随着中国政治改革的推进,政府部门承担越来越多的管理和服务职能,为适应政府职能的转变,不少地方新建或者改建政务办公大楼。政务办公大楼的建设需要全面规划政务信息化的建设,比如,税务部门的提供网上报税功能,为市民和企业提供更便捷的报税服务;卫生部门提供网上预约挂号功能,让市民足不出户就能预约看病,免去排队之苦。为实现这些服务,政务网络和安全体系是必不可少的基础。为适应未来越来越多的政府业务的需要,对政务网络会提出越来越高的要求。
政府办公楼在建设之初就需要预先考虑政务网络的规划。在充分预估政务业务的需求的基础上,综合考量可靠性、先进性、经济性等因素,设计一个稳定可靠,未来可扩展、安全系统完备、易于管理的政务网络系统。
在各地的新办公楼网络建设中,网络建设呈现出很大的差异性,由于经费所限或者认识的限制,一些办公楼网络规划不尽如人意。大致来说,办公楼网络可以分为三个阶段。
第一阶段:基本网络连通,能够提供门户网站、邮件、上网等基本业务,有防火墙等基本的安全防护设备,网络管理软件基本没有或者基本不使用。这一阶段是最基础的网络阶段,成本较低但是性能、可靠性不高,安全防护能力较低,发生网络中断和安全事故的风险较高。这个阶段一般出现在网络建设的早期或者对信息化建设认识不足的部门。
第二阶段:在第一阶段的基础上,采用了高性能的网络设备,考虑到设备和网络的冗余,可靠性明显提高。增强了安全防护,除了防火墙外考虑了入侵防御、WEB保护、用户认证和审计等安全技术;采用了比较全面的管理,除基本的设备管理外,开始有针对用户的管理。这个阶段一般出现在前期网络发生问题,对网络可靠性的要求提高等情况下对网络的改造。
第三阶段:在第二阶段的基础上, 采用业界领先的可靠性技术和网络设备,实现了网络的极高可靠性,可以满足关键业务对业务连续性的苛刻要求;在数据中心等高端领域采用业界领先的专业级设备,可以满足关键业务对突发性流量、高性能计算的严格要求;全面的安全防护能力,从"隔离" "清洗" "防护""控制""调度""分析"等方面全面保证核心业务网络的安全防护要求。具备更强的业务能力,更强的扩展能力,全面的安全防护,完整的管理能力。
行政大楼的基础网络规划需要考虑多方面的问题:
◆多年来电子政务的建设使政府的业务对政务网络的依赖大为增加,政务网络承担着所有电子政务的运转和大量数据的传送,网络的故障将导致业务系统的中断,因此网络的可靠性格外重要。
◆政务网络的建设通常分期分阶段实施,因此需要网络具有良好的可扩展性,以满足网络不断发展的需要。
◆根据业务不同,将网络分成不同功能区域,便于网络的管理,并且可以在不同区域之间部署针对性安全策略。
◆数据中心承载着核心政务业务和大量重要数据,日常业务量远远高于普通网络设备,有时还会出现突发性浪涌数据流。对数据中心使用的交换机需要选择专业的数据中心交换机。
为提高网络的可靠性和提高网络的性能,通常在关键节点进行双机冗余,在关键链路进行双链路冗余。然而,如下图所示,在可靠性提高的同时,网络结构也变得复杂。为了消除网络环路和实现负载分担,使网络的部署难度和管理难度都大大提高。
H3C第二代智能弹性架构技术(IRF2)以极大简化网络逻辑架构、整合物理节点、支撑上层应用快速变化为目标,实现IT网络运行的简捷化,改变了传统网络规划与设计的繁冗规则。IRF2即第二代智能弹性架构,是创新性建设网络核心的新技术。
运用IRF2技术,可以将多台交换机互联在一起,形成分布式交换架构,并作为一个逻辑交换实体运行。最为重要的是通过交换机之间的互相备份增强了设备的可靠性。当组成IRF2架构的任意一台设备发生故障时,通过其他设备的冗余备份,业务可以正常运行而不受到影响,减少了单点故障对网络的影响,大大提高了网络的可靠性。
图2 IRF2技术组网示例
如图所示,H3C交换机可以互相连接起来形成一个"虚拟设备",这台"虚拟设备"无论在管理还是在使用上成为了一个整体。通过IRF2技术,扩展了设备的端口数量和交换能力,大大提高了设备的可扩展性;并且整个组作为一台设备进行管理,用户管理起来也非常方便。
IRF2技术向用户提供了一种新型的虚拟化技术,能为用户线性的扩展整个系统的性能,增强系统的可靠性,同时提供管理的便捷。对网络核心、汇聚和数据中心应用来说,是关键性的技术。
随着政府数据中心建设的深化进行,数据中心的物理服务器、存储系统数量快速增长,使得数据中心规模不断扩大。目前1Gbps~8Gbps级别的服务器、存储系统网络接口成为主流,从而使得基础网络系统的千兆接入、万兆互联成为数据中心建设的基本标准。万兆互联环境下,业务流量突发异常显著,根据网络观测,以1毫秒为间隔采集到的流量峰值是平均流量的2~3倍。而这样的突发数据流将导致在集中业务访问引起的流量突发情况下的大量丢包,这就要求采用专业的数据中心级交换机来解突发数据流引起的网络浪涌流量问题。
计算虚拟化的技术革新,使单一高计算能力物理服务器虚拟化成多个逻辑计算单元,极大提高了系统的计算效能以及对存储访问的高速吞吐。而由于等同于将此前的多个服务器应用系统叠加在一个网络接口下,网络流量急速提升,因此对数据中心基础网络提出了相当于传统环境下数倍乃至数十倍的性能要求。
同时随着数据集中、业务整合的过程,政务业务数据集中密度越来越高,表现为高密应用系统的集中。在高密应用集中环境下,基础网络的可靠性要求更为苛刻。局部网络产生的故障,对数据中心提供服务能力的影响比传统环境要更为严重。因此,对于网络变化的快速收敛、更强的故障自愈能力也成为下一代数据平台的要求。
对高性能设备和高密度应用的不断追求催生了专业数据中心级交换机,可以说数据中心级交换机是数据中心时代的标志性产品。数据中心级交换机不但应用于数据中心建设,在高性能园区网络和高性能政务大楼网络中也是更佳的选择。
H3C提供全系列的专业数据中心交换机产品,涵盖从核心到接入的各个层面。专业数据中心产品广泛应用于淘宝、百度、腾讯、搜狐等大型数据中心。
对于安全的建设,"头痛医头、脚痛医脚"的现象比较普遍。大多数政府部门仍然停留在出现一个安全事故后再去解决一个安全隐患的阶段,缺乏对信息安全的全盘考虑和统一规划,这样的后果就是网络上的设备五花八门,设备方案之间各自为战,缺乏相互关联。
这种关心局部、忽视整体的建设方式,将直接导致对安全威胁的传播途径考虑不足,尤其在现阶段,安全风险不是孤立的出现,往往需要从网络的多个层面进行综合的防护才能有效解决。就如同病毒防护,需要考虑的因素包括internet网关的防病毒,桌面存储介质导致的病毒防护,以及需要考虑PC接入网络之前的端点准入认证,避免PC之间相互传播病毒等等。这种解决方案并不是单纯的依靠病毒网关、或者是客户端病毒软件安装所能解决的,而是需要考虑网络的病毒隔离防护、存储介质的使用限制等等。只有综合的解决方案,才有可能更好的解决问题。
整体的安全防护,应该全面考虑网络各个部分的安全风险,分别加以防护。政务网的安全防护重点及部署要关注以下几个方面:
1)大楼网络的内网安全风险控制:主要包括大楼接入用户的端点安全,用户的桌面安全管理,以及大楼不同部门之间的安全隔离和访问控制。同时,在涉密部门的安全控制中,需要考虑到信息泄漏的风险,因此对于桌面U盘等存储介质需要管控,对于员工的internet行为如QQ/MSN聊天等需要进行相应的解决方案部署。解决内网安全风险控制,可以通过部署EAD终端准入管理系统,对接入网络的用户终端实施安全策略,严格控制终端用户的网络使用行为。
对于要接入网络的用户,EAD解决方案首先要对其进行身份认证、安全认证,根据网络管理员定制的安全策略进行包括病毒库更新情况、系统补丁安装情况、软件的黑白名单等内容的安全检查,根据检查的结果,EAD对用户网络准入进行授权和控制。通过安全认证后,用户可以正常使用网络,与此同时,EAD可以对用户终端运行情况和网络使用情况进行审计和监控。
2)出口安全防护:
3)内部边界安全防护:按照安全域的划分原则,政务网络可能包含了办公网络、internet边界、DMZ,数据中心、广域网分支、网管中心等组成部分,各安全域之间的相互隔离和访问策略是防止安全风险的重要环节。另外针对关键业务服务器区域的安全防御更需要针对web应用的攻击,以实现2-7层的安全防护。
4)数据中心的安全:数据中心是政务网安全防护的核心区域。针对数据中心的安全防护需要在高性能高可靠的原则指导下,在使用高性能的防火墙实现数据中心和其他安全域的隔离、使用高性能IPS进行关键服务器的应用层攻击防护的基础上,需要关注大流量的DDoS防护,尤其是关注数据中心应用的性能,必要的情况下需要考虑并部署负载均衡等应用优化类设备,以实现对外业务的可靠快速的响应。
5)外部用户的接入安全:很多单位涉及到外地分支机构,或者园区外分散办公。对于这些分散单位接入方式有广域网专线接入和通过internet接入两种。如果没有条件实现专线接入,使用IPSEC VPN进行加密数据传输时是通用的选择;对于部分出差用户,或者实现家庭办公、移动办公也可以通过部署SSL VPN的方式解决从外部访问业务系统。在这种情况下,如何做到将多种VPN类型客户的认证方式统一、或者精细化的访问权限划分是需要重点考虑的问题。
用户访问服务器的路径上,从服务器、接入交换机、汇聚交换机、服务器安全设备、核心交换机、出口安全设备、出口路由器,是一条长长的路径,用户感受到的性能并非是某个设备的性能而是整个系统的性能,这个性能取决于整条路径上所有设备中性能最低的一个,因此仅仅单个设备的高性能并不能带来高性能,只有端到端的所有设备都高性能才能带来实际的高性能。这就要求路由、交换、防火墙、IPS、应用控制等设备都要能达到设计的性能要求。
比如:出口安全方面,通常会部署防火墙、IPS和应用控制等安全设备,比如设计性能是500Mbps,那这些设备的吞吐性能就都要在500M以上,如果某个设备性能只有200M,整个网络的性能就会降到200M。
在数据中心(中心机房)更容易出现性能问题,服务器汇聚交换机和与核心交换机之间的线路一般是千兆、千兆捆绑甚至是万兆,这对为保护服务器群而部署的防火墙、入侵防御、流量清洗等设备的性能提出很高的要求。同时具备多个千兆接口乃至万兆接口的防火墙、入侵防御设备的成本相当高昂,给用户带来很大的成本压力,往往用户退而求其次,采用较低性能的产品,降低了整网的性能。
H3C的网络安全融合解决方案能协助客户解决这一问题。Secblade防火墙插卡具备极高的吞吐性能,最高达到可达10G,对于大多数政府部门的数据中心游刃有余。如果用户的数据中心规模很大,超出了单个Secblade的性能,还可以扩展插卡来提高整机的性能,使性能和安全完美兼顾。
"隔离" "清洗" "防护""控制""调度""分析"六大安全功能缺一不可,1、防火墙:完成最基础的安全区隔离;2、IPS入侵防御:实现2-7层应用层安全防护;3、AFC(流量清洗):专业防护DDOS(拒绝服务攻击); 4、ACG 应用控制 实现对应用程序、带宽的控制5、LB(负载均衡):实现数据中心服务器访问负载均衡;6、NetStream:数据中心网络流量分析;
一方面安全功能的要求使得设备种类越来越多,另一方面随着对性能和可靠性的要求越来越高,安全设备的数量也越来越多。越来越多的设备给部署带来很大的困难,由于安全功能的串行处理的特点,部署六大安全功能就要部署六层安全设备,就好像糖葫芦串一样。过多的层次使网络结构变得非常复杂,设备部署困难、日常管理复杂、排错调试工作量大。
为了解决这些问题,必须改变陈旧的建设思路,改以扁平化的方式来实现。H3C的网络无缝安全融合方案实现了丰富的安全功能和便捷部署与管理的统一。网络需要的安全功能只要在交换机上插上相应的安全插卡就能全部支持,安全插卡采用分布式硬件,与独立式设备性能相同;所有安全功能一级部署,网络结构简洁清晰,避免了糖葫芦串的复杂结构。
除了前面提到的防火墙类插卡外,H3C还提供IPS入侵防御,ACG应用控制,AFC 流量清洗,LB负载均衡等插卡,为用户提供全面的安全防护方案。
无线网络作为有线网络的必要补充,已经越来越普及,在政务网当中也有越来越多的应用。办公大楼中的会议厅,需要较多笔记本电脑同时访问网络,使用无线网络;一些政府部门在一些老建筑中办公,为了保护建筑不能穿墙打眼来布线,使用无线网络;有的提供公共服务的部门如行政服务大厅,需要为公众提供网络服务,也使用无线网络。随着信息化应用程度不断提高,以后无线网络会使用的更加广泛,成为政务网络中的标准配置。
无线网络带来了使用上的方便,然而如果部署不当,却会带来管理上的麻烦。有线无线割裂是常见的一个问题,早期一些单位为了快速实现无线业务,采购无线交换机AC、无线接入点AP等构建了无线网络,也实现了无线网络服务。但是使用之后很快发现,由于无线网络和有线网络未能统一规划,有线无线两套管理系统互不兼容,设备无法统一管理,用户无法统一认证,安全也无法统一管理。
由此我们认识到,多数情况下,无线网络并非独立存在,而是有线网络的延伸和补充。
基于这个认识,有线无线网络统一规划统一部署就成为应有之意。为实现这一目标,H3C提供了有线无线一体化解决方案,实现了有线和无线的统一管理,使无线网络与有线网络采用同一管理平台,同一告警和日志平台;无线和有线设备统一显示在同一界面,实现了一体化拓扑管理。
无线接入点AP位置分散,为了给AP供电,需要在每个AP旁布放电源,布线是个麻烦事。H3C有线无线一体化方案能够提供统一供电方案,POE交换机通过以太网线AP供电,省去布电线的麻烦。而且还可以通过供电管理,控制AP何时工作何时关闭,使无线网络的管理更加灵活。
有线无线一体化解决方案还能实现用户的统一认证和统一安全管理,无论用户通过有线网络接入还是无线网络接入,通过人网合一的管理都可以实现统一认证,统一终端控制,统一病毒控制,防止从无线网络引入病毒和安全攻击。
构建一个技术先进、智能安全、业务全面的政务网络是每个政府信息化主管的目标,本文介绍了高性能、可靠性和扩展性技术的最新进展和整体安全、网络安全无缝融合、有线无线一体化等领先的建网理念,希望能对政府信息化主管有所帮助。