大型核电运营企业核心网络改造方案设计与实施
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
图 2用 户 局 域 网络 防火 墙 实施 方 案
Fg2 I lme tt ns lt nf ru e c l ewo kSfe i. mpe n ai oui o s rl a t r i wa o o o n r
2 1 O 1年 第 9卷 第 1 0期
EL ECTRI PoW ER T C I
业 务 网 段 进 行 路 由 聚 合 后 再 发 布 到 OS F进 程 中 , 减 少 路 由 发 布 P
上 联 接 口 属 于 Unr s t t区 域 . 置 u 配
数 为 每 秒 10 0个 . YN F o d连 0 S lo
相 应 的 安 全 策 略 , 控 制 业 务 流 的
实 施
数量 。
部 分 2层 接 入 交 换 机 需 要 直 接 上 行接 人 核 心 交换 机 , 求 如 下 。 要
1 2台 核 心 交 换 机 启 用 虚 拟 )
路 由 器 冗 余 协 议 ( RP, r a VR Vi u l t
Ro t r Re u d n y P o o o ) 实 u e d n a c r tc 1 。
3_ 用 户 局 域 网 络 安 全 管 理 边 界 2
实 施
配 置 流 镜 像 ,把 从 上 行 链 路 进 入
交 换 机 的 数 据 流 ,镜 像 到 和 网 络 流 量 检 测 硬 件 板 卡 连 接 的 内 部
通 过 交 换 机 配 置 的 防 火 墙 业 务 板 卡 来 构 建 各 区 域 间 的 安 全 管
董刚 , 艳飞 , 增军 。 赵 春 吴迪
( 中科 华 核 电 技 术研 究 院有 限 公 司 信 息 技术 中心 , 东 深 圳 5 8 2 ) 广 1 1 4
摘要: 为彻 底 消 除原 有核 心 网络存 在 的设 备 故 障率 高 、 安全 防护能 力 弱等 7类风 险隐患 。 计 设
了一个全 面完 整 的核 心 网络 改造方 案并成 功 组织 实施 。事实证 明 。 心 网络改造 实 施大幅 提升 核 了网络 整体性 能 , 建 了清晰 的 网络 区域 安全 隔离 边界 、 构 全面 的网络 流量 监控 系统和 高效 的 网 络 安全 防护体 系 , 底消 除 了原 有安 全 隐 患 , 面提 升 了核心 网络 整体 性 能 和安 全能 力 。 力 彻 全 有
因此 。公 司 核 心 网 络 需 要 改 造 . 以 求 全 面 彻 底 消 除 以 上 7个
备 存 在 设 备 单 点 故 障 ,各 类 服 务
…
…
…
…
…
ቤተ መጻሕፍቲ ባይዱ
…
…
t
…
,
一
…
…
…
EL 刀 C E P0W EF 厂 : I
一. 一
‘
一
一
。
・
~
.
,
集 团M L / G P SBP 核心网络
各 类 信 息 系 统 运 行 提 供 稳 健 的支
撑 。 具 体 表 现 为 以 下 7个 方 面 。 1 核 心 网 络 设 备 使 用 均 超 过 ) 5年 , 长 使 用 近 1 年 。 备 老 最 0 设
器 都 混 接 到单 台核 心设 备 上 , 一
旦 此 设 备 故 障 , 将 会 造 成 整 个 服 务 器 网络 的 瘫 痪 。 5 专 项 数 据 中心 网 络 可 扩 展 ) 能 力 弱 , 服 务 器 跨 机 房 混 接 在 数 各 据 中 心 网 络 核 心 设 备 上 。 法 满 足 无
面 支 撑 着 公 司 电 厂 生 产 系 统 和 信
息 化 管 理 系 统 的 稳 定 运 行 ,其 地 位 非 常 重 要 。因 此 , 前 深 入 分 析 提
化 现 象 严 重 且 故 障 率 高 。设 备 性
能 低 , 务处 理能 力弱 。 业 2 核 心 网 络 设 备 安 全 防 护 能 )
公 司 核 心 网 络 安 全 稳 定 运 行 是 网
力 弱 , 受 网 络 病 毒 、 马 、 虫 易 木 蠕
等 安 全 威 胁 攻 击 。且 各 区 域 之 间 没 有 清 晰 明确 的 网络 安 全 边 界 . 无 法 有 效 隔 离 阻 断 网络 攻 击 。
络 运维 的首 要任务
见 的 攻 击 。 攻 击 防 范 安 全 策 略 包 括但不 限于 以下 1 个 方 面 : 2
P oo o ) 防 止 网 络 产 生 环 路 。 除 r tc 1 ,
件 板 卡 通 ;: 部 的 l G 接 口 连 t内 x l O 接 , 交 换 机 使 用 VL AN 虚 接 口 进 行 三层转 发 。 2 在 交 换 机 的 内外 网 接 口上 )
增 长 显 著 。而 公 司 核 心 网 络 自投 运 以 来 未 进 行 架 构 调 整 和 性 能 升 级 . 公 司 核 心 网 络 已 不 能 为 公 司
21 O 1年 第 9卷 第 1 0期
ELECTRI Po W ER T C I
透 视 网络 流 量 具 体 明 细 ,无 法 快
Av i bl y 会 话 同 步 。 al i t ) a i 防 火 墙 业 务 板 卡 划 分 Tut rs
防
U tu t n r s Tut r s
和 Unr s 2 个 安 全 区 域 区 域 , t t u 防 火 墙 业 务 板 卡 下 联 公 司 各 区 域 局 域 网 内 部 接 口 , 属 于 T u t区 域 , rs
保 障 了信 息 系统稳健 运 行。 文章所 提方 案 , 大型 核心 网络 方案设 计与 实施具 有参 考意 义。 对 关键 词 : 心 网络 改造 ; 核 网络安 全 隔离边 界 : 网络流 量监控
0 引言
核 电 运 营 网 络 是 大 型 核 电 集
团 网络 的重 要 组 成 部 分 之 一 , 全
树 协 议 ( T Ra i p n n r e RS P, p d S a i gT e
板 卡 进 行 实 施 [。 方 案 原 理 如 图 3 3 1
所示 , 施 要点 如下 。 实
1 交 换 机 和 网 络 流 量 检 测 硬 )
启 用 攻 击 防 范 功 能 , 阻 断 各 种 常
速定 位 网络异 常 流量 .不能 有效 地 保 障重 要 业 务 服 务 质 量 。 4 专 项 数 据 中 心 网 络 核 心 设 )
备 缺 乏 精 细 化 的 网 络 流 量 监 控 功 能 ,无 法 提 供 有 效 手 段 快 速 支 持
服务 器故 障定 位和性 能 调优 。
…
…
…
…
…
…
…
…
…
…
…
…
l … EC丁Rl C C W 薯 l 》 T
中 图分 类 号 : P 9 T 33
文献 标 志 码 : B
文章 编 号 :6 2 4 4 (0 1 1 — 0 8 0 1 7 — 8 4 2 1 )0 0 8 — 5
大型核电运营企业核心网络 改造方案设计与实施
. 、
、
报文 攻 击 检测 、启 动 S r mu f攻 击
— —
1G O 光纤
检 测 、 动 带 源 路 由 选 项 I 报 文 启 P 攻 击 检 测 、 启 动 带 路 由 记 录 选 项 I 报 文 攻 击 检 测 、 动 超 大 I MP P 启 C
集 团核心 网络 P 设备 E
Fi 1 S lt n o o p n g. oui fc m a y MPL o S VPN
值 后 相 应 报 文 丢 弃 . 实 现 对 后 台 数 据 中 心 服 务 器 的 保 护 。 例 如 设
置 I MP F o d、 P F o d 连 接 C lo UD l o
、
.
报 文攻击 检测 。
、
、
B ‘ 0
,
322 业 务 访 问 异 常 检 测 安 全 策 略 -. 通 过 检 测 防 火 墙 各 安 全 区 域 流 量 和 设 置 合 理 阀 值 . 当某 种 业 务访 问流量异 常 ( 常 是 大 量 通
,
.
I MP、 C UDP、 YN 报 文 ) 超 过 阀 S , 图 1运 营公 司 MP S V N 网 络 方 案 示意 L P
互 访 互 通 , 检 测 并 阻 断 公 司 各 区 域 局 域 网 用 户 的 病 毒 入 侵 , 保 护
各 区域 网络安全 稳定 。
321攻 击 防 范 安 全 策 略 ..
接 数 为 每 秒 1 0 00 0个 . 连 接 数 半
为 每 秒 1 0 0个 。 0 3. 用 户 局 域 网 络 异 常 流 量 检 测 3
域 , 置 严 格 的 域 间 策 略 , 护 数 配 保 据 中心 访 问 的 合 法 性 与 安 全 性 。
3. 专 项 数 据 中 心 内 部 防 火 墙 方 6
案 实 施
数 据 中 心 内 部 防 火 墙 板 卡 负
责 完 成 公 司 数 据 中 心 内部 不 同 等
・ 3局 域 网 络 异 常 流 量 检测 方 案 图
Fg3 Trfca o l e e t n s uinf rlc l e wo k i. a f n may d t ci olt o a t r i o o o n
级 服 务 器 之 间 的 访 问 控 制 . 以 实 现 服务 器 间 的合 法 安 全 访 问 , 保
EL CTRl POW C
l … T …
…… …
… … … …
一
‘
一
一
一
~
‘
,
・
M l / (】 ‘ I S B| 干网络 } 髑
‘ 、 、・
域 . 司 专 项 数 据 中 心 属 于 Tut 公 rs 区 域 。 其 他 区 域 属 于 Unr s t t区 u
数 据 中心 规 模 快 速 扩 展 要 求 。
6专 项数 据 中心核 心 网络设 ) 备 安 全 防 护 能 力 弱 ,既 无 法 有 效
主动 监 控 并 阻 断 外 部 网络 攻 击 . 又 无 法 实 现 服 务 器 之 间 互 访 精 细
并 全 面 消 除 网 络 运 行 风 险 ,保 障
接 入 交 换 机 上 联 端 口 以 外 ,其 余
端 口 设 置 为 边 缘 端 口 , 并 开 启
S P BP U 保 护 功 能 。 T D
发 现 攻 击 丢 包 、 动 F a ge攻 击 启 rg l
检 测 、 动 L n 攻 击 检 测 、 动 启 ad 启 W iNu e 攻 击 检 测 、 启 动 T P n k C Fa lg攻 击 检 测 、 启 动 I MP 不 可 C 达 报 文 攻 击 检 测 、 启 动 I MP 重 C 定 向报文 攻 击检 测 、 动 T a et 启 rc r
1 问题 分 析
近年来 . 司业务 快 速扩 张 , 公
3) 心 网 络 设 备 缺 乏 精 细 化 核 的 网 络 流 量 监 控 功 能 ,不 能 清 晰
化 控制 。 7) 项 数 据 中 心 网 络 核 心 设 专
随 之 信 息 系 统规 模 快 速 增 大 , 信
息 业 务 种 类 迅 速 增 多 , 网络 流 量
公 司 用 户 局 域 网 络 异 常 流 量
网 络 中 各 种 攻 击 经 常 来 自 外 部 , 此 , 过 对 防 火 墙 安 全 区 域 因 通
检 测 功 能 通 过 网 络 流 量 检 测 硬 件
现 VRR 业 务 负 载 分 担 。 P 2 接 入 交 换 机 启 用 快 速 生 成 )
一 ‘
理 边 界 闭( 图 2) 见 。
,
面
~ 、、
防 火 墙 业 务 板 卡 采 用 2层 透
明 工 作 模 式 . 过 lG 的 内 部 接 通 O 口 与 交 换 机 交 互 数 据 , 通 过 外 部 接 口与 另 一 个 防 火 墙 业 务 板 卡 相 连 ,实 现 高 可 靠 性 ( HA, g Hih
Fg2 I lme tt ns lt nf ru e c l ewo kSfe i. mpe n ai oui o s rl a t r i wa o o o n r
2 1 O 1年 第 9卷 第 1 0期
EL ECTRI PoW ER T C I
业 务 网 段 进 行 路 由 聚 合 后 再 发 布 到 OS F进 程 中 , 减 少 路 由 发 布 P
上 联 接 口 属 于 Unr s t t区 域 . 置 u 配
数 为 每 秒 10 0个 . YN F o d连 0 S lo
相 应 的 安 全 策 略 , 控 制 业 务 流 的
实 施
数量 。
部 分 2层 接 入 交 换 机 需 要 直 接 上 行接 人 核 心 交换 机 , 求 如 下 。 要
1 2台 核 心 交 换 机 启 用 虚 拟 )
路 由 器 冗 余 协 议 ( RP, r a VR Vi u l t
Ro t r Re u d n y P o o o ) 实 u e d n a c r tc 1 。
3_ 用 户 局 域 网 络 安 全 管 理 边 界 2
实 施
配 置 流 镜 像 ,把 从 上 行 链 路 进 入
交 换 机 的 数 据 流 ,镜 像 到 和 网 络 流 量 检 测 硬 件 板 卡 连 接 的 内 部
通 过 交 换 机 配 置 的 防 火 墙 业 务 板 卡 来 构 建 各 区 域 间 的 安 全 管
董刚 , 艳飞 , 增军 。 赵 春 吴迪
( 中科 华 核 电 技 术研 究 院有 限 公 司 信 息 技术 中心 , 东 深 圳 5 8 2 ) 广 1 1 4
摘要: 为彻 底 消 除原 有核 心 网络存 在 的设 备 故 障率 高 、 安全 防护能 力 弱等 7类风 险隐患 。 计 设
了一个全 面完 整 的核 心 网络 改造方 案并成 功 组织 实施 。事实证 明 。 心 网络改造 实 施大幅 提升 核 了网络 整体性 能 , 建 了清晰 的 网络 区域 安全 隔离 边界 、 构 全面 的网络 流量 监控 系统和 高效 的 网 络 安全 防护体 系 , 底消 除 了原 有安 全 隐 患 , 面提 升 了核心 网络 整体 性 能 和安 全能 力 。 力 彻 全 有
因此 。公 司 核 心 网 络 需 要 改 造 . 以 求 全 面 彻 底 消 除 以 上 7个
备 存 在 设 备 单 点 故 障 ,各 类 服 务
…
…
…
…
…
ቤተ መጻሕፍቲ ባይዱ
…
…
t
…
,
一
…
…
…
EL 刀 C E P0W EF 厂 : I
一. 一
‘
一
一
。
・
~
.
,
集 团M L / G P SBP 核心网络
各 类 信 息 系 统 运 行 提 供 稳 健 的支
撑 。 具 体 表 现 为 以 下 7个 方 面 。 1 核 心 网 络 设 备 使 用 均 超 过 ) 5年 , 长 使 用 近 1 年 。 备 老 最 0 设
器 都 混 接 到单 台核 心设 备 上 , 一
旦 此 设 备 故 障 , 将 会 造 成 整 个 服 务 器 网络 的 瘫 痪 。 5 专 项 数 据 中心 网 络 可 扩 展 ) 能 力 弱 , 服 务 器 跨 机 房 混 接 在 数 各 据 中 心 网 络 核 心 设 备 上 。 法 满 足 无
面 支 撑 着 公 司 电 厂 生 产 系 统 和 信
息 化 管 理 系 统 的 稳 定 运 行 ,其 地 位 非 常 重 要 。因 此 , 前 深 入 分 析 提
化 现 象 严 重 且 故 障 率 高 。设 备 性
能 低 , 务处 理能 力弱 。 业 2 核 心 网 络 设 备 安 全 防 护 能 )
公 司 核 心 网 络 安 全 稳 定 运 行 是 网
力 弱 , 受 网 络 病 毒 、 马 、 虫 易 木 蠕
等 安 全 威 胁 攻 击 。且 各 区 域 之 间 没 有 清 晰 明确 的 网络 安 全 边 界 . 无 法 有 效 隔 离 阻 断 网络 攻 击 。
络 运维 的首 要任务
见 的 攻 击 。 攻 击 防 范 安 全 策 略 包 括但不 限于 以下 1 个 方 面 : 2
P oo o ) 防 止 网 络 产 生 环 路 。 除 r tc 1 ,
件 板 卡 通 ;: 部 的 l G 接 口 连 t内 x l O 接 , 交 换 机 使 用 VL AN 虚 接 口 进 行 三层转 发 。 2 在 交 换 机 的 内外 网 接 口上 )
增 长 显 著 。而 公 司 核 心 网 络 自投 运 以 来 未 进 行 架 构 调 整 和 性 能 升 级 . 公 司 核 心 网 络 已 不 能 为 公 司
21 O 1年 第 9卷 第 1 0期
ELECTRI Po W ER T C I
透 视 网络 流 量 具 体 明 细 ,无 法 快
Av i bl y 会 话 同 步 。 al i t ) a i 防 火 墙 业 务 板 卡 划 分 Tut rs
防
U tu t n r s Tut r s
和 Unr s 2 个 安 全 区 域 区 域 , t t u 防 火 墙 业 务 板 卡 下 联 公 司 各 区 域 局 域 网 内 部 接 口 , 属 于 T u t区 域 , rs
保 障 了信 息 系统稳健 运 行。 文章所 提方 案 , 大型 核心 网络 方案设 计与 实施具 有参 考意 义。 对 关键 词 : 心 网络 改造 ; 核 网络安 全 隔离边 界 : 网络流 量监控
0 引言
核 电 运 营 网 络 是 大 型 核 电 集
团 网络 的重 要 组 成 部 分 之 一 , 全
树 协 议 ( T Ra i p n n r e RS P, p d S a i gT e
板 卡 进 行 实 施 [。 方 案 原 理 如 图 3 3 1
所示 , 施 要点 如下 。 实
1 交 换 机 和 网 络 流 量 检 测 硬 )
启 用 攻 击 防 范 功 能 , 阻 断 各 种 常
速定 位 网络异 常 流量 .不能 有效 地 保 障重 要 业 务 服 务 质 量 。 4 专 项 数 据 中 心 网 络 核 心 设 )
备 缺 乏 精 细 化 的 网 络 流 量 监 控 功 能 ,无 法 提 供 有 效 手 段 快 速 支 持
服务 器故 障定 位和性 能 调优 。
…
…
…
…
…
…
…
…
…
…
…
…
l … EC丁Rl C C W 薯 l 》 T
中 图分 类 号 : P 9 T 33
文献 标 志 码 : B
文章 编 号 :6 2 4 4 (0 1 1 — 0 8 0 1 7 — 8 4 2 1 )0 0 8 — 5
大型核电运营企业核心网络 改造方案设计与实施
. 、
、
报文 攻 击 检测 、启 动 S r mu f攻 击
— —
1G O 光纤
检 测 、 动 带 源 路 由 选 项 I 报 文 启 P 攻 击 检 测 、 启 动 带 路 由 记 录 选 项 I 报 文 攻 击 检 测 、 动 超 大 I MP P 启 C
集 团核心 网络 P 设备 E
Fi 1 S lt n o o p n g. oui fc m a y MPL o S VPN
值 后 相 应 报 文 丢 弃 . 实 现 对 后 台 数 据 中 心 服 务 器 的 保 护 。 例 如 设
置 I MP F o d、 P F o d 连 接 C lo UD l o
、
.
报 文攻击 检测 。
、
、
B ‘ 0
,
322 业 务 访 问 异 常 检 测 安 全 策 略 -. 通 过 检 测 防 火 墙 各 安 全 区 域 流 量 和 设 置 合 理 阀 值 . 当某 种 业 务访 问流量异 常 ( 常 是 大 量 通
,
.
I MP、 C UDP、 YN 报 文 ) 超 过 阀 S , 图 1运 营公 司 MP S V N 网 络 方 案 示意 L P
互 访 互 通 , 检 测 并 阻 断 公 司 各 区 域 局 域 网 用 户 的 病 毒 入 侵 , 保 护
各 区域 网络安全 稳定 。
321攻 击 防 范 安 全 策 略 ..
接 数 为 每 秒 1 0 00 0个 . 连 接 数 半
为 每 秒 1 0 0个 。 0 3. 用 户 局 域 网 络 异 常 流 量 检 测 3
域 , 置 严 格 的 域 间 策 略 , 护 数 配 保 据 中心 访 问 的 合 法 性 与 安 全 性 。
3. 专 项 数 据 中 心 内 部 防 火 墙 方 6
案 实 施
数 据 中 心 内 部 防 火 墙 板 卡 负
责 完 成 公 司 数 据 中 心 内部 不 同 等
・ 3局 域 网 络 异 常 流 量 检测 方 案 图
Fg3 Trfca o l e e t n s uinf rlc l e wo k i. a f n may d t ci olt o a t r i o o o n
级 服 务 器 之 间 的 访 问 控 制 . 以 实 现 服务 器 间 的合 法 安 全 访 问 , 保
EL CTRl POW C
l … T …
…… …
… … … …
一
‘
一
一
一
~
‘
,
・
M l / (】 ‘ I S B| 干网络 } 髑
‘ 、 、・
域 . 司 专 项 数 据 中 心 属 于 Tut 公 rs 区 域 。 其 他 区 域 属 于 Unr s t t区 u
数 据 中心 规 模 快 速 扩 展 要 求 。
6专 项数 据 中心核 心 网络设 ) 备 安 全 防 护 能 力 弱 ,既 无 法 有 效
主动 监 控 并 阻 断 外 部 网络 攻 击 . 又 无 法 实 现 服 务 器 之 间 互 访 精 细
并 全 面 消 除 网 络 运 行 风 险 ,保 障
接 入 交 换 机 上 联 端 口 以 外 ,其 余
端 口 设 置 为 边 缘 端 口 , 并 开 启
S P BP U 保 护 功 能 。 T D
发 现 攻 击 丢 包 、 动 F a ge攻 击 启 rg l
检 测 、 动 L n 攻 击 检 测 、 动 启 ad 启 W iNu e 攻 击 检 测 、 启 动 T P n k C Fa lg攻 击 检 测 、 启 动 I MP 不 可 C 达 报 文 攻 击 检 测 、 启 动 I MP 重 C 定 向报文 攻 击检 测 、 动 T a et 启 rc r
1 问题 分 析
近年来 . 司业务 快 速扩 张 , 公
3) 心 网 络 设 备 缺 乏 精 细 化 核 的 网 络 流 量 监 控 功 能 ,不 能 清 晰
化 控制 。 7) 项 数 据 中 心 网 络 核 心 设 专
随 之 信 息 系 统规 模 快 速 增 大 , 信
息 业 务 种 类 迅 速 增 多 , 网络 流 量
公 司 用 户 局 域 网 络 异 常 流 量
网 络 中 各 种 攻 击 经 常 来 自 外 部 , 此 , 过 对 防 火 墙 安 全 区 域 因 通
检 测 功 能 通 过 网 络 流 量 检 测 硬 件
现 VRR 业 务 负 载 分 担 。 P 2 接 入 交 换 机 启 用 快 速 生 成 )
一 ‘
理 边 界 闭( 图 2) 见 。
,
面
~ 、、
防 火 墙 业 务 板 卡 采 用 2层 透
明 工 作 模 式 . 过 lG 的 内 部 接 通 O 口 与 交 换 机 交 互 数 据 , 通 过 外 部 接 口与 另 一 个 防 火 墙 业 务 板 卡 相 连 ,实 现 高 可 靠 性 ( HA, g Hih