《入侵防护实施方案》由会员分享,可在线阅读,更多相关《入侵防护实施方案(81页珍藏版)》请在金锄头文库上搜索。
1、精选优质文档-倾情为你奉上*客户McAfee IPS入侵检测设备实施方案McAfee公司上海办事处Tel: 021-2008年7月3日专心-专注-专业目 录 1 方案概述此次太平洋集团的网络入侵检测(以下简称IPS)安全强化项目的主要目的为提高整个网络的安全性,加强风险抵御能力。风险管理的过程中,如何有效地消除威胁、降低风险是关键,因此,我们首先应该建立全面的系统和网络防御体系。*客户目前已经建立了一套比较系统的终端安全措施,而McAfee为客户提供了主动的网络防护系统,帮助用户对抗未知的和将来出现的威胁,包括通过McAfee IntruShield(即IPS)构件完善的企业安全边界系统,在网
2、络边界实时准确的阻断各类网络攻击行为,DoS/DDoS攻击及未知的攻击流量,并对P2P、IM等应用流量进行管理,完善整个*客户的网络安全建设。本方案主要包括的内容为与实施相关的各项工作,项目组组成人员,实施细节,实施进度以及验收等事项。2 人员和组织结构2.1 项目的组织机构及人员图 1. 实施小组人员分工项目小组人员介绍姓名职务工作内容电子邮件电话何兴伟McAfee销售经理负责协调各方资源陆亚灵McAfee技术工程师参与整个项目的技术讨论,负责协调技术案件的优先级,文档管理员赵树佳McAfee技术工程师参与整个项目的技术讨论,负责具体的实施,实施工程师常昊McAfee技术工程师参与整个项目的
3、技术讨论,作为后备技术力量,备用人员任峥慧McAfee支持客户经理作为*客户的技术问题接口,负责协调后线的技术支持,技术支持小组李俊斌*客户 项目经理负责协调所有资源,控制项目进度lijunbin*客户王磊*客户网络组协调窗口协调网络配套资源,进行端口设定,地址分配,配置更改Wang-lei*客户陈允宾 综合协调作为项目接口负责协调各方资源B孙晓明项目协调-应用层sunxm*客户朱峰项目协调-网络层Zhufeng1 *客户表1 项目参与人员2.2 项目实施计划时间内容参与人员里程碑6-May实施方案初稿McAfee7-May对初稿进行讨论,提出修改意见,进行完善McAfee/*客户8-May确
4、定ISM,IP地址,设备要求,带宽McAfee/*客户12-May实施方案定稿McAfee/*客户实施方案终稿13-May 确认环境需求McAfee14-May环境准备,包括电源,机柜等*客户14-30 May安装ISM,策略配置McAfee/*客户软件调试完毕设备到货30-May 设备到货,准备拷机。McAfee/*客户设备上机柜13-15 June陆家嘴设备上线,设置 IDS 策略McAfee/*客户实施阶段一完毕21-23 June南汇设备上线,设置IDS策略27-June 策略调整 IPS策略McAfee/*客户实施阶段二完毕28-June项目结束。验收McAfee/*客户验收报告表2
5、 项目计划时间3 产品部署方式整个实施的架构示意如图所示,总共有8台设备,包括4台IPS3000,2台IPS2700,2台1400。8台设备通过一个统一的管理平台IntruShield Manager(ISM)进行管理。其中ISM做了主备设置,分别为ISM-1,ISM-2。3.1 部署示意图图 2. 部署示意图型号数量位置说明I-300042台放在陆家嘴OA的链路上,2台放在南汇数据中心接入链路I-27002放在南汇数据中心的电子商务和INT出口链路I-14002放在陆家嘴的INT出口链路接线分解示意图:图 3. 陆家嘴接线示意图图 4. 南汇接线示意图3.2 各个设备的端口配置表设备编号线路
6、类型端口编号对端设备对端接口编号线路类型线路说明i-3000-11ALC3000-1-1AFS6509-1Port 1/1SC陆家嘴核心线路11BLC3000-1-1BCS6506-1Port 3/15SC陆家嘴核心线路16ALC3000-1-6Ai-3000-23000-2-6BLCHA 心跳线6BLC3000-1-6Bi-3000-23000-2-6ALCHA 心跳线i-3000-21ALC3000-2-1AFS6509-2Port 1/1SC陆家嘴核心线路21BLC3000-2-1BCS6506-2Port 3/15SC陆家嘴核心线路26ALC3000-2-6Ai-3000-13000-
7、1-6BLCHA 心跳线6BLC3000-2-6Bi-3000-13000-1-6ALCHA 心跳线i-3000-31ALC3000-3-1AC7507-1GE 1/0/0SC南汇核心线路11BLC3000-3-1BC6506-1Port 1/1LC南汇核心线路12ALC3000-3-2AC7507-2GE 4/0/0 SC南汇核心线路22BLC3000-3-2BC6506-1Port 1/2LC南汇核心线路23ALC3000-3-3AC7609-2GE 5/1 LC南汇核心线路33BLC3000-3-3BC6506-1Port 1/10LC南汇核心线路36ALC3000-3-6Ai-3000
8、-43000-4-6BLCHA 心跳线6BLC3000-3-6Bi-3000-43000-4-6ALCHA 心跳线i-3000-41ALC3000-4-1AC7507-1GE 4/0/0SC南汇核心线路11BLC3000-4-1B C6506-2Port 1/2LC南汇核心线路12ALC3000-4-2A C7507-2GE 1/0/0SC南汇核心线路22BLC3000-4-2B C6506-2Port 1/1LC南汇核心线路23ALC3000-4-3AC7609-2GE 6/1LC南汇核心线路33BLC3000-4-3BC6506-2Port 1/10LC南汇核心线路36ALC3000-4-
9、6Ai-3000-33000-3-6BLCHA 心跳线6BLC3000-4-6Bi-3000-33000-3-6ALCHA 心跳线i-2700-11A10/100M2700-1-1ANokia-1E 310/100M电子商务核心线路11B10/100M2700-1-1BC6505-1G 3/110/100M电子商务核心线路12A10/100M2700-1-2APIX-1E 110/100M电子商务INT出口线路12B10/100M2700-1-2BC2950-3F 0/110/100M电子商务INT出口线路13A10/100M2700-1-3APIX-1E 210/100M电子商务INT出口线
10、路23B10/100M2700-1-3BC2950-2F 0/110/100M电子商务INT出口线路24ASC2700-1-4Ai2700-22700-2-4AGBIC/LC HA 心跳线i2700-21A10/100M2700-2-1ANokia-2E310/100M电子商务核心线路21B10/100M2700-2-1BC6506-2G 3/110/100M电子商务核心线路22A10/100M2700-2-2APIX-2 E110/100M电子商务INT出口线路12B10/100M2700-2-2BC2950-3F0/210/100M电子商务INT出口线路13A10/100M2700-2-3
11、APIX-2 E210/100M电子商务INT出口线路23B10/100M2700-2-3BC2950-2F0/210/100M电子商务INT出口线路24ASC2700-2-4Ai-2700-12700-1-4AGBIC/LC HA 心跳线i1400-11A10/100M1400-1-1A Nokia710-1E3 10/100M陆家嘴INT出口线路11B10/100M1400-1-1BSF6509-1Port 9/4410/100M陆家嘴INT出口线路1R110/100M1400-1-R1i1400-21400-2-R1 10/100MHA心跳线i1400-21A10/100M1400-2-1A Nokia710-2E310/100M陆家嘴INT出口线路21B10/100M1400-2-1BSF6509-2Port 7/210/100M陆家嘴INT出口线路2R1 10/100M1400-2-R1 i1400-11400-1-R110/100MHA心跳线设备规格和要求:ISM控制台要求:(2台,分别为主,备)CPU 主频 3G以上,内存 4G硬盘空间 c: 不小于10G, 安装盘符 不小于40G。操作系统要求:Windows2003 server + SP1 ,以及所有相关的安全
