【正文】 更多資料請訪問達人冰川主頁 —— 歡迎加入社區(qū)管理資料團 —— 為了降。 由于連接了因特網(wǎng)，普通的公眾客戶可以訪問到電子口岸系統(tǒng)的門戶網(wǎng)站，不可避免地，其他別有用心的訪問者也會對該系統(tǒng)進行窺探、攻擊、破壞等，尤其是電子口岸系統(tǒng)具有的政府背景，很容易受到對政府心存不滿的人（包括國外的反動分子）的關(guān)注，即使他們進入不了內(nèi)部，他們也會想方設(shè)法的采用其他攻擊手段，如 DDOS 攻擊等，對相關(guān)的服務(wù)進行破壞，迫使相應(yīng)的業(yè)務(wù)停止。同時對內(nèi)網(wǎng)訪問因特網(wǎng)的特定應(yīng)用類型進行限制，如只能訪問網(wǎng)頁（對應(yīng) 80 端口），不能進行 FTP（對應(yīng) 21 端口），避免一些非關(guān)鍵業(yè)務(wù)占用過多的帶寬，對關(guān)鍵業(yè)務(wù)造成沖擊。同時通過訪問規(guī)則、策略，嚴(yán)格控制 DMZ2 中的主機訪問內(nèi)部網(wǎng)絡(luò)的權(quán)限和端口，只允許所開放的 業(yè)務(wù)的數(shù)據(jù)進入內(nèi)部網(wǎng)絡(luò)，其他的一概禁止。 公網(wǎng)區(qū)域部分設(shè)計 電子口岸平臺的核心防火墻系統(tǒng)通過二條 10M/100M 線路連接因特網(wǎng)，為內(nèi)部用戶提供因特網(wǎng)訪問服務(wù)，為普通公眾、企業(yè)用戶提供 Web 門戶網(wǎng)站服務(wù)，企業(yè)用戶在 Inter 上可方便查詢各種資料、辦理與通關(guān)、物流有關(guān)的各種更多資料請訪問達人冰川主頁 —— 歡迎加入社區(qū)管理資料團 —— 手續(xù)。 因這個區(qū)域也是對安全高度敏感的區(qū)域，建議部署 IDS 系統(tǒng)對非法的入侵行為進行檢測、告警，同時建議 IDS 和防火墻配置為聯(lián)動，對發(fā)現(xiàn)的入侵行為進行自動阻斷。當(dāng)然，如果考慮到該交換機的單點故障問題，也可以參照重要交換機的 HA 配置方式進行部署，而服務(wù)器則采用雙網(wǎng)卡連接交換機，如下圖示： 更多資料請訪問達人冰川主頁 —— 歡迎加入社區(qū)管理資料團 —— 由于應(yīng)用服務(wù)器非常關(guān)鍵，一旦應(yīng)用服務(wù)器出現(xiàn)故障，將導(dǎo)致全區(qū)的電子口岸系統(tǒng)無法使用，所以建議將二臺應(yīng)用服務(wù)器配置 成高可用的 HA 雙機熱備方式，當(dāng)今后數(shù)據(jù)處理量增大，該 HA 雙機熱備系統(tǒng)無法支撐時，可以替換為小型機的雙機熱備系統(tǒng)，甚至采用集群的方式來解決這方面的問題。根據(jù)處理的需要，應(yīng)用服務(wù)器需要跟數(shù)據(jù)庫服務(wù)器進行交互，或通過前置服務(wù)器和國家電子口岸數(shù)據(jù)中心、廣西電子口岸專網(wǎng)內(nèi)的系統(tǒng)交換數(shù)據(jù)。 DMZ2 區(qū)域部分設(shè)計 由上面的數(shù)據(jù)流路由分析可以看到，處于 DMZ2 區(qū)域的應(yīng)用服務(wù)器成為電子口岸業(yè)務(wù)數(shù)據(jù)流的“集散地”，由于涉及到多個系統(tǒng)、跨越多個安全區(qū)域，電子口岸業(yè)務(wù)數(shù)據(jù)流是本網(wǎng)中最為重要、關(guān)鍵的。相比而言， CPOS 接口方式就十分清爽，只有對應(yīng)的一條光纖線纜，而且 155M 線路可以通道化為 63 個 2M 線路，具備靈活的擴展性和擴展空間，今后系統(tǒng)擴容的時候無需再增加線纜，只是在傳輸網(wǎng)上將相應(yīng)的線路時隙劃歸這條 155M 線路，然后在核心路由器上作相應(yīng)的配置即可，但這種接口方式比較昂貴。 這幾種接口方式的優(yōu)劣比較： 接口方式比較便宜，但是經(jīng)過協(xié)議轉(zhuǎn)換器后，對網(wǎng)絡(luò)排障增加了難度，因協(xié)議轉(zhuǎn)換器不可管理，其出現(xiàn)故障后很難定位，我們大量的工程實施經(jīng)驗表明，網(wǎng)絡(luò)出現(xiàn)問題很多情況下是由于協(xié)議轉(zhuǎn)換器的隱性故障造成的； 接 口方式比 方式稍貴，但由于不再使用協(xié)議轉(zhuǎn)換器，減少了故障點，利于網(wǎng)絡(luò)的運維。 ChannelPOS 的方式 ,直接從傳輸機房拉 155M 的光纖線路到核心路由器節(jié)點，不再需要光端機和協(xié)議轉(zhuǎn)換器，光纖跳線直接插入核心路由器上的 CPOS接口模塊。 E1 接口方式，與傳統(tǒng) 方式相比，不同之處在于： 路由器上的接口模塊不同， 對應(yīng)高速串口， 接口對應(yīng) E1 接口模塊； 不再使用協(xié)議轉(zhuǎn)換器。 以下對這幾種方式進行簡單的分析。 有關(guān)內(nèi)部廣域網(wǎng)系統(tǒng)更詳細(xì)的路由設(shè)計，請參考下面相關(guān)章節(jié) 的路由設(shè)計部分。 因憑祥節(jié)點需要作為試點來進行重點建設(shè)，其覆蓋范圍要延伸至前置貨場、友誼關(guān)聯(lián) 檢樓、南山物流園，因為這幾個點就在憑祥本地，建議直接采用交換機組網(wǎng)的方式，即前置貨場、友誼關(guān)聯(lián)檢樓、南山物流園處部署接入交換機，經(jīng)過當(dāng)?shù)貍鬏斁W(wǎng)的 2M 數(shù)字線路直接連接到憑祥節(jié)點的局域網(wǎng)交換機上（建議該交換機為三層交換機）。從我們工程實施、維護的經(jīng)驗來看，建議接入路由器和核心路由器間采用動態(tài)路由，路由協(xié)議建議采用 OSPF 協(xié)議。核心路由器上連接下面分支節(jié)點 2M 線路 的接口模塊選擇（有高速串口、 E1 接更多資料請訪問達人冰川主頁 —— 歡迎加入社區(qū)管理資料團 —— 口模塊、 CPOS 接口模塊可選），詳見下面的核心接口類型分析。 中心節(jié)點 ： 由于需要確保業(yè)務(wù)的高穩(wěn)定、高可靠、高可用性，我們建議 由兩臺高性能的路由器（建議采用雙主控）組成，兩臺核心路由器可以采用雙機熱備的方式配置，也可以配置成負(fù)載均衡的方式。同時考慮將來廣西各電子口岸包括檢驗防疫、邊防等 18 個相關(guān)部門單位和 25 個口岸現(xiàn)場的接入和系統(tǒng)擴展。 在此次的項目中我們主要考慮通過中心節(jié)點核心路由器和各個口岸單位分支節(jié)點路由器及下屬的交換設(shè)備，結(jié)合電信 SDH 傳輸網(wǎng)提供的組網(wǎng)數(shù)字線路，構(gòu)建廣西電子口岸內(nèi)部廣域網(wǎng)絡(luò)系統(tǒng)平臺。 ? 核心路由設(shè)備需要具備運行高穩(wěn)定性。 為了確保內(nèi)部廣域網(wǎng)的穩(wěn) 定、可靠運行， 對于核心路由設(shè)備的要求可以歸納如下： ? 支持雙機備份功能：由于中心的路由設(shè)備設(shè)計有可能是采用雙機備份的配置方式，所以中心的路由設(shè)備必須支持雙機備份協(xié)議，如 VRRP等。它實現(xiàn)整個網(wǎng)絡(luò)高性能、高可靠性的業(yè)務(wù)數(shù)據(jù)路由轉(zhuǎn)發(fā)，是整網(wǎng)良好運行的關(guān)鍵之一。 DMZ1 區(qū)內(nèi)廣域網(wǎng)部分的設(shè)備主要是廣域組網(wǎng)的路由設(shè)備，包括核心路由器、接入路由器以及局域網(wǎng)交換機等。只有終端系統(tǒng)方便的接入到核心業(yè)務(wù)網(wǎng)中，才能讓相關(guān)的電子口岸業(yè)務(wù)在大范圍內(nèi)順利開展，才能真正發(fā)揮電子口岸的價值。 在安全內(nèi)網(wǎng)還建議部署一臺 增加漏洞掃描服務(wù)器，按照掃描策略，定時對相關(guān)網(wǎng)絡(luò)區(qū)域進行漏洞 掃描 ，尋找系統(tǒng)可能存在的漏洞并建議網(wǎng)管做好應(yīng)對 。進一步的防范措施，將 IDS 和核心防火墻進行聯(lián)動配置， IDS 根據(jù)攻擊特征數(shù)據(jù)庫對該區(qū)域的網(wǎng)絡(luò)訪問 /攻擊行為進行模式匹配，當(dāng)發(fā)現(xiàn)可疑的訪問行為時， IDS告警；當(dāng)發(fā)現(xiàn)確切的攻擊行為時（攻擊模式匹配成功）， IDS 系統(tǒng)將和告知防火墻并讓其斷開該攻擊連接，使相應(yīng)的攻擊失效。 由于該區(qū)域是安全高敏感區(qū)域，需要對發(fā)生在該區(qū)域的訪問行為進行監(jiān)控，基于這方面的考慮，我們建議部署入侵檢測系統(tǒng) IDS，對非法的網(wǎng)絡(luò)入 侵行為進行檢測、告警，提供相應(yīng)的信息讓網(wǎng)絡(luò)系統(tǒng)管理員掌控該區(qū)域的安全情況。這樣的核心交換機的配置（單機雙引擎）可以為核心交換機 HA 系統(tǒng)提供更可靠的保護，無疑也提高了數(shù)據(jù)庫系統(tǒng)的高可靠性、高可用性、高穩(wěn)定性。這樣，在雙機熱備系統(tǒng)中就配備了二組引擎（對應(yīng)二臺核心交換機），共四個處理引擎，其中單臺核心交換機的引擎組中，一個引擎工作，另一個處于待命狀態(tài)，當(dāng)主引擎出現(xiàn)故障停止工作，備用引擎則立刻接管主引擎的工作；當(dāng)主核心交換機的備用引擎也出現(xiàn)故障停止工作，導(dǎo)致主核心交換機停止工作時， HA 系統(tǒng)將指導(dǎo)備份核心交換機接管失效主核心交換機的工作。同時核心交換機配置中高性能的數(shù)據(jù)處理引擎，提高數(shù) 據(jù)處理交換能力，避免在該區(qū)域出現(xiàn)網(wǎng)絡(luò)處理能力的瓶頸。同時，數(shù)據(jù)庫服務(wù)器系統(tǒng)后面掛接磁盤陣列系統(tǒng)和磁帶庫系統(tǒng)，更多資料請訪問達人冰川主頁 —— 歡迎加入社區(qū)管理資料團 —— 為業(yè)務(wù)系統(tǒng)的數(shù)據(jù)提供存儲服務(wù)。 由于所有與電子口岸業(yè)務(wù)系統(tǒng)相關(guān)的數(shù)據(jù)流（不管寫入還是查詢），都要進出該區(qū)域，而且整個平臺都是為電子口岸業(yè)務(wù)服務(wù)，該區(qū)域的穩(wěn)定、可靠、可用性等決定了整個廣西電子口岸系統(tǒng)的運行狀況，所以對該區(qū)域的要求首先是穩(wěn)定、可靠、安全、高可用，性能次之。由于該電子口岸平臺剛開始建設(shè)，目前在該平臺上處理業(yè)務(wù)數(shù)據(jù)的壓力還不是很大，當(dāng)然今后隨著處理量增大，當(dāng)前的服務(wù)器不足以應(yīng)付時，可以更換成小型機甚至集群的方式來解決這方面的問題。 這類數(shù)據(jù)流主要在特定的設(shè)備（支持 SNMP 協(xié)議的網(wǎng)絡(luò)上，如可網(wǎng)管的交換機、路由器、防火墻、服務(wù)器等）和處理這些數(shù)據(jù)的系統(tǒng)（如網(wǎng)管系統(tǒng)、流量監(jiān)控系統(tǒng)等）之間進行傳輸。這部分的數(shù)據(jù)流路由，主要由電子口岸應(yīng)用系統(tǒng)內(nèi)部來決定（或者說在設(shè)計的時候就已經(jīng)確定了）， 可以看做應(yīng)用系統(tǒng)間的數(shù)據(jù)交互，需要在核心防火墻系統(tǒng)、通訊前置服務(wù)器間、安全交互系統(tǒng)上開放相應(yīng)的端口、路由。由此可見， 這類數(shù)據(jù)流大部分只在 DMZ1 區(qū)域和公網(wǎng)區(qū)域流動。這類數(shù)據(jù)流的路由還是比較簡單的 ，客戶的訪問和網(wǎng)站的回應(yīng)數(shù)據(jù)流只在 DMZ2 區(qū)域和公網(wǎng)區(qū)域流動 。 對于 與電子口岸業(yè)務(wù)系統(tǒng)相關(guān)的業(yè)務(wù)數(shù)據(jù)流，主要考慮由應(yīng)用系統(tǒng)終端往應(yīng)用服務(wù)器訪問方向（其他的情況， 如公網(wǎng)用戶通過門戶網(wǎng)站訪問應(yīng)用服務(wù)器系統(tǒng) ，是通過防火墻來訪問相應(yīng)的服務(wù)器 ，又 如和國家電子口岸數(shù)據(jù)中心 、廣西電子口岸專網(wǎng)服務(wù)器的路由比較簡單，主要是通過安全交互系統(tǒng)進行路由） ，以憑祥節(jié)點為例子 ： 應(yīng)用系統(tǒng)終端往往在電子口岸相關(guān)單位及口岸現(xiàn)場（如憑祥節(jié)點的友誼關(guān)聯(lián)檢樓），在網(wǎng)絡(luò)的末端位置，其業(yè)務(wù)數(shù)據(jù)經(jīng)過相應(yīng)的線路（如2M 數(shù)字線路）由接入路由器上到核心路由器，再經(jīng)過防火墻的檢查，來到 DMZ2區(qū)域的應(yīng)用服務(wù)器，提交相應(yīng)的數(shù)據(jù)、命令，然后應(yīng)用服務(wù)器收集、處理這些數(shù)據(jù)、命令，并根據(jù)業(yè)務(wù)流程，往安全內(nèi)網(wǎng)的數(shù)據(jù)庫服務(wù)器寫入 /提取相應(yīng)的數(shù)據(jù)，根據(jù)實際情況，還可能和國家電子口岸數(shù)據(jù)中心、廣西電子口岸專網(wǎng)內(nèi)的相應(yīng)服務(wù)器進行交互， 同時將結(jié)果返還給應(yīng)用系統(tǒng)終端 ，如下圖示意： 更多資料請訪問達人冰川主頁 —— 歡迎加入社區(qū)管理資料團 —— 在這類數(shù)據(jù)流的路由過程中，處于 DMZ2 區(qū)域的應(yīng)用服務(wù)器成為這些數(shù)據(jù)流的“集散地” ，由于涉及到多個系統(tǒng)、多個安全區(qū)域，這類數(shù)據(jù)流的路由是最為復(fù)雜、也是最為重要 、需要重點保障 的。 相關(guān)設(shè)備選型及部署建議，詳見 設(shè)備選型及配置部分 。 詳細(xì)設(shè)計見 節(jié)。目前已經(jīng)開通聯(lián)網(wǎng)的有南寧、梧州、防城、北海、憑祥等 5 個報關(guān)現(xiàn)場；下一步著重部署中心部分的服務(wù)器，擴大聯(lián)網(wǎng)范圍，準(zhǔn)備開通東興、 欽州、桂林、柳州、貴港、愛店、龍邦、玉林、平孟、水口等 10 個報關(guān)現(xiàn)場。 國家電子口岸數(shù)據(jù)中心 在該區(qū)域集中存儲了全國電子口岸的相關(guān)數(shù)據(jù)， 通過相應(yīng)的策略同步全國各個電子口岸的數(shù)據(jù)庫，為 各個電子口岸的經(jīng)合法授權(quán)的應(yīng)用系統(tǒng) 提供服務(wù)。 同時在該區(qū)域還建議部署網(wǎng)管服務(wù)器、防病毒服務(wù)器。 更詳細(xì)的 設(shè)計 描述， 詳見相關(guān)章節(jié)部分： DMZ1 內(nèi)部廣域網(wǎng)部分設(shè)計 。各口岸現(xiàn)場可根據(jù)具體情況再進一步將網(wǎng)絡(luò)延伸至口岸的聯(lián)檢單位。 ? DMZ1內(nèi)部廣域網(wǎng)部分 ，連接 相關(guān)單位及口岸現(xiàn)場 DMZ1 區(qū)域部分為內(nèi)部廣域網(wǎng)部分， 主要由路由器連接電子口岸相關(guān)單位及口岸現(xiàn)場。在內(nèi)網(wǎng)區(qū)域還部署入侵檢測系統(tǒng)，對該區(qū)域的非法入侵行為進行檢測。 ? 安全內(nèi)網(wǎng) 部分 安全內(nèi)網(wǎng)部分 主要部署數(shù)據(jù)庫服務(wù)器，用冗余的核心交換機為其提供可靠的連接。 安全 內(nèi)網(wǎng)區(qū)域部署 核心 數(shù)據(jù)庫 系統(tǒng)；公 網(wǎng)區(qū)域連接 因特網(wǎng) ； DMZ1為內(nèi)部廣域網(wǎng)部分， 連接相關(guān)單位及口岸現(xiàn)場； DMZ2 區(qū)域部署應(yīng)用服務(wù)器 系統(tǒng) 、前置服務(wù)器，并 通過安全交換系統(tǒng) 連接 廣西電子口岸專網(wǎng)的應(yīng)用服務(wù)器和國家電子口岸數(shù)據(jù)中心。 外連因特網(wǎng)部分則將廣西電子口岸平臺接入因特網(wǎng)，為公眾、企業(yè)用戶提供相應(yīng)服務(wù)。 更多資料請訪問達人冰川主頁 —— 歡迎加入社區(qū)管理資料團 —— 整體 網(wǎng)絡(luò) 設(shè)計 方案 廣西電子口岸核心網(wǎng)絡(luò)平臺 ， 從 功能劃分， 可以分為核心部分、接入部分、外連國家電子口岸數(shù)據(jù)中心和廣西電子口岸專網(wǎng)部分、外連因特網(wǎng)部分；其中由核心交換機、核心路由器、核心防火 墻等系統(tǒng)組成廣西電子口岸網(wǎng)絡(luò)平臺核心部分 ， 在核心交換機后 部署數(shù)據(jù)庫服務(wù)器及存儲設(shè)備 ，對應(yīng)用數(shù)據(jù)進行處理和存儲，同時部署 入侵檢測系統(tǒng)、防病毒網(wǎng)關(guān)及防火墻設(shè)備，確保 核心 網(wǎng)絡(luò)安全。由于技術(shù)落后， 99 年以后，國家不再增加建設(shè)量，有同步和異步兩種方式。 ? 普通電話網(wǎng)（ PSTN）： 遍布全國所有縣，個別偏遠(yuǎn)山區(qū)除外，在所有線路中最便宜，最方便，但可靠性和傳輸速率較低，是異步線路；這種線路適于作為網(wǎng)絡(luò)的撥號備份線路使用。 BRI 口的ISDN 線路速率可有 64K 和 128K 兩種，傳輸速率較高，由于是撥號線路，費用與普通電話線相當(dāng)，但因是同步數(shù)字線路，因此可靠性高。 ? SDH 傳輸網(wǎng)絡(luò)： 可提供 2M、 4M、 8M、 32M、 155M、 622M、 、 、 10G 等電路，具有高效、穩(wěn)定、安全、便宜、自愈等特性，是目前傳輸?shù)闹髁骷夹g(shù)，網(wǎng)上有大量成熟的應(yīng)用，也是今后發(fā)展趨勢。 ? DDN 網(wǎng)： 分布 情況與 相當(dāng)，速率可從 ～ 2048K，線路質(zhì)量較高，速率較高，統(tǒng)一按月租費收取，費用是所有線路中最高的。 幀中繼（ FrameRelay）：分布是所有網(wǎng)絡(luò)中最少的。在廣域網(wǎng)中，最寶貴的資源是用于網(wǎng)絡(luò)互連的帶寬資源。我們選擇 IP 協(xié)議構(gòu)建 的網(wǎng)絡(luò)平臺，不僅滿足今后 廣西電子口岸平臺項目建設(shè) 的需要，而且也符合網(wǎng)絡(luò)的發(fā)展方向。 隨著網(wǎng)絡(luò)通信技術(shù)的高速發(fā)展， IP 的服務(wù)質(zhì)量（ QoS）也在不斷的完善，可以通過 IP 層優(yōu)先級設(shè)置、帶寬管理和隊列技術(shù)等在統(tǒng)一平臺上有效實現(xiàn)對應(yīng)用系統(tǒng)傳輸質(zhì)量的保證。 IP 協(xié)議是網(wǎng)絡(luò)層協(xié)議，應(yīng)用程序不必關(guān)心第二層具體的網(wǎng)絡(luò)技術(shù)。采用開放性的協(xié)議可以保證網(wǎng)絡(luò)構(gòu)建及發(fā)展不會受到專有技術(shù)的限制。特別是 90 年代后期，隨著 Inter 的爆炸性增長，各類網(wǎng)上應(yīng)用都基于該標(biāo)準(zhǔn)推出。 網(wǎng)絡(luò)技術(shù)選擇分析 網(wǎng)絡(luò)協(xié)議選