王西貝　楊薪平

摘 要：本文討論了長春市政公用局二期網(wǎng)絡(luò)工程項(xiàng)目方案的規(guī)劃和設(shè)計(jì)。該工程項(xiàng)目投入經(jīng)費(fèi)100萬元，建設(shè)周期為8個(gè)月，在項(xiàng)目的建設(shè)過程中，本人有幸參與了整個(gè)建設(shè)方案的規(guī)劃，設(shè)計(jì)、并參與了整個(gè)項(xiàng)目的招標(biāo)、投標(biāo)。該工程要求整個(gè)環(huán)境具有高效、穩(wěn)定及易擴(kuò)容性、整套環(huán)境要具備足夠的安全性。

關(guān)鍵詞：網(wǎng)絡(luò)設(shè)計(jì)；安全設(shè)計(jì)；網(wǎng)絡(luò)關(guān)系

一、網(wǎng)絡(luò)需求

（一）信息港專網(wǎng)與internet要實(shí)現(xiàn)物理隔離。

（二）監(jiān)控大廳中的機(jī)器要能訪問internet上的google地圖數(shù)據(jù)和內(nèi)部應(yīng)用服務(wù)，其余不能訪問。

（三）整個(gè)環(huán)境具備高效、穩(wěn)定及易擴(kuò)充性。

（四）整套環(huán)境要具備足夠的安全性。

（五）市政公用

二、需求分析

監(jiān)控大廳既要訪問google地圖，又要訪問內(nèi)部的應(yīng)用服務(wù)，所以客戶端只能與internet實(shí)現(xiàn)最大程度的邏輯隔離。

整套平臺(tái)要做到高效穩(wěn)定，其中網(wǎng)絡(luò)的高效穩(wěn)定、服務(wù)平臺(tái)的高效穩(wěn)定是核心。

從維管中心的整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)分析，安全包括：內(nèi)網(wǎng)的安全、外網(wǎng)的安全、信息港網(wǎng)絡(luò)的安全。所以只有保障了這三個(gè)網(wǎng)絡(luò)的安全及三套網(wǎng)絡(luò)的安全就實(shí)現(xiàn)了整套網(wǎng)絡(luò)環(huán)境的安全。

整個(gè)平臺(tái)的高效由高效的網(wǎng)絡(luò)和高效的服務(wù)響應(yīng)組成。網(wǎng)絡(luò)的高效由高處理能力、高轉(zhuǎn)發(fā)能力的網(wǎng)絡(luò)設(shè)備完成。服務(wù)的高效由集群的服務(wù)完成。

維管中心整個(gè)內(nèi)部計(jì)算機(jī)環(huán)境包括：數(shù)據(jù)庫服務(wù)、中間件服務(wù)、對(duì)外web服務(wù)，ArcGIS服務(wù)、客戶端。其中應(yīng)用服務(wù)端與數(shù)據(jù)庫將會(huì)成為訪問的集中點(diǎn)。所以服務(wù)的高效穩(wěn)定性與否將會(huì)是整套平臺(tái)的高效與否

三、網(wǎng)絡(luò)規(guī)劃總體設(shè)計(jì)

長春市市政公用局網(wǎng)絡(luò)總體設(shè)計(jì)以高性能、高可靠性、高安全性、良好的可擴(kuò)展性、可管理性和統(tǒng)一性為原則，以及考慮到技術(shù)的先進(jìn)性、成熟性，并采用模塊化的設(shè)計(jì)方法。

核心層由兩臺(tái)H3C 7503-S網(wǎng)絡(luò)核心交換機(jī)，為接入層和大樓匯聚層提供千兆骨干連接，從而保證長春市市政公用局網(wǎng)絡(luò)中心接入業(yè)務(wù)的不間斷運(yùn)行。在充分利用資源的同時(shí)可以進(jìn)行集中管理。

（一）網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)

針對(duì)長春市市政公用局網(wǎng)絡(luò)的實(shí)際情況，現(xiàn)期局域網(wǎng)建設(shè)用采用吉比特以太網(wǎng)Gigabit Ethernet（1000Mbps）有線標(biāo)準(zhǔn)來組建整個(gè)TCP/IP網(wǎng)絡(luò)。

（二）網(wǎng)絡(luò)現(xiàn)狀

本次項(xiàng)目主要是建設(shè)市政公用局維管中心。目前，市政公用局維管中心位在新的辦公地點(diǎn)，長春建管中心的四樓，五樓。其中四樓主要用于系統(tǒng)的展示、監(jiān)控及12319的辦公，機(jī)房位于五樓。新的辦公地點(diǎn)，還沒有現(xiàn)有的網(wǎng)絡(luò)環(huán)境。

（三）網(wǎng)絡(luò)連接

從整體功效來說，維管中心是長春市政公用局指揮調(diào)度的核心，其網(wǎng)絡(luò)要求具有快速、安全、準(zhǔn)確獲取、傳遞各種數(shù)據(jù)信息的能力，還要具有很強(qiáng)的綜合分析、處理各類信息的能力等等，因此，部署在機(jī)房的網(wǎng)絡(luò)設(shè)備我們選擇H3C S7503高性能核心交換機(jī)和H3C S5100高性能交換機(jī)組成內(nèi)部高速交換網(wǎng)絡(luò)，以千兆光纖互聯(lián)，經(jīng)H3C千兆Secpath f1000防火墻與H3C 高性能路由器出Internet網(wǎng)，使用過公安部認(rèn)證的利普隔離網(wǎng)闡實(shí)現(xiàn)互聯(lián)網(wǎng)與信息港專網(wǎng)的物理隔離。

（四）IP網(wǎng)段的規(guī)劃

為了以后整個(gè)維管中心的易擴(kuò)大充性、并方便以后的路由規(guī)納，整個(gè)IP地址的網(wǎng)段以172.28.x.x 16位子網(wǎng)掩碼為總的網(wǎng)段，通過劃分子網(wǎng)的形式向下劃分。

服務(wù)器段：172.28.11.x/24

對(duì)外WEB服務(wù)器：172.28.80.82/29 網(wǎng)關(guān)：172.28.80.81

五樓監(jiān)控機(jī)器與所有愛默生的監(jiān)控設(shè)備一起并入 172.28.90.x/24網(wǎng)段

監(jiān)控大廳共24臺(tái)客戶端，以職能結(jié)構(gòu)劃分VLAN。

話務(wù)組的網(wǎng)絡(luò)權(quán)限：允許訪問12319服務(wù)器、應(yīng)用服務(wù)器

12319技術(shù)組網(wǎng)絡(luò)權(quán)限：允許訪問網(wǎng)頁、儲(chǔ)煤點(diǎn)服務(wù)、應(yīng)用服務(wù)器

管理組：允許訪問所有服務(wù)器

熱力公司組網(wǎng)絡(luò)權(quán)限：允許訪問網(wǎng)頁、應(yīng)用服務(wù)器

監(jiān)控機(jī)網(wǎng)絡(luò)權(quán)限：允許訪問所有內(nèi)部服務(wù)器、允許訪問網(wǎng)頁

對(duì)外WEB服務(wù)器網(wǎng)絡(luò)權(quán)限：允許內(nèi)外網(wǎng)訪問其web服務(wù)，允許監(jiān)控機(jī)不受限制訪問，其余一律拒絕。

（五）各套網(wǎng)絡(luò)之間的網(wǎng)絡(luò)關(guān)系

內(nèi)網(wǎng)與Internet網(wǎng)的網(wǎng)絡(luò)關(guān)系配置為NAT關(guān)系，此類網(wǎng)絡(luò)關(guān)系既可對(duì)外隱藏內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)，并且可以實(shí)現(xiàn)只有少量或一個(gè)外網(wǎng)IP地址時(shí)，內(nèi)部多臺(tái)機(jī)可同時(shí)訪問外部。

內(nèi)網(wǎng)與信息港專網(wǎng)的網(wǎng)絡(luò)關(guān)系配置為NAT關(guān)系，以便對(duì)信息港網(wǎng)絡(luò)隱藏內(nèi)部的網(wǎng)部結(jié)構(gòu)。

internet與信息港專之間通過安全網(wǎng)闡物理隔離，不允許相互之間的訪問。

四、安全性設(shè)計(jì)

（一）外部安全

外部安全主要是指來自Internet網(wǎng)和信息港專網(wǎng)的安全威協(xié)。

（二）內(nèi)部安全

內(nèi)部的威協(xié)主要是指病毒木馬的威協(xié)、黑客行為、內(nèi)網(wǎng)不正當(dāng)?shù)男袨椤?/p>

（三）防病毒木馬、黑客的威協(xié)

黑客的攻擊絕大多數(shù)據(jù)情況下都是利用操作系統(tǒng)的漏動(dòng)或其它應(yīng)用軟件的漏動(dòng)進(jìn)行攻擊，所以及時(shí)的打上補(bǔ)丁加上防火墻的阻擋可以最大程度的減少這種安全威協(xié)。

使用網(wǎng)絡(luò)版防病毒軟件，配置成每天夜間12點(diǎn)進(jìn)行病毒庫，補(bǔ)丁庫的升級(jí)，并設(shè)置每天中午對(duì)其客戶端進(jìn)行操作系統(tǒng)補(bǔ)丁的分發(fā)和全盤掃描。以最大程度的避免來自外網(wǎng)的此類威協(xié)。

（四）操作系統(tǒng)的安全保障

操作的系統(tǒng)的安全主要包括，口令的安全，物理位置的安全。

所有服務(wù)器的操作系統(tǒng)密碼都配置成滿足復(fù)雜性的要求，即大小寫+數(shù)字+特殊字符的組合，且大于七位。建議口令定期更改。以防口令的暴力破解。

所有服務(wù)器都放置在5樓的機(jī)房，不相關(guān)人員不允許進(jìn)入，并做好出入登記，以防人為的破壞。