【文章內(nèi)容簡(jiǎn)介】 部署方式為交換模式，對(duì)校園網(wǎng)進(jìn)行4—7層保護(hù)，防止病毒等應(yīng)用層攻擊。為防止校園內(nèi)部用戶非法信息惡意傳播，避免涉密信息的泄露；并可實(shí)時(shí)監(jiān)控、管理網(wǎng)絡(luò)資源使用情況，提高整體工作效率，快速定位可疑用戶。我們?cè)诎踩\(yùn)維平臺(tái)中增添上網(wǎng)行為管理設(shè)備，主要實(shí)現(xiàn)以下功能：上網(wǎng)人員管理:上網(wǎng)身份管理 上網(wǎng)終端管理 移動(dòng)終端管理 上網(wǎng)地點(diǎn)管理上網(wǎng)瀏覽管理:搜索引擎管理 網(wǎng)址URL管理 網(wǎng)頁正文管理 文件下載管理.上網(wǎng)外發(fā)管理:普通郵件管理 WEB郵件管理 網(wǎng)頁發(fā)帖管理 即時(shí)通訊管理 其他外發(fā)管理.上網(wǎng)應(yīng)用管理:上網(wǎng)應(yīng)用阻斷 上網(wǎng)應(yīng)用累計(jì)時(shí)長(zhǎng)限額 上網(wǎng)應(yīng)用累計(jì)流量限額.上網(wǎng)流量管理:上網(wǎng)帶寬控制 上網(wǎng)帶寬保障 上網(wǎng)帶寬借用 上網(wǎng)帶寬平均上網(wǎng)行為分析:上網(wǎng)行為實(shí)時(shí)監(jiān)控 上網(wǎng)行為日志查詢 上網(wǎng)行為統(tǒng)計(jì)分析由以上各安全體系構(gòu)成了廬江縣校園網(wǎng)覆蓋OSI 27層的縱深防御體系。對(duì)于學(xué)校網(wǎng)絡(luò)，一個(gè)安全系統(tǒng)的首要任務(wù)就是阻止病毒通過電子郵件與附件入侵。當(dāng)今的威脅已經(jīng)不單單是一個(gè)病毒，經(jīng)常伴有惡意程序、黑客攻擊以及垃圾郵件等多種威脅。網(wǎng)關(guān)作為校園網(wǎng)絡(luò)連接到另一個(gè)網(wǎng)絡(luò)的關(guān)口，就象是一扇大門，一旦大門敞開，學(xué)校的整個(gè)網(wǎng)絡(luò)信息就會(huì)暴露無遺。從安全角度來看，對(duì)網(wǎng)關(guān)的防護(hù)得當(dāng)，就能起到“一夫當(dāng)關(guān)，萬夫莫開”的作用，反之，病毒和惡意代碼就會(huì)從網(wǎng)關(guān)進(jìn)入校園內(nèi)部網(wǎng)，為校園帶來巨大損失。防病毒網(wǎng)關(guān)是一種網(wǎng)絡(luò)設(shè)備，用以保護(hù)網(wǎng)絡(luò)內(nèi)（一般是局域網(wǎng)）進(jìn)出數(shù)據(jù)的安全。主要體現(xiàn)在病毒殺除、關(guān)鍵字過濾（如色情、反動(dòng)）、垃圾郵件阻止的功能，同時(shí)部分設(shè)備也具有一定防火墻（劃分Vlan）的功能，有效的保護(hù)網(wǎng)絡(luò)內(nèi)進(jìn)出數(shù)據(jù)的安全性，使網(wǎng)絡(luò)中的數(shù)據(jù)更加安全。運(yùn)維區(qū)分三個(gè)方面對(duì)服務(wù)器虛擬化平臺(tái)進(jìn)行運(yùn)維：l 建設(shè)全網(wǎng)管理平臺(tái)，實(shí)現(xiàn)全網(wǎng)的分級(jí)分權(quán)管理。通過網(wǎng)管系統(tǒng)對(duì)全網(wǎng)的拓?fù)浜驮O(shè)備進(jìn)行管理，具有設(shè)備仿真面板所見即所得和對(duì)第三方主流設(shè)備管理的能力，可以管理管理大規(guī)模的無線管理網(wǎng)絡(luò)，對(duì)設(shè)備配置變更、收集軟件版本為多臺(tái)設(shè)備統(tǒng)一批量配置和升級(jí)，大大節(jié)省管理員的工作量。l 部署應(yīng)用負(fù)載均衡有效地解決數(shù)據(jù)流量過大、網(wǎng)絡(luò)負(fù)荷過重的問題，并且不需花費(fèi)昂貴開支購(gòu)置性能卓越的服務(wù)器，充分利用現(xiàn)有設(shè)備，避免服務(wù)器單點(diǎn)故障造成數(shù)據(jù)流量的損失。其有靈活多樣的均衡策略把數(shù)據(jù)流量合理地分配給服務(wù)器群內(nèi)的服務(wù)器共同負(fù)擔(dān)。即使是再給現(xiàn)有服務(wù)器擴(kuò)充升級(jí)，也只是簡(jiǎn)單地增加一個(gè)新的服務(wù)器到服務(wù)群中，而不需改變現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)、停止現(xiàn)有的服務(wù)。l 增加一臺(tái)無線控制器，對(duì)網(wǎng)絡(luò)中的無線AP進(jìn)行統(tǒng)一管理，實(shí)現(xiàn)有線無線一體化，簡(jiǎn)化人員維護(hù)難度。服務(wù)器區(qū)采用的是高性能刀片服務(wù)器，學(xué)校共有1200個(gè)云桌面的需求，一個(gè)256內(nèi)存的兩路刀片能支持60個(gè)桌面，共需要20個(gè)刀片，為保證性能每個(gè)刀片配置固態(tài)盤，做二級(jí)緩存。另現(xiàn)有的業(yè)務(wù)要運(yùn)行在虛擬化環(huán)境中，使用 6個(gè)刀片做虛擬化服務(wù)器的方式來解決計(jì)算資源的分配問題，由于數(shù)據(jù)庫的低延時(shí)和高性能的要求，所以數(shù)據(jù)庫服務(wù)器用單獨(dú)的物理機(jī)來承載，在兩塊四路刀片上部署服務(wù)器。通過虛擬化整合物理服務(wù)器，將業(yè)務(wù)遷移到云平臺(tái)上，可通過資源共享實(shí)現(xiàn)最大的利用率，節(jié)約硬件投資和維護(hù)成本。傳統(tǒng)物理服務(wù)器系統(tǒng)建設(shè)方式粗放、建設(shè)模式單一顯然不能滿足數(shù)據(jù)中心建設(shè)的需求。虛擬化技術(shù)很好地解決了傳統(tǒng)服務(wù)器系統(tǒng)建設(shè)的問題，通過提高虛擬化服務(wù)器利用率大幅度消減物理服務(wù)器購(gòu)置需求、數(shù)量和運(yùn)營(yíng)成本；通過利用服務(wù)器虛擬化中CPU、內(nèi)存、I0資源的動(dòng)態(tài)調(diào)整能力實(shí)現(xiàn)對(duì)業(yè)務(wù)應(yīng)用資源需求的動(dòng)態(tài)響應(yīng)，提升業(yè)務(wù)應(yīng)用的服務(wù)質(zhì)量；通過在線虛擬機(jī)遷移實(shí)現(xiàn)更高的可用性和可靠性以及各種基于資源優(yōu)化或節(jié)能減排策略的跨物理服務(wù)器的調(diào)度等等。因此，服務(wù)器虛擬化技術(shù)是云計(jì)算中心應(yīng)用和平臺(tái)建設(shè)的核心解決方案。服務(wù)器虛擬化技術(shù)特點(diǎn)：l 分區(qū)：在一個(gè)物理系統(tǒng)中，可以支持多個(gè)應(yīng)用程序和操作系統(tǒng)?？稍跀U(kuò)展或擴(kuò)張。體系結(jié)構(gòu)中將服務(wù)器整合到虛擬機(jī)中。計(jì)算資源被視為以可控方式分配給虛擬機(jī)的統(tǒng)一池。l 隔離：虛擬機(jī)與主機(jī)和其他虛擬機(jī)完全隔離。如果一個(gè)虛擬機(jī)崩潰，所有其他虛擬機(jī)不會(huì)受到影響。虛擬機(jī)之間不會(huì)泄露數(shù)據(jù)，而且應(yīng)用程序只能通過配置的網(wǎng)絡(luò)連接進(jìn)行通信。l 封裝：完整的虛擬機(jī)環(huán)境保存為文件，便于進(jìn)行備份、移動(dòng)和復(fù)制，為應(yīng)用程序提供標(biāo)準(zhǔn)化的虛擬硬件，可保證兼容性。綜上分析，建議本期計(jì)算資源池采用服務(wù)器虛擬化架構(gòu)。本次數(shù)據(jù)中心建設(shè)采用刀片—存儲(chǔ)架構(gòu)，采用刀片服務(wù)器較傳統(tǒng)機(jī)架服務(wù)器的優(yōu)點(diǎn)如下：l 高密度計(jì)算：Web等分散式的應(yīng)用系統(tǒng)更接近分布式計(jì)算——同一時(shí)間內(nèi)大量進(jìn)程并行，而單一進(jìn)程的計(jì)算處理要求又非常低，正符合刀片式服務(wù)器強(qiáng)調(diào)高密度分散計(jì)算的架構(gòu)。對(duì)于刀片式服務(wù)器而言，增大的計(jì)算密度使數(shù)據(jù)中心能用更少的空間服務(wù)于更多的客戶，也能讓網(wǎng)站降低托管費(fèi)用。l 低功耗：在設(shè)計(jì)上，刀片服務(wù)器就是通過集中共享機(jī)箱中的電源、網(wǎng)絡(luò)以及散熱等設(shè)備來實(shí)現(xiàn)的。如此，不僅減少了冗余部件的使用數(shù)量，也通過“池化”的電源供應(yīng)等，享有更好的供電效率。l 總體成本低：在網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，數(shù)據(jù)中心設(shè)備需要擴(kuò)充的時(shí)候，刀片服務(wù)器的優(yōu)越性就體現(xiàn)出來了。刀片服務(wù)器的擴(kuò)容僅需購(gòu)買若干刀片，插入刀片服務(wù)器機(jī)箱中，再與背板交換模塊相連即可，擴(kuò)展步驟較機(jī)架服務(wù)器簡(jiǎn)單易操作。同時(shí)，刀片服務(wù)器的擴(kuò)充不需要買昂貴的服務(wù)器機(jī)柜，從長(zhǎng)遠(yuǎn)看來交機(jī)架服務(wù)器更經(jīng)濟(jì)。l 機(jī)房布線和管理復(fù)雜度低：刀片服務(wù)器在機(jī)房布線只要統(tǒng)一布設(shè)網(wǎng)絡(luò)線、電源線。刀片服務(wù)器之間不需要人為布線。而機(jī)架式服務(wù)器則要分別對(duì)每臺(tái)服務(wù)器的網(wǎng)絡(luò)線、電源線進(jìn)行配線，如果一個(gè)42U的機(jī)柜上安裝多臺(tái)1U的服務(wù)器時(shí)，機(jī)柜后面的布線就非常多，看起來比較凌亂。結(jié)合學(xué)校的業(yè)務(wù)需求，存儲(chǔ)系統(tǒng)在建設(shè)過程中應(yīng)當(dāng)遵循如下原則進(jìn)行：安全可靠性原則：l 系統(tǒng)器件選擇要考慮能支持724小時(shí)連續(xù)長(zhǎng)時(shí)間大壓力下工作；l 系統(tǒng)具有充分的冗余能力、容錯(cuò)能力；l 系統(tǒng)具有專業(yè)的技術(shù)保障體系以及數(shù)據(jù)可靠性保證機(jī)制；l 對(duì)工作環(huán)境要求較低，環(huán)境適應(yīng)能力強(qiáng)；l 確保系統(tǒng)具有高度的安全性，提供安全的登錄和訪問措施，防止系統(tǒng)被攻擊；l 異常掉電后不丟失數(shù)據(jù)，供電恢復(fù)后自動(dòng)重新啟動(dòng)并自動(dòng)恢復(fù)正常連接；開放性原則：l 系統(tǒng)必須支持國(guó)際上通用的標(biāo)準(zhǔn)網(wǎng)絡(luò)存儲(chǔ)協(xié)議、國(guó)際標(biāo)準(zhǔn)的應(yīng)用開放協(xié)議；l 與主流服務(wù)器之間保持良好的兼容性；l 兼容各主流操作系統(tǒng)、卷管理軟件及應(yīng)用程序；l 可以與第三方管理平臺(tái)集成，提供給客戶定制化的管理維護(hù)手段；l 滿足今后的發(fā)展，留有充分的擴(kuò)充余地；易維護(hù)性原則：l 系統(tǒng)支持簡(jiǎn)體中文，通俗易懂，操作方便、簡(jiǎn)單；l 系統(tǒng)具有充分的權(quán)限管理，日志管理、故障管理，并能夠?qū)崿F(xiàn)故障自動(dòng)報(bào)警；l 系統(tǒng)設(shè)備安裝使用簡(jiǎn)單，無需專業(yè)人員維護(hù)；l 系統(tǒng)容量可按需要在線擴(kuò)展，無需停止業(yè)務(wù)；l 系統(tǒng)功能擴(kuò)充需要升級(jí)時(shí)，支持不中斷業(yè)務(wù)升級(jí)；l 支持WEB管理方式或集中管理方式；擴(kuò)展性原則：l 系統(tǒng)易于擴(kuò)充；l 系統(tǒng)選擇標(biāo)準(zhǔn)化的部件，利于靈活替換和容量擴(kuò)展；l 系統(tǒng)設(shè)計(jì)遵守各種標(biāo)準(zhǔn)規(guī)定、規(guī)范；經(jīng)濟(jì)性原則：綜合考慮集中存儲(chǔ)系統(tǒng)的性能和價(jià)格，最經(jīng)濟(jì)最有效地進(jìn)行建設(shè)，性能價(jià)格比在同類系統(tǒng)和條件下達(dá)到最優(yōu)。此次采用的存儲(chǔ)設(shè)計(jì)配置如下：l 所有業(yè)務(wù)集中存儲(chǔ)l 同時(shí)支持FC和IP組網(wǎng)l 支持NAS和SAN融合，不需另配文件引擎l SAS，SATA硬盤混插l 應(yīng)用了先進(jìn)的硬盤休眠技術(shù)l 支持存儲(chǔ)虛擬化l 支持多節(jié)點(diǎn)集群l 支持基于存儲(chǔ)網(wǎng)關(guān)的鏡像、快照l 支持基于存儲(chǔ)網(wǎng)關(guān)的數(shù)據(jù)復(fù)制隨著學(xué)校業(yè)務(wù)系統(tǒng)的增長(zhǎng)，從硬件的升級(jí)換代速度來看，傳統(tǒng)的中低端存儲(chǔ)不能滿足學(xué)校云計(jì)算平臺(tái)的需求了，因此本次方案采用高端存儲(chǔ)（至少每存儲(chǔ)配置雙控，至少96GB緩存，192G后端磁盤通道），實(shí)現(xiàn)硬件層面的存儲(chǔ)虛擬化，徹底滿足異構(gòu)存儲(chǔ)整合、存儲(chǔ)空間統(tǒng)一管理、多級(jí)容災(zāi)系統(tǒng)構(gòu)建等需求，實(shí)現(xiàn)資源整合、統(tǒng)一管理、數(shù)據(jù)遷移和多重?cái)?shù)據(jù)保護(hù)，構(gòu)建安全可靠、管理靈活、高性能、開放的存儲(chǔ)系統(tǒng)。傳統(tǒng)計(jì)算中心網(wǎng)絡(luò)安全包含縱向安全策略和橫向安全策略，無論是哪種策略，傳統(tǒng)計(jì)算中心網(wǎng)絡(luò)安全只關(guān)注業(yè)務(wù)流量的訪問控制，將流量安全控制作為唯一的規(guī)劃考慮因素。而虛擬化計(jì)算中心的網(wǎng)絡(luò)安全模型則需要由二維平面轉(zhuǎn)變?yōu)槿S空間，即增加網(wǎng)絡(luò)安全策略，網(wǎng)絡(luò)安全策略能夠滿足虛擬機(jī)順暢的加入、離開集群，或者是動(dòng)態(tài)遷移到其它物理服務(wù)器，并且實(shí)現(xiàn)海量用戶、多業(yè)務(wù)的隔離。根據(jù)云平臺(tái)的安全策略要求，本期在校園網(wǎng)云計(jì)算中心部署一臺(tái)千兆防火墻做為計(jì)算中心的網(wǎng)關(guān)，虛擬出相應(yīng)數(shù)量的防火墻以實(shí)現(xiàn)虛擬機(jī)隔離、虛擬機(jī)遷移策略隨行。通過對(duì)防火墻進(jìn)行虛擬化，分割成多個(gè)防火墻實(shí)例提供網(wǎng)絡(luò)安全服務(wù)，對(duì)每塊防火墻劃分三個(gè)邏輯實(shí)例，每一對(duì)虛擬防火墻工作在主主模式，防火墻實(shí)例分布在兩臺(tái)上面，從而達(dá)到負(fù)載分擔(dān)和冗余備份的能力。不同業(yè)務(wù)虛擬機(jī)的網(wǎng)關(guān)地址各不相同，同一個(gè)邏輯集群內(nèi)的虛擬機(jī)只能在VLAN 內(nèi)遷移，如社管服務(wù)、數(shù)字城管、協(xié)同辦公三種業(yè)務(wù)分別對(duì)應(yīng)在VLAN VLANVLAN4 內(nèi)，每組業(yè)務(wù)使用獨(dú)立的VLAN、接口、路由表及轉(zhuǎn)發(fā)表，將一臺(tái)物理網(wǎng)絡(luò)設(shè)備邏輯上分割成多臺(tái)虛擬設(shè)備，增強(qiáng)對(duì)計(jì)算資源的安全訪問隔離控制能力。防火墻做服務(wù)器網(wǎng)關(guān)，L2 分區(qū)之間互訪必須經(jīng)由防火墻對(duì)互訪流量做狀態(tài)檢測(cè)，之間完全由防火墻實(shí)現(xiàn)訪問控制，屬于強(qiáng)隔離措施。若存在部分?jǐn)?shù)據(jù)庫相互調(diào)用可設(shè)置允許某一端口IP地址互通。虛擬防火墻是將一臺(tái)物理設(shè)備從邏輯上劃分為多臺(tái)獨(dú)立的虛擬防火墻設(shè)備的功能。每臺(tái)虛擬防火墻都可以擁有自己的管理員、路由表和安全策略。通過虛擬系統(tǒng)技術(shù)，就可以讓部署在云平臺(tái)和計(jì)算中心出口的防火墻具備云計(jì)算網(wǎng)關(guān)的能力，對(duì)用戶流量進(jìn)行隔離的同時(shí)提供強(qiáng)大的安全防護(hù)能力。為了實(shí)現(xiàn)每個(gè)虛擬系統(tǒng)的業(yè)務(wù)都能夠做到正確轉(zhuǎn)發(fā)、獨(dú)立管理、相互隔離，防火墻主要實(shí)現(xiàn)了三個(gè)方面的虛擬化：l 路由虛擬化：每個(gè)虛擬防火墻都擁有各自的路由表及會(huì)話表，相互獨(dú)立隔離。l 安全功能虛擬化：每個(gè)虛擬防火墻都可以配置獨(dú)立的安全策略及其他安全功能，只有屬于該虛擬系統(tǒng)的報(bào)文才會(huì)受到這些配置的影響。l 配置虛擬化：每個(gè)虛擬防火墻都擁有獨(dú)立的虛擬系統(tǒng)管理員和配置界面，每個(gè)虛擬系統(tǒng)管理員只能管理自己所屬的虛擬系統(tǒng)。通過以上三個(gè)方面的虛擬化，使得防火墻的虛擬防火墻功能更加易于使用。虛擬化和云計(jì)算使當(dāng)今的數(shù)據(jù)中心改換了面貌。但隨著學(xué)校紛紛從物理環(huán)境遷移至集物理、虛擬和云于一體的綜合環(huán)境，許多學(xué)校仍沿用之前的多種傳統(tǒng)安全解決方案應(yīng)對(duì)當(dāng)前流行的威脅形勢(shì)。這可能使實(shí)際獲得的性能提升與預(yù)期不符，從而導(dǎo)致操作復(fù)雜性過高并埋下安全隱患，最終的結(jié)果是學(xué)校無法集中全部資源發(fā)展虛擬化和云計(jì)算。趨勢(shì)科技云平臺(tái)深度安全防護(hù)系統(tǒng) Deep Security 提供了一種全方位的服務(wù)器安全平臺(tái)，旨在提升虛擬化和云項(xiàng)目投資收益率的同時(shí)簡(jiǎn)化安全操作。學(xué)校通過緊密集成的模塊輕松擴(kuò)展該平臺(tái)，以覆蓋到虛擬和云服務(wù)器以及虛擬桌面，確保服務(wù)器、應(yīng)用程序和數(shù)據(jù)的安全。學(xué)?？梢匀魏畏绞浇Y(jié)合包括防惡意軟件、IDS/IPS、虛擬補(bǔ)丁、防火墻、完整性監(jiān)控在內(nèi)的安全模塊，定制學(xué)校專署的無代理安全防護(hù)。最終獲得一個(gè)全面、高效、自適應(yīng)的虛擬化安全平臺(tái)，以防止關(guān)鍵業(yè)務(wù)中斷和數(shù)據(jù)泄露，避免造成巨大損失。Deep Security產(chǎn)品由三部分組成，管理控制平臺(tái)（以下簡(jiǎn)稱DSM）；安全虛擬機(jī)（以下簡(jiǎn)稱DSVA）；安全代理程序（以下簡(jiǎn)稱DSA）。趨勢(shì)科技Deep Security安全防護(hù)系統(tǒng)管理控制中心（DSM），是管理員用來配置及管理安全策略的集中式管理組件，所有的DSVA及DSA都會(huì)注冊(cè)到DSM，接受統(tǒng)一的管理。 趨勢(shì)科技Deep Security安全防護(hù)系統(tǒng)安全虛擬機(jī)(DSVA)是針對(duì) 虛擬化環(huán)境構(gòu)建的安全虛擬計(jì)算機(jī)，可提供防惡意軟件、IDS/IPS、防火墻、Web 應(yīng)用程序防護(hù)和應(yīng)用程序控制防護(hù)，數(shù)據(jù)完整性監(jiān)控等安全功能。 趨勢(shì)科技Deep Security安全防護(hù)系統(tǒng)安全代理程序(DSA)是安全客戶端，直接部署在操作系統(tǒng)中，可提供 IDS/IPS、防火墻、Web 應(yīng)用程序防護(hù)、應(yīng)用程序控制、完整性監(jiān)控和日志審查防護(hù)等安全功能。IT 組織目前仍在設(shè)法解決過去十年里 IT 急速發(fā)展所造成的不良后果：基礎(chǔ)架構(gòu)成本高昂、響應(yīng)速度緩慢以及管理不一致等，這些都讓許多 IT 組織飽受其苦。如今，IT 組織若要讓自己的企業(yè)具備可持續(xù)的競(jìng)爭(zhēng)優(yōu)勢(shì)，就需要：l 提高資源的利用率，從而降低基礎(chǔ)架構(gòu)的成本。l 提高對(duì)業(yè)務(wù)需求的響應(yīng)速度，以便更迅速地部署項(xiàng)目。l 提高運(yùn)營(yíng)的一致性和可預(yù)測(cè)性。一直以來，桌面計(jì)算普遍使用的是功能全面的“胖客戶端”PC