2009版瑞星杀毒软件网络版之两级管理中心方案
XXX
北京瑞星信息技术有限公司
Beijing Rising Information Technology Corporation Limited
20098年7月
目录
一、用户需求分析 (3)
1.1网络现状 (3)
1.2XXX面临病毒威胁可能带来的损失 (4)
1.3XXX病毒防范的现状分析 (5)
二、瑞星防病毒解决方案 (7)
2.1防病毒体系设计原则 (7)
2.1.1全方位、多层次防毒 (7)
2.1.2集中管理 (7)
2.1.3技术是保障 (7)
2.1.4服务是后盾 (8)
2.2建立防病毒管理体系 (8)
2.2.1核心级防病毒监控管理体系 (9)
2.2.2第二级(下级)防病毒监控管理体系 (9)
2.2.3集中监管防病毒体系实现的功能 (10)
2.3瑞星防病毒监控管理体系的组成 (10)
2.4方案推荐产品 (11)
2.4.1瑞星网络版产品系列列表 (11)
2.4.2本方案推荐产品 (12)
2.5产品安装部署建议及方法 (13)
2.5.1病毒监控管理中心的部署 (15)
2.5.2基于Windows的服务器端/客户端的防病毒客户端软件部署 (16)
2.5.3 UNIX/Linux服务器防病毒客户端软件的部署 (17)
三、方案实施后可达到的效果 (19)
3.1集中安全管理效果 (19)
3.2客户端病毒防护效果 (21)
一、用户需求分析
1.1网络现状
XXX网络结构比较复杂,总部作为核心网,其下属部门又划分为多个子网。在XXX网络中信息系统应用也比较复杂,涉及众多应用服务器、数据库服务器、普通计算机和各种网络设备。内部核心网中涉及众多服务器和客户端的管理以及多部门、多系统之间的协调,同时,总部核心网络与Internet连接,如果不加以控制,病毒可能带来的威胁是相当严重的,病毒一旦发作,带来的损失是不可估量的,而在信息被破坏后再进行杀毒很难挽回已经造成的损失。所以,对于整个XXX网络来说,应该本着总部集中管理、各部门分级管理,并对计算机病毒的防范以“主动防御+传统杀毒”相结合,以防为主。在病毒可能传播的各个渠道中都设有监控,结合定时病毒扫描和自动更新,才能保证整个网络系统的安全。同时,需要结合相应的管理策略,充分发挥瑞星防病毒产品集中管理、主动防御的优势,在XXX网及其子网中构建有效的两级病毒防护体系。
XXX网络拓扑结构示意图如下所示:
1.2 XXX面临病毒威胁可能带来的损失
◆信息被窃
网络病毒在发作后常常在造成直接破坏的同时,还会释放后门程序,一旦重要服务器中毒,就有可能带来核心技术的泄漏,如果核心技术资料被竞争对手获取,将可能造成严重的后果。
◆文件服务器传播
文件服务器是网络环境下文件储存和访问的主要应用服务器,由于内部通常会有大量的文件存储到服务器中,病毒极易通过文件复制的方式在服务器中传播、复制,大量的病毒入侵可以导致文件服务器功能下降或瘫痪,甚至可能导致重要文件的永久性被破坏。
◆邮件服务器传播
电子邮件已成为病毒传播的最大载体,任一与外界有邮件往来的邮件服务器如果没有采取有效的病毒防护措施,极易受到攻击,并会导致病毒在企业内部网中快速传播。其实邮件服务器本身不会受到邮件病毒的破坏,只是转发染毒邮件至客户邮箱中,但是当客户机染毒并产生几何数量级的信件时,邮件服务器会由于在短时间内需转发大量邮件而导致性能迅速下降,直至当机。
◆客户机感染
局域网中的工作站会受到病毒的感染,病毒的攻击方式多种多样,有通过Internet、局域网传播、U盘、移动硬盘传播等等,一旦客户机感染病毒,便会迅速传播到整个网络中,并且会给日常的工作带来极大的威胁。
◆网络带宽阻塞
高速传播和具有网络攻击能力的病毒,能占用有限的网络带宽,导致网络瘫痪。如:“ARP”就是典型导致网络瘫痪的病毒,能导致网络交换机、路由器、服务器严重过载瘫痪。
◆经济损失
病毒造成的间接损失可能更大,由于病毒普遍都会对储存在计算机上的数据进行删除或破坏,并且盗取用户的信息。病毒造成的后果是直接导致信息资产损
失、经济损失,同时,病毒造成的网络带宽阻塞会严重影响正常的办公和生产,每次病毒的传播和破坏都将给企业和个人带来严重的经济损失。特别是最近出现的专门盗取网络银行帐号、密码,证券交易账号、密码等类型的病毒,将直接给企业或者个人带来最严重的直接经济损失。
1.3 XXX病毒防范的现状分析
XXX网络内计算机部署了一些防病毒软件,但是存在如下一些问题;
◆人员的安全意识
通过Internet浏览、打开网页、下载文件等方式也有可能造成病毒的传播。病毒的传播途径越来越多,针对不同软件漏洞的病毒也不断翻新,许多机器感染病毒的重要途径之一是通过文件夹共享,尽管发文禁止,但收效甚微。防病毒工作是个全员参与的过程,必须所有的人员都提高安全防范意识才能从根本上解决病毒带来的危机。电脑病毒的传播已经给组织信息安全造成了极大的挑战,其危害也日益升级。
◆安全技术的复杂性困惑
防病毒工作是个系统工程,涉及到各种操作平台、网络环境、安全设置、人员意识、预警措施、应急措施等多方面。不同平台的操作系统,应用软件的漏洞和防护策略层出不穷;计算机病毒和各种攻击手段也日益更新,任何一个独立组织的信息安全部门都很难有足够的人力和物力支持不断的信息跟进。
◆没有良好的防病毒安全策略,不能构成动态自适应防病毒系统
构建一个全面有效的网络防病毒系统,应根据特定的网络环境定制病毒防护策略:策略包括预防策略、升级策略、病毒爆发初期管理控制策略、集中清除策略、审计策略、集中管理策略等。从宏观角度统筹规划网络安全体系,全面顾及到网络系统病毒发生、预防、清除、审核等各个阶段,能够在病毒爆发生命周期各个阶段对病毒进行有效的控制,将病毒造成的损失降到最低。
◆没有部署针对不同操作系统平台及应用防病毒软件
在XXX的网络体系中,各类操作系统平台有大量应用,如Windows/NT/2000系统、UNIX/Linux系统,此外还分布有大量应用系统,如:邮件系统,数据库
系统等。如果没有采取任何病毒防护措施,这样信息交换很难保证该网络系统的安全,会对各类操作系统及关键应用业务产生潜在的安全威胁。
◆缺少防病毒中央控管系统
由于XXX网络节点太多,且分布较散,要管理好整个防病毒系统良好运行必须有一个良好的管理控制系统。能通过控制中心实现远程异地管理远程防病毒软件,监视该软件的运行状况参数(如防病毒软件病毒库、扫描引擎更新日期,系统配置等)。能实现病毒集中报警,准确定位病毒入侵节点,让管理员对病毒入侵节点做适当处理以防危险扩大。控制中心能与其它网络安全系统实现联动,协同管理工作。
◆缺少全网病毒代码统一自动更新功能
构建有效病毒防护的关键环节需要保证产品能做到定期升级,网络防病毒软件必须具备主动式、零干预、增量式的自动升级功能,同时具备自动分发功能,能够在单点更新,然后在不需要人为干预的情况下,实现全网所有产品的病毒码更新。
◆尚未建立完善的安全制度和制定安全培训机制
防病毒工作是一项复杂、长期的任务,需要全体人员配合,提高对病毒的警觉和防范意识。XXX防病毒系统需要建立良好的安全规范,以制度严格控制不良行为,另外,还得提高全体人员的防范病毒的能力。网络安全应急小组至少配备2-3人才能很好的处理网络安全运营的所有事件,应急处理技术和人员管理也需要专业应急小组提供技术培训和长时间的跟踪培训。
◆缺乏完善的防病毒信息支援体系
防病毒厂商长期提供防病毒信息、新病毒预警信息、安全培训等专业的支持,以提高整个网络使用人员的防病毒素质。XXX内部尚未建立完善的信息支援系统。
二、瑞星防病毒解决方案
2.1防病毒体系设计原则
根据XXX单位的实际情况,我们建议在XXX建立整体的网络防病毒体系,并贯彻如下四点整体防毒的基本设计思想:
2.1.1全方位、多层次防毒
网络级防病毒体系应该部署多层次病毒防线,截断病毒可能传播的各种渠道,如服务器、客户端等,保证斩断病毒可以传播、寄生的每一个节点,实现病毒的全面防范。
2.1.2集中管理
没有集中管理的防病毒系统是不完整的防毒系统。在XXX网络整体防病毒的方案中,我们结合XXX网络结构以及行政管理结构,构建了统一的防病毒集中管理系统,保证了整个防毒产品可以从病毒监控管理中心及时得到更新,同时又使系统管理人员可以在任何时间通过管理控制台对整个防毒系统进行集中管理,使整个系统中任何一个节点都可以被管理人员随时管理,保证整个防毒系统有效、及时地拦截病毒。
确立集中管理与分级管理相结合的原则,既能够保证管理的统一性,又能够做到责权分明;既能够达到病毒防护策略的统一性,又能够实现某一具体网络环境、网络应用服务下的病毒防护策略的具体应用。
通过对整个网络防病毒系统病毒日志的统计分析,及时发现病毒爆发疫情状况、网络防病毒系统新的脆弱性。
2.1.3技术是保障
需要具备优秀的病毒查杀引擎,实现全方位、多层防护,针对服务器、工作站等部署病毒防护系统,保证斩断病毒可以传播、寄生的每一个节点,实现病毒的全面防范。
2.1.4服务是后盾
服务是整体防病毒系统中极为重要的一环。防病毒系统建立起来之后,能不能对病毒进行有效的防范,与病毒厂商能否提供及时、全面的服务有着极为重要的关系。
2.2建立防病毒管理体系
根据xxx网络的结构和需求,在网络中,我们建议使用瑞星网络版杀毒软件建立一套集中监控和分级管理的上下两级防病毒管理体系来进行监控和管理。上下两级病毒监控和管理中心的划分可以按地理、行政网段划分,也可以按计算机数量划分,或依照行政单位划分。
在本方案中,上下两级病毒监控和管理系统主要是按照行政单位和网络结构(xxx、xxx)来划分的。
首先,在XXX的信息中心建立一个核心级(第一级)病毒监控管理中心,并在本级病毒监控管理中心管理范围内的各种应用服务器和个人终端机器部署防病毒客户端软件。
其次,在各下属二级网络中各建立一个第二级(下级)防病毒监控管理中心,并在本级病毒监控管理中心管理范围内的各种应用服务器和个人终端机器部署防病毒客户端软件。
2.2.1核心级防病毒监控管理体系
核心级(上级)病毒监控管理体系位置
核心级防病毒监控管理体系部署在xxx核心网络中,它位于整个xxx防病毒监控管理体系的最高层(第一层)。
核心级(上级)病毒监控管理体系的作用
核心级防病毒监控管理体系主要作用是对本级病毒监控管理中心管理范围内的各种应用服务器和个人终端机器进行防病毒监控和管理,同时,可以对下级防病毒监控管理体系进行统一监控和管理,包括对统一升级、全网病毒查杀、下发统一防病毒策略等,另外,核心级防病毒管理体系也负责接收下级防病毒监控管理体系病毒信息,可以对全网病毒部分和爆发状况进行统一管理。
2.2.2第二级(下级)防病毒监控管理体系
第二级监控管理体系位置
第二级防病毒监控管理体系部署在各xxx二级网络中,它位于整个xxx防病毒监控管理体系的第二层。
第二级监控管理体系的作用
第二级防病毒监控管理体系主要作用是对本系统管理范围内的各种应用服
务器端和客户端进行防病毒监控和管理,同时,第二级防病毒监控管理体系也接受核心级防病毒监控管理体系的监控管理。
2.2.3集中监管防病毒体系实现的功能
1.核心级中心可以对第二级(下级)进行管理,并接收由第二级(下级)
传送过来的数据。
2.第二级(下级)病毒监控管理中心接收到核心级(上级)病毒监控管理
中心发出的命令,并将命令转发给本级的所有客户端。
3.定时收集本级病毒监控管理中心的病毒事件信息,在分析处理后传到核
心级(上级)病毒监控管理中心,以便核心级(上级)及时得到下级病毒
监控管理中心的病毒信息,及时做出相应的处理。这样既避免了由于过
度的信息传输对网络资源造成的影响,也能够及时让管理员得到最新的
病毒分布情况。
4.通过该系统,可实现防病毒的统一管理和分级管理,统一管理表现为由
核心级病毒监控管理中心统一发送查杀病毒命令、下达版本升级提示,
并及时掌握全部病毒监控管理中心(包含下级中心)的病毒分布情况等。
5.分级管理表现为第二级(下级)病毒监控管理中心既可以在收到核心(上)
级病毒监控管理中心的命令后作出响应,也可以管理本级,并主动向核
心级病毒监控管理中心发送请求和汇报信息。这种两级结构的病毒监控
管理体系支持大型的、多层级的、复杂的网络。
2.3瑞星防病毒监控管理体系的组成
防病毒监控管理体系主要由瑞星系统中心、瑞星管理控制台、瑞星防病毒服务器端和瑞星防病毒客户端四个部分组成。各个子系统协同工作,共同完成对整个网络的病毒防护工作,为用户的网络系统提供全方位防病毒解决方案。
其中:
瑞星系统中心:是整个瑞星杀毒软件网络版网络防病毒体系的信息管理和病毒防护的自动控制核心,它实时地记录防护体系内每台计算机上的病
毒监控、检测和清除信息,同时根据管理员控制台的设置,实现对整个防
护系统的自动控制。
●瑞星防病毒服务器端/客户端:是分别针对网络服务器/网络工作站(客
户机)设计的,承担着对当前服务器/工作站上病毒的实时监控、检测和清除,自动向系统中心报告病毒监测情况,以及自动进行升级的任务。
●瑞星管理员控制台:是为网络管理员专门设计的,是整个瑞星杀毒软件
网络版网络防病毒系统设置、管理和控制的操作平台,它集中管理网络上所有已安装了瑞星杀毒软件网络版的计算机,同时实现对系统中心的管理,它可以安装到任何一台安装了瑞星杀毒软件网络版的计算机上,实现移动式管理。
2.4方案推荐产品
2.4.1瑞星网络版产品系列列表
2.4.2本方案推荐产品
基于上述设计原则及对该领域技术发展前景、产品的性价比等综合因素,瑞星公司建议XXX网络防病毒方案部署采用如下产品配置:
瑞星杀毒软件网络版支持大型的、多层级的、复杂的网络。通过该该产品可以方便快捷的建立上下两级病毒监控管理系统,可实现集中监管和分级管理,集中监管表现为由上级病毒监控管理中心统一发送查杀病毒命令、下达版本升级指示,并及时掌握全部病毒监控管理中心(包含下级中心)的病毒分布情况等;分级管理表现为下级病毒监控管理中心既可以在收到上级病毒监控管理中心的命令后作出响应,也可以管理本级系统中心下属客户端,并主动向上级病毒监控管理中心发送请求和汇报信息。多级病毒监控管理中心通讯代理包括Receiver上级通讯代理和Sender下级通讯代理两个功能模块,用于实现在多级病毒监控管理中心中不同层级间的病毒监控管理中心的互通和管理。
瑞星杀毒软件网络版2009(X套)
监控保护网络内的所有基于Windows 系列的服务器和工作站,每套瑞星杀毒软件网络版可以作为一个病毒监控管理中心子系统管理一个部门或一个子网。 For UNIX(如果有这样的系统,建议使用)
监控保护网络内的所有基于UNIX/Linux系列的服务器和工作站。
瑞星杀毒软件网络版采用分布式体系,结构清晰明了,管理维护方便。管理员只要拥有管理员账号和口令,就能在网络上任何一台安装了瑞星管理员控制台的计算机上,实现对整个网络上所有计算机的集中管理。
采购数量分项表:
2.5产品安装部署建议及方法
根据对XXX网络防病毒体系整体方案设计构思,建议在XXX网络中部署瑞星杀毒软件网络版2009产品。
瑞星杀毒软件上下级病毒监控管理中心的基本安装对象包括“核心级(上级)病毒监控管理中心的安装”、“第二级(下级)病毒监控管理中心的安装”、“病毒监控管理中心管理范围内的各种应用服务器的防病毒客户端的安装”、“病毒监控管理中心管理范围内的个人终端机器的防病毒客户端的安装”和“管理控制台的安装”。
安装建议:先在服务器上安装“核心级(上级)病毒监控管理中心”,然后安装“第二级(下级)病毒监控管理中心”,之后在其它计算机上安装防病毒客户端软件。
具体部署情况和步骤如下:
根据对XXX网络防病毒体系整体方案设计构思,建议在XXX网络中部署瑞星杀毒软件网络版2009产品。
瑞星杀毒软件网络版的基本安装对象包括“病毒监控管理中心的安装”、“服务器端的安装”、“客户端的安装”和“管理控制台的安装”。安装时建议先在服务器上安装“病毒监控管理中心(系统中心)”,然后在其它计算机上安装客户端或服务器端。
注:每级体系中,都要安装病毒监控管理中心、管理范围内服务器防病毒客户端、个人终端机器防病毒客户端、管理控制台四个组件,安装方式/方法相同。
●病毒监控管理中心:
首先,在XXX核心级网络中建立核心级(上级)病毒监控管理中心。
其次,在各下属部门网络中各建立一个第二级(下级)病毒监控管理中心。
最后,在每级的病毒监控管理中心服务器上安装通讯组件,即上级中心安装RavSender(下级通讯代理)组件,各下级中心安装RavReceiver(上级通讯代理)组件。
●Windows服务器防病毒客户端/个人终端机器防病毒客户端:
分别在上下两级的防病毒监控管理体系下对每个windows服务器/客户端上部署瑞星杀毒软件网络版2009防病毒客户端软件;
●For UNIX客户端:
分别在上下两级的防病毒监控管理体系下对每个UNIX/Linux上部署瑞星for UNIX防病毒客户端软件。
(注:如果有这样的系统,要单独购买)
综上所设计,在整个内部网络中构建了一套上下两级结构的网络防病毒监控防范体系。每级病毒监控管理中心可以独立运行,管理自己本级网络的全部客户端、服务器端,实现对属于本级管理范围内的各种应用服务器和个人终端机器的防病毒监控和管理,并将网络内病毒爆发情况的统计信息上报给核心级(上级)病毒监控管理中心的管理者。同时,核心级(上级)病毒监控管理中心也可集中管理各第二级(下级)病毒监控管理中心管理范围内的各种应用服务器和个人终端机器,实现集中监管和分级管理的部署。
2.5.1病毒监控管理中心的部署
在网络病毒防范体系建立步骤上,必须首先建立病毒监控管理中心,之后才可以对管理范围内的各种应用服务器和个人终端机器安装防病毒客户端。,实现对管理范围内的所有防病毒客户端进行全网病毒监控和查杀。
病毒监控管理中心负责管理、协调瑞星杀毒软件网络版所有子系统的工作;实现授权许可证的验证和管理;负责瑞星杀毒软件网络版中各系统版本更新及检测和清除病毒等工作。
注意:安装病毒监控管理中心时,安装程序将在该服务器上同时安装防病毒客户端软件和管理控制台系统。
病毒监控管理中心的安装条件
全天候开机:为确保正常实现系统中心所有功能,安装系统中心的计算机应该在有效工作期内保持全天候的开机状态。
可方便的连接Internet:瑞星杀毒软件网络版具有自动升级的功能,为保证此功能的顺利实现,系统中心所在服务器应能接入互联网。
注意:为了保障防病毒系统顺利工作,建议将病毒监控管理中心安装在独立的服务器上面。
软件环境
1)操作系统
Windows NT Server 4.0 with Service Pack 6.
Windows 2000 Advanced Server with Service Pack 4 or later
Windows 2000 Server with Service Pack 4 or later
Windows Server 2003 Enterprise with Service Pack 1 or later
Windows Server 2003 Standard with Service Pack 1 or later
Windows Server 2003 Web with Service Pack 1 or later
Windows Server 2003 R2 Enterprise
Windows Server 2003 R2 Standard
2)其它
Microsoft Internet Explorer 6.0 with Service Pack 1 or later
硬件和网络要求
剩余磁盘空间:2GB以上,如果有漏洞扫描功能,建议将漏洞补丁保存路径所在盘保留2G以上空间
CPU: Intel Pentium IV 3.0G以上
内存:1GB以上,最大支持4GB
网络环境:100M以上网络,需一个固定IP地址
布置建议
在网络中选择1台服务器,在瑞星杀毒软件网络版的安装过程中选择“病毒监控管理中心(系统中心)”即可在这台服务器上为整个网络布置病毒监控管理中心。
注意:如内部局域网划了多个VLAN,这台服务器必须可以让内部所有的计算机访问。
2.5.2基于Windows的服务器端/客户端的防病毒客户端软件部署
瑞星杀毒软件网络版2009可以监控和保护网内所有WINDOWS服务器端/客户端不受病毒的感染。
瑞星杀毒软件网络版2009具有智能安装的特点,支持多种安装方式,包括:光盘安装、远程安装、WEB安装以及脚本登录安装等,通过这些多样化的安装方式,网络管理员可以十分轻松地在最短的时间内完成整个系统的安装。而且管理员可以通过“瑞星安装包定制工具”定制安装包。
注:系统中心必须要先通过光盘进行本地安装,然后,其他的服务器端/客户端可以根据用户的网络实际情况选择以上五种安装部署方式:
Windows服务器端/客户端防病毒软件客户端的安装条件
软件环境
1)Microsoft Windows家族。包括:
客户端:
Windows 2000 Professional/ XP Professional/Home Edition/Vista
服务器端:
Windows NT Server/2000 Server/2000 Advanced Server/2003 Server 2)Internet Explorer 6.0以上
硬件环境
剩余磁盘空间:600MB以上;作为升级代理时,1GB以上
CPU: 800MHz以上
内存:256MB以上,最大支持4GB
布置建议
在系统中心安装完成后,可以通过“域脚本安装”、“WEB安装”、“共享安装”、“本地安装”及管理控制台提供的“远程安装”等多种方式为服务器端/客户端部署瑞星防病毒服务器端系统。
2.5.3 UNIX/Linux服务器防病毒客户端软件的部署
部署产品—瑞星杀毒软件网络版 For UNIX
瑞星杀毒软件网络版 FOR UNIX版是专门查杀UNIX、Linux文件系统中的病
毒文件的,作为瑞星网络版的一部分(作为客户端运行),可以远程响应病毒监控管理中心的远程控制指令,对UNIX、Linux本机的病毒进行查杀,并且可以将病毒查杀的结果传送到病毒监控管理中心(系统中心),便于网络管理员了解网络内的所有计算机的病毒感染情况。此外,它可以按照本机管理员的操作,进行病毒查杀。
注:For UNIX产品为独立产品,网络版中服务器端/客户端只支持Windows 平台,不集成对UNIX/Linux的支持,如果需要可单独购买,安装后可作为网络版的客户端被网络版的病毒监控管理集中管理。
UNIX/Linux客户端安装条件
软件环境
SUN Solaris系列
IBM AIX系列
LINUX系列:基于Intel x86芯片(例如Redhat Linux、红旗Linux、Ubuntu Linux等)
HP-UX系列:PA-RISC系列
FreeBSD系列
硬件环境
语言支持
支持简体中文、繁体中文、英语和日文四种语言。
布置建议
在网络病毒监控中心(系统中心)建立后,可以通过瑞星杀毒软件 FOR UNIX 版的具体产品为UNIX机器安装部署防病毒软件。
三、方案实施后可达到的效果
通过对XXX网络建立统一的整体网络病毒防范体系,在XXX网络内部建立统一的病毒防范策略,从而达到对XXX整个网络达到以下病毒防范效果:
3.1集中安全管理效果
◆建立防病毒中央控管系统
可以通过在核心网络建立核心级(上级)病毒监控管理中心对网络内的服务器、客户机防病毒客户端进行远程策略设置、病毒查杀、远程安装等各种管理操作;实现跨地区、跨平台的网络防毒系统实施统一管理和监控。
(注:核心级(上级)防病毒管理中心甚至可管理到下级的每个防病毒客户端,此功能仅限高级企业版及高级企业专用版)
◆分级防病毒管控系统
第二级(下级)病毒监控管理中心可以分级管理本级的所有网络内的各种应用服务器和个人终端机器。可以进行远程策略设置、病毒查杀、远程安装等针对本级的各种分级管理操作。分级管理模式使针对本级的防病毒管理更直接、细致、可靠。
◆网络内总体安全概要分析
通过管理控制台全面直观地展现整个网络中的安全情况:网络内存在哪些病毒,哪些客户端存在病毒,客户端的升级情况和比例,防病毒系统的运行情况(系统中心升级情况,日志记录是否超大,授权数是否超出)。并针对这些分析给出指导性的操作建议。让网络管理员能够轻松地掌握网络中的总体安全情况并及时调整防毒策略。
1.病毒排行Top5, 感染最多客户端排行Top5 (本中心,后台定时统计)
2.系统中心最近升级版本和时间(版本过低或长时间未升级应给出警告)3.客户端的升级比例(已升级到最新的客户端和未升级到最新版本的客户端百分比)
4.授权及使用情况(已经<5给出警告信息)
5.日志数量(过大时>100万条需要提示用户整理)
◆实时监控客户端防毒状况
网络管理员在管理控制台上能实时地查看到每个客户端的下列信息:
客户端防病毒状态实时监控
●扫描状态
●实时监控的状态
●主动防御的状态
●版本信息
●感染了哪些病毒
根据上述信息,管理员可实时跟踪到每一个客户端的防毒状况,以便做出应对措施。
目录 第1章概述.................................................................................................................... 错误!未指定书签。 1.1数据集中阶段的数据中心建设 ......................................................................... 错误!未指定书签。 1.1.1 传统架构存在的问题.................................................................................. 错误!未指定书签。 1.1.2 H3C全融合虚拟化架构 .............................................................................. 错误!未指定书签。 1.2双活数据中心建设目标 ..................................................................................... 错误!未指定书签。第2章双活数据中心业务部署 .................................................................................... 错误!未指定书签。 2.1基于的业务部署模式 ......................................................................................... 错误!未指定书签。 2.1.1 模式简介 ..................................................................................................... 错误!未指定书签。 2.1.2 企业数据中心业务典型部署...................................................................... 错误!未指定书签。 2.2基于的业务部署模式 ......................................................................................... 错误!未指定书签。 2.2.1 技术简介 ..................................................................................................... 错误!未指定书签。 2.2.2 企业数据中心典型部署.............................................................................. 错误!未指定书签。 2.2.3 与 ................................................................................................................. 错误!未指定书签。第3章双活数据中心设计............................................................................................ 错误!未指定书签。 3.1网络结构 ............................................................................................................. 错误!未指定书签。 3.2双活数据中心部署 ............................................................................................. 错误!未指定书签。
数据中心信息安全 解决方案
数据中心解决方案 (安全)
目录 第一章信息安全保障系统...................................... 错误!未定义书签。 1.1 系统概述 .................................................... 错误!未定义书签。 1.2 安全标准 .................................................... 错误!未定义书签。 1.3 系统架构 .................................................... 错误!未定义书签。 1.4 系统详细设计 ............................................ 错误!未定义书签。 1.4.1 计算环境安全 ...................................... 错误!未定义书签。 1.4.2 区域边界安全 ...................................... 错误!未定义书签。 1.4.3 通信网络安全 ...................................... 错误!未定义书签。 1.4.4 管理中心安全 ...................................... 错误!未定义书签。 1.5 安全设备及系统......................................... 错误!未定义书签。 1.5.1 VPN加密系统 ...................................... 错误!未定义书签。 1.5.2 入侵防御系统 ...................................... 错误!未定义书签。 1.5.3 防火墙系统 .......................................... 错误!未定义书签。 1.5.4 安全审计系统 ...................................... 错误!未定义书签。 1.5.5 漏洞扫描系统 ...................................... 错误!未定义书签。 1.5.6 网络防病毒系统 .................................. 错误!未定义书签。 1.5.7 PKI/CA身份认证平台 .......................... 错误!未定义书签。 1.5.8 接入认证系统 ...................................... 错误!未定义书签。
XXX项目SDN数据中心网络解决方案(模板) XX集团 XXX.XXX.XXX
目录 1XXX项目建设背景 (4) 1.1项目背景 (4) 1.2项目目标 (4) 1.3项目需求 (4) 2XXSDN技术发展及产品现状 (4) 2.1XXSDN技术发展现状 (4) 2.2XXSDN市场地位 (5) 2.3XX SDN解决方案 (6) 3XXX项目SDN网络解决方案 (6) 3.1方案设计原则 (6) 3.2整体建设方案 (8) 3.2.1整体组网设计 (9) 3.2.2单Fabric组网设计 (10) 3.2.3方案主要功能 (11) 3.3XX SDN服务支持 (20) 3.3.1SDN部署服务 (20) 3.3.2SDN软件技术支持服务 (20) 3.3.3SDN开发者技术支持服务 (20) 3.3.4SDN解决方案规划咨询服务 (20) 3.3.5SDN APP定制开发服务 (21) 3.4XX SDN下一代数据中心优势 (21) 3.4.1 整网设计架构开放、标准、兼容 (22) 3.4.2可靠性设计 (22) 3.4.3安全融合,符合等保建设要求 (23) 3.4.4架构弹性设计 (23) 3.4.5端到端全流程自动化 (25) 3.4.6 可视化运维管理便捷 (25)
1 XXX项目建设背景 1.1项目背景 XXX 1.2项目目标 基于以上项目背景和需求,本次XXXX网络建设设计需要满足未来较长一段时期的基础设施部署需求,并借助本次XXXX网络部署的独立性,运用VXLAN、SDN主流技术对当前数据中心网络结构进行优化,以适应未来网络架构的发展需求。本项目的具体目标如下: 1.建设XXXX机房网络基础设施。 2.数据中心网络至少需要支持未来的生产系统、业务系统部署需求。业务 上线时间由原先的平均30天,缩短到分钟级别。 3.结合xx公司IT总体的规划,对XXXX的网络结构进行必要的优化,以适 应新时期的业务部署、安全运行、提高IT管理水平的需求,网络方案要 保持一定的先进性。 4.采用先进的数据中心设计理念,能够支持新一代应用架构,适用于未来 5-7年的IT技术发展,可以最大程度的保护数据和业务连续性。 1.3项目需求 在XXXX建设过程中,主要有以下几方面需求。 1.1.1 业务需求 如何更加快速地部署业务应用,为企业业务系统提供更及时、更便利的网络服务,提升企业的运行效率与竞争实力,也是当前企业数据中心使用中面临的挑战之一。因此,当前数据中心的建设必须考虑如何实现快速上线业务、快速响应需求、提高部署效率。 1.1.2 网络需求 服务器虚拟化使高效利用IT资源,降低企业运营成本成为可能。服务器内
数据中心集成安全解决方案 1.系统功能简介 ?数据中心负责存储、计算和转发企业最重要的数据信息,这些信息的安全可靠成为了企业发展和生存的前提条件。思科数据中心安全保护套件提供数据中心信息的安全防护。 ?考虑到Cisco Catalyst 6500系列交换机已经广泛部署在企业数据中心,安全套件主要由内嵌防火墙模块(FWSM)和内嵌入侵检测系统模块(IDSM)两个组件构成。 ?FWSM使用一个实时的、牢固的嵌入式系统,可以消除安全漏洞,防止各种可能导致性能降低的损耗。这个系统的核心是一种基于自适应安全算法(ASA)的保护机制,它可以提供面向连接的全状态防火墙功能。利用FWSM可以根据源地址和目的地地址,随机的TCP序列号,端口号,以及其他TCP标志,为一个会话流创建一个连接表条目。FWSM可以通过对这些连接表条目实施安全策略,控制所有输入和输出的流量。IDSM对进入网络的流量进行旁路的深层数据包检测,判断和分析数据包是否能够安全的在数据中心进行发送、接收,防止业务资产受到威胁,提高入侵防范的效率。 ?思科数据中心安全保护套件示意图如下:
2.系统先进特性 ?灵活的扩展性:集成模块 FWSM安装在Cisco Catalyst 6500系列交换机的内部,让交换机的任何物理端口都可以成为防火墙端口,并且在网络基础设施中集成了状态防火墙安全。对于那些机架空间非常有限的系统来说,这种功能非常重要。系统可以通过虚拟防火墙功能将一台物理的防火墙模块划分为最多250台虚拟的防火墙系统,以满足用户业务的不断扩展。IDSM可以通过VLAN访问控制列表(VACL)获取功能来提供对数据流的访问权限,并根据自己的需要,同时安装多个模块,为更多的VLAN和流量提供保护。当设备需要维护时,热插拔模块也不会导致网络性能降低或者系统中断。 ?强大的安全防护功能:该系统不仅可以保护企业网络免受未经授权的外部接入的攻击,还可以防止未经授权的用户接入企业网络的子网、工作组和LAN。强大的入侵检测能力还可以提供高速的分组检查功能,让用户可以为各种类型的网络和流量提供更多的保护。多种用于获取和响应的技术,包括SPAN/RSPAN和VACL获取功能,以及屏蔽和TCP重置功能,从而让用户可以监控不同的网段和流量,同时让产品可以采取及时的措施,以消除威胁。 ?便于管理:设备管理器的直观的图形化用户界面(GUI)可以方便的管理和配置FWSM。系统更加善于检测和响应威胁,同时能够就潜在的攻击向管理人员发出警报,便于管理人员及时对安全事件进行响应。 3.系统配置说明(硬件软件需要与产品列表) ?FWSM+IDSM(详细报价请参考Excel文件) ?系统配置说明: Catalyst 6500 IDSM-2入侵检测模块需购买签名(IPS SIGNATURE)升级服务。
XXXXXXXXXXXXXXXXX公司IDC服务器解决方案 中国联合网络通信有限公司 北京三区电话局分公司 2012年XX月
IDC业务是一种通过向用户提供网络带宽和机房环境的租用,为客户提供大规模、高质量、安全可靠的服务器托管与租赁及相关增值产品的业务。是贵公司网站建设的最佳合作伙伴。 针对XXXXXXXXXXXX公司服务器托管的需求,我们将为客户提供专业IDC 托管服务。 北京联通的IDC基本服务主要包含以下内容: ?提供电信级机房场地(包含机位、机架),用于用户放置其服务器设备; ?提供用户接入互联网的独享或共享端口; ?针对用户的特殊电力需求、特殊机架改造等,提供个性化定制服务; ?提供电信级电力、空调等基础环境保障。 一、IDC技术方案 1.1 IDC机房介绍 (一)网络带宽 1.独享:2M、10M、20M、50M、100M、1000M及以上 2.共享:10M、100M (二)空间租用 1、机位:机架中的部分空间,以U(Unit)计算。1U=4.5CM 2、标准开放式机架:未经保护网封闭的机架 3、封闭式机架:根据用户需求使用保护网进行封闭的机架,最小单元4架。 (三)机房环境 位置:我公司有23个IDC机房,机房分布广泛,可最大限度的方便客户就近选择合适机房。 参数:IDC机房建在交通方便、自然环境清洁的地点。机房建筑结构抗震烈度不低于8度,能防雷击、防御重大洪涝灾害。IDC机房室内净高度不小于3.2米。机房承重不低于每平米600公斤,UPS室承重每平米不低于800公斤。
供电:机位、机架A、B两路交叉供电;供电采用两路10KV市电引入,五星和四星级机房UPS采用1+1或2+1冗余系统,机架双路电源引自不同的UPS系统,构成双总线系统.单机架供电2.86KVA(13A/架)或3.52KVA(16A/架). 按照满负荷配备柴油发电机,为IDC 机房提供后备电源,蓄电池满负荷工作持续时间30分钟。 安防:门禁系统、7*24小时专业保安、闭路监视系统及7*24小时监控等。通过摄像头保证机房监控无死角,监控系统由专业人员7*24小时值守,监控录像内容至少保存一个月。 布线:IDC机房根据不同机房条件采取下走线或者上走线方式布线,高低压分开,以太网线和光缆分开,三种线均有走线槽。 消防:采取防火构架和材料,不同的楼层/空间/防火门分隔。具有完善的消防监控系统7*24小时运行,使用火灾报警系统,自动探测活动并报警。据有气体灭火系统及充足的手动灭火设备。每年消防检测单位对设备检测一次。
双活数据中心方案 一、需求背景: 随着数据的大集中,银行纷纷建设了负责本行各业务处理的生产数据中心机房(一般称为数据中心),数据中心因其负担了全行业务,所以其并发业务负荷能力和不间断运行能力是评价一个数据中心成熟与否的关键性指标。 近年来,随着网上银行、手机银行等各种互联网业务的迅猛发展,银行数据中心的业务压力业成倍增加,用户对于业务访问质量的要求也越来越高,保障业务系统的7*24小时连续运营并提升用户体验成为信息部门的首要职责。 商业银行信息系统的安全、稳定运行关系着国家金融安全和社会稳定,监管机构也十分重视商业银行的灾难备份体系建设,多次发布了商业银行信息系统灾难备份的相关标准和指引,对商业银行灾备系统建设提出了明确的要求。 为适应互联网业务的快速增长,保障银行各业务安全稳定的不间断运行,提高市场竞争力,同时符合监管机构的相关要求,建设灾备、双活甚至多活数据中心正在成为商业银行的共同选择。 二、发展趋势: 多数据中心的建设需要投入大量资金,其项目周期往往很长,涉及的范围也比较大。从技术上来说,要实现真正意义上的双活,就要求网络、应用、数据库和存储都要双活。就现阶段来看,大多数客户的多数据中心建设还达不到完全的双活要求,主流的建设目标是实现应用双活。目前客户建设多数据中心的模型可以归纳为以下几种: 1.单纯的数据容灾: 正常情况下只有主数据中心投入运行,备数据中心处于待命状态。发生灾难时,灾备数据中心可以短时间内恢复业务并投入运行,减轻灾难带来的损失。这种模式只能解决业务连续性的需求,但用户无法就近快速接入。灾备中心建设的投资巨大且运维成本高昂,正常情况下灾备中心不对外服务,资源利用率偏低,造成了巨大的浪费。
曙光DS800-G25 双活数据中心解决案介绍 曙光信息产业股份有限公司
1解决案概述 在信息社会里,数据的重要性已经毋容置疑,作为数据载体的存储阵列,其可靠性更是备受关注。尤其在一些关键应用中,不仅需要单台存储阵列自身保持高可靠性,往往还需要二台存储阵列组成高可靠的系统。一旦其中一台存储阵列发生故障,另一台可以无缝接管业务。这种两台存储都处于运行状态,互为冗余,可相互接管的应用模式一般称之为双活存储。 由于技术上的限制,传统的双活存储案无法由存储阵列自身直接实现,更多的是通过在服务器上增加卷镜像软件,或者通过增加额外的存储虚拟化引擎实现。通过服务器上的卷镜像软件实现的双活存储,实施复杂,对应用业务影响大,而且软件购买成本较高。通过存储虚拟化引擎实现的双活存储,虽然实施难度有一定降低,但存储虚拟化引擎自身会成为性能、可靠性的瓶颈,而且存在兼容性的限制,初次购买和维护成本也不低。 曙光DS800-G25双活数据中心案采用创新技术,可以不需要引入任第三软硬件,直接通过两台DS800-G25存储阵列实现两台存储的双活工作,互为冗余。当其中一台存储发生故障时,可由另一台存储实时接管业务,实现RPO、RTO为0。这是一种简单、高效的新型双活存储技术。
2产品解决案 曙光DS800-G25双活数据中心案由两台存储阵列组成,分别对应存储引擎A、引擎B。存储引擎A 和B上的卷可配置为双活镜像对,中间通过万兆以太网链路进行高速数据同步,数据完全一致。由于采用虚拟卷技术,双活镜像对中的两个卷对外形成一个虚拟卷。对服务器而言,双活镜像对就是可以通过多条路径访问的同一个数据卷,服务器可以同时对双活镜像对中两个卷进行读写访问。组成双活镜像系统的两台存储互为冗余,当其中一台存储阵列发生故障时,可由另一台存储阵列直接接管业务。服务器访问双活存储系统可根据实际需要,选用FC、iSCSI式,服务器访问存储的SAN网络与数据同步的万兆网络相互独立,互不干扰。 组网说明: 1)服务器部署为双机或集群模式,保证服务器层的高可用, 2)存储与服务器之间的连接可以采用FC、iSCSI链路,建议部署交换机进行组网; 3)存储之间的镜像通道采用10GbE链路,每个控制器上配置10GbE IO接口卡,采用光纤交叉直连的式,共需要4根直连光纤; 4)组网拓扑
云数据中心边界安全解决方案 -安全网关产品推广中心马腾辉 数据中心的“云化” 数据中心,作为信息时代的重要产物之一,先后经历了大集中、虚拟化以及云计算三个历史发展阶段。在初期的大集中阶段中,数据中心实现了将以往分散的IT资源进行物理层面的集中与整合,同时,也拥有了较强的容灾机制;而随着业务的快速扩张,使我们在软、硬件方面投入的成本不断增加,但实际的资源使用率却很低下,而且灵活性不足,于是便通过虚拟化技术来解决成本、使用率以及灵活性等等问题,便又很快发展到了虚拟化阶段。 然而,虚拟化虽然解决了上述问题,但对于一个处于高速发展的企业来讲,仍然需要不断地进行软、硬件的升级与更新,另外,持续增加的业务总会使现有资源在一定时期内的扩展性受到限制。因此,采用具有弹性扩展、按需服务的云计算模式已经成为当下的热点需求,而在这个过程中,数据中心的“云化”也自然成为发展的必然! 传统边界防护的“困局” 云计算的相关技术特点及其应用模式正在使网络边界变得模糊,这使云数据中心对于边界安全防护的需求和以往的应用场景相比也会有所不同。在云计算环境下,如何为“云端接入”、“应用防护”、“虚拟环境”以及“全网管控”分别提供完善、可靠的解决方案,是我们需要面对的现实问题。因此,对于解决云数据中心的边界安全问题,传统网关技术早已束手无策,而此时更需要依靠下一代网关相关技术来提供一套体系化的边界安全解决方案! 天融信云数据中心边界安全防护解决方案
面对上述问题,天融信解决方案如下: ?通过TopConnect虚拟化接入与TopVPN智能集群相结合,实现“云端接入”安全需求; ?通过在物理边界部署一系列物理网关来对各种非法访问、攻击、病毒等等安全威胁进行深度检测与防御,同时,利用网关虚拟化技术还可以为不同租户提供虚拟网关 租用服务,实现“应用防护”安全需求; ?通过TopVSP虚拟化安全平台,为虚拟机之间的安全防护与虚拟化平台自身安全提供相应解决方案,实现“虚拟环境”安全需求; ?通过TopPolicy智能化管理平台来将全网的网络及安全设备进行有效整合,提供智能化的安全管控机制,实现“全网管控”安全需求; 技术特点 ●虚拟化 ?网关虚拟化:
双活数据中心建设方案建议书
前言 信息是用户的命脉。在过去的十年中,信息存储基础架构的建设为用户带来了长足的进步。从内置存储到外部RAID存储,从共享外部RAID阵列的多台服务器,到通过SAN共享更大存储服务器的更多服务器。在存储服务器容量不断扩展的同时,其功能也在不断增强。从提供硬件级RAID保护到跨磁盘阵列的独立于服务器的数据镜像,存储服务器正逐渐偏离服务器外围设备的角色,成为独立的“存储层”,以为服务器提供统一的数据存储,保护和共享服务。在数据中心。 随着用户服务的不断发展,对IT系统尤其是存储系统的要求越来越高。考虑到用户服务的重要性,由于信息的重要性,需要多个中心来防止单个数据中心的操作风险。 多数据中心建设计划可以防止出现单个数据中心的风险,但是面对建设多个数据中心的巨额投资,如何同时使用多个数据中心已成为IT部门的首要问题。决定者。同时,必须使用多个数据中心在各个中心之间传输和共享生产数据。众所周知,服务器性能的瓶颈主要在IO部分。不同中心之间的数据传输和共享将导致IO延迟,这将影响数据中心整体表现。 同时,各种制造商继续引入新技术,新产品,不断扩大容量,不断提高性能以及越来越多的功能。但是,由于不同存储供应商的技术实现方式不同,因此用户需要使用不同的管理界面来使用不同的供应商。存储资源。这样,也给用户行业的用户带来很多问题。首先,不可能使用统一的接口来允许服务器使用不同制造商的存储服务器,并且不同制造商的存储服务器之间的数据迁移也将导致业务中断。 针对用户跨数据中心信息传输和共享的迫切需求,推出存储解决方案,很好的解决了这些问题。
第一章.方案概述 1.需求 计划建设两个数据中心,构成同城双生产系统,两中心之间距离不超过100公里;要求数据零丢失,系统切换时间小于5分钟; 2.方案简介 为了满足客户建设容灾系统的需求,我们设计了本地双活数据中心。整体架构如下: 上图是双活数据中心总体框架,包括双活存储系统、双活数据库系统、双活应用系统和双活网络系统。 我们将利用存储双活技术和主机集群技术实现数据库系统的双活,利用负载均衡设备实现应用系统在两个数据中心内的负载均衡,利用动态域名确保两个数据中心的网络双活。 双活数据中心可以实现业务系统同时在两个节点同时工作,达到负载均衡的目的。当生产节点出现故障时,业务系统还能够在第二生产节点上正常工作,实现业务零切换。
数据中心安全解决方案
1 目录 第一章解决方案 (2) 1.1建设需求 (2) 1.2建设思路 (2) 1.3总体方案 (3) 1.3.1 IP 准入控制系统 (5) 1.3.2防泄密技术的选择 (6) 1.3.3主机账号生命周期管理系统 (6) 1.3.4数据库账号生命周期管理系统 (7) 1.3.5令牌认证系统 (8) 1.3.6数据库审计系统 (8) 1.3.7数据脱敏系统 (9) 1.3.8应用内嵌账号管理系统 (10) 1.3.9云计算平台 (13) 1.3.10防火墙 (13) 1.3.11统一安全运营平台 (14) 1.3.12安全运维服务 (16) 1.4实施效果 (16) 1.4.1针对终端接入的管理 (16) 1.4.2针对敏感数据的使用管理 (17) 1.4.3针对敏感数据的访问管理 (18) 1.4.4针对主机设备访问的管理 (18) 1.4.5针对数据库访问的管理 (19) 1.4.6针对数据库的审计 (20) 1.4.7针对应用内嵌账号的管理 (22) 1.4.8安全运营的规范 (22) 1.4.9针对管理的优化 (23) 第二章项目预算及项目要求 .......................................................................错误!未定义书签。 2.1项目预算 ..........................................................................................错误!未定义书签。 2.1.1项目一期预算 .......................................................................错误!未定义书签。 2.1.2一期实现目标 .......................................................................错误!未定义书签。 2.2项目要求 ..........................................................................................错误!未定义书签。 2.2.1用户环境配合条件 ...............................................................错误!未定义书签。
若水公司 2017-3-23
目录 1项目建设背景 (2) 2云数据中心潜在安全风险分析 (2) 2.1从南北到东西的安全 (2) 2.2数据传输安全 (2) 2.3数据存储安全 (3) 2.4数据审计安全 (3) 2.5云数据中心的安全风险控制策略 (3) 3数据中心云安全平台建设的原则 (3) 3.1标准性原则 (3) 3.2成熟性原则 (4) 3.3先进性原则 (4) 3.4扩展性原则 (4) 3.5可用性原则 (4) 3.6安全性原则 (4) 4数据中心云安全防护建设目标 (5) 4.1建设高性能高可靠的网络安全一体的目标 (5) 4.2建设以虚拟化为技术支撑的目标 (5) 4.3以集中的安全服务中心应对无边界的目标 (5) 4.4满足安全防护与等保合规的目标 (6) 5云安全防护平台建设应具备的功能模块 (6) 5.1防火墙功能 (6) 5.2入侵防御功能 (7) 5.3负载均衡功能 (7) 5.4病毒防护功能 (8) 5.5安全审计 (8) 6结束语 (8)
1项目建设背景 2云数据中心潜在安全风险分析 云数据中心在效率、业务敏捷性上有明显的优势。然而,应用、服务和边界都是动态的,而不是固定和预定义的,因此实现高效的安全十分具有挑战性。传统安全解决方案和策略还没有足够的准备和定位来为新型虚拟化数据中心提供高效的安全层,这是有很多原因的,总结起来,云数据中心主要的安全风险面临以下几方面: 2.1从南北到东西的安全 在传统数据中心里,防火墙、入侵防御,以及防病毒等安全解决方案主要聚焦在内外网之间边界上通过的流量,一般叫做南北向流量或客户端服务器流量。 在云数据中心里,像南北向流量一样,交互式数据中心服务和分布式应用组件之间产生的东西向流量也对访问控制和深度报文检测有刚性的需求。多租户云环境也需要租户隔离和向不同的租户应用不同的安全策略,这些租户的虚拟机往往是装在同一台物理服务器里的。 传统安全解决方案是专为物理环境设计的,不能将自己有效地插入东西向流量的环境中,所以它们往往需要东西向流量被重定向到防火墙、深度报文检测、入侵防御,以及防病毒等服务链中去。这种流量重定向和静态安全服务链的方案对于保护东西向流量是效率很低的,因为它会增加网络的延迟和制造性能瓶颈,从而导致应用响应时间的缓慢和网络掉线。 2.2数据传输安全 通常情况下,数据中心保存有大量的租户私密数据,这些数据往往代表了租户的核心竞争力,如租户的客户信息、财务信息、关键业务流程等等。在云数据中心模式下,租户将数据通过网络传递到云数据中心服务商进行处理时,面临着几个方面的问题:一是如何确保租户的数据在网络传输过程中严格加密不被窃取;二是如何保证云数据中心服务商在得到数据时不将租户绝密数据泄露出去;三是在云数据中心服务商处存储时,如何保证访问用户经过严格的权限认证并且是合法的数据访问,并保证租户在任何时候都可以安全访问到自身的数据。
构建永不宕机的信息系统 ——双活数据中心
双活数据中心解决方案目录 案例分享 12
存储层 应用层 双活数据中心端到端技术架构 数据中心A 数据中心B 双活存储层双活访问、数据零丢失 异构阵列 双活应用层 Oracle RAC 、VMware 、FusionSphere 跨DC 高可用、 负载均衡、迁移调度 双活网络层高可靠、优化的二层互联 最优的访问路径 ≤100km 裸光纤 Fusion Sphere Fusion Sphere 接入层 汇聚层核心层DC 出口网络层 GSLB SLB GSLB SLB
前端应用的双活(VMware ) vm vm vm vm vm vm vm vm vm vm vm vm AD vm vm vm vm SQL node1MSCS vCenter Server vm vm vm vm APP……. APP……. SQL node2MSCS vm vm vm vm vm vm vm vm vm 大二层互通网络,跨数据中心VM 配置双活应用,使用虚拟化网关提供的镜像卷作为共享存储 Weblogic 业务集群 管理集群 vm Weblogic ?vSphere Cluster HA ?vSphere Cluster DRS ?配置PDL 参数 ?Huawei OceanStor UltraPath for vSphere ? 配合负载均衡设备实现 Weblogic 访问自动漂移和均衡 VMware 配置要点 业务访问效果 ?业务访问负载均衡 ?虚拟机分布按业务压力自动均衡 ?故障自动切换访问?Weblogic 可动态扩展 ? 单数据中心故障恢复后,虚拟机自动回切
双活数据中心解决方案
目录 1 用户面临的挑战和需求 (3) 1.1面临的挑战 (3) 1.2迫切需求 (3) 2NetApp双活数据中心解决方案 (4) 3NetApp解决方案优势 (5)
1 用户用户面临的挑战面临的挑战面临的挑战和需求和需求 1.1 面临的挑战 ? 目前几乎所有金融行业用户的业务正常开展都离不开后端IT 环境的支持,一旦IT 环境由于各种原因不能正常提供支撑服务,就会对用户的业务造成巨大影响。因此金融用户对后端IT 系统的可靠性和可用性的要求越来越高,需要保证IT 系统7×24的运行能力。 ? 虽然目前大部分的专业存储系统均实现了硬件容灾保护,单个部件的失效不会导致其数据访问能力的失效。但是一旦某套存储系统由于一些严重故障或灾难性事故导致其整体性失效,则会导致前端应用系统的宕机从而影响业务系统的正常运行。因此金融用户需要在硬件冗余的基础上提供更高的可靠性保证。 ? 目前很多金融用户已经采取了多数据中心的架构,并且在多个数据中心之间进行了数据容灾保护架构的建设。但是由于传统的容灾架构基本上采用了Active-Standby 的方式,因此一方面限制了数据中心的角色和功能,另一方面也限制了用户在各个数据中心部署应用系统的灵活性。最重要的一点,传统的容灾架构在进行容灾恢复的时候过程复杂且冗长,缺乏足够的智能化。因此金融用户需要一种更加灵活更加智能化的多数据中心架构。 1.2 迫切需求 ? 后端存储系统在硬件冗余保护的基础上,需要提供更高级别的可靠性保证,能在存储系统发生整体性故障的时候还能保证数据访问的正常进行,从而防止这些严重故障或灾难性事故对业务系统造成严重影响。 ? 实现双活的数据中心架构替代原有的Active-Standby 架构,双活数据中心架构必须提供如下的功能: o 前端应用服务器可以从两个数据中心均能对同一份数据进行正常访问,同一个应用的服务器可以根据实际需要部署在两个中心当中的任何一个或同时部署在两个中心,部署在两个中心的应用服务器均可以处于服务提供状态
数据中心安全域隔离解决方案 数据中心安全建设的基本原则:按照不同安全等级进行区域划分,进 行层次化、有重点的保护,通过传统防火墙分级分域的进行有针对性的访问 控制、安全防护。 数据中心安全域隔离存在的问题 防火墙基于五元组部署访问控制策略,但仍在上线部署、业务新增和日常管理中存在策略管理复杂可视性差的问题: 传统防火墙仍面临新的安全挑战 70%的攻击来自应用层,防火墙防护存在短板
APT、0day、欺诈等威胁出现,使边界防御失陷 深信服数据中心安全域隔离解决方案 本方案采用技术上先进的下一代防 火墙作为数据中心安全域隔离的主要载 体。既可以解决传统安全域隔离可视性 和管理便利性上的问题,同时还能够通 过开启应用层防护的模块和失陷主机检 测的模块加固数据中心的安全。有效的 补数据中心存在的安全短板,提升数据 中心安全防护与检测的能力。 ?数据中心安全域设计建议 将数据中心以不同安全级别及功能需求划分为四大安全区域:接入区、办公区、业务区、运维管理区。对数据中心网络及应用系统实施网络分级分区防护,有效地增加了重要应用系统的安全防护纵深,使得外部的侵入需要穿过多层防护机制,不仅增加恶意攻击的难度,还为主动防御提供了时间上的保证。
接入区:安全等级中,包含三个子区,互联网接入区、分支机构接入区和第三方接入区; 办公区:安全等级低,包含两个子区,内网办公区和无线办公区; 业务区:安全等级高,包含三个子区,对外业务区、核心业务区、内部应用区。 方案特点 ?精细到应用的访问控制粒度 不仅具备五元组访问控制策略,还可以通过结 合应用识别与用户识别技术制定的L3-L7 一体化 应用控制策略,提高了策略控制的准确度,提升数据中 心管理的效率。 如访问数据中心的常见应用 OA、ERP、Web、 邮箱等;或外部运维人员访问数据库等场景,通过应用层访问控制策略,解决传统 ACL 的无法对端口逃逸、端口跳跃等(如使用 Oracle 建立连接 1521,连接后为随机端口)技术的应用进行控制的问题。 ?向导式可视化的策略管理 上线部署:简单易懂的 IT 向 导配置,无需管理员掌握复杂的安 全知识,也可以完成策略的快速部 署上线,轻松掌握对数据中心安全 策略的部署。 新增业务:数据中心新增业务 时,能主动发现新增资产,防止安全策略疏漏。管理员无需手动查找新增资产,只需要对新增资产进行一 键策略的关联部署就可以快速添加策略。 策略管理:可视化的策略管理,提升了 访问控制策略管理的可视性,使管理员可以 更容易的看清楚策略部署的情况;同时提供 策略命中数量,便于管理员清除无效策略。 ?支持更强防护和检测能力的扩展 L2-7 层防护功能扩展:本方案采用深信
数据中心解决方案 前言 数据中心(Data Center,DC)是数据大集中而形成的集成IT应用环境,是各种IT应用业务的提供中心,是数据计算、网络传输、存储的中心。数据中心实现了IT基础设施、业务应用、数据的统一、安全策略的统一部署与运维管理。 数据中心是当前运营商和各行业的IT建设重点。运营商、大型企业、金融证券、政府、能源、电力、交通、教育、制造业、网站和电子商务公司等正在进行或已完成数据中心建设,通过数据中心的建设,实现对IT信息系统的整合和集中管理,提升内部的运营和管理效率以及对外的服务水平,同时降低IT建设的TCO。 H3C长期致力于IP技术与产品的研究、开发、生产、销售及服务。H3C不但拥有全线以太网交换机和路由器产品,还在网络安全、IP存储、IP监控、语音视讯、WLAN、SOHO及软件管理系统等领域稳健成长。目前,网络产品中国市场份额第一,安全产品中国市场份额位居三甲,IP存储亚太市场份额第一,IP监控技术全球领先,H3C已经从单一网络设备供应商转变为多产品IToIP 解决方案供应商。 H3C长期保持对数据中心领域的关注,持续投入力量于数据中心解决方案的研发,融合了网络、安全、IP存储、软件管理系统、IP监控等产品的基于IToIP架构的数据中心解决方案,有效地解决了用户在数据中心建设中遇到的各种难题,已经在各行各业的数据中心建设中广泛应用。 基于H3C在数据通信领域的长期研发与技术积累,纵观数据中心发展历程,数据中心的发展可分为四个层面: 数据中心基础网络整合: 根据业务需求,基于开放标准的IP协议,完成对企业现有异构业务系统、网络资源和IT资源的整合,解决如何建设数据中心的问题。 数据中心基础网络的设计以功能分区、网络分层和服务器分级为原则和特点。通过多种高可用技术和良好网络设计,实现数据中心可靠运行,保证业务的永续性; 数据中心应用智能:基于TCP/IP的开放架构,保证各种新业务和应用在数据中心的基础体系架构上平滑部署和升级,满足用户的多变需求,保证数据中心的持续服务和业务连续性。各种应用的安全、优化与集成可以无缝的部署在数据中心之上。 数据中心虚拟化:传统的应用孤岛式的数据中心模型扩展性差,核心资源的分配与业务应用发展出现不匹配,使得资源利用不均匀,导致运行成本提高、现有投资无法达到
数据中心端到端网络解决方案 前言 数据中心(Data Center,DC)是数据大集中而形成的集成IT应用环境,是各种IT应用业务的提供中心,是数据计算、网络传输、存储的中心。数据中心实现了IT基础设施、业务应用、数据的统一、安全策略的统一部署与运维管理。 数据中心是当前运营商和各行业的IT建设重点。运营商、大型企业、金融证券、政府、能源、电力、交通、教育、制造业、网站和电子商务公司等正在进行或已完成数据中心建设,通过数据中心的建设,实现对IT信息系统的整合和集中管理,提升内部的运营和管理效率以及对外的服务水平,同时降低IT建设的TCO。 H3C长期保持对数据中心领域的关注,持续投入力量于数据中心解决方案的研发,融合了网络、安全、智能运维管理等产品的数据中心解决方案,有效地解决了用户在数据中心建设中遇到的各种难题,已经在各行各业的数据中心建设中广泛应用。 基于H3C在数据通信领域的长期研发与技术积累,纵观数据中心发展历程,数据中心的发展可分为四个层面: ?数据中心端到端网络整合:根据业务需求,基于开放标准的IP协议,完成对企业现有异构业务系统、网络资源和IT资源的整合,解决如何建设数据中心的问题。数据中心端到端网络的设计以功能分区、网络分层和服务器分级为原则和特点。通过多种高可用技术和良好网络设计,实现数据中心可靠运行,保证业务的永续性; ?数据中心应用智能:基于TCP/IP的开放架构,保证各种新业务和应用在数据中心的基础体系架构上平滑部署和升级,满足用户的多变需求,保证数据中心的持续服务和业务连续性。各种应用的安全、优化与集成可以无缝的部署在数据中心之上。 ?数据中心虚拟化:传统的应用孤岛式的数据中心模型扩展性差,核心资源的分配与业务应用发展出现不匹配,使得资源利用不均匀,导致运行成本提高、现有投资无法达到最优化的利用、新业务部署难度增大、现有业务持续性得不到保证、安全面临威胁。虚拟化通过构建共享的资源池,实现对网络资源、计算计算和存储资源的几种管理、规划和控制,简化管理维护、提高设备资源利用率、优化业务流程部署、降低维护成本。 ?数据中心资源智能:通过智能化管理平台实现对资源的智能化管理,资源智能分配调度,构建高度智能、自动化数据中心。 附件一数据中心相关产品 H3C数据中心解决方案产品分为三大部分: (1)端到端网络平台
大型数据中心
实现有效的联结
机架 机柜行 机房 整个大楼 确保整体系统的效率和可用性
动态的能源管理构架 … 从 电力生产到电力使用 与关键应用领域全面兼容 有效平衡施耐德电气和第三方供应商之间的开放式标准
2
数据中心方向
整个业界都在行动, 致国于制定政策和相应的行为规范
● 绿色网格全球联盟一直致力于制定标准, 衡量,流程和技术以提升数据中心的性 能 ● 美国环境保护局 (EPA) 正在确定数据中心的效率标准 (能源之星评级) ● 欧盟委员会能源研究所 d正在确定数据 中心效率的 “行为准则” ● 大型企业联合会也正在开始确定公共的 碳承诺
是绿色网格计划的的创始成员及董事 会成员单位
效率不容忽视
3
什么是DCPI….
Data Center Physical Infrastructure
IT floor The “white space”
涉及供电,制冷,机架系统,安 防,管理等为IT设备提供技 持的各个层面
我们全面端到端视角对于可用性 我们全面端到端视角对于 可用性和 和效率 效率产生深远的影响 产生深远的影响
4
所有的挑战都汇集于数据中心
● IT密度不断提升,且已超出传统的供电和制冷基础设施的能力范围
● 分布式数据中心的的集中化 ● 虚拟化和IT运算的随需而变
● 设计及构建的周期需要更快可预见性更高
● 反复多变的商业氛围要求数据中心具有特别的灵活性以与其保持同步 多变 氛 要 其 ● IT技术的发展变化为”早期的使用者”带来明显的商业优势
● 能效现是已是一个全球性的问题
● 由于能耗大而且需求不断提升,数据中心已成为焦点 由于能耗大而且需求不断提升 数据中心已成为焦点 ● 能源成本和可用性会对底限产生影响
5
IDC整体安全解决方案 一、IDC现状及发展趋势 根据中国IDC圈2013年3月发布的《2012-2013年度中国IDC产业发展研究报告》数据显示,2012年全球IDC市场整体市场规模达到255.2亿美元,增速为14.6%。从报告中可以看出,在全球数据中心市场中,欧美地区市场需求已趋于饱和,亚太地区正成为带动全球IDC市场的主要动力。其中,美国已开始逐步关闭部分小型数据中心,政府带头部署云计算;欧洲略落后于美国,云计算尚在部署阶段;而亚太尚处于IDC基础建设阶段,未来潜力巨大。 国内IDC市场中,金融和电信行业的数据中心建设占据了50%的市场份额,其次是政府、制造和能源行业,广电也开始加入其中。网络游戏和视频等应用业务成为拉动IDC市场增长主力,云计算已成为IDC产业未来发展趋势,而网络安全成为IDC产业日益关注的问题。 二、IDC网络架构及面临的安全威胁 IDC网络架构一般包括四层:互联网接入层、汇聚层、业务接入层和运维管理层。互联网接入层由2台核心路由器组成,作为IDC和互联网互联互通的纽带,对外完成与互联网的高速互联,对内负责与IDC的汇聚层交换互联,负责IDC内部路由信息与外部路由信息转发和维护等,互联网接入层的出口带宽至少20Gbps,多采用多条10 Gbps出口链路。汇聚层由多台成对的汇聚交换机组成,是业务接入层交换机的汇聚点,并上联到互联网接入层核心路由器,汇聚层交换机与互联网接入层核心路由器之间多采用多条10Gbps链路连接。业务接入层由接入交换机和各业务系统的服务器、存储等设备组成,是对外提供IDC相关业务的核心,接入交换机与汇聚交换机之间多采用多条千兆链路连接。运维管理层提供网络管理、