张冬平

（南昌市西湖区信息中心，江西 南昌 330025）

1 概述

县区政务信息网主要实现县区与各个街道（镇）、社区（村）之间网络互连以及县区和省、市的上行连接，同时提供了互联网接入。县区政务信息网的设计方案必须从以人为本、功能实用、技术先进、运行可靠、经济合理、施工维修方便、可扩展等各方面考虑，使整个县区政务网具有良好的可扩展性、可升级性，并合理控制投资成本。下面以作者参与的政务信息网建设为例，阐述县区政务信息网的设计与实现。

2 网络设计

县区政务信息网必须易管理、易扩展，在网络设计时我们采用了模块化设计：即将县区政务信息网分为核心层、汇聚层、接入层、广域网接入部分和服务器接入部分[1]。

2.1 核心层设计

核心层顾名思义是整个县区政务信息网的核心，县区政务信息网大部分应用的数据交换都在这里进行，其性能将决定整个县区政务信息网的性能。

在核心层我们使用的是一台华为S8505万兆路由交换机，并且配置了两块XRCoreEngineTMI300G的高性能交换引擎。两块引擎采用热备的形式进行工作。正常情况下，主引擎为工作状态，备用引擎处于待机状态。在主引擎发生故障时，备用引擎接替主引擎的工作，切换到运行状态。由此确保网络核心层的高速安全持续的运行。另外，我们还为S8505配置了两个电源模块，进一步的确保了核心层交换设备运行的高可靠性[2]。

2.2 汇聚层设计

汇聚层是网络接入层和核心层之间的分界点。汇聚层也帮助定义和区分网络核心层。该分层提供了边界定义，并在该处对潜在的费力的数据包操作进行处理。汇聚层交换机提供众多功能：VLAN的划分;部门级或工作组的接入;广播域或多点广播域的定义;VLAN之间的路由;访问控制列表的制订[1]。

由于来自各街道办事处（镇）、社区（村）的接入点较多，而且分散到县区地域范围内，所以我们放置一台三层千兆光纤交换机作为汇聚层设备。汇聚交换机通过千兆光纤链路和核心层交换机相连。

2.3 接入层设计

网络的接入层是最终用户被许可接入网络的点。按地理位置不同主要有3种接入方式：1、行政中心园区内各单位用户直接通过5类双绞线接入各个楼层接入交换机。2、已经光纤到位的各街道办事处（镇）、社区（村）、驻外单位用户通过光纤接入各小区基站接入交换机。3、对于光纤暂时无法到位的外单位（含地理位置较远的社区、村等）采用则采用基于ADSL线路的远端VPDN接入。

2.4 广域网接入部分设计

县区政务信息网有独立的互联网出口，同时还必须和省、市政务信息网互联互通。我们选用了华为S1800F防火墙作为互联网接入设备，其主要作用是实现网络地址转换（NAT）。核心交换机通过光纤线路与南昌市政务信息网连通，中间通过网络防火墙对一些常用病毒端口加以关闭，上行端连接设备是市政务信息网广域网路由设备，我们直接使用静态路由方式进行三层网络路由，并在核心交换机上通过路由重分配的方法，实现县区政务信息网与省市政务信息网的连通。

2.5 服务器接入部分

服务器分为两个服务器群：

1、内部服务器群，主要运行对内服务的业务系统（如办公平台、社区管理系统等）。内部服务器群通过千兆防火墙接到核心交换机，可考虑加入安全审计服务器以进一步保证内部服务器群的信息安全。

2、对外服务器群，包括网站服务器和邮件服务器等，对外服务器群也对内部用户开放。为保证对外服务器群的信息安全，对外服务器群通过防火墙接入互联网，并将防火墙配置为只允许用户访问特定业务端口。

2.6 IP地址规划

统一有效的规划、分配和管理IP地址，这样便于保持IP地址分配的唯一性，同时便于整个网络系统的维护和管理；通过采取合理的地址分配方法，可以减少通信开销、提高路由器的工作效率和便于网络管理。在大型的骨干网络中，采用连续合理的地址分配方案，即可以节约IP地址空间，又可以将局部的路由变化限制在一个单一的网络区域中，不会因为单一的网络通断引起骨干路由不停的重新运算，从而影响路由的运行效率。

3 网络安全

网络安全是一个系统工程，涉及到整体策略选取、使用者安全意识以及规章制度建设等[3]。但是对于初期网络建设阶段,合理的网络安全设计更为重要。

3.1 网络安全的整体结构

网络系统安全应遵循以下原则：需求、风险、代价平衡分析原则；综合性、整体性原则；一致性原则；易操作性原则。基于以上原则，我们采用防火墙系统、病毒防护系统提供基本的安全保障，将来可考虑入侵检测及安全评估系统。

3.2 防火墙系统设计

防火墙是指设置在不同网络（如：可信任的企业内部网和不可信任的公共网）之间的设备，目的是为保证"可信任网络"安全并保障"可信任网络"和"不可信任网络"的通讯。逻辑上，防火墙是一个分离器、限制器、分析器，能有效的监控内部网和外部网之间的任何活动，保证内部网络安全。

具体实施时将政务信息网划分成两部分：一是内部工作站和内部服务器群；二是对外对内都提供服务的对外服务器群，如www服务器和邮件服务器等。防火墙将内部工作站和只提供对内服务的服务器划入TRUST区；互联网则划入UNTRUST区；将对外对内都提供服务的服务器划入DMZ区。

在防火墙上制定如下策略：1、配置防火墙为透明运行模式。2、开启防火墙的NAT转换功能。3、阻断 ICMP、NETBIOS等网络协议，阻断不安全的TCP、UDP端口。4、建立IP访问控制列表，只允许各单位的用户访问自己的系统。

3.3 防病毒系统设计

网络攻击已发展成为黑客攻击与病毒木马相结合，有必要部署网络版防病毒软件对政务外网内部进行防护[3]。网络版防病毒软件的部署能达到以下效果：1、对各应用服务器进行全面防护、斩断病毒在服务器内的寄生及传播；2、对内部工作站进行全面防护，彻底消除病毒对客户机的破坏，保证所有工作人员都有一个干净、安全的平台；3、所有防病毒软件的升级、防毒策略的制定，通过管控系统集中实现，即保证所有客户机防病毒软件得到及时更新，又保证整个防毒策略的一致。同时生成整个县区政府网的病毒报告日志，便于网络管理人员及时掌握病毒发作情况，制定有效的安全策略。4、建立及时、快速的病毒响应机制，能够迅速拟制病毒在网络中的传播。

结束语：合理的设计可以搭建一个经济、实用、安全、稳定、易扩展、易升级的县区政务信息网，从而有效全面的承载条条部门和块块部门的信息化业务，为县区信息化建设奠定坚实的基础。采用模块化设计，在后续的县区政务信息网扩展升级中只需添加相应的模块、设备即可，原来的设备仍能够继续使用，充分保护了原有投入。

[1]刘文林,李梅,李洪.组网工程.北京:北京邮电大学出版社,2009.10.

[2]华为公司,Quidway?S8505核心路由交换机用户手册,2006.2.

[3]张世永,网络安全原理与应用,北京:科学出版社,2005.6.