湖北长虹机械厂数据中心解决方案

TOC\o"1-3"数据中心解决方案目录第1章背景介绍 第1章背景介绍1.1前言随着互联网科技的迅猛发展，网络已经渗透到了当今社会的各行各业中，不断地改变和影响着我们的工作和生活方式，为我们创造了更高效和更便利的社会环境。与此同时，依赖于网络的各类应用、业务越来越多，对网络安全性、稳定性、可靠性以及速度等各方面性能提出了更多更高的要求。如果要满足这些需求，提高网络质量，保障业务安全可靠，那么作为网络服务的发布区，重要业务的承载区，数据存储、传输、计算的核心区—数据中心，是一个不容忽略的重要环节。1.2网络现状客户现有网络情况说明。。。。。。第2章需求分析基于目前的网络现状，可将数据中心按区域划分，分为内网接入区、外联接入区、互联网接入区、数据中心业务区，网管运维区，如下图所示：2.1需求概述对数据中心而言，安全性是首要考虑的问题，其次是可靠性，三是运维的角度，灵活、易管理。安全性数据中心本就是为外界业务系统、用户提供各类数据、应用服务的，而提供的方式只能是建立通道，让外界用户接入数据中心。而一旦有接入，数据中心就面临有两方面的风险：一是由外向内的，接入时可能带来的网络攻击、病毒以及非法访问等；二是由内而外的敏感信息泄密。所以，保障数据中心的安全性是接入区重点建设的内容。可靠性数据中心是否可靠直接影响到各类应用系统的质量高低以及用户的使用体验优劣，关系到依托于应用系统的业务发展好坏。而数据中心的可靠性主要取决于提供各类服务的服务器的稳定性，主备数据中心间备份数据传输的高效性以及多个服务器之间和多数据中心间的负载均衡。因此，为保障数据中心的可靠性，我们需要对业务区和数据中心互联区加以合理建设。易运维站在数据中心运营维护的角度，一方面我们需要考虑资源如何合理、灵活的分配，以达到提高资源利用率的目的。另一方面，我们需要对全网现状进行监控和分析，以便在出现故障时能够快速定位问题，以及为其它业务提供数据支撑。2.2接入区分析安全风险接入区存在的主要问题是来自互联网接入区、外联接入区、内网接入区的安全风险，其次是数据中心互联区的可靠性。按照风险等级由高到低排序，风险最高的是互联网接入区，互联网用户最不可信，可能存在非法访问、网络攻击等安全风险；其次是外联接入区，合作伙伴可信度居中，企业的数据中心仅对其开放部分业务，分支机构和移动办公人员可信度高，根据访问方式的不同，给予不同的业务范围。该区域存在的问题主要是防止非法业务访问，保障分支安全接入和远程用户安全接入；最后内网接入区风险最低，接入数据中心的都是内部员工，可信度最高，根据不同的部门和业务，访问不同的业务服务区，该区的问题是非法业务访问。可靠性为保证数据中心的稳定可靠，防止数据过于集中，一旦遇到不可抗逆因素，如地震、火灾等出现业务系统访问中断，关键数据丢失等情况的发生，我们不得不进行异地容灾备份。数据中心互联区，即为多数据中心间的互联，需要解决的问题是多数据中心间的负载均衡、可靠稳定，以保证用户以最优的方式进行访问。另一方面，数据备份意味着每天会有大量的数据传输，随着数据量的不断攀升，如何专线进行优化以及提高传输速率？2.3业务区分析安全性业务区的安全需求是防止对服务区造成的各类攻击：利用服务器操作系统漏洞、应用软件漏洞通过缓冲区溢出、恶意蠕虫、病毒等应用层攻击，获取服务器权限、使服务器瘫痪；由于访问控制权限不当、系统误配置导致的敏感信息跨区域传播的问题；利用协议漏洞对服务器发起的拒绝服务攻击使得服务器无法提供正常服务，导致业务中断等问题。稳定性业务区的另一需求是保障服务器的稳定性。随着访问业务系统用户数的增加，给后台数据中心的服务器带来越来越大的压力，一边是高昂的服务器购买成本，另一边是业务系统的稳定可靠，如何在二者之间找到一种平衡？灵活性通常情况下，服务器工作负载不超过10%，造成大量的资源浪费。对于新业务系统的增加上线和旧业务下线的删除，往往需要消耗大量宝贵的资源和时间。如何提高服务器资源的利用率，保障业务的连续性，弹性灵活地分配已有资源？2.4运维区分析可视性运维区主要是对保障各类业务系统的可用性、大量数据的有效管理以及风险控制。随着网络设备和服务器越来也多，环境越来越复杂，这就需要对数据中心进行监控，实时探测各类系统和设备的可用性，如果出现故障，可减少花在排查上的时间。运维性运维区还需要进行实时的漏洞分析、WEB扫描，在风险还未造成损失前告警，以免事后排查也已造成严重损失。同时需要提供各类信息报表，将数据中心运行状况直观量化的展示出来，为下一步的信息化建设提供数据支撑。第3章解决方案3.1方案总体设计针对上述问题，深信服从安全、可靠、灵活、易运维的角度提出了以下数据中心解决方案，方案拓扑图如下所示：方案总述如下表所示：3.2接入区设计内网接入区该区域的风险主要来自非法业务访问，只需要旁路部署下一代防火墙NGAF。价值：可进行应用访问控制、ARP欺骗防御，以及其它安全策略设置，保障内网用户接入数据中心的高安全性，通过双机热备，保障高稳定性。拓扑图如下：外联网接入区该区域的需求是防止来自合作伙伴、分支、移动办公用户可能带来的病毒感染、网络攻击，以及确保他们的接入安全。旁路部署下一代防火墙NGAF和SSLVPN。价值：设置病毒防御、WEB过滤、IPS等策略来抵制来自广域网的安全威胁，从身份认证、终端安全检查、链路加密、访问控制、业务审计各方面来保障远程用户接入的安全性。拓扑图如下：互联网接入区该区域的需求是防止来自不可信任的外网用户的恶意攻击、非法业务访问，部署下一代防火墙NGAF。价值：提供ACL访问控制/DOS攻击防护、NAT地址隐藏、W以及其他安全策略的设置，防止非法业务的访问。拓扑图如下：数据中心互联区该区域的需求是保证多个数据中心间的负载均衡和传输高效。部署应用交付设备AD和广域网优化设备WOC。价值：根据管理人员预先设定的负载策略将用户的访问请求分配到不同的数据中心之上，保障用户的访问体验。通过流缓存技术，对冗余数据进行削减，通过HTP算法，提供网络吞吐量，从而提高传输效率，同时通过链路备份技术，在专线出现故障时，业务自动切换到备份链路，提高业务和网络的稳定性。拓扑图如下：3.3业务区设计设计：该区域的需求是保证业务区的安全和服务器的稳定可靠以及提升服务器的利用率。部署下一代防火墙，部署应用交付设备AD，部署虚拟化服务器aSv。价值：实现Dos和Web攻击防护、病毒木马防护、应用访问控制、敏感信息防泄漏；对服务器进行实时健康状况监控，根据设定的负载策略，将访问连接快速地分配到最优的服务器上，通过缓存、压缩、SSL卸载、连接复用等功能降低服务器性能消耗;灵活的分配服务器资源，提高资源利用率。拓扑图如下：3.4运维区设计设计：该区域的需求是对数据中心进行全网监控以及安全风险的分析，以达到合理有效管理的目的。部署应用性能监控设备APM，部署下一代防火墙NGAF。价值：对数据中心的交换机、服务器、路由器等网络设备进行监控，对网络中出现的风险及时预警，出现的故障实时告警。可对网络中出现的风险分析、WEB扫描、实时漏洞分析等，并且可提供各类统计分析报表。拓扑图如下：3.5方案价值3.5.1全方位的安全防护深信服数据中心解决方案提供了全方位的安全防护：一方面，提供L2-L7层的完整的数据中心应用安全防护体系，帮助数据中心解决传统防火墙由于工作在L3-L4层无法识别的应用层威胁，帮助用户将安全风险降到最低：网络安全：访问控制、DOS攻击防护、IPSECVPN组网、NAT地址转换；应用安全：漏洞攻击、非安全应用控制、恶意地址防护、病毒木马蠕动过滤、应用访问控制；Web安全：SQL注入、跨站脚本、敏感信息防泄漏；设备自身安全：抗DOS/DOS属性、管理员SSL加密登陆、业务与管理分离管理。另一方面，从分支机构用户接入、移动办公用户接入、合作伙伴用户接入全方位的保障外网接入的安全性：多种用户认证方式：口令、短信认证；CA认证、动态令牌、硬件特征码；密码保护；认证与或组合；访问权限控制：基于角色授权、主从行号绑定、B/S应用url级别授权、服务器地址伪装隐藏；数据传输加密：标准加密算法、国密加密算法。3.5.2多维度保障数据中心的可靠高效为保证数据中心业务不中断，实现可靠高效的目标，深信服解决方案具备多角度的保障：设备稳定性：可实现硬件故障bypass保证数据中心稳定性；数据中心稳定性：具备全面的健康检查机制，能够实时的监控各个数据中心的运行状况，及时发现出现故障的数据中心或者其内部服务器。一旦出现故障问题，能够保证将用户后续访问请求都分配到其他的正常数据中心或者服务器之上；3.访问高效：深信服单边加速技术，能够极大的提升用户的访问速度；4.容灾备份可靠高效：独特的基于字节的流缓存技术，对冗余数据削减高达90%，同时支持高校GZIP和LZO高速压缩算法，减少数据量，提高RPO和RTO指标；深信服的HTP算法，改变TCP网络拥塞算法和传输窗口，提高网络吞吐量，从而提升传输速率；链路备份技术，在专线出现故障的时候，业务自动切换到备份线路，保障业务传输的稳定性。3.5.3提升资源利用率和灵活性深信服解决方案具备提升资源利用率，实现弹性扩展，灵活分配资源的特点：服务器性能优化：通过缓存、压缩、ssl卸载、连接复用等技术进一步降低服务器性能消耗；提高利用率：将一台物理服务器虚拟化成为多个虚拟机服务器，每个虚拟机运行一个原来物理机的业务，从而提高物理服务器整体的CPU和内存等资源利用率；3.灵活：将所有计算资源进行统一整合，新增业务系统时只需通过管理中心新建一个虚拟机，分配其所需的CPU、内存等资源，然后安装软件立即就能提供服务，大大减少了运维工作量并缩短了业务上线的周期。3.5.4优化网管运维深信服解决方案能从以下几方面来优化运维：多维度监控：面向基础硬件设备、应用服务、异常流量进行7*24小时可用性监控；风险发现和防护：包含风险分析、WEB扫描、实时漏洞分析。对目标IP进行扫描，发现服务器上存在的漏洞，提高服务器安全性；对目标IP进行弱密码扫描，解决数据库弱口令访问不安全的问题；可进行自动化的Web应用安全漏洞评估，快速扫描和检测所有常见的Web漏洞；通过内置一些漏洞规则，对网络中指定的数据进行分析，从而发现网络中存在的安全漏洞问题。风险预警：当硬件设备性能低下或宕机，系统访问变慢或中断，实现风险预警；简化运维：当某一台物理服务器业务需要维护时，可利用系统备份，几秒钟内建立系统镜像，一旦出现突发状况，系统镜像可以帮助快速恢复到镜像状态，减少运维工作压力；智能报表：提供关于链路使用情况、服务器使用情况、用户使用偏好、风险分析等各类全面的智能报表分析，为后续网络优化和商业决策提供依据。第4章产品清单（根据具体情况填写）需求维度具体需求相关产品安全性网络安全防护2台NGAF接入安全2台SSLVPN可靠性灾备优化2台WOC服务器负载均衡2台AD全局负载均衡2台AD易运维服务器资源灵活分配aSv数据中心监控APM第5章客户案例中国汇友集团背景需求为了提升应用系统的稳定性和可靠行，可部署多条互联网链路以保证网络服务的质量，消除单点故障，减少停机时间，目前急需实现多条链路的负载均衡。当然随着访问用户数量的增加，也给服务器带来越来越大的压力，如何有效的保证客户访问速度，实现访问流量在各服务器上均衡分配，充分利用各服务器资源，也是目前网络建设的重要目标。入站流量的链路负载均衡：互联网络的外部用户如何在外部访问内部的网站和应用系统时也能够动态的在多条链路上平衡分配，并在一条链路中断的时候能够智能地自动切换到另外一条链路到达服务器和应用系统。服务器负载均衡：多台服务器，如何实现对多服务器的充分利用？传统方法采用服务器群，造成访问地址的复杂化和负载不平衡。对于每台服务器都必须有相应的唯一的IP地址，给用户的访问和网络管理带来不便。另外这些服务器之间的流量分配是随机的，不会考虑服务器当前的负载情况，在某些情形之下反而造成连接失败。因此需要寻求一种更好的解决方法。网络安全应用防护传统的防火墙在应用层攻击防护上存在严重不足，比如针对数据中心的十大web攻击：SQL注入、XSS、CSRF等攻击是包含在http正常请求中的Web攻击，可以通过80端口渗透传统防火墙与多功能网关，造成正对数据中心数据库服务器、Web服务器、存储服务器的攻击，可能导致信息泄露、数据中心服务器挂马、数据中心B/S业务篡改、甚至是业务中断。新的安全防护需要为不同规模的行业用户的数据中心、广域网边界、互联网边界等场景提供更加精细、更加全面、更高性能的应用内容防护方案高可靠保障数据中心为保证数据中心业务不中断，实现高可靠，安全解决方案具备多重的高可靠保障：传统关键部件冗余：包括电源、风扇1+1冗余，且支持热插拔存储介质冗余，确保系统稳定运行：硬盘+CF卡，实现存储冗余，在硬盘故障时，CF无缝切换，系统稳定运行设备稳定性：可实现硬件故障bypass保证数据中心稳定性。解决方案经以上综合分析以及结合现有的需求，在技术、应用实施可行、优化的原则下，推荐采用深信服应用交付设备AD，应用防火墙AF，远程接入SSLVPN和应用性能监控综合解决方案。一方面实现对入站链路和服务器的负载均衡，充分利用企业带宽资源，保证应用的稳定交付，另一方面，通过应用层防火墙将安全风险降到最低，打造“安全“、”可靠“、”高效“的交付网络。此综合方案主要实现的是对入站流量的负载均衡，防火墙的安全防护、内部应用系统的监控以及SSLVPN的远程维护管理。深信服应用交付设备AD采用路由模式部署，实现对入站和服务器的负载均衡，有效的保证客户访问速度，实现访问流量在各链路和服务器上均衡分配，从而充分利用各链路和服务器资源，双机部署避免网络单点故障深信服应用防火墙NGAF采用路由模式部署，采用防火墙+IPS+WAF割裂式的安全防护体系，实现外网对内的应用层防护，提供强化的Web攻击防护（防SQL注入、OS命令注入、XSS攻击、CSRF攻击）、多对象漏洞利用防护，有效阻止外部攻击，双机部署避免网络单点故障。方案价值深信服AD应用交付作为多链