農業(yè)信息化網站建設方案

1、xx 農業(yè)信息化網站建設方 案 目 錄 1系統(tǒng)集成方案系統(tǒng)集成方案.3 1.1系統(tǒng)建設原則.3 1.2系統(tǒng)整體設計思路概述.4 1.3系統(tǒng)示意拓撲圖.5 1.4詳細設計 .8 1.4.1服務器系統(tǒng).8 1.4.2服務器負載均衡.11 1.4.3存儲系統(tǒng).11 1.5安全設計 .13 1.5.1系統(tǒng)高可用.13 1.5.2互聯(lián)網安全接入和入侵防御系統(tǒng).13 1.5.3網頁防篡改系統(tǒng).14 1.5.4病毒防范系統(tǒng).15 1.5.5用戶/服務器身份認證 .15 1.6本規(guī)劃特點 .16 1 系統(tǒng)集成方案系統(tǒng)集成方案 1.11.1 系統(tǒng)建設原則系統(tǒng)建設原則 1、先進性 設計思想先進、起點高，結構先進，

2、最大限度的采用市場覆蓋 率高、符合技術標準的標準化和技術成熟的軟硬件產品。 2、實用性 要充分保護好、利用好現(xiàn)有的資源，發(fā)揮現(xiàn)有設備的功效，功 能完善、兼容性強。 3、開放性 采用開放技術、開放結構、開放系統(tǒng)組件和開放接口，符合國 際通用標準協(xié)議，便于系統(tǒng)維護、擴展升級與外界互聯(lián)溝通。 4、可靠性 具有容錯功能，管理維護方便，能滿足系統(tǒng)所在的地理環(huán)境、 氣候條件?？垢蓴_能力強，確保系統(tǒng)的高可靠運行。 5、可擴展性 規(guī)劃與設計既能滿足現(xiàn)行的應用，在配置上，又要有所預留， 以滿足因技術發(fā)展需要而實現(xiàn)低成本擴展和升級的需要。 6、安全性 最大滿足的提供多層次的安全控制手段，建立完善的安全體系。 7、

3、經濟性 投資合理，優(yōu)良好的性價比，且綜合考慮設備價格的變化、擴 展升級等因素。 8、易維護性 系統(tǒng)應具有良好的管理功能。 1.21.2 系統(tǒng)整體設計思路概述系統(tǒng)整體設計思路概述 考慮本系統(tǒng)預計的同時在線用戶數(shù)量較大（約 300000 用戶） ， 為保證系統(tǒng)的穩(wěn)定和可靠運行，并且有效保護投資，建議整個系統(tǒng) 硬件構架上采用分期實施方式，同時在系統(tǒng)的整體結構設計上具有 良好的可擴展性。一期建議先按照 2000-3000 用戶同時并發(fā)考慮設 計，后期隨著用戶數(shù)的增加，只需要添加相應的服務器和網絡設備 等，而不需要改變系統(tǒng)的整體架構。 1.31.3 系統(tǒng)示意拓撲系統(tǒng)示意拓撲圖圖 入入侵侵檢檢測測 i i

4、d ds s 核核心心交交換換機機 w we eb b服服務務器器群群 數(shù)數(shù)據據庫庫服服務務器器 群群 網網頁頁防防篡篡改改發(fā)發(fā) 布布服服務務器器 認認證證服服務務器器 s sa an n交交換換機機 主主存存儲儲 備備份份存存儲儲 備備份份管管理理 服服務務器器 防防火火墻墻 負負載載均均衡衡 交交換換機機 c ca a, ,r ra a, ,r rs s服服務務器器 聯(lián)通電信 銀行 方案設計說明：方案設計說明： 本設計從結構和功能角度主要劃分為：服務器部分、存儲部分、 互聯(lián)網安全部分、應用服務器負載均衡部分、網頁防篡改部份等。 1、服務器系統(tǒng)： 考慮本系統(tǒng)可能的同時在線用戶數(shù)量較大（約 3

5、00000 用戶）為 保障業(yè)務的穩(wěn)定運行，并為今后業(yè)務擴展預留充分的擴展空間，本 方案采用兩級結構：前端部署 2 臺負載均衡交換機，采用多臺 pc 服 務器并行作為系統(tǒng)應用服務器，運行應用系統(tǒng)來提供 web 服務；后 端采用 2 臺高性能服務器以集群方式工作，作為后臺數(shù)據庫服務器， 這 2 臺服務器實現(xiàn)雙機和負載分擔。服務器選型為國際著名品牌， 具有優(yōu)異處理能力、可靠的穩(wěn)定性和便捷的可管理維護性。 此種設計架構的優(yōu)點在于可以充分保障系統(tǒng)的穩(wěn)定可靠，而且 隨著用戶量的增加，可以通過直接增加應用服務器和數(shù)據庫服務器 的方式保證系統(tǒng)的運行，而不需要改變現(xiàn)有的架構，能夠做到對現(xiàn) 有投資的有效利用和保護

6、。 2、存儲系統(tǒng)： 考慮本系統(tǒng)包含業(yè)務重要，且需要運行數(shù)據庫等軟件，故存儲 系統(tǒng)使用 fc san 架構。通過采用多端口的 san 交換機，可以實現(xiàn)多 臺數(shù)據庫服務器共享一臺高性能的磁盤陣列，保證業(yè)務的可靠性和 系統(tǒng)的可擴展性。fc san 架構為當前技術最成熟、最穩(wěn)定的存儲架 構，尤其適合包含重要業(yè)務應用的數(shù)據庫環(huán)境。 為實現(xiàn)系統(tǒng)最大可用性，保證服務器和存儲間的最佳組合，建 議存儲和服務器主機同一品牌。 3、互聯(lián)網和銀行安全接入 建議采用安全網關（防火墻）接入寬帶互聯(lián)網，安全網關 utm(統(tǒng)一威脅管理)可以進行從網絡層到應用層的全面檢查，在安 全網關上還可以部署防病毒模塊，從而有效防范抵御來

7、自網外的病 毒、黑客等攻擊。 一體化安全網關采用高性能的硬件架構和一體化的軟件設計， 通過選配不同的應用模塊（如用戶需要） ，可以實現(xiàn)集防火墻、 vpn、入侵防御（ips） 、防病毒、外聯(lián)控制、抗拒絕服務攻擊 （anti-dos） 、內容過濾、反垃圾郵件、netflow 等多種安全技術于 一身，同時全面支持 qos、高可用性（ha） 、日志審計等功能，為 網絡邊界提供了全面實時的安全防護。 4、入侵防御系統(tǒng) 入侵防御系統(tǒng)（ips）可以圍繞深層防御、精確阻斷這個核心， 通過對網絡中深層攻擊行為進行準確的分析判斷，在判定為攻擊行 為后立即予以阻斷，主動而有效的保護網絡的安全。 入侵防御系統(tǒng)（ips

8、）傾向于提供主動性的防護，其設計旨在 預先對入侵活動和攻擊性網絡流量進行攔截，避免其造成任何損失， 而不是簡單地在惡意流量傳送時或傳送后才發(fā)出警報。ips 是通過 直接嵌入到網絡流量中而實現(xiàn)這一功能的，即通過一個網絡端口接 收來自外部系統(tǒng)的流量，經過檢查確認其中不包含異?；顒踊蚩梢?內容后，再通過另外一個端口將它傳送到內部系統(tǒng)中。這樣一來， 有問題的數(shù)據包，以及所有來自同一數(shù)據流的后續(xù)數(shù)據包，都能夠 在 ips 設備中被清除掉。簡單地理解，ips 等于防火墻加上入侵檢 測系統(tǒng)，但并不是說 ips 可以代替防火墻或入侵檢測系統(tǒng)。防火墻 是粒度比較粗的訪問控制產品，它在基于 tcp/ip 協(xié)議的過

9、濾方面 表現(xiàn)出色，而且在大多數(shù)情況下，可以提供網絡地址轉換、服務代 理、流量統(tǒng)計等功能。 5、服務器負載均衡 由于本站同時在線及并發(fā)的用戶量較大，預計峰值會有 300000 人左右在線，故采用 2 臺硬件負載均衡交換機+多臺 web 服務器的模 式，通過負載均衡交換機合理分配用戶的訪問流量到各臺服務器， 保障系統(tǒng)的穩(wěn)定可靠運行。 1.41.4 詳細設計詳細設計 1.4.11.4.1 服務器服務器系統(tǒng)系統(tǒng) 服務器應能夠確保連續(xù)的，長時間的正常運行；由于服務器上 包含重要業(yè)務數(shù)據，必須保證 724 小時的不間斷使用，而且一臺 服務器硬件故障不能影響整個系統(tǒng)的運行；服務器應能夠運行 oracle 等

10、大型數(shù)據庫及應用程序；能滿足當大量用戶及多種業(yè)務在 服務器上運行時，系統(tǒng)性能不明顯下降；應能夠提供很高的安全性、 可靠性與可管理性。 1.4.1.11.4.1.1選型概述選型概述 考慮本系統(tǒng)可能的同時在線用戶數(shù)量較大（約 300000 用戶）為 保障業(yè)務的穩(wěn)定運行，并為今后業(yè)務擴展預留充分的空間，本方案 采用兩級結構：前端部署 2 臺負載均衡交換機，采用多臺 pc 服務器 并行作為系統(tǒng)應用服務器，運行應用系統(tǒng)來提供服務；后端采用 2 臺高性能服務器作為后臺數(shù)據庫服務器，這 2 臺服務器通過雙機軟 件實現(xiàn)雙機和負載分擔。服務器選型為國際著名品牌，具有優(yōu)異處 理能力、可靠的穩(wěn)定性和便捷的可管理維護

11、性。 對于處理能力的需求，往往通過內部的 tpmc（tpc-c，事務處 理性能標準的單位）指標來衡量服務器系統(tǒng)的總體處理能力。tpmc 是以不同系列服務器在實際業(yè)務環(huán)境中經過大量檢測得到的技術指 標，是一種國際標準。該值考慮到了用戶的實際環(huán)境，具有很高的 參考價值。 1.4.1.21.4.1.2cpu 能力的計算能力的計算 以下計算公式是業(yè)界系統(tǒng)集成總結的經驗方法，基本反映了業(yè) 務特點對主機處理能力的需求： tpmtask80%s（1+f）/（tc） 其中： task：為每日業(yè)務統(tǒng)計峰值交易量，每臺寫為主的終端每天大 約會對數(shù)據庫做 5 次操作，按照 500000 臺計算；而每臺以讀為主的 終

12、端每天大約會對數(shù)據庫做出 10 次操作，按照 500000 臺計算。則 每天總的業(yè)務對數(shù)據庫的操作數(shù)為：5*500000+10*500000=7500000 次。 t：為每日峰值交易時間，每日 80%業(yè)務量集中在每天的 1 小時， 即 60 分鐘內完成：t=60。 s：為實際業(yè)務交易操作相對于標準 tpc-c 測試基準環(huán)境交易的 復雜程度比例。由于實際的業(yè)務交易復雜程度與 tpc-c 標準測試中 的交易存在較大的差異，須設定一個合理的對應值。一筆業(yè)務往往 需要同時寫入大量數(shù)據庫表，相對于 tpc-c 標準交易的復雜度，要 復雜很多；根據科學的統(tǒng)計結果，每筆交易操作相比較于 tpc 標準 測試中

13、的每筆交易的復雜度，此值可設定為 30。 c：為主機 cpu 處理余量。實際應用經驗表明，一臺主機服務器 的 cpu 利用率高于 80%，則表明 cpu 的利用率過高會產生系統(tǒng)瓶頸， 而利用率低于 60%時，是處于利用率最佳狀態(tài)。因此，在推算主機 性能指標時，必須考慮 cpu 的冗余，設定 c=60%。 f：為系統(tǒng)未來三年的業(yè)務量發(fā)展冗余預留，設定為 50%。 綜上所述，為保障數(shù)據庫程序處理性能要求，我們可推算得出 主機所需的處理能力?？紤]每日的業(yè)務量的 80大約在工作日的 1 個小時高峰業(yè)務時段內發(fā)生，業(yè)務復雜度參數(shù)設定為 30。則套用上 面的公式： 每分鐘的交易數(shù)：tpm=75000008

14、0%30*1.5/(600.6) 75000000 注：注：本期工程中建議采用 2 臺高性能 pc 服務器作為數(shù)據庫服務 器，通過集群方式提供分擔和冗余服務。后期隨著用戶量的增加， 可以通過在群集內增加服務器的方式實現(xiàn)方便的擴展。 1.4.1.31.4.1.3推薦服務器配置推薦服務器配置 數(shù)據庫服務器數(shù)據庫服務器（2 臺）： 作用：運行系統(tǒng)所需的各種系統(tǒng)數(shù)據和業(yè)務數(shù)據，完成本地業(yè) 務數(shù)據的訪問、存取。 操作系統(tǒng)：redhat5 linux 高級平臺服務器版 數(shù)據庫：oracle10g 硬件設備配置：4 顆英特爾 至強主頻 2.4ghz 以上六核處理 器,32g 以上內存，2*146g 10k

15、sas 2.5雙端口熱插拔硬盤，支持 raid-0、1、5，4 個 10/100/1000mb 自適應以太網口，11 冗余電 源，超薄 sata dvd 光驅。 應用服務器：應用服務器：（2 臺以上） 作用：采用 2 臺以上 pc 服務器并行作為系統(tǒng)應用服務器，為用 戶提供在線服務。 操作系統(tǒng)：redhat5 linux 標準服務器版 硬件設備配置：2 顆英特爾 至強四核處理器 2.40ghz 以上, 8g 內存，2*146g 10k sas 2.5雙端口熱插拔硬盤， 4 個 10/100/1000mb 自適應以太網卡，11 冗余電源，超薄 sata dvd 光 驅。 注：單臺注：單臺 web

16、web 應用服務器大約可以承載應用服務器大約可以承載 50005000 左右并發(fā)用戶，可左右并發(fā)用戶，可 以通過增加應用服務器數(shù)量實現(xiàn)承載能力的擴充。以通過增加應用服務器數(shù)量實現(xiàn)承載能力的擴充。 1.4.21.4.2 服務器負載均衡服務器負載均衡 推薦采用 2 臺負載均衡交換機，部署在 web 服務器前端，通過 負載均衡交換機合理分配用戶的訪問流量到各臺服務器，保障系統(tǒng) 的穩(wěn)定可靠運行。 1.4.31.4.3 存儲存儲系統(tǒng)系統(tǒng) 1.4.3.11.4.3.1選型概述選型概述 性能 存儲性能是系統(tǒng)設計的重要原則之一，存儲的性能應能夠滿足 應用系統(tǒng)峰值的需求，并有進一步擴展的空間，包括容量和性能的

17、擴展。選擇性能最佳的磁盤系統(tǒng)，可以有效地提高計算機系統(tǒng)的 i/o 性能，從而提高計算機的整體性能。 擴展性 磁盤系統(tǒng)的容量擴展性：磁盤系統(tǒng)本身設計會有一定的局限， 其容量最大可擴展能力是否滿足單位今后數(shù)據發(fā)展的需要，是選擇 磁盤系統(tǒng)時必須考慮的一個方面。 磁盤系統(tǒng)的擴容兼容性：由于磁盤系統(tǒng)的發(fā)展日新月異，用戶 在存儲擴容時還要考慮新磁盤系統(tǒng)與舊設備之間的兼容性，即產品 系列有連續(xù)性。 磁盤驅動器的兼容性：只有能夠支持不同容量、不同轉速的磁 盤驅動器，才能最大限度地保護用戶的投資。 可靠性 數(shù)據是非常重要的資產，數(shù)據的可靠性很大程度上依靠存儲設 備。 1.4.3.21.4.3.2存儲選型存儲選型

18、 本期工程系統(tǒng)按 300000 用戶，考慮數(shù)據保存 10 年設計，并保 證一定的擴展能力。 每天圖片數(shù)量大概在 40m， 文字信息大概在 20m，日志大概 20m，按照保存 10 年的數(shù)據考慮，則資料數(shù)據為：（40+20+20） 365*10292g。 主數(shù)據庫考慮 30g 空間，則數(shù)據庫數(shù)據量為 29230322g。 數(shù)據庫容量數(shù)據庫數(shù)據量（1索引系數(shù) 0.3）（1冗 余系數(shù) 0.2）+數(shù)據庫系統(tǒng)空間 20gb292g1.31.220455g。 對于系統(tǒng)的數(shù)據采用 raid5 的冗余方式，其數(shù)據量為 455/0.8570gb 的物理存儲空間。 1.4.3.31.4.3.3推薦存儲配置推薦存儲

19、配置 磁盤陣列： 光纖磁盤陣列 1 臺，8 端口 san 交換機 2 臺。 2 個控制器 ,每個控制器有 1 gb 以上緩存、2 個 4gb fibre channel 端口；6 塊以上 146g sas 硬盤。 1.51.5 安全設計安全設計 1.5.11.5.1系統(tǒng)高可用系統(tǒng)高可用 針對電子商務系統(tǒng)的特點，本系統(tǒng)主要設備均設置雙機互備， 最大程度上消除單點故障，從而滿足業(yè)務系統(tǒng)高可用的需求。 1.5.21.5.2互聯(lián)網安全接入互聯(lián)網安全接入和入侵防御系統(tǒng)和入侵防御系統(tǒng) 預計本網站高峰在線用戶有 300000 人，按照高峰有 10%（30000）用戶并發(fā)，每個用戶平均最少需要消耗約 100k

20、bit 帶 寬計算，考慮一定的冗余，建議大約需要 3000m 互聯(lián)網出口帶寬。 注：先期如果用戶量不大，可以根據實際情況適當考慮出口帶注：先期如果用戶量不大，可以根據實際情況適當考慮出口帶 寬。寬。 互聯(lián)網接入設備互聯(lián)網接入設備 按照業(yè)界的經驗值每個用戶的連接數(shù)在 10-20 個左右，按照 300000 用戶同時在線計算，防火墻的并發(fā)連接數(shù)需要在 1000000 以上。 注：先期如果用戶量不大，可以根據實際選擇單臺并發(fā)連接數(shù) 1000000 以上的防火墻，后期（業(yè)務量達到一定程度）再采用多臺 防火墻并發(fā)分擔流量。 推薦采用千兆安全網關接入寬帶互聯(lián)網，設備可提供 4 個以上 10/100/100

21、0base-t 接口，支持 sfp 千兆接口，并發(fā)連接數(shù) 1000000 以上，每秒新建連接數(shù) 30000 以上，吞吐量 2g 以上。 入侵防御設備入侵防御設備 推薦互聯(lián)網防御方面部署入侵防御系統(tǒng)，入侵防御類網絡安全 產品，圍繞深層防御、精確阻斷這個核心，通過對網絡中深層攻擊 行為進行準確的分析判斷，在判定為攻擊行為后立即予以阻斷，主 動而有效的保護網絡的安全。入侵防御系統(tǒng)及時、全面的檢測和呈 現(xiàn)網頁木馬和 web 漏洞，并提供補救措施。對 sql 注入、跨腳本 攻擊等針對 web 業(yè)務的攻擊行為有很好的判斷和防御能力，做到 無誤報，無漏報。 1.5.31.5.3網頁防篡改系統(tǒng)網頁防篡改系統(tǒng)

22、面對越來越多的 web 應用層攻擊，傳統(tǒng)的安全措施和服務已經 無法有效的進行防御。即便有防病毒保護、防火墻和 ids/ips，企 業(yè)仍然不得不允許一部分的通訊經過防火墻，畢竟 web 應用的目的 是為用戶提供服務，保護措施可以關閉不必要暴露的端口，但是通 常情況下 web 應用必須的 80 和 443 端口，是一定要開放的?？梢?順利通過的這部分通訊，可能是善意的，也可能是惡意的，很難辨 別。而惡意的用戶則可以利用這兩個端口執(zhí)行各種惡意的操作，或 者偷竊、或者操控、或者破壞 web 應用中的重要信息。因此，部署 專業(yè)、可靠的 web 應用安全產品以保護 web 應用免遭篡改、注入、 跨站等應用

23、層攻擊，是保障網站系統(tǒng)業(yè)務安全正常運營、阻止不法 分子侵害廣大用戶的利益的重要措施。 推薦在現(xiàn)有網絡架構的基礎上部署網頁防篡改系統(tǒng)，一旦發(fā)現(xiàn) 網頁被非法修改，即進行自動恢復，保證非法網頁內容不被公眾瀏 覽。支持網頁的自動發(fā)布、篡改檢測、應用保護、警告和自動恢復， 保證傳輸、鑒別、完整性檢查、地址訪問、表單提交、審計等各個 環(huán)節(jié)的安全，完全實時地杜絕篡改后的網頁被訪問的可能性，也杜 絕任何使用 web 方式對后臺數(shù)據庫的篡改。 1.5.41.5.4病毒防范系統(tǒng)病毒防范系統(tǒng) 網絡病毒是目前廣大互聯(lián)網用戶最頭疼的問題。在網絡出口部 署防火墻，只能做到對來自局域網外部攻擊的防范，對于由于局域 網內部員工的不規(guī)范使用或 copy 文件而產生的病毒，無法做到控 制。對于公司內部網，必須增加一套網絡版殺毒軟件，用以控制局 域網內的主機病毒。 1.5.51.5.5用戶用戶/服務器身份認證服務器身份認證 1、建立 pki/ca 認證體系 從總體構架來看， pki/ca 主要由最終用戶、認證中心和注冊 機構來組成。本系統(tǒng)配置了 c