| 电信 教育 政务 机械 汽车 船舶 交通 石化 烟草 服装 电力 金融 外贸 冶金 电子 |
佛山市政府网工程项目实施案例一、项目背景和建设目标 此次项目的主要建设目标是建立一个供佛山市党政机关上公众网和外界用户了解佛山市政务工作的硬件支撑平台。 选择功能强大的网络设备搭建高速、稳定的硬件平台 制定完备的安全控制策略,保障网络安全 技术方案设计主要包括三个方面的设计 ☆ 交换网络的设计 ☆ 路由策略的设计 ☆ 安全控制策略的设计 由于佛山市政府公众网具有支持政府各部门访问互联网的功能,因此在网络设计的过程中必须保证全部近50个单位之间的互连和通过中心网络访问Internet的功能,并且要处理交换网络中的IP资源分配和网络广播风暴和数据传输包碰撞的控制。 在具体的技术实现工程中,我们使用Vlan技术和Catalyst 5509支持的三层交换功能来实现。利用Vlan 技术具有以下优点: ☆ 通过Vlan设定分割的广播域和冲突域,限制广播风暴的出现。 ☆ 通过Vlan划分,赋予每个子网单独的IP段,保证网络资源的分配合理化和层次性。 ☆ 用Vlan技术可以实现在交换网络上的安全控制。 1) 进行合理IP资源计划分配,为每个政府部门提供一个独立的保留IP网段,在Catalyst 5509上为合法IP网段和部门独立网段设定一个Vlan接口,为5509RSM提供路由接口。 2) 利用Cisco公司提供的Vlan Trunk技术,使大楼交换设备Cisco Catalyst 2924C与中心交换机5509的Vlan配置信息同步,在2924上指定各Vlan的端口。保证各单位的WEB服务器能以合法IP为公众访问提供服务。 3) 在中心交换机5509的RSM模块上实现各部门的独立Vlan之间的路由和访问控制。
2、 路由策略的实现 佛山市政府公众网的路由策略主要包括两方面 ☆ 内部各部门之间的互通,包括与合法IP的Vlan的互连 ☆ 内部各部门与Internet的互通 实现上述要求,我们采取两层策略,一是在5509 RSM模块上实现各Vlan之间的互通,在接入路由器3640端实现5509 RSM负责的各保留IP子网与Internet的连接,包括与佛山市五网互连中心、佛山禅通网、广东省信息中心等Internet节点之间的连接和导入Internet。 考虑信息中心申请的合法IP资源有限这一事实,在综合衡量使用Proxy Server和在路由器上的NAT地址转换的资源利用和带宽等各种因素后,我们选择使用NAT地址转换的方式将保留IP地址转换成合法IP访问Internet。该转换功能在3640上实现。 3、 安全策略的考虑 访问Internet必然涉及到网络安全问题,佛山市政府公众网的安全问题 我们作如下考虑: 1) 路由器级的安全防卫(IP和TCP应用限制) 2) 专业防火墙的防卫 3) TACACS认证软件的对拨号用户和路由器访问用户的认证 在3640上实现基于IP协议和TCP协议端口的控制,本级控制中将实现对Internet用户访问佛山市政府公众网合法IP的服务器的控制。 在5509RSM上实现对保留IP网段的保护,将禁止Internet用户发起的访问保留IP网段的服务,只允许内部发起的各种服务连接建立。 TACACS Server上实现对拨号用户和访问路由器用户的认证。 Firewall Server 将实现对应用程序的控制和IP业务流的限制。
四、工程实施情况
相关案例
|
解决方案速查(共有 14387 个方案) 基础软件
安全保密
管理软件
办公软件
软件开发
系统网络
图形多媒体
辅助设计
行业专用
教育教学
电子政务
其他软件
接入
通信
网络
存储
IT服务
推荐解决方案
领军企业实施案例
+更多领军企业案例
电子杂志订阅
赞助商链接
| ||||||||||
