论信息系统网络改造规划

何 坚

（中国电子口岸数据中心福州分中心 福建 350015）

He Jian

0 前言

2013年底，作为技术骨干，我有幸参与了本单位金关二期的网络工程方案的规划、设计、建设工作。该项目投入经费200万元。本中心作为分支区域，用广域网方式接入总署口岸专网。网内服务器基本上以 windows 2003为平台，运行各种应用软件。建设目标：充分利用现有设备，更换或新增新设备，实现双链路双设备冗余，对原网络进行安全域划分，增加安全设备或管理软件，优化网络信息服务和网络结构，最大限度保证网络系统无故障不间断运行，数据传输更加安全可靠。

1 方案设计

依据内外网的安全形势和现状，按照等级保护要求，统筹考虑各种风险因素，全面规划拓扑结构。根据业务类型，利用核心防火墙将网络分成几大安全域，访问策略颗粒度均细化到端口号。各区域接口采用路由或交换的模式，为其分配了不同地址段。

该网络环境下的应用有：对外web发布系统、语音呼叫中心系统、短信平台、wap手机应用平台、IC卡网上进出口业务数据交换平台、信息安全管理系统、无纸化通关，跨境电子商务等互联互通项目。通过不断验证，我们从以下几方面对网络拓扑和系统设备进行改造：

1.1 专网主干线均采用双设备，双链路方式。广域网通过申请2条10M的MSTP专线，连接到北京总署数据中心。其中一条链路通过上海，作为备份链路中转至北京，降低了长途链路同时失效的可能性。边界路由器运行OSPF协议，自动寻找最佳路径。并配置 VRRP，实现单机故障时网关自动切换，保证可靠性和可用性。各地区边界路由器之间，再次用防火墙进行隔离。

1.2 核心交换区为两台核心防火墙和两台核心交换机，采用口字型及交叉方式互连。防火墙之间使用心跳线连接，用以同步设备数据。交换机之间用2条千兆以太网链路通过捆绑方式聚合，提高主干线路的传输带宽，提供良好可靠性和性能。

1.3 业务接入区设备也采用口字型及交叉方式互连。在汇聚交换机上分割不同的vlan用于区分不同的业务现场。汇聚层与现场的接入层交换机之间配置STP和VRRP协议实现链路和网关的冗余。两条链路使用电信和移动作为不同运行商进行连接，防止某一运行商因施工不慎将两条链路同时挖断。

机场现场采用3G备份方式。主路由器通过track等技术监控MSTP线路通断情况。3G路由器作为备用设备，启用按需拨号模式。若主线路断开，在有业务数据流情况下触发 3G无线拨号，并配置超时断开功能。同时配置 3G冷备设备参数。一旦出问题，由工作人员携带 3G路由器前往现场，设备开机即可接入到海关网络中，确保业务续行。

为保证无线业务传输安全性，采用以下措施：

（1）海关至运营商VPDN之间开设数据专线与互联网物理隔离，海关采用专用APN接入点与外网隔离。

（2）先后经过运营商和海关两道 AAA认证，保证只有海关认可的SIM卡和3G路由器设备入网。

（3）在边界防火墙上过滤3G网络流量，仅允许3G VPN通信，保证内部设施的安全。

（4）采用IPSEC VPN方式完成网络加密，加密设备选用国家密码局认证设备和算法，以有效防止黑客利用其他非法手段截取海关通关数据。

1.4 根据等级保护要求，互联网区域通过两道不同厂商防火墙与对外接入区进行对接，使外网能访问专网内特定业务。同时，互联网也申请了移动和电信 2条不同ISP，均经过一台上网行为设备对互联办公用户进行规范管理。在对外服务器区部署防病毒网关，对该区域进行安全防护。

1.5 为方便外网用户接入管理运维，在互联网防火墙上，部署了IPSEC VPN，连接至管理区，用户安装VPN客户端，根据不同帐号密码登录，可远程访问相应的设备。同时该区域部署运维审计系统，可对接入用户身份和行为做记录，防止用户接入的误操作和恶意行为。

1.6 XX作为综合实验区项目与北京服务器对接中转站，采用双向NAT转换映射到对端服务器端口，使一方访问本侧防火墙端口的IP地址及端口号，即可访问到对端服务。

1.7 业务区部署内网安全管理系统，由中央管理平台部署区域管理器，扫描器发现网络中的设备信息交给区域管理器处理对比，根据管理规则在平台上报警。同时客户端需安装注册程序，若用户有未注册或违规外联等非法情况，将自动上报管理中心，中心控制该区域中的计算机则立即发送攻击包对其进行阻断。

1.8 在业务关键节点上部署IPS入侵防御系统，并对web服务器安装网页防护墙，防止注入和渗透等各种攻击。

在调试过程中，遇到以下问题：

（1）通往总署因采用双链路，其中经过复杂的OSPF计算，存在来回路径不同路。由于双链路经过不同的防火墙，回路的包被阻挡，发现数据包有去无回现象。对此在路由器上配置策略，调整cost值，以优化传送数据的路径。

（2）不同地区之间链路受到有源设备影响，若中途光缆断掉，有源设备到局端的设备依然处于正常连接的通电状态，设备认为该链路良好而不切换到备用链路。更换带有光缆检测功能的MSTP设备，配置联动性使之影响到有源端口，该问题得以解决。

安全管理规章制度。需接入电子口岸网络的任何用户，应提出入网申请，经领导审批后，方可开通入网。入网微机的任何安装活动，需经批准。任何单位和个人不得擅自更改网络线路、系统配置参数和安装的件。

出于资金和条件限制，目前网络系统仍存在一些问题有待改善：

①目前服务器大多采用传统的一台服务器运行一个服务方式，未能合理利用资源。今后对服务器的部署建设中，对服务器采用虚拟化，统一分配CPU、内存及其他I/O资源，并将服务器使用光存储阵列作为数据存储支撑，方便部署，提高数据访问效率。

②随着业务进一步扩展，web服务器访问量的加大，建议安装负载均衡设备。通过负载调度程序为各个服务器分配工作量，从而达到充分利用资源，提高访问性能的目的。

③对网络其余部分也采用双链路，双设备改造，实现整个网络拓扑的双机热备及双链路冗余，在出现故障时能够自动切换，有效避免单点故障。根据业务的重要性对网线进行颜色区分，对所有网卡均换成千兆以上端口，并统一用6类线连接，用以提高物理传输速率。

④对内部机密数据的重要安全区域使用物理隔离，以增加海关内部数据保密要求。如报关查询缓存服务器与报关服务器用网闸隔离，使外部用户不直接访问报关web服务器，而是从缓存服务器中进行单据查询。

今后，海关的业务数据量将会更大，实时性要求更高，由此安全方面我们将面临更大的考验。我们将结合新的科技发展趋势，使用现有成熟的设备和技术，更快满足电子政务高速发展的要求。并注意节约成本，减少项目开发的风险。