岳阳市区县电子政务外网技术方案建议书

年4月19日岳阳市区县电子政务外网技术方案建议书文档仅供参考，不当之处，请联系改正。岳阳市区县电子政务外网平台建设项目技术方案建议书岳阳市人民政府办公室二〇一一年五月目录第1章 建设目标及原则 41.1 总体目标 41.2 近期目标 61.3 建设原则 72 网络设计方案 102.1 概述 102.2 建设目标 102.3 参考标准 112.4 网络总体要求 132.5 网络总体方案描述 142.6 具体接入点分布统计 162.7 网络的可靠性、拓展性设计 182.7.1 网络的可靠性设计 182.7.2 网络的扩展性设计 202.8 网络链路的选择 212.9 互联网接入设计 212.10 核心层设计 232.11 汇聚层设计 242.12 接入层设计 252.13 IGP路由设计 262.14 IP地址规划 262.14.1 IP地址分配原则 262.14.2 管理和互联地址规划 272.14.3 用户地址规划 272.15 MPLSVPN规划设计 282.15.1 MPLSVPN构建纵向网络 282.15.2 MP-BGPRR规划设计 322.15.3 MPLSVPN资源规划 322.15.4 MPLSVPN业务接入规划 343 数据中心设计方案 363.1 外部数据中心设计 363.2 内部数据中心设计 373.3 服务器部署设计 384 存储设计方案 394.1 概述 394.2 存储需求分析 394.2.1 系统拓扑图 404.2.2 系统设计 404.2.3 备份、容灾系统部署 405 系统安全设计方案 425.1 系统概况 425.2 安全建设原则 425.3 安全拓扑图 435.4 安全系统部署 446 外网平台应用系统建设 476.1 应用模型 476.2 系统架构 486.2.1 功能需求 486.2.2 逻辑设计 497 设备清单及性能要求 527.1 设备清单及性能要求 527.1.1 岳阳市各区县电子政务外网平台建设设备清单 527.1.2 岳阳市各区县电子政务外网平台建设设备性能要求 52建设目标及原则总体目标20世纪90年代信息技术的迅猛发展，特别是互联网技术的普及应用，使电子政务的发展成为当代信息化的最重要的领域之一。电子政务提高了政府办公效率，方便市民与政府的实时沟通，显著减少政务成本，还有利于促进政府在管理体制、管理观念、管理方式和管理手段等方面的转变，进而带动整个国民经济和城市信息化进程。步入21世纪以来，计算机技术的发展和应用的不断推广，当今世界已经从工业化社会向信息社会转换。中国电子政务发展的总体框架已经确立，标志着电子政务的发展有了更清晰明确的方向。《国家信息化领导小组关于中国电子政务建设指导意见》作为中办发[]17号文件确立了中国电子政务建设的指导思想、发展原则和基本框架，指出中国电子政务建设主要围绕“两网、一站、四库、十二金”重点展开，其中，电子政务网络平台建设就是主要内容之一，并对网络平台建设提出了明确要求。随着湖南省电子政务内外网平台建设的逐步延伸，岳阳市区县电子政务外网即将成为承担政府部门之间的各项信息交换和业务互动，实现同层次和上下级政府机构之间各主要业务系统的信息交换和信息共享的主要载体。根据省政府相关文件，岳阳市区县电子政务外网即将接入到岳阳市电子政务网络，实现办公自动化及信息化.为此，需要进行岳阳市各区县政府的电子政务网建设与整合，统一政府及各部门外网出口，同时按要求做好电子公文传输的相关准备工作。岳阳市各区县电子政务网络平台是岳阳市电子政务全局中联结各部门业务系统的桥梁和纽带，为各业务部门提供网络传输服务，是未来政务工作的“高速公路”。网络平台提供的是高度集成化、一体化、规范化的服务，其本质是为各业务系统的安全、顺畅、高效运行和数据的传输、交换、存储等构造网络基础环境，它是未来实现各业务系统互联、互通、互操作，促进资源共享的基础性工作。因此，岳阳市各区县电子政务网络平台是关系各县电子政务建设全局和发展的重要基础性工作，是电子政务系统中的关键性核心组成要素。根据岳阳市政府市长办公会议纪要精神，各区县电子政务外网建设于5月正式启动。外网建成后的作用是：第一、与发展接轨、加快经济发展。第二、增加工作透明度，建设“阳光政府”。第三、推动工作“提速”，提高执政能力。第四、推动全县信息化建设，提高城乡化水平和竞争力。岳阳市各区县电子政务总体框架的目标是：覆盖岳阳市各区县的电子政务网络基本建成，目录体系与交换体系、信息安全基础设施初步建立，重点应用系统实现互联互通，政务信息资源公开和共享机制初步建立，政府门户网站成为政府信息公开的重要渠道，开展网上行政许可项目审批服务，电子政务公众认知度和公众满意度进一步提高，有效降低行政成本，提高监管能力和公共服务水平。岳阳市各区县电子政务建设的目标主要体现在以下几方面：1、加大政府信息公开力度根据政府信息公开工作的要求，创新政府信息公开的方式，充分发挥、利用政府网站等信息化媒介的作用，及时更新网站信息，为公众获取政府信息提供便利。2、加快政务数据库建设与应用推进以传统载体保存的政务信息资源的数字化、网络化。3、初步实现政务信息条块共享根据法律规定和履行职能的需要，明确相关部门和地区信息共享的内容、方式和责任，建立政务信息共享的长效机制。依托现有资源，建立岳阳市各区县政务信息交换系统，构建政务信息共享平台，建立政务信息资源目录体系、交换体系和服务体系等。为岳阳市各区县政府的日常办公、科学决策、业务管理、公共服务、信息公开、资源共享和业务协同提供支持。4、不断加强政务管理完善政务信息资源管理体制，加强对政务信息采集、登记、备案、存储、共享、安全等环节的管理。合理规划政务信息的采集和更新维护流程，加强协调，明确分工，避免重复采集，并确保所采集信息的真实、准确、完整和及时。进一步提升政府行政效率和服务水平。5、以政府的社会管理和公共服务需求为导向，扩大对农村信息化服务、城乡居民服务、城镇建设服务和乡镇企业服务等提供服务的能力。近期目标当前，岳阳市各区县乡镇以及街道办事处没有进行统一规化，各单位“各主为政而”，很多部门由于管理水平有限、安全技术人才不足、思想认识不到位、标准规范不一致等原因，存在不同程度的安全隐患。长此以往，将对未来我政府信息化建设带来不可估量的负面影响，因此，十分有必要经过统一外网的建设、统一互联网出口，加强网络和信息安全建设，经过对网络和信息安全的集中统一领导和管理、加大投资力度、完善运行维护机制、加强预警能力，能够有效的提高电子政务的安全可靠性。在外网上构建统一的电子政务外网平台，上连岳阳市外网平台，下接各乡镇（并逐步覆盖到街道、村场）内网平台，横向连通各市直部门，实行统一的网络管理，提供可靠的安全保障；在信息资源上构建四大基础数据库及主要业务部门数据库，构建整个信息资源目录体系并建立信息资源交换规划；在应用上搭建统一的应用支撑平台，对原有业务系统的整合和新建应用系统的运行提供支撑；在服务上建立以电子政务外网门户网站为核心的公众服务体系；在安全上按照统一的安全策略，构建全网的安全体系。1、组建各区县电子政务外网平台并与岳阳市电子政务外网互连；2、建立各区县电子政务网控中心；3、各区县县直单位和乡镇接入汇聚点。4、建立基本的安全防护体系。5、完成政府网站的改版、网上政务服务和电子监察系统的建设。建设原则根据中央办公厅、国务院办公厅转发《国家信息化领导小组关于推进国家电子政务网络建设的意见》的通知（中办发[]18号）的要求和我省的实际情况，湖南省政府系统电子政务外网平台的建设目标是：建设覆盖全省各级政府部门的互联互通信息网络平台（HNEGOVNet－IN）。它包括建设连接省级政府系统电子政务外网平台和各市（州）级政府系统电子政务外网平台的一级骨干网，连接市（州）级政府系统电子政务内外网平台和县（区）级政府系统电子政务内外网平台的二级骨干网；分层建设省级、市（州）级、县（区）级，覆盖本级政府及其相关职能部门的横向信息网络。同时网络平台的建设要与安全支撑平台和应用支撑平台的建设统一考虑，健全湖南省政府系统电子政务内外网平台的安全保障体系。为达到以上目标，本次网络建设的主要原则是：需求主导：网络的设计必须满足湖南省政府系统开展电子政务建设对网络的需求，能提供各级政府部门间纵向连接和横向连接，以满足各类业务的应用要求。统筹规划：网络设计时必须协调有关单位，对网络地址和域名进行统筹规划，并研究和制定相关的标准和管理办法等。整合资源：充分利用岳阳市各区县政府系统电子政务外网平台资源，加强已有网络资源的整合，促进互联互通，形成统一的电子政务网络平台。同时要充分考虑到已有资源的利用和投资保护问题，特别是要充分考虑已经建设的湖南省电子政务专网平台的情况，节省费用，保护投资。服务应用：网络系统的设计必须为各级政府部门的业务应用（包括横向和纵向的业务系统）提供服务。注重安全：网络的设计必须保证业务和数据的安全性。系统要采取多层保密和防范措施，保证网络、服务器等设备的安全稳定，防止系统外非法用户的侵入和系统内用户的非法探测和恶意泄密，系统内工作人员分级按权限操作。系统的安全要达到国家规定的电子政务专网的安全标准。着眼发展，分步实施：政府系统电子政务外网平台建设技术含量高、工程投资大、涉及面广，是一项长期的工作，不可能一蹴而就，必须具有全局观念，在总体规划指导下，按计划、分步骤的来进行。要实事求是地分析现状，熟悉和了解技术的发展趋势，合理分配有限的资金，在遵循总体规划的前提下，确定切合实际的软硬件配置方案，制订短、中、长期相结合的分步实施计划，以实现降低工程建设风险，提高资金使用效率的目的。先进性、实用性原则从较高的起点对网络建设进行规划，充分采用先进成熟的网络技术，满足电子政务平台各种业务实时数据、非实时数据传输需要。工程建设方案要面向未来，技术必须具有先进性和前瞻性，以确保在未来3-5年内不落后，同时也要坚持实用的原则，在满足性能价格比的前提下，坚持选用符合标准的，先进成熟的产品和开发平台。可靠性原则网络设计过程中从网络技术、电路保护、设备等多方面考虑电子政务专网平台的可靠性，保证数据传输的安全可靠。同时提供的7×24的服务保障，从技术和服务两方面保证岳阳市各区县电子政务内外网平台的可用性达到要求。成熟性和发展性的结合工程建设应首先采用符合当前业界计算机及应用系统发展趋势的主流技术，技术先进并趋于成熟的，被公众认可的优质产品。既要保证当前系统的高可靠性，又能适应未来技术的发展，满足多业务发展的要求。要本着“有用、适用和好用”的原则，不片面追求硬软件设施的先进性，强调整个系统的可连接性和整体布局、应用的合理性。经济性原则经过技术经济比较，性能价格比较，选择优化的网络结构和网络技术，尽可能利用和保护现有设备和投资，做到从实际出发，制定经济、合理的方案，以最小的网络建设和网络维护成本建设一个高可用、高安全的电子政务专网平台。可管理性原则电子政务系统是一个比较大、较复杂的系统，它包含大量硬件设备、软件系统和数据信息资源，这些资源分布在全区各部门，因此系统的技术方案要为市政府提供多层次、方便、有效的管理手段，为系统正常运行提供网络技术管理保障。标准性原则现有信息技术的发展越来越快，为了使该系统在未来运行过程中其技术能和整个信息技术的发展同步，系统应具有备灵活适应性和良好的可扩展性，系统的结构设计和产品选型要坚持标准化，首先采用国家标准和国际标准，其次采用广为流传的实用化工业标准。可扩充性原则考虑到岳阳市各区县政府电子政务内、外网平台各种应用业务的飞速发展，网络承载的信息流量不断增加。岳阳市各区县政府电子政务内、外网平台的设计中充分考虑未来带宽扩容的需要，从网络和设备的配置上都保留一定的扩充余地，便于融入随着新技术发展带来的新功能，满足岳阳市各区县政务不断发展的业务需要。同时为响应中央政府节能减排的号召，在设备的选择上应遵循环保、节能的原则。网络设计方案概述随着岳阳市各区县电子政务外网平台建设的逐步延伸，岳阳市各区县电子政务外网即将成为承担政府部门之间的各项信息交换和业务互动，实现同层次和上下级政府机构之间各主要业务系统的信息交换和信息共享的主要载体。根据省政府相关文件，岳阳市各区县政府即将接入到岳阳市电子政务外网，实现办公自动化及信息化，为此，需要进行岳阳市各区县政府的外网建设与整合，统一市委、市人大、市政府、市政协及市直各部门等外网出口。岳阳市各区县电子政务外网平台是岳阳市各区县电子政务外网全网中联接各部门业务系统的桥梁和纽带，为各业务部门提供网络传输服务，是未来政务工作的“高速公路”。网络平台提供的是高度集成化、一体化、规范化的服务，其本质是为各业务系统的安全、顺畅、高效运行和数据的传输、交换、存储等构造网络基础环境，它是未来实现各业务系统互联、互通、互操作，促进资源共享的基础性工作。因此，岳阳市各区县电子政务外网平台是关系我市电子政务建设全局和发展的重要基础性工作，是电子政务系统中的关键性核心组成要素。建设目标本次建设的电子政务外网平台将实现电子政务各项应用所需的网络环境，为电子政务应用提供安全、稳定、可靠的传输通道，包括局域网、城域网、广域网和互联网出口。根据上级对电子政务外网平台建设的要求，结合本地实际情况，我市电子政务外网平台建设必须满足以下功能需求：（1）网络互联互通的需求电子政务外网平台建立后，应在纵向上实现上连国家、省、市电子政务外网平台，下连各乡镇电子政务外网平台，在横向上能够方便连接市委、市人大、市政府、市政协以及政府各组成部门、直属机构、办事机构、事业单位等。同时，网络必须具备高度的可靠性和稳定性，应具备可伸缩、可管理、可扩展的能力，以应对业务数据的快速增长，满足网络平台平滑升级的要求。（2）纵向业务的应用需求电子政务外网平台建立后，各个纵向网络将逐步整合到统一的连接通道。电子政务外网平台既要满足互联互通，又要保证各部门纵向系统的相对独立性和现有纵向网络系统的正常运行，应当提供各个部门高速通达、安全可靠、方便使用的纵向系统专用网络或虚拟专用网络，如提供虚拟专用网络需支持至少150个市直部门的纵向MPLSVPN需求，并有足够的扩充能力。（3）横向业务的应用需求电子政务外网平台建立后，各个联网部门将逐步开展横向电子政务业务。电子政务外网平台既要满足互联互通，又要保证相关部门横向业务系统的相对独立性，应当提供各个部门高速通达、安全可靠、方便使用的纵向系统专用网络或虚拟专用网络，如提供虚拟专用网络需支持市直部门的横向MPLSVPN需求。（4）公共资源共享业务的应用需求各联网部门连接到电子政务外网平台后，应该能够经过电子政务外网平台方便访问电子政务外网平台的内部数据中心、外部数据中心和互联网等公共资源。（5）互联网接入的需求外网平台应能够提供整个网络统一的安全的互联网接入。（6）不同接入方式的需求岳阳市各区县电子政务外网平台应满足市政府机关大院、市政府组成部门、有行政审批职能的市直部门、与民生相关的行政事业单位等市直部门以不同带宽、接入方式接入到外网平台的需求。（7）各乡镇接入的需求岳阳市各区县电子政务外网平台应满足各乡镇广域汇聚点的接入需求。参考标准国家、省市有关信息化的政策法规和技术规范，是电子政务建设顺利实施和健康运行的重要保证。本方案将参照国家关于信息化建设和电子政务建设的法律、法规、相关政策以及各种技术标准规范进行编制。《岳阳市各区县电子政务外网平台技术规范》(湖南省信息化领导小组-10-01)《信息系统安全等级保护定级指南》《国家政务外网网络互连及安全防护指南_征求意见稿》《信息安全等级保护管理办法》（公安部、国家保密局、国家密码局、国信办联合发布，公通字[]43号）《国家政务外网网络互连及安全防护指南_征求意见稿》，是9月《关于转发〈国家信息化领导小组关于中国电子政务建设指导意见〉的通知》（中办发[]17号）8《中共中央办公厅国务院办公厅转发〈国家信息化领导小组关于推进国家电子政务网络建设的意见〉的通知》（中办发[]18号）《国务院办公厅关于印发全国政府系统政务信息化建设-规划纲要的通知》（国办发[]25号）《电子政务标准化指南（征求意见稿）》国家标准化管理委员会、国务院信息化工作办公室2月国务院信息化工作办公室、科学技术部、信息产业部关于印发《电子政务工程技术指南》的通知(国信办[]2号)《互联网信息服务管理办法》中华人民共和国国务院令（第292号）9《计算机信息系统国际联网保密管理规定》国家保密局 1《中华人民共和国计算机信息系统安全保护条例》国务院令147号1994《加强计算机信息网络保密管理的通知》（中保委发【】4号）《计算机软件保护条例》(国务院令第339号)《计算机场地通用规范》(GB2887－)《电子计算机机房设计规范》(GB50174—93)《岳阳市各区县电子政务外网平台技术方案》《岳阳市各区县电子政务外网平台应用规范》（讨论稿）《中共湖南省委办公厅湖南省人民政府办公厅转发省信息化领导小组〈关于加强电子政务外网平台建设和管理的意见〉的通知》（湘办发[]25号）网络总体要求岳阳市各区县电子政务网平台是岳阳市电子政务的重要组成部分。以《国家信息化领导小组关于中国电子政务建设指导意见》（中办发[]17号）、《关于推进国家电子政务网络建设的意见》（中办发[]18号）、《关于加强我省电子政务外网平台建设和管理的意见》（湘办发[]25号）、《湖南省电子政务外网平台技术规范》为指导，依托岳阳市各区县公共通信设施的基础资源，采用先进的信息、网络技术，以电子政务应用为主导，以资源整合为核心，以安全保障为支撑，构建标准统一、功能完善、安全可靠的岳阳市各区县电子政务外网平台，在网络环境下逐步实现同层次和上下级政府机构之间各主要业务系统的信息交换和信息共享；开展政府部门面向企业和公众的监管和服务业务，为规范政府管理与服务创造必要条件，努力提升政府监管能力、工作效率和公共服务水平。岳阳市各区县电子政务外网平台将连接市网平台、市直单位、乡镇电子政务网络平台，形成一个纵横互通的信息高速通道，并部署安全措施，统一因特网出口。建成后的政务外网为政府各部门实现横向互连互通，为纵向业务系统运行提供安全、快捷、方便、经济的统一网络通道。从根本上解决岳阳市电子政务建设中部门横向互不连通，信息资源封闭、数据不能共享和重复建设等问题。IPIP网络－灵活的虚拟逻辑隔离热线电话热线电话统一安全策略管理系统财务档案招标人事审计应急OA系统网站问题处理对外服务系统个性化应用平台局域网基础平台功能广域网政府集中办公、对外一站(网)式服务智能管理设备管理、用户管理、业务管理从电子政务外网平台功能来看，其核心价值就是安全、公平、公开、简单、互动的实现政务信息交换和资源共享。网络总体方案描述经过综合考虑各类因素，在此次岳阳市各区县电子政务外网工程项目中推荐采用双核心设计方案。其网络结构图如下：图2.5岳阳市各区县电子政务外网平台设计岳阳市各区县电子政务外网平台按照三层结构设计分为：核心层、汇聚层、接入层。核心层由一台出口路由器和二台核心交换机组成。出口路由器负责与互联网的连通，2台核心交换机之间分别经过2条万兆链路聚合互联，实现核心层全冗余和高速连接，确保核心层稳定可靠高效地运行，并负责与岳阳市外网的连通。汇聚层由4台汇聚交换机担当，4台汇聚层设备均采用千兆双链路上行连接至2台核心交换机，提供上行冗余链路，确保接入链路可靠性。汇聚层设备向下采用百兆/十兆接入各市直单位，提供百兆/十兆接入能力。接入层为市直部门的接入，根据每个单位接入数量；配置一台接入设备，经过MTPS/SDH上联至汇聚交换机。在有些单位与单位之间采取组合式，把几个近的单位组合在一起，再经过一台性能强的交换机放在组合单位集中的位置。再经过单模光纤上联至汇聚交换机。具体接入点分布统计首批接入外网平台的单位：将纳入岳阳市各区县政府行政绩效评估名单的单位、岳阳市各区县政府门户网站群单位、具有行政审批职能的市直单位、与民生密切相关的其它单位作为首批接入岳阳市各区县电子政务外网平台的单位，同时也接入以上未包括的区县委、区县人大、区县政府、区县政协、区县法院、区县检察院等六大家的其它重要部门。首批接入单位具体分布如下表：序号单位(区县)电脑数量（估算）10台以下10-30台30-50台50-100台1区县委2人大3政协4政府办5纪委监察局6组织部7宣传部8统战部9政法委10总工会11档案局12编委办13接待处14老干局15工商联16妇联17科协18检察院19法院20发改局21工业局22教育局23科技局24公安局25民政局26司法局27财政局28人事局29劳动和社会局30建设局31交通局32水利局33农业局34林业局35商务局36文化局37卫生局38环保局39安监局40计生局41农村办42粮食局43广播局44畜牧水产局45房产局46招商局47体育局48统计局49供销联社50经管局51农机局52市场管理中心53国土局54审计局55旅游局56人防办57工业园58残联59交警大队60药监局61移民局62政务公开中心63XX街道办事处64XX乡镇网络的可靠性、拓展性设计网络的可靠性设计岳阳市各区县电子政务外网承担各种业务应用系统，提供统一的网络平台，其网络可靠性要求很高。网络系统的可靠性设计主要体现在以下几个方面：网络虚拟化的可靠性；岳阳市各区县电子政务外网的核心需要实现网络的高可靠性，包括设备、链路及网络架构设计、网络自愈能力等，在岳阳市各区县电子政务外网核心层中，我们应用了2台核心设备；经过虚拟化技术，它是把两台设备虚拟化成一台设备。形成一个网络管理与转发节点；将多达2个的物理网络节点虚拟化为单台设备，两台设备同时工作，互为备份。又互不影响其业务数据的转发。完全消除汇聚层环路，并形成捆绑链路的高带宽和可靠性。在这样的虚拟化下，网状的网络形成了一个非常简洁的架构，网络各层之间经过捆绑的单逻辑链路互联，消除了环路。不再需要在接入层设计复杂的生成树协议，也不再需要在变成单一逻辑节点的客户端接入网关上运行VRRP协议。经过虚拟化技术，整个弹性架构共用一个IP管理，简化网络设备管理，简化网络拓扑管理，提高运营效率，降低维护成本。采用虚拟化技术组建岳阳市各区县电子政务外网核心。该技术实现了IP技术的高可靠性，很好地适应了数据业务。它的核心思想是将多台设备经过虚拟化物理端口连接在一起，进行必要的配置后，虚拟化成一台“分布式设备”。使用这种虚拟化技术能够实现多台设备的协同工作、统一管理和不间断维护。动态路由设计保证网络的可靠性；IGP路由设计中采用业界流行的OSPF路由协议，OSPF路由协议在2台核心层交换机及4台汇聚层交换机及接入交换机之间运行，由于这些设备之间全部是双链路连接，因此当任何1台核心交换机发生故障时，OSPF路由协议在很短的时间内（一般少于10s）会根据链路状态进行路由的重新计算，从而不会影响到4个城域网汇聚点与核心网络之间的网络连接。完善的网络管理系统确保网络可靠性；在设计网络管理系统时，应全面考虑网络管理的内容，建设网络管理平台、网络设备管理软件模块、网络故障管理模块、网络流量模块、网络故障告警模块。经过网络管理系统多种模块的组合，实现对整网设备和安全性等各个方面进行全面的管理，有效地提高网络的安全可靠性。选配高可靠性的网络设备；选用具备电信级的网络设备进行组网，使网络具有自动恢复能力、降低人工维护工作，达到电信级的可靠运行。采用分布式体系结构分布式体系结构是提高可靠性的基础，与集中式体系设备相比较，分布式体系设备除性能能够经过插入更多的接口处理板提高整体性能外，更为关键的是将管理、路由转发、接口处理等功能分配在不同的部件上，协同工作，分布式体系能够分散故障风险、隔离故障、提供冗余配置，提高系统的自动恢复能力；如管理部件故障，只需要更换这部分板件，不影响其它功能。而且，分布式体系结构能够提高组网的物理可靠性。在电子政务外网平台组网中，每个骨干节点都有两个接口与其余节点互联，从路由上提高了可靠性。如果是集中式体系，则当节点设备出现故障时，这个节点就会失效，造成节点所带网络的中断；而采用分布式结构时，能够将这两个接口分别配置到不同的接口板上，这样，无论这台设备的管理单元、交换转发单元，还是单一接口出现故障，都能够保证至少有一条路径是连通的，该节点网络都不会中断。关键部件冗余采用分布式体系结构，对设备的关键部件，如主控管理单元、交换转发单元等，进行冗余配置，保证系统在工作中不会全部失效。实时热备份机制在系统软件及硬件的支持下，关键部件在发生故障能自动启动备份系统，而且主备之间的切换能够实时热倒换，即运行中即使发生设备故障切换也不会对网络业务造成影响。热插拔特性设备任意单板支持热插拔特性，保证系统出现故障需要维护，或系统需要升级扩展时，不需要停机处理，保证网络的7×24小时不间断运行。冗余电源支持冗余电源负载分担及备份供电可保障系统具有可靠的能量源。散热系统散热系统使设备长时间运行而不至因为系统升温过高出现故障，冗余风扇等散热装置能够增加设备的运行时间及减少故障发生。网络的扩展性设计在网络系统的可扩展性方面主要考虑以下几个方面：网络结构的可扩展能力岳阳市各区县电子政务外网系统采用层次化、结构化设计理念，整网分为核心层、汇聚层、接入层。这种结构化设计充分保证了系统的扩充能力，保证在接入子网大量增加的情况下核心设备的端口数量要求不会大量增加。网络中广播的数量岳阳市各区县电子政务外网系统采用三层路由的设计，不同的部门划分在不同的网段，部门之间的通讯全部经过三层路由来实现。因此，各个部门的广播包根本不会发送到其它部门的网络。同时，在一个部门内部，不同的业务系统之间经过划分VLAN来实现隔离，不同的VLAN之间也是经过三层路由来实现。这种VLAN的划分，一方面提高了网络的安全性，另一方面也限制了网络中的广播数量。因此，广播数据包基本上被限制在一个部门内部，不会扩散到网络的其它部分。网络链路的选择现在主流的组网通信技术主要有以太网、SDH／SONET、和VPN三大类。首先，城域以太网主要面向城区用户，其优越性表现在以下几个方面：将基于千兆以太网的平台应用于城市范围，解决了城域网中常面正确严重的瓶颈问题；以太网成本低廉，包括设备成本及实施成本；而且即时可用，提供更高的数据传输速率；当前以太网技术发展已较为成熟，应用相当广泛，以太网是一种灵活的基于数据包的技术，其适当的速率限制功能、丰富的主干容量、提供快速的按需带宽等优势为网络管理及工程人员等所熟知；以太网接入速度的灵活性，用户能够向服务供应商订购从1Mbps到1Gbps范围内的任意接入速度，而且能够根据企业的需要灵活调整，这一点是现有的诸如桢中继、ATM等所无法比拟的；以太网以其“即插即用”的特性，消除了城域以太网和最终客户信息系统之间的交互工作或协议转换等问题。其次，SDH／SONET专线组网技术为电信骨干传输网所采用的主要的技术。SDH／SONET技术十分适合传输采用TDM技术的话音业务，它具有良好的网络保护和自愈功能。另外一方面，当前的很多IP网络还十分依赖电信网。如远距离组网一般需要租用电信运营商的SDH／SONET传输网络，此时一般需要路由器及专用的接口支持。因此，岳阳市各区县电子政务外网宜采用以太网+SDH/SONET技术，其中城域网建议采用以太网技术，对于广域网和零散的接入单位能够采用SDH/SONET。作为日后全市各类业务系统的承载平台，岳阳市各区县电子政务外网对网络质量和速度有比较高的要求。互联网接入设计岳阳市各区县电子政务外网平台建成后，市级平台城域网网上均采用统一出口、统一管理，各接入单位只能经过统一出口访问互联网，以提高整个网络的安全性。岳阳市各区县电子政务外网平台平台城域网承担全市统一门户网站入口访问和全部乡镇、市直单位的INTERNET出口访问，流量非常大，线路安全要求高，为了更好的提高工作效率以及提高整个岳阳市各区县电子政务外网平台网络系统的安全性，需要进行Internet链路出口改造。具体情况如下：今后所有的乡镇、市直单位将逐步改成经过设立在岳阳市各区县政府网控中心的统一出口来访问互联网资源，为了更好的提高工作效率以及提高整个岳阳市各区县电子政务外网平台网络系统的安全性，需要进行Internet链路出口改造。具体情况如下:1、岳阳市各区县电子政务外网网络在出口上，需要租用一条100M以上的带宽链路接入Internet；2、要有对出口流量进行管理的功能；3、要能实现透明的故障屏蔽；4、有可扩展性，随着岳阳市各区县电子政务外网网络的进一步扩展，要能保护当前的设备投资；5.、在互联网出口部署一台路由器，实现网络接入和IP转换；6、部署一台抗DDOS攻击系统，经过多种技术手段对DOS/DDOS攻击进行有效的检测，保障岳阳市各区县电子政务外网平台应用资源。7、利用防火墙的访问控制技术，实现内网与互联网、电子政务网的安全隔离，以保障网络可用性；8、利用流量控制等技术，以提高访问互联网的效率。图2.9岳阳市各区县电子政务外网互联网接入设计核心层设计在核心层部署2台高性能的三层交换机，核心层设备具有以下功能和性能：高性能交换全面的软件支持和高性能网络服务的增强。高速执行服务质量、安全、压缩和加密等网络服务。高密度端口提供高密度端口以及广泛的局域网和广域网介质，并允许灵活地进行配置。公用端口适配器在电子政务外网的核心层部署上网行为管理、抗DDOS系统等。主要针对上网用户使用P2P/IM/网游/炒股软件/非法网站访问等各种应用进行监控和管理；全面分析网络应用的流量类型和流量流向趋势，统计网络热点，发掘业务增长点；分析用户行为，统计用户兴趣，为个性化提供依据，并经过开放的平台接口，与第三方业务平台对接，提供高附加值业务，如在用户行为兴趣分析的基础上提供定向WEB广告服务等功能。根据岳阳市各区县电子政务外网的实际需求情况，同时考虑到今后的发展，核心层三层交换机选择高性能路由交换机，配置双引擎和双电源系统，以满足系统高可靠的要求，每台设备配置多个千兆端口，经过千兆链路与出口路由器连接；配置多个千兆端口，用于与各单位和部门的接入层交换机相连。并经过千兆光纤与市政务外网进行互联。图2.10岳阳市各区县电子政务外网核心层设计汇聚层设计4个汇聚点的汇聚：为实现对接入设备的汇聚，提高转发性能，应考虑实际需求及性价比，为各个汇聚点配置高性能三层交换机。上联至核心。图2.11岳阳市各区县电子政务外网汇聚层设计主干网络中，汇聚层是业务流量的汇聚点，同样需要部署高可靠、冗余、可扩展的网络来保障系统不间断运行。为实现清晰的网络层次，确保城域网的可靠连接，汇聚层使用4台高性能路由交换机，利用双链路以1000M速率连接核心交换机，同时负责各市直单位的接入。考虑到汇聚交换机的关键位置及作用，汇聚交换机接口要有冗余性。接入层设计部门网络的接入：为实现所有单位用户的接入，考虑到实际需求及性价比，每个接入单位配置一台接入设备。在对内网安全性和可控性考虑，图2.12岳阳市各区县电子政务外网接入层(交换机)设计(一)图2.12岳阳市各区县电子政务外网接入层(路由器)设计(二)部门经过千兆单模/多模光接口就近接入汇聚交换机，交换机设备要能够实现各接入单位之间不同的应用经过VLAN二层隔离并以VLANTrunk方式透传至汇聚交换机。路由器设备要能够实现各接入单位的地址转换。结合网络情况以及接口要求，本次接入层设备配置应该满足所有单位接入数量的要求。IGP路由设计路由设计，关系到网络的整体性能和功能，是网络设计中的一个重要环节，岳阳市各区县电子政务外网路由设计采用灵活的设计思路，准确选择路由协议，从管理的方便性和技术的先进性两个方面进行规划设计。根据岳阳市各区县电子政务外网的网络规模和主备线路情况，在核心层和汇聚层采用OSPF路由协议，实现流量的负载均衡和链路的自动切换。对于互联网接入区和外部数据中心的节点，由于连接至启用三层的防火墙，使用静态路由实现网络的联通性；对于内部数据中心节点，由于是连接是三层防火墙安全设备，使用OSPF路由协议，实现网络的联通性。IP地址规划IP地址的合理规划是网络设计中的重要一环，大型计算机网络必须对ＩＰ地址进行统一规划并得到实施。IP地址规划的好坏，影响到网络路由协议算法的效率，影响到网络的性能，影响到网络的扩展，影响到网络的管理，也必将直接影响到网络应用的进一步发展。IP地址分配原则IP地址空间分配，要与网络拓扑层次结构相适应，既要有效地利用地址空间，又要体现出网络的可扩展性和灵活性，同时能满足路由协议的要求，以便于网络中的路由汇总和聚类，减少路由器中路由表的长度，减少对路由器CPU、内存的消耗，提高路由算法的效率，加快路由变化的收敛速度，同时还要考虑到网络地址的可管理性。具体分配时要遵循以下原则：唯一性：一个IP网络中不能有两个主机采用相同的IP地址；简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表的款项连续性：连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性灵活性：地址分配应具有灵活性，以满足多种路由策略的优化，充分利用地址空间管理和互联地址规划从省中心分配给岳阳的地址段中划分一段作为管理和互连地址段。用户地址规划省中心对市（市）区的IP地址做了统一的规划和分配，岳阳市各区县电子政务外网所分配的地址段由岳阳市信息化管理局统一分配，用户地址具体分配原则如下：在纵向VPN和横向VPN中为各市直单位分配岳阳市各区县段IP地址，原则上是先满足网络设备和网络维护管理所需的IP地址段，对各接入单位所需的IP地址分配原则是按需分配，动态管理。在横向VPN的设计中，如果部分单位之间的IP地址段重叠，则由接入设备将重叠的用户地址进行地址转换（NAT）为政务外网的临湘段地址进行通信。考虑到IP地址数量有限，对于各单位访问Internet的公共VPN则由市政府从私有地址段中进行统一分配，原则上每个单位分配一个C类地址段，由接入设备将这些访问Internet的地址转换（NAT）为政务外网临湘段地址再在政务外网上传播。有特殊需求的单位，适当增加外网IP地址。MPLSVPN规划设计MPLSVPN构建纵向网络MPLS（MultiprotocolLabelSwitching:多协议标签交换）技术是在开放的通信网上利用定长标签进行数据高速传输和交换的网络新技术。MPLS技术将第二层交换和第三层的路由技术很好地结合起来，以十分简洁、高效的方式完成信息的传送。更为重要的是，MPLS使IP网络能提供传统IP网络不能或很难提供的各种增值服务，例如MPLS所提供的VPN服务、流量工程服务、IPQoS服务等。在MPLS网上实现的无连接的IPVPN，提供了基于帧中继、ATMPVC的第二层VPN相同安全级别的虚拟专用网，能达到第二层PVC所具有的专有性、安全性和数据传输的高速性，而MPLSVPN的灵活性、扩展性、易管理性和适应性则是当前其它基于PVC或隧道技术的VPN所无法比拟的。MPLSVPN在第三层路由上对各VPN进行了隔离，无需访问控制列表ACL，各VPN之间都是不可见的，骨干网对于客户网络（某个VPN内部）也是不可见的。因此，充分保证了在多个业务系统共用IP骨干网情况下的相互有效隔离。MPLS最初是为服务供应商网络所创立的技术，今天，很多企业或政府机构的网络也需要解决和服务供应商网络类似的需求和问题。大型企业和政府机构的IP骨干网正从过去低带宽、重复分离的物理网络向宽带化、一体化方向发展，一个高效的、智能的、集成的网络是政府网络发展的方向。同样地，岳阳市各区县电子政务外网要能安全、高效地整合各业务专网，同时应对各种公共业务、语音传送、视频服务多业务应用不断增长的需求，这些不同的业务专网和各种应用对于网络的安全性、服务质量要求各不相同，这就要求岳阳市各区县电子政务外网平台必须能够将它们按照各自的特性和要求正确地传送，提供安全隔离和区别服务。先进、成熟的MPLS/VPN技术是岳阳市各区县电子政务外网横向系统建设的有效解决方案。对岳阳市各区县电子政务外网而言，需要重点实现两个方面的需求：l．安全隔离：一方面要保证各业务系统逻辑网络的相对独立性，以满足不同业务系统对安全性、服务质量、管理、拓朴结构的要求；2．受控互访：另一方面，各业务系统之间的流程整合又需要提供相互访问的途径，而且要保证访问的安全性。MPLS/BGPVPN解决方案能够为岳阳市各区县电子政务外网平台提供一种基于网络、易于管理、扩充性好、安全且具有QoS保障、可在任意节点间连接的VPN。1．基于网络，易于管理。这种基于网络的VPN能够完全由骨干网络来实现，即网络用户（各应用系统）不用关心VPN是如何构造的，而是在网络平台内完成。2．路由。需要在各PE节点之间建立IBGP全连接，以交换VPN-IPV4路由。3．安全性。由于基于MPLS/BGP实现，报文在网络节点构成的MPLS域中采用标签转发的形式进行交换（LSP），因此具有同ATM/FR虚电路相同的安全级别。MPLSBGPVPN方案采用VRF实现VPN之间的路由隔离。经过MPLSLSP隧道将VPN流量完全隔离。4．QOS。由于基于MPLS/BGP实现，能够利用MPLSCOS机制，结合IPQOS机制，从而能够为VPN用户实现端到端的QOS服务。由于各业务系统的VPN流量经过不同的LSP隧道承载，能够方便的针对LSP实现MPLS的区别服务。经过IPTOS和MPLSCOS域的映射，能够将边缘网络中定义的IPQOS级别继承到MPLS域中，实现端到端的QOS。5．扩充性好。由于基于MPLS/BGP实现，因此很容易对网络节点进行扩充，网络可剪裁性好。在增加某个VPN的网点（Site）时，只需要配置该网点连接的PE路由器，不存在N平方问题。增加一项新业务系统时不会影响已有的业务，实现平滑扩展。MPLSVPN业务模型与网络规模及拓扑无关。岳阳市各区县电子政务外网部署MPLSVPN要考虑以下几点：可靠性和稳定性当前MPLSVPN技术主要分成L3MPLSVPN、L2MPLSVPN（包括VPLS（虚拟私有局域网服务））两大类。其中L3MPLSVPN技术发展较早，其核心部分已经标准化（RFC2547，RFC2547bits）,由于它的信令控制是经过多协议BGP来实现的，因此一般也叫做MPLS/BGPVPN，或BGP/MPLSVPN。MPLS/BGPVPN技术不但已经广泛应用于电信运营商和ISP，而且也广泛应用于电力行业，政府行业（包括各省的政务内网和政务外网），金融行业，大型企业等行业用户。其技术和产品都较为成熟，稳定。因此岳阳市各区县电子政务外网宜选用MPLS/BGPVPN作为主流的MPLSVPN技术。扩展性由于省电子政务外网将每个省（含副省级）规划为单独的自治域（AutonomousSystem）。因此，要想实现各个部委的垂直纵向网从中央延伸到省、地市、区市，必须解决VPN跨自治域的问题。业务多样性岳阳市各区县电子政务外网作为一个向政府部门提供网络服务的平台，不但要提供基本MPLSVPN业务。还要提供多样化的业务种类，以满足不同政府部门的多样化要求。比如，有的厅局需要在自己的VPN内部根据自己不同的业务部门或者不同的业务种类再自行划分内部的VPN，而这种内部VPN的划分和管理应该完全属于这个厅局自己，而不需要对全网VPN规划产生影响。因此，这个网络需要支持MPLSVPN的层次化能力。VPN业务的高品质保证针对语音、视频、多媒体通信等实时性要求比较严格的业务，岳阳市各区县电子政务外网的VPN服务能否提供类似专线一样的服务质量保证也是非常重要的，这就要求在整个网络中部署端到端的QOS。设备实现MPLSVPN的性能考虑前面只是考虑了MPLSVPN部署时的业务特性，而在一个实际的生产网络里。设备实现MPLSVPN的性能如何至关重要。可维护性和可管理性对于MPLSVPN的管理首先确定管理界面。在电信运营商网络，PE和CE是服务提供商和用户之间的管理界面，用户维护和管理CE设备，服务提供商维护和管理PE设备。可是在电子政务外网中，由于行业的特点，政务外网服务提供商不但要维护和管理PE设备，还要维护和管理CE设备。如何解决同时对PE和CE设备的管理是必须考虑的问题。其次是MPLSVPN的业务管理，主要包括以下几个方面：同时支持MPLSL2/L3VPN能够同时管理BGP/MPLSVPN（RFC2547bis）、MPLSL2VPN（VPLS、Martini、Kompella），能够实现“多种VPN业务，单点集中运维”。能够提供多厂商设备MPLSVPN业务共同管理的功能。能够使用图形化、向导化的方式，帮助管理员快速完成VPN业务规划，并可直观的进行“业务预览”，即在业务尚未部署到设备之前，就可在业务管理系统中看到业务实施后的效果（如VPN拓扑结构、VPN内各站点间逻辑连接关系），避免业务规划过程中人为的错误。能够提供可调度（定时或用户触发）的业务部署能力，自动生成不同厂商设备的指令，并下发设备，在网络中形成实际运行的MPLSVPN业务；对于已部署业务，可进行拆除；降低业务部署复杂度，提高VPN业务发放响应速度。能够自动发现已有网络中的设备、接口、逻辑接口等资源。能够提供多种有效的业务监控手段，从而保证VPN业务质量：VPN配置审计、VPN连通性审计、端到端的网络性能（时延、丢包、抖动）监控、图形化的流量/带宽利用率监控、智能的业务告警分析，帮助管理员快速排障、及时了解业务状况。VPN客户能够经过WEB浏览器，在被授权的范围内管理其租用VPN的运行状况：修改查看客户基本信息、查看业务租用情况、查看流量/告警统计报表。能够提供北向接口，可接入其它BSS/OSS系统或告警/性能等ISV专有系统（如Micromuse的NetCool），为运营商规划运营支撑系统时提供VPN业务的管理接口。能够维护VPN客户的各种信息，并提供丰富的客户业务租用报表、资源租用报表、性能数据报表、流量数据报表和故障数据报表等。能够定时自动生成各种报表，包括：网络资源占用报表、业务租用报表、VPN流量/接口带宽利用率报表（可按日周月年查看）、告警报表、客户报表、连通性审计报表、性能报表（平均/最大/最小丢包、时延等指标）等（格式包括HTML、EXCEL等）。能够提供灵活的用户分权策略（可按照对象＋操作给用户授权），方便运营商按照个管理员实际业务职责来分权；提供简便易用的数据库备份工具，简化系统管理员数据备份的工作；提供Watchman异地双机备份组件，保证系统的高可用性；提供详尽的用户操作日志记录、任务操作日志记录，便于事后跟踪。能够提供丰富的网络拓扑显示视图：网络视图（PE-CE之间的连接关系）、客户视图（CE-CE之间连接管理）、VPN视图（每个VPN显示为一个节点）功能，并提供放大、缩小、定位节点、鸟瞰图、节点搜索、多选等操作；并可按照客户、VPN过滤、AS、VPN类型等过滤显示；对于VPN内节点数目较大、之间的逻辑链接过多提供更细节的过滤显示功能；拓扑能够反映业务实际运行状态。MP-BGPRR规划设计MP-BGP主要用于传递VPN路由，BGP路由协议规划中的IBGP主要用于传递IPV4路由。由于所有岳阳市各区县电子政务外网平台设备处于一个AS中，MP-IGP同样存在IBGP的全连接要求，同样具有N平方问题，为了解决这个问题，必须使用BGP反射器技术。MPLSVPN资源规划VRF规划岳阳市各区县政府职能部门，建立两个基本VPN：纵向VPN：规划为各职能部门的垂直部门之间访问；横向VPN；规划为各职能部门的兄弟部门之间的访问；2、在岳阳市各区县政府网控中心，除上面两个VPN外，需要建立如下VPN：公网出口VPN：为岳阳市各区县政务外网internet出口建立一个VPN，该VPN与各职能部门的internetVPN进行互引，从而实现各职能部门的上internet的需求，同时实现各职能部门internetVPN用户的隔离；共享资源VPN：为岳阳市各区县政务外网内部数据中心设立的VPN，经过这处VPN与其它部门的路由标签互相引入，实现岳阳市各区县电子政务平台相关资源对所有职能部门的共享。RD—routerdistinguish规划RD的命名规则统一如下：使用16bits：32bits格式，分配规则为『AS号：VPN类别』。《湖南省电子政务外网平台规范》对RD值规划如下：VRF名称RD（ASN代表湖南省电子政务外网自治系统号）维护VRFASN:1-10数据交换中心VRFASN:11-60语音、视频ASN:61-99系统保留ASN:100-999接入部门1ASN:1000-1099(其中ASN:1000用做管理VPN，ASN:1001-1009用做横向VPN，ASN:1010-1099用做纵向VPN)接入部门100ASN:10000-10099(其中ASN:10000用做管理VPN，ASN:10001-10009用做横向VPN，ASN:10010-10099用做纵向VPN)系统保留ASN:0以后RT—Route-target规划命名规则如下：使用16bits：32bits格式，分配规则为『AS号：VPN类别』。RT。由于标准的MPLS/BGPVPN采用对VPN-IPv4路由附带的RT值进行导入ImportTarget和导出ExportTarget控制以实现不同VPN之间的访问控制,而且在岳阳市各区县政务网络中存在职能部门的纵向或横向访问，因此RT值必须全局统一分配。湖南省电子政务外网工程中采用RT值的格式：16位自治系统号:32位用户自定义数字。RT与VPN相匹配。（ASN代表湖南省电子政务外网自治域系统号）VPN名称站点ExportRTImportRT维护VPNASN:1ASN:100．．．．．．ASN:0各政府职能部门ASN:100．．．．．．ASN:0ASN:1垂直纵向VPN单位1ASN:110-199ASN:110-199．．．．．．单位100ASN:10010-10099ASN:10010-10099MPLSVPN业务接入规划岳阳市各区县电子政务外网平台中的业务包括各政府职能部门的各种应用系统，这些系统一般经过局域网交换机或路由设备将业务接入到汇聚层PE。根据湖南省电子政务外网的技术规范及岳阳市各区县政府电子政务外网的相关要求，针对各政府职能部门，先规划两个VPN以满足她们现行条件的业务需求，这两个VPN为：纵向VPN：满足各职能部门省、市、市级的纵向数据访问；横向VPN：满足部分岳阳市各区县政府职能部门兄弟单位的共享数据访问。在实现上，这两个VPN，分别对应两个VLAN，经过交换机的TRUNK链路接入汇聚网络设备，在汇聚设备上进行VPN的绑定。从整个岳阳市各区县电子政务外网平台来看，还需要对一些业务共享资源进行规划，而且对以后应用的扩展进行考虑还要创立如下VPN：外部数据中心VPN：满足外部共享资源的统一管理。内部数据中心VPN：满足岳阳市各区县电子政务外网平台中各部门共享资源的管理。在扩展性考虑方面，我们还必须对VPN资源进行预留，以满足今后业务的发展要求，譬如说能够按业务给VOIP或视频会议等应用规划单独的VPN，以满足电子政务外网平台中语音、视频的业务扩充能力。数据中心设计方案外部数据中心设计外网服器包含：WEB服务器等。我们主要考虑到的是防范对于非法访问，一般经过防火墙来实现。经过配置了多级防火墙，以隔离网络各个组成部分相互之间的非法访问（合法访问能够经过）；对于Internet用户来讲，如果想非法侵入外部数据中心网络，必须突破防火墙的防范。抗拒绝服务系统经过多种技术手段对DOS/DDOS攻击进行有效的检测，对不同的流量触发不同的保护机制，在提高效率的同时确保准确度，对SYNFlood，UDPFlood，ICMPFlood，IGMPFlood，FragmentFlood，HTTPProxyFlood，CCProxyFlood，ConnectionExhausted等各种常见的攻击行为均可有效识别，并经过集成的机制实时对这些攻击流量进行处理及阻断，保护服务主机免于攻击所造成的损失，保证岳阳市各区县电子政务外网平台业务应用系统运行的连续性。外部数据中心也是电子政务外网的主要组成部分，还考虑到如果黑客采取SQL注入、跨站脚本攻击、DDOS攻击、网页挂马、敏感信息泄露、网页篡改等等攻击手段，我们也得采取相应措施应对。因此我们用到网页防篡改系统，将其部署在外部数据中心WEB服务器上，有效防范政府网页被篡改的行为。图3.1岳阳市各区县电子政务外网外部数据中心设计内部数据中心设计本方案内部服务器包含：OA办公服务器、电子政务应用服务器、数据库服务器、IMC智能管理平台服务器等，应选高性能三层交换机作为服务器汇聚设备来保证对服务器被访问量，满足对服务器所要求的带宽。本方案在核心交换机与数据中心服务器区部署二台高性能防火墙产品，构成双机热备，以防御来自不同网络区域的攻击，并将各系统有效的安全隔离开来，确保岳阳市各区县电子政务外网平台数据中心的安全。IPS位于岳阳市各区县电子政务核心交换机与内部数据中心之间，大大提高了对电子政务外网平台的安全性，有效的保障了访问内部数据中心权限的应用。图3.2岳阳市各区县电子政务外网内部数据中心设计服务器部署设计服务器是本次项目电子政务应用建设的重要组成部分，是构成整个电子政务应用的物理基础。在本次项目中的服务器能够分为以下几个大类： 数据库服务器：用于布置电子政务应用的数据库，是电子政务应用的数据存储中心；主要用于运行大型数据库系统，进行存储、查询、检索应用系统信息。数据库在运行时会大量的使用系统内存，要有足够容量的系统内存进行支持，而且要有足够强计算能力和I/O吞吐能力。 应用服务器：用于支撑整个电子政务的各类应用（行政审批、电子监察等），根据应用的具体情况选择相应的服务器。 Web服务器：支撑电子政务中的Web应用。OA服务器：用于支撑整个电子政务的煤OA办公应用。门户外网服务器：用于支撑整个外网门户网站群。本项目所有服务器都部署在岳阳市各区县政府网控中心。根据岳阳市各区县电子政务应用的情况，服务器主要部署在内部数据中心和外部数据中心，内外部数据中心的服务器根据应用的类别划分相应的分区，所需要的服务器包括：门户网站服务器两台、数据库服务器两台、网管服务器一台、日志服务器一台、防病毒服务器一台、行政审批与电子监察系统服务器一台、备用两台，其它服务器根据今后应用的需要进行购置。服务器采用独立的机架式服务器。存储设计方案概述结合岳阳市各区县电子政务外网平台应用发展的实际情况，在岳阳市各区县电子政务外网平台中采用IPSAN存储系统，存储包括在线存储、近线存储、离线存储，离线存储适用物理带库，实现外网各应用系统的数据存储和市直部门及乡镇数据的灾备。存储需求分析根据各区县电子政务外网建设规划和国家外网业务的延伸，“十二金”工程、人口、法人、自然资源与环境、宏观经济等数据库的建立，电子印章与数字证书支撑应用系统、智能交通系统、数字城管系统、社会综合治税系统等业务应用系统的建设，将产生大量的数据，为了提高存储访问性能，消除存储孤岛，保证数据的完整性和可用性，需要科学合理规划、建立存储系统。在线存储采用IP-SAN技术实现，建议预留ISCSI接口异地灾备采用IP-SAN技术实现，磁盘采用SATA硬盘实现。系统拓扑图图4.1岳阳市各区县电子政务外网存储系统设计系统设计采用当前最先进的冗余4GbpsIP-SAN架构。所有需要进行数据存储和备份的服务器直接接入IP交换机，实现对连接在IP-SAN交换机上的磁盘阵列的存储访问。备份、容灾系统部署为保证数据安全，需要有效的数据备份机制:在IP-SAN的方案设计中，以高性能存储系列产品作为核心存储系统。经过IP交换机与局域网多台服务器建立连接。服务器经过普通千兆网卡或iSCSIHBA卡接入IPSAN。提供海量存储空间，实现高稳定性、高可靠性的数据集中和存储资源统一管理。能够混插高性能的SAS磁盘和大容量的SATAII磁盘，单台设备即可满足两种不同的应用需求，大大提高设备性价比。所有需要连接的服务器，如数据库服务器、邮件服务器等，只要安装千兆网卡，并安装软件的iSCSIInitiator，就能够经过以太网获得存储设备，从而不需要购置价格昂贵的HBA卡。主流的操作系统AIX\Solaris\Linux\Windows都支持这种千兆网卡加软件的iSCSIInitiator的实现方式。对于那些对于重要的应用服务器，能够安装经过iSCSI的HBA卡的方式连接到系统，对于其它需要扩展存储的应用服务器来说，能够安装操作系统所对应的iSCSIInitiator，配合以太网卡连接到存储系统。经过划分不同的卷，以保证各个应用系统互不干扰。对于以后可能增加的要连接到IP-SAN中需要共享存储资源的所有相关应用服务器，可实现即插即用，用网线连接到存储区域网络就能访问后台存储设备里的数据。基于标准化IP的存储交换平台使得各种数据管理功能能够像电器插入电源插座一样，轻易地进行部署应用。

系统安全设计方案系统概况岳阳市各区县电子政务网外网平台，于外网有两个连接节点，一个是互联网，另外一个是市电子政务外网平台。同时，在岳阳市各区县电子政务外网平台上，还要部署政府门户网站群，实施政务公开，提高监管能力和公共服务水平。现需要对外网进行安全性防护控制和管理。因网络规模大涉及人员及各单位部门较多，需对相关网络访问控制进行严格管理。为实现电子政务网的系统安全专门定制一套网络安全解决方案，主要针对安全防护、区域隔离、入侵防御分析、Web应用的防护等。安全建设原则在规划岳阳市各区县电子政务网系统安全建设时，我们将遵循下原则，提供完善的全网安全解决方案：可用性原则：可用性就是指网络服务对用户而言必须是可用的，也是确保网络节点在受到各种网络攻击时依然能够提供相应的服务。保密性原则：保密性保证相关信息不泄露给未授权的用户或实体。完整性原则：完整性保证信息在传输的过程中没有被非法用户增加、删除与修改，保证非法用户无法伪造数据。真实性原则：真实性保证和一个网络节点通信的对端就是真正的通信对端，也就是说要鉴别通信对端的身份。如果没有真实性，那么网络攻击者就能够假冒网络中的某个节点来和其它的节点进行通信，那么她就能够获得那些未被授权的资源和敏感信息。不可否认性原则：不可否认性保证一个节点不能否认其发送出去的信息。这样就能保证一个网络节点不能抵赖它以前的行为。安全拓扑图图5.3岳阳市各区县电子政务外网安全系统设计系统功能说明：1、此网络拓扑中经过部署二台万兆主机；集成二块防火墙板卡、一块入侵防御板卡；一块抗DDOS系统板卡、一块流量控制系统+上网行为审计系统、一套网页防篡改系统、一套入网规范管理系统、一套日志审计系统来对整个网络进行安全保护和上网用户及流量管理，在外部数据中心区服务器交换机也集成了入侵防御系统。为整个网提供无病毒的网络环境。2、防火墙主要针对WEB服务器区的服务器进行四层以下安全保护，同时也可做安全区域隔离，实现了内部数据区、WEB服务器区和互联网之间，不同的业务区的隔离和访问的控制。3、入网规范管理系统在提供多样化的身份认证，保障接入网络人员合法性的同时，同时支持对设备的实名认证，保障了接入网络终端设备的合法性，从而加强内部网络的可控性，方便管理员对网络的统一管理。4、互联网出口的抗DDOS设备使岳阳市各区县电子政务外网平台能有效保护其基础业务系统（包括Web、DNS、Mail、交换机、路由器或是防火墙）免受DDoS攻击的侵害，保证其业务系统运行的连续性。5、外部数据中心出口的IPS主要融合高性能、高安全性、高可靠性和易操作性等特性，经过先进的安全架构，具备深度入侵防护、精细流量控制，以及全面用户上网行为监管等多项功能，能够为用户提供深度攻击防御和应用带宽保护的完美价值体验，IPS可针对上网用户行为、流量管理、访问控制、病毒防护，如：杜绝迅雷、BI下载、P2P点上下载、在线电影、炒股软件、网络游戏等。6、经过使用内部数据中心防火墙过滤不安全的服务请求，提高网络安全和减少子网中主机的风险，提供对系统的访问控制；阻止攻击者获得攻击网络系统的有用信息，记录和统计网络利用数据以及非法使用数据、攻击和探测策略执行。7、经过部署网络版防病毒系统，网络版防病毒产品与边界安全网关采用异构的杀毒引擎和病毒库，以实现真正的双重防护。安全系统部署岳阳市各区县电子政务外网的网络安全设计方案，主要体现针对WEB服务器区、内部数据中心区、互联网出口区和市电子政务外网互联区这四个防护区的有效安全防御，突出在安全区域隔离、访问控制、流量控制、攻击防护、病毒过滤、上网行为管理、入侵防御方面的设计考虑。在互联网接入区与核心交换机之间部署一台高性能的防火墙产品，在保障网络可用性同时实现内外网间的逻辑隔离。位于外部数据中心的外网服务器挂在防火墙的服务器区，可同时防范来自内外网的攻击；在内、外部数据中心服务器区与岳阳市各区县电子政务外网平台之间各部署了一台高性能防火墙系统,经过防火墙深度内容检测，能够实现基于应用的访问控制，而且能够和其它安全技术（比如认证、入侵检测、终端安全管理）的整合，形成全方面的动态安全防护体系；岳阳市各区县电子政务外网的服务器同互联网是连接的，主要提供对外服务，很容易遭受到DDOS的攻击，部署抗DDOS攻击系统就能够避免外网服务器遭受DDOS攻击，同时经过系统的日志功能还能够追查攻击源。在互联网服务区入口部署入侵防御系统，负责监听、保护互联网服务区出入的流量数据，达到主动切断非法用户攻击的目的；在全网部署一套网络版防病毒软件，保护服务器和终端免遭病毒攻击，病毒对网络系统的攻击和破坏是当前网络安全中最复杂、最普遍的问题。因此，需要在网络之中部署行之有效的网络防病毒系统，以强化网络整体防护能力；经过日志审计系统针对岳阳市各区县电子政务外网平台的各个重要环节（包括网络设备、服务器、安全设备、应用系统等）在运作过程中产生的各类日志信息进行集中记录和收集，并可根据关键字对各类日志信息进行有效查询，从而发觉深层次的安全问题，并能够根据日志信息将网络的活动状态进行重现，使系统在发生安全事件后能够进行有效追溯，形成岳阳市各区县电子政务外网平台应用安全防护的保障；经过部署端点准入控制管理系统，对岳阳市各区县电子政务外网平台接入内网的终端进行安全检查，包括补丁、防病毒软件情况、安装软件情况等。不符合安全规则的终端将被引导到修复区进行修复后进入网络。还能够对终端进行进一步的管理，包括：注册管理、资产管理、补丁升级、网络访问策略、外设策略、桌面防火墙策略、应用程序策略、桌面属性策略、系统设置项等项目的细致化管理。经过部署流量控制设备,实现深度感知网络应用，利用带宽管理技术，实现对用户和业务的分级化识别管理，达到基于用户和用户业务流量的管理的目的,增强对网络洞察力，全面透视应用流量，掌控网络资源（净化流量；流量负载均衡；控制上网行为；进行带宽管理，保障关键应用），同时采用集中式管理与分析工具，全面分析并预测网络资源使用状况；经过在岳阳市各区县电子政务外网平台WEB服务器上部署网页防篡改软件，能够提高相关WEB站点的安全性。当出现黑客攻击或工作人员某些操作失误，网页防篡改软件能够实时恢复网站文件，保证网站的连续正常运行；同时还能够记录篡改事件的相关资料，从而为安全部门提供调查的线索和证据。防篡改系统具备实时、低耗等性能指标，既能够保证篡改页面的立即恢复，又能保证网站的正常服务性能不受影响。

外网平台应用系统建设应用模型政府的业务活动