張冬平
(南昌市西湖區(qū)信息中心,江西 南昌 330025)
縣區(qū)政務(wù)信息網(wǎng)主要實(shí)現(xiàn)縣區(qū)與各個街道(鎮(zhèn))、社區(qū)(村)之間網(wǎng)絡(luò)互連以及縣區(qū)和省、市的上行連接,同時提供了互聯(lián)網(wǎng)接入。縣區(qū)政務(wù)信息網(wǎng)的設(shè)計方案必須從以人為本、功能實(shí)用、技術(shù)先進(jìn)、運(yùn)行可靠、經(jīng)濟(jì)合理、施工維修方便、可擴(kuò)展等各方面考慮,使整個縣區(qū)政務(wù)網(wǎng)具有良好的可擴(kuò)展性、可升級性,并合理控制投資成本。下面以作者參與的政務(wù)信息網(wǎng)建設(shè)為例,闡述縣區(qū)政務(wù)信息網(wǎng)的設(shè)計與實(shí)現(xiàn)。
縣區(qū)政務(wù)信息網(wǎng)必須易管理、易擴(kuò)展,在網(wǎng)絡(luò)設(shè)計時我們采用了模塊化設(shè)計:即將縣區(qū)政務(wù)信息網(wǎng)分為核心層、匯聚層、接入層、廣域網(wǎng)接入部分和服務(wù)器接入部分[1]。
核心層顧名思義是整個縣區(qū)政務(wù)信息網(wǎng)的核心,縣區(qū)政務(wù)信息網(wǎng)大部分應(yīng)用的數(shù)據(jù)交換都在這里進(jìn)行,其性能將決定整個縣區(qū)政務(wù)信息網(wǎng)的性能。
在核心層我們使用的是一臺華為S8505萬兆路由交換機(jī),并且配置了兩塊XRCoreEngineTMI300G的高性能交換引擎。兩塊引擎采用熱備的形式進(jìn)行工作。正常情況下,主引擎為工作狀態(tài),備用引擎處于待機(jī)狀態(tài)。在主引擎發(fā)生故障時,備用引擎接替主引擎的工作,切換到運(yùn)行狀態(tài)。由此確保網(wǎng)絡(luò)核心層的高速安全持續(xù)的運(yùn)行。另外,我們還為S8505配置了兩個電源模塊,進(jìn)一步的確保了核心層交換設(shè)備運(yùn)行的高可靠性[2]。
匯聚層是網(wǎng)絡(luò)接入層和核心層之間的分界點(diǎn)。匯聚層也幫助定義和區(qū)分網(wǎng)絡(luò)核心層。該分層提供了邊界定義,并在該處對潛在的費(fèi)力的數(shù)據(jù)包操作進(jìn)行處理。匯聚層交換機(jī)提供眾多功能:VLAN的劃分;部門級或工作組的接入;廣播域或多點(diǎn)廣播域的定義;VLAN之間的路由;訪問控制列表的制訂[1]。
由于來自各街道辦事處(鎮(zhèn))、社區(qū)(村)的接入點(diǎn)較多,而且分散到縣區(qū)地域范圍內(nèi),所以我們放置一臺三層千兆光纖交換機(jī)作為匯聚層設(shè)備。匯聚交換機(jī)通過千兆光纖鏈路和核心層交換機(jī)相連。
網(wǎng)絡(luò)的接入層是最終用戶被許可接入網(wǎng)絡(luò)的點(diǎn)。按地理位置不同主要有3種接入方式:1、行政中心園區(qū)內(nèi)各單位用戶直接通過5類雙絞線接入各個樓層接入交換機(jī)。2、已經(jīng)光纖到位的各街道辦事處(鎮(zhèn))、社區(qū)(村)、駐外單位用戶通過光纖接入各小區(qū)基站接入交換機(jī)。3、對于光纖暫時無法到位的外單位(含地理位置較遠(yuǎn)的社區(qū)、村等)采用則采用基于ADSL線路的遠(yuǎn)端VPDN接入。
縣區(qū)政務(wù)信息網(wǎng)有獨(dú)立的互聯(lián)網(wǎng)出口,同時還必須和省、市政務(wù)信息網(wǎng)互聯(lián)互通。我們選用了華為S1800F防火墻作為互聯(lián)網(wǎng)接入設(shè)備,其主要作用是實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)。核心交換機(jī)通過光纖線路與南昌市政務(wù)信息網(wǎng)連通,中間通過網(wǎng)絡(luò)防火墻對一些常用病毒端口加以關(guān)閉,上行端連接設(shè)備是市政務(wù)信息網(wǎng)廣域網(wǎng)路由設(shè)備,我們直接使用靜態(tài)路由方式進(jìn)行三層網(wǎng)絡(luò)路由,并在核心交換機(jī)上通過路由重分配的方法,實(shí)現(xiàn)縣區(qū)政務(wù)信息網(wǎng)與省市政務(wù)信息網(wǎng)的連通。
服務(wù)器分為兩個服務(wù)器群:
1、內(nèi)部服務(wù)器群,主要運(yùn)行對內(nèi)服務(wù)的業(yè)務(wù)系統(tǒng)(如辦公平臺、社區(qū)管理系統(tǒng)等)。內(nèi)部服務(wù)器群通過千兆防火墻接到核心交換機(jī),可考慮加入安全審計服務(wù)器以進(jìn)一步保證內(nèi)部服務(wù)器群的信息安全。
2、對外服務(wù)器群,包括網(wǎng)站服務(wù)器和郵件服務(wù)器等,對外服務(wù)器群也對內(nèi)部用戶開放。為保證對外服務(wù)器群的信息安全,對外服務(wù)器群通過防火墻接入互聯(lián)網(wǎng),并將防火墻配置為只允許用戶訪問特定業(yè)務(wù)端口。
統(tǒng)一有效的規(guī)劃、分配和管理IP地址,這樣便于保持IP地址分配的唯一性,同時便于整個網(wǎng)絡(luò)系統(tǒng)的維護(hù)和管理;通過采取合理的地址分配方法,可以減少通信開銷、提高路由器的工作效率和便于網(wǎng)絡(luò)管理。在大型的骨干網(wǎng)絡(luò)中,采用連續(xù)合理的地址分配方案,即可以節(jié)約IP地址空間,又可以將局部的路由變化限制在一個單一的網(wǎng)絡(luò)區(qū)域中,不會因為單一的網(wǎng)絡(luò)通斷引起骨干路由不停的重新運(yùn)算,從而影響路由的運(yùn)行效率。
網(wǎng)絡(luò)安全是一個系統(tǒng)工程,涉及到整體策略選取、使用者安全意識以及規(guī)章制度建設(shè)等[3]。但是對于初期網(wǎng)絡(luò)建設(shè)階段,合理的網(wǎng)絡(luò)安全設(shè)計更為重要。
網(wǎng)絡(luò)系統(tǒng)安全應(yīng)遵循以下原則:需求、風(fēng)險、代價平衡分析原則;綜合性、整體性原則;一致性原則;易操作性原則。基于以上原則,我們采用防火墻系統(tǒng)、病毒防護(hù)系統(tǒng)提供基本的安全保障,將來可考慮入侵檢測及安全評估系統(tǒng)。
防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如:可信任的企業(yè)內(nèi)部網(wǎng)和不可信任的公共網(wǎng))之間的設(shè)備,目的是為保證"可信任網(wǎng)絡(luò)"安全并保障"可信任網(wǎng)絡(luò)"和"不可信任網(wǎng)絡(luò)"的通訊。邏輯上,防火墻是一個分離器、限制器、分析器,能有效的監(jiān)控內(nèi)部網(wǎng)和外部網(wǎng)之間的任何活動,保證內(nèi)部網(wǎng)絡(luò)安全。
具體實(shí)施時將政務(wù)信息網(wǎng)劃分成兩部分:一是內(nèi)部工作站和內(nèi)部服務(wù)器群;二是對外對內(nèi)都提供服務(wù)的對外服務(wù)器群,如www服務(wù)器和郵件服務(wù)器等。防火墻將內(nèi)部工作站和只提供對內(nèi)服務(wù)的服務(wù)器劃入TRUST區(qū);互聯(lián)網(wǎng)則劃入UNTRUST區(qū);將對外對內(nèi)都提供服務(wù)的服務(wù)器劃入DMZ區(qū)。
在防火墻上制定如下策略:1、配置防火墻為透明運(yùn)行模式。2、開啟防火墻的NAT轉(zhuǎn)換功能。3、阻斷 ICMP、NETBIOS等網(wǎng)絡(luò)協(xié)議,阻斷不安全的TCP、UDP端口。4、建立IP訪問控制列表,只允許各單位的用戶訪問自己的系統(tǒng)。
網(wǎng)絡(luò)攻擊已發(fā)展成為黑客攻擊與病毒木馬相結(jié)合,有必要部署網(wǎng)絡(luò)版防病毒軟件對政務(wù)外網(wǎng)內(nèi)部進(jìn)行防護(hù)[3]。網(wǎng)絡(luò)版防病毒軟件的部署能達(dá)到以下效果:1、對各應(yīng)用服務(wù)器進(jìn)行全面防護(hù)、斬斷病毒在服務(wù)器內(nèi)的寄生及傳播;2、對內(nèi)部工作站進(jìn)行全面防護(hù),徹底消除病毒對客戶機(jī)的破壞,保證所有工作人員都有一個干凈、安全的平臺;3、所有防病毒軟件的升級、防毒策略的制定,通過管控系統(tǒng)集中實(shí)現(xiàn),即保證所有客戶機(jī)防病毒軟件得到及時更新,又保證整個防毒策略的一致。同時生成整個縣區(qū)政府網(wǎng)的病毒報告日志,便于網(wǎng)絡(luò)管理人員及時掌握病毒發(fā)作情況,制定有效的安全策略。4、建立及時、快速的病毒響應(yīng)機(jī)制,能夠迅速擬制病毒在網(wǎng)絡(luò)中的傳播。
結(jié)束語:合理的設(shè)計可以搭建一個經(jīng)濟(jì)、實(shí)用、安全、穩(wěn)定、易擴(kuò)展、易升級的縣區(qū)政務(wù)信息網(wǎng),從而有效全面的承載條條部門和塊塊部門的信息化業(yè)務(wù),為縣區(qū)信息化建設(shè)奠定堅實(shí)的基礎(chǔ)。采用模塊化設(shè)計,在后續(xù)的縣區(qū)政務(wù)信息網(wǎng)擴(kuò)展升級中只需添加相應(yīng)的模塊、設(shè)備即可,原來的設(shè)備仍能夠繼續(xù)使用,充分保護(hù)了原有投入。
[1]劉文林,李梅,李洪.組網(wǎng)工程.北京:北京郵電大學(xué)出版社,2009.10.
[2]華為公司,Quidway?S8505核心路由交換機(jī)用戶手冊,2006.2.
[3]張世永,網(wǎng)絡(luò)安全原理與應(yīng)用,北京:科學(xué)出版社,2005.6.