1、5.3.1传统安全部署方式的局限性 365.3.2业界唯一的L27融合 38第六章方案规划与设计 446.1核心区设计 456.1.1组网设计 456.1.2 安全分区设计 466.1.3入侵防御及业务深度防护设计 476.1.4内部流量安全防护 476.1.5应用交付 486.2接入区设计 486.3出口设计 496.3.1众多需求,从“融”面对 506.3.2智能提升带宽价值,秀外“慧”中 5 16.3.3网络行为,“管”控一体 536.3.4高速稳定,畅“通”无阻 536.3.5防 DDOS 攻击 .5.36.3.6Web 防护 546.3.7产品部署 546.4网络安全一体化管理 55
2、第七章方案优势 57第一章 项目背景介绍1.1教育管理公共服务平台建设教育管理信息系统建设是 国家中长期教育改革和发展规划 纲要(2010-2020 年)以及教育信息化十年发展规划(2011-2020 年)中确定的重要内容,是支撑教育管理现代化、促进教育改革发展的基础性工程。国家教育管理公共服务平台建设是 “十二五”期间的教育管 理信息系统建设的核心任务,是“三通两平台”的重点内容之一。 其具体内容是建立覆盖全国各级教育行政部门和各级各类学校 的管理信息系统及基础数据库,为加强教育监管、支持教育宏观 决策、全面提升教育公共服务能力提供技术和数据支撑。 平台按 照“两级建设、五级应用”体系进行实
3、施。地市级应用 县圾应用 应用 地市驭应用 县级应用学t5坂应用图1-1两级建设五级应用如图1-1所示,两级建设是指在教育部和各省级教育行政部 门分别建立中央和省两级数据中心, 建设数据集中、系统集成的应用环境;五级应用是指各类教育管理信息系统均同步建设中央、 省、地市、县、学校五级系统,由教育部统一组织开发,其中中 央级系统部署在中央级数据中心,省、地市、县、学校级系统下 发并部署在省级数据中心,供中央、各地和学校使用,以上由教 育部统一组织开发的国家教育管理信息系统在本指南中简称为 国家信息系统。平台将整合各级各类教育管理信息资源和信息化 基础设施,建设包含教育机构、学生、教师和学校资产及
4、办学条 件等各类教育管理与服务对象,覆盖国家、各地和学校等多层次 的共享的教育基础数据库,以及信息整合、业务聚合、服务融合 的教育管理信息系统,实现教育行政部门与学校间的数据互通和 系统互联,提升教育监管能力与公共服务水平。国家教育管理公共服务平台建设以各地和学校的相关信息 系统和数据作为基础,需要推动国家信息系统在各地和学校的部 署与应用。国家教育管理公共服务平台省级数据中心建设是构建“两级建设和五级应用”、保证国家信息系统在省级部署与应用 的关键设施。1.2一个平台、一个中心的建设模式1.2.1云计算与教育信息化通过技术手段,将分散的教育管理信息系统与教育资信息系 统进行统一部署、统一管理
5、和统一提供服务,建设统一的教育云 平台无疑是解决以上两大服务平台建设中所面临问题的最好办 法。云计算作为一种新型资源的共享和管理模式, 正越来越广泛地应用于各种资源共享、管理和服务的领域中。 “云”中的资源是可以无限扩展的,并且可以随时获取,按需使用,随时扩展, 按使用付费。它具有超大规模、虚拟化、按需服务、廉价等特点, 这些特点对于当前分布不均衡、建设经费紧张的教育资源来说,无疑提供了最恰当的资源共享、共用、共管的方法。教育信息化十年发展规划(2011-2020规划就国家教育 云基础平台建设问题也做了相关要求: 充分整合和利用各级各类教育机构的信息基础设施,建设覆盖全国、分布合理、开放开源
6、的基础云环境,支撑形成云基础平台、云资源平台和云教育管理 服务平台的层级架构,到 2015年,初步建成国家教育云基础平 台,支持教育云资源平台和管理服务平台的有效部署与应用, 可同时为IPv4和IPv6用户提供教育基础云服务。1.2.2一个教育云平台、一个云数据中心載焉云数擱中芒枚肾云数抿中心 + B 8 +*图1-2教育云平台承载教育云平台的主要基础设施是云数据中心,当前国家、省、地市、县4级教育行政机构都在新建、 改造或计划建设数据中心,承载教育管理与教育资源两大系信息系统, 建设模式整体向云计算模式转变,逐渐将形成国家、省、地市、县 4级教育云平台建设的格局,每级的每个区域都将形成一个云
7、数据中心承载 一个教育云平台的模式。国家级、省级教育云平台当前主要通过教育网与公共互联网 向公众与教育行政机构提供服务。地市级、县级教育云平台主要 通过教育城域网与所辖教育行政机构、学校互联,在互联带宽上 有优势,可以借助此优势向所辖教育行政机构、学校提供 laaS与SaaS教育云服务,甚至是云桌面服务,促进教育信息化建设 由分散型向集约型的转变。123 xx平台数据中心现状xx平台于2013年开始建设,目前平台共有1号机房、2号 机房两个机房。其中1号机房分4个区域,A区域放存储、核心 交换机、出口网关,B满配64台服务器,C、D区域满配各有 50台服务器。2号机房满配80台服务器。服务器采
8、用Vmware 虚拟化技术,通过虚拟服务器对外提供服务。现网共 200台服务器左右。众所周知,数据中心的建设内容十分丰富, 包含服务、软件、硬件,对于IT硬件基础架构来说,建设内容包含计算、存储、网络安全资源。本项目为网络安全建设的设计方案。第二章项目需求分析2.1满足应用系统部署和服务的需要省级数据中心首先要承载国家信息系统的部署运行, 也要支撑本省自建应用系统及其他应用系统的部署运行, 要采取云服务模式,为本级及所属各级教育行政部门和学校提供信息系统和数 据库存储与服务,具体情况如图 2-1所示。育管理申小爭1学籍管理盂说国家惜空索绽(中央级那署换平台1蚌平台敵据交 换平ft国妄响杞糸统f
9、舒無粥署)其他应用攥统学利放申小学理系啜冈En乐 政握去纭 省下有图2-1省级数据中心承载应用系统示意图2.1.1承载国家信息系统部署“教育服务与监管体系信息化建设” 项目作为国家教育管理 信息化的先导工程,已完成顶层设计。教育部正在统一开发建设 一系列与学生、教师、学校资产及办学条件相关的系统,并陆续 开始在部(中央)、省两级投入部署运行 (部分信息系统见附录: 统一规划的国家信息系统一览表 )。省级数据中心必须能够承载 这些信息系统的运行,在设计和建设中满足这些信息系统的计算、 存储需求。2.1.2承载自建及其他应用系统的部署运行为满足本省教育信息化的应用需求, 省级教育行政部门可以 建设
10、自己需要的特定应用系统 (如教育教学相关信息系统、 教育信息服务门户等)。省级数据中心在保证国家信息系统部署运行 的基础上,也要考虑本级教育管理和服务信息系统的开发、 运行需要。2.1.3提供本省教育信息化基础设施云服务为统筹本省教育信息化基础设施建设,避免基础设施重复建 设,省级数据中心在建设时应充分利用云计算技术, 搭建云服务 平台,为本省教育行政部门和学校提供计算、 存储等基础设施云 服务2.2形成完善的基础设施环境省级数据中心要按照国家信息系统的运行要求,构建机房、 网络、计算、存储等基础环境和设施;根据业务系统和数据中心 运行维护和管理的需要,构建基础软件支撑平台,包括数据库、 门户
11、、数据交换和系统管理等平台; 建立重要系统和业务数据容灾备份;为应用系统敏感数据建立统一密码安全服务平台, 实现敏感数据加密存储和安全访问; 建设与教育部数据中心之间的数 据交换平台与安全网络通道, 保障部、省两级数据中心间的数据 传输安全。2.2.1网络大二层虚拟化给网络和安全带来了前所未有的挑战, 虚机在迁移过程中要求应用不能中断,也就是说虚机迁移时虚机的 IP地址不 能改变,这就使得整个云数据中心要采用二层组网。此外,虚机 迁移引起了应用部署位置的不确定性, 这使得数据中心跨核心的横向流量大幅增加,这就要求数据中心的组网应该是带宽低收敛 甚至是无收敛的。而一般的以太网由于生成树协议的运行
12、造成了 网络带宽的浪费,并且虚机迁移时与之相关的网络策略(如VLAN和ACL)也要随之一同迁移,这会引发整网生成树的重新 计算,造成网络震荡。因此 如何建设一个带宽无收敛、网络策略 迁移无震荡的大二层网络,是云数据中心网络需要解决的问题。 222网络高性能、可扩展数据中心在建设时,一般会将机房空间、机柜等基础建设 工作一次性完成。而在数据中心网络建设时, 可采用分批逐步建 设的方式,以避免投资浪费。这就需要数据中心网络具备易扩展 的特性,在不浪费已有网络设施的前提下, 容易实现网络性能的扩充,避免出现网络性能瓶颈制约物理资源整合的局面出现。因此,在进行数据中心网络设计的时候,必须考虑后期随着
13、数据中心内业务类型的不断丰富、 业务功能的不断扩展,物理资源不断整合、加密过程中对网络性能要求的提高。 当数据中心网络性能需要扩充的时候, 可按需对网络性能进行弹性扩展, 保证 网络数据中心能够对日益复杂的业务应用提供有力的性能支撑, 满足信息化发展需求。2.2.3保证业务连续性在信息化建设的不断深入的同时,各类信息系统的正常服务 是XXX经营活动正常开展的必要条件。如果数据中心网络因各 类故障中断运行,企业中的各类终端将无法访问各类业务系统, 数据中心的生产经营活动将受到严重影响, 引起相应的经济损失。因此,保证数据中心网络具备较强的可靠性和稳定性是网络 建设的重要需求。这就要求网络架构在设
14、计时能够从设备层面、链路层面、协议层面等方向引入必要的冗余保障: 比如设置双核 心设备互为备份,并在接入网络采用双上联的组网方式, 避免由 于单设备、单链路的故障引起网络中断等。2.3构建网络与信息安全保障体系省级数据中心安全建设,要遵照国家信息安全等级保护相关政策要求和标准规范,遵照教育部有关信息安全的行业要求和标 准规范,形成覆盖技术和管理的整体安全保障体系; 建设与教育部数据中心上下级联的安全运行维护、 管理、监测与预警的技术和工作管理平台。信息安全总体方针、策略立全业木和旳妇JE务交忖住全安金预带与附管平件电子认证和陞用安个支ItTfr利竹柿ftMMIrllf平台&应幣安全iYlit
15、A Ill厂,1 ? ;仙I抱已井叫 h JT- 1 / *安全骨理图2-2省级数据中心安全保障体系框架图2.3.1等保合规省级数据中心和本省运行的信息系统要按照国家信息系统安全等级保护制度和教育部相关文件要求进行定级; 从管理和技术两个角度进行本省网络与信息安全保障体系建设; 设置网络与信息安全职能部门和岗位, 进行人员安全培训和技能培训, 落实 信息安全人员持证上岗;按照教育信息系统安全等级保护政策要 求和技术规范,由教育信息安全等级保护测评中心实施, 定期开展信息系统等级测评;建立定期安全检查机制并配合主管部门和 当地公安部门做好监督检查。省级数据中心应按照第三级信息系统的安全保护要求进
16、行建设。二级系统可通过建立二级系统区域合理裁剪安全控制。 为保障国家信息系统整体安全, 省级数据中心应建立安全预警与监 管中心,建设与部级上下级联的安全运行维护管理平台、 应用安全监测与预警平台和安全工作管理平台。信息系统在设计规划、 建设和运行的整个生命周期中应根据国家信息安全等级保护制 度,同步开展信息系统安全等级保护定级、备案、等级测评、建 设整改和监督检查等工作,并根据信息系统安全等级保护基本要求(GB/T 22239-2008 )等国家及行业相关标准规范进行安全保障体系建设。2.3.2 L27安全省级数据中心在建设时,面临以下安全需求:1)基本结构安全与访问控制。对网络进行安全域划分
17、,设置不 同安全域的访问控制策略。2)入侵防护与病毒防范。对系统漏洞、协议弱点、DDoS攻击、 网页篡改、间谍软件、恶意攻击、流量异常等威胁进行主动 与实时阻断的一体化深层次安全防御。3)Web应用防护。有效抵御包括 SQL注入、跨站脚本攻击、 会话劫持、应用层DDoS、网页篡改在内的各种高危害性 Web 攻击。4)漏洞扫描。及时发现终端设备、服务器、路由 /交换/安全设备、操作系统(Windows/Linux/Unix )、应用服务、数据库等设备的漏洞,发现后及时弥补,避免被黑客利用漏洞进行 攻击,带来损失。5)应用交付。实现业务应用的服务加速和应用优化。提升服务 器的使用效率和弹性伸缩能力
18、。6)抗DDOS攻击,保障数据中心能抵御常见的 DDOS攻击,不致因攻击阻塞带宽无法对学校提供服务,保障服务的稳定性。2.4符合国家及教育部信息化有关标准规范省级数据中心的建设必须严格遵循国家各类信息化标准、 规范,采用教育信息化有关标准规范。包括但不限于以下内容。(1)国家电子政务工程建设项目管理暂行办法 GB 50174-2008电子信息系统机房设计规范 GB 50462-2008电子信息系统机房施工及验收规范 GB 50311 -2007综合布线工程设计规范 GB 50312-2007综合布线系统工程验收规范 GB 50395-2007视频安防监控系统设计规范 GB 50263-2007
19、气体火火系统施工及验收规范(8) GB 50394-2007入侵报警糸统工程设计规范(9) GB/T 20269-2006信息安全技术一信息系统安全管理要求(10)GB/T 20984-2007 信息安全技术一信息安全风险评估规范(11)GB/T 22239-2008 信息安全技术一信息系统安全等级保护基本要求(12)GB/T 22240-2008 信息安全技术一信息系统安全等级保护定级指南(13) GA/T 388-2002B计算机信息系统安全等级保护管理要求(14)教育管理信息标准(教技20123号)(15)其他相关技术规范第三章 项目建设目标省级数据中心是为本省提供教育管理信息系统运行的
20、云服务平台,承载和满足国家教育管理公共服务平台在省级教育行政 部门的部署和运行;集成和支撑省本级各类教育基础数据库和各 类教育管理信息系统;服务于所辖区域内教育行政部门和学校的 信息化管理业务应用,带动全省教育信息化发展。项目具体建设 内容如下:1) 建立结构先进、高速可靠、安全分区的网络体系架构本次项目建设的数据中心网络,将在架构上实现对数据中 心大流量数据的转发能力与可靠性保障,满足数据中心未来云计 算技术发展要求。同时,根据数据中心的业务层次,分区逻辑关 系等要素,进行安全区域的划分,并设置相应的安全策略,实现 数据中心网络的逻辑隔离与严格的受控访问, 实现安全、可控的访问接入。2) 加
21、强系统综合安全的建设,充分保障业务系统信息安全从网络规划、操作系统以及业务系统等各个层次上统一考 虑安全措施,充分考虑易操作性。这其中包括网络的多级安全区 域的规划与设计、各业务系统在多级网络中的部署与互通、 系统运行状况的监控和管理、入侵防御 /防病毒/应用交付/流量管理/ 行为审计等措施的统一规划、设计与部署。3) 确保系统资源的有效管理和运行,整合系统资源加强系统资源的有效管理,提高系统资源的利用率,降低 系统运行成本,提高系统的可靠性,保障关键业务的正常运转。4) 建立业务识别与控制能力对网络流量进行细致分析,快速实现网络流量及应用的可视化,及时准确的了解网络流量的使用状况, 并配合灵
22、活的管控策略,实现对网络资源轻松管理。深度流量分析:提供清晰的图形化界面可直观查看实时 /历史流量走势、应用排名、用户状态、连接数等信息,便于分析网 络健康状况以及定位故障。5) 建立覆盖网络L27层的全面防御能力在低延迟的前提下进行实时威胁防御,对网络数据流进行L27的深度分析,检测和阻断蠕虫、木马、间谍软件和应用漏 洞攻击,阻断利用各种新漏洞、新威胁进行的恶意渗透和传播, 满足高性能和复杂网络环境下的在线实时入侵防御, 准确的识别恶意流量,避免通常的特征匹配技术常见的误报和漏报问题。6) 安全预警及漏洞自动修补能力提供漏洞通告、关联检测、自动修复、资产风险管理、漏 洞审计等管理功能,实现对
23、网络中各种资产(终端、服务器、路 由/交换设备、操作系统(Win dows/Li nux/U nix )、应用服务等)进行全方位、高效的漏洞管理,具有覆盖 2-7层漏洞检测和自动修补等技术,尤其针对 Web应用系统进行代码级检测,消 除XSS跨站脚本、SQL注入、网页挂马等漏洞威胁,支持对 SSL 加密应用的漏洞管理,对漏洞特征库进行持续不断的升级, 从而确保漏洞判断准确无误。7)高效的可视化安全监管能力在单一界面下,对各种安全功能进行统一配置管理,将原 本分布在网络中各自独立的安全设备进行统一的管理和监控, 并通过丰富的报表展示网络安全状态,形成一个集统计分析和管理 配置于一体的安全管理。第
24、四章项目设计原则根据数据中心网络建设需求及技术发展的趋势, 我们按以下原则设计方案:1)实用性和先进性。省级数据中心建设既要充分考虑实用性, 始终面向业务应用,又要考虑先进性,保持适度前瞻。在进 行架构规划时,不盲目追求设备的超前采购,在充分考虑应 用性能的基础上,保护原有投资。同时要采用成熟先进的理 念、技术和方法,适应发展潮流。2)可靠性和稳定性。省级数据中心建设要确保系统运行的可靠 性和稳定性,要从系统架构、技术措施、设备性能、系统管 理、厂商技术支持及维修能力等多方面进行设计规划,确保 系统运行的可靠稳定。3) 可扩展性和易维护性原则。省级数据中心建设应充分考虑可 扩展性和易维护4)
25、安全性:要对系统自身具有良好的安全性,能够抵御针对自 身的安全威胁。同时提供备份和恢复机制,对管理权限实行 分组管理分组授权。5) 扩展性:系统应支持灵活组网和网络改扩建的需要,能够快 速部署和随网络结构进行调整,并无需改动平台主体结构和 功能。6) 集约性:通过采用适当的技术,使得系统能够将各类软、硬 件资源的使用效率最大化,同时降低系统运维复杂性,节省 系统维护成本。7) 易管理:一个好的网络系统必须是一个易管理的网络系统, 本方案中通过配置网管系统软件对整个网络实施高效的管理。第五章 方案设计思路本次方案主要按照以下设计思路对数据中心网络进行方案 设计。5.1 虚拟化大二层网络设计5.1
26、.1大二层网络架构随着业务的不断发展,数据中心必须具备较强的资源整合能力,弹性可扩展是数据中心网络的基本要求。同时,随着云计算 技术在实现业务快速、灵活部署方面的优势越来越明显, 越来越多的业务系统将迁移到云平台中。 这就要求数据中心的各类云计 算平台具备较强的灵活性和扩展能力。 可以预见,云计算平台的部署将会是数据中心建设中非常重要的一部分内容。另一方面,云计算平台的部署将会对数据中心网络架构提出 新的要求。为了保证虚机迁移不会对业务连续性产生影响, 云平台需要部署在一个二层的环境当中,来解决虚机迁移过程中 IP地址不能改变的问题。此时,传统数据中心的三层网络架构将无 法满足云平台的建设部署
27、及灵活扩展需求。因此,本次方案建议采用扁平化的组网方式, 在数据中心网络核心部署迪普科技的具备万兆以上高密端口的核心交换设备, 部署在各机柜或者网络柜的接入层交换设备直接通过直连光缆 高速上联到核心设备,取消了传统组网方式中的汇聚层, 实现数据中心的大二层简单组网。在大二层组网架构中,网络核心层通常采用两台核心交换设 备互为备份,各接入交换设备通过双链路直接分别上联到核心设备,确保了网络的可靠性,实现了网络的无收敛接入。5.1.2核心网络虚拟化如前所述,随着业务的不断发展,各类新的业务和应用对数 据中心网络在网络性能、可靠性和功能上提出了诸多新的需求。 在传统数据中心向云计算平台为主的数据中心
28、转变的过程中, 数据中心网络架构采用扁平化的大二层简单组网。 在双链路上联的组网环境下,对每个二层域来说,双上联链路会形成二层环路。 传统的解决二层环路问题的方式是在设备上运行 STP协议,STP协议自动计算链路状态,通过阻塞某些链路的二层转发达到消除 二层环路的目的。通过STP解决二层环路会带来以下问题:1) 链路资源利用率较低。STP协议阻塞了部分链路的二层数据传输,相当于这些链路处于空闲状态, 只有当运行状态的链路发生故障时,这些链路才能发挥作用,使用效率非 常低下。2) 收敛速度慢。当运行状态的链路发生故障时,STP协议需 要重新计算整网拓扑,最终实现拓扑收敛并恢复数据运行 的时间往往较长。对于实时性要求非常高的数据中心来说, 等待STP收敛的过程就意味着业务的中断,这是很难接 受的。针对以上问题,本次方案采用了迪普科技的 VSM (VirtualSwitchi ng Matrix 虚拟交换矩阵)多合一虚拟化技术,对网络 核心交换设备进行横向虚拟化, 将多台核心层设备虚拟化成一台 逻辑设备,从而消除了二层环路,完美解决了数据中心网络中 STP协议的不足带来的问题。控制苹面业券平面转发平面
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1
升级会员 