某政企客戶內網部署專用網絡管理服務案例（企業網絡配置案例）

這個案例由中國聯合網絡通信有限公司湖北省分公司集客支撐部付振華提供，希望對從事這個行業的政企專線運維的人員有所幫助。

一、案例摘要

摘要：在集團公司推進政企客戶網管部署的背景下，湖北省在2019年完成了大客戶綜合支撐系統的上線使用，實現對政企客戶電路業務的綜合支撐服務。在具體的項目實施交付中遇到了大量的客戶個性化、定制化要求。本案例介紹在某政企客戶組網租線項目中，為了實現的專用網絡管理服務，在客戶內網實施部署客戶網管的方案，本項目目前已通過終驗，順利交付。本案例對定制化提供客戶網管，滿足客戶個性化需求方面具備一定的參考意義。

二、關鍵詞

關鍵詞：客戶網管；定制化；個性化；內網部署；綜合支撐

三、案例正文

（一）案例背景

在集團公司推進政企客戶網管部署的背景下，湖北省在2019年完成了大客戶綜合支撐系統的上線使用，實現對政企客戶電路業務的綜合支撐服務。在具體的項目實施交付中遇到了大量的客戶個性化、定制化要求。在某政企客戶組網租線項目中，客戶提出需求，要求采購專用網絡管理服務，滿足計算機終端訪問方式功能和移動終端訪問功能的同時，需要符合公安網網絡安全管理要求，在客戶內網實施部署客戶網管。獲得客戶需求后，政企客戶事業部、網絡運營部和產業互聯網運營中心等多部門開會討論，確定在湖北省大客戶綜合支撐系統的基礎上進行定制化開發和部署，滿足客戶的需求。最終通過無偏離應答，成功拿下該“億元級”項目，有效支撐了政企業務發展。

（二）案例描述

1.建設內容 在某客戶內網部署專用網絡管理系統，對本次建設的所有前端監控點使用的聯通專用網絡傳輸線路部分進行集中監控管理。專用網絡管理系統具體提供計算機終端訪問方式功能和移動終端訪問功能，并提供運維服務。

2.系統概述 本次項目建設的專用網絡管理系統在滿足高性能、高安全、高可靠的基礎上，應充分考慮系統兼容性，保障各種功能模塊的有效使用，系統總體設計如下：

圖1 專用網絡管理系統概況

(1)系統架構

圖2專用網絡管理系統架構圖

專用網絡管理系統采用了基于云架構的分布式集群設計和虛擬化設計，在系統內部實現了多設備協同工作、性能和資源的虛擬整合，最大限度利用了硬件資源和存儲空間。

專用網絡管理系統由管理節點和存儲節點組成，支持控制流與數據流分離，數據的存儲或讀取由存儲節點并行讀寫。云存儲管理節點支持擴展為集群方式，實現系統高可靠性能。專用網絡管理系統可將所有物理存儲資源虛擬化成統一的存儲空間，以唯一業務IP地址對外提供存儲服務。

整個系統從邏輯上分別為設備接入層、第三方接入，流媒體服務，圖片服務，分布式文件系統組成。為用戶提供從前端數據采集，存儲，轉發，于一體的數據層解決方案。同時，通過開放透明的應用接口和簡單易用的管理界面，為整個安防監控系統提供了高效、可靠的數據服務。

(2)系統組網架構

圖3云存儲組網架構圖

本次項目專用網絡管理系統在黃石和金銀湖的聯通IDC機房分別設置一套云存儲分中心。

分中心的專用網絡管理系統均為單云系統，互不影響，負責自己轄區的數據的存儲，包括視頻、卡口圖片、違法圖片以及結構化數據等。分中心之間數據之間實現互聯互通及數據共享應用。

專用網絡管理系統內部通過局域網交換機連接，組成統一的存儲虛擬池，對外提供統一IP服務，分中心之間通過視頻專網進行組網，實現數據互聯。

(3)系統主要功能

專用網絡管理系統的核心功能是管理專用傳輸網絡線路、提供計算機終端訪問方式功能和移動終端訪問功能。

表1核心功能表

a）可通過web、手機App等多種方式提供可視化、圖形化的建管理功能

圖4支持web端訪問

圖5支持app訪問

b）可展現客戶鏈路總體質量

可提供用戶總體信息。可提供用戶專線總體質量情況；提供用戶總體信息查看，可以直觀展示用戶開通電路情況。并提供專線總體質量情況統計展示分析。

圖6鏈路總體質量儀表盤

c）可視化鏈路詳細路由

支持拓撲圖放大、縮小功能，提供整體拓撲展示。

圖7按地理區域拓撲圖示例

d)專線鏈路電路告警支持告警查看、導出等功能。

圖8告警查詢界面

e)專線鏈路電路性能分析

提供專線性能的數據趨勢。

圖9性能圖表查詢界面

f)專線鏈路網絡拓撲展示

支持業務路由展現，以及用戶詳細路由。

圖10鏈路路由展示界面

7專線鏈路公告通知

提供系統公告通知。

圖11系統首頁公告提示界面

8.專線鏈路支撐團隊

提供專業的運維支撐團隊，可隨時聯系解決問題，每條專線鏈路由兩端地市的客戶經理、網絡服務經理和維護經理共同提供支撐。在專線鏈路的業務信息中可以直接查看。

圖11業務信息中展現專線鏈路支撐團隊

(4)主要技術說明

信息安全備份符合《信息安全技術信息系統災難恢復規范》、《全國公安交通管理信息系統安全備份建設指導意見》技術要求。

公安網與視頻邊界接入平臺、無線邊界接入平臺進行信息交換符合《公安信息通信網邊界接入平臺安全規范》技術要求。

1基礎支撐環境技術方案

本次設計的專用網絡管理系統，組網架構如下：

圖12專用網絡管理系統組網架構圖

云存儲網絡形態如下：

圖13云存儲網絡形態示意圖

云存儲采用存儲網絡與業務網絡分離式設計，從網絡結構上需要劃分2張獨立的LAN網絡，分別為業務網絡和存儲專用網絡，彼此相互隔離互不干擾。其中業務網絡用于連接各個業務應用平臺，存儲網絡用于云存儲元數據單元和存儲節點互聯。目前云存儲平臺支持千兆和萬兆網絡傳輸速率，建議業務網絡使用千兆速率傳輸，存儲網絡根據項目規模使用千兆/萬兆網絡速率傳輸，以保證整個云存儲網絡高速可靠的運行。

云存儲網絡接口介紹

1)云存儲管理節點介紹元數據節點共8個千兆網口，其中2個網口作為管理節點心跳接口，用于2臺元數據節點HA冗余配置，另2個千兆網口連接存儲網絡交換機用于管理各個存儲節點使用。

圖14云存儲管理節點結構示意圖

2)云存儲數據存儲節點介紹

圖15業務網口和存儲網口示意圖

針對于云直存部署環境，數據存儲節點需要分別于業務網絡和存儲網絡互連，其中2～4接口通過端口聚合與業務網絡交換機互連用于從前端拉流，另使用4個端口聚合與存儲網絡交換機互連用于存儲數據內部交換。

3)交換機性能規格要求

存儲網絡采用全千兆背板帶寬和包轉發。

所有端口容量X端口數量之和的2倍應該小于背板帶寬，可實現全雙工無阻塞交換，證明交換機具有發揮最大數據交換性能的條件。

滿配置吞吐量(Mbps)=滿配置GE端口數×1.488Mpps其中1個千兆端口在包長為64字節時的理論吞吐量為1.488Mpps。

例如，一臺最多可以提供64個千兆端口的交換機，其滿配置吞吐量應達到64×1.488Mpps=95.2Mpps，才能夠確保在所有端口均線速工作時，提供無阻塞的包交換。

支持端口聚合（端口HASH算法），組播，VLAN劃分，靜態路由等功能。

如需網絡冗余，必須支持網絡堆疊，堆疊帶寬>20Gbpsb。

如需多有多臺云存儲交換機，必須支持上行，上行帶寬>20Gbpsb。

4)云存儲組網架構

圖16專用網絡管理系統組網架構圖

云存儲采用網絡虛擬化IRF2：2臺網絡交換機之間通過2條萬兆光纖實現IRF2網絡虛擬化，實現2臺交換機之間協同工作、統一管理和不間斷維護。

交換機需要劃分2個VLAN，配置存儲網絡VLAN和業務網絡VLAN，2個邏輯工作組（VLAN）之間互不干擾，保證網絡穩定性。

元數據服務器（MDS）：共需使用4個網口，其中2個網口作為管理節點心跳接口，另2個千兆網口連接網絡交換機用于管理各個存儲節點使用。

數據節點（DN）：共需使用6個網口，分別4個存儲網口和2個業務網口，其中4個存儲網口做一個端口聚合連接網絡交換機，另2個業務網口做一個端口聚合連接網絡交換機。

交換機：網絡交換帶48個千兆電口和4個SPF 萬兆光口，每臺使用其中2個萬兆光口與用戶核心交換機互連，需要保證客戶核心交換機是否有萬兆業務口以及足夠光模塊，萬兆上行能充分保障云存儲業務流量正常運行。

2系統對接方案系統軟件架構及接口說明圖17專用網絡管理系統軟件架構圖系統包含四個層次功能，來滿足最終用戶、系統管理員、運營人員的日常操作需求：

圖17專用網絡管理系統軟件架構圖

系統包含四個層次功能，來滿足最終用戶、系統管理員、運營人員的日常操作需求：資源層：基于單個存儲節點，管理本地的硬盤，文件和數據塊。

硬盤熱插拔：管理節點內的硬盤動態增加和刪除，和存儲管理層同步硬盤內的文件信息。

硬盤漂移：當節點故障時，支持把節點上的硬盤取下來放到新的存儲設備上，快速恢復數據。

本地文件系統：對操作系統自帶的本地文件系統進行調優，作為數據存儲的基礎。

對象數據塊管理：對象存儲到節點后，會形成多個數據塊。

管理層：提供單個集群和多域的管理能力

節點管理：管理多個存儲節點，支持節點上下線，搜集節點信息。

負載均衡：根據節點的CPU,網絡，磁盤的負載情況，動態選擇負載最輕的節點參與工作。

高可用HA：對兩臺元數據進行數據同步，在一臺發生故障時快速進行主備切換。

對象管理：響應客戶端的對象操作請求，為對象分配合適的存儲節點，提供唯一ID。

統一目錄：提供文件對象的目錄視圖，支持文件路徑和按范圍查詢。

運維管理：提供運維Web服務，支持設備動態添加刪除，文件手動恢復，系統升級等。

多域管理：通過索引對多個專用網絡管理系統統一管理，提供全域唯一文件路徑。

接入層：提供豐富的訪問接口，適應各種應用

基礎SDK：通過SDK可以直接訪問專用網絡管理系統，進行基本文件操作。

流媒體SDK：基于基礎SDK封裝，支持流媒體寫入并建立幀索引，按時間段定位和讀取。

POSIX驅動：基于基礎SDK封裝，提供Windows/Linux驅動，將云存儲模擬成本地硬盤。

NFS/CIFS網關：通過服務器，提供網絡文件系統服務。

WebService：通過Web服務器，提供文件Web服務，并提供RESTful的接口形式。

應用&服務層：

業務應用層部署由各用戶根據自身需求，充分利用接口層提供的各種接口，開發而成的監控系統，聯網共享系統等。

系統對接結構類型專用網絡管理系統支持采用多種標準協議及接口方式跟第三方系統實現數據對接，

專用網絡管理系統支持提供2類SDK包，一類EFS-SDK包，二類是小文件打包SDK(對小文件進行打包，提高云存儲元數據管理文件上限)。

專用網絡管理系統也支持基于FUSE的Posix接口，Posix接口是各種操作系統都支持的本地文件訪問接口，通過安裝云存儲驅動，可以基于SDK模擬出一個本地硬盤，用戶可以像訪問

本地硬盤一樣可以訪問專用網絡管理系統，對老的應用程序提供很好的兼容性。

圖18系統對接結構類型示意圖

文件級EFS-SDK

EFS-SDK是訪問云存儲基礎API，類似于百度云、HDFS的API接口，是與云存儲交互的原生接口，可以獲得最優的系統性能。標準云存儲提供2類SDK包，一類EFS-SDK包，二類是小文件打包SDK（對小文件進行打包，提高云存儲元數據管理文件上限）。

EFS-SDK支持平臺及依賴文件

Java平臺

依賴包：jna-4.1.0.jar

Jar包：EFSClient.jar

c 平臺

頭文件：IntTypes.h、Defs.h、EFileSystem.h、Bucket.h、File.h

Linux平臺

32位：libEFSClient.so（動態庫）

64位：libEFSClient64.so（動態庫）

windows平臺

32位：EFSClient.dllEFSClient.lib

64位：EFSClient64.dllEFSClient64.libc

圖19基本流程示意圖

上圖僅描述一次打包小文件/讀取小文件的流程，如需多次打包，可復用打開>寫入>關閉流程（提示：打開>寫入>關閉流程可以抽象成一個方法，便于方法調用）。

小文件打包使用過程中需要配合云存儲SDK，對于云存儲SDK的使用可參見云存儲SDK用戶手冊，見附件。

上圖流程為基本流程，不包括異常處理，異常處理請重點關注示例代碼特殊處理。LINUX環境基于FUSE的Posix接口

Posix接口是各種操作系統都支持的本地文件訪問接口，通過安裝云存儲驅動，可以基于SDK模擬出一個本地硬盤，用戶可以像訪問本地硬盤一樣訪問專用網絡管理系統，對老的應用程序提供很好的兼容性。

為增強專用網絡管理系統的兼容性，提升EFS系統操作的用戶體驗，需要對EFS用戶接口部分進行升級和優化，特引入用戶空間文件系統（FilesysteminUserspace，以下簡稱FUSE）來對EFS-SDK進行二次封裝。封裝后EFS能夠對POSIX標準有較好的兼容性，能夠使用Linux命令、文件瀏覽器、及多種開發語言（如JAVA、PHP、Python等）實現對EFS的訪問，從而極大的豐富了EFS接口的互操作性，提升了用戶的體驗度。

FUSE是一種在Linux內核模塊實現用戶態文件系統的一種技術。傳統上操作系統在內核層面上對文件系統提供支持。而通常內核態的代碼難以調試，生產率較低。通過FUSE模塊支持在用戶空間實現文件系統。在用戶空間實現文件系統能夠大幅提高生產率，簡化了為操作系統提供新的文件系統的工作量，特別適用于各種虛擬文件系統和網絡文件系統。

使用FUSE可以開發功能完備的文件系統：其具有簡單的API庫，可以被非特權用戶訪問，并可以安全的實施。更重要的是，FUSE以往的表現充分證明了其穩定性。您可以像可執行二進制文件一樣來開發文件系統，它們需要鏈接到FUSE庫上，換言之，這個文件系統框架并不需要了解文件系統的內幕和內核模塊編程的知識。Window環境使用fuse samba的掛載方式此種方式需要配置額外的samba代理服務器，云存儲通過samba代理服務器與第三方平臺對接。使得在windows下訪問云存儲成為可能，用戶直接在windows下通過拖拽的方式實現文件的上傳和下載。

3系統實施部署方案

部署前準備

組網連線

云存儲的網絡拓撲如下所示：

圖20云存儲網絡示意圖

云存儲網絡可整體劃分為業務和存儲網絡，業務網絡用于云存儲節點上的流媒體服務從前端取流，存儲網絡用于云存儲集群內部大量的數據交互，存儲面和業務面分離，云存儲節點之間大量的數據交互不會帶來業務網絡的波動，避免相互影響，利于云存儲的穩定可靠運行。存儲網絡可單獨劃分一個私網網段（避開192.168網段），業務網絡接入監控骨干網絡。

元數據服務器：1/2口兩臺元數據服務器之間互連，作為心跳口；3/4兩個網口接入存儲網絡，交換機上兩個口做聚合。

云存儲節點：ex1-4四個口接入存儲網絡，4個口做聚合；1-4取其中兩個口接入業務網絡，2個口做聚合。

平臺：1口接入業務網絡，2口接入存儲網絡。存儲網絡組網

云存儲服務器設備，平臺服務器設備采用集中部署的方式，所有服務器均為機架式服務器，每個機架部署獨立的交換機，再匯總到核心交換機，簡化網絡線路布置。

圖21網絡線路布置圖

一個42U機架可以部署4臺48盤位數據存儲服務器，一組48個萬兆口雙冗余交換機部署在一個機架上，可以接入四個機架，及四個機架的網絡設備接入到其中一個部署了雙交換機的機架上，充分利用交換機48口接入能力。邏輯上，一組機架同屬于一個交換機，則接入交換機的設備是對等的，屬于一組節點。多個機架組間，通過上層核心交換互聯，網絡可達。集群內，機架組間網絡能力弱于機架組內，所以應該盡量避免機架組間的大數據流量。元數據服務器可以部署在同一個或不同機架上，組成元數據服務器集群。網絡設備都具備雙網卡或更多網卡，將設備接入到冗余的兩臺交換機上，實現鏈路冗余，提供更高的可靠性保證。網絡規劃設備默認心跳IP為192.168.1.2、192.168.1.3，重新分配的IP不能與默認的心跳IP同網段。部署時，需要提前進行IP規劃，本文部署以下表為例。

表2IP規劃部署示例

備注：以下文檔MDS指元數據服務器，DN指存儲節點，VIP指虛擬IP，云存儲方案中分配的存儲IP不能與業務IP同網段。交換機配置交換機上同一設備接入的端口要做端口聚合部署元數據服務器MDS接線步驟1為兩臺MDS接上電源線并開機。步驟2為兩臺MDS接好網線。MDS總共有4個網卡（eth0、eth1、eth2、eth3），正常情況下，網卡編號順序是和物理網口的位置順序是一致的。eth0和eth1是MDS的心跳網口，即第1、2兩個網口，將這兩個網口分別直連到另外一臺MDS對應的網口。eth2和eth3是MDS業務網口，即第3、4兩個網口，將這兩個網口連接到存儲交換機上。修改兩臺MDS的實IP步驟1將3/4口網線先從交換機上拔出，將筆記本網線直連3/4網口中的其中一個步驟2打開IPInstaller工具，單擊刷新按鈕發現所有支持IPInstaller的待配置服務器圖22IPInstaller的待配置服務器列表

圖22IPInstaller的待配置服務器列表

步驟3找到待配置IP的MDS，雙擊查看具體IP的配置信息

圖23具體IP的配置信息參數表

步驟4彈出框中的IP配置為規劃好的MDS實IP，用戶名、密碼、端口。

步驟5單擊“修改”。如果修改失敗，請單擊刷新，若發現IP已經修改成功，進行下一步驟，若未修改成功，請檢查用戶名和密碼。如果修改成功，請單擊刷新，可以看到修改后的結果。

步驟6配置成功后，按以上步驟配置另外一臺MDS。

這里再提供一種后臺修改IP的方法：筆記本直連MDS3/4口其中一個，筆記配配置一個192.168.0網段地址ssh登陸MDS后臺，默認的MDS地址為192.168.0.110vi/etc/sysconfig/network-scripts/ifcfg-bond0改好對應的IP地址、掩碼、網關后保存退出vi/etc/sysconfig/default-routes改好默認的網關，保存退出/etc/init.d/networkrestart重啟網絡服務，重啟之后看下新的地址是否能夠ping通配置MDS和CS的虛IP

步驟1用谷歌瀏覽器登錄其中任意一臺元數據服務器的IP配置界面，如用chrome瀏覽器打開地址“172.5.112.200/EFS/Install.html”，其中“172.5.112.200”為其中一臺MDS的實IP。輸入網址時，請注意字母大小寫。

步驟2在上述界面中，輸入相應的IP地址。本地IP：系統自動設置的MDS實IP，請勿修改對端IP：輸入另外一臺MDS實IPMDS虛擬IP：管理云存儲的地址CS虛擬IP：上層應用訪問云存儲地址步驟3配置完成后單擊確定，稍等片刻就配置成功，至此兩臺元數據服務器都已經配置完成。

部署存儲節點存儲節點接線

步驟1機架上的存儲節點全部接上電源并開機。

步驟2左邊ex1-4口接入存儲交換機

修改Datanode實IP

步驟1將筆記本直連ex1-4個網口中的任意一個口

步驟2打開IPInstaller工具，單擊刷新按鈕發現所有支持IPinstaller的待配置服務器。

步驟3找到待配置IP的Datanode，雙擊查看具體IP的配置信息（沒有修改過的DatanodeIP均為192.168.0.111）。

圖24具體IP配置信息

步驟4彈出框中的用戶名、密碼、端口，如果修改失敗，請檢查輸入的用戶名密碼。如果修改成功，請單擊刷新，可以看到修改后的結果。

步驟5接著重復“Datanode接線”和“修改Datanode實IP”步驟，配置下一臺Datanode。

這里再提供一種后臺修改IP的方法：

筆記本直連dn的其中一個口，筆記配配置一個192.168.0網段地址ssh登陸dn后臺，默認的dn地址為192.168.0.111vi/etc/network/interfaces改好對應的IP地址、掩碼、網關后保存退出xconf–s/etc/network/interfaces修改之后的配置文件保存到dom盤/etc/init.d/networkrestart重啟網絡服務，重啟之后看下新的地址是否能夠ping通

云存儲運維頁面添加節點

配置完所有Datanode的實IP后，需要將Datanode添加到集群中。

步驟1打開云存儲運維界面：MDS虛IP/EFS，如172.5.112.201/EFS，以admin帳戶（默認密碼為admin）登錄。

步驟2選擇“存儲節點”菜單欄。并單擊“節點添加”按鈕，彈出如下窗口。

步驟3在窗口中輸入已經配置好的Datanode實IP并單擊確定。這樣節點就被加到集群中來了，添加進去之后點擊操作欄這里的上線按鈕。

步驟4接著將剩余Datanode逐臺添加上來。

步驟5添加完全部節點之后，登陸云存儲運維里面的概況頁面，查看各個服務是否正常，特別是兩臺元數據服務器這里，如果有服務沒起來的，直接把元數據服務器重啟一下。

部署驗證&驗證準備

Windows機器一臺（要求可以和云存儲集群連接到一個交換機上，建議用筆記本）。需要安裝的軟件如下：Chrome瀏覽器IPInstaller工具Xshell或CRT等終端工具登錄云存儲運維

步驟1使用Chrome瀏覽器，地址欄輸入地址：MDS虛IP/EFS

步驟2以admin帳戶（默認密碼為admin）登錄，云存儲運維首頁如下圖所示。檢查“概況”頁面中的每個面板，對比下圖，是否有異常情況。

步驟3單擊“存儲節點”，查看Datanode狀況。查看Datanode數量是否合預期，查看Datanode容量是否合預期。

步驟4雙擊存儲節點的IP地址，顯示如下界面。磁盤綠色代表在線盤，灰色代表空槽位，對比實際磁盤數量是否合預期。

圖25存儲節點

后期擴容

云存儲支持在線擴容，在線業務持續運行的情況下，可以動態增加或縮小專用網絡管理系統的容量，表現業務無感知的增加或刪除存儲節點。由于專用網絡管理系統為一個整體，結合集群管理、數據冗余與恢復等機制，實現了在線動態增加刪除節點，對業務層僅表現為存儲容量的增加和刪除。增加新的節點時，配置好節點的網絡地址，即可加入系統工作，實現一鍵擴展，快速部署。系統能統一管理不同型號，不同存儲盤位的數據節點，同時能接入標準的第三方IPSAN設備。系統具有線性擴展的特性，容量增加時，整體的讀寫性能也同步增加。同時，系統容量和每個Bucket容量的擴展可快速生效，無任何數據遷移。對于硬盤未滿的節點插入硬盤也非常方便，不需要做任何配置。

4安全接入解決方案

1)方案概述1．需求概述為保障客戶訪問平臺安全性，通過從下至上的安全保障措施，滿足在各種條件下的安全、穩定、快速監控。

2．安全要求遵循《公安信息通信網邊界接入平臺安全規范（試行）》規范，監控終端接入鏈路的體系架構必須符合《公安信息通信網邊界接入平臺安全規范（試行）》的3.2節的要求。機密性與完整性遵循《公安信息通信網邊界接入平臺安全規范（試行）》的4.2.4.3節。入侵防范遵循《公安信息通信網邊界接入平臺安全規范（試行）》的4.2.4.4節。網絡設備安全遵循《公安信息通信網邊界接入平臺安全規范（試行）》的4.2.4.5節。可用性保障遵循《公安信息通信網邊界接入平臺安全規范（試行）》的4.2.4.6節。主機安全遵循《公安信息通信網邊界接入平臺安全規范（試行）》的4.2.5節.。本系統的建設遵循公安部的有關規定，實現信息安全隔離。本系統將采用各種專用安全設備，以實現身份認證和信息安全傳輸。

2)系統架構圖26整體結構圖

圖26整體結構圖

說明：

網絡邊界劃分明確，在每一個網絡邊界都提供良好的安全保障通過防火墻和專線互聯，實現專網專用系統的安全性能主要靠身份認證系統、入侵檢測與審計等設備的保護。

1．底層傳輸采用1 1保護的MSAP專線電路，雙向100Mbps左右。網絡通信鏈路檢測，當網絡從異常狀態恢復后，在一定時間周期后可自行恢復數據傳輸。周期檢測數據鏈路的運行情況，以便合理分配數據鏈路。

2．認證管理使用IP地址管理白名單、黑名單策略，簡單控制哪些用戶允許訪問，哪些用戶不允許訪問。

3．入侵檢測使用專用WAF設備，實時監控異常訪問行為，并根據規則實現自動阻斷和隔離。

3)平臺安全

1.終端安全定期對服務器進行安全掃描，保證平臺內部安全性。

2.鏈路安全在平臺邊界與公安系統內部網絡之間以專線方式連接，鏈路設備之間進行相互認證。平臺內部鏈路嚴格專用，不用于其它用途。通過VLAN劃分、應用端口隔離、業務通道方式區分不同的業務應用，避免業務交叉和跳板攻擊。接入平臺內部系統設計嚴謹，無任何未經嚴格安全防范的旁路。對于邊界保護區鏈路：防火墻設置訪問控制策略，嚴格過濾進出平臺系統的數據報文請求；防火墻設置目的地址轉換策略，隱藏內部服務器系統地址；防火墻系統設置源地址轉換策略，在向外訪問時保護內網主機地址；所有安全設備串行布置，保證安全強度。

3.應用安全防火墻（平臺側和公安側）只開放公安側內部網絡兩臺終端單向訪問平臺側WEB端口通訊。對數據傳輸及控制協議進行分析，只允許指定的協議和端口通過平臺傳輸。并按照業務預先注冊的數據格式要求，對數據的類型，格式進行嚴格檢查，對數據內容進行過濾，限制所有不符合要求的數據傳入接入平臺。保證傳輸過程中數據的完整性，具備防止數據的重放攻擊，篡改和偽造功能，具備提供數據頒發證明和交付證明的抗抵賴功能。數據完整性保護功能：可檢測和發現數據在傳輸過程中是否被修改。抵抗各種網絡攻擊的能力：IPSec、SSL、安全短消息協議本身可抵抗來自公網路段的重放攻擊，安全接入系統和包過濾防火墻配合可抵抗來自公網的IP層以上（包括應用層）的各種攻擊，安全接入系統和包過濾防火墻配合可抵抗來自公網的應用層的各種攻擊。

4.系統安全平臺使用完全重新編譯的LINUX內核，精簡、安全，取消了所有對外提供服務的包，并加入內核級IDS功能，能有效抵抗攻擊。

（三）分析總結

通過對客戶需求的準確分析，本案例針對客戶在公安內網部署專用網絡管理服務的特殊定制化要求，在通用性大客戶支撐系統架構的基礎上進行定制化開發，充分滿足合同中明確的系統功能。同時在實施方案中，針對公安網和網管網的管理要求，在基礎支撐環境技術、系統對接、系統實施部署、安全接入等多方面和客戶做了大量技術交流并達成一致，最終確定了方案并順利實施。本案例對后續客戶內網網管的部署具備典型參考意義，其主要技術可供類似項目引用。