【BBC+WOC+SDWAN】统一互联网出口组网—一级轻网+二级WOC+三级SDWAN 产品版本:WOC5.9.5 SDW-R4.0.9、SDW-V3.2.3及以上 版本号:V1.0 日期:20230512 深信服科技股份有限公司 1 目录 2 概述 2.1 项目背景 随着发电行业数字化转型新技术的不断使用,暴露出众多的网络安全问题、HW行动的常态化也暴露出互联网访问是安全建设的薄弱点,监管单位不断加强对于电力行业的网络安全监管力度,以上从内到外都不断促使发电企业将逐步收缩自身互联网暴露面,进行统一互联网出口、统一安全建设。 XX集团公司遵循《网络安全法》的相关规定,印发了《集团公司2021年网络安全和信息化重点工作》文件明确指出我司需要加快互联网统一收口建设,目前XX浙江省公司及下属单位于2020年已全面实现了内外网分离工作。为了更好的响应国家政策、集团公司的有关要求,提升公司网络安全治理水平,建议将系统内各单位的互联网出口在XX浙江省分公司本部进行统一接入,实现对互联网访问的统一接入与统一安全管理。 2.2 需求分析 2.2.1 现有业务系统及业务系统分析 2.2.1.1 业务现状 目前XX浙江发电有限公司外网使用钉钉做为办公类业务承载平台,同时互联网出口主要为本部单位内部提供连接互联网的作用,不承担各分支的互联网访问。各分支单位通过自有互联网出口访问互联网业务。XX浙江公司没有管控下属单位的互联网访问手段。 2.2.1.2 信息系统现状 XX浙江发电有限公司整体信息系统已完成内外网隔离改造建设,个人分配双终端,一个用于外网访问使用,一个用于内网业务办公使用,同时在三区DMZ区通过专线连接至钉钉综合办公系统,各分支单位办公系统通过互联网访问到本部DMZ区的钉钉系统,做办公使用。 2.2.1.3 问题分析 目前,公司系统内单位均以完成内外网分离的基础工作,本部和下属系统单位分别建设了本地的互联网出口,这样分散的互联网出口存在以下问题: (1)互联网是网络攻击的最主要路径,由于各子公司分布在省内各地,使用各自的互联网出入口,电厂内网及重要生产系统容易遭受来自互联网的攻击和入侵渗透,难以集中防范; (2)公司缺乏统一的互联网安全管控平台,不利于本部对下属单位的互联网安全防护策略的贯彻与执行,也无法按照国家和集团要求汇总报送安全事件。 (3)省公司与集团公司已采用SD-WAN的方式形成互联网访问专网,三级单位至二级单位的访问需要沿用此方式做建设。 2.3 目标要求 本项目绕XX浙江发电有限公司的三级分支单位如何与集团公司统一互联网出口考虑,除了满足最基本的网络联通需求,分支安全加固也是重中之重。在广域网组网方面,三级单位之间网络规模差异大,组网方式不尽相同且公网传输风险大;由于传统广域网独自建设独自运营模式,出现无法评估目前广域网体验性和广域网安全状况问题,且下属各三级单位无统一标准建设使得管理运维难,对企业广域网业务连续性产生巨大的影响。 XX集团所属三级单位的所有互联网出口,兼顾成本、合规性与使用体验,所属三级单位通过SD-WAN方式广域网接入,XX集团采用统一规划、集中管理模式,从整体进行规划、管理各单位互联网业务,经过现状分析和建设原则的综合评估,梳理出如下具体需求: 合规性要求 统一出口后,通过SD-WAN设备组建加密网络,点对点实现三级单位与省公司单位的对接,即三级单位与省公司每个单位均部署SD-WAN设备。为满足合规要求,消除互联网出口带来的风险,通过策略配置下级单位互联网访问时,所有流量必须全部指向浙江省公司SD-WAN设备,即防止其余访问通过下级单位互联网出口进出,减少互联网暴露面。 流量管控要求 统一互联网出口建设完成后将承载所有集团用户访问广域网及访问互联网的需求。出口的稳定性直接影响业务效率和办公人员上网体验。为了保障集团业务能够正常运转,需要保证互联网接入带宽以及整个网络的可靠性。互联网出口的设备要能应对较大的峰值业务流量,保证大流量下的业务运行流畅。不能因为设备带宽性能出现瓶颈,使业务和网络运行缓慢,甚至瘫痪。通过对互联网出口整合,实现用户上网流量统一管理、统一控制,合理、有效、按需分配带宽,避免带宽滥用、资源浪费,提升网络质量,优化业务访问体验。 全网安全加固要求 当省公司和分支机构网络打通,形成整张大网,所有分支的安全都需要纳入考虑范畴,防止因为末端安全问题导致的跳板攻击,影响省公司乃至集团公司的业务连续性。 1)分支边界安全:分支边界安全防护薄弱,分支无专业人员进行安全防护,分支成为全网安全短板; 2)分支终端安全:恶意攻击数量快速增加,攻击手段不断丰富,最新的未知威胁防不胜防:如何防范未知威胁,抵御不同攻击手段和攻击途径带来的信息安全冲击;内网存在僵尸主机、病毒(如勒索病毒)木马感染、非法访问等的大量安全风险,现有的安全建设对这些威胁能见度低; 3)分支上网行为控制:分支机构人员较为繁杂,多种上网行为,需要采取必要的流量控制措施,保障业务访问的流畅性。 4)分支移动接入安全:企业有出差或手持终端业务人员需要接入总部业务系统移动办公需求,需要考虑安全的移动接入手段,确保企业信息安全,避免敏感数据泄露 5)通过对互联网出口整合,实现安全事件统一管理,做到事前预防、事中控制、事后追查,避免安全事件重复发生; 全局态势感知要求 加强对分支风险识别与防护。边界防御一旦被突破,需要加强分支的安全风险监测与防护。主要手段包括终端防病毒、僵尸主机检测、信息资产防泄密等。形成全局安全可视与高级威胁防护能力。在分支网络边界防护、内网威胁检测与识别的基础上,需要进一步形成全局的安全可视能力。同时实现高级威胁防护,如APT攻击、勒索病毒、0Day漏洞攻击等安全防护能力。 XX浙江发电各分支单位分布在浙江省内,建设方案提出一个标准化的信息化基础建设,统一的管理运维,统一的安全管理策略,统一安全态势系统,发现并解决集团信息化最薄弱的环节。 提升网络安全防护能力,统一安全防护设备配置,完善安全策略,定期进行安全分析和安全评估,及时发现并修正存在的漏洞和弱点,保证公司网络的动态安全与持续安全。 3 项目实施 3.1 组网拓扑 3.1.1 分公司原有网络拓扑 3.1.2 三级单位原有网络拓扑 3.1.3 变更后的组网拓扑 3.2 SDWAN配置(第一步) 3.2.1 SDWAN常规配置 3.2.1.1 基础网络配置 先配置接口IP,并修改部署模式,把WAN口和LAN口移动到相关区域 静态路由到出口网关,回指路由到内网网段 3.2.1.2 NAT配置 进入【网络设置】-【NAT地址转化】-【代理上网】 3.2.1.3 新增路由 进入【网络设置】-【路由设置】-【静态路由】添加到内网的路由 当中不可编辑的那条路由是隧道路由 3.2.1.4 SDWAN加入集中管控 把SDWAN加入集中管控BBC,由BBC管理 加入集中管理后,SD-WAN设备的VPN模块会被集中管理平台纳管,本地无法配置,如该设备已有VPN连接,并接入过集中管理平台,可能存在配置丢失风险,该场景请提前联系专家进行评估。 3.3 WOC配置 3.3.1 部署模式 部署模式采用网关部署,在【系统】-【部署设置】内做基本配置 WAN设置为固定的公网地址:183.X.X.X/29,网关设置为183.X.X.Y 3.3.2 配置端口映射 需要把BBC的5000、5530端口和WOC的4009端口映射到公网,本次是在WOC上做端口映射,在【防火墙】-【NAT设置】-【端口映射】 3.3.3 加入集中管控 前提条件:现在BBC上新建总部的WOC配置-“分公司_WOC” 打开【系统】-【集中管理设置】填写相关参数,加入集中管控 【中心端接入地址】:总部BBC的地址+5000端口; 【接入名称】:在BBC上新建总部设备名称; 【接入密码】:新建总部设备的密码。 3.3.4 配置策略路由 WOC默认只有一条带外网的默认路由,当VPN隧道里面的流量到达WOC后,流量不会到分公司的核心,而是直接走默认路由出去,而此时WOC上没有做代理上网,WOC出接口处丢弃流量, 三级单位的用户将无法上网; 路由优先级:策略路由>静态路由>VPN路由>ospf路由 需要再WOC配置两条策略路由: 1. 从VPN隧道过来的流量,指向分公司核心交换机; 2. 从核心过来的流量,指向VPN隧道
3.4 BBC上线配置(第二步) 3.4.1 BBC部署配置 完成 BBC设备上架,具体网络配置部分忽略,请参照标准化配置手册进行部署。本章节主要对BBC策略配置进行介绍。 3.4.1.1 新增总部WOC和分支SDWAN设备 进入【设备】-【分支概览】-【新增】 3.4.1.2 VPN拓扑管理 在原有的“XX浙江分公司”添加总部及分支设备, 总部WOC配置不变,只添加分支的 添加总部和分支子网
3.4.1.3 配置隧道间路由并下发 新增总部代理分支上网 添加分支需要发布的路由 下发隧道间路由: 下发VPN配置 3.5 SDWAN逃生配置 SDWAN逃生可以在BBC或者SDWAN上配置,在VPN隧道故障时,确保第三单位通过本地互联网出口上网 3.5.1 在SDWAN上配置 1、 解除集中管控 解除的密码是:dlanrecover 2、 删除隧道间路由 单解除集中管控之后,就可以进行隧道间路由的删除 3.5.2 在BBC上配置 1、 删除策略间路由 2、 下发隧道间路由配置 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2024-1-11 08:07
技术员1级