何 堅(jiān)

（中國(guó)電子口岸數(shù)據(jù)中心福州分中心 福建 350015）

He Jian

0 前言

2013年底，作為技術(shù)骨干，我有幸參與了本單位金關(guān)二期的網(wǎng)絡(luò)工程方案的規(guī)劃、設(shè)計(jì)、建設(shè)工作。該項(xiàng)目投入經(jīng)費(fèi)200萬(wàn)元。本中心作為分支區(qū)域，用廣域網(wǎng)方式接入總署口岸專網(wǎng)。網(wǎng)內(nèi)服務(wù)器基本上以 windows 2003為平臺(tái)，運(yùn)行各種應(yīng)用軟件。建設(shè)目標(biāo)：充分利用現(xiàn)有設(shè)備，更換或新增新設(shè)備，實(shí)現(xiàn)雙鏈路雙設(shè)備冗余，對(duì)原網(wǎng)絡(luò)進(jìn)行安全域劃分，增加安全設(shè)備或管理軟件，優(yōu)化網(wǎng)絡(luò)信息服務(wù)和網(wǎng)絡(luò)結(jié)構(gòu)，最大限度保證網(wǎng)絡(luò)系統(tǒng)無(wú)故障不間斷運(yùn)行，數(shù)據(jù)傳輸更加安全可靠。

1 方案設(shè)計(jì)

依據(jù)內(nèi)外網(wǎng)的安全形勢(shì)和現(xiàn)狀，按照等級(jí)保護(hù)要求，統(tǒng)籌考慮各種風(fēng)險(xiǎn)因素，全面規(guī)劃拓?fù)浣Y(jié)構(gòu)。根據(jù)業(yè)務(wù)類型，利用核心防火墻將網(wǎng)絡(luò)分成幾大安全域，訪問策略顆粒度均細(xì)化到端口號(hào)。各區(qū)域接口采用路由或交換的模式，為其分配了不同地址段。

該網(wǎng)絡(luò)環(huán)境下的應(yīng)用有：對(duì)外web發(fā)布系統(tǒng)、語(yǔ)音呼叫中心系統(tǒng)、短信平臺(tái)、wap手機(jī)應(yīng)用平臺(tái)、IC卡網(wǎng)上進(jìn)出口業(yè)務(wù)數(shù)據(jù)交換平臺(tái)、信息安全管理系統(tǒng)、無(wú)紙化通關(guān)，跨境電子商務(wù)等互聯(lián)互通項(xiàng)目。通過不斷驗(yàn)證，我們從以下幾方面對(duì)網(wǎng)絡(luò)拓?fù)浜拖到y(tǒng)設(shè)備進(jìn)行改造：

1.1 專網(wǎng)主干線均采用雙設(shè)備，雙鏈路方式。廣域網(wǎng)通過申請(qǐng)2條10M的MSTP專線，連接到北京總署數(shù)據(jù)中心。其中一條鏈路通過上海，作為備份鏈路中轉(zhuǎn)至北京，降低了長(zhǎng)途鏈路同時(shí)失效的可能性。邊界路由器運(yùn)行OSPF協(xié)議，自動(dòng)尋找最佳路徑。并配置 VRRP，實(shí)現(xiàn)單機(jī)故障時(shí)網(wǎng)關(guān)自動(dòng)切換，保證可靠性和可用性。各地區(qū)邊界路由器之間，再次用防火墻進(jìn)行隔離。

1.2 核心交換區(qū)為兩臺(tái)核心防火墻和兩臺(tái)核心交換機(jī)，采用口字型及交叉方式互連。防火墻之間使用心跳線連接，用以同步設(shè)備數(shù)據(jù)。交換機(jī)之間用2條千兆以太網(wǎng)鏈路通過捆綁方式聚合，提高主干線路的傳輸帶寬，提供良好可靠性和性能。

1.3 業(yè)務(wù)接入?yún)^(qū)設(shè)備也采用口字型及交叉方式互連。在匯聚交換機(jī)上分割不同的vlan用于區(qū)分不同的業(yè)務(wù)現(xiàn)場(chǎng)。匯聚層與現(xiàn)場(chǎng)的接入層交換機(jī)之間配置STP和VRRP協(xié)議實(shí)現(xiàn)鏈路和網(wǎng)關(guān)的冗余。兩條鏈路使用電信和移動(dòng)作為不同運(yùn)行商進(jìn)行連接，防止某一運(yùn)行商因施工不慎將兩條鏈路同時(shí)挖斷。

機(jī)場(chǎng)現(xiàn)場(chǎng)采用3G備份方式。主路由器通過track等技術(shù)監(jiān)控MSTP線路通斷情況。3G路由器作為備用設(shè)備，啟用按需撥號(hào)模式。若主線路斷開，在有業(yè)務(wù)數(shù)據(jù)流情況下觸發(fā) 3G無(wú)線撥號(hào)，并配置超時(shí)斷開功能。同時(shí)配置 3G冷備設(shè)備參數(shù)。一旦出問題，由工作人員攜帶 3G路由器前往現(xiàn)場(chǎng)，設(shè)備開機(jī)即可接入到海關(guān)網(wǎng)絡(luò)中，確保業(yè)務(wù)續(xù)行。

為保證無(wú)線業(yè)務(wù)傳輸安全性，采用以下措施：

（1）海關(guān)至運(yùn)營(yíng)商VPDN之間開設(shè)數(shù)據(jù)專線與互聯(lián)網(wǎng)物理隔離，海關(guān)采用專用APN接入點(diǎn)與外網(wǎng)隔離。

（2）先后經(jīng)過運(yùn)營(yíng)商和海關(guān)兩道 AAA認(rèn)證，保證只有海關(guān)認(rèn)可的SIM卡和3G路由器設(shè)備入網(wǎng)。

（3）在邊界防火墻上過濾3G網(wǎng)絡(luò)流量，僅允許3G VPN通信，保證內(nèi)部設(shè)施的安全。

（4）采用IPSEC VPN方式完成網(wǎng)絡(luò)加密，加密設(shè)備選用國(guó)家密碼局認(rèn)證設(shè)備和算法，以有效防止黑客利用其他非法手段截取海關(guān)通關(guān)數(shù)據(jù)。

1.4 根據(jù)等級(jí)保護(hù)要求，互聯(lián)網(wǎng)區(qū)域通過兩道不同廠商防火墻與對(duì)外接入?yún)^(qū)進(jìn)行對(duì)接，使外網(wǎng)能訪問專網(wǎng)內(nèi)特定業(yè)務(wù)。同時(shí)，互聯(lián)網(wǎng)也申請(qǐng)了移動(dòng)和電信 2條不同ISP，均經(jīng)過一臺(tái)上網(wǎng)行為設(shè)備對(duì)互聯(lián)辦公用戶進(jìn)行規(guī)范管理。在對(duì)外服務(wù)器區(qū)部署防病毒網(wǎng)關(guān)，對(duì)該區(qū)域進(jìn)行安全防護(hù)。

1.5 為方便外網(wǎng)用戶接入管理運(yùn)維，在互聯(lián)網(wǎng)防火墻上，部署了IPSEC VPN，連接至管理區(qū)，用戶安裝VPN客戶端，根據(jù)不同帳號(hào)密碼登錄，可遠(yuǎn)程訪問相應(yīng)的設(shè)備。同時(shí)該區(qū)域部署運(yùn)維審計(jì)系統(tǒng)，可對(duì)接入用戶身份和行為做記錄，防止用戶接入的誤操作和惡意行為。

1.6 XX作為綜合實(shí)驗(yàn)區(qū)項(xiàng)目與北京服務(wù)器對(duì)接中轉(zhuǎn)站，采用雙向NAT轉(zhuǎn)換映射到對(duì)端服務(wù)器端口，使一方訪問本側(cè)防火墻端口的IP地址及端口號(hào)，即可訪問到對(duì)端服務(wù)。

1.7 業(yè)務(wù)區(qū)部署內(nèi)網(wǎng)安全管理系統(tǒng)，由中央管理平臺(tái)部署區(qū)域管理器，掃描器發(fā)現(xiàn)網(wǎng)絡(luò)中的設(shè)備信息交給區(qū)域管理器處理對(duì)比，根據(jù)管理規(guī)則在平臺(tái)上報(bào)警。同時(shí)客戶端需安裝注冊(cè)程序，若用戶有未注冊(cè)或違規(guī)外聯(lián)等非法情況，將自動(dòng)上報(bào)管理中心，中心控制該區(qū)域中的計(jì)算機(jī)則立即發(fā)送攻擊包對(duì)其進(jìn)行阻斷。

1.8 在業(yè)務(wù)關(guān)鍵節(jié)點(diǎn)上部署IPS入侵防御系統(tǒng)，并對(duì)web服務(wù)器安裝網(wǎng)頁(yè)防護(hù)墻，防止注入和滲透等各種攻擊。

在調(diào)試過程中，遇到以下問題：

（1）通往總署因采用雙鏈路，其中經(jīng)過復(fù)雜的OSPF計(jì)算，存在來回路徑不同路。由于雙鏈路經(jīng)過不同的防火墻，回路的包被阻擋，發(fā)現(xiàn)數(shù)據(jù)包有去無(wú)回現(xiàn)象。對(duì)此在路由器上配置策略，調(diào)整cost值，以優(yōu)化傳送數(shù)據(jù)的路徑。

（2）不同地區(qū)之間鏈路受到有源設(shè)備影響，若中途光纜斷掉，有源設(shè)備到局端的設(shè)備依然處于正常連接的通電狀態(tài)，設(shè)備認(rèn)為該鏈路良好而不切換到備用鏈路。更換帶有光纜檢測(cè)功能的MSTP設(shè)備，配置聯(lián)動(dòng)性使之影響到有源端口，該問題得以解決。

安全管理規(guī)章制度。需接入電子口岸網(wǎng)絡(luò)的任何用戶，應(yīng)提出入網(wǎng)申請(qǐng)，經(jīng)領(lǐng)導(dǎo)審批后，方可開通入網(wǎng)。入網(wǎng)微機(jī)的任何安裝活動(dòng)，需經(jīng)批準(zhǔn)。任何單位和個(gè)人不得擅自更改網(wǎng)絡(luò)線路、系統(tǒng)配置參數(shù)和安裝的件。

出于資金和條件限制，目前網(wǎng)絡(luò)系統(tǒng)仍存在一些問題有待改善：

①目前服務(wù)器大多采用傳統(tǒng)的一臺(tái)服務(wù)器運(yùn)行一個(gè)服務(wù)方式，未能合理利用資源。今后對(duì)服務(wù)器的部署建設(shè)中，對(duì)服務(wù)器采用虛擬化，統(tǒng)一分配CPU、內(nèi)存及其他I/O資源，并將服務(wù)器使用光存儲(chǔ)陣列作為數(shù)據(jù)存儲(chǔ)支撐，方便部署，提高數(shù)據(jù)訪問效率。

②隨著業(yè)務(wù)進(jìn)一步擴(kuò)展，web服務(wù)器訪問量的加大，建議安裝負(fù)載均衡設(shè)備。通過負(fù)載調(diào)度程序?yàn)楦鱾€(gè)服務(wù)器分配工作量，從而達(dá)到充分利用資源，提高訪問性能的目的。

③對(duì)網(wǎng)絡(luò)其余部分也采用雙鏈路，雙設(shè)備改造，實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)拓?fù)涞碾p機(jī)熱備及雙鏈路冗余，在出現(xiàn)故障時(shí)能夠自動(dòng)切換，有效避免單點(diǎn)故障。根據(jù)業(yè)務(wù)的重要性對(duì)網(wǎng)線進(jìn)行顏色區(qū)分，對(duì)所有網(wǎng)卡均換成千兆以上端口，并統(tǒng)一用6類線連接，用以提高物理傳輸速率。

④對(duì)內(nèi)部機(jī)密數(shù)據(jù)的重要安全區(qū)域使用物理隔離，以增加海關(guān)內(nèi)部數(shù)據(jù)保密要求。如報(bào)關(guān)查詢緩存服務(wù)器與報(bào)關(guān)服務(wù)器用網(wǎng)閘隔離，使外部用戶不直接訪問報(bào)關(guān)web服務(wù)器，而是從緩存服務(wù)器中進(jìn)行單據(jù)查詢。

今后，海關(guān)的業(yè)務(wù)數(shù)據(jù)量將會(huì)更大，實(shí)時(shí)性要求更高，由此安全方面我們將面臨更大的考驗(yàn)。我們將結(jié)合新的科技發(fā)展趨勢(shì)，使用現(xiàn)有成熟的設(shè)備和技術(shù)，更快滿足電子政務(wù)高速發(fā)展的要求。并注意節(jié)約成本，減少項(xiàng)目開發(fā)的風(fēng)險(xiǎn)。