【正文】 用當(dāng)年成熟、先進、開放、完整、可擴展性的網(wǎng)絡(luò)通訊技術(shù)。在此次廣西電子口岸平臺項目的建設(shè)中，我們有著同樣的熱情和信心，并爭取盡早完成該項目的建設(shè)任務(wù)，為廣西電子口岸平臺項目建設(shè)順利開展相關(guān)業(yè)務(wù)盡一份微薄之力。 在此我們謹以誠懇的態(tài)度和誠實的精神，表達我們 對 廣西電子口岸平臺項目建設(shè) 參與的愿望及所作的承諾，并 預(yù)祝 廣西電子口岸平臺 項目建設(shè) 取得成功 ！ 更多資料請訪問達人冰川主頁 —— 歡迎加入社區(qū)管理資料團 —— 第 1章 項目概述 項目背景 為貫徹落實全國電子口岸建設(shè)現(xiàn)場會和廣西電子口岸建設(shè)工作會議的有關(guān)精神，確保在第三屆中國 東盟博覽會前廣西電子口岸建設(shè)第一期工程憑祥電子口岸項目試點的順利完成，特制訂如下建設(shè)方案。 ? 虛擬網(wǎng)功能 所有網(wǎng)絡(luò)交換機必須支持虛擬網(wǎng)功能，支持跨設(shè)備 VLAN 劃分功能，即能夠在不變動網(wǎng)絡(luò)設(shè)備物理位置的情況下，可將其配置到不同的網(wǎng)絡(luò)之中，具有較強的網(wǎng)絡(luò)可管理性，考慮根據(jù)不童的部門劃分不同的虛擬網(wǎng)，對有特殊需要的采取虛網(wǎng)隔離。 （ 5）易于實施、管理與維護 —— 整套安全工程設(shè)計必須具有良好的可實施性與可管理性，同時還要具有尚佳的易維護性。廣西電子口岸應(yīng)整合與廣西大通關(guān)和口岸物流相關(guān)的信息系統(tǒng)，建成統(tǒng)一的信息平臺，實現(xiàn)數(shù)據(jù)共享和聯(lián)網(wǎng)申報、聯(lián)網(wǎng)核查、聯(lián)網(wǎng)作業(yè)，打通大通關(guān)業(yè)務(wù)電子流程。同時，管理系統(tǒng)應(yīng)當(dāng)功能完善，界面友好，兼容性強，使用戶最方便地實現(xiàn)各種功能。 幀中繼（ FrameRelay）：分布是所有網(wǎng)絡(luò)中最少的。 安全 內(nèi)網(wǎng)區(qū)域部署 核心 數(shù)據(jù)庫 系統(tǒng)；公 網(wǎng)區(qū)域連接 因特網(wǎng) ； DMZ1為內(nèi)部廣域網(wǎng)部分， 連接相關(guān)單位及口岸現(xiàn)場； DMZ2 區(qū)域部署應(yīng)用服務(wù)器 系統(tǒng) 、前置服務(wù)器，并 通過安全交換系統(tǒng) 連接 廣西電子口岸專網(wǎng)的應(yīng)用服務(wù)器和國家電子口岸數(shù)據(jù)中心。目前已經(jīng)開通聯(lián)網(wǎng)的有南寧、梧州、防城、北海、憑祥等 5 個報關(guān)現(xiàn)場；下一步著重部署中心部分的服務(wù)器，擴大聯(lián)網(wǎng)范圍，準(zhǔn)備開通東興、 欽州、桂林、柳州、貴港、愛店、龍邦、玉林、平孟、水口等 10 個報關(guān)現(xiàn)場。由于該電子口岸平臺剛開始建設(shè)，目前在該平臺上處理業(yè)務(wù)數(shù)據(jù)的壓力還不是很大，當(dāng)然今后隨著處理量增大，當(dāng)前的服務(wù)器不足以應(yīng)付時，可以更換成小型機甚至集群的方式來解決這方面的問題。 在安全內(nèi)網(wǎng)還建議部署一臺 增加漏洞掃描服務(wù)器，按照掃描策略，定時對相關(guān)網(wǎng)絡(luò)區(qū)域進行漏洞 掃描 ，尋找系統(tǒng)可能存在的漏洞并建議網(wǎng)管做好應(yīng)對 。 中心節(jié)點 ： 由于需要確保業(yè)務(wù)的高穩(wěn)定、高可靠、高可用性，我們建議 由兩臺高性能的路由器（建議采用雙主控）組成，兩臺核心路由器可以采用雙機熱備的方式配置，也可以配置成負載均衡的方式。 這幾種接口方式的優(yōu)劣比較： 接口方式比較便宜，但是經(jīng)過協(xié)議轉(zhuǎn)換器后，對網(wǎng)絡(luò)排障增加了難度，因協(xié)議轉(zhuǎn)換器不可管理，其出現(xiàn)故障后很難定位，我們大量的工程實施經(jīng)驗表明，網(wǎng)絡(luò)出現(xiàn)問題很多情況下是由于協(xié)議轉(zhuǎn)換器的隱性故障造成的； 接 口方式比 方式稍貴，但由于不再使用協(xié)議轉(zhuǎn)換器，減少了故障點，利于網(wǎng)絡(luò)的運維。同時對內(nèi)網(wǎng)訪問因特網(wǎng)的特定應(yīng)用類型進行限制，如只能訪問網(wǎng)頁（對應(yīng) 80 端口），不能進行 FTP（對應(yīng) 21 端口），避免一些非關(guān)鍵業(yè)務(wù)占用過多的帶寬，對關(guān)鍵業(yè)務(wù)造成沖擊。 因這個區(qū)域也是對安全高度敏感的區(qū)域，建議部署 IDS 系統(tǒng)對非法的入侵行為進行檢測、告警，同時建議 IDS 和防火墻配置為聯(lián)動，對發(fā)現(xiàn)的入侵行為進行自動阻斷。 以下對這幾種方式進行簡單的分析。 ? 核心路由設(shè)備需要具備運行高穩(wěn)定性。這樣的核心交換機的配置（單機雙引擎）可以為核心交換機 HA 系統(tǒng)提供更可靠的保護，無疑也提高了數(shù)據(jù)庫系統(tǒng)的高可靠性、高可用性、高穩(wěn)定性。由此可見， 這類數(shù)據(jù)流大部分只在 DMZ1 區(qū)域和公網(wǎng)區(qū)域流動。 更詳細的 設(shè)計 描述， 詳見相關(guān)章節(jié)部分： DMZ1 內(nèi)部廣域網(wǎng)部分設(shè)計 。由于技術(shù)落后， 99 年以后，國家不再增加建設(shè)量，有同步和異步兩種方式。 隨著網(wǎng)絡(luò)通信技術(shù)的高速發(fā)展， IP 的服務(wù)質(zhì)量（ QoS）也在不斷的完善，可以通過 IP 層優(yōu)先級設(shè)置、帶寬管理和隊列技術(shù)等在統(tǒng)一平臺上有效實現(xiàn)對應(yīng)用系統(tǒng)傳輸質(zhì)量的保證。 ? 開放性和互連性 具備與多種協(xié)議計算機辦公偵緝網(wǎng)絡(luò)互連互通的特性，確保本計算機網(wǎng)絡(luò)系統(tǒng)的基礎(chǔ)設(shè)施的作用可以充分的發(fā)揮。由于第三屆中國－東盟博覽會距現(xiàn)只有幾個月時間，時間時常緊迫，所以必須在總體規(guī)劃的 前提下，按輕重緩急的要求合理規(guī)劃各項目的建設(shè)周期，然后分步實施。 （ 1）網(wǎng)絡(luò)系統(tǒng)自身安全性需求主要包括： ? 路由交換設(shè)備本身的安全 ? 路由信息的安全 ? 入侵檢測功能 ? 漏洞檢測功能 ? 網(wǎng)管安全 （ 2）網(wǎng)絡(luò)服務(wù)的安全性需求包括： ? 向用戶提供認證，授權(quán)及審計功能 ? 防止冒充 合法用戶 ? Inter 出口防火墻備份和負載均衡功能 ? VPN 功能 網(wǎng)絡(luò)安全設(shè)計原則 更多資料請訪問達人冰川主頁 —— 歡迎加入社區(qū)管理資料團 —— （ 1）安全但不影響性能 —— 在網(wǎng)上的客戶需要提供高可靠性的服務(wù)，所以任何影響性能的安全措施將不被接受。 系統(tǒng) 需求分析 該項目以一個網(wǎng)絡(luò)平臺為基礎(chǔ)，一個廣西電子口岸門戶網(wǎng)站為載體，把五大應(yīng)用平臺，若干應(yīng)用系統(tǒng)整合成一個整體。我們公司有幸在過去的幾年里，在區(qū)政府、教育局、交通局、氣象局等相關(guān)業(yè)務(wù)局的領(lǐng)導(dǎo)、支持下，參加了區(qū)內(nèi)大部分的廣域網(wǎng)絡(luò)、視頻會議系統(tǒng)、多個企業(yè)的 VPN 網(wǎng)絡(luò)、大中學(xué)校園網(wǎng)、南博會相關(guān)網(wǎng)絡(luò)系統(tǒng)集成等項目的建設(shè)，并取得一定的成績。 一、建設(shè)廣西電子口岸的必要性 當(dāng)前，在經(jīng)濟全球化和區(qū)域經(jīng)濟一體化大趨勢下，世界科技進步日新月異，綜合國力競爭日趨激烈，用現(xiàn)代信息技術(shù)提高通關(guān)速度 ,降低貿(mào)易成本 ,從而提升企業(yè)國際競爭力已成為實現(xiàn)貿(mào)易便利化的有效途徑。 ? 安全性 整個網(wǎng)絡(luò)必須具備很高的安全控制能力，能夠在多個層次上實現(xiàn)安全控制。 （ 6）具有較好的可伸縮性 —— 安全工程設(shè)計，必須具有良好的可伸縮性。同時在這個平臺上建立廣西區(qū)域陸路、水路、鐵路、民航、港務(wù)等口岸物流信息系統(tǒng)，并能提供政務(wù)公開、信息咨詢和相關(guān)電子商務(wù)服務(wù)，為廣西的經(jīng)濟發(fā)展服務(wù)。 以上的原則貫穿在整個廣西電子口岸網(wǎng)絡(luò)平臺信息化建設(shè)方案中。速率與 DDN 相當(dāng)，線路質(zhì)量和效率較高，費用遠低于 DDN，與 相當(dāng)，是目前最經(jīng)濟實用的數(shù)據(jù)更多資料請訪問達人冰川主頁 —— 歡迎加入社區(qū)管理資料團 —— 網(wǎng)，但由于其目前分布太少，適用于局部地區(qū)的中、小規(guī)模網(wǎng)絡(luò)互聯(lián)，全部是同步網(wǎng)絡(luò)。 下面主要 從安全區(qū)域的劃分方式，對各個安全區(qū)域進 行 簡單 描述。 ? 公網(wǎng)區(qū)域， 與 Inter 連接 廣西電子口岸專網(wǎng)、廣西電子口岸網(wǎng)絡(luò)平臺核心部分通過防火墻與Inter 連接，企業(yè)用戶在 Inter 上可方便查詢各種資料、辦理與通關(guān)、物流有關(guān)的各種手續(xù)。考慮到今后存儲的數(shù)據(jù)量會很大，需要考慮存儲系統(tǒng)來配合存儲數(shù)據(jù)。 DMZ1 內(nèi)部廣域網(wǎng)部分設(shè)計 廣西電子口岸系統(tǒng)平臺要成為廣西全區(qū)進出口岸業(yè)務(wù) 的互聯(lián)、互動、信息交換、資源共享的基礎(chǔ)構(gòu)架 ，除了核心系統(tǒng)要重點建設(shè)外，為終端系統(tǒng)提供高效的接入也很關(guān)鍵。從提高租用線路的利用率角度出發(fā)， 建議配置成負載均衡的方式 ，然后在核心路由器和分支節(jié)點路由器之間采用動態(tài)路由的方式，利用動態(tài)路由協(xié)議的特性，如 OSPF，實現(xiàn)內(nèi)部廣域網(wǎng)絡(luò)拓樸自動發(fā)現(xiàn)、維護，路由表項的自動更新，同時實現(xiàn)鏈路的負載均衡。以上兩種方式都還存在一個很大的問題，由于和下面分支節(jié)點是一一對應(yīng)的關(guān)系，導(dǎo)致核心節(jié)點處的連接線纜繁多。 因特網(wǎng)出口部分如下圖示： 從安全角度出發(fā)，內(nèi)部用戶上因特網(wǎng)原則上在此統(tǒng)一出口，各個分支節(jié)點不再設(shè)連接因特網(wǎng)的出口，否則破壞了安全域的規(guī)劃，將會形成安全隱患、引發(fā)安全問題（如果在增設(shè)的 因特網(wǎng)出口不進行安全防護加固的話）。應(yīng)用服務(wù)器上的數(shù)據(jù)、應(yīng)用系統(tǒng)可以通過網(wǎng)絡(luò)往內(nèi)網(wǎng)的存儲服務(wù)器上備份，以防這些應(yīng)用服務(wù)器出現(xiàn)全癱瘓的情況，此時可以從備份系統(tǒng)中將相關(guān)操作系統(tǒng)、應(yīng)用程序系統(tǒng)或配置數(shù)據(jù)等快速恢復(fù)。 DMZ1 內(nèi)部廣域網(wǎng)區(qū)域拓樸，如下圖示： 更多資料請訪問達人冰川主頁 —— 歡迎加入社區(qū)管理資料團 —— 核心路由器和分支節(jié)點路由器之間的連接（ 2M 線路的兩端），因涉及到路由器設(shè)備上的接口模塊配置問題，選擇的接口模塊不同，價格也不盡相同，所以還有個路由器設(shè)備接口類型的選擇問題，主要是核心路由器端的接口選擇，即采用傳統(tǒng)的 接口方式、 E1 接口、還是 ChannelPOS 的方式進行連接。 ? 端口需求：要求具有至少三個 100Mb/s 以太端口（ GE 口更佳）分別用于連接核心防火墻系統(tǒng)和雙機連接，同時配置對應(yīng)下接分支節(jié)點的 2M數(shù)字電路接口。同樣的，備份核心交換機的引擎組里面也是主引擎 工作，備份引擎hotstandby，并（當(dāng)主引擎失效）隨時接管主引擎的工作。 對于內(nèi)網(wǎng)用戶上因特網(wǎng)的數(shù)據(jù)流，主要的是指內(nèi)部網(wǎng)絡(luò)末端的用戶往因特網(wǎng)發(fā)起訪問的數(shù)據(jù)流， 其路由路徑如下（返回的數(shù)據(jù)流路由則相反）： 接入路由器 － 核心路由器 － 核心防火墻系統(tǒng) － 因特網(wǎng)。根據(jù)廣西區(qū)政府的安排，今年以建設(shè)憑祥電子口岸為重點，將網(wǎng)絡(luò)延伸至友誼關(guān)聯(lián)檢樓、南山物流園及前置貨場。 ? ： 遍布全國幾千個縣，速率從 2400bps～ 64K 不等，傳輸效率較低，是租用專線方式，一般按月租費收取，個別地方按字節(jié)收費，在傳輸流量不大的情況下，費用較上述方式高，但可靠性有一定保障，廣泛被銀行， 稅務(wù)等全國性大網(wǎng)使用。組建IP 網(wǎng)絡(luò)可以靈活的選擇通信鏈路（例如 ATM、幀中繼、時分復(fù)用網(wǎng)絡(luò)、以太網(wǎng)等），有利于充分利用運 營商提供的網(wǎng)絡(luò)資源，并實現(xiàn)良好的備份機制（例如 線路的冗余和負載均衡等）。 ? 靈活性和可擴展性 網(wǎng)絡(luò)系統(tǒng)必須具有良好的靈活性和可擴展性，能夠根據(jù)系統(tǒng)業(yè)務(wù)的不斷深入發(fā)展的需要，方便的擴展網(wǎng)絡(luò)覆蓋范圍、擴大網(wǎng)絡(luò)容量和提高網(wǎng)絡(luò)的各層次節(jié)點的功能，具備支持多種通信媒體、多種物理接口的能力，提供技術(shù)升級、設(shè)備更新的靈活性，滿足因發(fā)展需要而實現(xiàn)低成本擴展和升級的需求。 （三）“總體規(guī)劃，分步實施”原則 廣西電子口岸平臺建設(shè)是一項龐大而復(fù)雜的系統(tǒng)工程。 安全需求分析 安全性涉及兩個方面：網(wǎng)絡(luò)系統(tǒng)自身安全性及網(wǎng)絡(luò)服務(wù)的安全性。 “以服務(wù)為宗旨”這是廣西電子口岸建設(shè)的根本出發(fā)點， 就是要為廣西行政執(zhí)法部門加強有效監(jiān)管、提高行政效率服務(wù)，為廣西廣大企業(yè)提高通關(guān)速度、降低貿(mào)易成本、提高國際競爭力服務(wù)；“以促進為目的”，就是要構(gòu)筑廣西大通關(guān)、大物流、大外貿(mào)的統(tǒng)一信息平臺，實現(xiàn)口岸管理與服務(wù)信息共享，增強企業(yè)、港口乃至國家的國際競爭力，促進廣西開放型經(jīng)濟健康發(fā)展；“以需求為導(dǎo)向”，就是要緊密結(jié)合廣西今年建設(shè)憑祥口岸重點項目需求，抓好重點項目的開發(fā)和推廣應(yīng)用，推進廣西電子口岸建設(shè)；“以合作促發(fā)展”，就 是電子口岸建設(shè)必須緊緊依靠政府強有力的領(lǐng)導(dǎo)和各有關(guān)部門的密切協(xié)作，發(fā)揮好、保護好各方面的積極性，互利互惠、求同存異、共同發(fā)展。 中國電信集團系統(tǒng)集 成有限責(zé)任公司廣西分公司對參與廣西電子口岸平臺項目的建設(shè)懷有很大的熱情。我國已進入加入世貿(mào)的后過渡期，為應(yīng)對這一新形勢、新挑戰(zhàn)，國務(wù)院領(lǐng)導(dǎo)特別是 吳儀副總理對電子口岸建設(shè)高度重視，提出要加大地方電子口岸建設(shè)力度，以進一步推動地方口岸“大通關(guān)”統(tǒng)一信息平臺建設(shè)的指示要求，與此同時國家相繼出臺一系列加強電子政務(wù)和電子商務(wù)的政策和法律，為抓住當(dāng)前這一有利時機，各地政府特別是沿海沿邊大口岸的地方政府紛紛提出共建地方電子口岸的要求，已有上海、廣州、寧波等 30 個省市地方政府與海關(guān)總署簽署了本地電子口岸建設(shè)的合作備忘錄，有 23 個地方電子口岸平臺上線運行，取得了良好的經(jīng)濟效益和社會效益，為推動大通關(guān)建設(shè)、提高通關(guān)效率、促進外經(jīng)貿(mào)和國民經(jīng)濟發(fā)展發(fā)揮了重要作用。 ? 擴展性 即能滿足用戶單位在入網(wǎng)機器數(shù)量上的增長需求，又能滿足用戶因增加新的業(yè)務(wù)、新的應(yīng)用而引起的對帶寬增加的需求，能夠在規(guī)模和性能兩個方向上進行擴展。整個安全系統(tǒng)必須留有接口，以適應(yīng)將來工程規(guī)模拓展。 系統(tǒng)建設(shè)目標(biāo) 為充分利用現(xiàn)有資源，加快建設(shè)速度，節(jié)省建設(shè)經(jīng)費，廣西 電子口岸建設(shè)本著“總體規(guī)劃、分步實施，重點推進，突出特色”的工作思路有序推進。 網(wǎng)絡(luò)技術(shù)選擇分析 網(wǎng)絡(luò)協(xié)議選擇 TCP/IP 協(xié)議作為事實上的工業(yè)標(biāo)準(zhǔn)，以其 IP Over Everything 的思想，更多資料請訪問達人冰川主頁 —— 歡迎加入社區(qū)管理資料團 —— 簡化了網(wǎng)絡(luò)構(gòu)建的復(fù)雜性，并隨著技術(shù)的發(fā)展，并最終實現(xiàn) Everything Over IP的網(wǎng)絡(luò)融合，這種網(wǎng)絡(luò)發(fā)展的趨勢是不可逆轉(zhuǎn)的，是由 IP 技術(shù)的競爭優(yōu)勢確定的。 ? DDN 網(wǎng)： 分布 情況與 相當(dāng)，速率可從 ～ 2048K，線路質(zhì)量較高，速率較高，統(tǒng)一按月租費收取，費用是所有線路中最高的。 ? 安全內(nèi)網(wǎng) 部分 安全內(nèi)網(wǎng)部分 主要部署數(shù)據(jù)庫服務(wù)器，用冗余的核心交換機為其提供可靠的連接。 詳細設(shè)計見 節(jié)。 由于所有與電子口岸業(yè)務(wù)系統(tǒng)相關(guān)的數(shù)據(jù)流（不管寫入還是查詢），都要進出該區(qū)域，而且整個平臺都是為電子口岸業(yè)務(wù)服務(wù)，該區(qū)域的穩(wěn)定、可靠、可用性等決定了整個廣西電子口岸系統(tǒng)的運行狀況，所以對該區(qū)域的要求首先是穩(wěn)定、可靠、安全、高可用，性能次之。只有終端系統(tǒng)方便的接入到核心