【正文】 可以把安全信任網(wǎng)絡(luò)和非安全網(wǎng)絡(luò)進(jìn)行隔離。 ? 靈活方便的部署方式 EAD 方案部署靈活，維護(hù)方便。 ? 擴(kuò)展開放的解決方案 EAD 解決方案為客戶提供了一個(gè)擴(kuò)展、開 放的結(jié)構(gòu)框架，最大限度的保護(hù)了用戶已有的投資。 ? 基于角色的網(wǎng)絡(luò)授權(quán) 在用戶終端通過病毒、補(bǔ)丁等安全信息檢查后， EAD 可基于終端用戶的角色，向安全聯(lián)動(dòng)設(shè)備下發(fā)事先配置的接入控制策略，按照用戶角色權(quán)限規(guī)范用戶的網(wǎng)絡(luò)使用行為。 ? 完備的安全狀態(tài)評(píng)估 根據(jù)管理員配置的安全策略，用戶可以進(jìn)行的安全認(rèn)證檢查包括終端病毒庫(kù)版本檢查、終端補(bǔ)丁檢查、終端安裝的應(yīng)用軟件檢查、是否有代理、撥號(hào)配置等；為了更好的滿足客戶的 需 求， EAD 客戶端支持和微軟 SMS、 LANDesk、 BigFix 等業(yè)界桌面安全產(chǎn)品的配合 使用 ，支持和瑞星、江民、金山、 Symantec、 MacAfee、Trend Micro、 安博士、卡巴斯 基 等國(guó)內(nèi)外主流病毒廠商聯(lián)動(dòng)。當(dāng)用戶通過身份認(rèn)證但安全認(rèn)證失敗時(shí)，將被隔離到隔離區(qū)，此時(shí)用戶能且僅能訪問隔離區(qū)中的服務(wù)器，通過第三方服務(wù)器進(jìn)行自身安全修復(fù)，直到滿足安全策略要求。負(fù)責(zé)給客戶端下發(fā)安全策略、接收客戶端安全策略檢查結(jié)果并進(jìn)行審核，向安全聯(lián)動(dòng)設(shè)備發(fā)送網(wǎng)絡(luò)訪問的授權(quán)指令。 EAD 提供了靈活多樣的組網(wǎng)方案，安全聯(lián)動(dòng)設(shè)備可以根據(jù)需要靈活部署在各層比如網(wǎng)絡(luò)接入 層和匯聚層。 EAD 解決方案對(duì)用戶網(wǎng)絡(luò)準(zhǔn)入的整體認(rèn)證過程如下圖所示： （ 2）、 EAD 系統(tǒng) 組網(wǎng) 部署 如下圖所示， EAD 組網(wǎng)模型圖中包括安全客戶端、安全聯(lián)動(dòng)設(shè)備、 H3C iMC CAMS 安全策略服務(wù)器和第三方服務(wù)器 ： ? 安全客戶端 是指安裝了 H3C iNode 智能 客戶端的用戶接入終端，負(fù)責(zé)身份認(rèn)證的發(fā)起和安全策略的檢查。 下面從桌面終端認(rèn)證需求、組網(wǎng)部署、功能描述 3 方面進(jìn)行 EAD 系統(tǒng)簡(jiǎn)單介紹： （ 1）、桌面終端用戶 認(rèn)證需求 對(duì)于要接入安全網(wǎng)絡(luò)的用戶， EAD 解決方案首先要對(duì)其進(jìn)行身份認(rèn)證，通過身份認(rèn)證的用戶進(jìn)行終端的安全認(rèn)證，根據(jù)網(wǎng)絡(luò)管理員定制的安全策略進(jìn)行包括病毒庫(kù)更新情況、系統(tǒng)補(bǔ)丁安裝情況、軟件的黑白名單等內(nèi)容的安全檢查，根據(jù)檢查的結(jié)果， EAD 對(duì)用戶網(wǎng)絡(luò)準(zhǔn)入進(jìn)行授權(quán)和控制。這就需要一套完整的 端點(diǎn)準(zhǔn)入防御（ EAD， Endpoint Admission Defense）解決方案 。同時(shí)，對(duì)不同的接入用戶要做到動(dòng)態(tài)的分配不同的權(quán)限，使之歸屬于不同的 VPN，訪問授權(quán)的資源。但這種方法會(huì)消耗掉許多 ACL 資源。為了防止這種攻擊最有效的方法就是使用局域網(wǎng)常用路由協(xié)議時(shí)，必須啟用路由協(xié)議的認(rèn)證。如果兩者不一致，則將報(bào)文丟棄。 （ 3）、 UPRF： UPRF 會(huì)檢測(cè)接收到的報(bào)文中的源地址是否和其接收?qǐng)?bào)文的接口相匹配。 （ 2）、 接入設(shè)備防御 ： 利用 DHCP SNOOPING 特性，接入設(shè)備通過監(jiān)控其端口接收到的 DHCP request、 ACK、 release 報(bào)文，也可以形成一張端口下 IP、 MAC的映射表。如果找到則正常學(xué)習(xí)，否則不學(xué)習(xí)該 ARP。 （ 1）、 利用 IP 和 MAC 的綁定關(guān)系網(wǎng)關(guān)防御 ： 利用 DHCP relay 特性，網(wǎng)關(guān)可以形成本網(wǎng)段下主機(jī)的 IP、 MAC 映射表。這種判定的方式有 4 種。比如繞過利用源 IP 做的接入控制。比如 smurf 攻擊。 防 IP 偽裝 病毒和非法用戶很多情況會(huì)偽裝 IP 來實(shí)現(xiàn)攻擊。 Intrusion Protection：該特性通過檢測(cè)端口接收到的數(shù)據(jù)幀的源 MAC 地址或 認(rèn)證的用戶名、密碼，發(fā)現(xiàn)非法報(bào)文或非法事件，并采取相應(yīng)的動(dòng)作，包括暫時(shí)斷開端口連接、永久斷開端口連接或是過濾此 MAC 地址的報(bào)文，保證了端口的安全性。對(duì)于不能通過安全模式學(xué)習(xí)到源 MAC 地址的報(bào)文或 認(rèn)證失敗的設(shè)備，當(dāng)發(fā)現(xiàn)非法報(bào)文后，系統(tǒng)將觸發(fā)相應(yīng)特性，并按照預(yù)先指定的方式自動(dòng)進(jìn)行處理，減少了用戶的維護(hù)工作量，極大地提高了系統(tǒng)的安全性和可管理性。如圖。當(dāng)相同 VLAN 中的服務(wù)器之間完全沒有互訪要求時(shí)，可以設(shè)置各自連接的端口為隔離端口，如圖。 數(shù)據(jù)中心基礎(chǔ)架構(gòu)安全相關(guān)架構(gòu) 基于 VLAN 的端口隔離 交換機(jī)可以由硬件實(shí)現(xiàn)相同 VLAN 中的兩個(gè)端口互相隔離。COMWARE 可應(yīng)用在分布式或集中式的網(wǎng)絡(luò)設(shè)備構(gòu)架之上，也就是說，不僅可以運(yùn)行在高端的交換機(jī) /路由器上，而且也可以運(yùn)行在中低端的交換機(jī) /路由器上，不向其它廠商，不同的軟件運(yùn)行在不同的設(shè)備上。 COMWARE是由 H3C推出的支持多種網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)操作系統(tǒng)，它以強(qiáng)大的 IP 轉(zhuǎn)發(fā)引擎為核心，通過完善的體系結(jié)構(gòu)設(shè)計(jì)，把實(shí)時(shí)操作系統(tǒng)和網(wǎng)絡(luò)管理、網(wǎng)絡(luò)應(yīng)用、網(wǎng)絡(luò)安全等技術(shù)完美 的結(jié)合在一起。架構(gòu)安全特性涉及服務(wù)器、接入交換機(jī)、負(fù)載均衡器、匯聚交換機(jī)、核心交換機(jī)等設(shè)備，部署點(diǎn)多、覆蓋面大，是構(gòu)成整個(gè)安全數(shù)據(jù)中心的基石。架構(gòu)安全特性涉及服務(wù)器、接入交換機(jī)、負(fù)載均衡器、匯聚交換機(jī)、核心交換機(jī)等設(shè)備，部署點(diǎn)多、覆蓋面大，是構(gòu)成整個(gè)安全數(shù)據(jù) 中心的基石。 H3C 基于 SecCenter 和 iMC 的智能防御體系 H3C 全局安全管理平臺(tái) 旨在集中部署網(wǎng)絡(luò)安全 防護(hù) 策略，簡(jiǎn)化對(duì)安全部件的管理，確保網(wǎng)絡(luò)安全策略的統(tǒng)一；廣泛采集與分析來自于計(jì)算機(jī)、網(wǎng)絡(luò)、存儲(chǔ)、安全等設(shè)施的告警事件，通過關(guān)聯(lián)來自于不同地點(diǎn)、不同層次、不同類型的安全事件，發(fā)現(xiàn)真正的安全風(fēng)險(xiǎn)，提高安全報(bào)警的信噪比；準(zhǔn)確的、實(shí)時(shí)的評(píng)估當(dāng)前的網(wǎng)絡(luò)安全態(tài)勢(shì)和風(fēng)險(xiǎn)，并根據(jù)預(yù)先制定的策略做出快速響應(yīng)。 在此背景下， H3C 提出用 SecCenter（安全管理中心）和 iMC（智能管理中心）組合，來滿足數(shù)據(jù)中心系統(tǒng)全局安全管理的需求， 將安全體系 中各層次的安全產(chǎn)品、網(wǎng)絡(luò)設(shè)備、用戶終端等納入一個(gè)緊密的 “全局安全 管理平臺(tái) ” 中，通過安全策略的集中部署、安全事件的深度感知與關(guān)聯(lián)分析以及安全部件的協(xié)同響應(yīng)，在現(xiàn)有安全設(shè)施的基礎(chǔ)上構(gòu)建一個(gè) 智能 安全防御體系，大幅度提高 數(shù)據(jù)中心系統(tǒng) 的整體安全防御能力。 3) 安全事件發(fā)生以后，無法及時(shí)診斷網(wǎng)絡(luò)故障的原因，恢復(fù)困難。 ? 統(tǒng)一管理、智能聯(lián)動(dòng) 當(dāng)前，數(shù)據(jù)中心系統(tǒng)安全管理中 遇到的問題 包括 ： 1) 對(duì)實(shí)時(shí)安全信息不了解，無法及時(shí)發(fā)出預(yù)警 報(bào)告 。服務(wù)器資源是數(shù)據(jù)中心的核心，多層架構(gòu)把應(yīng)用服務(wù)器分解成可管理的、安 全的層次。 ? 分區(qū)規(guī)劃，分層部署 在網(wǎng)絡(luò)中存在不同價(jià)值和易受攻擊程度不同的設(shè)備，按照這些設(shè)備的情況制定不同的安全策略和信任模型，將網(wǎng)絡(luò)劃分為不同區(qū)域。數(shù)據(jù)中心網(wǎng)絡(luò)邊界安全定位在傳輸層與網(wǎng)絡(luò)層的安全上，通過狀態(tài)防火墻可以把安全信任網(wǎng)絡(luò)和非安全網(wǎng)絡(luò)進(jìn)行隔離，并提供對(duì) DDOS 和多種畸形報(bào)文攻擊的防御。 數(shù)據(jù)中心多層安全防御 三重防護(hù) 數(shù)據(jù)中心網(wǎng)絡(luò)提供了從鏈路層到應(yīng)用層的多層防御體系，如圖。 . XX 單位 數(shù)據(jù)中心整體安全規(guī)劃 H3C 數(shù)據(jù)中心安全解決方案的技術(shù)特色可概括為： ? 27 層防御 ? 分區(qū)分層部署 ? 統(tǒng)一管理、智能聯(lián)動(dòng) ? 27層防御： 以數(shù)據(jù)中心服務(wù)器資源為核心向外延伸有三重保護(hù)功能。 數(shù)據(jù)中心需要一個(gè)全方位一體化的安全部署 方式。企業(yè)策略和標(biāo)準(zhǔn)的成功與否取決于如何在這一層上實(shí)現(xiàn)和實(shí)施級(jí)別，這使組織能夠運(yùn)行業(yè)務(wù)，而不會(huì)有意或無意的違背企業(yè)策略，并防止業(yè)務(wù)遇到合法的或其他類型的安全問題。 o 企業(yè)安全性這一層的安全性解決方案主要集中于提供對(duì)應(yīng)用的受控訪問、驗(yàn)證用戶身份、用戶的 provisioning 和授權(quán)、審查用戶 操作，并通過加密來保護(hù)數(shù)據(jù)。 o 企業(yè)安全性這一層的安全性解決方案主要集中于保護(hù)技術(shù)設(shè)施不受物理和邏輯上的攻擊，其他主要集中方面是基礎(chǔ)設(shè)施和應(yīng)用的監(jiān)控和管理。 數(shù)據(jù)中心安全性的三個(gè)主要的層次是： ? IT 基礎(chǔ)設(shè)施和物理安全性： o 這一層泛指整個(gè) IT 基礎(chǔ)設(shè)施，企業(yè)需要 IT 基礎(chǔ)設(shè)施來運(yùn)行有效 的業(yè)務(wù)操作， IT 基礎(chǔ)設(shè)施的彈性將決定業(yè)務(wù)操作的總體效率和可用性。 從安全角度看，數(shù)據(jù)中心可以被劃分為三個(gè)主要的層次，通過對(duì)層次的劃分以及所有安全威脅在層次上的對(duì)應(yīng)，組織可以對(duì)安全威脅采用對(duì)應(yīng)的安全解決方案，并對(duì)這些解決方案進(jìn)行統(tǒng)一規(guī)劃。不但需要保護(hù)數(shù)據(jù)中心中關(guān)鍵應(yīng)用和保密數(shù)據(jù)；并需要增強(qiáng)數(shù)據(jù)中心的運(yùn)營(yíng)效率，增強(qiáng)業(yè)務(wù)競(jìng)爭(zhēng)力，而且具有擴(kuò)展性 以支持隨時(shí)可能出現(xiàn)的新業(yè)務(wù)流程。主數(shù)據(jù)中心同同城災(zāi)備中心 /異地災(zāi)備中心之間采用 4M 以上帶寬，保證網(wǎng)絡(luò)通信數(shù)據(jù)和存儲(chǔ)數(shù)據(jù)傳輸。 同城災(zāi)備中心和異地災(zāi)備中心同主數(shù)據(jù)中心之間需要通過廣域網(wǎng)連通。 同樣廣域網(wǎng)要求很好的 QoS 特性，對(duì)于多媒體業(yè)務(wù)保證清晰、流暢，保證關(guān)鍵數(shù)據(jù)業(yè)務(wù) 高可靠、低延時(shí)。 ? 多協(xié)議支持能力： IPv MPLS、 IPv6 等，為分支機(jī)構(gòu)的接入提供便利； ? 全面的 IPv4/IPv6 路由協(xié)議支持能力、大容量路由表和靈活的路由策略，如 OSPF、 BGP、 ISIS、 RIPv1/v2 等； ? 支持 IPSec、 NAT、 SSL VPN、策略路由等，提供靈活的業(yè)務(wù)和流量轉(zhuǎn)發(fā)控制能力，保證出口的安全性； ? 具有廣域網(wǎng)優(yōu)化支持能力，加速各種 Web、 FTP、 POP SMTP 等上層應(yīng)用 . 數(shù)據(jù)大集中廣域網(wǎng)整合方案 數(shù)據(jù)大集中必然要求各級(jí) XX 單位 網(wǎng)絡(luò)暢通，這就要求有高可靠、帶寬充足的廣域網(wǎng)，滿足信息化數(shù)據(jù)、視頻會(huì)議、語(yǔ)音、應(yīng)急指揮視頻監(jiān)控 需求。 在外聯(lián)區(qū)部署匯聚交換機(jī)對(duì)多臺(tái)外聯(lián)路由器進(jìn)行匯聚；在匯聚 交換機(jī)上部署集成式防火墻 、 IPS、應(yīng)用控制網(wǎng)關(guān)模塊 具有三大優(yōu)勢(shì)： ? 只需部署一道防火墻，減少設(shè)備數(shù)量，無需部署多臺(tái)、多層防火墻； ? 性能高、策略集中控制、簡(jiǎn)化部署和維護(hù)； ? 一道防火墻可同時(shí)對(duì)三個(gè)方向的數(shù)據(jù)流進(jìn)行控制：外聯(lián)之間互訪、外部合作伙伴訪問外聯(lián)服務(wù)器、外聯(lián)服務(wù)器訪問核心區(qū) 廣域網(wǎng)接入?yún)^(qū)為下屬 XX 單位 訪問數(shù)據(jù)中心提供網(wǎng)絡(luò)接入，該區(qū)域需要部署高性能、特性豐富的路由器，并采用雙設(shè)備雙鏈路雙歸屬部署。 外聯(lián)區(qū)接入交換機(jī)，為區(qū)域內(nèi)服務(wù)器群提供接入；服務(wù)器接入采用二層。部分外聯(lián)單位可能要求的獨(dú)立的路由器與之互聯(lián)。 區(qū)域內(nèi)部署代理服務(wù)器、通信前置機(jī)與合作伙伴的服務(wù)器進(jìn)行通信，彼此之間的服務(wù)器通常情況下不允許直接互訪。實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)、安全、設(shè)備、系統(tǒng)、應(yīng)用、數(shù)據(jù)等的管理維護(hù)； ? 所有主機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備等單獨(dú)組建 KVM 管理網(wǎng)，也連接到該區(qū)，以便能夠直接操作到所有的設(shè)備； ? 安全管理中心，實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)安全事件監(jiān)管 該區(qū)部署 2 臺(tái)匯聚交換機(jī)＋防火墻模塊和多臺(tái)接入交換機(jī)。 ? 匯聚層同樣 采用堆疊技術(shù)，提升整體的可靠性，簡(jiǎn)化配置和管理、業(yè)務(wù)部署更平滑?？紤]到安全性及服務(wù)器高可用性，各匯聚交換機(jī)設(shè)置防火墻、 IPS、負(fù)載均衡業(yè)務(wù) 模塊。 對(duì)于資金壓力不是特別緊張 XX 單位 ，建議采用方案 1，否則可以采用方案2，但需要同部 XX 單位 進(jìn)行協(xié)商。 XX 單位 在實(shí)現(xiàn) 2 地 3 中心方式上有兩種方案，方案 1：同樣設(shè)置同城 災(zāi)備和異地備份中心；方案 2：設(shè)置同城災(zāi)備中心，但共用部 XX 單位 異地備份中心。 廣域網(wǎng)區(qū)向上連接部 XX 單位 ，向下連接分支機(jī)構(gòu)。 XX 單位 參考架構(gòu) ： XX 單位 數(shù)據(jù)中心架構(gòu)同部 XX 單位 ，但數(shù)據(jù)中心規(guī)模和功能區(qū)設(shè)置有所差別 由于 XX 單位 進(jìn)行全國(guó)信息化資源整合建設(shè)，有些業(yè)務(wù)功能服務(wù)器設(shè)置在國(guó)家 XX 單位 ，如：船舶管理，因此， XX 單位 主要設(shè)置面向本 XX 單位 轄區(qū)船員、通航、綜合管理等服務(wù)器。 系統(tǒng)管理區(qū)設(shè)置面向整個(gè) XX 單位 的：網(wǎng)絡(luò)管理、安全管理、防病毒管理、IT 基礎(chǔ)設(shè)施管理。統(tǒng)一設(shè)置建設(shè)的 SAN 存儲(chǔ)系統(tǒng)方便實(shí)現(xiàn)本地備份，同城和異地備份、容災(zāi)，避免各業(yè)務(wù)系統(tǒng)各自單獨(dú)建設(shè)存儲(chǔ)系統(tǒng)、備份和容災(zāi)系統(tǒng)。 廣域網(wǎng)區(qū)連接各 XX 單位 。 數(shù)據(jù)中心核心交換區(qū)將各個(gè)功能區(qū)連通，實(shí)現(xiàn)各功能區(qū)之間，前端 PC 同各服務(wù)器區(qū)之間實(shí)時(shí)、穩(wěn)定、高效數(shù)據(jù)交換。 模塊化數(shù)據(jù)中心好處是 ：有利于網(wǎng)絡(luò)穩(wěn)定，方便功能區(qū)更改擴(kuò)容，方便管理維護(hù)，統(tǒng)一出口避免重復(fù)建設(shè)。 因此， XX 單位 數(shù)據(jù)中心方案建議采用統(tǒng)一交換架構(gòu)的網(wǎng)絡(luò)、計(jì)算、存儲(chǔ)。而每個(gè)數(shù)據(jù)中心核心交換機(jī)緩存大小均要求在萬(wàn)兆全線速條件下達(dá)到 200 毫秒的突發(fā)流量緩存能力，因此，在突發(fā)引起瞬時(shí)擁塞時(shí)， N 個(gè)端口向一個(gè)端口轉(zhuǎn)發(fā)的緩存能力是 N*200 毫秒，與傳統(tǒng)出端口緩 存固定能力相比有本質(zhì)的提升。設(shè)備需要支持電源和主控故障不丟包技術(shù)。 在高密應(yīng)用集中環(huán)境下，基礎(chǔ)網(wǎng)絡(luò)的高性能和可靠性要求變得苛刻，大量應(yīng)用密集情況下，局部故障影響范圍必須縮小。 適合于數(shù)據(jù)中心需要的無丟包以太網(wǎng)技術(shù)標(biāo)準(zhǔn)族（ 、 、 Data Center Bridging Exchange Protocol）和相關(guān)技術(shù)已經(jīng)發(fā)布。近幾年高性能計(jì)算 TOP500 排名中超過 50%的計(jì)算網(wǎng)絡(luò)互聯(lián)采用了千兆以太網(wǎng)。 基于以上需求，考慮到業(yè)界數(shù)據(jù)中心技術(shù)發(fā)展趨勢(shì)，建議該數(shù)據(jù)中心采用新的統(tǒng)一以太網(wǎng)交換架構(gòu)建設(shè)，通過萬(wàn)兆以太網(wǎng)組建數(shù) 據(jù)中心前端通信 IP 網(wǎng)絡(luò)、前端計(jì)算通信平臺(tái)、后端存儲(chǔ)交換平臺(tái)： 隨著以太網(wǎng)技術(shù)的普及，新的技術(shù)標(biāo)準(zhǔn)不斷推動(dòng)基礎(chǔ)平臺(tái)架構(gòu)的變化與融合，萬(wàn)兆交 換系統(tǒng)的時(shí)延已經(jīng)降到微妙級(jí)別，而且當(dāng)前已經(jīng)有技術(shù)