【正文】 全子域，形成安全域與安全子域兩級(jí)結(jié)構(gòu)。各個(gè)安全域和安全子域的功能劃分如下表所示：安全域安全子域安全子域作用備注公共域Internet外聯(lián)區(qū)主要是與Internet互連　委辦局接入?yún)^(qū)主要是與各委辦局互聯(lián)交換域網(wǎng)絡(luò)核心區(qū)提供區(qū)域間網(wǎng)絡(luò)互聯(lián)內(nèi)部域核心業(yè)務(wù)區(qū)提供核心業(yè)務(wù)物理資源區(qū)基于物理設(shè)備部署的應(yīng)用區(qū)域云計(jì)算區(qū)基于云計(jì)算虛擬化部署的應(yīng)用區(qū)域云計(jì)算區(qū)內(nèi)部可通過VDC細(xì)分為多個(gè)子區(qū)域過渡區(qū)核心區(qū)和外聯(lián)區(qū)之間的過渡區(qū)管理域運(yùn)行管理區(qū)包括計(jì)算中心網(wǎng)絡(luò)監(jiān)控，安全管理計(jì)算中心的管理區(qū)，包括云平臺(tái)管理平面，服務(wù)器、網(wǎng)絡(luò)設(shè)備等的管理數(shù)據(jù)中心內(nèi)部安全域的劃分主要采用如下方法：（1）計(jì)算中心網(wǎng)絡(luò)為“分層分平面”的網(wǎng)絡(luò)架構(gòu)，整體組網(wǎng)分為核心層與接入層兩個(gè)層次以及管理、計(jì)算、存儲(chǔ)、業(yè)務(wù)4個(gè)平面。216。 管理和業(yè)務(wù)平面隔離：計(jì)算、管理在不同的VLAN平面216。 計(jì)算和存儲(chǔ)物理隔離：獨(dú)立的存儲(chǔ)網(wǎng)絡(luò)。216。 應(yīng)用三層架構(gòu)平面隔離：可以根據(jù)業(yè)務(wù)需要，如把WEBAPPDB劃分在不同的VLAN平面。（2） 各業(yè)務(wù)區(qū)根據(jù)需要可以劃分為不同的VLAN通過虛擬防火墻實(shí)現(xiàn)二層隔離。（3） 通過在數(shù)據(jù)中心出口應(yīng)用防火墻來實(shí)現(xiàn)對(duì)安全區(qū)域的隔離。它可以工作在透明模式，也可以工作在路由模式，方便各種組網(wǎng)需求，主要實(shí)現(xiàn)如下的功能：216。 通過防火墻嚴(yán)格的ACL策略和連接狀態(tài)檢測(cè)進(jìn)行通信合法性保護(hù)隔離內(nèi)部各個(gè)部門，可以為不同的部門設(shè)置不同的安全級(jí)別，能實(shí)現(xiàn)各個(gè)部門之間的訪問策略，也可以防范某些內(nèi)部用戶發(fā)起的針對(duì)其他區(qū)域內(nèi)設(shè)備的各種攻擊。防火墻的ACL提供了細(xì)粒度的訪問控制功能，實(shí)現(xiàn)的粒度包括：源與目的IP地址、源與目的MAC地址，源與目的端口、訪問協(xié)議等。保護(hù)計(jì)算中心內(nèi)部的一些重要的服務(wù)器，控制各委辦局和外部對(duì)這些重要資源的訪問，防范針對(duì)這些服務(wù)器的各種攻擊。216。 通過部署應(yīng)用防火墻，對(duì)流經(jīng)網(wǎng)絡(luò)的報(bào)文進(jìn)行詳細(xì)的分析與檢查，探測(cè)各種可能的異常情況和攻擊行為。對(duì)不同的部門均可以部署在不同的業(yè)務(wù)區(qū)中，它們之間可以通過VLAN和虛擬防火墻進(jìn)行網(wǎng)絡(luò)隔離216。 虛擬化中可以采用VDC和安全組方便的實(shí)現(xiàn)不同業(yè)務(wù)分區(qū)和虛擬機(jī)的隔離。通過對(duì)防火墻進(jìn)行虛擬化，分割成多個(gè)防火墻實(shí)例提供網(wǎng)絡(luò)安全服務(wù)，對(duì)每塊防火墻劃分三個(gè)邏輯實(shí)例，每一對(duì)虛擬防火墻工作在主主模式，防火墻實(shí)例分布在兩臺(tái)上面，從而達(dá)到負(fù)載分擔(dān)和冗余備份的能力。不同業(yè)務(wù)虛擬機(jī)的網(wǎng)關(guān)地址各不相同，同一個(gè)邏輯集群內(nèi)的虛擬機(jī)只能在VLAN 內(nèi)遷移，如公共服務(wù)、智慧城管、協(xié)同辦公三種業(yè)務(wù)分別對(duì)應(yīng)在VLAN VLANVLAN4 內(nèi)，每組業(yè)務(wù)使用獨(dú)立的VLAN、接口、路由表及轉(zhuǎn)發(fā)表，將一臺(tái)物理網(wǎng)絡(luò)設(shè)備邏輯上分割成多臺(tái)虛擬設(shè)備，增強(qiáng)對(duì)計(jì)算資源的安全訪問隔離控制能力。防火墻做服務(wù)器網(wǎng)關(guān)，L2 分區(qū)之間互訪必須經(jīng)由防火墻對(duì)互訪流量做狀態(tài)檢測(cè)，并衛(wèi)生醫(yī)療、環(huán)境治理、GIS之間完全由防火墻實(shí)現(xiàn)訪問控制，屬于強(qiáng)隔離措施。若存在部分?jǐn)?shù)據(jù)庫(kù)相互調(diào)用可設(shè)置允許某一端口IP地址互通。通過虛擬防火墻對(duì)不同委辦局接入時(shí)采取不同的權(quán)限策略，每個(gè)委辦局介入時(shí)虛擬防火墻系統(tǒng)運(yùn)行過程中根據(jù)轉(zhuǎn)發(fā)流的情況動(dòng)態(tài)申請(qǐng)。如轉(zhuǎn)發(fā)面會(huì)話表、監(jiān)控表、帶寬等資源表現(xiàn)為實(shí)時(shí)性很高，可能某一個(gè)時(shí)段僅需要占用少量資源，另一個(gè)時(shí)段會(huì)占用較大資源，甚至全部資源。這樣防火墻管理員為虛擬防火墻分配資源時(shí)就可以配置一個(gè)保證數(shù)量和一個(gè)最大數(shù)量，防止某些虛擬防火墻空閑時(shí)，分配的資源浪費(fèi)掉，通過預(yù)留一部分資源為全部虛擬防火墻所共享，大家搶占使用。使得防火墻的整機(jī)資源得到高效利用，也可以避免空閑的虛擬防火墻在使用時(shí)出現(xiàn)饑餓申請(qǐng)不到資源的情況。刪除虛擬防火墻時(shí)，按照一定的順序?qū)Ω髯酉到y(tǒng)的資源進(jìn)行回收，保證資源回收干凈。當(dāng)虛擬機(jī)實(shí)現(xiàn)跨服務(wù)器遷移時(shí)，需要實(shí)現(xiàn)虛擬機(jī)的安全策略隨行。虛擬防火墻是將一臺(tái)物理設(shè)備從邏輯上劃分為多臺(tái)獨(dú)立的虛擬防火墻設(shè)備的功能。每臺(tái)虛擬防火墻都可以擁有自己的管理員、路由表和安全策略。通過虛擬系統(tǒng)技術(shù)，就可以讓部署在云數(shù)據(jù)中心出口的防火墻具備云計(jì)算網(wǎng)關(guān)的能力，對(duì)用戶流量進(jìn)行隔離的同時(shí)提供強(qiáng)大的安全防護(hù)能力。為了實(shí)現(xiàn)每個(gè)虛擬系統(tǒng)的業(yè)務(wù)都能夠做到正確轉(zhuǎn)發(fā)、獨(dú)立管理、相互隔離，防火墻主要實(shí)現(xiàn)了三個(gè)方面的虛擬化：1. 路由虛擬化：每個(gè)虛擬防火墻都擁有各自的路由表及會(huì)話表，相互獨(dú)立隔離。2. 安全功能虛擬化：每個(gè)虛擬防火墻都可以配置獨(dú)立的安全策略及其他安全功能，只有屬于該虛擬系統(tǒng)的報(bào)文才會(huì)受到這些配置的影響。3. 配置虛擬化：每個(gè)虛擬防火墻都擁有獨(dú)立的虛擬系統(tǒng)管理員和配置界面，每個(gè)虛擬系統(tǒng)管理員只能管理自己所屬的虛擬系統(tǒng)。通過以上三個(gè)方面的虛擬化，使得防火墻的虛擬防火墻功能更加易于使用。DMZ區(qū)域主要承載對(duì)外服務(wù)，而現(xiàn)在主要的威脅來自于互聯(lián)網(wǎng)，因此DMZ區(qū)域建設(shè)重點(diǎn)在于提供安全可靠的服務(wù)。DMZ是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題，而設(shè)立的一個(gè)非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這個(gè)緩沖區(qū)位于數(shù)據(jù)中心內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)，在這個(gè)小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開的服務(wù)器設(shè)施，如計(jì)算中心Web服務(wù)器、FTP服務(wù)器和論壇等。另一方面，通過這樣一個(gè)DMZ區(qū)域，更加有效地保護(hù)了內(nèi)部網(wǎng)絡(luò)。 在互聯(lián)網(wǎng)接入?yún)^(qū)的出口位置部署專用的鏈路負(fù)載均衡設(shè)備，鏈路負(fù)載均衡與全局負(fù)載均衡設(shè)備共同實(shí)現(xiàn)由內(nèi)向外和由外向內(nèi)的出入站流量負(fù)載均衡。 DMZ區(qū)網(wǎng)絡(luò)核心為兩臺(tái)防火墻，防火墻工作在路由模式，兩臺(tái)防火墻采用雙機(jī)熱備方式部署，防火墻上配置DMZ區(qū)的網(wǎng)關(guān)。 防火墻的不同端口分別配置為UNTRUST區(qū)，TRUST區(qū)或DMZ區(qū)。 移動(dòng)辦公通過登錄到VPN設(shè)備，通過認(rèn)證后接入內(nèi)部網(wǎng)絡(luò)。 DMZ區(qū)提供門戶網(wǎng)站或者特定的公網(wǎng)訪問資源，對(duì)外映射公網(wǎng)IP地址。通過網(wǎng)絡(luò)劃分、隔離手段實(shí)現(xiàn)計(jì)算、存儲(chǔ)、管理、接入等域的隔離，管理面單獨(dú)物理組網(wǎng)，保證服務(wù)平臺(tái)計(jì)算中心網(wǎng)絡(luò)安全性，避免網(wǎng)絡(luò)風(fēng)暴等問題擴(kuò)散。電子政務(wù)外網(wǎng)用戶不同安全級(jí)別的業(yè)務(wù)區(qū)域之間可通過網(wǎng)絡(luò)安全組（虛擬防火墻）進(jìn)行隔離。電子政務(wù)外網(wǎng)網(wǎng)絡(luò)面臨著黑客入侵、病毒入侵、網(wǎng)絡(luò)攻擊等多種安全威脅，需要功能強(qiáng)大的防火墻、入侵防御系統(tǒng)及抗攻擊系統(tǒng)組成網(wǎng)絡(luò)邊界防御方案，防范掃描類攻擊，阻止畸形包攻擊，資源耗盡型攻擊，特殊報(bào)文控制。防火墻在DMZ區(qū)域和新計(jì)算中心部署防火墻，并開啟防火墻的虛擬化功能，根據(jù)接入的用戶個(gè)數(shù)，分別虛擬化出相應(yīng)個(gè)數(shù)的虛擬防火墻，根據(jù)各個(gè)局辦的安全保護(hù)等級(jí)，配置相應(yīng)的安全策略。VPN接入在邊界部屬VPN系統(tǒng)，采用由密碼等技術(shù)支持的完整性校驗(yàn)機(jī)制和保密性保護(hù)機(jī)制，以實(shí)現(xiàn)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性和保密性保護(hù)，并在發(fā)現(xiàn)完整性被破壞時(shí)進(jìn)行恢復(fù)。網(wǎng)頁(yè)防篡改網(wǎng)頁(yè)防篡改解決方案提供針對(duì)L2L7層網(wǎng)站攻擊的完整安全防御能力。其攻擊防護(hù)部分功能解決方案解決了傳統(tǒng)防火墻不能防護(hù)應(yīng)用層安全威脅的問題，彌補(bǔ)了IPS入侵防護(hù)系統(tǒng)無法防護(hù)WEB攻擊的弱點(diǎn)，彌補(bǔ)了基于WEB應(yīng)用的WAF無法防止底層漏洞攻擊的缺陷，為用戶提供完整的網(wǎng)站應(yīng)用層安全防護(hù)方案。第九章、運(yùn)維建設(shè)方案運(yùn)維區(qū)分三個(gè)方面對(duì)云數(shù)據(jù)中心進(jìn)行運(yùn)維：1. 建設(shè)全網(wǎng)管理平臺(tái)，實(shí)現(xiàn)全網(wǎng)的分級(jí)分權(quán)管理。通過網(wǎng)管系統(tǒng)對(duì)全網(wǎng)的拓?fù)浜驮O(shè)備進(jìn)行管理，具有設(shè)備仿真面板所見即所得和對(duì)第三方主流設(shè)備管理的能力，可以管理管理大規(guī)模的無線管理網(wǎng)絡(luò)，對(duì)設(shè)備配置變更、收集軟件版本為多臺(tái)設(shè)備統(tǒng)一批量配置和升級(jí)，大大節(jié)省管理員的工作量。2. 建立統(tǒng)一運(yùn)維審計(jì)系統(tǒng)，實(shí)現(xiàn)分級(jí)分權(quán)的管理。對(duì)其操作的過程進(jìn)行記錄，防止人為誤操作等，在發(fā)生事故后可以通過錄像追究相應(yīng)人的責(zé)任和迅速的恢復(fù)系統(tǒng)。3. 建立全網(wǎng)的威脅偵測(cè)系統(tǒng)利用基于云安全、多協(xié)議關(guān)聯(lián)分析和代碼比對(duì)技術(shù)，通過協(xié)議和應(yīng)用的關(guān)聯(lián)分析，快速定位高危節(jié)點(diǎn)和攻擊型態(tài)，轉(zhuǎn)化成詳細(xì)的報(bào)告并提供處理措施進(jìn)行落實(shí)?？梢詫?duì)企業(yè)網(wǎng)絡(luò)安全環(huán)境進(jìn)行智能分析，對(duì)于現(xiàn)有的防毒架構(gòu)提升更高層次的管理指標(biāo)，從而大大提高網(wǎng)絡(luò)、數(shù)據(jù)的安全系數(shù)，真正達(dá)到事半功倍的效果。云數(shù)據(jù)中心采用統(tǒng)一網(wǎng)管平臺(tái)的架構(gòu)，需實(shí)現(xiàn)對(duì)主流廠商和主流設(shè)備的管理，具備如下功能：輕量級(jí)系統(tǒng), 用戶隨時(shí)隨地可訪問網(wǎng)絡(luò)，了解網(wǎng)絡(luò)運(yùn)行狀態(tài)216。 B/S架構(gòu)，客戶端免安裝，輕量化、WEB化，減輕客戶端電腦載荷，減少系統(tǒng)維護(hù)與升級(jí)成本和工作量216。 可運(yùn)行在便攜機(jī)上，獲得更好操作體驗(yàn)組件化管理，按需構(gòu)建企業(yè)運(yùn)維平臺(tái)216。 統(tǒng)一平臺(tái)，風(fēng)格一致，優(yōu)質(zhì)的用戶體驗(yàn)216。 按需獲取，靈活選擇，降低成本，避免重復(fù)投資多廠商、多資源設(shè)備統(tǒng)一管理, 用戶可輕松實(shí)現(xiàn)全網(wǎng)設(shè)備統(tǒng)一管理216。 全面的設(shè)備管理能力：全面支持路由器、交換機(jī)、AR、安全設(shè)備、WLAN、防火墻設(shè)備、UC、存儲(chǔ)設(shè)備的管理；預(yù)集成對(duì)HP、Cisco、H3C等第三方主流設(shè)備的管理能力216。 第三方設(shè)備定制能力：可支持設(shè)備廠商、設(shè)備類型、性能、告警管理的定制全方位故障監(jiān)控系統(tǒng),實(shí)時(shí)了解網(wǎng)絡(luò)故障，快速定位故障原因、排除故障216。 7*24小時(shí)不間斷的故障監(jiān)控，實(shí)時(shí)的故障提醒，以及故障遠(yuǎn)程通知216。 故障與拓?fù)浜驮O(shè)備面板之間的快速跳轉(zhuǎn)216。 告警歸并、告警屏蔽等措施，有效降低呈現(xiàn)在用戶界面的告警數(shù)可視化管理，助力用戶直觀了解網(wǎng)絡(luò)狀態(tài)216。 拓?fù)涔芾恚禾峁┪锢硗負(fù)浜虸P拓?fù)鋬蓮埻負(fù)洌瑢?shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的圖形化、層次化展示，同時(shí)顯示網(wǎng)元、鏈路狀態(tài)216。 性能管理：多種性能監(jiān)視指標(biāo)，多維度呈現(xiàn)網(wǎng)絡(luò)狀況；性能監(jiān)視視圖，持續(xù)刷新；不同圖表展現(xiàn)不同性能監(jiān)視指標(biāo) 以及歷史數(shù)據(jù)的分析簡(jiǎn)單便捷的日常運(yùn)維操作，有效的降低運(yùn)維人員的技能要求，提高工作效率216。 智能配置工具：預(yù)置了常用的業(yè)務(wù)配置模板，用戶可以方便的選擇模板，進(jìn)行設(shè)備批量配置；通過規(guī)劃表方式，進(jìn)行設(shè)備差異化批量配置216。 配置文件管理：提供設(shè)備配置文件的備份、比較、恢復(fù)的功能。備份支持立即備份、周期備份、設(shè)備變更告警觸發(fā)備份216。 智能報(bào)表：提供豐富的預(yù)定義報(bào)表，同時(shí)提供強(qiáng)大易用的報(bào)表設(shè)計(jì)功能，用戶可根據(jù)行業(yè)特點(diǎn)和自身運(yùn)維要求進(jìn)行客戶報(bào)表定制統(tǒng)一運(yùn)維審計(jì)系統(tǒng)能夠針對(duì)每次操作會(huì)話進(jìn)行記錄和控制，詳細(xì)記錄整個(gè)操作過程，并以指令和回放文件兩種方式對(duì)整個(gè)會(huì)話過程進(jìn)行記錄。對(duì)每次管理員維護(hù)服務(wù)器的操作會(huì)話，運(yùn)維管理內(nèi)控審計(jì)系統(tǒng)能夠詳細(xì)記錄會(huì)話時(shí)間、用戶名、源/目標(biāo)IP、操作指令、操作結(jié)果等信息，并形成指令日志及回放文件，同時(shí)支持在操作過程中對(duì)操作行為的監(jiān)控和控制。第十章、備份容災(zāi)建設(shè)方案通過配置存儲(chǔ)虛擬化網(wǎng)關(guān)實(shí)現(xiàn)本地存儲(chǔ)備份容災(zāi)。需達(dá)到的效果為：生產(chǎn)存儲(chǔ)故障時(shí)，數(shù)據(jù)零丟失（RPO=0），業(yè)務(wù)零中斷（RTO=0）。需從兩個(gè)維度系統(tǒng)進(jìn)行保護(hù)： 1）業(yè)務(wù)連續(xù)性；2）數(shù)據(jù)安全性。在業(yè)務(wù)連續(xù)性方面，通過集群鏡像功能，對(duì)兩臺(tái)生產(chǎn)陣列同時(shí)寫入生產(chǎn)數(shù)據(jù)，保障了任意一臺(tái)生產(chǎn)陣列故障，上層應(yīng)用無影響，數(shù)據(jù)零丟失，業(yè)務(wù)零中斷，保障了數(shù)據(jù)安全性和業(yè)務(wù)連續(xù)性；數(shù)據(jù)庫(kù)服務(wù)器可部署為Oracle RAC的ActiveActive集群模式，可以實(shí)現(xiàn)業(yè)務(wù)負(fù)載均衡以及節(jié)點(diǎn)故障自動(dòng)切換；應(yīng)用服務(wù)器部署為云平臺(tái)集群，以保證應(yīng)用主服務(wù)器故障時(shí)，應(yīng)用可自動(dòng)切換到備服務(wù)器上運(yùn)行。在數(shù)據(jù)安全性方面，通過存儲(chǔ)陣列的快照功能，可保留生產(chǎn)系統(tǒng)數(shù)據(jù)的部分歷史版本，保障了系統(tǒng)出現(xiàn)邏輯錯(cuò)誤或者數(shù)據(jù)遭病毒感染等，可以通過快照恢復(fù)到系統(tǒng)正常時(shí)刻的數(shù)據(jù)，快速將業(yè)務(wù)恢復(fù)正常。