【正文】 19 SecBlade 防火墻默認(rèn)提供四個安全區(qū)域： trust、 untrust、 DMZ、 local，在提供三個最常用的安全邏輯區(qū)域的基礎(chǔ)上還新增加了本地邏輯安全區(qū)域，本地安全區(qū)域可以定義到防火墻本。 SecBlade 防火墻提供了基于安全區(qū)域的隔離模型，每個安全區(qū)域可以按照網(wǎng)絡(luò)的實際組網(wǎng)加入任意的接口，因此 SecBlade 的安全管理模型是不會受到網(wǎng)絡(luò)拓?fù)涞挠绊?。狀態(tài) 防火墻還采用基于流的狀態(tài)檢測技術(shù)可以提供更高的轉(zhuǎn)發(fā)性能， 可以根據(jù)流的信息決定數(shù)據(jù)包是否可以通過防火墻，這樣就可以利用流的狀態(tài)信息決定對數(shù)據(jù)包的處理結(jié)果加快了轉(zhuǎn)發(fā)性能。 XXX SecPath 系列防火墻以其高效可靠的防攻擊手段，和靈活多變的安全區(qū)域配置策略擔(dān)負(fù)起是守護(hù)數(shù)據(jù) 中心邊界安全的的重任。但這種方法會消耗掉許多 ACL 資源。為了防止這種攻擊最有效的方法就是使用局域網(wǎng)常用路由協(xié)議時，必須啟用路由協(xié)議的認(rèn)證。如果兩者不一致，則將報文丟棄。 UPRF UPRF 會檢測接收到的報文中的源地址是否和其接收報文的接口相匹配。 接入設(shè)備防御 利用 DHCP SNOOPING 特性，接入設(shè)備通過監(jiān)控其端口接收到的 DHCP request、 ACK、release 報文，也可以形成一張端口下 IP、 MAC 的映射表。如果找到則正常學(xué)習(xí)，否 18 則不學(xué)習(xí)該 ARP。 利用 IP 和 MAC 的綁定關(guān)系網(wǎng)關(guān)防御 利用 DHCP relay 特性，網(wǎng)關(guān)可以形成本網(wǎng)段下主機(jī)的 IP、 MAC 映射表。分別在內(nèi)網(wǎng)和內(nèi)外網(wǎng)的邊界使用。 ? 隱藏攻擊源 設(shè)備防止 IP 偽裝的關(guān)鍵在于如何判定設(shè)備接收到的報文的源 IP 是經(jīng)過偽裝的。 ? 麻痹網(wǎng)絡(luò)中的安全設(shè)施。偽裝 IP 有三個用處： ? 本身就是攻擊的直接功能體。 Device Tracking：該特性是指當(dāng)端口有特定的數(shù)據(jù)包（由非法入侵，用戶不正常上下線等原因引起）傳送時，設(shè)備將會發(fā)送 Trap 信息，便于網(wǎng)絡(luò)管理員對這些特殊的行為進(jìn)行監(jiān)控。 端口安全的特性包括： NTK： NTK（ Need To Know）特性通過檢測從端口發(fā)出的數(shù)據(jù)幀的目的 MAC 地址，保證數(shù)據(jù)幀只能被發(fā)送到已經(jīng)通過認(rèn)證的設(shè)備上，從而防止非法設(shè)備竊聽網(wǎng)絡(luò)數(shù)據(jù)。 端口安全 端口安全（ Port Security）的主要功能就是通過定義各種安全模式，讓設(shè)備學(xué)習(xí)到合法的源 MAC 地址，以達(dá)到相應(yīng)的網(wǎng)絡(luò)管理效果。這樣可以更好的保證相同安全區(qū)域內(nèi)的服務(wù)器之間的安全： STP Root/BPDU Guard 基于 Root/BPDU Guard 方式的二層連接保護(hù)保證 STP/RSTP 穩(wěn)定 ,防止攻擊 ,保障可靠的二層連接。隔離后這兩個端口在本設(shè)備內(nèi)不能實現(xiàn)二、三層互通。 COMWARE的這一特性可使網(wǎng)絡(luò)中各節(jié)點設(shè)備得到同一的安全特性，徹底避免了由于部件產(chǎn)品安全特性不一致、不統(tǒng)一造成的安全“短木板效應(yīng)”。作為一個不斷發(fā)展、可持續(xù)升級的平臺，它具有開放的接口，可靈活支持大量的網(wǎng)絡(luò)協(xié)議和安全特性。 XXX 憑借基于 COMWARE 的具有豐富安全特性全系列智能交換機(jī)為數(shù)據(jù)中心打造堅實的基礎(chǔ)構(gòu)架。 網(wǎng)絡(luò)基礎(chǔ) 安全部署 數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ) 架構(gòu) 的安全特性 是數(shù)據(jù)中心中各部件產(chǎn)品基本安全特性的通稱。數(shù)據(jù)中心網(wǎng)絡(luò)邊界安全定位在傳輸層與網(wǎng)絡(luò)層的安全上，通過狀態(tài)防火墻可以把安全信任網(wǎng)絡(luò)和非安全網(wǎng)絡(luò)進(jìn)行隔離，并提供對 DDOS 和多種畸形報文攻擊的防御。 圖 數(shù)據(jù)中心多層安全防御 三重保護(hù)的同時為數(shù)據(jù)中心網(wǎng)絡(luò)提供了從鏈路層到應(yīng)用層的多層防御體系，如圖。 三重保護(hù)，多層防御 圖 數(shù)據(jù)中心三重安全保護(hù) 以數(shù)據(jù)中心服務(wù)器資源為核心向外延伸有三重保護(hù)功能。 XXX數(shù)據(jù)中心安全解決方案秉承了 XXX 一貫倡導(dǎo)的 “安全滲透理念 ”，將安全部署滲透到整個數(shù)據(jù)中心的設(shè)計、部署、運維中，為數(shù)據(jù)中心搭建起一個立體的、無縫的安全平臺，真正做到了使安全 貫穿數(shù)據(jù)鏈路層到網(wǎng)絡(luò)應(yīng)用層的目標(biāo)，使安全保護(hù)無處不在。 數(shù)據(jù)中心的安全防護(hù)體系不能僅依靠單獨的某個安全產(chǎn)品，還要依托整個網(wǎng)絡(luò)中各部件的安全特性。 “木桶的裝水量還取決于木板間的緊密程度 ”，一個網(wǎng)絡(luò)的安全不僅 依賴于單個部件產(chǎn)品的安全特性，也依賴于各安全部件之間的緊密協(xié)作。 15 對網(wǎng)絡(luò)基礎(chǔ)設(shè)施的攻擊 數(shù)據(jù)中心象一座擁有巨大財富的城堡，然而堅固的堡壘最容易從內(nèi)部被攻破，來自數(shù)據(jù)中心內(nèi)部的攻擊也更具破壞性。 常見的 DDOS 攻擊方法有 SYN Flood、 Established Connection Flood 和 Connection Per Second Flood。 面向網(wǎng)絡(luò)層的攻擊 除了由于系統(tǒng)漏洞造成的應(yīng)用攻擊外，數(shù)據(jù)中心還要面對拒絕服務(wù)攻擊（ DoS）和分布式拒絕服務(wù)攻擊（ DDoS）的挑戰(zhàn)。 數(shù)據(jù)中心 安全建設(shè) 數(shù)據(jù)中心 面對的安全挑戰(zhàn) 面向應(yīng)用層的攻擊 常見的應(yīng)用攻擊包括惡意蠕蟲、病毒、緩沖溢出代碼、后門木馬等，最典型的應(yīng)用攻擊莫過于 “蠕蟲 ”。 MONITORLINK 用于擴(kuò)展 SMARTLINK的鏈路備份的范圍，通過監(jiān)控上行鏈路對下行鏈路進(jìn)行同步設(shè)置，達(dá)到上行鏈路故障迅速傳達(dá)給下行設(shè)備，從而觸發(fā) SMARTLINK 的主備鏈路切換，防止長時間因上行鏈路故障而出現(xiàn)流量丟失。 14 圖 雙上行組網(wǎng) 針對雙上行組網(wǎng)， XXX 提出了 SMARTLINK 解決方案，實現(xiàn)主備鏈路冗余備份及快速遷移。相比 STP（ Spanning Tree Protocol, 生成樹協(xié)議）， SMARTLINK 技術(shù)能夠提供更快速的收斂性能，相比 RRPP（ Rapid Ring Protection Protocol）， SMARTLINK 技術(shù)提供了更 簡潔的配置使用方式。當(dāng)主設(shè)備出現(xiàn)故障時，備份設(shè)備成為新的主設(shè)備，接替它的工作。而這個網(wǎng)絡(luò)上的主機(jī)與虛擬網(wǎng)關(guān)通信，無需了解這個網(wǎng)絡(luò)上物理設(shè)備的任何信息。 VRRP 實現(xiàn)三層的負(fù)載均衡和冗余備份 VRRP（ Virtual Router Redundancy Protocol， 虛擬路由冗余協(xié)議）是一種容錯協(xié)議，它保證當(dāng)主機(jī)的下一跳設(shè)備壞掉時，可以及時的由另一臺設(shè)備來代替，從而保持通訊的連續(xù)性和可靠性。 MSTP 提高網(wǎng)絡(luò)的可靠性，實現(xiàn)基于 VLAN 的負(fù)載均衡和冗余備份根保護(hù)和雙根冗余 MSTP 相對于之前的各種生成樹協(xié)議而言，優(yōu)勢非常明顯。影響數(shù)據(jù)中心的故障主要分為如下幾類： ? 硬件故障 ? 軟件 故障 ? 鏈路故障 ? 電源 /環(huán)境故障 ? 資源利用問題 ? 網(wǎng)絡(luò)設(shè)計問題 高可用性設(shè)計 以下五個方面覆蓋了上述的所有方面，保證了 數(shù)據(jù)中心 解決方案的高可用性： 1) 先進(jìn)的“分區(qū)”理念從網(wǎng)絡(luò)構(gòu)架上保證了 數(shù)據(jù)中心 的高可用性。 6. 對數(shù)據(jù)庫備份使用快照代理，保證備份數(shù)據(jù)一致性，具備良好實用性 4 數(shù)據(jù)中心 高可用性 數(shù)據(jù)中心 故障分析 數(shù)據(jù)中心 需要保證網(wǎng)絡(luò)的穩(wěn)定運行和業(yè)務(wù)的持續(xù)能力，著重關(guān)注如何盡量減小數(shù)據(jù)中心出現(xiàn)故障后對關(guān)鍵業(yè)務(wù)造成的影響。 方案亮點 1. 萬兆存儲，提供高性能，高可靠性存儲服務(wù) 2. 資源使用按需分配，靈活合理 3. 整體架構(gòu)基于 IP，標(biāo)準(zhǔn)性，開放性方便具備先天優(yōu)勢， 后續(xù)遠(yuǎn)程災(zāi)備實現(xiàn)簡單 4. IP 復(fù)制策略豐富，接管快速，管理簡單 5. 自動連續(xù)快照保護(hù)提供 255 個時間點保護(hù)，數(shù)量業(yè)界最多。 3. 在線存儲 IX3620 上數(shù)據(jù)通過 IP 復(fù)制技術(shù)備份到本地 IX3080 備份存儲設(shè)備上。國內(nèi)在國務(wù)院辦公廳， 勞動和社會保障部 ，國土資源部， 國家人事部 等重要部門的成功應(yīng)用確保方案設(shè)計的成熟性和實用性。 5. 在線存儲設(shè)備和備份存儲設(shè)備均采用后接磁盤柜技術(shù)，最大容量可擴(kuò)展到 336T，確保存儲系統(tǒng)的擴(kuò)展性。本方案中在線存儲設(shè)備和備份存儲設(shè)備均為雙控互為冗余設(shè)計，確保系統(tǒng)的可靠性。方案使用 IX3080 自帶的自動連續(xù)數(shù)據(jù)快照功能，自動保存設(shè)定時間間隔內(nèi)數(shù)據(jù)增量，一旦發(fā)生數(shù)據(jù)錯誤，可以在 2 分鐘之內(nèi)恢復(fù)到正確歷史時間點的數(shù)據(jù)狀態(tài)。 2. 存儲 SAN 網(wǎng)絡(luò)基 于 XXX 多業(yè) 9505 交換機(jī)，高性能業(yè)務(wù)采用萬兆接入，其他應(yīng)用采 11 用千兆接入，實現(xiàn)整體系統(tǒng)資源分配靈活性 3. 本方案設(shè)計中在線萬兆存儲設(shè)備使用自帶復(fù)制功能將數(shù)據(jù)備份到本地備份存儲設(shè)備IX3080 上，保障在線存儲設(shè)備安全性。因而，方案不僅適應(yīng)新技術(shù)發(fā)展方向，保證 系統(tǒng) 的先進(jìn)性，同時也兼顧成熟的 存儲 技術(shù)和經(jīng)濟(jì)實用性。 可擴(kuò)展性 考慮到將來數(shù)據(jù)的激增情況，存儲系統(tǒng)的可擴(kuò)展性也是必須考慮的問題 。一個不標(biāo)準(zhǔn)、不開放的 平臺將極大的阻礙數(shù)據(jù)中心業(yè)務(wù)運作和發(fā)展。 開放式、標(biāo)準(zhǔn)化 無論是從現(xiàn)在、還是從發(fā)展的眼光看，數(shù)據(jù)中心是一個集 中了各類至關(guān)重要的設(shè)備、軟件， 應(yīng)用系統(tǒng) 和存儲系統(tǒng)，集成了當(dāng)今最先進(jìn)的計算機(jī)類產(chǎn)品的地方。因此存儲系統(tǒng)建設(shè)必須考慮存儲接入和資源分 配的靈活性。 10 3 數(shù)據(jù)中心存儲設(shè)計 存儲系統(tǒng) 設(shè)計原則 根據(jù) 社保 數(shù)據(jù)中心的需求和將來的發(fā)展，在 存儲系統(tǒng) 設(shè)計中遵循下面的原則： 高性能 數(shù)據(jù)中心在線存儲系統(tǒng)服務(wù)于城鎮(zhèn)居民醫(yī)療保險系統(tǒng)以及后續(xù)將添加的養(yǎng)老，失業(yè)，工傷，生育保險系統(tǒng)，龐大的數(shù)據(jù)應(yīng)用決定了在線存儲系統(tǒng)必須具備極高性能。 “IT 資源使用者 ” 使用 “IT 資源 ”滿足其業(yè)務(wù)需求， iMC 第三個管理的內(nèi)容就是業(yè)務(wù)。 XXX智能管理中心 iMC XXX iMC 智能管理平臺不僅提供 網(wǎng)絡(luò) /服務(wù)管理軟件和網(wǎng)絡(luò)硬件設(shè)備對 SNMP 網(wǎng)絡(luò)管理協(xié)議都有著完備的支持，而且所支持的所有 SNMP 管理信息庫 (MIB)的定義都可以免費提供給用戶或第三方 ，實現(xiàn) 融合 化 的 智能 管理： iMC 管理的對象不僅再是路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備了，更延展到服務(wù)器、存儲設(shè)備（ IPSAN）、視頻設(shè)備、無線設(shè)備甚至網(wǎng)絡(luò)打印機(jī)、 UPS 等各類 IT 資源。當(dāng)與應(yīng)用服務(wù)器通訊的網(wǎng)絡(luò)出現(xiàn)故障或需要對服務(wù)器進(jìn) 行操作系統(tǒng)升級 /更新時，管理員可以利用帶外管理網(wǎng)對服務(wù)器進(jìn)行直接操作，網(wǎng)絡(luò)管理中心在 數(shù)據(jù)中心 體系結(jié)構(gòu)中的位置參見下圖： 9 圖 電信 數(shù)據(jù)中心 網(wǎng)管中心 在管理信息的流程上，網(wǎng)絡(luò)管理協(xié)議采用國際標(biāo)準(zhǔn)的 SNMP 簡單網(wǎng)管協(xié)議。管理系統(tǒng)對 數(shù)據(jù)中心 中眾多應(yīng)用服務(wù)器的管理訪問和信息交換在正常情況下均是通過后端帶內(nèi)管理網(wǎng)來完成的。 在管理方式上，對 數(shù)據(jù)中心 網(wǎng)絡(luò)設(shè)備的管理采用帶內(nèi)網(wǎng)管而對應(yīng)用服務(wù)器的管理采用以帶內(nèi)管理為主，帶內(nèi) /帶外管理互為備份的管理方式。 強(qiáng)壯性（ Robust）和高可用性（ High Availability） 管理功能模塊盡量相互集成 管理系統(tǒng)整體設(shè)計方案 數(shù)據(jù)中心 管理系統(tǒng)在管理范疇上將不但覆蓋 數(shù)據(jù)中心 的所有硬件設(shè)備（ IP 路由器、交換機(jī)、 防火墻 、存儲 和服務(wù)器等 )，還將包括 數(shù)據(jù)中心 中服務(wù)器上運行的應(yīng)用程序以及網(wǎng)絡(luò)和應(yīng)用的運行狀況 、網(wǎng)絡(luò)訪問用戶等， 使系統(tǒng)管理員在 數(shù)據(jù)中心 管理中心實現(xiàn)對 數(shù)據(jù)中心 的全方位管理。 高度的規(guī)?？蓴U(kuò)展性（ Scalability）：能管理 從數(shù)據(jù)中心到全區(qū)社保廣域網(wǎng)，設(shè) 置外聯(lián)單位的主機(jī)。 豐富的管理功能：管理系統(tǒng)應(yīng)能提供包括故