彭云峰

（安徽省經(jīng)濟(jì)信息中心，安徽 合肥 230001）

1 引言

隨著政務(wù)信息化的持續(xù)發(fā)展，電子政務(wù)外網(wǎng)已成為我國助力服務(wù)型政府建設(shè)的重要行政基礎(chǔ)設(shè)施，各政務(wù)部門依托政務(wù)外網(wǎng)開展內(nèi)部辦公、審批、管理和面向公眾服務(wù)的業(yè)務(wù)日益增多，連接政務(wù)外網(wǎng)的需求也日益強(qiáng)烈。與此同時，各政務(wù)部門內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)和接入需求多種多樣，接入不規(guī)范的情況普遍存在。按國家要求做好電子政務(wù)外網(wǎng)接入，有利于推動各級政務(wù)部門依托電子政務(wù)外網(wǎng)開展業(yè)務(wù)應(yīng)用，進(jìn)一步提高政府社會管理和公共服務(wù)的水平。

本文主要針對分散辦公且具有全業(yè)務(wù)的政務(wù)部門，設(shè)計了一種接入電子政務(wù)外網(wǎng)的網(wǎng)絡(luò)架構(gòu)，提出部門內(nèi)部不同分區(qū)間如何進(jìn)行邏輯隔離和訪問管理，為政務(wù)部門接入電子政務(wù)外網(wǎng)提供技術(shù)參考。

2 接入需求

政務(wù)部門網(wǎng)絡(luò)接入需求如下：

（1）訪問政務(wù)外網(wǎng)公用網(wǎng)絡(luò)區(qū)和專用網(wǎng)絡(luò)區(qū)；

（2）通過自有互聯(lián)網(wǎng)出口訪問互聯(lián)網(wǎng)；

（3）互聯(lián)網(wǎng)服務(wù)器除部署在內(nèi)部局域網(wǎng)外，還部分托管在電子政務(wù)外網(wǎng)政務(wù)云平臺和第三方公有云，可通過內(nèi)部局域網(wǎng)管理托管服務(wù)器；

（4）公共區(qū)服務(wù)器除部署在內(nèi)部局域網(wǎng)外，還部分托管在電子政務(wù)外網(wǎng)政務(wù)云平臺，可通過內(nèi)部局域網(wǎng)管理托管服務(wù)器；

（5）內(nèi)部局域網(wǎng)符合國家電子政務(wù)外網(wǎng)邏輯隔離的要求。

3 網(wǎng)絡(luò)架構(gòu)設(shè)計

電子政務(wù)外網(wǎng)接入的政務(wù)部門主要包括在行政中心園區(qū)內(nèi)集中辦公的單位和分散辦公的單位兩類。本文分散辦公的政務(wù)部門既有公用網(wǎng)絡(luò)區(qū)、專用網(wǎng)絡(luò)區(qū)和互聯(lián)網(wǎng)接入?yún)^(qū)訪問的需求，又有公用網(wǎng)絡(luò)區(qū)和互聯(lián)網(wǎng)業(yè)務(wù)，且部分公用網(wǎng)絡(luò)區(qū)和互聯(lián)網(wǎng)業(yè)務(wù)具有數(shù)據(jù)交互的需求。根據(jù)上述特點(diǎn)，本文設(shè)計了一種政務(wù)部門接入電子政務(wù)外網(wǎng)的網(wǎng)絡(luò)架構(gòu)，可實(shí)現(xiàn)各分區(qū)之間的邏輯隔離和業(yè)務(wù)的訪問。政務(wù)部門接入電子政務(wù)外網(wǎng)的網(wǎng)絡(luò)架構(gòu)如圖1所示。

政務(wù)部門局域網(wǎng)通過防火墻和VLAN技術(shù)實(shí)現(xiàn)各分區(qū)之間邏輯隔離。其中，三個分區(qū)通過防火墻實(shí)現(xiàn)邏輯隔離，訪問終端通過內(nèi)部網(wǎng)絡(luò)的VLAN劃分實(shí)現(xiàn)隔離。公共區(qū)服務(wù)器部署在內(nèi)部局域網(wǎng)公用網(wǎng)絡(luò)區(qū)的DMZ區(qū)，部分托管在政務(wù)云平臺的公共區(qū)；互聯(lián)網(wǎng)服務(wù)器部署在自有互聯(lián)網(wǎng)的DMZ區(qū)，部分托管在政務(wù)云平臺的互聯(lián)網(wǎng)接入?yún)^(qū)和第三方公有云，兩個區(qū)之間的業(yè)務(wù)服務(wù)器不能互訪。

3.1 邏輯隔離設(shè)計

在政務(wù)部門的前端配置一臺接入路由器，對上連接政務(wù)外網(wǎng)，對下連接部門局域網(wǎng)。通過在路由器上劃分的三個邏輯通道，分別連接局域網(wǎng)互聯(lián)網(wǎng)接入?yún)^(qū)、專用網(wǎng)絡(luò)區(qū)和公用網(wǎng)絡(luò)區(qū)防火墻，通過防火墻實(shí)現(xiàn)三個分區(qū)之間的邏輯隔離。三個防火墻下連核心交換機(jī)，通過VLAN劃分實(shí)現(xiàn)普通終端與專網(wǎng)區(qū)終端的邏輯隔離。

3.2 業(yè)務(wù)部署和管理設(shè)計

業(yè)務(wù)服務(wù)器主要包括公共區(qū)服務(wù)器和互聯(lián)網(wǎng)服務(wù)器。

公共服務(wù)器分為兩部分部署，一部分部署在內(nèi)部局域網(wǎng)公用網(wǎng)絡(luò)區(qū)防火墻的DMZ區(qū)，可直接管理；一部分托管在政務(wù)云平臺，主要是內(nèi)部管理和審批等業(yè)務(wù)，內(nèi)部用戶可通過電子政務(wù)外網(wǎng)管理托管虛擬主機(jī)。

在政務(wù)信息化發(fā)展的過程中，部門互聯(lián)網(wǎng)服務(wù)器可能分為三處部署情況：一部分部署在自有互聯(lián)網(wǎng)防火墻的DMZ區(qū)，可直接管理；一部分托管在第三方公有云平臺，主要是門戶網(wǎng)站等業(yè)務(wù)，可通過云平臺與自有互聯(lián)網(wǎng)防火墻之間的專線，實(shí)現(xiàn)托管虛擬主機(jī)的管理；一部分托管在政務(wù)云平臺的互聯(lián)網(wǎng)接入?yún)^(qū)，主要是面向公眾的政務(wù)服務(wù)業(yè)務(wù)，可通過接入路由器與園區(qū)匯聚交換機(jī)之間建立的MPLSVPN通道，實(shí)現(xiàn)互聯(lián)網(wǎng)區(qū)虛擬主機(jī)的管理。

托管在政務(wù)云平臺互聯(lián)網(wǎng)區(qū)、公共區(qū)的服務(wù)器可通過云平臺內(nèi)部的跨網(wǎng)數(shù)據(jù)安全交換平臺實(shí)現(xiàn)數(shù)據(jù)同步。

3.3 數(shù)據(jù)流分析

相關(guān)互聯(lián)網(wǎng)數(shù)據(jù)流及政務(wù)外網(wǎng)公用網(wǎng)絡(luò)區(qū)、專用網(wǎng)絡(luò)區(qū)的訪問數(shù)據(jù)流情況如下：

（1）互聯(lián)網(wǎng)數(shù)據(jù)流

用戶區(qū)終端訪問互聯(lián)網(wǎng)時，所產(chǎn)生的流量經(jīng)局域網(wǎng)核心交換機(jī)、自有互聯(lián)網(wǎng)防火墻，通過NAT地址轉(zhuǎn)換實(shí)現(xiàn)互聯(lián)網(wǎng)訪問。

訪問云平臺互聯(lián)網(wǎng)區(qū)時，所產(chǎn)生的流量經(jīng)局域網(wǎng)核心交換機(jī)、互聯(lián)網(wǎng)接入?yún)^(qū)防火墻，通過接入路由器與園區(qū)匯聚交換機(jī)之間建立的MPLSVPN通道，可實(shí)現(xiàn)虛擬主機(jī)的管理。

訪問云平臺互聯(lián)網(wǎng)區(qū)時，所產(chǎn)生的流量經(jīng)局域網(wǎng)核心交換機(jī)、自有互聯(lián)網(wǎng)防火墻，通過云平臺與自有互聯(lián)網(wǎng)防火墻之間專線通道，可實(shí)現(xiàn)虛擬主機(jī)的管理。

（2）公用網(wǎng)絡(luò)區(qū)數(shù)據(jù)流

用戶區(qū)終端訪問訪問公用網(wǎng)絡(luò)區(qū)時，所產(chǎn)生的流量經(jīng)局域網(wǎng)核心交換機(jī)、公用網(wǎng)絡(luò)區(qū)防火墻，通過NAT地址轉(zhuǎn)換可直接訪問。

部門移動辦公用戶通過電子政務(wù)外網(wǎng)的移動安全接入平臺的SSL VPN或IPSec VPN通道，實(shí)現(xiàn)外網(wǎng)公共區(qū)的訪問。

（3）專用網(wǎng)絡(luò)區(qū)數(shù)據(jù)流

用戶區(qū)終端訪問訪問公用網(wǎng)絡(luò)區(qū)時，所產(chǎn)生的流量經(jīng)局域網(wǎng)核心交換機(jī)、專用網(wǎng)絡(luò)區(qū)防火墻，到達(dá)接入路由器，通過MPLSVPN通道實(shí)現(xiàn)專用網(wǎng)絡(luò)區(qū)的訪問。

部門移動辦公用戶通過電子政務(wù)外網(wǎng)的移動安全接入平臺的SSL VPN或IPSec VPN通道，實(shí)現(xiàn)外網(wǎng)專用區(qū)的訪問。政務(wù)部門訪問各業(yè)務(wù)分區(qū)的數(shù)據(jù)流如圖2所示。

圖1 網(wǎng)絡(luò)架構(gòu)圖

圖2 訪問數(shù)據(jù)流示意圖

4 結(jié)束語

本文分析了一種政務(wù)部門接入電子政務(wù)外網(wǎng)的需求，設(shè)計了接入電子政務(wù)外網(wǎng)的網(wǎng)絡(luò)架構(gòu)，研究了局域網(wǎng)內(nèi)部各分區(qū)之間、用戶之間的邏輯隔離技術(shù)，詳細(xì)分析了各分區(qū)的數(shù)據(jù)流走向，為政務(wù)部門接入電子政務(wù)外網(wǎng)提供技術(shù)參考。