互联网网关政府行业案例锐捷网络推出的“互联网出口”解决方案,以“疏-堵-控”为核心理念:疏,实现弹性带宽管理,网络资源内网化,提高数十倍的网络访问速度;堵,抵御互联网的安全风险,确保门户网站安全可控,提升整网的安全性;控,实现流量占用可视化分析,互联网操作实名制审计,满足国家信息安全相关法规和检查的要求。在政府行业,该方案已经广泛应用于部委、各级电子政务外网和各级政府单位的互联网出口。随着《中华人民共和国政府信息公开条例》的颁布和“服务型政府”理念的提出,政府的信息系统通过互联网为人民群众、社会团体和企事业单位提供信息和服务的应用也越来越多。同时,伴随着集中化、规模化的信息化建设趋势,有不少部委实现了省级甚至国家级的数据大集中,省、市、区县级的统一电子政务外网建设也如火如荼。上述的政府信息化发展趋势,使得互联网出口成为政府部门信息化统一的对外服务窗口,发挥着越来越重要的作用。目前,互联网出口承载的主要应用包括:门户网站、实时在线系统(如税务的“发票在线”)、移动远程办公、在线舆情监测和普通的网络浏览等。服务化、集中化、规模化的发展趋势,使得政府单位互联网出口的建设,面临着巨大的挑战:如何有效地利用现有的带宽资源,为不同的业务、用户按需分配弹性的带宽资源,保障关键业务的服务质量,提升用户的体验?如何抵御集中化带来的信息安全风险?尤其是要确保门户网站的信息安全。能否实现对带宽资源占用的有效分析和业务服务性能的有效监控?能否满足公安部的82号令,实现对出口用户的实名制管理?通过DPI(DeepPacketInspection,深度包检测)技术和设备实现基于应用层的流量检测和控制、通过多链路负载均衡实现带宽资源的有效利用、通过部署在边界的防火墙实现对外的安全防御、通过对IP地址的识别实现用户的实名制管理,是目前互联网出口建设的主要方法,能够满足部分的建设需要。锐捷网络推出的“互联网出口”解决方案,相比于传统的解决方案,从“疏-堵-控”三个维度出发,在安全性和管理上有了极大的增强,能够有效提升用户体验:疏:通过部署RG-NPE网络出口引擎,对普遍存在的多条运营商链路出口进行智能选路分析,不仅能够保证用户选择最快的上网链路,还能够保证每一条链路都能够被充分地利用起来;通过部署PowerCache设备,可以缓存Internet上的内容,对于超过50%的相同访问内容,可以直接在内网实现,不仅能够提升用户访问这部分资源的速度数十倍,还能节省20-50%的带宽资源。堵:利用ACE流控设备,除实现基于应用层的流量检测和控制外,还可以实现实名制联动及弹性带宽分配,对于如单位领导的特殊用户,可以在其使用时保障带宽资源,不用时即可释放资源。另外、锐捷的下一代防火墙,多安全特性开启不影响性能,能够有效抵御多样化的安全风险,同时避免太多的安全设备像糖葫芦串一样集中在出口,影响性能并增加故障点;WG网页防篡改设备,能够为门户网站群提供有效的安全防护,包括主动漏洞扫描告警、抵御针对于网站的攻击、被攻击后的网页恢复。下一代防火墙和WG,均支持虚拟化技术,可以满足不同的业务、政府单位和门户网站的差异化安全需求。控:通过集中的管理平台APM,可以对所有出口设备实现统一管理,能对出口带宽利用率、服务器的性能进行监测,及时预警问题,并且以一个十分简洁直观的界面呈现出来,简化用户管理;通过和数据中心的安全管理平台联动,可以实现基于用户身份的互联网行为实名制审计,满足公安部82号令要求,规避管理风险。锐捷网络成为业内首个针对于互联网出口应用提供完整解决方案的厂商。“高效、节约、安全、合规”的建设思想,给政府行业互联网出口的建设提供了有益的参考。外网资源内网化有效提升用户体验——大连市电子政务外网统一互联网出口建设大连市电子政务外网平台统一互联网出口,秉承“疏-堵-控”的建设理念,为外网所有的接入用户构建了统一的互联网出口,应对了多出口智能选路,外网资源内网化,出口资源统一管理等诸多建设挑战,有效支撑了一个中心网站和七十多个子网站的网站群,并实现政务公开、网上办事和公众参与等功能。大连是辽宁沿海经济带的金融中心,也是国家的5个计划单列市之一。大连市的信息化水平也像经济水平一样,在全国处于领先地位。大连市电子政务外网平台由大连市政府网站管理中心承建,以集中统一建设为原则,在全市范围内建设包括网络管理与数据中心、安全防护、容灾备份、统一互联网出口等全系列技术服务功能于一体的政务外网统一平台。秉承“面向全局,强化服务”的建设理念,在构建统一的互联网出口时,大连市政府网站管理中心提出了以下的建设需求:实现出口带宽资源的有效利用,保障接入用户能够快捷地访问互联网,并对门户网站的关键应用预留足够带宽;对于视频、图像等占用较大带宽的互联网行为,要能进行有效控制;能够对接入用户的互联网行为进行实名制审计;对于互联网带宽和对外提供服务的服务器资源,要能有效监控其运行状况。大连市统一互联网出口的建设需求,对应用技术和管理方式,都提出了较高的要求。作为大连市政务信息化建设的长期合作伙伴,锐捷网络提供的解决方案很好地应对了这些要求,并实现了应用上的创新:在大连市目前的三条互联网出口链路上,部署锐捷网络RG-NPE60E网络出口引擎,可实现高性能NAT转换,并实现三条链路的智能选路、多链路负载均衡,能够有效利用出口带宽资源;通过部署RG-PowerCache产品,可以将互联网的热点资源缓存到内部,实现外网资源内网化,数十倍地提升访问速度,提高用户体验;同时,大连外网还将热点资源链接主动推送给接入用户,对热点事件实现舆论引导。通过部署RG-APM的应用性能管理系统,能够实现对出口的日志、安全、测评和流量监控等功能,对出口带宽和对外提供服务的资源进行可视化管理和监控;通过和大连外网部署的RG-SMP安全管理平台联动,RG-APM的日志功能可以对用户的互联网行为进行实名制安全管理,不法行为可及时回溯,满足公安部82号令要求;图:大连市电子政务外网互联网出口拓扑图统一互联网出口建成之后,大连全市的接入单位实现了互联网统一出口,资源统一调度,网上行为统一管理,每年可节省出口带宽费用上千万。构建健康、顺畅的电子政务服务桥梁——本溪市电子政务外网统一互联网出口建设锐捷网络为本溪市电子政务外网构建了统一的互联网出口,实现按需带宽分配(按业务、按人员),安全审计到人,在保障对外服务业务顺利开展的同时,确保了安全性。本溪市地处辽宁省东南部,在过去数年,依靠当地丰富的旅游资源和对新兴产业的扶持,整个城市得到了快速发展。和全国其他城市一样,本溪市电子政务外网也承载了全市的电子政务非涉密业务,需要为所有接入的委办单位,构建统一的互联网出口平台,针对企事业单位、社会团体和普通群众,提供政府公共的信息化服务。统一的互联网出口已经成为“服务型政府”一个非常重要的对外服务桥梁。本溪市信息中心对于出口建设具体要求如下:高性能:全市所有的委办局上网都通过该出口,上网人数多达数千人;同时,该出口承载着大量的对外服务业务,也对出口提出了高性能的要求;关键业务保障:要能够对一些关键性的对外服务业务,以及诸如单位领导的核心业务人员,保障其带宽资源;并可以实现7*24小时的对外服务保障;资源充分利用:本溪市政务外网的出口有两条链路:2G的移动链路和2G的联通链路。需要实现两条链路资源的充分利用和按需链路选择;高安全性:作为对外服务的重要桥梁,统一出口面临的安全风险也非常巨大,因此需要很好的安全防御措施。锐捷网络是电子政务网络建设的领导品牌。凭借完整的产品线和对电子政务建设需求的深刻把握,锐捷网络为本溪市构建了量身定制的电子政务外网统一互联网出口:部署两台高性能的RG-NPE60E网络出口引擎,可实现高性能NAT转换;同时可满足移动和联通两条链路的智能选路和双向负载均衡,实现动态智能域名解析服务及访问出口WEB重定向功能;通过部署RG-ACE3000流量控制引擎,可以基于业务类型和用户身份实现弹性的带宽分配,充分保障业务需求;通过统一的SMP安全管理平台,可以对用户进行实名制安全管理,并且通过和NPE、ACE的联动,实现用户的NAT日志和URL日志实名制,有效避免被利用为非法言论的发布地,满足公安部82号令;通过部署RG-WG3000网页防篡改系统,可抵御本溪市的门户网站群被攻击和篡改;RG-Wall1600E防火墙,可有效抵御来自于外部的安全攻击。图:本溪市电子政务外网互联网出口拓扑图本溪市的统一互联网出口,满足了国家信息中心和公安部82号令的管理要求。同时,为全市所有接入的委办局提供了统一的互联网服务,保障诸如门户网站等对外业务顺利开展,并有效保障了安全性,受到了主管市政府领导的好评。带宽资源弹性分配移动业务安全承载——西宁市电子政务外网统一互联网出口建设西宁市在市级、下属的8个区县级的电子政务外网平台上,从安全防护、高性能、关键业务资源保障等方面,采用统一标准,分级构建了统一的互联网出口,对门户网站进行安全防护,为互联网业务按需分配资源,有效保障了全市电子政务网络的良好运行。西宁是青海省的省会,是全省政治、经济、文化、教育、科教、交通和通讯中心。出于对信息化的重视,2011年初在市长会议上通过并成立电子政务外网建设项目小组,确定建设统一的电子政务外网平台,用以承载政府各单位之间公用、协同、互访类业务,以及与互联网相关的对外服务业务。根据国家信息中心建议的电子政务外网设计规划,西宁市在电子政务外网市级平台上构建了统一的互联网出口,用以承载对外提供信息服务的门户网站,并承担各政府单位的互联网相关业务。西宁市的统一互联网出口设计要求如下:政府门户网站代表了政府单位的公众形象。因此,要能够有效防范各种安全攻击、木马注入、网页篡改的行为,保护互联网业务、尤其是门户网站的安全性;要求全市所有的委办单位上网都通过统一的互联网出口,预计承载的上网用户超过万人。因此,要求出口设备具有良好的NAT转换性能;西宁市电子政务外网的出口有多条链路,需要确保多条链路的资源都得到充分利用,从而满足各类互联网业务的高带宽需求;有必要对某些特定应用进行流量的控制,保证政务网当中的关键业务应用的出口带宽,比如说:各委办厅局的对外发布的业务系统;统一互联网出口需要满足各政府单位移动办公的需求,并提供高安全的保障,避免引入互联网的安全风险。西宁市政府选择了电子政务外网建设经验丰富、并参与了国家信息中心若干外网建设标准制定的锐捷网络作为整个外网的解决方案和产品供应合作伙伴。锐捷提供的统一互联网出口建设标准如下:通过部署RG-NPE60E专业的网络出口引擎,可提供高性能的NAT地址转换,有效支撑上万人的互联网访问;同时,NPE具有的智能选路技术可以实现用户选择最快上网链路及多出口链路带宽被充分利用;部署RG-ACE3000专业流控设备,实现对出口带宽多维度的有效管理,保障关键业务得到充足的带宽,各接入单位均能获得良好的上网及办公体验;通过部署RG-Wall1600防火墙和RG-WG网页防篡改系统,可以保护网络安全,防网页篡改和网络攻击。图:西宁市电子政务外网互联网出口拓扑图锐捷网络为西宁市电子政务外网提供了高性能和安全的互联网出口解决方案,经过实践检验运行良好,得到了市政府和市发改委的高度认可。该方案也被作为标准应用到西宁市下属的8个区县的统一互联网出口上。功能高度融合实现一体化管理——天津市财政局财税宽带城域网建设“锐捷网络与我局的合作已有三年多的时间,锐捷的设备可靠、服务到位,我们已经深有体会,使用锐捷的产品也越来越多。经过这次城域网改造,基层单位已经可以说全部是锐捷的设备,这对于我们今后设备维护将更加省心,尤其是这次提供的业务保障网关、安全网关综合管理平台以及日志分析系统,对我们的管理工作帮助非常大,谢谢!”——天津市财政局信息中心刘主任天津市财税宽带网覆盖天津市内六区、四郊五县地税局、财政局、政府采购中心、财政学校等相关单位,接入单位58个,为天津市“数字财税,资源共享,集中收付,统一管理”的财税信息化建设和应