安全 网络坚盾  护航信息桥梁

—H3C为国际台新闻采编打造安全 网络空间

中国国际广播电台（CRI, 以下称“国际台”）是中国向全世界广播的国家广播电台，目前使用 43种语言向全世界广播，已经成为世界主要国际广播电台之一。国际台在国内各省、市、自治区以及香港、澳门特别行政区建有记者站，并在世界各大洲建有 30个驻外记者站，拥有庞大的信息网。为了利用现代化的计算机技术实现国际台多文种广播稿件的采、编、发，以及实现同国际台现有的其它应用系统的有机结合和数据共享，国际台多文种新闻采编系统应运而生。

国际台多文种新闻采编系统项目是集网络环境构建、软件系统开发、设备采购和系统集成于一体的工程项目。新闻采编系统的安全运转直接建立在网络安全的基础之上，网络的安全直接关系到全台的安全播音，因此须建设一套完整的和现有网络相对独立的网络，以保证新闻采编系统的安全可靠。此外，由于新闻采编系统有和外部信息交换的实际需要，又要有一定的外部通讯的能力。为满足系统要求，H3C公司为其重新构建了一套专门的、相对独立的、可靠的内部网络。

内外分区，实现网络互联互通，保证互访安全控制

根据国际台新闻业务的实际需要，新构建的网络须是一套完整的内部局域网络。要求网络交换机设备分为三个层次，即核心层、分布层和接入层，核心层和分布层之间须为千兆连接，分布层和接入层之间为千兆或百兆连接，接入层到桌面为百兆连接。在对外联系内部子网区将包含新闻采编系统中的通讯子系统部分，包含新闻采编系统中新闻中心及部分语言部门和外界须有信息传递和访问互连网要求的部分。该子网区的电脑将允许有条件地访问互联网。新闻采编系统的其他部分全部放在纯内部子网区，该区域中的电脑将禁止访问互联网。

H3C网络在为国际台网络结构总体建设上，根据分层构建、业务区分转发、逐层保护的指导原则，采用高性能防火墙将网络分为纯内部子网和与外界有联系内部子网两大区域。同时，利用宽带IP技术，实现网络的互联互通，在提供高安全保障和较高QoS保证基础上，保证互访的安全控制。如图：

新闻采编系统中的通讯子系统部分设于对外联系内部子网区，包含新闻采编系统中新闻中心及部分语言部门中和外界须有信息传递、访问互连网要求的部分。该子网区的电脑允许有条件地访问互联网，新闻中心等对外联系的内部子网用户，通过防火墙可以访问原有网络以及DMZ区的服务器，并穿过原有网络可以访问Internet资源。

新闻采编系统的其他部分全部放在纯内部子网区，严格的访问权限控制保障了纯内部子网网络服务器安全。该区域中的电脑将禁止访问互联网，纯内部子网用户（主要是各语言中心）只能访问自己子网内的应用服务器，应用服务器可以访问数据库服务器。纯内部子网的数据库服务器可以透过防火墙有限制地访问有对外联系内部子网。

严格的访问权限控制和安全隔离，实现系统的安全运作

采编系统要求，要在现有的网络中保证新闻采编系统的基本功能，新闻中心能够接收新华社和国际台记者站的稿件，而各部门能够接收新闻中心的稿件。同时，能够建立与听众互动的平台。

该设计方案，在纯内部子网与对外联系子网间、对外联系子网与原有办公网络间，网络系统采用防火墙进行网络隔离，并在原有的Internet出口设置了DMZ受控访问区域，放置了VPN网关和IDS入侵检测设备。通过严格的访问权限控制和安全隔离，可以实现中广国际新闻采编系统的安全运作。

这样，驻外记者或者移动用户，便可以利用放置在DMZ区域的SSL VPN网关，穿过原有网络，进而访问到对外联系的内部子网内的应用服务器。而专门为新华社等其它单位设置的专有数据接入区，与对外联系内部子网进行连接，负责与其通过专线进行连接，利用Internet来作为稿件传输的载体。至于普通Internet用户，可以访问到位于DMZ区域的听众交流服务器，实现听众来信管理。如图：

网络结构和设备的双重可靠性，为整个系统的可靠性提供保障

国际台采编应用系统是运行在网络平台之上，一旦网络通讯中断，将有使整个采编系统陷于瘫痪的可能，引起严重的后果。因此，对网络可靠性提出了很高的要求。在网络设备和线路备份方面，采编系统要求，核心交换机、其他关键的交换机、防火墙、网络隔离设备等须做到双机热备，以保证网络的畅通。其他重要的网络设备要有一定的冷备份。关键的线路要有一定的备份可随时切换。在网络应急备份方面，系统要求当遇到网络瘫痪这种的灾难性事件时，要有相应的解决方案，在网络上须保证新闻采编系统内部基本的正常运转。

网络的可靠性依赖于网络组网结构的可靠性及组网设备可靠性。网络组网结构的可靠性，主要是对网络互联通道的备份考虑和设计，通过备份线路及设备的备份，保证任何时刻、任何节点之间都有可达的路由。该网络系统的线路的备份主要解决了网络互通路径的问题，而节点设备的可靠则解决网络的有效运转。

该网络系统所选核心设备的硬件结构本身具有很高的可靠性保证。H3C8505/6506核心交换机采用冗余多电源；2台核心交换机配置完全相同，硬件互为备份。核心设备与关键服务器之间的物理连接，均利用双链路，利用线路聚合技术，将多条物理线路形成一逻辑通道。这样，不仅增加了主干带宽，也提供了线路的热备份。同时，关键设备、关键点采用相应的技术来实现高可靠性，通过IEEE 802.3ad、IEEE 802.1d/802.1w和VRRP等业界标准保证设备级、骨干链路级和网络路由级的高可靠冗余备份。

针对可能会造成网络瘫痪的DDoS攻击，例如冲击波病毒。系统会采取必要的预防措施：例如，在全网络范围内实施QoS，将各种不可预知的网络流量消耗的网络资源控制在可以接受的范围内。其次，系统还设有网络瘫痪应急方案，在生产网络处于瘫痪的情况下，可利用冗余设备搭建一台能够满足应用系统的小支撑平台。

网络扩展性，大程度保护用户的投资

H3C网络的设计充分考虑了应用的投资保护。设计方案在网络核心部署的 S8500就是新一代的万兆平台，提供可达TBits级的交换平台，强大的业务处理和支持能力终实现业务与性能和谐之美，可逐步升级能力保证万兆核心的长久适用能力，大程度保护用户的投资。

针对国际台的采编系统采用了多台应用服务器，为实现对多台应用服务器的流量管理，方便扩充，该系统采用负载均衡服务器对多台应用服务器进行管理，并进行应用流量分配。在系统中，负载均衡服务器作为一个虚拟的服务器，位于服务器群的前面；客户对虚拟服务器进行访问，虚拟服务器将客户的访问请求动态地转发到服务器集群中不同服务器上。服务器的应答又通过负载均衡服务器转发给客户。一个虚拟的服务器可以同时对应多台实际应用服务器，当其中一台服务器出问题时，应用流量控制服务器可根据事先设计的访问规则来重新分发到其它的服务器上，保证业务不受任何影响。借此负载均衡器，使用单位可以无缝地按需添加服务器，以经济的方式处理不断增加的流量规模。如图：

系统所选的负载均衡器的设备，具有先进、强大、完全的2－7层流量管理功能，能够对任何IP应用进行无缝的流量管理，并且对常见应用（例如Oracle数据库、WebLogic集群）进行优化；能够大的应用数据流量。同时，能够保证高可靠性和稳定性，进而保证各项应用高可用。

通过H3C对国际台新闻采编系统的网络搭建，使得整个网络系统构架在安全性、可靠性、可管理性、可用性、实用性等多方面有了有效保障，完全满足国际台应用的需求，同时也考虑了国际台未来的发展需求，便于网络的扩充、升级、扩容。这一网络平台，为国际台的效率高、快捷的信息化网络空间提供了有力、有效的支持。