【正文】 離的設(shè)計(jì)理念。在業(yè)務(wù)部署上，采用 靈活的旁掛和控制策略，可為用戶提供一站式的可定制服務(wù) ，滿足用戶全方位高安全、高性能 。在核心層設(shè)計(jì)以高可靠，高速交換為主要原則； 核心層是整個(gè)數(shù)據(jù)中心最靠近外聯(lián)區(qū)域的，同時(shí)接入了出口路由器 SR6608 和內(nèi)部 web 服務(wù)器。 接入層 /IP SAN 交換 在數(shù)據(jù)庫(kù)服務(wù)器和 IP SAN 存儲(chǔ)主機(jī)之間，構(gòu)建高性能無阻塞交換的存儲(chǔ)區(qū)域網(wǎng)交換機(jī)， 7 為存儲(chǔ)數(shù)據(jù)流提供轉(zhuǎn)發(fā) 。但是在方案啊設(shè)計(jì)時(shí)應(yīng)考慮到五保合一需求帶來的數(shù)據(jù)中心業(yè)務(wù)擴(kuò)展，實(shí)現(xiàn)更多分區(qū) 的自由接入，更大數(shù)據(jù)量的無阻塞交換和更多服務(wù)器的負(fù)載均衡 。 在規(guī)劃建設(shè) 數(shù)據(jù)中心 時(shí)還需要同步建設(shè)一套網(wǎng)絡(luò)和服務(wù)管理支撐系統(tǒng)，以便在采用最新科技推出 數(shù)據(jù)中心 業(yè)務(wù)的同時(shí)增強(qiáng)所提供服務(wù)的整體可管理性，提升對(duì) 公眾 的服務(wù)水準(zhǔn)，并且能盡最大可能降低 數(shù)據(jù)中心 的管理維護(hù)開銷。 數(shù)據(jù)中心 的網(wǎng)絡(luò)和服務(wù)管理系統(tǒng) 內(nèi)容 數(shù)據(jù)中心 的 網(wǎng)絡(luò)和服務(wù)管理系統(tǒng) 包括以下幾個(gè)方面： ? 網(wǎng)絡(luò)拓?fù)涔芾? ? 故障管理 ? 配置管理 ? 性能管理 ? 網(wǎng)絡(luò)安全管理 系統(tǒng)建設(shè) 特點(diǎn) 統(tǒng)一管理：為簡(jiǎn)化管理；方便管理員的操作；減少管理控制臺(tái)的數(shù)量，管理系統(tǒng)應(yīng)能提供一個(gè)中央管理主控臺(tái)，顯示 數(shù)據(jù)中心 中所有被管理對(duì)象的管理信息。 8 面向業(yè)務(wù)： 數(shù)據(jù)中心 網(wǎng)絡(luò)和服務(wù)管理系統(tǒng)應(yīng)能直觀地管理到 數(shù)據(jù)中心 提供給 的多種服務(wù)，在最大程度上保證 數(shù)據(jù)中心 業(yè)務(wù)的運(yùn)行的穩(wěn)定和高效。 模塊化結(jié)構(gòu)：管理員可以根據(jù)實(shí)際的管理需求靈活構(gòu)造管理系統(tǒng)。 開放且易于使用：管理系統(tǒng)必須支持標(biāo)準(zhǔn)的網(wǎng)絡(luò)管理協(xié)議，提供用戶友好的 Web 管理界面，這樣可以在采用先進(jìn)技術(shù)的同時(shí)不會(huì)增加業(yè)務(wù)運(yùn)行的人工管理成本。 。 管理系統(tǒng)在結(jié)構(gòu)上采用單層結(jié)構(gòu)，通過后端（ Backend）網(wǎng)絡(luò)連入 數(shù)據(jù)中心 ，并通過防火墻與 數(shù)據(jù)中心 的前端網(wǎng)絡(luò)相連。在建設(shè)應(yīng)用服務(wù)器帶外管理網(wǎng)時(shí)，將通過在 數(shù)據(jù)中心 機(jī)房中服務(wù)器群機(jī)架上配置獨(dú)立的終端服務(wù)器（ Terminal Server）來實(shí)現(xiàn)。利用后端帶內(nèi)管理網(wǎng)傳遞管理信息可以實(shí)現(xiàn)應(yīng)用服務(wù)器管理信息與 Inter 訪問數(shù)據(jù)信息的隔離傳輸，杜絕其相互干擾。利用 SNMP協(xié)議， 數(shù)據(jù)中心 管理中心的管理服務(wù)器可接收被管理設(shè)備發(fā)出的報(bào)警信息或?qū)Ρ还芾碓O(shè)備進(jìn)行主動(dòng)的工作狀態(tài)查詢和管理信息的采集 /設(shè)置。 除了硬件的 IT 資源外， iMC 創(chuàng)新的把 IT 使用者（人）也納入了管理范圍，即不但能看到 IT 資源的工作狀況（告警、性能等信息），更能看到 IT 資源的使用情況（即為誰所用等）。目前 iMC 能支持的包 括 MPLS VPN 業(yè)務(wù)、基本上網(wǎng)認(rèn)證業(yè)務(wù)、 EAD 安全準(zhǔn)入業(yè)務(wù)等。 靈活性 數(shù)據(jù)中心在線存儲(chǔ)系統(tǒng)不僅服務(wù)于五險(xiǎn)數(shù)據(jù)等大型數(shù)據(jù)庫(kù)應(yīng)用，還需要服務(wù)于網(wǎng)站發(fā)布，決策分析，數(shù)據(jù)交互平臺(tái)，刷卡系統(tǒng)等對(duì)性能要求不高的應(yīng)用系統(tǒng)。 安全性、可靠性和容錯(cuò)性 由于 社保數(shù)據(jù)中心向參保人員、醫(yī)保單位 提供數(shù)據(jù)類服務(wù)的性質(zhì)，決定了其 存儲(chǔ)系統(tǒng) 設(shè)計(jì) 一個(gè)重要 的原則就是， 必須保證數(shù)據(jù)的安全性和容錯(cuò)性以及系統(tǒng)的可靠性。數(shù)據(jù)中心的 平臺(tái)的目的在互連不同制造廠商的 設(shè)備，實(shí)現(xiàn)計(jì)算機(jī)軟、硬件資源的數(shù)據(jù)交換。 為此必須建立一個(gè)由開放式、標(biāo)準(zhǔn)化 的存儲(chǔ) 系統(tǒng)組成的平臺(tái)來滿足當(dāng)前可實(shí)現(xiàn)的應(yīng)用要求，又能適應(yīng)今后系統(tǒng)擴(kuò)展的需要。 實(shí)用性、先進(jìn)性、成熟性 我們所處的時(shí)代是信息時(shí)代，通信和計(jì)算機(jī)技術(shù)的發(fā)展日新月異。 廣西社保數(shù)據(jù)中心存儲(chǔ) 設(shè)計(jì)概 述 1. 本存儲(chǔ)系統(tǒng)方案設(shè)計(jì)選用 XXX 萬兆存儲(chǔ)設(shè)備 IX3620 作為在線存儲(chǔ)設(shè)備，先進(jìn)的全交換，端到端萬兆體系保證存儲(chǔ)系統(tǒng)的高性能。一旦出現(xiàn)在線存儲(chǔ)設(shè)備硬件損壞情況，備份設(shè)備可在 5 分鐘內(nèi)接管業(yè)務(wù)。自動(dòng)連續(xù)數(shù)據(jù)快照功能提供 255 個(gè)時(shí)間點(diǎn)保護(hù)，有效確保系統(tǒng)的容錯(cuò)性。 4. 整體存儲(chǔ)系統(tǒng)為 IP SAN 架構(gòu)， IP 技術(shù)的使用保證系統(tǒng)的開放性和標(biāo)準(zhǔn)性。 6. 方案中采用的 IP SAN 技術(shù)，萬兆存儲(chǔ)技術(shù)，自動(dòng)連續(xù)快照保護(hù)技術(shù)均為業(yè)界最為先進(jìn)的存儲(chǔ)技術(shù)。 網(wǎng)絡(luò)拓?fù)? 廣西社保數(shù)據(jù)中心存儲(chǔ)系統(tǒng)拓?fù)? 組網(wǎng)說明 ： 1. 五保合一應(yīng)用系統(tǒng)服務(wù)器萬兆鏈接 IP San 交換機(jī) 9505，從而連接存儲(chǔ)系統(tǒng)，其他應(yīng)用系統(tǒng)服務(wù)器使用千兆接入 12 2. 所有應(yīng)用系統(tǒng)數(shù)據(jù)存放在在線萬兆存儲(chǔ)設(shè)備 IX3620 上。 4. IX3080 備份存儲(chǔ)設(shè)備上的備份數(shù)據(jù)卷使用自動(dòng)連續(xù)快照保護(hù)，自動(dòng)記錄設(shè)定時(shí)間間隔的數(shù)據(jù)變化量。保護(hù)時(shí)間間隔最小 10 分鐘，業(yè)界最短。為了實(shí)現(xiàn)這一目標(biāo)，首先 需要 了解數(shù)據(jù)中心出現(xiàn)故障的類型以及該類型故障產(chǎn)生的影響。 13 2) 獨(dú)立的帶內(nèi)帶外管理網(wǎng)，保證數(shù)據(jù)和管理分離，保障設(shè)備的可管理性 3) 關(guān)鍵鏈路，設(shè)備冗余備份 4) 負(fù)載均衡產(chǎn)品的引入保證 47 層的負(fù)載均衡 5) 高可用的網(wǎng)絡(luò)設(shè)備支撐整個(gè) 數(shù)據(jù)中心 的高可用性 端口捆綁 提高網(wǎng)絡(luò)的可靠性，實(shí)現(xiàn)基于物理端口的負(fù)載均衡和冗余備份 鏈路聚合 Link aggregation 也稱主干（ Trunking）或捆 綁技術(shù)（ Bonding），其實(shí)質(zhì)是將兩臺(tái)設(shè)備間的數(shù)條物理鏈路 “組合 ”成邏輯上的一條數(shù)據(jù)通路，提高鏈路的可用性，提高鏈路帶寬，只要還存在能正常工作的成員，整個(gè)傳輸鏈路就不會(huì)失效，最大帶寬等于各成員帶寬之和鏈路級(jí)負(fù)載分擔(dān)，按需增長(zhǎng)的帶寬。 MSTP 具有 VLAN 認(rèn)知能力，可以實(shí)現(xiàn)負(fù)載均衡，可以實(shí)現(xiàn)類似 RSTP 的端口狀態(tài)快速切換，可以捆綁多個(gè) VLAN 到一個(gè)實(shí)例中以降低資源占用率，并 且可以很好地向下兼容 STP/RSTP 協(xié)議。為了使 VRRP 工作，首先要?jiǎng)?chuàng)建一個(gè)虛擬 IP 地址和 MAC 地址，這樣在這個(gè)網(wǎng)絡(luò)中就加入了一個(gè)虛擬網(wǎng)關(guān)。一個(gè)虛擬網(wǎng)關(guān)由一個(gè)主設(shè)備（ Master）和若干個(gè)備份設(shè)備（ Backup）組成，主設(shè)備實(shí)現(xiàn)真正的轉(zhuǎn)發(fā)功能。 SmartLink SMARTLINK，中文譯為靈活鏈路，又稱為備份鏈路，是一種為鏈路雙上行提供可靠高效的備份和切換機(jī)制的解決方案，常用于雙上行組網(wǎng)。 SMARTLINK 技術(shù)是 XXX 公司的私有技術(shù)，已經(jīng)申請(qǐng)發(fā)明專利。該方案為雙上行組網(wǎng)量身定做，即保證了性能，又簡(jiǎn)化了配置，同時(shí)，作為對(duì)SMARTLINK 的一個(gè)補(bǔ)充，還引入了端口聯(lián)動(dòng)的方案，也即是 MONITORLINK，用于監(jiān)控上行鏈路，使 SMARTLINK 備份作用更為完善。 SMARTLINK 及 MONITORLINK 技術(shù)適用于二層網(wǎng)絡(luò)，能夠達(dá)到亞秒級(jí)收斂。應(yīng)用攻擊的共同特點(diǎn)是利用了軟件系統(tǒng)在設(shè)計(jì)上的缺陷， 其 傳播都基于現(xiàn)有的業(yè)務(wù)端口 ，因此應(yīng)用攻擊可以毫不費(fèi)力的躲過那些傳統(tǒng)的或者具有少許深度檢測(cè)功能的防火墻。 DOS/DDOS 是一種傳統(tǒng)的網(wǎng)絡(luò)攻擊方式，然而其破壞力卻十分強(qiáng)勁。已發(fā)現(xiàn)的 DOS 攻擊程序有 ICMP Smurf、 UDP 反彈，而典型的 DDOS 攻 擊程序有 Zombie、 TFN2K、 Trinoo 和 Stacheldraht 等。 “木桶的裝水量取決于最短的木板 ”，涉及內(nèi)網(wǎng)安全防護(hù)的部件產(chǎn)品非常多，從接入層設(shè)備到匯聚層設(shè)備再到核心層設(shè)備，從服務(wù)器到交換機(jī)到路由器、防火墻，幾乎每臺(tái)網(wǎng)絡(luò)設(shè)備都將參與到系統(tǒng)安全的建設(shè)中，任何部署點(diǎn)安全策略的疏漏都將成為整個(gè)安全體系的短木板。一個(gè)融合不同工作模式的安全部件產(chǎn)品的無縫安全體系必須可以進(jìn)行全面、集中的安全監(jiān)管與維護(hù)。 XXX安全解決方案 在這種咄咄逼人的安全形勢(shì)下，數(shù)據(jù)中心需要一個(gè)全方位一體化的安全部署方式。 XXX 數(shù)據(jù)中心安全解決方案的技術(shù)特色可用十二個(gè)字概括：三重保護(hù)、多層防御；分區(qū)規(guī)劃，分層部署。依拖具有豐富安全特性的交換機(jī)構(gòu)成數(shù)據(jù)中心網(wǎng)絡(luò)的第一重保護(hù)；以 ASIC、 FPGA 和 NP 技術(shù)組成的具有高性能精確檢測(cè)引擎的 IPS 提供對(duì)網(wǎng)絡(luò)報(bào)文深度檢測(cè)，構(gòu)成對(duì)數(shù)據(jù)中心網(wǎng)絡(luò)的第二重保護(hù)；第三重保護(hù)是 16 憑借高性能硬件防火墻構(gòu)成的數(shù)據(jù)中心網(wǎng)絡(luò)邊界。交換機(jī)提供的安全特性構(gòu)成安全數(shù)據(jù)中心的網(wǎng)絡(luò)基礎(chǔ)，提供數(shù)據(jù)鏈路層的攻擊防御。 IPS 可以針對(duì)應(yīng)用流量做深度分析與檢測(cè)能力，同時(shí)配合以精心研究的攻擊特征知識(shí)庫(kù)和用戶規(guī)則，即可以有效檢測(cè)并實(shí)時(shí)阻斷隱藏在海量網(wǎng)絡(luò)流量中的病毒、攻擊與濫用行為，也可以對(duì)分布在網(wǎng)絡(luò)中的各種流量進(jìn)行有效管 理，從而達(dá)到對(duì)網(wǎng)絡(luò)應(yīng)用層的保護(hù)。架構(gòu)安全特性涉及服務(wù)器、接入交換機(jī)、負(fù)載均衡器、匯聚交換機(jī)、核心交換機(jī)等設(shè)備，部署點(diǎn)多、覆蓋面大，是構(gòu)成整個(gè)安全數(shù)據(jù)中心的基石。 COMWARE 是由 XXX 推出的支持多種網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)操作系統(tǒng)，它以強(qiáng)大的 IP 轉(zhuǎn)發(fā)引擎為核心，通過完善的體系結(jié)構(gòu)設(shè)計(jì)，把實(shí)時(shí)操作系統(tǒng)和網(wǎng)絡(luò)管理、網(wǎng)絡(luò)應(yīng) 用、網(wǎng)絡(luò)安全等技術(shù)完美的結(jié)合在一起。 COMWARE 可應(yīng)用在分布式或集中式的網(wǎng)絡(luò)設(shè)備構(gòu)架之上，也就是說，不僅可以運(yùn)行在高端的交換機(jī) /路由器上，而且也可以運(yùn)行在中低端的交換機(jī) /路由器上，不向其它廠商，不同的軟件運(yùn)行在不同的設(shè)備上。 基于 VLAN 的端口隔離 交換機(jī)可以由硬件實(shí)現(xiàn)相同 VLAN 中的 兩個(gè)端口互相隔離。當(dāng)相同 VLAN 中的服務(wù)器之間完全沒有互訪要求時(shí)，可以設(shè) 17 置各自連接的端口為隔離端口，如圖。如圖。對(duì)于不 能通過安全模式學(xué)習(xí)到源 MAC 地址的報(bào)文或 認(rèn)證失敗的 設(shè)備， 當(dāng)發(fā)現(xiàn)非法報(bào)文后，系統(tǒng)將觸發(fā)相應(yīng)特性，并按照預(yù)先指定的方式自動(dòng)進(jìn)行處理，減少了用戶的維護(hù)工作量，極大地提高了系統(tǒng)的安全性和可管理性。 Intrusion Protection：該特性通過檢測(cè)端口接收到的數(shù)據(jù)幀的源 MAC 地址或 認(rèn)證的用戶名、密碼， 發(fā)現(xiàn)非法報(bào)文或非法事件，并采取相應(yīng)的動(dòng)作，包括暫時(shí)斷開端口連接、永久斷開端口連接或是過濾此 MAC 地址的報(bào)文，保證了端口的安全性。 防 IP 偽裝 病毒和非法用戶很多情況會(huì)偽裝 IP 來實(shí)現(xiàn)攻擊。比如 smurf 攻擊。比如繞過利用源 IP 做的接入控制。這種判定的方式有三種。 在 inter 出口處過濾 RFC3330 和 RFC1918 所描述的不可能在內(nèi)外網(wǎng)之間互訪的 IP 地址。當(dāng)網(wǎng)關(guān)收到一個(gè) ARP 報(bào)文時(shí)，會(huì)先在映射表中查找是否匹配現(xiàn)有的映射關(guān)系。這樣偽裝 IP 的設(shè)備沒有辦法進(jìn)行正常的跨網(wǎng)段通信。設(shè)備可以根據(jù) IP、 MAC、端口的對(duì)應(yīng)關(guān)系，下發(fā) ACL 規(guī)則限制從該端口通過的報(bào)文源 IP 必須為其從 DHCP 服務(wù)器獲取的 IP 地址。其實(shí)現(xiàn)機(jī)制如下：設(shè)備接收到報(bào)文后， UPRF 會(huì)比較該報(bào)文的源地址在路由表中對(duì)應(yīng)的出接口是否和接收該報(bào)文的接口一致。 路由協(xié)議 認(rèn)證 攻擊者也可以向網(wǎng)絡(luò)中的設(shè)備發(fā)送錯(cuò)誤的路由更新報(bào)文，使路由表中出現(xiàn)錯(cuò)誤的路由，從而引導(dǎo)用戶的流量流向攻擊者的設(shè)備。 另外，在不應(yīng)該出現(xiàn)路由信息的端口過濾掉所有路由報(bào)文也是解決方法之一。 邊界安全 防火墻 邊界安全的一項(xiàng)主要功能是實(shí)現(xiàn)網(wǎng)絡(luò)隔離，通過防火墻可以把安全信任網(wǎng)絡(luò)和非安全網(wǎng)絡(luò)進(jìn)行隔離。 狀態(tài)防火墻 狀態(tài) 防火墻設(shè)備將狀態(tài)檢測(cè)技術(shù)應(yīng)用在 ACL 技術(shù) 上， 通過對(duì) 連接狀態(tài) 的狀態(tài) 的 檢測(cè)，動(dòng)態(tài)的發(fā)現(xiàn)應(yīng)該打開的端口，保證在通信的過程中動(dòng)態(tài)的決定哪些數(shù)據(jù)包可以通過防火墻。 防火墻安全區(qū)域管理 邊界安全的一項(xiàng)主要功能是網(wǎng)絡(luò)隔離，并且這種網(wǎng)絡(luò)隔離技術(shù)不是簡(jiǎn)單的依靠網(wǎng)絡(luò)接口來劃分的，因?yàn)榫W(wǎng)絡(luò)的實(shí)際拓?fù)涫乔Р钊f別的，使用固定接 口來進(jìn)行網(wǎng)絡(luò)隔離不能適應(yīng)網(wǎng)絡(luò)的實(shí)際要求。 業(yè)界很多防火墻一般都提供受信安全區(qū)域（ trust）、非受信安全區(qū)域（ untrust）、非軍事化區(qū)域（ DMZ）三個(gè)獨(dú)立的安全區(qū)域，這樣的保護(hù)模型可以適應(yīng)大部分的組網(wǎng)要求，但是在一些安全策略要求較高的場(chǎng)合，這樣的保護(hù)模型還是不能滿足要求