|
信達(dá)政府互聯(lián)網(wǎng)出口解決方案
資源天下 2019/8/16 10:05:36
目錄
1. 互聯(lián)網(wǎng)出口基礎(chǔ)架構(gòu)設(shè)計(jì) 1
1.1 出口功能區(qū)劃分 1
1.2 出口網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì) 2
2. 互聯(lián)網(wǎng)功能設(shè)計(jì) 3
2.1 訪問優(yōu)化設(shè)計(jì) 3
2.2 審計(jì)功能設(shè)計(jì) 3
2.3 接入管理功能設(shè)計(jì) 4
3. 出口安全設(shè)計(jì) 4
3.1 用戶安全性設(shè)計(jì) 4
3.2 應(yīng)用系統(tǒng)安全性 5
3.3 WEB服務(wù)器安全性 5
4. 系統(tǒng)可靠性設(shè)計(jì) 5
4.1 設(shè)備可靠性設(shè)計(jì) 5
4.2 鏈路可靠性設(shè)計(jì) 6
4.3 路由可靠性設(shè)計(jì) 6
隨著信息化建設(shè)的開展,政府經(jīng)過多年持續(xù)不斷的信息化建設(shè)和應(yīng)用提升,已經(jīng)形成了較為穩(wěn)定的內(nèi)部局域網(wǎng)基礎(chǔ)架構(gòu)����。但是���,隨著政府電子政務(wù)的開展����,信息化公開等豐富的應(yīng)用上線���,政府部門在科研�、辦公�、公眾服務(wù)等相關(guān)業(yè)務(wù)對(duì)于互聯(lián)網(wǎng)出口平臺(tái)的依賴性越來越強(qiáng)���。建立一個(gè)穩(wěn)定����,可信的互聯(lián)網(wǎng)出口成為政府部門的信息化工作的一個(gè)極為重要的工作�����。
某政府網(wǎng)絡(luò)是一個(gè)集數(shù)據(jù)�、語(yǔ)音、視頻為一體的綜合業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)�,需要在互聯(lián)網(wǎng)出口上承載的業(yè)務(wù)不僅僅包括基本的互聯(lián)網(wǎng)訪問,還包括為公眾提供應(yīng)用服務(wù)的相關(guān)服務(wù)器的互聯(lián)網(wǎng)出口��,和遠(yuǎn)程用戶接入的相關(guān)服務(wù)����。所以政府互聯(lián)網(wǎng)出口需要具有高可用性�����,提供穩(wěn)定的互聯(lián)網(wǎng)服務(wù)��。并且由于互聯(lián)網(wǎng)出口是整個(gè)政府與外界信息交互的主要途徑�,所以對(duì)于出口交互的各種重要數(shù)據(jù)和應(yīng)用服務(wù)的安全性���,必須要進(jìn)行全面的保障�����。同時(shí)需要整體的審計(jì)技術(shù)�,包括用戶登錄審計(jì)與用戶行為審計(jì)����。
銳捷網(wǎng)絡(luò)經(jīng)過對(duì)政府互聯(lián)網(wǎng)出口業(yè)務(wù)的深入分析和對(duì)客戶的充分調(diào)研,針對(duì)政府客戶制定了一整套出口解決方案���。整體方案在出口的優(yōu)化訪問����、安全策略、全局審計(jì)�����、統(tǒng)一管理四個(gè)方面�,進(jìn)行整體上的規(guī)劃。
1. 互聯(lián)網(wǎng)出口基礎(chǔ)架構(gòu)設(shè)計(jì)
1.1 出口功能區(qū)劃分
根據(jù)互聯(lián)網(wǎng)出口所連接的不同功能��,可以將其細(xì)分為四個(gè)功能區(qū)��,分別為:核心設(shè)備區(qū)��、互聯(lián)網(wǎng)應(yīng)用區(qū)���、用戶接入?yún)^(qū)、遠(yuǎn)程接入?yún)^(qū)����。改造后的出口宏觀結(jié)構(gòu)如圖1所示:
圖1 宏觀結(jié)構(gòu)圖
其中,核心設(shè)備區(qū)主要負(fù)責(zé)互聯(lián)網(wǎng)出口鏈路的有效利用�����,和應(yīng)用系統(tǒng)的服務(wù)保障。
互聯(lián)網(wǎng)應(yīng)用區(qū)分為DMZ區(qū)����、應(yīng)用數(shù)據(jù)庫(kù)區(qū)、管理區(qū)三個(gè)安全區(qū)域�,其中DMZ區(qū)用來放置針對(duì)公眾提供信息發(fā)布的WEB服務(wù)器以及相應(yīng)的應(yīng)用服務(wù)器;應(yīng)用數(shù)據(jù)庫(kù)區(qū)放置用于存儲(chǔ)前端服務(wù)器所產(chǎn)生的相關(guān)數(shù)據(jù)信息的數(shù)據(jù)庫(kù)服務(wù)器����;管理區(qū)主要用于對(duì)整個(gè)互聯(lián)網(wǎng)出口設(shè)備進(jìn)行統(tǒng)一管理和各個(gè)用戶的管理和審計(jì)。
用戶接入?yún)^(qū)主要提供本地用戶的接入��,并保證對(duì)接入用戶的身份認(rèn)證��。
遠(yuǎn)程接入?yún)^(qū)通過相應(yīng)的防火墻設(shè)備提供遠(yuǎn)程VPN的功能�����,并可以與CA體系對(duì)接���,實(shí)現(xiàn)CA證書方式認(rèn)證��。
1.2 出口網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)
圖2 出口網(wǎng)絡(luò)拓?fù)?br>
整個(gè)互聯(lián)網(wǎng)出口充分考慮到架構(gòu)和設(shè)備的冗余���,在與運(yùn)營(yíng)商的線路連接的設(shè)備��,采用專用的出口NPE出口引擎設(shè)備�����,并且部署兩臺(tái)互為備份�。NPE通過硬件優(yōu)化���,可以承載大容量的�,并且在一臺(tái)設(shè)備上同時(shí)實(shí)現(xiàn)多線路的負(fù)載均衡和智能DNS功能��,滿足用戶對(duì)出口設(shè)備的各種要求����。
為了保證整個(gè)互聯(lián)網(wǎng)出口能夠很好的為各種應(yīng)用提供服務(wù),在出口使用專業(yè)應(yīng)用控制引擎ACE系列�,為各種應(yīng)用服務(wù)器保障服務(wù)質(zhì)量��,并且提供對(duì)各種P2P程序的控制�����,使帶寬資源得到合理的應(yīng)用����。
互聯(lián)網(wǎng)出口作為與外部網(wǎng)絡(luò)連接的唯一出口�,其安全性也是非常重要的���,銳捷網(wǎng)絡(luò)的高性能萬(wàn)兆防火墻可以在大業(yè)務(wù)量的情況下���,很好的進(jìn)行安全檢測(cè),保證數(shù)據(jù)包的線速轉(zhuǎn)發(fā)��。同時(shí)為了減少在整個(gè)鏈路上串聯(lián)設(shè)備過多�����,防火墻支持IPS硬件模塊��,提供相應(yīng)的IPS功能����,減少用戶投入。
同時(shí)防火墻根據(jù)客戶的實(shí)際應(yīng)用需求���,針對(duì)不同的應(yīng)用進(jìn)行隔離��,將防火墻虛擬為2臺(tái)或者多臺(tái)防火墻�,并可根據(jù)虛擬出的防火墻配置不同的安全策略,并進(jìn)行單獨(dú)的管理���。最大限度的保護(hù)應(yīng)用系統(tǒng)間不會(huì)產(chǎn)生影響��,保證應(yīng)用系統(tǒng)的穩(wěn)定和安全���。防火墻本身提供 Bypass功能,在設(shè)備出現(xiàn)故障的情況下�,首先保證業(yè)務(wù)的正常訪問,提高網(wǎng)絡(luò)的整體健壯性����。
2. 互聯(lián)網(wǎng)功能設(shè)計(jì)
2.1 訪問優(yōu)化設(shè)計(jì)
根據(jù)對(duì)客戶應(yīng)用的實(shí)際調(diào)研,互聯(lián)網(wǎng)的訪問服務(wù)包含兩個(gè)方面���,分別是內(nèi)部用戶訪問互聯(lián)網(wǎng)���,和外部用戶(未完,下一頁(yè))
|