一、项目背景 6月中旬,市场反馈XXX局客户某部长对技术方案和近期频繁出现病毒问题非常不满,要求厂商结合他们现状,给出合理建议。找之前项目工程师和BU详细了解到,已经反复上门多次了,关键问题是没有核心交换机,之前有建议某部长购买核心交换机无果,已经反馈沟通多次。再次协调BU和市场去客户现场详细梳理问题和讨论方案,最终达成一致。成功关键:1、站在客户立场,做整体思考规划,提出相关建议;2、客户如果不懂技术的情况下,耐心解答;3、沟通一定要有结论,并且有正式的文字反馈确认;4、积极推动干系人快速解决问题,如推动某部长购买核心交换机,推动技术人员按照方案整改割接。 二、现状分析及问题描述 问题描述: 1、云计算业务区,管理和业务共用一个网段,存在不安全因素(假设有业务虚拟机中了病毒,会横向扩散到其他虚拟机或云管理平台); 2、之前集团频繁出现虚拟机中毒问题; 3、网络架构不合理,接线比较混乱; 4、办公区上网并没有安全审计及隔离; 5、无线控制器AP是网关部署,直接可以让用户访问网络,没有任何隔离,不符合集团安全防护要求; 6、DHCP服务器比较乱,在多个设备上面启用了DHCP服务; 7、前期沟通并没有会议纪要,和邮件反馈; 8、前期沟通内容,各方并没有达成一致; 9、某部长对于技术确实不是很多,但是喜欢专研; 三、整改方案 方案说明: 1、严格分区分域,特别对于云业务区域的安全防护和边界安全防护,做到严格管控; 2、通过新增核心交换机(推荐采用H3C 6520 EI-26,注意:由于该交换机全部是万兆口,需要配置至少10个千兆多模光口,10个万兆多模光口,4个千兆光电模块,多模尾纤若干),连接边界安全防护区、业务区和办公区,采用ACL做好细致区域隔离; 3、安全资源池旁路部署,通过交换机策略路由实现逻辑走向,业务区的安全防护,是采用安全资源池的VAF做安全隔离,使用安全资源池中堡垒机对业务系统和安全设备做运维审计,将关键设备和业务系统日志保存在日志审计虚拟机上面,采用VDAS对业务中数据库进行审计,使用VPN进行业务发布和远程运维网络连接; 4、AC网桥部署,做办公区上网审计和控制; 5、新增AF网桥部署,做到IPS防护、DDOS防护、防病毒等; 6、无线控制器AP改成旁路部署; 7、将DHCP统一设置在交换机上,做到统一DHCP地址分发; 8、对于云平台网络,做到管理和业务网段分开,确保虚拟机中毒导致横向扩展,对于云平台的运维全部通过堡垒机进行; 9、形成沟通纪要,解决方案达成一致,以邮件方式发给客户,马上启动购买核心解决问题,现在按照规划设计完成整改,暂无其他问题,客户非常满意。 四、其他建议 1、由于终端没有防护,建议采用终端杀毒软件,确保终端安全防护,实现终端间东西向流量安全防护隔离; 2、建议采用安全感知平台,实施监控网络安全情况,做到全网安全可视; 3、办公区建议采用防火墙做隔离; 4、相关设备都是单链路,有单点故障,如果考虑业务稳定性,建议考虑设备冗余。
|