东莞市XX局房维系统防火墙前置整改方案

　　一、项目背景

　　目前东莞XX局与政务外网直接连接，并没有经过防火墙进行安全控制，存在安全隐患。经了解目前XX局机房内的“房维系统”有一台在用的启明星辰防火墙，此防火墙只对房维系统的服务器进行安全保护。计划把此防火墙调整到政务外网线路接入的位置，调整网络之后防火墙既可以对房维系统的服务器进行保护，也可以对xx局的内网进行安全保护。可解决目前的网络安全隐患。

　　二、现有网络拓扑

　　目前存在问题：

　　东莞XX局内网与电子政务外网直接互连，并没有防火墙进行安全访问控制，存在安全隐患。

　　三、网络整改方案

　　1、 整改后的网络拓扑

　　2、 整改说明

　　1) 把房维系统的启明星辰防火墙调整到政务网线路接入的位置，对XX局内网进行全面保护。

　　2) 整改后房维系统的服务器直接接到核心交换机S7706。

　　3、 割接准备工作

　　1) 预先铺放好割接需要更换的线缆，以便于割接时更换。核心交换机到房维系统IBM刀片服务器需要2根网线，启明星辰防火墙到政务网光纤收发器和深信服SG设备各需要1根网线。

　　2) 对整改涉及到的设备进行数据配置进行备份，存档。主要是启明星辰防火墙，华为S7706交换机。

　　3) 准备好割接使用的耗材，如：扎带、网线、水晶头等。

　　4) 准备好割接使用的工具，如：笔记本电脑、网络测线仪、压线钳、斜口钳等。

　　4、 割接操作步骤

　　1) 拆除防火墙上面的3根网线，1根到S7706交换机，2根到IBM刀片服务器。

　　2) 从核心交换机连接两根网线到IBM 刀片服务器，核心交换机的端口配置成VLAN1。

　　3) 测试房维系统的网络工作是否正常，测试通过后进行下一步操作。

　　4) 防火墙的外网口(E1接口)连接到政务网的光纤收发器，防护墙的内网口(E3)连接到深信服SG设备。

　　5) 割接完成，全面测试网络是否正常。

　　5、风险控制及整改回退

　　1) 由于防火墙是透明模式，把防火墙前置之后，并不影响网络的总体结构，整改风险较小。

　　2) 整改过程主要分两步，第一步是把防火墙从房维系统剥离出来，第二步是把防火墙接入政务网线路的位置。做完第一步之后马上进行业务测试，测试通过之后再做第二步。假如整改出现异常，进行回退操作即可。

　　3) 旧有的线缆暂时不拆除，假如整改后出现异常，直接接回原来的线缆即可。旧线缆在整改完成后，系统正常运行一周后再拆除。