【文章內(nèi)容簡介】 部署方式為交換模式，對校園網(wǎng)進行4—7層保護，防止病毒等應(yīng)用層攻擊。為防止校園內(nèi)部用戶非法信息惡意傳播，避免涉密信息的泄露；并可實時監(jiān)控、管理網(wǎng)絡(luò)資源使用情況，提高整體工作效率，快速定位可疑用戶。我們在安全運維平臺中增添上網(wǎng)行為管理設(shè)備，主要實現(xiàn)以下功能：上網(wǎng)人員管理:上網(wǎng)身份管理 上網(wǎng)終端管理 移動終端管理 上網(wǎng)地點管理上網(wǎng)瀏覽管理:搜索引擎管理 網(wǎng)址URL管理 網(wǎng)頁正文管理 文件下載管理.上網(wǎng)外發(fā)管理:普通郵件管理 WEB郵件管理 網(wǎng)頁發(fā)帖管理 即時通訊管理 其他外發(fā)管理.上網(wǎng)應(yīng)用管理:上網(wǎng)應(yīng)用阻斷 上網(wǎng)應(yīng)用累計時長限額 上網(wǎng)應(yīng)用累計流量限額.上網(wǎng)流量管理:上網(wǎng)帶寬控制 上網(wǎng)帶寬保障 上網(wǎng)帶寬借用 上網(wǎng)帶寬平均上網(wǎng)行為分析:上網(wǎng)行為實時監(jiān)控 上網(wǎng)行為日志查詢 上網(wǎng)行為統(tǒng)計分析由以上各安全體系構(gòu)成了廬江縣校園網(wǎng)覆蓋OSI 27層的縱深防御體系。對于學校網(wǎng)絡(luò)，一個安全系統(tǒng)的首要任務(wù)就是阻止病毒通過電子郵件與附件入侵。當今的威脅已經(jīng)不單單是一個病毒，經(jīng)常伴有惡意程序、黑客攻擊以及垃圾郵件等多種威脅。網(wǎng)關(guān)作為校園網(wǎng)絡(luò)連接到另一個網(wǎng)絡(luò)的關(guān)口，就象是一扇大門，一旦大門敞開，學校的整個網(wǎng)絡(luò)信息就會暴露無遺。從安全角度來看，對網(wǎng)關(guān)的防護得當，就能起到“一夫當關(guān)，萬夫莫開”的作用，反之，病毒和惡意代碼就會從網(wǎng)關(guān)進入校園內(nèi)部網(wǎng)，為校園帶來巨大損失。防病毒網(wǎng)關(guān)是一種網(wǎng)絡(luò)設(shè)備，用以保護網(wǎng)絡(luò)內(nèi)（一般是局域網(wǎng)）進出數(shù)據(jù)的安全。主要體現(xiàn)在病毒殺除、關(guān)鍵字過濾（如色情、反動）、垃圾郵件阻止的功能，同時部分設(shè)備也具有一定防火墻（劃分Vlan）的功能，有效的保護網(wǎng)絡(luò)內(nèi)進出數(shù)據(jù)的安全性，使網(wǎng)絡(luò)中的數(shù)據(jù)更加安全。運維區(qū)分三個方面對服務(wù)器虛擬化平臺進行運維：l 建設(shè)全網(wǎng)管理平臺，實現(xiàn)全網(wǎng)的分級分權(quán)管理。通過網(wǎng)管系統(tǒng)對全網(wǎng)的拓撲和設(shè)備進行管理，具有設(shè)備仿真面板所見即所得和對第三方主流設(shè)備管理的能力，可以管理管理大規(guī)模的無線管理網(wǎng)絡(luò)，對設(shè)備配置變更、收集軟件版本為多臺設(shè)備統(tǒng)一批量配置和升級，大大節(jié)省管理員的工作量。l 部署應(yīng)用負載均衡有效地解決數(shù)據(jù)流量過大、網(wǎng)絡(luò)負荷過重的問題，并且不需花費昂貴開支購置性能卓越的服務(wù)器，充分利用現(xiàn)有設(shè)備，避免服務(wù)器單點故障造成數(shù)據(jù)流量的損失。其有靈活多樣的均衡策略把數(shù)據(jù)流量合理地分配給服務(wù)器群內(nèi)的服務(wù)器共同負擔。即使是再給現(xiàn)有服務(wù)器擴充升級，也只是簡單地增加一個新的服務(wù)器到服務(wù)群中，而不需改變現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)、停止現(xiàn)有的服務(wù)。l 增加一臺無線控制器，對網(wǎng)絡(luò)中的無線AP進行統(tǒng)一管理，實現(xiàn)有線無線一體化，簡化人員維護難度。服務(wù)器區(qū)采用的是高性能刀片服務(wù)器，學校共有1200個云桌面的需求，一個256內(nèi)存的兩路刀片能支持60個桌面，共需要20個刀片，為保證性能每個刀片配置固態(tài)盤，做二級緩存。另現(xiàn)有的業(yè)務(wù)要運行在虛擬化環(huán)境中，使用 6個刀片做虛擬化服務(wù)器的方式來解決計算資源的分配問題，由于數(shù)據(jù)庫的低延時和高性能的要求，所以數(shù)據(jù)庫服務(wù)器用單獨的物理機來承載，在兩塊四路刀片上部署服務(wù)器。通過虛擬化整合物理服務(wù)器，將業(yè)務(wù)遷移到云平臺上，可通過資源共享實現(xiàn)最大的利用率，節(jié)約硬件投資和維護成本。傳統(tǒng)物理服務(wù)器系統(tǒng)建設(shè)方式粗放、建設(shè)模式單一顯然不能滿足數(shù)據(jù)中心建設(shè)的需求。虛擬化技術(shù)很好地解決了傳統(tǒng)服務(wù)器系統(tǒng)建設(shè)的問題，通過提高虛擬化服務(wù)器利用率大幅度消減物理服務(wù)器購置需求、數(shù)量和運營成本；通過利用服務(wù)器虛擬化中CPU、內(nèi)存、I0資源的動態(tài)調(diào)整能力實現(xiàn)對業(yè)務(wù)應(yīng)用資源需求的動態(tài)響應(yīng)，提升業(yè)務(wù)應(yīng)用的服務(wù)質(zhì)量；通過在線虛擬機遷移實現(xiàn)更高的可用性和可靠性以及各種基于資源優(yōu)化或節(jié)能減排策略的跨物理服務(wù)器的調(diào)度等等。因此，服務(wù)器虛擬化技術(shù)是云計算中心應(yīng)用和平臺建設(shè)的核心解決方案。服務(wù)器虛擬化技術(shù)特點：l 分區(qū)：在一個物理系統(tǒng)中，可以支持多個應(yīng)用程序和操作系統(tǒng)?？稍跀U展或擴張。體系結(jié)構(gòu)中將服務(wù)器整合到虛擬機中。計算資源被視為以可控方式分配給虛擬機的統(tǒng)一池。l 隔離：虛擬機與主機和其他虛擬機完全隔離。如果一個虛擬機崩潰，所有其他虛擬機不會受到影響。虛擬機之間不會泄露數(shù)據(jù)，而且應(yīng)用程序只能通過配置的網(wǎng)絡(luò)連接進行通信。l 封裝：完整的虛擬機環(huán)境保存為文件，便于進行備份、移動和復(fù)制，為應(yīng)用程序提供標準化的虛擬硬件，可保證兼容性。綜上分析，建議本期計算資源池采用服務(wù)器虛擬化架構(gòu)。本次數(shù)據(jù)中心建設(shè)采用刀片—存儲架構(gòu)，采用刀片服務(wù)器較傳統(tǒng)機架服務(wù)器的優(yōu)點如下：l 高密度計算：Web等分散式的應(yīng)用系統(tǒng)更接近分布式計算——同一時間內(nèi)大量進程并行，而單一進程的計算處理要求又非常低，正符合刀片式服務(wù)器強調(diào)高密度分散計算的架構(gòu)。對于刀片式服務(wù)器而言，增大的計算密度使數(shù)據(jù)中心能用更少的空間服務(wù)于更多的客戶，也能讓網(wǎng)站降低托管費用。l 低功耗：在設(shè)計上，刀片服務(wù)器就是通過集中共享機箱中的電源、網(wǎng)絡(luò)以及散熱等設(shè)備來實現(xiàn)的。如此，不僅減少了冗余部件的使用數(shù)量，也通過“池化”的電源供應(yīng)等，享有更好的供電效率。l 總體成本低：在網(wǎng)絡(luò)規(guī)模不斷擴大，數(shù)據(jù)中心設(shè)備需要擴充的時候，刀片服務(wù)器的優(yōu)越性就體現(xiàn)出來了。刀片服務(wù)器的擴容僅需購買若干刀片，插入刀片服務(wù)器機箱中，再與背板交換模塊相連即可，擴展步驟較機架服務(wù)器簡單易操作。同時，刀片服務(wù)器的擴充不需要買昂貴的服務(wù)器機柜，從長遠看來交機架服務(wù)器更經(jīng)濟。l 機房布線和管理復(fù)雜度低：刀片服務(wù)器在機房布線只要統(tǒng)一布設(shè)網(wǎng)絡(luò)線、電源線。刀片服務(wù)器之間不需要人為布線。而機架式服務(wù)器則要分別對每臺服務(wù)器的網(wǎng)絡(luò)線、電源線進行配線，如果一個42U的機柜上安裝多臺1U的服務(wù)器時，機柜后面的布線就非常多，看起來比較凌亂。結(jié)合學校的業(yè)務(wù)需求，存儲系統(tǒng)在建設(shè)過程中應(yīng)當遵循如下原則進行：安全可靠性原則：l 系統(tǒng)器件選擇要考慮能支持724小時連續(xù)長時間大壓力下工作；l 系統(tǒng)具有充分的冗余能力、容錯能力；l 系統(tǒng)具有專業(yè)的技術(shù)保障體系以及數(shù)據(jù)可靠性保證機制；l 對工作環(huán)境要求較低，環(huán)境適應(yīng)能力強；l 確保系統(tǒng)具有高度的安全性，提供安全的登錄和訪問措施，防止系統(tǒng)被攻擊；l 異常掉電后不丟失數(shù)據(jù)，供電恢復(fù)后自動重新啟動并自動恢復(fù)正常連接；開放性原則：l 系統(tǒng)必須支持國際上通用的標準網(wǎng)絡(luò)存儲協(xié)議、國際標準的應(yīng)用開放協(xié)議；l 與主流服務(wù)器之間保持良好的兼容性；l 兼容各主流操作系統(tǒng)、卷管理軟件及應(yīng)用程序；l 可以與第三方管理平臺集成，提供給客戶定制化的管理維護手段；l 滿足今后的發(fā)展，留有充分的擴充余地；易維護性原則：l 系統(tǒng)支持簡體中文，通俗易懂，操作方便、簡單；l 系統(tǒng)具有充分的權(quán)限管理，日志管理、故障管理，并能夠?qū)崿F(xiàn)故障自動報警；l 系統(tǒng)設(shè)備安裝使用簡單，無需專業(yè)人員維護；l 系統(tǒng)容量可按需要在線擴展，無需停止業(yè)務(wù)；l 系統(tǒng)功能擴充需要升級時，支持不中斷業(yè)務(wù)升級；l 支持WEB管理方式或集中管理方式；擴展性原則：l 系統(tǒng)易于擴充；l 系統(tǒng)選擇標準化的部件，利于靈活替換和容量擴展；l 系統(tǒng)設(shè)計遵守各種標準規(guī)定、規(guī)范；經(jīng)濟性原則：綜合考慮集中存儲系統(tǒng)的性能和價格，最經(jīng)濟最有效地進行建設(shè)，性能價格比在同類系統(tǒng)和條件下達到最優(yōu)。此次采用的存儲設(shè)計配置如下：l 所有業(yè)務(wù)集中存儲l 同時支持FC和IP組網(wǎng)l 支持NAS和SAN融合，不需另配文件引擎l SAS，SATA硬盤混插l 應(yīng)用了先進的硬盤休眠技術(shù)l 支持存儲虛擬化l 支持多節(jié)點集群l 支持基于存儲網(wǎng)關(guān)的鏡像、快照l 支持基于存儲網(wǎng)關(guān)的數(shù)據(jù)復(fù)制隨著學校業(yè)務(wù)系統(tǒng)的增長，從硬件的升級換代速度來看，傳統(tǒng)的中低端存儲不能滿足學校云計算平臺的需求了，因此本次方案采用高端存儲（至少每存儲配置雙控，至少96GB緩存，192G后端磁盤通道），實現(xiàn)硬件層面的存儲虛擬化，徹底滿足異構(gòu)存儲整合、存儲空間統(tǒng)一管理、多級容災(zāi)系統(tǒng)構(gòu)建等需求，實現(xiàn)資源整合、統(tǒng)一管理、數(shù)據(jù)遷移和多重數(shù)據(jù)保護，構(gòu)建安全可靠、管理靈活、高性能、開放的存儲系統(tǒng)。傳統(tǒng)計算中心網(wǎng)絡(luò)安全包含縱向安全策略和橫向安全策略，無論是哪種策略，傳統(tǒng)計算中心網(wǎng)絡(luò)安全只關(guān)注業(yè)務(wù)流量的訪問控制，將流量安全控制作為唯一的規(guī)劃考慮因素。而虛擬化計算中心的網(wǎng)絡(luò)安全模型則需要由二維平面轉(zhuǎn)變?yōu)槿S空間，即增加網(wǎng)絡(luò)安全策略，網(wǎng)絡(luò)安全策略能夠滿足虛擬機順暢的加入、離開集群，或者是動態(tài)遷移到其它物理服務(wù)器，并且實現(xiàn)海量用戶、多業(yè)務(wù)的隔離。根據(jù)云平臺的安全策略要求，本期在校園網(wǎng)云計算中心部署一臺千兆防火墻做為計算中心的網(wǎng)關(guān)，虛擬出相應(yīng)數(shù)量的防火墻以實現(xiàn)虛擬機隔離、虛擬機遷移策略隨行。通過對防火墻進行虛擬化，分割成多個防火墻實例提供網(wǎng)絡(luò)安全服務(wù)，對每塊防火墻劃分三個邏輯實例，每一對虛擬防火墻工作在主主模式，防火墻實例分布在兩臺上面，從而達到負載分擔和冗余備份的能力。不同業(yè)務(wù)虛擬機的網(wǎng)關(guān)地址各不相同，同一個邏輯集群內(nèi)的虛擬機只能在VLAN 內(nèi)遷移，如社管服務(wù)、數(shù)字城管、協(xié)同辦公三種業(yè)務(wù)分別對應(yīng)在VLAN VLANVLAN4 內(nèi)，每組業(yè)務(wù)使用獨立的VLAN、接口、路由表及轉(zhuǎn)發(fā)表，將一臺物理網(wǎng)絡(luò)設(shè)備邏輯上分割成多臺虛擬設(shè)備，增強對計算資源的安全訪問隔離控制能力。防火墻做服務(wù)器網(wǎng)關(guān)，L2 分區(qū)之間互訪必須經(jīng)由防火墻對互訪流量做狀態(tài)檢測，之間完全由防火墻實現(xiàn)訪問控制，屬于強隔離措施。若存在部分數(shù)據(jù)庫相互調(diào)用可設(shè)置允許某一端口IP地址互通。虛擬防火墻是將一臺物理設(shè)備從邏輯上劃分為多臺獨立的虛擬防火墻設(shè)備的功能。每臺虛擬防火墻都可以擁有自己的管理員、路由表和安全策略。通過虛擬系統(tǒng)技術(shù)，就可以讓部署在云平臺和計算中心出口的防火墻具備云計算網(wǎng)關(guān)的能力，對用戶流量進行隔離的同時提供強大的安全防護能力。為了實現(xiàn)每個虛擬系統(tǒng)的業(yè)務(wù)都能夠做到正確轉(zhuǎn)發(fā)、獨立管理、相互隔離，防火墻主要實現(xiàn)了三個方面的虛擬化：l 路由虛擬化：每個虛擬防火墻都擁有各自的路由表及會話表，相互獨立隔離。l 安全功能虛擬化：每個虛擬防火墻都可以配置獨立的安全策略及其他安全功能，只有屬于該虛擬系統(tǒng)的報文才會受到這些配置的影響。l 配置虛擬化：每個虛擬防火墻都擁有獨立的虛擬系統(tǒng)管理員和配置界面，每個虛擬系統(tǒng)管理員只能管理自己所屬的虛擬系統(tǒng)。通過以上三個方面的虛擬化，使得防火墻的虛擬防火墻功能更加易于使用。虛擬化和云計算使當今的數(shù)據(jù)中心改換了面貌。但隨著學校紛紛從物理環(huán)境遷移至集物理、虛擬和云于一體的綜合環(huán)境，許多學校仍沿用之前的多種傳統(tǒng)安全解決方案應(yīng)對當前流行的威脅形勢。這可能使實際獲得的性能提升與預(yù)期不符，從而導致操作復(fù)雜性過高并埋下安全隱患，最終的結(jié)果是學校無法集中全部資源發(fā)展虛擬化和云計算。趨勢科技云平臺深度安全防護系統(tǒng) Deep Security 提供了一種全方位的服務(wù)器安全平臺，旨在提升虛擬化和云項目投資收益率的同時簡化安全操作。學校通過緊密集成的模塊輕松擴展該平臺，以覆蓋到虛擬和云服務(wù)器以及虛擬桌面，確保服務(wù)器、應(yīng)用程序和數(shù)據(jù)的安全。學?？梢匀魏畏绞浇Y(jié)合包括防惡意軟件、IDS/IPS、虛擬補丁、防火墻、完整性監(jiān)控在內(nèi)的安全模塊，定制學校專署的無代理安全防護。最終獲得一個全面、高效、自適應(yīng)的虛擬化安全平臺，以防止關(guān)鍵業(yè)務(wù)中斷和數(shù)據(jù)泄露，避免造成巨大損失。Deep Security產(chǎn)品由三部分組成，管理控制平臺（以下簡稱DSM）；安全虛擬機（以下簡稱DSVA）；安全代理程序（以下簡稱DSA）。趨勢科技Deep Security安全防護系統(tǒng)管理控制中心（DSM），是管理員用來配置及管理安全策略的集中式管理組件，所有的DSVA及DSA都會注冊到DSM，接受統(tǒng)一的管理。 趨勢科技Deep Security安全防護系統(tǒng)安全虛擬機(DSVA)是針對 虛擬化環(huán)境構(gòu)建的安全虛擬計算機，可提供防惡意軟件、IDS/IPS、防火墻、Web 應(yīng)用程序防護和應(yīng)用程序控制防護，數(shù)據(jù)完整性監(jiān)控等安全功能。 趨勢科技Deep Security安全防護系統(tǒng)安全代理程序(DSA)是安全客戶端，直接部署在操作系統(tǒng)中，可提供 IDS/IPS、防火墻、Web 應(yīng)用程序防護、應(yīng)用程序控制、完整性監(jiān)控和日志審查防護等安全功能。IT 組織目前仍在設(shè)法解決過去十年里 IT 急速發(fā)展所造成的不良后果：基礎(chǔ)架構(gòu)成本高昂、響應(yīng)速度緩慢以及管理不一致等，這些都讓許多 IT 組織飽受其苦。如今，IT 組織若要讓自己的企業(yè)具備可持續(xù)的競爭優(yōu)勢，就需要：l 提高資源的利用率，從而降低基礎(chǔ)架構(gòu)的成本。l 提高對業(yè)務(wù)需求的響應(yīng)速度，以便更迅速地部署項目。l 提高運營的一致性和可預(yù)測性。一直以來，桌面計算普遍使用的是功能全面的“胖客戶端”PC