張冬平

（南昌市西湖區(qū)信息中心，江西 南昌 330025）

1 概述

縣區(qū)政務(wù)信息網(wǎng)主要實(shí)現(xiàn)縣區(qū)與各個街道（鎮(zhèn)）、社區(qū)（村）之間網(wǎng)絡(luò)互連以及縣區(qū)和省、市的上行連接，同時提供了互聯(lián)網(wǎng)接入。縣區(qū)政務(wù)信息網(wǎng)的設(shè)計方案必須從以人為本、功能實(shí)用、技術(shù)先進(jìn)、運(yùn)行可靠、經(jīng)濟(jì)合理、施工維修方便、可擴(kuò)展等各方面考慮，使整個縣區(qū)政務(wù)網(wǎng)具有良好的可擴(kuò)展性、可升級性，并合理控制投資成本。下面以作者參與的政務(wù)信息網(wǎng)建設(shè)為例，闡述縣區(qū)政務(wù)信息網(wǎng)的設(shè)計與實(shí)現(xiàn)。

2 網(wǎng)絡(luò)設(shè)計

縣區(qū)政務(wù)信息網(wǎng)必須易管理、易擴(kuò)展，在網(wǎng)絡(luò)設(shè)計時我們采用了模塊化設(shè)計：即將縣區(qū)政務(wù)信息網(wǎng)分為核心層、匯聚層、接入層、廣域網(wǎng)接入部分和服務(wù)器接入部分[1]。

2.1 核心層設(shè)計

核心層顧名思義是整個縣區(qū)政務(wù)信息網(wǎng)的核心，縣區(qū)政務(wù)信息網(wǎng)大部分應(yīng)用的數(shù)據(jù)交換都在這里進(jìn)行，其性能將決定整個縣區(qū)政務(wù)信息網(wǎng)的性能。

在核心層我們使用的是一臺華為S8505萬兆路由交換機(jī)，并且配置了兩塊XRCoreEngineTMI300G的高性能交換引擎。兩塊引擎采用熱備的形式進(jìn)行工作。正常情況下，主引擎為工作狀態(tài)，備用引擎處于待機(jī)狀態(tài)。在主引擎發(fā)生故障時，備用引擎接替主引擎的工作，切換到運(yùn)行狀態(tài)。由此確保網(wǎng)絡(luò)核心層的高速安全持續(xù)的運(yùn)行。另外，我們還為S8505配置了兩個電源模塊，進(jìn)一步的確保了核心層交換設(shè)備運(yùn)行的高可靠性[2]。

2.2 匯聚層設(shè)計

匯聚層是網(wǎng)絡(luò)接入層和核心層之間的分界點(diǎn)。匯聚層也幫助定義和區(qū)分網(wǎng)絡(luò)核心層。該分層提供了邊界定義，并在該處對潛在的費(fèi)力的數(shù)據(jù)包操作進(jìn)行處理。匯聚層交換機(jī)提供眾多功能：VLAN的劃分;部門級或工作組的接入;廣播域或多點(diǎn)廣播域的定義;VLAN之間的路由;訪問控制列表的制訂[1]。

由于來自各街道辦事處（鎮(zhèn)）、社區(qū)（村）的接入點(diǎn)較多，而且分散到縣區(qū)地域范圍內(nèi)，所以我們放置一臺三層千兆光纖交換機(jī)作為匯聚層設(shè)備。匯聚交換機(jī)通過千兆光纖鏈路和核心層交換機(jī)相連。

2.3 接入層設(shè)計

網(wǎng)絡(luò)的接入層是最終用戶被許可接入網(wǎng)絡(luò)的點(diǎn)。按地理位置不同主要有3種接入方式：1、行政中心園區(qū)內(nèi)各單位用戶直接通過5類雙絞線接入各個樓層接入交換機(jī)。2、已經(jīng)光纖到位的各街道辦事處（鎮(zhèn)）、社區(qū)（村）、駐外單位用戶通過光纖接入各小區(qū)基站接入交換機(jī)。3、對于光纖暫時無法到位的外單位（含地理位置較遠(yuǎn)的社區(qū)、村等）采用則采用基于ADSL線路的遠(yuǎn)端VPDN接入。

2.4 廣域網(wǎng)接入部分設(shè)計

縣區(qū)政務(wù)信息網(wǎng)有獨(dú)立的互聯(lián)網(wǎng)出口，同時還必須和省、市政務(wù)信息網(wǎng)互聯(lián)互通。我們選用了華為S1800F防火墻作為互聯(lián)網(wǎng)接入設(shè)備，其主要作用是實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）。核心交換機(jī)通過光纖線路與南昌市政務(wù)信息網(wǎng)連通，中間通過網(wǎng)絡(luò)防火墻對一些常用病毒端口加以關(guān)閉，上行端連接設(shè)備是市政務(wù)信息網(wǎng)廣域網(wǎng)路由設(shè)備，我們直接使用靜態(tài)路由方式進(jìn)行三層網(wǎng)絡(luò)路由，并在核心交換機(jī)上通過路由重分配的方法，實(shí)現(xiàn)縣區(qū)政務(wù)信息網(wǎng)與省市政務(wù)信息網(wǎng)的連通。

2.5 服務(wù)器接入部分

服務(wù)器分為兩個服務(wù)器群：

1、內(nèi)部服務(wù)器群，主要運(yùn)行對內(nèi)服務(wù)的業(yè)務(wù)系統(tǒng)（如辦公平臺、社區(qū)管理系統(tǒng)等）。內(nèi)部服務(wù)器群通過千兆防火墻接到核心交換機(jī)，可考慮加入安全審計服務(wù)器以進(jìn)一步保證內(nèi)部服務(wù)器群的信息安全。

2、對外服務(wù)器群，包括網(wǎng)站服務(wù)器和郵件服務(wù)器等，對外服務(wù)器群也對內(nèi)部用戶開放。為保證對外服務(wù)器群的信息安全，對外服務(wù)器群通過防火墻接入互聯(lián)網(wǎng)，并將防火墻配置為只允許用戶訪問特定業(yè)務(wù)端口。

2.6 IP地址規(guī)劃

統(tǒng)一有效的規(guī)劃、分配和管理IP地址，這樣便于保持IP地址分配的唯一性，同時便于整個網(wǎng)絡(luò)系統(tǒng)的維護(hù)和管理；通過采取合理的地址分配方法，可以減少通信開銷、提高路由器的工作效率和便于網(wǎng)絡(luò)管理。在大型的骨干網(wǎng)絡(luò)中，采用連續(xù)合理的地址分配方案，即可以節(jié)約IP地址空間，又可以將局部的路由變化限制在一個單一的網(wǎng)絡(luò)區(qū)域中，不會因為單一的網(wǎng)絡(luò)通斷引起骨干路由不停的重新運(yùn)算，從而影響路由的運(yùn)行效率。

3 網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全是一個系統(tǒng)工程，涉及到整體策略選取、使用者安全意識以及規(guī)章制度建設(shè)等[3]。但是對于初期網(wǎng)絡(luò)建設(shè)階段,合理的網(wǎng)絡(luò)安全設(shè)計更為重要。

3.1 網(wǎng)絡(luò)安全的整體結(jié)構(gòu)

網(wǎng)絡(luò)系統(tǒng)安全應(yīng)遵循以下原則：需求、風(fēng)險、代價平衡分析原則；綜合性、整體性原則；一致性原則；易操作性原則。基于以上原則，我們采用防火墻系統(tǒng)、病毒防護(hù)系統(tǒng)提供基本的安全保障，將來可考慮入侵檢測及安全評估系統(tǒng)。

3.2 防火墻系統(tǒng)設(shè)計

防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如：可信任的企業(yè)內(nèi)部網(wǎng)和不可信任的公共網(wǎng)）之間的設(shè)備，目的是為保證"可信任網(wǎng)絡(luò)"安全并保障"可信任網(wǎng)絡(luò)"和"不可信任網(wǎng)絡(luò)"的通訊。邏輯上，防火墻是一個分離器、限制器、分析器，能有效的監(jiān)控內(nèi)部網(wǎng)和外部網(wǎng)之間的任何活動，保證內(nèi)部網(wǎng)絡(luò)安全。

具體實(shí)施時將政務(wù)信息網(wǎng)劃分成兩部分：一是內(nèi)部工作站和內(nèi)部服務(wù)器群；二是對外對內(nèi)都提供服務(wù)的對外服務(wù)器群，如www服務(wù)器和郵件服務(wù)器等。防火墻將內(nèi)部工作站和只提供對內(nèi)服務(wù)的服務(wù)器劃入TRUST區(qū)；互聯(lián)網(wǎng)則劃入UNTRUST區(qū)；將對外對內(nèi)都提供服務(wù)的服務(wù)器劃入DMZ區(qū)。

在防火墻上制定如下策略：1、配置防火墻為透明運(yùn)行模式。2、開啟防火墻的NAT轉(zhuǎn)換功能。3、阻斷 ICMP、NETBIOS等網(wǎng)絡(luò)協(xié)議，阻斷不安全的TCP、UDP端口。4、建立IP訪問控制列表，只允許各單位的用戶訪問自己的系統(tǒng)。

3.3 防病毒系統(tǒng)設(shè)計

網(wǎng)絡(luò)攻擊已發(fā)展成為黑客攻擊與病毒木馬相結(jié)合，有必要部署網(wǎng)絡(luò)版防病毒軟件對政務(wù)外網(wǎng)內(nèi)部進(jìn)行防護(hù)[3]。網(wǎng)絡(luò)版防病毒軟件的部署能達(dá)到以下效果：1、對各應(yīng)用服務(wù)器進(jìn)行全面防護(hù)、斬斷病毒在服務(wù)器內(nèi)的寄生及傳播；2、對內(nèi)部工作站進(jìn)行全面防護(hù)，徹底消除病毒對客戶機(jī)的破壞，保證所有工作人員都有一個干凈、安全的平臺；3、所有防病毒軟件的升級、防毒策略的制定，通過管控系統(tǒng)集中實(shí)現(xiàn)，即保證所有客戶機(jī)防病毒軟件得到及時更新，又保證整個防毒策略的一致。同時生成整個縣區(qū)政府網(wǎng)的病毒報告日志，便于網(wǎng)絡(luò)管理人員及時掌握病毒發(fā)作情況，制定有效的安全策略。4、建立及時、快速的病毒響應(yīng)機(jī)制，能夠迅速擬制病毒在網(wǎng)絡(luò)中的傳播。

結(jié)束語：合理的設(shè)計可以搭建一個經(jīng)濟(jì)、實(shí)用、安全、穩(wěn)定、易擴(kuò)展、易升級的縣區(qū)政務(wù)信息網(wǎng)，從而有效全面的承載條條部門和塊塊部門的信息化業(yè)務(wù)，為縣區(qū)信息化建設(shè)奠定堅實(shí)的基礎(chǔ)。采用模塊化設(shè)計，在后續(xù)的縣區(qū)政務(wù)信息網(wǎng)擴(kuò)展升級中只需添加相應(yīng)的模塊、設(shè)備即可，原來的設(shè)備仍能夠繼續(xù)使用，充分保護(hù)了原有投入。

[1]劉文林,李梅,李洪.組網(wǎng)工程.北京:北京郵電大學(xué)出版社,2009.10.

[2]華為公司,Quidway?S8505核心路由交換機(jī)用戶手冊,2006.2.

[3]張世永,網(wǎng)絡(luò)安全原理與應(yīng)用,北京:科學(xué)出版社,2005.6.