岳陽市區(qū)縣電子政務(wù)外網(wǎng)技術(shù)方案建議書

年4月19日岳陽市區(qū)縣電子政務(wù)外網(wǎng)技術(shù)方案建議書文檔僅供參考，不當(dāng)之處，請聯(lián)系改正。岳陽市區(qū)縣電子政務(wù)外網(wǎng)平臺建設(shè)項目技術(shù)方案建議書岳陽市人民政府辦公室二〇一一年五月目錄第1章 建設(shè)目標(biāo)及原則 41.1 總體目標(biāo) 41.2 近期目標(biāo) 61.3 建設(shè)原則 72 網(wǎng)絡(luò)設(shè)計方案 102.1 概述 102.2 建設(shè)目標(biāo) 102.3 參考標(biāo)準(zhǔn) 112.4 網(wǎng)絡(luò)總體要求 132.5 網(wǎng)絡(luò)總體方案描述 142.6 具體接入點分布統(tǒng)計 162.7 網(wǎng)絡(luò)的可靠性、拓展性設(shè)計 182.7.1 網(wǎng)絡(luò)的可靠性設(shè)計 182.7.2 網(wǎng)絡(luò)的擴(kuò)展性設(shè)計 202.8 網(wǎng)絡(luò)鏈路的選擇 212.9 互聯(lián)網(wǎng)接入設(shè)計 212.10 核心層設(shè)計 232.11 匯聚層設(shè)計 242.12 接入層設(shè)計 252.13 IGP路由設(shè)計 262.14 IP地址規(guī)劃 262.14.1 IP地址分配原則 262.14.2 管理和互聯(lián)地址規(guī)劃 272.14.3 用戶地址規(guī)劃 272.15 MPLSVPN規(guī)劃設(shè)計 282.15.1 MPLSVPN構(gòu)建縱向網(wǎng)絡(luò) 282.15.2 MP-BGPRR規(guī)劃設(shè)計 322.15.3 MPLSVPN資源規(guī)劃 322.15.4 MPLSVPN業(yè)務(wù)接入規(guī)劃 343 數(shù)據(jù)中心設(shè)計方案 363.1 外部數(shù)據(jù)中心設(shè)計 363.2 內(nèi)部數(shù)據(jù)中心設(shè)計 373.3 服務(wù)器部署設(shè)計 384 存儲設(shè)計方案 394.1 概述 394.2 存儲需求分析 394.2.1 系統(tǒng)拓?fù)鋱D 404.2.2 系統(tǒng)設(shè)計 404.2.3 備份、容災(zāi)系統(tǒng)部署 405 系統(tǒng)安全設(shè)計方案 425.1 系統(tǒng)概況 425.2 安全建設(shè)原則 425.3 安全拓?fù)鋱D 435.4 安全系統(tǒng)部署 446 外網(wǎng)平臺應(yīng)用系統(tǒng)建設(shè) 476.1 應(yīng)用模型 476.2 系統(tǒng)架構(gòu) 486.2.1 功能需求 486.2.2 邏輯設(shè)計 497 設(shè)備清單及性能要求 527.1 設(shè)備清單及性能要求 527.1.1 岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺建設(shè)設(shè)備清單 527.1.2 岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺建設(shè)設(shè)備性能要求 52建設(shè)目標(biāo)及原則總體目標(biāo)20世紀(jì)90年代信息技術(shù)的迅猛發(fā)展，特別是互聯(lián)網(wǎng)技術(shù)的普及應(yīng)用，使電子政務(wù)的發(fā)展成為當(dāng)代信息化的最重要的領(lǐng)域之一。電子政務(wù)提高了政府辦公效率，方便市民與政府的實時溝通，顯著減少政務(wù)成本，還有利于促進(jìn)政府在管理體制、管理觀念、管理方式和管理手段等方面的轉(zhuǎn)變，進(jìn)而帶動整個國民經(jīng)濟(jì)和城市信息化進(jìn)程。步入21世紀(jì)以來，計算機(jī)技術(shù)的發(fā)展和應(yīng)用的不斷推廣，當(dāng)今世界已經(jīng)從工業(yè)化社會向信息社會轉(zhuǎn)換。中國電子政務(wù)發(fā)展的總體框架已經(jīng)確立，標(biāo)志著電子政務(wù)的發(fā)展有了更清晰明確的方向。《國家信息化領(lǐng)導(dǎo)小組關(guān)于中國電子政務(wù)建設(shè)指導(dǎo)意見》作為中辦發(fā)[]17號文件確立了中國電子政務(wù)建設(shè)的指導(dǎo)思想、發(fā)展原則和基本框架，指出中國電子政務(wù)建設(shè)主要圍繞“兩網(wǎng)、一站、四庫、十二金”重點展開，其中，電子政務(wù)網(wǎng)絡(luò)平臺建設(shè)就是主要內(nèi)容之一，并對網(wǎng)絡(luò)平臺建設(shè)提出了明確要求。隨著湖南省電子政務(wù)內(nèi)外網(wǎng)平臺建設(shè)的逐步延伸，岳陽市區(qū)縣電子政務(wù)外網(wǎng)即將成為承擔(dān)政府部門之間的各項信息交換和業(yè)務(wù)互動，實現(xiàn)同層次和上下級政府機(jī)構(gòu)之間各主要業(yè)務(wù)系統(tǒng)的信息交換和信息共享的主要載體。根據(jù)省政府相關(guān)文件，岳陽市區(qū)縣電子政務(wù)外網(wǎng)即將接入到岳陽市電子政務(wù)網(wǎng)絡(luò)，實現(xiàn)辦公自動化及信息化.為此，需要進(jìn)行岳陽市各區(qū)縣政府的電子政務(wù)網(wǎng)建設(shè)與整合，統(tǒng)一政府及各部門外網(wǎng)出口，同時按要求做好電子公文傳輸?shù)南嚓P(guān)準(zhǔn)備工作。岳陽市各區(qū)縣電子政務(wù)網(wǎng)絡(luò)平臺是岳陽市電子政務(wù)全局中聯(lián)結(jié)各部門業(yè)務(wù)系統(tǒng)的橋梁和紐帶，為各業(yè)務(wù)部門提供網(wǎng)絡(luò)傳輸服務(wù)，是未來政務(wù)工作的“高速公路”。網(wǎng)絡(luò)平臺提供的是高度集成化、一體化、規(guī)范化的服務(wù)，其本質(zhì)是為各業(yè)務(wù)系統(tǒng)的安全、順暢、高效運行和數(shù)據(jù)的傳輸、交換、存儲等構(gòu)造網(wǎng)絡(luò)基礎(chǔ)環(huán)境，它是未來實現(xiàn)各業(yè)務(wù)系統(tǒng)互聯(lián)、互通、互操作，促進(jìn)資源共享的基礎(chǔ)性工作。因此，岳陽市各區(qū)縣電子政務(wù)網(wǎng)絡(luò)平臺是關(guān)系各縣電子政務(wù)建設(shè)全局和發(fā)展的重要基礎(chǔ)性工作，是電子政務(wù)系統(tǒng)中的關(guān)鍵性核心組成要素。根據(jù)岳陽市政府市長辦公會議紀(jì)要精神，各區(qū)縣電子政務(wù)外網(wǎng)建設(shè)于5月正式啟動。外網(wǎng)建成后的作用是：第一、與發(fā)展接軌、加快經(jīng)濟(jì)發(fā)展。第二、增加工作透明度，建設(shè)“陽光政府”。第三、推動工作“提速”，提高執(zhí)政能力。第四、推動全縣信息化建設(shè)，提高城鄉(xiāng)化水平和競爭力。岳陽市各區(qū)縣電子政務(wù)總體框架的目標(biāo)是：覆蓋岳陽市各區(qū)縣的電子政務(wù)網(wǎng)絡(luò)基本建成，目錄體系與交換體系、信息安全基礎(chǔ)設(shè)施初步建立，重點應(yīng)用系統(tǒng)實現(xiàn)互聯(lián)互通，政務(wù)信息資源公開和共享機(jī)制初步建立，政府門戶網(wǎng)站成為政府信息公開的重要渠道，開展網(wǎng)上行政許可項目審批服務(wù)，電子政務(wù)公眾認(rèn)知度和公眾滿意度進(jìn)一步提高，有效降低行政成本，提高監(jiān)管能力和公共服務(wù)水平。岳陽市各區(qū)縣電子政務(wù)建設(shè)的目標(biāo)主要體現(xiàn)在以下幾方面：1、加大政府信息公開力度根據(jù)政府信息公開工作的要求，創(chuàng)新政府信息公開的方式，充分發(fā)揮、利用政府網(wǎng)站等信息化媒介的作用，及時更新網(wǎng)站信息，為公眾獲取政府信息提供便利。2、加快政務(wù)數(shù)據(jù)庫建設(shè)與應(yīng)用推進(jìn)以傳統(tǒng)載體保存的政務(wù)信息資源的數(shù)字化、網(wǎng)絡(luò)化。3、初步實現(xiàn)政務(wù)信息條塊共享根據(jù)法律規(guī)定和履行職能的需要，明確相關(guān)部門和地區(qū)信息共享的內(nèi)容、方式和責(zé)任，建立政務(wù)信息共享的長效機(jī)制。依托現(xiàn)有資源，建立岳陽市各區(qū)縣政務(wù)信息交換系統(tǒng)，構(gòu)建政務(wù)信息共享平臺，建立政務(wù)信息資源目錄體系、交換體系和服務(wù)體系等。為岳陽市各區(qū)縣政府的日常辦公、科學(xué)決策、業(yè)務(wù)管理、公共服務(wù)、信息公開、資源共享和業(yè)務(wù)協(xié)同提供支持。4、不斷加強(qiáng)政務(wù)管理完善政務(wù)信息資源管理體制，加強(qiáng)對政務(wù)信息采集、登記、備案、存儲、共享、安全等環(huán)節(jié)的管理。合理規(guī)劃政務(wù)信息的采集和更新維護(hù)流程，加強(qiáng)協(xié)調(diào)，明確分工，避免重復(fù)采集，并確保所采集信息的真實、準(zhǔn)確、完整和及時。進(jìn)一步提升政府行政效率和服務(wù)水平。5、以政府的社會管理和公共服務(wù)需求為導(dǎo)向，擴(kuò)大對農(nóng)村信息化服務(wù)、城鄉(xiāng)居民服務(wù)、城鎮(zhèn)建設(shè)服務(wù)和鄉(xiāng)鎮(zhèn)企業(yè)服務(wù)等提供服務(wù)的能力。近期目標(biāo)當(dāng)前，岳陽市各區(qū)縣鄉(xiāng)鎮(zhèn)以及街道辦事處沒有進(jìn)行統(tǒng)一規(guī)化，各單位“各主為政而”，很多部門由于管理水平有限、安全技術(shù)人才不足、思想認(rèn)識不到位、標(biāo)準(zhǔn)規(guī)范不一致等原因，存在不同程度的安全隱患。長此以往，將對未來我政府信息化建設(shè)帶來不可估量的負(fù)面影響，因此，十分有必要經(jīng)過統(tǒng)一外網(wǎng)的建設(shè)、統(tǒng)一互聯(lián)網(wǎng)出口，加強(qiáng)網(wǎng)絡(luò)和信息安全建設(shè)，經(jīng)過對網(wǎng)絡(luò)和信息安全的集中統(tǒng)一領(lǐng)導(dǎo)和管理、加大投資力度、完善運行維護(hù)機(jī)制、加強(qiáng)預(yù)警能力，能夠有效的提高電子政務(wù)的安全可靠性。在外網(wǎng)上構(gòu)建統(tǒng)一的電子政務(wù)外網(wǎng)平臺，上連岳陽市外網(wǎng)平臺，下接各鄉(xiāng)鎮(zhèn)（并逐步覆蓋到街道、村場）內(nèi)網(wǎng)平臺，橫向連通各市直部門，實行統(tǒng)一的網(wǎng)絡(luò)管理，提供可靠的安全保障；在信息資源上構(gòu)建四大基礎(chǔ)數(shù)據(jù)庫及主要業(yè)務(wù)部門數(shù)據(jù)庫，構(gòu)建整個信息資源目錄體系并建立信息資源交換規(guī)劃；在應(yīng)用上搭建統(tǒng)一的應(yīng)用支撐平臺，對原有業(yè)務(wù)系統(tǒng)的整合和新建應(yīng)用系統(tǒng)的運行提供支撐；在服務(wù)上建立以電子政務(wù)外網(wǎng)門戶網(wǎng)站為核心的公眾服務(wù)體系；在安全上按照統(tǒng)一的安全策略，構(gòu)建全網(wǎng)的安全體系。1、組建各區(qū)縣電子政務(wù)外網(wǎng)平臺并與岳陽市電子政務(wù)外網(wǎng)互連；2、建立各區(qū)縣電子政務(wù)網(wǎng)控中心；3、各區(qū)縣縣直單位和鄉(xiāng)鎮(zhèn)接入?yún)R聚點。4、建立基本的安全防護(hù)體系。5、完成政府網(wǎng)站的改版、網(wǎng)上政務(wù)服務(wù)和電子監(jiān)察系統(tǒng)的建設(shè)。建設(shè)原則根據(jù)中央辦公廳、國務(wù)院辦公廳轉(zhuǎn)發(fā)《國家信息化領(lǐng)導(dǎo)小組關(guān)于推進(jìn)國家電子政務(wù)網(wǎng)絡(luò)建設(shè)的意見》的通知（中辦發(fā)[]18號）的要求和我省的實際情況，湖南省政府系統(tǒng)電子政務(wù)外網(wǎng)平臺的建設(shè)目標(biāo)是：建設(shè)覆蓋全省各級政府部門的互聯(lián)互通信息網(wǎng)絡(luò)平臺（HNEGOVNet－IN）。它包括建設(shè)連接省級政府系統(tǒng)電子政務(wù)外網(wǎng)平臺和各市（州）級政府系統(tǒng)電子政務(wù)外網(wǎng)平臺的一級骨干網(wǎng)，連接市（州）級政府系統(tǒng)電子政務(wù)內(nèi)外網(wǎng)平臺和縣（區(qū)）級政府系統(tǒng)電子政務(wù)內(nèi)外網(wǎng)平臺的二級骨干網(wǎng)；分層建設(shè)省級、市（州）級、縣（區(qū)）級，覆蓋本級政府及其相關(guān)職能部門的橫向信息網(wǎng)絡(luò)。同時網(wǎng)絡(luò)平臺的建設(shè)要與安全支撐平臺和應(yīng)用支撐平臺的建設(shè)統(tǒng)一考慮，健全湖南省政府系統(tǒng)電子政務(wù)內(nèi)外網(wǎng)平臺的安全保障體系。為達(dá)到以上目標(biāo)，本次網(wǎng)絡(luò)建設(shè)的主要原則是：需求主導(dǎo)：網(wǎng)絡(luò)的設(shè)計必須滿足湖南省政府系統(tǒng)開展電子政務(wù)建設(shè)對網(wǎng)絡(luò)的需求，能提供各級政府部門間縱向連接和橫向連接，以滿足各類業(yè)務(wù)的應(yīng)用要求。統(tǒng)籌規(guī)劃：網(wǎng)絡(luò)設(shè)計時必須協(xié)調(diào)有關(guān)單位，對網(wǎng)絡(luò)地址和域名進(jìn)行統(tǒng)籌規(guī)劃，并研究和制定相關(guān)的標(biāo)準(zhǔn)和管理辦法等。整合資源：充分利用岳陽市各區(qū)縣政府系統(tǒng)電子政務(wù)外網(wǎng)平臺資源，加強(qiáng)已有網(wǎng)絡(luò)資源的整合，促進(jìn)互聯(lián)互通，形成統(tǒng)一的電子政務(wù)網(wǎng)絡(luò)平臺。同時要充分考慮到已有資源的利用和投資保護(hù)問題，特別是要充分考慮已經(jīng)建設(shè)的湖南省電子政務(wù)專網(wǎng)平臺的情況，節(jié)省費用，保護(hù)投資。服務(wù)應(yīng)用：網(wǎng)絡(luò)系統(tǒng)的設(shè)計必須為各級政府部門的業(yè)務(wù)應(yīng)用（包括橫向和縱向的業(yè)務(wù)系統(tǒng)）提供服務(wù)。注重安全：網(wǎng)絡(luò)的設(shè)計必須保證業(yè)務(wù)和數(shù)據(jù)的安全性。系統(tǒng)要采取多層保密和防范措施，保證網(wǎng)絡(luò)、服務(wù)器等設(shè)備的安全穩(wěn)定，防止系統(tǒng)外非法用戶的侵入和系統(tǒng)內(nèi)用戶的非法探測和惡意泄密，系統(tǒng)內(nèi)工作人員分級按權(quán)限操作。系統(tǒng)的安全要達(dá)到國家規(guī)定的電子政務(wù)專網(wǎng)的安全標(biāo)準(zhǔn)。著眼發(fā)展，分步實施：政府系統(tǒng)電子政務(wù)外網(wǎng)平臺建設(shè)技術(shù)含量高、工程投資大、涉及面廣，是一項長期的工作，不可能一蹴而就，必須具有全局觀念，在總體規(guī)劃指導(dǎo)下，按計劃、分步驟的來進(jìn)行。要實事求是地分析現(xiàn)狀，熟悉和了解技術(shù)的發(fā)展趨勢，合理分配有限的資金，在遵循總體規(guī)劃的前提下，確定切合實際的軟硬件配置方案，制訂短、中、長期相結(jié)合的分步實施計劃，以實現(xiàn)降低工程建設(shè)風(fēng)險，提高資金使用效率的目的。先進(jìn)性、實用性原則從較高的起點對網(wǎng)絡(luò)建設(shè)進(jìn)行規(guī)劃，充分采用先進(jìn)成熟的網(wǎng)絡(luò)技術(shù)，滿足電子政務(wù)平臺各種業(yè)務(wù)實時數(shù)據(jù)、非實時數(shù)據(jù)傳輸需要。工程建設(shè)方案要面向未來，技術(shù)必須具有先進(jìn)性和前瞻性，以確保在未來3-5年內(nèi)不落后，同時也要堅持實用的原則，在滿足性能價格比的前提下，堅持選用符合標(biāo)準(zhǔn)的，先進(jìn)成熟的產(chǎn)品和開發(fā)平臺。可靠性原則網(wǎng)絡(luò)設(shè)計過程中從網(wǎng)絡(luò)技術(shù)、電路保護(hù)、設(shè)備等多方面考慮電子政務(wù)專網(wǎng)平臺的可靠性，保證數(shù)據(jù)傳輸?shù)陌踩煽俊Ｍ瑫r提供的7×24的服務(wù)保障，從技術(shù)和服務(wù)兩方面保證岳陽市各區(qū)縣電子政務(wù)內(nèi)外網(wǎng)平臺的可用性達(dá)到要求。成熟性和發(fā)展性的結(jié)合工程建設(shè)應(yīng)首先采用符合當(dāng)前業(yè)界計算機(jī)及應(yīng)用系統(tǒng)發(fā)展趨勢的主流技術(shù)，技術(shù)先進(jìn)并趨于成熟的，被公眾認(rèn)可的優(yōu)質(zhì)產(chǎn)品。既要保證當(dāng)前系統(tǒng)的高可靠性，又能適應(yīng)未來技術(shù)的發(fā)展，滿足多業(yè)務(wù)發(fā)展的要求。要本著“有用、適用和好用”的原則，不片面追求硬軟件設(shè)施的先進(jìn)性，強(qiáng)調(diào)整個系統(tǒng)的可連接性和整體布局、應(yīng)用的合理性。經(jīng)濟(jì)性原則經(jīng)過技術(shù)經(jīng)濟(jì)比較，性能價格比較，選擇優(yōu)化的網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)技術(shù)，盡可能利用和保護(hù)現(xiàn)有設(shè)備和投資，做到從實際出發(fā)，制定經(jīng)濟(jì)、合理的方案，以最小的網(wǎng)絡(luò)建設(shè)和網(wǎng)絡(luò)維護(hù)成本建設(shè)一個高可用、高安全的電子政務(wù)專網(wǎng)平臺。可管理性原則電子政務(wù)系統(tǒng)是一個比較大、較復(fù)雜的系統(tǒng)，它包含大量硬件設(shè)備、軟件系統(tǒng)和數(shù)據(jù)信息資源，這些資源分布在全區(qū)各部門，因此系統(tǒng)的技術(shù)方案要為市政府提供多層次、方便、有效的管理手段，為系統(tǒng)正常運行提供網(wǎng)絡(luò)技術(shù)管理保障。標(biāo)準(zhǔn)性原則現(xiàn)有信息技術(shù)的發(fā)展越來越快，為了使該系統(tǒng)在未來運行過程中其技術(shù)能和整個信息技術(shù)的發(fā)展同步，系統(tǒng)應(yīng)具有備靈活適應(yīng)性和良好的可擴(kuò)展性，系統(tǒng)的結(jié)構(gòu)設(shè)計和產(chǎn)品選型要堅持標(biāo)準(zhǔn)化，首先采用國家標(biāo)準(zhǔn)和國際標(biāo)準(zhǔn)，其次采用廣為流傳的實用化工業(yè)標(biāo)準(zhǔn)?？蓴U(kuò)充性原則考慮到岳陽市各區(qū)縣政府電子政務(wù)內(nèi)、外網(wǎng)平臺各種應(yīng)用業(yè)務(wù)的飛速發(fā)展，網(wǎng)絡(luò)承載的信息流量不斷增加。岳陽市各區(qū)縣政府電子政務(wù)內(nèi)、外網(wǎng)平臺的設(shè)計中充分考慮未來帶寬擴(kuò)容的需要，從網(wǎng)絡(luò)和設(shè)備的配置上都保留一定的擴(kuò)充余地，便于融入隨著新技術(shù)發(fā)展帶來的新功能，滿足岳陽市各區(qū)縣政務(wù)不斷發(fā)展的業(yè)務(wù)需要。同時為響應(yīng)中央政府節(jié)能減排的號召，在設(shè)備的選擇上應(yīng)遵循環(huán)保、節(jié)能的原則。網(wǎng)絡(luò)設(shè)計方案概述隨著岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺建設(shè)的逐步延伸，岳陽市各區(qū)縣電子政務(wù)外網(wǎng)即將成為承擔(dān)政府部門之間的各項信息交換和業(yè)務(wù)互動，實現(xiàn)同層次和上下級政府機(jī)構(gòu)之間各主要業(yè)務(wù)系統(tǒng)的信息交換和信息共享的主要載體。根據(jù)省政府相關(guān)文件，岳陽市各區(qū)縣政府即將接入到岳陽市電子政務(wù)外網(wǎng)，實現(xiàn)辦公自動化及信息化，為此，需要進(jìn)行岳陽市各區(qū)縣政府的外網(wǎng)建設(shè)與整合，統(tǒng)一市委、市人大、市政府、市政協(xié)及市直各部門等外網(wǎng)出口。岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺是岳陽市各區(qū)縣電子政務(wù)外網(wǎng)全網(wǎng)中聯(lián)接各部門業(yè)務(wù)系統(tǒng)的橋梁和紐帶，為各業(yè)務(wù)部門提供網(wǎng)絡(luò)傳輸服務(wù)，是未來政務(wù)工作的“高速公路”。網(wǎng)絡(luò)平臺提供的是高度集成化、一體化、規(guī)范化的服務(wù)，其本質(zhì)是為各業(yè)務(wù)系統(tǒng)的安全、順暢、高效運行和數(shù)據(jù)的傳輸、交換、存儲等構(gòu)造網(wǎng)絡(luò)基礎(chǔ)環(huán)境，它是未來實現(xiàn)各業(yè)務(wù)系統(tǒng)互聯(lián)、互通、互操作，促進(jìn)資源共享的基礎(chǔ)性工作。因此，岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺是關(guān)系我市電子政務(wù)建設(shè)全局和發(fā)展的重要基礎(chǔ)性工作，是電子政務(wù)系統(tǒng)中的關(guān)鍵性核心組成要素。建設(shè)目標(biāo)本次建設(shè)的電子政務(wù)外網(wǎng)平臺將實現(xiàn)電子政務(wù)各項應(yīng)用所需的網(wǎng)絡(luò)環(huán)境，為電子政務(wù)應(yīng)用提供安全、穩(wěn)定、可靠的傳輸通道，包括局域網(wǎng)、城域網(wǎng)、廣域網(wǎng)和互聯(lián)網(wǎng)出口。根據(jù)上級對電子政務(wù)外網(wǎng)平臺建設(shè)的要求，結(jié)合本地實際情況，我市電子政務(wù)外網(wǎng)平臺建設(shè)必須滿足以下功能需求：（1）網(wǎng)絡(luò)互聯(lián)互通的需求電子政務(wù)外網(wǎng)平臺建立后，應(yīng)在縱向上實現(xiàn)上連國家、省、市電子政務(wù)外網(wǎng)平臺，下連各鄉(xiāng)鎮(zhèn)電子政務(wù)外網(wǎng)平臺，在橫向上能夠方便連接市委、市人大、市政府、市政協(xié)以及政府各組成部門、直屬機(jī)構(gòu)、辦事機(jī)構(gòu)、事業(yè)單位等。同時，網(wǎng)絡(luò)必須具備高度的可靠性和穩(wěn)定性，應(yīng)具備可伸縮、可管理、可擴(kuò)展的能力，以應(yīng)對業(yè)務(wù)數(shù)據(jù)的快速增長，滿足網(wǎng)絡(luò)平臺平滑升級的要求。（2）縱向業(yè)務(wù)的應(yīng)用需求電子政務(wù)外網(wǎng)平臺建立后，各個縱向網(wǎng)絡(luò)將逐步整合到統(tǒng)一的連接通道。電子政務(wù)外網(wǎng)平臺既要滿足互聯(lián)互通，又要保證各部門縱向系統(tǒng)的相對獨立性和現(xiàn)有縱向網(wǎng)絡(luò)系統(tǒng)的正常運行，應(yīng)當(dāng)提供各個部門高速通達(dá)、安全可靠、方便使用的縱向系統(tǒng)專用網(wǎng)絡(luò)或虛擬專用網(wǎng)絡(luò)，如提供虛擬專用網(wǎng)絡(luò)需支持至少150個市直部門的縱向MPLSVPN需求，并有足夠的擴(kuò)充能力。（3）橫向業(yè)務(wù)的應(yīng)用需求電子政務(wù)外網(wǎng)平臺建立后，各個聯(lián)網(wǎng)部門將逐步開展橫向電子政務(wù)業(yè)務(wù)。電子政務(wù)外網(wǎng)平臺既要滿足互聯(lián)互通，又要保證相關(guān)部門橫向業(yè)務(wù)系統(tǒng)的相對獨立性，應(yīng)當(dāng)提供各個部門高速通達(dá)、安全可靠、方便使用的縱向系統(tǒng)專用網(wǎng)絡(luò)或虛擬專用網(wǎng)絡(luò)，如提供虛擬專用網(wǎng)絡(luò)需支持市直部門的橫向MPLSVPN需求。（4）公共資源共享業(yè)務(wù)的應(yīng)用需求各聯(lián)網(wǎng)部門連接到電子政務(wù)外網(wǎng)平臺后，應(yīng)該能夠經(jīng)過電子政務(wù)外網(wǎng)平臺方便訪問電子政務(wù)外網(wǎng)平臺的內(nèi)部數(shù)據(jù)中心、外部數(shù)據(jù)中心和互聯(lián)網(wǎng)等公共資源。（5）互聯(lián)網(wǎng)接入的需求外網(wǎng)平臺應(yīng)能夠提供整個網(wǎng)絡(luò)統(tǒng)一的安全的互聯(lián)網(wǎng)接入。（6）不同接入方式的需求岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺應(yīng)滿足市政府機(jī)關(guān)大院、市政府組成部門、有行政審批職能的市直部門、與民生相關(guān)的行政事業(yè)單位等市直部門以不同帶寬、接入方式接入到外網(wǎng)平臺的需求。（7）各鄉(xiāng)鎮(zhèn)接入的需求岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺應(yīng)滿足各鄉(xiāng)鎮(zhèn)廣域匯聚點的接入需求。參考標(biāo)準(zhǔn)國家、省市有關(guān)信息化的政策法規(guī)和技術(shù)規(guī)范，是電子政務(wù)建設(shè)順利實施和健康運行的重要保證。本方案將參照國家關(guān)于信息化建設(shè)和電子政務(wù)建設(shè)的法律、法規(guī)、相關(guān)政策以及各種技術(shù)標(biāo)準(zhǔn)規(guī)范進(jìn)行編制。《岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺技術(shù)規(guī)范》(湖南省信息化領(lǐng)導(dǎo)小組-10-01)《信息系統(tǒng)安全等級保護(hù)定級指南》《國家政務(wù)外網(wǎng)網(wǎng)絡(luò)互連及安全防護(hù)指南_征求意見稿》《信息安全等級保護(hù)管理辦法》（公安部、國家保密局、國家密碼局、國信辦聯(lián)合發(fā)布，公通字[]43號）《國家政務(wù)外網(wǎng)網(wǎng)絡(luò)互連及安全防護(hù)指南_征求意見稿》，是9月《關(guān)于轉(zhuǎn)發(fā)〈國家信息化領(lǐng)導(dǎo)小組關(guān)于中國電子政務(wù)建設(shè)指導(dǎo)意見〉的通知》（中辦發(fā)[]17號）8《中共中央辦公廳國務(wù)院辦公廳轉(zhuǎn)發(fā)〈國家信息化領(lǐng)導(dǎo)小組關(guān)于推進(jìn)國家電子政務(wù)網(wǎng)絡(luò)建設(shè)的意見〉的通知》（中辦發(fā)[]18號）《國務(wù)院辦公廳關(guān)于印發(fā)全國政府系統(tǒng)政務(wù)信息化建設(shè)-規(guī)劃綱要的通知》（國辦發(fā)[]25號）《電子政務(wù)標(biāo)準(zhǔn)化指南（征求意見稿）》國家標(biāo)準(zhǔn)化管理委員會、國務(wù)院信息化工作辦公室2月國務(wù)院信息化工作辦公室、科學(xué)技術(shù)部、信息產(chǎn)業(yè)部關(guān)于印發(fā)《電子政務(wù)工程技術(shù)指南》的通知(國信辦[]2號)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》中華人民共和國國務(wù)院令（第292號）9《計算機(jī)信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》國家保密局 1《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》國務(wù)院令147號1994《加強(qiáng)計算機(jī)信息網(wǎng)絡(luò)保密管理的通知》（中保委發(fā)【】4號）《計算機(jī)軟件保護(hù)條例》(國務(wù)院令第339號)《計算機(jī)場地通用規(guī)范》(GB2887－)《電子計算機(jī)機(jī)房設(shè)計規(guī)范》(GB50174—93)《岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺技術(shù)方案》《岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺應(yīng)用規(guī)范》（討論稿）《中共湖南省委辦公廳湖南省人民政府辦公廳轉(zhuǎn)發(fā)省信息化領(lǐng)導(dǎo)小組〈關(guān)于加強(qiáng)電子政務(wù)外網(wǎng)平臺建設(shè)和管理的意見〉的通知》（湘辦發(fā)[]25號）網(wǎng)絡(luò)總體要求岳陽市各區(qū)縣電子政務(wù)網(wǎng)平臺是岳陽市電子政務(wù)的重要組成部分。以《國家信息化領(lǐng)導(dǎo)小組關(guān)于中國電子政務(wù)建設(shè)指導(dǎo)意見》（中辦發(fā)[]17號）、《關(guān)于推進(jìn)國家電子政務(wù)網(wǎng)絡(luò)建設(shè)的意見》（中辦發(fā)[]18號）、《關(guān)于加強(qiáng)我省電子政務(wù)外網(wǎng)平臺建設(shè)和管理的意見》（湘辦發(fā)[]25號）、《湖南省電子政務(wù)外網(wǎng)平臺技術(shù)規(guī)范》為指導(dǎo)，依托岳陽市各區(qū)縣公共通信設(shè)施的基礎(chǔ)資源，采用先進(jìn)的信息、網(wǎng)絡(luò)技術(shù)，以電子政務(wù)應(yīng)用為主導(dǎo)，以資源整合為核心，以安全保障為支撐，構(gòu)建標(biāo)準(zhǔn)統(tǒng)一、功能完善、安全可靠的岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺，在網(wǎng)絡(luò)環(huán)境下逐步實現(xiàn)同層次和上下級政府機(jī)構(gòu)之間各主要業(yè)務(wù)系統(tǒng)的信息交換和信息共享；開展政府部門面向企業(yè)和公眾的監(jiān)管和服務(wù)業(yè)務(wù)，為規(guī)范政府管理與服務(wù)創(chuàng)造必要條件，努力提升政府監(jiān)管能力、工作效率和公共服務(wù)水平。岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺將連接市網(wǎng)平臺、市直單位、鄉(xiāng)鎮(zhèn)電子政務(wù)網(wǎng)絡(luò)平臺，形成一個縱橫互通的信息高速通道，并部署安全措施，統(tǒng)一因特網(wǎng)出口。建成后的政務(wù)外網(wǎng)為政府各部門實現(xiàn)橫向互連互通，為縱向業(yè)務(wù)系統(tǒng)運行提供安全、快捷、方便、經(jīng)濟(jì)的統(tǒng)一網(wǎng)絡(luò)通道。從根本上解決岳陽市電子政務(wù)建設(shè)中部門橫向互不連通，信息資源封閉、數(shù)據(jù)不能共享和重復(fù)建設(shè)等問題。IPIP網(wǎng)絡(luò)－靈活的虛擬邏輯隔離熱線電話熱線電話統(tǒng)一安全策略管理系統(tǒng)財務(wù)檔案招標(biāo)人事審計應(yīng)急O(jiān)A系統(tǒng)網(wǎng)站問題處理對外服務(wù)系統(tǒng)個性化應(yīng)用平臺局域網(wǎng)基礎(chǔ)平臺功能廣域網(wǎng)政府集中辦公、對外一站(網(wǎng))式服務(wù)智能管理設(shè)備管理、用戶管理、業(yè)務(wù)管理從電子政務(wù)外網(wǎng)平臺功能來看，其核心價值就是安全、公平、公開、簡單、互動的實現(xiàn)政務(wù)信息交換和資源共享。網(wǎng)絡(luò)總體方案描述經(jīng)過綜合考慮各類因素，在此次岳陽市各區(qū)縣電子政務(wù)外網(wǎng)工程項目中推薦采用雙核心設(shè)計方案。其網(wǎng)絡(luò)結(jié)構(gòu)圖如下：圖2.5岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺設(shè)計岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺按照三層結(jié)構(gòu)設(shè)計分為：核心層、匯聚層、接入層。核心層由一臺出口路由器和二臺核心交換機(jī)組成。出口路由器負(fù)責(zé)與互聯(lián)網(wǎng)的連通，2臺核心交換機(jī)之間分別經(jīng)過2條萬兆鏈路聚合互聯(lián)，實現(xiàn)核心層全冗余和高速連接，確保核心層穩(wěn)定可靠高效地運行，并負(fù)責(zé)與岳陽市外網(wǎng)的連通。匯聚層由4臺匯聚交換機(jī)擔(dān)當(dāng)，4臺匯聚層設(shè)備均采用千兆雙鏈路上行連接至2臺核心交換機(jī)，提供上行冗余鏈路，確保接入鏈路可靠性。匯聚層設(shè)備向下采用百兆/十兆接入各市直單位，提供百兆/十兆接入能力。接入層為市直部門的接入，根據(jù)每個單位接入數(shù)量；配置一臺接入設(shè)備，經(jīng)過MTPS/SDH上聯(lián)至匯聚交換機(jī)。在有些單位與單位之間采取組合式，把幾個近的單位組合在一起，再經(jīng)過一臺性能強(qiáng)的交換機(jī)放在組合單位集中的位置。再經(jīng)過單模光纖上聯(lián)至匯聚交換機(jī)。具體接入點分布統(tǒng)計首批接入外網(wǎng)平臺的單位：將納入岳陽市各區(qū)縣政府行政績效評估名單的單位、岳陽市各區(qū)縣政府門戶網(wǎng)站群單位、具有行政審批職能的市直單位、與民生密切相關(guān)的其它單位作為首批接入岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺的單位，同時也接入以上未包括的區(qū)縣委、區(qū)縣人大、區(qū)縣政府、區(qū)縣政協(xié)、區(qū)縣法院、區(qū)縣檢察院等六大家的其它重要部門。首批接入單位具體分布如下表：序號單位(區(qū)縣)電腦數(shù)量（估算）10臺以下10-30臺30-50臺50-100臺1區(qū)縣委2人大3政協(xié)4政府辦5紀(jì)委監(jiān)察局6組織部7宣傳部8統(tǒng)戰(zhàn)部9政法委10總工會11檔案局12編委辦13接待處14老干局15工商聯(lián)16婦聯(lián)17科協(xié)18檢察院19法院20發(fā)改局21工業(yè)局22教育局23科技局24公安局25民政局26司法局27財政局28人事局29勞動和社會局30建設(shè)局31交通局32水利局33農(nóng)業(yè)局34林業(yè)局35商務(wù)局36文化局37衛(wèi)生局38環(huán)保局39安監(jiān)局40計生局41農(nóng)村辦42糧食局43廣播局44畜牧水產(chǎn)局45房產(chǎn)局46招商局47體育局48統(tǒng)計局49供銷聯(lián)社50經(jīng)管局51農(nóng)機(jī)局52市場管理中心53國土局54審計局55旅游局56人防辦57工業(yè)園58殘聯(lián)59交警大隊60藥監(jiān)局61移民局62政務(wù)公開中心63XX街道辦事處64XX鄉(xiāng)鎮(zhèn)網(wǎng)絡(luò)的可靠性、拓展性設(shè)計網(wǎng)絡(luò)的可靠性設(shè)計岳陽市各區(qū)縣電子政務(wù)外網(wǎng)承擔(dān)各種業(yè)務(wù)應(yīng)用系統(tǒng)，提供統(tǒng)一的網(wǎng)絡(luò)平臺，其網(wǎng)絡(luò)可靠性要求很高。網(wǎng)絡(luò)系統(tǒng)的可靠性設(shè)計主要體現(xiàn)在以下幾個方面：網(wǎng)絡(luò)虛擬化的可靠性；岳陽市各區(qū)縣電子政務(wù)外網(wǎng)的核心需要實現(xiàn)網(wǎng)絡(luò)的高可靠性，包括設(shè)備、鏈路及網(wǎng)絡(luò)架構(gòu)設(shè)計、網(wǎng)絡(luò)自愈能力等，在岳陽市各區(qū)縣電子政務(wù)外網(wǎng)核心層中，我們應(yīng)用了2臺核心設(shè)備；經(jīng)過虛擬化技術(shù)，它是把兩臺設(shè)備虛擬化成一臺設(shè)備。形成一個網(wǎng)絡(luò)管理與轉(zhuǎn)發(fā)節(jié)點；將多達(dá)2個的物理網(wǎng)絡(luò)節(jié)點虛擬化為單臺設(shè)備，兩臺設(shè)備同時工作，互為備份。又互不影響其業(yè)務(wù)數(shù)據(jù)的轉(zhuǎn)發(fā)。完全消除匯聚層環(huán)路，并形成捆綁鏈路的高帶寬和可靠性。在這樣的虛擬化下，網(wǎng)狀的網(wǎng)絡(luò)形成了一個非常簡潔的架構(gòu)，網(wǎng)絡(luò)各層之間經(jīng)過捆綁的單邏輯鏈路互聯(lián)，消除了環(huán)路。不再需要在接入層設(shè)計復(fù)雜的生成樹協(xié)議，也不再需要在變成單一邏輯節(jié)點的客戶端接入網(wǎng)關(guān)上運行VRRP協(xié)議。經(jīng)過虛擬化技術(shù)，整個彈性架構(gòu)共用一個IP管理，簡化網(wǎng)絡(luò)設(shè)備管理，簡化網(wǎng)絡(luò)拓?fù)涔芾?，提高運營效率，降低維護(hù)成本。采用虛擬化技術(shù)組建岳陽市各區(qū)縣電子政務(wù)外網(wǎng)核心。該技術(shù)實現(xiàn)了IP技術(shù)的高可靠性，很好地適應(yīng)了數(shù)據(jù)業(yè)務(wù)。它的核心思想是將多臺設(shè)備經(jīng)過虛擬化物理端口連接在一起，進(jìn)行必要的配置后，虛擬化成一臺“分布式設(shè)備”。使用這種虛擬化技術(shù)能夠?qū)崿F(xiàn)多臺設(shè)備的協(xié)同工作、統(tǒng)一管理和不間斷維護(hù)。動態(tài)路由設(shè)計保證網(wǎng)絡(luò)的可靠性；IGP路由設(shè)計中采用業(yè)界流行的OSPF路由協(xié)議，OSPF路由協(xié)議在2臺核心層交換機(jī)及4臺匯聚層交換機(jī)及接入交換機(jī)之間運行，由于這些設(shè)備之間全部是雙鏈路連接，因此當(dāng)任何1臺核心交換機(jī)發(fā)生故障時，OSPF路由協(xié)議在很短的時間內(nèi)（一般少于10s）會根據(jù)鏈路狀態(tài)進(jìn)行路由的重新計算，從而不會影響到4個城域網(wǎng)匯聚點與核心網(wǎng)絡(luò)之間的網(wǎng)絡(luò)連接。完善的網(wǎng)絡(luò)管理系統(tǒng)確保網(wǎng)絡(luò)可靠性；在設(shè)計網(wǎng)絡(luò)管理系統(tǒng)時，應(yīng)全面考慮網(wǎng)絡(luò)管理的內(nèi)容，建設(shè)網(wǎng)絡(luò)管理平臺、網(wǎng)絡(luò)設(shè)備管理軟件模塊、網(wǎng)絡(luò)故障管理模塊、網(wǎng)絡(luò)流量模塊、網(wǎng)絡(luò)故障告警模塊。經(jīng)過網(wǎng)絡(luò)管理系統(tǒng)多種模塊的組合，實現(xiàn)對整網(wǎng)設(shè)備和安全性等各個方面進(jìn)行全面的管理，有效地提高網(wǎng)絡(luò)的安全可靠性。選配高可靠性的網(wǎng)絡(luò)設(shè)備；選用具備電信級的網(wǎng)絡(luò)設(shè)備進(jìn)行組網(wǎng)，使網(wǎng)絡(luò)具有自動恢復(fù)能力、降低人工維護(hù)工作，達(dá)到電信級的可靠運行。采用分布式體系結(jié)構(gòu)分布式體系結(jié)構(gòu)是提高可靠性的基礎(chǔ)，與集中式體系設(shè)備相比較，分布式體系設(shè)備除性能能夠經(jīng)過插入更多的接口處理板提高整體性能外，更為關(guān)鍵的是將管理、路由轉(zhuǎn)發(fā)、接口處理等功能分配在不同的部件上，協(xié)同工作，分布式體系能夠分散故障風(fēng)險、隔離故障、提供冗余配置，提高系統(tǒng)的自動恢復(fù)能力；如管理部件故障，只需要更換這部分板件，不影響其它功能。而且，分布式體系結(jié)構(gòu)能夠提高組網(wǎng)的物理可靠性。在電子政務(wù)外網(wǎng)平臺組網(wǎng)中，每個骨干節(jié)點都有兩個接口與其余節(jié)點互聯(lián)，從路由上提高了可靠性。如果是集中式體系，則當(dāng)節(jié)點設(shè)備出現(xiàn)故障時，這個節(jié)點就會失效，造成節(jié)點所帶網(wǎng)絡(luò)的中斷；而采用分布式結(jié)構(gòu)時，能夠?qū)⑦@兩個接口分別配置到不同的接口板上，這樣，無論這臺設(shè)備的管理單元、交換轉(zhuǎn)發(fā)單元，還是單一接口出現(xiàn)故障，都能夠保證至少有一條路徑是連通的，該節(jié)點網(wǎng)絡(luò)都不會中斷。關(guān)鍵部件冗余采用分布式體系結(jié)構(gòu)，對設(shè)備的關(guān)鍵部件，如主控管理單元、交換轉(zhuǎn)發(fā)單元等，進(jìn)行冗余配置，保證系統(tǒng)在工作中不會全部失效。實時熱備份機(jī)制在系統(tǒng)軟件及硬件的支持下，關(guān)鍵部件在發(fā)生故障能自動啟動備份系統(tǒng)，而且主備之間的切換能夠?qū)崟r熱倒換，即運行中即使發(fā)生設(shè)備故障切換也不會對網(wǎng)絡(luò)業(yè)務(wù)造成影響。熱插拔特性設(shè)備任意單板支持熱插拔特性，保證系統(tǒng)出現(xiàn)故障需要維護(hù)，或系統(tǒng)需要升級擴(kuò)展時，不需要停機(jī)處理，保證網(wǎng)絡(luò)的7×24小時不間斷運行。冗余電源支持冗余電源負(fù)載分擔(dān)及備份供電可保障系統(tǒng)具有可靠的能量源。散熱系統(tǒng)散熱系統(tǒng)使設(shè)備長時間運行而不至因為系統(tǒng)升溫過高出現(xiàn)故障，冗余風(fēng)扇等散熱裝置能夠增加設(shè)備的運行時間及減少故障發(fā)生。網(wǎng)絡(luò)的擴(kuò)展性設(shè)計在網(wǎng)絡(luò)系統(tǒng)的可擴(kuò)展性方面主要考慮以下幾個方面：網(wǎng)絡(luò)結(jié)構(gòu)的可擴(kuò)展能力岳陽市各區(qū)縣電子政務(wù)外網(wǎng)系統(tǒng)采用層次化、結(jié)構(gòu)化設(shè)計理念，整網(wǎng)分為核心層、匯聚層、接入層。這種結(jié)構(gòu)化設(shè)計充分保證了系統(tǒng)的擴(kuò)充能力，保證在接入子網(wǎng)大量增加的情況下核心設(shè)備的端口數(shù)量要求不會大量增加。網(wǎng)絡(luò)中廣播的數(shù)量岳陽市各區(qū)縣電子政務(wù)外網(wǎng)系統(tǒng)采用三層路由的設(shè)計，不同的部門劃分在不同的網(wǎng)段，部門之間的通訊全部經(jīng)過三層路由來實現(xiàn)。因此，各個部門的廣播包根本不會發(fā)送到其它部門的網(wǎng)絡(luò)。同時，在一個部門內(nèi)部，不同的業(yè)務(wù)系統(tǒng)之間經(jīng)過劃分VLAN來實現(xiàn)隔離，不同的VLAN之間也是經(jīng)過三層路由來實現(xiàn)。這種VLAN的劃分，一方面提高了網(wǎng)絡(luò)的安全性，另一方面也限制了網(wǎng)絡(luò)中的廣播數(shù)量。因此，廣播數(shù)據(jù)包基本上被限制在一個部門內(nèi)部，不會擴(kuò)散到網(wǎng)絡(luò)的其它部分。網(wǎng)絡(luò)鏈路的選擇現(xiàn)在主流的組網(wǎng)通信技術(shù)主要有以太網(wǎng)、SDH／SONET、和VPN三大類。首先，城域以太網(wǎng)主要面向城區(qū)用戶，其優(yōu)越性表現(xiàn)在以下幾個方面：將基于千兆以太網(wǎng)的平臺應(yīng)用于城市范圍，解決了城域網(wǎng)中常面正確嚴(yán)重的瓶頸問題；以太網(wǎng)成本低廉，包括設(shè)備成本及實施成本；而且即時可用，提供更高的數(shù)據(jù)傳輸速率；當(dāng)前以太網(wǎng)技術(shù)發(fā)展已較為成熟，應(yīng)用相當(dāng)廣泛，以太網(wǎng)是一種靈活的基于數(shù)據(jù)包的技術(shù)，其適當(dāng)?shù)乃俾氏拗乒δ堋⒇S富的主干容量、提供快速的按需帶寬等優(yōu)勢為網(wǎng)絡(luò)管理及工程人員等所熟知；以太網(wǎng)接入速度的靈活性，用戶能夠向服務(wù)供應(yīng)商訂購從1Mbps到1Gbps范圍內(nèi)的任意接入速度，而且能夠根據(jù)企業(yè)的需要靈活調(diào)整，這一點是現(xiàn)有的諸如楨中繼、ATM等所無法比擬的；以太網(wǎng)以其“即插即用”的特性，消除了城域以太網(wǎng)和最終客戶信息系統(tǒng)之間的交互工作或協(xié)議轉(zhuǎn)換等問題。其次，SDH／SONET專線組網(wǎng)技術(shù)為電信骨干傳輸網(wǎng)所采用的主要的技術(shù)。SDH／SONET技術(shù)十分適合傳輸采用TDM技術(shù)的話音業(yè)務(wù)，它具有良好的網(wǎng)絡(luò)保護(hù)和自愈功能。另外一方面，當(dāng)前的很多IP網(wǎng)絡(luò)還十分依賴電信網(wǎng)。如遠(yuǎn)距離組網(wǎng)一般需要租用電信運營商的SDH／SONET傳輸網(wǎng)絡(luò)，此時一般需要路由器及專用的接口支持。因此，岳陽市各區(qū)縣電子政務(wù)外網(wǎng)宜采用以太網(wǎng)+SDH/SONET技術(shù)，其中城域網(wǎng)建議采用以太網(wǎng)技術(shù)，對于廣域網(wǎng)和零散的接入單位能夠采用SDH/SONET。作為日后全市各類業(yè)務(wù)系統(tǒng)的承載平臺，岳陽市各區(qū)縣電子政務(wù)外網(wǎng)對網(wǎng)絡(luò)質(zhì)量和速度有比較高的要求?；ヂ?lián)網(wǎng)接入設(shè)計岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺建成后，市級平臺城域網(wǎng)網(wǎng)上均采用統(tǒng)一出口、統(tǒng)一管理，各接入單位只能經(jīng)過統(tǒng)一出口訪問互聯(lián)網(wǎng)，以提高整個網(wǎng)絡(luò)的安全性。岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺平臺城域網(wǎng)承擔(dān)全市統(tǒng)一門戶網(wǎng)站入口訪問和全部鄉(xiāng)鎮(zhèn)、市直單位的INTERNET出口訪問，流量非常大，線路安全要求高，為了更好的提高工作效率以及提高整個岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺網(wǎng)絡(luò)系統(tǒng)的安全性，需要進(jìn)行Internet鏈路出口改造。具體情況如下：今后所有的鄉(xiāng)鎮(zhèn)、市直單位將逐步改成經(jīng)過設(shè)立在岳陽市各區(qū)縣政府網(wǎng)控中心的統(tǒng)一出口來訪問互聯(lián)網(wǎng)資源，為了更好的提高工作效率以及提高整個岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺網(wǎng)絡(luò)系統(tǒng)的安全性，需要進(jìn)行Internet鏈路出口改造。具體情況如下:1、岳陽市各區(qū)縣電子政務(wù)外網(wǎng)網(wǎng)絡(luò)在出口上，需要租用一條100M以上的帶寬鏈路接入Internet；2、要有對出口流量進(jìn)行管理的功能；3、要能實現(xiàn)透明的故障屏蔽；4、有可擴(kuò)展性，隨著岳陽市各區(qū)縣電子政務(wù)外網(wǎng)網(wǎng)絡(luò)的進(jìn)一步擴(kuò)展，要能保護(hù)當(dāng)前的設(shè)備投資；5.、在互聯(lián)網(wǎng)出口部署一臺路由器，實現(xiàn)網(wǎng)絡(luò)接入和IP轉(zhuǎn)換；6、部署一臺抗DDOS攻擊系統(tǒng)，經(jīng)過多種技術(shù)手段對DOS/DDOS攻擊進(jìn)行有效的檢測，保障岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺應(yīng)用資源。7、利用防火墻的訪問控制技術(shù)，實現(xiàn)內(nèi)網(wǎng)與互聯(lián)網(wǎng)、電子政務(wù)網(wǎng)的安全隔離，以保障網(wǎng)絡(luò)可用性；8、利用流量控制等技術(shù)，以提高訪問互聯(lián)網(wǎng)的效率。圖2.9岳陽市各區(qū)縣電子政務(wù)外網(wǎng)互聯(lián)網(wǎng)接入設(shè)計核心層設(shè)計在核心層部署2臺高性能的三層交換機(jī)，核心層設(shè)備具有以下功能和性能：高性能交換全面的軟件支持和高性能網(wǎng)絡(luò)服務(wù)的增強(qiáng)。高速執(zhí)行服務(wù)質(zhì)量、安全、壓縮和加密等網(wǎng)絡(luò)服務(wù)。高密度端口提供高密度端口以及廣泛的局域網(wǎng)和廣域網(wǎng)介質(zhì)，并允許靈活地進(jìn)行配置。公用端口適配器在電子政務(wù)外網(wǎng)的核心層部署上網(wǎng)行為管理、抗DDOS系統(tǒng)等。主要針對上網(wǎng)用戶使用P2P/IM/網(wǎng)游/炒股軟件/非法網(wǎng)站訪問等各種應(yīng)用進(jìn)行監(jiān)控和管理；全面分析網(wǎng)絡(luò)應(yīng)用的流量類型和流量流向趨勢，統(tǒng)計網(wǎng)絡(luò)熱點，發(fā)掘業(yè)務(wù)增長點；分析用戶行為，統(tǒng)計用戶興趣，為個性化提供依據(jù)，并經(jīng)過開放的平臺接口，與第三方業(yè)務(wù)平臺對接，提供高附加值業(yè)務(wù)，如在用戶行為興趣分析的基礎(chǔ)上提供定向WEB廣告服務(wù)等功能。根據(jù)岳陽市各區(qū)縣電子政務(wù)外網(wǎng)的實際需求情況，同時考慮到今后的發(fā)展，核心層三層交換機(jī)選擇高性能路由交換機(jī)，配置雙引擎和雙電源系統(tǒng)，以滿足系統(tǒng)高可靠的要求，每臺設(shè)備配置多個千兆端口，經(jīng)過千兆鏈路與出口路由器連接；配置多個千兆端口，用于與各單位和部門的接入層交換機(jī)相連。并經(jīng)過千兆光纖與市政務(wù)外網(wǎng)進(jìn)行互聯(lián)。圖2.10岳陽市各區(qū)縣電子政務(wù)外網(wǎng)核心層設(shè)計匯聚層設(shè)計4個匯聚點的匯聚：為實現(xiàn)對接入設(shè)備的匯聚，提高轉(zhuǎn)發(fā)性能，應(yīng)考慮實際需求及性價比，為各個匯聚點配置高性能三層交換機(jī)。上聯(lián)至核心。圖2.11岳陽市各區(qū)縣電子政務(wù)外網(wǎng)匯聚層設(shè)計主干網(wǎng)絡(luò)中，匯聚層是業(yè)務(wù)流量的匯聚點，同樣需要部署高可靠、冗余、可擴(kuò)展的網(wǎng)絡(luò)來保障系統(tǒng)不間斷運行。為實現(xiàn)清晰的網(wǎng)絡(luò)層次，確保城域網(wǎng)的可靠連接，匯聚層使用4臺高性能路由交換機(jī)，利用雙鏈路以1000M速率連接核心交換機(jī)，同時負(fù)責(zé)各市直單位的接入。考慮到匯聚交換機(jī)的關(guān)鍵位置及作用，匯聚交換機(jī)接口要有冗余性。接入層設(shè)計部門網(wǎng)絡(luò)的接入：為實現(xiàn)所有單位用戶的接入，考慮到實際需求及性價比，每個接入單位配置一臺接入設(shè)備。在對內(nèi)網(wǎng)安全性和可控性考慮，圖2.12岳陽市各區(qū)縣電子政務(wù)外網(wǎng)接入層(交換機(jī))設(shè)計(一)圖2.12岳陽市各區(qū)縣電子政務(wù)外網(wǎng)接入層(路由器)設(shè)計(二)部門經(jīng)過千兆單模/多模光接口就近接入?yún)R聚交換機(jī)，交換機(jī)設(shè)備要能夠?qū)崿F(xiàn)各接入單位之間不同的應(yīng)用經(jīng)過VLAN二層隔離并以VLANTrunk方式透傳至匯聚交換機(jī)。路由器設(shè)備要能夠?qū)崿F(xiàn)各接入單位的地址轉(zhuǎn)換。結(jié)合網(wǎng)絡(luò)情況以及接口要求，本次接入層設(shè)備配置應(yīng)該滿足所有單位接入數(shù)量的要求。IGP路由設(shè)計路由設(shè)計，關(guān)系到網(wǎng)絡(luò)的整體性能和功能，是網(wǎng)絡(luò)設(shè)計中的一個重要環(huán)節(jié)，岳陽市各區(qū)縣電子政務(wù)外網(wǎng)路由設(shè)計采用靈活的設(shè)計思路，準(zhǔn)確選擇路由協(xié)議，從管理的方便性和技術(shù)的先進(jìn)性兩個方面進(jìn)行規(guī)劃設(shè)計。根據(jù)岳陽市各區(qū)縣電子政務(wù)外網(wǎng)的網(wǎng)絡(luò)規(guī)模和主備線路情況，在核心層和匯聚層采用OSPF路由協(xié)議，實現(xiàn)流量的負(fù)載均衡和鏈路的自動切換。對于互聯(lián)網(wǎng)接入?yún)^(qū)和外部數(shù)據(jù)中心的節(jié)點，由于連接至啟用三層的防火墻，使用靜態(tài)路由實現(xiàn)網(wǎng)絡(luò)的聯(lián)通性；對于內(nèi)部數(shù)據(jù)中心節(jié)點，由于是連接是三層防火墻安全設(shè)備，使用OSPF路由協(xié)議，實現(xiàn)網(wǎng)絡(luò)的聯(lián)通性。IP地址規(guī)劃IP地址的合理規(guī)劃是網(wǎng)絡(luò)設(shè)計中的重要一環(huán)，大型計算機(jī)網(wǎng)絡(luò)必須對ＩＰ地址進(jìn)行統(tǒng)一規(guī)劃并得到實施。IP地址規(guī)劃的好壞，影響到網(wǎng)絡(luò)路由協(xié)議算法的效率，影響到網(wǎng)絡(luò)的性能，影響到網(wǎng)絡(luò)的擴(kuò)展，影響到網(wǎng)絡(luò)的管理，也必將直接影響到網(wǎng)絡(luò)應(yīng)用的進(jìn)一步發(fā)展。IP地址分配原則IP地址空間分配，要與網(wǎng)絡(luò)拓?fù)鋵哟谓Y(jié)構(gòu)相適應(yīng)，既要有效地利用地址空間，又要體現(xiàn)出網(wǎng)絡(luò)的可擴(kuò)展性和靈活性，同時能滿足路由協(xié)議的要求，以便于網(wǎng)絡(luò)中的路由匯總和聚類，減少路由器中路由表的長度，減少對路由器CPU、內(nèi)存的消耗，提高路由算法的效率，加快路由變化的收斂速度，同時還要考慮到網(wǎng)絡(luò)地址的可管理性。具體分配時要遵循以下原則：唯一性：一個IP網(wǎng)絡(luò)中不能有兩個主機(jī)采用相同的IP地址；簡單性：地址分配應(yīng)簡單易于管理，降低網(wǎng)絡(luò)擴(kuò)展的復(fù)雜性，簡化路由表的款項連續(xù)性：連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進(jìn)行路徑疊合，大大縮減路由表，提高路由算法的效率可擴(kuò)展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴(kuò)展時能保證地址疊合所需的連續(xù)性靈活性：地址分配應(yīng)具有靈活性，以滿足多種路由策略的優(yōu)化，充分利用地址空間管理和互聯(lián)地址規(guī)劃從省中心分配給岳陽的地址段中劃分一段作為管理和互連地址段。用戶地址規(guī)劃省中心對市（市）區(qū)的IP地址做了統(tǒng)一的規(guī)劃和分配，岳陽市各區(qū)縣電子政務(wù)外網(wǎng)所分配的地址段由岳陽市信息化管理局統(tǒng)一分配，用戶地址具體分配原則如下：在縱向VPN和橫向VPN中為各市直單位分配岳陽市各區(qū)縣段IP地址，原則上是先滿足網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)維護(hù)管理所需的IP地址段，對各接入單位所需的IP地址分配原則是按需分配，動態(tài)管理。在橫向VPN的設(shè)計中，如果部分單位之間的IP地址段重疊，則由接入設(shè)備將重疊的用戶地址進(jìn)行地址轉(zhuǎn)換（NAT）為政務(wù)外網(wǎng)的臨湘段地址進(jìn)行通信?？紤]到IP地址數(shù)量有限，對于各單位訪問Internet的公共VPN則由市政府從私有地址段中進(jìn)行統(tǒng)一分配，原則上每個單位分配一個C類地址段，由接入設(shè)備將這些訪問Internet的地址轉(zhuǎn)換（NAT）為政務(wù)外網(wǎng)臨湘段地址再在政務(wù)外網(wǎng)上傳播。有特殊需求的單位，適當(dāng)增加外網(wǎng)IP地址。MPLSVPN規(guī)劃設(shè)計MPLSVPN構(gòu)建縱向網(wǎng)絡(luò)MPLS（MultiprotocolLabelSwitching:多協(xié)議標(biāo)簽交換）技術(shù)是在開放的通信網(wǎng)上利用定長標(biāo)簽進(jìn)行數(shù)據(jù)高速傳輸和交換的網(wǎng)絡(luò)新技術(shù)。MPLS技術(shù)將第二層交換和第三層的路由技術(shù)很好地結(jié)合起來，以十分簡潔、高效的方式完成信息的傳送。更為重要的是，MPLS使IP網(wǎng)絡(luò)能提供傳統(tǒng)IP網(wǎng)絡(luò)不能或很難提供的各種增值服務(wù)，例如MPLS所提供的VPN服務(wù)、流量工程服務(wù)、IPQoS服務(wù)等。在MPLS網(wǎng)上實現(xiàn)的無連接的IPVPN，提供了基于幀中繼、ATMPVC的第二層VPN相同安全級別的虛擬專用網(wǎng)，能達(dá)到第二層PVC所具有的專有性、安全性和數(shù)據(jù)傳輸?shù)母咚傩裕鳰PLSVPN的靈活性、擴(kuò)展性、易管理性和適應(yīng)性則是當(dāng)前其它基于PVC或隧道技術(shù)的VPN所無法比擬的。MPLSVPN在第三層路由上對各VPN進(jìn)行了隔離，無需訪問控制列表ACL，各VPN之間都是不可見的，骨干網(wǎng)對于客戶網(wǎng)絡(luò)（某個VPN內(nèi)部）也是不可見的。因此，充分保證了在多個業(yè)務(wù)系統(tǒng)共用IP骨干網(wǎng)情況下的相互有效隔離。MPLS最初是為服務(wù)供應(yīng)商網(wǎng)絡(luò)所創(chuàng)立的技術(shù)，今天，很多企業(yè)或政府機(jī)構(gòu)的網(wǎng)絡(luò)也需要解決和服務(wù)供應(yīng)商網(wǎng)絡(luò)類似的需求和問題。大型企業(yè)和政府機(jī)構(gòu)的IP骨干網(wǎng)正從過去低帶寬、重復(fù)分離的物理網(wǎng)絡(luò)向?qū)拵Щ?、一體化方向發(fā)展，一個高效的、智能的、集成的網(wǎng)絡(luò)是政府網(wǎng)絡(luò)發(fā)展的方向。同樣地，岳陽市各區(qū)縣電子政務(wù)外網(wǎng)要能安全、高效地整合各業(yè)務(wù)專網(wǎng)，同時應(yīng)對各種公共業(yè)務(wù)、語音傳送、視頻服務(wù)多業(yè)務(wù)應(yīng)用不斷增長的需求，這些不同的業(yè)務(wù)專網(wǎng)和各種應(yīng)用對于網(wǎng)絡(luò)的安全性、服務(wù)質(zhì)量要求各不相同，這就要求岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺必須能夠?qū)⑺鼈儼凑崭髯缘奶匦院鸵笳_地傳送，提供安全隔離和區(qū)別服務(wù)。先進(jìn)、成熟的MPLS/VPN技術(shù)是岳陽市各區(qū)縣電子政務(wù)外網(wǎng)橫向系統(tǒng)建設(shè)的有效解決方案。對岳陽市各區(qū)縣電子政務(wù)外網(wǎng)而言，需要重點實現(xiàn)兩個方面的需求：l．安全隔離：一方面要保證各業(yè)務(wù)系統(tǒng)邏輯網(wǎng)絡(luò)的相對獨立性，以滿足不同業(yè)務(wù)系統(tǒng)對安全性、服務(wù)質(zhì)量、管理、拓樸結(jié)構(gòu)的要求；2．受控互訪：另一方面，各業(yè)務(wù)系統(tǒng)之間的流程整合又需要提供相互訪問的途徑，而且要保證訪問的安全性。MPLS/BGPVPN解決方案能夠為岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺提供一種基于網(wǎng)絡(luò)、易于管理、擴(kuò)充性好、安全且具有QoS保障、可在任意節(jié)點間連接的VPN。1．基于網(wǎng)絡(luò)，易于管理。這種基于網(wǎng)絡(luò)的VPN能夠完全由骨干網(wǎng)絡(luò)來實現(xiàn)，即網(wǎng)絡(luò)用戶（各應(yīng)用系統(tǒng)）不用關(guān)心VPN是如何構(gòu)造的，而是在網(wǎng)絡(luò)平臺內(nèi)完成。2．路由。需要在各PE節(jié)點之間建立IBGP全連接，以交換VPN-IPV4路由。3．安全性。由于基于MPLS/BGP實現(xiàn)，報文在網(wǎng)絡(luò)節(jié)點構(gòu)成的MPLS域中采用標(biāo)簽轉(zhuǎn)發(fā)的形式進(jìn)行交換（LSP），因此具有同ATM/FR虛電路相同的安全級別。MPLSBGPVPN方案采用VRF實現(xiàn)VPN之間的路由隔離。經(jīng)過MPLSLSP隧道將VPN流量完全隔離。4．QOS。由于基于MPLS/BGP實現(xiàn)，能夠利用MPLSCOS機(jī)制，結(jié)合IPQOS機(jī)制，從而能夠為VPN用戶實現(xiàn)端到端的QOS服務(wù)。由于各業(yè)務(wù)系統(tǒng)的VPN流量經(jīng)過不同的LSP隧道承載，能夠方便的針對LSP實現(xiàn)MPLS的區(qū)別服務(wù)。經(jīng)過IPTOS和MPLSCOS域的映射，能夠?qū)⑦吘壘W(wǎng)絡(luò)中定義的IPQOS級別繼承到MPLS域中，實現(xiàn)端到端的QOS。5．?dāng)U充性好。由于基于MPLS/BGP實現(xiàn)，因此很容易對網(wǎng)絡(luò)節(jié)點進(jìn)行擴(kuò)充，網(wǎng)絡(luò)可剪裁性好。在增加某個VPN的網(wǎng)點（Site）時，只需要配置該網(wǎng)點連接的PE路由器，不存在N平方問題。增加一項新業(yè)務(wù)系統(tǒng)時不會影響已有的業(yè)務(wù)，實現(xiàn)平滑擴(kuò)展。MPLSVPN業(yè)務(wù)模型與網(wǎng)絡(luò)規(guī)模及拓?fù)錈o關(guān)。岳陽市各區(qū)縣電子政務(wù)外網(wǎng)部署MPLSVPN要考慮以下幾點：可靠性和穩(wěn)定性當(dāng)前MPLSVPN技術(shù)主要分成L3MPLSVPN、L2MPLSVPN（包括VPLS（虛擬私有局域網(wǎng)服務(wù)））兩大類。其中L3MPLSVPN技術(shù)發(fā)展較早，其核心部分已經(jīng)標(biāo)準(zhǔn)化（RFC2547，RFC2547bits）,由于它的信令控制是經(jīng)過多協(xié)議BGP來實現(xiàn)的，因此一般也叫做MPLS/BGPVPN，或BGP/MPLSVPN。MPLS/BGPVPN技術(shù)不但已經(jīng)廣泛應(yīng)用于電信運營商和ISP，而且也廣泛應(yīng)用于電力行業(yè)，政府行業(yè)（包括各省的政務(wù)內(nèi)網(wǎng)和政務(wù)外網(wǎng)），金融行業(yè)，大型企業(yè)等行業(yè)用戶。其技術(shù)和產(chǎn)品都較為成熟，穩(wěn)定。因此岳陽市各區(qū)縣電子政務(wù)外網(wǎng)宜選用MPLS/BGPVPN作為主流的MPLSVPN技術(shù)。擴(kuò)展性由于省電子政務(wù)外網(wǎng)將每個?。ê笔〖墸┮?guī)劃為單獨的自治域（AutonomousSystem）。因此，要想實現(xiàn)各個部委的垂直縱向網(wǎng)從中央延伸到省、地市、區(qū)市，必須解決VPN跨自治域的問題。業(yè)務(wù)多樣性岳陽市各區(qū)縣電子政務(wù)外網(wǎng)作為一個向政府部門提供網(wǎng)絡(luò)服務(wù)的平臺，不但要提供基本MPLSVPN業(yè)務(wù)。還要提供多樣化的業(yè)務(wù)種類，以滿足不同政府部門的多樣化要求。比如，有的廳局需要在自己的VPN內(nèi)部根據(jù)自己不同的業(yè)務(wù)部門或者不同的業(yè)務(wù)種類再自行劃分內(nèi)部的VPN，而這種內(nèi)部VPN的劃分和管理應(yīng)該完全屬于這個廳局自己，而不需要對全網(wǎng)VPN規(guī)劃產(chǎn)生影響。因此，這個網(wǎng)絡(luò)需要支持MPLSVPN的層次化能力。VPN業(yè)務(wù)的高品質(zhì)保證針對語音、視頻、多媒體通信等實時性要求比較嚴(yán)格的業(yè)務(wù)，岳陽市各區(qū)縣電子政務(wù)外網(wǎng)的VPN服務(wù)能否提供類似專線一樣的服務(wù)質(zhì)量保證也是非常重要的，這就要求在整個網(wǎng)絡(luò)中部署端到端的QOS。設(shè)備實現(xiàn)MPLSVPN的性能考慮前面只是考慮了MPLSVPN部署時的業(yè)務(wù)特性，而在一個實際的生產(chǎn)網(wǎng)絡(luò)里。設(shè)備實現(xiàn)MPLSVPN的性能如何至關(guān)重要。可維護(hù)性和可管理性對于MPLSVPN的管理首先確定管理界面。在電信運營商網(wǎng)絡(luò)，PE和CE是服務(wù)提供商和用戶之間的管理界面，用戶維護(hù)和管理CE設(shè)備，服務(wù)提供商維護(hù)和管理PE設(shè)備?？墒窃陔娮诱?wù)外網(wǎng)中，由于行業(yè)的特點，政務(wù)外網(wǎng)服務(wù)提供商不但要維護(hù)和管理PE設(shè)備，還要維護(hù)和管理CE設(shè)備。如何解決同時對PE和CE設(shè)備的管理是必須考慮的問題。其次是MPLSVPN的業(yè)務(wù)管理，主要包括以下幾個方面：同時支持MPLSL2/L3VPN能夠同時管理BGP/MPLSVPN（RFC2547bis）、MPLSL2VPN（VPLS、Martini、Kompella），能夠?qū)崿F(xiàn)“多種VPN業(yè)務(wù)，單點集中運維”。能夠提供多廠商設(shè)備MPLSVPN業(yè)務(wù)共同管理的功能。能夠使用圖形化、向?qū)Щ姆绞?，幫助管理員快速完成VPN業(yè)務(wù)規(guī)劃，并可直觀的進(jìn)行“業(yè)務(wù)預(yù)覽”，即在業(yè)務(wù)尚未部署到設(shè)備之前，就可在業(yè)務(wù)管理系統(tǒng)中看到業(yè)務(wù)實施后的效果（如VPN拓?fù)浣Y(jié)構(gòu)、VPN內(nèi)各站點間邏輯連接關(guān)系），避免業(yè)務(wù)規(guī)劃過程中人為的錯誤。能夠提供可調(diào)度（定時或用戶觸發(fā)）的業(yè)務(wù)部署能力，自動生成不同廠商設(shè)備的指令，并下發(fā)設(shè)備，在網(wǎng)絡(luò)中形成實際運行的MPLSVPN業(yè)務(wù)；對于已部署業(yè)務(wù)，可進(jìn)行拆除；降低業(yè)務(wù)部署復(fù)雜度，提高VPN業(yè)務(wù)發(fā)放響應(yīng)速度。能夠自動發(fā)現(xiàn)已有網(wǎng)絡(luò)中的設(shè)備、接口、邏輯接口等資源。能夠提供多種有效的業(yè)務(wù)監(jiān)控手段，從而保證VPN業(yè)務(wù)質(zhì)量：VPN配置審計、VPN連通性審計、端到端的網(wǎng)絡(luò)性能（時延、丟包、抖動）監(jiān)控、圖形化的流量/帶寬利用率監(jiān)控、智能的業(yè)務(wù)告警分析，幫助管理員快速排障、及時了解業(yè)務(wù)狀況。VPN客戶能夠經(jīng)過WEB瀏覽器，在被授權(quán)的范圍內(nèi)管理其租用VPN的運行狀況：修改查看客戶基本信息、查看業(yè)務(wù)租用情況、查看流量/告警統(tǒng)計報表。能夠提供北向接口，可接入其它BSS/OSS系統(tǒng)或告警/性能等ISV專有系統(tǒng)（如Micromuse的NetCool），為運營商規(guī)劃運營支撐系統(tǒng)時提供VPN業(yè)務(wù)的管理接口。能夠維護(hù)VPN客戶的各種信息，并提供豐富的客戶業(yè)務(wù)租用報表、資源租用報表、性能數(shù)據(jù)報表、流量數(shù)據(jù)報表和故障數(shù)據(jù)報表等。能夠定時自動生成各種報表，包括：網(wǎng)絡(luò)資源占用報表、業(yè)務(wù)租用報表、VPN流量/接口帶寬利用率報表（可按日周月年查看）、告警報表、客戶報表、連通性審計報表、性能報表（平均/最大/最小丟包、時延等指標(biāo)）等（格式包括HTML、EXCEL等）。能夠提供靈活的用戶分權(quán)策略（可按照對象＋操作給用戶授權(quán)），方便運營商按照個管理員實際業(yè)務(wù)職責(zé)來分權(quán)；提供簡便易用的數(shù)據(jù)庫備份工具，簡化系統(tǒng)管理員數(shù)據(jù)備份的工作；提供Watchman異地雙機(jī)備份組件，保證系統(tǒng)的高可用性；提供詳盡的用戶操作日志記錄、任務(wù)操作日志記錄，便于事后跟蹤。能夠提供豐富的網(wǎng)絡(luò)拓?fù)滹@示視圖：網(wǎng)絡(luò)視圖（PE-CE之間的連接關(guān)系）、客戶視圖（CE-CE之間連接管理）、VPN視圖（每個VPN顯示為一個節(jié)點）功能，并提供放大、縮小、定位節(jié)點、鳥瞰圖、節(jié)點搜索、多選等操作；并可按照客戶、VPN過濾、AS、VPN類型等過濾顯示；對于VPN內(nèi)節(jié)點數(shù)目較大、之間的邏輯鏈接過多提供更細(xì)節(jié)的過濾顯示功能；拓?fù)淠軌蚍从硺I(yè)務(wù)實際運行狀態(tài)。MP-BGPRR規(guī)劃設(shè)計MP-BGP主要用于傳遞VPN路由，BGP路由協(xié)議規(guī)劃中的IBGP主要用于傳遞IPV4路由。由于所有岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺設(shè)備處于一個AS中，MP-IGP同樣存在IBGP的全連接要求，同樣具有N平方問題，為了解決這個問題，必須使用BGP反射器技術(shù)。MPLSVPN資源規(guī)劃VRF規(guī)劃岳陽市各區(qū)縣政府職能部門，建立兩個基本VPN：縱向VPN：規(guī)劃為各職能部門的垂直部門之間訪問；橫向VPN；規(guī)劃為各職能部門的兄弟部門之間的訪問；2、在岳陽市各區(qū)縣政府網(wǎng)控中心，除上面兩個VPN外，需要建立如下VPN：公網(wǎng)出口VPN：為岳陽市各區(qū)縣政務(wù)外網(wǎng)internet出口建立一個VPN，該VPN與各職能部門的internetVPN進(jìn)行互引，從而實現(xiàn)各職能部門的上internet的需求，同時實現(xiàn)各職能部門internetVPN用戶的隔離；共享資源VPN：為岳陽市各區(qū)縣政務(wù)外網(wǎng)內(nèi)部數(shù)據(jù)中心設(shè)立的VPN，經(jīng)過這處VPN與其它部門的路由標(biāo)簽互相引入，實現(xiàn)岳陽市各區(qū)縣電子政務(wù)平臺相關(guān)資源對所有職能部門的共享。RD—routerdistinguish規(guī)劃RD的命名規(guī)則統(tǒng)一如下：使用16bits：32bits格式，分配規(guī)則為『AS號：VPN類別』?！逗鲜‰娮诱?wù)外網(wǎng)平臺規(guī)范》對RD值規(guī)劃如下：VRF名稱RD（ASN代表湖南省電子政務(wù)外網(wǎng)自治系統(tǒng)號）維護(hù)VRFASN:1-10數(shù)據(jù)交換中心VRFASN:11-60語音、視頻ASN:61-99系統(tǒng)保留ASN:100-999接入部門1ASN:1000-1099(其中ASN:1000用做管理VPN，ASN:1001-1009用做橫向VPN，ASN:1010-1099用做縱向VPN)接入部門100ASN:10000-10099(其中ASN:10000用做管理VPN，ASN:10001-10009用做橫向VPN，ASN:10010-10099用做縱向VPN)系統(tǒng)保留ASN:0以后RT—Route-target規(guī)劃命名規(guī)則如下：使用16bits：32bits格式，分配規(guī)則為『AS號：VPN類別』。RT。由于標(biāo)準(zhǔn)的MPLS/BGPVPN采用對VPN-IPv4路由附帶的RT值進(jìn)行導(dǎo)入ImportTarget和導(dǎo)出ExportTarget控制以實現(xiàn)不同VPN之間的訪問控制,而且在岳陽市各區(qū)縣政務(wù)網(wǎng)絡(luò)中存在職能部門的縱向或橫向訪問，因此RT值必須全局統(tǒng)一分配。湖南省電子政務(wù)外網(wǎng)工程中采用RT值的格式：16位自治系統(tǒng)號:32位用戶自定義數(shù)字。RT與VPN相匹配。（ASN代表湖南省電子政務(wù)外網(wǎng)自治域系統(tǒng)號）VPN名稱站點ExportRTImportRT維護(hù)VPNASN:1ASN:100．．．．．．ASN:0各政府職能部門ASN:100．．．．．．ASN:0ASN:1垂直縱向VPN單位1ASN:110-199ASN:110-199．．．．．．單位100ASN:10010-10099ASN:10010-10099MPLSVPN業(yè)務(wù)接入規(guī)劃岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺中的業(yè)務(wù)包括各政府職能部門的各種應(yīng)用系統(tǒng)，這些系統(tǒng)一般經(jīng)過局域網(wǎng)交換機(jī)或路由設(shè)備將業(yè)務(wù)接入到匯聚層PE。根據(jù)湖南省電子政務(wù)外網(wǎng)的技術(shù)規(guī)范及岳陽市各區(qū)縣政府電子政務(wù)外網(wǎng)的相關(guān)要求，針對各政府職能部門，先規(guī)劃兩個VPN以滿足她們現(xiàn)行條件的業(yè)務(wù)需求，這兩個VPN為：縱向VPN：滿足各職能部門省、市、市級的縱向數(shù)據(jù)訪問；橫向VPN：滿足部分岳陽市各區(qū)縣政府職能部門兄弟單位的共享數(shù)據(jù)訪問。在實現(xiàn)上，這兩個VPN，分別對應(yīng)兩個VLAN，經(jīng)過交換機(jī)的TRUNK鏈路接入?yún)R聚網(wǎng)絡(luò)設(shè)備，在匯聚設(shè)備上進(jìn)行VPN的綁定。從整個岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺來看，還需要對一些業(yè)務(wù)共享資源進(jìn)行規(guī)劃，而且對以后應(yīng)用的擴(kuò)展進(jìn)行考慮還要創(chuàng)立如下VPN：外部數(shù)據(jù)中心VPN：滿足外部共享資源的統(tǒng)一管理。內(nèi)部數(shù)據(jù)中心VPN：滿足岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺中各部門共享資源的管理。在擴(kuò)展性考慮方面，我們還必須對VPN資源進(jìn)行預(yù)留，以滿足今后業(yè)務(wù)的發(fā)展要求，譬如說能夠按業(yè)務(wù)給VOIP或視頻會議等應(yīng)用規(guī)劃單獨的VPN，以滿足電子政務(wù)外網(wǎng)平臺中語音、視頻的業(yè)務(wù)擴(kuò)充能力。數(shù)據(jù)中心設(shè)計方案外部數(shù)據(jù)中心設(shè)計外網(wǎng)服器包含：WEB服務(wù)器等。我們主要考慮到的是防范對于非法訪問，一般經(jīng)過防火墻來實現(xiàn)。經(jīng)過配置了多級防火墻，以隔離網(wǎng)絡(luò)各個組成部分相互之間的非法訪問（合法訪問能夠經(jīng)過）；對于Internet用戶來講，如果想非法侵入外部數(shù)據(jù)中心網(wǎng)絡(luò)，必須突破防火墻的防范?？咕芙^服務(wù)系統(tǒng)經(jīng)過多種技術(shù)手段對DOS/DDOS攻擊進(jìn)行有效的檢測，對不同的流量觸發(fā)不同的保護(hù)機(jī)制，在提高效率的同時確保準(zhǔn)確度，對SYNFlood，UDPFlood，ICMPFlood，IGMPFlood，F(xiàn)ragmentFlood，HTTPProxyFlood，CCProxyFlood，ConnectionExhausted等各種常見的攻擊行為均可有效識別，并經(jīng)過集成的機(jī)制實時對這些攻擊流量進(jìn)行處理及阻斷，保護(hù)服務(wù)主機(jī)免于攻擊所造成的損失，保證岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺業(yè)務(wù)應(yīng)用系統(tǒng)運行的連續(xù)性。外部數(shù)據(jù)中心也是電子政務(wù)外網(wǎng)的主要組成部分，還考慮到如果黑客采取SQL注入、跨站腳本攻擊、DDOS攻擊、網(wǎng)頁掛馬、敏感信息泄露、網(wǎng)頁篡改等等攻擊手段，我們也得采取相應(yīng)措施應(yīng)對。因此我們用到網(wǎng)頁防篡改系統(tǒng)，將其部署在外部數(shù)據(jù)中心WEB服務(wù)器上，有效防范政府網(wǎng)頁被篡改的行為。圖3.1岳陽市各區(qū)縣電子政務(wù)外網(wǎng)外部數(shù)據(jù)中心設(shè)計內(nèi)部數(shù)據(jù)中心設(shè)計本方案內(nèi)部服務(wù)器包含：OA辦公服務(wù)器、電子政務(wù)應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器、IMC智能管理平臺服務(wù)器等，應(yīng)選高性能三層交換機(jī)作為服務(wù)器匯聚設(shè)備來保證對服務(wù)器被訪問量，滿足對服務(wù)器所要求的帶寬。本方案在核心交換機(jī)與數(shù)據(jù)中心服務(wù)器區(qū)部署二臺高性能防火墻產(chǎn)品，構(gòu)成雙機(jī)熱備，以防御來自不同網(wǎng)絡(luò)區(qū)域的攻擊，并將各系統(tǒng)有效的安全隔離開來，確保岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺數(shù)據(jù)中心的安全。IPS位于岳陽市各區(qū)縣電子政務(wù)核心交換機(jī)與內(nèi)部數(shù)據(jù)中心之間，大大提高了對電子政務(wù)外網(wǎng)平臺的安全性，有效的保障了訪問內(nèi)部數(shù)據(jù)中心權(quán)限的應(yīng)用。圖3.2岳陽市各區(qū)縣電子政務(wù)外網(wǎng)內(nèi)部數(shù)據(jù)中心設(shè)計服務(wù)器部署設(shè)計服務(wù)器是本次項目電子政務(wù)應(yīng)用建設(shè)的重要組成部分，是構(gòu)成整個電子政務(wù)應(yīng)用的物理基礎(chǔ)。在本次項目中的服務(wù)器能夠分為以下幾個大類： 數(shù)據(jù)庫服務(wù)器：用于布置電子政務(wù)應(yīng)用的數(shù)據(jù)庫，是電子政務(wù)應(yīng)用的數(shù)據(jù)存儲中心；主要用于運行大型數(shù)據(jù)庫系統(tǒng)，進(jìn)行存儲、查詢、檢索應(yīng)用系統(tǒng)信息。數(shù)據(jù)庫在運行時會大量的使用系統(tǒng)內(nèi)存，要有足夠容量的系統(tǒng)內(nèi)存進(jìn)行支持，而且要有足夠強(qiáng)計算能力和I/O吞吐能力。 應(yīng)用服務(wù)器：用于支撐整個電子政務(wù)的各類應(yīng)用（行政審批、電子監(jiān)察等），根據(jù)應(yīng)用的具體情況選擇相應(yīng)的服務(wù)器。 Web服務(wù)器：支撐電子政務(wù)中的Web應(yīng)用。OA服務(wù)器：用于支撐整個電子政務(wù)的煤OA辦公應(yīng)用。門戶外網(wǎng)服務(wù)器：用于支撐整個外網(wǎng)門戶網(wǎng)站群。本項目所有服務(wù)器都部署在岳陽市各區(qū)縣政府網(wǎng)控中心。根據(jù)岳陽市各區(qū)縣電子政務(wù)應(yīng)用的情況，服務(wù)器主要部署在內(nèi)部數(shù)據(jù)中心和外部數(shù)據(jù)中心，內(nèi)外部數(shù)據(jù)中心的服務(wù)器根據(jù)應(yīng)用的類別劃分相應(yīng)的分區(qū)，所需要的服務(wù)器包括：門戶網(wǎng)站服務(wù)器兩臺、數(shù)據(jù)庫服務(wù)器兩臺、網(wǎng)管服務(wù)器一臺、日志服務(wù)器一臺、防病毒服務(wù)器一臺、行政審批與電子監(jiān)察系統(tǒng)服務(wù)器一臺、備用兩臺，其它服務(wù)器根據(jù)今后應(yīng)用的需要進(jìn)行購置。服務(wù)器采用獨立的機(jī)架式服務(wù)器。存儲設(shè)計方案概述結(jié)合岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺應(yīng)用發(fā)展的實際情況，在岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺中采用IPSAN存儲系統(tǒng)，存儲包括在線存儲、近線存儲、離線存儲，離線存儲適用物理帶庫，實現(xiàn)外網(wǎng)各應(yīng)用系統(tǒng)的數(shù)據(jù)存儲和市直部門及鄉(xiāng)鎮(zhèn)數(shù)據(jù)的災(zāi)備。存儲需求分析根據(jù)各區(qū)縣電子政務(wù)外網(wǎng)建設(shè)規(guī)劃和國家外網(wǎng)業(yè)務(wù)的延伸，“十二金”工程、人口、法人、自然資源與環(huán)境、宏觀經(jīng)濟(jì)等數(shù)據(jù)庫的建立，電子印章與數(shù)字證書支撐應(yīng)用系統(tǒng)、智能交通系統(tǒng)、數(shù)字城管系統(tǒng)、社會綜合治稅系統(tǒng)等業(yè)務(wù)應(yīng)用系統(tǒng)的建設(shè)，將產(chǎn)生大量的數(shù)據(jù)，為了提高存儲訪問性能，消除存儲孤島，保證數(shù)據(jù)的完整性和可用性，需要科學(xué)合理規(guī)劃、建立存儲系統(tǒng)。在線存儲采用IP-SAN技術(shù)實現(xiàn)，建議預(yù)留ISCSI接口異地災(zāi)備采用IP-SAN技術(shù)實現(xiàn)，磁盤采用SATA硬盤實現(xiàn)。系統(tǒng)拓?fù)鋱D圖4.1岳陽市各區(qū)縣電子政務(wù)外網(wǎng)存儲系統(tǒng)設(shè)計系統(tǒng)設(shè)計采用當(dāng)前最先進(jìn)的冗余4GbpsIP-SAN架構(gòu)。所有需要進(jìn)行數(shù)據(jù)存儲和備份的服務(wù)器直接接入IP交換機(jī)，實現(xiàn)對連接在IP-SAN交換機(jī)上的磁盤陣列的存儲訪問。備份、容災(zāi)系統(tǒng)部署為保證數(shù)據(jù)安全，需要有效的數(shù)據(jù)備份機(jī)制:在IP-SAN的方案設(shè)計中，以高性能存儲系列產(chǎn)品作為核心存儲系統(tǒng)。經(jīng)過IP交換機(jī)與局域網(wǎng)多臺服務(wù)器建立連接。服務(wù)器經(jīng)過普通千兆網(wǎng)卡或iSCSIHBA卡接入IPSAN。提供海量存儲空間，實現(xiàn)高穩(wěn)定性、高可靠性的數(shù)據(jù)集中和存儲資源統(tǒng)一管理。能夠混插高性能的SAS磁盤和大容量的SATAII磁盤，單臺設(shè)備即可滿足兩種不同的應(yīng)用需求，大大提高設(shè)備性價比。所有需要連接的服務(wù)器，如數(shù)據(jù)庫服務(wù)器、郵件服務(wù)器等，只要安裝千兆網(wǎng)卡，并安裝軟件的iSCSIInitiator，就能夠經(jīng)過以太網(wǎng)獲得存儲設(shè)備，從而不需要購置價格昂貴的HBA卡。主流的操作系統(tǒng)AIX\Solaris\Linux\Windows都支持這種千兆網(wǎng)卡加軟件的iSCSIInitiator的實現(xiàn)方式。對于那些對于重要的應(yīng)用服務(wù)器，能夠安裝經(jīng)過iSCSI的HBA卡的方式連接到系統(tǒng)，對于其它需要擴(kuò)展存儲的應(yīng)用服務(wù)器來說，能夠安裝操作系統(tǒng)所對應(yīng)的iSCSIInitiator，配合以太網(wǎng)卡連接到存儲系統(tǒng)。經(jīng)過劃分不同的卷，以保證各個應(yīng)用系統(tǒng)互不干擾。對于以后可能增加的要連接到IP-SAN中需要共享存儲資源的所有相關(guān)應(yīng)用服務(wù)器，可實現(xiàn)即插即用，用網(wǎng)線連接到存儲區(qū)域網(wǎng)絡(luò)就能訪問后臺存儲設(shè)備里的數(shù)據(jù)?；跇?biāo)準(zhǔn)化IP的存儲交換平臺使得各種數(shù)據(jù)管理功能能夠像電器插入電源插座一樣，輕易地進(jìn)行部署應(yīng)用。

系統(tǒng)安全設(shè)計方案系統(tǒng)概況岳陽市各區(qū)縣電子政務(wù)網(wǎng)外網(wǎng)平臺，于外網(wǎng)有兩個連接節(jié)點，一個是互聯(lián)網(wǎng)，另外一個是市電子政務(wù)外網(wǎng)平臺。同時，在岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺上，還要部署政府門戶網(wǎng)站群，實施政務(wù)公開，提高監(jiān)管能力和公共服務(wù)水平。現(xiàn)需要對外網(wǎng)進(jìn)行安全性防護(hù)控制和管理。因網(wǎng)絡(luò)規(guī)模大涉及人員及各單位部門較多，需對相關(guān)網(wǎng)絡(luò)訪問控制進(jìn)行嚴(yán)格管理。為實現(xiàn)電子政務(wù)網(wǎng)的系統(tǒng)安全專門定制一套網(wǎng)絡(luò)安全解決方案，主要針對安全防護(hù)、區(qū)域隔離、入侵防御分析、Web應(yīng)用的防護(hù)等。安全建設(shè)原則在規(guī)劃岳陽市各區(qū)縣電子政務(wù)網(wǎng)系統(tǒng)安全建設(shè)時，我們將遵循下原則，提供完善的全網(wǎng)安全解決方案：可用性原則：可用性就是指網(wǎng)絡(luò)服務(wù)對用戶而言必須是可用的，也是確保網(wǎng)絡(luò)節(jié)點在受到各種網(wǎng)絡(luò)攻擊時依然能夠提供相應(yīng)的服務(wù)。保密性原則：保密性保證相關(guān)信息不泄露給未授權(quán)的用戶或?qū)嶓w。完整性原則：完整性保證信息在傳輸?shù)倪^程中沒有被非法用戶增加、刪除與修改，保證非法用戶無法偽造數(shù)據(jù)。真實性原則：真實性保證和一個網(wǎng)絡(luò)節(jié)點通信的對端就是真正的通信對端，也就是說要鑒別通信對端的身份。如果沒有真實性，那么網(wǎng)絡(luò)攻擊者就能夠假冒網(wǎng)絡(luò)中的某個節(jié)點來和其它的節(jié)點進(jìn)行通信，那么她就能夠獲得那些未被授權(quán)的資源和敏感信息。不可否認(rèn)性原則：不可否認(rèn)性保證一個節(jié)點不能否認(rèn)其發(fā)送出去的信息。這樣就能保證一個網(wǎng)絡(luò)節(jié)點不能抵賴它以前的行為。安全拓?fù)鋱D圖5.3岳陽市各區(qū)縣電子政務(wù)外網(wǎng)安全系統(tǒng)設(shè)計系統(tǒng)功能說明：1、此網(wǎng)絡(luò)拓?fù)渲薪?jīng)過部署二臺萬兆主機(jī)；集成二塊防火墻板卡、一塊入侵防御板卡；一塊抗DDOS系統(tǒng)板卡、一塊流量控制系統(tǒng)+上網(wǎng)行為審計系統(tǒng)、一套網(wǎng)頁防篡改系統(tǒng)、一套入網(wǎng)規(guī)范管理系統(tǒng)、一套日志審計系統(tǒng)來對整個網(wǎng)絡(luò)進(jìn)行安全保護(hù)和上網(wǎng)用戶及流量管理，在外部數(shù)據(jù)中心區(qū)服務(wù)器交換機(jī)也集成了入侵防御系統(tǒng)。為整個網(wǎng)提供無病毒的網(wǎng)絡(luò)環(huán)境。2、防火墻主要針對WEB服務(wù)器區(qū)的服務(wù)器進(jìn)行四層以下安全保護(hù)，同時也可做安全區(qū)域隔離，實現(xiàn)了內(nèi)部數(shù)據(jù)區(qū)、WEB服務(wù)器區(qū)和互聯(lián)網(wǎng)之間，不同的業(yè)務(wù)區(qū)的隔離和訪問的控制。3、入網(wǎng)規(guī)范管理系統(tǒng)在提供多樣化的身份認(rèn)證，保障接入網(wǎng)絡(luò)人員合法性的同時，同時支持對設(shè)備的實名認(rèn)證，保障了接入網(wǎng)絡(luò)終端設(shè)備的合法性，從而加強(qiáng)內(nèi)部網(wǎng)絡(luò)的可控性，方便管理員對網(wǎng)絡(luò)的統(tǒng)一管理。4、互聯(lián)網(wǎng)出口的抗DDOS設(shè)備使岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺能有效保護(hù)其基礎(chǔ)業(yè)務(wù)系統(tǒng)（包括Web、DNS、Mail、交換機(jī)、路由器或是防火墻）免受DDoS攻擊的侵害，保證其業(yè)務(wù)系統(tǒng)運行的連續(xù)性。5、外部數(shù)據(jù)中心出口的IPS主要融合高性能、高安全性、高可靠性和易操作性等特性，經(jīng)過先進(jìn)的安全架構(gòu)，具備深度入侵防護(hù)、精細(xì)流量控制，以及全面用戶上網(wǎng)行為監(jiān)管等多項功能，能夠為用戶提供深度攻擊防御和應(yīng)用帶寬保護(hù)的完美價值體驗，IPS可針對上網(wǎng)用戶行為、流量管理、訪問控制、病毒防護(hù)，如：杜絕迅雷、BI下載、P2P點上下載、在線電影、炒股軟件、網(wǎng)絡(luò)游戲等。6、經(jīng)過使用內(nèi)部數(shù)據(jù)中心防火墻過濾不安全的服務(wù)請求，提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機(jī)的風(fēng)險，提供對系統(tǒng)的訪問控制；阻止攻擊者獲得攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息，記錄和統(tǒng)計網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)、攻擊和探測策略執(zhí)行。7、經(jīng)過部署網(wǎng)絡(luò)版防病毒系統(tǒng)，網(wǎng)絡(luò)版防病毒產(chǎn)品與邊界安全網(wǎng)關(guān)采用異構(gòu)的殺毒引擎和病毒庫，以實現(xiàn)真正的雙重防護(hù)。安全系統(tǒng)部署岳陽市各區(qū)縣電子政務(wù)外網(wǎng)的網(wǎng)絡(luò)安全設(shè)計方案，主要體現(xiàn)針對WEB服務(wù)器區(qū)、內(nèi)部數(shù)據(jù)中心區(qū)、互聯(lián)網(wǎng)出口區(qū)和市電子政務(wù)外網(wǎng)互聯(lián)區(qū)這四個防護(hù)區(qū)的有效安全防御，突出在安全區(qū)域隔離、訪問控制、流量控制、攻擊防護(hù)、病毒過濾、上網(wǎng)行為管理、入侵防御方面的設(shè)計考慮。在互聯(lián)網(wǎng)接入?yún)^(qū)與核心交換機(jī)之間部署一臺高性能的防火墻產(chǎn)品，在保障網(wǎng)絡(luò)可用性同時實現(xiàn)內(nèi)外網(wǎng)間的邏輯隔離。位于外部數(shù)據(jù)中心的外網(wǎng)服務(wù)器掛在防火墻的服務(wù)器區(qū)，可同時防范來自內(nèi)外網(wǎng)的攻擊；在內(nèi)、外部數(shù)據(jù)中心服務(wù)器區(qū)與岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺之間各部署了一臺高性能防火墻系統(tǒng),經(jīng)過防火墻深度內(nèi)容檢測，能夠?qū)崿F(xiàn)基于應(yīng)用的訪問控制，而且能夠和其它安全技術(shù)（比如認(rèn)證、入侵檢測、終端安全管理）的整合，形成全方面的動態(tài)安全防護(hù)體系；岳陽市各區(qū)縣電子政務(wù)外網(wǎng)的服務(wù)器同互聯(lián)網(wǎng)是連接的，主要提供對外服務(wù)，很容易遭受到DDOS的攻擊，部署抗DDOS攻擊系統(tǒng)就能夠避免外網(wǎng)服務(wù)器遭受DDOS攻擊，同時經(jīng)過系統(tǒng)的日志功能還能夠追查攻擊源。在互聯(lián)網(wǎng)服務(wù)區(qū)入口部署入侵防御系統(tǒng)，負(fù)責(zé)監(jiān)聽、保護(hù)互聯(lián)網(wǎng)服務(wù)區(qū)出入的流量數(shù)據(jù)，達(dá)到主動切斷非法用戶攻擊的目的；在全網(wǎng)部署一套網(wǎng)絡(luò)版防病毒軟件，保護(hù)服務(wù)器和終端免遭病毒攻擊，病毒對網(wǎng)絡(luò)系統(tǒng)的攻擊和破壞是當(dāng)前網(wǎng)絡(luò)安全中最復(fù)雜、最普遍的問題。因此，需要在網(wǎng)絡(luò)之中部署行之有效的網(wǎng)絡(luò)防病毒系統(tǒng)，以強(qiáng)化網(wǎng)絡(luò)整體防護(hù)能力；經(jīng)過日志審計系統(tǒng)針對岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺的各個重要環(huán)節(jié)（包括網(wǎng)絡(luò)設(shè)備、服務(wù)器、安全設(shè)備、應(yīng)用系統(tǒng)等）在運作過程中產(chǎn)生的各類日志信息進(jìn)行集中記錄和收集，并可根據(jù)關(guān)鍵字對各類日志信息進(jìn)行有效查詢，從而發(fā)覺深層次的安全問題，并能夠根據(jù)日志信息將網(wǎng)絡(luò)的活動狀態(tài)進(jìn)行重現(xiàn)，使系統(tǒng)在發(fā)生安全事件后能夠進(jìn)行有效追溯，形成岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺應(yīng)用安全防護(hù)的保障；經(jīng)過部署端點準(zhǔn)入控制管理系統(tǒng)，對岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺接入內(nèi)網(wǎng)的終端進(jìn)行安全檢查，包括補(bǔ)丁、防病毒軟件情況、安裝軟件情況等。不符合安全規(guī)則的終端將被引導(dǎo)到修復(fù)區(qū)進(jìn)行修復(fù)后進(jìn)入網(wǎng)絡(luò)。還能夠?qū)K端進(jìn)行進(jìn)一步的管理，包括：注冊管理、資產(chǎn)管理、補(bǔ)丁升級、網(wǎng)絡(luò)訪問策略、外設(shè)策略、桌面防火墻策略、應(yīng)用程序策略、桌面屬性策略、系統(tǒng)設(shè)置項等項目的細(xì)致化管理。經(jīng)過部署流量控制設(shè)備,實現(xiàn)深度感知網(wǎng)絡(luò)應(yīng)用，利用帶寬管理技術(shù)，實現(xiàn)對用戶和業(yè)務(wù)的分級化識別管理，達(dá)到基于用戶和用戶業(yè)務(wù)流量的管理的目的,增強(qiáng)對網(wǎng)絡(luò)洞察力，全面透視應(yīng)用流量，掌控網(wǎng)絡(luò)資源（凈化流量；流量負(fù)載均衡；控制上網(wǎng)行為；進(jìn)行帶寬管理，保障關(guān)鍵應(yīng)用），同時采用集中式管理與分析工具，全面分析并預(yù)測網(wǎng)絡(luò)資源使用狀況；經(jīng)過在岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺WEB服務(wù)器上部署網(wǎng)頁防篡改軟件，能夠提高相關(guān)WEB站點的安全性。當(dāng)出現(xiàn)黑客攻擊或工作人員某些操作失誤，網(wǎng)頁防篡改軟件能夠?qū)崟r恢復(fù)網(wǎng)站文件，保證網(wǎng)站的連續(xù)正常運行；同時還能夠記錄篡改事件的相關(guān)資料，從而為安全部門提供調(diào)查的線索和證據(jù)。防篡改系統(tǒng)具備實時、低耗等性能指標(biāo)，既能夠保證篡改頁面的立即恢復(fù)，又能保證網(wǎng)站的正常服務(wù)性能不受影響。

外網(wǎng)平臺應(yīng)用系統(tǒng)建設(shè)應(yīng)用模型政府的業(yè)務(wù)活動