武漢鐵路局互聯網網站群技術平臺建設總結

易堅

摘 要：本文從互聯網網站群的系統架構、系統功能以及系統實現三個方面詳細地介紹了武漢鐵路局互聯網網站群技術平臺。該平臺的建設能夠確保鐵路互聯網網站（應用）安全穩定運行。

關鍵詞：互聯網網站群;網絡安全;武漢鐵路局

中圖分類號：TD235.33 文獻標識碼：A 文章編號：1671-2064（2019）03-0003-02

1 概述

根據中國鐵路總公司的工作要求，武漢鐵路局對建設互聯網網站群技術平臺進行了工作布置，要求互聯網網站群技術平臺必須滿足業務應用和安全運行要求，實現鐵路局范圍內中小網站（應用）集中部署、統一管理，保障互聯網網站（應用）安全穩定運行。

武漢鐵路局互聯網網站群技術平臺包括網絡平臺建設、基礎設施服務層建設、平臺服務層建設、軟件服務層建設、運維管理體系建設以及既有互聯網網站遷移。平臺建設利用既有信息機房，并充分利用既有外部服務網和既有硬件資源，大大節省了工程投資。

2 互聯網網站群總體架構

網絡接入為系統用戶以及系統間交互提供互聯網接入環境，為系統平臺硬件提供網絡接入環境，同時還為遠程維護提供網絡接入環境。計算資源是以X86服務器為基礎的計算資源池，可以分為虛擬化資源池和物理服務器資源池兩部分。存儲資源池是將存儲設備進行池化，將不同的物理設備統一進行存儲管理，為數據庫服務器、應用服務器上的相關網站應用文件及數據庫數據備份提供存儲服務。網站群總體架構如圖1所示。

系統邏輯架構包含基礎設施服務層、平臺服務層、軟件服務層、用戶訪問層、安全管理體系、運維管理體系等六個層面。

3 互聯網網站群應用總體設計（見圖2）

（1）基礎環境：核心運行環境主要是網絡環境、硬件服務器（如應用服務器、Web服務器等）以及應用運行所需的操作系統、數據庫系統等核心基礎軟件等。（2）數據支撐環境：提供對網站群前端服務所需的后臺數據支撐，包括各種關系數據庫、目錄資源、全文數據庫、文件系統資源等等。（3）應用支撐環境：在軟硬件基礎環境和數據環境之上，建立和部署包括網站群內容管理系統、資源中心、站群管控中心、站群管理、全文檢索系統、工作流引擎、一體化發布等一系列應用服務系統，為門戶網站群的前端各類服務提供應用支撐。（4）門戶服務層：依靠應用支撐環境中的各種應用，在門戶網站中組織和提供各種信息服務、互動服務、組件調用服務、用戶服務等等。（5）表現層：在表現層最終形成以鐵路局為核心的網站群信息表現、信息服務與信息互動。（6）信息安全保障體系：安全體系建設遵循等級保護三級技術規范，主要在應用安全、網絡安全、邊界安全、安全審計、安全綜合監控、安全管理等方面采取必要措施，達到安全管理和安全防護能力顯著增強，抵御攻擊、篡改、破壞能力顯著提升。

4 互聯網網站群系統功能

4.1 內容管理和發布服務

網站門戶作為企業對外門戶界面，應承擔企業應用系統對社會公眾信息的發布的角色，各應用系統需對外發布的常規內容，原則上應由網站門戶統一發布。

網站應用系統應建設與各應用系統的數據集成和交換渠道，實現發布內容的暢通、快速和安全地交換。

4.2 互聯網公共服務平臺建設

網站群系統除作為企業內容發布的統一門戶外，通過網站群系統互聯網服務資源中心建設，進一步能夠作為路局面向社會公眾和企業的公共服務平臺。互聯網公共服務平臺的建設內容主要有互聯網公共服務資源中心建設、數據交換和動態訪問、互聯網+技術和應用模式、身份管理和認證。可通過網站門戶與應用系統的深層整合，在網站門戶向用戶提供辦事材料的提交、辦理進度的查詢或辦事結果的展示等。對于需要直接面向網絡用戶的企業應用系統，可通過業務內容的梳理，通過網站門戶向用戶提供業務辦事的訪問入口和指南。

5 互聯網網站群技術方案

既有互聯網接入區通過升級改造，建設成為生產用互聯網接入區，為鐵路局互聯網網站（應用）提供互聯網接入服務，滿足互聯網用戶“由外到內”的訪問需求。網站群系統使用該互聯網接入資源，并根據網絡帶寬及設備性能需求，對不能滿足需求的鏈路與設備進行升級、更換。對既有防火墻進行升級、更換，選用具備流量控制、入侵防御、防病毒功能的下一代防火墻，以精細化控制各信息系統互聯網帶寬使用，并強化互聯網出口安全。

新建辦公用互聯網接入區，配置出口防火墻、鏈路均衡器等設備，為內部人員使用外網辦公終端訪問互聯網提供訪問通道，及滿足內部人員“由內到外”的訪問需求。將生產訪問互聯網與辦公上網訪問互聯網的數據分離，減少相互影響。同時應逐步建設改造辦公終端接入區，使其具備辦公終端網絡集中接入能力，并與其他區域有清晰的網絡邊界。

在對外服務區中劃分兩個安全域，分別為不同類型網站和應用提供網絡接入環境。同時既有信息系統根據分類逐步遷移至相應安全域。

新增運維管理區，堡壘機、VPN等設備應部署于該區域。

5.1 網絡平臺技術方案

網站群技術平臺將互聯網外部服務網分為多個網絡區域，包括互聯網接入區、外部服務網核心區、對外服務區、運維管理區，滿足不同業務接入需要。

互聯網接入區主要由兩條不同運營商互聯網專線，以及互聯網出口防火墻、鏈路負載均衡器等設備組成。該區域為外部服務網各應用系統提供互聯網訪問通道。

外部服務網核心由核心防火墻、核心交換機組成，負責各區域問數據訪間控制與數據轉發。

對外服務區為業務應用提供網絡接入環境，由交換機級聯組成，上聯核心防火墻，由核心防火墻進一步劃分為多個安全域，實現各區域訪問控制。

改造方案具體為：（1）改造互聯網接入區：為互聯網網站和互聯網應用提供互聯網通道。武漢鐵路局現有兩條互聯網接入通道，分屬中國移動和中國電信運營商，帶寬暫時滿足需求，暫不擴容;出口防火墻利舊使用;更新鏈路均衡器。（2）新建外網核心區：負責實現網站群技術平臺分區分域管理和各區域間網絡安全防護，實現平臺內部數據高速、安全、可靠交換。根據方案要求，新設核心防火墻和核心交換機。核心交換機負責隔離對外服務區、運維管理區、網絡安全平臺，實現三個區域間數據訪問控制。核心防火墻負責這三個區與互聯網的數據訪問控制與流量清洗。（3）新建對外服務區：用于集中部署互聯網網站和互聯網應用。接入交換機利舊使用;為實現流量控制、入侵防御等功能，新設Web應用防火墻。（4）新建運維管理區：滿足各單位對所轄網站運維管理的需要。接入交換機利舊使用;新設VPN網關和堡壘機。

5.2 基礎設施服務層技術方案

基礎設施主要為網站群技術平臺集中部署的互聯網網站和互聯網應用提供計算資源、存儲資源、安全防護資源等，通過VMWare虛擬化軟件進行池化。

改造方案具體為：（1）新建虛擬資源池：用于提供互聯網網站應用服務器虛擬機、日志審計系統等運維管理軟件部署等。為滿足使用需要，需新設數據庫服務器，Web應用服務器;為部署日志審計、防篡改、漏洞掃描、主機入侵防護、網站群內容管理、身份認證、搜索服務等軟件需新設機架式服務器，安全事件檢測服務器利舊使用。（2）新建集中式存儲資源池：為連接集中式存儲的計算節點和數據庫提供存儲資源，新設存儲設備。（3）虛擬化軟件VMWare利舊，暫不新購許可證。

5.3 平臺服務層技術方案

平臺服務層主要為集中部署的互聯網網站和互聯網應用提供中間件、數據庫等資源的按需調配。

（1）操作系統服務：使用開源軟件Linux操作系統。（2）中間件服務：選擇開源軟件tomcat+apache作為網站群中間件產品，部署在計算資源池的虛擬機中，為應用服務器提供標準中間件配置服務。（3）數據庫服務：選擇開源軟件MySQL數據庫產品，部署數據庫集群。（4）負載均衡服務器：采用硬件負載均衡器，本次設計利舊使用調度樓信息機房既有負載均衡器。（5）數據備份服務：為提高網站群技術平臺的可用性和可靠性，新增數據備份軟件。

5.4 軟件服務層技術方案

根據總公司總體方案，需新設并部署互聯網網站群內容管理系統、用戶身份系統、網站搜索服務系統等軟件。

5.5 運維管理體系技術方案

新設并部署配套的日志審計、防篡改、漏洞掃描、安全事件監測、主機入侵防護等軟件系統，實現對網站群技術平臺的管理和監控。

5.6 既有互聯網網站遷移方案

將武漢局既有網站全部遷移并納入鐵路局互聯網網站群技術平臺，實現統一管理。

6 結語

本次在武漢鐵路局建設互聯網網站群技術平臺，為鐵路局范圍內的中小規模互聯網網站（應用）提供集中統一的平臺服務，充分發揮互聯網效應，通過互聯網網站（應用）不斷拓寬客貨營銷渠道，不斷提升客戶服務水平。實現互聯網網站（應用）集中部署、統一防護、共享資源、統一運維，做到互聯網網站（應用）建設標準化水平顯著提高，安全管理和安全防護能力顯著增強，抵御攻擊、篡改、破壞能力顯著提升，確保鐵路互聯網網站（應用）安全穩定運行。