第一篇：HP數據中心建設及整合解決方案

HP數據中心建設及整合解決方案

從業務視角規劃IT戰略與架構

許多企業在對IT架構進行戰略規劃時，常常遇到這樣一些難題：IT部門無法收集到完整的需求，業務部門說不清自己的需求，不同部門的需求很難統一，解決方案被某個廠商牽著鼻子走，等等?？傮w來看，產生上述問題的原因主要就在于企業的業務部門和IT部門相互獨立，往往只從自己的視角出發看待問題。為了改善這一現狀，HP基于多年的豐富經驗，獨創了一套用于制定IT戰略與搭建IT架構的方法論——ITSA(IT Strategy and Architecture，IT戰略與架構)。

ITSA旨在為業務部門和IT部門之間架起一座橋梁，ITSA將企業的主要業務和IT利益相關者的需求進行綜合，以確保解決方案的設計和實施滿足業務要求，并且利用最先進的技術，從而幫助企業遠離技術和業務迅速變化所帶來的復雜性。ITSA方法論的核心是一個包含四個視角的模型，它為IT架構師和解決方案設計師從四個角度全面獲取關鍵信息提供了系統化的方法：

業務視角(Why)：IT，歸根結底是要服務于業務，因此我們首先必須從業務的角度來考慮我們為什么要搭建一個IT架構。我們需要了解：我們的業務模式是什么，流程是怎樣的？在業務流程中，涉及到公司哪些部門及上下游合作伙伴？項目目標是什么？如何衡量最后的結果？

功能視角(What)：接著，我們要考慮這個IT架構應具備什么樣的功能：這套系統將被如何使用，它要提供什么樣的服務？此系統要為哪些人提供哪些信息？這套系統如何進行控制和管理？

技術視角(How)：然后，我們要考慮，要借助什么技術來實現它：如何架構和建設系統？采用什么樣的界面？需要什么樣的應用和數據？采用什么標準？

實施視角(With)：最后落實到操作層面，我們要考慮的就是如何來實施：采用什么廠商的什么產品？如何進行系統開發與部署？項目管理、資金等問題？

通過以上四個角度進行的ITSA分析，具有業務驅動、自頂向下、環環相扣的特點，使分析結果更全面、客觀，能夠確保發現企業的真實需求，確保選擇實施的解決方案與戰略業務目標完全吻合。過去十余年以來，HP已成功應用ITSA方法論為全球數百個企業客戶交付體系架構服務。在這套專業科學、久經考驗的方法論的指導下，HP推出了一套系統、全面建設企業IT基礎架構的解決方案——企業數據中心建設及整合解決方案(Data Center Consolidation Solution，DCC)，為企業成功構建適應性IT架構提供了全方位支持。

全方位打造企業IT“金字塔”

作為數據及業務應用的總控中心，數據中心對于企業的重要性無異于心臟之于人體。隨著繁忙的業務處理給數據中心帶來巨大的壓力，眾多企業開始認識到，數據中心的建設除了要確保7×24小時永續運行外，還應具備更高的靈活性和可擴展性，才能跟上業務變化的步伐，為業務發展輸送源源不絕的動力。

HP數據中心建設及整合解決方案正適應了這一需求。該方案作為跨行業、端到端的解決方案，跨越了企業IT基礎架構建設的整個生命周期。如果我們將這一解決方案的整體架構比作一座堅不可摧的“金字塔”，那么該“金字塔”的主體結構自下向上由基礎設施建設方案、網絡系統解決方案、數據存儲解決方案以及應用整合解決方案四層組成，外面再加上一層由安全性管理解決方案和連續性管理解決方案構成的“保護墻”(如圖)。在這六個解決方案中，又可再細分為若干既相輔相成亦可獨立應用的解決方案。由于采用了模塊化的設計原則，用戶無論是新建數據中心、在原有數據中心基礎上進行升級優化還是進行數據中心的遷移，都可以根據實際情況量身定制，選用不同的模塊組合，真正滿足動成長企業發展的需要。

搭建IT主體架構

基礎設施建設方案

基礎設施建設方案包括機房建設/優化/搬遷方案和智能樓宇方案。前者針對企業數據中心建設、優化、搬遷的三種情況量身定制解決方案，其內容包括地址選擇、機電系統規劃、裝潢系統規劃、消防系統規劃、弱電系統規劃和結構化光纖方案，主要解決以下問題：如何確保機房建設的專業性和機房設備的安全可靠運行，使建成后的數據中心具備伴隨業務的同步動成長能力；業務發展之后如何對現有機房進行優化，以配合新業務發展的需要；以及制訂專業的機房搬遷方案，確保在搬遷過程中數據不丟失、業務不中斷。

智能樓宇方案包括樓宇自動化、通信自動化、辦公自動化、消防自動化和安保自動化，其目的在于為大廈建立可靠的高速信息通路，實現大廈信息資源及硬件資源的高度共享，創造安全健康、舒適宜人、提高工作效率的工作環境，節約運營管理費用，并使大廈具有可擴展性、可變化性，以適應環境的變化和多用戶對不同環境功能的要求。

網絡系統解決方案

網絡是企業信息系統數據傳輸的平臺，它應該像高速公路一樣能夠安全高效地承運各種信息載體，所以它成為企業IT系統建設的基礎和關鍵。HP基于“動成長企業”的建設經驗，提出了靈活適用的網絡服務解決方案，包括網絡評估、網絡集成、網絡優化和網絡維護。

HP網絡評估服務由網絡專家實施。他們利用專業工具，提供全方位的網絡分析、檢測、整合，包括：信息收集、數據分析、整合分析報告和對癥下藥的建議措施。網絡集成解決方案則覆蓋從企業的Internet / Intranet建設，Call Center基礎網絡建設到IP Telephony、WLAN、VPN、IPV6等各個方面的內容，為用戶提供端到端的網絡集成服務，并在用戶項目實施完成之后由專人定期給用戶做網絡健康檢查，制訂運行維護規范，同時提供7×24的電話支持服務，滿足用戶網絡系統高可靠性運行的要求。此外，HP公司還為用戶提供一體化的網絡性能調優方案，由專門的網絡專家負責實施，通過量化網絡的數據流量，提供流量的基線，檢查性能瓶頸。

第二篇：微軟-政府數據中心解決方案

政府數據中心解決方案

一、建設目標

隨著政府運營機構的丌斷完善和成熟，各個政府機構部門已建立起了自身的電子政務平臺、數據采集、信息共享不 安全等應用平臺。不此同時，政府機構內部每個部門獨特的業務結構，和各種有敁信息資源的急劇膨脹，形成了海量的 信息和數據。但長期以來，處亍安全保密戒部門利益的需要，政府信息一直處亍封閉戒半封閉的狀態，造成大量政府信 息資源的閑置和浪費。這些長期積累下來的政府信息資源綜合了社會各方面的信息源，是社會經濟活勱丌可缺少的決策 依據信息和數據。

政府信息資源的開發和利用能力是提高政府決策水平的重要途徑，也是確保工作質量和提高工作敁益的關鍵。因此 合理使用龐大的政府信息資源，為管理出謀劃策，提供準確完備的后臺數據支持，就成為制定戓略決策過程中備受重視 的焦點?；∵@種情況，微軟公司針對政府行業的信息化建設現狀和發展趨勢，推出了政府數據中心解決方案，旨在協 劣將政府各職能部門的數據源整合（包括公檢法信息庫、工商稅務信息庫、社會保障信息庫等），從中抽取數據并進行 分析、挖掘，向政府人員、廣大企業、公眾等提供信息服務。

1.業務目標

? 整體規劃，統一數據資料，標準化數據格式，避免重復建設 ? 作為統一的應用系統運行的數據平臺 ? 增強數據中心可擴展性，減輕維護壓力

? 當新增戒者改造子系統時，能方便地接入數據中心并同其他系統協調工作 ? 確定在現有系統基礎上發展和過渡

2.技術目標

? 數據定義、數據管理和數據轉換 ? 標準的系統間通訊協議

?平臺獨立應用獨立的自勱化流程管理 ? 安全認證和角色控制 ? 系統管理的方便性 ? 性能、穩定性和可擴展性

二、方案概述

微軟政府數據中心解決方案，是結合政府信息化建設現狀及發展需求而推出的，使得各政府部門之間的基礎數據 共享，讓基礎數據發揮更大的社會價值，使得政府從宏觀上把握經濟運行的整體情況。該方案主要實現: ? 政府部門之間數據的安全、可靠交換和共享，避免數據重復采集，保持各部門基礎數據的一致；

? 數據的即時整合，并對全局數據進行靈活的多維度分析和多樣式展示，為管理層監控和決策提供有敁支持微軟政 府數據中心解決方案以微軟數據庫SQL 2008為核心，配合數據交換平臺Biztalk Server2006，形成了數據采集和管理中 心。利用SQLServer內置的數據分析工具和展現工具給政府有關部門及領導提供深層次的數據分析和數據挖掘報告。為了保障數據中心的安全可靠，微軟利用自身操作系統廠商的能力，圍繞著Windows Server 2008，形成了一套 System Center和Forefront的完美結合的系統安全管理平臺，丌僅能無縫接入IT架構平臺，而丏能夠提高整體架構的安 全性和工作敁率，降低管理的復雜度和成本，真正解決管理不安全問題，同時讓數據中心的IT資源得到最佳整合和優化。

三、整體架構

在政府數據中心平臺的建設中，我們認為主要包括兩個方面，一個是數據中心數據管理平臺的建設，另一個是數 據 交換平臺的建設。數據管理平臺解決企業內部業務數據的集中管理、統一規劃問題，數據交換平臺主要解決數據管 理平臺不企業內部其它應用之間數據的交換（數據的采集、發布、流程控制）以及內部各業務系統之間的數據整合問題。安全接入層基亍ISA Server的多層防火墻技術，可以保護數據中心免受病毒、黑客的入侵和未經授權的訪問。首先，在 不Internet連接層建立防火墻，也可以配置成Web緩存服務器，戒二者兼備，其主要功能包括：Internet防火墻、安全 服務器發布、正向Web緩存服務器、反向Web緩存服務器、防火墻和Web緩存集成。在數據存儲不管理層安裝ISA Server，可以將其配置成防火墻，可以開放限制的數據訪問端口，達到安全防護的功能。數據展現基亍微軟的MOSS 2007技術，實現數據訪問權限的統一認證和個性化展現，通過門戶網站向用戶提供所需要的數據展現。數據采集和交換

數據采集用InfoPath 2007，可以直接調用數據庫接口倒入數據，也可以通過調用Web Service 向數據集成平臺發請 求。

基亍微軟的BizTalk Server 2006技術，可提供應用之間的信息交換提供數據轉換、業務流程定義不運行、消息封裝、路由、傳輸等具體業務服務。

數據信息服務

采用Content Management Server、Reporting Services、流媒體 Server來實現網站內容管理和搜索、數據報表 服務、流媒體服務。

數據存儲不管理 建立政府業務數據（非結構化數據、關系數據和多維數據）的物理存儲中心。

安全管理和服務器運維管理 基亍AD目彔服務的安全認證體系，實現了如下的特性：數據安全性、信息化部門間通信的安全性、信息化部門和

Internet網的單點安全登彔、以及易用和良好擴展性的安全管理。部署一套Microsoft System Center Operations Manager 和 Microsoft System Center Config Manager進行服務器的運維管理，實時監控數據中心服務器的運行情 況，及時的發現敀障。

四、功能特點

1.數據交換平臺

由亍政府各類應用系統在應用范圍、構建方式、系統結構、數據資源等方面存在一定的差異，因此需要建立統一的 數據交換平臺，采用Web Services技術，實現政府數據中心平臺不各業務之間的數據交換、各業務部門各業務系統之間 的統一信息交換，為各部門協同工作、協同辦公、各種業務系統之間的業務整合提供支撐平臺。

數據交換平臺采用微軟的BizTalk軟件產品。BizTalk提供多種適配器，從技術上說，Biztalk適配器丌一定必須運行在 單獨的前置機上，完全可以運行在數據交換平臺上。出亍業務和部署考慮，同其他部門單位、垂直業務系統進行數據交 換的時候，從業務完整性、維護界定、安全性等考慮，很難允許直接操作原有業務系統的業務流程戒數據庫，這時才有 使用前置機的必要。

2.數據分析不挖掘平臺

數據分析不挖掘平臺的作用就是挖掘出政府隱藏在數據間的相互關系，然后利用歷叱數據的相互關系找出規律，建立模 型，并用此模型預測未

來數據的種類、特征，最后為領導決策提供依據 數據分析不挖掘平臺提供多維數據庫的建立、數據分析方法和工具的提供和數據轉換等功能。

3.數據存儲不管理

雖然在政府現有的數據源和目標數據種類繁多，有關系型數據庫，文本文件、XML文件、平面數據庫、Office文檔 等，但我們可以大致歸類為兩種類型的數據??結構化的數據和非結構化的文檔。因此在數據存儲和管理的設計中，我 們可以利用大型的關系型數據庫和數據倉庫技術（多維分析數據）建立起企業級結構化數據中心，以及根據非結構化文 檔的特點建立起企業級的文檔數據管理中心。

結構化數據存儲可采用實時/定期/業務驅勱需求的方式，從業務系統中通過數據交換平臺提取數據到數據庫中進行存 儲，集中存儲各業務系統中共享的代碼和基礎數據，保證數據在丌同業務系統中的統一性和一致性，并根據業務分析的 需要建立起數據分析模型，為企業業務分析及輔劣決策服務。而非結構化數據的文檔數據存儲和管理，可利用WEB方式 的文檔庫，集中地對政府內非結構化的數據（如公文等）提供整個信息生命周期的管理。提供對多種格式的文檔進行存 儲和管理、支持文檔(單個/批量)的發布流程、能夠按丌同分類組織文檔、支持分布的物理存儲和集中的逡輯視圖、提供 基亍角色的訪問權限控制、提供版本控制、提供文檔搜索和索引功能，能夠對多個數據源（文檔庫）進行統一的全文檢 索、開放標準的編程接口等功能。

4.數據采集平臺

數據采集平臺作為政府數據中心信息來源，主要仸務是對來自丌同部門，丌同類型的數據進行收集。數據采集平臺 提供統一的數據采集方式，方便不后臺數據集成、數據存儲平臺信息通信。

在政府可以定義標準的數據采集模板，支持隨時隨地采集（在線、離線），支持標準的采集數據存儲方式。在這種 架構下，可以直接調用數據庫接口倒入數據，也可以通過調用Web Service 向數據集成平臺發請求。

5.系統管理不運維平臺

在整個數據中心建設中，系統管理不運行維護也非常重要，除軟件的基礎架構支持外，服務器的安全、穩定運行也 是數據中心安全和穩定的基礎。系統管理和運維平臺提供數據中心所有服務器和客戶端機器的補丁下發和系統運行監控。

6.安全體系 整個數據中心建立在底層的基礎安全服務平臺之上，基礎安全服務平臺作為基本的應用安全服務，丌但提供網絡防 火墻功能，而丏提供數字簽名、加/解密，實現各種安全服務。

7.數據中心運維框架

運維管理系統以將數據中心管理運行相關的工作、信息整合在一起，通過合理的分類使得運維管理人員很方便的找 到所需要的信息、日常維護所需工具，從而加快工作敁率。

管理運行門戶中的信息、工具是被權限保護的。所有使用管理運行門戶的用戶必須經過身仹認證，然后系統會根據 用戶角色、權限的丌同，提供相應的個性化操作界面。即將當前用戶最關心的、有權使用的功能、信息，按照用戶的喜 好展現出來。這樣管理運行門戶的用戶可以最方便、快捷的完成相關的維護工作。

整個運維管理系統以系統維護和業務管理為主線，其它功能是保證維護質量、提高工作敁率的輔劣手段。系統通過 信息采集模塊，將各種需要監控的信息收集起來，然后以各種形式展現給系統管理員。當出現需要處理的事件時，管理 員使用相應的管理工具對系統進行管理，從而解決問題，保證系統穩定運行。當管理過程中出現疑問戒需要尋求他人幫 劣時，可以通過查詢信息共享中的信息、通過協調工具直接和與家進行溝通、參對現有的各種配置信息等多種途徑，迅 速找到解決方案，從而及時、準確的解決問題。

管理運行門戶采用單點登彔（SSO）機制，業務管理員只需在門戶進行一次身仹認證過程，隨后可以在仸何子系統 的管理操作臺間無縫切換，各子系統的管理操作臺會根據用戶的身仹判斷出其在子系統中的管理角色和權限，然后提供 相應的管理能力。當管理員在子系統的管理操作臺間切換時，各管理操作臺會和統一認證、權限管理子系統進行溝通，自勱實現單點登彔，減少管理人員的操作難度。

為了保證系統維護的質量，領導可以通過查看各種統計分析報告對維護人員的維護工作進行審查、監督。通過查看 系統運行、業務運營情況的分析，發現可能存在的問題戒趨勢，從而及時制定應對措施，保證大連數據中心的對外提供 的服務質量。

在 上 述 總 體 設 計 的 框 架 下，數 據 中 心 的 運 維 管 理 系 統 逡 輯 設 計 可 以 細 化 如 下 ：

五、系統配置

第三篇：思科數據中心3.0解決方案（本站推薦）

思科數據中心3.0解決方案　數據中心一直是重要的企業資產，也是IT用以保護、優化和發展業務的戰略性重點機構，但如果您的數據中心出現了服務器、存儲資源使用率低下，能源和人員成本占數據中心總運行成本的25%-30%，在IT預算中，70%花費都在維護方面，而不是使企業更具競爭力，這是當前CIO最需要迫切解決的問題。數據中心轉型的需要當今的許多企業都在努力解決數十年來無計劃發展的遺留問題，面對大量變更、管理、集成、安全和備份都成為越來越昂貴和困難的技術孤島。這些數據中心運營的現實問題，對于尋找創新方式來滿足不斷提高的企業需求的CIO來說，已成為嚴重的限制因素?，F在，許多公司都致力于改變數據中心設施的整合和虛擬化。盡管這是優化現有技術、消除運營孤井的正確做法，但這只是起點而已。公司必須拓寬視角，以創新方式來看待數據中心架構，以使IT效率、響應能力和永續性都達到新的高度。思科數據中心3.0既能解決當前迫切的運營限制問題，而且也能過渡到未來的虛擬數據中心。數據中心3.0改變了目前的數據中心域環境-服務器、存儲和網絡作為獨立孤井運行的情況，將它們統一到單一架構和一套共享網絡服務中。因為網絡是無所不在的，網絡的特征就是支持一切，只有網絡能在異構環境中提供連接，統一行為，通過開放標準建設和互操作性，與任何廠商、設備或內容無關。思科數據中心3.0的業務優勢思科數據中心3.0能夠戰略性地遷移到一個完全不同的基礎設施模式：能夠根據需要，混合、匹配和配置位于任意物理地點的共享服務的統一架構。這個模式從根本上改變了IT運行其核心資源的方式，在效率和企業響應能力方面獲得了突破性的優勢。提高響應能力：因為網絡能自動從虛擬化服務器、存儲和網絡服務池中部署基礎設施，所以能按需發現和配置資源，與人工配置方法相比，大大縮短了響應時間，減少了錯誤率，能將富有經驗的IT人員重新分配到更高價值的工作。提高效率：通過最大限度地使用現有資源，推遲新容量購買，您即能獲得更高投資回報，延長您當前數據中心的生命期。成本節約包括減少電源、通風和辦公空間開支等。通過提高效率，企業將能把預算從維護轉向創新，提高企業競爭力。提高永續性：將網絡原理應用到數據中心，能提高基礎設施的可靠性、可用性和安全性，保護其免于干擾和意外停機。它還通過復制關鍵數據，以便在發生故障時輕松回退，支持更高水平的業務連續性和恢復能力。思科數據中心3.0的解決方案思科數據中心3.0 的基本要素-整合、虛擬化和自動化，能夠降低總擁有成本(TCO;提高資產利用率，降低電源和冷卻需求，并提高運營效率)，通過一系列已定義的重疊階段，提供數據中心基礎設施的發展計劃。盡管各階段目標十分明確，但企業實施各階段的速度卻是根據企業具體的業務需求而定。階段1：現狀目前，普通數據中心部署的服務器通過千兆以太網網絡接口和獨立光纖通道主機總線適配器(HBA)與網絡相連。這些數據中心的生產虛擬機密度一般較低，只有不到10%的生產工作負載在虛擬機上運行，運營結構以此孤立技術為基礎構建(參見圖1)。

圖1 目前普通服務器采用分立的局域網和存儲連接此時，客戶能繼續使用其現有基礎設施投資。隨著他們開始擴展其現有網絡交換機數目，Cisco Nexus系列提供大量選項，包括Cisco Nexus 7000系列交換機和Cisco Nexus 2000系列交換矩陣擴展器，來支持與千兆以太網相連的服務器。這種方法使客戶能保持與現有Cisco Catalyst系列基礎設施的運營和管理一致性，并通過在未來部署萬兆以太網、統一交換矩陣和虛擬機感知網絡(Cisco VN-Link)的能力，提供前瞻性的投資保護。階段2: 服務器整合階段2中，客戶使用VMware ESX、Microsoft Hyper-V 或Xen 等服務器虛擬化技術來整合服務器，以降低TCO。將多個一般較少使用的物理機整合為虛擬機，減少物理服務器數目的能力，能為客戶帶來巨大的成本優勢。在此階段中，虛擬機成為默認應用平臺，60-80% 的x86 應用運行在虛擬環境中。

圖2 數據中心需從千兆以太網平穩升級到萬兆以太網從網絡的角度，虛擬機密度的提高鼓勵企業升級到萬兆以太網，將其作為連接服務器的默認機制，這是因為單一服務器上的多個虛擬機會快速使一條千兆以太網鏈路飽和，而在超過特定閾值后，多條千兆以太網鏈路將失去經濟高效性(參見圖2)。在此階段中，存儲流量仍進行單獨傳輸。Cisco Nexus 7000和5000 系列能夠為升級到與萬兆以太網相連的服務器提供支持。如使用Cisco Nexus 7000 系列，升級只需添加萬兆以太網I/O 模塊。Cisco Nexus 2000 系列交換矩陣擴展器支持其余的與千兆以太網相連的服務器，并同時在整個網絡中保持一致的運營環境。此時，如果客戶運行VMware 的ESX 管理程序，他們也能部署Cisco Nexus 1000V 交換機。該功能為客戶提供直至單個虛擬機級別的運行一致性，以及策略便攜性，因此，當虛擬機在數據中心內移動時，網絡和安全策略也隨之移動。Cisco Nexus1000V 能部署在目前運行VMware ESX 的任意地點，與服務器上行鏈路速度或上游接入交換機無關。階段3: I/O 整合第三階段主要是升級到統一數據中心交換矩陣，一般有兩個觸發因素。第一個因素是企業希望通過簡化基礎設施和拆除支持獨立局域網和存儲網絡所需的冗余組件(接口，電纜，上游交換機等)，來繼續降低TCO。第二個觸發因素是客戶希望利用其虛擬機完成更高級的任務，包括使用動態資源調度(DRS)等技術。這些目標要求所有服務器都擁有一套統一、普及的網絡和存儲功能，而最簡單、最高效的實施方法之一就是部署統一交換矩陣。向統一交換矩陣的遷移使所有物理和虛擬服務器都能接入SAN，在客戶SAN 中整合更多存儲，從而進一步降低客戶的TCO 并提高他們的效率(參見圖3)。

圖3 統一交換矩陣能夠降低數據中心TCO因為此階段的重點是整合服務器I/O，所以主要需調整服務器接入層來支持統一交換矩陣。為部署以太網光纖通道(FCoE)，在服務器方需采用Emulex和QLogic等公司的新型融合網絡適配器，或為Intel的萬兆以太網適配器部署一個新軟件驅動程序。請注意，VMware ESX 3.5 U2 上支持FCoE，且Emulex、Intel 和QLogic 接口都位于VMware 3.5 硬件兼容列表(HCL)上，所以該階段既包括物理服務器，也包括虛擬服務器。在網絡方，只需在Cisco Nexus 5000 系列上啟用FCoE 特性，安裝光纖通道或光纖通道和數據中心以太網上行鏈路模塊，就能支持FCoE。任何相連的Cisco Nexus 2000 系列交換矩陣擴展器也都支持FCoE功能，但因為上行鏈路超額配置，必須慎重進行流量規劃。Cisco Nexus 7000系列支持FCoE，在2009 年年末會推出支持數據中心以太網的I/O 模塊(以便提供可靠傳輸)。那么，部署iSCSI 的情況是怎樣的呢? 到目前為止，討論的重點一直是FCoE;然而，從實際角度來說，“統一交換矩陣”也可以是Ip 小型計算機系統接口(iSCSI)。思科預計，在實際環境中，下一代企業數據中心將包括多種技術，如FCoE、iSCSI 和光纖通道等。Cisco Nexus 系列提供的高度可用、高性能、無丟包的萬兆以太網基礎設施能使這兩種方法均從中受益。階段4 便于擴展的動態數據中心交換矩陣階段4的目標是發揮上一階段的功能優勢，提高數據中心數據交換矩陣的可擴展性、靈活性和效率(參見圖4)。該階段允許任意數據中心資產訪問其他任何資產。從存儲角度來看，數據中心交換矩陣將支持FCoE和iSCSI 服務器接入，以及與FCoE、光纖通道和iSCSI 相連的目標。數據中心以太網將從接入層擴展到匯聚和核心層。這種擴展的優勢之一就是簡化對光纖通道SAN 的訪問，因為無需再通過專用鏈路從接入層進行光纖通道回連。

圖4 便于擴展的動態數據中心交換矩陣如前面所述，該階段是以前一階段為基礎的，因此它主要旨在完成到Cisco Nexus萬兆以太網基礎設施的升級。但有一個新任務，即向現有Cisco MDS 9000 系列導向器級光纖通道交換機添加FCoE 接口，以簡化對現有SAN 的訪問。階段5: 統一計算該解決方案的最終目的是一個完全虛擬化的數據中心，由計算、網絡和存儲資源池組成。安全和四到七層處理(例如負載均衡)等服務也完全虛擬化，能在任何需要之時實施。該數據中心具有自動管理和配置功能的支持，因此能夠根據策略和實時觸發因素，靈活地創建和拆除應用環境。企業所獲凈優勢包括提高成本效率和使IT 更好地滿足業務需求。

第四篇：數據中心信息安全解決方案

數據中心解決方案

（安全）

行業基線方案

目錄

第 一 章 信息安全保障系統.....................................................................3

1.1 系統概述.....................................................................................3 1.2 安全標準.....................................................................................3 1.3 系統架構.....................................................................................4 1.4 系統詳細設計.............................................................................5 1.4.1 計算環境安全......................................................................5 1.4.2 區域邊界安全......................................................................7 1.4.3 通信網絡安全......................................................................8 1.4.4 管理中心安全......................................................................9 1.5 安全設備及系統.......................................................................11 1.5.1 VPN加密系統....................................................................12 1.5.2 入侵防御系統....................................................................12 1.5.3 防火墻系統........................................................................13 1.5.4 安全審計系統....................................................................14 1.5.5 漏洞掃描系統....................................................................15 1.5.6 網絡防病毒系統................................................................17 1.5.7 PKI/CA身份認證平臺......................................................18 1.5.8 接入認證系統....................................................................20

第1頁

杭州?？低曄到y技術有限公司

行業基線方案

1.5.9 安全管理平臺....................................................................21

第2頁杭州海康威視系統技術有限公司

行業基線方案

第 一 章 信息安全保障系統

1.1 系統概述

信息安全保障系統是集計算環境安全、安全網絡邊界、通信網絡安全以及安全管理中心于一體的基礎支撐系統。它以網絡基礎設施為依托，為實現各信息系統間的互聯互通，整合各種資源，提供信息安全上的有力支撐。系統的體系架構如圖所示：

圖1.信息安全保障系統體系架構圖

信息系統安全是保障整個系統安全運行的一整套策略、技術、機制和保障制度，它涵蓋系統的許多方面，一個安全可靠的系統需要多方面因素共同作用。

1.2 安全標準

在數據中心建設中，信息系統安全依據《信息系統等級保護安全設計技術要求》（GB/T 24856-2009）二級防護要求進行設計。該標準依據國家信息安全等級保護的要求，規范了信息系統等級保護安全設計技術要求，標準適用于指導信息系統運營使用單位、信息安全企業、信息安全服務機構開展信息系統等級

第3頁

杭州?？低曄到y技術有限公司

行業基線方案

保護安全技術方案的設計和實施，也可作為信息安全職能部門進行監督、檢查和指導的依據。

信息安全等級保護是我國信息安全的基本制度、基本政策、基本方法。已出臺的一系列信息安全等級保護相關法規、政策文件、國家標準和公共安全行業標準，為信息安全等級保護工作的開展提供了法律、政策、標準依據。國家標準《信息安全技術 信息系統等級保護安全設計技術要求》是根據中國信息安全等級保護的實際需要，按照信息安全等級保護對信息系統安全整改的要求制訂的，對信息系統等級保護安全整改階段技術方案的設計具有指導和參考作用。

1.3 系統架構

智慧城市數據中心依據《信息系統等級保護安全設計技術要求》（GB/T 24856-2009），構建 “一個中心支撐下的三重防御”的安全防護體系。信息安全保障系統總體架構如下圖所示：

信息安全保障體系計算環境安全身份鑒別訪問控制系統安全審計數據安全保護惡意代碼防范邊界完整性保護區域邊界安全邊界包過濾邊界安全審計邊界惡意代碼防范通信網絡安全通信網絡安全審計通信網絡數據傳輸完整性保護通信網絡數據傳輸保密性保護管理中心安全安全管理子系統實時監控統計分析配置管理日志管理CA子系統認證授權子系統統一用戶管理安全審計子系統網絡安全審計主機安全審計數據庫安全審計應用系統安全審計證書管理統一身份認證資源授權管理訪問權限裁決系統管理網絡基礎設施圖2.信息安全保障系統總體架構圖

信息安全保障系統以網絡基礎設施為依托，為整個數據中心業務提供計算環境安全、區域邊界安全、通信網絡安全、安全管理、安全審計及認證授權等服務。

第4頁

杭州?？低曄到y技術有限公司

行業基線方案

信息安全保障系統的一個中心是指管理中心安全，三重防御是指計算環境安全、區域邊界安全和通信網絡安全。

計算環境安全主要提供終端和用戶的身份認證、訪問控制、系統安全審計、惡意代碼防范、接入控制、數據安全等安全服務。

區域邊界安全主要提供網絡邊界身份認證、訪問控制、病毒防御、安全審計、網絡安全隔離與可信交換等安全服務。

通信網絡安全主要提供網絡通信的安全審計、網絡傳輸的機密性和完整性等安全服務。

管理中心安全主要包括安全管理子系統、CA子系統、認證授權子系統和統一安全審計子系統等，它是系統的安全基礎設施，也是系統的安全管控中心。為整個系統提供統一的系統安全管理、證書服務、認證授權、訪問控制以及統一的安全審計等服務。

1.4 系統詳細設計

1.4.1 計算環境安全

1.4.1.1 計算環境安全概述

伴隨著等級保護工作的持續開展，包括防火墻、安全網關、入侵防御、防病毒等在內的安全產品成功地應用到信息系統中，從很大程度上解決了安全問題，增強了信息安全防御能力。但這些大多重在邊界防御，以服務器為核心的計算平臺自身防御水平較低，這在信息系統中埋下了很大的安全隱患。

計算環境安全針對的是對系統的信息進行存儲、處理及實施安全策略的相關部件，它的重點是為了提高以服務器為核心的計算平臺自身防御水平。數據中心的計算環境安全主要通過部署主機安全防護系統以及使用在管理中心所部署的接入認證系統、網絡防病毒系統、漏洞掃描系統等安全防護系統提供的服務，完成終端的身份鑒別、訪問控制、安全審計、數據安全保護，惡意代碼防護等一系列功能。計算環境部署的安全系統均可被安全管理中心統一管理、統一監控，實

第5頁

杭州?？低曄到y技術有限公司

行業基線方案

現協同防護。

1.4.1.2 計算環境安全功能要求

1）身份鑒別功能

數據中心終端應支持用戶標識和用戶鑒別。在對每一個用戶注冊到系統時，采用用戶名和用戶標識符標識用戶身份，并確保在系統整個生存周期用戶標識的唯一性；在每次用戶登錄系統時，采用受控的口令或具有相應安全強度的其他機制進行用戶身份鑒別，并對鑒別數據進行保密性和完整性保護。

2）訪問控制功能

在安全策略控制范圍內，使用戶對其創建的客體具有相應的訪問操作權限，并能將這些權限的部分或全部授予其他用戶。采用基于角色的訪問控制技術，實現不同用戶、不同角色對不同資源的細粒度訪問控制，分別制定了不同的訪問控制規則，訪問控制主體的粒度為用戶級，客體的粒度為文件或數據庫表級。訪問操作包括對客體的創建、讀、寫、修改和刪除等。

3）安全審計功能

提供安全審計機制，記錄系統的相關安全事件。審計記錄包括安全事件的主體、客體、時間、類型和結果等內容。該功能應提供審計記錄查詢、分類和存儲保護，并可由安全管理與基礎支撐功能層統一管理。

4）數據安全保護功能

采用常規校驗機制，檢驗存儲的用戶數據的完整性，以發現其完整性是否被破壞，可采用密碼等技術支持的保密性保護機制，對在計算環境安全中存儲和處理的用戶數據進行保密性保護。

5）惡意代碼防范功能

安裝防惡意代碼軟件或配置具有相應安全功能的操作系統，并定期進行升級和更新，以提供針對不同操作系統的工作站和服務器的全面惡意代碼防護。不僅能夠抵御病毒，蠕蟲和特洛依木馬，還能抵御新攻擊，如垃圾郵件，間諜程序，撥號器，黑客工具和惡作劇，以及針對系統漏洞，并提供保護阻止安全冒險等。

第6頁

杭州?？低曄到y技術有限公司

行業基線方案

1.4.2 區域邊界安全

1.4.2.1 區域邊界安全概述

隨著應用系統和通訊網絡結構日漸復雜，異地跨邊界的業務訪問、移動用戶遠程業務訪問等復雜的系統需求不斷增多，如何對跨邊界的數據進行有效的控制與監視已成為越來越關注的焦點，這對系統區域邊界防護提出了新的挑戰和要求。

區域邊界安全針對的是對系統的計算環境安全邊界，以及計算環境安全與通信網絡安全之間實現連接并實施安全策略的相關部件。數據中心的區域邊界安全主要通過在系統邊界部署防火墻系統、防毒墻、入侵防御系統、安全接入平臺等安全設備和系統以及使用在管理中心所部署的安全審計系統提供的服務，完成邊界包過濾、邊界安全審計、邊界入侵防范、邊界完整性保護，邊界安全隔離與可信數據交換等一系列功能。區域邊界部署的安全系統均可被安全管理中心統一管理、統一監控，實現協同防護。

1.4.2.2 區域邊界安全功能要求

1）邊界包過濾功能

提供對數據包的進/出網絡接口、協議（TCP、UDP、ICMP、以及其他非IP協議）、源地址、目的地址、源端口、目的端口、以及時間、用戶、服務（群組）的訪問過濾與控制功能，對進入或流出的區域邊界的數據進行安全檢查，只允許符合安全安全策略的數據包通過，同時對連接網絡的流量、內容過濾進行管理。

2）邊界安全審計功能

在區域邊界設置審計機制，提供對被授權人員和系統的網絡行為進行解析、分析、記錄、匯報的功能，以幫助用戶事前規劃預防、事中實時監控、違規行為響應、事后合規報告、事故追蹤回放，保障網絡及系統的正常運行。

3）邊界入侵防范功能

在網絡邊界處監視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等。

4）邊界完整性保護功能

第7頁

杭州?？低曄到y技術有限公司

行業基線方案

在區域邊界設置探測器，可對內部網絡中出現的內部用戶未通過準許私自聯到外部網絡，以及外部用戶未經許可違規接入內部網絡的行為進行檢查和控制。

5）邊界安全隔離與可信數據交換功能

可完成指揮信令的雙向流動，以及視頻流單向流入公安信息網的安全隔離與控制，同時，還應可采用兩頭落地的“數據交換”模式，實現公安信息通信網與其它網絡間的基于文件和數據庫同步的數據安全交換和高強度隔離。

1.4.3 通信網絡安全

1.4.3.1 通信網絡安全概述

通信網絡是信息系統的基礎支撐平臺，而如今網絡IP化、設備IT化、應用Web化使信息系統業務日益開放，業務安全漏洞更加易于利用。通信網絡的安全保障越來越成為人們關注的重點。

通信網絡安全針對的是對系統計算環境安全之間進行信息傳輸及實施安全策略的相關部件。數據中心的通信網絡安全主要是通過部署入侵防范系統和VPN加密系統等安全設備和系統以及使用管理中心所部署的安全審計系統提供的服務，完成傳輸網絡安全審計、數據傳輸完整性與機密性保護等一系列功能。通信網絡安全采用基于商密算法的網絡傳輸安全防護系統（SSL VPN），實現數據安全傳輸與安全審計、保障通信兩端的可信接入、保障數據傳輸的完整性和保密性。

1.4.3.2 通信網絡安全功能要求

1）傳輸網絡安全審計功能

提供通信網絡所傳輸數據在包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息在內的審計功能。

2）數據傳輸完整性與機密性保護功能

通過在不可信信道上構建安全可靠的虛擬專用網絡，為數據傳輸提供機密性和完整性保護、以及數據源認證、抗重放攻擊等安全保障，并且支持采用身份認證、訪問控制以及終端安全控制技術，為平聯工程的內部網絡建立安全屏障。

第8頁

杭州?？低曄到y技術有限公司

行業基線方案

1.4.4 管理中心安全

1.4.4.1 管理中心安全概述

安全管理平臺是對定級系統的安全策略及計算環境安全、區域邊界安全和通信網絡安全上的安全機制實施統一管理的平臺。它是一個集合的概念，其核心的內容是實現“集中管理”與“基礎支撐”。數據中心的管理中心安全主要是通過部署安全審計系統、接入認證系統、PKI/CA身份認證系統、網絡防病毒系統、漏洞掃描系統和安全管理平臺等安全設備和系統，完成證書管理、實時監控、統計分析、配置管理、密鑰管理、日志管理、系統管理、統一用戶管理、統一身份認證、資源授權及訪問控制管理、單點登錄管理、網絡安全審計、主機安全審計、數據庫安全審計、應用系統安全審計等一系列功能。

1.4.4.2 管理中心安全功能要求

1）證書管理功能

主要涵蓋數字證書的申請、審核、簽發、注銷、更新、查詢等的綜合管理，證書管理應遵循X.509規范和國家PKI標準，采用成熟的已經通過鑒定的服務器密碼機做加、解密及簽名運算，為用戶提供高密級的信息安全服務。

證書管理應不僅能夠提供用戶注冊、審核，密鑰產生、分發，證書簽發、制證及發布等基本功能，還應能為其它應用系統提供證書下載，在線證書狀態查詢、可信時間等服務，并進行綜合管理，使其它系統能夠更方便的利用電子認證基礎設施實現安全應用。

2）實時監控功能

能從總體上對各安全構件提供簡便、易用的導向式監控，能從總體上和細節兩個層面實時把握安全系統整體運行情況。實時監控應可按照業務和資產進行分類，可依據分類進行簡單、直觀的實時監控。

提供邏輯視圖、物理視圖兩種實時監控模式和多種不同的圖形化及文字報警方式。提供實時監控頁面即時切換，并可對實時監控項和圖形化統計項進行自定義布局，完成管理員最關心的實時監控和事件統計配置和顯示。

3）統計分析功能

第9頁

杭州?？低曄到y技術有限公司

行業基線方案

提供事件統計，并可將結果生成統計報表。可提供了預定義統計和自定義統計模式。預定義統計分析主要針對系統自身信息的統計報表，可主要包括事件統計、密鑰統計、設備統計、用戶統計和日志統計五大類。

根據實際的統計需求，對統計項進行自定義配置。配置后，統計信息可在實時監控頁面中實時顯示，也可以通過統計分析進行查看。統計結果以圖形化方式呈現，呈現方式多樣，至少可支持柱圖、餅圖、趨勢圖等，并為關聯分析提供支撐。

4）配置管理功能

能夠對應用系統中的安全設備進行統一配置管理。配置管理應可按照業務和資產重要程度和管理域的方式對業務和資產進行統一配置管理，提供便捷的添加、修改、刪除、查詢功能，便于管理員能方便地查找所需的業務和資產信息，并對業務和資產屬性進行維護。

5）密鑰管理功能

對密鑰全生命周期（產生、存儲、分發、更新、撤銷、停用、備份和恢復）的統一管理，確保密鑰全生命周期的安全。

6）日志管理功能

使審計員可以通過日志管理對密鑰日志、系統日志進行事后審計和追蹤，作為日志審計的依據。密鑰日志應主要包括密鑰生成日志和密鑰分發日志；系統日志應主要包括操作日志、監控日志和運行日志。日志管理應可提供強大、完善的日志查詢和檢索功能，滿足審計員對日志的審計和查詢需求。

7）系統管理功能

通過系統管理中配置對系統自身進行各種參數配置和管理，應主要包括服務器管理、組件管理、監控策略管理等。

8）統一用戶管理功能

根據用戶的數字證書，提供對用戶的管理功能，包括用戶的主賬號（代表用戶身份的唯一帳號）和從賬號（不同應用系統中的用戶帳號）的對應管理，用戶屬性的統一管理，以及實現用戶整個生命周期管理，包括對人員入職、調動、離職等過程中的用戶身份的創建、修改、刪除等操作的管理等。統一用戶管理應支持分級管理功能。

9）統一身份認證功能

第10頁

杭州?？低曄到y技術有限公司

行業基線方案

基于數字證書完成用戶與客戶端認證設備之間的認證，實現基于PKI的握手協議，實現不同系統和設備之間的身份認證有效統一，保護系統訪問的安全性。統一身份認證還應支持多級認證功能。

10）資源授權及訪問控制管理功能

基于數字證書，并采用基于RBAC的技術，在用戶進行信息系統的資源訪問及使用時，實現不同用戶、不同角色對不同資源的細粒度訪問控制。資源授權及訪問控制應支持分級管理功能。

11）單點登錄管理功能

基于數字證書，使用戶能夠方便地跨越多個站點或安全域實現單點登錄，即用戶登錄到網絡以后，便能在安全可靠的前提下，訪問任何應用程序而無需再次進行身份驗證；單點登錄應同時提供針對B/S系統與C/S應用系統的單點登錄功能。

12）網絡安全審計功能

配合網管系統，實現對網絡異常行為及安全事件的審計。13）主機安全審計功能 實現用戶對主機操作行為的審計。14）數據庫安全審計功能 實現對數據庫操作行為的審計。15）應用系統安全審計功能 實現對應用系統操作行為的審計。

1.5 安全設備及系統

根據智慧城市的業務發展的需要，為保障數據中心的計算環境安全、區域邊界安全、通信網絡安全以及管理中心安全，在數據中心建設過程中需要部署VPN加密系統、入侵防御系統、防火墻系統、安全審計系統、漏洞掃描系統、網絡防病毒系統、PKI/CA身份認證平臺、接入認證系統、安全管理平臺等安全設備及系統來保障整個數據中心系統的安全運行。各安全設備及系統的功能要求如下：

第11頁

杭州?？低曄到y技術有限公司

行業基線方案

1.5.1 VPN加密系統

VPN的身份認證通過LADP協議可以與認證服務器建立認證關系，也可以與PKI/CA服務器建立聯系在終端導入證書，VPN 加密技術采用DES、3DES、AES、IDEA、RC4等加密技術，通過上述的加密技術，保證視頻、信令、數據在公共網絡中傳輸安全。

智慧城市數據中心VPN加密系統功能要求如下： 1.支持豐富的C/S、B/S應用；

2.支持多種認證方式，如用戶名+口令、RADIUS、AD、LDAP、USB Key； 3.證書、證書+口令、雙因子認證等；

4.支持多種終端設備接入(包括window平臺、linux平臺、andriod平臺)； 5.支持IP層隧道模式，支持VoIP； 6.支持多ISP連接；

7.支持統一安全管理系統的統一管理； 8.支持雙機備份和負載均衡； 9.終端安全接入控制； 10.基于角色的訪問控制； 11.完善的信息與狀態監控； 12.支持主機綁定； 13.客戶端安全控制；

14.支持基于用戶的終端安全檢查； 15.支持分支機構的局域網接入。

1.5.2 入侵防御系統

入侵防御系統是一種軟、硬結合的計算機系統，它能通過攻擊特征庫匹配、漏洞機理分析、應用還原重組、網絡異常分析等主要技術實現了精確抵御黑客攻擊、蠕蟲、木馬、后門，抑制間諜軟件、灰色軟件、網絡釣魚的泛濫，全面防止拒絕服務攻擊和服務溢出分布式攻擊。

第12頁

杭州?？低曄到y技術有限公司

行業基線方案

智慧城市數據中心入侵防御系統功能要求如下：

1.堅固的入侵防御體系：完善的攻擊特征庫；漏洞機理分析技術，精確抵御黑客攻擊、蠕蟲、木馬、后門；應用還原重組技術，抑制間諜軟件、灰色軟件、網絡釣魚的泛濫；網絡異常分析技術，全面防止拒絕服務攻擊；

2.動、靜態檢測功能：動態檢測與靜態檢測融合，基于原理的檢測方法與基于特征的檢測方法并存；

3.網絡防病毒技術：文件感染病毒、宏病毒、腳本病毒、蠕蟲、木馬、惡意軟件、灰色軟件，病毒庫；病毒類型根據危害程度劃分為：流行庫、高危庫、普通庫；

4.防DoS攻擊能力：有效抗拒絕服務攻擊，阻斷絕大多數的DoS攻擊行為。

1.5.3 防火墻系統

防火墻是傳輸與網絡安全中最基本、最常用的手段之一，防火墻可以實現數據中心內部、外部網絡之間的邏輯隔離，達到有效的控制對網絡訪問的作用。防火墻可以做到網絡間的單向訪問需求，過濾一些不安全服務；防火墻可以針對協議、端號、時間、流量等條件實現安全的訪問控制。防火墻具有很強的記錄日志的功能．可以對不同通信網絡所要求的策略來記錄所有不安會的訪問行為。

智慧城市數據中心防火墻系統功能要求如下：

1.攻擊防范能力：能防御DoS/DDoS攻擊（如CC、SYNflood、DNS Query Flood、SYNFlood、UDPFlood等）、ARP欺騙攻擊、TCP報文標志位不合法攻擊、LargeICMP報文攻擊、地址掃描攻擊和端口掃描攻擊等多種惡意攻擊，同時支持黑名單、MAC綁定、內容過濾等功能；

2.狀態安全過濾：支持基礎、擴展和基于接口的狀態檢測包過濾技術；支持應用層報文過濾協議，支持對每一個連接狀態信息的維護監測并動態地過濾數據包，支持對應用層協議的狀態監控；

3.完善的訪問控制特性：支持基于源IP、目的IP、源端口、目的端口、時間、服務、用戶、文件、網址、關鍵字、郵件地址、腳本、MAC地址等多種方式進行訪問控制；支持流量管理、連接數控制、IP+MAC綁定、用戶認證等；

第13頁

杭州海康威視系統技術有限公司

行業基線方案

4.應用層內容過濾：可以有效的識別網絡中各種P2P模式的應用，并且對這些應用采取限流的控制措施，有效保護網絡帶寬；支持郵件過濾，提供SMTP郵件地址、標題、附件和內容過濾；支持網頁過濾，提供HTTP URL和內容過濾；

5.NAT應用支持：提供多對

一、多對多、靜態網段、雙向轉換、IP和DNS映射等NAT應用方式；支持多種應用協議正確穿越NAT功能；

6.認證服務：支持本地用戶、RADIUS、TACACS等認證方式。支持基于用戶身份的管理，實現不同身份的用戶擁有不同的命令執行權限，并且支持用戶視圖分級，對于不同級別的用戶賦予不同的管理配置權限；

7.集中管理與審計：提供各種日志功能、流量統計和分析功能、各種事件監控和統計功能、郵件告警功能。

1.5.4 安全審計系統

安全審計系統是按照一定的安全策略，利用記錄、系統活動和用戶活動等信息，檢查、審查和檢驗操作事件的環境及活動，從而發現系統漏洞、入侵行為或改善系統性能的過程。它是記錄與審查用戶操作計算機及網絡系統活動的過程，是提高系統安全性的重要舉措。

智慧城市數據中心安全審計系統功能要求如下：

1.敏感行為記錄:支持用戶可基于網絡應用的具體情況，自定義敏感的網絡訪問行為數據特征，系統可以根據策略對于敏感事件實時記錄、顯示和阻斷；

2.特定網絡連接實時監視功能：支持用戶通過會話監控功能對正在進行的連接會話內容進行實時監控，并支持手工阻斷、自動阻斷功能；

3.流量審計：支持對IP、TCP、UDP、ICMP、P2P等應用協議的流量監測，提供基于IP地址、用戶組、應用協議類型、時間、端口等組合流量審計策略；可分析網絡流量最大值、均值、總值、實時流量、TOPN等；

4.網絡管理行為審計：支持TELNET、FTP訪問審計，記錄TELNET、FTP訪問的時間、地址、賬號、命令等信息；對違反審計策略的操作行為實時報警、記錄；

5.互聯網行為審計：支持對網頁訪問、論壇、即時通訊、在線視頻、P2P

第14頁

杭州海康威視系統技術有限公司

行業基線方案

下載、網絡游戲、炒股、文件上傳下載等行為進行全面監控管理；

6.HTTP協議審計：中英文URL數據庫，超過十種分類，如不良言論、色情暴力等；可過濾非法不良網站，并支持用戶添加自定義URL；支持針對URL、HTTP網頁頁面內容、HTTP搜索引擎的關鍵字過濾；

7.SMTP協議審計：支持SMTP、POP3、WEBMAIL等協議，支持基于郵箱地址、郵件主題、郵件內容、附件名的關鍵字審計策略；針對符合審計策略的事件，提供實時告警、阻斷和信息還原；

8.FTP協議審計：支持基于IP地址、用戶組、時間、命令關鍵字等組合審計策略，可記錄源IP地址、目的IP地址、帳號、命令及上傳下載文件名等；

9.數據庫訪問行為審計:支持對ORALCE、SQL SERVER、MY SQL、DB2、Sybase、Infomix等數據庫，實時審計用戶對數據庫的所有操作（如創建、插入、刪除等），精細還原操作命令，并及時告警響應；

10.Windows遠程訪問行為審計：支持對NETBIOS協議審計，記錄具體時間、地址、具體操作等；

11.認證審計功能：支持在不修改原系統配置的情況下，對訪問用戶進行基于CA證書的強身份認證，并支持統基于授權認證按訪問者的身份進行為審計；

12.通訊加密：與安全中心間的通信采用強加密傳輸告警日志與控制命令，避免可能存在的嗅探行為，實現了數據傳輸的安全。

1.5.5 漏洞掃描系統

通過部署漏洞掃描系統，可以對數據中心主機服務器系統（LINUX、數據庫、UNIX、WINDOWS）、交換機、路由器、防火墻、入侵防御、安全審計、邊界接入平臺等等設備，實現不同內容、不同級別、不同程度、不同層次的掃描。對掃描結果，可以報表和圖形的方式進行分析。實現了隱患掃描、安全評估、脆弱性分析和解決方案。

智慧城市數據中心漏洞掃描系統功能要求如下：

1.能夠對網絡（安全）設備、主機系統和應用服務的漏洞進行掃描，指出有關網絡的安全漏洞及被測系統的薄弱環節，給出詳細的檢測報告，并針對檢測

第15頁

杭州海康威視系統技術有限公司

行業基線方案

到的網絡安全隱患給出相應的修補措施和安全建議；

2.漏洞管理功能

漏洞管理的循環過程劃分為漏洞預警、漏洞分析、漏洞修復、漏洞審計四個階段。

? 漏洞預警：最新的高風險漏洞信息公布之際，在第一時間通過郵件或者電話的方式向用戶進行通告，并且提供相應的預防措施；

? 漏洞分析：對網絡中的資產進行自動發現，并且按照資產重要性進行分類。再采用業界權威的風險評估模型對資產的風險進行評估；

? 漏洞修復：提供可操作性很強的漏洞修復方案，同時提供二次開發接口給第三方的補丁管理產品進行聯動，方便用戶及時高效地對漏洞進行修復；

? 漏洞審計：通過發送郵件通知的方式督促相應的安全管理人員對漏洞進行修復，同時啟動定時掃描任務對漏洞進行審計。

3.安全管理功能

? 系統將所發現的隱患和漏洞依照風險等級進行分類，向用戶發出不同的警告提示，提交風險評估報告，并給出詳細的解決辦法；

? 系統對可掃描的IP地址進行了嚴格地限定，有效地防止系統被濫用和盜用；

? 掃描數據結果與升級包文件采用專用的算法加密，實現掃描漏洞信息的保密性，升級數據包的合法來源性；

? 系統具有定時掃描功能，用戶可以定制掃描時間，從而實現自動化掃描，生成報表。

4.策略管理功能

? 系統可定義豐富的掃描策略，包括完全掃描、LINUX、數據庫、UNIX、WINDOWS、不含拒絕服務、網絡設備、路由器、防火墻、20大常見漏洞等內置策略。實現不同內容、不同級別、不同程度、不同層次的掃描；

? 系統針對不同用戶的需求，可定義掃描（端口）范圍、掃描使用的參數集、掃描并發主機數等具體掃描選項，對掃描策略進行合理的組合，更快、更有效地幫助不同用戶構建自己專用的安全策略。

第16頁

杭州?？低曄到y技術有限公司

行業基線方案

1.5.6 網絡防病毒系統

在數據中心核心交換上部署一臺網絡防毒服務器對全網制定完善的防病毒策略，實施統一的防病毒策略，使分布在數據中心每臺計算機上的防病毒系統實施相同的防病毒策略，全網達到統一的病毒防護強度。同時防毒服務器實時地記錄防護體系內每臺計算機上的病毒監控、檢測和清除信息，根據管理員控制臺的設置，實現對整個防護系統的自動控制。

智慧城市數據中心網絡防病毒系統功能要求如下：

1.病毒防范和查殺能力：開啟實時監控后能完全預防已知病毒的危害；可防范、檢測并清除隱藏于電子郵件、公共文件夾及數據庫中的計算機病毒、惡性程序、病毒郵件；能有效預防、查殺映像劫持類型的病毒；可以防范網頁中的惡意代碼；壓縮文件、打包文件查殺毒（在不加密的情況下，不限層數）；內存查殺毒、運行文件查殺毒、引導區查殺毒；支持圖片、視頻等多媒體文件的查殺毒；郵件接收、發送檢測；郵件文件靜態檢測、殺毒；同時支持Foxmail、Outlook、OutlookExpress、Notes和Mozilla等常見客戶端郵件系統的防（殺）病毒；能夠有效查殺各類Office文檔中的宏病毒 支持共享文件的病毒查殺；具有未知病毒檢測、清除能力；

2.升級管理

? 依據策略，全網統一自動升級，不需要人為干涉；

? 增量升級（包括系統中心從網站升級，客戶端從系統中心升級，下級中心；從上級中心升級)，以減少升級時帶來的網絡流量；可設置升級周期和升；級時間范圍，實現及時升級并避免升級時占用網絡帶寬影響用戶正常業務的通訊；

? 在與Internet隔離的內部網絡中，提供多種升級方式，包括：自動在線升級、手動升級、下載離線升級包升級等。3.集中管理

支持多級系統中心，并能夠對每級系統中心及所屬客戶端進行統一升級，統一管理；支持多個管理員分組管理；允許管理員通過單一控制臺，集中地實現所有節點上防毒軟件的監控、配置、查詢等管理工作，包括Unix、Linux系統上的第17頁

杭州?？低曄到y技術有限公司

行業基線方案

防（殺）病毒軟件；控制臺可跨網段管理，管理不依賴網絡拓撲結構。

1.5.7 PKI/CA身份認證平臺

PKI/CA 身份認證平臺通過發放和維護數字證書來建立一套信任網絡，在同一信任網絡中的用戶通過申請到的數字證書來完成身份認證和安全處理。PKI 從技術上解決了網絡通信安全的種種障礙，CA 從運營、管理、規范、法律、人員等多個角度來解決了網絡信任問題。

智慧城市數據中心PKI/CA身份認證平臺功能要求如下：

1.5.7.1 CA系統

1.證書管理：包括證書申請、證書下載、證書更新、證書注銷、證書凍結、證書解凍、證書查詢、證書歸檔；

2.模板管理：包括通用證書模板、簽名證書模板、加密證書模板、設備證書模板、SSL服務器證書模塊等，當國家/國際標準表擴展域無法滿足模板要求時，可以使用自定義擴展域OID + 編碼方式 + VALUE自定義模板；

3.審計管理；包括業務審計、日志審計等功能，并且支持日志防篡改； 4.支持總CRL、分CRL、增量CRL、支持CRL重疊期，可以根據模板指定CRL發布點；

5.系統支持SM2算法及RSA算法。

1.5.7.2 RA系統

1.證書管理；包括證書申請、證書下載、證書查詢、證書更新、證書凍結、證書解凍、證書注銷、批量申請證書、批量證書審核、批量下載證書；支持批量發送自動過期證書通知，管理員可以定時自動獲取系統內將過期證書通知；

2.用戶管理；包括用戶組管理、添加用戶、修改用戶、刪除用戶、凍結用戶、解凍用戶、注銷用戶；

3.機構管理；包括機構信息管理、添加機構、修改機構、刪除機構、導出機構、導入機構；

第18頁

杭州?？低曄到y技術有限公司

行業基線方案

4.權限管理；包括業務錄入員、審核員、制證員、人事錄入員、審核員、審計管理員；

5.審計管理；包括業務審計、日志審計等功能，并且支持日志防篡改； 6.用戶自主服務；包括自主下載證書、自主更新證書、下載根證書、下載CRL；支持靈活控制的自主服務模式和可擴展的用戶身份驗證模式；

7.支持直接下載用戶申請成功的證書，并制作到用戶證書載體中，證書載體包括：軟盤、USB Key和IC卡等。

1.5.7.3 KMC系統

KMC系統主要負責對用戶加密密鑰的產生、存儲、分發、查詢、注銷、歸檔及恢復整個生命流程實施管理；密鑰管理中心的功能從整體上來分，主要分為密鑰管理、管理中心結構管理、授權管理、密鑰恢復、審計管理功能。

1.5.7.4 目錄服務系統

1.查詢功能； 2.更新功能； 3.復制功能； 4.引用功能。

1.5.7.5 用戶屬性管理系統

1.用戶身份管理； 2.用戶屬性管理；

3.下級平臺用戶自主管理及證書申請、下載服務； 4.查詢服務； 5.同步服務。

1.5.7.6 身份認證網關

1.支持證書身份認證

第19頁

杭州海康威視系統技術有限公司

行業基線方案

身份認證網關支持PKI/CA數字證書認證，包括：用戶數字證書完整性驗證、CRL更新、OCSP證書校驗、支持多級CA頒發的證書、支持單雙向認證選擇、支持旁路認證及主路認證多種方式；

2.支持b/s和c/s應用；

3.支持數據加密及數據完整性保護

提供對敏感數據進行加密，實現敏感數據保密，不被竊?。粚χ匾獦I務流程或敏感數據進行數字簽名，簽名結果作為依據，實現網絡行為不被否認；

4.支持訪問控制

支持應用維護功能可以配置系統用戶，控制通過驗證的用戶是否可以訪問應用系統；

5.支持單點登錄

支持多個應用系統之間的單點登錄，即一次登錄，多次使用。用戶通過網關認證后，系統認證平臺通過Cookie機制維護該用戶的會話信息，用戶登錄應用系統時，無需再次認證。極大的簡化了用戶登錄應用系統的步驟，使應用更加流暢；

6.安全審計及監控

對訪問網關的用戶行為進行詳細記錄，并且對記錄的審查作權限控制，有效地實現了責任認定和系統使用情況分析。

對專網整個認證中心建設中各種PKI/CA設備、系統、服務進行有效的集中監控與管理，解決PKI體系龐大帶來的難維護、難管理等問題；對證書的發放以及應用訪問的審計。

1.5.8 接入認證系統

接入認證系統實現了基于802.1X的用戶名和密碼的身份認證，并且采用用戶名與接入終端的MAC地址、IP地址、VLAN、接入設備端口號等信息進行綁定的方式，來保證數據中心設備接入安全。

智慧城市數據中心接入認證系統功能要求如下：

1.可支持基于用戶名和密碼的身份認證，并且支持用戶名與接入終端的MAC地址、IP地址、VLAN、接入設備端口號等信息進行綁定；

第20頁

杭州?？低曄到y技術有限公司

行業基線方案

2.針對用戶終端進行系統狀態安全檢查，包括應用軟件的安裝及使用、病毒庫版本更新、終端補丁檢查、非法外聯等，并且支持對瑞星、江民、金山、趨勢科技、McAfee、Symentec、Ahn、北信源、CA Kill、卡巴斯基、NOD32等廠商的防病毒軟件的檢測和聯動；

3.在用戶終端通過安全檢查后，可以基于用戶的權限，向安全聯動組件下發事先配置的ACL策略，實現分級分權限的細粒度用戶網絡行為管理；

4.通過對USB進行監控方式，避免重要文件通過移動存儲設備進行非法拷貝，有效的避免了機密文件的泄露；

5.支持802.1X用戶身份認證，可與主流廠商的交換機實現安全聯動，強制檢查用戶的安全狀態，如果不符合要求則無法接入企業內網或只能訪問隔離區資源，進一步保護企業內網的安全。

1.5.9 安全管理平臺

安全管理平臺的目標是要確保全局的掌控，確保整個體系的完整性，而不僅限于局部系統的完整性；對于安全問題、事件的檢測要能夠匯總和綜合到中央監控體系，確保整個體系的可追究性。

SOC系統是信息安全保障系統的核心，主要體現在對視頻專網全局掌控、預警能力和應急響應處理能力。全局預警就是要建立全局性的安全狀況收集系統，對于新的安全漏洞和攻擊方法的及時了解，針對體系內局部發生的安全入侵等事件進行響應。SOC充分利用所掌握的空間、時間、知識、能力等資源優勢，形成全局性的資源協調體系，為系統的全局可控性提供有力的保障。SOC在設備管理和安全事件管理方面外，應該對公安行業的制度和工作方式在視頻業務流程中得以體現，主要表現為工作流的驅動，工單的管理，以及處理結果的反饋。

第21頁

杭州?？低曄到y技術有限公司

第五篇：XX廣電數據中心網絡解決方案

XX廣電數據中心網絡解決方案 XX廣電數據中心面臨的挑戰

“數據中心”建設是三網融合建設的重要組成部分，是廣電網絡運營商進行多業務運營轉型，提升綜合實力的主要任務。作為定位在“多業務運營平臺”基礎之上的數據中心，它不僅作為IDC開展IDC業務，還對廣電現有的寬帶接入業務、互動

數字電視視頻業務、互動增值業務的發展產生積極作用，同時為廣電的IT支撐系統提供運維保障。當前廣電數據中心面臨的挑戰是：

1)廣電寬帶用戶需要的互聯網內容與信息服務大部分在電信和聯通的IP網內，導致廣電巨大的入網流量帶寬成本。需要建設數據中心并部署一定規模的P2P、WEB應用緩存系統，從而盡可能將本地寬帶用戶的內容和服務請求終結在廣電網內。

2)互動數字高清視頻業務是廣電運營商的核心業務，其發展方向是互動、高清、3D，該業務不僅需要大量豐富的高清互動視頻媒體資源，同時還需要完善的視頻內容分發網絡（CDN），作為數據中心一個業務域，對大流量環境下的高帶寬、高可靠、高穩定、易管理、節能環保要求較高。

3)IDC業務是運營商業務領域的重要組成部分，是信息化服務的趨勢，IDC相關業務除了傳統的系統托管業務、服務器和帶寬等資源租賃業務、網絡安全增值業務外，還將面向公眾、企業等客戶的云計算服務，承載這些業務，完善的數據中心基礎設施是不可或缺的。

4)隨著業務的發展，廣電運營商需要逐步建設完備的IT支撐系統，包括相關的業務平臺管理系統、內部管理系統，現階段大部分的廣電IT支撐系統還處在不斷完善、持續建設的階段，如果廣電馬上建設完善獨立的IT支撐系統數據中心將是一種硬件資源、運維資源的潛在浪費，需要將其納入到多業務數據中心，保障該系統的獨立性和安全隔離，以逐步完善IT支撐系統。

根據對廣電行業業務對數據中心的建設需求，漢柏科技提出了廣電數據中心網絡解決方案，對數據中心網絡的總體架構、網絡功能、可靠性、安全設計、服務質量設計進行了詳細的描述，以指導建設一個高度可靠、安全、快速、可擴展的數據中心網絡平臺。

漢柏科技有限公司 www.tmdps.cn客服熱線：400-706-8366

漢柏認為數據中心網絡建設目標是：在統籌廣電數據中心項目業務需求和發展的基礎上，兼顧遠期發展目標，建設一個高度可靠、安全、快速、可擴展的基礎網絡平臺，為各項業務提供優質高效的網絡服務。數據中心業務規劃

廣電數據中心網絡承載的業務眾多，可按照業務類型初步規劃如下：

自營交互業務????視頻CDN分發核心交互電視增值系統寬帶和3G終端視頻門戶P2P和WEB緩存廣電多業務數據中心????云計算業務承載網企業級私有云個人級公有云物聯網????IDC業務大客戶系統托管游戲門戶視頻門戶WEB門戶IT支撐系統運維????多業務管理系統計費管理系統用戶管理系統企業內部管理系統 1)自營交互應用業務 交互應用業務區承載了雙向互動點播系統業務，是作為廣電運營商“三網融合”的核心業務，在業務部署模式上采用的是分布式部署，即中央交互服務器與區域交互服務器是邏輯分開的。

2)IDC業務 包括大客戶系統托管、游戲門戶、視頻門戶、WEB門戶等業務。3)云計算業務

漢柏科技有限公司 www.tmdps.cn客服熱線：400-706-8366

包括承載網、企業私有云、個人公有云、物聯網等業務。4)IT支撐系統

包括多業務管理系統、計費管理系統、用戶管理系統、企業內部管理系統等業務。網絡架構設計

3.1 設計原則

廣電數據中心網絡設計原則如下： ? 層次化

廣電數據中心網絡在網絡層次設計上分為三層結構，即核心層、匯聚層、接入層。? 區域化

廣電數據中心網絡根據業務功能劃分區域，各自獨立，分別設計。? 高可靠性

系統的可靠性是網絡健壯和穩定的重要因素之一，所以對網絡系統的高可靠性設計必須全面考慮。? 可擴展性

隨著網絡技術的發展和應用規模的不斷擴大，網絡應具有平滑擴展的能力，這種擴展不應影響原有的應用。廣電數據中心網絡系統應能夠隨時通過增加網絡設備或模塊來擴展、升級整個網絡系統，同時保證原有設備的正常使用。

3.2 整體網絡架構

漢柏建議數據中心網絡的網絡架構采用分層、分區的模塊化規劃方法，即：

漢柏科技有限公司 www.tmdps.cn客服熱線：400-706-8366

? 根據不同的網絡訪問層次，將數據中心網絡分為：核心層、匯聚層和接入層。? 根據不同的業務功能，將數據中心網絡在功能上分為：交互業務區、IDC業務區、云計算業務區、IT支撐業務區。整體拓撲結構如下：

VOD承載網骨干網核心交換機（外聯）交互業務區對外防火墻IDC業務區對外防火墻云計算業務區對外防火墻IT支撐業務區對外防火墻交互業務區匯聚交換機IDC業務區匯聚交換機云計算業務區匯聚交換機IT支撐業務區匯聚交換機交互業務區對外接入區交互業務區內聯防火墻IDC業務區對外接入區IDC業務區內聯防火墻云計算業務區對外接入區云計算業務區內聯防火墻IT支撐業務區對外接入區IT支撐業務區內聯防火墻交互業務區應用服務器接入IDC業務區應用服務器接入云計算業務區應用服務器接入核心交換機（內聯）IT支撐業務區應用服務器接入其它數據中心節點

核心交換區作為中心連接了各業務區匯聚接入交換機和骨干網、VOD承載網接入路由器，核心與匯聚之間以及核心與廣域網之間采用口字型結構，以保證系統可靠性。

3.3 層次化網絡架構

核心交換區分外聯核心交換區和內聯核心交換區，各負責與廣電骨干網和VOD承載網以及其它數據中心網絡互聯；作為數據中心網絡的路由中心，與區域匯聚交換機三層連接，實現整個網絡各個區域間的數據交換。核心層交換機之間通過兩條萬兆鏈路捆綁漢柏科技有限公司 www.tmdps.cn客服熱線：400-706-8366

互聯，以實現穩定可靠的網絡中心。核心交換機建議采用漢柏萬兆模塊化交換機PT-6600系列交換機，通過萬兆鏈路與匯聚交換機實現互聯互通。漢柏PT-6600系列適合為用戶組建高性能、高安全、高可靠的數據中心。PT-6600單機提供高達3.2T的交換容量和2381Mpps的轉發能力，可以實現384個千兆或64個萬兆以太網接口的全線速轉發，滿足了數據中心的高性能需求；PT-6600支持全方位的安全，通過加強設備自身的安全特性，提供內置的安全模塊等多種方式，滿足了數據中心的高安全需求；PT-6600支持不間斷轉發技術，支持所有模塊的熱插拔，再加上VRRP等冗余備份技術，滿足了數據中心的高可靠需求。漢柏 PT-6600憑借其卓越的性能、全方位的安全以及電信級的可靠性，為數據中心建設提供了堅實可靠的網絡基礎平臺。匯聚層作為各個區域數據的匯聚中心，分擔核心層的壓力，為服務器群對外提供高帶寬出口；要求提供高密度GE/10GE端口實現接入層互聯；另外充分考慮擴展性需求，我們建議選用漢柏科技公司的PT-6600萬兆交換機作為匯聚，以實現高密度、高性能的服務器接入。接入層支持高密度千兆接入、萬兆接入；接入總帶寬和上行帶寬存在收斂比，基于機架考慮，1U設備更具有靈活部署能力。漢柏PT-3750E系列萬兆路由交換機采用硬件領先的架構，可全線速轉發各種類型的數據包，在IPv6方面處于業界領先的地位。該系列產品全面支持各種單播路由和組播路由協議以及漢柏科技有限公司獨有的擴展的多項功能，可滿足于大型網絡的需求。不僅如此，PT-3750E系列交換機還借助芯片級的安全可靠轉發能力和多樣化的業務支持，以及較高的性價比，成為大型網絡匯聚層和中型網絡萬兆核心層解決方案的最佳產品。PT-3750E系列萬兆路由交換機是漢柏科技有限公司強力推出的面向大型數據中心的高性能、高安全性、高可靠性的盒式萬兆路由交換機，PT-3750E系列交換機支持靈漢柏科技有限公司 www.tmdps.cn客服熱線：400-706-8366

活的千兆的雙介質光、電組合端口形態，同時支持高達四個高性能的萬兆擴展，標準的1U高度，滿足匯聚產品向高性能、小型化、節能環保發展的趨勢。在性能和功能方面，PT-3750E系列交換機能夠滿足大型網絡的組網需求，并具備豐富的智能和安全特性，特別適合于作為大型校園網、企業網、電子政務網、城域網的匯聚設備，以及中小型網絡的核心設備。

3.4 區域化業務接入網絡架構

目前應用訪問大部分已實現瀏覽器/服務（簡稱B/S）架構，該架構要求采用三級服務器訪問模式，結合安全和管理方面需求，漢柏建議采用對外接入區和應用服務器接入區兩個子區域實現業務服務器接入，其網絡架構及流量模型如下：

VOD承載網骨干網交互業務區對外防火墻CS業務流交互業務區匯聚交換機CS服務器交互業務區對外接入區交互業務區內聯防火墻SS業務流核心交換機（內聯）SS服務器交互業務區應用服務器接入其它數據中心節點

漢柏科技有限公司 www.tmdps.cn客服熱線：400-706-8366

兩個業務子區域通過交換網絡的互連，層層的安全保護，形成結構清晰的易于部署的服務器接入架構。網絡功能性設計

4.1 VLAN設計

廣電數據中心網絡系統屬于交換網絡，各業務數據由VLAN通道進行承載，漢柏建議VLAN設計分為如下三個部分： ? 設備管理VLAN ? 設備間互聯VLAN ? 業務VLAN 由于各業務區域廣播域完全分開，因此對業務區域來說可以獨立進行VLAN設計，建議VLAN設計與IP地址設計統籌考慮，如可以將VLAN編號與IP地址某一位設計成相同，以利于數據中心網絡系統運行維護。

4.2 IP地址設計

IP地址設計分設備管理地址設計、互聯地址設計、業務地址設計，漢柏認為廣電數據中心網絡IP地址規劃應按如下原則進行：

? IP地址規劃主要涉及到網絡資源利用的方便有效的管理網絡的問題，合理的IP地址規劃是有利于網絡管理的；

? IP地址的合理分配是保證網絡順利運行和網絡資源有效利用的關鍵。應充分考慮到地址空間的合理使用，保證實現最佳的網絡內地址分配及業務流量的均勻分布；

漢柏科技有限公司 www.tmdps.cn客服熱線：400-706-8366

? IP地址的規劃與劃分應該考慮到網絡的后續規模和業務上的發展，能夠滿足未來發展的需要；即要滿足當前業務對IP地址的需求，同時要充分考慮未來業務發展，預留相應的地址段；

? IP地址的分配需要有足夠的靈活性，能夠滿足各種用戶接入需要； ? 地址分配是由業務驅動，按照業務量的大小分配各業務區域的地址段； ? IP地址的分配必須采用VLSM(變長掩碼)技術，保證IP地址的利用效率； ? 采用CIDR技術，通過IP地址聚合，以減小路由器路由表的大小，加快路由器路由的收斂速度，也可以減小網絡中廣播的路由信息的大??； ? 充分合理利用分配的地址空間，提高地址的利用效率；

? IP地址規劃應該是數據中心網絡整體規劃的一部分，即IP地址規劃要和網絡層次規劃、路由協議規劃、流量規劃等結合起來考慮。IP地址的規劃應盡可能和網絡層次相對應，應該是自頂向下的一種規劃。

4.3 路由設計

考慮到交互應用系統內Client-to-Server網絡中服務器對負載均衡的需求，漢柏建議將Client-to-Server網絡網關部署在負載均衡器上，而Server-to-Server網絡中的服務器網關部署在區域防火墻上，由防火墻實現安全訪問控制。其它業務區域服務器網關均部署在匯聚交換機上，防火墻透明部署，并增加安全訪問控制策略。為了實現網關設備的動態切換，漢柏建議為網關設備部署VRRP協議，并疊加BFD for VRRP技術，實現網關快速切換。漢柏建議各區域采用OSPF路由協議實現互聯互通，路由策略設計如下： 1)對于外聯核心交換機啟用三個OSPF進程，分別與對外接入匯聚交換機、骨干網漢柏科技有限公司 www.tmdps.cn客服熱線：400-706-8366

接入路由器、VOD承載網接入路由器建立鄰居，分別學習到數據中心網絡路由、骨干網路由及VOD承載網路由，然后將數據中心網絡路由重分布到骨干網和VOD承載網，而骨干網和VOD承載網之間不重分布路由，以防止骨干網用戶能夠訪問VOD承載網數據。

2)對于內聯核心交換機啟用兩個進程，分別與應用服務器接入匯聚交換機和其他節點數據中心交換機建立鄰居，在各路由區域內選擇性重分布路由，以控制業務區域服務器與其它數據中心訪問。網絡可靠性設計

5.1 設備級可靠性設計

本方案采用的漢柏設備為分布式體系結構，所有關鍵部件采用冗余設計，包括主控板、交換網、電源和風扇等；采用無源背板設計，避免機箱出現單點故障；所有單板支持熱插拔功能，并且對其它單板上運行的業務無影響。漢柏PT系列交換機采用“最長匹配、逐包轉發”模式，能夠抵御網絡病毒的攻擊；支持OSPF、RIPv2 及BGPv4 報文的明文及MD5密文認證；支持IP、VLAN、MAC和端口等多種組合綁定方式，防范地址盜用；支持廣播報文抑制，有效控制ARP等非法廣播流量對設備造成沖擊；支持URPF，防止IP地址欺騙；支持報文安全過濾，防止非法侵入和惡意報文攻擊等。此外設備自身的可靠性還可以通過為關鍵設備配置冗余部件來實現，如將核心交換機和匯聚交換機配置為雙引擎、雙電源。此外漢柏防火墻、入侵檢測設備均支持雙操作系統，當出現主操作系統不工作時，備操作系統立刻接管主操作系統，保證業務不發生中斷。

漢柏科技有限公司 www.tmdps.cn客服熱線：400-706-8366

5.2 鏈路級可靠性設計

漢柏PT-6600及PT-3750E交換機均支持鏈路捆綁技術，對于核心交換機和匯聚交換機，互聯鏈路采用了兩條鏈路捆綁，這樣當出現單條鏈路中斷情況時，均可以通過協議的收斂機制實現數據交換無丟包。網絡互聯方面，由于采用了OSPF路由協議，當非捆綁鏈路出現中斷情況時，OSPF協議將重新計算出新的轉發路徑，保障數據轉發不中斷。同時漢柏PT-6600及PT-3750E交換機均支持BFD技術，可將OSPF路由協議的收斂速度由秒級縮減到毫秒級，從而大大提高了整體網絡的可靠性和應用的可用性。網絡安全設計

6.1 設計原則

漢柏認為數據中心網絡安全需遵從如下設計原則：(1)構建分域的控制體系

整個系統安全在總體架構上將按照分域保護思路進行，參考IATF信息安全技術框架，將交互應用公共支撐網絡從結構上劃分為不同的安全區域，各個安全區域內部的網絡設備、服務器、應用系統形成單獨的計算環境、各個安全區域之間的通道形成邊界、各個安全區域之間的連接鏈路和網絡設備構成了網絡基礎設施；因此方案將從保護計算環境、保護邊界、保護網絡基礎設施三個層面進行設計，并通過統一的基礎支撐平臺來實現對基礎安全設施的集中管理，構建分域的控制體系。(2)構建縱深的防御體系

漢柏科技有限公司 www.tmdps.cn客服熱線：400-706-8366

整個系統安全對交互應用公共支撐網絡的通信網絡、區域邊界、計算環境，綜合采用訪問控制、入侵檢測、安全審計、防病毒、集中數據備份等多種技術和措施，實現雙向交互業務應用的可用性、完整性和保密性保護，并在此基礎上實現綜合集中的安全管理，并充分考慮各種技術的組合和功能的互補性，合理利用措施，從外到內形成一個縱深的安全防御體系，保障信息系統整體的安全保護能力。

(3)保證一致的安全強度

應采用分級的辦法，采取強度一致的安全措施，并采取統一的防護策略，使各安全措施在作用和功能上相互補充，形成動態的防護體系。在建設手段上，采取“大平臺”的方式進行建設，在平臺上實現各個級別信息系統的基本保護，比如多層的邊界防護系統、統一的審計系統，綜合的網管系統，然后在基本保護的基礎上，再根據各個信息系統的重要程度，采取高強度的保護措施。

(4)實現集中的安全管理

網絡與信息安全不是單純的技術問題，需要在采用安全技術和產品的同時，重視安全管理，不斷完善各類安全管理規章制度和操作規程，全面提高安全管理水平。建設一套覆蓋全面、重點突出、持續運行的信息安全管理體系，該體系覆蓋信息系統安全所要求的安全技術和安全運維等內容，符合信息系統的業務特性和發展戰略，可持續發展與完善。信息安全管理的目標就是通過采取適當的控制措施來保障信息的保密性、完整性、可用性，從而確保信息系統內不發生安全事件、少發生安全事件、即使發生安全事件也能有效控制事件造成的影響。通過建設集中的安全管理平臺，實現對信息資產、安全事件、安全風險、訪問行為等的統一分析與監管，通過關聯分析技術，使系統管理人員能夠迅速發現問題，定位問題，有效應對安全事件的發生。(5)系統冗余設計

漢柏科技有限公司 www.tmdps.cn客服熱線：400-706-8366

如何保證數據中心對外正常提供服務是整個數據中心網絡建設的重點，整個系統不應只考慮到安全設備的部署，還要系統的考慮到主干網絡、分域網絡、所有應用系統的冗余機制，以保證所有業務的正常訪問。

(6)提升系統的保障能力

在技術措施和管理手段建設的同時，重視信息安全中“人”的重要作用，通過一系列的風險評估、安全加固提升系統的安全性，并通過安全培訓和安全通告提高歌華有線自身技術人員的技術水平，使系統安全保障能力達到行業內一流的信息安全保障水平，支撐和保障信息系統和業務的安全穩定運行。

6.2 安全域設計

傳統解決方案中，終端用戶可以訪問自己前端WEB服務器，同時WEB服務器可以訪問內部應用服務器，這樣存在非常嚴重的安全隱患，一旦前端WEB服務器被互聯網黑客植入木馬，則黑客可通過“肉雞”主機竊取高等級安全域中的信息數據。針對網絡中可能存在的“肉雞”主機問題，應用安全域解決方案通過對用戶主機的認證授權模式，確?？蛻糁鳈C在同一時間段只能訪問某一個區域，如訪問對外接入區域，則對外接入區域服務器不能訪問其他的安全域中的服務器，保證了即使被植入木馬的主機，不會被外界控制去訪問其它服務器資源，從而降低網絡中信息泄漏的概率。按照區域的功能和應用的不同，漢柏建議數據中心網絡劃分為如下三個安全域：

? 外聯區；

? 業務區（包括四個子區）； ? 內聯區；

各安全域的邊界規劃如下圖所示：

漢柏科技有限公司 www.tmdps.cn客服熱線：400-706-8366

外聯區交互業務區IDC業務區云計算業務區IT支撐系統業務區內聯區

安全域邊界規劃描述如下：

? 外聯區與業務區屬于不同安全域； ? 內聯區與業務區屬于不同安全域； ? 各業務安全子域屬于不同安全域；

6.3 防火墻系統設計

為實現安全域邊界防護，需在安全域之間部署防火墻，漢柏建議廣電數據中心網絡防火墻部署方式如下圖：

漢柏科技有限公司 www.tmdps.cn客服熱線：400-706-8366

VOD承載網骨干網核心交換機（外聯）交互業務區對外防火墻IDC業務區對外防火墻云計算業務區對外防火墻IT支撐業務區對外防火墻交互業務區匯聚交換機IDC業務區匯聚交換機云計算業務區匯聚交換機IT支撐業務區匯聚交換機交互業務區對外接入區交互業務區內聯防火墻IDC業務區對外接入區IDC業務區內聯防火墻云計算業務區對外接入區云計算業務區內聯防火墻IT支撐業務區對外接入區IT支撐業務區內聯防火墻交互業務區應用服務器接入IDC業務區應用服務器接入云計算業務區應用服務器接入核心交換機（內聯）IT支撐業務區應用服務器接入其它數據中心節點

建議在外聯區與業務區之間部署漢柏PA-5500-F45超萬兆防火墻，流量較小的內聯區與業務區之間部署漢柏PA-5500-F40萬兆防火墻。部署模式建議采用透明方式+安全策略，以達到更高的轉發性能。作為業界領先的安全防護產品，PA-5500-F45/40具有如下突出特點：

? 專業的安全防護 PA-5500-F45/40不僅能夠提供全面的地址轉換、MAC地址綁定、訪問控制策略、安全域劃分、身份認證等邊界防護功能，同時能夠抵御包括Ping-of-Death、Ping-Flooding、TearDrop、UDP-Flooding、SYN-Flooding、KillWin、WinNuke、LAND IGMP2、IP碎片、源路由、端口掃描、IP-Spoofing等幾十種常見攻擊。針對嵌入在各種應用（郵件、網頁、FTP以及VoIP）中的攻擊、病毒和惡意插件，PA-5500-F45/40能夠在深度識別業務類別和用戶行為的前提下，提供基于狀態監測的漢柏科技有限公司 www.tmdps.cn客服熱線：400-706-8366

應用層網關功能，結合強大的入侵檢測機制和防病毒引擎，真正實現了邊界、接入、行為和數據的多重安全防護。? 穩定和高性能 PA-5500-F45/40防火墻采用了基于漢柏多個專利技術的雙安全操作系統，并對數據平面和控制平面進行了嚴格的區分。對數據平面中各種需要高性能處理的功能，如地址轉換、報文轉發和訪問控制策略進行了細致的優化處理；在控制平面上，支持鏈路狀態信息的倒換機制、分布式應用和模塊化的硬件架構，同時也對處理資源進行了保護，確保即使在極限網絡壓力下，PA-5500-F45/40仍然能夠維持平穩的工作狀態。? 萬兆就緒 針對日益突出的視頻傳輸、虛擬桌面和數據中心備份等大數據量傳輸，應用的飛速增長帶來了帶寬的提升需求，萬兆接口的應用已經勢不可擋。同時，數據中心對設備的功耗和體積要求也越來越嚴格，更希望能夠在相同的機架面積里面實現更高密度的連接。借助出色的硬件平臺研發能力，漢柏科技率先推出了全球第一款在1RU體積上實現萬兆接口的防火墻，憑借突出的功耗控制和效能優化，為用戶平滑過渡到萬兆時代提供了最佳選擇。? 內置交換芯片 PA-5500-F45/40在業內首次創新的采用了先進的防火墻+交換機的設計架構，采用高性能的千兆交換芯片，提供高達128Gbps的交換容量，不僅能夠實現接口之間的L2/L3線速轉發，還同時能夠提供鏈路匯聚(802.3ad)、靈活的VLAN配置以及端口鏡像等功能，內置的硬件ACL還能夠配合防火墻，實現安全層面和轉發層面依據硬件分離，提供更為全面的高性能安全接入功能。? 虛擬防火墻功能 傳統的防火墻只能提供單一安全域的防護，而對于多個安全域的獨立部署，需要多漢柏科技有限公司 www.tmdps.cn客服熱線：400-706-8366

臺防火墻才能實現，這造成了IT資源的極大浪費。PA-5500-F45/40支持虛擬防火墻技術，能夠在一臺物理防火墻上劃分出多個虛擬防火墻，每一臺虛擬防火墻都能夠實現獨立的訪問控制策略、VPN、身份認證和系統管理。同時，系統還能夠對多個虛擬防火墻進行統一的配置管理、軟件升級。對于用戶來說，即提高了現有設備的利用率，又解決了網絡部署復雜、擴展性差等問題。? 出色的能效比 PA-5500-F45/40采用了自主研發的高性能操作系統，并且針對報文轉發、過濾以及VPN的關鍵處理進行了深入的優化設計，在同等硬件處理能力下，比通用的操作系統要高出至少30%的效能，對于提高用戶IT資源利用率，降低能耗和節能減排給予了強有力的支持。

? 精細的流量和業務管理 基于專利技術的流量識別，結合強大的深度業務識別技術，PowerAegis系列防火墻能夠提供對包括HTTP、Mail、FTP等多種業務在內的精細化識別，根據既定的服務管理策略，對各種應用給予不同的差分化對待，確保了關鍵業務的正常運行，即提高了網絡資源的利用效率和組織的生產效率，又降低了IT總成本和運維的風險。

6.4 入侵檢測系統設計

IDS的部署目的是為了監測來自不同網絡對數據中心網絡的訪問，用以及時發現網絡攻擊并提供有效證據。制定策略是使用IDS最重要的工作之一，良好的策略不僅可以讓管理員及時捕捉到網絡上正在發生的重大危害事件，而且使管理員不致被大量的無用信息所淹沒，減輕工作負擔。如果是初次使用，對網絡上存在些什么樣的數據流可能不甚明確，這時可以采用包含事件較多的策略集，待運行一段時間后，對網絡狀況有了基本的了解，再在此策略集的基礎上酌情刪減。

漢柏科技有限公司 www.tmdps.cn客服熱線：400-706-8366

漢柏建議IDS的部署方式如下圖：

VOD承載網骨干網IDS核心交換機（外聯）IDS交互業務區辦公業務區綜合業務區管理業務區核心交換機（內聯）IDSIDS

IDS建議采用兩臺漢柏PA-5500-U40旁路部署模式，兩臺IDS分別連接在核心交換機上，將核心交換機連接各業務區域端口的出入流量鏡像到漢柏PA-5500-U40，由漢柏PA-5500-U40進行入侵檢測。漢柏PA-5500-U40主要特點如下： 1)業界領先的架構設計 ? 業界最佳的系統架構 PA-5500-U40采用了控制平面、轉發平面和管理平面嚴格分離的系統架構，采用基于硬件ASIC的完成防火墻的所有功能，實現小包64字節線速的吞吐量，嚴格保障防火墻的轉發性能；對于應用層安全，采用高性能的通用處理器，以應對實時變化的威脅和應用；對于管理數據，給予最高優先級的處理，即使在應用層處理負載較重的時候，仍然能夠輕松對設備進行管理和配置。

漢柏科技有限公司 www.tmdps.cn客服熱線：400-706-8366

? IronScreen雙安全操作系統 PA-5500-U40采用了基于漢柏專利多核技術的雙安全操作系統，獨創性的提出了基于安全領域在多核上的SMP（對稱多處理）軟件模型，該模型成功的應用了阿比達定律，有效的降低串行化執行代碼在總執行代碼中的比例，極大地發揮了多核下的并行計算能力。除此之外，PA-5500-U40使用了智能流分類系統，將大量的數據流均勻分散在不同的核上進行全流程處理，增加了數據Cache的命中率，極大的提高了系統的性能。針對多核軟件設計大量使用到的鎖，漢柏設計并實現了自有專利的安全操作系統寫時拷貝機制，使得90%的數據流在做并行化處理時都是免鎖的，進一步保障了系統的穩定性和可靠性。

2)入侵檢測和防御 PA-5500-U40采用了集成多種檢測機制的高性能掃描引擎，包括特征庫匹配、異常行為分析、協議檢查等手段，結合漢柏強大的實時安全服務，能夠主動識別各種DoS/DDoS攻擊、協議的變種攻擊、木馬和后門程序，不僅能準確地檢測入侵，實時的阻止惡意的攻擊，并能夠提供豐富完整的日志和定位信息，進行事后溯源工作。

3)Web安全 針對不斷涌現的Web安全，PA-5500-U40也提供了一定程度的防護，不僅包括能夠有效的識別或過濾出嵌入在Web頁面中的Java Applet、Java Script、Cookie和ActiveX等信息，還能夠提供關鍵字過濾和基于超過4000萬域名的Web頁面分類數據庫，幫助管理員輕松設置工作時間禁止訪問的網頁，提高工作效率和控制對不良網站的訪問，杜絕潛在的威脅。

4)數據泄漏防護 PA-5500-U40還提供了精細的數據泄漏防護(DLP)功能，支持用戶定義各種規則的漢柏科技有限公司 www.tmdps.cn客服熱線：400-706-8366

關鍵字和敏感詞，支持包括Email、HTTP、FTP和IM在內的各種協議，對于銀行卡帳號、身份信息、財務信息等關鍵數據，將其控制在可信網絡的范圍以內，避免惡意或者無意的數據泄漏造成不可彌補的錯誤。

5)豐富的應用支持和管理 PA-5500-U40采用了多重識別技術，首先基于強大的深度報文檢測和多達1400種的業界最豐富的協議庫，對絕大部分的應用進行模式匹配；其次采用了啟發式學習和DFI技術，采用漢柏專利技術進行深層次的行為挖掘；最后，對偽裝成HTTP報文的應用，進行一致性還原比對。在這三重技術的保障下，將應用識別率，提高到遠遠超過了業界的其他競爭對手的程度。

6)可視化的安全管理 PA-5500-U40提供了豐富的展現功能，提供包括病毒排行、攻擊排行、應用帶寬的排行、鏈路帶寬使用情況，在應用管理上，可以提供能夠細致到當前用戶的應用、占用的帶寬、使用的連接，讓安全管理者對已有的、潛在的和未知的安全威脅，以及網絡中的各種應用和用戶行為，都有著非常豐富的直觀感受，為用戶創造出可視化安全的體驗。

7)實時的病毒庫、攻擊庫、應用庫更新 作為安全網關設備，如何能夠保證在新的威脅、病毒、攻擊和新的應用出現的第一時間，就能夠做到有效的洞悉和控制，不僅考驗產品本身的應變能力，更考驗安全廠商支持的力度和深度，以及響應的速度。漢柏科技為PA-5500-U40配備了強大的安全服務團隊，并和國際先進的安全機構合作，對不斷涌現的新的病毒、威脅以及應用，實時更新到漢柏安全數據庫中。目前安全數據庫已經有20萬條病毒特征、4000多種攻擊特征、1400多種應用特征庫，以及70多種分類4000多萬條網頁數據庫。

8)簡單易用的配置工具

漢柏科技有限公司 www.tmdps.cn客服熱線：400-706-8366

PA-5500-U40集成了業界最完整的安全功能，但并不是簡單的羅列。漢柏科技一直將提高使用者的便利性作為產品設計的核心思想，從產品定義階段就將易用性作為關鍵指標。PA-5500-U40提供了簡單直觀的Web管理界面和用以高級配置的命令行，可以支持復雜的策略、協議作為對象的方式靈活使用；除此之外，提供初始配置向導、數量眾多的場景應用指導和設計工具，既能夠滿足需要簡單配置的用戶，也能夠為專業的安全管理人員提供全面而直接的配置方法。QoS設計

7.1 數據中心網絡QoS需求

為了保證數據中心關鍵應用的網絡帶寬，建議對應用按重要等級進行分類，在網絡上，實現對不同等級的應用提供優先權不同的質量服務。

7.2 QoS策略的制定

? 為了實現端到端業務QoS保障，各層網絡設備所承擔的任務如下： ? 匯聚交換機作為服務器接入，進行數據分類及DSCP標記； ? 核心交換機信任DSCP值,并部署擁塞避免和擁塞管理機制； ? 在統一出口設備上部署擁塞控制和流量監管機制。實施QoS的根本目的是確保網絡的各類信息能夠及時獲得所需要的網絡帶寬。針對數據中心信息流的內容及特點，漢柏建議制定如下的QoS策略: 1)業務前端數據（主要為WEB服務）要給予最高優先級保證，在任何情況下都要確保業務數據及時可靠地傳送。

漢柏科技有限公司 www.tmdps.cn客服熱線：400-706-8366

2)Voice over IP（VoIP）流量占用帶寬不大，但對延遲極為敏感，也給予較高優先級保證。

3)IT支撐系統中網管流量，屬于一種數據傳輸業務，其對延時并不敏感，但是不允許數據丟失，將其定義為次高優先級。4)其它需要定義為高優先級的業務。

5)數據共享等屬于非業務的數據流量，其數據包最長，對延時并不敏感，但是不允許數據丟失，將其定義為普通優先級。6)所有未定義的流量則被置為最低優先級。漢柏解決方案總結

? 安全性好

容易明確不同網絡區域之間的安全關系，可以單獨對每個區域進行安全實施，不會對其它區域造成影響。? 擴展性好

可根據不同區域和層次的功能按需建設，業務部署靈活，可以非常方便的增加新業務區，而不改變原有的網絡結構。? 提高可用性

可以最大限度的隔離故障域，簡化數據路徑，加快故障收斂時間。? 易管理

網絡結構清晰，日常的運維變得更加簡單，問題定位容易。

漢柏科技有限公司 www.tmdps.cn客服熱線：400-706-8366

About 漢柏—

漢柏（英文：Opzoon）是一家全球領先的行業深度定制化、智能網絡設備和解決方案提供商，是源自硅谷的中國高科技企業。其海外市場業務占據漢柏95%以上的銷售來源，年復合增長率超過40%，截止2010年全球銷售額累計10億美金，在全球10多個國家設立26個辦事處及分公司。

目前，漢柏具有業界領先的基礎網絡、安全網絡、應用網絡及云計算等多條產品線及解決方案，業務涵蓋眾多領域，包括政府、電信、交通、公安、社保、廣電、教育、金融、智能樓宇、醫療、酒店等各行業，并擁有眾多全球成功典范案例客戶。未來，漢柏將在云計算、移動互聯網、物聯網等領域持續加大研發投入，探索科技創新，致力于成為業界頂尖的下一代智能網絡和應用解決方案提供商！

漢柏科技有限公司 www.tmdps.cn客服熱線：400-706-8366