财政局是的重要组成部门,是主管全县财政收支、财税、国有资本金基础工作的宏观部门,担负着在全县范围内拟定和执行财政、税收的发展战略、方针、中长期计划、改革方案及其它有关等职能。因此,实现全县财政系统的信息化是财政弄好管理现代化、科学化的重要基础。财政信息化建设就是要把科学技术和现代化管理手腕运用到财政管理、运行机制、业务流程和工作方式中去,从而全面实现财政管理电子化。
财政局网属于国家机关网性质,与市局财政网直接相连,间接连接省和国家财政网,对财政内网安全的最高要求是内网的信息可以通过合法途径(如新闻发布)传播,决不允许内息与外息有任何互换,的信息不允许进入内网, 内之间的绝对物理隔离是保障机关网络安全性的唯一途径,内网的信息在门的监控下严格依照国家有关保密法律法规进行操作。
财政局局域网是财政局内部信息高速路。连接对象是本单位的计算机,局域网的功能是实现本单位计算机的联网,同时在该局域网上运行各类财政应用系统。
财政局主要有18个科室股,别离是:办公室、研究室、预算科、农财科、农税科、企财科、社保科、采购办、监督检查科、国库资金中心、会计核算中心、会计培训中心、会计科、国有资产管理中心、会计管理办公室、农业税收稽察大队、招商办、信息中心。
共有职工人数人,共计有PC机台。
对网络的要求:
1. 平时办公函件的共享传输;
2. 需要连接国际互联网进行一些资料数据的相关查询;
3. 需要连接财政内网进行资料数据的上传下载;
4. 对内网的带宽要求至少100Mbps;
5. 内网物理隔间,绝对禁止内之间进行通信。
第二章 财政网络系统设计
本方案是为财政局设计接入互联网和内网的局域网系统,财政局属于机关,人员少,机械少,对网络应用的要求不高且单一,对网络安全的要求很高,所以本方案仍然依照主流设计思想对网络方案,设备选型等进行标准化设计,而且充分考虑了内网网络安全问题。
整体架构设计
内网和接入互换机均为四台,都可知足全数PC机的接入要求,每台PC机均分到两根网线,一根内网,一根,为了安全性的要求,每台PC机同时只能接入一个网,网络切换可利用网线切换器,这在综合布线环节取得表现。
本方案中的指的是公共网络,比如国际互联网。内网专指国家财政内网。
设计
为了确保网络能知足目前的网络应用, 并考虑到单位此后的发展要求, 在设计中采用目前一些网络常常利用的网络层次化结构, 将网络分为核心层、汇聚层和接入层。核心层负责网络核心数据的互换, 不在核心层实施策略,以加速数据互换, 同时将一些主要服务器放置在核心层中,以适应目前网络发展的新趋势; 汇聚层采用带路由功能的三层互换机, 以便于实施一些安全策略、组策略, 同时将网络数据流量尽可能在汇聚层中, 减少对核心层的依赖; 接入层采用二层互换技术, 尽可能做到高速互换。
在网络链路方面,由于单位信息点相对较少, 可是网络对网络的安全性靠得住性的要求很高,同时考虑单位的资金水平和发展要求,可以采用核心层单核心、汇聚层双核心、星型网络设计方案。在网络运用中, 为了便于管理,可利用VLAN技术。
单位的网络,物理跨度局限在一栋楼之内,通过核心万兆互换机(锐捷RG-S7600系列RG-S7610)在骨干网络上提供10000M的独享带宽,通过下级两台汇聚层互换机(锐捷RG-S3250系列RG-S3250-24)与各部门的接入互换机(锐捷STAR-S2100系列STAR-S2126G)连结,为之提供1000M的独享带宽, 并提供冗余功能,增加靠得住度。接入互换机与各台PC机相连,提供100M到桌面,而且可以按如实际情况划分虚网,提升性能,提高安全性。利用与核心互换机连结的路由器(锐捷RSR50-80),所有效户都可访问Internet。路由器与核心互换机之间连接防火墙(H3C SecPath F1000 系列SecPath F1000-C)公司局域网按访问区域可以划分为三个主要的区域:Internet区域、内部网络、公开服务器区域。
从联通公司(原网通公司)接入一条光纤专线,提供单位和Internet的连接,专线和数据光端转换器均由联通公司提供。
2.2.1 核心层部份设计
核心层利用锐捷RG-S7610互换机一台, S7610是面向下一代网络的万兆骨干路由互换机,在提供稳定、靠得住、安全的高性能L2/L3层互换服务基础上,具有壮大组播功能、基于策略的QOS、有效的安全管理机制和电信级的高靠得住设计,知足现代网络的多种业务承载融合和业务灵活分类、分流的组网需求。
路由器利用锐捷RSR50-80路由器一台,RSR50E-80可信多业务路由器是锐捷公司历经连年自主研发,具有2个主控引擎插槽和8个业务插槽。可以知足中小型企业网核心高可用性的要求;具有很强的可伸缩性、可配置性,支持Ipv六、BGP、IPSec、MPLS VPN、QoS、组播等技术。
其中国资管理平台因为要与上下级单位连接,置于防火墙DMZ区,方便外界访问和内部管理,单位内部服务器与核心互换机直接相连,提供各类服务。
2.2.2 汇聚层部份设计
汇聚层利用锐捷RG-S3250系列RG-S3250-24互换机两台, RG-S3250-24互换机是锐捷公司基于网络安全和易用好管理的理念推出的新一代安全智能互换机,充分融合了网络发展需要的高性能、高安全、多业务、易用性特点,为用户提供全新的技术特性和解决方案。
为了提高靠得住性,选择两台组成冗余结构。
2.2.3 接入层部份设计
接入层利用STAR-S2126G全线速可堆叠的安全智能互换机,在提供智能的流分类、完善的服务质量(QoS)和组播应用管理特性同时,并可以按照网络实际利用环境,实施灵活多样的安全控制策略,可有效避免和控制病毒传播和网络解决,控制非法用户利用网络,充分保障网络安全和网络合理化利用和运营。
2.2.4 防火墙设计
防火墙利用H3C SecPath F1000 系列防火墙一台,是功能全面、扩展性好的防火墙/VPN产品,集成防火墙、VPN和丰硕的网络特性,为用户提供安全防护、安全远程接入等功能。实现以下目的:
1)充当所通过的流量的代理,为内部网络用户提供安全的 Internet 访问。
2)保护内部网络免受来自 Internet 上的要挟。
3)执行入侵检测,入侵检测用于检测各类歹意活动并发送关于这些活动的相应警告。
4)执行应用程序挑选以扫描各个应用程序层的入站和出站流量(比如 SMTP、HTTP、FTP),并检测歹意代码。
5)监视和发送关于各类参数(比如 Internet 利用、Web 缓存细节和内部网络上的用户进行的协议敏感的Internet 利用)的报告。应该有一种以各类形式(比如电子邮件和事件日记记录)发送警告通知的机制。
整体拓扑图
内网设计
内网设计在安全性的基础上,尽可能做到简单靠得住,因为利用内网的人少,突发性低,网络应用相对简单,可是安全性高。
为了确保网络的安全性,和可以知足目前的网络应用, 并考虑到单位此后的发展要求, 在内网设计中采用两层结构, 将网络分为核心层和接入层。核心层利用和一样的设备,负责网络核心数据的互换,并可以实施策略,保障安全的同时也保障高速数据互换, 一样也适应目前网络发展的新趋势;接入层采用二层互换技术, 尽可能做到高速互换。
网络链路方面,单位同时访问财政内网的信息点少,网络应用相对单一简单,对安全性靠得住性的要求很高,同时考虑经济性和发展要求,采用核心层单核心、星型网络设计方案。
单位的网络,通过核心锐捷RG-S7610互换机在骨干网络上提供高达万兆的独享带宽,通过下级四台接入互换机与各台PC机相连,提供100M到桌面,而且可以按如实际情况划分虚网,提升性能,提高安全性。市财政网光纤专线连接到路由器(锐捷RSR50-80),利用与核心互换机连结的路由器,用户通过互换机接入内网。路由器与核心互换机之间连接防火墙(H3C SecPath F1000-C),进一步保障安全。
从市财政局通过租用联通公司(原网通公司)广域网体系接入一条光纤专线,提供单位和内部财政网的连接,专线和数据光端转换器均由联通公司提供。
内网拓扑图
网络管理
为了对整个网络的设备进行管理,配置STAR View网管系统。
STAR View管理系统能提供整个网络的拓扑结构,能对以太网络中的任何通用IP设备、SNMP管理型设备进行管理,结合管理设备所支持的SNMP管理、Telnet管理、Web管理、RMON管理等组成一个功能齐全的网络管理解决方案,实现从网络级到设备级的全方位的网络管理。STAR View可以对整个网络上的网络设备进行集中式的配置、监视和控制,自动检测网络拓扑结构,监视和控制网段和端口,和进行网络流量的统计和错误统计,网络设备事件的自动搜集和管理等一系列综合而详尽的管理和监测。通过对网络的全面监控,网络管理员可以重构网络结构,使网络达到最佳效果。
网络安全
安尽是相对和动态的,单靠配置安全设备和系统不能完全解决安全问题。一种完善的安全部系不仅包括安全防护系统本身,而且还应具有主动性的监视、审计能力,通过不断地检查系统安全漏洞和安全要挟,及时弥补和完善系统安全策略。
针对网络信息系统的特点,咱们采用以下几种安全保障方式:
2.5.1 物理隔间
本方案中的内网之间在物理上是隔离的,也就是说PC机同一时间只能连接一个网,这在
2.5.2 设备访问控制安全
方案中的互换机(RG-S7610、RG-S3250)都支持ACL IP标准、扩展,MAC扩展、时间、专家级访问控制,可以通过量种策略进行访问控制。内部之间网络资源访问控制。支持VLAN的划分,VLAN之间的彼此访问只能通过三层路由,这样在三层互换机上就可以够配置ACL,对网络资源访问进行精准控制。
2.5.3 防火墙
H3C SecPath防火墙/VPN是业界功能最全面、扩展性最好的防火墙/VPN产品,集成防火墙、VPN和丰硕的网络特性,为用户提供安全防护、安全远程接入等功能。
第三章 设备的性能指标和报价
本方案中的互换机,路由器,防火墙都是利用最先进的设备,虽然本方案中的单位人数少,机械少,对网络应用要求不高,但对安全性要求相当高,所之方案仍然依照一般标准化的设计方案选择设备,一是因为这些设备与一般设备的价钱相差不是很多,二是为了以后的发展,如对视频点播传输业务的要求等等。内网方案在标准化的基础上尽可能靠得住安全,而且按照需求分析做到简单实用。按照单位的发展计划和发展速度,本方案至少在5年之内仍然具有很大的先进性,实用性,可用性和靠得住性,在这一点来讲,本方案在超过单位需求的情况下仍具有经济型和可操作性。
| 设备 | 设备描述 | 数量 | 单价 | |
| 锐捷RSR50-80 | 可信多业务路由器 | 2 | 11万 | |
| 背板带宽 | 56Gbps | |||
| 转发性能 | ~24Mpps | |||
| 固化三层以太路由业务接口 | 4GE(光电复用) | |||
| 控制台口 | 1个(RJ45接口) | |||
| 辅口 | 1个(AUX口) | |||
| 业务模块插槽 | 8个(NMX标准插槽) | |||
| 设备 | 设备描述 | 数量 | 单价 |
| H3C SecPath F1000防火墙 | 防火墙 | 2 | 万 |
| 产品类型 | 企业级 | ||
| 网络与软件 | 支持VPN功能 | ||
| 入侵检测 | Dos | ||
| 电源电压 | 100-240VAC,48-60Hz | ||
| 最大功率 | 100W |
| 设备 | 设备描述 | 数量 | 单价 | |
| 锐捷RG-S7610交换机 | 核心交换机 | 2 | 16万 | |
| 模块插槽 | 10个(2个用于管理引擎)6个(2个用于管理引擎)4个(1个用于管理引擎) | |||
| 背板 | ||||
| 交换容量 | 8G | |||
| 包转发速率 | 3Mpps | |||
| L2协议 | 、、、、、、、、、IGMP | |||
| 安全功能 | CPP(CPU保护)、防DDOS攻击、非法数据包检测、数据加密、防源IP欺骗、防IP扫描、支持基于标准、扩展、VLAN的IPv4/v6ACL报文过滤、支持OSPF、RIPv2及BGPv4 | |||
| 设备 | 设备描述 | 数量 | 单价 |
| 锐捷RG-S3250交换机 | 汇聚交换机 | 2 | 万 |
| 固定端口 24端口10/100M自适应端口,2个SFP千兆光纤接口和2个复用的10/100/1000M电口 48端口10/100M自适应端口,2个SFP千兆光纤接口和2个复用的10/100/1000M电口 24端口10/100M自适应端口(POE),2个SFP千兆光纤接口和2个复用的10/100/1000M电口 | |||
| 标准IP ACL、扩展IP ACL、MAC扩展ACL、基于时间ACL |
| 设备 | 设备描述 | 数量 | 单价 |
| 锐捷STAR-S210交换机 | 接入交换机 | 8 | 万 |
| 基本特性 | 固定端口 24端口10/100M自适应 48端口10/100M自适应模块插槽 2个扩展插槽 | ||
| Mpps | s | ||
| 产品特性 | VLAN 支持250个 VLAN链路聚合 支持端口镜像 支持SPAN生成树 支持STP、RSTP、MSTP组播 |
Copyright © 2019-2025 51dongshi.net 版权所有
违法及侵权请联系:TEL:177 7030 7066 E-MAIL:11247931@qq.com 本站由北京市万商天勤律师事务所王兴未律师提供法律服务
