网络工程规划与设计案例教程项目三_任务二_信达政府互联网出口解决方案.doc

信达政府互联网出口解决方案 目录 1. 互联网出口基础架构设计 1 1.1 出口功能区划分 1 1.2 出口网络拓扑结构设计 2 2. 互联网功能设计 3 2.1 访问优化设计 3 2.2 审计功能设计 3 2.3 接入管理功能设计 4 3. 出口安全设计 4 3.1 用户安全性设计 4 3.2 应用系统安全性 5 3.3 WEB服务器安全性 5 4. 系统可靠性设计 5 4.1 设备可靠性设计 5 4.2 链路可靠性设计 6 4.3 路由可靠性设计 6 随着信息化建设的开展，政府经过多年持续不断的信息化建设和应用提升，已经形成了较为稳定的内部局域网基础架构。但是，随着政府电子政务的开展，信息化公开等丰富的应用上线，政府部门在科研、办公、公众服务等相关业务对于互联网出口平台的依赖性越来越强。建立一个稳定，可信的互联网出口成为政府部门的信息化工作的一个极为重要的工作。? 某政府网络是一个集数据、语音、视频为一体的综合业务网络系统，需要在互联网出口上承载的业务不仅仅包括基本的互联网访问，还包括为公众提供应用服务的相关服务器的互联网出口，和远程用户接入的相关服务。所以政府互联网出口需要具有高可用性，提供稳定的互联网服务。并且由于互联网出口是整个政府与外界信息交互的主要途径，所以对于出口交互的各种重要数据和应用服务的安全性，必须要进行全面的保障。同时需要整体的审计技术，包括用户登录审计与用户行为审计。 锐捷网络经过对政府互联网出口业务的深入分析和对客户的充分调研，针对政府客户制定了一整套出口解决方案。整体方案在出口的优化访问、安全策略、全局审计、统一管理四个方面，进行整体上的规划。? 互联网出口基础架构设计 出口功能区划分 根据互联网出口所连接的不同功能，可以将其细分为四个功能区，分别为：核心设备区、互联网应用区、用户接入区、远程接入区。改造后的出口宏观结构如图所示： 图1 宏观结构图 其中，核心设备区主要负责互联网出口链路的有效利用，和应用系统的服务保障。 互联网应用区分为DMZ区、应用数据库区、管理区三个安全区域，其中DMZ区用来放置针对公众提供信息发布的WEB服务器以及相应的应用服务器；应用数据库区放置用于存储前端服务器所产生的相关数据信息的数据库服务器；管理区主要用于对整个互联网出口设备进行统一管理和各个用户的管理和审计。 用户接入区主要提供本地用户的接入，并保证对接入用户的身份认证。? 远程接入区通过相应的防火墙设备提供远程VPN的功能，并可以与CA体系对接，实现CA证书方式认证。出口网络拓扑结构设计 整个互联网出口充分考虑到架构和设备的冗余，在与运营商的线路连接的设备，采用专用的出口NPE出口引擎设备，并且部署两台互为备份。NPE通过硬件优化，可以承载大容量的，并且在一台设备上同时实现多线路的负载均衡和智能DNS功能，满足用户对出口设备的各种要求。为了保证整个互联网出口能够很好的为各种应用提供服务，在出口使用专业应用控制引擎ACE系列，为各种应用服务器保障服务质量，并且提供对各种P2P程序的控制，使带宽资源得到合理的应用。 互联网出口作为与外部网络连接的唯一出口，其安全性也是非常重要的，锐捷网络的高性能万兆防火墙可以在大业务量的情况下，很好的进行安全检测，保证数据包的线速转发。同时为了减少在整个链路上串联设备过多，防火墙支持IPS硬件模块，提供相应的IPS功能，减少用户投入。 同时防火墙根据客户的实际应用需求，针对不同的应用进行隔离，将防火墙虚拟为2台或者多台防火墙，并可根据虚拟出的防火墙配置不同的安全策略，并进行单独的管理。最大限度的保护应用系统间不会产生影响，保证应用系统的稳定和安全。防火墙本身提供 Bypass功能，在设备出现故障的情况下，首先保证业务的正常访问，提高网络的整体健壮性。 互联网功能设计 访问优化设计根据对客户应用的实际调研，互联网的访问服务包含两个方面，分别是内部用户访问互联网，和外部用户访问相关服务器。锐捷网络针对不同的业务系统对互联网出口的利用特征，使用链路负载均衡、智能DNS等技术对相关的应用速度进行优化。 针对大量用户同时访问互联网时，NAT地址转化的问题，NPE出口引擎设备提供硬件优化的NAT转换功能， NPE基于多核处理器技术进行架构，具备转发高性能，内嵌状态防火墙、并且采用NAT与REF（锐捷快速转发）高效配合，并充分利用x-flow技术，实现高速NAT，NPE成为网络出口的高性能推力引擎。 目前用户多采用多链路的互联网出口的情况，NPE支持多链路的负载均衡技术，通过线路带宽大小、线路带宽利用率、链路响应等因素综合分析判断，智能的为用户选择最快速最优的访问线路。通过智能DNS功能，可以保证外部用户访问应用服务器时通过最优的线路进行服务器的访问。智能DNS功能可以智能的判断访问用户所在