某政企客户内网部署专用网络管理服务案例(企业网络配置案例)

这个案例由中国联合网络通信有限公司湖北省分公司集客支撑部付振华提供,希望对从事这个行业的政企专线运维的人员有所帮助。

一、案例摘要

摘要:在集团公司推进政企客户网管部署的背景下,湖北省在2019年完成了大客户综合支撑系统的上线使用,实现对政企客户电路业务的综合支撑服务。在具体的项目实施交付中遇到了大量的客户个性化、定制化要求。本案例介绍在某政企客户组网租线项目中,为了实现的专用网络管理服务,在客户内网实施部署客户网管的方案,本项目目前已通过终验,顺利交付。本案例对定制化提供客户网管,满足客户个性化需求方面具备一定的参考意义。

二、关键词

关键词:客户网管;定制化;个性化;内网部署;综合支撑

三、案例正文

(一)案例背景

在集团公司推进政企客户网管部署的背景下,湖北省在2019年完成了大客户综合支撑系统的上线使用,实现对政企客户电路业务的综合支撑服务。在具体的项目实施交付中遇到了大量的客户个性化、定制化要求。在某政企客户组网租线项目中,客户提出需求,要求采购专用网络管理服务,满足计算机终端访问方式功能和移动终端访问功能的同时,需要符合公安网网络安全管理要求,在客户内网实施部署客户网管。获得客户需求后,政企客户事业部、网络运营部和产业互联网运营中心等多部门开会讨论,确定在湖北省大客户综合支撑系统的基础上进行定制化开发和部署,满足客户的需求。最终通过无偏离应答,成功拿下该“亿元级”项目,有效支撑了政企业务发展。

(二)案例描述

1.建设内容 在某客户内网部署专用网络管理系统,对本次建设的所有前端监控点使用的联通专用网络传输线路部分进行集中监控管理。专用网络管理系统具体提供计算机终端访问方式功能和移动终端访问功能,并提供运维服务。

2.系统概述 本次项目建设的专用网络管理系统在满足高性能、高安全、高可靠的基础上,应充分考虑系统兼容性,保障各种功能模块的有效使用,系统总体设计如下:

某政企客户内网部署专用网络管理服务案例(企业网络配置案例)

图1 专用网络管理系统概况

(1)系统架构

某政企客户内网部署专用网络管理服务案例(企业网络配置案例)

图2专用网络管理系统架构图

专用网络管理系统采用了基于云架构的分布式集群设计和虚拟化设计,在系统内部实现了多设备协同工作、性能和资源的虚拟整合,最大限度利用了硬件资源和存储空间。

专用网络管理系统由管理节点和存储节点组成,支持控制流与数据流分离,数据的存储或读取由存储节点并行读写。云存储管理节点支持扩展为集群方式,实现系统高可靠性能。专用网络管理系统可将所有物理存储资源虚拟化成统一的存储空间,以唯一业务IP地址对外提供存储服务。

整个系统从逻辑上分别为设备接入层、第三方接入,流媒体服务,图片服务,分布式文件系统组成。为用户提供从前端数据采集,存储,转发,于一体的数据层解决方案。同时,通过开放透明的应用接口和简单易用的管理界面,为整个安防监控系统提供了高效、可靠的数据服务。

(2)系统组网架构

某政企客户内网部署专用网络管理服务案例(企业网络配置案例)

图3云存储组网架构图

本次项目专用网络管理系统在黄石金银湖的联通IDC机房分别设置一套云存储分中心。

分中心的专用网络管理系统均为单云系统,互不影响,负责自己辖区的数据的存储,包括视频、卡口图片、违法图片以及结构化数据等。分中心之间数据之间实现互联互通及数据共享应用。

专用网络管理系统内部通过局域网交换机连接,组成统一的存储虚拟池,对外提供统一IP服务,分中心之间通过视频专网进行组网,实现数据互联。

(3)系统主要功能

专用网络管理系统的核心功能是管理专用传输网络线路、提供计算机终端访问方式功能和移动终端访问功能。

某政企客户内网部署专用网络管理服务案例(企业网络配置案例)

表1核心功能表

a)可通过web、手机App等多种方式提供可视化、图形化的建管理功能

某政企客户内网部署专用网络管理服务案例(企业网络配置案例)

图4支持web端访问

某政企客户内网部署专用网络管理服务案例(企业网络配置案例)

图5支持app访问

b)可展现客户链路总体质量

可提供用户总体信息。可提供用户专线总体质量情况;提供用户总体信息查看,可以直观展示用户开通电路情况。并提供专线总体质量情况统计展示分析。

某政企客户内网部署专用网络管理服务案例(企业网络配置案例)

图6链路总体质量仪表盘

c)可视化链路详细路由

支持拓扑图放大、缩小功能,提供整体拓扑展示。

某政企客户内网部署专用网络管理服务案例(企业网络配置案例)

图7按地理区域拓扑图示例

d)专线链路电路告警支持告警查看、导出等功能。

某政企客户内网部署专用网络管理服务案例(企业网络配置案例)

图8告警查询界面

e)专线链路电路性能分析

提供专线性能的数据趋势。

某政企客户内网部署专用网络管理服务案例(企业网络配置案例)

图9性能图表查询界面

f)专线链路网络拓扑展示

支持业务路由展现,以及用户详细路由。

某政企客户内网部署专用网络管理服务案例(企业网络配置案例)

图10链路路由展示界面

7专线链路公告通知

提供系统公告通知。

某政企客户内网部署专用网络管理服务案例(企业网络配置案例)

图11系统首页公告提示界面

8.专线链路支撑团队

提供专业的运维支撑团队,可随时联系解决问题,每条专线链路由两端地市的客户经理、网络服务经理和维护经理共同提供支撑。在专线链路的业务信息中可以直接查看。

某政企客户内网部署专用网络管理服务案例(企业网络配置案例)

图11业务信息中展现专线链路支撑团队

(4)主要技术说明

信息安全备份符合《信息安全技术信息系统灾难恢复规范》、《全国公安交通管理信息系统安全备份建设指导意见》技术要求。

公安网与视频边界接入平台、无线边界接入平台进行信息交换符合《公安信息通信网边界接入平台安全规范》技术要求。

1基础支撑环境技术方案

本次设计的专用网络管理系统,组网架构如下:

某政企客户内网部署专用网络管理服务案例(企业网络配置案例)

图12专用网络管理系统组网架构图

云存储网络形态如下:

某政企客户内网部署专用网络管理服务案例(企业网络配置案例)

图13云存储网络形态示意图

云存储采用存储网络与业务网络分离式设计,从网络结构上需要划分2张独立的LAN网络,分别为业务网络和存储专用网络,彼此相互隔离互不干扰。其中业务网络用于连接各个业务应用平台,存储网络用于云存储元数据单元和存储节点互联。目前云存储平台支持千兆和万兆网络传输速率,建议业务网络使用千兆速率传输,存储网络根据项目规模使用千兆/万兆网络速率传输,以保证整个云存储网络高速可靠的运行。

云存储网络接口介绍

1)云存储管理节点介绍元数据节点共8个千兆网口,其中2个网口作为管理节点心跳接口,用于2台元数据节点HA冗余配置,另2个千兆网口连接存储网络交换机用于管理各个存储节点使用。

某政企客户内网部署专用网络管理服务案例(企业网络配置案例)

图14云存储管理节点结构示意图

2)云存储数据存储节点介绍

某政企客户内网部署专用网络管理服务案例(企业网络配置案例)

图15业务网口和存储网口示意图

针对于云直存部署环境,数据存储节点需要分别于业务网络和存储网络互连,其中2~4接口通过端口聚合与业务网络交换机互连用于从前端拉流,另使用4个端口聚合与存储网络交换机互连用于存储数据内部交换。

3)交换机性能规格要求

存储网络采用全千兆背板带宽和包转发。

所有端口容量X端口数量之和的2倍应该小于背板带宽,可实现全双工无阻塞交换,证明交换机具有发挥最大数据交换性能的条件。

满配置吞吐量(Mbps)=满配置GE端口数×1.488Mpps其中1个千兆端口在包长为64字节时的理论吞吐量为1.488Mpps。

例如,一台最多可以提供64个千兆端口的交换机,其满配置吞吐量应达到64×1.488Mpps=95.2Mpps,才能够确保在所有端口均线速工作时,提供无阻塞的包交换。

支持端口聚合(端口HASH算法),组播,VLAN划分,静态路由等功能。

如需网络冗余,必须支持网络堆叠,堆叠带宽>20Gbpsb。

如需多有多台云存储交换机,必须支持上行,上行带宽>20Gbpsb。

4)云存储组网架构

某政企客户内网部署专用网络管理服务案例(企业网络配置案例)

图16专用网络管理系统组网架构图

云存储采用网络虚拟化IRF2:2台网络交换机之间通过2条万兆光纤实现IRF2网络虚拟化,实现2台交换机之间协同工作、统一管理和不间断维护。

交换机需要划分2个VLAN,配置存储网络VLAN和业务网络VLAN,2个逻辑工作组(VLAN)之间互不干扰,保证网络稳定性。

元数据服务器(MDS):共需使用4个网口,其中2个网口作为管理节点心跳接口,另2个千兆网口连接网络交换机用于管理各个存储节点使用。

数据节点(DN):共需使用6个网口,分别4个存储网口和2个业务网口,其中4个存储网口做一个端口聚合连接网络交换机,另2个业务网口做一个端口聚合连接网络交换机。

交换机:网络交换带48个千兆电口和4个SPF 万兆光口,每台使用其中2个万兆光口与用户核心交换机互连,需要保证客户核心交换机是否有万兆业务口以及足够光模块,万兆上行能充分保障云存储业务流量正常运行。

2系统对接方案系统软件架构及接口说明图17专用网络管理系统软件架构图系统包含四个层次功能,来满足最终用户、系统管理员、运营人员的日常操作需求:

某政企客户内网部署专用网络管理服务案例(企业网络配置案例)

图17专用网络管理系统软件架构图

系统包含四个层次功能,来满足最终用户、系统管理员、运营人员的日常操作需求:资源层:基于单个存储节点,管理本地的硬盘,文件和数据块。

硬盘热插拔:管理节点内的硬盘动态增加和删除,和存储管理层同步硬盘内的文件信息。

硬盘漂移:当节点故障时,支持把节点上的硬盘取下来放到新的存储设备上,快速恢复数据。

本地文件系统:对操作系统自带的本地文件系统进行调优,作为数据存储的基础。

对象数据块管理:对象存储到节点后,会形成多个数据块。

管理层:提供单个集群和多域的管理能力

节点管理:管理多个存储节点,支持节点上下线,搜集节点信息。

负载均衡:根据节点的CPU,网络,磁盘的负载情况,动态选择负载最轻的节点参与工作。

高可用HA:对两台元数据进行数据同步,在一台发生故障时快速进行主备切换。

对象管理:响应客户端的对象操作请求,为对象分配合适的存储节点,提供唯一ID。

统一目录:提供文件对象的目录视图,支持文件路径和按范围查询。

运维管理:提供运维Web服务,支持设备动态添加删除,文件手动恢复,系统升级等。

多域管理:通过索引对多个专用网络管理系统统一管理,提供全域唯一文件路径。

接入层:提供丰富的访问接口,适应各种应用

基础SDK:通过SDK可以直接访问专用网络管理系统,进行基本文件操作。

流媒体SDK:基于基础SDK封装,支持流媒体写入并建立帧索引,按时间段定位和读取。

POSIX驱动:基于基础SDK封装,提供Windows/Linux驱动,将云存储模拟成本地硬盘。

NFS/CIFS网关:通过服务器,提供网络文件系统服务。

WebService:通过Web服务器,提供文件Web服务,并提供RESTful的接口形式。

应用&服务层:

业务应用层部署由各用户根据自身需求,充分利用接口层提供的各种接口,开发而成的监控系统,联网共享系统等。

系统对接结构类型专用网络管理系统支持采用多种标准协议及接口方式跟第三方系统实现数据对接,

专用网络管理系统支持提供2类SDK包,一类EFS-SDK包,二类是小文件打包SDK(对小文件进行打包,提高云存储元数据管理文件上限)。

专用网络管理系统也支持基于FUSE的Posix接口,Posix接口是各种操作系统都支持的本地文件访问接口,通过安装云存储驱动,可以基于SDK模拟出一个本地硬盘,用户可以像访问

本地硬盘一样可以访问专用网络管理系统,对老的应用程序提供很好的兼容性。

某政企客户内网部署专用网络管理服务案例(企业网络配置案例)

图18系统对接结构类型示意图

文件级EFS-SDK

EFS-SDK是访问云存储基础API,类似于百度云、HDFS的API接口,是与云存储交互的原生接口,可以获得最优的系统性能。标准云存储提供2类SDK包,一类EFS-SDK包,二类是小文件打包SDK(对小文件进行打包,提高云存储元数据管理文件上限)。

EFS-SDK支持平台及依赖文件

Java平台

依赖包:jna-4.1.0.jar

Jar包:EFSClient.jar

c 平台

头文件:IntTypes.h、Defs.h、EFileSystem.h、Bucket.h、File.h

Linux平台

32位:libEFSClient.so(动态库)

64位:libEFSClient64.so(动态库)

windows平台

32位:EFSClient.dllEFSClient.lib

64位:EFSClient64.dllEFSClient64.libc

某政企客户内网部署专用网络管理服务案例(企业网络配置案例)

图19基本流程示意图

上图仅描述一次打包小文件/读取小文件的流程,如需多次打包,可复用打开>写入>关闭流程(提示:打开>写入>关闭流程可以抽象成一个方法,便于方法调用)。

小文件打包使用过程中需要配合云存储SDK,对于云存储SDK的使用可参见云存储SDK用户手册,见附件。

上图流程为基本流程,不包括异常处理,异常处理请重点关注示例代码特殊处理。LINUX环境基于FUSE的Posix接口

Posix接口是各种操作系统都支持的本地文件访问接口,通过安装云存储驱动,可以基于SDK模拟出一个本地硬盘,用户可以像访问本地硬盘一样访问专用网络管理系统,对老的应用程序提供很好的兼容性。

为增强专用网络管理系统的兼容性,提升EFS系统操作的用户体验,需要对EFS用户接口部分进行升级和优化,特引入用户空间文件系统(FilesysteminUserspace,以下简称FUSE)来对EFS-SDK进行二次封装。封装后EFS能够对POSIX标准有较好的兼容性,能够使用Linux命令、文件浏览器、及多种开发语言(如JAVA、PHP、Python等)实现对EFS的访问,从而极大的丰富了EFS接口的互操作性,提升了用户的体验度。

FUSE是一种在Linux内核模块实现用户态文件系统的一种技术。传统上操作系统在内核层面上对文件系统提供支持。而通常内核态的代码难以调试,生产率较低。通过FUSE模块支持在用户空间实现文件系统。在用户空间实现文件系统能够大幅提高生产率,简化了为操作系统提供新的文件系统的工作量,特别适用于各种虚拟文件系统和网络文件系统。

使用FUSE可以开发功能完备的文件系统:其具有简单的API库,可以被非特权用户访问,并可以安全的实施。更重要的是,FUSE以往的表现充分证明了其稳定性。您可以像可执行二进制文件一样来开发文件系统,它们需要链接到FUSE库上,换言之,这个文件系统框架并不需要了解文件系统的内幕和内核模块编程的知识。Window环境使用fuse samba的挂载方式此种方式需要配置额外的samba代理服务器,云存储通过samba代理服务器与第三方平台对接。使得在windows下访问云存储成为可能,用户直接在windows下通过拖拽的方式实现文件的上传和下载。

3系统实施部署方案

部署前准备

组网连线

云存储的网络拓扑如下所示:

某政企客户内网部署专用网络管理服务案例(企业网络配置案例)

图20云存储网络示意图

云存储网络可整体划分为业务和存储网络,业务网络用于云存储节点上的流媒体服务从前端取流,存储网络用于云存储集群内部大量的数据交互,存储面和业务面分离,云存储节点之间大量的数据交互不会带来业务网络的波动,避免相互影响,利于云存储的稳定可靠运行。存储网络可单独划分一个私网网段(避开192.168网段),业务网络接入监控骨干网络。

元数据服务器:1/2口两台元数据服务器之间互连,作为心跳口;3/4两个网口接入存储网络,交换机上两个口做聚合。

云存储节点:ex1-4四个口接入存储网络,4个口做聚合;1-4取其中两个口接入业务网络,2个口做聚合。

平台:1口接入业务网络,2口接入存储网络。存储网络组网

云存储服务器设备,平台服务器设备采用集中部署的方式,所有服务器均为机架式服务器,每个机架部署独立的交换机,再汇总到核心交换机,简化网络线路布置。

某政企客户内网部署专用网络管理服务案例(企业网络配置案例)

图21网络线路布置图

一个42U机架可以部署4台48盘位数据存储服务器,一组48个万兆口双冗余交换机部署在一个机架上,可以接入四个机架,及四个机架的网络设备接入到其中一个部署了双交换机的机架上,充分利用交换机48口接入能力。逻辑上,一组机架同属于一个交换机,则接入交换机的设备是对等的,属于一组节点。多个机架组间,通过上层核心交换互联,网络可达。集群内,机架组间网络能力弱于机架组内,所以应该尽量避免机架组间的大数据流量。元数据服务器可以部署在同一个或不同机架上,组成元数据服务器集群。网络设备都具备双网卡或更多网卡,将设备接入到冗余的两台交换机上,实现链路冗余,提供更高的可靠性保证。网络规划设备默认心跳IP为192.168.1.2、192.168.1.3,重新分配的IP不能与默认的心跳IP同网段。部署时,需要提前进行IP规划,本文部署以下表为例。

某政企客户内网部署专用网络管理服务案例(企业网络配置案例)

表2IP规划部署示例

备注:以下文档MDS指元数据服务器,DN指存储节点,VIP指虚拟IP,云存储方案中分配的存储IP不能与业务IP同网段。交换机配置交换机上同一设备接入的端口要做端口聚合部署元数据服务器MDS接线步骤1为两台MDS接上电源线并开机。步骤2为两台MDS接好网线。MDS总共有4个网卡(eth0、eth1、eth2、eth3),正常情况下,网卡编号顺序是和物理网口的位置顺序是一致的。eth0和eth1是MDS的心跳网口,即第1、2两个网口,将这两个网口分别直连到另外一台MDS对应的网口。eth2和eth3是MDS业务网口,即第3、4两个网口,将这两个网口连接到存储交换机上。修改两台MDS的实IP步骤1将3/4口网线先从交换机上拔出,将笔记本网线直连3/4网口中的其中一个步骤2打开IPInstaller工具,单击刷新按钮发现所有支持IPInstaller的待配置服务器图22IPInstaller的待配置服务器列表

某政企客户内网部署专用网络管理服务案例(企业网络配置案例)

图22IPInstaller的待配置服务器列表

步骤3找到待配置IP的MDS,双击查看具体IP的配置信息

某政企客户内网部署专用网络管理服务案例(企业网络配置案例)

图23具体IP的配置信息参数表

步骤4弹出框中的IP配置为规划好的MDS实IP,用户名、密码、端口。

步骤5单击“修改”。如果修改失败,请单击刷新,若发现IP已经修改成功,进行下一步骤,若未修改成功,请检查用户名和密码。如果修改成功,请单击刷新,可以看到修改后的结果。

步骤6配置成功后,按以上步骤配置另外一台MDS。

这里再提供一种后台修改IP的方法:笔记本直连MDS3/4口其中一个,笔记配配置一个192.168.0网段地址ssh登陆MDS后台,默认的MDS地址为192.168.0.110vi/etc/sysconfig/network-scripts/ifcfg-bond0改好对应的IP地址、掩码、网关后保存退出vi/etc/sysconfig/default-routes改好默认的网关,保存退出/etc/init.d/networkrestart重启网络服务,重启之后看下新的地址是否能够ping通配置MDS和CS的虚IP

步骤1用谷歌浏览器登录其中任意一台元数据服务器的IP配置界面,如用chrome浏览器打开地址“172.5.112.200/EFS/Install.html”,其中“172.5.112.200”为其中一台MDS的实IP。输入网址时,请注意字母大小写。

步骤2在上述界面中,输入相应的IP地址。本地IP:系统自动设置的MDS实IP,请勿修改对端IP:输入另外一台MDS实IPMDS虚拟IP:管理云存储的地址CS虚拟IP:上层应用访问云存储地址步骤3配置完成后单击确定,稍等片刻就配置成功,至此两台元数据服务器都已经配置完成。

部署存储节点存储节点接线

步骤1机架上的存储节点全部接上电源并开机。

步骤2左边ex1-4口接入存储交换机

修改Datanode实IP

步骤1将笔记本直连ex1-4个网口中的任意一个口

步骤2打开IPInstaller工具,单击刷新按钮发现所有支持IPinstaller的待配置服务器。

步骤3找到待配置IP的Datanode,双击查看具体IP的配置信息(没有修改过的DatanodeIP均为192.168.0.111)。

某政企客户内网部署专用网络管理服务案例(企业网络配置案例)

图24具体IP配置信息

步骤4弹出框中的用户名、密码、端口,如果修改失败,请检查输入的用户名密码。如果修改成功,请单击刷新,可以看到修改后的结果。

步骤5接着重复“Datanode接线”和“修改Datanode实IP”步骤,配置下一台Datanode。

这里再提供一种后台修改IP的方法:

笔记本直连dn的其中一个口,笔记配配置一个192.168.0网段地址ssh登陆dn后台,默认的dn地址为192.168.0.111vi/etc/network/interfaces改好对应的IP地址、掩码、网关后保存退出xconf–s/etc/network/interfaces修改之后的配置文件保存到dom盘/etc/init.d/networkrestart重启网络服务,重启之后看下新的地址是否能够ping通

云存储运维页面添加节点

配置完所有Datanode的实IP后,需要将Datanode添加到集群中。

步骤1打开云存储运维界面:MDS虚IP/EFS,如172.5.112.201/EFS,以admin帐户(默认密码为admin)登录。

步骤2选择“存储节点”菜单栏。并单击“节点添加”按钮,弹出如下窗口。

步骤3在窗口中输入已经配置好的Datanode实IP并单击确定。这样节点就被加到集群中来了,添加进去之后点击操作栏这里的上线按钮。

步骤4接着将剩余Datanode逐台添加上来。

步骤5添加完全部节点之后,登陆云存储运维里面的概况页面,查看各个服务是否正常,特别是两台元数据服务器这里,如果有服务没起来的,直接把元数据服务器重启一下。

部署验证&验证准备

Windows机器一台(要求可以和云存储集群连接到一个交换机上,建议用笔记本)。需要安装的软件如下:Chrome浏览器IPInstaller工具Xshell或CRT等终端工具登录云存储运维

步骤1使用Chrome浏览器,地址栏输入地址:MDS虚IP/EFS

步骤2以admin帐户(默认密码为admin)登录,云存储运维首页如下图所示。检查“概况”页面中的每个面板,对比下图,是否有异常情况。

步骤3单击“存储节点”,查看Datanode状况。查看Datanode数量是否合预期,查看Datanode容量是否合预期。

步骤4双击存储节点的IP地址,显示如下界面。磁盘绿色代表在线盘,灰色代表空槽位,对比实际磁盘数量是否合预期。

某政企客户内网部署专用网络管理服务案例(企业网络配置案例)

图25存储节点

后期扩容

云存储支持在线扩容,在线业务持续运行的情况下,可以动态增加或缩小专用网络管理系统的容量,表现业务无感知的增加或删除存储节点。由于专用网络管理系统为一个整体,结合集群管理、数据冗余与恢复等机制,实现了在线动态增加删除节点,对业务层仅表现为存储容量的增加和删除。增加新的节点时,配置好节点的网络地址,即可加入系统工作,实现一键扩展,快速部署。系统能统一管理不同型号,不同存储盘位的数据节点,同时能接入标准的第三方IPSAN设备。系统具有线性扩展的特性,容量增加时,整体的读写性能也同步增加。同时,系统容量和每个Bucket容量的扩展可快速生效,无任何数据迁移。对于硬盘未满的节点插入硬盘也非常方便,不需要做任何配置。

4安全接入解决方案

1)方案概述1.需求概述为保障客户访问平台安全性,通过从下至上的安全保障措施,满足在各种条件下的安全、稳定、快速监控。

2.安全要求遵循《公安信息通信网边界接入平台安全规范(试行)》规范,监控终端接入链路的体系架构必须符合《公安信息通信网边界接入平台安全规范(试行)》的3.2节的要求。机密性与完整性遵循《公安信息通信网边界接入平台安全规范(试行)》的4.2.4.3节。入侵防范遵循《公安信息通信网边界接入平台安全规范(试行)》的4.2.4.4节。网络设备安全遵循《公安信息通信网边界接入平台安全规范(试行)》的4.2.4.5节。可用性保障遵循《公安信息通信网边界接入平台安全规范(试行)》的4.2.4.6节。主机安全遵循《公安信息通信网边界接入平台安全规范(试行)》的4.2.5节.。本系统的建设遵循公安部的有关规定,实现信息安全隔离。本系统将采用各种专用安全设备,以实现身份认证和信息安全传输。

2)系统架构图26整体结构图

某政企客户内网部署专用网络管理服务案例(企业网络配置案例)

图26整体结构图

说明:

网络边界划分明确,在每一个网络边界都提供良好的安全保障通过防火墙和专线互联,实现专网专用系统的安全性能主要靠身份认证系统、入侵检测与审计等设备的保护。

1.底层传输采用1 1保护的MSAP专线电路,双向100Mbps左右。网络通信链路检测,当网络从异常状态恢复后,在一定时间周期后可自行恢复数据传输。周期检测数据链路的运行情况,以便合理分配数据链路。

2.认证管理使用IP地址管理白名单、黑名单策略,简单控制哪些用户允许访问,哪些用户不允许访问。

3.入侵检测使用专用WAF设备,实时监控异常访问行为,并根据规则实现自动阻断和隔离。

3)平台安全

1.终端安全定期对服务器进行安全扫描,保证平台内部安全性。

2.链路安全在平台边界与公安系统内部网络之间以专线方式连接,链路设备之间进行相互认证。平台内部链路严格专用,不用于其它用途。通过VLAN划分、应用端口隔离、业务通道方式区分不同的业务应用,避免业务交叉和跳板攻击。接入平台内部系统设计严谨,无任何未经严格安全防范的旁路。对于边界保护区链路:防火墙设置访问控制策略,严格过滤进出平台系统的数据报文请求;防火墙设置目的地址转换策略,隐藏内部服务器系统地址;防火墙系统设置源地址转换策略,在向外访问时保护内网主机地址;所有安全设备串行布置,保证安全强度。

3.应用安全防火墙(平台侧和公安侧)只开放公安侧内部网络两台终端单向访问平台侧WEB端口通讯。对数据传输及控制协议进行分析,只允许指定的协议和端口通过平台传输。并按照业务预先注册的数据格式要求,对数据的类型,格式进行严格检查,对数据内容进行过滤,限制所有不符合要求的数据传入接入平台。保证传输过程中数据的完整性,具备防止数据的重放攻击,篡改和伪造功能,具备提供数据颁发证明和交付证明的抗抵赖功能。数据完整性保护功能:可检测和发现数据在传输过程中是否被修改。抵抗各种网络攻击的能力:IPSec、SSL、安全短消息协议本身可抵抗来自公网路段的重放攻击,安全接入系统和包过滤防火墙配合可抵抗来自公网的IP层以上(包括应用层)的各种攻击,安全接入系统和包过滤防火墙配合可抵抗来自公网的应用层的各种攻击。

4.系统安全平台使用完全重新编译的LINUX内核,精简、安全,取消了所有对外提供服务的包,并加入内核级IDS功能,能有效抵抗攻击。

(三)分析总结

通过对客户需求的准确分析,本案例针对客户在公安内网部署专用网络管理服务的特殊定制化要求,在通用性大客户支撑系统架构的基础上进行定制化开发,充分满足合同中明确的系统功能。同时在实施方案中,针对公安网和网管网的管理要求,在基础支撑环境技术、系统对接、系统实施部署、安全接入等多方面和客户做了大量技术交流并达成一致,最终确定了方案并顺利实施。本案例对后续客户内网网管的部署具备典型参考意义,其主要技术可供类似项目引用。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

(0)
上一篇 2022年6月18日 上午10:17
下一篇 2022年6月18日 上午10:18

相关推荐