智能行政大楼基础网络解决方案

　　行政大楼的基础网络规划需要考虑多方面的问题：

◆多年来电子政务的建设使政府的业务对政务网络的依赖大为增加，政务网络承担着所有电子政务的运转和大量数据的传送，网络的故障将导致业务系统的中断，因此网络的可靠性格外重要。

◆政务网络的建设通常分期分阶段实施，因此需要网络具有良好的可扩展性，以满足网络不断发展的需要。

◆根据业务不同，将网络分成不同功能区域，便于网络的管理，并且可以在不同区域之间部署针对性安全策略。

◆数据中心承载着核心政务业务和大量重要数据，日常业务量远远高于普通网络设备，有时还会出现突发性浪涌数据流。对数据中心使用的交换机需要选择专业的数据中心交换机。

高性能网络的基石：数据中心级交换机

随着政府数据中心建设的深化进行，数据中心的物理服务器、存储系统数量快速增长，使得数据中心规模不断扩大。目前1Gbps～8Gbps级别的服务器、存储系统网络接口成为主流，从而使得基础网络系统的千兆接入、万兆互联成为数据中心建设的基本标准。万兆互联环境下，业务流量突发异常显著，根据网络观测，以1毫秒为间隔采集到的流量峰值是平均流量的2～3倍。而这样的突发数据流将导致在集中业务访问引起的流量突发情况下的大量丢包，这就要求采用专业的数据中心级交换机来解突发数据流引起的网络浪涌流量问题。计算虚拟化的技术革新，使单一高计算能力物理服务器虚拟化成多个逻辑计算单元，极大提高了系统的计算效能以及对存储访问的高速吞吐。而由于等同于将此前的多个服务器应用系统叠加在一个网络接口下，网络流量急速提升，因此对数据中心基础网络提出了相当于传统环境下数倍乃至数十倍的性能要求。同时随着数据集中、业务整合的过程，政务业务数据集中密度越来越高，表现为高密应用系统的集中。在高密应用集中环境下，基础网络的可靠性要求更为苛刻。局部网络产生的故障，对数据中心提供服务能力的影响比传统环境要更为严重。因此，对于网络变化的快
速收敛、更强的故障自愈能力也成为下一代数据平台的要求。对高性能设备和高密度应用的不断追求催生了专业数据中心级交换机，可以说数据中心级交换机是数据中心时代的标志性产品。数据中心级交换机不但应用于数据中心建设，在高性能园区网络和高性能政务大楼网络中也是更佳的选择。

华迪佳通提供全系列的专业数据中心交换机产品，涵盖从核心到接入的各个层面。整体安全防护对于安全的建设，"头痛医头、脚痛医脚"的现象比较普遍。大多数政府部门仍然停留在出现一个安全事故后再去解决一个安全隐患的阶段，缺乏对信息安全的全盘考虑和统一规划，这样的后果就是网络上的设备五花八门，设备方案之间各自为战，缺乏相互关联。这种关心局部、忽视整体的建设方式，将直接导致对安全威胁的传播途径考虑不足，尤其在现阶段，安全风险不是孤立的出现，往往需要从网络的多个层面进行综合的防护才能有效解决。就如同病毒防护，需要考虑的因素包括internet网关的防病毒，桌面存储介质导致的病毒防护，以及需要考虑PC接入网络之前的端点准入认证，避免PC之间相互传播病毒等等。这种解决方案并不是单纯的依靠病毒网关、或者是客户端病毒软件安装所能解决的，而是需要考虑网络的病毒隔离防护、存储介质的使用限制等等。只有综合的解决方案，才有可能更好的解决问题。整体的安全防护，应该全面考虑网络各个部分的安全风险，分别加以防护。

政务网的安全防护重点及部署要关注以下几个方面：

1）大楼网络的内网安全风险控制：主要包括大楼接入用户的端点安全，用户的桌面安全管理，以及大楼不同部门之间的安全隔离和访问控制。同时，在涉密部门的安全控制中，需要考虑到信息泄漏的风险，因此对于桌面U盘等存储介质需要管控，对于员工的internet行为如QQ/MSN聊天等需要进行相应的解决方案部署。对于要接入网络的用户，EAD解决方案首先要对其进行身份认证、安全认证，根据网络管理员定制的安全策略进行包括病毒库更新情况、系统补丁安装情况、软件的黑白名单等内容的安全检查，根据检查的结果，EAD对用户网络准入进行授权和控制。通过安全认证后，用户可以正常使用网络，与此同时，EAD可以对用户终端运行情况和网络使用情况进行审计和监控。
2）出口安全防护：
3）内部边界安全防护：按照安全域的划分原则，政务网络可能包含了办公网络、internet边界、DMZ，数据中心、广域网分支、网管中心等组成部分，各安全域之间的相互隔离和访问策略是防止安全风险的重要环节。另外针对关键业务服务器区域的安全防御更需要针对web应用的攻击，以实现2-7层的安全防护。
4）数据中心的安全：数据中心是政务网安全防护的核心区域。针对数据中心的安全防护需要在高性能高可靠的原则指导下，在使用高性能的防火墙实现数据中心和其他安全域的隔离、使用高性能IPS进行关键服务器的应用层攻击防护的基础上，需要关注大流量的DDoS防护，尤其是关注数据中心应用的性能，必要的情况下需要考虑并部署负载均衡等应用优化类设备，以实现对外业务的可靠快速的响应。

5）外部用户的接入安全：很多单位涉及到外地分支机构，或者园区外分散办公。对于这些分散单位接入方式有广域网专线接入和通过internet接入两种。如果没有条件实现专线接入，使用IPSEC VPN进行加密数据传输时是通用的选择；对于部分出差用户，或者实现家庭办公、移动办公也可以通过部署SSL VPN的方式解决从外部访问业务系统。在这种情况下，如何做到将多种VPN类型客户的认证方式统一、或者精细化的访问权限划分是需要重点考虑的问题。高性能之安全性能用户访问服务器的路径上，从服务器、接入交换机、汇聚交换机、服务器安全设备、核心交换机、出口安全设备、出口路由器，是一条长长的路径，用户感受到的性能并非是某个设备的性能而是整个系统的性能，这个性能取决于整条路径上所有设备中性能最低的一个
，因此仅仅单个设备的高性能并不能带来高性能，只有端到端的所有设备都高性能才能带来实际的高性能。这就要求路由、交换、防火墙、IPS、应用控制等设备都要能达到设计的性能要求。比如：出口安全方面，通常会部署防火墙、IPS和应用控制等安全设备，比如设计性能是500Mbps，那这些设备的吞吐性能就都要在500M以上，如果某个设备性能只有200M，整个网
络的性能就会降到200M。在数据中心（中心机房）更容易出现性能问题，服务器汇聚交换机和与核心交换机之间的线路一般是千兆、千兆捆绑甚至是万兆，这对为保护服务器群而部署的防火墙、入侵防御、流量清洗等设备的性能提出很高的要求。同时具备多个千兆接口乃至万兆接口的防火墙、入侵防御设备的成本相当高昂，给用户带来很大的成本压力，往往用户退而求其次，采用较低性能的产品，降低了整网的性能。

安全业务能力
"隔离" "清洗" "防护""控制""调度""分析"六大安全功能缺一不可，1、防火墙：完成最基础的安全区隔离；2、IPS入侵防御：实现2-7层应用层安全防护；3、AFC（流量清洗）：专业防护DDOS（拒绝服务攻击）； 4、ACG 应用控制 实现对应用程序、带宽的控制5、LB（负载均衡）：实现数据中心服务器访问负载均衡；6、NetStream：数据中心网络流量分析；一方面安全功能的要求使得设备种类越来越多，另一方面随着对性能和可靠性的要求越来越高，安全设备的数量也越来越多。越来越多的设备给部署带来很大的困难，由于安全功能的串行处理的特点，部署六大安全功能就要部署六层安全设备，就好像糖葫芦串一样。过多的层次使网络结构变得非常复杂，设备部署困难、日常管理复杂、排错调试工作量大。为了解决这些问题，必须改变陈旧的建设思路，改以扁平化的方式来实现。华迪佳通的网络无缝安全融合方案实现了丰富的安全功能和便捷部署与管理的统一。网络需要的安全功能只要在交换机上插上相应的安全插卡就能全部支持，安全插卡采用分布式硬件，与独立式设备性能相同；所有安全功能一级部署，网络结构简洁清晰，避免了糖葫芦串的复杂结构。除了前面提到的防火墙类插卡外，华迪佳通还提供IPS入侵防御，ACG应用，AFC 流量清洗，LB负载均衡等插卡，为用户提供全面的安全防护方案。无线业务能力无线网络作为有线网络的必要补充，已经越来越普及，在政务网当中也有越来越多的应用。办公大楼中的会议厅，需要较多笔记本电脑同时访问网络，使用无线网络；一些政府部门在一些老建筑中办公，为了保护建筑不能穿墙打眼来布线，使用无线网络；有的提供公共服务的部门如行政服务大厅，需要为公众提供网络服务，也使用无线网络。随着信息化应用程度不断提高，以后无线网络会使用的更加广泛，成为政务网络中的标准配置。无线网络带来了使用上的方便，然而如果部署不当，却会带来管理上的麻烦。有线无线割裂是常见的一个问题，早期一些单位为了快速实现无线业务，采购无线交换机AC、无线接入点AP等构建了无线网络，也实现了无线网络服务。但是使用之后很快发现，由于无线网络和有线网络未能统一规划，有线无线两套管理系统互不兼容，设备无法统一管理，用户无法统一认证，安全也无法统一管理。由此我们认识到，多数情况下，无线网络并非独立存在，而是有线网络的延伸和补充。基于这个认识，有线无线网络统一规划统一部署就成为应有之意。为实现这一目标，华迪佳通提供了有线无线一体化解决方案，实现了有线和无线的统一管理，使无线网络与有线网络采用同一管理平台，同一告警和日志平台；无线和有线设备统一显示在同一界面，实现了一体化拓扑管理。无线接入点AP位置分散，为了给AP供电，需要在每个AP旁布放电源，布线是个麻烦事。华迪佳通有线无线一体化方案能够提供统一供电方案，POE交换机通过以太网线AP供电，省去布电线的麻烦。而且还可以通过供电管理，控制AP何时工作何时关闭，使无线网络的管理更加灵活。有线无线一体化解决方案还能实现用户的统一认证和统一安全管理，无论用户通过有线网络接入还是无线网络接入，通过人网合一的管理都可以实现统一认证，统一终端控制，统一病毒控制，防止从无线网络引入病毒和安全攻击。

结束语

构建一个技术先进、智能安全、业务全面的政务网络是每个政府信息化主管的目标，本文介绍了高性能、可靠性和扩展性技术的最新进展和整体安全、网络安全无缝融合、有线无线一体化等领先的建网理念，希望能对政府信息化主管有所帮助。