智慧教育云數(shù)據(jù)中心整體解決方案

智慧教育云數(shù)據(jù)中心整體解決方案智慧教育云數(shù)據(jù)中心整體解決方案目錄第一章 項目背景介紹 61.1 教育管理公共服務平臺建設(shè) 61.2 一個平臺、一個中心的建設(shè)模式 81.2.1 云計算與教育信息化 81.2.2 一個教育云平臺、一個云數(shù)據(jù)中心 91.2.3 xx平臺數(shù)據(jù)中心現(xiàn)狀 10第二章 項目需求分析 122.1 滿足應用系統(tǒng)部署和服務的需要 122.1.1 承載國家信息系統(tǒng)部署 122.1.2 承載自建及其他應用系統(tǒng)的部署運行 132.1.3 提供本省教育信息化基礎(chǔ)設(shè)施云服務 132.2 形成完善的基礎(chǔ)設(shè)施環(huán)境 142.2.1 網(wǎng)絡大二層 142.2.2 網(wǎng)絡高性能、可擴展 152.2.3 保證業(yè)務連續(xù)性 152.3 構(gòu)建網(wǎng)絡與信息安全保障體系 162.3.1 等保合規(guī) 172.3.2 L2~7安全 182.4 符合國家及教育部信息化有關(guān)標準規(guī)范 19第三章 項目建設(shè)目標 21第四章 項目設(shè)計原則 23第五章 方案設(shè)計思路 245.1 虛擬化大二層網(wǎng)絡設(shè)計 255.1.1 大二層網(wǎng)絡架構(gòu) 255.1.2 核心網(wǎng)絡虛擬化 265.2 安全防護與等保合規(guī) 285.2.1 網(wǎng)絡安全同步設(shè)計 285.2.2 整網(wǎng)安全分區(qū)分域 295.2.3 關(guān)鍵路徑入侵防御 305.2.4 業(yè)務系統(tǒng)抗DDoS攻擊防護 315.2.5 Web站點細粒度防護 325.2.6 服務器應用交付 335.2.7 安全防范與等保合規(guī) 345.3 網(wǎng)絡安全融合 365.3.1 傳統(tǒng)安全部署方式的局限性 365.3.2 業(yè)界唯一的L2~7融合 38第六章 方案規(guī)劃與設(shè)計 446.1 核心區(qū)設(shè)計 456.1.1 組網(wǎng)設(shè)計 456.1.2 安全分區(qū)設(shè)計 466.1.3 入侵防御及業(yè)務深度防護設(shè)計 476.1.4 內(nèi)部流量安全防護 476.1.5 應用交付 486.2 接入?yún)^(qū)設(shè)計 486.3 出口設(shè)計 496.3.1 眾多需求，從“融”面對 506.3.2 智能提升帶寬價值，秀外“慧”中 516.3.3 網(wǎng)絡行為，“管”控一體 536.3.4 高速穩(wěn)定，暢“通”無阻 536.3.5 防DDOS攻擊 536.3.6 Web防護 546.3.7 產(chǎn)品部署 546.4 網(wǎng)絡安全一體化管理 55第七章 方案優(yōu)勢 57

項目背景介紹教育管理公共服務平臺建設(shè)教育管理信息系統(tǒng)建設(shè)是《國家中長期教育改革和發(fā)展規(guī)劃綱要(2010-2020年)》以及《教育信息化十年發(fā)展規(guī)劃（2011-2020年）》中確定的重要內(nèi)容，是支撐教育管理現(xiàn)代化、促進教育改革發(fā)展的基礎(chǔ)性工程。國家教育管理公共服務平臺建設(shè)是“十二五”期間的教育管理信息系統(tǒng)建設(shè)的核心任務，是“三通兩平臺”的重點內(nèi)容之一。其具體內(nèi)容是建立覆蓋全國各級教育行政部門和各級各類學校的管理信息系統(tǒng)及基礎(chǔ)數(shù)據(jù)庫,為加強教育監(jiān)管、支持教育宏觀決策、全面提升教育公共服務能力提供技術(shù)和數(shù)據(jù)支撐。平臺按照“兩級建設(shè)、五級應用”體系進行實施。兩級建設(shè)五級應用如圖1-1所示，兩級建設(shè)是指在教育部和各省級教育行政部門分別建立中央和省兩級數(shù)據(jù)中心，建設(shè)數(shù)據(jù)集中、系統(tǒng)集成的應用環(huán)境；五級應用是指各類教育管理信息系統(tǒng)均同步建設(shè)中央、省、地市、縣、學校五級系統(tǒng)，由教育部統(tǒng)一組織開發(fā)，其中中央級系統(tǒng)部署在中央級數(shù)據(jù)中心，省、地市、縣、學校級系統(tǒng)下發(fā)并部署在省級數(shù)據(jù)中心，供中央、各地和學校使用，以上由教育部統(tǒng)一組織開發(fā)的國家教育管理信息系統(tǒng)在本指南中簡稱為國家信息系統(tǒng)。平臺將整合各級各類教育管理信息資源和信息化基礎(chǔ)設(shè)施，建設(shè)包含教育機構(gòu)、學生、教師和學校資產(chǎn)及辦學條件等各類教育管理與服務對象，覆蓋國家、各地和學校等多層次的共享的教育基礎(chǔ)數(shù)據(jù)庫，以及信息整合、業(yè)務聚合、服務融合的教育管理信息系統(tǒng)，實現(xiàn)教育行政部門與學校間的數(shù)據(jù)互通和系統(tǒng)互聯(lián)，提升教育監(jiān)管能力與公共服務水平。國家教育管理公共服務平臺建設(shè)以各地和學校的相關(guān)信息系統(tǒng)和數(shù)據(jù)作為基礎(chǔ)，需要推動國家信息系統(tǒng)在各地和學校的部署與應用。國家教育管理公共服務平臺省級數(shù)據(jù)中心建設(shè)是構(gòu)建“兩級建設(shè)和五級應用”、保證國家信息系統(tǒng)在省級部署與應用的關(guān)鍵設(shè)施。一個平臺、一個中心的建設(shè)模式云計算與教育信息化通過技術(shù)手段，將分散的教育管理信息系統(tǒng)與教育資信息系統(tǒng)進行統(tǒng)一部署、統(tǒng)一管理和統(tǒng)一提供服務，建設(shè)統(tǒng)一的教育云平臺無疑是解決以上兩大服務平臺建設(shè)中所面臨問題的最好辦法。云計算作為一種新型資源的共享和管理模式，正越來越廣泛地應用于各種資源共享、管理和服務的領(lǐng)域中?！霸啤敝械馁Y源是可以無限擴展的，并且可以隨時獲取，按需使用，隨時擴展，按使用付費。它具有超大規(guī)模、虛擬化、按需服務、廉價等特點，這些特點對于當前分布不均衡、建設(shè)經(jīng)費緊張的教育資源來說，無疑提供了最恰當?shù)馁Y源共享、共用、共管的方法?！督逃畔⒒臧l(fā)展規(guī)劃(2011-2020規(guī)劃》就國家教育云基礎(chǔ)平臺建設(shè)問題也做了相關(guān)要求：充分整合和利用各級各類教育機構(gòu)的信息基礎(chǔ)設(shè)施，建設(shè)覆蓋全國、分布合理、開放開源的基礎(chǔ)云環(huán)境，支撐形成云基礎(chǔ)平臺、云資源平臺和云教育管理服務平臺的層級架構(gòu)，到2015年，初步建成國家教育云基礎(chǔ)平臺，支持教育云資源平臺和管理服務平臺的有效部署與應用，可同時為IPv4和IPv6用戶提供教育基礎(chǔ)云服務。一個教育云平臺、一個云數(shù)據(jù)中心教育云平臺承載教育云平臺的主要基礎(chǔ)設(shè)施是云數(shù)據(jù)中心，當前國家、省、地市、縣4級教育行政機構(gòu)都在新建、改造或計劃建設(shè)數(shù)據(jù)中心，承載教育管理與教育資源兩大系信息系統(tǒng)，建設(shè)模式整體向云計算模式轉(zhuǎn)變，逐漸將形成國家、省、地市、縣4級教育云平臺建設(shè)的格局，每級的每個區(qū)域都將形成一個云數(shù)據(jù)中心承載一個教育云平臺的模式。國家級、省級教育云平臺當前主要通過教育網(wǎng)與公共互聯(lián)網(wǎng)向公眾與教育行政機構(gòu)提供服務。地市級、縣級教育云平臺主要通過教育城域網(wǎng)與所轄教育行政機構(gòu)、學?；ヂ?lián)，在互聯(lián)帶寬上有優(yōu)勢，可以借助此優(yōu)勢向所轄教育行政機構(gòu)、學校提供IaaS與SaaS教育云服務，甚至是云桌面服務，促進教育信息化建設(shè)由分散型向集約型的轉(zhuǎn)變。xx平臺數(shù)據(jù)中心現(xiàn)狀xx平臺于2013年開始建設(shè)，目前平臺共有1號機房、2號機房兩個機房。其中1號機房分4個區(qū)域，A區(qū)域放存儲、核心交換機、出口網(wǎng)關(guān)，B滿配64臺服務器，C、D區(qū)域滿配各有50臺服務器。2號機房滿配80臺服務器。服務器采用Vmware虛擬化技術(shù)，通過虛擬服務器對外提供服務。現(xiàn)網(wǎng)共200臺服務器左右。眾所周知，數(shù)據(jù)中心的建設(shè)內(nèi)容十分豐富，包含服務、軟件、硬件，對于IT硬件基礎(chǔ)架構(gòu)來說，建設(shè)內(nèi)容包含計算、存儲、網(wǎng)絡安全資源。本項目為網(wǎng)絡安全建設(shè)的設(shè)計方案。

項目需求分析滿足應用系統(tǒng)部署和服務的需要省級數(shù)據(jù)中心首先要承載國家信息系統(tǒng)的部署運行，也要支撐本省自建應用系統(tǒng)及其他應用系統(tǒng)的部署運行，要采取云服務模式，為本級及所屬各級教育行政部門和學校提供信息系統(tǒng)和數(shù)據(jù)庫存儲與服務，具體情況如圖2-1所示。省級數(shù)據(jù)中心承載應用系統(tǒng)示意圖承載國家信息系統(tǒng)部署“教育服務與監(jiān)管體系信息化建設(shè)”項目作為國家教育管理信息化的先導工程，已完成頂層設(shè)計。教育部正在統(tǒng)一開發(fā)建設(shè)一系列與學生、教師、學校資產(chǎn)及辦學條件相關(guān)的系統(tǒng)，并陸續(xù)開始在部（中央）、省兩級投入部署運行(部分信息系統(tǒng)見附錄：統(tǒng)一規(guī)劃的國家信息系統(tǒng)一覽表)。省級數(shù)據(jù)中心必須能夠承載這些信息系統(tǒng)的運行，在設(shè)計和建設(shè)中滿足這些信息系統(tǒng)的計算、存儲需求。承載自建及其他應用系統(tǒng)的部署運行為滿足本省教育信息化的應用需求，省級教育行政部門可以建設(shè)自己需要的特定應用系統(tǒng)（如教育教學相關(guān)信息系統(tǒng)、教育信息服務門戶等）。省級數(shù)據(jù)中心在保證國家信息系統(tǒng)部署運行的基礎(chǔ)上，也要考慮本級教育管理和服務信息系統(tǒng)的開發(fā)、運行需要。提供本省教育信息化基礎(chǔ)設(shè)施云服務為統(tǒng)籌本省教育信息化基礎(chǔ)設(shè)施建設(shè)，避免基礎(chǔ)設(shè)施重復建設(shè)，省級數(shù)據(jù)中心在建設(shè)時應充分利用云計算技術(shù)，搭建云服務平臺，為本省教育行政部門和學校提供計算、存儲等基礎(chǔ)設(shè)施云服務。形成完善的基礎(chǔ)設(shè)施環(huán)境省級數(shù)據(jù)中心要按照國家信息系統(tǒng)的運行要求，構(gòu)建機房、網(wǎng)絡、計算、存儲等基礎(chǔ)環(huán)境和設(shè)施；根據(jù)業(yè)務系統(tǒng)和數(shù)據(jù)中心運行維護和管理的需要，構(gòu)建基礎(chǔ)軟件支撐平臺，包括數(shù)據(jù)庫、門戶、數(shù)據(jù)交換和系統(tǒng)管理等平臺；建立重要系統(tǒng)和業(yè)務數(shù)據(jù)容災備份；為應用系統(tǒng)敏感數(shù)據(jù)建立統(tǒng)一密碼安全服務平臺，實現(xiàn)敏感數(shù)據(jù)加密存儲和安全訪問；建設(shè)與教育部數(shù)據(jù)中心之間的數(shù)據(jù)交換平臺與安全網(wǎng)絡通道，保障部、省兩級數(shù)據(jù)中心間的數(shù)據(jù)傳輸安全。網(wǎng)絡大二層虛擬化給網(wǎng)絡和安全帶來了前所未有的挑戰(zhàn)，虛機在遷移過程中要求應用不能中斷，也就是說虛機遷移時虛機的IP地址不能改變，這就使得整個云數(shù)據(jù)中心要采用二層組網(wǎng)。此外，虛機遷移引起了應用部署位置的不確定性，這使得數(shù)據(jù)中心跨核心的橫向流量大幅增加，這就要求數(shù)據(jù)中心的組網(wǎng)應該是帶寬低收斂甚至是無收斂的。而一般的以太網(wǎng)由于生成樹協(xié)議的運行造成了網(wǎng)絡帶寬的浪費，并且虛機遷移時與之相關(guān)的網(wǎng)絡策略（如VLAN和ACL）也要隨之一同遷移，這會引發(fā)整網(wǎng)生成樹的重新計算，造成網(wǎng)絡震蕩。因此如何建設(shè)一個帶寬無收斂、網(wǎng)絡策略遷移無震蕩的大二層網(wǎng)絡，是云數(shù)據(jù)中心網(wǎng)絡需要解決的問題。網(wǎng)絡高性能、可擴展數(shù)據(jù)中心在建設(shè)時，一般會將機房空間、機柜等基礎(chǔ)建設(shè)工作一次性完成。而在數(shù)據(jù)中心網(wǎng)絡建設(shè)時，可采用分批逐步建設(shè)的方式，以避免投資浪費。這就需要數(shù)據(jù)中心網(wǎng)絡具備易擴展的特性，在不浪費已有網(wǎng)絡設(shè)施的前提下，容易實現(xiàn)網(wǎng)絡性能的擴充，避免出現(xiàn)網(wǎng)絡性能瓶頸制約物理資源整合的局面出現(xiàn)。因此，在進行數(shù)據(jù)中心網(wǎng)絡設(shè)計的時候，必須考慮后期隨著數(shù)據(jù)中心內(nèi)業(yè)務類型的不斷豐富、業(yè)務功能的不斷擴展，物理資源不斷整合、加密過程中對網(wǎng)絡性能要求的提高。當數(shù)據(jù)中心網(wǎng)絡性能需要擴充的時候，可按需對網(wǎng)絡性能進行彈性擴展，保證網(wǎng)絡數(shù)據(jù)中心能夠?qū)θ找鎻碗s的業(yè)務應用提供有力的性能支撐，滿足信息化發(fā)展需求。保證業(yè)務連續(xù)性在信息化建設(shè)的不斷深入的同時，各類信息系統(tǒng)的正常服務是XXX經(jīng)營活動正常開展的必要條件。如果數(shù)據(jù)中心網(wǎng)絡因各類故障中斷運行，企業(yè)中的各類終端將無法訪問各類業(yè)務系統(tǒng)，數(shù)據(jù)中心的生產(chǎn)經(jīng)營活動將受到嚴重影響，引起相應的經(jīng)濟損失。因此，保證數(shù)據(jù)中心網(wǎng)絡具備較強的可靠性和穩(wěn)定性是網(wǎng)絡建設(shè)的重要需求。這就要求網(wǎng)絡架構(gòu)在設(shè)計時能夠從設(shè)備層面、鏈路層面、協(xié)議層面等方向引入必要的冗余保障：比如設(shè)置雙核心設(shè)備互為備份，并在接入網(wǎng)絡采用雙上聯(lián)的組網(wǎng)方式，避免由于單設(shè)備、單鏈路的故障引起網(wǎng)絡中斷等。構(gòu)建網(wǎng)絡與信息安全保障體系省級數(shù)據(jù)中心安全建設(shè)，要遵照國家信息安全等級保護相關(guān)政策要求和標準規(guī)范，遵照教育部有關(guān)信息安全的行業(yè)要求和標準規(guī)范，形成覆蓋技術(shù)和管理的整體安全保障體系；建設(shè)與教育部數(shù)據(jù)中心上下級聯(lián)的安全運行維護、管理、監(jiān)測與預警的技術(shù)和工作管理平臺。省級數(shù)據(jù)中心安全保障體系框架圖等保合規(guī)省級數(shù)據(jù)中心和本省運行的信息系統(tǒng)要按照國家信息系統(tǒng)安全等級保護制度和教育部相關(guān)文件要求進行定級；從管理和技術(shù)兩個角度進行本省網(wǎng)絡與信息安全保障體系建設(shè)；設(shè)置網(wǎng)絡與信息安全職能部門和崗位，進行人員安全培訓和技能培訓，落實信息安全人員持證上崗；按照教育信息系統(tǒng)安全等級保護政策要求和技術(shù)規(guī)范，由教育信息安全等級保護測評中心實施，定期開展信息系統(tǒng)等級測評；建立定期安全檢查機制并配合主管部門和當?shù)毓膊块T做好監(jiān)督檢查。省級數(shù)據(jù)中心應按照第三級信息系統(tǒng)的安全保護要求進行建設(shè)。二級系統(tǒng)可通過建立二級系統(tǒng)區(qū)域合理裁剪安全控制。為保障國家信息系統(tǒng)整體安全，省級數(shù)據(jù)中心應建立安全預警與監(jiān)管中心，建設(shè)與部級上下級聯(lián)的安全運行維護管理平臺、應用安全監(jiān)測與預警平臺和安全工作管理平臺。信息系統(tǒng)在設(shè)計規(guī)劃、建設(shè)和運行的整個生命周期中應根據(jù)國家信息安全等級保護制度，同步開展信息系統(tǒng)安全等級保護定級、備案、等級測評、建設(shè)整改和監(jiān)督檢查等工作，并根據(jù)《信息系統(tǒng)安全等級保護基本要求》（GB/T22239-2008）等國家及行業(yè)相關(guān)標準規(guī)范進行安全保障體系建設(shè)。L2~7安全省級數(shù)據(jù)中心在建設(shè)時，面臨以下安全需求：基本結(jié)構(gòu)安全與訪問控制。對網(wǎng)絡進行安全域劃分，設(shè)置不同安全域的訪問控制策略。入侵防護與病毒防范。對系統(tǒng)漏洞、協(xié)議弱點、DDoS攻擊、網(wǎng)頁篡改、間諜軟件、惡意攻擊、流量異常等威脅進行主動與實時阻斷的一體化深層次安全防御。Web應用防護。有效抵御包括SQL注入、跨站腳本攻擊、會話劫持、應用層DDoS、網(wǎng)頁篡改在內(nèi)的各種高危害性Web攻擊。漏洞掃描。及時發(fā)現(xiàn)終端設(shè)備、服務器、路由/交換/安全設(shè)備、操作系統(tǒng)（Windows/Linux/Unix）、應用服務、數(shù)據(jù)庫等設(shè)備的漏洞，發(fā)現(xiàn)后及時彌補，避免被黑客利用漏洞進行攻擊，帶來損失。應用交付。實現(xiàn)業(yè)務應用的服務加速和應用優(yōu)化。提升服務器的使用效率和彈性伸縮能力。抗DDOS攻擊，保障數(shù)據(jù)中心能抵御常見的DDOS攻擊，不致因攻擊阻塞帶寬無法對學校提供服務，保障服務的穩(wěn)定性。符合國家及教育部信息化有關(guān)標準規(guī)范省級數(shù)據(jù)中心的建設(shè)必須嚴格遵循國家各類信息化標準、規(guī)范，采用教育信息化有關(guān)標準規(guī)范。包括但不限于以下內(nèi)容。(1)《國家電子政務工程建設(shè)項目管理暫行辦法》(2)GB50174-2008電子信息系統(tǒng)機房設(shè)計規(guī)范(3)GB50462-2008電子信息系統(tǒng)機房施工及驗收規(guī)范(4)GB50311-2007綜合布線工程設(shè)計規(guī)范(5)GB50312-2007綜合布線系統(tǒng)工程驗收規(guī)范(6)GB50395-2007視頻安防監(jiān)控系統(tǒng)設(shè)計規(guī)范(7)GB50263-2007氣體滅火系統(tǒng)施工及驗收規(guī)范(8)GB50394-2007入侵報警系統(tǒng)工程設(shè)計規(guī)范(9)GB/T20269-2006信息安全技術(shù)—信息系統(tǒng)安全管理要求(10)GB/T20984-2007信息安全技術(shù)—信息安全風險評估規(guī)范(11)GB/T22239-2008信息安全技術(shù)—信息系統(tǒng)安全等級保護基本要求(12)GB/T22240-2008信息安全技術(shù)—信息系統(tǒng)安全等級保護定級指南(13)GA/T388-2002B計算機信息系統(tǒng)安全等級保護管理要求(14)《教育管理信息標準》（教技〔2012〕3號）(15)其他相關(guān)技術(shù)規(guī)范

項目建設(shè)目標省級數(shù)據(jù)中心是為本省提供教育管理信息系統(tǒng)運行的云服務平臺，承載和滿足國家教育管理公共服務平臺在省級教育行政部門的部署和運行；集成和支撐省本級各類教育基礎(chǔ)數(shù)據(jù)庫和各類教育管理信息系統(tǒng)；服務于所轄區(qū)域內(nèi)教育行政部門和學校的信息化管理業(yè)務應用，帶動全省教育信息化發(fā)展。項目具體建設(shè)內(nèi)容如下：建立結(jié)構(gòu)先進、高速可靠、安全分區(qū)的網(wǎng)絡體系架構(gòu)本次項目建設(shè)的數(shù)據(jù)中心網(wǎng)絡，將在架構(gòu)上實現(xiàn)對數(shù)據(jù)中心大流量數(shù)據(jù)的轉(zhuǎn)發(fā)能力與可靠性保障，滿足數(shù)據(jù)中心未來云計算技術(shù)發(fā)展要求。同時，根據(jù)數(shù)據(jù)中心的業(yè)務層次，分區(qū)邏輯關(guān)系等要素，進行安全區(qū)域的劃分，并設(shè)置相應的安全策略，實現(xiàn)數(shù)據(jù)中心網(wǎng)絡的邏輯隔離與嚴格的受控訪問，實現(xiàn)安全、可控的訪問接入。加強系統(tǒng)綜合安全的建設(shè)，充分保障業(yè)務系統(tǒng)信息安全從網(wǎng)絡規(guī)劃、操作系統(tǒng)以及業(yè)務系統(tǒng)等各個層次上統(tǒng)一考慮安全措施，充分考慮易操作性。這其中包括網(wǎng)絡的多級安全區(qū)域的規(guī)劃與設(shè)計、各業(yè)務系統(tǒng)在多級網(wǎng)絡中的部署與互通、系統(tǒng)運行狀況的監(jiān)控和管理、入侵防御/防病毒/應用交付/流量管理/行為審計等措施的統(tǒng)一規(guī)劃、設(shè)計與部署。確保系統(tǒng)資源的有效管理和運行，整合系統(tǒng)資源加強系統(tǒng)資源的有效管理，提高系統(tǒng)資源的利用率，降低系統(tǒng)運行成本，提高系統(tǒng)的可靠性，保障關(guān)鍵業(yè)務的正常運轉(zhuǎn)。建立業(yè)務識別與控制能力對網(wǎng)絡流量進行細致分析，快速實現(xiàn)網(wǎng)絡流量及應用的可視化，及時準確的了解網(wǎng)絡流量的使用狀況，并配合靈活的管控策略，實現(xiàn)對網(wǎng)絡資源輕松管理。深度流量分析：提供清晰的圖形化界面可直觀查看實時/歷史流量走勢、應用排名、用戶狀態(tài)、連接數(shù)等信息，便于分析網(wǎng)絡健康狀況以及定位故障。建立覆蓋網(wǎng)絡L2~7層的全面防御能力在低延遲的前提下進行實時威脅防御，對網(wǎng)絡數(shù)據(jù)流進行L2~7的深度分析，檢測和阻斷蠕蟲、木馬、間諜軟件和應用漏洞攻擊，阻斷利用各種新漏洞、新威脅進行的惡意滲透和傳播，滿足高性能和復雜網(wǎng)絡環(huán)境下的在線實時入侵防御，準確的識別惡意流量，避免通常的特征匹配技術(shù)常見的誤報和漏報問題。安全預警及漏洞自動修補能力提供漏洞通告、關(guān)聯(lián)檢測、自動修復、資產(chǎn)風險管理、漏洞審計等管理功能，實現(xiàn)對網(wǎng)絡中各種資產(chǎn)（終端、服務器、路由/交換設(shè)備、操作系統(tǒng)（Windows/Linux/Unix）、應用服務等）進行全方位、高效的漏洞管理，具有覆蓋2-7層漏洞檢測和自動修補等技術(shù)，尤其針對Web應用系統(tǒng)進行代碼級檢測，消除XSS跨站腳本、SQL注入、網(wǎng)頁掛馬等漏洞威脅，支持對SSL加密應用的漏洞管理，對漏洞特征庫進行持續(xù)不斷的升級，從而確保漏洞判斷準確無誤。高效的可視化安全監(jiān)管能力在單一界面下，對各種安全功能進行統(tǒng)一配置管理，將原本分布在網(wǎng)絡中各自獨立的安全設(shè)備進行統(tǒng)一的管理和監(jiān)控，并通過豐富的報表展示網(wǎng)絡安全狀態(tài)，形成一個集統(tǒng)計分析和管理配置于一體的安全管理。項目設(shè)計原則根據(jù)數(shù)據(jù)中心網(wǎng)絡建設(shè)需求及技術(shù)發(fā)展的趨勢，我們按以下原則設(shè)計方案：實用性和先進性。省級數(shù)據(jù)中心建設(shè)既要充分考慮實用性，始終面向業(yè)務應用，又要考慮先進性，保持適度前瞻。在進行架構(gòu)規(guī)劃時，不盲目追求設(shè)備的超前采購，在充分考慮應用性能的基礎(chǔ)上，保護原有投資。同時要采用成熟先進的理念、技術(shù)和方法，適應發(fā)展潮流?？煽啃院头€(wěn)定性。省級數(shù)據(jù)中心建設(shè)要確保系統(tǒng)運行的可靠性和穩(wěn)定性，要從系統(tǒng)架構(gòu)、技術(shù)措施、設(shè)備性能、系統(tǒng)管理、廠商技術(shù)支持及維修能力等多方面進行設(shè)計規(guī)劃，確保系統(tǒng)運行的可靠穩(wěn)定?？蓴U展性和易維護性原則。省級數(shù)據(jù)中心建設(shè)應充分考慮可擴展性和易維護安全性：要對系統(tǒng)自身具有良好的安全性，能夠抵御針對自身的安全威脅。同時提供備份和恢復機制，對管理權(quán)限實行分組管理分組授權(quán)。擴展性：系統(tǒng)應支持靈活組網(wǎng)和網(wǎng)絡改擴建的需要，能夠快速部署和隨網(wǎng)絡結(jié)構(gòu)進行調(diào)整，并無需改動平臺主體結(jié)構(gòu)和功能。集約性：通過采用適當?shù)募夹g(shù)，使得系統(tǒng)能夠?qū)⒏黝愜?、硬件資源的使用效率最大化，同時降低系統(tǒng)運維復雜性，節(jié)省系統(tǒng)維護成本。易管理：一個好的網(wǎng)絡系統(tǒng)必須是一個易管理的網(wǎng)絡系統(tǒng)，本方案中通過配置網(wǎng)管系統(tǒng)軟件對整個網(wǎng)絡實施高效的管理。方案設(shè)計思路本次方案主要按照以下設(shè)計思路對數(shù)據(jù)中心網(wǎng)絡進行方案設(shè)計。虛擬化大二層網(wǎng)絡設(shè)計大二層網(wǎng)絡架構(gòu)隨著業(yè)務的不斷發(fā)展，數(shù)據(jù)中心必須具備較強的資源整合能力，彈性可擴展是數(shù)據(jù)中心網(wǎng)絡的基本要求。同時，隨著云計算技術(shù)在實現(xiàn)業(yè)務快速、靈活部署方面的優(yōu)勢越來越明顯，越來越多的業(yè)務系統(tǒng)將遷移到云平臺中。這就要求數(shù)據(jù)中心的各類云計算平臺具備較強的靈活性和擴展能力。可以預見，云計算平臺的部署將會是數(shù)據(jù)中心建設(shè)中非常重要的一部分內(nèi)容。另一方面，云計算平臺的部署將會對數(shù)據(jù)中心網(wǎng)絡架構(gòu)提出新的要求。為了保證虛機遷移不會對業(yè)務連續(xù)性產(chǎn)生影響，云平臺需要部署在一個二層的環(huán)境當中，來解決虛機遷移過程中IP地址不能改變的問題。此時，傳統(tǒng)數(shù)據(jù)中心的三層網(wǎng)絡架構(gòu)將無法滿足云平臺的建設(shè)部署及靈活擴展需求。因此，本次方案建議采用扁平化的組網(wǎng)方式，在數(shù)據(jù)中心網(wǎng)絡核心部署迪普科技的具備萬兆以上高密端口的核心交換設(shè)備，部署在各機柜或者網(wǎng)絡柜的接入層交換設(shè)備直接通過直連光纜高速上聯(lián)到核心設(shè)備，取消了傳統(tǒng)組網(wǎng)方式中的匯聚層，實現(xiàn)數(shù)據(jù)中心的大二層簡單組網(wǎng)。在大二層組網(wǎng)架構(gòu)中，網(wǎng)絡核心層通常采用兩臺核心交換設(shè)備互為備份，各接入交換設(shè)備通過雙鏈路直接分別上聯(lián)到核心設(shè)備，確保了網(wǎng)絡的可靠性，實現(xiàn)了網(wǎng)絡的無收斂接入。核心網(wǎng)絡虛擬化如前所述，隨著業(yè)務的不斷發(fā)展，各類新的業(yè)務和應用對數(shù)據(jù)中心網(wǎng)絡在網(wǎng)絡性能、可靠性和功能上提出了諸多新的需求。在傳統(tǒng)數(shù)據(jù)中心向云計算平臺為主的數(shù)據(jù)中心轉(zhuǎn)變的過程中，數(shù)據(jù)中心網(wǎng)絡架構(gòu)采用扁平化的大二層簡單組網(wǎng)。在雙鏈路上聯(lián)的組網(wǎng)環(huán)境下，對每個二層域來說，雙上聯(lián)鏈路會形成二層環(huán)路。傳統(tǒng)的解決二層環(huán)路問題的方式是在設(shè)備上運行STP協(xié)議，STP協(xié)議自動計算鏈路狀態(tài)，通過阻塞某些鏈路的二層轉(zhuǎn)發(fā)達到消除二層環(huán)路的目的。通過STP解決二層環(huán)路會帶來以下問題：鏈路資源利用率較低。STP協(xié)議阻塞了部分鏈路的二層數(shù)據(jù)傳輸，相當于這些鏈路處于空閑狀態(tài)，只有當運行狀態(tài)的鏈路發(fā)生故障時，這些鏈路才能發(fā)揮作用，使用效率非常低下。收斂速度慢。當運行狀態(tài)的鏈路發(fā)生故障時，STP協(xié)議需要重新計算整網(wǎng)拓撲，最終實現(xiàn)拓撲收斂并恢復數(shù)據(jù)運行的時間往往較長。對于實時性要求非常高的數(shù)據(jù)中心來說，等待STP收斂的過程就意味著業(yè)務的中斷，這是很難接受的。針對以上問題，本次方案采用了迪普科技的VSM（VirtualSwitchingMatrix虛擬交換矩陣）多合一虛擬化技術(shù)，對網(wǎng)絡核心交換設(shè)備進行橫向虛擬化，將多臺核心層設(shè)備虛擬化成一臺邏輯設(shè)備，從而消除了二層環(huán)路，完美解決了數(shù)據(jù)中心網(wǎng)絡中STP協(xié)議的不足帶來的問題。VSM虛擬化技術(shù)迪普科技的VSM橫向虛擬化技術(shù)，可以將多臺核心設(shè)備虛擬成為一臺邏輯設(shè)備，可實現(xiàn)核心設(shè)備二、三層控制平面的統(tǒng)一計算，進而在保證了多設(shè)備冗余的高可靠的前提下，實現(xiàn)接入交換機上行鏈路的跨設(shè)備鏈路聚合，從而消除環(huán)路。通過消除二層環(huán)路，網(wǎng)絡中的各條接入鏈路不再需要進入阻塞狀態(tài)，可進行同時的數(shù)據(jù)傳輸，實現(xiàn)了網(wǎng)絡性能的倍增，提高二層組網(wǎng)的性能。更重要的是，這種組網(wǎng)方式消除由生成樹重計算造成的網(wǎng)絡震蕩，將鏈路故障造成的網(wǎng)絡重收斂時間降至毫秒級，確保的數(shù)據(jù)中心業(yè)務的不間斷運行，實現(xiàn)了的業(yè)務永續(xù)。虛擬化后的數(shù)據(jù)中心大二層網(wǎng)絡架構(gòu)如下圖所示：DPxCloud數(shù)據(jù)中心網(wǎng)絡架構(gòu)安全防護與等保合規(guī)網(wǎng)絡安全同步設(shè)計對于網(wǎng)絡來說，光穩(wěn)定、可靠是不夠的，還要保障安全，網(wǎng)絡才可用。有的企業(yè)在信息化建設(shè)中將網(wǎng)絡建設(shè)和網(wǎng)絡安全建設(shè)割裂，先建設(shè)網(wǎng)絡再建設(shè)網(wǎng)絡安全，這會帶來很多問題，比如應用層對權(quán)限進行限制后，網(wǎng)絡層可能是連通的。此外，網(wǎng)絡建設(shè)的重要內(nèi)容是進行網(wǎng)絡策略規(guī)劃，這其中的核心就是安全分區(qū)的劃分，而安全分區(qū)的劃分屬于網(wǎng)絡安全建設(shè)范疇。因此，網(wǎng)絡安全的設(shè)計應與網(wǎng)絡設(shè)計同步，從一開始就進行網(wǎng)絡策略、安全策略的規(guī)劃。網(wǎng)絡安全體系并不是安全功能的簡單疊加，而是一個功能聯(lián)動、相互配合、覆蓋L2~7、從終端到核心的完整的安全體系。本項目的安全體系包括：訪問控制、入侵防御、異常流量檢測、Web應用防護、漏洞掃描和應用交付等。整網(wǎng)安全分區(qū)分域在安全設(shè)計時，首先要將網(wǎng)絡劃分為不同的功能區(qū)域，用于部署不同的應用，使得整個集團網(wǎng)絡的架構(gòu)具備可伸縮性、靈活性、和高可用性。服務器將會根據(jù)服務器上的應用的用戶訪問特性和應用的核心功能分成不同組部署在不同的區(qū)域中，但是由于整個數(shù)據(jù)中心的很多服務是統(tǒng)一提供的，例如數(shù)據(jù)備份和系統(tǒng)管理，所以為保持架構(gòu)的統(tǒng)一性，避免資源不必要的重復浪費，一些功能相似的服務將統(tǒng)一部署在特定的功能區(qū)域內(nèi)，例如與管理相關(guān)的服務器將被部署在管理區(qū)。實際部署中，建議通過防火墻實現(xiàn)安全區(qū)域的邊界隔離與訪問控制，防火墻定義為高級的安全訪問控制設(shè)備，通過位于不同網(wǎng)絡或網(wǎng)絡安全域之間信息的唯一連接處，根據(jù)組織的業(yè)務特點、行業(yè)背景、管理制度所制定的安全策略，運用包過濾、代理網(wǎng)關(guān)、NAT轉(zhuǎn)換、IP/MAC地址綁定等技術(shù)，實現(xiàn)對出入網(wǎng)絡的信息流進行全面的安區(qū)控制（允許通過、拒絕通過、過程監(jiān)測）。通過防火墻功能實現(xiàn)以下控制策略：端口級訪問控制：控制進出安全區(qū)域的數(shù)據(jù)包的方法，實時監(jiān)控網(wǎng)絡上數(shù)據(jù)包的狀態(tài)，制定基于IP、端口、出入接口、數(shù)據(jù)流方向的控制策略，實現(xiàn)通過防火墻的數(shù)據(jù)流的允許、拒絕的明確控制。深度內(nèi)容過濾策略：設(shè)置基于HTTP、SMTP、FTP、TELNET、SMTP、

POP3等協(xié)議的過濾，控制級別到命令級別，針對郵件進行主題、正文、收發(fā)件人、附件名等的過濾。會話連接控制：針對某一端口或設(shè)備進行連接數(shù)限制，以此控制網(wǎng)絡流量，以及部分DOS、DDOS攻擊，對于普通會話連接，會話超時時自動斷掉連接，某些特殊服務需要長連接控制，因此對某些服務進行長連接控制，當會話處于非活躍狀態(tài)下，在一定時長內(nèi)保持會話的連接狀態(tài)。帶寬管理策略：根據(jù)業(yè)務優(yōu)先級進行帶寬管理設(shè)置，保證重要業(yè)務的貸款使用，保證業(yè)務的可用性。IP/MAC綁定策略：進行IP與MAC地址綁定，防止地址欺騙身份認證策略：采用防火墻本地認證或者與第三方認證系統(tǒng)聯(lián)動，進行用戶級別的訪問控制，通過身份控制與授權(quán)管理共同確保信息資源的機密性。管理權(quán)限策略：防火墻的設(shè)備管理員權(quán)限分級管理，不同管理員權(quán)限不同，例如可通過權(quán)限控制撥號訪問的用戶數(shù)量等。關(guān)鍵路徑入侵防御入侵防御系統(tǒng)是目前實現(xiàn)應用層攻擊防御和入侵防范重要設(shè)備，建議可通過部署網(wǎng)絡入侵防御系統(tǒng)來實現(xiàn)，網(wǎng)絡入侵防御系統(tǒng)部署于敏感數(shù)據(jù)需要保護的網(wǎng)絡上，通過實時偵聽網(wǎng)絡數(shù)據(jù)流，尋找網(wǎng)絡行為違規(guī)模式和未授權(quán)的網(wǎng)絡訪問嘗試。通過設(shè)置如下安全策略實現(xiàn)入侵防范措施：防范網(wǎng)絡攻擊事件：正如入侵防御系統(tǒng)的安全策略中描述的，針對應急平臺敏感數(shù)據(jù)處理區(qū)域，入侵防御系統(tǒng)采用細粒度檢測技術(shù)，協(xié)議分析技術(shù)，誤用檢測技術(shù)，協(xié)議異常檢測，可有效防止各種攻擊和欺騙。針對端口掃描類、木馬后門、緩沖區(qū)溢出、IP碎片攻擊等進行監(jiān)視和報警。防范拒絕服務攻擊：入侵防御系統(tǒng)在防火墻進行邊界防范的基礎(chǔ)上，入侵防御系統(tǒng)能夠應付各種SNA類型和應用層的強力攻擊行為,包括消耗目的端的各種資源如網(wǎng)絡帶寬、系統(tǒng)性能等攻擊。主要防范的攻擊類型有TCPFlood，UDPFlood，PingAbuse等；審計、查詢策略：能夠完整記錄多種應用協(xié)議（HTTP、FTP、SMTP、POP3、TELNET等）的內(nèi)容。記錄內(nèi)容包括，攻擊源IP、攻擊類型、攻擊目標、攻擊時間等信息，并按照相應的協(xié)議格式進行回放，清楚再現(xiàn)入侵者的攻擊過程，重現(xiàn)內(nèi)部網(wǎng)絡資源濫用時泄漏的保密信息內(nèi)容。同時必須對重要安全事件提供多種報警機制。業(yè)務系統(tǒng)抗DDoS攻擊防護DDoS（DistributedDenialofService）攻擊通過大量合法的請求占用大量網(wǎng)絡資源，以達到癱瘓網(wǎng)絡的目的。目前DDoS攻擊技術(shù)的發(fā)展，攻擊方式多樣，可以在網(wǎng)絡的L3~7展開持續(xù)而有效的攻擊。數(shù)據(jù)中心各類業(yè)務系統(tǒng)遭受DDOS攻擊常有發(fā)生，時時都有受到攻擊的威脅。為此，數(shù)據(jù)中心設(shè)計通過部署專業(yè)的異常流量清洗系統(tǒng)來抵御日漸流行的DDoS攻擊。異常流量清洗系統(tǒng)旁路工作在網(wǎng)絡核心，正常情況下核心流量不經(jīng)過系統(tǒng)。當攻擊發(fā)生時系統(tǒng)介入，濾除數(shù)據(jù)流中的攻擊數(shù)據(jù)包，從保障業(yè)務系統(tǒng)正常訪問不受影響。Web站點細粒度防護隨著B/S架構(gòu)業(yè)務系統(tǒng)成為主流，基于Web的應用日益增多，針對Web站點的SQL注入、跨站腳本、網(wǎng)頁掛馬等各種攻擊手段使得Web應用處于高風險的環(huán)境中，傳統(tǒng)安全設(shè)備無法對Web應用提供細粒度的有效防護。目前，針對Web站點的攻擊防護主要通過在服務器前端部署Web應用防火墻（WAF）系統(tǒng)實現(xiàn)。WAF系統(tǒng)主要具有以下功能：高效的Web漏洞防護功能：能夠有效抵御包括SQL注入、跨站腳本、會話劫持在內(nèi)的各種高危害性Web漏洞攻擊。

HTTP協(xié)議加固功能：具備HTTP協(xié)議正規(guī)化功能，支持對Cookie的各種屬性進行嚴格檢查，支持緩沖區(qū)溢出保護等多種HTTP協(xié)議加固功能。網(wǎng)頁防惡意篡改功能：能夠?qū)eb網(wǎng)站的數(shù)據(jù)備份和還原，并且支持在自動或手動模式下，對網(wǎng)站數(shù)據(jù)的精確、增量同步，能夠有效防止網(wǎng)頁被惡意篡改。服務器應用交付在服務器集群技術(shù)已非常成熟的背景下，采用服務器集群支撐重要業(yè)務服務，能夠有效提升服務能力，并且避免因單臺服務器故障引起的業(yè)務癱瘓。本次方案設(shè)計在數(shù)據(jù)中心核心配置應用交付平臺，為業(yè)務系統(tǒng)提供應用負載均衡支持，以實現(xiàn)業(yè)務不間斷訪問，保障業(yè)務連續(xù)性。應用交付平臺主要具有以下功能：隱藏內(nèi)部地址：應用交付平臺作為訪問客戶端和業(yè)務服務器之間的雙向代理，當接收到來自訪問客戶端的訪問請求后，對該請求的源、目的IP地址進行轉(zhuǎn)換，并發(fā)送給合適的服務器；收到服務器的響應后，再對響應的數(shù)據(jù)包進行IP地址轉(zhuǎn)換，發(fā)送給訪問客戶端。通過這種方式，客戶端只知道應用交付平臺的IP地址，隱藏了內(nèi)部服務器的地址，保障了業(yè)務服務器免受來自外部的直接攻擊。確保業(yè)務永續(xù)：應用交付平臺作為雙向代理，同時可對各服務器的工作狀態(tài)進行檢測，將訪問請求發(fā)送到負載較小、服務能力較好的服務器上；當集群中的個別服務器發(fā)送故障時，應用交付平臺就不向其發(fā)送訪問請求，因此對外部用戶來說，只要不是所有的服務器全部故障，就可以獲得服務器的響應，確保了業(yè)務的永續(xù)。分擔服務器功能：應用交付平臺可替代服務器完成一些原先在服務器上完成的工作，比如數(shù)據(jù)加解密、壓縮等，從而釋放服務器性能。安全防范與等保合規(guī)信息安全等級保護制度（以下簡稱“等?！保┦俏覈畔踩ㄔO(shè)的基本國策。等保的建設(shè)過程分為：定級、評估、整改、測評、監(jiān)管。根據(jù)《信息系統(tǒng)安全等級保護定級指南》，信息系統(tǒng)的定級分為五個等級。在實際等保建設(shè)中，大多數(shù)的企業(yè)的等保在第二級和第三級。等保建設(shè)主要依據(jù)信息系統(tǒng)安全建設(shè)和改造過程中使用的標準《信息系統(tǒng)安全等級保護基本要求》（以下簡稱《基本要求》），進行方案設(shè)計。《基本要求》在整體框架結(jié)構(gòu)上以三種分類為支撐點，自上而下分別為：類、控制點和項。其中，類表示《基本要求》在整體上大的分類，其中技術(shù)部分分為：物理安全、網(wǎng)絡安全、主機安全、應用安全和數(shù)據(jù)安全及備份恢復等5大類，管理部分分為：安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理等5大類，一共分為10大類?？刂泣c表示每個大類下的關(guān)鍵控制點。具體框架結(jié)構(gòu)如圖所示：等級保護制度框架信息安全等級保護工作是個龐大的系統(tǒng)工程，關(guān)系信息化建設(shè)的方方面面，這就決定了這項工作的開展必須分步驟、分階段、有計劃的實施。迪普在信息安全等級保護工作中能為用戶提供網(wǎng)絡安全的全部防護和數(shù)據(jù)安全的部分安全防護。迪普能提供的安全防護如圖所示：迪普科技安全防護網(wǎng)絡安全融合傳統(tǒng)安全部署方式的局限性隨著云計算、物聯(lián)網(wǎng)的不斷發(fā)展，用戶的數(shù)據(jù)業(yè)務飛速增長，不僅使網(wǎng)絡架構(gòu)變得非常復雜，也使網(wǎng)絡安全、應用體驗性、業(yè)務持續(xù)可用面對巨大挑戰(zhàn)。傳統(tǒng)的安全解決方法是在大容量交換設(shè)備之外，通過旁掛或者串聯(lián)的方式部署防火墻、IPS、流量控制、應用交付、漏洞掃描系統(tǒng)和Web應用防火墻等深度業(yè)務處理設(shè)備。這種解決方法在新的技術(shù)發(fā)展趨勢下，顯現(xiàn)出越來越多的問題：整網(wǎng)可靠性低。網(wǎng)絡中要增加防火墻、IPS、流量控制、應用交付、漏洞掃描系統(tǒng)、上網(wǎng)行為審計、Web應用防火墻等大量的安全設(shè)備，使整網(wǎng)的可靠性降低。如果都是單臺設(shè)備“糖葫蘆串式”的組網(wǎng)帶來大量單點故障。如果采用雙機部署，盒式安全設(shè)備的雙機備份時間往往在秒級，甚至十秒級，可靠性不高。內(nèi)部流量安全無法保護。大量的安全設(shè)備部署到網(wǎng)絡中，設(shè)備如何部署、以什么模式部署、設(shè)備之間的組網(wǎng)關(guān)系、如何進行流量規(guī)劃、網(wǎng)絡策略規(guī)劃都變得非常復雜。為了保證數(shù)據(jù)中心整網(wǎng)的數(shù)據(jù)轉(zhuǎn)發(fā)能力，各業(yè)務系統(tǒng)的網(wǎng)關(guān)通常設(shè)置在數(shù)據(jù)中心核心交換機上。對于各類安全防護設(shè)備部署來說，最理想的位置是在核心交換設(shè)備與服務器之間，這樣不僅能夠?qū)ν獠吭L問業(yè)務系統(tǒng)的流量進行防護，還能夠防護數(shù)據(jù)中心內(nèi)部業(yè)務系統(tǒng)間的流量。但是這種部署需要在數(shù)據(jù)中心每個二層域都部署一套安全防護設(shè)備，建設(shè)成本過于高昂。因此通常數(shù)據(jù)中心建設(shè)時都是將安全設(shè)備部署在核心交換機外部，這種方式能夠?qū)ν獠吭L問流量進行防護，但是無法防護數(shù)據(jù)中心內(nèi)部橫向訪問流量。運維管理復雜。多廠商、多設(shè)備間相互兼容困難，特別是隨著網(wǎng)絡規(guī)模和組網(wǎng)模式的不斷革新，難以實現(xiàn)性能、功能、接口的按需擴展。同時網(wǎng)絡、安全設(shè)備無法統(tǒng)一管理。時延高。數(shù)據(jù)報文的多次重復解析和處理，造成網(wǎng)絡性能的衰減和延遲的增加。網(wǎng)絡特性支持不完善，如MPLSVPN、IPv6、虛擬化等。擴展性差。后續(xù)增加新的安全功能，或是網(wǎng)絡性能擴容時，往往需要對原有設(shè)備進行替換，否則會讓網(wǎng)絡更加復雜。業(yè)界唯一的L2~7融合傳統(tǒng)安全解決方法的根本局限，在于與網(wǎng)絡不相容。因此，迪普科技提出“應用即網(wǎng)絡”的技術(shù)理念，實現(xiàn)網(wǎng)絡與應用的融合，在解決以上問題的同時，讓網(wǎng)絡可以根據(jù)應用進行交換、路由、控制、加速，從而保障用戶信息安全、提升用戶體驗，降低用戶總體擁有成本。所謂融合，就是將網(wǎng)絡與安全融為一體。具體來說，有四層含義：同一臺設(shè)備能提供L2~7所有功能，包括交換、訪問控制、入侵防御、病毒防范、流量控制、行為審計、負載均衡等功能。如果一臺設(shè)備僅實現(xiàn)兩到三種功能，比如防火墻、IPS，那只是在網(wǎng)絡與安全的整合，不是融合。同一個IP。整機對外呈現(xiàn)一個IP地址，在網(wǎng)絡中為一個節(jié)點。統(tǒng)一的管理界面。L2~7所有功能均通過一個管理界面，而不是單獨的管理界面去管理。統(tǒng)一的操作系統(tǒng)。L2~7所有功能均為統(tǒng)一的操作系統(tǒng)，而不是多個操作系統(tǒng)。統(tǒng)一的硬件架構(gòu)。L2~7所有功能通過統(tǒng)一的硬件架構(gòu)實現(xiàn)。同一臺設(shè)備L2~7融合本方案中，交換、訪問控制、入侵防御、流量控制、負載均衡等L2~7的安全功能，均可通過融合式安全網(wǎng)關(guān)實現(xiàn)。統(tǒng)一的IP業(yè)界唯一的應用網(wǎng)絡平臺網(wǎng)絡與應用融合的大趨勢下，傳統(tǒng)的OSI七層架構(gòu)正在受到挑戰(zhàn)，網(wǎng)絡廠商也越來越重視其產(chǎn)品對應用層的支持能力。越來越多的交換機廠商在其核心交換機推出越來越多種類的安全與應用交付業(yè)務板。從業(yè)界來看，這些“交換機+業(yè)務板”的設(shè)備，主要有兩種情況：交換設(shè)備對外一個IP地址，每塊業(yè)務板卡一個IP地址。如圖所示，整機部署兩塊防火墻板卡、兩塊應用交付板卡、一塊IPS板卡后，整機對外5個IP地址。交換設(shè)備對外一個IP地址，同類型業(yè)務板卡一個IP地址。部分廠商可以將同類型的業(yè)務板卡通過VRRP方式對外一個IP地址。如圖所示，整機對外3個IP地址。但不管怎么說，這些“交換機+業(yè)務板”的設(shè)備對外仍然是網(wǎng)絡歸網(wǎng)絡、應用歸應用，多個IP地址在網(wǎng)絡中就意味著多個邏輯節(jié)點。網(wǎng)絡、應用仍是兩張皮。迪普科技創(chuàng)新的DPX8000/19000系列融合式網(wǎng)關(guān)，則真正實現(xiàn)了網(wǎng)絡、應用的無縫融合，即使部署所有類型的業(yè)務板卡，整機對外也是一個IP地址，一個邏輯節(jié)點。統(tǒng)一的管理界面本方案中，L2~7所有的功能通過融合式網(wǎng)關(guān)的一個管理界面去集中配置、管理和日志集中分析。DPX19000統(tǒng)一管理界面DPX19000統(tǒng)一管理界面DPX19000統(tǒng)一管理界面DPX19000統(tǒng)一管理界面DPX19000日志分析界面統(tǒng)一的操作系統(tǒng)ConPlat操作系統(tǒng)對于傳統(tǒng)網(wǎng)絡廠商來說，其操作系統(tǒng)的網(wǎng)絡特性支持完善，但應用層功能幾乎沒有。對于傳統(tǒng)安全廠商來說，其操作系統(tǒng)對應用層功能支持完善，但網(wǎng)絡特性往往只支持基礎(chǔ)的二三層轉(zhuǎn)發(fā)功能，對MPLS、大二層、IPv6等特性支持不完善。其實，網(wǎng)絡、應用分屬不同的操作系統(tǒng)，正是“交換機+插卡”對外體現(xiàn)出多個IP地址的原因。相比之下，迪普科技利用深厚的技術(shù)積累，推出了業(yè)界唯一的L2~7融合的ConPlat操作系統(tǒng)。迪普科技的所有L2~7的功能，從路由、交換，到訪問控制、入侵防御、病毒防范、流量控制、行為審計、負載均衡等，都是在ConPlat操作系統(tǒng)上，由不同的功能模塊提供，真正實現(xiàn)了L2~7的融合。

方案規(guī)劃與設(shè)計根據(jù)對教育管理公共服務平臺的需求分析，以及多年在教育行業(yè)積累的經(jīng)驗，迪普科技設(shè)計本項目的方案拓撲：xx教育管理平臺拓撲如圖6-1所示，方案采用模塊化設(shè)計的思路，分為出口區(qū)、應用服務器區(qū)、數(shù)據(jù)庫服務器區(qū)、前置服務器區(qū)、核心區(qū)、網(wǎng)絡管理區(qū)、終端接入?yún)^(qū)等區(qū)域。網(wǎng)絡架構(gòu)上，采用“核心-接入”的扁平化組網(wǎng)，骨干萬兆，千兆到桌面。組網(wǎng)采用大二層組網(wǎng)。安全設(shè)計上，在出口、數(shù)據(jù)中心核心部署安全防護板卡，實現(xiàn)L2~7層防護。方案設(shè)計參考《國家教育管理公共服務平臺省級數(shù)據(jù)中心建設(shè)指南》，同時滿足國家等級保護要求。核心區(qū)設(shè)計組網(wǎng)設(shè)計核心區(qū)負責數(shù)據(jù)中心網(wǎng)絡數(shù)據(jù)的高速轉(zhuǎn)發(fā)，是整網(wǎng)的關(guān)鍵區(qū)域，設(shè)備承載的壓力較大。因此核心節(jié)點的擴建，通常必須遵循以下幾個原則：必須具備高可靠性及高冗余性；必須具備模塊化產(chǎn)品設(shè)計；必須具有迅速升級能力；必須具有較少的時延和好的可管理性；必須具有多業(yè)務應用擴展性；本方案在核心區(qū)部署兩臺DPtechDPX8000-A12深度業(yè)務交換網(wǎng)關(guān)，通過VSM技術(shù)將兩臺設(shè)備虛擬化成一臺邏輯設(shè)備。DPX8000-A12作為業(yè)界第一款深度業(yè)務交換網(wǎng)關(guān)，提供6480Gbps

、4860Mpps的處理能力，滿足XX集團對處理性能的要求。網(wǎng)絡特性上，DPX8000-A12支持IPv4/IPv6、三層/二層MPLSVPN、OSPF等豐富的網(wǎng)絡特性，并提供千兆電、千兆光、萬兆電、萬兆光等各種高密端口?？煽啃陨?，方案部署雙核心，所有接入設(shè)備通過雙鏈路上行，通過采用VSM技術(shù)將兩臺核心虛擬化成一臺邏輯設(shè)備，消除了二層環(huán)路，實現(xiàn)鏈路性能倍增，同時提高鏈路可靠性。在VSM虛擬化運行方式下，正常情況下兩臺設(shè)備同時工作，業(yè)務負載分擔，故障情況下，實現(xiàn)毫秒級的設(shè)備切換。接入交換機至核心交換的雙上行鏈路跨設(shè)備鏈路聚合，消除二層環(huán)路，實現(xiàn)上行鏈路備份，并避免復雜的STP協(xié)議配置。關(guān)于VSM技術(shù)的詳細介紹參見第五章。安全分區(qū)設(shè)計如5.2節(jié)所述，安全設(shè)計與網(wǎng)絡設(shè)計密不可分。因此本方案在進行網(wǎng)絡設(shè)計的同時，進行安全設(shè)計。本次方案采用了整網(wǎng)安全與網(wǎng)絡核心一體化設(shè)計，實現(xiàn)L2~7融合式部署。安全設(shè)計內(nèi)容上，包括網(wǎng)絡安全分區(qū)、業(yè)務系統(tǒng)入侵防護、重點業(yè)務應用安全等幾方面的內(nèi)容。數(shù)據(jù)中心應根據(jù)承載數(shù)據(jù)的規(guī)模、應用系統(tǒng)的重要程度、數(shù)據(jù)中心的業(yè)務和服務功能等劃分不同的安全域。安全域應包括應用服務器區(qū)域、數(shù)據(jù)庫服務器區(qū)域、數(shù)據(jù)存儲區(qū)域、前置服務器區(qū)域、網(wǎng)絡安全管理區(qū)域和對外服務區(qū)域等，根據(jù)“業(yè)務資產(chǎn)重要程度相似、業(yè)務風險等級相似”等原則進行安全域劃分。本次方案設(shè)計在核心DPX8000上部署迪普科技防火墻板卡。通過防火墻板卡的部署，可實現(xiàn)數(shù)據(jù)中心網(wǎng)絡安全域的劃分。同時，防火墻板卡可根據(jù)各安全域的安全級別，設(shè)置相應的訪問策略，實現(xiàn)網(wǎng)絡邊界的基礎(chǔ)安全防護，確保數(shù)據(jù)中心網(wǎng)絡基礎(chǔ)安全防護滿足等保要求。入侵防御及業(yè)務深度防護設(shè)計本次方案設(shè)計在數(shù)據(jù)中心業(yè)務核心平臺上部署迪普科技的入侵防御實現(xiàn)對數(shù)據(jù)中心各類業(yè)務系統(tǒng)的應用級安全防護。通過上述應用安全防護板卡的部署，實現(xiàn)了數(shù)據(jù)中心各業(yè)務系統(tǒng)的應用防護與病毒防護，使得數(shù)據(jù)中心內(nèi)部安全防護滿足等保合規(guī)性需求。上述業(yè)務應用防護板卡與防火墻板卡一樣，通過緊耦合的部署方式進行部署，不單獨占用IP地址，實現(xiàn)了融合式組網(wǎng)與一體化的管理。通過緊耦合的部署方式，設(shè)備可實現(xiàn)流量數(shù)據(jù)包的“一次解析，多次防護”，數(shù)據(jù)包經(jīng)過設(shè)備時一次性對數(shù)據(jù)包內(nèi)容進行深度解析，按照需求經(jīng)過不同業(yè)務板卡的防護，避免了傳統(tǒng)盒式設(shè)備方案多次拆包多次計算帶來的網(wǎng)絡延時問題，大大提升了網(wǎng)絡的業(yè)務處理能力。內(nèi)部流量安全防護如前所述，通過網(wǎng)絡、安全一體化的部署方式，整網(wǎng)核心設(shè)備融合了基礎(chǔ)安全防護、入侵防御、應用安全防護等功能，通過網(wǎng)絡安全緊耦合部署，設(shè)備只占用一個IP地址。因此，在本方案中，各業(yè)務系統(tǒng)網(wǎng)關(guān)均可部署在業(yè)務核心平臺DPX8000設(shè)備上，這樣除了來自外部的訪問流量仍就能夠經(jīng)過安全防護設(shè)備之外，網(wǎng)絡內(nèi)部各二層域之間的互訪流量也能夠經(jīng)過核心層安全防護設(shè)備的處理，實現(xiàn)了內(nèi)部流量的安全防護。應用交付考慮到業(yè)務系統(tǒng)具有進行集中、突發(fā)性大流量的數(shù)據(jù)上傳、歸檔和信息查詢等服務特性，對業(yè)務服務應用的處理能力要求較高，為了保障和提高系統(tǒng)信息服務的高可用性，本次方案設(shè)計在業(yè)務核心網(wǎng)關(guān)部署迪普科技應用交付系列板卡。交付平臺同時可從網(wǎng)絡層、應用層全方位的探測、檢查服務器和鏈路的運行狀態(tài)，選擇最合適的服務器對外提供訪問響應，從而高效地將客戶端對數(shù)據(jù)中心服務的訪問請求合理地分發(fā)到數(shù)據(jù)中心的各臺服務器上，以保證數(shù)據(jù)中心的響應速度和業(yè)務連續(xù)性，并大大提升服務器的使用效率和彈性伸縮能力。接入?yún)^(qū)設(shè)計接入層設(shè)備負責業(yè)務系統(tǒng)的高密接入。根據(jù)數(shù)據(jù)中心的綜合布線模式及各機柜網(wǎng)絡的信息點數(shù)量，設(shè)計在機柜內(nèi)部或者是網(wǎng)絡機柜部署迪普科技LSW5600系列24口交換機或48口交換機，實現(xiàn)業(yè)務系統(tǒng)的高速高密接入。接入交換機通過萬兆光纖上連至核心網(wǎng)關(guān)。DPtechLSW5600系列以太網(wǎng)交換機是迪普科技推出的下一代全千兆多業(yè)務以太網(wǎng)交換機產(chǎn)品。該系列采用迪普科技領(lǐng)先的高性能硬件構(gòu)架和統(tǒng)一的ConPlat軟件平臺，具備高性能L2-4業(yè)務處理能力和和高密千兆端口，并可根據(jù)應用場景靈活擴展萬兆上行和PoE+端口供電能力，充分滿足園區(qū)多業(yè)務匯聚、中小企業(yè)核心、千兆到桌面和IDC千兆接入等多種應用場景需求。此外，環(huán)境感知、環(huán)境監(jiān)控和0-70℃寬工作溫度等環(huán)境增強設(shè)計，降低維護成本，簡化網(wǎng)絡管理，使網(wǎng)絡應用率先進入低碳時代。出口設(shè)計省級數(shù)據(jù)中心的重要作用是給全省的中小學、職教、高校提供服務，這些服務都是通過互聯(lián)網(wǎng)展開，出口是用戶訪問數(shù)據(jù)中心的必經(jīng)之路。因此出口是數(shù)據(jù)中心的關(guān)鍵部分。網(wǎng)絡出口設(shè)計應考慮以下方面：可靠。出口作為用戶與互聯(lián)網(wǎng)的連接，應采用高可靠設(shè)計，消除單點故障，同時采用雙機部署。性能?；ヂ?lián)網(wǎng)帶寬建議為滿足全省用戶高峰期流量的1.5倍，網(wǎng)絡設(shè)備應滿足應具有一定的設(shè)備和鏈路冗余等保護措施。多ISP接入?，F(xiàn)出口有2條鏈路，以后會擴容至多條鏈路，需要合理利用鏈路。帶寬合理利用。應對帶寬濫用行為（如P2P下載、在線視頻等）采用有效的帶寬管理方式。行為管控與溯源。應對散布不當言論、擾亂社會秩序的行為進行管控，滿足公安部《82號令》要求。傳統(tǒng)的互聯(lián)網(wǎng)出口解決方案在面對以上關(guān)鍵性需求時，存在著諸多的局限性，如性能瓶頸、不支持IPv6、不具備平滑擴容能力，多產(chǎn)品堆砌、組網(wǎng)結(jié)構(gòu)復雜，最為關(guān)鍵是不能充分利用出口帶寬資源，反而還會造成帶寬資源大量損耗，使得上網(wǎng)體驗與總體成本始終是一對矛盾體。迪普科技基于大量的高?；ヂ?lián)網(wǎng)統(tǒng)一出口建設(shè)實踐與技術(shù)創(chuàng)新，面向高校用戶推出了“一體化校園網(wǎng)出口解決方案”，完美的解決了高校互聯(lián)網(wǎng)出口建設(shè)中所面臨的各種困擾，主要具備以下四大顯著特點：迪普科技一體化出口解決方案眾多需求，從“融”面對眾多需求，從“融”面對路由、NAT、防火墻、鏈路負載均衡、流控、上網(wǎng)行為管理、入侵防御等功能一體化部署，極大簡化校園網(wǎng)出口組網(wǎng)結(jié)構(gòu)。智能提升帶寬價值，秀外“慧”中三大創(chuàng)新技術(shù)應用智能路由、零帶寬損耗、高速內(nèi)容緩存綜合提升帶寬利用率，智能提升校園網(wǎng)出口帶寬價值。應用智能路由應用交付設(shè)備也可以將HTTP或者網(wǎng)絡游戲這類帶寬占用較小但實時性要求很高的網(wǎng)絡應用流量牽引到延時和丟包都較小的高質(zhì)量鏈路上，從而滿足甚至提高這類用戶的網(wǎng)絡使用體驗。通過對網(wǎng)絡應用流量的分析，并對不同應用流量使用不同的智能應用路由，從而達到最高效率地使用整網(wǎng)現(xiàn)有出口，提高網(wǎng)絡應用體驗、節(jié)省帶寬成本等效果。零帶寬損耗迪普創(chuàng)新的零帶寬損耗技術(shù)，率先采用“提前”限速的技術(shù)理念，解決傳統(tǒng)帶寬管理“丟包而導致?lián)p耗”的難題。通過識別應用協(xié)議（如BT、迅雷、網(wǎng)絡視頻、HTTP等）確認協(xié)議傳輸模型，從而確認與服務器之間交互方式，動態(tài)與服務器協(xié)商，調(diào)整服務器的發(fā)送速率，達到控制帶寬的效果。這個過程需要消耗大量系統(tǒng)和內(nèi)存資源，迪普科技通過基于“多核CPU+FPGA+分布式轉(zhuǎn)發(fā)”的APP-X硬件平臺很好的承接上述資源消耗，在不影響網(wǎng)絡應用的情況下，有效解決傳統(tǒng)流量管理損耗不能低于30%的難題，啟用流量控制后整體帶寬幾乎無損耗（5%以內(nèi)），真正實現(xiàn)對應用流量的合理、有效、有序的管理。緩存改善用戶體驗網(wǎng)絡行為，“管”控一體基于應用而不是端口，基于用戶而不是IP，基于內(nèi)容而不是數(shù)據(jù)包，深度內(nèi)容識別與管控一體化，為高校創(chuàng)造秩序井然的網(wǎng)絡環(huán)境。高速穩(wěn)定，暢“通”無阻高性能的硬件架構(gòu)、領(lǐng)先的虛擬化技術(shù)、強大的網(wǎng)絡適應能力，為校園網(wǎng)提供高速、可靠的網(wǎng)絡通道。防DDOS攻擊DDoS（DistributedDenialofService）攻擊通過大量合法的請求占用大量網(wǎng)絡資源，以達到癱瘓網(wǎng)絡的目的。目前DDoS攻擊技術(shù)的發(fā)展，攻擊方式多樣，可以在網(wǎng)絡的L3~7展開持續(xù)而有效的攻擊。數(shù)據(jù)中心各類業(yè)務系統(tǒng)遭受DDOS攻擊常有發(fā)生，時時都有受到攻擊的威脅。為此，數(shù)據(jù)中心設(shè)計通過部署DPX8000+異常流量清洗插卡，通過專業(yè)的異常流量清洗系統(tǒng)來抵御日漸流行的DDoS攻擊。異常流量清洗系統(tǒng)旁路工作在網(wǎng)絡核心，正常情況下核心流量不經(jīng)過系統(tǒng)。當攻