圖1 三類業(yè)務的部署

l  專用業(yè)務區(qū)與資源共享區(qū)之間的訪問。采用網(wǎng)閘進行隔離，如果要向資源共享區(qū)域更新數(shù)據(jù)可以通過網(wǎng)閘進行，如果要進一步提高專用業(yè)務區(qū)的安全性，可以在資源共享區(qū)的服務器上設置雙網(wǎng)卡，并在資源共享服務器的匯聚交換機上設定ACL策略，定義可訪問資源共享區(qū)域的專用業(yè)務終端。

l  資源共享區(qū)域對公眾服務區(qū)的訪問。資源共享區(qū)域與公眾服務區(qū)之間采用防火墻進行安全隔離，并在防火墻上設置單向的ACL策略實現(xiàn)資源共享與公眾服務區(qū)之間的單向互訪。

l  資源共享區(qū)域與互聯(lián)網(wǎng)之間的訪問。政府內(nèi)部人員可以訪問互聯(lián)網(wǎng)業(yè)務，在互聯(lián)網(wǎng)出口設置防火墻，并通過單向ACL的設定實現(xiàn)內(nèi)部人員可以訪問互聯(lián)網(wǎng)，但互聯(lián)網(wǎng)無法訪問資源共享區(qū)域。

l  公眾服務區(qū)與互聯(lián)網(wǎng)區(qū)域的訪問。通過在互聯(lián)網(wǎng)出口設置防火墻，在防火墻上設置安全策略，實現(xiàn)公眾服務區(qū)可以訪問政府門戶網(wǎng)站，但網(wǎng)站服務器只能從互聯(lián)網(wǎng)訪問相關的補丁下載業(yè)務。

通過單向訪問控制、網(wǎng)閘、防火墻等技術實現(xiàn)三類業(yè)務之間的互訪關系，加強了三類業(yè)務間互訪的安全性。（要了解更多的技術實現(xiàn)細節(jié)可參考本刊中《電子政務外網(wǎng)三種業(yè)務互訪關系及實現(xiàn)方法》。）

3.   實現(xiàn)不同終端對各個VPN的多樣化訪問需求

1)   需求分析：單個終端訪問多個業(yè)務區(qū)的需求在電子政務外網(wǎng)的設計階段就已經(jīng)發(fā)現(xiàn)，如數(shù)字城管社區(qū)服務。不同終端通過外網(wǎng)訪問各自VPN資源的需求，如出差人員通過外網(wǎng)接入內(nèi)部辦公系統(tǒng)，審計人員要經(jīng)常性地從外網(wǎng)接入到內(nèi)部辦公系統(tǒng)。骨干網(wǎng)絡劃分了MPLS VPN，這樣就需要VPN接入網(wǎng)關不但支持隧道功能，還要同時具備基于不同的用戶映射至不同VPN的功能。

2)   實現(xiàn)方法：采用VPE網(wǎng)關實現(xiàn)接入

圖2 VPE網(wǎng)關實現(xiàn)部分終端通過外網(wǎng)訪問多個縱向VPN資源，以及不同終端通過外網(wǎng)訪問各自VPN資源

如上圖所示：在電子政務外網(wǎng)與互聯(lián)網(wǎng)之間增加VPE設備來實現(xiàn)對出差人員或街道社區(qū)服務站對電子政務內(nèi)部業(yè)務的訪問。街道社區(qū)服務站用戶在一臺PC上設置多個VPN連接客戶端，通過輸入不同的用戶名/密碼來實現(xiàn)接入到不同的縱向網(wǎng)絡，如：A社區(qū)要分別接入到計生委、社保、財政等部門，只需要終端的PC機通過不同的用戶名（A@jishengwei、A@shebao、A@caizheng）和密碼就可以接入不同的縱向VPN系統(tǒng)內(nèi)。對于出差人員來說同樣適用，如審計部門人員B經(jīng)由外網(wǎng)接入到內(nèi)部，只需要在便攜機的VPN客戶端輸入用戶名B@shenji、密碼***，接入VPE網(wǎng)關，VPE設備會根據(jù)用戶的域名進行MPLS VPN的映射，即：@shenji的用戶映射至審計的縱向VPN，從而實現(xiàn)對不同部門用戶的區(qū)分和VPN內(nèi)的資源訪問。

由于政府目前絕大部分用戶在認證時都需要使用CA證書，VPE認證時除了對用戶名/密碼進行驗證外，還要能夠支持對CA證書的攜帶與驗證，所以往往需要對客戶端做定制化的設置。（更多技術實現(xiàn)可以參考本刊中《VPE技術在電子政務外網(wǎng)的應用》。）

總結

浙江省電子政務外網(wǎng)的建設是以業(yè)務需求為導向的建設，其在規(guī)范制定與下發(fā)、關鍵業(yè)務需求分析與技術論證等多方面都是按計劃、有步驟的進行，這使得其實施結果與建設目標相匹配，其中很多思路值得大家參考。

lixuyang