淺析陜西省氣象局雙網隔離解決方案

賈晨剛 李珍 王壘 陳佳

陜西省氣象信息中心 陜西 710014

0 引言

隨著互聯網技術日新月異的飛速發展，網絡的不斷深入發展，病毒、黑客等網絡隱患嚴重威脅著PC數據和系統安全，能夠隔離內部與外部網絡的雙網隔離技術進入各個單位的視線，并從完全隔離走到硬件卡隔離，直至現在的整機隔離。

現階段，全國氣象系統已建成國家、省、市、縣四級綜合業務通信網絡，形成了以光纖、MPLS VPN專線、MSTP等線路連接覆蓋了全國的廣域網絡。省級到地方采用電信的MSTP專線，國家到地方備用線路則采用 CMACast衛星線路，同城主要采用光纖連接。廣域網上有很多互聯網的出口，網絡上的應用日益增加，日常的工作也越來越依賴網絡。因此，為確保氣象網絡的安全性，根據要求要實現內、外網物理隔離，把有害的攻擊隔離在可信網絡之外。在保證氣象網絡內部信息不外泄的前提下，我省實現雙網隔離，對完成網間數據的安全交換有著重要的意義。

1 需求分析

目前，省局氣象大廈和局檔案樓，已實現全覆蓋的有線網絡系統。根據國家相關規定，行政事業單位實現廣域網、業務辦公網物理隔離，因此，省局機關、省局直屬單位需要重新建設一套單獨的局域網系統。因大廈和檔案樓已無法重新敷設網線，所以建議采用無線覆蓋的方式，建立一套完整、穩定、安全的網絡系統。

根據現狀，建議采用有線加無線AP的方式，實現整個辦公區域網絡全覆蓋。一方面是更好的滿足機關處室、各直屬單位的網絡需求；另一方面是減少了大量的網絡布線，只需給每個無線AP敷設一根雙絞線，不會破壞大廈和檔案樓的裝修，保持大樓原有的美觀。原有的有線網絡系統，運行業務辦公；新建的無線網絡，運行互聯網，實現雙網物理分離。

需求具體分為：

① 以無線的方式覆蓋氣象大廈和檔案樓；

② 可對每一位用戶和每個無線接入點進行管理；

③ 充分考慮網絡的安全性，系統具有多層次的安全保護措施，以滿足用戶身份鑒別，訪問控制和保密性等要求；

④ 在網絡規模不斷發展的情況下，AP系統能夠提供升級、擴容等；

⑤ 整個系統采用 802.11N技術來保障網絡的可靠性和高帶寬；

⑥ 無線設備采用集中控制管理，提供人性化的管理方法。

2 方案設計

(1) 設計原則

本系統設計主要遵循以下幾點原則：

① 標準化——在一個網絡系統里，必然采用基于業界標準的計算機設備、通信設備和軟件產品，從而實現信息的流通及設備資源的共享；為了保證用戶的網絡系統具有互操作性，易于維護、管理和擴充以及高可靠性，應建立一個開放的、遵循國際標準的網絡系統。

② 可擴展性——隨著網絡技術及應用的逐步發展，網絡系統必然隨之不斷擴大。因此，今天的網絡設計必須為未來的業務發展留出擴充的余地，這樣才能最好地保護用戶現有的投資；除了單個設備本身的擴展能力之外，在網絡系統的設計過程中，還需要考慮整個網絡系統在未來幾年的擴容能力和擴容方法，這樣才能既照顧到目前的應用需求，又能滿足今后整個計算機系統的發展需求。

③ 可靠性與安全性——采用成熟的技術、選用成熟的產品，可以在一定程度上保證系統的可靠性及安全性；同時，應考慮采用系統容錯技術，當網絡系統某一點出現故障時，整個系統仍然能夠繼續運行而不會造成停機，從而把損失降到最小。

④ 先進性——當今世界，通信技術和計算機技術的發展日新月異，設計方案應適應技術發展的潮流，既兼顧了技術上的成熟性，同時也要保證系統的先進性。

⑤ 可管理性——隨著網絡規模的擴大和系統復雜程度的增加，網絡的管理、監控、維護以及網絡故障的診斷和排除變得越來越復雜，為了使網絡系統易于管理和維護，設計方案應提供先進而完善的網絡管理系統，這樣既能方便網絡管理員的工作，減輕了勞動強度，也提高了網絡系統的管理程度。

(2)系統設計

整個系統設計采用H3C有線無線一體化設計方案。通過FIT+AC的組網方式在大廳、樓道采用WA2612吸頂式11N無線AP，匯聚交換機采用POE交換機來提供供電和數據傳輸并采用WX5004無線控制器作為整個無線網絡的核心，實現對AP的集中控制管理。各樓層AP接入相應的POE供電交換機，交換機通過光纖連接到核心交換機S5500－20TP，核心交換機與POE交換機之間通過光纖連接。

圖1 網絡拓撲圖

氣象大廈從4層開始每層分布式布放4個AP并接入相應的樓層交換機，21層放置1臺AP；每3層樓放一臺24口POE交換機；檔案樓每層布放2個AP，用一臺24口交換機。根據設計方案，采用六類雙絞線將新增無線接入點設備(AP)連接至接入層交換機，實現有線至AP無線網絡延伸；接入層交換機采用POE供電方式在對AP進行供電的同時還可提供數據傳輸。設備采用遠程POE供電可以有效的減少施工量，節省施工成本，并最大限度的保證大廈現有的環境不被破壞；每個AP吸頂安裝在吊頂上，最大限度的滿足無線信號全面覆蓋，減少盲區。無線網絡結構采用無線控制集中控制的方式可以有效的減少對前端AP的維護，只需要對AC進行控制。

3 結語

雙網隔離技術是近幾年出現的一個全新的安全防御手段，在一定程度上解決了各單位對信息的安全需求。日趨完善的網絡隔離產品已成為網絡信息安全體系中不可缺少的重要環節，是防范非法入侵、阻擋網絡攻擊的一種簡單而有效的手段。本文利用無線AP技術達到網絡隔離的效果，為沒有條件增加部署一套有線網絡而實現雙網隔離的單位提供了可以參考的案例和經驗。本設計方案已在陜西省氣象局氣象大廈9-12層實施部署，并取得預期的效果。

[1]盛梅,馮志偉,陳世春.基于 GAP 技術的氣象網絡物理隔離方案的探討.計算機安全.2007.

[2]劉建雄,李瑩瑩.可控內外網物理隔離系統設計.中國有線電視.2004.

[3]紀兆琳.內外網雙網隔離方案淺析.內燃機車.2011.

[4]許云明等.物理隔離網閘原理與應用.計算機安全.2005.

[5]賀文華.物理隔離雙網系統設計方案及應用分析.網絡安全與維護.2005.