【正文】 中心區(qū)：數(shù)據(jù)中心區(qū)是整個(gè)信息系統(tǒng)的“大腦”，由數(shù)據(jù)生產(chǎn)區(qū)、應(yīng)用服務(wù)區(qū)、管理服務(wù)區(qū)三個(gè)子分區(qū)組成。 容災(zāi)備份區(qū)：容災(zāi)備份區(qū)在建設(shè)規(guī)模上類似于數(shù)據(jù)中心。經(jīng)過 CDP 的保護(hù)，當(dāng)數(shù)據(jù)中心出現(xiàn)災(zāi)難性故障時(shí)，容25 災(zāi)備份中心將在極短的時(shí)間內(nèi)接管應(yīng)用服務(wù)，保證生產(chǎn)業(yè)務(wù)不中斷。在本方案中，我們設(shè)計(jì)在接入層交換機(jī)進(jìn)行 VLAN劃分、訪問控制、流量控制等配置，提高網(wǎng)絡(luò)系統(tǒng)的安全性，減輕核心交換機(jī)運(yùn)行的壓力。為了保證信息系統(tǒng)的安全性和穩(wěn)定性，我們選擇安全網(wǎng)關(guān)和路由器作為廣域網(wǎng)區(qū)的 主要設(shè)備。 網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì) 由于中小企業(yè)網(wǎng)絡(luò)服務(wù)平臺(tái)對于網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定性、安全性和高效性的要求較高，我們在網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)過程中，以《 GBT 222392020 信息安全技術(shù)、信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中關(guān)于網(wǎng)絡(luò)信息系統(tǒng)設(shè)計(jì)的標(biāo)準(zhǔn)，結(jié)合洛陽市的實(shí)際情況，設(shè)計(jì)如下完整網(wǎng)絡(luò)系統(tǒng)： 26 如上圖所示：在網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)過程中，以網(wǎng)絡(luò)核心交換機(jī)為核心， 分別設(shè)計(jì)數(shù)據(jù)中心網(wǎng)絡(luò)交換系統(tǒng)、容災(zāi)備份中心網(wǎng)絡(luò)交換系統(tǒng)、終端用戶接入網(wǎng)絡(luò)交換系統(tǒng)、廣域網(wǎng)網(wǎng)絡(luò)交換系統(tǒng) 5 個(gè)子系統(tǒng)。 在完整網(wǎng)絡(luò)設(shè)計(jì)方案中，所涉及到的網(wǎng)絡(luò)產(chǎn)品的基本內(nèi)容如下表所示： 序號(hào) 設(shè)備名稱 基本參數(shù) 數(shù)量 單位 1 核心交換機(jī) 萬兆三層路由交換機(jī)，支持 6 個(gè)業(yè)務(wù)插槽；配備 2 個(gè)業(yè)務(wù)引擎；配備 24 個(gè)以太網(wǎng)光纖接口、 24 個(gè)以太網(wǎng)電接口；配備 2 個(gè)萬兆以太2 套 27 網(wǎng)接口；支持 IRF2 虛擬化技術(shù)，支持 OSPF協(xié)議。 完整的核心生產(chǎn)區(qū)架構(gòu)設(shè)計(jì)示意圖如下圖所示： 28 如上圖所示，在核心生產(chǎn)區(qū)，我們設(shè)計(jì)采用兩臺(tái)服務(wù)器作為數(shù)據(jù)庫服務(wù)器。 SAN 網(wǎng)絡(luò)采用 FC 光纖協(xié)議，相對于傳統(tǒng)的TCP/IP 協(xié)議而言，具有安全性高、傳輸速度快、穩(wěn)定性強(qiáng)等優(yōu)點(diǎn)。 雙機(jī)雙柜采用磁盤陣列冗余配置，徹底避免了磁盤陣列的單點(diǎn)故障，使得用戶的應(yīng)用服務(wù)、關(guān)鍵數(shù)據(jù)均得到了保護(hù)，是一種完善的在線保護(hù)方案。 在數(shù)據(jù)備份方面，我們充分考慮數(shù)據(jù)分層存儲(chǔ)的理念，設(shè)計(jì)采用近線備份和離線備份相結(jié)合的方式實(shí)現(xiàn)數(shù)據(jù)安全備份。在日常生產(chǎn)中，我們設(shè)計(jì)每天中午和晚上各進(jìn)行一次增量備份，每天夜里進(jìn)行一次全備份，每周進(jìn)行一次全備份，每月進(jìn)行一次全備份。 我們選擇一臺(tái)物理磁帶庫作為離線備份設(shè)備。因此我們設(shè)計(jì) 在核心生產(chǎn)區(qū)中，首先由虛擬磁帶庫實(shí)現(xiàn)快速近線備份，在近線備份完成后，由虛擬磁帶庫和物理磁帶庫共同完成離線備份和數(shù)據(jù)歸檔。與傳統(tǒng)的 B/S 架構(gòu)的系統(tǒng)不同，本次中小型網(wǎng)絡(luò)服務(wù)平臺(tái)數(shù)據(jù)交換區(qū)設(shè)計(jì)中，對系統(tǒng)運(yùn)行環(huán)境、系統(tǒng)運(yùn)行信息安全、系統(tǒng)故障恢復(fù)等進(jìn)行了統(tǒng)一設(shè)計(jì)。 首先，在數(shù)據(jù)中心交換機(jī)方面，由于應(yīng)用系統(tǒng)采用多層應(yīng)用架構(gòu)，因此所有的業(yè)務(wù)請求都將經(jīng)數(shù)據(jù)中心交換機(jī)（數(shù)據(jù)中心匯聚交換機(jī)）發(fā)送至應(yīng)用服務(wù)器。我們設(shè)計(jì)采用兩臺(tái)高性能全千兆三層路由交換機(jī)作為數(shù)據(jù)中心交換機(jī)，兩臺(tái)交換機(jī)通過 IRF2虛擬網(wǎng)絡(luò)技術(shù)或者動(dòng)態(tài)路由協(xié)議實(shí)現(xiàn)設(shè)備高可用效果，保證業(yè)務(wù)數(shù)據(jù)在傳輸過程中的安全性和 高效性； 其次，負(fù)載均衡設(shè)備方面，同樣由于應(yīng)用系統(tǒng)采用多層應(yīng)用架構(gòu)，因此前端用戶的業(yè)務(wù)訪問請求都會(huì)直接訪問至應(yīng)用服務(wù)器，再由應(yīng)用服務(wù)器提出數(shù)據(jù)庫操作請求。因此在本項(xiàng)目的規(guī)劃中，我們設(shè)計(jì)采用 2 臺(tái)高性能服務(wù)器負(fù)載均衡設(shè)備，通過調(diào)度的技術(shù)，實(shí)現(xiàn)前端用戶對后端服務(wù)器發(fā)起應(yīng)用請求時(shí)的信息負(fù)載均衡，提升信息系統(tǒng)運(yùn)行的穩(wěn)定性、安全性和高效性。由于多層應(yīng)用架構(gòu)自身的特點(diǎn)，對于應(yīng)用服務(wù)器自身的信息安全防護(hù)要求 較高。我們設(shè)計(jì)除了應(yīng)用服務(wù)器自身的功能特點(diǎn)外，每服務(wù)器額外配置一套智能數(shù)據(jù)保護(hù)系統(tǒng)。該備份文件可以靈活的存儲(chǔ)在多個(gè)介質(zhì)中。同時(shí)該智能數(shù)據(jù)保護(hù)系統(tǒng)還支持物理服務(wù)器和虛擬服務(wù)器之間靈活的恢復(fù)功能。其中主要包括備份管理系統(tǒng)、信息安全管理系統(tǒng)、身份認(rèn)證管理系統(tǒng)、網(wǎng)絡(luò)集中管理系統(tǒng)、日志管理系統(tǒng)、審計(jì)管理系統(tǒng)等方面的內(nèi)容。 數(shù)據(jù)管理區(qū)總體設(shè)計(jì)如下表所示： 序號(hào) 設(shè)備名稱 基本參數(shù) 數(shù)量 單位 1 管理應(yīng)用服 務(wù)器 應(yīng)用服務(wù)器，采用國際知名品牌；應(yīng)用服務(wù)器配置 2 顆英特爾至強(qiáng) E5600系列 4 核處理器，處理器主頻至少 2G以上；每服務(wù)器配置 16GB 內(nèi)存，每臺(tái)服務(wù)器配置 3 塊 300GB 硬盤；每服務(wù)器配置一套智能數(shù)據(jù)保護(hù)軟件，可實(shí)現(xiàn)應(yīng) 用服務(wù)器的故障快速恢復(fù)；應(yīng)用服務(wù)器配置雙電源 6 套 容災(zāi)系統(tǒng)架構(gòu)設(shè)計(jì) 容災(zāi)系統(tǒng)總體架構(gòu)設(shè)計(jì) 在本項(xiàng)目中，我們設(shè)計(jì)采用 CDP 持續(xù)數(shù)據(jù)保護(hù)系統(tǒng)實(shí)現(xiàn)中小型企業(yè)網(wǎng)絡(luò)服務(wù)平臺(tái)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)容災(zāi)防護(hù)。也就是應(yīng)急主機(jī)先和生產(chǎn)主機(jī)初始化同步。每天做應(yīng)急數(shù)據(jù)庫的冷拷貝備份（建議） (做應(yīng)急庫的冷備份，可以保證數(shù)據(jù)在加一層安全拷貝，增加一道安全級(jí)別） 3）每天做本地?cái)?shù)據(jù)庫的熱備份（也就是正常的磁帶備份，增加安全級(jí)別，同時(shí)模塊已經(jīng)含進(jìn)去了） 應(yīng)急啟動(dòng)階段： 只要將應(yīng)急數(shù)據(jù)庫啟動(dòng)即可；（如果生產(chǎn)主機(jī)發(fā)生故障了，完全起不來了，就比如本地的服務(wù)器，網(wǎng)絡(luò)真?zhèn)€癱瘓了。所需要的操作就是啟動(dòng)操作。 B、如果生產(chǎn)庫數(shù)據(jù)崩潰，我們可以將上一次備份恢復(fù)，然后從應(yīng)急庫里反向復(fù)制歸檔日志，并且回滾，從而重建生產(chǎn)數(shù)據(jù)庫 。 應(yīng)急容災(zāi)系統(tǒng)的功能特點(diǎn)說明 一體化的保護(hù)方式，包括：備份，復(fù)制，快照。包括系統(tǒng)當(dāng)機(jī)，服務(wù)器出現(xiàn)故障等等硬件，軟件故障。 用一個(gè)圖形化界面統(tǒng)一管理整個(gè)應(yīng)急流程，并且有圖形化的報(bào)表，報(bào)警，監(jiān)控等功能； 方便用戶的管理和運(yùn)維。 復(fù)制的時(shí)候支持網(wǎng)絡(luò)流量的控制和操作時(shí)間窗口，能夠適應(yīng)窄帶寬和廣域網(wǎng)的環(huán)境。（整個(gè)過程對于生產(chǎn)機(jī)上的數(shù)據(jù)庫干預(yù)很少。 一些不方便在生產(chǎn)庫上做的一些操作，實(shí)驗(yàn)。（提高我們應(yīng)用能力） 由于應(yīng)急庫系統(tǒng)上的數(shù)據(jù)庫處于 Recover 狀態(tài)，所以系統(tǒng)啟動(dòng)時(shí)間很短，以分鐘為單位。 1同時(shí)應(yīng)急庫系統(tǒng)上還保留一段時(shí)間內(nèi)的歸檔日志，所以用戶可以回退到故障發(fā)生的任意時(shí)間點(diǎn)。 信息安全架構(gòu)設(shè)計(jì) 安全風(fēng)險(xiǎn)分析 根據(jù)網(wǎng)絡(luò)現(xiàn)狀， 我們可以看到，其主要的信息資產(chǎn)是網(wǎng)絡(luò)中的應(yīng)用系統(tǒng)，包括承載應(yīng)用系統(tǒng)的重要服務(wù)器（數(shù)據(jù)庫和應(yīng)用服務(wù)器），承載訪問和數(shù)據(jù)交換的網(wǎng)絡(luò)設(shè)備和物理線路等。為了全面地對中小型企業(yè)網(wǎng)絡(luò)服務(wù)平臺(tái)安全威脅進(jìn)行分析和歸類，根據(jù)安全風(fēng)險(xiǎn)的來源，我們參照業(yè)界通用的分析方法和國家39 《信息安全風(fēng)險(xiǎn)評(píng)估指南》，將中小型企業(yè)網(wǎng)絡(luò)服務(wù)平臺(tái)系統(tǒng)面臨的安全風(fēng)險(xiǎn)分為邊界安全風(fēng)險(xiǎn)、內(nèi)網(wǎng)安全風(fēng)險(xiǎn)、應(yīng)用安全風(fēng) 險(xiǎn)和管理安全風(fēng)險(xiǎn)四個(gè)層面，針對每一層面分別具體分析所面臨的安全風(fēng)險(xiǎn)。這些邊界處如果沒有嚴(yán)格的訪問控制措施，那將會(huì)給網(wǎng)絡(luò)信息系統(tǒng)帶來極大的安全風(fēng)險(xiǎn)。因業(yè)務(wù)需要，中小型企業(yè)網(wǎng)絡(luò)服務(wù)平臺(tái)向Inter 提供多項(xiàng)服務(wù)，因?yàn)?Inter 的開放性，對于開放的每一項(xiàng)服務(wù)都有可能帶來黑客攻 擊。 信息傳輸 商務(wù)信息依托網(wǎng)絡(luò)平臺(tái)，其數(shù)據(jù)的傳輸方式多為明文，這種傳輸方式易于被非法竊取、篡改或刪除。 病毒入侵 當(dāng)前病毒威脅也非常嚴(yán)峻。 垃圾郵件 電 子郵件系統(tǒng)給信息交流帶來了極大的方便，同時(shí)也給信息系統(tǒng)帶來了較大的風(fēng)險(xiǎn)。例如內(nèi)部安全意識(shí)較低的用戶，直接打開來自 Inter 的惡意郵件，就有可能感染木馬程序，這樣他就可能成為黑客的跳板，然后黑客可以利用他直接攻擊中小型企業(yè)網(wǎng)絡(luò)服務(wù)平臺(tái)內(nèi)部網(wǎng)絡(luò)。例如一家企業(yè)會(huì)員用戶越權(quán)進(jìn)入其它單位的數(shù)據(jù)庫，查 看其它企業(yè)的客戶資源，這種越權(quán)也將造成中小型企業(yè)網(wǎng)絡(luò)服務(wù)平臺(tái)敏感信息流失。其主要包括以下幾個(gè)方面： 主機(jī)系統(tǒng)漏洞 中小型企業(yè)網(wǎng)絡(luò)服務(wù)平臺(tái)系統(tǒng)應(yīng)用紛繁復(fù)雜，內(nèi)部運(yùn)行著大量的計(jì)算機(jī)設(shè)備，包括高端服務(wù)器以及大量的終端設(shè)備，尤其是核心服務(wù)器作為各種重要應(yīng)用服務(wù)的載體，其操作系統(tǒng)也各有不同，對于不同的操作系統(tǒng)可能會(huì)存在不同的安全漏洞，這些安全漏洞隨時(shí)構(gòu)成中小型企業(yè)網(wǎng)絡(luò)服務(wù)平臺(tái)系統(tǒng)的致命威脅。例如用戶在配置 SQL Server 時(shí)沒有對管理添加密碼，黑客就可以通過 SQL Server 直接輕松滲透到中小型企業(yè)網(wǎng)絡(luò)服務(wù)平臺(tái)網(wǎng)絡(luò)當(dāng)中來截取、修改或刪除數(shù)據(jù)。 42 內(nèi)部用戶誤操作 例如某些用戶在惡意網(wǎng)站上下載或 是錯(cuò)誤使用了某些存儲(chǔ)介質(zhì)，從而導(dǎo)致計(jì)算機(jī)感染了病毒或木馬程序，很可能會(huì)給整個(gè)內(nèi)部網(wǎng)絡(luò)帶來災(zāi)難性的破壞。在內(nèi)部用戶當(dāng)中，也不乏這樣的角色，他們本身不具有很高超的攻擊水平，而只是用現(xiàn)成的攻擊程序來實(shí)現(xiàn)“黑客”的目的，有些他們甚至可能在不知情的情況下被一些真正的黑客所利用去攻擊內(nèi)部網(wǎng)絡(luò)。這些平臺(tái)、系統(tǒng)和服務(wù)主要依賴 Web Server、 FTP 服務(wù)、 Email 服務(wù)、瀏覽器等通用軟件，或者依賴商用數(shù)據(jù)庫、中間件等應(yīng)用開發(fā)平臺(tái)所開發(fā)的應(yīng)用軟件，這些通用程序和第三方開發(fā)的應(yīng)用程序自身的安全漏洞和配置不當(dāng)造成的安全脆弱性會(huì)導(dǎo)致整個(gè)系統(tǒng)的安全性下降。綜上所述，中小型企業(yè)網(wǎng)絡(luò)服務(wù)平臺(tái)網(wǎng)絡(luò)信息系統(tǒng)面臨的應(yīng)用安全風(fēng)險(xiǎn)具體包括以下幾個(gè)方面： Web服務(wù)器安全風(fēng)險(xiǎn) ? Web 服務(wù)腳本的安全漏洞，遠(yuǎn)程溢出 (.Printer 漏洞 )。 ? Web 頁面被惡意刪改。 ? Web 服務(wù)器的數(shù)據(jù)源被非法入侵，用戶的一些私有信息被竊。 ? 拒絕服務(wù)攻擊或分布式拒絕服務(wù)攻擊。 ? 各種網(wǎng)絡(luò)病毒的侵襲，如 Nimda， Redcode II 等。 ? Web 服務(wù)的某些目錄可寫。 中小型企業(yè)網(wǎng)絡(luò)服務(wù)平臺(tái)在網(wǎng)絡(luò)上提供了大量的 Web 服務(wù)，如果負(fù)責(zé)提供 Web 服務(wù)的軟件系統(tǒng)配置不夠嚴(yán)謹(jǐn)，安全策略不當(dāng)，隨時(shí)都44 有可能造成安全事件的發(fā)生，導(dǎo)致中小型企業(yè)網(wǎng)絡(luò)服務(wù)平臺(tái) Web 服務(wù)受到影響并由此帶來直接的經(jīng)濟(jì)損失。 ? 源程序中出于程序調(diào)試的方便，人為設(shè)置許多“后門”。 ? 應(yīng)用系統(tǒng)的用戶名和口令以明文方式被傳遞，容易截獲。 中小型企業(yè)網(wǎng)絡(luò)服務(wù)平臺(tái)應(yīng)用軟件如果存在以上的任何一種可能性，都會(huì)給中小型企業(yè)網(wǎng)絡(luò)服務(wù) 平臺(tái)帶來致命的威脅。 45 數(shù)據(jù)庫安全風(fēng)險(xiǎn) 中小型企業(yè)網(wǎng)絡(luò)服務(wù)平臺(tái)很多關(guān)鍵業(yè)務(wù)系統(tǒng)都運(yùn)行在數(shù)據(jù)庫平臺(tái)上，如果數(shù)據(jù)庫安全無法保證，其上的應(yīng)用系統(tǒng)也將無法正常運(yùn)行。 Informix 不僅可以建立數(shù)據(jù)庫，還可以重構(gòu)數(shù)據(jù)庫，其管理員權(quán)限非常 大，這也給黑客帶來了很多的機(jī)會(huì)，如果因?yàn)楣芾韱T口令不強(qiáng)，一旦有人使用管理員用戶非法登陸和配置，這樣就會(huì)直接構(gòu)成中小型企業(yè)網(wǎng)絡(luò)服務(wù)平臺(tái)的客戶和資金流失。 另外現(xiàn)在的數(shù)據(jù)庫軟件結(jié)構(gòu)相當(dāng)復(fù)雜，這樣復(fù)雜的龐大的軟件自身也可能會(huì)存在設(shè)計(jì)缺陷，一旦由于這些缺陷沒有及時(shí)的發(fā)現(xiàn)并且打上補(bǔ)丁，也會(huì)構(gòu)成黑客攻擊，直接給中小型企業(yè)網(wǎng)絡(luò)服務(wù)平臺(tái)帶來巨大的經(jīng)濟(jì)損失。同時(shí)，對 于某一安全區(qū)域內(nèi)發(fā)生突發(fā)的安全事件，現(xiàn)有的安全管理手段很難迅速準(zhǔn)確對這種風(fēng)險(xiǎn)進(jìn)行快速響應(yīng)，也無法快速定位威脅來源在哪里，因此也無法及時(shí)調(diào)整安全策略來應(yīng)對這樣的安全事件。 類別 風(fēng)險(xiǎn) 需求 邊界安全 來自外部的黑客攻擊； 基于 Inter 上的信息傳輸； 來自 Inter 的病毒入侵； 基于 Inter 上的垃圾郵件； 各安全區(qū)域的越權(quán)訪問； DDOS 攻擊。 網(wǎng)絡(luò)防病毒 終端管理 主機(jī)安全評(píng)估與加固 應(yīng)用安全 提供 Web 服務(wù)系統(tǒng)漏洞風(fēng)險(xiǎn)； 文件服務(wù)器配置不當(dāng)帶來的風(fēng)險(xiǎn)； 業(yè)務(wù)系統(tǒng)應(yīng)用軟件本身的設(shè)計(jì)缺陷帶來的風(fēng)險(xiǎn)； 數(shù)據(jù)庫配置或自身漏洞帶來的風(fēng)險(xiǎn)。 集中管理平臺(tái) 安全總體設(shè)計(jì) 中小型企業(yè)網(wǎng)絡(luò)服務(wù)平臺(tái) 信息安全保障體系是整個(gè)系統(tǒng)健康發(fā)展的基礎(chǔ)和保障，是系統(tǒng)建設(shè)的重要組成部分。其中： 安全策略 ：安全策略是指為了保證中小型企業(yè)網(wǎng)絡(luò)服務(wù)平臺(tái)而特定的管理制度，它包含了全院的組織管理、信息安全制度管理等內(nèi)容。 48 安全管理體系 ：安全管理體系是由安全組織和安全運(yùn)行兩部分組成。安全管理制度是在落實(shí)和完善安全策略的基礎(chǔ)上，站在全院組織關(guān)系和信息安全管理、運(yùn)維管理的角度，對安全策略進(jìn)行分級(jí)、分層的落實(shí)，指導(dǎo)整個(gè)信息安全建設(shè)的承上啟下的環(huán)節(jié)。安全技術(shù)體系包含三個(gè)方面 21 個(gè)子項(xiàng)，涵蓋了通信網(wǎng)絡(luò)、計(jì)算環(huán)境、區(qū)域邊界方面的內(nèi)容。 安全管理中心 ：安全管理中心是為整個(gè)信息安全系統(tǒng)搭建一個(gè)統(tǒng)一的管理平臺(tái)，該平臺(tái)通過 PKI/KMI、綜合安全審計(jì)平臺(tái)、安全運(yùn)維中心等三個(gè)方面組成。 安全運(yùn)維體 ：安全運(yùn)維體系是為整個(gè)網(wǎng)絡(luò)系統(tǒng)信息安全系統(tǒng) 提供服務(wù)的服務(wù)平臺(tái)，該服務(wù)平臺(tái)由安全運(yùn)維服務(wù)和 ITSM 集中運(yùn)維管理49 兩個(gè)功能模塊實(shí)現(xiàn)。 具體信息安全方案設(shè)計(jì) 就 中小型企業(yè)網(wǎng)絡(luò)服務(wù)平臺(tái) 安全建設(shè)的情況，結(jié)合系統(tǒng)的特點(diǎn)，我們設(shè)計(jì)如下信息安全防護(hù)方案： 序號(hào) 防護(hù)內(nèi)容 具體措施 采用設(shè)備 1 數(shù)據(jù)中心安全防護(hù) 在核心交換機(jī)上劃分 VLAN，實(shí)現(xiàn)邏輯隔離 核心交換機(jī) 針對數(shù)據(jù)中心的特點(diǎn)劃分安全域，明確安全域邊界，制定安全域邊界訪問控制策略 部署數(shù)據(jù)中心防火墻，作為安全域邊界防護(hù)設(shè)備 數(shù) 據(jù)中心防火墻 在數(shù)據(jù)中心交換機(jī)上劃分 VLAN，實(shí)現(xiàn)數(shù)據(jù)中心內(nèi)部各個(gè)安全區(qū)域（核心生產(chǎn)區(qū)、數(shù)據(jù)交換區(qū)、服務(wù)管理區(qū)、容災(zāi)備份區(qū)等）邏輯隔離 數(shù)據(jù)中心交換機(jī) 數(shù)據(jù)中心交換機(jī)和數(shù)據(jù)中心防火墻形成 Trunk 連接，設(shè)定安全域邊界防護(hù)策略，即不同安全域的成員相互訪問必須經(jīng)數(shù)據(jù)中心防火墻過濾，符合條件方可進(jìn)行數(shù)據(jù)訪