贾晨刚 李珍 王垒 陈佳

陕西省气象信息中心 陕西 710014

0 引言

随着互联网技术日新月异的飞速发展，网络的不断深入发展，病毒、黑客等网络隐患严重威胁着PC数据和系统安全，能够隔离内部与外部网络的双网隔离技术进入各个单位的视线，并从完全隔离走到硬件卡隔离，直至现在的整机隔离。

现阶段，全国气象系统已建成国家、省、市、县四级综合业务通信网络，形成了以光纤、MPLS VPN专线、MSTP等线路连接覆盖了全国的广域网络。省级到地方采用电信的MSTP专线，国家到地方备用线路则采用 CMACast卫星线路，同城主要采用光纤连接。广域网上有很多互联网的出口，网络上的应用日益增加，日常的工作也越来越依赖网络。因此，为确保气象网络的安全性，根据要求要实现内、外网物理隔离，把有害的攻击隔离在可信网络之外。在保证气象网络内部信息不外泄的前提下，我省实现双网隔离，对完成网间数据的安全交换有着重要的意义。

1 需求分析

目前，省局气象大厦和局档案楼，已实现全覆盖的有线网络系统。根据国家相关规定，行政事业单位实现广域网、业务办公网物理隔离，因此，省局机关、省局直属单位需要重新建设一套单独的局域网系统。因大厦和档案楼已无法重新敷设网线，所以建议采用无线覆盖的方式，建立一套完整、稳定、安全的网络系统。

根据现状，建议采用有线加无线AP的方式，实现整个办公区域网络全覆盖。一方面是更好的满足机关处室、各直属单位的网络需求；另一方面是减少了大量的网络布线，只需给每个无线AP敷设一根双绞线，不会破坏大厦和档案楼的装修，保持大楼原有的美观。原有的有线网络系统，运行业务办公；新建的无线网络，运行互联网，实现双网物理分离。

需求具体分为：

① 以无线的方式覆盖气象大厦和档案楼；

② 可对每一位用户和每个无线接入点进行管理；

③ 充分考虑网络的安全性，系统具有多层次的安全保护措施，以满足用户身份鉴别，访问控制和保密性等要求；

④ 在网络规模不断发展的情况下，AP系统能够提供升级、扩容等；

⑤ 整个系统采用 802.11N技术来保障网络的可靠性和高带宽；

⑥ 无线设备采用集中控制管理，提供人性化的管理方法。

2 方案设计

(1) 设计原则

本系统设计主要遵循以下几点原则：

① 标准化——在一个网络系统里，必然采用基于业界标准的计算机设备、通信设备和软件产品，从而实现信息的流通及设备资源的共享；为了保证用户的网络系统具有互操作性，易于维护、管理和扩充以及高可靠性，应建立一个开放的、遵循国际标准的网络系统。

② 可扩展性——随着网络技术及应用的逐步发展，网络系统必然随之不断扩大。因此，今天的网络设计必须为未来的业务发展留出扩充的余地，这样才能最好地保护用户现有的投资；除了单个设备本身的扩展能力之外，在网络系统的设计过程中，还需要考虑整个网络系统在未来几年的扩容能力和扩容方法，这样才能既照顾到目前的应用需求，又能满足今后整个计算机系统的发展需求。

③ 可靠性与安全性——采用成熟的技术、选用成熟的产品，可以在一定程度上保证系统的可靠性及安全性；同时，应考虑采用系统容错技术，当网络系统某一点出现故障时，整个系统仍然能够继续运行而不会造成停机，从而把损失降到最小。

④ 先进性——当今世界，通信技术和计算机技术的发展日新月异，设计方案应适应技术发展的潮流，既兼顾了技术上的成熟性，同时也要保证系统的先进性。

⑤ 可管理性——随着网络规模的扩大和系统复杂程度的增加，网络的管理、监控、维护以及网络故障的诊断和排除变得越来越复杂，为了使网络系统易于管理和维护，设计方案应提供先进而完善的网络管理系统，这样既能方便网络管理员的工作，减轻了劳动强度，也提高了网络系统的管理程度。

(2)系统设计

整个系统设计采用H3C有线无线一体化设计方案。通过FIT+AC的组网方式在大厅、楼道采用WA2612吸顶式11N无线AP，汇聚交换机采用POE交换机来提供供电和数据传输并采用WX5004无线控制器作为整个无线网络的核心，实现对AP的集中控制管理。各楼层AP接入相应的POE供电交换机，交换机通过光纤连接到核心交换机S5500－20TP，核心交换机与POE交换机之间通过光纤连接。

图1 网络拓扑图

气象大厦从4层开始每层分布式布放4个AP并接入相应的楼层交换机，21层放置1台AP；每3层楼放一台24口POE交换机；档案楼每层布放2个AP，用一台24口交换机。根据设计方案，采用六类双绞线将新增无线接入点设备(AP)连接至接入层交换机，实现有线至AP无线网络延伸；接入层交换机采用POE供电方式在对AP进行供电的同时还可提供数据传输。设备采用远程POE供电可以有效的减少施工量，节省施工成本，并最大限度的保证大厦现有的环境不被破坏；每个AP吸顶安装在吊顶上，最大限度的满足无线信号全面覆盖，减少盲区。无线网络结构采用无线控制集中控制的方式可以有效的减少对前端AP的维护，只需要对AC进行控制。

3 结语

双网隔离技术是近几年出现的一个全新的安全防御手段，在一定程度上解决了各单位对信息的安全需求。日趋完善的网络隔离产品已成为网络信息安全体系中不可缺少的重要环节，是防范非法入侵、阻挡网络攻击的一种简单而有效的手段。本文利用无线AP技术达到网络隔离的效果，为没有条件增加部署一套有线网络而实现双网隔离的单位提供了可以参考的案例和经验。本设计方案已在陕西省气象局气象大厦9-12层实施部署，并取得预期的效果。

[1]盛梅,冯志伟,陈世春.基于 GAP 技术的气象网络物理隔离方案的探讨.计算机安全.2007.

[2]刘建雄,李莹莹.可控内外网物理隔离系统设计.中国有线电视.2004.

[3]纪兆琳.内外网双网隔离方案浅析.内燃机车.2011.

[4]许云明等.物理隔离网闸原理与应用.计算机安全.2005.

[5]贺文华.物理隔离双网系统设计方案及应用分析.网络安全与维护.2005.