电子政务网建设方案.docx
《电子政务网建设方案.docx》由会员分享,可在线阅读,更多相关《电子政务网建设方案.docx(47页珍藏版)》请在冰豆网上搜索。
电子政务网建设方案
电子政务网建设
技术建议书
1前言
政府及事业单位一直是中国信息化的先行者,政府网络的建设已经比较完善。
随着“电子政务”建设的进一步深入,政府信息化建设重点变化明显,电子政务业务系统的受重视程度继续加强;而办公自动化、信息安全和政府门户网站建设的受重视程度显著加强。
按照政府网络管理的要求,必须保障含有国家机密信息的“内网”不但要求的绝对安全。
但随着电子政务、网上政府、政府自身的信息化业务系统等的发展,政府与自身各分支机构、外界相关单位信息交互的“外网”安全和互连互通就变得更为必要。
此外网络的安全问题日益显得尤为重要。
2网络平台需求分析
随着电子政务系统信息化的发展,电子政务内网网络平台逐渐从“分离的专网”向“统一网络平台”转化,成为主流的建网思路。
其基本思想都是在一个统一的网络平台上为各种业务系统提供传输通道,以及方便地实现流程整合。
统一网络平台解决了业务专网建设思路存在的问题,其优势如下:
利于网络扩展:
当增加新的业务系统时不需要建设新的专网,而是由网络平台统一分配网络资源;当业务专网扩容时不需要单独扩容,首先通过统一网络平台扩展其容量,当统一网络平台容量不足时再考虑对整个平台进行扩容。
管理成本低:
统一网络平台由专门的部门统一维护,不需要每个业务部门都设置网络管理员及网管,极大地降低了管理成本。
网络资源利用率高:
由于各业务系统对网络资源(如带宽)的需求由统一网络平台来满足,可以根据各业务系统实际的流量动态调整带宽,充分利用网络资源。
利于业务系统之间的信息共享和流程整合:
由于各业务系统采用统一的网络平台,相互之间很容易实现互访,为在将来进行信息共享及业务横向提供了良好的基础。
为充分满足电子政务系统信息化发展的要求,统一网络平台还需要满足以下的关键业务需求:
部门系统之间的安全隔离:
不同部门系统之间需要提供安全隔离,避免非法访问。
电子政务系统业务系统之间的互访:
部分业务系统,如领导决策公文下发数据、政策公布、业务数据上报业务等之间有相互访问的需求,随着业务纵向整合的开展各单位系统之间需要更加紧密地联系在一起;网络平台必须满足各单位系统互访的要求及安全性。
不同业务系统的差别服务(COS):
不同业务系统,需要网络平台提供差别服务,诸如电子政务系统对OA办公和语音通话等有很大的需求,数据、视频和监控对带宽、实时性有不同的要求。
为业务系统提供灵活的网络拓扑:
各应用系统的业务网络逻辑模型是不同的,有的业务需要星型结构的网络,有的系统需要网状结构。
电信级的可靠性:
电子政务网是政府系统关键业务平台,其网络平台必须具有电信级的可靠性,在设计中要充分考虑设备、链路、路由的冗余,以及快速自愈恢复能力。
可管理:
建议引入电信级的网络管理和业务管理方法,以确保网络和业务运行的稳定可靠。
可扩展:
网络平台的设计应该是能够充分考虑可扩展性,包括链路带宽的扩展、设备容量的扩展,以及拓朴的优化。
可优化:
可以将电子政务网承载的各单位系统业务看成是统一网络平台的一个“客户”。
网络平台需要对每一个客户(如监控、视频系统)等进行实时的监控,不断优化其网络资源。
电子政务网方案本着先进性、现实性和经济性统一的原则进行设计,设计的网络具有高性能、高可靠性、扩展性、标准化和可管理性的特点,能灵活地根据需求提供不同的服务等级并保证服务质量。
该网络将采用最先进的网络技术和高速设备,为电子政务等各类信息系统提供统一的综合业务网络平台,与原有设备和网络实现良好的互通,降低管理成本和提高管理效率。
2.1网络建设目标
电子政务内外网,主要包括所需要的路由器、交换机、网管、网络准入系统、防火墙、IPS等设备及工程所需要的配套设备等。
工程功能可实现系统的内网办公、上联市一级电子政务内网、访问Internet等需求。
网络的建设是为业务的发展服务,综合考虑几年内业务发展及现有网络状况,电子政务内网建设要达到如下目标:
电子政务内网业务数据由同一网络平台承载,电子政务网络的建设,应该考虑到网络的扩展性、可靠性、安全性。
IP电话业务、监控和会议电视,为各部门工作的开展提供灵活方便的手段。
数据、语音等(后续将要运行的监控、视频)各类业务应用对网络的需求在实时性、带宽需求、接入方式、安全性、数据分布特征等方面各有其特点。
因此,在进行电子政务内网的建设时,需要在网上开展IP视频业务、监控业务及会议电视等相关的业务。
建立统一的综合信息系统平台网络。
按照业务的需要,建设骨干网络,统一全网的安全控制措施和安全监测手段。
集中网络管理,实施分级维护;进一步规范IP地址的应用;积极开展网络综合应用。
将电子政务内外网建设成为一个综合、高性能的网络:
Ø综合性
为多种业务应用与信息网络提供统一的综合业务传送平台。
Ø支持QOS
能根据业务的要求提供不同等级的服务并保证服务质量,提供资源预留,拥塞控制,报文分类,流量整形等强大的IPQOS功能。
Ø高可靠性
具有很高的容错能力,具有抵御外界环境和人为操作失误的能力,保证任何单点故障都不影响整个网络的正常运作。
Ø高性能
在高负荷情况下仍然具有较高的吞吐能力和效率,延迟低。
Ø安全性
具有保证系统安全,防止系统被人为破坏的能力。
支持AAA功能、ACL、IPSEC、NAT、ISPkeeper、路由验证、CHAP、PAP、CA、MD5、DES、3DES、日志等安全功能以及MPLSVPN。
Ø扩展性
易于增加新设备、新用户,易于和各种公用网络连接,随系统应用的逐步成熟不断延伸和扩充,充分保护现有投资利益。
Ø开放性
符合开放性规范,方便接入不同厂商的设备和网络产品。
Ø标准化
通讯协议和接口符合国际标准。
Ø实用性
具有良好的性能价格比,经济实用,拓扑结构和技术符合骨干网信息量大、信息流集中的特点。
Ø易管理
为达到集中管理的目的,网络平台支持虚拟网络,并可与路由器、骨干和局域网交换机配合,整个网络可以进行远程控制。
集中网管具体方案参见网管部分的描述。
Ø有效性
保证5年以内硬件设备无需升级,就可满足一般业务的需要,且运行稳定可靠。
2.2网络建设原则
为达到网络优化和将来扩展的目标要求,在电子政务内外网,应始终坚持以下建网原则:
Ø高可靠性
网络系统的稳定可靠是应用系统正常运行的关键保证,在网络设计中选用高可靠性网络产品,合理设计网络架构,制订可靠的网络备份策略,保证网络具有故障自愈的能力,最大限度地支持系统的正常运行。
Ø标准开放性
支持国际上通用标准的网络协议(如TCP/IP)、国际标准的大型的动态路由协议(如BGP,OSPF)等开放协议,有利于以保证与其它网络之间的平滑连接互通,以及将来网络的扩展。
Ø灵活性及可扩展性
根据未来业务的增长和变化,网络可以平滑地扩充和升级,减少最大程度的减少对网络架构和现有设备的调整。
Ø可管理性
对网络实行集中监测、分权管理,并统一分配带宽资源。
选用先进的网络管理平台,具有对设备、端口等的管理、流量统计分析,及可提供故障自动报警。
Ø安全性
制订统一的骨干网安全策略,整体考虑网络平台的安全性。
可以通过VPN和VLAN实现各业务子网隔离,全网统一规划IP地址,根据不同的业务划分不同的子网(subnet),相同物理LAN通过VLAN的方式隔离,不同子网间的互通性由路由策略决定。
Ø保护现有投资
在保证网络整体性能的前提下,充分利用现有的网络设备或做必要的升级,对其他的设备用作骨干网外联的接入设备。
Ø统一标准、统一平台
网络的互联及互通关键是对相同标准的遵循,在网络中,由于有多个网络并存,要使这些网络能融合到一起,实现业务整合及数据集中等业务,就必须统一标准。
在具体实施中,必须统一规划IP地址及各种应用,采用开放的技术及国际标准,如路由协议、安全标准、接入标准和网络管理平台等,才能保证实现网络的统一,并确保网络的可扩展性。
3网络平台基础建设
3.1网络整体结构
电子政务系统整个网络系统划分成内网和外网,两个物理隔离的网络。
内网和整个电子政务网络相连,承载上联上一级电子政务网、办公OA等业务。
外网主要负载一些对外业务,如访问Internet、网站信息公示等。
从政府系统行政管理和技术的角度来看,建议采用层次化的网络设计结构,这样既方便了管理,也有利于扩展和灵活布置。
采用层次性设计方案的优势:
Ø网络及路由层次清晰:
分层网络结构,路由设计更清晰,可以尽量避免核心区域的路由受到边缘链路震荡的影响。
Ø网络及业务扩展性好,降低建设成本:
采用分层结构之后,在电子政务系统内网业务扩展(带宽扩展、节点扩展)时,可以通过内网核心层扩展端口来实现。
当增加一个部门或科室,直接在核心核心交换机上扩展端口,降低了投资成本,提高了网络的扩展性。
分层结构在业务扩展时对网络核心层及路由规划没有影响,平滑过渡。
而如果在核心交换机上直接扩容需要更改大量骨干设备的配置及路由规划。
Ø网络可靠性高:
采用分层结构之后,功能模块相互独立,如FE/GE接入、N×2M接入、核心转发由不同的设备来完成,不会相互影响,提高了整个网络的可靠性。
整个网络方案在路由备份、物理位置分离、局域网链路备份、虚拟路由备份、设备级可靠性等方面做了比较充分的考虑,可有效保证电子政务网络的健壮性。
Ø便于维护
采用分层结构之后,功能模块相互独立,如FE/GE接入、E1接入、核心转发由不同的设备来完成,设备的配置大大简化,便于维护,也便于网络故障定位。
采用分层结构,在业务扩展时简单高效,极大降低了管理难度。
基于上面对层次化设计、局域网技术和广域网技术的分析,设计了电子政务网络。
在网络的设计上主要考虑了网络的性能、可靠性、安全性以及结合国际上成熟可靠的设计思想而提出的。
整个电子政务系统的内外网设计采用层次结构,除了可以满足本身业务上和实现办公自动化等的一些基本应用外,未来也可以实现远程监控、视频会议等一些增值的应用。
下面介绍一下网络的总体结构。
3.2电子政务内网解决方案
新建办公大楼共23层,主机房位于第四层,分机房在1-3层部署一间,其余每隔2层部署一间机房,内网的建设对各项业务的运转至关重要。
下面内网的拓扑图:
整个内网的主要架构特点:
1)电子政务内网采用核心、接入的扁平化两层架构,提高了访问速度,管理更方便。
2)网络核心处采用一台高端交换机作为网络的核心,采用双引擎双电源,增强核心设备的可靠性,同时保证数据在双引擎转发的负载分担。
3)各楼宇的接入交换机通过千兆光纤链路上行,与核心交换机相连。
整个网络千兆骨干、百兆到桌面,数据传输在链路上没有拥塞。
4)每个分机房部署一台48口的接入交换机,接入各层的信息点。
5)内部局域网安全隐患远远高于外部,在某些PC终端在感染了攻击性病毒后,会不停的对网络中的其他PC终端和服务器发动网络攻击,轻者导致一些用户不能正常上网,重者导致服务器和网络瘫痪。
因为网络中所有数据都通过核心交换机进行转发,只要在核心交换机上扩展一块内置防火墙模块,其功能就相当于在核心交换机上的每条链路都部署了一台高性能防火墙,通过这种方式来防御下面终端的攻击。
而且防火墙模块可以对不同的部门进行访问权限的划分,控制各种用户访问权限。
6)为防御外部和内部的4-7层的网络攻击,特别是一些恶性病毒,如木马、蠕虫病毒等,建议在网络中部署IPS系统。
但把IPS设备部署到网络前端时,会出现路由器、IPS、防火墙等串行单点部署的情况,整个内网运转时一旦一台设备出现故障,会导致整个网络出口中断,后果不堪设想。
我们建议将单独的IPS设备替换成一块能在核心交换机上扩展的IPS模块,不但能有效的解决串行单点部署的情况,而且因为它部署在核心交换机上,所有经过核心交换机的数据都能经过IPS模块过滤,对数据中心的服务器进行应用层保护,可以有效的防止DDOS攻击,和数据库数据更改等黑客行为,整网安全性进一步提高。
7)服务器均以千兆链路直接连接核心交换机,提高服务器的访问速度。
8)在网络的出口处,部署一台高性能的路由器,承担数据的路由转发功能,上联上一级电子政务网。
在同时对内网地址做NAT地址转换(NAT地址转换的功能也可以放在核心交换机的防火墙模块上)。
9)为有效防范非法计算机接入到上下级电子政务网内部网络中,和防范合法计算机在安全状态不满足要求的情况接入到网络中,并根据不同用户享有不同网络使用权限。
10)内网承载的业务多为重要的业务,需要信息中心工作人员对整网的安全事件时刻关注,且网络的安全状况通常是根据各种网络设备的日志来进行分析的,为方便网络管理员对整网安全事件进行统一管理,建议在服务器区配置一台安全管理中心SecCenter,对整网设备的安全日志进行统一收集并分析。
并可生成各种形式的报告,方便向上级领导汇报。
11)为避免多个业务系统采用不同网管软件给管理员带来的麻烦和困扰,建议对整网网络设备、业务、用户进行综合管理,方便管理员进行统一管理。
12)为帮助管理员方便的对设备配置文件和软件文件进行集中管理,包括配置文件的备份、恢复以及批量更新、设备软件的备份和升级等功能,在iMC上附送了一个中心业务组件iCC。
13)为帮助管理员对整个网络流量进行有效监控,如可以统计设备接口、接口组、IP地址组、多链路接口的(准)实时流量信息,包括流入、流出速率以及当前速率相对于链路最大速率的比例等,建议配置一套网络流量分析系统,包括在核心交换机上扩展一块网络流量分析模块,和在智能管理中枢iMC上配置一个网络流量分析组件NTA。
3.3电子政务外网解决方案
外网上运行的业务相对内网而言,虽然承载的业务重要性要低些,但在网络设计和设备选型不能降低标准。
下面是电子政务外网拓扑图:
整个外网的主要架构特点:
1)网络核心处采用一台高性价比交换机作为网络的核心,配置双电源。
2)各楼宇的接入交换机通过千兆光纤链路上行,与核心交换机相连,
3)整个网络千兆骨干、百兆到桌面,数据传输在链路上没有拥塞。
4)服务器均以千兆链路直接连接核心交换机,提高服务器的访问速度。
5)在网络的出口处,部署一台高扩展性的路由器,承担数据的路由转发功能。
6)每个分机房部署一台48口的接入交换机,接入各层的信息点。
7)在路由器的后端部署一台防火墙,对外网数据进行过滤,并对内网地址做NAT地址转换。
此种组网方式避免了出口的单点故障,一旦防火墙模块出现问题,也不会出现断网情况,路由器本身有较强的NAT地址转换功能,可接替防火墙的职责。
8)为避免多个业务系统采用不同网管软件给管理员带来的麻烦和困扰,建议对整网网络设备、业务、用户进行综合管理,方便管理员进行统一管理。
9)为帮助管理员方便的对设备配置文件和软件文件进行集中管理,包括配置文件的备份、恢复以及批量更新、设备软件的备份和升级等功能,在iMC上附送了一个中心业务组件iCC。
10)为方便管理员对终端用户的上网行为进行事后审计,追查用户的网络行为,满足相关部门对用户网络访问日志进行审计的硬性要求,建议配置一套网络行为审计系统,包括在智能管理中枢iMC上配置一个网络用户行为审计组件UBAS,和一个能生成七层日志的DIG探针。
11)建议在外网上部署一套无线系统,无线平台将依托电子政务外网平台,采用集中控制、分布式部署的模式来建设。
在电子政务外网上扩展无线插卡来实现对于全网无线系统的统一管理和配置,对前端的无线AP进行统一的配置管理及认证管理。
由于外网接入层设备能够支持较好的POE功能,所以在无线网络部署时,不需要考虑其电源位置,使无线AP能够更加灵活的部署。
3.4电子政务安全解决方案
网络安全问题已成为信息时代企业和个人共同面临的挑战,电子政务网络安全状态也很严峻。
现在计算机系统受病毒感染和破坏的情况相当严重,电脑黑客活动已形成重要威胁,信息基础设施面临网络安全的挑战,信息系统在预测、反应、防范和恢复能力方面存在许多薄弱环节。
本次方案设计的H3C的网络设备提供很高的安全性,通过这些安全特性可用构成一个安全的网络环境。
(1)端口+IP+MAC地址的绑定
用户上网的安全性非常重要,端口+IP+MAC地址的绑定关系,H3C交换机可以支持基于MAC地址的802.1X认证,整机最多支持1K个下挂用户的认证。
MAC地址的绑定可以直接实现用户对于边缘用户的管理,提高整个网络的安全性、可维护性。
如:
每个用户分配一个端口,并与该用户主机的MAC、IP、VLAN等进行绑定,当用户通过802.1X客户端认证通过以后用户便可以实现MAC地址+端口+IP+用户ID的绑定,这种方式具有很强的安全特性:
防D.O.S的攻击,防止用户的MAC地址的欺骗,对于更改MAC地址的用户(MAC地址欺骗的用户)可以实现强制下线。
(2)接入层防Proxy的功能
考虑到政府系统用户的技术性较强,在实际的应用的过程当中应当充分考虑到Proxy的使用,对于Proxy的防止,H3C公司交换机配合H3C公司的802.1X的客户端,一旦检测到用户PC机上存在两个活动的IP地址(不论是单网卡还是双网卡),H3C系列交换机将会下发指令将该用户直接踢下线。
(3)MAC地址盗用的防止
在网络的应用当中IP地址的盗用是最为经常的一种非法手段,用户在认证通过以后将自己的MAC地址进行修改,然后在进行一些非法操作,网络设计当中我们针对该问题,在接入层交换机上提供防止MAC地址盗用的功能,用户在更改MAC地址后,交换机对于与绑定MAC地址不相符的用户直接将下线,其下线功能是由接入系列交换机来实现的。
(4)防止对DHCP服务器的攻击
使用DHCPServer动态分配IP地址会存在两个问题:
一是DHCPServer假冒,用户将自己的计算机设置成DHCPServer后会与局方的DHCPServer冲突;二是用户DHCPSmurf,用户使用软件变换自己的MAC地址,大量申请IP地址,很快将DHCP的地址池耗光。
H3C交换机可以支持多种禁止私设DHCPServer的方法。
(5)PrivateVLAN
解决这个问题的方法之一是在桌面交换机上启用PrivateVLAN的功能。
但在很多环境中这个功能的使用存在局限,或者不会为了私设DHCP服务器的缘故去改造网络。
(6)访问控制列表
对于有三层功能的交换机,可以用访问列表来实现。
就是定义一个访问列表,该访问列表禁止sourceport为67而destinationport为68的UDP报文通过。
之后把这个访问列表应用到各个物理端口上。
当然往端口一个个去添加访问控制组比较麻烦,可以结合interfacerange命令来减少命令的输入量。
新的命令
因为它的全局意义,也为了突出该安全功能,建议有如下单条命令的配置:
servicedhcp-offerdeny[excludeinterfaceinterface-typeinterface-number][interfaceinterface-typeinterface-numbert|none]
如果输入不带选项的命令nodhcp-offer,那么整台交换机上连接的DHCP服务器都不能提供DHCP服务。
excludeinterfaceinterface-typeinterface-number:
是指合法DHCP服务器或者DHCPrelay所在的物理端口。
除了该指定的物理端口以外,交换机会丢弃其他物理端口的in方向的DHCPOFFER报文。
interfaceinterface-typeinterface-numbert|none:
当明确知道私设DHCP服务器是在哪个物理端口上的时候,就可以选用这个选项。
当然如果该物理端口下面仅仅下联该私设DHCP服务器,那么可以直接disable该端口。
该选项用于私设DHCP服务器和其他的合法主机一起通过一台不可网管的或不支持关闭DHCPOffer功能的交换机上联的情况。
选择none就是放开对dhcp-offer的控制。
(7)防止ARP的攻击
随着网络规模的扩大和用户数目的增多,网络安全和管理越发显出它的重要性。
由于现在用户具有很强的专业背景,致使网络黑客攻击频繁发生,地址盗用和用户名仿冒等问题屡见不鲜。
因此,ARP攻击、地址仿冒、MAC地址攻击、DHCP攻击等问题不仅令网络中心的管理人员头痛不已,也对网络的接入安全提出了新的挑战。
ARP攻击包括中间人攻击(ManInTheMiddle)和仿冒网关两种类型:
中间人攻击:
按照ARP协议的原理,为了减少网络上过多的ARP数据通信,一个主机,即使收到的ARP应答并非自己请求得到的,它也会将其插入到自己的ARP缓存表中,这样,就造成了“ARP欺骗”的可能。
如果黑客想探听同一网络中两台主机之间的通信(即使是通过交换机相连),他会分别给这两台主机发送一个ARP应答包,让两台主机都“误”认为对方的MAC地址是第三方的黑客所在的主机,这样,双方看似“直接”的通信连接,实际上都是通过黑客所在的主机间接进行的。
黑客一方面得到了想要的通信内容,另一方面,只需要更改数据包中的一些信息,成功地做好转发工作即可。
在这种嗅探方式中,黑客所在主机是不需要设置网卡的混杂模式的,因为通信双方的数据包在物理上都是发送给黑客所在的中转主机的。
仿冒网关:
攻击者冒充网关发送免费ARP,其它同一网络内的用户收到后,更新自己的ARP表项,后续,受攻击用户发往网关的流量都会发往攻击者。
此攻击导致用户无法正常和网关通信。
而攻击者可以凭借此攻击而独占上行带宽。
在DHCP的网络环境中,使能DHCPSnooping功能,交换机会记录用户的IP和MAC信息,形成IP+MAC+Port+VLAN的绑定记录。
H3C交换机利用该绑定信息,可以判断用户发出的ARP报文是否合法。
使能对指定VLAN内所有端口的ARP检测功能,即对该VLAN内端口收到的ARP报文的源IP或源MAC进行检测,只有符合绑定表项的ARP报文才允许转发;如果端口接收的ARP报文的源IP或源MAC不在DHCPSnooping动态表项或DHCPSnooping静态表项中,则ARP报文被丢弃。
这样就有效的防止了非法用户的ARP攻击。
本次方案设计的华三核心设备都是支持专业的安全板卡,可以在保护用户投资的情况下,增加这些板卡让网络具有更高的安全性。
如果硬件安全板卡的性能不能满足流量的要求的时候,可以通过增加多个板卡起到动态扩容,负载分担的作用。
4网络平台QOS保障
4.1QoS及其功能
在传统的IP网络中,所有的报文都被无区别的等同对待,每个路由器对所有的报文均采用先入先出FIFO的策略进行处理,它尽最大的努力Best-Effort将报文送到目的地,但对报文传送的可靠性、传送延迟等性能不提供任何保证。
网络发展日新月异,随着IP网络上新应用的不断出现,对IP网络的服务质量也提出了新的要求,例如IP监控等实时业务就对报文的传输延迟提出了较高要求,如果报文传送延时太长,将是用户所不能接受的(相对而言E-Mail和FTP业务对时间延迟并不敏感)。
为了支持具有不同服务需求的监控、视频以及数据等业务,要求网络能够区分出不同的通信进而为之提供相应的服务传统IP网络的尽力服务不可能识别和区分出网络中的各种通信类别而具备通信类别的区分能力正是为不同的通信提供不同服务的前提所以说传统网络的尽力服务模式已不能满足应用的需要QoS。
QualityofService服务质量技术的出现便致力于解决这个问题。
QoS旨在针对各种应用的不同需求为其提供不同的服务质量例如提供专用带宽减少报文丢失率降低报文传送时延及时延抖动等为实现上述目的QoS提供了下述功能:
Ø报文分类和着色
Ø网络
升级会员 