电话

020-88888888

必一运动·(B-Sports) - 【精选】广电综合自助服务终端网络体系的设计与

标签: 2024-06-13 

  必一运动·(B-Sports)钟发松,男,1964年生,硕士研究生,高级工程师,宁波华数广电网络有限公司、总经理,主要从事广电产业发展规划、广电业务模式创新研究、广电行业新技术应用、智慧广电运营等方面的工作,曾参与宁波华数数字电视平台IP化改造、FTTH网络改造、互动点播平台建设、智慧社区平台建设等20多项技术创新项目。

  为积极响应“最多跑一次”改革,由宁波市政务办牵头,宁波华数开发了“宁波办事”24小时政务综合自助服务终端。前期该自助服务终端依托政务网络接入政务云,主要布设在相关行政服务中心及乡镇(街道)便民服务中心。

  为了让更多百姓享受到就近办事的便利,能在社区/村服务中心、商场、银行等人流密集的区域享受到24小时自助办事带来的便捷服务,宁波华数依托互联网建设了“宁波办事”政务综合自助服务终端网络。通过建设基于SD-WAN技术的IPSec VPN网络,实现了政务综合自助服务终端通过互联网安全、稳定的接入政务云,进一步扩大了政务自助服务范围,切实方便群众办事。

  互联网+政务综合自助服务终端网络中的自助终端通过依托互联网架设的VPN网络连接至网络中心点进而实现对政务云平台的访问。考虑到“宁波办事”系统采用客户端/服务器模式且运行网络多为当地的普通宽带链路,系统对数据加密和用户认证有较高要求,综合比较IPSec、SSL、BGP/MPLS、PPTP/L2TP等VPN技术的技术特点、适用范围及总体拥有成本,我们选择了IPSec技术作为VPN组网技术。IPSec的体系结构如图1所示。

  本项目中IPSec VPN网络按照SD-WAN技术架构可分为网元层、控制层两个层面。其中网元层包括互联网及SD-WAN接入网关(GW)和自助终端侧的SD-WAN终端节点设备(CPE),节点设备与接入网关通过建立IPSec隧道的形式在互联网上建立连接。控制层主要是SD-WAN。负责对CPE进行远程管理及配置,集中完成隧道的建立和路由的分发同时进行数据的采集和状态监控。互联网接入可以是宽带、4G甚至5G。接入网关(GW)与终端节点设备(CPE)之间建立 Hub-Spoke 方式的连接,并通过核心网络连接至政务云,从而实现政务综合自助服务终端通过SD-WAN网络连接至政务云,进而实现相关政务应用,详细网络架构如图2所示。

  互联网+政务综合自助服务终端网络通过进行完善的信息安全风险评估,全面审视和认识相关网络安全目标按照等保要求的相关规定进行设计,部署相关安全设备,以风险预知、深度安全防护、检测响应的能力,形成全程保护、全程可视的融合安全体系。

  首先,本项目网络安全设计以链路的畅通无故障为基本原则,并在此基础上确保网络的安全。自助终端侧SD-WAN客户端设备(CPE)不仅能够检测和防范已知的病毒和攻击,还应当有能力防范各种未知的病毒攻击;不仅要方便正常的业务办理,而且还要有效防范合法授权人员非法复制和盗取网络内部敏感数据;具备访问控制功能。SD-WAN不仅要能支持终端的可管可控,还要能实现对终端高效实时化的集中管控。

  其次,本项目网络安全设计在确保安全有效的基础上,努力降低系统安全成本,减少安全机制对系统的性能影响。全面考虑网络安全结构的简化,尽量减少安全设备和安全软件安装的数量,从而降低安全建设和运维成本,降低安全机制对系统的性能影响。

  最后,本项目网络安全设计还充分考虑到安全产品和安全机制的易用易管性,相关安全机制尽量不改变原有的应用程序、不改变群众的操作习惯和应用管理流程,保证群众的良好体验。

  自助终端侧的SD-WAN客户端设备(CPE)通过当地的宽带线路连接至互联网,并以IPSec VPN的方式与SD-WAN主备接入网关(GW)建立安全连接,SD-WAN完成对SD-WAN客户端设备(CPE)的授权,进而允许政务综合自助服务终端对政务云相关服务器的访问,完成相关自助政务服务。在建立VPN安全连接时,需要进行设备验证,以保证通信的保密性、完整性、可用性和不可否认性。

  宁波市辖内154个乡镇(办事处),常住居民约850万,“宁波办事”业务后期将实现全市覆盖。根据Benchmark性能评测标准,组建满足当前政务自助服务业务需求的VPN网络,SD-WAN主备接入网关设备必须具有足够的吞吐能力。

  考虑到未来几年居民自助政务服务业务不断增长的需求,远期汇聚下联自助服务终端将接近1000个,我们采用了SD-WAN 2.0解决方案,利用广域网优化加速设备WOC-1000-K440作为SD-WAN主备接入网关及。我们通过在宁波华数中心机房(宁波大剧院、宁波广电大厦)部署2台WOC-1000-K440硬件设备,并采用双机热备冗余技术,确保SD-WAN主备接入网关的安全、有效、稳定运行。

  鉴于社区/村服务中心、商场、银行只有1~3台政务自助终端、组网带宽要求不高的实际情况,我们充分利用部署点位原有宽带互联网,在各点部署了一台SDW-R-B1100D安智路由器作为SD-WAN客户端设备(CPE),政务自助终端通过该路由器接入IPSec VPN 网络。

  互联网+政务综合自助服务终端网络的安全防护措施除安全建立IPSec VPN网络外主要包括终端安全与准入、边界防护、行为审计三部分。

  通过在网络交换机上配置端口镜像的方式,把所有通过政务综合自助服务终端网络传输过来的流量镜像复制给终端准入设备,终端准入设备默认对所有的访问流量进行限制,只有通过认证的终端才允许访问政务云内的资源。自助终端设备成功接入到政务综合自助服务终端网络后,将自动弹出智能安全防控软件安装界面,提示安装相关软件。软件安装时需要输入事先约定的安装密码,安装完成后使用唯一的账号和密码完成登录操作。

  互联网+政务综合自助服务终端网络与政务云互联时,采用防火墙设备做N:1的地址转换,由政务云网络提供一个可访问服务器资源的IP地址,配置在防火墙上,自助终端全部通过这个IP地址访问政务云内的服务器资源。运维客户端和工单系统与政务云互联,也采用串接防火墙的方式,由政务云网络提供一个可访问服务器资源的IP地址,运维客户端通过这个IP地址访问政务云内部的服务器资源,同时可做静态端口映射,用于政务云内主机访问工单系统业务端口。

  所有接入到互联网+政务综合自助服务终端网络的数据流都需经过上网行为审计设备。该设备对各自助终端的各种网络行为流量进行记录、审计,借助图形化报表直观显示统计结果等,还可针对不同终端(组)进行差异化的行为记录和审计,及时发现网络异常状况。

  为了验证互联网+政务综合自助服务终端网络的可用性和安全性,我们在网络建设完成后进行了以下测试工作。

  自助终端侧的SD-WAN客户端设备(CPE)通过电信、移动、联通及华数等运营商宽带链路接入互联网均能很快的实现与SD-WAN接入网关的互联及VPN网络建立,在穿透网络边界设备时,具有比较好的穿透性,且该网络全面支持常用的多种网络应用服务。

  在确保SD-WAN客户端设备(CPE)和SD-WAN接入网关正常连通的情况下,分别测试当自助终端修改或删除安全防护软件时,该网络均无法建立安全连接, 并且终端准入控制系统会出现告警提示。

  通过抓包软件分析流经网络的数据包,可以分析出经VPN网络加解密前后数据包内容不同,说明网络加密性能稳定。

  通过允许自动配置物理节点的ZTP机制,解放客户端设备的北向接口,使客户端设备与SD-WAN形成一个从设备上电启动到客户端与连接建立、授权发放的完整自动化部署模式。初始时,政务综合自助服务终端侧的SD-WAN客户端设备(CPE)只需做好WAN上行口的配置,一接入互联网后就可以通过进行远程控制和管理,节省了大量的开通时间。

  政务综合自助服务终端侧的SD-WAN客户端设备(CPE)均可接入两条以上的线路,接入方式可以是 MPLS VPN+宽带、宽带+4G、MPLS+4G,MPLS VPN+宽带+4G等不同接入组合,并根据实时网络路径传输性能(主要包括丢包率、时延、 时延抖动、带宽利用率)来动态选择路径转发,弹性保障上层应用的服务质量,可将多个WAN线路绑定到一起,共同提供业务传输服务,尤其在检测到某个WAN线路的传输质量较差时,可以将业务直接切换到其他WAN线路或者均衡一部分业务流量到其他WAN线路,极大地提升业务的可用率和质量。

  SD-WAN集中控制平台可以管理到所有的CPE。在集中控制平台上可以检测到所有CPE的告警、运行状态、流量、业务等信息,实现了端到端的网管功能,可极大提升资源的监控能力,提高了网络运维的响应速率。

  该网络可与多个云平台对接,用户只要从一点接入就可以通过华数网络连接至所有接入华数网络的云,为远期的云网融合奠定了基础。

  本方案无需改变“宁波办事”政务自助终端的相关应用程序、操作流程和应用习惯,办事群众基本感受不到网络安全机制和安全措施带来的不方便,极大地保证了用户的安全应用体验,在确保各项政务服务一机通办的基本功能前提下还进一步扩大了自助终端覆盖范围有效纾解了各行政服务中心流量、优化群众办事体验、切实解决群众来回跑的痛点。该网络建设方案在实际建设过程中极大降低了总体拥有成本,提高了网络资源利用率,在确保安全的前提下进一步提升了政务服务的广泛性。