增值业务网络医疗云基础平台方案.doc

第 1 页 共 23 页 国裕数据综合基础数据管理平台国裕数据综合基础数据管理平台 网络设计方案网络设计方案 1.1 网络解决方案-2 1.1.1 网络设计原则-2 1.1.2 网络设备选型依据-4 数据中心局域网设计-6 1.1.3 网络产品配置清单及说明-22 数据中心网络设备 -22 1.1.4 网络方案的特点-7 1.2 网络安全解决方案 -9 1.2.1 安全风险分析-9 物理安全风险分析 -10 系统的安全风险分析 -10 应用的安全风险分析 -10 1.2.2 网络安全需求及保障体系-11 网络安全建设的总体目标 -11 网络安全设计原则 -12 安全保障体系 -12 安全需求 -14 1.2.3 网络安全整体设计-14 网络入侵检测子系统 -17 防病毒子系统 -18 1.2.4 网络产品配置清单及说明 -22 第 2 页 共 23 页 1.1 网络解决方案网络解决方案 建设国裕数据中心增值业务系统网医疗云基础业务应用平台。 设计依据：根据医疗云基础业务应用要求，1、满足数据存储量为 1690tb（30 年存储量） ；（一期：338tb 为 5 年存储） ；2、网站日均访问人 数为 14.4 万人次的需要；3、并发流（最大）60000 的要求；进行该方案的 设计。 （详见哈尔滨市社区卫生服务机构基本情况及应用需求分析、业务需 求分析和基本数据分析） 1.1.1 网络设计原则网络设计原则 网络是系统平台运行的基础，进行网络设计时，我们遵循如下原则： 高可靠性：高可靠性：网络系统的稳定可靠是应用系统正常运行的关键保证，在 网络设计中选用高可靠性网络产品，设备充分考虑冗余、容错能力和 备份，做到硬件冗余、链路冗余、网络节点冗余，同时合理设计网络 架构，制订可靠的 qos 质量保证策略，最大限度地支持系统的正常运 行。网络设备的主要部件支持带电热插拔，在出现局部故障时不影响 网络其他部分的运行，便于故障的定位和排除。 可扩展性：可扩展性：根据未来业务的增长和变化，网络可以平滑地扩充和升级， 最大程度的减少对网络架构的调整。 可管理性可管理性：支持集中监控、分权管理，以便统一分配网络资源。支持 故障自动报警。 高性能高性能：网络性能是整个网络良好运行的基础，设计中必须保障网络 及设备的高吞吐能力，保证数据的高质量传输，预留出一定的流量增 长的范围，保证在可预见的将来满足流量要求，避免网络瓶颈影响整 体的系统应用。 先进性和成熟性先进性和成熟性：网络设备采用先进的技术和制造工艺，对于路由协 议支持、数据流量分配，抵御网络攻击、高性能方面保持技术领先， 网络结构和路由协议采用成熟的、普遍应用的并被证明是可靠的结构 第 3 页 共 23 页 模型和技术。把先进的技术与成熟的应用结合起来，充分考虑网络应 用的现状和未来发展趋势。 标准开放性标准开放性：支持国际上通用标准的网络协议、国际标准的应用与于 大型网络规模的动态路由协议等开放协议，保证与其它网络之间的平 滑连接互通，保证与其它主流网络产品的兼容性，以及将来网络的扩 展。 网网络的自愈与回复能力 设备级的可靠性、链路层的可靠性是影响网络可靠性的重要因素，网络的 自愈时间是衡量网络的一个重要指标。 一、物理链路层，即网络物理链路层能提供故障保护功能，诸如 fddi，令 牌环，stp，还有现在比较热门的技术 rpr 环网技术，另外，还有一些对于网 络重要节点备份保护措施的技术，诸如 vrrp 等技术； 二、网络协议，对于网络，可以规划多条到某目的地址的路由，如果某条 链路出现故障，动态路由协议（诸如 ospf 路由协议）自动发现另外一条路径； 交换机需具有良好的设备级可靠性，支持关键部件冗余热备份、热拔插， 实现真正的热备份功能。 由于采用的是由于采用的是ospf路由协议，我们来描述网络自愈中路由协议，我们来描述网络自愈中ospf收敛时间计算。收敛时间计算。 ospf 收敛时间是由四方面的因素决定的： 1、邻居 down 时的察觉时间：可以通过设置 hello-interval 来调整，设成 5 秒，甚至 1 秒都是可以的，但设置得太小容易造成邻居状态的不稳定和 hello 报文占用较多的网络带宽； 另外很多接口链路层和物理层会察觉对端 down，这种情况 hello-interval 设成多少关系就不大了。 缺省配置下： 广播和 ptp 网络最坏情况下 40 秒检测出邻居 down nbma 2 分钟检测出邻居 down 2、lsa 更新时间：一般设计实现基本上是实时更新； 第 4 页 共 23 页 3、ospf spf 算法时间间隔：缺省是 5 秒，也可以最短设置成 1 秒。如果 要求系统在 40s 内收敛，这一参数应该一般不会有什么影响。 4、网络规模和链路情况：如果 lsa 更新的传递时间过长，或者链路不够 稳定需要重传（重传周期一般为 5 秒，可以设置调整) 。 5、可以设置的时间参数： spf-schedule-interval：计算路由时的间隔时间，可设置为（110 秒） ； hello-interval：hello 报文的传输间隔时间，可设置为（1255 秒） ； dead-interval：宣告邻居 down 的间隔时间，可设置为（165535 秒） ； poll-interval：nbma 网络查询 down 掉的邻居的时间间隔，可设置为 （165535 秒） ； retransmit-interval：报文重传时间间隔，可设置为（165535 秒） ； transmint-delay：报文传输时延，可设置为（165535 秒） 。 在具体使用中，与网络相关，方案不同，则收敛时间不同。单独说收敛时 间是没有意义的，应该根据网络的拓扑情况来确定，规模大收敛时间就长些， 路由条数多收敛时间也也相应长一些。 在一些单机测试中，2000 条路由收敛时间 3s， （定时器间隔设为 1s） ；而组 网测试则在 6 台设备的组网下，收敛时间 4s。 网络恢复和自愈与网络设备档次、设备 cpu 负担、网络规模、网络拓扑结 构都有很大关系，所以很难给出一个合理的计算方案。但是大概有一个经验值， 一般类型的网络可能恢复和自愈在秒级的水平。 1.1.2 网络设备选型依据网络设备选型依据 产品线丰富，产品的继承性好产品线丰富，产品的继承性好：要求网络设备厂商具有丰富的产品线，并能 保证产品的生产和维护支持的延续性； 完善的售后服务体系和本地化的技术支持：完善的售后服务体系和本地化的技术支持：要求网络设备厂商具有完善的售 后服务支持体系，能提供本地化的现场支持，保证网络产品的正常运行和故 障及时处理。 第 5 页 共 23 页 厂商的良好的市场前景：厂商的良好的市场前景：为了保证网络设备的升级和维护，要求网络设备厂 商具有良好的市场前景和发展策略，来有效地保护项目投资。 综合考虑以上因素，在本项目中，我们选择华三（选择华三（h3ch3c）公司为网络产品）公司为网络产品 供应商供应商。 杭州华三通信技术有限公司（简称h3c） ， 致力于ip技术与产品的研究、 开发、生产、销售及服务。2011财年h3c年销售收入14.6亿美元，在国内30个省 市区设有分支机构。目前公司有员工5000人，其中研发人员占55。 h3c每年将销售额的15以上用于研发投入，在中国的北京和杭州都设有研发机 构，并设有可靠性试验室以及产品鉴定测试中心。截至2011年10月，h3c已申请 专利超过3400件，其中发明专利占85，在中国通信企业中位居前三。 h3c已 参与中国通信标准化协会及ietf, smta, spc,pci-sig, wi-fi, usb, snia, vcci等国际标准组织。 h3c始终聚焦ip技术领域创新进步，以覆盖ip网络、ip安全和ip管理的产品线为 积累形成以下一代数据中心解决方案和基础网络解决方案为核心的新一代互联 网解决方案，并迅速得到广泛应用，占领了it发展潮流的制高点。2011年，h3c 在云计算、数据中心、广域骨干网等高端市场取得巨大进展，赢得众多高端客 户的亲睐，在运营商数据中心和城域网取得突破，取得渠道和客户的广泛信赖 与认可。 根植中国，h3c始终以“为客户创造价值”作为公司发展的源动力，不断细分客户 需求。到2011年底，h3c已服务于70%以上的中央部委、 “十二金工程”中的九个全 国骨干网，四大国有商业银行，500强企业中的350家，全部“211”高校和“985” 高校，并规模服务于电信、移动、联通、广电等运营商市场。 在全球市场， h3c研发和生产的产品服务近百个国家和地区，客户包括惠普、 梦工厂、瑞士电信、西班牙电信、英国沃达丰、巴西电信、法国国铁、法国标 致雪铁龙集团、俄罗斯联邦储蓄银行、澳大利亚昆士兰政府、美国麻省理工学 院、日本神户大学、韩国三星电子等。 第 6 页 共 23 页 图图1 1：网络结构：网络结构 数据中心局域网设计数据中心局域网设计 在数据中心配置两台核心路由器 h3csr6608， ； 分布层配置一台 h3cf1000e 防火墙，实现安全区域划分和策略控制； 核心由一台 h3cs10508 交换机因为数据中心主要是进行监控、管理工作， 相应数据处理服务器数量少，配置此类型交换机即可满足用户需求，同时降 低成本。 数据交换机采用 h3c5800 交换机为服务器区域提供 100/1000m 电口接口， 方便服务器接入。 可以通过 vlan 技术对服务器区域进行安全隔离。 imc 智能管理中心实现对所有网络设备的统一管理。 第 7 页 共 23 页 1.1.3 网络方案的特点网络方案的特点 高性能：作为核心设备的 h3csr6608，具有强大的路由能力；使得整个广域 网的设备具备高性能，能满足数据中心主干网现在以及在可预见的未来的性 能要求。 高可靠性：网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设 计中选用高可靠性网络产品，设备充分考虑冗余、容错能力和备份，做到硬 件冗余、链路冗余、网络节点冗余 1.1. 硬件冗余硬件冗余 硬件冗余技术主要包括主控冗余、电源冗余、风扇冗余等。 中、高端交换机设备一般都会提供硬件冗余设计，我们在选择网络重要节点设 备的时候也要做这方面考虑，重要节点设备尽量提供完备的硬件冗余备份措施。 比如核心层设备，作为网络的核心骨干，如果它的电源模块没有提供备份，则 一旦发生损坏将直接影响整个网络的数据交换。当然，出于对成本和实际应用 方面的考虑，并不是所有设备都提供硬件冗余设备，而且，随着技术的发展， 硬件可靠性、设备可靠性都有了很大提升，很多盒式设备同样达到电信级可靠 性要求。 2.2. 链路冗余链路冗余 链路冗余是网络设计中最常用、也是非常有效的冗余技术，很多协议对链 路冗余也提供了很好的支持，如 stp/mstp、lacp、ecmp 等。 链路冗余要尽量设计的简洁、清晰，过分的网状连接会增加协议计算的复 杂度和收敛的不确定性，通常，为一条主用链路准备一条备份链路即可（聚合 组中多条链路可靠性更高） ，但要注意避免 srg 的存在。我们推荐三角形的冗余 网络结构，它比四边形和多边形有更快的收敛效果和更确定的收敛路径。 不同的协议对冗余链路的控制也不尽相同。如双上行冗余备份链路网络中， stp 协议可能为了阻断二层环路的存在而 block 掉设备的某些端口，使备份链 路上没有流量通过，这时冗余链路仅仅起到了备份的作用；mstp 虽然有所改善， 通过多实例的规划，使不同 vlan 内的业务分别走主、备链路，实现人为控制的 负载分担，但在一个实例中的情形与前边 stp 的完全相同；lacp 在实现链路备 份和负载分担的同时，还能聚合多条物理链路为一条逻辑链路使用，增加了带 第 8 页 共 23 页 宽；ecmp 在三层上实现了链路冗余和负载分担功能，并且可以做到链路故障业 务切换不丢包。 3.3. 网络节点设备冗余网络节点设备冗余 在传统的星型网络连接中，一个节点的故障往往会导致下挂所有节点设备 的业务中断；或下挂节点设备有大流量业务冲击时，上层设备处理能力不够。 为解决这些问题，在网络设计中可采用“网络节点冗余+链路冗余”的设计方法。 如下图所示，在汇聚层提供冗余节点设备，网络设备正常的时候，通过协 议配置，业务可通过两台设备分别上行转发，降低大业务量对单台设备的压力； 当一台汇聚层设备故障的时候，下挂接入层设备的业务都可以切换到另一台汇 聚层设备上正常转发，增强了网络对单点设备故障的容错能力。 这种设计思路在网络中各层均适用，包括接入、汇聚、核心层和广域网外 联设备等，再辅以 bfd、dldp、vrrp 等协议，加快网络节点故障的检测，从而 实现业务快速收敛。 核心交换机 h3cs10508 采用 vrrp 协议； 在汇聚层与接入层直接采用 vrrp 协议保证路由的可靠性。vrrp（virtual router redundancy protocol）是一种容错协议。通常一个网络内的所有主机都设 置一条缺省路由，主机发往外部网络的报文将通过缺省路由发往三层交换机， 从而实现了主机与外部网络的通信。当交换机发生故障时，本网段内所有以为 缺省路由下一跳的主机将断掉与外部的通信。vrrp 就是为解决上述问题而提 出的，它为具有多播或广播能力的局域网（如以太网）设计。vrrp 将局域网 的一组交换机（包括一个 master 即活动交换机和若干个 backup 即备份交换机） 第 9 页 共 23 页 组织成一个虚拟路由器，这组交换机被称为一个备份组。虚拟的交换机拥有自 己的真实 ip 地址，备份组内的交换机也有自己的 ip 地址。局域网内的主机仅 仅知道这个虚拟路由器的 ip 地址，而不知道具体的 master 交换机的 ip 地址以 及 backup 交换机的 ip 地址。局域网内的主机将自己的缺省路由下一跳设置为 该虚拟路由器的 ip 地址。于是，网络内的主机就通过这个虚拟的交换机与其它 网络进行通信。当备份组内的 master 交换机不能正常工作时，备份组内的其它 backup 交换机将接替不能正常工作的 master 交换机成为新的 master 交换机， 继续向网络内的主机提供路由服务，从而实现网络内的主机不间断地与外部网 络进行通信。 负载均衡：secblade lb 在 idc 出口的两台互联网交换机上分别部署了 secblade fw ips/lb 插卡， fw 和 ips 插卡能够有效防御互联网上各种基于网络层和应用层的攻击。针 对数据中心访问流量大的特点，通过 secblade lb 的链路负载均衡功能，使 得进出两个方向的数据流都能智能均衡的分发到两条出口链路上，充分利用 了出口带宽资源。 华三负载均衡设备具有丰富的业务扩展能力，除了可以提供高性能负载均衡 的功能，还可以通过扩展来实现防 ddos 攻击、vpn、虚拟防火墙、防病毒、 防漏洞等 idc 增值业务，实现了一台设备上部署多种业务，并且不会影响 整机性能的。强大的扩展能力为后续增值业务的扩展提供了良好的支持。 构建虚拟池，把存储服务群及应用服务群进行合理网池化分配，保证资源有 效的利用。 完善的服务体系：华三公司售后服务保障体系由华三技术支援部与华三公司 合作伙伴共同构成，拥有高素质的专职售后服务队伍并形成了完善的服务网络。 通过技术支持中心、e-support 和 800 免费电话等完善的服务网络，可以持续、 高效、快捷地向客户提供服务。 第 10 页 共 23 页 1.2 网络安全解决方案网络安全解决方案 1.2.1 安全风险分析安全风险分析 网络应用给人们带来了无尽的好处，但随着网络应用扩大网络安全风险也 变得更加严重和复杂。原来由单个计算机安全事故引起的损害可能传播到其他 系统和主机，引起大范围的瘫痪和损失；另外加上缺乏安全控制机制和对网络 安全政策及防护意识的认识不足，这些风险正日益加重。 完整的网络安全风险评估是对网络内的信息资产进行价值评估、对网络存 在的威胁进行评估、对整体安全策略和制度的有效性进行评估、以及对系统漏 洞被利用的可能性进行评估后的综合结果。 下面从物理安全、网络安全、系统安全、应用安全及管理安全进行分类描 述： 物理安全风险分析物理安全风险分析 网络物理安全是整个网络系统安全的前提。物理安全的风险主要有： 地震、水灾、火灾等环境事故造成整个系统毁灭； 电源故障造成设备断电以至操作系统引导失败或数据库信息丢失； 设备被盗、被毁造成数据丢失或信息泄漏； 电磁辐射可能造成数据信息被窃取或偷阅。 系统的安全风险分析系统的安全风险分析 所谓系统安全通常是指网络操作系统、应用系统的安全。目前的操作系统 或应用系统无论是 windows 还是其它任何商用 unix 操作系统以及其它厂商开 发的应用系统，其开发厂商必然有其后门。而且系统本身必定存在安全漏洞。 各种安全漏洞，特别是高风险漏洞有可能被黑客利用，从而入侵系统，造成重 大损失。尤其是数据库平台，保存大量业务有关的重要数据。系统一旦被入侵， 并遭受破坏，对数据中心系统所造成的损失不可估量。 第 11 页 共 23 页 应用的安全风险分析应用的安全风险分析 应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的 安全性也动态。这就需要我们对不同的应用，检测安全漏洞，采取相应的安全 措施，降低应用的安全风险。 .1 资源共享资源共享 网络系统内部办公网络可能存在着：员工有意、无意把硬盘中重要信息目 录共享，长期暴露在网络邻居上，可能被外部人员轻易偷取或被内部其他员工 窃取并传播出去造成泄密，因为缺少必要的访问控制策略。 .2 病毒侵害病毒侵害 网络是病毒传播的最好、最快的途径之一。病毒程序可以通过网上下载、 电子邮件、使用盗版光盘或软盘、人为投放等传播途径潜入内部网。因些，病 毒的危害不可轻视。网络中一旦有一台主机受病毒感染，则病毒程序就完全可 能在极短的时间内迅速扩散，传播到网络上的所有主机，可能造成信息泄漏、 文件丢失、机器死机等不安全因素。 .3 数据数据信息信息 数据安全对数据中心网络系统来说尤其重要，如果其数值在传输过程中被 修改，则其真实性、完整性就得不到保证，可能给数据中心系统造成巨大的损 失。现今很多先进攻击技术，黑客或一些工业间谍会通过一些手段，设法在线 路上做些手脚，获得在网上传输的数据信息，也就造成的泄密。这对数据中心 系统来说，是决不允许的。 第 12 页 共 23 页 1.2.2 网络安全需求及保障体系网络安全需求及保障体系 网络安全建设的总体目标网络安全建设的总体目标 网络安全并不是依靠单一的安全产品所能够解决的，网络安全的保证需要 一个完善的安全保障体系。确保信息系统和数据的机密性、完整性、可用性。 网络安全设计原则网络安全设计原则 代价平衡原则：代价平衡原则：对任一网络，绝对安全难以达到，也不一定是必要的。对一 个网络要进行实际的研究(包括任务、性能、结构、可靠性、可维护性等)， 并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后 制定规范和措施，确定系统的安全策略。 综合性、整体性原则综合性、整体性原则：应运用系统工程的观点、方法，分析网络的安全及具 体措施。安全措施主要包括：行政法律手段、各种管理制度(人员审查、工 作流程、维护保障制度等)以及专业技术措施(访问控制、加密技术、认证技 术、攻出检测技术、容错、防病毒等)。 计算机网络的各个环节，包括个人(使用、维护、管理)、设备(含设施)、软 件(含应用系统)、数据等，在网络安全中的地位和影响作用，计算机网络安 全应遵循整体安全性原则，根据确定的安全策略制定出合理的网络体系结构 及网络安全体系结构。 一致性原则一致性原则：一致性原则主要是指网络安全问题应与整个网络的工作周期 (或生命周期)同时存在，制定的安全体系结构必须与网络的安全需求相一致。 安全的网络系统设计(包括初步或详细设计)及实施计划、网络验证、验收、 运行等，都要有安全的内容及措施。实际上，在网络建设的开始就考虑网络 安全对策，比在网络建设好后再考虑安全措施，不但容易，且花费也少得多。 易操作性原则易操作性原则：安全措施需要人去完成，如果措施过于复杂，对人的要求过 高，本身就降低了安全性；其次，措施的采用不能影响系统的正常运行。 适应性及灵活性原则适应性及灵活性原则：任何安全措施都不是绝对安全的，都可能被攻破。但 第 13 页 共 23 页 是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它 层保护仍可保护信息的安全。 安全保障体系安全保障体系 无论是对于入侵、蠕虫还是病毒，我们都可以把整个爆发的过程分为三个 阶段：发作前、发作中、发作后。安全保障体系的建立就是要分别针对这三个 阶段采取相应得控制手段，有效地使用正确的处理方法，保障信息系统的安全 性。 .1 安全防护体系：纵深防御，等级化保护安全防护体系：纵深防御，等级化保护 对于安全事件发生之前，安全保障体系的作用主要是做出安全防护，避免 各种安全隐患的发生。主要是根据安全等级的不同，把整个网络划分成不同的 安全区域，在不同区域出口处部署访问控制设备，对进出区域的数据包进行 ip、tcp、应用层的检查，鉴别和访问控制。同时，在网络出口处部署病毒过 滤网关，在重要服务器或主机系统上部署防病毒软件，建立全网病毒监控和防 护体系。 .2 安全检测与响应体系：实时监测、积极响应安全检测与响应体系：实时监测、积极响应 防护设备的能力并不是绝对的，一旦防护体系被突破，安全保障体系的作 用主要是对安全事件及时的监测出来，并根据预先设置的响应方式积极的做出 反应，及时中断安全事件的发生，确保系统不会受到损害。具体的说，就是在 网络内部部署入侵检测和漏洞扫描系统，实时对网络监控，定期对网络进行扫 描，采用和防火墙联动的方式或其他积极响应方式，中断入侵连接，保护信息 系统。 .3 安全审计体系：事后检查、主动追踪安全审计体系：事后检查、主动追踪 任何安全防护设备都不可能做到 100%的有效防护，一旦安全防护设备被突 第 14 页 共 23 页 破，如何能够通过入侵者留下的蛛丝马迹发现攻击的过程，分析造成的损失， 并追究攻击者的责任，也是安全防护体系中需要重点考虑的环节。通过事件追 踪，可以及时的发现保障体系中存在的防护和检测漏洞，及时的进行修补，使 整个防护体系处于动态的安全平衡之中。 .4 安全管理系统：集中管理、统一保障安全管理系统：集中管理、统一保障 网络中部署了不同的安全设备，如何保证安全策略的统一，如何保证产品 配置、监测、审计的的集中性、有效性、方便性是衡量一个保障体系的重要指 标，安全管理系统的部署就是为了要对全网的安全策略统一分发、安全设备集 中管理、安全信息集中收集，并根据安全需求的变化，动态调整安全策略和防 护体系。 安全需求安全需求 根据上述描述的安全保障体系架构，以及对数据中心网络系统的风险分析 和评估结果，我们可以看出，保障体系中应避免如下的安全缺陷： 安全区域应进行细粒度的划分，完善防护体系，关闭没有防护保障系统 的不安全入口。 网络内部配置有效的安全检测设备，在网络威胁发生或即将发生时及时 检测到，并采取相应的响应。 网络内部配置有效的安全审计设备，对网络设备、安全设备的日志信息 进行集中收集、整合，并进行关联性分析，发现网络中可能发生的安全 威胁。 网络内的安全设备、网络设备、服务器设置统一的安全管理平台。 建立统一的安全策略、专门的安全管理和运维机构、有效的安全管理制 度。 本着统一规划，分步实施的原则，我们在本方案中仅对网络安全首要的安 全防护系统、数据加密系统、入侵检测系统进行描述。涉及的安全系统包括： 第 15 页 共 23 页 防火墙子系统 入侵检测子系统 安全管理平台子系统 防病毒子系统 1.2.3 网络安全整体设计网络安全整体设计 .1 防火墙的部署防火墙的部署以及选型以及选型 在本方案中，我们采用 h3cf1000e 作为各安全边界出口防火墙。 .2 防火墙的功能防火墙的功能 平台支持：采用专用硬件平台与专用的安全操作系统 基于会话检测的防火墙实现机制：采用基于操作系统内核的会话检测技 术 硬件上支持对接口的灵活扩展，可以通过灵活的扩展来适应业务发展的 需要，从而保护投资。 应用代理：具有透明应用代理功能，支持 ftp、http、telnet、ping、ssh、ftp data、smtp、wins、tacacs、dns、tftp、pop3、rtelnet、sqlserv、 nntp、imap、snmp、netbios、dns、ipsec isakmp、rlogin、dhcp、rtsp、ms-sql-（s、m、r） 、radius- 1645、pptp、sqlnet1521、sqlnet 1525、h.323、msn、cvsserver、ms- theater、mysql、qq、securid（tcp、udp） pcanywhere、igmp、gre、pppoe、ipv6 等协议命令级的控制，实现对 文件级的过滤。 支持众多网络通信协议和应用协议：如 dhcp 、vlan 、adsl 、isl 、802.1q 、spanning tree 、netbeui 、ipsec 、h.323 、mms 等， 保证用户的网络应用，方便用户扩展 ip 宽带接入及 ip 电话、视频会 第 16 页 共 23 页 议、vod 点播等多媒体应用。 支持核心网络中生成树（stp）的计算：通过生成树计算，防火墙能够 同核心交换机一起进行生成树计算，实现了核心网络的全连接拓扑结 构，能够进行链路的自动切换，保证了整个网络的稳定。 支持交换机主干链路：防火墙的物理接口实现了 d0t1q 封装格式，能够 同交换机的 trunk 接口对接，实现了 vlan 间路由的功能，保证了防火 墙对于各种网络环境的易接入性。 地址转换：采用双向网络地址转换（双向 nat）技术，支持静态 nat 及 动态 nat（ip pool） ，并能够实现一对一、一对多的地址映射； 加密支持：支持 vpn,采用通过国家鉴定的硬件加密卡所提供的 128 位 对称加密算法和 128 位 hash 算法。身份认证采用 1024 位的非对称算 法。 vpn 更高的安全性：将 vpn 的证书和私钥存入 usb 中，只有拥有 usb 的 人员才能启动隧道，保证了 vpn 整个过程的安全性。 支持多种身份认证：如 otp 、radius 、s/key 、secureid 、tacacs/tacacs+、口令方式、数字证书（ca ） ，更好更广泛的实现 了用户鉴别和访问控制。 地址绑定：实现 ip 地址与 mac 地址捆绑，防止 ip 地址非法盗用； 安全服务器（ssn）保护：具有对公开服务器保护功能，一旦服务器内 容被非法篡改，可以进行快速恢复 源、目地址路由功能：根据通讯的源地址和目标地址来做出路由选择， 适应有多个网络出口的环境。 adsl 接入：防火墙实现了 adsl 功能，满足了目前中小型公司的网络访 问能力，满足了用户的各种接入方式需要。 多层次分布式带宽管理（qos）：可以实现带宽分层、带宽分级、带宽 分配、带宽优化等管理，优化网络资源的应用，提高网络资源应用效 率。 防御功能：可防 tcp、udp 等端口扫描；防源路由攻击、ip 碎片包攻击、 dns/rip/icmp 攻击、syn 攻击； 抗 dos、ddos 攻击；可阻止 第 17 页 共 23 页 activex、java、javascript 入侵。 防火墙支持其它安全产品的联动：支持 topsec 协议，能够与第三方安 全产品进行很好的联动，尤其是与 ids 入侵检测产品的联动； 防火墙支持 topsecmanager 与 sas：支持 topsecmanager 综合管理系统， 支持 topsec 安全审计系统； 实时监控：实时察看防火墙主机的当前负载情况，包括内存的使用情况 和连接状况等。 防火墙支持多种工作模式：支持路由模式、透明（桥接）模式（防火墙 可不配地址） 、混合模式（路由与透明两种模式同时工作） 管理功能：面向基于对象的管理配置方式；支持 gui 集中管理及命令行 管理方式；支持本地管理、远程管理和集中管理；支持基于 ssh 的远 程登陆管理和基于 ssl 的 gui 方式管理；支持 snmp 集中管理与监控， 并与当前通用的网络管理平台兼容，如 hp openview ，方便管理和维 护。 深层日志及灵活、强大审计分析功能：审计日志包括如下几个部分：日 志会话、日志命令。日志会话也就是传统的防火墙日志，负责记录通 讯时间、源地址、目的地址、源端口、目的端口、字节数、是否允许 通过。日志会话信息用来进行流量分析已经足够，但是用来进行安全 性分析还远远不够；应用层日志命令在日志会话的基础之上记录下各 个应用层命令及其参数，比如 http 请求及其要取的网页名；访问日志 则是在应用层命令日志的基础之上记录下用户对网络资源的访问，它 和应用层日志命令的区别是：应用层日志命令可以记录下大量的数据， 有些用户可能不需要，如协商通信参数过程等。例如针对 ftp 协议， 日志会话只记录下读、写文件的动作；日志命令则是在访问日志的基 础之上，记录如用户发送的邮件，用户取下的网页等。支持日志的自 动导出与自动分析。支持防火墙配置文件的导入与导出（防火墙配置文件 信息的备份与恢复）； 防火墙双机备份与负载均衡：支持防火墙的双机备份，并通过防火墙自 身的负载均衡，提高防火墙在高带宽的网络环境中的有效性能； 第 18 页 共 23 页 非协议支持：支持对非 ip 协议 ipx/netbeui 的传输与控制。 网络入侵检测子系统网络入侵检测子系统 在安全体系模型中，入侵检测是不可或缺的一环，主要起着实时监测、实 时响应的作用。这里我们按照顺序依次对网络入侵检测系统的重要性、选型、 部署方案、功能特色等进行描述。 .1 入侵检测系统的重要性入侵检测系统的重要性 在实时监测中，入侵检测系统是目前最为主要的一个广泛应用的技术和管 理手段，因此在网络安全建设中，入侵检测是必不可少的一环。入侵检测系统 在数据中心网络安全保障中具有以下主要作用： 弥补边界安全防火墙的不足，与防火墙紧密结合，提供纵深防御体系。 入侵检测系统能够对付来自内部网络的攻击，能够缩短发现黑客入侵 的时间，更好地保护网络。 网络入侵检测系统放置在比较重要的网段内，不停地实时监视相应网 段中的各种数据包，分析数据包以及时发现入侵行为。 能够检测那些来自网络的攻击，能够检测到超过授权的非法访问。 通过上述分析我们可以看到，数据中心系统必须部署入侵检测系统这种用 于监测网络运行状态的理想工具。 .2 入侵检测系统选型入侵检测系统选型 入侵检测系统的要遵循如下原则： 符合国家标准符合国家标准。所选产品必须符合相关国家标准。 安全性安全性。产品自身必须安全性强，如果自身安全性不强，不但达不到 保护网络的目的，而且还会带来潜在的安全隐患。 第 19 页 共 23 页 管理方便管理方便。产品如果管理过于困难，可能会造成配置方面的错误，起 不到保护作用，甚至带来潜在的安全隐患。 性能价格比性能价格比。所选产品在可以满足现有及未来一段时间网络安全需求 的基础上，其价格要合适。 售后服务售后服务。入侵检测系统具有自己的特点，需要经常升级、应急事件 响应等，因此厂商必须具备很强的实力才能提供良好的售后服务保证。 数据中心网络安全产品选择：启明星辰网络安全管理平台数据中心网络安全产品选择：启明星辰网络安全管理平台 防病毒子系统防病毒子系统 .1 计算机病毒发展和入侵途径分析计算机病毒发展和入侵途径分析 计算机病毒的发展趋势计算机病毒的发展趋势 自从 1983 年世界上第一个计算机病毒出现以来，在不到 20 年的时间里， 计算机病毒已到了无孔不入的地步，有些甚至给我们造成了巨大的破坏。 据微软发布的最新统计数据，2003 年病毒所造成的损失有 130 亿美金，同 时全球有 38 亿美金不得不投入系统的灾难恢复。 在现今的网络时代，病毒的发展呈现出以下趋势： 病毒与黑客程序相结合：病毒与黑客程序（木马病毒）结合以后的危害 更为严重，病毒的发作往往伴随着用户机密资料的丢失。 蠕虫病毒更加泛滥：其表现形式是邮件病毒会越来越多，这类病毒传播 速度非常快，只要有一个用户受到感染，就可以形成一个非常大的传染面。 病毒破坏性更大，不只是破坏文件：计算机病毒不再仅仅以侵占和破坏 单机的资料为目的。 制作病毒的方法更简单：用户通过网络甚至可以获得专门编写病毒的工 具软件，只需要通过简单的操作就可以生成破坏性的病毒。 第 20 页 共 23 页 病毒传播速度更快，传播渠道更多：目前上网用户已不再局限于收发邮 件和网站浏览，此时，文件传输成为病毒传播的另一个重要途径。同时， 其它的网络连接方式如 icq、irc 也成为了传播病毒的途径。 病毒的实时检测更困难：众所周知，对待病毒应以预防为主，如果发生 了病毒感染，往往就已经造成了不可挽回的损失，因此对网上传输的文件 进行实时病毒检测成了亟待解决的重要问题。 网关防毒已成趋势：如果等病毒已经进入局域网后再作剿杀，显然为时 已晚。因此，通过网关把病毒拒绝在网络之外是最好的解决办法。这种办 法还可以防止将网络内部受到感染的病毒文件传到其它的网络当中，使得 各个网络能够互相独立。 病毒入侵渠道分析病毒入侵渠道分析 目前绝大多数病毒传播的途径是网络。对于一个网络系统而言，针对病毒 的入侵渠道和病毒集散地进行防护是最有效的防治策略。因此，对于每一个病 毒可能的入口，部署相应的防病毒软件，实时检测其中是否有病毒，是构建一 个完整有效防病毒体系的关键。 来自系统外部（internet 或外网）的病毒入侵： 这是目前病毒进入最多 的途径。可以使进入内部系统的病毒数量大为减少。 内容保护：由于目前邮件系统的使用异常方便，造成了用户很容易在不 经意间将重要的、机密的或是不当的信息通过邮件发送出去；因此不仅过 滤邮件中可能存在的病毒代码，同时对往来邮件内容进行过滤也变得日益 重要起来。 移动介质 随着 u 盘、光盘刻录设备的普及，最终客户进行的海量数 据移动更加辩解，除去存在已久的文件型病毒能够借助该途径进入网络外， 新兴的网络蠕虫类型病毒、黑客代理程序等有害代码，也越来越多地借助 该途径进入网络。 电子邮件 当前的病毒大多具有自行搜索地址簿并发送带毒邮件的特 性。当 internet 出现新病毒的时候，用户将面临大量染毒邮件的攻击，一 旦有一只病毒实例进入网络，将迅速以各种方式感染网络中的其它计算机， 第 21 页 共 23 页 并形成难以遏制的病毒爆发风暴。 系统漏洞从目前的统计来看，病毒利用系统或应用程序漏洞进行攻击 已成为网络系统的安全大敌，从 2001 年的红色代码、尼姆达，到 2003