《省级电子政务外网安全解决方法》由会员分享,可在线阅读,更多相关《省级电子政务外网安全解决方法(11页珍藏版)》请在金锄头文库上搜索。
1、项目总体设计方案项目概述XX省电子政务外网连接XX个地市二级单位和横向的各厅局委办,承载着 省政府各级部门业务等系统的传输任务。通过本次项目建设,形成完善的省、市 级VPN系统,全面支持政务业务应用;满足部分接入条件困难和业务量不大的部 门通过VPN网关访问国家不同部委业务应用系统的需求,能够依托省级节点已建 的RA系统完成VPNg入用户加密认证,总体性能和安全指标满足国家要求。总体网络拓扑图:国家电子政务夕卜网二级网)(二级网) 厦政次网.1二 (三缓妈-一市级政粢网“长一 县核心交换机县汇聚交换机(四级网) 县爨占 瞿项目方案设计根据用户的需求及招标文件要求,我们在设计方案中充分考虑了 V
2、PN 系统建设的多方面因素,在建设实施过程中确保系统先进,在运行过程中确保稳定。在产品选型上经过多方面功、 性能对比, 我们选择了满足用户现状并领先的产品硬件技术架构及内核平台。 根据用户需求及招标文件要求, 我们设计的方案拓扑如下图:I“家电政分外也县期政翳外网节点1、省级市级VPN网关系统建设部署在省信息中心部署一台高端千兆 VPN网关,部署在路由器后端,通过 路由器镜彳a端口到VPN网关,在市级信息中心部署一台千兆 VPN网关,部 署在路由器后端,通过市级路由器镜像端口到 VPN网关。省、市VPN网关 通过证书申请,策略配置,隧道建立等步骤可建立起VPN隧道。具体部署如下步骤所示:xaF
3、t彳士证书l 明上一位 F-H Hl屋范和0/L* 0 m 旧物行吊*U的证把小股A “ 瓯I m EliiXXFib DWi J. dXIXnri m to.1.1导入证书 *茂复M4M刁方科迎僧声附*时隔官辽嗝却岛南斯r卡1钥工:口仃小时:毋普席其证书5 SUBS m矗广*也团w占国“*g 彻aXft蠲口可阳1的1MQ*WU时用Cihur.iaai.0rfH、的!. 的ST=1 日期加常看门圆仆划1%(曲dMk4 “ m JH 皿;XT必 k EL 奏 E R kClgmcLimiwnArta 叫 rtM_MCTftrta.m MeEmR时.M -* 60皿 .A“ UC 血 EUWi J
4、 dllLnri Mlie * 11 H arJ蹲M 弼割* fE-faHTiiOaiLPjM氏MEM1心 浒、由鼠艇NX砒端Cu 口 DUUFE - 的J8 打/CTXWIJSl的旧小姑通 Ut-iir,t3Lca.ka?BHiVcl-j4CLaitt-K-Li3iU?ri Ljr EiMCiioai; 汀小皿xivuCDcmiAEOk/皿 由、皿WJK. Ob=加kk Wf留置【HIJ .厘受证三车加书生琦喇轲裹 /笔的曾证书 行.AM君证三介的1菱重工死心:立书!1式宙方证料;3*e电好mik浜的兄囱识达睢1卜味B*用己电.“*即11产3fcBs2巴X珞睥侬用3M0邮1铝0:m16固曾画
5、LJ-i: MEincelL 匚Mihikw 七囱0* ffj m 童选T-hT M二mI1 vn i-fi-中师看上T *下一胃 *iHBLP/1HAHH 次图好币,P 二ft立明I事 矍J时万证科 百本加杯 罚证书济嗝 注*。1.2 启用vpn功能VTIfliS生否旧用门K前壬avzrjjfe J( E用叼iff,成克至留唱中斌Ifftil”应力彳诗i源朝天淞哥冶兆1道芒鼠则)wir|fe&:向HI照电将其耳王相:Fl* 3订叩 uiFTkty(bh均力学而.手于扃语在乐qBf号qs5中更开081相(Jfi箱录)BEM工Ji藩用生存明. | 2SKB(LEDO_fi&眇),耻认gc森雌隹期
6、:W)(LSDO-S&ilMjyj )启用可喊,甘船中威.caKCF r TPhdK置HRMCF mf gem哙7EPJ备甜Ut抱5t.I2T 0 PIH木/修奇捱口10 ”滋冏比果速森本世营的mb违君区疆皿写裕百苫地址为LNT.口上l,n1地谈营林匚荒津加回F强吞1工1.3 配置IKE-SA协商阶段岬啾鼻绕ILL1门加,目,权 m 髀、胃鼻、F朝诩融!.克工IE岫跟门却见她用.气II-USE方式证扣JR神共聚至唱J C kiwg日.附本,H J M T R泊看峰享生电2书 而讦书3都不 电电口对方m 用陶1祁 塞舌主雌起组|咏B#qwtTRIIYtlh 主事式HE5 -口日目TJ-i IJ.
7、旬由Qg1tnfffflfflfffl必| (等也助特调布1加中例烹海而制虚狂用四始叫&工C蚱:*,2)11在%囱孟祥,水不立用I 酣器防游时力叫a| (*2.甘HOIIEJMW交日崎:!:而艮期” J1.4 配置IPSEC-SA隧道阶段1.5 添加安全策略身主而吗;洗至国调隹但堀全目T晒事址址目的碗界苦ttfl-1#QEQQQ。辿E黄苑Q。5鸵 LM.1.D鳖03PTrffi.lBfi 1 03 D 口加出口假则0省、市级VPN网关建立隧道后如下图所示:三线网 市镇政务外网仃点HVPN-USLikY 由援外网用户好人文换机口模心交换机儿级外网用户四缴网 县级政菖外同节点旦组外网用尸、网利、P
8、N-UBEJk 寸2、VPN客户端系统建设部署全网部署2000个VPN客户端,对接入条件有限和业务量不大的部门通过VPN户端访问各自不同部委业务应用系统,通过USB_keW勺认证方式+网神VPN客户端双重技术实现 VPN隧道建立,并且可通过省级节点已建的 RA系统完成VPNg入用户加密认证。具体建立步骤如下:2.1导入CA证书2.2配置客户端基础界面选才? X509证书2.3配置IKE算法2.4配置IPSEC算法2.5测试隧道连通性省、市级VPN网关、客户端建立隧道后如下图所示:国家屯了政务外网四级网 县缎政劳外网节点级 网网利“PN-USHk行 市级外网用户、网神VPN-UERkv、网抻 V
9、PN-USBkey3、VPN线路切换考虑到市级运维人员技术保障能力及设备等故障因素,我们在方案设计 阶段考虑了 VPN客户端切换线路的方法,通过RA认证方式可保证VPN客 户端的认证是唯一性,不需要在各级VPN网关添加用户名账号等认证信息, 只需要在前期部署时配置双 VPN隧道模式,当首选线路连接的VPN网关出现异常不能及时连接时,可切换到省级VPN网关进行VPN隧道建立,同样 保障了业务可持续访问的不间断性。通过部署连接示意图如下:器 NE40数据中心网VPMUSH krj省皴外网用户,13N-USH keyW咪外网111户巾核心交换机由核心路击器地樵M而vf小姬外网用F网种 VPM-UER key市级外网用户具接入支换机旦他心交换机L核心路由器J乂找外网用户网神VPN-U5B keyX县接入交挟机儿核心支校机四级网 县爨政势外网节点县辗外网用户(网神 VI明-USB key
