省级政务部门互联网出口整合设计研究

彭云峰

摘要：论文提出依托省电子政务外网，通过采用MPLS VPN技术，整合构建省级政务部门统一的互联网出口，加强统一安全监控，提升网络安全防护能力，满足各单位依托电子政务外网开展面向公众、服务民生的业务应用。

关键词：电子政务外网；互联网出口；网络安全

中图分类号：TP393.4 文献标识码：A 文章编号：1009-3044（2018）22-0307-02

Abstract： The dissertation proposes to rely on the provincial e-government extranet， adopts MPLS VPN technology， integrates and constructs a unified Internet export of the provincial government departments， strengthens unified security monitoring， enhances network security protection capabilities， and satisfies all units relying on e-government extranet to develop services to the public and services. Livelihood business applications.

Key words： E-government Network； Internet Export； Cyber Security

1 引言

随着信息化的发展，我国电子政务取得了阶段性成果，互联网在各级政府部门得到了广泛应用，为履行政府职能发挥了重要的支撑作用。同时，由于缺乏统一规划和管理，大部分政府部门分散接入互联网，各个互联网出口单独运行、维护，由于设备不到位或技术人员管理水平差异，造成互联网出口成为当前政府信息系统安全管理的薄弱环节，导致网络安全事件和网络失泄密事件不断发生[1]。

本文主要针对省级政务部门互联网出口接入分散、安全保障和管理缺乏有效手段等问题，提出了依托省电子政务外网，通过采用MPLS VPN技术，整合构建省级统一的互联网出口，缩减政府部门互联网接入数量，加强互联网的统一安全监控，提升网络安全防护能力，满足各单位依托省电子政务外网开展面向公众、服务民生的业务应用。

2 现状情况

经过对安徽省省级政务部门互联网接入情况进行调查显示：

1） 省级各政务部门互联网接入有两种情况：一是党政机关集中办公的大型行政楼，互联网出口统一由同一电信运营商提供，二是地理位置分散的单位，互联网出口各自租用，且多数单位只有一个。

2） 多数单位通过电信公司接入互联网，少数单位通过移动或联通公司接入互联网。

3） 大部分省级政务部门的互联网接入带宽为100-200M。

3 整合需求

本次互联网出口整合主要实现省行政中心园区外分散办公的省级政务部门互联网出口的整合。详细需求如下：

1） 基于省电子政务外网构建，在现有各单位对外发布系统的公网IP地址不变，带宽不变的前提下进行，保障各单位日常办公和外发布业务系统的稳定性。

2） 建设周期短，主要实现省级各政务部门互联网流量的汇聚，便于下一步的集中管理和统一的安全监测。

3） 建设安全监测区，对统一互联网出口进行安全监测。

4） 在省电子政务外网中心机房建设。

4 网络架构设计

4.1 电子政务外网逻辑分区介绍

电子政务外网在逻辑上划分为三个不同分区，为：公用网络区、专用网络区和互联网接入区，三个分区之间通过VPN技术实现逻辑隔离。其中公用网络区实现各级政务部门之间互联互通的逻辑业务区，承载跨地区、跨部门的业务；专用网络区采用MPLSVPN技术构建，主要承载政务部门特定需求的业务；互联网接入区是实现电子政务外网连接互联网的逻辑业务区，承载政务部门面向企业和公众服务的业务，提供政务部门工作人员访问互联网资源的网络通道。

4.2 网络架构设计

根据安徽省现状情况，依托省电子政务外网平台，借助各电信运营商网络汇聚整合分散在省行政中心园区外各单位的互联网流量，在省电子政务外网机房整合建设统一的互联网出口，并建设安全管理区，对各省直单位的互联网流量进行安全监测。整合后的互联网整体建设在省电子政务外网的互联网接入区。省级政务部门统一互联网出口总体网络架构如图1所示。

在省政务部门前端配置一台边界路由器，连接各单位的内部局域网，在省电子政务外网机房分别配置各运营商互联网出口的核心交换机，核心交换机再连接各运营商的互联网，同时，在电信运营商连接用户单位的接入路由器和核心交换机之间建立MPLS VPN通道，通过MPLS VPN技术统一将各单位的互联网流量汇聚到省电子政务外网机房，达到互联网出口整合的设计要求。

4.2.1 部门边界设计

在省政务部门前端配置一台边界路由器，对下连接各单位的出口防火墙，连接各单位的局域网，对上连接省电子政务外网和互联网，用户可通过路由器的NAT转换功能，将私网地址转换成外网地址后访问电子政务外网，或经运营商线路通过MPLS VPN通道直接访问互联网。部门边界路由器可区分外网业务流量和互联网业务流， 也可连接多家运营商的互联网，即符合国家电子政务外网标准规范的要求，又便于下一步流量的监控。

4.2.2 安全管理区设计

建设安全管理区，在省电子政务外网机房配置TAP交换机，旁接到核心交换机上，通过镜像将数据复制到TAP交换机，TAP交换机可根据IP地址、Vlan、数据包等规则进行分流，将数据复制到多個端口供多台设备同时进行监测分析，从而实现对互联网流量的安全监测。

4.2.3 備份通道设计

在部门边界路由器与省电子政务外网核心路由器之间可建立IPSec VPN隧道，当部门电子政务外网专线故障时，路由器BFD协议检测到后，可通过IPSec VPN隧道访问电子政务外网，从而实现电子政务外网专线备份的作用。

4.2.4 数据流分析

相关互联网数据流、政务外网数据流以及备份数据流情况如下：

1） 互联网数据流。省政务部门用户访问互联网时，所产生的流量经过部门边界路由器至省电子政务外网机房互联网出口区的核心交换机，通过MPLS VPN通道实现互联网访问。

2） 政务外网数据流。省政务部门用户访问政务外网时，所产生的流量经过部门边界路由器NAT转换后直接到达省电子政务外网城域网，实现电子政务外网访问。

3） 备份数据流。当省政务部门上连省电子政务外网的线路故障时，所产生的流量经过部门边界路由器至互联网出口区的核心交换机，由核心交换机转发至运营商边界处的政务外网接入路由器，再至电子政务外网的核心路由器，通过IPSec VPN隧道实现电子政务外网访问。互联网出口整合后的数据流如图2所示。

5 设计方案特点

该设计方案主要呈现以下几方面特点：

1） 改造范围小。各单位内部局域网和互联网接入线路无需变动，仅需在互联网出口做改造，电信运营商远程修改相关数据即可完成互联网流量的汇聚迁移。

2） 建设周期短。施工周期短、部署快。

3） 可形成外网备份通道。可通过运营商互联网线路搭建电子政务外网VPN通道，当上连政务外网线路故障时，可以建立电子政务外网的备份通道。

4） 协同运维，提高服务质量。根据与各省政务部门、电信运营商的边界和责任内容，各司其职，协同运维，可不断提高服务质量和水平。

5） 实现互联网的逻辑隔离。在电子政务外网平台上通过MPLS VPN技术可将互联网流量和外网流量实现逻辑隔离。

6 结束语

本文研究了省级政务部门互联网的接入现状和需求，提出了一种依托省电子政务外网整合构建统一互联网出口的方案，设计了省级政务部门互联网出口整合的总体网络架构，通过借助电信运营商网络可构建统一的互联网出口，同时又能形成省电子政务外网的备份通道，既满足统一安全监控的需要，又满足各单位依托电子政务外网开展面向公众、服务民生的业务应用。

参考文献：

[1] 刘盛辉，朱志祥，任学强.政府部门互联网安全接入技术架构[J].西安邮电大学学报，2012，17（3）：98-101.

[2] 肖冰.政务外网互联网出口若干问题研究[J].深圳信息职业技术学院学报，2007，5（1）：63；64-66.

[3] 周蓉蓉.构建公安消防信息网内外网边界接入平台[J].网络安全技术与应用，2009（12）：46-51.

[4] 阎彩英.浅析电子政务外网互联网出口的安全技术构架[J].中国信息界，2011（2）：38-40.

[5] 刘涛.计算机网络安全问题的应对策略[J].硅谷，2011，8（20）：146.