快生活 - 生活常识大全

长春市市政公用局网络规划与安全设计


  摘 要:本文讨论了长春市政公用局二期网络工程项目方案的规划和设计。该工程项目投入经费100万元,建设周期为8个月,在项目的建设过程中,本人有幸参与了整个建设方案的规划,设计、并参与了整个项目的招标、投标。该工程要求整个环境具有高效、稳定及易扩容性、整套环境要具备足够的安全性。
  关键词:网络设计;安全设计;网络关系
  一、网络需求
  (一)信息港专网与internet要实现物理隔离。
  (二)监控大厅中的机器要能访问internet上的google地图数据和内部应用服务,其余不能访问。
  (三)整个环境具备高效、稳定及易扩充性。
  (四)整套环境要具备足够的安全性。
  (五)市政公用
  二、需求分析
  监控大厅既要访问google地图,又要访问内部的应用服务,所以客户端只能与internet实现最大程度的逻辑隔离。
  整套平台要做到高效稳定,其中网络的高效稳定、服务平台的高效稳定是核心。
  从维管中心的整个网络结构分析,安全包括:内网的安全、外网的安全、信息港网络的安全。所以只有保障了这三个网络的安全及三套网络的安全就实现了整套网络环境的安全。
  整个平台的高效由高效的网络和高效的服务响应组成。网络的高效由高处理能力、高转发能力的网络设备完成。服务的高效由集群的服务完成。
  维管中心整个内部计算机环境包括:数据库服务、中间件服务、对外web服务,ArcGIS服务、客户端。其中应用服务端与数据库将会成为访问的集中点。所以服务的高效稳定性与否将会是整套平台的高效与否
  三、网络规划总体设计
  长春市市政公用局网络总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一性为原则,以及考虑到技术的先进性、成熟性,并采用模块化的设计方法。
  核心层由两台H3C 7503-S网络核心交换机,为接入层和大楼汇聚层提供千兆骨干连接,从而保证长春市市政公用局网络中心接入业务的不间断运行。在充分利用资源的同时可以进行集中管理。
  (一)网络结构设计
  针对长春市市政公用局网络的实际情况,现期局域网建设用采用吉比特以太网Gigabit Ethernet(1000Mbps)有线标准来组建整个TCP/IP网络。
  (二)网络现状
  本次项目主要是建设市政公用局维管中心。目前,市政公用局维管中心位在新的办公地点,长春建管中心的四楼,五楼。其中四楼主要用于系统的展示、监控及12319的办公,机房位于五楼。新的办公地点,还没有现有的网络环境。
  (三)网络连接
  从整体功效来说,维管中心是长春市政公用局指挥调度的核心,其网络要求具有快速、安全、准确获取、传递各种数据信息的能力,还要具有很强的综合分析、处理各类信息的能力等等,因此,部署在机房的网络设备我们选择H3C S7503高性能核心交换机和H3C S5100高性能交换机组成内部高速交换网络,以千兆光纤互联,经H3C千兆Secpath f1000防火墙与H3C 高性能路由器出Internet网,使用过公安部认证的利普隔离网阐实现互联网与信息港专网的物理隔离。
  (四)IP网段的规划
  为了以后整个维管中心的易扩大充性、并方便以后的路由规纳,整个IP地址的网段以172.28.x.x 16位子网掩码为总的网段,通过划分子网的形式向下划分。
  服务器段:172.28.11.x/24
  对外WEB服务器:172.28.80.82/29 网关:172.28.80.81
  五楼监控机器与所有爱默生的监控设备一起并入 172.28.90.x/24网段
  监控大厅共24台客户端,以职能结构划分VLAN。
  话务组的网络权限:允许访问12319服务器、应用服务器
  12319技术组网络权限:允许访问网页、储煤点服务、应用服务器
  管理组:允许访问所有服务器
  热力公司组网络权限:允许访问网页、应用服务器
  监控机网络权限:允许访问所有内部服务器、允许访问网页
  对外WEB服务器网络权限:允许内外网访问其web服务,允许监控机不受限制访问,其余一律拒绝。
  (五)各套网络之间的网络关系
  内网与Internet网的网络关系配置为NAT关系,此类网络关系既可对外隐藏内部的网络结构,并且可以实现只有少量或一个外网IP地址时,内部多台机可同时访问外部。
  内网与信息港专网的网络关系配置为NAT关系,以便对信息港网络隐藏内部的网部结构。
  internet与信息港专之间通过安全网阐物理隔离,不允许相互之间的访问。
  四、安全性设计
  (一)外部安全
  外部安全主要是指来自Internet网和信息港专网的安全威协。
  (二)内部安全
  内部的威协主要是指病毒木马的威协、黑客行为、内网不正当的行为。
  (三)防病毒木馬、黑客的威协
  黑客的攻击绝大多数据情况下都是利用操作系统的漏动或其它应用软件的漏动进行攻击,所以及时的打上补丁加上防火墙的阻挡可以最大程度的减少这种安全威协。
  使用网络版防病毒软件,配置成每天夜间12点进行病毒库,补丁库的升级,并设置每天中午对其客户端进行操作系统补丁的分发和全盘扫描。以最大程度的避免来自外网的此类威协。
  (四)操作系统的安全保障
  操作的系统的安全主要包括,口令的安全,物理位置的安全。
  所有服务器的操作系统密码都配置成满足复杂性的要求,即大小写+数字+特殊字符的组合,且大于七位。建议口令定期更改。以防口令的暴力破解。
  所有服务器都放置在5楼的机房,不相关人员不允许进入,并做好出入登记,以防人为的破坏。
网站目录投稿:觅雁