|
政府信息化網(wǎng)絡(luò)規(guī)劃及網(wǎng)絡(luò)安全管理方案
資源天下 2019/8/21 17:34:27
(接上頁)辦公系統(tǒng)�。內(nèi)網(wǎng)全網(wǎng)覆蓋的信息點數(shù)量比外網(wǎng)稍微少一些。內(nèi)網(wǎng)采用兩層架構(gòu)�����,核心-接入���。核心架構(gòu)采用雙核心雙鏈路架構(gòu)��;核心和接入之間采用全萬兆設(shè)計����。
3.2. 外網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)規(guī)劃
外網(wǎng)局域網(wǎng)網(wǎng)絡(luò)拓?fù)淙缦拢?br>
圖1 電子政務(wù)外網(wǎng)拓?fù)浣Y(jié)構(gòu)
3.2.1方案整體架構(gòu)規(guī)劃
此次外網(wǎng)網(wǎng)絡(luò)建設(shè)目標(biāo)是對政務(wù)外網(wǎng)進行全網(wǎng)規(guī)劃設(shè)計����,主要包括:骨干網(wǎng)(包含核心和匯聚以及兩者之間的鏈路)���、出口設(shè)備、接入層���、安全管理系統(tǒng)和網(wǎng)絡(luò)管理系統(tǒng)規(guī)劃��。最大程度地設(shè)計高的網(wǎng)絡(luò)的運行效率��、穩(wěn)定性和易管理性���,為政務(wù)信息化建設(shè)奠定堅實的基礎(chǔ)。
根據(jù)全網(wǎng)業(yè)務(wù)功能及性能的要求��,規(guī)劃骨干鏈路為全萬兆鏈路�。
3.2.2外網(wǎng)互聯(lián)網(wǎng)出口設(shè)計
此次電子政務(wù)外網(wǎng)總體規(guī)模將接近1000個信息點,所以出口壓力比較大�,隨著規(guī)模不斷擴增,對出口的要求也將越來越高�。設(shè)計方案如下:
配置專用的NAT設(shè)備,加大NAT轉(zhuǎn)發(fā)性能�,自動進行多出口路由的轉(zhuǎn)發(fā),提高網(wǎng)絡(luò)數(shù)據(jù)報文的分析與控制能力����,增強網(wǎng)絡(luò)的安全性����。作為專用的NAT出口設(shè)備��,該設(shè)備需要具備一下特點:
為滿足Internet和內(nèi)網(wǎng)防火墻的接入���,要求至少提供8個千兆復(fù)用端口��;
作為專用出口設(shè)備,必須提供NAT功能�,而且需要提供高性能的NAT轉(zhuǎn)換;
考慮出口穩(wěn)定性����,后續(xù)需要有多出口的規(guī)劃,因此要求該設(shè)備具備策略路由��,并能提供一定的負(fù)載均衡能力��;
同時配置千兆防火墻��,提供對網(wǎng)絡(luò)外部攻擊的防范�,作為全網(wǎng)統(tǒng)一的出口���,千兆防火墻需要具有以下特點:
為滿足外網(wǎng)、服務(wù)器區(qū)和雙核心接入���,要求防火墻上提供豐富的接口類型和數(shù)量�����;
為了以后網(wǎng)絡(luò)規(guī)模擴大后能照樣使用該防火墻���,保護現(xiàn)有的投資,需要防火墻支持負(fù)載均衡�,能支持多臺設(shè)備的負(fù)載均衡;
考慮到出口P2P的問題����,建議在出口部署一套流控設(shè)備,解決P2P問題���,要求流控設(shè)備能對BT應(yīng)用有限制�,可以對BT�、edonkey、emule等常見P2P軟件的流量限速或禁止。
考慮到日志審計的需要���,需要參考能提供訪問記錄�����,并能實現(xiàn)基于用戶名的日志記錄�����。
在外網(wǎng)應(yīng)用服務(wù)器區(qū)域出口部署一套WG網(wǎng)頁防篡改系統(tǒng)�,防止主頁被篡改和掛馬�。
3.2.3 外網(wǎng)核心層設(shè)計
由于網(wǎng)絡(luò)中心核心設(shè)備的穩(wěn)定和安全性能是整個網(wǎng)絡(luò)最重要的保障,因此骨干網(wǎng)建議采用雙核心雙鏈路設(shè)計�,滿足整網(wǎng)核心7×24小時不間斷工作���;要求核心交換機具有優(yōu)良的性能和高可靠性���,必須采用超大交換容量的交換背板,以保證任何情況下網(wǎng)絡(luò)的每個端口均可具備全線速多層交換能力����,能夠保證傳輸帶寬和數(shù)據(jù)傳輸優(yōu)化等關(guān)鍵應(yīng)用,從而為整個網(wǎng)絡(luò)提供了穩(wěn)定和快速的基礎(chǔ)����。要求每臺核心都能提供2個下行萬兆單模光口��,滿足兩棟樓的匯聚交換機進行接入����。每臺提供2個萬兆多模光口���,實現(xiàn)兩臺之間的VSU互聯(lián)���。同時提供24個千兆光口、12個10/100/1000M電口�����,滿足服務(wù)器和出口的互連需要����。
3.2.4 外網(wǎng)匯聚層設(shè)計
匯聚層是連接核心和接入之間的重要設(shè)備,必須提供豐富的接口和高轉(zhuǎn)發(fā)性能�����。核心采用雙核心雙鏈路全萬兆骨干設(shè)計,核心和匯聚之間采用萬兆單�����;ミB�,接入和匯聚之間采用萬兆多模光纖互連。建議在每個匯聚節(jié)點配置一臺高性能模塊化三層匯聚交換機�����。另外���,為滿足以后對線路帶寬擴展的需要���,建議這些匯聚設(shè)備具備更多的萬兆擴展能力。
3.2.5 外網(wǎng)接入層設(shè)計
網(wǎng)絡(luò)接入層計算機數(shù)量大�����,訪問流量相對比較大����,所以建議接入層到匯聚層采用萬兆互連�。另外,接入層是部署網(wǎng)絡(luò)安全的重要區(qū)域,如果接入設(shè)備不具備豐富的安全功能��,就無法對常見的病毒和攻擊從最低層進行防范�,所以建議采用安全接入交換。同時網(wǎng)絡(luò)管理也是比較重要的��,如果沒有該功能����,那么網(wǎng)絡(luò)管理的難度將加大,故障排查不方便�����,所以建議采用可網(wǎng)管交換機�����。
所以接入層設(shè)備設(shè)計�,要求接入層設(shè)備具備以下特點:
1)提供萬兆上行口,實現(xiàn)和匯聚交換機的萬兆互連�,為提供靈活的配置特性,滿足不同信息點數(shù)的需求��,要求能支持堆疊功能��,并能實現(xiàn)混合堆疊,提供靈活的設(shè)備配置���;
2)為了保障網(wǎng)絡(luò)的安全和穩(wěn)定����,建議接入交換機提供多種安全功能���。如:支持端口與IP和MAC地址的同時綁定���;支持多種硬件ACL策略,支持標(biāo)準(zhǔn)IP ACL�、擴展IP ACL、擴展MAC ACL��、支持基于時間的ACL����、專家級ACL;支持IEEE 802.1x��,支持端口動態(tài)綁定IP和MAC地址��,結(jié)合安全管理系統(tǒng)系統(tǒng)可嚴(yán)格控制用戶認(rèn)證前后(未完�,下一頁)
|