XX廣電數(shù)據(jù)中心網(wǎng)絡(luò)解決方案

廣電數(shù)據(jù)中心網(wǎng)絡(luò)解決方案廣電數(shù)據(jù)中心面臨的挑戰(zhàn) “數(shù)據(jù)中心”建設(shè)是三網(wǎng)融合建設(shè)的重要組成部分，是廣電網(wǎng)絡(luò)運(yùn)營商進(jìn)行多業(yè)務(wù)運(yùn)營轉(zhuǎn)型，提升綜合實(shí)力的主要任務(wù)。作為定位在“多業(yè)務(wù)運(yùn)營平臺”基礎(chǔ)之上的數(shù)據(jù)中心，它不僅作為開展業(yè)務(wù)，還對廣電現(xiàn)有的寬帶接入業(yè)務(wù)、互動數(shù)字電視視頻業(yè)務(wù)、互動增值業(yè)務(wù)的發(fā)展產(chǎn)生積極作用，同時為廣電的支撐系統(tǒng)提供運(yùn)維保障。 當(dāng)前廣電數(shù)據(jù)中心面臨的挑戰(zhàn)是：廣電寬帶用戶需要的互聯(lián)網(wǎng)內(nèi)容與信息服務(wù)大部分在電信和聯(lián)通的網(wǎng)內(nèi)，導(dǎo)致廣電巨大的入網(wǎng)流量帶寬成本。需要建設(shè)數(shù)據(jù)中心并部署一定規(guī)模的P2P、應(yīng)用緩存系統(tǒng)，從而盡可能將本地寬帶用戶的內(nèi)容和服務(wù)請求終結(jié)在廣電網(wǎng)內(nèi)?；訑?shù)字高清視頻業(yè)務(wù)是廣電運(yùn)營商的核心業(yè)務(wù)，其發(fā)展方向是互動、高清、3D，該業(yè)務(wù)不僅需要大量豐富的高清互動視頻媒體資源，同時還需要完善的視頻內(nèi)容分發(fā)網(wǎng)絡(luò)（），作為數(shù)據(jù)中心一個業(yè)務(wù)域，對大流量環(huán)境下的高帶寬、高可靠、高穩(wěn)定、易管理、節(jié)能環(huán)保要求較高。業(yè)務(wù)是運(yùn)營商業(yè)務(wù)領(lǐng)域的重要組成部分，是信息化服務(wù)的趨勢，相關(guān)業(yè)務(wù)除了傳統(tǒng)的系統(tǒng)托管業(yè)務(wù)、服務(wù)器和帶寬等資源租賃業(yè)務(wù)、網(wǎng)絡(luò)安全增值業(yè)務(wù)外，還將面向公眾、企業(yè)等客戶的云計(jì)算服務(wù)，承載這些業(yè)務(wù)，完善的數(shù)據(jù)中心基礎(chǔ)設(shè)施是不可或缺的。隨著業(yè)務(wù)的發(fā)展，廣電運(yùn)營商需要逐步建設(shè)完備的支撐系統(tǒng)，包括相關(guān)的業(yè)務(wù)平臺管理系統(tǒng)、內(nèi)部管理系統(tǒng)，現(xiàn)階段大部分的廣電支撐系統(tǒng)還處在不斷完善、持續(xù)建設(shè)的階段，如果廣電馬上建設(shè)完善獨(dú)立的支撐系統(tǒng)數(shù)據(jù)中心將是一種硬件資源、運(yùn)維資源的潛在浪費(fèi)，需要將其納入到多業(yè)務(wù)數(shù)據(jù)中心，保障該系統(tǒng)的獨(dú)立性和安全隔離，以逐步完善支撐系統(tǒng)。 根據(jù)對廣電行業(yè)業(yè)務(wù)對數(shù)據(jù)中心的建設(shè)需求，漢柏科技提出了廣電數(shù)據(jù)中心網(wǎng)絡(luò)解決方案，對數(shù)據(jù)中心網(wǎng)絡(luò)的總體架構(gòu)、網(wǎng)絡(luò)功能、可靠性、安全設(shè)計(jì)、服務(wù)質(zhì)量設(shè)計(jì)進(jìn)行了詳細(xì)的描述，以指導(dǎo)建設(shè)一個高度可靠、安全、快速、可擴(kuò)展的數(shù)據(jù)中心網(wǎng)絡(luò)平臺。 漢柏認(rèn)為數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)目標(biāo)是：在統(tǒng)籌廣電數(shù)據(jù)中心項(xiàng)目業(yè)務(wù)需求和發(fā)展的基礎(chǔ)上，兼顧遠(yuǎn)期發(fā)展目標(biāo)，建設(shè)一個高度可靠、安全、快速、可擴(kuò)展的基礎(chǔ)網(wǎng)絡(luò)平臺，為各項(xiàng)業(yè)務(wù)提供優(yōu)質(zhì)高效的網(wǎng)絡(luò)服務(wù)。數(shù)據(jù)中心業(yè)務(wù)規(guī)劃 廣電數(shù)據(jù)中心網(wǎng)絡(luò)承載的業(yè)務(wù)眾多，可按照業(yè)務(wù)類型初步規(guī)劃如下：自營交互應(yīng)用業(yè)務(wù) 交互應(yīng)用業(yè)務(wù)區(qū)承載了雙向互動點(diǎn)播系統(tǒng)業(yè)務(wù)，是作為廣電運(yùn)營商“三網(wǎng)融合”的核心業(yè)務(wù)，在業(yè)務(wù)部署模式上采用的是分布式部署，即中央交互服務(wù)器與區(qū)域交互服務(wù)器是邏輯分開的。業(yè)務(wù) 包括大客戶系統(tǒng)托管、游戲門戶、視頻門戶、門戶等業(yè)務(wù)。云計(jì)算業(yè)務(wù) 包括承載網(wǎng)、企業(yè)私有云、個人公有云、物聯(lián)網(wǎng)等業(yè)務(wù)。支撐系統(tǒng) 包括多業(yè)務(wù)管理系統(tǒng)、計(jì)費(fèi)管理系統(tǒng)、用戶管理系統(tǒng)、企業(yè)內(nèi)部管理系統(tǒng)等業(yè)務(wù)。網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)設(shè)計(jì)原則廣電數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計(jì)原則如下：層次化廣電數(shù)據(jù)中心網(wǎng)絡(luò)在網(wǎng)絡(luò)層次設(shè)計(jì)上分為三層結(jié)構(gòu)，即核心層、匯聚層、接入層。區(qū)域化廣電數(shù)據(jù)中心網(wǎng)絡(luò)根據(jù)業(yè)務(wù)功能劃分區(qū)域，各自獨(dú)立，分別設(shè)計(jì)。高可靠性系統(tǒng)的可靠性是網(wǎng)絡(luò)健壯和穩(wěn)定的重要因素之一，所以對網(wǎng)絡(luò)系統(tǒng)的高可靠性設(shè)計(jì)必須全面考慮?？蓴U(kuò)展性隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和應(yīng)用規(guī)模的不斷擴(kuò)大，網(wǎng)絡(luò)應(yīng)具有平滑擴(kuò)展的能力，這種擴(kuò)展不應(yīng)影響原有的應(yīng)用。廣電數(shù)據(jù)中心網(wǎng)絡(luò)系統(tǒng)應(yīng)能夠隨時通過增加網(wǎng)絡(luò)設(shè)備或模塊來擴(kuò)展、升級整個網(wǎng)絡(luò)系統(tǒng)，同時保證原有設(shè)備的正常使用。整體網(wǎng)絡(luò)架構(gòu) 漢柏建議數(shù)據(jù)中心網(wǎng)絡(luò)的網(wǎng)絡(luò)架構(gòu)采用分層、分區(qū)的模塊化規(guī)劃方法，即：根據(jù)不同的網(wǎng)絡(luò)訪問層次，將數(shù)據(jù)中心網(wǎng)絡(luò)分為：核心層、匯聚層和接入層。根據(jù)不同的業(yè)務(wù)功能，將數(shù)據(jù)中心網(wǎng)絡(luò)在功能上分為：交互業(yè)務(wù)區(qū)、業(yè)務(wù)區(qū)、云計(jì)算業(yè)務(wù)區(qū)、支撐業(yè)務(wù)區(qū)。 整體拓?fù)浣Y(jié)構(gòu)如下： 核心交換區(qū)作為中心連接了各業(yè)務(wù)區(qū)匯聚接入交換機(jī)和骨干網(wǎng)、承載網(wǎng)接入路由器，核心與匯聚之間以及核心與廣域網(wǎng)之間采用口字型結(jié)構(gòu)，以保證系統(tǒng)可靠性。層次化網(wǎng)絡(luò)架構(gòu) 核心交換區(qū)分外聯(lián)核心交換區(qū)和內(nèi)聯(lián)核心交換區(qū)，各負(fù)責(zé)與廣電骨干網(wǎng)和承載網(wǎng)以及其它數(shù)據(jù)中心網(wǎng)絡(luò)互聯(lián)；作為數(shù)據(jù)中心網(wǎng)絡(luò)的路由中心，與區(qū)域匯聚交換機(jī)三層連接，實(shí)現(xiàn)整個網(wǎng)絡(luò)各個區(qū)域間的數(shù)據(jù)交換。核心層交換機(jī)之間通過兩條萬兆鏈路捆綁互聯(lián)，以實(shí)現(xiàn)穩(wěn)定可靠的網(wǎng)絡(luò)中心。核心交換機(jī)建議采用漢柏萬兆模塊化交換機(jī)6600系列交換機(jī)，通過萬兆鏈路與匯聚交換機(jī)實(shí)現(xiàn)互聯(lián)互通。 漢柏6600系列適合為用戶組建高性能、高安全、高可靠的數(shù)據(jù)中心。6600單機(jī)提供高達(dá)3.2T的交換容量和2381的轉(zhuǎn)發(fā)能力，可以實(shí)現(xiàn)384個千兆或64個萬兆以太網(wǎng)接口的全線速轉(zhuǎn)發(fā)，滿足了數(shù)據(jù)中心的高性能需求；6600支持全方位的安全，通過加強(qiáng)設(shè)備自身的安全特性，提供內(nèi)置的安全模塊等多種方式，滿足了數(shù)據(jù)中心的高安全需求；6600支持不間斷轉(zhuǎn)發(fā)技術(shù)，支持所有模塊的熱插拔，再加上等冗余備份技術(shù)，滿足了數(shù)據(jù)中心的高可靠需求。漢柏6600憑借其卓越的性能、全方位的安全以及電信級的可靠性，為數(shù)據(jù)中心建設(shè)提供了堅(jiān)實(shí)可靠的網(wǎng)絡(luò)基礎(chǔ)平臺。 匯聚層作為各個區(qū)域數(shù)據(jù)的匯聚中心，分擔(dān)核心層的壓力，為服務(wù)器群對外提供高帶寬出口；要求提供高密度10端口實(shí)現(xiàn)接入層互聯(lián)；另外充分考慮擴(kuò)展性需求，我們建議選用漢柏科技公司的6600萬兆交換機(jī)作為匯聚，以實(shí)現(xiàn)高密度、高性能的服務(wù)器接入。 接入層支持高密度千兆接入、萬兆接入；接入總帶寬和上行帶寬存在收斂比，基于機(jī)架考慮，1U設(shè)備更具有靈活部署能力。漢柏3750E系列萬兆路由交換機(jī)采用硬件領(lǐng)先的架構(gòu)，可全線速轉(zhuǎn)發(fā)各種類型的數(shù)據(jù)包，在6方面處于業(yè)界領(lǐng)先的地位。該系列產(chǎn)品全面支持各種單播路由和組播路由協(xié)議以及漢柏科技有限公司獨(dú)有的擴(kuò)展的多項(xiàng)功能，可滿足于大型網(wǎng)絡(luò)的需求。不僅如此，3750E系列交換機(jī)還借助芯片級的安全可靠轉(zhuǎn)發(fā)能力和多樣化的業(yè)務(wù)支持，以及較高的性價比，成為大型網(wǎng)絡(luò)匯聚層和中型網(wǎng)絡(luò)萬兆核心層解決方案的最佳產(chǎn)品。 3750E系列萬兆路由交換機(jī)是漢柏科技有限公司強(qiáng)力推出的面向大型數(shù)據(jù)中心的高性能、高安全性、高可靠性的盒式萬兆路由交換機(jī)，3750E系列交換機(jī)支持靈活的千兆的雙介質(zhì)光、電組合端口形態(tài)，同時支持高達(dá)四個高性能的萬兆擴(kuò)展，標(biāo)準(zhǔn)的1U高度，滿足匯聚產(chǎn)品向高性能、小型化、節(jié)能環(huán)保發(fā)展的趨勢。在性能和功能方面，3750E系列交換機(jī)能夠滿足大型網(wǎng)絡(luò)的組網(wǎng)需求，并具備豐富的智能和安全特性，特別適合于作為大型校園網(wǎng)、企業(yè)網(wǎng)、電子政務(wù)網(wǎng)、城域網(wǎng)的匯聚設(shè)備，以及中小型網(wǎng)絡(luò)的核心設(shè)備。區(qū)域化業(yè)務(wù)接入網(wǎng)絡(luò)架構(gòu) 目前應(yīng)用訪問大部分已實(shí)現(xiàn)瀏覽器/服務(wù)（簡稱）架構(gòu)，該架構(gòu)要求采用三級服務(wù)器訪問模式，結(jié)合安全和管理方面需求，漢柏建議采用對外接入?yún)^(qū)和應(yīng)用服務(wù)器接入?yún)^(qū)兩個子區(qū)域?qū)崿F(xiàn)業(yè)務(wù)服務(wù)器接入，其網(wǎng)絡(luò)架構(gòu)及流量模型如下： 兩個業(yè)務(wù)子區(qū)域通過交換網(wǎng)絡(luò)的互連，層層的安全保護(hù)，形成結(jié)構(gòu)清晰的易于部署的服務(wù)器接入架構(gòu)。網(wǎng)絡(luò)功能性設(shè)計(jì)設(shè)計(jì) 廣電數(shù)據(jù)中心網(wǎng)絡(luò)系統(tǒng)屬于交換網(wǎng)絡(luò)，各業(yè)務(wù)數(shù)據(jù)由通道進(jìn)行承載，漢柏建議設(shè)計(jì)分為如下三個部分：設(shè)備管理設(shè)備間互聯(lián)業(yè)務(wù) 由于各業(yè)務(wù)區(qū)域廣播域完全分開，因此對業(yè)務(wù)區(qū)域來說可以獨(dú)立進(jìn)行設(shè)計(jì)，建議設(shè)計(jì)與地址設(shè)計(jì)統(tǒng)籌考慮，如可以將編號與地址某一位設(shè)計(jì)成相同，以利于數(shù)據(jù)中心網(wǎng)絡(luò)系統(tǒng)運(yùn)行維護(hù)。地址設(shè)計(jì) 地址設(shè)計(jì)分設(shè)備管理地址設(shè)計(jì)、互聯(lián)地址設(shè)計(jì)、業(yè)務(wù)地址設(shè)計(jì)，漢柏認(rèn)為廣電數(shù)據(jù)中心網(wǎng)絡(luò)地址規(guī)劃應(yīng)按如下原則進(jìn)行：地址規(guī)劃主要涉及到網(wǎng)絡(luò)資源利用的方便有效的管理網(wǎng)絡(luò)的問題，合理的地址規(guī)劃是有利于網(wǎng)絡(luò)管理的；地址的合理分配是保證網(wǎng)絡(luò)順利運(yùn)行和網(wǎng)絡(luò)資源有效利用的關(guān)鍵。應(yīng)充分考慮到地址空間的合理使用，保證實(shí)現(xiàn)最佳的網(wǎng)絡(luò)內(nèi)地址分配及業(yè)務(wù)流量的均勻分布；地址的規(guī)劃與劃分應(yīng)該考慮到網(wǎng)絡(luò)的后續(xù)規(guī)模和業(yè)務(wù)上的發(fā)展，能夠滿足未來發(fā)展的需要；即要滿足當(dāng)前業(yè)務(wù)對地址的需求，同時要充分考慮未來業(yè)務(wù)發(fā)展，預(yù)留相應(yīng)的地址段；地址的分配需要有足夠的靈活性，能夠滿足各種用戶接入需要；地址分配是由業(yè)務(wù)驅(qū)動，按照業(yè)務(wù)量的大小分配各業(yè)務(wù)區(qū)域的地址段；地址的分配必須采用(變長掩碼)技術(shù)，保證地址的利用效率；采用技術(shù)，通過地址聚合，以減小路由器路由表的大小，加快路由器路由的收斂速度，也可以減小網(wǎng)絡(luò)中廣播的路由信息的大??；充分合理利用分配的地址空間，提高地址的利用效率；地址規(guī)劃應(yīng)該是數(shù)據(jù)中心網(wǎng)絡(luò)整體規(guī)劃的一部分，即地址規(guī)劃要和網(wǎng)絡(luò)層次規(guī)劃、路由協(xié)議規(guī)劃、流量規(guī)劃等結(jié)合起來考慮。地址的規(guī)劃應(yīng)盡可能和網(wǎng)絡(luò)層次相對應(yīng)，應(yīng)該是自頂向下的一種規(guī)劃。路由設(shè)計(jì) 考慮到交互應(yīng)用系統(tǒng)內(nèi)網(wǎng)絡(luò)中服務(wù)器對負(fù)載均衡的需求，漢柏建議將網(wǎng)絡(luò)網(wǎng)關(guān)部署在負(fù)載均衡器上，而網(wǎng)絡(luò)中的服務(wù)器網(wǎng)關(guān)部署在區(qū)域防火墻上，由防火墻實(shí)現(xiàn)安全訪問控制。 其它業(yè)務(wù)區(qū)域服務(wù)器網(wǎng)關(guān)均部署在匯聚交換機(jī)上，防火墻透明部署，并增加安全訪問控制策略。 為了實(shí)現(xiàn)網(wǎng)關(guān)設(shè)備的動態(tài)切換，漢柏建議為網(wǎng)關(guān)設(shè)備部署協(xié)議，并疊加技術(shù)，實(shí)現(xiàn)網(wǎng)關(guān)快速切換。 漢柏建議各區(qū)域采用路由協(xié)議實(shí)現(xiàn)互聯(lián)互通，路由策略設(shè)計(jì)如下：對于外聯(lián)核心交換機(jī)啟用三個進(jìn)程，分別與對外接入?yún)R聚交換機(jī)、骨干網(wǎng)接入路由器、承載網(wǎng)接入路由器建立鄰居，分別學(xué)習(xí)到數(shù)據(jù)中心網(wǎng)絡(luò)路由、骨干網(wǎng)路由及承載網(wǎng)路由，然后將數(shù)據(jù)中心網(wǎng)絡(luò)路由重分布到骨干網(wǎng)和承載網(wǎng)，而骨干網(wǎng)和承載網(wǎng)之間不重分布路由，以防止骨干網(wǎng)用戶能夠訪問承載網(wǎng)數(shù)據(jù)。對于內(nèi)聯(lián)核心交換機(jī)啟用兩個進(jìn)程，分別與應(yīng)用服務(wù)器接入?yún)R聚交換機(jī)和其他節(jié)點(diǎn)數(shù)據(jù)中心交換機(jī)建立鄰居，在各路由區(qū)域內(nèi)選擇性重分布路由，以控制業(yè)務(wù)區(qū)域服務(wù)器與其它數(shù)據(jù)中心訪問。網(wǎng)絡(luò)可靠性設(shè)計(jì)設(shè)備級可靠性設(shè)計(jì) 本方案采用的漢柏設(shè)備為分布式體系結(jié)構(gòu)，所有關(guān)鍵部件采用冗余設(shè)計(jì)，包括主控板、交換網(wǎng)、電源和風(fēng)扇等；采用無源背板設(shè)計(jì)，避免機(jī)箱出現(xiàn)單點(diǎn)故障；所有單板支持熱插拔功能，并且對其它單板上運(yùn)行的業(yè)務(wù)無影響。 漢柏系列交換機(jī)采用“最長匹配、逐包轉(zhuǎn)發(fā)”模式，能夠抵御網(wǎng)絡(luò)病毒的攻擊；支持、2及4報(bào)文的明文及5密文認(rèn)證；支持、、和端口等多種組合綁定方式，防范地址盜用；支持廣播報(bào)文抑制，有效控制等非法廣播流量對設(shè)備造成沖擊；支持，防止地址欺騙；支持報(bào)文安全過濾，防止非法侵入和惡意報(bào)文攻擊等。 此外設(shè)備自身的可靠性還可以通過為關(guān)鍵設(shè)備配置冗余部件來實(shí)現(xiàn)，如將核心交換機(jī)和匯聚交換機(jī)配置為雙引擎、雙電源。此外漢柏防火墻、入侵檢測設(shè)備均支持雙操作系統(tǒng)，當(dāng)出現(xiàn)主操作系統(tǒng)不工作時，備操作系統(tǒng)立刻接管主操作系統(tǒng)，保證業(yè)務(wù)不發(fā)生中斷。鏈路級可靠性設(shè)計(jì) 漢柏6600及3750E交換機(jī)均支持鏈路捆綁技術(shù)，對于核心交換機(jī)和匯聚交換機(jī)，互聯(lián)鏈路采用了兩條鏈路捆綁，這樣當(dāng)出現(xiàn)單條鏈路中斷情況時，均可以通過協(xié)議的收斂機(jī)制實(shí)現(xiàn)數(shù)據(jù)交換無丟包。 網(wǎng)絡(luò)互聯(lián)方面，由于采用了路由協(xié)議，當(dāng)非捆綁鏈路出現(xiàn)中斷情況時，協(xié)議將重新計(jì)算出新的轉(zhuǎn)發(fā)路徑，保障數(shù)據(jù)轉(zhuǎn)發(fā)不中斷。同時漢柏6600及3750E交換機(jī)均支持技術(shù)，可將路由協(xié)議的收斂速度由秒級縮減到毫秒級，從而大大提高了整體網(wǎng)絡(luò)的可靠性和應(yīng)用的可用性。網(wǎng)絡(luò)安全設(shè)計(jì)設(shè)計(jì)原則 漢柏認(rèn)為數(shù)據(jù)中心網(wǎng)絡(luò)安全需遵從如下設(shè)計(jì)原則： (1)構(gòu)建分域的控制體系 整個系統(tǒng)安全在總體架構(gòu)上將按照分域保護(hù)思路進(jìn)行，參考信息安全技術(shù)框架，將交互應(yīng)用公共支撐網(wǎng)絡(luò)從結(jié)構(gòu)上劃分為不同的安全區(qū)域，各個安全區(qū)域內(nèi)部的網(wǎng)絡(luò)設(shè)備、服務(wù)器、應(yīng)用系統(tǒng)形成單獨(dú)的計(jì)算環(huán)境、各個安全區(qū)域之間的通道形成邊界、各個安全區(qū)域之間的連接鏈路和網(wǎng)絡(luò)設(shè)備構(gòu)成了網(wǎng)絡(luò)基礎(chǔ)設(shè)施；因此方案將從保護(hù)計(jì)算環(huán)境、保護(hù)邊界、保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施三個層面進(jìn)行設(shè)計(jì)，并通過統(tǒng)一的基礎(chǔ)支撐平臺來實(shí)現(xiàn)對基礎(chǔ)安全設(shè)施的集中管理，構(gòu)建分域的控制體系。 (2)構(gòu)建縱深的防御體系 整個系統(tǒng)安全對交互應(yīng)用公共支撐網(wǎng)絡(luò)的通信網(wǎng)絡(luò)、區(qū)域邊界、計(jì)算環(huán)境，綜合采用訪問控制、入侵檢測、安全審計(jì)、防病毒、集中數(shù)據(jù)備份等多種技術(shù)和措施，實(shí)現(xiàn)雙向交互業(yè)務(wù)應(yīng)用的可用性、完整性和保密性保護(hù)，并在此基礎(chǔ)上實(shí)現(xiàn)綜合集中的安全管理，并充分考慮各種技術(shù)的組合和功能的互補(bǔ)性，合理利用措施，從外到內(nèi)形成一個縱深的安全防御體系，保障信息系統(tǒng)整體的安全保護(hù)能力。 (3)保證一致的安全強(qiáng)度 應(yīng)采用分級的辦法，采取強(qiáng)度一致的安全措施，并采取統(tǒng)一的防護(hù)策略，使各安全措施在作用和功能上相互補(bǔ)充，形成動態(tài)的防護(hù)體系。在建設(shè)手段上，采取“大平臺”的方式進(jìn)行建設(shè)，在平臺上實(shí)現(xiàn)各個級別信息系統(tǒng)的基本保護(hù)，比如多層的邊界防護(hù)系統(tǒng)、統(tǒng)一的審計(jì)系統(tǒng)，綜合的網(wǎng)管系統(tǒng)，然后在基本保護(hù)的基礎(chǔ)上，再根據(jù)各個信息系統(tǒng)的重要程度，采取高強(qiáng)度的保護(hù)措施。 (4)實(shí)現(xiàn)集中的安全管理 網(wǎng)絡(luò)與信息安全不是單純的技術(shù)問題，需要在采用安全技術(shù)和產(chǎn)品的同時，重視安全管理，不斷完善各類安全管理規(guī)章制度和操作規(guī)程，全面提高安全管理水平。建設(shè)一套覆蓋全面、重點(diǎn)突出、持續(xù)運(yùn)行的信息安全管理體系，該體系覆蓋信息系統(tǒng)安全所要求的安全技術(shù)和安全運(yùn)維等內(nèi)容，符合信息系統(tǒng)的業(yè)務(wù)特性和發(fā)展戰(zhàn)略，可持續(xù)發(fā)展與完善。 信息安全管理的目標(biāo)就是通過采取適當(dāng)?shù)目刂拼胧﹣肀Ｕ闲畔⒌谋Ｃ苄?、完整性、可用性，從而確保信息系統(tǒng)內(nèi)不發(fā)生安全事件、少發(fā)生安全事件、即使發(fā)生安全事件也能有效控制事件造成的影響。通過建設(shè)集中的安全管理平臺，實(shí)現(xiàn)對信息資產(chǎn)、安全事件、安全風(fēng)險(xiǎn)、訪問行為等的統(tǒng)一分析與監(jiān)管，通過關(guān)聯(lián)分析技術(shù)，使系統(tǒng)管理人員能夠迅速發(fā)現(xiàn)問題，定位問題，有效應(yīng)對安全事件的發(fā)生。 (5)系統(tǒng)冗余設(shè)計(jì) 如何保證數(shù)據(jù)中心對外正常提供服務(wù)是整個數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)的重點(diǎn)，整個系統(tǒng)不應(yīng)只考慮到安全設(shè)備的部署，還要系統(tǒng)的考慮到主干網(wǎng)絡(luò)、分域網(wǎng)絡(luò)、所有應(yīng)用系統(tǒng)的冗余機(jī)制，以保證所有業(yè)務(wù)的正常訪問。 (6)提升系統(tǒng)的保障能力 在技術(shù)措施和管理手段建設(shè)的同時，重視信息安全中“人”的重要作用，通過一系列的風(fēng)險(xiǎn)評估、安全加固提升系統(tǒng)的安全性，并通過安全培訓(xùn)和安全通告提高歌華有線自身技術(shù)人員的技術(shù)水平，使系統(tǒng)安全保障能力達(dá)到行業(yè)內(nèi)一流的信息安全保障水平，支撐和保障信息系統(tǒng)和業(yè)務(wù)的安全穩(wěn)定運(yùn)行。安全域設(shè)計(jì) 傳統(tǒng)解決方案中，終端用戶可以訪問自己前端服務(wù)器，同時服務(wù)器可以訪問內(nèi)部應(yīng)用服務(wù)器，這樣存在非常嚴(yán)重的安全隱患，一旦前端服務(wù)器被互聯(lián)網(wǎng)黑客植入木馬，則黑客可通過“肉雞”主機(jī)竊取高等級安全域中的信息數(shù)據(jù)。 針對網(wǎng)絡(luò)中可能存在的“肉雞”主機(jī)問題，應(yīng)用安全域解決方案通過對用戶主機(jī)的認(rèn)證授權(quán)模式，確?？蛻糁鳈C(jī)在同一時間段只能訪問某一個區(qū)域，如訪問對外接入?yún)^(qū)域，則對外接入?yún)^(qū)域服務(wù)器不能訪問其他的安全域中的服務(wù)器，保證了即使被植入木馬的主機(jī)，不會被外界控制去訪問其它服務(wù)器資源，從而降低網(wǎng)絡(luò)中信息泄漏的概率。 按照區(qū)域的功能和應(yīng)用的不同，漢柏建議數(shù)據(jù)中心網(wǎng)絡(luò)劃分為如下三個安全域：外聯(lián)區(qū)；業(yè)務(wù)區(qū)（包括四個子區(qū)）；內(nèi)聯(lián)區(qū)；各安全域的邊界規(guī)劃如下圖所示： 安全域邊界規(guī)劃描述如下：外聯(lián)區(qū)與業(yè)務(wù)區(qū)屬于不同安全域；內(nèi)聯(lián)區(qū)與業(yè)務(wù)區(qū)屬于不同安全域；各業(yè)務(wù)安全子域?qū)儆诓煌踩?；防火墻系統(tǒng)設(shè)計(jì) 為實(shí)現(xiàn)安全域邊界防護(hù)，需在安全域之間部署防火墻，漢柏建議廣電數(shù)據(jù)中心網(wǎng)絡(luò)防火墻部署方式如下圖： 建議在外聯(lián)區(qū)與業(yè)務(wù)區(qū)之間部署漢柏550045超萬兆防火墻，流量較小的內(nèi)聯(lián)區(qū)與業(yè)務(wù)區(qū)之間部署漢柏550040萬兆防火墻。部署模式建議采用透明方式+安全策略，以達(dá)到更高的轉(zhuǎn)發(fā)性能。 作為業(yè)界領(lǐng)先的安全防護(hù)產(chǎn)品，550045/40具有如下突出特點(diǎn)：專業(yè)的安全防護(hù) 550045/40不僅能夠提供全面的地址轉(zhuǎn)換、地址綁定、訪問控制策略、安全域劃分、身份認(rèn)證等邊界防護(hù)功能，同時能夠抵御包括、、、、、、、2、碎片、源路由、端口掃描、等幾十種常見攻擊。 針對嵌入在各種應(yīng)用（郵件、網(wǎng)頁、以及）中的攻擊、病毒和惡意插件，550045/40能夠在深度識別業(yè)務(wù)類別和用戶行為的前提下，提供基于狀態(tài)監(jiān)測的應(yīng)用層網(wǎng)關(guān)功能，結(jié)合強(qiáng)大的入侵檢測機(jī)制和防病毒引擎，真正實(shí)現(xiàn)了邊界、接入、行為和數(shù)據(jù)的多重安全防護(hù)。穩(wěn)定和高性能 550045/40防火墻采用了基于漢柏多個專利技術(shù)的雙安全操作系統(tǒng)，并對數(shù)據(jù)平面和控制平面進(jìn)行了嚴(yán)格的區(qū)分。對數(shù)據(jù)平面中各種需要高性能處理的功能，如地址轉(zhuǎn)換、報(bào)文轉(zhuǎn)發(fā)和訪問控制策略進(jìn)行了細(xì)致的優(yōu)化處理；在控制平面上，支持鏈路狀態(tài)信息的倒換機(jī)制、分布式應(yīng)用和模塊化的硬件架構(gòu)，同時也對處理資源進(jìn)行了保護(hù)，確保即使在極限網(wǎng)絡(luò)壓力下，550045/40仍然能夠維持平穩(wěn)的工作狀態(tài)。萬兆就緒 針對日益突出的視頻傳輸、虛擬桌面和數(shù)據(jù)中心備份等大數(shù)據(jù)量傳輸，應(yīng)用的飛速增長帶來了帶寬的提升需求，萬兆接口的應(yīng)用已經(jīng)勢不可擋。同時，數(shù)據(jù)中心對設(shè)備的功耗和體積要求也越來越嚴(yán)格，更希望能夠在相同的機(jī)架面積里面實(shí)現(xiàn)更高密度的連接。借助出色的硬件平臺研發(fā)能力，漢柏科技率先推出了全球第一款在1體積上實(shí)現(xiàn)萬兆接口的防火墻，憑借突出的功耗控制和效能優(yōu)化，為用戶平滑過渡到萬兆時代提供了最佳選擇。內(nèi)置交換芯片 550045/40在業(yè)內(nèi)首次創(chuàng)新的采用了先進(jìn)的防火墻+交換機(jī)的設(shè)計(jì)架構(gòu)，采用高性能的千兆交換芯片，提供高達(dá)128的交換容量，不僅能夠?qū)崿F(xiàn)接口之間的L23線速轉(zhuǎn)發(fā)，還同時能夠提供鏈路匯聚(802.3)、靈活的配置以及端口鏡像等功能，內(nèi)置的硬件還能夠配合防火墻，實(shí)現(xiàn)安全層面和轉(zhuǎn)發(fā)層面依據(jù)硬件分離，提供更為全面的高性能安全接入功能。虛擬防火墻功能 傳統(tǒng)的防火墻只能提供單一安全域的防護(hù)，而對于多個安全域的獨(dú)立部署，需要多臺防火墻才能實(shí)現(xiàn)，這造成了資源的極大浪費(fèi)。550045/40支持虛擬防火墻技術(shù)，能夠在一臺物理防火墻上劃分出多個虛擬防火墻，每一臺虛擬防火墻都能夠?qū)崿F(xiàn)獨(dú)立的訪問控制策略、、身份認(rèn)證和系統(tǒng)管理。同時，系統(tǒng)還能夠?qū)Χ鄠€虛擬防火墻進(jìn)行統(tǒng)一的配置管理、軟件升級。對于用戶來說，即提高了現(xiàn)有設(shè)備的利用率，又解決了網(wǎng)絡(luò)部署復(fù)雜、擴(kuò)展性差等問題。出色的能效比 550045/40采用了自主研發(fā)的高性能操作系統(tǒng)，并且針對報(bào)文轉(zhuǎn)發(fā)、過濾以及的關(guān)鍵處理進(jìn)行了深入的優(yōu)化設(shè)計(jì)，在同等硬件處理能力下，比通用的操作系統(tǒng)要高出至少30%的效能，對于提高用戶資源利用率，降低能耗和節(jié)能減排給予了強(qiáng)有力的支持。精細(xì)的流量和業(yè)務(wù)管理 基于專利技術(shù)的流量識別，結(jié)合強(qiáng)大的深度業(yè)務(wù)識別技術(shù)，系列防火墻能夠提供對包括、、等多種業(yè)務(wù)在內(nèi)的精細(xì)化識別，根據(jù)既定的服務(wù)管理策略，對各種應(yīng)用給予不同的差分化對待，確保了關(guān)鍵業(yè)務(wù)的正常運(yùn)行，即提高了網(wǎng)絡(luò)資源的利用效率和組織的生產(chǎn)效率，又降低了總成本和運(yùn)維的風(fēng)險(xiǎn)。入侵檢測系統(tǒng)設(shè)計(jì) 的部署目的是為了監(jiān)測來自不同網(wǎng)絡(luò)對數(shù)據(jù)中心網(wǎng)絡(luò)的訪問，用以及時發(fā)現(xiàn)網(wǎng)絡(luò)攻擊并提供有效證據(jù)。制定策略是使用最重要的工作之一，良好的策略不僅可以讓管理員及時捕捉到網(wǎng)絡(luò)上正在發(fā)生的重大危害事件，而且使管理員不致被大量的無用信息所淹沒，減輕工作負(fù)擔(dān)。如果是初次使用，對網(wǎng)絡(luò)上存在些什么樣的數(shù)據(jù)流可能不甚明確，這時可以采用包含事件較多的策略集，待運(yùn)行一段時間后，對網(wǎng)絡(luò)狀況有了基本的了解，再在此策略集的基礎(chǔ)上酌情刪減。 漢柏建議的部署方式如下圖： 建議采用兩臺漢柏550040旁路部署模式，兩臺分別連接在核心交換機(jī)上，將核心交換機(jī)連接各業(yè)務(wù)區(qū)域端口的出入流量鏡像到漢柏550040，由漢柏550040進(jìn)行入侵檢測。 漢柏550040主要特點(diǎn)如下：業(yè)界領(lǐng)先的架構(gòu)設(shè)計(jì)業(yè)界最佳的系統(tǒng)架構(gòu) 550040采用了控制平面、轉(zhuǎn)發(fā)平面和管理平面嚴(yán)格分離的系統(tǒng)架構(gòu)，采用基于硬件的完成防火墻的所有功能，實(shí)現(xiàn)小包64字節(jié)線速的吞吐量，嚴(yán)格保障防火墻的轉(zhuǎn)發(fā)性能；對于應(yīng)用層安全，采用高性能的通用處理器，以應(yīng)對實(shí)時變化的威脅和應(yīng)用；對于管理數(shù)據(jù)，給予最高優(yōu)先級的處理，即使在應(yīng)用層處理負(fù)載較重的時候，仍然能夠輕松對設(shè)備進(jìn)行管理和配置。雙安全操作系統(tǒng) 550040采用了基于漢柏專利多核技術(shù)的雙安全操作系統(tǒng)，獨(dú)創(chuàng)性的提出了基于安全領(lǐng)域在多核上的（對稱多處理）軟件模型，該模型成功的應(yīng)用了阿比達(dá)定律，有效的降低串行化執(zhí)行代碼在總執(zhí)行代碼中的比例，極大地發(fā)揮了多核下的并行計(jì)算能力。 除此之外，550040使用了智能流分類系統(tǒng)，將大量的數(shù)據(jù)流均勻分散在不同的核上進(jìn)行全流程處理，增加了數(shù)據(jù)的命中率，極大的提高了系統(tǒng)的性能。針對多核軟件設(shè)計(jì)大量使用到的鎖，漢柏設(shè)計(jì)并實(shí)現(xiàn)了自有專利的安全操作系統(tǒng)寫時拷貝機(jī)制，使得90%的數(shù)據(jù)流在做并行化處理時都是免鎖的，進(jìn)一步保障了系統(tǒng)的穩(wěn)定性和可靠性。入侵檢測和防御 550040采用了集成多種檢測機(jī)制的高性能掃描引擎，包括特征庫匹配、異常行為分析、協(xié)議檢查等手段，結(jié)合漢柏強(qiáng)大的實(shí)時安全服務(wù)，能夠主動識別各種攻擊、協(xié)議的變種攻擊、木馬和后門程序，不僅能準(zhǔn)確地檢測入侵，實(shí)時的阻止惡意的攻擊，并能夠提供豐富完整的日志和定位信息，進(jìn)行事后溯源工作。安全 針對不斷涌現(xiàn)的安全，550040也提供了一定程度的防護(hù)，不僅包括能夠有效的識別或過濾出嵌入在頁面中的、、和等信息，還能夠提供關(guān)鍵字過濾和基于超過4000萬域名的頁面分類數(shù)據(jù)庫，幫助管理員輕松設(shè)置工作時間禁止訪問的網(wǎng)頁，提高工作效率和控制對不良網(wǎng)站的訪問，杜絕潛在的威脅。數(shù)據(jù)泄漏防護(hù) 550040還提供了精細(xì)的數(shù)據(jù)泄漏防護(hù)()功能，支持用戶定義各種規(guī)則的關(guān)鍵字和敏感詞，支持包括、、和在內(nèi)的各種協(xié)議，對于銀行卡帳號、身份信息、財(cái)務(wù)信息等關(guān)鍵數(shù)據(jù)，將其控制在可信網(wǎng)絡(luò)的范圍以內(nèi)，避免惡意或者無意的數(shù)據(jù)泄漏造成不可彌補(bǔ)的錯誤。豐富的應(yīng)用支持和管理 550040采用了多重識別技術(shù)，首先基于強(qiáng)大的深度報(bào)文檢測和多達(dá)1400種的業(yè)界最豐富的協(xié)議庫，對絕大部分的應(yīng)用進(jìn)行模式匹配；其次采用了啟發(fā)式學(xué)習(xí)和技術(shù)，采用漢柏專利技術(shù)進(jìn)行深層次的行為挖掘；最后，對偽裝成報(bào)文的應(yīng)用，進(jìn)行一致性還原比對。在這三重技術(shù)的保障下，將應(yīng)用識別率，提高到遠(yuǎn)遠(yuǎn)超過了業(yè)界的其他競爭對手的程度。可視化的安全管理 550040提供了豐富的展現(xiàn)功能，提供包括病毒排行、攻擊排行、應(yīng)用帶寬的排行、鏈路帶寬使用情況，在應(yīng)用管理上，可以提供能夠細(xì)致到當(dāng)前用戶的應(yīng)用、占用的帶寬、使用的連接，讓安全管理者對已有的、潛在的和未知的安全威脅，以及網(wǎng)絡(luò)中的各種應(yīng)用和用戶行為，都有著非常豐富的直觀感受，為用戶創(chuàng)造出可視化安全的體驗(yàn)。實(shí)時的病毒庫、攻擊庫、應(yīng)用庫更新 作為安全網(wǎng)關(guān)設(shè)備，如何能夠保證在新的威脅、病毒、攻擊和新的應(yīng)用出現(xiàn)的第一時間，就能夠做到有效的洞悉和控制，不僅考驗(yàn)產(chǎn)品本身的應(yīng)變能力，更考驗(yàn)安全廠商支持的力度和深度，以及響應(yīng)的速度。 漢柏科技為550040配備了強(qiáng)大的安全服務(wù)團(tuán)隊(duì)，并和國際先進(jìn)的安全機(jī)構(gòu)合作，對不斷涌現(xiàn)的新的病毒、威脅以及應(yīng)用，實(shí)時更新到漢柏安全數(shù)據(jù)庫中。目前安全數(shù)據(jù)庫已經(jīng)有20萬條病毒特征、4000多種攻擊特征、1400多種應(yīng)用特征庫，以及70多種分類4000多萬條網(wǎng)頁數(shù)據(jù)庫。簡單易用的配置工具 550040集成了業(yè)界最完整的安全功能，但并不是簡單的羅列。漢柏科技一直將提高使用者的便利性作為產(chǎn)品設(shè)計(jì)的核心思想，從產(chǎn)品定義階段就將易用性作為關(guān)鍵指標(biāo)。 550040提供了簡單直觀的管理界面和用