何 堅

（中國電子口岸數據中心福州分中心 福建 350015）

He Jian

0 前言

2013年底，作為技術骨干，我有幸參與了本單位金關二期的網絡工程方案的規(guī)劃、設計、建設工作。該項目投入經費200萬元。本中心作為分支區(qū)域，用廣域網方式接入總署口岸專網。網內服務器基本上以 windows 2003為平臺，運行各種應用軟件。建設目標：充分利用現有設備，更換或新增新設備，實現雙鏈路雙設備冗余，對原網絡進行安全域劃分，增加安全設備或管理軟件，優(yōu)化網絡信息服務和網絡結構，最大限度保證網絡系統(tǒng)無故障不間斷運行，數據傳輸更加安全可靠。

1 方案設計

依據內外網的安全形勢和現狀，按照等級保護要求，統(tǒng)籌考慮各種風險因素，全面規(guī)劃拓撲結構。根據業(yè)務類型，利用核心防火墻將網絡分成幾大安全域，訪問策略顆粒度均細化到端口號。各區(qū)域接口采用路由或交換的模式，為其分配了不同地址段。

該網絡環(huán)境下的應用有：對外web發(fā)布系統(tǒng)、語音呼叫中心系統(tǒng)、短信平臺、wap手機應用平臺、IC卡網上進出口業(yè)務數據交換平臺、信息安全管理系統(tǒng)、無紙化通關，跨境電子商務等互聯互通項目。通過不斷驗證，我們從以下幾方面對網絡拓撲和系統(tǒng)設備進行改造：

1.1 專網主干線均采用雙設備，雙鏈路方式。廣域網通過申請2條10M的MSTP專線，連接到北京總署數據中心。其中一條鏈路通過上海，作為備份鏈路中轉至北京，降低了長途鏈路同時失效的可能性。邊界路由器運行OSPF協議，自動尋找最佳路徑。并配置 VRRP，實現單機故障時網關自動切換，保證可靠性和可用性。各地區(qū)邊界路由器之間，再次用防火墻進行隔離。

1.2 核心交換區(qū)為兩臺核心防火墻和兩臺核心交換機，采用口字型及交叉方式互連。防火墻之間使用心跳線連接，用以同步設備數據。交換機之間用2條千兆以太網鏈路通過捆綁方式聚合，提高主干線路的傳輸帶寬，提供良好可靠性和性能。

1.3 業(yè)務接入區(qū)設備也采用口字型及交叉方式互連。在匯聚交換機上分割不同的vlan用于區(qū)分不同的業(yè)務現場。匯聚層與現場的接入層交換機之間配置STP和VRRP協議實現鏈路和網關的冗余。兩條鏈路使用電信和移動作為不同運行商進行連接，防止某一運行商因施工不慎將兩條鏈路同時挖斷。

機場現場采用3G備份方式。主路由器通過track等技術監(jiān)控MSTP線路通斷情況。3G路由器作為備用設備，啟用按需撥號模式。若主線路斷開，在有業(yè)務數據流情況下觸發(fā) 3G無線撥號，并配置超時斷開功能。同時配置 3G冷備設備參數。一旦出問題，由工作人員攜帶 3G路由器前往現場，設備開機即可接入到海關網絡中，確保業(yè)務續(xù)行。

為保證無線業(yè)務傳輸安全性，采用以下措施：

（1）海關至運營商VPDN之間開設數據專線與互聯網物理隔離，海關采用專用APN接入點與外網隔離。

（2）先后經過運營商和海關兩道 AAA認證，保證只有海關認可的SIM卡和3G路由器設備入網。

（3）在邊界防火墻上過濾3G網絡流量，僅允許3G VPN通信，保證內部設施的安全。

（4）采用IPSEC VPN方式完成網絡加密，加密設備選用國家密碼局認證設備和算法，以有效防止黑客利用其他非法手段截取海關通關數據。

1.4 根據等級保護要求，互聯網區(qū)域通過兩道不同廠商防火墻與對外接入區(qū)進行對接，使外網能訪問專網內特定業(yè)務。同時，互聯網也申請了移動和電信 2條不同ISP，均經過一臺上網行為設備對互聯辦公用戶進行規(guī)范管理。在對外服務器區(qū)部署防病毒網關，對該區(qū)域進行安全防護。

1.5 為方便外網用戶接入管理運維，在互聯網防火墻上，部署了IPSEC VPN，連接至管理區(qū)，用戶安裝VPN客戶端，根據不同帳號密碼登錄，可遠程訪問相應的設備。同時該區(qū)域部署運維審計系統(tǒng)，可對接入用戶身份和行為做記錄，防止用戶接入的誤操作和惡意行為。

1.6 XX作為綜合實驗區(qū)項目與北京服務器對接中轉站，采用雙向NAT轉換映射到對端服務器端口，使一方訪問本側防火墻端口的IP地址及端口號，即可訪問到對端服務。

1.7 業(yè)務區(qū)部署內網安全管理系統(tǒng)，由中央管理平臺部署區(qū)域管理器，掃描器發(fā)現網絡中的設備信息交給區(qū)域管理器處理對比，根據管理規(guī)則在平臺上報警。同時客戶端需安裝注冊程序，若用戶有未注冊或違規(guī)外聯等非法情況，將自動上報管理中心，中心控制該區(qū)域中的計算機則立即發(fā)送攻擊包對其進行阻斷。

1.8 在業(yè)務關鍵節(jié)點上部署IPS入侵防御系統(tǒng)，并對web服務器安裝網頁防護墻，防止注入和滲透等各種攻擊。

在調試過程中，遇到以下問題：

（1）通往總署因采用雙鏈路，其中經過復雜的OSPF計算，存在來回路徑不同路。由于雙鏈路經過不同的防火墻，回路的包被阻擋，發(fā)現數據包有去無回現象。對此在路由器上配置策略，調整cost值，以優(yōu)化傳送數據的路徑。

（2）不同地區(qū)之間鏈路受到有源設備影響，若中途光纜斷掉，有源設備到局端的設備依然處于正常連接的通電狀態(tài)，設備認為該鏈路良好而不切換到備用鏈路。更換帶有光纜檢測功能的MSTP設備，配置聯動性使之影響到有源端口，該問題得以解決。

安全管理規(guī)章制度。需接入電子口岸網絡的任何用戶，應提出入網申請，經領導審批后，方可開通入網。入網微機的任何安裝活動，需經批準。任何單位和個人不得擅自更改網絡線路、系統(tǒng)配置參數和安裝的件。

出于資金和條件限制，目前網絡系統(tǒng)仍存在一些問題有待改善：

①目前服務器大多采用傳統(tǒng)的一臺服務器運行一個服務方式，未能合理利用資源。今后對服務器的部署建設中，對服務器采用虛擬化，統(tǒng)一分配CPU、內存及其他I/O資源，并將服務器使用光存儲陣列作為數據存儲支撐，方便部署，提高數據訪問效率。

②隨著業(yè)務進一步擴展，web服務器訪問量的加大，建議安裝負載均衡設備。通過負載調度程序為各個服務器分配工作量，從而達到充分利用資源，提高訪問性能的目的。

③對網絡其余部分也采用雙鏈路，雙設備改造，實現整個網絡拓撲的雙機熱備及雙鏈路冗余，在出現故障時能夠自動切換，有效避免單點故障。根據業(yè)務的重要性對網線進行顏色區(qū)分，對所有網卡均換成千兆以上端口，并統(tǒng)一用6類線連接，用以提高物理傳輸速率。

④對內部機密數據的重要安全區(qū)域使用物理隔離，以增加海關內部數據保密要求。如報關查詢緩存服務器與報關服務器用網閘隔離，使外部用戶不直接訪問報關web服務器，而是從緩存服務器中進行單據查詢。

今后，海關的業(yè)務數據量將會更大，實時性要求更高，由此安全方面我們將面臨更大的考驗。我們將結合新的科技發(fā)展趨勢，使用現有成熟的設備和技術，更快滿足電子政務高速發(fā)展的要求。并注意節(jié)約成本，減少項目開發(fā)的風險。