省級(jí)電子政務(wù)外網(wǎng)安全解決方案

1、項(xiàng)目總體設(shè)計(jì)方案項(xiàng)目概述XX省電子政務(wù)外網(wǎng)連接XX個(gè)地市二級(jí)單位和橫向的各廳局委辦，承載著省政府各級(jí)部門業(yè)務(wù)等系統(tǒng)的傳輸任務(wù)。通過本次項(xiàng)目建設(shè)，形成完善的省、市級(jí)VPN系統(tǒng)，全面支持政務(wù)業(yè)務(wù)應(yīng)用；滿足部分接入條件困難和業(yè)務(wù)量不大的部門通過VPN網(wǎng)關(guān)訪問國家不同部委業(yè)務(wù)應(yīng)用系統(tǒng)的需求，能夠依托省級(jí)節(jié)點(diǎn)已建的RA系統(tǒng)完成VPN接入用戶加密認(rèn)證，總體性能和安全指標(biāo)滿足國家要求?？傮w網(wǎng)絡(luò)拓?fù)鋱D圖：項(xiàng)目方案設(shè)計(jì)根據(jù)用戶的需求求及招標(biāo)文件件要求，我們們在設(shè)計(jì)方案案中充分考慮慮了VPN系系統(tǒng)建設(shè)的多多方面因素，在在建設(shè)實(shí)施過過程中確保系系統(tǒng)先進(jìn)，在在運(yùn)行過程中中確保穩(wěn)定。在在產(chǎn)品選型上上經(jīng)過多方面面功、性能

2、對對比，我們選選擇了滿足用用戶現(xiàn)狀并領(lǐng)領(lǐng)先的產(chǎn)品硬硬件技術(shù)架構(gòu)構(gòu)及內(nèi)核平臺(tái)臺(tái)。根據(jù)用戶戶需求及招標(biāo)標(biāo)文件要求，我我們設(shè)計(jì)的方方案拓?fù)淙缦孪聢D：1、省級(jí)市級(jí)VVPN網(wǎng)關(guān)系系統(tǒng)建設(shè)部署署在省信息中心部部署一臺(tái)高端端千兆VPNN網(wǎng)關(guān)，部署署在路由器后后端，通過路路由器鏡像端端口到VPNN網(wǎng)關(guān)，在市市級(jí)信息中心心部署一臺(tái)千千兆VPN網(wǎng)網(wǎng)關(guān)，部署在在路由器后端端，通過市級(jí)級(jí)路由器鏡像像端口到VPPN網(wǎng)關(guān)。省省、市VPNN網(wǎng)關(guān)通過證證書申請，策策略配置，隧隧道建立等步步驟可建立起起VPN隧道道。具體部署署如下步驟所所示：1.1 導(dǎo)入證證書1.2 啟用vvpn功能1.3 配置IIKE-SAA協(xié)商階段1.4

3、配置IIPSEC-SA隧道階階段1.5 添加安安全策略省、市級(jí)VPNN網(wǎng)關(guān)建立隧隧道后如下圖圖所示：2、VPN客戶戶端系統(tǒng)建設(shè)設(shè)部署全網(wǎng)部署20000個(gè)VPNN客戶端，對對接入條件有有限和業(yè)務(wù)量量不大的部門門通過VPNN客戶端訪問問各自不同部部委業(yè)務(wù)應(yīng)用用系統(tǒng)，通過過USB_kkey的認(rèn)證證方式+網(wǎng)神神VPN客戶戶端雙重技術(shù)術(shù)實(shí)現(xiàn)VPNN隧道建立，并并且可通過省省級(jí)節(jié)點(diǎn)已建建的RA系統(tǒng)統(tǒng)完成VPNN接入用戶加加密認(rèn)證。具具體建立步驟驟如下：2.1 導(dǎo)入CCA證書2.2 配置客客戶端基礎(chǔ)界界面選擇X509證證書2.3 配置IIKE算法2.4 配置IIPSEC算算法2.5 測試隧隧道連通性 省、市級(jí)VPNN網(wǎng)關(guān)、客戶戶端建立隧道道后如下圖所所示：3、VPN線路路切換考慮到市級(jí)運(yùn)維維人員技術(shù)保保障能力及設(shè)設(shè)備等故障因因素，我們在在方案設(shè)計(jì)階階段考慮了VVPN客戶端端切換線路的的方法，通過過RA認(rèn)證方方式可保證VVPN客戶端端的認(rèn)證是唯唯一性，不需需要在各級(jí)VVPN網(wǎng)關(guān)添添加用戶名賬賬號(hào)等認(rèn)證信信息，只需要要在前期部署署時(shí)配置雙VVPN隧道模模式，當(dāng)首選選線路連接的的VPN網(wǎng)關(guān)關(guān)出現(xiàn)異常不不能及時(shí)連接接時(shí)，可切換