【正文】 iMC 設(shè)備面板管理 iMC 設(shè)備狀態(tài)管理 iMC 拓?fù)涔芾? iMC 設(shè)備性能管理 iMC 對(duì)象告警設(shè)置 身份與接入管理 支持 LAN、 WAN、 WLAN、 VPN 認(rèn)證接入，實(shí)現(xiàn)接入業(yè)務(wù)的統(tǒng)一、集中管理；支持智能卡、證書(shū)等強(qiáng)認(rèn)證功能，支持多種方式的端點(diǎn)準(zhǔn)入控制和基于身份的網(wǎng)絡(luò)服務(wù)，實(shí)現(xiàn)用戶與資源和業(yè)務(wù)的融合管理。 兩地三中心數(shù)據(jù)中心存儲(chǔ)災(zāi)備系統(tǒng)方案詳細(xì)設(shè)計(jì)見(jiàn)《 XXXX 單位 數(shù)據(jù)中心存儲(chǔ)解決方案》。 H3C 全局安全管理解決方案 為實(shí)現(xiàn)這一目標(biāo)而構(gòu)建了開(kāi)放的、可持續(xù)演進(jìn)的安全管理平臺(tái)，通過(guò)對(duì)防護(hù)、檢測(cè)和響應(yīng) 等不同生命周期的各個(gè)安全環(huán)節(jié)進(jìn)行基于策略的管理，將各種異構(gòu)的安全 設(shè)備 、網(wǎng)絡(luò)設(shè)備、用戶終端和管理員有機(jī)的連接起來(lái)，構(gòu)成了一個(gè)智能的、聯(lián)動(dòng)的閉環(huán)響應(yīng)體系，可在保護(hù)現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施投資的基礎(chǔ)上 有效應(yīng)對(duì)新的安全威脅、大幅提升對(duì) XX 單位 業(yè)務(wù)的安全保障。 在此背景下， H3C 提出用 SecCenter（安全管理 中心）和 iMC（智能管理中心）組合，來(lái)滿足 XX 單位 系統(tǒng)全局安全管理的需求， 將安全體系中各層次的安全產(chǎn)品、網(wǎng)絡(luò)設(shè)備、用戶終端等納入一個(gè)緊密的 “全局安全 管理平臺(tái) ” 中，通過(guò)安全策略的集中部署、安全事件的深度感知與關(guān)聯(lián)分析以及安全部件的協(xié)同響應(yīng)，在現(xiàn)有安全設(shè)施的基礎(chǔ)上構(gòu)建一個(gè) 智能 安全防御體系，大幅度提高 XX 單位系統(tǒng) 的整體安全防御能力。 尤其 重要的一點(diǎn) 是 ： 在訪問(wèn)請(qǐng)求 急劇增長(zhǎng)的時(shí)候 ，服務(wù)器仍 要 保證快速、 穩(wěn)定 的傳送應(yīng)用到客戶端 。大部分的入侵防御系統(tǒng)都是針對(duì)已知的攻擊進(jìn)行防御，然而 H3C IPS 運(yùn)用漏洞基礎(chǔ)的過(guò)濾機(jī)制，可以防范所 有已知與未知形式的攻擊。 業(yè)界很多防火墻一般都提供受信安全區(qū)域（ trust）、非受信安全區(qū)域（ untrust）、非軍事化區(qū)域（ DMZ）三個(gè)獨(dú)立的安全區(qū)域，這樣的保護(hù)模型可以適應(yīng)大部分的組網(wǎng)要求，但是在一些安全策略要求較高的場(chǎng)合，這樣的保護(hù)模型還是不能滿足要求。 例如 EAD 可 充分利用微軟成熟的 桌面 管理工具，由 SMS 實(shí)現(xiàn) 各種 Windows 環(huán)境下用戶 的桌面管理需求：資產(chǎn)管理、補(bǔ)丁管理、軟件分發(fā)和安裝等。 . 內(nèi)網(wǎng)桌面終端 安全 管理系統(tǒng) 部署 在 XX 單位 的局域網(wǎng)接入上，需要采用嚴(yán)格的用戶認(rèn)證和授權(quán)控制策略，避免網(wǎng)絡(luò)的非法接入和越級(jí)訪問(wèn)，保證核心數(shù)據(jù)和業(yè)務(wù)的安全性和 高度機(jī)密。 ? 隱藏攻擊源 設(shè)備防止 IP偽裝的關(guān)鍵在于如何判定設(shè)備接收到的報(bào)文的源 IP是經(jīng)過(guò)偽裝的。 COMWARE 的這一特性可使網(wǎng)絡(luò)中各節(jié)點(diǎn)設(shè)備得到同一的安全特性，徹底避免了由于部件產(chǎn)品安全特性不一致、不統(tǒng)一造成的安全“短木板效應(yīng)”。按照功能分層打破了將所有功能都駐留在單一服務(wù)器時(shí)帶來(lái)的安全隱患，增強(qiáng)了擴(kuò)展性和高可用性。 ? 應(yīng)用和數(shù)據(jù)安全性： o 這一層是指業(yè)務(wù)應(yīng)用的安全性，業(yè)務(wù)應(yīng)用被內(nèi)部和外部終端用戶實(shí)際訪問(wèn)，是處理業(yè)務(wù)事務(wù)的資產(chǎn)，并提供電子商務(wù)。該區(qū)域路由器應(yīng)具備以下基本特性： ? 無(wú)阻塞的報(bào)文轉(zhuǎn)發(fā)和處理能力，避免網(wǎng)絡(luò)性能瓶頸； ? 豐富的接口類型和接口匯聚能力，如 CPOS/SDH、 MSTP、 E Ether、DDN、 PPPMP 等 。 方案 1：同樣設(shè)置同城災(zāi)備中心和異地備份 中心 方案 2：異地容災(zāi)中心共用交通部 XX 單位 災(zāi)備中心。 . XX 單位 數(shù)據(jù)中心 整體 架構(gòu) 建議 XX 單位 數(shù)據(jù)中心采用模塊化設(shè)計(jì)，模塊化包括：核心交換區(qū) 、各業(yè)務(wù)功能區(qū) 、系統(tǒng)管理區(qū)、外聯(lián)區(qū)，各功能區(qū)設(shè)置不同業(yè)務(wù)局服務(wù)器軟硬件，在數(shù)據(jù)中心集中設(shè)置 IT 綜合管理區(qū)和外聯(lián)區(qū)。 . 統(tǒng)一交換架構(gòu) 技術(shù)路線 統(tǒng)一建設(shè)的數(shù)據(jù)中心，應(yīng)用系統(tǒng)繁多，服務(wù)器規(guī)模較大，數(shù)據(jù)流量復(fù)雜，從性能、可靠性、可管理成本方面對(duì)數(shù)據(jù)中心網(wǎng)絡(luò)、存儲(chǔ)、計(jì)算系統(tǒng)提出新的要求。 . 兩級(jí)數(shù)據(jù)中心，兩地三中心建設(shè)模式 兩級(jí)數(shù)據(jù)中心包括：部 XX 單位 數(shù)據(jù)中心和各 XX 單位 數(shù)據(jù)中心，兩級(jí)中心之間不是孤立存在，而是相互關(guān)聯(lián)，互為補(bǔ)充 ，如：部 XX 單位 設(shè)置面向全國(guó)的船員管理服務(wù)器， XX 單位 設(shè)置面向本 XX 單位 的船舶、 VTS、船報(bào)等，但部 XX 單位也同樣設(shè)置船舶等相應(yīng)服務(wù)器，同各 XX 單位 之間存在緊密數(shù)據(jù)互通 。 IT 基礎(chǔ)承載網(wǎng)絡(luò) 數(shù)據(jù)中心和廣域網(wǎng)建設(shè)，網(wǎng)絡(luò)從性能、帶寬、可靠性方面統(tǒng)一承載數(shù)據(jù)、語(yǔ)音、視頻業(yè)務(wù)。 維護(hù)水上交通秩序 ，負(fù)責(zé)船舶流量管理 VTS。 XX 單位 采用垂直管理體制，交通部 XX 單位 下屬 XX 個(gè) XX 單位。 數(shù)據(jù)中心建設(shè)包括交通部 XX 單位 數(shù)據(jù)中心建設(shè)及各 XX 單位 數(shù)據(jù)中心建設(shè)，這里講的數(shù)據(jù)中心實(shí)現(xiàn)的是信息化系統(tǒng)計(jì)算資源和應(yīng)用系統(tǒng)集中的中心、各應(yīng)用系統(tǒng)數(shù)據(jù)集中存儲(chǔ)中心、以及承載計(jì)算資源和應(yīng)用系統(tǒng)網(wǎng)絡(luò)中心。 ? 開(kāi)放性： 數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)要全面遵循業(yè)界標(biāo)準(zhǔn)，所推薦采用的設(shè)備、技術(shù)在互通性和互操作性上，可以支持?jǐn)?shù)據(jù)中心網(wǎng)絡(luò)系統(tǒng)的快速布署。而每個(gè)數(shù)據(jù)中心核心交換機(jī)緩存大小均要求在萬(wàn)兆全線速條件下達(dá)到 200 毫秒的突發(fā)流量緩存能力，因此，在突發(fā)引起瞬時(shí)擁塞時(shí)， N 個(gè)端口向一個(gè)端口轉(zhuǎn)發(fā)的緩存能力是 N*200 毫秒，與傳統(tǒng)出端口緩 存固定能力相比有本質(zhì)的提升。 廣域網(wǎng)區(qū)向上連接部 XX 單位 ，向下連接分支機(jī)構(gòu)。 外聯(lián)區(qū)接入交換機(jī)，為區(qū)域內(nèi)服務(wù)器群提供接入；服務(wù)器接入采用二層。 數(shù)據(jù)中心安全性的三個(gè)主要的層次是： ? IT 基礎(chǔ)設(shè)施和物理安全性： o 這一層泛指整個(gè) IT 基礎(chǔ)設(shè)施，企業(yè)需要 IT 基礎(chǔ)設(shè)施來(lái)運(yùn)行有效 的業(yè)務(wù)操作， IT 基礎(chǔ)設(shè)施的彈性將決定業(yè)務(wù)操作的總體效率和可用性。 ? 分區(qū)規(guī)劃，分層部署 在網(wǎng)絡(luò)中存在不同價(jià)值和易受攻擊程度不同的設(shè)備，按照這些設(shè)備的情況制定不同的安全策略和信任模型，將網(wǎng)絡(luò)劃分為不同區(qū)域。 COMWARE是由 H3C推出的支持多種網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)操作系統(tǒng)，它以強(qiáng)大的 IP 轉(zhuǎn)發(fā)引擎為核心，通過(guò)完善的體系結(jié)構(gòu)設(shè)計(jì)，把實(shí)時(shí)操作系統(tǒng)和網(wǎng)絡(luò)管理、網(wǎng)絡(luò)應(yīng)用、網(wǎng)絡(luò)安全等技術(shù)完美 的結(jié)合在一起。比如 smurf 攻擊。為了防止這種攻擊最有效的方法就是使用局域網(wǎng)常用路由協(xié)議時(shí)，必須啟用路由協(xié)議的認(rèn)證。當(dāng)用戶通過(guò)身份認(rèn)證但安全認(rèn)證失敗時(shí)，將被隔離到隔離區(qū)，此時(shí)用戶能且僅能訪問(wèn)隔離區(qū)中的服務(wù)器，通過(guò)第三方服務(wù)器進(jìn)行自身安全修復(fù)，直到滿足安全策略要求。 狀態(tài)防火墻具有更高的智能，提供更高的安全性。利用深層檢測(cè)應(yīng)用層數(shù)據(jù)包的技術(shù)，H3C IPS 可以分辨出合法與有害的封包內(nèi)容。作為 信息化 的基礎(chǔ)核心，數(shù)據(jù)中心將匯集高性能計(jì)算、數(shù)據(jù)通訊、語(yǔ)音通訊等功能于一體，成為 支撐 企業(yè)未來(lái) 業(yè)務(wù)發(fā)展 的平臺(tái)。 ? 各種安全設(shè)備是孤立的，無(wú)法相互關(guān)聯(lián)，信息共享。 H3C全局安全管理平臺(tái) 在全面了解網(wǎng)絡(luò)資源部署的條件下，可以根據(jù)攻擊源的不同，智能選擇控制點(diǎn)以更有效的防止攻擊，比如，對(duì)于外部攻擊選擇在防火墻 的 ACL阻斷、對(duì)內(nèi)部攻擊選擇用戶接入交換機(jī) 的 端口關(guān)閉、對(duì) 于內(nèi)部蠕蟲(chóng)爆發(fā)選擇隔離攻擊源。 XX 單位 存儲(chǔ)面向該 XX 單位 下屬機(jī)構(gòu)數(shù)據(jù)： 面向個(gè)應(yīng)用系統(tǒng)共享 SAN 存儲(chǔ)池建設(shè)， 實(shí)現(xiàn)本地?cái)?shù)據(jù)可靠存儲(chǔ)，同城、異地災(zāi)備中心建 設(shè)。 基于 SOA 的開(kāi)放架構(gòu) ： 基于 SOA 開(kāi)放的技術(shù)架構(gòu)，是實(shí)現(xiàn) H3C iMC 管理理念的技術(shù)保證。 MPLS VPN 管理 實(shí)現(xiàn)網(wǎng)絡(luò)資源與 MPLS VPN 業(yè)務(wù)的統(tǒng)一管理，除基礎(chǔ)的網(wǎng)絡(luò)設(shè)備管理外，還包括 MPLS VPN 業(yè)務(wù)部署、業(yè)務(wù)監(jiān)控、業(yè)務(wù)審計(jì)等內(nèi)容，為客戶提供了端到端的全流程業(yè)務(wù)管理功能。 網(wǎng)絡(luò)管理：數(shù)據(jù)中心、局域網(wǎng)、廣域網(wǎng)管理，集中監(jiān)控、配置、升級(jí)； 綜合安全管理：安全基礎(chǔ)設(shè)施管理、安全事件管理、安全認(rèn)證審計(jì)管理、人員終端安全管理； 防病毒管理：內(nèi)部辦公用戶終端防病毒管理； 綜合 IT 基礎(chǔ)設(shè)施管理：能夠?qū)Ψ?wù)器軟硬件、數(shù)據(jù)庫(kù)進(jìn)行管理監(jiān)測(cè)，對(duì)客戶端軟件進(jìn)行安裝、升級(jí)管理。 ? 管理覆蓋全面 網(wǎng)上設(shè)備種類多、型號(hào)復(fù)雜是安全管理面臨的一大難題。其基本功能包括： 1. 安全策略的集中部署 網(wǎng)絡(luò)中的安全部件涉及身份安全、終端安全、設(shè)備安全、連接安全、網(wǎng)絡(luò)安全等各個(gè)層面，對(duì)應(yīng)的安全防護(hù)技術(shù)包括 AAA、防病毒、漏洞檢測(cè)、防火墻、 VPN、IPS 等不同層次的防御部件。 . 統(tǒng)一安全管理 . 全局安全管理解決方案 H3C 參與了大量網(wǎng)絡(luò)安全建設(shè)實(shí)踐后認(rèn)為，除了在信息傳輸流程中實(shí)施安全解決方案之外，還需要進(jìn)行全局安全管理，這種管理涉及到網(wǎng)絡(luò)上的設(shè)備、使用者以及業(yè)務(wù)，只有對(duì)這 3 者實(shí)現(xiàn)閉環(huán)管理，才能對(duì)網(wǎng)絡(luò)安全狀況了如指掌。FIRST 引擎集成了多項(xiàng)檢測(cè)技術(shù)，實(shí)現(xiàn)了基于精確狀態(tài)的全面檢測(cè)，全面提高了入侵檢測(cè)的精確度；同時(shí)， FIRST 引擎采用了并行檢測(cè)技術(shù)，并且可軟、硬件靈活適配，硬件可采用 ASIC、 FPGA、 NP 等技術(shù)，大大提高了入侵檢測(cè)的性能。 SecPath 防火墻還提供自定義安全區(qū)域，可以最大定義 16 個(gè)安全區(qū)域，每個(gè)安全區(qū)域都可以加入獨(dú)立的接口。 ? 擴(kuò)展開(kāi)放的解決方案 EAD 解決方案為客戶提供了一個(gè)擴(kuò)展、開(kāi) 放的結(jié)構(gòu)框架，最大限度的保護(hù)了用戶已有的投資。這就需要一套完整的 端點(diǎn)準(zhǔn)入防御（ EAD， Endpoint Admission Defense）解決方案 。 （ 1）、 利用 IP 和 MAC 的綁定關(guān)系網(wǎng)關(guān)防御 ： 利用 DHCP relay 特性，網(wǎng)關(guān)可以形成本網(wǎng)段下主機(jī)的 IP、 MAC 映射表。當(dāng)相同 VLAN 中的服務(wù)器之間完全沒(méi)有互訪要求時(shí)，可以設(shè)置各自連接的端口為隔離端口，如圖。 3) 安全事件發(fā)生以后，無(wú)法及時(shí)診斷網(wǎng)絡(luò)故障的原因，恢復(fù)困難。企業(yè)策略和標(biāo)準(zhǔn)的成功與否取決于如何在這一層上實(shí)現(xiàn)和實(shí)施級(jí)別，這使組織能夠運(yùn)行業(yè)務(wù)，而不會(huì)有意或無(wú)意的違背企業(yè)策略，并防止業(yè)務(wù)遇到合法的或其他類型的安全問(wèn)題。 同樣廣域網(wǎng)要求很好的 QoS 特性，對(duì)于多媒體業(yè)務(wù)保證清晰、流暢，保證關(guān)鍵數(shù)據(jù)業(yè)務(wù) 高可靠、低延時(shí)?？紤]到安全性及服務(wù)器高可用性，各匯聚交換機(jī)設(shè)置防火墻、 IPS、負(fù)載均衡業(yè)務(wù) 模塊。 數(shù)據(jù)中心核心交換區(qū)將各個(gè)功能區(qū)連通，實(shí)現(xiàn)各功能區(qū)之間，前端 PC 同各服務(wù)器區(qū)之間實(shí)時(shí)、穩(wěn)定、高效數(shù)據(jù)交換。 基于以上需求，考慮到業(yè)界數(shù)據(jù)中心技術(shù)發(fā)展趨勢(shì)，建議該數(shù)據(jù)中心采用新的統(tǒng)一以太網(wǎng)交換架構(gòu)建設(shè)，通過(guò)萬(wàn)兆以太網(wǎng)組建數(shù) 據(jù)中心前端通信 IP 網(wǎng)絡(luò)、前端計(jì)算通信平臺(tái)、后端存儲(chǔ)交換平臺(tái)： 隨著以太網(wǎng)技術(shù)的普及，新的技術(shù)標(biāo)準(zhǔn)不斷推動(dòng)基礎(chǔ)平臺(tái)架構(gòu)的變化與融合，萬(wàn)兆交 換系統(tǒng)的時(shí)延已經(jīng)降到微妙級(jí)別，而且當(dāng)前已經(jīng)有技術(shù)使得以太網(wǎng)芯片可 達(dá)到 200～ 300 納秒級(jí)別，逼近 Infiniband 的低時(shí)延水平。 異地災(zāi)備中心作用是在同城主備數(shù)據(jù)中心都出現(xiàn)故障情況下，能夠保持?jǐn)?shù)據(jù)的完整備份。 維護(hù)管理系統(tǒng)建設(shè) 信息化 基礎(chǔ)設(shè)施眾多，方便管理通信、計(jì)算、存儲(chǔ)設(shè)施。調(diào)查處理水上交通事故 ，組織、協(xié)調(diào)和指導(dǎo)水上搜尋救助，負(fù)責(zé)海上 搜救中心的日常工作。 （ 4）、綜合管理 組織實(shí)施國(guó)際條約；履行“船旗國(guó)”及“港口國(guó)”監(jiān)督管理義務(wù)，依法維護(hù)國(guó)家主權(quán)；負(fù)責(zé)有關(guān)業(yè)務(wù)國(guó)際組織事務(wù)和有關(guān)國(guó)際合作、交流事宜。 XX 單位 信息化資源整合解決方案 資源整合方案遵循原則：滿足當(dāng)前及今后若干年業(yè)務(wù)發(fā)展需求，遵循可靠、標(biāo)準(zhǔn)化、安全、可管理、高性價(jià)比原則。數(shù)據(jù)中心應(yīng)保證網(wǎng)絡(luò)基礎(chǔ)設(shè)施提供每天 24小時(shí)，每周 7天，每年 52周的可用性。因此，對(duì)于網(wǎng)絡(luò)故障快速收斂、故障自愈能力要求極高，這里，需要核 心交換采用數(shù)據(jù)中心級(jí)不丟包以太網(wǎng)，并且交換機(jī)支持 GR/BFD 等高可靠技術(shù)，實(shí)現(xiàn)毫秒級(jí)切換。 為了充分保證部 XX 單位 服務(wù)器軟硬件、數(shù)據(jù)高可用性，部 XX 單位 設(shè)置同城災(zāi)備中心和異地災(zāi)備中心，兩個(gè)數(shù)據(jù)中心同主中心之間保持?jǐn)?shù)據(jù)級(jí)熱備 容災(zāi)，應(yīng)用系統(tǒng)軟硬件實(shí)現(xiàn)冷備。本區(qū)域架構(gòu)設(shè)計(jì)如下： 出口路由器：與通過(guò)專線與不同的合作伙伴相連。以下討論主要討論數(shù)據(jù)中心會(huì)面臨的安全威脅以及對(duì)應(yīng)的保護(hù)措施，最終目標(biāo)都是保護(hù)數(shù)據(jù)中心所承載的業(yè)務(wù)。交換機(jī)提供的安全特性構(gòu)成安全數(shù)據(jù)中心的網(wǎng)絡(luò)基礎(chǔ)，提供數(shù)據(jù)鏈路層的攻擊防御。 . 交換機(jī)安全部署 數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ) 架構(gòu) 的安全特性 是數(shù)據(jù)中心中各部件產(chǎn)品基本安全特性的通稱。 Device Tracking：該特性是指當(dāng)端口有特定的數(shù)據(jù)包（由非法入侵，用戶不正常上下線等原因引起）傳送時(shí)，設(shè)備將會(huì)發(fā)送 Trap 信息，便于網(wǎng)絡(luò)管理員對(duì)這些特殊的行為進(jìn)行監(jiān)控。其實(shí)現(xiàn)機(jī)制如下：設(shè)備接收到報(bào)文后， UPRF 會(huì)比較該報(bào)文的源地址在路由表中對(duì)應(yīng)的出接口是否和接收該報(bào)文的接口 一致。 ? H3C iMC CAMS安全策略服務(wù)器 它要求和安全聯(lián)動(dòng)設(shè)備路由可達(dá)。正如其名稱所示， SPI防火墻的主要優(yōu)點(diǎn)就是更智能的基于狀態(tài)的包檢查。這樣一來(lái)，有問(wèn)題的數(shù)據(jù)包，以及所有來(lái)自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包，都能在 IPS 設(shè)備中被清除掉。 華三公司的攻擊 特征庫(kù)具有如下特點(diǎn)： 覆蓋全面，包含了主流操作系統(tǒng)、主流網(wǎng)絡(luò)設(shè)備、主流數(shù)據(jù)庫(kù)系統(tǒng)、主流應(yīng)用軟件系統(tǒng)的全部漏洞特征，同時(shí)也包含了黑客、蠕蟲(chóng)、病毒、木馬、 DoS/DDoS、掃描、間諜軟件、網(wǎng)絡(luò)釣魚(yú)、 P2P、IM、網(wǎng)游等網(wǎng)絡(luò)攻擊或網(wǎng)絡(luò)濫用特征； 更新及時(shí)，常規(guī)情況下每周進(jìn)行攻擊特征庫(kù)更新，緊急情