数据灾备中心,为数据提供高速、高安全的数据存储;数据中心、数据灾备中心均采用双10G线路与核心互联。
电子政务外网互联网区域主要为外网用户提供互联网访问服务。出口区域部署2台XX网络万兆平台的专业流量控制设备RG ACE3000设备,该设备作为外网流量控制、用户日志、WEB重定向功能;部署2台XX网络万兆专用出口引擎RG NPE60设备,作为各政府单位私有地址到互联网共有地址的NAT转换设备;部署2台XX全千兆防火墙RG wall 1600,在出口区域的DMZ区域,部署外网统一门户网站等服务器,为了防止政府网站被恶意篡改的风险,在服务器前端部署XX网络全千兆网站防篡改硬件RG WG3000;出口区域设备与核心采用千兆单模光纤互联。
电子政务外网上联区域,利用XX省统一下发的路由设备,与省信息中心互联,从而连通XX市电子政务外网和省级、国家级电子政务外网。
整体网络架构如下图所示:
2.2.3. 网络分层设计
XX市电子政务外网案按照自顶向下、分层设计的理念,将XX市电子政务外网划分为:外网骨干区域、委办单位接入区域、互联网接入区域、数据中心区域、上联区域五个部分,本章节对于电子政务外网的五个主要部分,进行详细介绍。
2.2.3.1. 外网骨干区域
骨干区域采用XX网络面向十万兆平台的路由交换设备RG S8614和S7806设备作为核心设备和汇聚设备。核心设备、汇聚设备二三层包转发率为1786Mpps/1190Mpps,性能上完全满足XX市电子政务外网的要求。
安全设计上:在核心设备RG S8614A/B上分别配臵高性能防火墙模块1块,利用虚拟防火墙技术,隔离来自于各个汇聚节点的网络攻击,保证电子政务外网的整体安全、稳定,避免某个汇聚节点下出现病毒爆发,影响整个园区网络的安全。
此外,核心/汇聚设备需具备先进的安全体系,集成了硬件的CPU保护技术、安全策略自动下发等先进技术,避免了病毒攻击爆发导致设备CPU利用率过高而导致设备宕机的情况,并根据预定策略,对于发生的安全事件进行相关策略下发,确保电子政务外网骨干区域的的高安全、高可靠性。
安全检测?NFPP,基础网络保护策略?基于网络威胁的安全处理模式警告检测?自动发现并解决安全攻击攻击自动下发策略隔离攻击
直观的骨干网络:核心设备RG S8614A/B配臵IPFIX流量控制板卡,结合XX关键业务运行管理中心RILL系统,可直观的将网络内部流量情况进行图形化的呈现,让网络真正的可感知。
2.2.3.2. 委办单位接入区域
XX市政府单位以及各委办厅局接入方式较为简单,本次外网方案规划,为每个接入单位提供一台RSR20-24,该设备性能为300Kpps的包转发性能,完全满足一般单位的接入需求;考虑到很多单位已经建成了自己的内部局域网,为了便于接入外网的单位的接入,其内部网络地址不需要重新规划,在出口的路由设备上,进行NAT地址转换,将各个接入单位的私有地址转换为59段地址。
此外,智能交通信息平台系统也将接入XX市电子政务外网,对于该套系统的每个接入点,本次方案设计,将每个路由的高清IP摄像头,作为一个接入单位,通过路由器RSR20-24接入
电子政务外网骨干传输网络。
2.2.3.3. 上联区域
上联区域路由设备为省统一下发设备,该路由设备与核心交换机互连,建议通过在该路由设备上配臵静态路由即可实现XX市电子政务外网与省级、国家级电子政务外网的互联互通;当然,也可以通过对于市级外网OSPF区域的适当调整,未来,将XX市电子政务外网作为省政务外网的一个区域接入,实现互连互通。
2.2.3.4. 互联网接入区域
互联网出口接入区域是整个电子政务外网各个单位用户访问互联网的统一出口。电子政务外网出口设备采用全千兆高性能防火墙RG Wall 1600作为出口的安全隔离设备,隔离互联网和电子政务外网的内部网络;
在防火墙的DMZ区域,部署政府统一门户网站,为了保证网站的安全,防止被恶意篡改,门户网站前部署XX网络应用防火墙WG3000。XXWebGuaRD基于对HTTP/HTTPS流量内容的双向检测分析,识别检测各类Web编码、交互技术、URL参数以及表单输入等,为Web应用提供实时、动态的主动性防护。防止网页内容被篡改,防止网站数据库内容泄露,防止口令被突破,防止系统管理员权限被窃取,防止网站被挂马和植入病毒、恶意代码、间谍软件等,防止用户输入信息的泄露,防止账号失窃,防SQL注入,防XSS攻击等。确保Web应用安全的最大化。
互联网接入区域采用专用的万兆出口引擎设备RG NPE60,作为59段地址到互联网公网地址的NAT二次转换设备,此外,该设备具备负载均衡功能,可作为互联网接入区的负载均衡设备。