论信息系统网络改造规划

2014-03-19 09:26
网络安全技术与应用 2014年2期
关键词:双链路由器海关

何 坚

(中国电子口岸数据中心福州分中心 福建 350015)

He Jian

0 前言

2013年底,作为技术骨干,我有幸参与了本单位金关二期的网络工程方案的规划、设计、建设工作。该项目投入经费200万元。本中心作为分支区域,用广域网方式接入总署口岸专网。网内服务器基本上以 windows 2003为平台,运行各种应用软件。建设目标:充分利用现有设备,更换或新增新设备,实现双链路双设备冗余,对原网络进行安全域划分,增加安全设备或管理软件,优化网络信息服务和网络结构,最大限度保证网络系统无故障不间断运行,数据传输更加安全可靠。

1 方案设计

依据内外网的安全形势和现状,按照等级保护要求,统筹考虑各种风险因素,全面规划拓扑结构。根据业务类型,利用核心防火墙将网络分成几大安全域,访问策略颗粒度均细化到端口号。各区域接口采用路由或交换的模式,为其分配了不同地址段。

该网络环境下的应用有:对外web发布系统、语音呼叫中心系统、短信平台、wap手机应用平台、IC卡网上进出口业务数据交换平台、信息安全管理系统、无纸化通关,跨境电子商务等互联互通项目。通过不断验证,我们从以下几方面对网络拓扑和系统设备进行改造:

1.1 专网主干线均采用双设备,双链路方式。广域网通过申请2条10M的MSTP专线,连接到北京总署数据中心。其中一条链路通过上海,作为备份链路中转至北京,降低了长途链路同时失效的可能性。边界路由器运行OSPF协议,自动寻找最佳路径。并配置 VRRP,实现单机故障时网关自动切换,保证可靠性和可用性。各地区边界路由器之间,再次用防火墙进行隔离。

1.2 核心交换区为两台核心防火墙和两台核心交换机,采用口字型及交叉方式互连。防火墙之间使用心跳线连接,用以同步设备数据。交换机之间用2条千兆以太网链路通过捆绑方式聚合,提高主干线路的传输带宽,提供良好可靠性和性能。

1.3 业务接入区设备也采用口字型及交叉方式互连。在汇聚交换机上分割不同的vlan用于区分不同的业务现场。汇聚层与现场的接入层交换机之间配置STP和VRRP协议实现链路和网关的冗余。两条链路使用电信和移动作为不同运行商进行连接,防止某一运行商因施工不慎将两条链路同时挖断。

机场现场采用3G备份方式。主路由器通过track等技术监控MSTP线路通断情况。3G路由器作为备用设备,启用按需拨号模式。若主线路断开,在有业务数据流情况下触发 3G无线拨号,并配置超时断开功能。同时配置 3G冷备设备参数。一旦出问题,由工作人员携带 3G路由器前往现场,设备开机即可接入到海关网络中,确保业务续行。

为保证无线业务传输安全性,采用以下措施:

(1)海关至运营商VPDN之间开设数据专线与互联网物理隔离,海关采用专用APN接入点与外网隔离。

(2)先后经过运营商和海关两道 AAA认证,保证只有海关认可的SIM卡和3G路由器设备入网。

(3)在边界防火墙上过滤3G网络流量,仅允许3G VPN通信,保证内部设施的安全。

(4)采用IPSEC VPN方式完成网络加密,加密设备选用国家密码局认证设备和算法,以有效防止黑客利用其他非法手段截取海关通关数据。

1.4 根据等级保护要求,互联网区域通过两道不同厂商防火墙与对外接入区进行对接,使外网能访问专网内特定业务。同时,互联网也申请了移动和电信 2条不同ISP,均经过一台上网行为设备对互联办公用户进行规范管理。在对外服务器区部署防病毒网关,对该区域进行安全防护。

1.5 为方便外网用户接入管理运维,在互联网防火墙上,部署了IPSEC VPN,连接至管理区,用户安装VPN客户端,根据不同帐号密码登录,可远程访问相应的设备。同时该区域部署运维审计系统,可对接入用户身份和行为做记录,防止用户接入的误操作和恶意行为。

1.6 XX作为综合实验区项目与北京服务器对接中转站,采用双向NAT转换映射到对端服务器端口,使一方访问本侧防火墙端口的IP地址及端口号,即可访问到对端服务。

1.7 业务区部署内网安全管理系统,由中央管理平台部署区域管理器,扫描器发现网络中的设备信息交给区域管理器处理对比,根据管理规则在平台上报警。同时客户端需安装注册程序,若用户有未注册或违规外联等非法情况,将自动上报管理中心,中心控制该区域中的计算机则立即发送攻击包对其进行阻断。

1.8 在业务关键节点上部署IPS入侵防御系统,并对web服务器安装网页防护墙,防止注入和渗透等各种攻击。

在调试过程中,遇到以下问题:

(1)通往总署因采用双链路,其中经过复杂的OSPF计算,存在来回路径不同路。由于双链路经过不同的防火墙,回路的包被阻挡,发现数据包有去无回现象。对此在路由器上配置策略,调整cost值,以优化传送数据的路径。

(2)不同地区之间链路受到有源设备影响,若中途光缆断掉,有源设备到局端的设备依然处于正常连接的通电状态,设备认为该链路良好而不切换到备用链路。更换带有光缆检测功能的MSTP设备,配置联动性使之影响到有源端口,该问题得以解决。

安全管理规章制度。需接入电子口岸网络的任何用户,应提出入网申请,经领导审批后,方可开通入网。入网微机的任何安装活动,需经批准。任何单位和个人不得擅自更改网络线路、系统配置参数和安装的件。

出于资金和条件限制,目前网络系统仍存在一些问题有待改善:

①目前服务器大多采用传统的一台服务器运行一个服务方式,未能合理利用资源。今后对服务器的部署建设中,对服务器采用虚拟化,统一分配CPU、内存及其他I/O资源,并将服务器使用光存储阵列作为数据存储支撑,方便部署,提高数据访问效率。

②随着业务进一步扩展,web服务器访问量的加大,建议安装负载均衡设备。通过负载调度程序为各个服务器分配工作量,从而达到充分利用资源,提高访问性能的目的。

③对网络其余部分也采用双链路,双设备改造,实现整个网络拓扑的双机热备及双链路冗余,在出现故障时能够自动切换,有效避免单点故障。根据业务的重要性对网线进行颜色区分,对所有网卡均换成千兆以上端口,并统一用6类线连接,用以提高物理传输速率。

④对内部机密数据的重要安全区域使用物理隔离,以增加海关内部数据保密要求。如报关查询缓存服务器与报关服务器用网闸隔离,使外部用户不直接访问报关web服务器,而是从缓存服务器中进行单据查询。

今后,海关的业务数据量将会更大,实时性要求更高,由此安全方面我们将面临更大的考验。我们将结合新的科技发展趋势,使用现有成熟的设备和技术,更快满足电子政务高速发展的要求。并注意节约成本,减少项目开发的风险。

猜你喜欢
双链路由器海关
买千兆路由器看接口参数
维持生命
路由器每天都要关
路由器每天都要关
昆虫共生细菌活体制造双链RNA
清代海关银锭漫谈
关于未纳入海关统计的货物贸易收支统计研究
外贸企业海关合规重点提示
高职思政课“双链”教学模式的构建与实践
高职思政课“双链”教学模式的构建与实践