企業(yè)私有云數(shù)據(jù)中心技術(shù)方案

1、 企業(yè)私有云數(shù)據(jù)中心技術(shù)方案解決方案建議書(shū) TOC o 1-3 h z u HYPERLINK l _Toc483134746 1需求分析 PAGEREF _Toc483134746 h 1 HYPERLINK l _Toc483134747 1.1現(xiàn)狀分析 PAGEREF _Toc483134747 h 1 HYPERLINK l _Toc483134748 2整體方案設(shè)計(jì) PAGEREF _Toc483134748 h 4 HYPERLINK l _Toc483134749 2.1整體解決方案拓?fù)?PAGEREF _Toc483134749 h 4 HYPERLINK l _Toc4831

2、34750 2.2云計(jì)算平臺(tái)的搭建 PAGEREF _Toc483134750 h 5 HYPERLINK l _Toc483134751 3基礎(chǔ)網(wǎng)絡(luò)平臺(tái)設(shè)計(jì) PAGEREF _Toc483134751 h 8 HYPERLINK l _Toc483134752 3.1基礎(chǔ)網(wǎng)絡(luò)整體設(shè)計(jì) PAGEREF _Toc483134752 h 8 HYPERLINK l _Toc483134753 4安全設(shè)計(jì) PAGEREF _Toc483134753 h 12 HYPERLINK l _Toc483134754 4.1L2L4層安全 PAGEREF _Toc483134754 h 13 HYPERLI

3、NK l _Toc483134755 4.2L4L7層安全 PAGEREF _Toc483134755 h 15 HYPERLINK l _Toc483134756 5存儲(chǔ)設(shè)計(jì) PAGEREF _Toc483134756 h 15需求分析現(xiàn)狀分析數(shù)據(jù)中心在基礎(chǔ)設(shè)施和應(yīng)用系統(tǒng)建設(shè)方面取得了很大的成績(jī)，但是在其建設(shè)當(dāng)中，辦公網(wǎng)和生產(chǎn)網(wǎng)的資源部署方式仍然是按照應(yīng)用進(jìn)行物理的劃分，這種部署方式可能存在以下風(fēng)險(xiǎn)和挑戰(zhàn)：資源利用率低由于應(yīng)用與資源綁定，每個(gè)應(yīng)用都需要按照其峰值業(yè)務(wù)量進(jìn)行資源的配置，這導(dǎo)致在大部分時(shí)間許多資源都處于閑置狀態(tài)，不僅造成服務(wù)器的資源利用率較低，而且對(duì)資源的共享、數(shù)據(jù)的共享造成了天

4、然的障礙。運(yùn)維成本高隨著企業(yè)內(nèi)部生產(chǎn)網(wǎng)和辦公網(wǎng)業(yè)務(wù)的增加，服務(wù)器、網(wǎng)絡(luò)和存儲(chǔ)的設(shè)備數(shù)量也會(huì)出現(xiàn)迅速的膨脹，在傳統(tǒng)的數(shù)據(jù)中心建設(shè)模式下，會(huì)造成占地空間、電力供應(yīng)、散熱制冷和維護(hù)成本的急劇上升，為企業(yè)長(zhǎng)遠(yuǎn)的IT投入和運(yùn)維帶來(lái)挑戰(zhàn)。業(yè)務(wù)部署緩慢在傳統(tǒng)的模式下，企業(yè)的各個(gè)部門(mén)如果要部署新的業(yè)務(wù)，那么在提交變更請(qǐng)求與進(jìn)行運(yùn)營(yíng)變更之間存在較大延遲，每一次的業(yè)務(wù)部署都要經(jīng)歷硬件選型、采購(gòu)、上架安裝、操作系統(tǒng)和應(yīng)用程序安裝以及網(wǎng)絡(luò)配置等操作，使得業(yè)務(wù)的部署極為緩慢。管理策略分散當(dāng)前的生產(chǎn)網(wǎng)和辦公網(wǎng)的運(yùn)維管理缺乏統(tǒng)計(jì)的集中化IT構(gòu)建策略，無(wú)法對(duì)企業(yè)內(nèi)網(wǎng)的基礎(chǔ)設(shè)施進(jìn)行監(jiān)控、管理、報(bào)告和遠(yuǎn)程訪問(wèn)，IT管理策略分散。

5、的云數(shù)據(jù)中心建設(shè)作為企業(yè)運(yùn)行關(guān)鍵業(yè)務(wù)運(yùn)行平臺(tái)和進(jìn)一步發(fā)展的基石，必須擁有更強(qiáng)的IT服務(wù)能力，保持高效穩(wěn)定的運(yùn)行，數(shù)據(jù)中心的升級(jí)建設(shè)勢(shì)在必行。另外，隨著企業(yè)IT建設(shè)的迅速開(kāi)展，云數(shù)據(jù)中心承載著企業(yè)內(nèi)部的關(guān)鍵業(yè)務(wù)、核心應(yīng)用，對(duì)于信息數(shù)據(jù)的完整性、業(yè)務(wù)運(yùn)行的可靠性、網(wǎng)絡(luò)系統(tǒng)的可用性的要求越來(lái)越重要。目前IT信息技術(shù)已經(jīng)延伸到企業(yè)的各個(gè)層面，從企業(yè)角度看，云計(jì)算有利于整合信息資源，實(shí)現(xiàn)信息共享，促進(jìn)企業(yè)信息化的發(fā)展。從用戶角度看，利用云計(jì)算可以獨(dú)立實(shí)現(xiàn)或享受某一項(xiàng)具體的業(yè)務(wù)和服務(wù)。因此云計(jì)算將在企業(yè)的IT政策和戰(zhàn)略中正扮演越來(lái)越重要的角色。云數(shù)據(jù)中心的建設(shè)，未來(lái)的核心業(yè)務(wù)涵蓋如下范圍：以“統(tǒng)規(guī)、統(tǒng)建、

6、統(tǒng)維”思想為指導(dǎo)，以豐富的云基礎(chǔ)設(shè)施，云存儲(chǔ)，云安全和各類(lèi)云服務(wù)共同構(gòu)建云數(shù)據(jù)中心，服務(wù)于各部門(mén)的生產(chǎn)網(wǎng)和辦公網(wǎng)。數(shù)據(jù)處理：海量數(shù)據(jù)的處理和分析。為各部門(mén)集中提供基礎(chǔ)的信息處理能力，承接企業(yè)各部門(mén)的應(yīng)用系統(tǒng)遷移和部署，實(shí)現(xiàn)相關(guān)云數(shù)據(jù)中心的資源整合、集中部署與統(tǒng)一管理。項(xiàng)目建設(shè)應(yīng)從云數(shù)據(jù)中心信息化發(fā)展方向以及發(fā)展現(xiàn)狀出發(fā)，加強(qiáng)綜合協(xié)調(diào)和統(tǒng)籌規(guī)劃，借助現(xiàn)代、前沿的信息化技術(shù)，形成集成能力強(qiáng)、運(yùn)作效率高和具有可持續(xù)發(fā)展能力的云數(shù)據(jù)中心多業(yè)務(wù)應(yīng)用平臺(tái)，真正為提供找得著、用得好、有保證的信息化服務(wù)。具體建設(shè)思路如下：統(tǒng)籌規(guī)劃，分步建設(shè)資源共享、協(xié)同服務(wù)因地制宜，突出重點(diǎn)基于云計(jì)算，創(chuàng)新服務(wù)模式本方案將云

7、數(shù)據(jù)中心“IT基礎(chǔ)設(shè)施”的“按需使用”以及”自動(dòng)化管理和調(diào)度”作為云計(jì)算的實(shí)踐，形成可落地實(shí)施的、可持續(xù)發(fā)展的云計(jì)算平臺(tái)，即IaaS云計(jì)算平臺(tái)。云數(shù)據(jù)中心的建設(shè)目標(biāo)建議如下：統(tǒng)一管理通過(guò)最新的云計(jì)算核心技術(shù)之一虛擬化技術(shù)，整合現(xiàn)有所有應(yīng)用，整合內(nèi)容包括WEB、MAIL、FTP、域控管理、OA系統(tǒng)、后臺(tái)數(shù)據(jù)庫(kù)等應(yīng)用，將整個(gè)業(yè)務(wù)系統(tǒng)作統(tǒng)一的規(guī)劃和部署，統(tǒng)一數(shù)據(jù)備份，從而形成自上向下的有效IT管理架構(gòu)。強(qiáng)調(diào)整體方案的可擴(kuò)展性、高可用性、易用性和易管理性采用最新的2路多核服務(wù)器，保證整個(gè)硬件系統(tǒng)的可靠性和可用性，為用戶的應(yīng)用提供可靠的硬件保障；建設(shè)云計(jì)算平臺(tái)，發(fā)揮云計(jì)算平臺(tái)的優(yōu)越性，為用戶提供HA功能

8、，保證用戶業(yè)務(wù)系統(tǒng)的連續(xù)性和高可用性，讓用戶的業(yè)務(wù)實(shí)現(xiàn)零宕機(jī)風(fēng)險(xiǎn)；提供專(zhuān)業(yè)的管理軟件，保證硬件系統(tǒng)和軟件系統(tǒng)的可管理性，為用戶節(jié)省管理投資成本。整體方案設(shè)計(jì)整體解決方案拓?fù)涓鶕?jù)本期工程的需求和建設(shè)目標(biāo)云計(jì)算平臺(tái)總體邏輯拓?fù)浣Y(jié)構(gòu)如上圖所示。整個(gè)平臺(tái)由網(wǎng)絡(luò)資源池、計(jì)算資源池、存儲(chǔ)資源池、管理中心以及利舊服務(wù)器區(qū)五部分組成。網(wǎng)絡(luò)資源池（根據(jù)實(shí)際配置撰寫(xiě)）采用業(yè)界主流的“核心+接入”扁平化組網(wǎng)，核心交換機(jī)采用2臺(tái)H3C S12508設(shè)備，部署IRF2虛擬化技術(shù)，并在機(jī)框內(nèi)部署負(fù)載均衡（LB）和防火墻（FW）插卡，實(shí)現(xiàn)業(yè)務(wù)的流量監(jiān)控和負(fù)載均衡；計(jì)算資源池的接入交換機(jī)采用4臺(tái)H3C S5830-V2設(shè)備(

9、24個(gè)萬(wàn)兆口)，部署IRF2虛擬化技術(shù)；計(jì)算資源池（根據(jù)實(shí)際配置撰寫(xiě)）采用H3Cloud云計(jì)算操作系統(tǒng)軟件，將40多臺(tái)H3C FlexServer R390機(jī)架服務(wù)器組建HA集群，在虛擬機(jī)上部署企業(yè)業(yè)務(wù)應(yīng)用，并配合HA和動(dòng)態(tài)負(fù)載均衡等高級(jí)功能，實(shí)現(xiàn)業(yè)務(wù)的連續(xù)性，減少計(jì)劃內(nèi)宕機(jī)時(shí)間，提高資源利用率。存儲(chǔ)資源池根據(jù)實(shí)際需求采用多臺(tái)H3C FlexStorage P4500 iSCSI存儲(chǔ)陣列，統(tǒng)一存放虛擬機(jī)鏡像文件和業(yè)務(wù)系統(tǒng)數(shù)據(jù)，這樣做不會(huì)在運(yùn)行虛擬機(jī)的云計(jì)算計(jì)算節(jié)點(diǎn)主機(jī)上引起任何額外的負(fù)載。管理中心采用2臺(tái)H3C FlexServer R390機(jī)架服務(wù)器，分別部署H3C iMC DCM數(shù)據(jù)中心管

10、理套件和H3Cloud軟件套件（含CVK、CVM和CIC），實(shí)現(xiàn)對(duì)云計(jì)算資源池的統(tǒng)一管理及調(diào)度。云計(jì)算平臺(tái)的搭建計(jì)算資源池設(shè)計(jì)服務(wù)器是云計(jì)算平臺(tái)的核心，其承擔(dān)著云計(jì)算平臺(tái)的“計(jì)算”功能。對(duì)于云計(jì)算平臺(tái)上的服務(wù)器，通常都是將相同或者相似類(lèi)型的服務(wù)器組合在一起，作為資源分配的母體，即所謂的服務(wù)器資源池。在這個(gè)服務(wù)器資源池上，再通過(guò)安裝虛擬化軟件，使得其計(jì)算資源能以一種虛擬服務(wù)器的方式被不同的應(yīng)用使用。這里所提到的虛擬服務(wù)器，是一種邏輯概念。對(duì)不同處理器架構(gòu)的服務(wù)器以及不同的虛擬化平臺(tái)軟件，其實(shí)現(xiàn)的具體方式不同。在x86系列的芯片上，其主要是以常規(guī)意義上的VMware虛擬機(jī)或者H3Cloud虛擬機(jī)的

11、形式存在。資源池分類(lèi)設(shè)計(jì)在搭建服務(wù)器資源池之前，首先應(yīng)該確定資源池的數(shù)量和種類(lèi)，并對(duì)服務(wù)器進(jìn)行歸類(lèi)。歸類(lèi)的標(biāo)準(zhǔn)通常是根據(jù)服務(wù)器的CPU類(lèi)型、型號(hào)、配置、物理位置來(lái)決定。對(duì)云計(jì)算平臺(tái)而言，屬于同一個(gè)資源池的服務(wù)器，通常就會(huì)將其視為一組可互相替代的資源。所以，一般都是將相同處理器、相近型號(hào)系列并且配置與物理位置接近的服務(wù)器比如相近型號(hào)、物理距離不遠(yuǎn)的機(jī)架式服務(wù)器或者刀片服務(wù)器。在做資源池規(guī)劃的時(shí)候，也需要考慮其規(guī)模和功用。如果單個(gè)資源池的規(guī)模越大，可以給云計(jì)算平臺(tái)提供更大的靈活性和容錯(cuò)性：更多的應(yīng)用可以部署在上面，并且單個(gè)物理服務(wù)器的宕機(jī)對(duì)整個(gè)資源池的影響會(huì)更小些。但是同時(shí)，太大的規(guī)模也會(huì)給出口網(wǎng)

12、絡(luò)吞吐帶來(lái)更大的壓力，各個(gè)不同應(yīng)用之間的干擾也會(huì)更大。如果有條件的話，通常推薦先審視一下企業(yè)自身的業(yè)務(wù)應(yīng)用。可以考慮將應(yīng)用分級(jí)，將某些級(jí)別高的應(yīng)用盡可能地放在某些獨(dú)立而規(guī)模較小的資源池內(nèi)，輔以較高級(jí)別的存儲(chǔ)設(shè)備，并配備高級(jí)別的運(yùn)維值守。而那些級(jí)別比較低的應(yīng)用，則可以被放在那些規(guī)模較大的公用資源池（群）中。初期的資源池規(guī)劃應(yīng)該涵蓋所有可能被納管到云計(jì)算平臺(tái)的所有服務(wù)器資源，包括那些為搭建云計(jì)算平臺(tái)新購(gòu)置的服務(wù)器、企業(yè)內(nèi)部那些目前閑置著的服務(wù)器以及那些現(xiàn)有的并正在運(yùn)行著業(yè)務(wù)應(yīng)用的服務(wù)器。在云計(jì)算平臺(tái)搭建的初期，那些目前正在為業(yè)務(wù)系統(tǒng)服務(wù)的服務(wù)器并不會(huì)直接被納入云計(jì)算平臺(tái)的管轄。但是隨著云計(jì)算平臺(tái)的

13、上線和業(yè)務(wù)系統(tǒng)的逐漸遷移，這些服務(wù)器也將逐漸地被并入云計(jì)算平臺(tái)的資源池中。對(duì)于x86系列的服務(wù)器，除了用于生產(chǎn)系統(tǒng)的資源池以外，還需要專(zhuān)門(mén)搭建一個(gè)測(cè)試用資源池，以便云計(jì)算平臺(tái)項(xiàng)目實(shí)施過(guò)程以及平臺(tái)上線以后運(yùn)維過(guò)程中使用。在云計(jì)算平臺(tái)搭建完畢以后，企業(yè)的服務(wù)器資源池可以如下圖所示：在云計(jì)算平臺(tái)上線以后，原有非云計(jì)算平臺(tái)上的應(yīng)用會(huì)逐步向云計(jì)算平臺(tái)遷移，空出的服務(wù)器資源池也會(huì)逐漸并入云計(jì)算平臺(tái)的資源池中。其狀態(tài)可以用下圖所示：CVM虛擬化管理平臺(tái)體系將IT數(shù)據(jù)中心的物理服務(wù)器資源以樹(shù)形結(jié)構(gòu)進(jìn)行組織管理，統(tǒng)一稱(chēng)之為云資源。云資源是H3Cloud云計(jì)算軟件分層管理模型的核心節(jié)點(diǎn)之一，用來(lái)統(tǒng)一管理數(shù)據(jù)中心內(nèi)

14、所有的、復(fù)雜的硬件基礎(chǔ)設(shè)施，不僅包括基本的IT基礎(chǔ)設(shè)施（如硬件服務(wù)器系統(tǒng)），還包括其它與之配套的設(shè)備（如網(wǎng)絡(luò)和存儲(chǔ)系統(tǒng)）。默認(rèn)情況下，H3Cloud云計(jì)算管理平臺(tái)出廠配置中已經(jīng)添加了一個(gè)名為“云資源”的根節(jié)點(diǎn)，準(zhǔn)備使用H3Cloud云計(jì)算軟件進(jìn)行管理的所有物理資源都需要手工逐一添加到該節(jié)點(diǎn)下進(jìn)行統(tǒng)一的管理。云資源中的被管理對(duì)象之間的關(guān)系可以用下圖描述：基礎(chǔ)網(wǎng)絡(luò)平臺(tái)設(shè)計(jì)基礎(chǔ)網(wǎng)絡(luò)整體設(shè)計(jì)本次項(xiàng)目基礎(chǔ)網(wǎng)絡(luò)采用“扁平化”設(shè)計(jì)，核心層直接下聯(lián)接入層，省去了中間匯聚層。隨著網(wǎng)絡(luò)交換技術(shù)的不斷發(fā)展，交換機(jī)的端口接入密度也越來(lái)越高，“扁平化”組網(wǎng)的擴(kuò)展性和密度已經(jīng)能夠很好的滿足云數(shù)據(jù)中心服務(wù)器接入的要求。同時(shí)

15、在服務(wù)器虛擬化技術(shù)應(yīng)用越來(lái)越廣泛的趨勢(shì)下，扁平化二層架構(gòu)更容易實(shí)現(xiàn)VLAN的大二層互通，滿足虛擬機(jī)的部署和遷移。相比傳統(tǒng)三層架構(gòu)，扁平化二層架構(gòu)可以大大簡(jiǎn)化網(wǎng)絡(luò)的運(yùn)維與管理。基礎(chǔ)網(wǎng)絡(luò)平臺(tái)組織結(jié)構(gòu)如下圖所示：網(wǎng)絡(luò)的二、三層邊界在核心層，安全部署在核心層；核心與接入層之間采用二層進(jìn)行互聯(lián)，實(shí)現(xiàn)大二層組網(wǎng)，在接入層構(gòu)建計(jì)算和存儲(chǔ)資源池，滿足資源池內(nèi)虛擬機(jī)可在任意位置的物理服務(wù)器上遷移與集群。實(shí)際組網(wǎng)拓?fù)淙缦聢D所示： 采用2臺(tái)S12508構(gòu)建核心層，分別通過(guò)10GE鏈路與接入層、管理網(wǎng)交換機(jī)、出口路由器互連，未來(lái)此核心層將逐步演變成整網(wǎng)大核心，兩臺(tái)核心交換機(jī)部署IRF虛擬化。接入層采用2臺(tái)S5830V

16、2-24S，每臺(tái)接入交換機(jī)與核心交換機(jī)采用10GE鏈路交叉互連，兩臺(tái)接入交換機(jī)部署IRF虛擬化，與核心交換機(jī)實(shí)現(xiàn)跨設(shè)備鏈路捆綁，消除二層環(huán)路，并實(shí)現(xiàn)鏈路負(fù)載分擔(dān)。分層分區(qū)設(shè)計(jì)思路：根據(jù)業(yè)務(wù)進(jìn)行分區(qū)，分成計(jì)算區(qū)、存儲(chǔ)區(qū)和管理區(qū)。計(jì)算、存儲(chǔ)區(qū)域內(nèi)二層互通，區(qū)域間VLAN隔離；根據(jù)每層工作特點(diǎn)分為核心層和接入層，網(wǎng)關(guān)部署在核心層。核心層設(shè)計(jì)核心層由兩臺(tái)H3C S12508構(gòu)建，負(fù)責(zé)整個(gè)云計(jì)算平臺(tái)上應(yīng)用業(yè)務(wù)數(shù)據(jù)的高速交換。兩臺(tái)核心交換機(jī)S12508分別與兩臺(tái)服務(wù)器接入?yún)^(qū)交換機(jī)間呈“三角形”型連接，與現(xiàn)網(wǎng)出口區(qū)路由器呈“口”字型連接，一臺(tái)管理區(qū)接入交換機(jī)雙上行分別與兩臺(tái)核心交換機(jī)連接。核心交換機(jī)間及與服

17、務(wù)器接入交換機(jī)、管理區(qū)接入交換機(jī)、現(xiàn)網(wǎng)核心路由器間均采用萬(wàn)兆接口捆綁互聯(lián)。核心交換機(jī)上部署防火墻插卡和網(wǎng)流分析插卡，實(shí)現(xiàn)云計(jì)算業(yè)務(wù)的安全防護(hù)與流量分析。兩臺(tái)S12508部署IRF2虛擬化技術(shù)，簡(jiǎn)化路由協(xié)議運(yùn)行狀態(tài)與運(yùn)維管理，同時(shí)大大縮短設(shè)備及鏈路出現(xiàn)故障快速切換，避免網(wǎng)絡(luò)震蕩。IRF2互聯(lián)鏈路采用2*10GE捆綁，保證高可靠及橫向互訪高帶寬。組網(wǎng)拓?fù)淙缦聢D所示： 接入層設(shè)計(jì)接入層分為資源池接入和管理區(qū)接入兩大部分：資源池接入：采用兩臺(tái)S5830V2-24S全萬(wàn)兆交換機(jī)構(gòu)建，負(fù)責(zé)x86服務(wù)器和iSCSI存儲(chǔ)設(shè)備的網(wǎng)絡(luò)接入，服務(wù)器配置雙網(wǎng)卡4個(gè)萬(wàn)兆接口，其中兩個(gè)萬(wàn)兆接口捆綁做業(yè)務(wù)流接口，兩個(gè)萬(wàn)兆接

18、口捆綁做存儲(chǔ)流接口雙網(wǎng)卡采用捆綁雙活模式；iSCSI存儲(chǔ)設(shè)備的網(wǎng)絡(luò)接入采用萬(wàn)兆鏈路，接入交換機(jī)上對(duì)應(yīng)的端口工作在萬(wàn)兆模式。兩臺(tái)S5830V2-24S部署IRF2虛擬化技術(shù)，通過(guò)跨設(shè)備鏈路捆綁消除二層環(huán)路、簡(jiǎn)化管理，同時(shí)大大縮短設(shè)備及鏈路出現(xiàn)故障快速切換，避免網(wǎng)絡(luò)震蕩。IRF2互聯(lián)鏈路采用2*10GE捆綁，保證高可靠及橫向互訪高帶寬。安全設(shè)計(jì)本次項(xiàng)目安全設(shè)計(jì)采用分層保護(hù)的思路，從“云計(jì)算資源池”向外延伸有三重保護(hù)：具有豐富安全特性的交換機(jī)構(gòu)成數(shù)據(jù)中心網(wǎng)絡(luò)的第一重保護(hù)；具有高性能檢測(cè)引擎的IPS對(duì)網(wǎng)絡(luò)報(bào)文做深度檢測(cè)，構(gòu)成數(shù)據(jù)中心網(wǎng)絡(luò)的第二重保護(hù)；憑借高性能硬件防火墻構(gòu)成的數(shù)據(jù)中心網(wǎng)絡(luò)邊界，對(duì)數(shù)據(jù)中

19、心網(wǎng)絡(luò)做第三重保護(hù)；三重保護(hù)為數(shù)據(jù)中心網(wǎng)絡(luò)提供了從鏈路層到應(yīng)用層的多層防御體系。交換機(jī)提供的安全特性構(gòu)成安全數(shù)據(jù)中心的網(wǎng)絡(luò)基礎(chǔ)，提供數(shù)據(jù)鏈路層的攻擊防御。數(shù)據(jù)中心網(wǎng)絡(luò)邊界安全定位在傳輸層與網(wǎng)絡(luò)層的安全上，通過(guò)狀態(tài)防火墻可以把安全信任網(wǎng)絡(luò)和非安全網(wǎng)絡(luò)進(jìn)行隔離，并提供對(duì)DDOS和多種畸形報(bào)文攻擊的防御。IPS可以針對(duì)應(yīng)用流量做深度分析與檢測(cè)能力，即可以有效檢測(cè)并實(shí)時(shí)阻斷隱藏在海量網(wǎng)絡(luò)流量中的病毒、攻擊與濫用行為，也可以對(duì)分布在網(wǎng)絡(luò)中的各種流量進(jìn)行有效管理，從而達(dá)到對(duì)網(wǎng)絡(luò)應(yīng)用層的保護(hù)。L2L4層安全L2L4層安全防護(hù)由防火墻完成，本次項(xiàng)目防火墻插卡設(shè)備雖然部署在交換機(jī)框中，但仍然可以看作是一個(gè)獨(dú)立的

20、設(shè)備。它通過(guò)交換機(jī)內(nèi)部的10GE接口與網(wǎng)絡(luò)設(shè)備相連，它可以部署為2層透明設(shè)備和三層路由設(shè)備。防火墻與交換機(jī)之間的三層部署方式與傳統(tǒng)盒式設(shè)備類(lèi)似。 如上圖FW三層部署所示，防火墻可以與宿主交換機(jī)直接建立三層連接，也可以與上游或下游設(shè)備建立三層連接，不同連接方式取決于用戶的訪問(wèn)策略。可以通過(guò)靜態(tài)路由和缺省路由實(shí)現(xiàn)三層互通，也可以通過(guò)OSPF這樣的路由協(xié)議提供動(dòng)態(tài)的路由機(jī)制。如果防火墻部署在服務(wù)器區(qū)域，可以將防火墻設(shè)計(jì)為服務(wù)器網(wǎng)關(guān)設(shè)備，這樣所有訪問(wèn)服務(wù)器的三層流量都將經(jīng)過(guò)防火墻設(shè)備，這種部署方式可以提供區(qū)域內(nèi)部服務(wù)器之間訪問(wèn)的安全性。安全域劃分：核心防火墻插卡上根據(jù)不同的業(yè)務(wù)類(lèi)型，劃分不同的安全域，

21、通過(guò)域間策略的安全防護(hù)。本次項(xiàng)目初期建議劃分虛擬桌面域、虛擬機(jī)業(yè)務(wù)域、存儲(chǔ)域、外部域這四個(gè)安全域，所示外部流量及跨域的橫向互訪流量均需要經(jīng)過(guò)防火墻過(guò)濾。如下圖所示：虛擬桌面域：此域內(nèi)主要部署虛擬桌面的后臺(tái)虛擬機(jī)，只允許使用瘦客戶機(jī)的用戶訪問(wèn)；虛擬機(jī)業(yè)務(wù)域：此域內(nèi)主要部署初期遷移到虛擬機(jī)上的試點(diǎn)業(yè)務(wù)應(yīng)用，只允許相應(yīng)的用戶訪問(wèn)；存儲(chǔ)域：此域用戶部署iSCSI或NAS存儲(chǔ)設(shè)備，僅限云平臺(tái)虛擬機(jī)訪問(wèn)，不允許外部用戶訪問(wèn)。外部域：與現(xiàn)網(wǎng)及企業(yè)外網(wǎng)用戶互聯(lián)，非信任區(qū)域。安全控制策略：防火墻設(shè)置為默認(rèn)拒絕工作方式，保證所有的數(shù)據(jù)包，如果沒(méi)有明確的規(guī)則允許通過(guò)，全部拒絕以保證安全；建議在兩臺(tái)防火墻上設(shè)定嚴(yán)格的

22、訪問(wèn)控制規(guī)則，配置只有規(guī)則允許的IP地址或者用戶能夠訪問(wèn)數(shù)據(jù)業(yè)務(wù)網(wǎng)中的指定的資源，嚴(yán)格限制網(wǎng)絡(luò)用戶對(duì)數(shù)據(jù)業(yè)務(wù)網(wǎng)服務(wù)器的資源，以避免網(wǎng)絡(luò)用戶可能會(huì)對(duì)數(shù)據(jù)業(yè)務(wù)網(wǎng)的攻擊、非授權(quán)訪問(wèn)以及病毒的傳播，保護(hù)數(shù)據(jù)業(yè)務(wù)網(wǎng)的核心數(shù)據(jù)信息資產(chǎn)；配置防火墻防DOS/DDOS功能，對(duì)Land、Smurf、Fraggle、Ping of Death、Tear Drop、SYN Flood、ICMP Flood、UDP Flood等拒絕服務(wù)攻擊進(jìn)行防范，可以實(shí)現(xiàn)對(duì)各種拒絕服務(wù)攻擊的有效防范，保證網(wǎng)絡(luò)帶寬；配置防火墻全面攻擊防范能力，包括ARP欺騙攻擊的防范，提供ARP主動(dòng)反向查詢(xún)、TCP報(bào)文標(biāo)志位不合法攻擊防范、超大IC

23、MP報(bào)文攻擊防范、地址/端口掃描的防范、ICMP重定向或不可達(dá)報(bào)文控制功能、Tracert報(bào)文控制功能、帶路由記錄選項(xiàng)IP報(bào)文控制功能等，全面防范各種網(wǎng)絡(luò)層的攻擊行為。L4L7層安全防火墻工作在L2L4層上，無(wú)法“看”到L4層以上的安全威脅，而傳統(tǒng)的IDS（入侵檢測(cè)系統(tǒng)）作為一個(gè)旁路設(shè)備，對(duì)這些威脅又“看而不阻”，因此我們需要IPS（入侵防御系統(tǒng)）來(lái)解決下面這些L4L7層的安全問(wèn)題：存儲(chǔ)設(shè)計(jì)目前主流的存儲(chǔ)架構(gòu)包括DAS、 NAS、 SAN，下面針對(duì)3種主流應(yīng)用系統(tǒng)做架構(gòu)分析。直連方式存儲(chǔ)（Direct Attached Storage - DAS）。顧名思義，在這種方式中，存儲(chǔ)設(shè)備是通過(guò)電纜（

24、通常是SCSI接口電纜）直接到服務(wù)器。I/O請(qǐng)求直接發(fā)送到存儲(chǔ)設(shè)備。存儲(chǔ)區(qū)域網(wǎng)絡(luò)（Storage Area Network - SAN）。存儲(chǔ)設(shè)備組成單獨(dú)的網(wǎng)絡(luò)，大多利用光纖連接，服務(wù)器和存儲(chǔ)設(shè)備間可以任意連接。I/O請(qǐng)求也是直接發(fā)送到存儲(chǔ)設(shè)備。如果SAN是基于TCP/IP的網(wǎng)絡(luò)，則通過(guò)iSCSI技術(shù)，實(shí)現(xiàn)IP-SAN網(wǎng)絡(luò)。網(wǎng)絡(luò)連接存儲(chǔ)（Network Attached Storage - NAS）。NAS設(shè)備通常是集成了處理器和磁盤(pán)/磁盤(pán)柜，連接到TCP/IP網(wǎng)絡(luò)上（可以通過(guò)LAN或WAN），通過(guò)文件存取協(xié)議（例如NFS，CIFS等）存取數(shù)據(jù)。NAS將文件存取請(qǐng)求轉(zhuǎn)換為內(nèi)部I/O請(qǐng)求。上述幾種存儲(chǔ)方式的優(yōu)劣勢(shì)分析：DAS費(fèi)用低；適合于單獨(dú)的服務(wù)器連接主機(jī)的擴(kuò)展性受到限制，主機(jī)和存儲(chǔ)的連接距離受到限制，只能實(shí)現(xiàn)網(wǎng)絡(luò)備份，對(duì)業(yè)務(wù)網(wǎng)絡(luò)的壓力較大SAN高性能，高擴(kuò)展性；光纖連接距離遠(yuǎn)；可連接多個(gè)磁盤(pán)陣列或磁帶庫(kù)組成存儲(chǔ)池，易于管理；通過(guò)備份軟件，可以做到Server-Free和LAN-Free備份，減輕服務(wù)器和網(wǎng)絡(luò)負(fù)擔(dān)。成本較高NAS安裝過(guò)程簡(jiǎn)單；易于管理；利用現(xiàn)有的網(wǎng)絡(luò)實(shí)現(xiàn)文件共享；高擴(kuò)展