内容发布更新时间 : 2024/12/26 1:51:23星期一 下面是文章的全部内容请认真阅读。
政府门户网站系统建设项目设计方案
【某内网改造拓朴】
本次某政务内网将由原来的内外网完全物理隔离的方式转变为逻辑隔离方式,即通过一定的安全措施保障,实现政务内网和因特网的互联互通。同时提升整个网络的安全级别,增强信息中心对网
政府门户网站系统建设项目设计方案
络的控制,实现全网统一规划统一标准。实现本次网络建设,具体措施如下:
1.构建覆盖全市、区、县所辖各部门的政务内网,该网络与因特网逻辑隔离;原则上由某政府网络中心统一出口实现与因特网的互联。
2.某政务网站是某政府网上办公业务及宣传窗口,通过其实现与公众沟通;政务网站的维护通过专线连接信息中心,并统一由信息中心制定安全规则。
3.网络基础接入方式基本不变,各个办公大楼仍使用原有线路和设备接入;下联乡镇的交换机更换为具备1000M上联接口的2层交换机。
4. 各个部门之间通过VLAN隔离,同一个部门分散在不同的区域内也可以划分在同一个VLAN;VLAN之间禁止互相访问,保证部门间的数据隐私。
5. 计算机和网络设备的地址统一由信息中心规划,并通过DHCP的方式分配;随意手工篡改IP地址从而影响网络服务的行为将受到通报批评。
6.与因特网互联考虑采用2条线路,其中一条为电信提供的100M链路,另一条为网通提供的100M链路,分别提供给“四办”和其他单位使用;具体情况依据使用效果调整,可以随时添加新的链
政府门户网站系统建设项目设计方案
路进行分流。
7.政务内网和因特网的隔离采用防火墙,对内实现网络地址转换(NAT),对外拒绝提供服务。
8.政务内网中采用东方龙马的入侵检测系统,并可以与防火墙进行联动;下属单位如果自行增加上网链路,则强制要求采购防火墙,并且需要能和东方龙马进行联动。由入侵检测系统统一控制与因特网的连通性。
9.由于能够和因特网实现逻辑隔离,网络中的病毒防范应该比原有物理隔离的情况提高一个等级,因此需要购买一套分布式的网络杀毒软件,保证个人电脑和服务器的安全。
10.随着网络复杂度提高,整个网络管理方法和方式也将趋进科学化,由原来的手工定位、消除故障为主转向自动发现、预防故障的管理方式。通过在网络中心安装CiscoWorks 2000对整个网络进行拓扑、配置的管理。
11.对于今后和杭州市政府网络的连接,根据目前市政府的相关安全要求,需要增加网闸设备,并且网闸连接的网络需要和因特网物理隔离。因此仅将有需要连接到市政府的人员或者设备通过网闸独立连接。为了工作需要,也可以利用隔离卡实现。
根据实施计划将在内网调整中增加部分设备和软件,新增的设备
政府门户网站系统建设项目设计方案
需要根据某政府的确认。因此相应的到货时间暂时不列出。
内网改造涉及到的IP地址分配表:《某内网改造IP分配》,表中给出了市府大院内、外各个单位的IP地址段。由于采用了一个70.0.0.0的B类地址,使得每个单位的IP资源较为充裕,因此每单位的前8位地址将被保留作为对外提供服务之用。
IP地址的分配采用在6509上的DHCP功能实现,每单位一个vlan,每vlan一个C类地址。并且70.0.0.0~70.0.9.255共10个C类地址保留为信息中心专用。
对于下属业务单位需要自己建设外网连接的情况,处于安全考虑必须购买可以和信息中心采购的入侵检测系统能够联动的防火墙。并且至少应该配置三个防火墙端口,一个连接互联网、一个连接某政务外网、一个连接职能部门纵向网络。对于各单位纵向网络的IP地址需要自行指定和定制。 设备名称 防火墙 2个100M端口以上,线和原有的东软防火墙一起提速转发 供接入 基本要求 使用范围