【文章內容簡介】 部署方式為交換模式，對校園網進行4—7層保護，防止病毒等應用層攻擊。為防止校園內部用戶非法信息惡意傳播，避免涉密信息的泄露；并可實時監(jiān)控、管理網絡資源使用情況，提高整體工作效率，快速定位可疑用戶。我們在安全運維平臺中增添上網行為管理設備，主要實現(xiàn)以下功能：上網人員管理:上網身份管理 上網終端管理 移動終端管理 上網地點管理上網瀏覽管理:搜索引擎管理 網址URL管理 網頁正文管理 文件下載管理.上網外發(fā)管理:普通郵件管理 WEB郵件管理 網頁發(fā)帖管理 即時通訊管理 其他外發(fā)管理.上網應用管理:上網應用阻斷 上網應用累計時長限額 上網應用累計流量限額.上網流量管理:上網帶寬控制 上網帶寬保障 上網帶寬借用 上網帶寬平均上網行為分析:上網行為實時監(jiān)控 上網行為日志查詢 上網行為統(tǒng)計分析由以上各安全體系構成了廬江縣校園網覆蓋OSI 27層的縱深防御體系。對于學校網絡，一個安全系統(tǒng)的首要任務就是阻止病毒通過電子郵件與附件入侵。當今的威脅已經不單單是一個病毒，經常伴有惡意程序、黑客攻擊以及垃圾郵件等多種威脅。網關作為校園網絡連接到另一個網絡的關口，就象是一扇大門，一旦大門敞開，學校的整個網絡信息就會暴露無遺。從安全角度來看，對網關的防護得當，就能起到“一夫當關，萬夫莫開”的作用，反之，病毒和惡意代碼就會從網關進入校園內部網，為校園帶來巨大損失。防病毒網關是一種網絡設備，用以保護網絡內（一般是局域網）進出數據的安全。主要體現(xiàn)在病毒殺除、關鍵字過濾（如色情、反動）、垃圾郵件阻止的功能，同時部分設備也具有一定防火墻（劃分Vlan）的功能，有效的保護網絡內進出數據的安全性，使網絡中的數據更加安全。運維區(qū)分三個方面對服務器虛擬化平臺進行運維：l 建設全網管理平臺，實現(xiàn)全網的分級分權管理。通過網管系統(tǒng)對全網的拓撲和設備進行管理，具有設備仿真面板所見即所得和對第三方主流設備管理的能力，可以管理管理大規(guī)模的無線管理網絡，對設備配置變更、收集軟件版本為多臺設備統(tǒng)一批量配置和升級，大大節(jié)省管理員的工作量。l 部署應用負載均衡有效地解決數據流量過大、網絡負荷過重的問題，并且不需花費昂貴開支購置性能卓越的服務器，充分利用現(xiàn)有設備，避免服務器單點故障造成數據流量的損失。其有靈活多樣的均衡策略把數據流量合理地分配給服務器群內的服務器共同負擔。即使是再給現(xiàn)有服務器擴充升級，也只是簡單地增加一個新的服務器到服務群中，而不需改變現(xiàn)有網絡結構、停止現(xiàn)有的服務。l 增加一臺無線控制器，對網絡中的無線AP進行統(tǒng)一管理，實現(xiàn)有線無線一體化，簡化人員維護難度。服務器區(qū)采用的是高性能刀片服務器，學校共有1200個云桌面的需求，一個256內存的兩路刀片能支持60個桌面，共需要20個刀片，為保證性能每個刀片配置固態(tài)盤，做二級緩存。另現(xiàn)有的業(yè)務要運行在虛擬化環(huán)境中，使用 6個刀片做虛擬化服務器的方式來解決計算資源的分配問題，由于數據庫的低延時和高性能的要求，所以數據庫服務器用單獨的物理機來承載，在兩塊四路刀片上部署服務器。通過虛擬化整合物理服務器，將業(yè)務遷移到云平臺上，可通過資源共享實現(xiàn)最大的利用率，節(jié)約硬件投資和維護成本。傳統(tǒng)物理服務器系統(tǒng)建設方式粗放、建設模式單一顯然不能滿足數據中心建設的需求。虛擬化技術很好地解決了傳統(tǒng)服務器系統(tǒng)建設的問題，通過提高虛擬化服務器利用率大幅度消減物理服務器購置需求、數量和運營成本；通過利用服務器虛擬化中CPU、內存、I0資源的動態(tài)調整能力實現(xiàn)對業(yè)務應用資源需求的動態(tài)響應，提升業(yè)務應用的服務質量；通過在線虛擬機遷移實現(xiàn)更高的可用性和可靠性以及各種基于資源優(yōu)化或節(jié)能減排策略的跨物理服務器的調度等等。因此，服務器虛擬化技術是云計算中心應用和平臺建設的核心解決方案。服務器虛擬化技術特點：l 分區(qū)：在一個物理系統(tǒng)中，可以支持多個應用程序和操作系統(tǒng)?？稍跀U展或擴張。體系結構中將服務器整合到虛擬機中。計算資源被視為以可控方式分配給虛擬機的統(tǒng)一池。l 隔離：虛擬機與主機和其他虛擬機完全隔離。如果一個虛擬機崩潰，所有其他虛擬機不會受到影響。虛擬機之間不會泄露數據，而且應用程序只能通過配置的網絡連接進行通信。l 封裝：完整的虛擬機環(huán)境保存為文件，便于進行備份、移動和復制，為應用程序提供標準化的虛擬硬件，可保證兼容性。綜上分析，建議本期計算資源池采用服務器虛擬化架構。本次數據中心建設采用刀片—存儲架構，采用刀片服務器較傳統(tǒng)機架服務器的優(yōu)點如下：l 高密度計算：Web等分散式的應用系統(tǒng)更接近分布式計算——同一時間內大量進程并行，而單一進程的計算處理要求又非常低，正符合刀片式服務器強調高密度分散計算的架構。對于刀片式服務器而言，增大的計算密度使數據中心能用更少的空間服務于更多的客戶，也能讓網站降低托管費用。l 低功耗：在設計上，刀片服務器就是通過集中共享機箱中的電源、網絡以及散熱等設備來實現(xiàn)的。如此，不僅減少了冗余部件的使用數量，也通過“池化”的電源供應等，享有更好的供電效率。l 總體成本低：在網絡規(guī)模不斷擴大，數據中心設備需要擴充的時候，刀片服務器的優(yōu)越性就體現(xiàn)出來了。刀片服務器的擴容僅需購買若干刀片，插入刀片服務器機箱中，再與背板交換模塊相連即可，擴展步驟較機架服務器簡單易操作。同時，刀片服務器的擴充不需要買昂貴的服務器機柜，從長遠看來交機架服務器更經濟。l 機房布線和管理復雜度低：刀片服務器在機房布線只要統(tǒng)一布設網絡線、電源線。刀片服務器之間不需要人為布線。而機架式服務器則要分別對每臺服務器的網絡線、電源線進行配線，如果一個42U的機柜上安裝多臺1U的服務器時，機柜后面的布線就非常多，看起來比較凌亂。結合學校的業(yè)務需求，存儲系統(tǒng)在建設過程中應當遵循如下原則進行：安全可靠性原則：l 系統(tǒng)器件選擇要考慮能支持724小時連續(xù)長時間大壓力下工作；l 系統(tǒng)具有充分的冗余能力、容錯能力；l 系統(tǒng)具有專業(yè)的技術保障體系以及數據可靠性保證機制；l 對工作環(huán)境要求較低，環(huán)境適應能力強；l 確保系統(tǒng)具有高度的安全性，提供安全的登錄和訪問措施，防止系統(tǒng)被攻擊；l 異常掉電后不丟失數據，供電恢復后自動重新啟動并自動恢復正常連接；開放性原則：l 系統(tǒng)必須支持國際上通用的標準網絡存儲協(xié)議、國際標準的應用開放協(xié)議；l 與主流服務器之間保持良好的兼容性；l 兼容各主流操作系統(tǒng)、卷管理軟件及應用程序；l 可以與第三方管理平臺集成，提供給客戶定制化的管理維護手段；l 滿足今后的發(fā)展，留有充分的擴充余地；易維護性原則：l 系統(tǒng)支持簡體中文，通俗易懂，操作方便、簡單；l 系統(tǒng)具有充分的權限管理，日志管理、故障管理，并能夠實現(xiàn)故障自動報警；l 系統(tǒng)設備安裝使用簡單，無需專業(yè)人員維護；l 系統(tǒng)容量可按需要在線擴展，無需停止業(yè)務；l 系統(tǒng)功能擴充需要升級時，支持不中斷業(yè)務升級；l 支持WEB管理方式或集中管理方式；擴展性原則：l 系統(tǒng)易于擴充；l 系統(tǒng)選擇標準化的部件，利于靈活替換和容量擴展；l 系統(tǒng)設計遵守各種標準規(guī)定、規(guī)范；經濟性原則：綜合考慮集中存儲系統(tǒng)的性能和價格，最經濟最有效地進行建設，性能價格比在同類系統(tǒng)和條件下達到最優(yōu)。此次采用的存儲設計配置如下：l 所有業(yè)務集中存儲l 同時支持FC和IP組網l 支持NAS和SAN融合，不需另配文件引擎l SAS，SATA硬盤混插l 應用了先進的硬盤休眠技術l 支持存儲虛擬化l 支持多節(jié)點集群l 支持基于存儲網關的鏡像、快照l 支持基于存儲網關的數據復制隨著學校業(yè)務系統(tǒng)的增長，從硬件的升級換代速度來看，傳統(tǒng)的中低端存儲不能滿足學校云計算平臺的需求了，因此本次方案采用高端存儲（至少每存儲配置雙控，至少96GB緩存，192G后端磁盤通道），實現(xiàn)硬件層面的存儲虛擬化，徹底滿足異構存儲整合、存儲空間統(tǒng)一管理、多級容災系統(tǒng)構建等需求，實現(xiàn)資源整合、統(tǒng)一管理、數據遷移和多重數據保護，構建安全可靠、管理靈活、高性能、開放的存儲系統(tǒng)。傳統(tǒng)計算中心網絡安全包含縱向安全策略和橫向安全策略，無論是哪種策略，傳統(tǒng)計算中心網絡安全只關注業(yè)務流量的訪問控制，將流量安全控制作為唯一的規(guī)劃考慮因素。而虛擬化計算中心的網絡安全模型則需要由二維平面轉變?yōu)槿S空間，即增加網絡安全策略，網絡安全策略能夠滿足虛擬機順暢的加入、離開集群，或者是動態(tài)遷移到其它物理服務器，并且實現(xiàn)海量用戶、多業(yè)務的隔離。根據云平臺的安全策略要求，本期在校園網云計算中心部署一臺千兆防火墻做為計算中心的網關，虛擬出相應數量的防火墻以實現(xiàn)虛擬機隔離、虛擬機遷移策略隨行。通過對防火墻進行虛擬化，分割成多個防火墻實例提供網絡安全服務，對每塊防火墻劃分三個邏輯實例，每一對虛擬防火墻工作在主主模式，防火墻實例分布在兩臺上面，從而達到負載分擔和冗余備份的能力。不同業(yè)務虛擬機的網關地址各不相同，同一個邏輯集群內的虛擬機只能在VLAN 內遷移，如社管服務、數字城管、協(xié)同辦公三種業(yè)務分別對應在VLAN VLANVLAN4 內，每組業(yè)務使用獨立的VLAN、接口、路由表及轉發(fā)表，將一臺物理網絡設備邏輯上分割成多臺虛擬設備，增強對計算資源的安全訪問隔離控制能力。防火墻做服務器網關，L2 分區(qū)之間互訪必須經由防火墻對互訪流量做狀態(tài)檢測，之間完全由防火墻實現(xiàn)訪問控制，屬于強隔離措施。若存在部分數據庫相互調用可設置允許某一端口IP地址互通。虛擬防火墻是將一臺物理設備從邏輯上劃分為多臺獨立的虛擬防火墻設備的功能。每臺虛擬防火墻都可以擁有自己的管理員、路由表和安全策略。通過虛擬系統(tǒng)技術，就可以讓部署在云平臺和計算中心出口的防火墻具備云計算網關的能力，對用戶流量進行隔離的同時提供強大的安全防護能力。為了實現(xiàn)每個虛擬系統(tǒng)的業(yè)務都能夠做到正確轉發(fā)、獨立管理、相互隔離，防火墻主要實現(xiàn)了三個方面的虛擬化：l 路由虛擬化：每個虛擬防火墻都擁有各自的路由表及會話表，相互獨立隔離。l 安全功能虛擬化：每個虛擬防火墻都可以配置獨立的安全策略及其他安全功能，只有屬于該虛擬系統(tǒng)的報文才會受到這些配置的影響。l 配置虛擬化：每個虛擬防火墻都擁有獨立的虛擬系統(tǒng)管理員和配置界面，每個虛擬系統(tǒng)管理員只能管理自己所屬的虛擬系統(tǒng)。通過以上三個方面的虛擬化，使得防火墻的虛擬防火墻功能更加易于使用。虛擬化和云計算使當今的數據中心改換了面貌。但隨著學校紛紛從物理環(huán)境遷移至集物理、虛擬和云于一體的綜合環(huán)境，許多學校仍沿用之前的多種傳統(tǒng)安全解決方案應對當前流行的威脅形勢。這可能使實際獲得的性能提升與預期不符，從而導致操作復雜性過高并埋下安全隱患，最終的結果是學校無法集中全部資源發(fā)展虛擬化和云計算。趨勢科技云平臺深度安全防護系統(tǒng) Deep Security 提供了一種全方位的服務器安全平臺，旨在提升虛擬化和云項目投資收益率的同時簡化安全操作。學校通過緊密集成的模塊輕松擴展該平臺，以覆蓋到虛擬和云服務器以及虛擬桌面，確保服務器、應用程序和數據的安全。學校可以任何方式結合包括防惡意軟件、IDS/IPS、虛擬補丁、防火墻、完整性監(jiān)控在內的安全模塊，定制學校專署的無代理安全防護。最終獲得一個全面、高效、自適應的虛擬化安全平臺，以防止關鍵業(yè)務中斷和數據泄露，避免造成巨大損失。Deep Security產品由三部分組成，管理控制平臺（以下簡稱DSM）；安全虛擬機（以下簡稱DSVA）；安全代理程序（以下簡稱DSA）。趨勢科技Deep Security安全防護系統(tǒng)管理控制中心（DSM），是管理員用來配置及管理安全策略的集中式管理組件，所有的DSVA及DSA都會注冊到DSM，接受統(tǒng)一的管理。 趨勢科技Deep Security安全防護系統(tǒng)安全虛擬機(DSVA)是針對 虛擬化環(huán)境構建的安全虛擬計算機，可提供防惡意軟件、IDS/IPS、防火墻、Web 應用程序防護和應用程序控制防護，數據完整性監(jiān)控等安全功能。 趨勢科技Deep Security安全防護系統(tǒng)安全代理程序(DSA)是安全客戶端，直接部署在操作系統(tǒng)中，可提供 IDS/IPS、防火墻、Web 應用程序防護、應用程序控制、完整性監(jiān)控和日志審查防護等安全功能。IT 組織目前仍在設法解決過去十年里 IT 急速發(fā)展所造成的不良后果：基礎架構成本高昂、響應速度緩慢以及管理不一致等，這些都讓許多 IT 組織飽受其苦。如今，IT 組織若要讓自己的企業(yè)具備可持續(xù)的競爭優(yōu)勢，就需要：l 提高資源的利用率，從而降低基礎架構的成本。l 提高對業(yè)務需求的響應速度，以便更迅速地部署項目。l 提高運營的一致性和可預測性。一直以來，桌面計算普遍使用的是功能全面的“胖客戶端”PC