贵阳市电子政务外网网络平台方案设计

贵阳市电子政务外网网络平台方案设计（共2篇）

贵阳市电子政务外网网络平台方案设计 篇1

【摘 要】本文重点介绍了网络规划与设计的组网原则、贵阳市电子政务外网和其所依托的国家电子政务外网的建设现状及发展趋势，并分析了贵阳市电子政务外网二期工程的网络平台建设需求，从而进行网络方案的设计。

【关键词】网络规划与设计；电子政务外网；网络平台；

1.引言

国家电子政务外网是中办发[2002]17号文件明确规定要建设的政务网络平台。政务外网与政务内网物理隔离，与互联网逻辑隔离，主要用于运行政务部门不需要在内网上运行的业务和政务部门面向社会的专业性服务，为政务部门的业务系统提供网络、信息、安全等支撑服务，为社会公众提供政务信息服务。

贵阳市电子政务外网工程是贵州省电子政务外网的关键组成部分，是国家电子政务外网在贵阳市的延伸，是贵阳市电子政务重要的网络基础设施。贵阳市电子政务外网将依托省电子政务传输骨干网，整合原有资源，进一步扩大覆盖范围为实现跨部门、跨地区的信息资源共享创造条件，为各部门业务承载提供基础网络支撑环境，促进业务系统的互联互通和信息共享，提高政府的监管能力、服务质量与政务信息化水平。

2.需求分析

贵阳市电子政务外网要实现“市-县-乡”三级网络的覆盖，从纵向来说，充分利用省纵向传输骨干网实现贵阳市、6区3县一市（包括金阳新区），50个乡及30个镇的纵向连接；从横向来说，建立市本级和各区市县两级横向接入网。

市本级城域网包括：贵阳市属各委（办）局单位，包括金阳行政中心一二期及贵阳市老城区各单位。

各区市县城域网包括：修文县、息烽县、开阳县、清镇市、南明区，云岩区，小河区，金阳新区，乌当区，白云区，花溪区。

贵阳市电子政务外网要承载3-5个市级业务，如行政审批系统与电子监察系统、应急指挥系统、综合治税系统等；承载5-10个市县级业务，如OA办公系统等；承载3-5个公共3.1.7 良好的管理性能

服务业务，如电子公文传输系统、视频会议系统、公务员电子邮件系统、数据交换、门户网站等。整个电子政务外网需要承载近30个业务。

3.应用设计

3.1 组网原则

3.1.1 网络设计标准化

网络设计所采用的组网技术和设备符合国际标准、国家标准和业界标准，为网络的扩展升级，与其他网络的互联提供良好的基础。3.1.2 组网技术的先进性和成熟性

网络建设适应网络自身的发展特点及网络通信技术的更新换代，在网络结构设计、网络配置、网络管理方式等方面应具有一定的先进性，采用国际上先进同时又是成熟、实用的技术，尽量减少技术风险。3.1.3 高度的网络安全性

提供完备的安全防护策略，能防止对网络资源的非法访问，保护网络使用者的合法利益。

3.1.4 高度的网络可靠性

网络设计应能有效地避免单点失败，在设备的选择和关键设备互连时，应提供充分的冗余备份，一方面最大限度地减少故障的可能性，另一方面要保证网络能在最短时间内修复。

3.1.5 同一网络支持多种服务

建设一个开放的网络平台，支持多种业务的同时传输，如支持语音、视频等多媒体业务服务。

3.1.6 良好的扩展能力

包括各点的扩展、业务量和业务种类的扩展，建设完成后的网络在向新的技术升级时，能保护现有的投资。

整个网络系统中的设备可以在配置、性

能、故障、安全等方面得到很好的监视和控制，并可以进行远程管理。

3.2 网络拓扑结构设计

图1 贵阳市电子政务外网网络拓扑结构设计图

如图1所示：

整个政务外网遵循经典的三层结构模型，分为核心层（包括Internet区域、网络核心）、汇聚层、接入层。

Internet区域：贵阳市统一互联网出口为1000M，承载着贵阳市政协、人大、市政府等政府办公人员上互联网的需求。在出口处部署一台互联网防火墙进行安全保护。新增一台上网行为管理对上网人员进行流量管理与控制（位于核心层）。

核心层：城域网核心交换机采用华为S9312和锐捷8610部署，两台交换机采用VRRP的冗余技术做整个政务外网的核心。VRRP配置采用冗余的主备模式。两台核心设备采用两条链路连接，连接的端口采用端口聚合的模式形成一个统一的对外端口，实现核心交换机之间的2倍的千兆互联。VRRP(Virtual Router Redundancy Protocol)是一种LAN接入设备容错协议，VRRP将局域网的一组路由器（包括一个Master即活动路由器和一个或若

干个Backup即备份路由器）组织成一个虚拟路由器，称之为一个备份组。

汇聚层：在二期接入单位A区、B区、C区、政务服务器中心及政协区域部署一台锐捷RG-S5750-24GT/12SFP交换机，作为该区域的路由及安全认证。其它三大政府部门（人大、市委、市政府）除了部署一台锐捷RG-S5750-24GT/12SFP交换机外，还需要各部署一台华为S9303作为该区域路由发布。

接入层：新增15台华为S2700-26TP-SI交换机作为接入交换机，为A区、B区、C区、政务服务器中心及四大政府部门（政协、人大、市委、市政府）等8大接入点提供百兆到桌面接入能力，实现PC等终端的接入。

老城区接入单位：新增29台华为USG2205BSR路由器作为老城区接入路由器。新一代的多业务安全路由网关USG2205BSR产品是旨在满足现代企事业单位集安全、路由、交换、无线、语音业务于一体的综合安全网关。USG2205BSR设备适合作为中小企事业单位核心设备或作为提供中小企事业单位分支机构与总部数据安全连接的网关。该设备将强大的IP路由、灵活的网络连接和安全性融合在模块化的单一设备中，能快速可扩展地支撑企业业务应用。凭借其集成式、模块化和可扩展的系统结构为企业提供随需而变的业务灵活性和投资保护。该设备重新定义和设计了传统网络接入和网络安全方案，提供了现代企事业单位端到端安全一体化的业务标准。除了强大的路由交换特性之外，USG2205BSR还具备多种专业的安全功能，包括状态防火墙、VPN、网络地址转换(NAT)、身份认证、访问控制和集成的UTM安全特性，可以保护网络抵御DDoS攻击、蠕虫、特洛伊木马、病毒、非法入侵和违规网络使用。这些安全特性与广域网WAN、局域网LAN、无线广域网WWAN及无线局域网WLAN接口的高度集成使得提供灵活多样端到端安全的可持续性业务成为现实。

力。网络应用技术发展迅速，今后将不断学习新技术理论知识，然后理论结合实际投入更多的实践应用。本次设计充分地积累了网络设计应用的经验与教训。

References(参考文献)

[1]

Jain, Atul ,Telecom service delivery design patterns,2007.[2]

Zhang, Dong ,Research on Virtual network design based on virtual router, ICFIN 2009.[3]

Zeitler, GeorgDesign of network coding functions in multihop relay networks, 2008.[4]

Yang, Fengrui, Planning of Telecom Network, 2005.07.杨丰瑞，通信网络规划，人民邮电出版社，2005.07.[5]

Yang ,Wei ,Design of Network Program and compositive system,2010.04.杨威，网络工程设计与系统集成，人民邮电出版社，2010.4.1.[6]

Wang Yong, Liu Xiaohui ,Compositive Network system and design of Program, 2011.11.王勇，刘晓辉 网络系统集成与工程设计，科学出版社，2011.11.4.结束语

本次针对贵阳市电子政务外网的网络平台方案设计，结合了许多网络规划设计的相关理论知识，在这次实践中磨练了自己的应用能

贵阳市电子政务外网网络平台方案设计 篇2

政务网络有互联网出口, 提供给员工进行上网访问, 同时互联网出口也作为网站发布的链路途径。在没有采取有效的安全防护措施, 并且架构在TCP/IP网络上, 由于主机、网络、通信协议等存在的先天性安全弱点, 使得政务网络往往面临很多的安全威胁, 其中典型的网络安全威胁包括以下几方面。

1.1 非法和越权的访问

发布网站和内网网络内承载了与生产经营息息相关的信息系统, 在缺乏访问控制的前提下很容易受到非法和越权的访问;虽然大多数软件都实现了身份认证和授权访问的功能, 但是这种控制只体现在应用层, 如果远程通过网络层的嗅探或攻击工具 (因为在网络层应用服务器与任何一台政务网络网内的终端都是相通的) , 有可能会获得上层的身份和口令信息, 从而对业务系统进行非法及越权访问, 破坏业务的正常运行, 造成泄露。

1.2 恶意代码传播

政务网络都在终端上安装了防病毒软件, 以有效杜绝病毒在网络中的传播, 但是随着蠕虫、木马等网络型病毒的出现, 单纯依靠终端层面的查杀病毒显现出明显的不足, 这种类型病毒的典型特征是, 在网络中能够进行大量的扫描, 当发现有弱点的主机后快速进行自我复制, 并通过网络传播过去, 这就使得一旦网络中某个节点 (可能是台主机, 也可能是服务器) 被感染病毒, 该病毒能够在网络中传递大量的扫描和嗅探性质的数据包, 对网络有限的带宽资源造成损害。

1.3 恶意访问

对于政务网络而言, 链路带宽是有限的, 因此, 必须有计划地分配带宽资源, 保障关键业务的进行, 这就要求互联网出口链路转发的访问, 都要求对那些过度占用带宽的行为加以限制, 避免因某几台终端过度抢占带宽资源而影响他人对网络的使用。

1.4 拒绝服务攻击

政务网络有自己对外发布的网站, 进行对外宣传并提供服务, 是政务网络对外的窗口, 但是由于该平台面向互联网开放, 很容易受到黑客的攻击, 其中最典型的就是拒绝服务攻击, 该行为也利用了现有TCP/IP网络传输协议的先天性缺陷, 大量发送请求连接的信息, 而不发送确认信息, 使得遭受攻击的主机或网络设备长时间处于等待状态, 导致缓存被占满, 而无法响应正常的访问请求, 表现为就是拒绝服务。

针对政务网络在安全建设及运维管理中所暴露出的问题, 应当进行有针对性的设计和建设, 最大化降低威胁, 并实现有效的管理。第一是需要进行有效的访问控制, 网络安全建设的首要因素就是访问控制, 控制的核心是访问行为, 应实现对非许可访问的杜绝, 限制员工对网络资源的使用方式。对于政务网络重要的对外发布服务器, 应当有效鉴别出合法的业务访问, 和可能的攻击访问行为, 并分别采取必要的安全控制手段, 保障关键的业务访问。第二是深度应用识别的需求, 要引入的安全控制系统, 应当能够支持深度应用识别功能, 特别是对使用动态端口的P2P和IM应用, 能够做到精准鉴别, 并以此为基础实现基于应用的访问控制和QOS, 提升控制和限制的精度和力度。第三是需要有效防范病毒, 在访问控制的技术上, 需要在网络边界进行病毒过滤, 防范病毒的传播;在互联网出口上要能够有效检测出挂马网站, 对访问此类网站而造成的病毒下发, 能够快速检测并响应;同时也能够防范来自其他节点的病毒传播。第四是需要实现全面URL过滤, 应引入专业性的URL地址库, 并能够分类和及时更新, 执行。通过URL过滤策略能够保证员工能够访问网页的一致和同步。最后是需要可视化的管理, 可视化的管理首先要求日志信息的分析, 应用统计、入侵攻击统计、病毒统计等图表统计, 从而实现对网络的有效的可视化监管。

2 安全技术选型思路

为更好地满足运行维护的要求, 在考虑网络边界安全问题时必须遵循下属的原则和思路。

首先, 要提供可认证性和安全性, 设备必须能够实现基于身份和角色的管理, 设备无论在进行访问控制, 还是在QOS, 还是在日志记录过程中, 依据必须是真实的访问者身份, 做到精细化管理, 可追溯性记录。对于政务网络而言, 设备必须能够与政务网络的AD域管理整合, 通过AD域来鉴别用户的身份和角色信息, 并根据角色执行访问控制和QOS, 根据身份来记录上网行为日志。并能对所有互联网流量进行深度检测, 包括来自互联网的攻击防护、入侵防护、病毒防护, 做到立体化一站式的安全解决之道, 大大提高政务网络的互联网出口安全, 从而也保证DMZ区域对外发布的服务的安全。

其次, 要保障链路畅通性。政务网络的链路是有限的, 因此, 应有效封堵P2P、IM等过度占用带宽的业务访问, 保障链路的有效性。

最后, 是保证稳定性, 安全必须可靠稳定, 选择产品形成的方案应尽量避免单点故障, 传统的网络安全方案总是需要一堆的产品去解决不同的问题, 但这些产品接入到网络中, 任何一台设备故障都会造成全网通信的故障, 因此, 采取集成化的安全产品应当是必然选择。另外, 安全产品必须有多种稳定性的考虑, 既要有整机稳定性措施, 也要有接口稳定性措施, 还要有系统稳定性措施, 产品能够充分应对各种突发的情况, 并保持系统整体工作的稳定性。

3 选择安全产品功能

基于政务网络互联网出口现状态, 网络边界的安全设备应在技术上具有如下的安全技术优势。

3.1 基于角色的安全控制与审计

针对传统基于IP的访问控制和资源控制缺陷, 采用RBNS (基于身份和角色的管理) 技术让网络配置更加直观和精细化, 不同基于角色的管理模式主要包含基于“人”的访问控制、基于“人”的网络资源 (服务) 的分配、基于“人”的日志审计三大方面。基于角色的管理模式可以通过对访问者身份审核和确认, 确定访问者的访问权限, 分配相应的网络资源。在技术上可避免IP盗用或者PC终端被盗用引发的数据泄露等问题。另外, 在采用了RBNS技术后, 使得审计记录可以直接反追溯到真实的访问者, 更便于安全事件的定位。

3.2 基于深度应用识别的访问控制

新的安全威胁也随之嵌入到常用HTTPT/HTTPS等应用之中, 而传统基于状态检测的防火墙只能依据端口或协议去设置安全策略, 根本无法识别应用, 更谈不上安全防护。选用新一代安全设备可以根据应用的行为和特征实现对应用的识别和控制, 而不依赖于端口或协议, 即使加密过的数据流也能应付自如。

3.3 深度内容安全

安全设备可提供病毒过滤, 入侵防御, 内容过滤, 上网行为管理和应用流量整形等功能, 可以防范病毒, 间谍软件, 蠕虫, 木马等网络的攻击。病毒库, 攻击库, URL库可以通过网络服务实时下载, 确保对新爆发的病毒、攻击、新的URL做到及时响应。

3.4 高性能病毒过滤

对于政务网络而言, 在边界进行病毒的过滤与查杀, 是有效防范蠕虫、木马等网络型病毒的有效工具, 但是传统病毒过滤技术由于需要在应用层解析数据包, 因此效率很低, 导致开启病毒过滤后对全网的通信速度形成很大影响。如果安全设备在采用多核的技术上, 对病毒过滤采取了全新的流扫描技术, 也就是所谓的边检测边传输技术, 可以大大提升了病毒检测与过滤的效率。

传统的病毒过滤扫描是基于文件的。流扫描策略是基于主机的病毒过滤解决方案实现的, 并且旧一代病毒过滤解决方案也继承这一方法。使用这种方法, 首先需要下载整个文件, 然后开始扫描, 最后再将文件发送出去。从发送者发送出文件到接收者完成文件接收, 会经历长时间延迟。对于大文件, 用户应用程序可能出现超时。

新一代病毒引擎是基于流的, 病毒过滤扫描引擎在数据包流到达时进行检查, 如果没有检查到病毒, 则发送数据包流。由此, 用户将看到明显的延迟改善, 并且他们的应用程序也将更快响应。

流扫描技术仅需要缓存有限数量的数据包。它也不像文件扫描那样受文件大小的限制。低资源利用率也意味着更多文件流的同时扫描。出于对高性能、低延迟、高可升级性的首要考虑, 流扫描技术适合病毒过滤解决方案。

基于策略的病毒过滤功能:病毒过滤功能能与策略引擎完全集成。管理员能够完全控制以下各方面:哪些域的流量需要进行病毒过滤扫描, 哪些用户或者用户组进行扫描, 以及哪些服务器和应用被保护。

3.5 高效的带宽管理功能

安全设备能提供专有的智能应用识别 (Intelligent Application Identification) 功能, 称为IAI。IAI能够对百余种网络应用进行分类, 甚至包括对加密的P2P应用 (Bit Torrent、迅雷、Emule、Edonkey等) 和即时消息流量进行分类。QOS首先根据流量的应用类型对流量进行识别和标记。然后, 根据应用识别和标记结果对流量带宽进行控制并且区分优先级。一个典型应用实例是:用户可以为关键网页浏览设置高优先级保证它们的带宽使用;对于P2P下载流量, 用户可以为它们设置最低优先级并且限制它们的最大带宽使用量。将角色鉴别以及IPQOS结合使用, 用户可以很容易地为关键用户控制流量并区分流量优先级。

结合应用QOS, 设备可提供另一层的流量控制。可以为每个用户控制应用流量并对该用户的应用流量区分优先级。例如, 对于同一个IP地址产生的不同流量, 用户可以基于应用分类结果指定流量的优先级。在IPQOS里面使用应用QOS, 甚至可以对每个IP地址进行流量控制的同时, 还能够对该IP地址内部应用类型的流量进行有效管控。

除了高峰时间, 用户经常会发现他们的网络带宽并没有被充分利用。弹性QOS功能 (Flex QOS) 能够实时探测网络的出入带宽利用率, 进而动态调整特定用户的带宽。弹性QOS (Flex QOS) 既能为用户充分利用带宽资源提供极大的灵活性, 又能保证高峰时段的网络使用性能。

总之, 通过集成带宽管理功能, 可以在用户网络中做到关键应用优先, 领导信息流量优先, 非业务应用限速或禁用, Vo IP、视频应用保证时延低、无抖动、音质清晰、图片清楚, 这些有效管理带宽资源和区分网络应用的效果都能给用户带来更高效、更灵活、更合理的带宽应用, 使得昂贵的带宽能获取最高的效益和高附加值应用。

3.6 入侵防御策略

利用安全网关的入侵防御系统, 针对访问进行有效防护, 防止外部攻击行为, 更好地保护数据中心的安全性。

3.7 高可靠的冗余备份能力

安全设备能够支持设备级别的H A解决方案, 如A-P和A-A架构。H A解决方案能够为网络层提供会话级别的状态同步机制, 保证在设备切换过程中数据传输的连续性及网络的持久畅通, 甚至在设备进行主备切换的时候都不会中断会话, 为政务网络提供真正意义的网络冗余解决方案。

参考文献

[1]余建福, 邱凯.县级供电企业信息网络的管理[J].农村电气化, 2012.