国家质量监督检验检疫总局(简称国家质检总局)整个网络的架构可分成如下部分:局域网的设计(包括核心和楼层接入部分)、广域网连接的设计(连接其它部门和机关)、网络安全的设计。
局域网设计大容量
局域网络设计充分体现了大容量、高性能、高可用性、服务质量保证、易扩充、便于治理的安全网络的概念。北电网络的局域网解决方案采用层次化、分布式结构,核心层和接入层明确。
核心层提供高速交换、会聚、路由和策略能力。接入层提供楼层、分支机构的数据接入,选用NORTEL Passport 8600作为核心层的交换机,提供高速数据交换,Baystack交换机系列作为接入层的设备。
接入层要求有灵活的扩展能力,配置Baystack 420可堆叠交换机便于将来扩充接入的能力。
网络设计考虑到及时、准确的网络故障报警,减少故障的解决时间,日常的维护治理及网络使用情况的统计,建议配置NORTEL的网络治理系统Optivity网管软件,从而使得复杂网络治理实现简单、高效。
传输是网络的基本功能,因此网络层的目的是高效、可靠地转发数据。北电网络的Passport 8600路由交换机支持VRRP协议,为网络提供冗余路由。因此在网络设计中体现了网关的备份,提高设备的可用性。
广域网设计易沟通
根据用户的需求,国家质检总局全国数据通信专用网以及国家质检总局Internet接入网络进行分别设计。
全国数据通信专用网。广域网设计成一种两级星型拓扑逻辑结构网络。各直属局以国家总局为中心呈星型互连,构成一级网络;各下属局以其所属直属局为中心呈星型互连,构成二级网络。广域网主干链路采用2M SDH或2M帧中继PVC。另外,为保证骨干网的可靠性,随着应用的发展及对广域传输带宽需求的不断增加,在上述拓扑结构的基础上可方便地实现广域网的扩展。同时,为了保证网络的可靠性,在网络的一级中心设计使用多台路由器(在北京国家总局网络中心增加一台路由器),从而形成两台路由器互为热备的稳拓扑架构。
国家质检总局Internet接入网络。由于质量监督检验工作的业务突发性很强,这就需要良好而稳定的远程访问系统以满足在外办公人员对总局的信息资源的访问。目前,位于北京的国家总局放置一台路由器,配置模拟MODEM接口,以满足出差人员的远程访问需求。
质量监督检验是一项复杂的工作,需要和国家其他相关部委保持经常性的联系。所以,国家总局放置两台路由器,作为分路由器用于与其他个机关的互连以及Internet的接入。
安全设计三层防护
物理安全策略的目的是:保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾难、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全治理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。物理安全是信息安全的保障,是系统不可缺少或忽视的。
物理安全防范措施主要体现在机房环境要求、设备物理防范和介质安全三个方面。保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提。系统采用VLAN划分、防火墙、漏洞扫描、入侵检测等几方面安全技术解决网络安全问题。根据国家质检总局需求分析,总局有一定网络区域划分,方案主要从质检总局网络边界安全考虑。
Internet接入是总局网络边界的主要接口,有必要设置防火墙进行边界安全防护。由于防火墙是处理内网和Internet之间的信息交换,要求此防火墙从安全性和抗攻击性能上达到相当的水平,并且还要能够保证DMZ区的服务器对外提供服务的质量,以及其它需要访问Internet的服务器或客户端的服务质量。
防火墙的Untrust(OUTSIDE)口接入路由器,DMZ口接Web交换机,Trust(INSIDE)口接中心交换机。
通过建立开放区(DMZ)或反向NAT,可以让外部网用户访问企业内部网服务器,由于DMZ与Local Net不在同一物理网络内,可以保证内部网络的安全。企业客户、员工假如想通过Internet连接到内部网,只要通过系统认证,就可以通过防火墙访问内部网络。
涉密防火墙作为保护涉密网的网关级访问控制和安全防护设备,更要求能够提供高等级的安全级别,并能够和全网的安全系统协同工作和集中治理。涉密网防火墙放在内部防火墙后面,从而实现三层防护。