【導讀】安徽移動無線城市項目集成實施技術建議書。安安安徽徽徽移移移動動動無無無線線線城城城市市市項項項目目目集集集成成成實實實施施施技技技術術術。門戶和接口服務器冗余

　　

【正文】 利舊 HP EVA 8100 服務器具體列表見附件 《安徽移動無線城市 新建項目 設備 信息 .xls》 網絡 ip及 vlan 需求 本工程一共使用 11 臺刀片服務器 ，其中需要公網 訪問 的服務器有 運營管理服務器 、接口服務器 、 WWW 門戶服務器和 WAP/客戶端門戶 ，并且這些服務器需要可以訪問公網 ； 不用公網訪問和訪問公網 的服務器有數據庫服務器和搜索服務器 。 所有這 11 臺服務器之間必須能夠互通 。 建議 所有服務器采用私網地址，需要公網互通的 私網 IP 在防火墻上做 映射處理。 本方案中 需要和公網互通的地址為 兩個管理服務器地址和兩 個負載均衡 虛擬 VIP 地址 。 網絡的網段劃分是網絡安全的重要的一部分，同時也是一項基本措施，其指導思想在于：將非法用戶與網絡資源相互隔離，把不同需求的 服務器 劃分為不同的網段，從而達到限制用戶非法訪問的目的。 安徽 移動無線城市項目集成實施技術建議書 17 VLAN 劃分的主要目的是保護管理服務器，控制從公網對管理服務器的侵害。 本項目設計 vlan 規(guī)劃如下表： 應用網段名稱 Vlan 備注 業(yè)務 平臺 Vlan 24 無線城市平臺 部署網段 數據庫 Vlan 10 數據庫 服務器 網段 雙機 方案 為了保障 主要的關鍵性業(yè)務 正常有序運行， 需要進行關鍵 性 業(yè)務服務器 的雙機熱備（冷備）設計 。 本工程中關鍵性業(yè)務包括數據庫、 portal 和 接口 業(yè)務 ，針對這三種業(yè)務分別 采取下面容災 措施 。 數據庫雙機設計 數據庫服務器采用 數據庫 HA 配置， 構建數據庫的主備雙機 ，當主服務器出現問題時候， 所有資源全部轉移到備機，此時備機將其作用， HA 切換時間為毫秒級單位，完全滿足業(yè)務上的需求。 另外針對數據庫數據，進行自動 導出備份 ，以備 不時之需。 門戶 服務器 、接口服務器和搜索服務器 冗余 設計 Portal 服務器是對外的門戶，如果該業(yè)務出現問題，直接的后果就是用戶 進入不了頁面或者客戶端 。 由此可知 門戶業(yè)務、接口業(yè)務和搜索功能業(yè)務均 屬于關鍵性業(yè)務。本次工程將利舊 Array 3520 負載均衡 ， 將外部的訪問平 均負載到對應的 門戶 服務器 群 上 ，另外將門戶服務器的接口請求和搜索請求 負載到對應的搜索服務器 群 和 接口服務器群上 ， 如果其中一臺 服務器業(yè)務出現問題，負載均衡將主動剔除該服務器，將所有訪問 轉向 正常的主機 。 安徽 移動無線城市項目集成實施技術建議書 18 負載均衡 使用 L4 策略 ， 健康檢查可以采用端口判斷，具體策略如下表 所示： 服務器 VIP 虛擬地址 資源 池 會話保持功能 備注 portal1 VIP 地址 1（需要映射成公網地址） 門戶 farm 開啟 portal2 portal3 Wap portal1 VIP 地址 2（ 需要 映射 成 公網地址 ） wap 門戶 farm 開啟 Wap portal2 Wap portal3 Wap portal4 搜索服務器 1 申請的私網地址 （不用映射公網） 搜索服務器群 搜索服務器 2 接口服務器 1 申請的私網地址 （不用映射公網） 接口群 接口服務器 2 網絡冗余 設計 建議 本次 利舊的網絡設備均采用 雙機冗余設計 ，將防火墻、交換機和 負載均衡配置為 主備方式 ， 并且要經過嚴格的測試來驗證，如果某條線路故障，平臺任然可以對外提 供服務 。 安徽 移動無線城市項目集成實施技術建議書 19 安全 方案 網絡安全設計 保證 系統(tǒng) 網絡安全的首要問題就是要規(guī)劃合理的網絡拓撲結構，合理劃分網段，利用防火墻和交換機等網絡設備的安全機制實施訪問控制。使用 VLAN 技術，進行合理的網絡分段，既可以節(jié)約成本，又可以保障重要網段的安全，同時減少廣播和沖突，提高系統(tǒng)的可用性。對于更高安全級別的隔離措施，可以采用路由器或防火墻等進行隔離。 目前， 系統(tǒng) 網絡中，需要采取一定的網絡隔離措施來實現訪問控制，保障網絡和主機系統(tǒng)的安全，尤其是與現有的內部網絡之間的關鍵性數據交互的安全性和一致性。 在此基礎上，本方案建議 利 舊現有網絡和安全設備 采用 如下措施，提高平臺的安全性： ? 通過 局域網交換機劃分 VLAN，將不同業(yè)務功能的系統(tǒng)分開； ? 在直接連接公網的出口，部署防火墻系統(tǒng)，對外網 、 內網的訪問進行嚴格的訪問控制，阻擋絕大多數的來自網絡外部的攻擊； ? 對于平臺和現有的其他業(yè)務支撐系統(tǒng)、資源能力系統(tǒng)之間的必要數據做嚴格的安全控制，保證進入內部網絡的數據都是合法和預期的； ? 所有的主機服務器系統(tǒng)選用安全服務，包括安全加固優(yōu)化服務，安全響應服務，日常支持服務等，來全面保障主機系統(tǒng)的安全； 防火墻系統(tǒng) 防火墻被用來設置在被保護網絡和外部網絡之間 ，成為一道屏障，以防止發(fā)生不可預測的、潛在破壞性的侵入。它可通過監(jiān)測、限制、更改跨越防火墻的數據流，盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況，以此來實現網絡的安全保護。 安徽 移動無線城市項目集成實施技術建議書 20 防火墻系統(tǒng)已經基本成為和路由器、交換機等具有同等地位的網絡基礎設備。它能夠把來自網絡外部的絕大多數非法訪問拒之門外。 根據 工程的 網絡 設計情況 ， 并考慮移動現有設備和機房環(huán)境， 系統(tǒng)平臺 在連接出口位置部署 2 臺防火墻，設置嚴格的訪問策略和包過濾策略，嚴格限制外網對內部系統(tǒng)的訪問。在防火墻設置上，我們提出如下配置建議，以提高網絡安全性： ? 根據 整體安全策略和安全目標，規(guī)劃設置正確的安全過濾規(guī)則，審核 IP數據包的內容包括協(xié)議、端口、源地址、目的地址、流向等項目，嚴格地禁止來自公網對平臺的不必要的、非法的訪問，同時嚴格控制從本平臺向內部網絡發(fā)送的數據請求?？傮w上遵從 “不被允許的服務就是被禁止 ”的原則； ? 將防火墻配置成過濾掉以內部網絡地址進入的 IP 包，這樣可以防范源地址假冒和源路由類型的攻擊，包括 DOS 或 DDOS 攻擊等：過濾掉以非法 IP 地址離開內部網絡的 IP 包，防止內部網絡發(fā)起的對外的攻擊； ? 對于平臺內部的系統(tǒng)，可以考慮采取私網地址，使網絡外界無法 發(fā)現網絡內部的真實地址； ? 考慮禁止一切從公網發(fā)起的對平臺內部服務器的訪問 （除門戶服務器 、接口服務器和 運營管理服務器 外） ，包括 ICMP、 UDP、 TCP 等，如必須從外網對內網主機進行管理，要進行嚴格的訪問控制，并采取 SSH安全傳輸方式，通過安全 檢查 才允許進入； ? 對于防火墻的遠程管理可以考慮 SSH 等安全傳輸方式，盡可能不用Tel 等明文傳輸的連接方式； 具體的 華為 E1000 防火墻相關配置（例如，哪些服務器 IP 地址可以訪問內部網絡、訪問目的 IP 地址、訪問什么目的端口、協(xié)議類型等等）需要等項目 實施階段作進一步規(guī)劃 和調整，并在施工方案中進行詳細的落實和確認 。