相聯。企業信息網網絡拓撲示意圖如圖1所示。

    基于圖1中的網絡拓撲示意結構圖，核心主交換機Foundry Biglron 8000-1和Foundry Biglron 8000-2之間運行虛擬路由器冗余協議(VRRP：Virtual Router RedundancyProtoco1)，以達到路由備份冗余的目的。各樓層交換機亦采用雙鏈路分別上聯核心主交換機Foundry Biglron 8000一1和Founcry Biglron 8000-2設備，達到網絡鏈路及設備的熱備份效果。但問題在于：企業信息網中所有應用服務器均直接接入到核心主交換機Foundry BigIron 8000設備上，均通過主交換機Foundry Biglron 8000的物理端口實現數據包轉發。基于圖1網絡架構示意圖，網絡架構主要缺陷在于，即本項目改造的主要出發點：是企業信息網無法定義結構化的路由域以及無法清晰地界定重要服務器與普通內網PC的之間的邊界。因此，企業信息網絡需要進行網絡安全域改造，通過建設二級服務器域和桌面系統域，以劃分清晰的二級服務器域和桌面終端域，實行邊界安全防護。

圖1 網絡拓撲示意圖

2 改造方法及步驟

    按照“三級系統獨立成域、二級系統統一成域 的域劃分原則，在本案中，應該為本企業信息網絡系統劃分一個統一的二級系統服務器域和桌面終端域，并分別進行安全防護和管理。二級系統服務器域與桌面終端域間實行橫向域間的安全防護措施，以實現域間的安全防護。安全域劃分示意圖如圖2所示。

圖2 安全域劃分示意圖

    因此，為建立二級系統服務器域，需新增加兩臺交換機(下稱Cisco A 和CiscoB)作為二級系統服務器域的接入交換機，并把原部屬在核心主交換機Foundry Bigiron 8000設備上的所有應用服務器下移到新增的網絡交換機Cisco設備上。同時，CiscOA和CiscoB將通過開放式最短路徑優先協議(OSPF：Open Shortest Path)分別與兩臺核心主交換機Foundry Biglron 8000互聯，且原有在Founcry Biglron 8000設備上的服務器網段的網關將下移至Cisco A和Cisco B上，Cisco A和Cisco B之間將運行熱備份路由器協議(HSRP)，實現服務器網段網關、設備、鏈路冗余。據此，工程實施步驟需分三步進行：

    (1)Cisco A和Cisco B路由設備配置服務器網段(Vlan)，井與核心主交換機Foundry Biglron 8000進行Trunc連接。即：在Foundry Biglron 8000-1、Foundry Biglron 8000—2、CiscoA和CiscoB 4臺設備間設置二層Trunc鏈路，形成環網。

    (2)服務器鏈路按重要等級順序遷移到Cisco A和CiscoB路由設備上，并測試所有應用系統網絡及業務是否正常。

    (3)將Foundry Biglron 8000-1設備與Cisco A設備互聯接口由二層Trunc模式修改為三層模式，同樣將FoundryBiglron 8000-2設備與Cisco B設備的互聯接口由二層Trunc模式修改為三層模式，并在此4臺設備上分別啟用OSPF協議，產生動態路由條目。

    (4)實行vlan訪問控制措施，實現橫向域間邊界防護。即在新增的服務器域交換機上，根據業務訪問規則和安全需求，配置vlan ACL，達到桌面終端到服務器的橫向訪問控制。

3 異常情況分析與處理

    3．1 異常情況描述

    在實施了第1步、第2步后，所有應用服務器均平滑下移到新增的Cisco A和Cisco B路由設備上，但當實施了第3步后，即當把Foundry Biglron 8000-1與CiscoA ，FoundryBiglron 8000-2與CiscoB之間由二層Trunc鏈路修改為物理三層接口互聯，并啟用CiscoA、CiscoB與2臺Foundry Biglron8000設備的OSPF路由動態協議，產生動態路由條目信息后，我們經過測試發現：4臺設備路由表信息建立正常，用戶終端到服務器端設備的PING 包正常，客戶端到服務器端TELNET端口正常，但是存在部分7層應用服務出現異常現象。如遠程桌面只能連通一次就無法再連接，部分服務器的WEB應用服務只能個別終端能訪問，大部分終端無法正常訪問等異常現象。

    3．2 異常情況分析

    當網絡遇到異常時，技術人員首先關心的是如何確定并修復異常，使網絡快速恢復正常運行。因此，必須及時收集有關信息，并對所發生的問題進行仔細分析，通常從以下3個方面進行分析。

    (1)應用程序問題：部分應用可能出現網絡中斷后，應用服務需要重啟才能正常提供服務的情況。

    (2)網絡硬件問題：如設備連接、硬件、線路問題而引發網絡不穩定或網路異常問題。

    (3)網絡配置問題：如網絡協議、配置問題造成網絡不穩定異常。

    3．3 異常情況處理

    (1)應用程序問題排查：針對部分應用服務器的遠程桌面無法正常連接的問題，我們通過與業務部門聯系，采用應用程序重啟的方式。重啟后，經過測試，我們發現故障仍然存在。因此，排除了應用服務本身問題的可能性。

    (2)網絡硬件問題排查：我們從網絡設備及硬件基礎設施著手，逐步更換了網絡設備的尾纖、光模塊(SFP)、設備接入板卡槽位。通過測試發現，問題依然無法解決。故也排除了硬件引發故障的可能性。

    (3)網絡配置問題排查：首先，我們懷疑可能是網絡數據包收和發的網絡路徑不一致而引發網絡的不穩定。因此，我們上調了主交換設備Foundry Biglron 8000-1和主交換Foundry Biglron 8000-2之間、路由器Cisco A和路由器Cisco B之間的路由成本值(cost)，進一步確保網絡數據包收和發能使用同一路徑。但測試表明，cost值調整后，問題依然存在。

    然后，我們將Foundry Biglron 8000-2與CiscoB之間的鏈路斷開后，經過測試，問題仍然存在}但是當斷開FoundryBiglron 8000—1與Cisco A鏈路(保留Foundry Biglron 8000-2與Cisco B的鏈路)，我們測試發現：7層應用恢復正常，遠程桌面等問題也得到正常恢復。所以，我們確定了是FoundryBiglron 8000-1和Cisco A之間鏈路配置的問題。

    明確問題所在后，我們通過分析，核心主交換機FoundryBiglron 8000與Cisco A或Cisco B路由器的網絡互連可以有3種方式(三層物理接口互連、網段Vlan接口的Trunc互連、網段Vlan接口的Access互連)，為實現Foundry Biglron-1與Cisco A的正常連接．如表1所示，我們對各種可能性進行了測試，結果我們發現，若Foundry Biglron 8000-1使用物理3層接口，無論CicSOA 設備采用3種方式(三層物理接口互連、網段Vlan接口的Trunc互連、網段Vlan接口的Access互連)的任何一種，網絡異常將存在。而當Foundry Biglron8000-1采用基于Trunc鏈路模式的Vlan接口，或基于Access的Vlan接口，則網絡恢復正常。

表1 Foundry Biglron 8000 與Cisco 三層互聯測試表

    因此，為加強安全性，我們將Foundry Biglron 8000-1的互聯接口設置為基于Access的Vlan接口，Cisco A采用物理三層接口，網絡及應用均恢復了正常。通過網絡異常的分析與處理，我們發現問題主要在于不同網絡廠家設備之間三層互聯方式問題上，通過轉換互連方式，網絡異常最終得以解決。

4 結語

    本文探討了電力直屬企業基于等級保護的網絡安全防護改造方法，提出了通過新增加網絡設備，構建服務器二級域，以清晰劃分企業信息網的服務器域與桌面終端域，通過配置Vlan ACL措施實現安全域安全防護的基本措施和基本步驟，并在浙江省電力試驗研究院具體案例中加以實踐。實踐表明：該方法簡單、有效，能夠達到國家等級保護基本要求，達到國網公司SG186工程安全總體防護的要求。在工程實施中，也遇到了不同廠家設備之間在啟用3層接口互聯上，由于技術人員對設備性能及配置不夠熟悉等原因產生網絡異常現象。技術人員通過多種方法測試、驗證、排錯，最終采用了安全性較高一種互聯配置模式，恢復正常網絡。因此．本文中基于等級保護的網絡安全防護改造方法及網絡改造中網絡異常的分析排查處理經驗對同類型企業網絡改造具有一定的參考和借鑒意義。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：基于等級保護的網絡改造方法及異常情況分析與處理

本文網址：http://www.guhuozai8.cn/html/support/1112185051.html