非常地位,非常需要
政府办公网涉及的部门多,范围广,应用条件复杂,从某种意义上讲,政府办公网建设的水平在一定程度反映了网络技术应用的水平,因此政府办公网的建设应该满足高安全性、高应用性、灵活易管理和高扩展性等需求。
高安全性
政务网内部存储着有关国家安全、国家政策、国家机密等重要信息,这些信息直接关系到人民群众的生活和国家的稳定,一旦数据外泄或者受损,将带来不可估量的损失。因此必须在各个方面考虑周全,让黑客和病毒等不速之客无机可乘,保障政府各部门的信息安全。
数据繁杂要求高应用性
政府办公网应用系统多种多样,承载的数据纷繁复杂,仅最基本的就包括数据、语音、视频三方面,这些繁杂的数据要求网络具有高应用性。
地位特殊要求易管理
鉴于政府地位特殊,要求使用统一的网管平台,能够适时对全网的运行进行监控,便于配置,杜绝安全隐患;同时能够通过日志来追查网络中的非法操作。
未雨绸缪高扩展
随着政府办公网系统的完善和发展,各个部门之间以及部门内部之间的应用接口将会不断增加,同时对网络整体性能的要求也会提高,但是所有的网络建设都不可能一步到位,因此网络要具有较强的扩展性,做到未雨绸缪。
非常用心,非常打造
锐捷网络充分考虑到政府各部门职能的特殊性,为政府量身定制了一套特别的网络建设方案,以求最大化地提高政府工作效率,更好地实现政府职能。
如图所示,本方案采用以第三层交换为基础的千兆以太网作为政务网的网络主干,保证网络的高速。
采用锐捷网络全模块化骨干路由交换机RG-4009和RG-3550系列作为本网络的中心交换机。用户可以根据需要,自行选择使用双绞线还是光纤进行网络连接。
接入了锐捷网络RG-2126G,可堆叠,可网管,可插1000M光纤模块交换机,为用户提供100M到桌面并可达到1000M上联的高扩展。
通过基于锐捷网络STAR-VIEW网管平台,对整个网络进行统一管理。
方案根据信息点特点,按部门划分独立子网(VLAN)的方式以减少网络广播,提供网络数据传输性能,并同时提高网络安全性、可调度性、可维护性;
接入层交换机采用的是RG-2126G交换机,通过堆叠技术扩充端口,这样在得到更多的接入端口数目的同时使用了一条上链,节约了核心层交换机的千兆端口。
对于各个部门到核心的连接,使用RG-2126G交换机进行上连,给网络应用提供了带宽上的保证。
在本方案中,使用了两个防火墙。在服务器集群安置了一台防火墙,可以保护政府最终的数据库,保证政务网机密的安全,例如视频会议服务器的安全。对于各个部门对其他级别部门的接入,也使用一台防火墙进行隔离,以防止系统内部出现非法用户而影响核心网络的安全。非常空间,非常体验
由于考虑面面俱到,技术领先一步,锐捷网络提供的政府办公网建设解决方案,势必为政府各部门建立一个非常的网络空间,使政府办公人员体验到网络带来的快捷、便利、高效与安全。为了保证政府办公网的安全,锐捷网络应用各种先进技术抵御黑客和病毒等外来侵袭,给了网络更多保护。
IP+MAC+端口绑定确认接入用户的唯一性。锐捷网络通过硬件实现端口、MAC地址和用户IP地址的绑定,不需要通过802.1x,仅通过设定访问交换机上某个端口的用户MAC地址和IP(可选),就可严格控制对该端口的用户输入,有效防止非法用户的接入。这样,如果是一个未经过授权的用户,即使是连接上了交换机的某个端口,也无法接入网络,保证了网络接入用户的合法性和唯一性。
通过PVLAN,隔离关键用户信息。对于需要保证用户信息安全的环境,若端口之间可以互相通信,则用户的安全性将会受到影响。本方案通过PVLAN(Protected VLAN保护端口)实现端口之间相互隔离,不必占用VLAN资源即可通过扩展模块上联端口或其他上联端口访问互联网或社区服务器。这样,对于政府中“关键人物”的电脑,就可以运用PVLAN功能,让任何人无法对其电脑进行访问,从而保护了电脑上的机密资源。
使用访问日志,记录网络发生的大事小情。锐捷网络提供的方案中包括了一个访问日志服务器,这个日志服务器可以记录电子政务网中的任何一个用户使用互联网的情况。这样,就能够追查到可能进行“非正常活动”的用户或者是在网络上发布不利于党和国家的信息的用户,甚至可以利用IP+MAC+端口的绑定功能确定到具体是哪个PC、哪个人,从而可以全面地保证网络中信息内容的安全。
多播源端口检查有效杜绝非法组播源。IGMP源端口检查指严格限定IGMP组播流的进入端口。当IGMP源端口检查关闭时,从任何端口进入的视频流均是合法的,交换机会把它们转发到已注册的端口;当IGMP源端口检查打开时,只有从路由连接口进入的视频流才是合法的,交换机把它们转发向已注册的端口;而从非路由连接口进入的视频流被视为是非法的,将被丢弃。
IGMP源IP检查可以限定某一组播流的服务器的源IP,从而防止非法的视频流服务器。在IGMP源IP检查关闭时,交换机不对视频流的源IP检查,所有的视频流都被视为是合法的。当IGMP源IP检查打开时,视频流的源IP要符合组播—源IP对应表,或者该组在组播—源IP表中不存在并且源IP等于默认源IP,这样的视频流才是合法的,否则,就是非法的将被丢弃。
另外,这样的源端口检查还可以防止以多播形式传输的病毒的传播,因为只有既定的多播组才被允许在网络中传输,而病毒产生的多播组会被设备认为是“非法的多播组”,被拒绝在整个网络之外。这样就有效地控制了多播形式传播的病毒的扩散。
性能强大的防火墙保证用户服务器和网络的安全。锐捷防火墙RG-WALL系列采用锐捷独创的分类算法(Classification Algorithm)设计的新一代安全产品——第三类防火墙,支持扩展的状态检测(Stateful Inspection)技术,具备1 Gbps高性能的网络传输功能,在启用动态端口应用程序(如VoIP, H323等)时,可提供强有力的安全信道。
采用锐捷独创的分类算法使RG-WALL产品的高速性能不受策略数和会话数多少的影响,产品安装前后丝毫不会影响网络速度,而且RG-WALL在内核层处理所有数据包的接收、分类、转发工作,因此不会出现网络流量瓶颈。
另外,RG-WALL功能全面,主要有防范入侵功能、扩展的状态检测功能及其它(如URL过滤、HTTP透明代理、SMTP代理、分离DNS、NAT功能和审计/报告等)附加功能。特别是RG-WALL防范入侵功能,可判断攻击并且提供解决措施,且入侵监测功能不会影响防火墙的性能。
高应用性
全网可通过对Qos(服务质量保证)技术的支持,提供多种流分类技术和QOS技术,包括SP、WRR、WFQ、WRED、CAR、HOL等,实现报文分类、拥塞管理、拥塞避免、流量监控和流量整形、信令、资源预留,保证网络中高性能的语音、视频会议效果流畅稳定不失真。
配置灵活易管理
全网使用统一的网管平台,系统可自动生成图形化网络拓扑结构图,并且识别各种网络和IP设备,一目了然地查看整个驻地网拓扑情况;当发生网络故障的时候,系统能自动向网络管理员发出报警信号,以便及时排除故障;可以很方便地进行网络设备配置;能够提供访问日志。
扩展性强
核心设备是模块化的,能够提供扩展的能力以及足够的背板带宽,接入设备也具有一定的扩展能力,做到未雨绸缪,为今后的网络扩展做好了准备。