财政局网络设计方案.doc
- 文档编号:393047
- 上传时间:2022-10-09
- 格式:DOC
- 页数:12
- 大小:225KB
财政局网络设计方案.doc
《财政局网络设计方案.doc》由会员分享,可在线阅读,更多相关《财政局网络设计方案.doc(12页珍藏版)》请在冰豆网上搜索。
目录
第一章财政局财政网络需求分析 3
第二章财政网络系统设计 4
2.1总体架构设计 4
2.2外网设计 5
2.2.1外网核心层部分设计 5
2.2.2外网汇聚层部分设计 6
2.2.3外网接入层部分设计 6
2.2.4外网防火墙设计 7
2.3内网设计 8
2.4网络管理 9
2.5网络安全 10
2.5.1物理隔绝 10
2.5.2设备访问控制安全 10
2.5.3防火墙 10
第三章设备的性能指标和报价 11
第一章财政局财政网络需求分析
财政局是人民政府的重要组成部门,是主管全县财政收支、财税政策、国有资本金基础工作的宏观调控部门,担负着在全县范围内拟定和执行财政、税收的发展战略、方针政策、中长期规划、改革方案及其它有关政策等职能。
因此,实现全县财政系统的信息化是财政搞好管理现代化、科学化的重要基础。
财政信息化建设就是要把科学技术和现代化管理手段运用到财政管理体制、运行机制、业务流程和工作方式中去,从而全面实现财政管理电子化。
财政局网属于国家机关网性质,与市局财政网直接相连,间接连接省和国家财政网,对财政内网安全的最高要求是内网的信息可以通过正当途径(如新闻发布)传播,决不允许内网信息与外网信息有任何交换,外网的信息不允许进入内网,内外网之间的绝对物理隔离是保障政府机关网络安全性的唯一途径,内网的信息在公安部门的监控下严格按照国家有关保密法律法规进行操作。
财政局局域网是财政局内部信息高速路。
连接对象是本单位的计算机,局域网的功能是实现本单位计算机的联网,同时在该局域网上运行各种财政应用系统。
财政局主要有18个科室股,分别是:
办公室、研究室、预算科、农财科、农税科、企财科、社保科、政府采购办、监督检查科、国库资金中心、会计核算中心、会计培训中心、会计科、国有资产管理中心、会计管理办公室、农业税收稽查大队、招商办、信息中心。
共有职工人数人,共计有PC机台。
对网络的要求:
1.平时办公文件的共享传输;
2.需要连接国际互联网进行一些资料数据的相关查询;
3.需要连接财政内网进行资料数据的上传下载;
4.对内网的带宽要求至少100Mbps;
5.外网内网物理隔绝,绝对禁止内外网之间进行通信。
第二章财政网络系统设计
本方案是为财政局设计接入互联网和政府内网的局域网系统,财政局属于政府机关,人员少,机器少,对网络应用的要求不高且单一,对网络安全的要求很高,所以本方案仍然按照主流设计思想对网络方案,设备选型等进行标准化设计,并且充分考虑了内网网络安全问题。
2.1总体架构设计
因为安全性原因,本方案在设计时,内外网之间相互隔离,使用两套设备进行网络的设计实现。
外网和内网之间物理隔离,外网设计按照典型设计理念,实行三层设计,内网为两层。
内网和外网接入交换机均为四台,都可满足全部PC机的接入要求,每台PC机均分到两根网线,一根内网,一根外网,为了安全性的要求,每台PC机同时只能接入一个网,网络切换可以使用网线切换器,这在综合布线环节得到体现。
本方案中的外网指的是公共网络,比如国际互联网。
内网专指国家财政内网。
2.2外网设计
为了确保网络能满足目前的网络应用,并考虑到单位今后的发展要求,在设计中采用目前一些网络常用的网络层次化结构,将网络分为核心层、汇聚层和接入层。
核心层负责网络核心数据的交换,不在核心层实施策略,以加速数据交换,同时将一些主要服务器放置在核心层中,以适应目前网络发展的新趋势;汇聚层采用带路由功能的三层交换机,以便于实施一些安全策略、组策略,同时将网络数据流量尽量限制在汇聚层中,减少对核心层的依赖;接入层采用二层交换技术,尽可能做到高速交换。
在网络链路方面,由于单位信息点相对较少,但是政府网络对网络的安全性可靠性的要求很高,同时考虑单位的资金水平以及发展要求,可以采用核心层单核心、汇聚层双核心、星型网络设计方案。
在网络运用中,为了便于管理,可以使用VLAN技术。
单位的网络,物理跨度局限在一栋楼之内,通过核心万兆交换机(锐捷RG-S7600系列RG-S7610)在主干网络上提供10000M的独享带宽,通过下级两台汇聚层交换机(锐捷RG-S3250系列RG-S3250-24)与各部门的接入交换机(锐捷STAR-S2100系列STAR-S2126G)连结,为之提供1000M的独享带宽,并提供冗余功能,增加可靠度。
接入交换机与各台PC机相连,提供100M到桌面,并且可以根据实际情况划分虚网,提升性能,提高安全性。
利用与核心交换机连结的路由器(锐捷RSR50-80),所有用户均可访问Internet。
路由器与核心交换机之间连接防火墙(H3CSecPathF1000系列SecPathF1000-C)公司局域网按访问区域可以划分为三个主要的区域:
Internet区域、内部网络、公开服务器区域。
从联通公司(原网通公司)接入一条光纤专线,提供单位和Internet的连接,专线和数据光端转换器均由联通公司提供。
2.2.1外网核心层部分设计
核心层使用锐捷RG-S7610交换机一台,S7610是面向下一代网络的万兆骨干路由交换机,在提供稳定、可靠、安全的高性能L2/L3层交换服务基础上,具有强大组播功能、基于策略的QOS、有效的安全管理机制和电信级的高可靠设计,满足现代网络的多种业务承载融合和业务灵活分类、分流的组网需求。
路由器使用锐捷RSR50-80路由器一台,RSR50E-80可信多业务路由器是锐捷公司历经多年自主研发,具有2个主控引擎插槽和8个业务插槽。
可以满足中小型企业网核心高可用性的要求;具有很强的可伸缩性、可配置性,支持Ipv6、BGP、IPSec、MPLSVPN、QoS、组播等技术。
其中国资管理平台因为要与上下级单位连接,置于防火墙DMZ区,方便外界访问以及内部管理,单位内部服务器与核心交换机直接相连,提供各种服务。
2.2.2外网汇聚层部分设计
汇聚层使用锐捷RG-S3250系列RG-S3250-24交换机两台,RG-S3250-24交换机是锐捷公司基于网络安全和易用好管理的理念推出的新一代安全智能交换机,充分融合了网络发展需要的高性能、高安全、多业务、易用性特点,为用户提供全新的技术特性和解决方案。
为了提高可靠性,选择两台组成冗余结构。
2.2.3外网接入层部分设计
接入层使用STAR-S2126G全线速可堆叠的安全智能交换机,在提供智能的流分类、完善的服务质量(QoS)和组播应用管理特性同时,并可以根据网络实际使用环境,实施灵活多样的安全控制策略,可有效防止和控制病毒传播和网络攻击,控制非法用户使用网络,充分保障网络安全和网络合理化使用和运营。
2.2.4外网防火墙设计
为了更好的维护单位网络的安全,需要在单位网络上部署防火墙。
防火墙使用H3CSecPathF1000系列防火墙一台,是功能全面、扩展性好的防火墙/VPN产品,集成防火墙、VPN和丰富的网络特性,为用户提供安全防护、安全远程接入等功能。
实现以下目的:
1)充当所通过的流量的代理,为内部网络用户提供安全的Internet访问。
2)保护内部网络免受来自Internet上的威胁。
3)执行入侵检测,入侵检测用于检测各种恶意活动并发送关于这些活动的相应警告。
4)执行应用程序筛选以扫描各个应用程序层的入站和出站流量(比如SMTP、HTTP、FTP),并检测恶意代码。
5)监视和发送关于各种参数(比如Internet使用、Web缓存细节和内部网络上的用户进行的协议敏感的Internet使用)的报告。
应该有一种以各种形式(比如电子邮件和事件日志记录)发送警告通知的机制。
外网总体拓扑图
2.3内网设计
内网设计在安全性的基础上,尽可能做到简单可靠,因为使用内网的人少,突发性低,网络应用相对简单,但是安全性高。
为了确保网络的安全性,以及可以满足目前的网络应用,并考虑到单位今后的发展要求,在内网设计中采用两层结构,将网络分为核心层和接入层。
核心层使用和外网一样的设备,负责网络核心数据的交换,并可以实施策略,保障安全的同时也保障高速数据交换,同样也适应目前网络发展的新趋势;接入层采用二层交换技术,尽可能做到高速交换。
网络链路方面,单位同时访问财政内网的信息点少,网络应用相对单一简单,对安全性可靠性的要求很高,同时考虑经济性以及发展要求,采用核心层单核心、星型网络设计方案。
单位的网络,通过核心锐捷RG-S7610交换机在主干网络上提供高达万兆的独享带宽,通过下级四台接入交换机与各台PC机相连,提供100M到桌面,并且可以根据实际情况划分虚网,提升性能,提高安全性。
市财政网光纤专线连接到路由器(锐捷RSR50-80),利用与核心交换机连结的路由器,用户通过交换机接入内网。
路由器与核心交换机之间连接防火墙(H3CSecPathF1000-C),进一步保障安全。
从市财政局通过租用联通公司(原网通公司)广域网体系接入一条光纤专线,提供单位和内部财政网的连接,专线和数据光端转换器均由联通公司提供。
内网拓扑图
2.4网络管理
为了对整个网络的设备进行管理,配置STARView网管系统。
STARView管理系统能提供整个网络的拓扑结构,能对以太网络中的任何通用IP设备、SNMP管理型设备进行管理,结合管理设备所支持的SNMP管理、Telnet管理、Web管理、RMON管理等构成一个功能齐全的网络管理解决方案,实现从网络级到设备级的全方位的网络管理。
STARView可以对整个网络上的网络设备进行集中式的配置、监视和控制,自动检测网络拓扑结构,监视和控制网段和端口,以及进行网络流量的统计和错误统计,网络设备事件的自动收集和管理等一系列综合而详尽的管理和监测。
通过对网络的全面监控,网络管理员可以重构网络结构,使网络达到最佳效果。
2.5网络安全
安全是相对和动态的,单靠配置安全设备和系统不能完全解决安全问题。
一种完善的安全体系不仅包括安全防护系统本身,而且还应具有主动性的监视、审计能力,通过不断地检查系统安全漏洞和安全威胁,及时弥补和完善系统安全策略。
针对网络信息系统的特点,我们采用以下几种安全保障方式:
2.5.1物理隔绝
本方案中的内网之间在物理上是隔离的,也就是说PC机同一时间只能连接一个网,这在
2.5.2设备访问控制安全
方案中的交换机(RG-S7610、RG-S3250)都支持ACLIP标准、扩展,MAC扩展、时间、专家级访问控制,可以通过多种策略进行访问控制。
内部之间网络资源访问控制。
支持VLAN的划分,VLAN之间的相互访问只能通过三层路由,这样在三层交换机上就可以配置ACL,对网络资源访问进行精确控制。
2.5.3防火墙
H3CSecPath防火墙/VPN是业界功能最全面、扩展性最好的防火墙/VPN产品,集成防火墙、VPN和丰富的网络特性,为用户提供安全防护、安全远程接入等功能。
第三章设备的性能指标和报价
本方案中的交换机,路由器,防火墙都是使用最先进的设备,虽然本方案中的单位人数少,机器少,对网络应用要求不高,但对安全性要求相当高,所以外网方案仍然按照一般标准化的设计方案选择设备,一是因为这些设备与一般设备的价格相差不是很多,二是为了以后的发展,如对视频点播传输业务的要求等等。
内网方案在标准化的基础上尽可能可靠安全,并且根据需求分析做到简单实用。
根据单位的发展规划和发展速度,本方案至少在5年以内仍然具有很大的先进性,实用性,可用性和可靠性,在这一点来说,本方案在超过单位需求的情况下仍具有经济型和可操作性。
设备
设备描述
数量
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 财政局 网络 设计方案