1、ICS 35.080 L 76 DB34 安徽省地方标准 DB 34/T 36072020 电子政务外网政务部门接入规范 Access specification for government departments of e-government network 文稿版次选择 2020 - 06 - 22 发布 2020 - 07 - 22 实施 安徽省市场监督管理局 发布 DB34/T 36072020 I 前 言 本标准按照 GB/T 1.1-2009 给出的规则起草。 本标准由安徽省经济信息中心提出。 本标准由安徽省信息技术标准化技术委员会归口。 本标准起草单位:安徽省经济信息中心、淮
2、北市数据资源管理局、安徽省应急管理宣传教育中心。 本标准主要起草人:姜精如、彭云峰、刘扬、王悄、刘兵、朱典、张静、杨阳、张明阳、张国戈、 张太平、王征、胡恩炀。 DB34/T 36072020 1 电子政务外网政务部门接入规范 1 范围 本标准规定了电子政务外网政务部门的用户分类、用户接入方案和接入方式选择原则。 本标准适用于省及以下各级政务部门规范接入电子政务外网。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GW 0207 国家电子政务外网IPv4地址地
3、方分配部署指南 3 术语和定义 GW 0207 界定的术语和定义适用于本文件。 4 用户分类 政务部门用户根据接入情况的不同可分为以下六类: A 类用户:仅访问公共区; B 类用户:在访问公共区的同时,通过统一的互联网出口上网; C 类用户:在访问公共区的同时,通过自建的互联网出口上网; D 类用户:在访问公共区和专网区的同时,通过统一的互联网出口上网; E 类用户:在访问公共区和专网区的同时,通过自建的互联网出口上网; F 类用户:在政府集中园区内办公,通过园区网访问电子政务外网和互联网。 5 用户接入方案 5.1 A 类用户 A 类用户接入方案见图1,包括以下内容: a) 用户接入区功能:
4、需要实现路由、地址转换和安全防护功能; b) 用户接入区设备:用户侧接入设备可为路由器或防火墙,直接连接外网侧接入设备。用户网内 有公共区服务器时,用户侧接入设备应为防火墙; c) 地址转换要求:用户访问电子政务外网或对外提供服务时,用户侧接入设备需将私网地址转换 成电子政务外网地址。 DB34/T 36072020 2 终端网关 采用100或私网地址互联 公共区流量 公共区服务器 用户普通终端区 接入区 电子政务外网 业务地址:172.X.X.X 192.X.X.X 10.X.X.X 59.X.X.X 终端地址: 172.X.X.X 192.X.X.X 10.X.X.X 1 2 122 2
5、DMZ区 公共区 2 图1 A 类用户接入方案示意图 5.2 B 类用户 B 类用户接入方案见图2,包括以下内容: a) 用户接入区功能:需要实现路由、地址转换和安全防护功能; b) 用户接入区设备:用户侧接入设备可为路由器或防火墙,采用两个子接口分别连接公共区和互 联网区。用户网内有服务器时,用户侧接入设备应为防火墙; c) 地址转换要求:用户访问电子政务外网或对外提供服务时,用户侧接入设备需将私网地址转换 成电子政务外网地址。 终端网关 采用100或私网地址互联 采用互联网或私网地址互联 公共区流量 互联网区流量 公共区服务器 用户普通终端区 接入区 业务地址:172.X.X.X 192.
6、X.X.X 10.X.X.X 59.X.X.X 终端地址:172.X.X.X 192.X.X.X 10.X.X.X 2 公共区 1 3 DMZ区 33 2 电子政务外网 3 2 12 互联网区 3 2 图2 B 类用户接入方案示意图 5.3 C 类用户 C 类用户接入方案见图3,包括以下内容: a) 用户接入区功能:需要实现路由、地址转换和防火墙功能; b) 用户接入区设备:用户侧部署两台防火墙分别连接电子政务外网和互联网。公共区服务器接入 公共区防火墙,互联网服务器接入互联网防火墙,普通终端通过用户网汇聚交换机接入两台防 火墙; c) 地址转换要求:用户访问电子政务外网或对外提供服务时,公共
7、区防火墙需将私网地址转换成 电子政务外网地址。 DB34/T 36072020 3 公共区服务器 接入区 互联网 互联网服务器 终端地址:172.X.X.X 192.X.X.X 10.X.X.X 业务地址:172.X.X.X 192.X.X.X 10.X.X.X 59.X.X.X 3 DMZ区 DMZ区 公共区 1 2 2 电子政务外网 2 用户普通终端区 公共区终端网关 采用100或私网地址互联 采用互联网或私网地址互联 互联网终端网关 互联网流量 公共区流量 1 2 3 3 2 4 4 图3 C 类用户接入方案示意图 5.4 D 类用户 D 类用户接入方案见图4,包括以下内容: a) 用户
8、接入区功能:需要实现路由、地址转换和防火墙功能; b) 用户接入区设备:用户侧部署三台防火墙分别连接电子政务外网公共区、专网区和互联网区, 公共区、专网区和互联网区服务器分别接入公共区、专网区和互联网区防火墙,普通终端通过 用户网汇聚交换机接入公共区和互联网区防火墙, 专用终端通过用户网汇聚交换机接入专网区 防火墙; c) 业务隔离:用户网内的不同区域之间需要通过 VLan 实现隔离。 DB34/T 36072020 4 接入区 2 电子政务外网 公共区终端网关 采用100或私网地址互联 采用互联网或私网地址互联 专网区终端网关 互联网区终端网关 互联网区流量 公共区流量 专网区流量 1 2
9、3 4 5 3 3 5 普通终端 用户终端 1 4 2 专用终端 公共区服务器 DMZ区 专网区服务器 DMZ区 互联网区服务器 DMZ区 普通终端 33 2 2 2 2 普通终端地址:172.X.X.X 192.X.X.X 10.X.X.X 专用终端地址:X.X.X.X 图4 D 类用户接入方案示意图 5.5 E 类用户 E 类用户接入方案见图5,包括以下内容: a) 用户接入区功能:需要实现路由、地址转换和安全防护功能; b) 用户接入区设备:用户侧接入设备需采用两个子接口分别连接公共区和专网区,分别设定公共 区和专网区网关; c) 业务隔离:用户网内的不同区域之间需要通过 VLan 实现
10、隔离。 DB34/T 36072020 5 接入区 2 公共区终端网关 采用100或私网地址互联 采用互联网或私网地址互联 专网区终端网关 互联网终端网关 互联网流量 公共区流量 专网区流量 1 2 3 4 3 普通终端 用户终端 1 4 2 专用终端 公共区服务器 DMZ区 专网区服务器 DMZ区 互联网服务器 DMZ区 普通终端 互联网 3 电子政务外网 2 2 2 5 5 2 普通终端地址:172.X.X.X 192.X.X.X 10.X.X.X 专用终端地址:X.X.X.X 图5 E 类用户接入方案示意图 5.6 F 类用户 F 类用户接入方案见图6,包括以下内容: a) 服务器集中托
11、管:集中办公区内设置统一机房,对服务器集中托管; b) 用户接入区设备:以园区网核心交换机作为用户侧接入设备,直接连接外网侧 PE 设备。每个 政务部门划分单独的 VLan,公共区 VLan 由园区网核心交换机作为网关,专网区 VLan 由 PE 设 备作为网关; c) 业务隔离:用户网内的不同区域之间需要通过 VLan 实现隔离。 DB34/T 36072020 6 专网区服务器 DMZ区 普通终端地址:172.X.X.X 192.X.X.X 10.X.X.X 2 专用终端地址:X.X.X.X 电子政务外网 1 DMZ区 互联网 普通终端 用户终端 专用终端 公共区服务器 DMZ区 互联网服
12、务器 接入区 3 4 2 政务外 网地址 NAT转换 3 2 2 22 公共区终端网关 采用100或私网地址互联 采用互联网或私网地址互联 专网区终端网关 互联网终端网关 互联网流量 公共区流量 专网区流量 1 2 3 4 5 5 PE设备 图6 F 类用户接入方案示意图 6 接入方式选择原则 各级政务部门可从办公环境、业务访问、适用场景等维度判定所属用户类型,按照所属类型的接入 参考方案规范接入电子政务外网。接入方式选择见表1。 表1 接入方式选择 用户类型 办公环境 业务访问需求 适用场景 A类用户 独立办公 公共区 适用于由于需要访问某个业务系统而接入电子政务外网的政务部门 B类用户 独立办公 公共区+统一出口 适用于已接入政务外网互联网统一出口,有访问公共区需求的政务部 门 C类用户 独立办公 公共区+自有出口 适用于已自建互联网出口,有访问公共区需求的政务部门 D类用户 独立办公 公共区+专网区+统一 出口 适用于已接入政务外网互联网统一出口,有访问公共区和专网区需求 的政务部门 E类用户 独立办公 公共区+专网区+自有 出口 适用于已自建互联网出口,有访问公共区和专网区需求的政务部门 F类用户 集中办公 统一出口 适用于在省、市、县政府集中办公区的政务部门,园区网有统一的互 联网出口 _
