長春市市政公用局網絡規劃與安全設計

王西貝　楊薪平

摘 要：本文討論了長春市政公用局二期網絡工程項目方案的規劃和設計。該工程項目投入經費100萬元，建設周期為8個月，在項目的建設過程中，本人有幸參與了整個建設方案的規劃，設計、并參與了整個項目的招標、投標。該工程要求整個環境具有高效、穩定及易擴容性、整套環境要具備足夠的安全性。

關鍵詞：網絡設計；安全設計；網絡關系

一、網絡需求

（一）信息港專網與internet要實現物理隔離。

（二）監控大廳中的機器要能訪問internet上的google地圖數據和內部應用服務，其余不能訪問。

（三）整個環境具備高效、穩定及易擴充性。

（四）整套環境要具備足夠的安全性。

（五）市政公用

二、需求分析

監控大廳既要訪問google地圖，又要訪問內部的應用服務，所以客戶端只能與internet實現最大程度的邏輯隔離。

整套平臺要做到高效穩定，其中網絡的高效穩定、服務平臺的高效穩定是核心。

從維管中心的整個網絡結構分析，安全包括：內網的安全、外網的安全、信息港網絡的安全。所以只有保障了這三個網絡的安全及三套網絡的安全就實現了整套網絡環境的安全。

整個平臺的高效由高效的網絡和高效的服務響應組成。網絡的高效由高處理能力、高轉發能力的網絡設備完成。服務的高效由集群的服務完成。

維管中心整個內部計算機環境包括：數據庫服務、中間件服務、對外web服務，ArcGIS服務、客戶端。其中應用服務端與數據庫將會成為訪問的集中點。所以服務的高效穩定性與否將會是整套平臺的高效與否

三、網絡規劃總體設計

長春市市政公用局網絡總體設計以高性能、高可靠性、高安全性、良好的可擴展性、可管理性和統一性為原則，以及考慮到技術的先進性、成熟性，并采用模塊化的設計方法。

核心層由兩臺H3C 7503-S網絡核心交換機，為接入層和大樓匯聚層提供千兆骨干連接，從而保證長春市市政公用局網絡中心接入業務的不間斷運行。在充分利用資源的同時可以進行集中管理。

（一）網絡結構設計

針對長春市市政公用局網絡的實際情況，現期局域網建設用采用吉比特以太網Gigabit Ethernet（1000Mbps）有線標準來組建整個TCP/IP網絡。

（二）網絡現狀

本次項目主要是建設市政公用局維管中心。目前，市政公用局維管中心位在新的辦公地點，長春建管中心的四樓，五樓。其中四樓主要用于系統的展示、監控及12319的辦公，機房位于五樓。新的辦公地點，還沒有現有的網絡環境。

（三）網絡連接

從整體功效來說，維管中心是長春市政公用局指揮調度的核心，其網絡要求具有快速、安全、準確獲取、傳遞各種數據信息的能力，還要具有很強的綜合分析、處理各類信息的能力等等，因此，部署在機房的網絡設備我們選擇H3C S7503高性能核心交換機和H3C S5100高性能交換機組成內部高速交換網絡，以千兆光纖互聯，經H3C千兆Secpath f1000防火墻與H3C 高性能路由器出Internet網，使用過公安部認證的利普隔離網闡實現互聯網與信息港專網的物理隔離。

（四）IP網段的規劃

為了以后整個維管中心的易擴大充性、并方便以后的路由規納，整個IP地址的網段以172.28.x.x 16位子網掩碼為總的網段，通過劃分子網的形式向下劃分。

服務器段：172.28.11.x/24

對外WEB服務器：172.28.80.82/29 網關：172.28.80.81

五樓監控機器與所有愛默生的監控設備一起并入 172.28.90.x/24網段

監控大廳共24臺客戶端，以職能結構劃分VLAN。

話務組的網絡權限：允許訪問12319服務器、應用服務器

12319技術組網絡權限：允許訪問網頁、儲煤點服務、應用服務器

管理組：允許訪問所有服務器

熱力公司組網絡權限：允許訪問網頁、應用服務器

監控機網絡權限：允許訪問所有內部服務器、允許訪問網頁

對外WEB服務器網絡權限：允許內外網訪問其web服務，允許監控機不受限制訪問，其余一律拒絕。

（五）各套網絡之間的網絡關系

內網與Internet網的網絡關系配置為NAT關系，此類網絡關系既可對外隱藏內部的網絡結構，并且可以實現只有少量或一個外網IP地址時，內部多臺機可同時訪問外部。

內網與信息港專網的網絡關系配置為NAT關系，以便對信息港網絡隱藏內部的網部結構。

internet與信息港專之間通過安全網闡物理隔離，不允許相互之間的訪問。

四、安全性設計

（一）外部安全

外部安全主要是指來自Internet網和信息港專網的安全威協。

（二）內部安全

內部的威協主要是指病毒木馬的威協、黑客行為、內網不正當的行為。

（三）防病毒木馬、黑客的威協

黑客的攻擊絕大多數據情況下都是利用操作系統的漏動或其它應用軟件的漏動進行攻擊，所以及時的打上補丁加上防火墻的阻擋可以最大程度的減少這種安全威協。

使用網絡版防病毒軟件，配置成每天夜間12點進行病毒庫，補丁庫的升級，并設置每天中午對其客戶端進行操作系統補丁的分發和全盤掃描。以最大程度的避免來自外網的此類威協。

（四）操作系統的安全保障

操作的系統的安全主要包括，口令的安全，物理位置的安全。

所有服務器的操作系統密碼都配置成滿足復雜性的要求，即大小寫+數字+特殊字符的組合，且大于七位。建議口令定期更改。以防口令的暴力破解。

所有服務器都放置在5樓的機房，不相關人員不允許進入，并做好出入登記，以防人為的破壞。