浅析电子政务外网互联网出口的安全技术构架.docVIP

图1 政务外网互联网出口架构图 图1 政务外网互联网出口架构图 浅析电子政务外网互联网出口的安全技术构架 阎彩英 （山西省经济信心中心 山西 太原 030002） 摘 要：本文针对电子政务外网所存在的网络安全隐患，提出了其互联网出口的技术构架，并对所部署的设备和 集中管理进行了分析和阐述。 关键词：电子政务外网 互联网出口 技术构架 电子政务外网是目前政府信息化建设的主要内容，也 是为了资源整合、共享平台、高效服务的网络之一，其主 要用于运行政务部门不需要在内网上运行的业务和政务部 门面向社会的服务业务，为政务部门的业务系统提供网 络、信息、安全等支撑服务，为社会公众提供政务信息支 撑服务。为了保证政务外网能安全对外提供公众服务，在 技术上要求政务外网必须与政务内网物理隔离，与互联网 逻辑隔离。 作为整个电子政务外网进入互联网的出口，同时承担 着两方面的作用：一是电子政务外网内省级所有用户访问 互联网的出口；二是为公众提供访问政府信息的入口，同 时也是可信用户通过互联网访问政务外网的唯一通道。 网安全问题的来源； （7）全网安全事件无法监控，日志信息统一分析困 难，只能做到事后审计，无法做到实时分析。 2 技术构架分析 互联网出口是电子政务外网与整个互联网之间的缓冲 地带，此地带的安全性对电子政务外网的安全具有至关重 要的影响。所有来自互联网上对电子政务外网的攻击和入 侵等都应在此区域得到相应的控制。因此，构建互联网出 口的网络设备必须具有强大的安全特性。基于政务外网的 业务需求，对互联网出口进行了部署，如图1所示。 1 背景分析 电子政务外网是办公网和数据中心相结合的网络，该 网络既要满足外网日常办公需要，同时其数据中心承载的 外网数据还要对外提供访问，由于办公网和数据中心网路 统一出口，因此存在一定安全隐患，列举如下： （1）网络中数据中心和办公区网络通过核心交换进行 互联，因特网用户安全隐患可能会影响到电子政务外网数 据中心网络的安全性； （2）内网病毒、蠕虫传播会对整个网络带来影响； （3）外来人员进入电子政务外网网络由于自身安全级 别不够带来安全隐患； （4）内网用户由于不规范的网络使用，如BT下载， 带来出口带宽被拥塞的情况，会影响到外网用户对数据中 心访问的带宽和稳定性； （5）内网用户登录行为无认证，无相关控制手段，任 政务外网通过NAT技术，与互联网进行安全可控连 接。为保证互联网出口稳定性，考虑采用由两个互联网 互联 互联网出口必须具有高性能、高可靠、高安全、可扩 展的基本性能。承担网络出口建设的所有网络设备必须具 备高可靠性要求，以确保整个电子政务外网内部用户对互 联网的正常访问。网络设备可靠性体现在双主控、冗余备 份、热插拔等方面。 整个互联网出口采用两条完全一致的通路互为备份，两 条通路共享Web服务器阵列区域。两条通路的防火墙之间通 过心跳线连接。当两条通路中的任意一条发生故障时，可通 过路由的重新计算，通过第二条通道进行数据传输。 2.1带宽管理设备(D1、D2) 电子政务外网，覆盖大量业务与应用，网络出口众 多，在这种复杂的环境中需要对网络中的流量，用户访问 行为做到精细化的梳理以及管理，能对网络中的P2P/IM带 宽滥用、“地下”VoIP、“一拖N”、网络游戏、炒股、 多媒体应用、非法网站访问等行为进行精细化识别和控 制；同时，可对网络流量、用户上网行为进行深入分析与 全面的事后审计，强大的URL过滤功能，帮助用户优化其 网络资源，全面了解网络应用模型和流量趋势，开展各项 业务提供有力的支撑。 在互联网出口部署带宽设备，主要提供互联网访问 时带宽保证和限制，可为不同的用户和应用分配不同的 优先级，以及为用户或应用配置不同的带宽约束，保证 网络带宽合理的分配和应用，消除网络出口的无序竞争 和拥塞问题。 D1/D在本方案中部署方式为交换模式，对不同局域网 访问互联网时使用的带宽进行限制。 2.2防火墙管理(FW1、FW2) 作为访问控制设备，其主要作用实现Internet与内部网 以及内部网络之间的隔离、重要区域保护、访问控制等， 以达到保护应用服务系统、控制对中心网络的访问、记录 和统计网络利用数据以及非法使用数据和策略执行等功 能，并且在网络接入时，全部通信都受到防火墙的监控， 通过防火墙过滤网络中不必要传输的垃圾数据，以及做流 量控制，调整链路的带宽利用，做到更强更好的控制，真 正发挥防火墙最大功效。 采用高端的高性能、高安全性的双冗余防火墙可以保 证整个网络的安全接入。由于网络的核心交换机与外部的 出口路由器采用的是全交叉冗余连接，因此这里需要配置 两台防火墙，而且采用的防火墙支持双机热备模式，两台 防火墙间通过状态同步接口，实时同步两台防火墙的配置 信息和状态表，当一台防火墙发