教育信息中心数据中心方案建议书

1、 第 PAGE 135页 / 总 NUMPAGES 135页 教育信息中心数据中心方案建议书目 录 TOC o 1-3 h z u HYPERLINK l _Toc498440460 第1章 总述 PAGEREF _Toc498440460 h 8 HYPERLINK l _Toc498440461 1.1 用户现状 PAGEREF _Toc498440461 h 8 HYPERLINK l _Toc498440462 1.2 用户需求 PAGEREF _Toc498440462 h 8 HYPERLINK l _Toc498440463 1.3 IT基础架构需求分析 PAGEREF _Toc

2、498440463 h 9 HYPERLINK l _Toc498440464 第2章 网络与安全 PAGEREF _Toc498440464 h 13 HYPERLINK l _Toc498440465 2.1 组网原则 PAGEREF _Toc498440465 h 13 HYPERLINK l _Toc498440466 2.2 核心交换机 PAGEREF _Toc498440466 h 14 HYPERLINK l _Toc498440467 2.3 汇聚交换机 PAGEREF _Toc498440467 h 15 HYPERLINK l _Toc498440468 2.4 接入交换机

3、 PAGEREF _Toc498440468 h 15 HYPERLINK l _Toc498440469 2.5 信息安全的要求 PAGEREF _Toc498440469 h 16 HYPERLINK l _Toc498440470 2.6 基础网络的安全机制 PAGEREF _Toc498440470 h 24 HYPERLINK l _Toc498440471 出口路由器统一安全网关USG9000 PAGEREF _Toc498440471 h 24 HYPERLINK l _Toc498440472 业务接入系统示意图 PAGEREF _Toc498440472 h 26 HYPER

4、LINK l _Toc498440473 接入层的网络隔离示意图 PAGEREF _Toc498440473 h 26 HYPERLINK l _Toc498440474 2.7 华为安全整体建设方案 PAGEREF _Toc498440474 h 27 HYPERLINK l _Toc498440475 华为公司网络安全整体解决方案 PAGEREF _Toc498440475 h 27 HYPERLINK l _Toc498440476 防网络攻击 PAGEREF _Toc498440476 h 28 HYPERLINK l _Toc498440477 病毒攻击的防范 PAGEREF _To

5、c498440477 h 28 HYPERLINK l _Toc498440478 端口隔离 PAGEREF _Toc498440478 h 29 HYPERLINK l _Toc498440479 MAC地址扫描和ARP攻击的防范 PAGEREF _Toc498440479 h 29 HYPERLINK l _Toc498440480 DHCP攻击的防范 PAGEREF _Toc498440480 h 30 HYPERLINK l _Toc498440481 管理攻击的防范 PAGEREF _Toc498440481 h 30 HYPERLINK l _Toc498440482 2.8 安全

6、隔离建设方案 PAGEREF _Toc498440482 h 31 HYPERLINK l _Toc498440483 方案组网示意图 PAGEREF _Toc498440483 h 31 HYPERLINK l _Toc498440484 高性能的安全设备 PAGEREF _Toc498440484 h 31 HYPERLINK l _Toc498440485 2.9 华为统一安全网关 PAGEREF _Toc498440485 h 32 HYPERLINK l _Toc498440486 安全区域管理 PAGEREF _Toc498440486 h 32 HYPERLINK l _Toc4

7、98440487 安全策略控制 PAGEREF _Toc498440487 h 33 HYPERLINK l _Toc498440488 攻击防范功能 PAGEREF _Toc498440488 h 35 HYPERLINK l _Toc498440489 ASPF深度检测功能 PAGEREF _Toc498440489 h 38 HYPERLINK l _Toc498440490 NAT功能 PAGEREF _Toc498440490 h 40 HYPERLINK l _Toc498440491 多种NAT ALG PAGEREF _Toc498440491 h 44 HYPERLINK l

8、 _Toc498440492 P2P流量检测和流量控制 PAGEREF _Toc498440492 h 45 HYPERLINK l _Toc498440493 VPN功能 PAGEREF _Toc498440493 h 45 HYPERLINK l _Toc498440494 强大的GTP保护功能 PAGEREF _Toc498440494 h 47 HYPERLINK l _Toc498440495 虚拟防火墙 PAGEREF _Toc498440495 h 49 HYPERLINK l _Toc498440496 IDS联动 PAGEREF _Toc498440496 h 49 HYPE

9、RLINK l _Toc498440497 日志系统 PAGEREF _Toc498440497 h 50 HYPERLINK l _Toc498440498 优秀的IPS功能。 PAGEREF _Toc498440498 h 51 HYPERLINK l _Toc498440499 URL过滤 PAGEREF _Toc498440499 h 52 HYPERLINK l _Toc498440500 反病毒模块 PAGEREF _Toc498440500 h 54 HYPERLINK l _Toc498440501 丰富灵活的维护管理 PAGEREF _Toc498440501 h 55 HY

10、PERLINK l _Toc498440502 2.10 入侵检测系统 PAGEREF _Toc498440502 h 56 HYPERLINK l _Toc498440503 功能特点 PAGEREF _Toc498440503 h 57 HYPERLINK l _Toc498440504 2.11 日志审计系统方案 PAGEREF _Toc498440504 h 60 HYPERLINK l _Toc498440505 2.12 VPN系统 PAGEREF _Toc498440505 h 63 HYPERLINK l _Toc498440506 华为Secoway SVN3000功能特点

11、PAGEREF _Toc498440506 h 63 HYPERLINK l _Toc498440507 2.13 数据中心防护方案 PAGEREF _Toc498440507 h 65 HYPERLINK l _Toc498440508 防范多种DoS攻击 PAGEREF _Toc498440508 h 65 HYPERLINK l _Toc498440509 防范扫描窥探攻击 PAGEREF _Toc498440509 h 66 HYPERLINK l _Toc498440510 防范其它攻击 PAGEREF _Toc498440510 h 67 HYPERLINK l _Toc49844

12、0511 2.14 终端安全管理/准入控制 PAGEREF _Toc498440511 h 67 HYPERLINK l _Toc498440512 2.15 文档安全管理 PAGEREF _Toc498440512 h 70 HYPERLINK l _Toc498440513 第3章 存储虚拟化与容灾备份 PAGEREF _Toc498440513 h 72 HYPERLINK l _Toc498440514 3.1 什么是存储虚拟化和存储整合？ PAGEREF _Toc498440514 h 72 HYPERLINK l _Toc498440515 3.2 如何实现存储虚拟化 PAGERE

13、F _Toc498440515 h 73 HYPERLINK l _Toc498440516 基于主机侧的存储虚拟化 PAGEREF _Toc498440516 h 73 HYPERLINK l _Toc498440517 基于存储设备侧的存储虚拟化 PAGEREF _Toc498440517 h 74 HYPERLINK l _Toc498440518 基于网络层实现存储虚拟技术 PAGEREF _Toc498440518 h 74 HYPERLINK l _Toc498440519 朝阳教委信息中心存储虚拟化的技术方向选择 PAGEREF _Toc498440519 h 75 HYPERL

14、INK l _Toc498440520 3.3 容灾技术 PAGEREF _Toc498440520 h 76 HYPERLINK l _Toc498440521 容灾等级划分 PAGEREF _Toc498440521 h 76 HYPERLINK l _Toc498440522 容灾技术选择要素 PAGEREF _Toc498440522 h 79 HYPERLINK l _Toc498440523 容灾技术与对应等级 PAGEREF _Toc498440523 h 81 HYPERLINK l _Toc498440524 3.4 总体设计原则 PAGEREF _Toc498440524

15、h 82 HYPERLINK l _Toc498440525 3.5 实现方式分析 PAGEREF _Toc498440525 h 83 HYPERLINK l _Toc498440526 虚拟化网关复制 PAGEREF _Toc498440526 h 83 HYPERLINK l _Toc498440527 阵列复制 PAGEREF _Toc498440527 h 87 HYPERLINK l _Toc498440528 主机软件复制 PAGEREF _Toc498440528 h 88 HYPERLINK l _Toc498440529 远程备份 PAGEREF _Toc498440529

16、 h 89 HYPERLINK l _Toc498440530 四种实现方式综合对比 PAGEREF _Toc498440530 h 90 HYPERLINK l _Toc498440531 3.6 容灾备份方案总体架构 PAGEREF _Toc498440531 h 91 HYPERLINK l _Toc498440532 3.7 灾备中心设计方案 PAGEREF _Toc498440532 h 92 HYPERLINK l _Toc498440533 第4章 云存储方案（一） PAGEREF _Toc498440533 h 94 HYPERLINK l _Toc498440534 4.1

17、方案概述 PAGEREF _Toc498440534 h 94 HYPERLINK l _Toc498440535 4.1.1 拓扑图 PAGEREF _Toc498440535 h 94 HYPERLINK l _Toc498440536 4.1.2 方案描述 PAGEREF _Toc498440536 h 95 HYPERLINK l _Toc498440537 4.2 价值及优势 PAGEREF _Toc498440537 h 97 HYPERLINK l _Toc498440538 4.3 产品简介 PAGEREF _Toc498440538 h 102 HYPERLINK l _To

18、c498440539 4.3.1 EMC VPLEX 群集体系结构 PAGEREF _Toc498440539 h 102 HYPERLINK l _Toc498440540 4.3.2 VPLEX部署概述 PAGEREF _Toc498440540 h 103 HYPERLINK l _Toc498440541 4.3.3 VPLEX Local 部署 PAGEREF _Toc498440541 h 103 HYPERLINK l _Toc498440542 4.3.4 VPLEX Local适用场景 PAGEREF _Toc498440542 h 104 HYPERLINK l _Toc4

19、98440543 4.3.5 VPLEX Metro 部署 PAGEREF _Toc498440543 h 104 HYPERLINK l _Toc498440544 4.3.6 VPLEX Metro适用场景 PAGEREF _Toc498440544 h 105 HYPERLINK l _Toc498440545 4.4 用VPLEX构建双活数据中心 PAGEREF _Toc498440545 h 107 HYPERLINK l _Toc498440546 4.4.1 “双活”架构实现原理 PAGEREF _Toc498440546 h 108 HYPERLINK l _Toc498440

20、547 4.4.2 构建“双活”系统的先决条件 PAGEREF _Toc498440547 h 108 HYPERLINK l _Toc498440548 4.4.3 双活架构的物理示意图 PAGEREF _Toc498440548 h 109 HYPERLINK l _Toc498440549 4.5 VPLEX与VMware虚拟平台的集成 PAGEREF _Toc498440549 h 111 HYPERLINK l _Toc498440550 第5章 云存储方案（二） PAGEREF _Toc498440550 h 113 HYPERLINK l _Toc498440551 5.1 方案

21、概述 PAGEREF _Toc498440551 h 113 HYPERLINK l _Toc498440552 5.1.1 拓扑图 PAGEREF _Toc498440552 h 113 HYPERLINK l _Toc498440553 5.1.2 方案描述 PAGEREF _Toc498440553 h 113 HYPERLINK l _Toc498440554 5.2 价值与优势 PAGEREF _Toc498440554 h 115 HYPERLINK l _Toc498440555 5.3 产品简介 PAGEREF _Toc498440555 h 118 HYPERLINK l _

22、Toc498440556 第6章 附录1：传统数据中心和新一代数据中心方案对比 PAGEREF _Toc498440556 h 131 HYPERLINK l _Toc498440557 6.1 方案综述 PAGEREF _Toc498440557 h 131 HYPERLINK l _Toc498440558 6.2 具体比较： PAGEREF _Toc498440558 h 132 HYPERLINK l _Toc498440559 6.2.1 成本比较 PAGEREF _Toc498440559 h 132 HYPERLINK l _Toc498440560 6.2.2 性能、效率和扩展

23、性比较： PAGEREF _Toc498440560 h 132 HYPERLINK l _Toc498440561 6.2.3 管理复杂度和成熟性： PAGEREF _Toc498440561 h 133 HYPERLINK l _Toc498440562 6.3 比较结果总结 PAGEREF _Toc498440562 h 133 HYPERLINK l _Toc498440563 第7章 附录2：设备功能概述的技术要求 PAGEREF _Toc498440563 h 135 总述 用户现状1.存储现状(1)全区有约300个学校，每个学校配置了约4t的裸存储容量（das，nas等），用于存

24、储本校的资源；(2)朝阳信息中心2台核心存储，emc cx4-480（100tb），cx500(2tb)，还有dell服务器架构存储（3040tb）；(3)Dell康贝存储（位置不能确认，教委有三大核心机房，长桥、安慧桥等），容量12600gb sas、123tb sata，可以扩容。2.网络现状核心10gb汇聚2.5g接入622m（6个学校，每个学校101080），剩余22m资源可供分配。核心为华为的osn 7500，osn3500。 用户需求方案应考虑降低维护成本、电力成本、人力成本等，在保证安全性、可靠性的提前下，可以考虑建立全区的云存储平台；整合现有的3类存储，能进行有效管理和分配资源

25、；整个云存储平台统一规划，分步实施，一期投入约为300万；由于各学校需要到云存储平台存取资源（包括课件点播），因此需要考虑信息中心的带宽和学校的带宽要多大才够用，并保证网络的可靠性；建立数据的安全保障机制；各学校可以在云存储平台上存储自己的数据，并且可以根据需要共享数据。 IT基础架构需求分析数据中心应具有数据集中、主机运行可靠外，还应具有访问方式的变化、要做到7x24服务、反应速度快等。数据中心是一个提供资源服务的基地，它应具有非常好的机房环境、安全保证、网络带宽、主机的数量和主机的性能、大的存储数据空间、软件环境以及优秀的服务性能。以下为一般的IT系统架构示意图，主要包括四个层面，我们在这

26、里讨论的，是第三层面的IT网络基础架构部分。根据朝阳教委信息中心目前的IT建设情况，我们主要对于数据中心IT基础架构部分的网络基础架构、网络安全、服务器虚拟化、桌面虚拟化、存储虚拟化与整合、容灾备份等几个方面做重点阐述。而不涉及人员管理、业务应用系统、弱电布线、语音与视频通信、供电系统、机房安全与监控等等。本方案的主要目的是对现有网络架构、安全体系、计算与存储资源作初步的分析，以期设计出建设新一代数据中心的初步方案，并作细化，使之符合融合、虚拟化，并具备立体安全防护、绿色节能的特点。以下为以往数据中心的一般性特点：部门N部门A部门B网络与网络安全服务器1服务器2服务器3服务器n。应用1应用2应

27、用3应用n存储1存储2存储3存储n。虚拟化资源整合后的数据中心： 网络与网络安全存储资源。应用1应用2应用3应用n部门A部门B部门N计算资源虚拟化管理虚拟化资源配置模式：按需分配资源生命周期评估 (LCA) 节能减排绿色IDC基于环保的材料选择节能环保新材料、新技术节能架构、套件、中间件、芯片节能环保辅材引领标准，革新产品，有竞争力能耗指标执行环保标准，基于环保的研发、设计节约材料，可循环使用材料降低冷却能耗自动物流，周转架可视包装新能源研究设立供应链节能减排标准供应链EE认证管理供应链EE技术支撑供货简易包装，出货避免过渡包装内务管理无纸化办公减少照明5S管理能源管理废弃物管理网络节能优化网

28、络设计提升运维效率网络IP化升级硬件节能节能材料/硬件软件节能节能软件提升效率软件再生/新能源推广新业务会议电话、eSpace等委托专门机构回收分拆循环利旧安全销毁包装可回收设计、生产管理供应链管理运营、环境管理退出循环管理绿色材料绿色设计&生产绿色供应链绿色运营V绿色运营C绿色回收 网络与安全 组网原则（1）实用性，采用成熟技术，切实可行的系统工程解决方案。（2）先进性，所提供的技术在近年内具有一定的先进性，并与未来的新技术具有兼容性。在保证满足基本业务应用的同时，又要体现出网络的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑到网络应用的现状和未来发展趋势（3）可

29、扩展性，具有升级和扩展能力，提出的系统解决方案应能满足该系统业务发展的需要，方便扩大网络覆盖范围和网络容量；系统中配置的设备应便于维护和扩充，并具有支持多种物理接口的能力；提供的设备和软件具有升级和扩展能力。（4）开放性，遵循国际标准，支持多种网络协议，实现系统间互连。支持国际上通用标准的网络协议、国际标准的大型的动态路由协议等开放协议，有利于以保证与其它网络之间的平滑连接互通，以及将来网络的扩展。（5）经济性，系统的配置应充分考虑性能价格比，选择最优的技术方案。在充分利用现有资源的情况下，最大限度地降低网络系统的总体投资，有计划、有步骤地实施，在保证网络整体性能的前提下，充分利用现有的网络设

30、备或做必要的升级。（6）可维护性，提供的系统应具有简单、方便的维护和管理手段及流量统计等功能，并尽量减少维护和管理环节。（7）可靠性与可用性，系统可用性应99.9 %。网络的稳定可靠是应用系统正常运行的关键，保证在网络设计中选用高可靠性的网络产品设备，充分考虑冗余、容错和备份能力，同时合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持系统的可靠运行。（8）系统安全，该网络为与国际互联网逻辑隔离，系统应具有不同级别的安全运行管理措施，如，用户识别、口令、访问控制级别和范围等功能；具有防止非法访问、记录全部登录过程、提供安全日志的功能。 核心交换机根据网络的特点，

31、选择大容量的核心交换机作为核心层建设的主要设备。建议采用两套互为冗余的Quidway S9312核心路由交换机。Quidway S9312交换机提供大容量、高密度、模块化体系架构，提供二、三层线速转发能力，具有强大的IP路由功能，同时支持分布式的IP/MPLS线速转发、完善的QoS保障、有效的安全管理机制和电信级高可靠设计，满足用户对多业务、高可靠、大容量的需求，可广泛应用于IP城域网、大型园区网的交换核心和汇聚中心。核心层可启用三层转发功能，和汇聚层设备运行路由协议，并提供冗余链路，使得整个网络的路由交换运行无阻。同时内外业务资源、一些重要的终端可以直接接入到核心层，满足高性能的要求。Qui

32、dway S9312核心交换机重要部件均可采用冗余备份设计，如电源、交换引擎等。核心交换机之间采用千兆光纤互联，互联方式动态路由负载均衡方式；各个主汇聚交换机分别通过2条万兆光纤与核心交换机相连。如果万兆链路出现中断，另一条备份万兆链路可以迅速接管重要数据的传输；接入交换机根据所处楼宇信息电位数量多少进行配置。信息点位数量较多，配置楼宇层汇聚双千兆光纤上联至所属汇聚中心，向下以千兆光纤接入各接入交换机。若信息点数量较少，接入交换机可采用堆叠模式上联至各个汇聚中心设备。 汇聚交换机主汇聚交换机，需要与两台核心交换机实现万兆互联、与楼层汇聚交换机实现千兆互联。所以，楼宇汇聚层节点必须提供全千兆线速

33、三层数据交换，保证接入节点和核心网络数据交换的畅通无阻，同时当网络流量较大时，能够对关键业务的服务质量提供保障。主汇聚层起着承上启下作用。要求设备具备大容量、高密度、模块化体系架构，提供二、三层线速转发能力，具有强大的IP路由功能，同时支持分布式的IP/MPLS线速转发、完善的QoS保障、有效的安全管理机制和电信级高可靠设计，满足用户对多业务、高可靠、大容量的需求，可广泛应用于IP城域网、大型园区网的交换核心和汇聚中心。 接入交换机接入层由楼道三层千兆交换机、无线接入交换机等接入设备构成，可以满足不同终端的接入要求，提供的QinQ技术保证了每端口每VLAN的设计，在终端管理上提供了良好的技术保

34、证。根据网络的特点，接入层网络选择上行千兆3层交换机作为主要设备。建议采用华为Quidway S3300系列交换机。Quidway S3300系列交换机，是华为公司为满足以太网多业务承载需要而推出的新一代三层以太网交换机，可为运营商或企业客户提供强大的以太网功能服务。S3300基于新一代高性能硬件和华为公司统一的VRP（Versatile Routing Platform）软件，提供增强型灵活QinQ功能，具备线速的跨VLAN组播复制能力，支持SmartLink（用于树型组网）和RRPP（用于环形组网）等电信级可靠性组网技术，具备以太网OAM功能，可满足楼宇接入、园区汇聚和接入等多种应用场景的

35、需求。接入层主要由各个楼层的网络组成，上联楼宇汇聚层，向下百兆到用户。要求设备具有丰富的端口密度和较高的扩展性，可以提供千兆光口上行等。 信息安全的要求系统规划遵循的法律法规和相关标准如下：国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号文）信息安全管理最佳实践准则ISO17799（GB/T19716）信息安全管理体系认证要求ISO27001信息技术安全管理指南ISO 13335（GB/T19715)计算机信息系统安全等级保护划分准则（GB/T17859）国家信息化领导小组关于加强信息安全保障工作的意见的通知（中办发200327号）信息系统安全保护等级定级指南信息系统安全

36、等级保护基本要求信息系统安全等级保护实施指南信息系统安全等级保护测评准则网络基础安全技术要求（GB/T 20270-2006）信息安全技术-信息系统通用安全技术要求（GB/T 20271-2006）信息安全技术-操作系统安全技术要求（GB/T 20272-2006）信息安全技术-数据库管理安全技术要求（GB/T 20273-2006）计算机信息系统保密管理暂行规定国保发19981号使用现场的信息设备电磁泄漏发射检查测试方法和安全判椐（BMB2-1998）信息设备电磁泄露发射限值（GGBB1-1999）计算机信息系统安全专用产品检测和销售许可证管理办法（公安部令第32号）计算机信息系统审批暂行办

37、法（中保办发19986号）相关法规及其它行业政策基于我们的安全架构方法论，作为一个完整的企业级安全体系架构，必须具备以下服务组件、功能组件及支持性功能模块。标准企业安全系统架构示意图该安全技术架构服务模块和功能模块包括：集中的用户管理：实行统一的的用户管理策略。根据用户角色、组别及用户管理策略，可集中授予用户对各应用、系统的的访问权限。用户管理：执行身份认证的过程，包括身份信息的收集，储存和分类，提供用户的身份标识和认证信任度。密码标准管理：提供密码管理机制，具有实施密码政策的功能，并具有将修改的密码同步到相应系统中取得能力用户分配：当用户在平台上创建，或变更时，能将用户信息包括用户帐户，密码

38、和信用度同步到相应系统中密码同步管理：密码改变（或新创建）时，将用户名和密码同步到集成的系统中去。并能按照密码标准对用户的密码进行管理，拒绝接受不符合标准的密码目录管理：通过目录整合技术将分散的、不规范的用户目录进行整合，统一或者同步，以配合集中用户管理系统的部署信用度管理：基于访问权限（用户组别/用户角色）的信用度管理集中的用户认证授权：实现对各应用访问的集中认证和访问授权。访问认证：通过对用户或系统的密码、标识来核实身份访问授权：对所访问应用的授权访问政策管理：提供统一的机制达到集中的授权政策管理用户注册：对各应用用户进行管理用户/资源管理：用户/资源管理实际上是权限管理，通过ASCTC定

39、义把权限和用户连接起来Session管理：客户端能和服务器建立通信渠道，提高性能效率安全事件管理中心：实现事件的集中收集、集中处理、集中分析、报告、报警日志收集：收集各设备/系统的日志/事件事件处理：对收集到的日志进行格式化、合并、过滤、关联处理事件分析报告：提供统计分析和查询功能，产生分析报告安全报警：多种手段安全报警，包括弹出窗口、手机信息、及发送至现有的流程管理平台中进行流程处理。实现系统层、网络层、应用层、业务层的安全审计符合性控制。实现终端及服务器的安全符合性检查和控制符合性检查策略：定义服务器和工作站所需要遵循的安全符合性标准符合性检查：根据接收到的检查报告，对照安全符合性标准作出

40、比较。对不合格的设备提出警告，警报，限期改进和强制改进事件分析报告：提供统计分析和查询功能，产生符合性分析报告补丁管理：提供集中补丁分发、下载、管理的能力漏洞扫描：采用安全扫描设备协助安全管理人员及时发现修补安全漏洞安全报警：违规情况多种手段报警安全事件检测。提供安全事件检测的手段，及时发现网络、系统、应用上的安全事件。网络入侵检测：发现网络层的入侵网页防篡改：保证网站系统文件的完整性和一致性。并在网页修改后告警防火墙：提供安全域之间隔离信息内容检测：对信息的内容进行检测、根据策略进行过滤或记录主机入侵检测：发现系统上的入侵病毒扫描：多层次的防病毒架构，防范、隔离、清除病毒基础设施：提供加密、

41、数字签名、数据完整性服务、灾难恢复、业务连续性管理能力。灾难恢复管理: 保证业务系统的高可用性业务持续性管理：保证业务在灾难发生后可持续经营PKI：实现人员身份认证，信息传输通道的机密性及完整性、信息抗抵赖等SSL: 信息的可信和保密。加密安全通道，保证用户身份的合法性和数据传输的安全性VPN：提供网络层的传输加密支持性功能模块：对每一个服务模块有一些基本的功能要求需要实施，如加密，密钥管理，日志发送和确保交易和数据的完整性。这些功能模块可以利用安全服务平台的基础设施，也可以利用产品软件包的内在功能。加密机制： 采用成熟的支持公共密钥的加密算法，RSA,Diffie-Hellman 和密钥算法

42、，包括TripleDES, IDEA,BlowFish,RC4等国家允许的加密算法应用层的加密可以采用SSL加密的方式实现数据的安全传输代理层的加密可以采用SOCKS为基础的网络代理层的安全得的虚拟网至此对任何信息内容的加密密钥管理：密钥管理的主要功能包括，密钥的生成，密钥的作废和密钥的认证。主要目标是：实现基于XXXMBOSS标准的密钥管理机制密钥管理机制的实施必须与平台无关，与供应商和传输协议无关可以扩展到支持将来实施的PKI基础设施，底层的PKI可以是以下任何一种：X.509PGP (Pretty Good Privacy）SPKI (Simple Public Key Infrastr

43、ucture)PKIX （Public Key Infrasructure X.509）日志发送：由于安全服务平台统一的安全事件检测和管理，所以每一个服务模块（包括以后开发实施的任何应用）度需要具备有日志发送功能：收集有关安全的信息，可以通过配置来决定送哪些具体数据可以通过配置来决定各种传输方法，如批处理或实时可以对批处理作出灵活的日程安排灵活的格式转换功能，以满足接受端的要求需要支持加密和普通文件的传送交易和数据的完整性：交易和数据的完整性是对安全平台的基本要求，建议在以下个方面进行考虑。确保数据在输入和数据迁移时的准确性在安全平台的服务器上采用ECC存储器采用镜像技术的磁盘技术采用集成的硬

44、件或软件来确保完整性采用高可靠性的网络连接，将数据同时送往和存档设施立体安全关注重点： 外部攻击实施功能：1、安全分域2、访问控制3、入侵防范4、安全隧道不能有效防御内部威胁关注重点：内部威胁实施功能：1、终端控制2、应用监控3、深度检测4、综合管理不能阻止合法用户的非法操作关注重点：行为审计实施功能：1、集中认证2、统一授权3、行为审计4、密码保护保证信息不被破坏和泄露.外部安全内网安全应用安全以上是华为关于立体安全的示意图。以下为IT基础架构安全域：数据中心IT网络基础构架安全域管理网Intranet路由器安全网关交换机IDS路由器交换机远程接入 Internet业务区1 管理区测试区业务

45、区1 公共外部接口业务区2业务区3存储网安全管理中心接入网安全网关防垃圾邮件网关业务区2 业务区3综合存储管理区存储业务维护管理区平台维护管理区公共外部接口 关于存储域和计算域的信息安全我们将在后面的存储与服务器涉及的章节中来分析，以下我们主要针对网络域和管理域进行安全分析： 来自外部的威胁：计算域FirewallCore switchRouterIDS/IPSDedicated & VPSDNSEMAILPortalWeb & E-mailDBMid-ware & APPLoad BalanceOthersAppAppAppManagementADAVX MgtInternet Intern

46、et SIG网络域存储域华为的产品和解决方案DDoS防护-(SIGEudemonUSG)垃圾邮件防护-(SIGEudemonUSG)URL Filtering-（SIG）网络防病毒、蠕虫-（EudemonUSG）入侵监测及防护-(EudemonUSGNIP)MPLS IPSec SSL VPN -(NE RouterEudemonUSGSVN)针对网络及服务器域：数据容灾方案-（华为硬件平台 + Symantec 源代码注入 ）数据备份-（Symantec）数据归档-（Symantec）针对存储系统： 以及来自内部的威胁：管理域IP KVM SystemNetwork MgtStor MgtS

47、ervice Mgt存储域网络域计算域Secospace TSM/DSMSymantec SoftwareBOM！BOM！BOM！华为的产品和解决方案： 终端网络管理(Secospace TSM) 文档安全管理(Secospace DSM) 数据容灾、备份、归档 （华为硬件平台 + Symantec 源代码注入 ） UTM防火墙-（EudemonUSG） 基础网络的安全机制出口路由器统一安全网关USG9000防火墙USG9100串连在大型IDC出口，防火墙主要承担以下功能：启用防火墙攻击防范以及访问控制，抵御外来的各种攻击。根据需要启用地址转换功能，满足出口公网不足的需要。根据需要开启虚拟防火

48、墙功能，通过不同的虚拟防火墙与不同用户或应用对应，将不同的服务器群用虚拟防火墙隔离。启用VPN的功能，允许移动用户通过拨号的方式接入不同的VPN，访问不同VPN里的业务或者设备。两台统一安全网关采用双机热备，可以采用主备热备方式或主主热备方式。USG9100系列硬件方面采用业界领先的ATCA架构，USG9100与业界传统的安全网关相比，在增强扩展灵活性的同时提供强大的处理性能。可参与路由协议运算；实现多条链路负载均衡；与路由设备实现无缝对接；支持E1/T1、POS等广域网接口支持的路由协议类型：RIP v1；RIP v2；OSPF；BGP；支持安全特性：FW、VPNUTMP2P限流等多条路径可

49、自动负载和备份Network CNetwork ANetwork BNetwork DNetwork ENetwork FNetwork G到达网络E的路径可自动优选1台安全路由网关 = 路由器 + 防火墙，用单台设备实现路由和安全两大特性融合实践网络与安全融合USG BSR/HSRUSG9100每个业务板的吞吐量为10G，每秒新建连接数为25万，最大并发连接数为400万，在吞吐量、每秒新建连接数、最大并发连接数这三个性能指标上处于行业最高水平。在整机方面，USG9100足以满足高端用户对高性能的需求：USG9110的最大吞吐量可以达到40G、每秒新建连接数可以达到100万、最大并发连接数可以

50、达到1600万。USG9120的最大吞吐量可以达到120G、每秒新建连接数可以达到300万、最大并发连接数可以达到4800万。USG9110/USG9120的每个业务板支持4万IPSec并发隧道数，整机最高支持16/48万。业务接入系统示意图高性能的独立业务接入系统业务接入系统的组网示意图参考上图所示，对于服务器、重要领导终端、网管终端等采用独立的交换机接入到核心层，这样可以更进一步保证这些重要的业务系统的网络可靠性，同时采用独立的防火墙隔离，可以很好的保证业务安全。接入层的网络隔离示意图采用QinQ技术隔离终端QinQ技术采用嵌套VLAN技术，突破了4K VLAN的限制，无论何种接入设备都可

51、以满足整个网络可靠性、安全的设计，同时每个终端一个VLAN的设计方式保证了二层方式的终端是隔离的，防止了广播风波、ARP病毒等对局域网危害很大的不安全因素的蔓延。采用这种方式的组网可以大大提高整网的可靠性和安全性，使得网络对二层设备的依赖降低，并且有助于降低建设成本，因为所有的终端访问都必须经过汇聚交换，这样的网络设计非常方便网络的管理、控制，避免因为流量的过渡分散造成的安全失控。 华为安全整体建设方案华为公司网络安全整体解决方案华为安全服务模型融合了安全领域三大国际标准，以策略为核心，以管理为重点，以技术为支撑，以工程方法为指导，根据业务特点整网统一规划，逐级实现的安全解决方案，如下图所示：

52、这三大国际安全标准和模型是：ISO17799（BS7799）：信息安全管理业务规范ISO7498-2：信息处理系统开放系统互连基本参考模型 第2部分：安全体系结构SSE-CMM：系统安全工程能力成熟度模型华为信息安全架构在网络层次结构中，要求层层防护，建立端到端的安全体系架构。对于接入层的以太网交换机，直接面向用户的流量和攻击，对安全的支持特性对于整个网络的安全起到至关重要的作用。华为公司全系列以太网交换机及安全设备针对网络上的各种攻击，提供了全面的安全解决方案。防网络攻击以“红色代码”、“冲击波”以及“震荡波”等PC病毒造成的攻击，一方面使大量的PC直接成为攻击的受害者，而且网络设备也不能幸

53、免，造成网速变慢、用户掉线、无法重新上网、设备崩溃等严重后果。LAN接入网的安全特性显得极其脆弱，容易造成巨大的损失，运维成本也急剧升高。因此对于多种多样的网络攻击，接入层交换机必须有全面的安全解决方案。病毒攻击的防范对于支持流转发模式的接入层交换机，由于无法适应网络中非法报文的攻击所引起的动荡，导致无法正常转发，严重的时候可能会使设备瘫痪。华为公司全系列接入交换机支持逐包转发模式，即使在加载十万条以上路由、网络路由频繁波动、网络蠕虫极其严重的情况下，仍然保证IP报文的线速转发，因而可以保障正常业务的运行。在网络病毒攻击的具体特征还不明确情况下，往往会带来最严重的灾难，这时一些特定的网络攻击防

54、范方式往往会失去效用。通过用户带宽限制（基于VLAN的限制）、和限制访问的方式，可以十分有效地抑抑制网络蠕虫的攻击速度；同时保证非感染用户的正常上网。 端口隔离用户在接入层次的全面隔离，不仅可以保护用户本身上网的安全，同时还可以维护运营商的利益。因此接入交换机要支持标准的802.1QVLAN，而且提供的端口隔离功能，只允许用户端口与上行端口转发报文，从而阻断下挂各个用户私有网络之间的互相访问，从链路层保障用户转发数据的安全。华为公司接入交换机支持标准VLAN，并且对于不同层次的交换机实现相应的VLAN数量规格，保证用户组网需求。MAC地址扫描和ARP攻击的防范以太网交换机的MAC地址表作为二层

55、报文转发的核心，在受到攻击的时候，直接导致交换机无法正常工作。发生MAC地址攻击的时候，攻击者通过不停的发送MAC地址来刷新，填充交换机的MAC地址表，由于MAC地址表的规格有限，导致正常流量由于没有正确的转发表项而无法正常转发。ARP攻击与此类似，通过攻击报文来更改MAC与IP地址的绑定，从而重新定向流量。 华为全系列交换机可以通过MAC地址与端口的绑定以及限制端口下MAC地址的最大学习个数可防止MAC扫描，并通过VLAN、IP、MAC之间的任意帮定可防范ARP攻击。DHCP攻击的防范在接入网络中，DHCP攻击者将自己的服务器设置成DHCP Server，由于用户只会使用第一个响应其DHCP

56、请求的DHCP Server，因此用户获得非法的地址而无法上网。华为交换机提供dhcp server detect功能，可以检测到非法的dhcp server。同时，在交换机上通过配置流规则，可以将非法端口的DHCP Reply报文丢弃。当然也可以通过合理的网络规划，做一以每个用户都相互隔离（例如，PUPV：每用户每VLAN），也可以有效地防止私设DHCP Server。管理攻击的防范网络中的管理报文被黑客截获分析，导致交换机被入侵对于网络的安全使非常致命的。华为交换机支持SNMP V3，确保网管信息在传输过程中加密，非法用户无法获致报文的真正内容。华为以太网交换机还支持SSH，保证网络管理员

57、在通过Telnet远程访问网络时，防止管理密码被窃取，该特性直接对Telnet报文进行加密，使密码无法被解析。 安全隔离建设方案方案组网示意图网络隔离建设方案网络Internet的接入位置是风险传播的接入控制点，通过在这个位置部署高性能防火墙设备，可以很好的缓解风险的传播，阻挡来自Internet的风险、攻击等行为的发生。在这个位置需要部署高端防火墙设备，满足高性能、高可靠、高安全的要求，是整网的第一道安全屏障。高性能的安全设备根据网络的特点，本方案的出口防护选择千兆防火墙作为主要设备。建议采用华为公司的USG 统一安全网关。USG基于华为专业的多核硬件平台以及强大的VRP软件平台，不仅具备优

58、异的攻击防范处理能力，而且能够提供完备的地址转换(NAT)功能。为了更好地满足企业的实际需要，USG还支持丰富的多媒体协议和路由协议，组网方式灵活多样，是大中企业及园区理想的网络安全防护设备。 华为统一安全网关由于防火墙的转发过程处理复杂，还需要支持丰富的业务，很容易造成系统的瓶颈。USG为了提高系统转发能力，采用基于多核处理器的硬件构架，依靠多线程处理设计提供了十分优异的转发性能。在软件设计体系上，USG将控制层面和转发层面的业务分离，让部分CPU内核处理控制层面的内容，而针对数据业务由另外的CPU内核来处理，这样的体系设计使得USG将多和处理器的处理能力发挥到了极限，使得USG具有了十分优

59、异的处理能力安全区域管理基于安全区域的隔离华为USG统一安全网关的安全隔离是基于安全区域，这样的设计模型为用户在实际使用统一安全网关的时候提供了十分良好的管理模型。华为统一安全网关提供了基于安全区域的隔离模型，每个安全区域可以按照网络的实际组网加入任意的接口，因此统一安全网关的安全管理模型是不会受到网络拓扑的影响。可管理的安全区域业界很多防火墙一般都提供受信安全区域（trust）、非受信安全区域（untrust）、非军事化区域（DMZ）三个独立的安全区域，这样的保护模型可以适应大部分的组网要求，但是在一些安全策略要求较高的场合，这样的保护模型还是不能满足要求。华为统一安全网关默认提供四个安全区

60、域：trust、untrust、DMZ、local，在提供三个最常用的安全逻辑区域的基础上还新增加了本地逻辑安全区域，本地安全区域可以定义到统一安全网关本身的报文，保证了统一安全网关本身的安全防护。例如，通过对本地安全区域的报文控制，可以很容易的防止不安全区域对统一安全网关本身的Telnet、ftp等访问。华为统一安全网关还提供自定义安全区域，可以最大定义16个安全区域，每个安全区域都可以加入独立的接口。基于安全区域的策略控制华为统一安全网关支持根据不同的安全区域之间的访问设计不同的安全策略组（ACL访问控制列表），每条安全策略组支持若干个独立的规则。这样的规则体系使得统一安全网关的策略十分容