XXXX市行政中心电子政务网络系统解决方案
图 网络拓扑图
全网核心为三台高性能路由交换机,主楼由于信息点数较多,配置S8505核心路由交换机作为全网的核心,在辅楼配置S5516作为辅楼的分中心,实现人大和政协的相对独立规划。核心和分中心交换机间通过双千兆互连,即可增加核心交换机间带宽,又可提高端口链路的可靠性,保证在一条端口链路失效的情况下核心间仍可转发数据。
接入层采用华为3Com公司的智能型二层交换机S3000系列,根据接入点的具体信息点数堆叠,每个S3026C提供24个10/100M自适应的以太网口,2个可扩展插槽,支持100M/1000M单模、多模光口,S3050C提供48个10/100M自适应的以太网口,2个可扩展插槽,支持100M/1000M单模、多模光口,根据具体情况选配模块,具有较大的组网灵活性。
所有各层配线间的S3026C通过千兆以太网光口上联至各自的核心路由交换机的千兆以太网光口上,实现业务的汇聚和集中处理。
同时在内网核心节点可考虑另配置政务OA/DHCP服务器一台,以完成内部办公网络的IP地址的分配和电子政务系统的承载。另根据实际应用需求可以增配文件服务器等配套服务器。
4
XXXX市行政中心电子政务网络系统解决方案
2.2 内外网的逻辑隔离
在XXXX市行政中心电子政务网路中,采用的是一张电子政务网络,通过逻辑隔离的方式实现内外网的隔离和访问控制。目前,在以太局域网逻辑隔离的方式指的是VLAN+ACL的方式,下面就这种方式加以说明。
VLAN(Virtual Local Area Network,虚拟局域网)是将一组位于不同物理网段上的用户在逻辑上划分成一个局域网内,在功能和操作上与传统LAN基本相同,可以提供一定范围内终端系统的互联。VLAN可将广播帧限制在一个VLAN中,即VLAN之间二层隔离,必须通过IP层(三层)才能互通。所以通过VLAN 可以提供一定的业务隔离能力,而这种隔离的设置在于ACL(Access Control List,访问控制列表)。
前面提到,在网络中划分VLAN后需要三层设备才能实现VLAN间相互通讯,且这种通讯能力是网络中配置三层设备后默认具有的能力。为了实现不同网段间的隔离,需要使用访问控制列表控制那些网段可以相互访问,那些不可以。
访问控制列表可以包括:基本访问表和扩展访问表。基本访问表控制基于网络地址的信息流,且只允许过滤源地址。扩展访问表通过网络地址和上层应用数据。
在XXXX电子政务网络中,可以对局域网交换机的端口细分,确定那些端口接入的PC是内网的用户,那些端口的用户是外网的用户,从而将不同的端口划分入不同的网段,这种划分的方式还可以延伸加入接入PC属于哪个部门。确定不同的网段后,在三层设备上通过ACL实现基于源地址的控制,从而保证不同网段间接入的PC是否可以互通和访问,进而做到逻辑隔离。
采用VLAN+ACL方式实现简单,对设备的要求也较低,并且具有成熟的国际标准。
2.3 政务网安全
随着以太网应用的日益普及,以太网的安全为日益迫切的需求。以太网交换机作为政府部门网络内部的网络之间通信的关键设备,有必要在政务网内部提供充分的安全保护功能。
5
XXXX市行政中心电子政务网络系统解决方案
? 用户身份验证
传统的以太网是一个开放的网络,所有的用户只要接入到交换机上的物理端口就可以访问网络的资源,没有一个逻辑上的身份校验的过程,这种不经身份验证的网络存在一定的风险。用户接入控制的目的是保证接入政务网的用户是合法的或通过某个以太网交换机端口接入内网局域网的用户是预先配置的。华为3Com可提供完善的接入认证解决方案,可提供的用户验证包括PPPoE验证、WEB验证、802.1X端口验证等等。针对XXXX市行政中心的电子政务,我们推荐采用802.1X的用户身份验证方式。
802.1X用户身份验证方式下,需要在每台电脑上安装一个客户端软件,用于输入用户名和密码。当用户需要使用网络时,必须先输入用户名和密码,只有经过系统校验合法的用户才能接入网络。用户输入一次用户名和密码信息,校验合格后则可任意访问网络。
在XXXX行政中心电子政务网络中,可以根据实际情况,考虑到主要领导的多为独立办公,外人不便于接入网络,因此可以考虑对主要领导的接入信息点不做认证要求,即领导的办公室不用输入用户名和密码等信息即可访问网络,领导办公的接入安全可采用绑定MAC地址的方式实现。而普通公务员的信息点则开通802.1X功能,要求输入合法的信息后才可访问网络。
作为802.1X接入认证,需要配置一台认证服务器,用于完成用户的信息管理和用户自助管理。
? 访问控制
在局域网内的访问控制的原则是只允许授权的用户访问某个主机,通过网络设备来提供这种保障。访问控制包括对交换机的访问控制、基于IP 地址的访问控制、基于MAC 地址的访问控制、基于端口的访问的控制、基于VLAN的访问控制。
XXXX市电子政务网的数据库、服务器等资源是受限访问的。一般一个部门内的用户的权限是相同的,可以将这些用户划分在一个VLAN内,只要设置基于VLAN的报文过滤策略就可以实现对这个VLAN内所有的用户的报文过滤。这样可以看出基于VLAN 的报文过滤是最简单实用的某个用户群的访问控制策略。可以设定Quidway S 系列以太网交换机端口禁止或允许转发来自或去往某
6
XXXX市行政中心电子政务网络系统解决方案
个VLAN的报文。
Quidway S系列以太网交换机支持标准及扩展的ACL。可以通过标准的ACL只设定一个简单的地址范围,也可以使用扩展的ACL 设定具体到协议、源地址范围、目的地址范围、源端口范围以及优先级与服务类型等。这样可以实现复杂的访问控制策略。
如果有些主机和内部应用服务器在晚上是要关闭的,不接受访问,我们可以在核心交换机上设置在特定的时间段起作用的访问控制列表ACL,比如可以设置每周一的 8:00 至 21:00 此ACL 起作用,还可以具体到某年某月某日至某年某月某日此ACL 作用。
对于一些和以太网交换机相连接的特殊设备,只允许接受和发送到某个以太网交换机端口的报文,以保证该设备的安全。Quidway S 系列以太网交换机支持基于端口进行过滤,可以设定禁止或允许转发来自或去往某个端口的报文。
Quidway S 系列以太网交换机支持基于MAC 地址进行帧过滤。如某些政府单位召开各部门的领导群组开会,可以设定和领导群组相连的交换机端口允许转发来自或去往领导的计算机MAC地址的帧,禁止和普通员工相连的交换机端口转发来自或去往领导计算机MAC地址的帧。
Quidway系列以太网交换机、路由器实现了完善的包过滤,不仅可以过滤有安全隐患的以太网帧,还可以过滤IP 包。在内网内可以实现对某些应用进行过滤,比如禁止HTTP / FTP报文等。我们可以配置网络设备端口的输入帧的前80字节范围内的64字节任意域设置过滤规则。
对于政务网中一些关键的地方,可以对符合条件的报文或帧做日志,记录报文或帧的相关信息。Quidway S系列以太网交换机支持日志功能并提供了机制保证在有大量相同的触发日志的情况下不会消耗过多的资源。
? 端口绑定
为了加强对接入用户的控制和限制,防止用户地址被假冒,Quidway 系列以太网交换机支持 4 种地址安全技术:MAC 地址固定、限制MAC地址的个数、端口和MAC 地址绑定、IP地址+MAC地址+VLAN ID 绑定。
Quidway S 系列以太网交换机支持设置以太网交换机端口的MAC 地址学习状态。对于安全要求较高又有移动办公需求的固定计算机设备的办公区和的办公
7
XXXX市行政中心电子政务网络系统解决方案
区。可以关闭该区以太网交换端口的MAC地址学习状态,这样该端口上只能通过认识的MAC地址,来自其它陌生的MAC 地址的报文被丢弃。
支持端口和MAC 地址的绑定方式。通过在端口上配置静态MAC 地址,并禁止该端口进行地址学习,从而限定在该端口上允许通过的MAC 地址,来自其它MAC 地址的报文被丢弃。这可以应用于接入政务网的系统主机的MAC 地址是固定的,且接入政务网的端口较固定的情况,如内网的机要系统。
支持IP 地址、MAC地址和VLAN ID的相关绑定。可以有效的防止IP 地址仿冒和MAC地址仿冒,还可以有效控制相同VLAN 下的用户数目。在一些MAC 地址、IP 地址、VLAN ID固定的部门,可以在部门以太网交换机端口上配置IP 地址+MAC 地址+VLAN ID 的认证。
政务网只允许会议电视系统相连接的以太网交换机端口支持广播报文转发,一般的以太网交换机端口上关闭广播报文转发开关,禁止目的地址为广播地址的报文从该端口转发,以防止Smurf 攻击。
? 入侵检测与防范
政务网的局域网有可能受到入侵流量攻击,对于一些连接关键部门的端口,特别是连接广域网设备的端口(上联政务内网横线网的端口)和财务部门、领导部门的端口,可以将以太网交换机连接协议分析仪,通过报文镜象、报文统计来监控端口流量和统计某个应用流的流量。Quidway 系列以太网交换机支持端口镜象和流镜象,通过基于ACL 的报文包数和字节数统计,从而了解网络的运行状况,发现网络设备是否受到入侵攻击。
华为3Com公司提供图形化的TafficView 流量监控软件(已包含在专业版Quidview网管系统中),可以监控多个设备,用户可以自行添加、删除所要检测的设备,非常方便。内网拥有Web服务器的情况下,可以在安装TrafficView时选择将监测设备的生成的数据(含有流量图形的页面和数据记录)放置在web服务器的目录下,网络管理员可以通过政务内网上任意一台计算机来查看设备流量图形和数据报表。
当发现存在大流量的报文攻击时,最常用的方法是限制到达被攻击目的地址的报文流量,超过流量范围的报文被Quidway S系列以太网交换机丢弃。可以对匹配规则的报文实施平均流量限制和突发流量限制,还可以分时段流量限制。
8
(智慧政务)市政府电子政务网络
