搜索
政府门户网站解决方案www.huawei-3com.com.cn重要性政府门户网站已成为电子政务发展的主要趋势中共中央办公厅、国务院办公厅转发的国家信息化领导小组关于我国电子政务建设指导意见(中办发(2002)17号)要求重点建设并整合中央和地方的综合门户网站。政府门户网站有利于信息整合,展示政府整体形象政府门户网站上大量的信息可提供浏览、查询等服务,充分实现政务公开,全方位展示政府整体形象。政府门户网站有利于推动当地经济发展良好的城市形象在吸引外资时将发挥巨大的作用,在塑造城市环境的同时不能忽视网络这种无形城市形象,建立和完善政府门户网站有利于树立政府的对外形象进而吸引外资的投入以推动当地经济的发展。技术架构硬件平台层包括网络、服务器、存储等各种硬件平台资源,能够安全、可靠、高效的传送各种多媒体信息。应用支撑层包括操作系统、数据库、中间件等各种软件资源,应用支撑层是一个由应用基础框架和应用组件构成的复合平台。用户层包括政府门户网站上各种对外提供服务的应用程序用户界面,通过用户权限过滤后统一用户界面显示,接收用户界面操作和查询请求。政府门户网站是政府部门信息发布的总平台,也是政府部门集中对外提供服务的总平台。华为3Com技术有限公司做为全球领先的全系列IP产品解决方案供应商,长期关注政府行业信息化的发展。此次推出的政府门户网站解决方案关注政府门户网站技术架构五个部分中的三个,分别是:硬件平台层、系统安全、系统管理。用户层应用支撑层硬件平台层系统管理系统安全政府门户网站技术架构—逻辑体系这个平台能够为政府提供虚拟主机、电子邮件、信息检索等服务,能通过导航程序在技术、功能等方面实现政府各部门网站间有机衔接,能对政府各部门的网站域名、应用项目、网页风格、电子邮箱、连接方式、数据结构等进行统一规划和管理,能起到政府对外宣传和招商引资的作用,能为广大公众在网上浏览、咨询、直接办事提供服务,把电子政务推进到实用阶段。系统安全将建立一整套从底层至上层的全面立体安全防护体系,包括网络层安全和应用层安全。系统管理将建立网络设备管理、网络带宽控制、应用层流量统计分析一整套完善的管理体系。硬件平台政府门户网站硬件平台主要包括网络,服务器和存储。华为3Com公司设计的网站网络结构充分考虑了网站内部的功能模块,按照不同的功能区划分为核心交换区,互联网区、管理区、存储区、关键服务器区、电子政务区六大区域。政府门户网站的网络平台最关注的几个问题是:一、如何实现信息流的高效传递和交互。二、如何实现关键信息流的可靠传递。三、如何实现信息流的安全传递。华为3Com公司提供的政府门户网站解决方案中的网络平台采用华为3Com公司全系列的中高端以太网交换机搭建,整个网络平台的核心是核心交换区的两台万兆交换机。核心万兆交换机选用华为3Com公司的S8500系列交换机,可实现GE、10GE端口的线速转发。核心交换区的万兆交换机与各分区交换机之间采用万兆连接,确保信息的高效传递。为确保关键信息流的可靠传递,必需考虑网络平台设备的可靠性和组网设计的可靠性。核心万兆交换机S8500采用关键部件全冗余、电源N+1备份、无源背板、板件热插拔等设计来确保设备级的可靠性。在组网上各分区和核心交换机均采用冗余链路连接,核心两台交换机支持VRRP协议确保组网可靠性。对于信息流的安全传递在网络平台上也给予充分的考虑,核心万兆交换机S8500可配置内置的防火墙板卡,实现对各区域之间的安全级别划分,控制信息流在各区域之间的安全传递。数据是网站最重要的资产,网站数据的存储要考虑高可靠性、安全性,大容量和易扩展,同时要考虑存储设备与应用服务器操作系统、数据库的兼容性,以及管理和维护的方便。网站数据的海量存储一般采用SAN+NAS方式。SAN网络是一种通过网络方式连接存储设备和应用服务器的存储架构,适用于应用服务器数据或数据库与存储设备之间的数据高速传输。NAS是直接利用局域网,基于文件的存储架构。NAS的最大优点是可以很容易实现异构平台的文件共享。然而,NAS存储在数据备份或存储过程中会占用网络的带宽,可扩展性有限,并且访问需要经过文件系统格式转换,只适用于文件级访问,不适合Block级的应用,尤其是要求使用裸设备的数据库系统。华为3Com公司对于网站数据的海量存储和备份保护提供完整的解决方案。该方案采用最先进的IP-SAN方式,以华为3Com的NeoceanIX5000系列产品作为核心存储系统。该产品采用全交换冗余架构,最多可配置8个存储控制模块提供1640MB/s的吞吐量和600000的IOPS和320TB的存储容量。完全能够满足网站数据对于存储容量、性能和可靠性的要求。该方案以TCP/IP协议为底层协议,通过千兆以太网交换机与主机连接,无需配备价格昂贵的光纤通道交换机和光纤通道HBA卡,对于应用服务器和数据库服务器来说,只要安装千兆网卡,并安装软件的iSCSIInitiator,就可以通过以太网获得巨大的存储空间。主流的操作系统AIX\Solaris\Linux\Windows都支持这种千兆网卡加软件的iSCSIInitiator的实现方式。通过配置数据管理平台IV5000,可以在IX5000产品上同时部署SAN和NAS两种架构,实现NAS+SAN一体化;同时可实现数据镜像、快照、连续数据保护(CDP)、系统和文件保护、远程容灾、虚拟化存储等功能。以上功能都可以通过基于WEB界面的Quidview网络管理软件实现,方便易用。解决方案华为3Com公司政府门户网站解决方案主要关注政府门户网站技术架构中的三个部分,分别是硬件平台、系统安全、系统管理。系统安全华为3Com公司设计的网站安全体系主要包括互联网入口防火墙安全防护,对进入网站的所有流量进行控制;核心交换机内置防火墙板卡的安全区划分,对不同区域之间的信息交换做安全隔离;更为重要的是利用IPS(入侵抵御系统)实现对服务器数据的应用层防护,防止网页篡改和网站拒绝服务攻击的发生。目前的网站所面临的威胁越来越多,最为常见的针对网站的攻击是主页篡改和DDOS攻击。主页篡改给网站形象带来巨大的伤害,频繁的DoS/DDoS攻击致使网站难以对外提供服务。传统的IDS只能够检测到攻击而不能采取任何主动的防御行为,因此,IDS只适合在某些主要需求为流量监控、分析与回放的场景下部署。华为3Com公司提供最新的IPS产品TippingPoint可以完美地解决目前网站面临地困难。TippingPoint可以被“in-line”地部署到网络当中去,对所有流经的流量进行深度分析与检测,从而具备了实时阻断攻击的能力,同时对正常流量不产生任何影响。基于其高速和可扩展的硬件平台,TippingPointIPS不断优化检测性能,使其能够达到与交换机同等级别的高吞吐量和低延时,同时可以对所有主要网络应用进行分析,精确鉴别和阻断攻击。TippingPointIPS所具备的的超高性能与精确阻断能力,已经从根本上改变了网站的防护方式。TippingPoint系列IPS,具备对2层到7层流量的深度分析与检测能力,同时配合以精心研究的攻击特征知识库和用户规则,即可以有效检测并实时阻断隐藏在海量网络流量中的病毒、攻击与滥用行为,也可以对分布在网络中的各种流量进行有效管理,从而达到对网络上应用的保护、网络基础设施的保护和网络性能的保护。系统管理华为3Com公司设计的网站管理体系主要包括对网站内部所有网络设备的统一管理以及对服务器性能和CPU利用率的监控;通过在核心交换机部署流量采集板卡实现对整个网站内部各区域之间流量进行精细化统计、分析、调控。随着政府门户网站的应用越来越广泛,规模越来越大,其承载的业务越来越丰富,了解网络承载的业务,掌握网络流量特征,以便使网络带宽配置最优化,是面临的一大挑战;另一方面,网络蠕虫病毒、DoS/DDos攻击等在网站网络中越来越流行,对网络正常业务的负面危害也越来越大,因此检测威胁网络安全的异常行为是当前网络面临的另一大挑战。目前大部分网管系统还只是采用一些通用型的网络链路使用率监视软件,如MRTG,利用SNMP协议对网络的重点链路和互联点进行简单的端口级流量监视和统计;或采用在网络中部分重点POP点加装RMON探针的方式,利用RMONI/II协议对网络中部分端口进行网络流量和上层业务流量的监视和采集。上述两种被普遍采用的网络流量分析系统都有其显著的技术局限性:1)利用SNMP协议能够对被监视的各个网络端口进出的数据包数和字节数进行采集,但采集到的流量信息较为粗糙,不但包括网络层的客户业务流量信息,还包括链路层的数据帧包头,Hello数据包,出错后重新传送的数据包等流量信息。而且SNMP协议还无法区分网络层数据流量中各种不同类型客户业务在总流量中的分布状况,也无法对进出的流量进行流向分析。2)利用RMON协议对网络进行流量和流向管理可以部分弥补SNMP协议的技术局限性,如可以对业务流量进行统计,但同时也暴露出新的技术局限性。首先,由于RMON协议需要对网络上传送的每个数据帧进行采集和分析,会耗用大量的CPU资源因而不可能由网络设备本身实现,需要额外购买和安装内置式或外置式的RMON探针。市场上现有的RMON探针处理能力也有限制,还不能支持监控端口速率超过1Gbps的网络端口。其次,因为RMON探针为的硬件设备,价格较贵,所以不可能电子政府网ISP2ISP1RouterRouterIPSFWIPSIPSIPSFWF5F5F5F5Server-SwitchServer-SwitchSwitchSwitchSwitchSwitch管理服务器WebWebInternet区DNS日志服务器管理区存储区关键服务器区电子政务网区核心交换区MailFTPFileFileAPPAPPAPPDATABASEDATABASEIP-SANSTORATGE10GGE政府门户网站解决方案—整体结构案例华为3Com技术有限公司承建了中央人民政府门户网站的网络平台部分,共涉及6台S8500万兆核心交换机和多台接入层交换机,构成了高性能、高可靠的网站基础平台。为每台网络设备都配备,且由于RMON探针,特别是内置式RMON探针接入网络后不易变更,所以必然会造成出现异常事件时无法及时对特定的网络链路进行监控。最后,由于RMON探针采集到的管理数据是由分析每个数据包后得到的,数据量非常大且分散,协议缺乏内建的数据汇总机制,而且还不包括每个数据包的BGPAS号或路由NextHop信息,所以不易对数据进行高层次的流向分析。这些因素都会阻碍利用RMON协议对大型网络进行流量和流向分析的有效性。华为3Com公司提供NTA的解决方案全面实现网站内部的流量统计和分析,为网站用户提供精细化、量化的网络管理依据。NTA解决方案分为三部分:NTE/NTC/NTP。NTE负责流量的采集和发送,NTC设备负责收集和存储NTE发来的流量统计数据信息;NTP从数据库中获取收集到的数据,经分析加工后以直观的图表、报表等方式为网络规划、网络优化、网络监控、应用监控等提供直接的数据依据。1)NetTrafficExporter提供NetStream技术接口的网站核心交换机负责对设备各个端口进出的网络报文进行流分类统计,然后打包输出。2)NetTrafficCollectorNTC可以采集多个NTE设备输出的数据,对数据进行过滤和聚合,并将数据存储在数据库中供分析处理。3)NetTrafficProcessorNTP是一个网络流量的分析工具,对采集来的流量数据,根据不用的应用进行详细的分析处理。使用SQL数据库为中心的分布式数据集中和分析的方法,可以获得更好的分析样本以及统计粒度。为便于网络管理人员的操作,采用基于Web的直观的、图形化的管理界面,所有数据输出都以脚本语言(XML)的形式,直接在Web页面中显示。解决方案特点高性能、高安全、高可靠的网络平台构筑网站网络平台核心的万兆交换机不仅具有高速交换网板和强大的处理引擎,还可通过内置防火墙板卡、协议报文认证、接入控制等多种手段提供高安全性保证,