【導(dǎo)讀】靳安市電子政務(wù)外網(wǎng)平臺(tái)。湖南工業(yè)職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫

　　

【正文】 址由省委辦公廳統(tǒng)一規(guī)劃，政府組成部門 IP 地址由省政府辦公廳統(tǒng)一規(guī)劃；人大、政協(xié)、軍區(qū)、 法院、檢察院系統(tǒng)的 IP 地址由省委辦公廳規(guī)劃；與省委網(wǎng)絡(luò)中心有光纜直連的政府組成部門及在省委機(jī)關(guān)大院的政府組成部門也由省委辦公廳統(tǒng)一規(guī)劃，如人事廳、水利廳等單位； （ 4） 規(guī)劃中已按省市縣三級(jí)新政區(qū)域劃分三級(jí) IP 地址，如有與實(shí)際情況不符的單位； （ 5） 縱向網(wǎng)及橫向網(wǎng)設(shè)備互聯(lián)地址、 LOOPBACK 地址使用 ； （ 6） 省委及省委直屬單位 IP 地址段采用 ； （ 7） 省政府及政府系統(tǒng)單位 IP 地址段采用 ，由于政府系統(tǒng)單位夠多， 20 網(wǎng) 段地址不夠用，部分單位采用省委 。 對(duì)于 靳安市 電子政務(wù)內(nèi)網(wǎng)來說，各個(gè)單位的用戶地址應(yīng)嚴(yán)格按照省委省政府的地址分配表來實(shí)施，同時(shí)，為了網(wǎng)絡(luò)管理的需要，應(yīng)該為所有匯聚層設(shè)備另外分配管理地址，但是這些管理地址絕對(duì)不能被發(fā)布到省電子政務(wù)內(nèi)網(wǎng)上去。 （ 1） 市委節(jié)點(diǎn)管理地址網(wǎng)段為： 。 （ 2） 市政府節(jié)點(diǎn)管理地址網(wǎng)段為： 。 （ 3） 河?xùn)|節(jié)點(diǎn)管理地址網(wǎng)段為： 。 2． VLAN 規(guī)劃 對(duì)于 VLAN 規(guī)劃，原則上我們規(guī)劃 一個(gè)管理 VLAN，市委、市政府、河?xùn)|三個(gè)節(jié)點(diǎn)為了管理上方便，除了管理 VLAN 之外，三個(gè)節(jié)點(diǎn)的互連 VLAN 編號(hào)不應(yīng)復(fù)用，接入層交換機(jī)上的用戶 VLAN 連續(xù)進(jìn)行分配。 VLAN 號(hào)碼分配： 湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫 19 管理 VLAN： Vlan2 市委匯聚節(jié)點(diǎn)： 業(yè)務(wù) VLAN： Vlan100－ Vlan199 市政府匯聚節(jié)點(diǎn)： 業(yè)務(wù) VLAN： Vlan200－ Vlan299 河?xùn)|匯聚節(jié)點(diǎn)： 業(yè)務(wù) VLAN： Vlan300－ Vlan399 湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫 20 3. 網(wǎng)絡(luò)安全 設(shè)計(jì) 方案 出口防火墻 設(shè)計(jì) 方案 兩臺(tái)天融信 NGFW4000UF 出口防火墻采用主備工作模式，當(dāng)主防火墻出現(xiàn) 故障或者相連鏈路出現(xiàn)故障時(shí)，備防火墻會(huì)立即取代主防火墻轉(zhuǎn)發(fā)流量。同時(shí)， 2 臺(tái)核心路由器使用 VRRP技術(shù)為 2 臺(tái)防火墻提供一個(gè)虛擬網(wǎng)關(guān)，當(dāng) 1 臺(tái)核心路由器或者相連的鏈路出現(xiàn)故障，也能保證用戶流量的轉(zhuǎn)發(fā)。 由于負(fù)載均衡設(shè)備承擔(dān)了地址轉(zhuǎn)換（ NAT）功能，因此，防火墻不需要對(duì)用戶地址進(jìn)行地址轉(zhuǎn)換，只需工作在路由模式，為 靳安市 電子政務(wù)外網(wǎng)平臺(tái)提供保護(hù)，同時(shí)還為外部數(shù)據(jù)中心的服務(wù)器提供到公網(wǎng)的端口映射功能。 在設(shè)備安裝連通完成后，再將原出口防火墻的安全策略移植過來，同時(shí)根據(jù)實(shí)際的需求增加新的安全策略。 出口防火墻設(shè)計(jì) 如 圖 8 所示 。 圖 8 出口防火墻設(shè)計(jì) 圖 IPS/入侵防御系統(tǒng)采用綠盟的冰之眼 ICEYE1200P04， 設(shè)計(jì) 在互聯(lián)網(wǎng)接入?yún)^(qū)的最外側(cè)，直接與公網(wǎng)百兆鏈路相連，對(duì) 靳安市 電子政務(wù)外網(wǎng)平臺(tái) 提供主動(dòng)的、實(shí)時(shí)的防護(hù)， 能 準(zhǔn)確監(jiān)測(cè)網(wǎng)絡(luò)異常流量，自動(dòng)對(duì)各類攻擊性的流量，尤其是應(yīng)用層的威脅進(jìn)行實(shí)時(shí)阻斷。 VPN 網(wǎng)關(guān) 設(shè)計(jì) 方案 實(shí)施 設(shè)計(jì) 規(guī)劃 根據(jù)市信息中心統(tǒng)一規(guī)劃， SSLVPN 網(wǎng)關(guān)采用 Sinfor m5400s 設(shè)備。 設(shè)計(jì) 在綜合安全管理區(qū)， SSL VPN 實(shí)現(xiàn)原理如下圖所示：通過互聯(lián)網(wǎng)，遠(yuǎn)程用戶 不需要安裝客戶端程序 ，就可湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫 21 以隨時(shí)隨地從任何瀏覽器上安全的接入到內(nèi)部網(wǎng)絡(luò)，安全地訪問應(yīng)用程序，中間的連接是啟用了加密協(xié)議進(jìn)行傳輸。另外，由于 SINFOR M5400S 只使用 443 端口傳輸數(shù)據(jù)，因此避免了在防火墻上作過多的 設(shè)計(jì) 。使用標(biāo)準(zhǔn)的 SSL 協(xié)議和標(biāo)準(zhǔn)的瀏覽器可以輕易的穿越防火墻，使得移動(dòng)用戶幾乎在任何網(wǎng)絡(luò)環(huán)境下都可以方便的接入到 VPN 網(wǎng)絡(luò)，避免了網(wǎng)絡(luò)兼容性的麻煩。VPN 網(wǎng)關(guān) 設(shè)計(jì) 如 圖 9 所示。 圖 9 VPN 網(wǎng)關(guān)設(shè)計(jì) 圖 實(shí)施調(diào)試規(guī)劃 因?yàn)?SSL 需要用戶通過互聯(lián)網(wǎng)訪問 靳安市 電子政務(wù)網(wǎng)絡(luò)，因此需要可以供用戶進(jìn)行訪問的一個(gè)公網(wǎng) IP 地址，目前這個(gè) IP 地址是在負(fù)載均衡設(shè)備上面，所以需要通過映射將公網(wǎng) IP地址的 443 和 80 端口轉(zhuǎn)換到 SSLVPN 網(wǎng)關(guān)的 WAN 口 IP 地址的 443 和 80 端口（注：按照大多數(shù)人習(xí)慣，瀏覽 IE 習(xí)慣以 方式， Sinfor sslvpn 從易用性考慮，把 443 端口和 80 端口進(jìn)行綁定，使的 80 端口可自動(dòng)跳轉(zhuǎn)到 443 端口）。 由于內(nèi)部數(shù)據(jù)中心與各市縣單位是處于物理上的隔離，為了實(shí)現(xiàn)遠(yuǎn)程用戶通過訪問SSLVPN 進(jìn)入市政務(wù)網(wǎng)絡(luò)， 能同時(shí)訪問到內(nèi)部數(shù)據(jù)中心與各市縣單位。需要在 SSLVPN 網(wǎng)關(guān)上 分別設(shè)置二個(gè) LAN 口 IP 地址，其中一個(gè)可以和內(nèi)部數(shù)據(jù)中心互通，另外一個(gè)則可以和各市縣單位網(wǎng)絡(luò)互通。 考慮到遠(yuǎn)程用戶是分別屬于不同的各市縣單位， SSLVPN 可以給各個(gè)市縣單位用戶建立不同權(quán)限的帳號(hào)，以實(shí)現(xiàn)某單位的遠(yuǎn)程用戶只能訪問自己?jiǎn)挝坏霓k公網(wǎng)絡(luò)。 防 DDOS 網(wǎng)關(guān) 設(shè)計(jì) 方案 為了保證外部數(shù)據(jù)中心的服務(wù)器不受到來自互聯(lián)網(wǎng)的 DDOS 攻擊，我們?cè)谕獠繑?shù)據(jù)中心的出口 設(shè)計(jì) 1 臺(tái)綠盟的黑洞 COLLAPSAR6005－ B 抗 DDOS 攻擊設(shè)備， 通過及時(shí)發(fā)現(xiàn)背景流量中湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫 22 各種類型的攻擊流量，黑洞可以迅速對(duì)攻擊流量進(jìn)行過濾或旁路，保證正常流量的通過 。 3防 DDOS 網(wǎng)關(guān)設(shè)計(jì) 如 圖 10 所示。 圖 10 防 DDOS 網(wǎng)關(guān)設(shè)計(jì) 圖 正常情況下，黑洞連接到主用防火墻，為服務(wù)器提供保護(hù)，由于只有 1 臺(tái)黑洞，因此當(dāng)出口防火墻發(fā)生主備切換后需手工將黑洞設(shè)備改接到另外 1 條鏈路。 上網(wǎng)行為管理系統(tǒng) 設(shè)計(jì) 方案 實(shí)施 設(shè)計(jì) 規(guī)劃 根據(jù)市信息中心統(tǒng)一規(guī)劃， 上網(wǎng)行為管理，目前采用 Sinfor AC 設(shè)備， 設(shè)計(jì) 在防火墻和核心路由器中間，以網(wǎng)橋模式接入 ， 網(wǎng)橋模式將 SINFOR AC 等同于一根連接在防火墻和核心路由器之間的“智能網(wǎng)線”，可以對(duì)所有流經(jīng) AC 的數(shù)據(jù)流進(jìn)行審計(jì)、管理和控制。 網(wǎng)橋模式的特 點(diǎn)是不會(huì)改變網(wǎng)絡(luò)原有路由結(jié)構(gòu)，并能對(duì) 內(nèi)網(wǎng)完全監(jiān)控、控制和管理。 設(shè)備本身支持千兆光、電口，與防火墻對(duì)接采用千兆級(jí)電口，與核心路由器對(duì)接則采用千兆級(jí)光口。 實(shí)施調(diào)試規(guī)劃 Sinfor M5600AC 設(shè)備本身需要一個(gè)管理 IP 地址，目前規(guī)劃該管理 IP 為：， 該地址用于登錄設(shè)備控制臺(tái)所用，對(duì)內(nèi)網(wǎng)用戶訪問 Inter 路由沒有影響。 在內(nèi)網(wǎng) 設(shè)計(jì) 一臺(tái) PC 機(jī)安裝數(shù)據(jù)中心軟件， 以支持上網(wǎng)行為日志的導(dǎo)出功能。 防病毒軟件 設(shè)計(jì) 方案 靳安市 政務(wù)網(wǎng)平臺(tái)采用的是 金山毒霸網(wǎng)絡(luò)版 防病毒軟件， 金山 毒霸網(wǎng)絡(luò)版采用了業(yè)界主湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫 23 流的 B/S 開發(fā)模式，由控制臺(tái)、系統(tǒng)中心、升級(jí)服務(wù)器、服務(wù)器端和客戶機(jī)端五個(gè)相互關(guān)聯(lián)的子系統(tǒng)組成了防病毒體系，有效的攔截和清除目前泛濫的各種網(wǎng)絡(luò)病毒。 防病毒服務(wù)器 設(shè)計(jì) 在內(nèi)部數(shù)據(jù)中心。 可擴(kuò)展的分級(jí)管理架構(gòu) 金山毒霸網(wǎng)絡(luò)版通過管理中心來集中管理數(shù)據(jù)，以實(shí)現(xiàn)對(duì)多個(gè)系統(tǒng)中心、升級(jí)服務(wù)器及其他特殊防毒節(jié)點(diǎn)的集中管理。這個(gè)架構(gòu)借鑒了業(yè)內(nèi)比較優(yōu)秀的網(wǎng)絡(luò)管理的設(shè)計(jì)案例，具有良好的可擴(kuò)展性和可伸縮性，對(duì)于網(wǎng)絡(luò)規(guī)模擴(kuò)大或新增節(jié)點(diǎn)都可以很容易地實(shí)現(xiàn)集中管理。這種架構(gòu)使得金山毒霸網(wǎng)絡(luò)版可以穩(wěn)定地工作在跨地域的 大型網(wǎng)絡(luò)上。 強(qiáng)大的病毒查殺能力 采用先進(jìn)的反病毒引擎，對(duì) DOS 病毒、 Windows 病毒、宏病毒、蠕蟲病毒和網(wǎng)頁病毒，以及特洛伊木馬等黑客程序，均可有效攔截和徹底查殺。采用獨(dú)特的虛擬機(jī)和啟發(fā)式查毒技術(shù)，有效檢測(cè)各類未知型病毒。 雙向過濾郵件病毒 嵌入?yún)f(xié)議層的郵件防毒監(jiān)控，可支持 Microsoft Outlook 20 Microsoft Outlook XP、Outlook Express、 Foxmail、 Netscape Mail 及金山郵件等各種郵件客戶端程序，在接收和發(fā)送電子郵件時(shí)自動(dòng)進(jìn)行雙向病毒過 濾。 實(shí)時(shí)監(jiān)測(cè)病毒入侵 能夠自動(dòng)檢測(cè)、清除來自軟盤、硬盤、光盤、網(wǎng)絡(luò)鄰居、 Inter 及 Email 等各種途徑的病毒，任何文件打開、關(guān)閉、保存、讀、寫、拷貝、移動(dòng)、壓縮和解壓縮等操作都可進(jìn)行實(shí)時(shí)監(jiān)測(cè)。 快速可定制的安裝 設(shè)計(jì) 可以根據(jù)管理員的需求定制性采用 WEB 頁面（ ActiveX）安裝、遠(yuǎn)程控制安裝、域腳本安裝等方式，在較短的時(shí)間內(nèi)完成網(wǎng)絡(luò)內(nèi) 設(shè)計(jì) 眾多客戶端的安裝作業(yè)，簡(jiǎn)單快速的實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)反病毒體系的 設(shè)計(jì) 。 可移動(dòng)的 Web 管理平臺(tái) 控制臺(tái)是整個(gè)金山毒霸網(wǎng)絡(luò)版系統(tǒng)設(shè)置、使用和控制的操作平臺(tái)。界面友好、直觀 ，符合客戶的使用與操作習(xí)慣，無需任何培訓(xùn)即能輕易應(yīng)用自如。控制臺(tái)基于 WEB 結(jié)構(gòu)開發(fā)，管理員無需安裝額外的控制軟件，只要在任意一臺(tái)裝有 的計(jì)算機(jī)上，即可輕松實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)的管理，使其成為可移動(dòng)的管理控制平臺(tái)。通過訪問控制臺(tái)對(duì)管理中心進(jìn)行能保障每個(gè)納入體系的計(jì)算機(jī)時(shí)刻處于最佳的病毒防護(hù)狀態(tài)。 金山毒霸網(wǎng)絡(luò)版將升級(jí)功能從管理模塊中分離出來作為一個(gè)獨(dú)立的模塊 —— 升級(jí)服務(wù)器，并集成了 MS Hotfix 的下載代理。升級(jí)服務(wù)器可以級(jí)聯(lián)，整個(gè)網(wǎng)絡(luò)只需一臺(tái)升級(jí)服務(wù)器接入 Inter 就可實(shí)現(xiàn)全網(wǎng)統(tǒng)一升級(jí)。合理 設(shè)計(jì) 升 級(jí)服務(wù)器可以大大減輕網(wǎng)絡(luò)帶寬壓力，最大程度優(yōu)化網(wǎng)絡(luò)性能。 客戶端升級(jí)時(shí)采用智能遞增的方式更新病毒庫，減少網(wǎng)絡(luò)內(nèi)部升級(jí)時(shí)的帶寬占用。提供湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫 24 升級(jí)回滾功能，保障在網(wǎng)絡(luò)或者計(jì)算機(jī)出現(xiàn)升級(jí)異常的時(shí)候，反病毒終端能正常的運(yùn)行。 集成漏洞掃描及修補(bǔ)功能 利用系統(tǒng)漏洞傳播是病毒發(fā)展的一個(gè)新趨勢(shì)，金山毒霸網(wǎng)絡(luò)版率先在防毒軟件中集成漏洞掃描及修補(bǔ)功能。這一功能可以讓全網(wǎng)計(jì)算機(jī)在最短時(shí)間內(nèi)實(shí)現(xiàn)統(tǒng)一修補(bǔ)漏洞，使得企業(yè)級(jí)客戶的病毒防護(hù)真正做到滴水不漏 ,從根本上杜絕安全隱患。 更新方式及設(shè)置 金山毒霸網(wǎng)絡(luò)版的更新能徹底解決管理員更新全網(wǎng) 防病毒系統(tǒng)的困難，確保了整個(gè)系統(tǒng)的正常運(yùn)行，能在第一時(shí)間抵御病毒的入侵。 更新方式有兩種：一種是使用在線更新，一種是使用離線升級(jí)包進(jìn)行更新。在第一次安裝金山毒霸網(wǎng)絡(luò)版之后，建議先使用一次離線升級(jí)包進(jìn)行升級(jí)。 在線更新：管理中心通過 Inter 從金山毒霸網(wǎng)站上下載在線升級(jí)數(shù)據(jù)，然后自動(dòng)分發(fā)給下面所管理的客戶機(jī)，實(shí)現(xiàn)全網(wǎng)的自動(dòng)升級(jí)。 離線升級(jí)包：管理員可以在金山毒霸網(wǎng)站上下載離線升級(jí)包。運(yùn)行升級(jí)包之前，先停止管理中心；運(yùn)行升級(jí)包程序，升級(jí)后重新啟動(dòng)管理中心；進(jìn)入控制臺(tái)，選取所有的客戶端，點(diǎn)擊 “ 升級(jí)客戶端 ” 即 可。 對(duì)于沒能及時(shí)更新的客戶機(jī)，管理員可以選取相應(yīng)的客戶機(jī)，然后點(diǎn)擊 “ 升級(jí)客戶端 ”即可。同時(shí)，客戶機(jī)也可以點(diǎn)擊在線升級(jí)，通過管理中心進(jìn)行更新。 另外，金山毒霸網(wǎng)絡(luò)版還具有自修復(fù)功能，當(dāng)網(wǎng)絡(luò)版客戶機(jī)程序被破壞時(shí)，可以自動(dòng)從管理中心下載正確的文件進(jìn)行修復(fù)。 管理員還可以設(shè)置管理中心定時(shí)（最小單位至每小時(shí)）從金山毒霸網(wǎng)站上下載最新的升級(jí)數(shù)據(jù)，以確保網(wǎng)絡(luò)能夠在第一時(shí)間防御各種病毒的攻擊。 湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫 25 4. 負(fù)載均衡設(shè)備 設(shè)計(jì) 方案 負(fù)載均衡設(shè)備 設(shè)計(jì) 在本項(xiàng)目中，共有兩條 ISP 鏈路，負(fù)載均衡設(shè)備采用 Radware 的 Linkproof， 負(fù)載均衡設(shè)備設(shè)計(jì) 如 圖 11 所示。 圖 11 負(fù)載均衡設(shè)備設(shè)計(jì) 圖 如圖 11 所示，將 LP1000 的 Port 8 端口加入 VLAN 100050，用于下接防火墻；而 Port 1 和 Port 2 采用三層端口，直接配置 ISP1 和 ISP2 分配的地址，分別連接 ISP1 鏈路和 ISP2 鏈路。 配置步驟如下： 創(chuàng)建 VLAN 100050，并將 Port 8 都加入 VLAN 100050； 配置 VLAN 100050 虛擬接口地址為 ,配置 Port 1 接口地為； 創(chuàng)建默認(rèn)路由指向網(wǎng)關(guān)： ，創(chuàng)建靜態(tài)路由將內(nèi)網(wǎng)網(wǎng)段 ； 創(chuàng)建 NHR： Name:DX， IP:； 打開雙向就近性探測(cè)功能，將延遲的權(quán)重設(shè)為最大： 100； 配置使用最小流量的負(fù)載均衡算法； 打開 Smart NAT 功能，并選擇使用四層會(huì)話表； 創(chuàng)建動(dòng)態(tài) NAT，在 NHR DX 上 ； 創(chuàng)建靜態(tài) NAT，在 NHR DX 上將防火墻接口地址 映射為 ； 分配設(shè)備的內(nèi)存使： 湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫 26 IP Forwarding Table ： 256000