【正文】 因特網(wǎng)出口部分如下圖示： 從安全角度出發(fā)，內(nèi)部用戶上因特網(wǎng)原則上在此統(tǒng)一出口，各個(gè)分支節(jié)點(diǎn)不再設(shè)連接因特網(wǎng)的出口，否則破壞了安全域的規(guī)劃，將會形成安全隱患、引發(fā)安全問題（如果在增設(shè)的 因特網(wǎng)出口不進(jìn)行安全防護(hù)加固的話）。應(yīng)用服務(wù)器上的數(shù)據(jù)、應(yīng)用系統(tǒng)可以通過網(wǎng)絡(luò)往內(nèi)網(wǎng)的存儲服務(wù)器上備份，以防這些應(yīng)用服務(wù)器出現(xiàn)全癱瘓的情況，此時(shí)可以從備份系統(tǒng)中將相關(guān)操作系統(tǒng)、應(yīng)用程序系統(tǒng)或配置數(shù)據(jù)等快速恢復(fù)。以上兩種方式都還存在一個(gè)很大的問題，由于和下面分支節(jié)點(diǎn)是一一對應(yīng)的關(guān)系，導(dǎo)致核心節(jié)點(diǎn)處的連接線纜繁多。 DMZ1 內(nèi)部廣域網(wǎng)區(qū)域拓樸，如下圖示： 更多資料請?jiān)L問達(dá)人冰川主頁 —— 歡迎加入社區(qū)管理資料團(tuán) —— 核心路由器和分支節(jié)點(diǎn)路由器之間的連接（ 2M 線路的兩端），因涉及到路由器設(shè)備上的接口模塊配置問題，選擇的接口模塊不同，價(jià)格也不盡相同，所以還有個(gè)路由器設(shè)備接口類型的選擇問題，主要是核心路由器端的接口選擇，即采用傳統(tǒng)的 接口方式、 E1 接口、還是 ChannelPOS 的方式進(jìn)行連接。從提高租用線路的利用率角度出發(fā)， 建議配置成負(fù)載均衡的方式 ，然后在核心路由器和分支節(jié)點(diǎn)路由器之間采用動(dòng)態(tài)路由的方式，利用動(dòng)態(tài)路由協(xié)議的特性，如 OSPF，實(shí)現(xiàn)內(nèi)部廣域網(wǎng)絡(luò)拓樸自動(dòng)發(fā)現(xiàn)、維護(hù)，路由表項(xiàng)的自動(dòng)更新，同時(shí)實(shí)現(xiàn)鏈路的負(fù)載均衡。 ? 端口需求：要求具有至少三個(gè) 100Mb/s 以太端口（ GE 口更佳）分別用于連接核心防火墻系統(tǒng)和雙機(jī)連接，同時(shí)配置對應(yīng)下接分支節(jié)點(diǎn)的 2M數(shù)字電路接口。 DMZ1 內(nèi)部廣域網(wǎng)部分設(shè)計(jì) 廣西電子口岸系統(tǒng)平臺要成為廣西全區(qū)進(jìn)出口岸業(yè)務(wù) 的互聯(lián)、互動(dòng)、信息交換、資源共享的基礎(chǔ)構(gòu)架 ，除了核心系統(tǒng)要重點(diǎn)建設(shè)外，為終端系統(tǒng)提供高效的接入也很關(guān)鍵。同樣的，備份核心交換機(jī)的引擎組里面也是主引擎 工作，備份引擎hotstandby，并（當(dāng)主引擎失效）隨時(shí)接管主引擎的工作?？紤]到今后存儲的數(shù)據(jù)量會很大，需要考慮存儲系統(tǒng)來配合存儲數(shù)據(jù)。 對于內(nèi)網(wǎng)用戶上因特網(wǎng)的數(shù)據(jù)流，主要的是指內(nèi)部網(wǎng)絡(luò)末端的用戶往因特網(wǎng)發(fā)起訪問的數(shù)據(jù)流， 其路由路徑如下（返回的數(shù)據(jù)流路由則相反）： 接入路由器 － 核心路由器 － 核心防火墻系統(tǒng) － 因特網(wǎng)。 ? 公網(wǎng)區(qū)域， 與 Inter 連接 廣西電子口岸專網(wǎng)、廣西電子口岸網(wǎng)絡(luò)平臺核心部分通過防火墻與Inter 連接，企業(yè)用戶在 Inter 上可方便查詢各種資料、辦理與通關(guān)、物流有關(guān)的各種手續(xù)。根據(jù)廣西區(qū)政府的安排，今年以建設(shè)憑祥電子口岸為重點(diǎn)，將網(wǎng)絡(luò)延伸至友誼關(guān)聯(lián)檢樓、南山物流園及前置貨場。 下面主要 從安全區(qū)域的劃分方式，對各個(gè)安全區(qū)域進(jìn) 行 簡單 描述。 ? ： 遍布全國幾千個(gè)縣，速率從 2400bps～ 64K 不等，傳輸效率較低，是租用專線方式，一般按月租費(fèi)收取，個(gè)別地方按字節(jié)收費(fèi)，在傳輸流量不大的情況下，費(fèi)用較上述方式高，但可靠性有一定保障，廣泛被銀行， 稅務(wù)等全國性大網(wǎng)使用。速率與 DDN 相當(dāng)，線路質(zhì)量和效率較高，費(fèi)用遠(yuǎn)低于 DDN，與 相當(dāng)，是目前最經(jīng)濟(jì)實(shí)用的數(shù)據(jù)更多資料請?jiān)L問達(dá)人冰川主頁 —— 歡迎加入社區(qū)管理資料團(tuán) —— 網(wǎng)，但由于其目前分布太少，適用于局部地區(qū)的中、小規(guī)模網(wǎng)絡(luò)互聯(lián)，全部是同步網(wǎng)絡(luò)。組建IP 網(wǎng)絡(luò)可以靈活的選擇通信鏈路（例如 ATM、幀中繼、時(shí)分復(fù)用網(wǎng)絡(luò)、以太網(wǎng)等），有利于充分利用運(yùn) 營商提供的網(wǎng)絡(luò)資源，并實(shí)現(xiàn)良好的備份機(jī)制（例如 線路的冗余和負(fù)載均衡等）。 以上的原則貫穿在整個(gè)廣西電子口岸網(wǎng)絡(luò)平臺信息化建設(shè)方案中。 ? 靈活性和可擴(kuò)展性 網(wǎng)絡(luò)系統(tǒng)必須具有良好的靈活性和可擴(kuò)展性，能夠根據(jù)系統(tǒng)業(yè)務(wù)的不斷深入發(fā)展的需要，方便的擴(kuò)展網(wǎng)絡(luò)覆蓋范圍、擴(kuò)大網(wǎng)絡(luò)容量和提高網(wǎng)絡(luò)的各層次節(jié)點(diǎn)的功能，具備支持多種通信媒體、多種物理接口的能力，提供技術(shù)升級、設(shè)備更新的靈活性，滿足因發(fā)展需要而實(shí)現(xiàn)低成本擴(kuò)展和升級的需求。同時(shí)在這個(gè)平臺上建立廣西區(qū)域陸路、水路、鐵路、民航、港務(wù)等口岸物流信息系統(tǒng)，并能提供政務(wù)公開、信息咨詢和相關(guān)電子商務(wù)服務(wù)，為廣西的經(jīng)濟(jì)發(fā)展服務(wù)。 （三）“總體規(guī)劃，分步實(shí)施”原則 廣西電子口岸平臺建設(shè)是一項(xiàng)龐大而復(fù)雜的系統(tǒng)工程。 （ 6）具有較好的可伸縮性 —— 安全工程設(shè)計(jì)，必須具有良好的可伸縮性。 安全需求分析 安全性涉及兩個(gè)方面：網(wǎng)絡(luò)系統(tǒng)自身安全性及網(wǎng)絡(luò)服務(wù)的安全性。 ? 安全性 整個(gè)網(wǎng)絡(luò)必須具備很高的安全控制能力，能夠在多個(gè)層次上實(shí)現(xiàn)安全控制。 “以服務(wù)為宗旨”這是廣西電子口岸建設(shè)的根本出發(fā)點(diǎn)， 就是要為廣西行政執(zhí)法部門加強(qiáng)有效監(jiān)管、提高行政效率服務(wù)，為廣西廣大企業(yè)提高通關(guān)速度、降低貿(mào)易成本、提高國際競爭力服務(wù)；“以促進(jìn)為目的”，就是要構(gòu)筑廣西大通關(guān)、大物流、大外貿(mào)的統(tǒng)一信息平臺，實(shí)現(xiàn)口岸管理與服務(wù)信息共享，增強(qiáng)企業(yè)、港口乃至國家的國際競爭力，促進(jìn)廣西開放型經(jīng)濟(jì)健康發(fā)展；“以需求為導(dǎo)向”，就是要緊密結(jié)合廣西今年建設(shè)憑祥口岸重點(diǎn)項(xiàng)目需求，抓好重點(diǎn)項(xiàng)目的開發(fā)和推廣應(yīng)用，推進(jìn)廣西電子口岸建設(shè)；“以合作促發(fā)展”，就 是電子口岸建設(shè)必須緊緊依靠政府強(qiáng)有力的領(lǐng)導(dǎo)和各有關(guān)部門的密切協(xié)作，發(fā)揮好、保護(hù)好各方面的積極性，互利互惠、求同存異、共同發(fā)展。 一、建設(shè)廣西電子口岸的必要性 當(dāng)前，在經(jīng)濟(jì)全球化和區(qū)域經(jīng)濟(jì)一體化大趨勢下，世界科技進(jìn)步日新月異，綜合國力競爭日趨激烈，用現(xiàn)代信息技術(shù)提高通關(guān)速度 ,降低貿(mào)易成本 ,從而提升企業(yè)國際競爭力已成為實(shí)現(xiàn)貿(mào)易便利化的有效途徑。 中國電信集團(tuán)系統(tǒng)集 成有限責(zé)任公司廣西分公司對參與廣西電子口岸平臺項(xiàng)目的建設(shè)懷有很大的熱情。我們公司有幸在過去的幾年里，在區(qū)政府、教育局、交通局、氣象局等相關(guān)業(yè)務(wù)局的領(lǐng)導(dǎo)、支持下，參加了區(qū)內(nèi)大部分的廣域網(wǎng)絡(luò)、視頻會議系統(tǒng)、多個(gè)企業(yè)的 VPN 網(wǎng)絡(luò)、大中學(xué)校園網(wǎng)、南博會相關(guān)網(wǎng)絡(luò)系統(tǒng)集成等項(xiàng)目的建設(shè)，并取得一定的成績。我國已進(jìn)入加入世貿(mào)的后過渡期，為應(yīng)對這一新形勢、新挑戰(zhàn)，國務(wù)院領(lǐng)導(dǎo)特別是 吳儀副總理對電子口岸建設(shè)高度重視，提出要加大地方電子口岸建設(shè)力度，以進(jìn)一步推動(dòng)地方口岸“大通關(guān)”統(tǒng)一信息平臺建設(shè)的指示要求，與此同時(shí)國家相繼出臺一系列加強(qiáng)電子政務(wù)和電子商務(wù)的政策和法律，為抓住當(dāng)前這一有利時(shí)機(jī)，各地政府特別是沿海沿邊大口岸的地方政府紛紛提出共建地方電子口岸的要求，已有上海、廣州、寧波等 30 個(gè)省市地方政府與海關(guān)總署簽署了本地電子口岸建設(shè)的合作備忘錄，有 23 個(gè)地方電子口岸平臺上線運(yùn)行，取得了良好的經(jīng)濟(jì)效益和社會效益，為推動(dòng)大通關(guān)建設(shè)、提高通關(guān)效率、促進(jìn)外經(jīng)貿(mào)和國民經(jīng)濟(jì)發(fā)展發(fā)揮了重要作用。 系統(tǒng) 需求分析 該項(xiàng)目以一個(gè)網(wǎng)絡(luò)平臺為基礎(chǔ)，一個(gè)廣西電子口岸門戶網(wǎng)站為載體，把五大應(yīng)用平臺，若干應(yīng)用系統(tǒng)整合成一個(gè)整體。 ? 擴(kuò)展性 即能滿足用戶單位在入網(wǎng)機(jī)器數(shù)量上的增長需求，又能滿足用戶因增加新的業(yè)務(wù)、新的應(yīng)用而引起的對帶寬增加的需求，能夠在規(guī)模和性能兩個(gè)方向上進(jìn)行擴(kuò)展。 （ 1）網(wǎng)絡(luò)系統(tǒng)自身安全性需求主要包括： ? 路由交換設(shè)備本身的安全 ? 路由信息的安全 ? 入侵檢測功能 ? 漏洞檢測功能 ? 網(wǎng)管安全 （ 2）網(wǎng)絡(luò)服務(wù)的安全性需求包括： ? 向用戶提供認(rèn)證，授權(quán)及審計(jì)功能 ? 防止冒充 合法用戶 ? Inter 出口防火墻備份和負(fù)載均衡功能 ? VPN 功能 網(wǎng)絡(luò)安全設(shè)計(jì)原則 更多資料請?jiān)L問達(dá)人冰川主頁 —— 歡迎加入社區(qū)管理資料團(tuán) —— （ 1）安全但不影響性能 —— 在網(wǎng)上的客戶需要提供高可靠性的服務(wù)，所以任何影響性能的安全措施將不被接受。整個(gè)安全系統(tǒng)必須留有接口，以適應(yīng)將來工程規(guī)模拓展。由于第三屆中國－東盟博覽會距現(xiàn)只有幾個(gè)月時(shí)間，時(shí)間時(shí)常緊迫，所以必須在總體規(guī)劃的 前提下，按輕重緩急的要求合理規(guī)劃各項(xiàng)目的建設(shè)周期，然后分步實(shí)施。 系統(tǒng)建設(shè)目標(biāo) 為充分利用現(xiàn)有資源，加快建設(shè)速度，節(jié)省建設(shè)經(jīng)費(fèi)，廣西 電子口岸建設(shè)本著“總體規(guī)劃、分步實(shí)施，重點(diǎn)推進(jìn)，突出特色”的工作思路有序推進(jìn)。 ? 開放性和互連性 具備與多種協(xié)議計(jì)算機(jī)辦公偵緝網(wǎng)絡(luò)互連互通的特性，確保本計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的基礎(chǔ)設(shè)施的作用可以充分的發(fā)揮。 網(wǎng)絡(luò)技術(shù)選擇分析 網(wǎng)絡(luò)協(xié)議選擇 TCP/IP 協(xié)議作為事實(shí)上的工業(yè)標(biāo)準(zhǔn)，以其 IP Over Everything 的思想，更多資料請?jiān)L問達(dá)人冰川主頁 —— 歡迎加入社區(qū)管理資料團(tuán) —— 簡化了網(wǎng)絡(luò)構(gòu)建的復(fù)雜性，并隨著技術(shù)的發(fā)展，并最終實(shí)現(xiàn) Everything Over IP的網(wǎng)絡(luò)融合，這種網(wǎng)絡(luò)發(fā)展的趨勢是不可逆轉(zhuǎn)的，是由 IP 技術(shù)的競爭優(yōu)勢確定的。 隨著網(wǎng)絡(luò)通信技術(shù)的高速發(fā)展， IP 的服務(wù)質(zhì)量（ QoS）也在不斷的完善，可以通過 IP 層優(yōu)先級設(shè)置、帶寬管理和隊(duì)列技術(shù)等在統(tǒng)一平臺上有效實(shí)現(xiàn)對應(yīng)用系統(tǒng)傳輸質(zhì)量的保證。 ? DDN 網(wǎng)： 分布 情況與 相當(dāng)，速率可從 ～ 2048K，線路質(zhì)量較高，速率較高，統(tǒng)一按月租費(fèi)收取，費(fèi)用是所有線路中最高的。由于技術(shù)落后， 99 年以后，國家不再增加建設(shè)量，有同步和異步兩種方式。 ? 安全內(nèi)網(wǎng) 部分 安全內(nèi)網(wǎng)部分 主要部署數(shù)據(jù)庫服務(wù)器，用冗余的核心交換機(jī)為其提供可靠的連接。 更詳細(xì)的 設(shè)計(jì) 描述， 詳見相關(guān)章節(jié)部分： DMZ1 內(nèi)部廣域網(wǎng)部分設(shè)計(jì) 。 詳細(xì)設(shè)計(jì)見 節(jié)。由此可見， 這類數(shù)據(jù)流大部分只在 DMZ1 區(qū)域和公網(wǎng)區(qū)域流動(dòng)。 由于所有與電子口岸業(yè)務(wù)系統(tǒng)相關(guān)的數(shù)據(jù)流（不管寫入還是查詢），都要進(jìn)出該區(qū)域，而且整個(gè)平臺都是為電子口岸業(yè)務(wù)服務(wù)，該區(qū)域的穩(wěn)定、可靠、可用性等決定了整個(gè)廣西電子口岸系統(tǒng)的運(yùn)行狀況，所以對該區(qū)域的要求首先是穩(wěn)定、可靠、安全、高可用，性能次之。這樣的核心交換機(jī)的配置（單機(jī)雙引擎）可以為核心交換機(jī) HA 系統(tǒng)提供更可靠的保護(hù)，無疑也提高了數(shù)據(jù)庫系統(tǒng)的高可靠性、高可用性、高穩(wěn)定性。只有終端系統(tǒng)方便的接入到核心業(yè)務(wù)網(wǎng)中，才能讓相關(guān)的電子口岸業(yè)務(wù)在大范圍內(nèi)順利開展，才能真正發(fā)揮電子口岸的價(jià)值。 ? 核心路由設(shè)備需要具備運(yùn)行高穩(wěn)定性。核心路由器上連接下面分支節(jié)點(diǎn) 2M 線路 的接口模塊選擇（有高速串口、 E1 接更多資料請?jiān)L問達(dá)人冰川主頁 —— 歡迎加入社區(qū)管理資料團(tuán) —— 口模塊、 CPOS 接口模塊可選），詳見下面的核心接口類型分析。 以下對這幾種方式進(jìn)行簡單的分析。相比而言， CPOS 接口方式就十分清爽，只有對應(yīng)的一條光纖線纜，而且 155M 線路可以通道化為 63 個(gè) 2M 線路，具備靈活的擴(kuò)展性和擴(kuò)展空間，今后系統(tǒng)擴(kuò)容的時(shí)候無需再增加線纜，只是在傳輸網(wǎng)上將相應(yīng)的線路時(shí)隙劃歸這條 155M 線路，然后在核心路由器上作相應(yīng)的配置即可，但這種接口方式比較昂貴。 因這個(gè)區(qū)域也是對安全高度敏感的區(qū)域，建議部署 IDS 系統(tǒng)對非法的入侵行為進(jìn)行檢測、告警，同時(shí)建議 IDS 和防火墻配置為聯(lián)動(dòng)，對發(fā)現(xiàn)的入侵行為進(jìn)行自動(dòng)阻斷。 由于連接了因特網(wǎng)，普通的公眾客戶可以訪問到電子口岸系統(tǒng)的門戶網(wǎng)站，不可避免地，其他別有用心的訪問者也會對該系統(tǒng)進(jìn)行窺探、攻擊、破壞等，尤其是電子口岸系統(tǒng)具有的政府背景，很容易受到對政府心存不滿的人（包括國外的反動(dòng)分子）的關(guān)注，即使他們進(jìn)入不了內(nèi)部，他們也會想方設(shè)法的采用其他攻擊手段，如 DDOS 攻擊等，對相關(guān)的服務(wù)進(jìn)行破壞，迫使相應(yīng)的業(yè)務(wù)停止。同時(shí)對內(nèi)網(wǎng)訪問因特網(wǎng)的特定應(yīng)用類型進(jìn)行限制，如只能訪問網(wǎng)頁（對應(yīng) 80 端口），不能進(jìn)行 FTP（對應(yīng) 21 端口），避免一些非關(guān)鍵業(yè)務(wù)占用過多的帶寬，對關(guān)鍵業(yè)務(wù)造成沖擊。當(dāng)然，如果考慮到該交換機(jī)的單點(diǎn)故障問題，也可以參照重要交換機(jī)的 HA 配置方式進(jìn)行部署，而服務(wù)器則采用雙網(wǎng)卡連接交換機(jī)，如下圖示： 更多資料請?jiān)L問達(dá)人冰川主頁 —— 歡迎加入社區(qū)管理資料團(tuán) —— 由于應(yīng)用服務(wù)器非常關(guān)鍵，一旦應(yīng)用服務(wù)器出現(xiàn)故障，將導(dǎo)致全區(qū)的電子口岸系統(tǒng)無法使用，所以建議將二臺應(yīng)用服務(wù)器配置 成高可用的 HA 雙機(jī)熱備方式，當(dāng)今后數(shù)據(jù)處理量增大，該 HA 雙機(jī)熱備系統(tǒng)無法支撐時(shí)，可以替換為小型機(jī)的雙機(jī)熱備系統(tǒng)，甚至采用集群的方式來解決這方面的問題。 這幾種接口方式的優(yōu)劣比較： 接口方式比較便宜，但是經(jīng)過協(xié)議轉(zhuǎn)換器后，對網(wǎng)絡(luò)排障增加了難度，因協(xié)議轉(zhuǎn)換器不可管理，其出現(xiàn)故障后很難定位，我們大量的工程實(shí)施經(jīng)驗(yàn)表明，網(wǎng)絡(luò)出現(xiàn)問題很多情況下是由于協(xié)議轉(zhuǎn)換器的隱性故障造成的； 接 口方式比 方式稍貴，但由于不再使用協(xié)議轉(zhuǎn)換器，減少了故障點(diǎn)，利于網(wǎng)絡(luò)的運(yùn)維。 有關(guān)內(nèi)部廣域網(wǎng)系統(tǒng)更詳細(xì)的路由設(shè)計(jì)，請參考下面相關(guān)章節(jié) 的路由設(shè)計(jì)部分。 中心節(jié)點(diǎn) ： 由于需要確保業(yè)務(wù)的高穩(wěn)定、高可靠、高可用性，我們建議 由兩臺高性能的路由器（建議采用雙主控）組成，兩臺核心路由器可以采用雙機(jī)熱備的方式配置，也可以配置成負(fù)載均衡的方式。 為了確保內(nèi)部廣域網(wǎng)的穩(wěn) 定、可靠運(yùn)行， 對于核心路由設(shè)備的要求可以歸納如下： ? 支持雙機(jī)備份功能：由于中心的路由設(shè)備設(shè)計(jì)有可能是采用雙機(jī)備份的配置方式，所以中心的路由設(shè)備必須支持雙機(jī)備份協(xié)議，如 VRRP等。 在安全內(nèi)網(wǎng)還建議部署一臺 增加漏洞掃描服務(wù)器，按照掃描策略，定時(shí)對相關(guān)網(wǎng)絡(luò)區(qū)域進(jìn)行漏洞 掃描 ，尋找系統(tǒng)可能存在的漏洞并建議網(wǎng)管做好應(yīng)對 。這樣，在雙機(jī)熱備系統(tǒng)中就配備了二組引擎（對應(yīng)二臺核心交換機(jī)），共四個(gè)處理引擎，其中單臺核心交換機(jī)的引擎組中，一個(gè)引擎工作，另一個(gè)處于待命狀態(tài)，當(dāng)主引擎出現(xiàn)故障停止工作，備用引擎則立刻接管主引擎的工作；當(dāng)主