、方案设计背景 目前XX集团信息事业部为了进一步提高企业的信息安全等级,满足政府 安全部门对企业的上网行为管理规定，希望可以对公司内部的员工的互联网行为 进行合理的管控，在出现网络问题时能够快速定位问题的来源，并能够提供丰富 的行为纪录存档（6个月）便于后期的行为审计，同时还需要能够给企业的管理 部门提供简明，种类丰富的报表从而及时的进行各项管理制度上的调整。 2、网络现状拓扑 目前XX集团的网络采用了多重冗余技术，并配置了大量的安全设备。已 经可以十分有效的抵御基于客体应用的威胁，具体拓扑如下： KartrenotIntramMt ExtranctIntrant 4、网络可用性，可靠性分析 以下情况均为小概率事件，但为了能够确保客户认知网络的可靠性，在此 仍需要说明 XX设备提供交换式Bypass功能，当网络中出现超大流量攻击时首先保障 用户网络通畅，因此会自动进行报文bypass,并提供告警，指导客户定位问题来 源。 原有防火墙和DMZ交换机之间采用多模千兆光口进行互联，割接期间为了 保障对原有线路改动最小，因此采用如下方式： 步骤一：将XX1CG设备上架固定，上电，检查必要配置。 步骤二：将IStTire的防火墙的光纤拔出，光纤接口保留在原有接口附近 不移动 步骤三：防火墙的光口和XXICG外出接口使用XX提供的光纤进行互联。 步骤四：DMZ交换机的光纤拔出，光纤接口保留在原有接口附近不移动。 步骤五：将DMZ交换机光口和XXICG光口使用XX提供的光纤进行互联。 步骤六：检查网络路由走向是否按照原有的主干线路转发。 步骤七：测试内部上网的稳定性。 6、设备IP、路由说明，地址分配说明 网管接口地址设置：ICG自身的网管端口设置为用户提供的一个普通客户 的网段的地址。 ICG工作端口地址设置：由于ICG在需要审计的信息上要求实现快速流过 滤，因此建议用户分配给ICG一个合法地址。如实在无合法地址可提供可采用其 他变通方法实现，不会影响ICG的功能。 默认路由添加：将ICG的默认路由配置成XX骨干网出口 网络的负载均衡设备地址 内网段路由添加：添加XX的内部子网的聚合网段到ICG的静态路由表中， 、设备可用性测试 针对XX集团的现有网络应用进行逐一的测试 HTTP的访问发帖测试 FTP,te1net常用应用。 IM即时通信测试。 Emai1发送测试。 XX集团特有互联网应用测试。 8、风险分析及回退 风险可能性： 假如部署设备后测试案例无法正常使用，经过排查无法现场解决，可进行 变更回退。回退方法为取下ICG的光纤线路，将原有的放在一边的防火墙和交换 机的光纤插回即可。 9、变更实施人员工作分工 XX集团信息部门网络工程师提供XX工程师所需要的信息，由XX工程师 完成ICG的配置。 线路链接可由XX工程师在XX集团信息主管部门的工程师配合 下完成割接。 XX集团提供在网的电脑，或者允许XX工程师的笔记本接入测 试网段。 、使用期间的维护 XX公司提供7x24小时热线，如果测试期间有任何不可远程指导解决的问 题，XX工程师会第一事件感到现场协助解决。确保XX集团部署的顺利进行。 11、部署完毕后守局并制作使用报告 部署结束后，XX公司会和XX集团的信息主管部门一起确定报告主要涵盖 内容，并由XX工程师制作监控报告，并将监控报告制作方法和XX集团的工程 师进行沟通，力求报告能够给XX集团提供更多的可用数据。