《xxx农村商业银行内网准入项目竣工文档》由会员分享,可在线阅读,更多相关《xxx农村商业银行内网准入项目竣工文档(19页珍藏版)》请在金锄头文库上搜索。
1、临朐农村商业银行内网准入项目竣工文档山东同为达成数码科技有限公司 19 / 19潍坊农村商业银行内网准入项目北京北信源软件股份有限公司2014年11月目录一、项目概述3二、部署架构4三、实施介绍53.1实施阶段53.2实施时间规划5四、实施内容54.1实施前准备54.1.1地址规划64.1.2开放端口64.1.3准备服务器64.2 服务器组件安装74.2.1更新iis组件74.2.2安装数据库74.2.3初始化数据库84.2.4安装区域管理器84.2.5安装网页平台94.3客户端邮件通知部署94.4交换机路由器配置104.4.1迈普路由器配置举例104.4.2 H3C路由器配置举例104.4.
2、3 H3C交换机配置11五、故障排查及应急预案125.1重大网络故障125.2特殊设备识别125.3客户端注册故障12一、项目概述内网准入项目用于解决不可信终端的随意接入可能带来的网络及信息资源的安全问题,对于不可信终端的定义,主要包含以下情况: 内网存在风险漏洞的终端,例如未安装杀毒软件、未安装关键补丁; 存在不安全策略配置的终端; 未经身份授权的终端; 外来未经访问许可的终端; 越权访问的终端; 项目以终端验证和终端安全为基础,通过身份认证以及安全域控制等手段,从根本上保证接入网络的终端可信程度,并控制可信计算机的访问权限,为农信系统的终端入网安全管理提供强有效的保障,规避来自于内部的信息
3、安全风险。二、部署架构如上图,在市联社服务器区部署北信源安全管理服务器,用于全网准入的集中管理。此外每区县部署一台4路旁接准入网关和安全认证服务器,用于安全准入。其中4路分别为:1路接主核心交换机镜像口,2路接主路由器策略路由口,3路接备核心交换镜像口,4路接备路由策略路由口。三、实施内容3.1 EDP服务器的安装3.1.1 SQL2005的安装点击下一步点击下一步3.1.2 iis组件的安装3.1.3 WinPcap的安装点击“安装WinPcap网卡驱动模块”,进入安装向导页面,如下图所示:点击【Next】,如下图所示:同意WinPcap许可证协议,并点击【I Agree】。如下图所示:安装
4、成功后,点击【Finish】退出安装程序,如下图所示:3.1.4 SQL数据库服务器环境初始化的安装在“系统各模块安装界面”选择“安装数据库初始化模块”进入“系统环境初始化”界面,如下图所示:配置数据库服务器地址和连接数据库验证方式。因为安装数据库时身份验证方式选择的是混合模式,所以这里请使用SQL身份认证。SQL Server数据库地址为“.”,“.”代表本地计算机IP。SQL用户名填写“sa”,密码填写安装SQL Server数据库时所设置的sa密码。填写完毕后,点击【下一步】后,进行数据库初始化。如下图所示:系统正在进行数据库初始化。点击【完成】完成数据库初始化。3.1.5 网页平台的安
5、装在“系统各模块安装界面”选择“安装WEB管理平台模块”进入“安装WEB管理平台模块”界面,如下图所示:同意软件许可证协议,并点击【是】,如下图所示:输入用户名、公司名及序列号,软件序列号可从用户卡、光盘封面或说明书封面获得。输入完毕后,点击【下一步】。如图所示:选择WEB管理平台安装路径,建议选择默认安装路径,然后点击【下一步】。如图所示:输入数据库服务器IP地址及数据库的用户名和密码。这里输入的是”.”,本地服务器地址,您可以根据实际情况填写服务器IP地址。建议使用sa数据库用户。输入完毕后,点击【下一步】。如下图所示:设置WEB管理平台虚拟目录,建议使用默认名称,然后点击【下一步】,如下
6、图所示:确认设置信息,点击【下一步】开始进行文件复制,如下图所示:正在复制WEB管理平台程序文件安装成功,点击【完成】退出安装。3.1.6 RegionManage的安装1、点击“是”2、输入序列号,然后点击下一步。3、点击下一步4、点击下一步3.2 EDP服务器web管理平台的配置3.3 准入网关的配置3.4交换机路由器配置3.4.1华为AR46-40路由器配置举例acl number 3040 rule 0 permit ip source 67.27.0.0 0.0.255.255 destination 67.27.0.0 0.0.0.255acl number 3050 rule 0
7、 permit ip source 67.27.0.0 0.0.255.255 destination 0.0.0.0 255.255.255.255 rule 1 permit ip source 67.43.0.0 0.0.255.255 destination 0.0.0.0 255.255.255.255interface 连接网关的接口 description zhunru ip address 67.11.1.2 255.255.255.252route-policy zhunrudeny node 1 if-match acl 3040 apply ip-address next
8、-hop 67.11.1.1route-policyzhunru permit node 2 if-match acl 3050 apply ip-address next-hop 67.11.1.1 具体接口调用如Serial1/0/1:0interface Serial1/0/1:0ip policy route-policy zhunru3.4.2迈普3840路由器配置举例ip access-list extended 1200 1 permit ip 67.27.0.0 0.0.255.255 67.27.0.0 0.0.0.255 exitip access-list extende
9、d 1300 1 permit ip 67.27.0.0 0.0.255.255 any2 permit ip 67.43.0.0 0.0.255.255 anyexitinterface gigaethernet2 description To_zhunru ip address 67.11.1.6 255.255.255.252 keepalive gateway 67.11.1.5exitroute-map zhunru deny 10 match ip address 1200 set ip next-hop 67.11.1.5exitroute-map zhunru permit 2
10、0 match ip address 1300 set ip next-hop 67.11.1.5exit 将策略路由应用到互连各网点路由的接口上 如:s5/0/1:0int s5/0/1:0ippolicy route-map zhunruexit3.4.3H3C S5500交换机配置mirroring-group 1 localinterface GigabitEthernet1/0/9-镜像口 mirroring-group 1 monitor-portinterface GigabitEthernet1/0/18-汇聚 mirroring-group 1 mirroring-port
11、both interface GigabitEthernet1/0/23-交换上联 mirroring-group 1 mirroring-port both五、故障排查及应急预案5.1重大网络故障由于交换、路由配置均按照可逃生的模式进行配置,如果出现大面积网络中断,可立即断掉设备链路,网络可立即恢复正常模式。5.2特殊设备识别目前通过在青州市农商行试点,已经研发了对身份证阅读器、升腾字符终端、升腾S+T主机的识别,如果出现新的特殊设备,且无法安装客户端,可进行抓包识别,后台研发。抓包代码:tcpdump i eth1 host 67.*.*.* -s0 nn -w aa.cap其中eth1为数据通过网关的接口,67.*.*.*为该设备的IP地址,建议抓取2台,且包含设备重启时的数据包。5.3客户端注册故障如果个别用户反应已经注册客户端,且网络仍然无法正常。1、判断客户端vrv进程是否存在,如果不存在,应为注册失败,建议重新注册;2、检测端口通信状态,如果端口不通,进行网络排查3、如果存在疑难故障,可暂时设置该地址例外,已恢复其网络,然后进行专业排查。
