智慧教育云数据中心整体解决方案Word文件下载.docx
《智慧教育云数据中心整体解决方案Word文件下载.docx》由会员分享,可在线阅读,更多相关《智慧教育云数据中心整体解决方案Word文件下载.docx(18页珍藏版)》请在冰豆网上搜索。
5.3.1传统安全部署方式的局限性36
5.3.2业界唯一的L2~7融合38
第六章方案规划与设计44
6.1核心区设计45
6.1.1组网设计45
6.1.2安全分区设计46
6.1.3入侵防御及业务深度防护设计47
6.1.4内部流量安全防护47
6.1.5应用交付48
6.2接入区设计48
6.3出口设计49
6.3.1众多需求,从“融”面对50
6.3.2智能提升带宽价值,秀外“慧”中51
6.3.3网络行为,“管”控一体53
6.3.4高速稳定,畅“通”无阻53
6.3.5防DDOS攻击.5.3
6.3.6Web防护54
6.3.7产品部署54
6.4网络安全一体化管理55
第七章方案优势57
第一章项目背景介绍
1.1教育管理公共服务平台建设
教育管理信息系统建设是《国家中长期教育改革和发展规划纲要(2010-2020年)》以及《教育信息化十年发展规划
(2011-2020年)》中确定的重要内容,是支撑教育管理现代
化、促进教育改革发展的基础性工程。
国家教育管理公共服务平台建设是“十二五”期间的教育管理信息系统建设的核心任务,是“三通两平台”的重点内容之一。
其具体内容是建立覆盖全国各级教育行政部门和各级各类学校的管理信息系统及基础数据库,为加强教育监管、支持教育宏观决策、全面提升教育公共服务能力提供技术和数据支撑。
平台按照“两级建设、五级应用”体系进行实施。
地市级应用县圾应用应用地市驭应用县级应用学t5坂应用
图1-1两级建设五级应用
如图1-1所示,两级建设是指在教育部和各省级教育行政部门分别建立中央和省两级数据中心,建设数据集中、系统集成的
应用环境;
五级应用是指各类教育管理信息系统均同步建设中央、省、地市、县、学校五级系统,由教育部统一组织开发,其中中央级系统部署在中央级数据中心,省、地市、县、学校级系统下发并部署在省级数据中心,供中央、各地和学校使用,以上由教育部统一组织开发的国家教育管理信息系统在本指南中简称为国家信息系统。
平台将整合各级各类教育管理信息资源和信息化基础设施,建设包含教育机构、学生、教师和学校资产及办学条件等各类教育管理与服务对象,覆盖国家、各地和学校等多层次的共享的教育基础数据库,以及信息整合、业务聚合、服务融合的教育管理信息系统,实现教育行政部门与学校间的数据互通和系统互联,提升教育监管能力与公共服务水平。
国家教育管理公共服务平台建设以各地和学校的相关信息系统和数据作为基础,需要推动国家信息系统在各地和学校的部署与应用。
国家教育管理公共服务平台省级数据中心建设是构建
“两级建设和五级应用”、保证国家信息系统在省级部署与应用的关键设施。
1.2一个平台、一个中心的建设模式
1.2.1云计算与教育信息化
通过技术手段,将分散的教育管理信息系统与教育资信息系统进行统一部署、统一管理和统一提供服务,建设统一的教育云平台无疑是解决以上两大服务平台建设中所面临问题的最好办法。
云计算作为一种新型资源的共享和管理模式,正越来越广泛
地应用于各种资源共享、管理和服务的领域中。
“云”中的资源
是可以无限扩展的,并且可以随时获取,按需使用,随时扩展,按使用付费。
它具有超大规模、虚拟化、按需服务、廉价等特点,这些特点对于当前分布不均衡、建设经费紧张的教育资源来说,
无疑提供了最恰当的资源共享、共用、共管的方法。
《教育信息化十年发展规划(2011-2020规划》就国家教育云基础平台建设问题也做了相关要求:
充分整合和利用各级各类
教育机构的信息基础设施,建设覆盖全国、分布合理、开放开源的基础云环境,支撑形成云基础平台、云资源平台和云教育管理服务平台的层级架构,到2015年,初步建成国家教育云基础平台,支持教育云资源平台和管理服务平台的有效部署与应用,可
同时为IPv4和IPv6用户提供教育基础云服务。
1.2.2一个教育云平台、一个云数据中心
載焉云数擱中芒
枚肾云数抿中心
■+■«
B8»
+**
图1-2教育云平台
承载教育云平台的主要基础设施是云数据中心,当前国家、
省、地市、县4级教育行政机构都在新建、改造或计划建设数据
中心,承载教育管理与教育资源两大系信息系统,建设模式整体
向云计算模式转变,逐渐将形成国家、省、地市、县4级教育云
平台建设的格局,每级的每个区域都将形成一个云数据中心承载一个教育云平台的模式。
国家级、省级教育云平台当前主要通过教育网与公共互联网向公众与教育行政机构提供服务。
地市级、县级教育云平台主要通过教育城域网与所辖教育行政机构、学校互联,在互联带宽上有优势,可以借助此优势向所辖教育行政机构、学校提供laaS
与SaaS教育云服务,甚至是云桌面服务,促进教育信息化建设由分散型向集约型的转变。
123xx平台数据中心现状
xx平台于2013年开始建设,目前平台共有1号机房、2号机房两个机房。
其中1号机房分4个区域,A区域放存储、核心交换机、出口网关,B满配64台服务器,C、D区域满配各有50台服务器。
2号机房满配80台服务器。
服务器采用Vmware虚拟化技术,通过虚拟服务器对外提供服务。
现网共200台服
务器左右。
众所周知,数据中心的建设内容十分丰富,包含服务、软件、
硬件,对于IT硬件基础架构来说,建设内容包含计算、存储、
网络安全资源。
本项目为网络安全建设的设计方案。
第二章项目需求分析
2.1满足应用系统部署和服务的需要
省级数据中心首先要承载国家信息系统的部署运行,也要支
撑本省自建应用系统及其他应用系统的部署运行,要采取云服务
模式,为本级及所属各级教育行政部门和学校提供信息系统和数据库存储与服务,具体情况如图2-1所示。
育管理
申小爭1
学籍管
理盂说
国家惜空索绽(中央级那署》
换平台
1
「
蚌平台
敵据交换平ft
国妄响杞糸统f舒無粥署)
其他应用攥统
学利放
申小学
理系啜
冈En乐政握去纭省下有
图2-1省级数据中心承载应用系统示意图
2.1.1承载国家信息系统部署
“教育服务与监管体系信息化建设”项目作为国家教育管理信息化的先导工程,已完成顶层设计。
教育部正在统一开发建设一系列与学生、教师、学校资产及办学条件相关的系统,并陆续开始在部(中央)、省两级投入部署运行(部分信息系统见附录:
统一规划的国家信息系统一览表)。
省级数据中心必须能够承载这些信息系统的运行,在设计和建设中满足这些信息系统的计算、存储需求。
2.1.2承载自建及其他应用系统的部署运行
为满足本省教育信息化的应用需求,省级教育行政部门可以建设自己需要的特定应用系统(如教育教学相关信息系统、教育
信息服务门户等)。
省级数据中心在保证国家信息系统部署运行的基础上,也要考虑本级教育管理和服务信息系统的开发、运行
需要。
2.1.3提供本省教育信息化基础设施云服务
为统筹本省教育信息化基础设施建设,避免基础设施重复建设,省级数据中心在建设时应充分利用云计算技术,搭建云服务平台,为本省教育行政部门和学校提供计算、存储等基础设施云服务
2.2形成完善的基础设施环境
省级数据中心要按照国家信息系统的运行要求,构建机房、网络、计算、存储等基础环境和设施;
根据业务系统和数据中心运行维护和管理的需要,构建基础软件支撑平台,包括数据库、门户、数据交换和系统管理等平台;
建立重要系统和业务数据容
灾备份;
为应用系统敏感数据建立统一密码安全服务平台,实现
敏感数据加密存储和安全访问;
建设与教育部数据中心之间的数据交换平台与安全网络通道,保障部、省两级数据中心间的数据传输安全。
2.2.1网络大二层
虚拟化给网络和安全带来了前所未有的挑战,虚机在迁移过
程中要求应用不能中断,也就是说虚机迁移时虚机的IP地址不能改变,这就使得整个云数据中心要采用二层组网。
此外,虚机迁移引起了应用部署位置的不确定性,这使得数据中心跨核心的
横向流量大幅增加,这就要求数据中心的组网应该是带宽低收敛甚至是无收敛的。
而一般的以太网由于生成树协议的运行造成了网络带宽的浪费,并且虚机迁移时与之相关的网络策略(如
VLAN和ACL)也要随之一同迁移,这会引发整网生成树的重新计算,造成网络震荡。
因此如何建设一个带宽无收敛、网络策略迁移无震荡的大二层网络,是云数据中心网络需要解决的问题。
222网络高性能、可扩展
数据中心在建设时,一般会将机房空间、机柜等基础建设工作一次性完成。
而在数据中心网络建设时,可采用分批逐步建设的方式,以避免投资浪费。
这就需要数据中心网络具备易扩展的特性,在不浪费已有网络设施的前提下,容易实现网络性能的
扩充,避免出现网络性能瓶颈制约物理资源整合的局面出现。
因此,在进行数据中心网络设计的时候,必须考虑后期随着数据中心内业务类型的不断丰富、业务功能的不断扩展,物理资
源不断整合、加密过程中对网络性能要求的提高。
当数据中心网
络性能需要扩充的时候,可按需对网络性能进行弹性扩展,保证网络数据中心能够对日益复杂的业务应用提供有力的性能支撑,满足信息化发展需求。
2.2.3保证业务连续性
在信息化建设的不断深入的同时,各类信息系统的正常服务是XXX经营活动正常开展的必要条件。
如果数据中心网络因各类故障中断运行,企业中的各类终端将无法访问各类业务系统,数据中心的生产经营活动将受到严重影响,引起相应的经济损失。
因此,保证数据中心网络具备较强的可靠性和稳定性是网络建设的重要需求。
这就要求网络架构在设计时能够从设备层面、
链路层面、协议层面等方向引入必要的冗余保障:
比如设置双核心设备互为备份,并在接入网络采用双上联的组网方式,避免由于单设备、单链路的故障引起网络中断等。
2.3构建网络与信息安全保障体系
省级数据中心安全建设,要遵照国家信息安全等级保护相关
政策要求和标准规范,遵照教育部有关信息安全的行业要求和标准规范,形成覆盖技术和管理的整体安全保障体系;
建设与教育
部数据中心上下级联的安全运行维护、管理、监测与预警的技术
和工作管理平台。
信息安全总体方针、策略
立全业木和旳妇
JE务交忖住全
安金预带与附管平件
电子认证和陞用安个支ItTfr
利竹柿ft
MMIrllf
平台&
应幣安全
iYlitAI'
ll
厂,1?
;
■■
仙I抱已井叫hJT-'
1/*
安全骨理
图2-2省级数据中心安全保障体系框架图
2.3.1等保合规
省级数据中心和本省运行的信息系统要按照国家信息系统
安全等级保护制度和教育部相关文件要求进行定级;
从管理和技
术两个角度进行本省网络与信息安全保障体系建设;
设置网络与
信息安全职能部门和岗位,进行人员安全培训和技能培训,落实信息安全人员持证上岗;
按照教育信息系统安全等级保护政策要求和技术规范,由教育信息安全等级保护测评中心实施,定期开
展信息系统等级测评;
建立定期安全检查机制并配合主管部门和当地公安部门做好监督检查。
省级数据中心应按照第三级信息系统的安全保护要求进行
建设。
二级系统可通过建立二级系统区域合理裁剪安全控制。
为
保障国家信息系统整体安全,省级数据中心应建立安全预警与监管中心,建设与部级上下级联的安全运行维护管理平台、应用安
全监测与预警平台和安全工作管理平台。
信息系统在设计规划、建设和运行的整个生命周期中应根据国家信息安全等级保护制度,同步开展信息系统安全等级保护定级、备案、等级测评、建设整改和监督检查等工作,并根据《信息系统安全等级保护基本
要求》(GB/T22239-2008)等国家及行业相关标准规范进行
安全保障体系建设。
2.3.2L2〜7安全
省级数据中心在建设时,面临以下安全需求:
1)基本结构安全与访问控制。
对网络进行安全域划分,设置不同安全域的访问控制策略。
2)入侵防护与病毒防范。
对系统漏洞、协议弱点、DDoS攻击、网页篡改、间谍软件、恶意攻击、流量异常等威胁进行主动与实时阻断的一体化深层次安全防御。
3)Web应用防护。
有效抵御包括SQL注入、跨站脚本攻击、会话劫持、应用层DDoS、网页篡改在内的各种高危害性Web攻击。
4)漏洞扫描。
及时发现终端设备、服务器、路由/交换/安全设
备、操作系统(Windows/Linux/Unix)、应用服务、数据库
等设备的漏洞,发现后及时弥补,避免被黑客利用漏洞进行攻击,带来损失。
5)应用交付。
实现业务应用的服务加速和应用优化。
提升服务器的使用效率和弹性伸缩能力。
6)抗DDOS攻击,保障数据中心能抵御常见的DDOS攻击,
不致因攻击阻塞带宽无法对学校提供服务,保障服务的稳定
性。
2.4符合国家及教育部信息化有关标准规范
省级数据中心的建设必须严格遵循国家各类信息化标准、规
范,采用教育信息化有关标准规范。
包括但不限于以下内容。
(1)《国家电子政务工程建设项目管理暂行办法》
⑵GB50174-2008
电子信息系统机房设计规范
⑶GB50462-2008
电子信息系统机房施工及验收规范
⑷GB50311-2007
综合布线工程设计规范
⑸GB50312-2007
综合布线系统工程验收规范
⑹GB50395-2007
视频安防监控系统设计规范
⑺GB50263-2007
气体火火系统施工及验收规范
(8)GB50394-2007
入侵报警糸统工程设计规范
(9)GB/T20269-2006
信息安全技术一信息系统安全管理要求
(10)GB/T20984-2007信息安全技术一信息安全风险评估规
范
(11)GB/T22239-2008信息安全技术一信息系统安全等级保
护基本要求
(12)GB/T22240-2008信息安全技术一信息系统安全等级保
护定级指南
(13)GA/T388-2002B
计算机信息系统安全等级保护管理要求
(14)《教育管理信息标准》(教技〔2012〕3号)
(15)其他相关技术规范
第三章项目建设目标
省级数据中心是为本省提供教育管理信息系统运行的云服
务平台,承载和满足国家教育管理公共服务平台在省级教育行政部门的部署和运行;
集成和支撑省本级各类教育基础数据库和各类教育管理信息系统;
服务于所辖区域内教育行政部门和学校的信息化管理业务应用,带动全省教育信息化发展。
项目具体建设内容如下:
1)建立结构先进、高速可靠、安全分区的网络体系架构
本次项目建设的数据中心网络,将在架构上实现对数据中心大流量数据的转发能力与可靠性保障,满足数据中心未来云计算技术发展要求。
同时,根据数据中心的业务层次,分区逻辑关系等要素,进行安全区域的划分,并设置相应的安全策略,实现数据中心网络的逻辑隔离与严格的受控访问,实现安全、可控的
访问接入。
2)加强系统综合安全的建设,充分保障业务系统信息安全
从网络规划、操作系统以及业务系统等各个层次上统一考虑安全措施,充分考虑易操作性。
这其中包括网络的多级安全区域的规划与设计、各业务系统在多级网络中的部署与互通、系统
运行状况的监控和管理、入侵防御/防病毒/应用交付/流量管理/行为审计等措施的统一规划、设计与部署。
3)确保系统资源的有效管理和运行,整合系统资源
加强系统资源的有效管理,提高系统资源的利用率,降低系统运行成本,提高系统的可靠性,保障关键业务的正常运转。
4)建立业务识别与控制能力
对网络流量进行细致分析,快速实现网络流量及应用的可
视化,及时准确的了解网络流量的使用状况,并配合灵活的管控
策略,实现对网络资源轻松管理。
深度流量分析:
提供清晰的图形化界面可直观查看实时/历
史流量走势、应用排名、用户状态、连接数等信息,便于分析网络健康状况以及定位故障。
5)建立覆盖网络L2〜7层的全面防御能力
在低延迟的前提下进行实时威胁防御,对网络数据流进行
L2~7的深度分析,检测和阻断蠕虫、木马、间谍软件和应用漏洞攻击,阻断利用各种新漏洞、新威胁进行的恶意渗透和传播,满足高性能和复杂网络环境下的在线实时入侵防御,准确的识别
恶意流量,避免通常的特征匹配技术常见的误报和漏报问题。
6)安全预警及漏洞自动修补能力
提供漏洞通告、关联检测、自动修复、资产风险管理、漏洞审计等管理功能,实现对网络中各种资产(终端、服务器、路由/交换设备、操作系统(Windows/Linux/Unix)、应用服务
等)进行全方位、高效的漏洞管理,具有覆盖2-7层漏洞检测和
自动修补等技术,尤其针对Web应用系统进行代码级检测,消除XSS跨站脚本、SQL注入、网页挂马等漏洞威胁,支持对SSL加密应用的漏洞管理,对漏洞特征库进行持续不断的升级,从而
确保漏洞判断准确无误。
7)高效的可视化安全监管能力
在单一界面下,对各种安全功能进行统一配置管理,将原本分布在网络中各自独立的安全设备进行统一的管理和监控,并
通过丰富的报表展示网络安全状态,形成一个集统计分析和管理配置于一体的安全管理。
第四章项目设计原则
根据数据中心网络建设需求及技术发展的趋势,我们按以下
原则设计方案:
1)实用性和先进性。
省级数据中心建设既要充分考虑实用性,始终面向业务应用,又要考虑先进性,保持适度前瞻。
在进行架构规划时,不盲目追求设备的超前采购,在充分考虑应用性能的基础上,保护原有投资。
同时要采用成熟先进的理念、技术和方法,适应发展潮流。
2)可靠性和稳定性。
省级数据中心建设要确保系统运行的可靠性和稳定性,要从系统架构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等多方面进行设计规划,确保系统运行的可靠稳定。
3)可扩展性和易维护性原则。
省级数据中心建设应充分考虑可扩展性和易维护
4)安全性:
要对系统自身具有良好的安全性,能够抵御针对自身的安全威胁。
同时提供备份和恢复机制,对管理权限实行分组管理分组授权。
5)扩展性:
系统应支持灵活组网和网络改扩建的需要,能够快速部署和随网络结构进行调整,并无需改动平台主体结构和功能。
6)集约性:
通过采用适当的技术,使得系统能够将各类软、硬件资源的使用效率最大化,同时降低系统运维复杂性,节省系统维护成本。
7)易管理:
一个好的网络系统必须是一个易管理的网络系统,本方案中通过配置网管系统软件对整个网络实施高效的管理。
第五章方案设计思路
本次方案主要按照以下设计思路对数据中心网络进行方案设计。
5.1虚拟化大二层网络设计
5.1.1大二层网络架构
随着业务的不断发展,数据中心必须具备较强的资源整合能
力,弹性可扩展是数据中心网络的基本要求。
同时,随着云计算技术在实现业务快速、灵活部署方面的优势越来越明显,越来越
多的业务系统将迁移到云平台中。
这就要求数据中心的各类云计算平台具备较强的灵活性和扩展能力。
可以预见,云计算平台的
部署将会是数据中心建设中非常重要的一部分内容。
另一方面,云计算平台的部署将会对数据中心网络架构提出新的要求。
为了保证虚机迁移不会对业务连续性产生影响,云平
台需要部署在一个二层的环境当中,来解决虚机迁移过程中IP
地址不能改变的问题。
此时,传统数据中心的三层网络架构将无法满足云平台的建设部署及灵活扩展需求。
因此,本次方案建议采用扁平化的组网方式,在数据中心网
络核心部署迪普科技的具备万兆以上高密端口的核心交换设备,部署在各机柜或者网络柜的接入层交换设备直接通过直连光缆高速上联到核心设备,取消了传统组网方式中的汇聚层,实现数
据中心的大二层简单组网。
在大二层组网架构中,网络核心层通常采用两台核心交换设备互为备份,各接入交换设备通过双链路直接分别上联到核心设
备,确保了网络的可靠性,实现了网络的无收敛接入。
5.1.2核心网络虚拟化
如前所述,随着业务的不断发展,各类新的业务和应用对数据中心网络在网络性能、可靠性和功能上提出了诸多新的需求。
在传统数据中心向云计算平台为主的数据中心转变的过程中,数
据中心网络架构采用扁平化的大二层简单组网。
在双链路上联的
组网环境下,对每个二层域来说,双上联链路会形成二层环路。
传统的解决二层环路问题的方式是在设备上运行STP协议,STP
协议自动计算链路状态,通过阻塞某些链路的二层转发达到消除二层环路的目的。
通过STP解决二层环路会带来以下问题:
1)链路资源利用率较低。
STP协议阻塞了部分链路的二层数
据传输,相当于这些链路处于空闲状态,只有当运行状态
的链路发生故障时,这些链路才能发挥作用,使用效率非常低下。
2)收敛速度慢。
当运行状态的链路发生故障时,STP协议需要重新计算整网拓扑,最终实现拓扑收敛并恢复数据运行的时间往往较长。
对于实时性要求非常高的数据中心来说,等待STP收敛的过程就意味着业务的中断,这是很难接受的。
针对以上问题,本次方案采用了迪普科技的VSM(Virtual
SwitchingMatrix虚拟交换矩阵)多合一虚拟化技术,对网络核心交换设备进行横向虚拟化,将多台核心层设备虚拟化成一台逻辑设备,从而消除了二层环路,完美解决了数据中心网络中STP协议的不足带来的问题。
控制苹面
业券平面
转发平面