信息安全20管理手册第四册安全边界20141127徐军V1.doc

信息安全2.0管理手册 第四册 安全边界  PAGE \* MERGEFORMAT - 14 -  PAGE \* MERGEFORMAT - 1 - 信息安全2.0管理手册 第四册 安全边界 北京信达环宇安全网络技术有限公司 2014年11月 版本号：V1  修订记录表 序号修订日期修订内容修订人修订状态版本号1初稿徐军新建V1  目 录  TOC \o 1-3 \h \z \u  HYPERLINK \l _Toc404946479 一、 中心安全边界  PAGEREF _Toc404946479 \h - 4 -  HYPERLINK \l _Toc404946480 1.1 中心对车站接口安全边界拓扑图  PAGEREF _Toc404946480 \h - 4 -  HYPERLINK \l _Toc404946481 1.2 中心安全边界故障排查  PAGEREF _Toc404946481 \h - 5 -  HYPERLINK \l _Toc404946482 1.3 中心安全边界故障紧急预案  PAGEREF _Toc404946482 \h - 6 -  HYPERLINK \l _Toc404946483 1.4 中心安全边界硬件巡检  PAGEREF _Toc404946483 \h - 7 -  HYPERLINK \l _Toc404946484 二、 车站安全边界  PAGEREF _Toc404946484 \h - 9 -  HYPERLINK \l _Toc404946485 2.1 车站安全边界拓扑图  PAGEREF _Toc404946485 \h - 9 -  HYPERLINK \l _Toc404946486 2.2 车站安全边界故障排查  PAGEREF _Toc404946486 \h - 11 -  HYPERLINK \l _Toc404946487 2.3 车站安全边界故障紧急预案  PAGEREF _Toc404946487 \h - 13 -  HYPERLINK \l _Toc404946488 2.4 车站安全边界硬件巡检  PAGEREF _Toc404946488 \h - 13 -   中心安全边界 中心对车站接口安全边界拓扑图 中心对车站接口安全边界采用透明接入方式，接入核心交换机和核心路由器之间的4个通道上各串联1台，保持原有网络结构和冗余机制。安全边界接入前后请参考图1和2。 中心对车站网络原图 中心对车站接口安全边界接入图 中心安全边界故障排查 中心对车站网络的安全边界接入都是透明接入模式，不起到路由转发功能，因此，可以通过登录核心交换机直接ping对应路由器接口地址即可判断安全边界是否有故障。 如中心对车站发生网络故障，应通过如下排查方法判断安全边界是否发生故障。参考如下中心安全边界故障排查表和图2。 中心安全边界故障排查表排查操作结论登录核心交换机A ，ping核心路由器A的A口　登录核心交换机A ，ping核心路由器B的A口　登录核心交换机B ，ping核心路由器A的B口　登录核心交换机A ，ping核心路由器B的B口　 根据上表，如果发现ping不通或者丢包，则可能和该通道安全边界有关系，则应先检查相关通道上的网口灯是否正常，并将相关网线全部插拔，如果故障依旧，则应采取旁路措施进行验证。旁路措施请参考1.3 紧急预案。 中心安全边界故障排查图 中心安全边界故障紧急预案 在判断有安全边界故障时，应采取紧急预案，将防火墙旁路，恢复网络正常运行。 旁路方法（如图3）： 步骤1：拔除安全边界在交换机和路由器上的联系； 步骤2：将相应通道的旁路线直接连接核心交换机和路由器，以此跳过安全边界的隔离。 中心安全边界故障紧急预案旁路图 中心安全边界硬件巡检 应定期对硬件进行巡检，具体方法如下： 端口指示灯 防火墙中心设备端口包括6个10/100/1000M自适应以太网接口，防火墙车站设备端口包括4个10/100/1000M自适应以太网接口，。 以太网接口 每个网口上的两个指示灯左边为橘黄色（电源，闪烁代表有数据），右边为绿色（10M不亮，100M绿色，对端接1000M本端也是绿色）。 光纤接口 与以太网接口一致，但光纤接口因为是万兆接口，右边指示灯的颜色与千兆一致，同为绿色。