ICS 35.080 L 76 DB34 安徽省地方标准 DB 34/T 36072020 电子政务外网政务部门接入规范 Access specification for government departments of e-government network 文稿版次选择 2020-06-22发布 2020-07-22实施安徽省市场监督管理局 发布 DB34/T 36072020 I 前 言 本标准按照 GB/T 1.1-2009 给出的规则起草。本标准由安徽省经济信息中心提出。本标准由安徽省信息技术标准化技术委员会归口。本标准起草单位：安徽省经济信息中心、淮北市数据资源管理局、安徽省应急管理宣传教育中心。本标准主要起草人：姜精如、彭云峰、刘扬、王悄、刘兵、朱典、张静、杨阳、张明阳、张国戈、张太平、王征、胡恩炀。DB34/T 36072020 1 电子政务外网政务部门接入规范 1 范围 本标准规定了电子政务外网政务部门的用户分类、用户接入方案和接入方式选择原则。本标准适用于省及以下各级政务部门规范接入电子政务外网。2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GW 0207 国家电子政务外网IPv4地址地方分配部署指南 3 术语和定义 GW 0207 界定的术语和定义适用于本文件。4 用户分类 政务部门用户根据接入情况的不同可分为以下六类：A 类用户：仅访问公共区；B 类用户：在访问公共区的同时，通过统一的互联网出口上网；C 类用户：在访问公共区的同时，通过自建的互联网出口上网；D 类用户：在访问公共区和专网区的同时，通过统一的互联网出口上网；E 类用户：在访问公共区和专网区的同时，通过自建的互联网出口上网；F 类用户：在政府集中园区内办公，通过园区网访问电子政务外网和互联网。5 用户接入方案 5.1 A类用户 A 类用户接入方案见图1，包括以下内容：a)用户接入区功能：需要实现路由、地址转换和安全防护功能；b)用户接入区设备：用户侧接入设备可为路由器或防火墙，直接连接外网侧接入设备。用户网内有公共区服务器时，用户侧接入设备应为防火墙；c)地址转换要求：用户访问电子政务外网或对外提供服务时，用户侧接入设备需将私网地址转换成电子政务外网地址。DB34/T 36072020 2 终端网关 采用100或私网地址互联 公共区流量公共区服务器用户普通终端区接入区电子政务外网业务地址：172.X.X.X 192.X.X.X 10.X.X.X 59.X.X.X终端地址：172.X.X.X 192.X.X.X 10.X.X.X 121 2 22DMZ区公共区2 图1 A类用户接入方案示意图 5.2 B类用户 B 类用户接入方案见图2，包括以下内容：a)用户接入区功能：需要实现路由、地址转换和安全防护功能；b)用户接入区设备：用户侧接入设备可为路由器或防火墙，采用两个子接口分别连接公共区和互联网区。用户网内有服务器时，用户侧接入设备应为防火墙；c)地址转换要求：用户访问电子政务外网或对外提供服务时，用户侧接入设备需将私网地址转换成电子政务外网地址。终端网关 采用100或私网地址互联 采用互联网或私网地址互联 公共区流量 互联网区流量公共区服务器用户普通终端区接入区业务地址：172.X.X.X 192.X.X.X 10.X.X.X 59.X.X.X终端地址：172.X.X.X 192.X.X.X 10.X.X.X 2公共区13DMZ区3 32电子政务外网32 1 2互联网区32 图2 B类用户接入方案示意图 5.3 C类用户 C 类用户接入方案见图3，包括以下内容：a)用户接入区功能：需要实现路由、地址转换和防火墙功能；b)用户接入区设备：用户侧部署两台防火墙分别连接电子政务外网和互联网。公共区服务器接入公共区防火墙，互联网服务器接入互联网防火墙，普通终端通过用户网汇聚交换机接入两台防火墙；c)地址转换要求：用户访问电子政务外网或对外提供服务时，公共区防火墙需将私网地址转换成电子政务外网地址。DB34/T 36072020 3 公共区服务器接入区互联网互联网服务器终端地址：172.X.X.X 192.X.X.X 10.X.X.X 业务地址：172.X.X.X 192.X.X.X 10.X.X.X 59.X.X.X3DMZ区DMZ区公共区12 2电子政务外网2用户普通终端区 公共区终端网关 采用100或私网地址互联 采用互联网或私网地址互联 互联网终端网关 互联网流量 公共区流量1233244 图3 C类用户接入方案示意图 5.4 D类用户 D 类用户接入方案见图4，包括以下内容：a)用户接入区功能：需要实现路由、地址转换和防火墙功能；b)用户接入区设备：用户侧部署三台防火墙分别连接电子政务外网公共区、专网区和互联网区，公共区、专网区和互联网区服务器分别接入公共区、专网区和互联网区防火墙，普通终端通过用户网汇聚交换机接入公共区和互联网区防火墙，专用终端通过用户网汇聚交换机接入专网区防火墙；c)业务隔离：用户网内的不同区域之间需要通过 VLan 实现隔离。DB34/T 36072020 4 接入区2电子政务外网 公共区终端网关 采用100或私网地址互联 采用互联网或私网地址互联 专网区终端网关 互联网区终端网关 互联网区流量 公共区流量 专网区流量12345335普通终端用户终端142专用终端公共区服务器DMZ区专网区服务器DMZ区互联网区服务器DMZ区普通终端3 32222普通终端地址：172.X.X.X 192.X.X.X 10.X.X.X 专用终端地址：X.X.X.X 图4 D类用户接入方案示意图 5.5 E类用户 E 类用户接入方案见图5，包括以下内容：a)用户接入区功能：需要实现路由、地址转换和安全防护功能；b)用户接入区设备：用户侧接入设备需采用两个子接口分别连接公共区和专网区，分别设定公共区和专网区网关；c)业务隔离：用户网内的不同区域之间需要通过 VLan 实现隔离。DB34/T 36072020 5 接入区2 公共区终端网关 采用100或私网地址互联 采用互联网或私网地址互联 专网区终端网关 互联网终端网关 互联网流量 公共区流量 专网区流量12343普通终端用户终端142专用终端公共区服务器DMZ区专网区服务器DMZ区互联网服务器DMZ区普通终端互联网3电子政务外网222552普通终端地址：172.X.X.X 192.X.X.X 10.X.X.X 专用终端地址：X.X.X.X 图5 E类用户接入方案示意图 5.6 F类用户 F 类用户接入方案见图6，包括以下内容：a)服务器集中托管：集中办公区内设置统一机房，对服务器集中托管；b)用户接入区设备：以园区网核心交换机作为用户侧接入设备，直接连接外网侧 PE 设备。每个政务部门划分单独的 VLan，公共区VLan 由园区网核心交换机作为网关，专网区 VLan由 PE 设备作为网关；c)业务隔离：用户网内的不同区域之间需要通过 VLan 实现隔离。DB34/T 36072020 6 专网区服务器DMZ区普通终端地址：172.X.X.X 192.X.X.X 10.X.X.X 2专用终端地址：X.X.X.X 电子政务外网1DMZ区互联网普通终端用户终端专用终端公共区服务器DMZ区互联网服务器接入区342政务外网地址NAT转换3222 2 公共区终端网关 采用100或私网地址互联 采用互联网或私网地址互联 专网区终端网关 互联网终端网关 互联网流量 公共区流量 专网区流量123455PE设备 图6 F类用户接入方案示意图 6 接入方式选择原则 各级政务部门可从办公环境、业务访问、适用场景等维度判定所属用户类型，按照所属类型的接入参考方案规范接入电子政务外网。接入方式选择见表1。表1 接入方式选择 用户类型 办公环境 业务访问需求 适用场景 A类用户 独立办公 公共区 适用于由于需要访问某个业务系统而接入电子政务外网的政务部门 B类用户 独立办公 公共区+统一出口 适用于已接入政务外网互联网统一出口，有访问公共区需求的政务部门 C类用户 独立办公 公共区+自有出口 适用于已自建互联网出口，有访问公共区需求的政务部门 D类用户 独立办公 公共区+专网区+统一出口 适用于已接入政务外网互联网统一出口，有访问公共区和专网区需求的政务部门 E类用户 独立办公 公共区+专网区+自有出口 适用于已自建互联网出口，有访问公共区和专网区需求的政务部门 F类用户 集中办公 统一出口 适用于在省、市、县政府集中办公区的政务部门，园区网有统一的互联网出口 _