一、项目实例
某局业务系统三级等保项目:配置只列出端口镜像部分,其他部分及设备(略)
1.1 边界部署两台防火墙做HA高可用
1.2 核心使用两台H3C交换机做堆叠,上联线路分别连接防火墙(主)、防火墙(备)
1.3 下联线路连接业务中心、安全监察中心
1.4 IDS入侵检测设备对核心上联线路出入流量做镜像监测
1.5 数据库审计设备对业务中心出入流量做镜像监测
1.6 将核心出口流量全部镜像发往安全监察中心
二、端口说明及网络TOP简图
2.1 核心1-2 :G1/0/0/23、G1/0/0/24、 G2/0/0/23、G2/0/0/24; 4个上联口为镜像源端口(Port Mirroring)
2.2 核心1-2 :G1/0/0/1 G2/0/0/1 连接业务中心端口为镜像源端口(Port Mirroring)
2.3 数据库审计设备G1/0/0/9 为镜像目的端口 (Monitoring Port)
2.4 IDS入侵检测G1/0/0/10 为镜像目的端口 (Monitoring Port)
2.5 其他安全设备G1/0/0/11-15 为镜像目的端口 (Monitoring Port)
2.6 空闲端口XG1/0/0/25 为镜像反射口 (Reflector-Port)
2.7 VLAN1000 为安全监察中心VLAN (将所有安全监察设备的端口,加入VLAN1000中,IDS
、数据库审计设备除外)
