（计算机应用技术专业论文）沈阳海关关区三网隔离改造的设计与实现.pdf

查! ! 垄堂翌主兰些笙墨 沈阳海关关区 三网隔离改造的设计与实现 摘要 摘要 沈阳海关计算机应用1 二作近几午发展较快，关区网络建设也已具有了定的规模。依托 此网络体系关区内应用了报关单联刚数据传输，办公自动化关区连刊等应用项目。沈阳芙区 网络应用至今对加强海关监管、提高通关效率发挥了很好的作用。 近两年，关区网络卜发生了多起病毒入侵事件，造成了网络系统的堵塞甚至瘫痪；另外 备隶属关的政务网站占用了大量网络带宽，影响到海关h 8 8 3 联网业务的运行。加强海关网 络系统的安余一阵和可靠性，保证海关关谑联网应用数据的传输，己成为需要立即解决的一大 问题。m 方面，新版的h 2 0 0 0 通关软件系统即将在我芙医全面应用。h 2 0 0 0 系统是b s 结构的全新系统，对网络的依赖程度更高，对网络的安全性、町靠性和带宽等提出了更高的 要求。 术课题就是为了解决关区网络应用中出现的新问题，满足新的应用需求对现f i 沈阳关k 网络进行设计改造。改造的根本目的在r 将现有的单一网络系统拆分，对出于不同的海关应 用项 _ | 分别建立运行、管理和政务三个相对独立的网络系统。首先对关区核心局域网及各隶 属海关、办事处局域网进行分离，对应于业务系统和办公应用分别建市运行网和管理网并利 用曲例问防火墙保证隔离后必要业务的互通，同时防止卅关键业务流量拥入运行网影响系统 运行。相应地，对t ：关区广域网主要利用v p n 技术，采用共线方式在现有广域链路上圩设 t u n n e l ，使原有的单广域链蹄实现逻辑分离，拆分后的广域阀分别对接局域网的业务运行 和管理两部分刚络，从而实现整个关区刚的隔离改造。然后，为了保证在共线方式f 业务运 行系统的数据及时町靠地传送，针对关区内的应用特点对关区网的服务质量保证( q o s ) 进 行了分析、设计，并采用l l q c b w f q 技术实现芙区阌的q o s 。第三，根据沈阳关匿网络 安全性不高和网络管理还很不到位的现状提出技术设计方案以及与之相适应的系列管理措 施，使沈阳关区的嘲络安全和管理水平迈r 了个新台阶。本课题完成了沈刚关区内卜六个 办公局域刚和关区广域刚的三恻隔离改造逻辑设计、物理设计、路由设计、服务质量设计、 嘲络安全及管理设计。结合爻际。i ：作过程，本文总结了设计的思路和方法。 关键词海关内部网三网隔离路由关区网络管理关区网络安全 i i 东北大学硕士学位论文 a b s t r a c t d e s i g n a n d i m p l e m e n t a t i o n o f s h e n y a n g c u s t o m st r i n e t w o r k i s o l a t i o nr e c o n s t r u c t i o n a b s t r a c t c o m p u t e ra p p l i c a t i o n s i n s h e n y a n gc u s t o m sh a v eb e e nd e v e l o p i n gv e r yf a s t ， a n dc o m p u t e rn e t w o r k sc o n s t r u c t i o nh a v er e a c h e dt oal e v e lt h a te l e c t r i ce n t r yd a t a t r a n s m i s s i o n s y s t e m ，o f f i c e a u t o m a t i o n s y s t e m a n do t h e r c o m p u t e ra p p l i c a t i o n p r o j e c t s c a l lb ew e l la p p l i e dt o d a y t o d a yo p e r a t i o n si ns h e n y a n gc u s t o m s s u c h n e t w o r k sa n d c o m p u t e ra p p l i c a t i o n s h a v ee n f o r c e dc u s t o m sa d m i n i s t r a t i o na n d i m p r o v e de n t r yo p e r t a t i o ne f f i c e n c yg r e a t l y i nt h el a s tt w oy e a r s ，t h e r eh a v eb e e naf e wt i m e st h a t s h e n y a n gc u s t o m s n e t w o r k sh a v eb e e na t t a c k e db yc o m p u t e rv i r u s ，w h i c hm a d et h en e t w o r k sc o n j e c t e d o rc r a s h e d ；f u r t h e r m o r e ，w e bd a t at r a n s m i s s i o n o f s u b j e c t i o nc u s t o m st o o kab i g s h a r eo fn e t w o r kb a n d w i t h ，w h i c ha f f e c t e dh 8 8 3n e t w o r k o p e r a t i o n s i nt h eo n eh a n d ， h o wt oe n f o r c es h e n y a n gc u s t o m sn e t w o r ks e c u r i t ya n d r e l i a b i l i t yi no r d e rt oe n s u r e t h et r a n s m i s s i o no fm a i na p p l i c a t i o n so f s h e n y a n gc u s t o m sh a sb e c o m eab i gi s s u e o nt h eo t h e rh a n d ，t h en e wb sb a s e dh 2 0 0 0s y s t e mw i l lb ed e p l o i e ds o o ni n s h e n y a n gc u s t o m s ，w h i c hb r i n g sa n o t h e ri s s u et h a ti t n e e dh i g h e rn e t w o r ks e c u r i t y , n e t w o r k r e l i a b i l i t ya n dn e t w o r k b a n d w i t h ， t h et a r g e to ft h i sp r o j e c ti st r y i n gt os o l v et h ep r o b l e m sw ed i s c u s s e db e f o r ei n o r d e rt om e e t s h e n y a n g c u s t o m s d a y - t o - d a yo p e r a t i o n sr e q u i r e m e n t st h r o u g h r e d e s i g na n dr e c o n s t r u c t t h ee x i s t i n gn e t w o r k s t h eb a s i ci d e ai st or e d e f i n et h e e x i s t i n gn e t w o r kt o t h t e ei n d e p e n d e n ts u b n e t w o r k s ：o p e r a t i o n a d m i n i s t r a t i o na n d g o v e r n m e n ta f f a i r s f i r s ts t e p i st o s e p a r a t es h e n y a n gc u s t o m sc o r el a na n di t s s u b j e c t i o nc u s t o m sl a n si n t ot w on e t w o r k sr e s p e c t i v e l yt ob u i l do p e r a t i o nn e t w o r k a n da d m i n i s t r a t i o nn e t w o r kf o r o p e r a t i o ns y s t e m a n do f f i c ea u t o m a t i o n s y s t e m s e p e r a t e l y f i r e w a l l sh a v eb e e nu s e d t oi s o l a t et h et w on e t w o r k st oe n s u r et h ep r o p e r c u s t o m so p e r a t i o n c o r r e s p o n d l y , w ea p p l i e dv p n t e c h n o l o g yt os h e n y a n gc u s t o m s w a n ，u s i n gt u n n e lt os e p e r a t et h es i n g l el i n ki n t ot w od i f f e r e n ts u b l i n k sl o g i c a l l y , w h i c ha r ec o n n e c t e dt oo p e r a t i o nl a na n da d m i n i s t r a t i o nl a n ，b u ts t i l ls h a r i n gt h e s i n g l ep h y s i c a ll i n k t h u s ，i no r d e rt oe n s u r et h ec u s t o m so p e r a t i o nd a t at r a n s m i s s i o n p r o p e r l yi nt h e “s h a r i n gl i n k ”m o d e ，b a s e do nt h ec h a r a c t e r i s t i c so fe x i s t i n gn e t w o r k ， w e a n a l y z e da n dd e s i g n e dq u a l i t yo fs e r v i c e ( q o s ) o fs h e n y a n gc u s t o m sn e t w o r k s ， a n dd e p l o i e dl l q c b w f q t e c h n o l o g i e st oi m p l e m e n tq o s a tl a s t ，b a s e du p o nt h e t t t 查! ! 垄兰堡主主些笙墨。垒皇! 坚堕 d r o b l e m so fn e t w o r k ss e c u r i t ya n d n e t w o r ka d m i n i s t r a t i o n si ns h e n y a n gc u s t o m s ，w e p r o p o s e d ac o m p l e t et e c h n o l o g ya n dm a n a g e m e n ts o l u t i o n s t om a k es h e n y a n g c u s t o m sn e t w o r ks e c u r i t ya n da d m i n i s t r a t i o ni m p r o v et oa n e wl e v e l i nt n l sp r o j e c t w ei m p l e m e n t e dl o g i cd e s i g n ，p h y s i c a ld e s i g n ，r o u t i n gd e s i g n ，q o sd e s i g n ，a n d n e t w o r ks e c u r i t ya n da d m i n i s t r a t i o no f t r i n e t w o r ki s o l a t i o no v e rs h e n y a n gc u s t o m s n e t w o r k sa n d16s u b j e c t i o nl a n s b a s e do nt h e s ee n g i n e e r i n gw o r k s ，w es u r n e r l z e d o u rd e s i g na n d e n g i e e r i n gt h o u g h t sa n d m e t h o d s k e yw o r d s c u s t o m si n t e r i o rn e t w o r k ，t r i n e t w o r ki s o l a t i o n ，r o u t i n g c u s t o m sn e t w o r km a n a g e m e n t ，c u s t o m sn e t w o r ks e c u r i t y i v 声明 本人声明所呈交的学位论文是在导师的指导下完成的。论文中 取得的研究成果是本人在所从事的工作中完成的实际项目，不包含 其他人已经发表或撰写过的研究成果，也不包括本人为获得其它学 位而使用过的材料。 本人签名：铖忑、够 日期：2 0 0 3 、暑、习 东北大学硕士学位论文 第一章背景介绍 1 1 沈阳海关概况 第一章背景介绍 沈阳海关足隶属于海芙总署的】f j 级单位，是全国4 6 个直属海关之，辖区包括沈 阳、抚顺、铁岭、锦州、葫芦岛、辽阳、阜新、朝5 h 八个城市。沈| j 1 = | 关区现宵员工4 0 0 多 人，、务门类比较齐全，几乎包含了海运、路运、空运、转关等全部业务类型。目前，沈阳 海关f 设锦州海关、葫芦岛海关、开发区海关、抚顺办事处、辽阳办事处等1 6 个隶属关、 办及业务现场，关区年征收关税1 0 亿元左右，综合业务量排名在4 6 个卣属海关中处于中等 地位。 1 2 沈阳关区计算机应用简介 随着汁算机应用的普及和海关系统对计算机应用水甲的不断提高，沈刚海关在最近几年 计算机应用发展很快。 目前，关区内的软件应用项目包括四大部分：一是业务应用软件，包括h 8 8 3 e d i 通关 软件系统、知识产权保护系统、报关单连网核查系统、外扩网上支付系统等。第二部分是政 务应用软件，包括办公自动化系统、电了邮件系统、纪检监查、商品归类系统等。第= 部分 为涉密政务系统，包括涉密公文流转系统、涉密电子邮件等。第四部分为外连应用系统，主 要包括) j l l j 2 贸易应用中的企q k 平台、报文传输半台软件等。 沈阳关区的网络系统目前已建成了以总关( 沈阳海关) 于兆交换网络为核心的上联总 辫、f 联各个隶属关、办和现场的网络体系。依托此网络体系我关应用了全同海关系统电视 电话会泌系统、专| x _ 4 电话、报芙数据传输，报荚自动化集中管理、办公自动化关区连网、涉 1 瞽政务信息传输等应用项目。对外我们建立了连接企业的外连网并建寺了加工贸易连网平 f 。 1 3 沈阳海关计算机网络的发展 沈| j h 海关关区网经过近8 年的建设发展，经历了从无到有、从落后到先进的发展历程， 蟾个发展过程大致可分为三个阶段： ( 1 ) 1 0 兆“独立”咀太网阶段 沈阳海关总关办公楼内局域网于1 9 9 5 年建成使用，综合布线系统为3 类非屏蔽双绞线 与同轴细缆、粗缆外用。其中同轴细缆做连接微机服务器、粗缆用以连接v a xi i 小型机和 机细缆转换设备，l 划络设备丰要采用l o 兆h u b 级连方式连接各应用结点。内部网络服务 器使用n e t w a r e 系统、小型机为d e co p e nv m s 系统，网络协议采用i p x 和 d e c n e t 。广域网采用d e cw a n 2 5 0 路由器通过6 4 k 卫星信道上连海关总属。如图1 1 所 可i 。 在这个阶段，沈阳关区下属的各隶属关、办及、l k 务现场也都拥有自己的局域网，结构 与总关网络类似，但却没有上连总关的广域网。因此各自独立运行自己的h 8 8 3 等系统，无 沧是新参数库维护、新程序更新还是报关单数据上报都要采用人工方式传递磁盘，经常产牛 程序、参数维护、更新的滞后，应用非常不便，严重影响通关业务正常进行。幽此，从 1 查! ! 垄堂堡主兰堡垒查 堑二兰笪茎尘塑 1 9 9 7 年开始，芙区内进行r 第次刚络改造，内容上耍是建设关区内各隶属机构与总关删 的r 域网，旨冉：政变通关系统应用的各自独立状况为集一p 统的维扩z 、管理。 罔ii 沈阳簿砭10 兆以a 咐结构 f i g i 1 $ h c a y a n g c u s t o m s1 0 me t h c m e ts i t u c v a r g s ( 2 ) 关区瓦连网阶段 经过近半年的建设，沈阳芙区内首次实现了隶属桃构与总关口j 的广域互连。建成后的叫 络结构如图12 所示。 幽i2 建成后的沈阳关区网络结构 f i 9 1 2 n e wn e t w o r ks t r u c t u r eo f s h e n y a n g c u s t o m s 这次改造采用c i s c o2 5 、3 6 系列路南器，利用d d n 专线蛮现。网络悱议采用t c p i p | 办改。路f h | 办议采用o s p f 。改造过程巾为使于通芙软件的统一管理、维护将胤有的微s a n 务器版h 8 8 3 e d i 系统升级为小型机版，小型机硬件设备从v a xi i 引级为d e ca l p h a - 2 - 东北大学硕士学位论文 第一章背号介绍 2 0 0 0 ，软什系统中既运行d e c n e t 协议又加装了t c p i p 协议。在隶桶关端不设置丰机，h 安装r 儿台配置了f l a s h 卡的终端服务器，隶属关应用终端通过终端服务器与总关的小型 机系统通讯，终端服务器与小型机之间默认情况f 使用l a t 协议通信，l a t 协议不能路 由，凶此采用t c p i p 协议巨连，用户通过t e l n e t 臀录总关小型机，终端与主机问传输的 为字符数据，吲此通信量很小，保证，有限带宽的利用和业务系统的时实性。这次改造是沈 阳海关计算机应用发展过程中的。次重大变革，一方面使沈阳关k 广域叫发牛r 从尢到有的 政变，玛- 方面彻底改变了通关软件系统更新、维护不及刚统的问题，变分散管理为集中 统管理，极大提高了各项通关业务水甲，促进了通关业务的开展。 ( 3 ) 千兆交换骨十关区网阶段 2 0 0 2 年，沈阳海关针对总关核心局域网技术设备落后的情况进行了第三次改造。改造 的内容包括：对原有办公楼内综合布线系统的改造一改造3 类非屏蔽双绞线巾线系统为5 类 非肼蔽舣绞线。对骨：f 刚的改造一方面沈阳海关办公楼内局域剐由1 0 兆以太l 叫升级为千兆 骨干 ! ；_ 兆到桌面的i 层交换网络。另一方而，上连海关总署的广域链路由1 2 8 k 卫星信道升 级为2 兆a t m 信道，并在此信道r 开通了电视电话、专网电话、数据传输等多项业务。沈 j h 关区网经过几年的建设发展，经历了从无到有、从落后到先进的发展历程后，目前己建成 j 覆盖关区六个隶属关、办及九个业务现场的较大关区网络。f 面将对目前的删络状况做以 分析。 1 4 沈阳海关计算机网络现状分析 沈阳关区的网络系统目前覆盖十五个隶属关、办及、【k 务现场，从逻辑结构上划分为3 个 层次见图1 3 。 图1 3 关区网拓朴结构 f i g i3t o p o l o g yo fs h e n y a n gc u s t o t mn e t w o r k 沈阳海关l 叫络系统目前包括内部网、外部网和外连网_ 三部分，内部网分为业务网和政 务网。内部业务网即海关内部一股业务办公的网络平台，运行如h 8 8 3 通关系统海关内部、k 务处理部分、政务信息化m 涉密部分、报关单数据监控系统、关税数据库分析系统、转关运 输系统、异地报芙系统等。系列信息处理和网络应用业务；内部政务网是一个涉密嘲络，与 海关总署办公专州联接在一起，为海关行政办公和领导决策服务的涉密信息化管理应用乎 - 3 - 东北大学硕士学位论丈 第一章背昔介绍 台，此部分i 叫络与业务网在逻辑链路层隔离。目前，沈阳海关外部网( 用于电子口岸制卡和 我关电r 图书馆) ，与海关内部网络采取物珲隔离，并且为上l 叫准备r 专用微机和 w i n d o w s 终端，这些专用机器不能接入内部网。外连网主要是指对氽业连接的加工贸易i r 台部分，此部分网络系统对外连接入刚的企业，对内连接沈阳海关业务网络系统，之间设立 防火墙。 1 41 骨干网概况 刚络系统的骨卜由中国电信公用宽带数据网( p a s s p o r t6 4 8 0a t m 1 m ) 作为主要传送平 台加电活拨号作为备份线路的方式构成，白沈阳海关连接至海关总署，实现沈阳关区的对外 连接。 1 4 2a t m 骨干网 业务主要包括基_ i p 的数据业务、基于租用电路的图像业务和话音业务。对丁数据业 务，采用i po v e r a t m 解决方案。沈阳海关通过a t me 1 线路连接到a t m 公刚上。 1 4 3a t m 接入 沈阳海关a t m 的接入方式有2 种。 1 、是使用a t m 交换机接入的方式，a t m 交换机直接将数据、话音以及图像集成至基 _ 信元的a t m 网络中，并通过e t h e r n e t 网接口直接与局域网连接，此为沈阳海关、i k 务网 及非涉密政务刚的接入方式，如图1 4 所示。 罔i 4a t m 交换机以太网连接圈 f i g l4e t h e r n e tc o n n e c t i o nw i t ha t ms w i t c h 2 、是使用a t m 交换机和路由器接入的方式a t m 交换机通过v 3 5 串行接口使用p p p 协议连 接。个蹄由器，再通过路由器与本地海关局域网连接此为沈阳海关政务网的接入方式，如 图1 5 所示。 同15a t m 变换机与路由器连接图 f i gi 5c o n n e c t i o no fa t ms w i t c ha n dr o u t e r 4 东北大学硕士学位论文 第一章背景介绍 1 4 4 拨号备份系统 沈刖海关利用l 台c i s c 0 2 5 1 1 路南器，通过模拟调制解调器拨号远稃连接海关总署的 接入服务器a s 5 3 0 0 ，实现拨号信道备份。如图1 6 所示。 图l6 拨号备份系统 f i g l6b a c k u ps y s t e mb yd i a l - u p s 电话拨号备份系统可以在a t m 网络中断后自动启拨使用，并仅对h 8 8 3 联网应用提供 服务，目前拨号备份系统基本能够满足要求。总体连接如图1 7 。 图17 总体连接图 - 5 东北大学硕士学位论文 第一章背景介绍 1 4 5 关区核心局域网 关区核心局域网即沈阳海大局域网，已实现千兆网系统的升级改造，中心交换机采用 3 c o m i 层千兆骨干交换机s w i t c h 4 0 0 7 ，配置2 4 g 4 8 g 交换引擎及9 口干兆光纤接口模 块，保u i ：高备吐茸中心交换能力【2 0 】，普通r 作组楼层交换桃采用堆叠的3 c o m 3 3 0 0 通过千 兆扩展模块上连t d 交换机，构成总关楼层的千兆主t ，1 0 0 兆弹性链路为备份工作站通 过嗍乍连接3 c o m 3 3 0 0 端口，完成桌面1 0 0 兆接入。核心三层交换机来实现双机热备。政 务网建设已媾木完成，在物理七是完全独赢于该千兆刚的嘲络，如图1 8 所示。 图18 天区核心局域网结构 f i 9 18c o r en e t w o r ks t r u c t u r eo f s h e n y a n gc u s t o m s 1 ，4 6 隶属关及隶属办事处局域网 关区所属所有隶属机构除走私犯罪侦查分局与沈阳海关同处同一办公楼外，其它各隶属 戈、办、k 务现场的局域网均为结构比较简单的快速以太嗍结构。 1 4 7 关区广域网 沈阳海关关区网络基于t c p i p 协议，拓扑结构为总关一分关一现场多层树型结构， 南总芙、备求属海关负责维护，连接线路全部采用中国电信提供的d d n 数据电路。海关和 观场尤兀余备份设备及线路。采用的网络设备以c i s c o 、3 c o m 等公司提供的设备为丰。 6 东北大学硕士学位论文 第一章背景介绍 各隶属海关、办事处、现场的计算机用户通过关区网络连接至直属海关的主机系统，实 现目前基于h 8 8 3 e d i 系统的海关业务，网络同时承担着非涉密政务网业务，已覆盖到最低 层节点。关区刚络覆盖点及链路如图1 9 ，网络系统的结构如图1 1 0 。 图1 9 关区网络覆盖点及链路 f i g l9e n d p o i n t sa n dl i n k so fs h e n y a n gc u s t o m s 7 东北大学硕士学位论文第一章背景介绍 围11 0 关区刚结构图 f i 9 11 0n e t w o r ks t r u c t u r eo f s h e n y a n gc u s t o m s 8 - 东北犬学硕士学位论文 第一章背号介绍 1 4 8 关区广域网备份说明 沈阳关区广域嗍备份系统还没有建立，缺乏对 二紧急故障的处理能力，需要在此次改造 过程中完善。 1 4 9 网络i p 地址分配表 格式( 1 0 1 8 x y 以f 省略b 类地址首位) 沈阳海关总关使用1 6 0 2 4 1 0 0 2 41 8 0 2 4 了段地址，其余地址见表1 1 。 表i i 关区网i p 地址表 t a b l el ，1i pa d d r e s s t a b l e o fs h e n y a n g c u s t o m s 隶属海关分支机构网络地址上联2 5拨号备份( 预留) 港 2 0 00 2 42 5 3 9 62 5 29 6 锦州 邮局 1 9 5 0 2 42 5 3 1 0 42 5 2 1 0 4 锦州关 3 2o 2 42 5 3 1 0 82 5 2 1 0 8 开发区 6 40 2 42 5 3 1 1 22 5 2 1 1 2 葫芦岛 1 9 20 2 42 5 3 1 l82 5 2 1 1 8 辽m 9 60 2 42 5 3 1 2 02 5 2 2 0 扰顺 4 80 2 42 5 3 1 3 82 5 2 1 3 8 邮局 6 50 ，2 42 5 3 1 4 62 5 2 1 4 6 东站 2 0 00 2 42 5 3 15 42 5 2 15 4 机场 6 80 2 42 5 3 1 6 22 5 2 1 6 2 榘装箱场地 1 2 00 2 42 5 3 l7 02 5 2 1 7 0 1 ，4 1 0 沈阳关区网络目前存在的主要问题 1 )隶属关局域网均为结构比较简单的快速以太网结构，交换机无备份、不具备j 层交换功 能，大部分为普通h u b 。 2 )隶属机构与总关之间广域链路带宽不足、己不能满足日益增长的计算机应用需要。路由 器均为单以太u 、未实现专刚电话、无备份设备。 3 )总关核心交换机尢冗余备份，容错能力很差。 4 )嘲络安全机制不足，缺乏网络间的防火墙设置和入侵榆测系统。 5 )缺乏对芙区网络的安全监控系统。 m 日往现有网络系统中存在的以上= 问题的同时，关区计算机应用又发生了新的变化， 必须对现存网络系统进行再次改造。 9 东北大学硕士学位论丈第一章背景介绍 1 5 沈阳海关三网隔离改造的提出 沈5 h 关x i 叫络经过了3 次改造应用至今对加强海关监管、提高遽关效率发挥r 很好的作 用。但是近两年，网络l 发生了多起嫡毒入侵事件，造成了嘲络系统的堵寒甚至瘫痪；另外 各隶属关的政务网站占用了大量网络带宽，影响到海关h 8 8 3 联i 叫业务的运行。加强海关网 络系统的安全性和n j 靠性，保证海关关键联网应用数据的传输，已成为需要立即解决的大 问题。另一方面，新版的h 2 0 0 0 通关软件系统即将在我关区全面应用。h 2 0 0 0 系统足b s 结构的余新系统，对网络的依赖程度更高，对网络的安全性、日j 靠性和带宽等提出了更高的 要求。总的归纳起来，关区网络存在以r 四方面的问题，急需解决，以适应新的应用需求。 1 )芙区嘲络系统存在多方面严重安全隐患。其一，目前网络系统的围墙还没有建起来。由 加工贸易平台等对外联网应用的需要，沈刚海关的内部业务网络与外部网络系统连接在 了起，这必会引入安全方面的风险；而更为危险的是目前对内部q k 务网j ：的微机拨号 上网缺乏严格的管理，很容易将内部业务网与外部不安全的网络系统( 如因特网) 接通 存起，使黑客容易地进入到我们的内部嘲络m 】。其二，芙区内部网络系统自身十分脆 弱，内部的攻击很容易影响网络的运行，曾经在沈阳海关刚络上暴发的红色代码和尼姆 达病毒就是典型的例子。病毒对网络系统造成如此大的影响，其主要原凶有两方面， 方面，在网络上缺少必要的访问控制，造成了病毒能在很短的时间内大范围内的传播和 感染；另一方面网上微机缺乏严格的管理，缺少有效防瘸毒措施，致使大量微机被病 毒感染，并攻击网络系统造成网络的堵塞甚至瘫痪。由丁二现在微机的处理能力非常强， 对网络系统的威胁巨大，几台微机就口j 以使部分网络系统瘫痪，己成为刚络安全最严蘑 的隐患之一l 。其三，对非法份子或病毒的攻击缺少有效的监测手段，致使无法迅速地 采取应对措施，及时地处理和解决。 2 )关区内广域网络带宽没有合理的利用，h 8 8 3 业务的网络带宽无法保证。另外，沈阳海 关到总署的主十广域网( 2 兆a t m ) 应当带宽完全可以满足h 8 8 3 、l k 务数据传输的需 求，但由于目前无法解决政务网站等应用与h 8 8 3 业务抢占网络带宽的问题，造成 h 8 8 3 业务数据_ _ _ f i 能及时传送。 3 )目前关区网络系统缺乏有效的安全监控，无法满足h 2 0 0 0 应用要求。另外，目前对那 些实时性要求高的h 8 8 3 联网应用还缺乏实时监控的手段。 4 )目前关区网络的带宽和可靠性还无法满足h 2 0 0 0 应用的需求。实际上，我们遇到的问 题，也是目前网络技术界最热门的焦点问题。网络安全和关键业务的保障手段是当前技 术f 在快速发展的两个领域，目前已经有r 一砦技术措施用于改善网络系统的安全 性，保障关键业务的运行口7 l 。 为了解决以r 问题来满足h 2 0 0 0 系统应用的需要，使沈阳关区嘲络具有更高的安全 性、n j 靠性和高效性，需重新设汁改造。 1 0 东北大学硕士学位论丈 第二章总体设计目标和原则 第二章总体设计目标和原则 关区计算机网络系统改造的目的是为通关业务系统建立高速、订j 靠、安全的网络运行环 境。i 叫络政造将对网络整体结构进行调整，并采取嘲络访问摔制、入侵检测、质量服务和冗 余桥份等技术，全面加强| 】【 4 络系统的安全性和可靠性。 2 1 设计原则 沈阳关区嘲络隔离改造设计原则是建立高可用、可扩展、高性能、可管理、安全的网络 系统，并在改造过程中保证网络应用系统正常运行，实现平滑过渡，保护海关已有的网络投 资【“。 2 1 1 高可用性 关区i 叫络作为业务的承载刚，毫无疑问，我们要求网络系统具有很高的可用件。高可用 性对于嘲络的具体要求是：没有单故障点，同时w a n 线路的相关系数最小p i 。 2 1 2 简单性 简单性的要求是跟高町用性的要求是紧密相关的。简单性对于网络的具体要求是：蹄由 的跳数最少，故障排错最为方便。 2 1 3 高扩展性 高护展性指的是随着联网用户及联网应用的增加，作为基础架构的网络能够有效稳定的 适应这种变化【6 】。高扩展性对于网络的具体要求是：拓扑结构层次化，i p 地址层次化，路由 域层次化，管理域层次化。 2 1 4 高性能 高性能指的是保证各种应用特别是关键业务应用的稳定高效运行。高性能对于网络的具 体要求是：具有良好的q o s 及流量控制功能。对于不同要求的应用确保其延时延时变 化，带宽及丢包率的具体要求，同时确保网络不发生拥塞。对于q o s 策略统规划并分发 到各网络设备，保证q o s 策略的连贯一致。 2 1 5 可管理性 n t 管理性指的足可以随时了解网络的健康状态，快速定位排除故障，根据需要优化网 络。j 箭理性对r 网络的具体要求是：管理区域明确分开，管理责任明确分开，管理数据与 业务数据分开，实行带外管理，全网有统一的时钟源，对1 ：各种变化( 硬件，软件，配置) 进行跟踪，对j ：l o g 信息进行分类，并且给出网络目前现状及将来的趋势分析i 。 2 1 6 安全性 安全性指的是保证刚络的可用性，机密性和完整性【2 8 】。安全性对于网络的具体要求是： 网络设备奉身必须安全，具有完善的抗d o s 攻击手段，特别是对蠕虫病毒的攻击具有有效 1 1 东北大学硕士学位论文第二章总体设计目标和原则 的手段。对，：关键的服务器需加装h i d s ，对丁关键的网段加装n i d s ，对 i 网络的卅口处 加装防火墙，对1 一网络设备的用户名口令统管理，对丁安全策略统一规划扦分发到各安仝 设备，保u 安全策略的连贸一致。 2 2 关区网络设计的目标 2 2 1 关区网络的分离 为保证海关业务的正常运转，保旺海关管理的及时有效，我们将目前已有的关区网络拆 分为二：运行h 8 8 3 应用系统及海关2 0 0 0 工程项目的运行网，包括政务网站、电子邮件系 统等办公自动化项目的管理网。将现有的刚络设备全部划归运行网，并用在运行网l 建立 v p n 隧道的方式组建新的管理恻。并在两个网络问增加备份机制，以确保运行嗍的安全通 畅。 2 2 2 关区网络结构的优化 海关目前的关区网络结构与海关目前垂直领导的管理疗式相类似：直属关一隶槿关一现 场多层结构，这并1 i 符合网络设计的基本原则：尽量减少网络层次，使于管理。通过此次 网络设计改造，我们应尽最压缩网络的层次结构【4 l ，参考这样个原则，即在上联至隶属关 广域网带宽资费和卜联至直属关资费大致相同的情况下，尽量上联至直属海关，以减少不必 要的网络开销。 22 3 关区局域网改造目标 为便于今后网络建设的规划，我们将关区局域网分为关区核心局域嘲和f i j _ 属分关局域 嘲。关【x ，核心局域恻是关区的网络核心，它包括运行网和管理网曲部分，之间可以通过防火 墙进行防问，主要连接运行网的主机、关键服务器、应用服务器、管理网的各种服务器以及 防火墙及入侵检测系统。下属分关局域网是关区内各个业务现场的局域网，包括运行网局域 网和管理网局域网互不相联的两部分。分别采用独立的交换机及集线器连接用户设备，如微 机、终端服务器等。下属分关管理网的用户通过v p n 的方式连接总关的管理网，并通过总 关管理网和运行网问的防火墙访问运行网的资源。 关区局域网的设计目标是： 构造结构化的，易于扩展的关区局域网络 保证关区局域网稳定高效地运行 建市运行网络的冗余备份机制保证运行为的安全可靠 2 2 4 关区广域网改造目标 构造结构化的，易f 扩展的关区网络： 提高骨干网络抗攻击能力与服务质量保证； 实现运行网与管理网等效分离与安全互通； 提高运行嗍的高可用性( 线路备份，拨号备份) ；保护原有设备投资。 1 2 东北大学硕士学位论文 第三章详细设计 3 1 网络逻辑设计 第三章详细设计 3 1 1 总体结构设计 故造后的海关内部网络系统从纵向看可分为业务运行网、业务管理嘲、政务信息网 部分，海关对外互联网络系统分为外部嗍和外连网两部分；海关业务运行网、业务管理网、 政务信息网具有类似的或相同的层次结构，即核心局域网( 海关总署) 、骨二f 广域网( 总署 到直属关) 、直属关级关区核心局域嘲( 沈阳海关) 、关区骨干广域网( 沈阳海关到隶属关 及隶腾办事处) 、隶属关级关区局域网( 隶属关到其所属口岸、办事处、i k 务现场) 等。见 海关内部网层次图3 1 。 图3i 海关内音l ：网层次结构 f i 9 3 1 i n t e r i o rn e t w o r k l a y e r so fs h e n y a n gc u s t o m s ( 1 ) 、i k 务运行嘲 、【k 务运行网为h 8 8 3 、h 2 0 0 0 以及与通关、l e 务相关的业务管珲应用的嗍络运行平台。业 东北大学硕士学位论文第三章详细设计 务运q 亍l x x j 从总署开始覆盖商属海关、隶属海关和、l k 务现场。南于其、j k 务的重要性，业务运行 嘲采取严格的管理措施和多种技术手段全力保障网络的安全及稳定运行。、l k 务运行叫剥外封 闭，用，1 叫i 能访问因特网，h 能通过与口岸数据中心和业务运行网等预先砹置的安全通道， 与外部交换数据：经批准孙k 务管理网用户可以通过安全通道访m l k 务运行网的应用系统。 、k 务运行叫内部对所有刚络卜的设备，包括路由器、交换机、服务器、特别是微机进行，“格 管理。 ( 2 ) , i k 务管珲i 删 业务管理网是海关、务职能管理的网络平台。职能管理网覆盖总岩和直属海关以及隶属 海关、口岸办事处、业务现场等，并有控制地与因特网连接。直属海关以及隶属海关、l 】岸 办事处、业务现场中不常参加、k 务运行、以政策研究和宏观管理为主的职能管理人员使用业 务管理刚。业务管理l 叫的用户可以访问业务职能管理应用系统如办公厅的政务网站、科技发 展司的技术管理网站、通关司的风险分析网站和侦察局的侦察局嘲站等。经批准i k 务运行 网用户也口，以通过安全通道访问业务管理网上的业务管理系统( 对这类应用系统的开发要有 严格的安全方面的要求) 。 ( 3 ) 政务信息 j 6 1 i 政务信息网络为海关行政办公和领导决策服务的涉密信息化管理应用平台。涉密政务刚 由 ：自身的安全和管理要求与海关业务运行刚和职能办公网从物理卜完全分开。涉密政务网 使用单独的计算机，组成单独的局域网使用单独的网络设备和单独的( 红机) 广域网f 矗 道。政务信息网按总著的部属由总署开始只覆盖到沈阳海关( 直属海关) 。 ( 4 ) 外部网 外部网是海关内部网与海关外网络系统联网的桥梁，也是保障海关内部嗍安全的屏障， 保证内部网与外部网间安全地进行访问、通信及交换数据。由丁海关内部网络系统分为三个 独市的网络系统，因此外部网也对应有业务运行外部刚，、【k 务管理外部网和政务信息外部网 三个嘲络系统。 业务运行外部网 业务运行外部网将与l | 岸数据中心网络系统相连，考虑连至总署一点对外。 业务管理外部嘲 q p 务符珲外部网将与1 6 9 、1 6 3 、其它部委和行政管理机关等联网，考虑连军总署点 对外。 政务信息外部i 删 政务信息外部嘲将与国家党政专网直接相联网，考虑连至总署一点对外。 ( 5 ) 外连l 叫 随着沈阳芙区业务的增长和对目前沈阳市政府对于加工贸易联删监管管理系统应剧的需 要，我关初步馊计建成了外连网，与相关企业及有关管理部门联刚【2 2 。l 叫络结构如图32 所 刁io 3 1 2 骨干网结构设计 考虑到沈| 5 h 关区近儿年来的实际业务量以及为今后麻用新版h 2 0 0 0 系统做好广域网建 1 4 东北大学j 女士学位论文第三章详细设计 设l 的准备，保证骨十一网能安全、可靠的运行，应在改造过程中在总署与沈阳海关间新增 s d h 线路作为业务主通道。网络结构如图3 3 所示。 图3 3 野干嘲络整体结构 东北大学硕士学位论文 第三章详细设计 3 1 3 关区核心局域网设计 将关区核心局域网( 沈阳海关) 分离为运行刚、管理刚和政务刚3 部分，t 4 , - - h 政务l 叫 是完全独立的套嘲络系统，运行嘲、管理网之问通过防火墙进行相互访问，主要连接运行 网的主机、关键i j 醴务器、应用服务器、管理网的各种服务器以及防火墙、入侵检测系统【2 “。 为保证关区核心局域网高效安全可靠的运行，沈阳海关新增2 台3 c o m 4 0 0 7 r 三层交换 机作为核心交换机( 通过双机热备) 与上联海关总署的刚络设备相连，同时采用v l a n 的 方式将上联海关总署的网络设备与本关的网络设备分隔开来”】，以便于加强网络管理，有效 隔离故障，增配3 c o m 4 4 0 0 系列交换机连接用户 2 3 1 。将现有的网络设备全部划n j 管理刚。 增配v p n 路由器以便在运行网上以建市v p n 隧道的方式州组建新的管理网。 在t ：联总署、r 联关区业务现场及拨号备份的网络设备均连接存三层交换机i ：本地主 机及关键服务