| 出版日期:2004-08-09 总期号:1337 本年期号:58 |
|
 |
安全是头等大事
——MPLS VPN实现电子政务网的安全隔离 文 北京市城乡经济信息中心 范宏 随着Internet在全球范围内呈爆炸性增长,基于MPLS的虚拟专用网技术越来越受到人们的关注,它已成为网络安全研究和Internet应用的一个重要方向。具有解决企业互连能力和提供丰富业务能力的MPLS VPN技术,能够降低企业内部网络/Internet的建设成本,极大地提高用户网络运营和管理的灵活性,同时能够满足用户对信息传输安全性、实时性、高带宽的需要。MPLS VPN技术可将IP网络分解为逻辑上隔离的网络,这种逻辑隔离无论从技术本身,还是从网络应用来说,都可达到与ATM、帧中继同样的安全程度。下面我们以一个区级电子政务网平台为例说明如何利用MPLS VPN实现网络平台的安全隔离。 区级电子政务网平台多为星型结构,区政府为网络中心,各乡镇政府及城区内委办局均汇聚到区政府信息中心。区政府信息中心到各乡镇及城区委办局的通信线路可根据实际情况选择租用线路,也可选择铺设裸光纤线路。 如图1,通常为了节省网络资源,避免重复建设,城区和各乡镇的中、小学校区,以及卫生社区等部门可选择连入区电子政务网平台中,通过政务网平台实现网络互连以及同上级教育、卫生部门实现通信。 网络实现了物理连接后,安全性问题就浮出水面。首先,电子政务网平台上的应用包括政府部门用户对数据中心的存取和对Internet的访问,以及网上审批或网上信息发布等。而出于保密性考虑,政府部门对内网有严格的安全要求,除了一般的配置防火墙等安全措施外,还要求内网与外网有严格的隔离。采取完全的物理隔离显然不现实,因为一般来说,区政府包括各乡镇均通过区政府的Internet出口进行对外访问及对外办公,要实现完全的物理隔离除非另外建设一个针对外网服务的网络平台,这种重复建设会造成巨大的资源浪费。因此,如何在同一政务网平台上解决内、外网隔离的问题成为解决安全问题的关键;另外,教育、卫生等部门也连入政务网平台中,教育、卫生部门与政府部门的隔离也是需要解决的问题。 MPLS VPN能够很好地解决这一问题,它能在同一政务网平台上将内网、外网、教育卫生系统网络分为不同的逻辑隔离的网络,确保网络的安全。 为了实现政务网上内、外网以及教育卫生等部门的安全隔离,需要在接入层实现完全的物理隔离,即需要隔离的部门通过不同的线路汇接到骨干网上,然后利用MPLS VPN实现政务网骨干层的逻辑隔离,将各部门放入不同的VPN中,不同VPN内的成员之间互相不可见,在逻辑彼此上独立。这样就实现了需隔离的部门在整个政务网平台上的安全隔离。 在接入层,对于区政府、镇政府、委办局人员,由于他们既有使用内部网络资源的需求(内网),又有访问Internet的需求(外网),为了实现安全隔离,可以在布线时,在每间办公室设置两个网口:内网口和外网口。内网口和外网口线路分别汇聚到内网交换机和外网交换机上。当用户需要使用内部网资源时,将网线插在内网口上,当需要访问Internet资源时,用户将网线插入外网口。区政府、镇政府以及城区各委办局的内、外网交换机均汇接到政务平台骨干网络中;教育、社区服务等部门可根据实际需要决定是否划分内、外网,一般来说可将它们全部归于外网。如有特定要求,可将教育、卫生等部门划入单独的VPN中,或者也可划分内、外网。在图2示例中,我们把卫生系统局域网划分内网和外网,教育系统单独归于一个教育VPN。在接入层,卫生系统内、外网和教育网VPN都分别通过各自的接入交换机汇接到主干网上。这样各需隔离的部门在接入层上就实现了物理隔离。 为了使内部网能够访问整个政府专网,我们使用了MPLS VPN技术,将整个政府机关、局委办放置在一个内网VPN中,这样,各内部网均可以访问到政府专网内的网络资源了。为了实现MPLS VPN功能,各内部网接入交换机需要使用具有三层路由功能的交换机,当然也可以在局域网和政府专网的连接处使用路由器。对于外部网,无需将外部网放入单独VPN中,路由方式可以使用全局路由方式,其接入交换机可以使用普通的二层交换机。 通过MPLS VPN技术将内网放置在内网VPN中,教育系统放置在教育VPN中,内网、外网以及教育网实际上是相互不连通的,外网通过路由方式访问Internet,这样就可以实现内网、外网、教育网隔离的要求。 
图1 区级电子政务平台总体网络图 
图2 内、外网连接示意图 |
||||||||||||||||||||||||
