賈晨剛 李珍 王壘 陳佳

陜西省氣象信息中心 陜西 710014

0 引言

隨著互聯(lián)網(wǎng)技術(shù)日新月異的飛速發(fā)展，網(wǎng)絡(luò)的不斷深入發(fā)展，病毒、黑客等網(wǎng)絡(luò)隱患嚴(yán)重威脅著PC數(shù)據(jù)和系統(tǒng)安全，能夠隔離內(nèi)部與外部網(wǎng)絡(luò)的雙網(wǎng)隔離技術(shù)進(jìn)入各個單位的視線，并從完全隔離走到硬件卡隔離，直至現(xiàn)在的整機(jī)隔離。

現(xiàn)階段，全國氣象系統(tǒng)已建成國家、省、市、縣四級綜合業(yè)務(wù)通信網(wǎng)絡(luò)，形成了以光纖、MPLS VPN專線、MSTP等線路連接覆蓋了全國的廣域網(wǎng)絡(luò)。省級到地方采用電信的MSTP專線，國家到地方備用線路則采用 CMACast衛(wèi)星線路，同城主要采用光纖連接。廣域網(wǎng)上有很多互聯(lián)網(wǎng)的出口，網(wǎng)絡(luò)上的應(yīng)用日益增加，日常的工作也越來越依賴網(wǎng)絡(luò)。因此，為確保氣象網(wǎng)絡(luò)的安全性，根據(jù)要求要實現(xiàn)內(nèi)、外網(wǎng)物理隔離，把有害的攻擊隔離在可信網(wǎng)絡(luò)之外。在保證氣象網(wǎng)絡(luò)內(nèi)部信息不外泄的前提下，我省實現(xiàn)雙網(wǎng)隔離，對完成網(wǎng)間數(shù)據(jù)的安全交換有著重要的意義。

1 需求分析

目前，省局氣象大廈和局檔案樓，已實現(xiàn)全覆蓋的有線網(wǎng)絡(luò)系統(tǒng)。根據(jù)國家相關(guān)規(guī)定，行政事業(yè)單位實現(xiàn)廣域網(wǎng)、業(yè)務(wù)辦公網(wǎng)物理隔離，因此，省局機(jī)關(guān)、省局直屬單位需要重新建設(shè)一套單獨的局域網(wǎng)系統(tǒng)。因大廈和檔案樓已無法重新敷設(shè)網(wǎng)線，所以建議采用無線覆蓋的方式，建立一套完整、穩(wěn)定、安全的網(wǎng)絡(luò)系統(tǒng)。

根據(jù)現(xiàn)狀，建議采用有線加無線AP的方式，實現(xiàn)整個辦公區(qū)域網(wǎng)絡(luò)全覆蓋。一方面是更好的滿足機(jī)關(guān)處室、各直屬單位的網(wǎng)絡(luò)需求；另一方面是減少了大量的網(wǎng)絡(luò)布線，只需給每個無線AP敷設(shè)一根雙絞線，不會破壞大廈和檔案樓的裝修，保持大樓原有的美觀。原有的有線網(wǎng)絡(luò)系統(tǒng)，運行業(yè)務(wù)辦公；新建的無線網(wǎng)絡(luò)，運行互聯(lián)網(wǎng)，實現(xiàn)雙網(wǎng)物理分離。

需求具體分為：

① 以無線的方式覆蓋氣象大廈和檔案樓；

② 可對每一位用戶和每個無線接入點進(jìn)行管理；

③ 充分考慮網(wǎng)絡(luò)的安全性，系統(tǒng)具有多層次的安全保護(hù)措施，以滿足用戶身份鑒別，訪問控制和保密性等要求；

④ 在網(wǎng)絡(luò)規(guī)模不斷發(fā)展的情況下，AP系統(tǒng)能夠提供升級、擴(kuò)容等；

⑤ 整個系統(tǒng)采用 802.11N技術(shù)來保障網(wǎng)絡(luò)的可靠性和高帶寬；

⑥ 無線設(shè)備采用集中控制管理，提供人性化的管理方法。

2 方案設(shè)計

(1) 設(shè)計原則

本系統(tǒng)設(shè)計主要遵循以下幾點原則：

① 標(biāo)準(zhǔn)化——在一個網(wǎng)絡(luò)系統(tǒng)里，必然采用基于業(yè)界標(biāo)準(zhǔn)的計算機(jī)設(shè)備、通信設(shè)備和軟件產(chǎn)品，從而實現(xiàn)信息的流通及設(shè)備資源的共享；為了保證用戶的網(wǎng)絡(luò)系統(tǒng)具有互操作性，易于維護(hù)、管理和擴(kuò)充以及高可靠性，應(yīng)建立一個開放的、遵循國際標(biāo)準(zhǔn)的網(wǎng)絡(luò)系統(tǒng)。

② 可擴(kuò)展性——隨著網(wǎng)絡(luò)技術(shù)及應(yīng)用的逐步發(fā)展，網(wǎng)絡(luò)系統(tǒng)必然隨之不斷擴(kuò)大。因此，今天的網(wǎng)絡(luò)設(shè)計必須為未來的業(yè)務(wù)發(fā)展留出擴(kuò)充的余地，這樣才能最好地保護(hù)用戶現(xiàn)有的投資；除了單個設(shè)備本身的擴(kuò)展能力之外，在網(wǎng)絡(luò)系統(tǒng)的設(shè)計過程中，還需要考慮整個網(wǎng)絡(luò)系統(tǒng)在未來幾年的擴(kuò)容能力和擴(kuò)容方法，這樣才能既照顧到目前的應(yīng)用需求，又能滿足今后整個計算機(jī)系統(tǒng)的發(fā)展需求。

③ 可靠性與安全性——采用成熟的技術(shù)、選用成熟的產(chǎn)品，可以在一定程度上保證系統(tǒng)的可靠性及安全性；同時，應(yīng)考慮采用系統(tǒng)容錯技術(shù)，當(dāng)網(wǎng)絡(luò)系統(tǒng)某一點出現(xiàn)故障時，整個系統(tǒng)仍然能夠繼續(xù)運行而不會造成停機(jī)，從而把損失降到最小。

④ 先進(jìn)性——當(dāng)今世界，通信技術(shù)和計算機(jī)技術(shù)的發(fā)展日新月異，設(shè)計方案應(yīng)適應(yīng)技術(shù)發(fā)展的潮流，既兼顧了技術(shù)上的成熟性，同時也要保證系統(tǒng)的先進(jìn)性。

⑤ 可管理性——隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大和系統(tǒng)復(fù)雜程度的增加，網(wǎng)絡(luò)的管理、監(jiān)控、維護(hù)以及網(wǎng)絡(luò)故障的診斷和排除變得越來越復(fù)雜，為了使網(wǎng)絡(luò)系統(tǒng)易于管理和維護(hù)，設(shè)計方案應(yīng)提供先進(jìn)而完善的網(wǎng)絡(luò)管理系統(tǒng)，這樣既能方便網(wǎng)絡(luò)管理員的工作，減輕了勞動強(qiáng)度，也提高了網(wǎng)絡(luò)系統(tǒng)的管理程度。

(2)系統(tǒng)設(shè)計

整個系統(tǒng)設(shè)計采用H3C有線無線一體化設(shè)計方案。通過FIT+AC的組網(wǎng)方式在大廳、樓道采用WA2612吸頂式11N無線AP，匯聚交換機(jī)采用POE交換機(jī)來提供供電和數(shù)據(jù)傳輸并采用WX5004無線控制器作為整個無線網(wǎng)絡(luò)的核心，實現(xiàn)對AP的集中控制管理。各樓層AP接入相應(yīng)的POE供電交換機(jī)，交換機(jī)通過光纖連接到核心交換機(jī)S5500－20TP，核心交換機(jī)與POE交換機(jī)之間通過光纖連接。

圖1 網(wǎng)絡(luò)拓?fù)鋱D

氣象大廈從4層開始每層分布式布放4個AP并接入相應(yīng)的樓層交換機(jī)，21層放置1臺AP；每3層樓放一臺24口POE交換機(jī)；檔案樓每層布放2個AP，用一臺24口交換機(jī)。根據(jù)設(shè)計方案，采用六類雙絞線將新增無線接入點設(shè)備(AP)連接至接入層交換機(jī)，實現(xiàn)有線至AP無線網(wǎng)絡(luò)延伸；接入層交換機(jī)采用POE供電方式在對AP進(jìn)行供電的同時還可提供數(shù)據(jù)傳輸。設(shè)備采用遠(yuǎn)程POE供電可以有效的減少施工量，節(jié)省施工成本，并最大限度的保證大廈現(xiàn)有的環(huán)境不被破壞；每個AP吸頂安裝在吊頂上，最大限度的滿足無線信號全面覆蓋，減少盲區(qū)。無線網(wǎng)絡(luò)結(jié)構(gòu)采用無線控制集中控制的方式可以有效的減少對前端AP的維護(hù)，只需要對AC進(jìn)行控制。

3 結(jié)語

雙網(wǎng)隔離技術(shù)是近幾年出現(xiàn)的一個全新的安全防御手段，在一定程度上解決了各單位對信息的安全需求。日趨完善的網(wǎng)絡(luò)隔離產(chǎn)品已成為網(wǎng)絡(luò)信息安全體系中不可缺少的重要環(huán)節(jié)，是防范非法入侵、阻擋網(wǎng)絡(luò)攻擊的一種簡單而有效的手段。本文利用無線AP技術(shù)達(dá)到網(wǎng)絡(luò)隔離的效果，為沒有條件增加部署一套有線網(wǎng)絡(luò)而實現(xiàn)雙網(wǎng)隔離的單位提供了可以參考的案例和經(jīng)驗。本設(shè)計方案已在陜西省氣象局氣象大廈9-12層實施部署，并取得預(yù)期的效果。

[1]盛梅,馮志偉,陳世春.基于 GAP 技術(shù)的氣象網(wǎng)絡(luò)物理隔離方案的探討.計算機(jī)安全.2007.

[2]劉建雄,李瑩瑩.可控內(nèi)外網(wǎng)物理隔離系統(tǒng)設(shè)計.中國有線電視.2004.

[3]紀(jì)兆琳.內(nèi)外網(wǎng)雙網(wǎng)隔離方案淺析.內(nèi)燃機(jī)車.2011.

[4]許云明等.物理隔離網(wǎng)閘原理與應(yīng)用.計算機(jī)安全.2005.

[5]賀文華.物理隔離雙網(wǎng)系統(tǒng)設(shè)計方案及應(yīng)用分析.網(wǎng)絡(luò)安全與維護(hù).2005.