XX教育数据中心信息化技术建议书

1、xx平台数据中心技术建议书杭州迪普科技有限公司目 录第一章项目背景介绍31.1教育管理公共服务平台建设31.2一个平台、一个中心的建设模式41.2.1云计算与教育信息化41.2.2一个教育云平台、一个云数据中心51.2.3xx省教育管理平台数据中心现状6第二章项目需求分析82.1满足应用系统部署和服务的需要82.1.1承载国家信息系统部署82.1.2承载自建及其他应用系统的部署运行92.1.3提供本省教育信息化基础设施云服务92.2形成完善的基础设施环境92.2.1网络大二层92.2.2网络高性能、可扩展102.2.3保证业务连续性102.3构建网络与信息安全保障体系112.3.1等保合规12

2、2.3.2L27安全122.4符合国家及教育部信息化有关标准规范13第三章项目建设目标15第四章项目设计原则17第五章方案设计思路185.1虚拟化大二层网络设计185.1.1大二层网络架构185.1.2核心网络虚拟化195.2安全防护与等保合规215.2.1网络安全同步设计215.2.2整网安全分区分域215.2.3关键路径入侵防御235.2.4业务系统抗DDoS攻击防护245.2.5Web站点细粒度防护245.2.6服务器应用交付255.2.7安全防范与等保合规255.3网络安全融合275.3.1传统安全部署方式的局限性275.3.2业界唯一的L27融合29第六章方案规划与设计356.1核心

3、区设计366.1.1组网设计366.1.2安全分区设计376.1.3入侵防御及业务深度防护设计376.1.4内部流量安全防护386.1.5应用交付386.2接入区设计386.3出口设计396.3.1众多需求，从“融”面对406.3.2智能提升带宽价值，秀外“慧”中416.3.3网络行为，“管”控一体436.3.4高速稳定，畅“通”无阻436.3.5防DDOS攻击436.3.6Web防护446.3.7产品部署446.4网络安全一体化管理44第七章方案优势47第一章 项目背景介绍1.1 教育管理公共服务平台建设教育管理信息系统建设是国家中长期教育改革和发展规划纲要(2010-2020 年)以及教育

4、信息化十年发展规划（2011-2020 年）中确定的重要内容，是支撑教育管理现代化、促进教育改革发展的基础性工程。国家教育管理公共服务平台建设是“十二五”期间的教育管理信息系统建设的核心任务，是“三通两平台”的重点内容之一。其具体内容是建立覆盖全国各级教育行政部门和各级各类学校的管理信息系统及基础数据库,为加强教育监管、支持教育宏观决策、全面提升教育公共服务能力提供技术和数据支撑。平台按照“两级建设、五级应用”体系进行实施。图1-1 两级建设五级应用如图1-1所示，两级建设是指在教育部和各省级教育行政部门分别建立中央和省两级数据中心，建设数据集中、系统集成的应用环境；五级应用是指各类教育管理信

5、息系统均同步建设中央、省、地市、县、学校五级系统，由教育部统一组织开发，其中中央级系统部署在中央级数据中心，省、地市、县、学校级系统下发并部署在省级数据中心，供中央、各地和学校使用，以上由教育部统一组织开发的国家教育管理信息系统在本指南中简称为国家信息系统。平台将整合各级各类教育管理信息资源和信息化基础设施，建设包含教育机构、学生、教师和学校资产及办学条件等各类教育管理与服务对象，覆盖国家、各地和学校等多层次的共享的教育基础数据库，以及信息整合、业务聚合、服务融合的教育管理信息系统，实现教育行政部门与学校间的数据互通和系统互联，提升教育监管能力与公共服务水平。国家教育管理公共服务平台建设以各地

6、和学校的相关信息系统和数据作为基础，需要推动国家信息系统在各地和学校的部署与应用。国家教育管理公共服务平台省级数据中心建设是构建“两级建设和五级应用”、保证国家信息系统在省级部署与应用的关键设施。1.2 一个平台、一个中心的建设模式1.2.1 云计算与教育信息化通过技术手段，将分散的教育管理信息系统与教育资信息系统进行统一部署、统一管理和统一提供服务，建设统一的教育云平台无疑是解决以上两大服务平台建设中所面临问题的最好办法。云计算作为一种新型资源的共享和管理模式，正越来越广泛地应用于各种资源共享、管理和服务的领域中。“云”中的资源是可以无限扩展的，并且可以随时获取，按需使用，随时扩展，按使用付

7、费。它具有超大规模、虚拟化、按需服务、廉价等特点，这些特点对于当前分布不均衡、建设经费紧张的教育资源来说，无疑提供了最恰当的资源共享、共用、共管的方法。教育信息化十年发展规划(2011-2020规划就国家教育云基础平台建设问题也做了相关要求：充分整合和利用各级各类教育机构的信息基础设施，建设覆盖全国、分布合理、开放开源的基础云环境，支撑形成云基础平台、云资源平台和云教育管理服务平台的层级架构，到2015年，初步建成国家教育云基础平台，支持教育云资源平台和管理服务平台的有效部署与应用，可同时为IPv4和IPv6用户提供教育基础云服务。1.2.2 一个教育云平台、一个云数据中心图1-2 教育云平台

8、承载教育云平台的主要基础设施是云数据中心，当前国家、省、地市、县4级教育行政机构都在新建、改造或计划建设数据中心，承载教育管理与教育资源两大系信息系统，建设模式整体向云计算模式转变，逐渐将形成国家、省、地市、县4级教育云平台建设的格局，每级的每个区域都将形成一个云数据中心承载一个教育云平台的模式。国家级、省级教育云平台当前主要通过教育网与公共互联网向公众与教育行政机构提供服务。地市级、县级教育云平台主要通过教育城域网与所辖教育行政机构、学校互联，在互联带宽上有优势，可以借助此优势向所辖教育行政机构、学校提供IaaS与SaaS教育云服务，甚至是云桌面服务，促进教育信息化建设由分散型向集约型的转变

9、。1.2.3 xx平台数据中心现状xx平台于2013年开始建设，目前平台共有1号机房、2号机房两个机房。其中1号机房分4个区域，A区域放存储、核心交换机、出口网关，B满配64台服务器，C、D区域满配各有50台服务器。2号机房满配80台服务器。服务器采用Vmware虚拟化技术，通过虚拟服务器对外提供服务。现网共200台服务器左右。众所周知，数据中心的建设内容十分丰富，包含服务、软件、硬件，对于IT硬件基础架构来说，建设内容包含计算、存储、网络安全资源。本项目为网络安全建设的设计方案。 第二章 项目需求分析2.1 满足应用系统部署和服务的需要省级数据中心首先要承载国家信息系统的部署运行，也要支撑本

10、省自建应用系统及其他应用系统的部署运行，要采取云服务模式，为本级及所属各级教育行政部门和学校提供信息系统和数据库存储与服务，具体情况如图2-1 所示。图2-1 省级数据中心承载应用系统示意图2.1.1 承载国家信息系统部署“教育服务与监管体系信息化建设”项目作为国家教育管理信息化的先导工程，已完成顶层设计。教育部正在统一开发建设一系列与学生、教师、学校资产及办学条件相关的系统，并陆续开始在部（中央）、省两级投入部署运行 (部分信息系统见附录：统一规划的国家信息系统一览表)。省级数据中心必须能够承载这些信息系统的运行，在设计和建设中满足这些信息系统的计算、存储需求。2.1.2 承载自建及其他应用

11、系统的部署运行为满足本省教育信息化的应用需求，省级教育行政部门可以建设自己需要的特定应用系统（如教育教学相关信息系统、教育信息服务门户等）。省级数据中心在保证国家信息系统部署运行的基础上，也要考虑本级教育管理和服务信息系统的开发、运行需要。2.1.3 提供本省教育信息化基础设施云服务为统筹本省教育信息化基础设施建设，避免基础设施重复建设，省级数据中心在建设时应充分利用云计算技术，搭建云服务平台，为本省教育行政部门和学校提供计算、存储等基础设施云服务。2.2 形成完善的基础设施环境省级数据中心要按照国家信息系统的运行要求，构建机房、网络、计算、存储等基础环境和设施；根据业务系统和数据中心运行维护

12、和管理的需要，构建基础软件支撑平台，包括数据库、门户、数据交换和系统管理等平台；建立重要系统和业务数据容灾备份；为应用系统敏感数据建立统一密码安全服务平台，实现敏感数据加密存储和安全访问；建设与教育部数据中心之间的数据交换平台与安全网络通道，保障部、省两级数据中心间的数据传输安全。2.2.1 网络大二层虚拟化给网络和安全带来了前所未有的挑战，虚机在迁移过程中要求应用不能中断，也就是说虚机迁移时虚机的IP地址不能改变，这就使得整个云数据中心要采用二层组网。此外，虚机迁移引起了应用部署位置的不确定性，这使得数据中心跨核心的横向流量大幅增加，这就要求数据中心的组网应该是带宽低收敛甚至是无收敛的。而一

13、般的以太网由于生成树协议的运行造成了网络带宽的浪费，并且虚机迁移时与之相关的网络策略（如VLAN和ACL）也要随之一同迁移，这会引发整网生成树的重新计算，造成网络震荡。因此如何建设一个带宽无收敛、网络策略迁移无震荡的大二层网络，是云数据中心网络需要解决的问题。2.2.2 网络高性能、可扩展 数据中心在建设时，一般会将机房空间、机柜等基础建设工作一次性完成。而在数据中心网络建设时，可采用分批逐步建设的方式，以避免投资浪费。这就需要数据中心网络具备易扩展的特性，在不浪费已有网络设施的前提下，容易实现网络性能的扩充，避免出现网络性能瓶颈制约物理资源整合的局面出现。因此，在进行数据中心网络设计的时候，

14、必须考虑后期随着数据中心内业务类型的不断丰富、业务功能的不断扩展，物理资源不断整合、加密过程中对网络性能要求的提高。当数据中心网络性能需要扩充的时候，可按需对网络性能进行弹性扩展，保证网络数据中心能够对日益复杂的业务应用提供有力的性能支撑，满足信息化发展需求。2.2.3 保证业务连续性在信息化建设的不断深入的同时，各类信息系统的正常服务是XXX经营活动正常开展的必要条件。如果数据中心网络因各类故障中断运行，企业中的各类终端将无法访问各类业务系统，数据中心的生产经营活动将受到严重影响，引起相应的经济损失。因此，保证数据中心网络具备较强的可靠性和稳定性是网络建设的重要需求。这就要求网络架构在设计时

15、能够从设备层面、链路层面、协议层面等方向引入必要的冗余保障：比如设置双核心设备互为备份，并在接入网络采用双上联的组网方式，避免由于单设备、单链路的故障引起网络中断等。2.3 构建网络与信息安全保障体系省级数据中心安全建设，要遵照国家信息安全等级保护相关政策要求和标准规范，遵照教育部有关信息安全的行业要求和标准规范，形成覆盖技术和管理的整体安全保障体系；建设与教育部数据中心上下级联的安全运行维护、管理、监测与预警的技术和工作管理平台。图2-2 省级数据中心安全保障体系框架图2.3.1 等保合规省级数据中心和本省运行的信息系统要按照国家信息系统安全等级保护制度和教育部相关文件要求进行定级；从管理和

16、技术两个角度进行本省网络与信息安全保障体系建设；设置网络与信息安全职能部门和岗位，进行人员安全培训和技能培训，落实信息安全人员持证上岗；按照教育信息系统安全等级保护政策要求和技术规范，由教育信息安全等级保护测评中心实施，定期开展信息系统等级测评；建立定期安全检查机制并配合主管部门和当地公安部门做好监督检查。省级数据中心应按照第三级信息系统的安全保护要求进行建设。二级系统可通过建立二级系统区域合理裁剪安全控制。为保障国家信息系统整体安全，省级数据中心应建立安全预警与监管中心，建设与部级上下级联的安全运行维护管理平台、应用安全监测与预警平台和安全工作管理平台。信息系统在设计规划、建设和运行的整个生

17、命周期中应根据国家信息安全等级保护制度，同步开展信息系统安全等级保护定级、备案、等级测评、建设整改和监督检查等工作，并根据信息系统安全等级保护基本要求（GB/T 22239-2008）等国家及行业相关标准规范进行安全保障体系建设。2.3.2 L27安全省级数据中心在建设时，面临以下安全需求：1) 基本结构安全与访问控制。对网络进行安全域划分，设置不同安全域的访问控制策略。2) 入侵防护与病毒防范。对系统漏洞、协议弱点、DDoS攻击、网页篡改、间谍软件、恶意攻击、流量异常等威胁进行主动与实时阻断的一体化深层次安全防御。3) Web应用防护。有效抵御包括SQL注入、跨站脚本攻击、会话劫持、应用层D

18、DoS、网页篡改在内的各种高危害性Web攻击。4) 漏洞扫描。及时发现终端设备、服务器、路由/交换/安全设备、操作系统（Windows/Linux/Unix）、应用服务、数据库等设备的漏洞，发现后及时弥补，避免被黑客利用漏洞进行攻击，带来损失。5) 应用交付。实现业务应用的服务加速和应用优化。提升服务器的使用效率和弹性伸缩能力。6) 抗DDOS攻击，保障数据中心能抵御常见的DDOS攻击，不致因攻击阻塞带宽无法对学校提供服务，保障服务的稳定性。2.4 符合国家及教育部信息化有关标准规范省级数据中心的建设必须严格遵循国家各类信息化标准、规范，采用教育信息化有关标准规范。包括但不限于以下内容。(1)

19、 国家电子政务工程建设项目管理暂行办法(2) GB 50174-2008 电子信息系统机房设计规范(3) GB 50462-2008 电子信息系统机房施工及验收规范(4) GB 50311-2007 综合布线工程设计规范(5) GB 50312-2007 综合布线系统工程验收规范(6) GB 50395-2007 视频安防监控系统设计规范(7) GB 50263-2007 气体灭火系统施工及验收规范(8) GB 50394-2007 入侵报警系统工程设计规范(9) GB/T 20269-2006 信息安全技术信息系统安全管理要求(10) GB/T 20984-2007 信息安全技术信息安全风险

20、评估规范(11) GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求(12) GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南(13) GA/T 388-2002B 计算机信息系统安全等级保护管理要求(14) 教育管理信息标准（教技20123 号）(15) 其他相关技术规范第三章 项目建设目标省级数据中心是为本省提供教育管理信息系统运行的云服务平台，承载和满足国家教育管理公共服务平台在省级教育行政部门的部署和运行；集成和支撑省本级各类教育基础数据库和各类教育管理信息系统；服务于所辖区域内教育行政部门和学校的信息化管理业务应用，带动全省教育信息化发展

21、。项目具体建设内容如下：1) 建立结构先进、高速可靠、安全分区的网络体系架构本次项目建设的数据中心网络，将在架构上实现对数据中心大流量数据的转发能力与可靠性保障，满足数据中心未来云计算技术发展要求。同时，根据数据中心的业务层次，分区逻辑关系等要素，进行安全区域的划分，并设置相应的安全策略，实现数据中心网络的逻辑隔离与严格的受控访问，实现安全、可控的访问接入。2) 加强系统综合安全的建设，充分保障业务系统信息安全从网络规划、操作系统以及业务系统等各个层次上统一考虑安全措施，充分考虑易操作性。这其中包括网络的多级安全区域的规划与设计、各业务系统在多级网络中的部署与互通、系统运行状况的监控和管理、入

22、侵防御/防病毒/应用交付/流量管理/行为审计等措施的统一规划、设计与部署。3) 确保系统资源的有效管理和运行，整合系统资源加强系统资源的有效管理，提高系统资源的利用率，降低系统运行成本，提高系统的可靠性，保障关键业务的正常运转。4) 建立业务识别与控制能力对网络流量进行细致分析，快速实现网络流量及应用的可视化，及时准确的了解网络流量的使用状况，并配合灵活的管控策略，实现对网络资源轻松管理。深度流量分析：提供清晰的图形化界面可直观查看实时/历史流量走势、应用排名、用户状态、连接数等信息，便于分析网络健康状况以及定位故障。5) 建立覆盖网络L27层的全面防御能力在低延迟的前提下进行实时威胁防御，对

23、网络数据流进行L27的深度分析，检测和阻断蠕虫、木马、间谍软件和应用漏洞攻击，阻断利用各种新漏洞、新威胁进行的恶意渗透和传播，满足高性能和复杂网络环境下的在线实时入侵防御，准确的识别恶意流量，避免通常的特征匹配技术常见的误报和漏报问题。6) 安全预警及漏洞自动修补能力提供漏洞通告、关联检测、自动修复、资产风险管理、漏洞审计等管理功能，实现对网络中各种资产（终端、服务器、路由/交换设备、操作系统（Windows/Linux/Unix）、应用服务等）进行全方位、高效的漏洞管理，具有覆盖2-7层漏洞检测和自动修补等技术，尤其针对Web应用系统进行代码级检测，消除XSS跨站脚本、SQL注入、网页挂马等

24、漏洞威胁，支持对SSL加密应用的漏洞管理，对漏洞特征库进行持续不断的升级，从而确保漏洞判断准确无误。7) 高效的可视化安全监管能力在单一界面下，对各种安全功能进行统一配置管理，将原本分布在网络中各自独立的安全设备进行统一的管理和监控，并通过丰富的报表展示网络安全状态，形成一个集统计分析和管理配置于一体的安全管理。第四章 项目设计原则根据数据中心网络建设需求及技术发展的趋势，我们按以下原则设计方案：1) 实用性和先进性。省级数据中心建设既要充分考虑实用性，始终面向业务应用，又要考虑先进性，保持适度前瞻。在进行架构规划时，不盲目追求设备的超前采购，在充分考虑应用性能的基础上，保护原有投资。同时要采

25、用成熟先进的理念、技术和方法，适应发展潮流。2) 可靠性和稳定性。省级数据中心建设要确保系统运行的可靠性和稳定性，要从系统架构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等多方面进行设计规划，确保系统运行的可靠稳定。3) 可扩展性和易维护性原则。省级数据中心建设应充分考虑可扩展性和易维护4) 安全性：要对系统自身具有良好的安全性，能够抵御针对自身的安全威胁。同时提供备份和恢复机制，对管理权限实行分组管理分组授权。5) 扩展性：系统应支持灵活组网和网络改扩建的需要，能够快速部署和随网络结构进行调整，并无需改动平台主体结构和功能。6) 集约性：通过采用适当的技术，使得系统能够将各类软、硬

26、件资源的使用效率最大化，同时降低系统运维复杂性，节省系统维护成本。7) 易管理：一个好的网络系统必须是一个易管理的网络系统，本方案中通过配置网管系统软件对整个网络实施高效的管理。第五章 方案设计思路本次方案主要按照以下设计思路对数据中心网络进行方案设计。5.1 虚拟化大二层网络设计5.1.1 大二层网络架构随着业务的不断发展，数据中心必须具备较强的资源整合能力，弹性可扩展是数据中心网络的基本要求。同时，随着云计算技术在实现业务快速、灵活部署方面的优势越来越明显，越来越多的业务系统将迁移到云平台中。这就要求数据中心的各类云计算平台具备较强的灵活性和扩展能力。可以预见，云计算平台的部署将会是数据中

27、心建设中非常重要的一部分内容。另一方面，云计算平台的部署将会对数据中心网络架构提出新的要求。为了保证虚机迁移不会对业务连续性产生影响，云平台需要部署在一个二层的环境当中，来解决虚机迁移过程中IP地址不能改变的问题。此时，传统数据中心的三层网络架构将无法满足云平台的建设部署及灵活扩展需求。因此，本次方案建议采用扁平化的组网方式，在数据中心网络核心部署迪普科技的具备万兆以上高密端口的核心交换设备，部署在各机柜或者网络柜的接入层交换设备直接通过直连光缆高速上联到核心设备，取消了传统组网方式中的汇聚层，实现数据中心的大二层简单组网。在大二层组网架构中，网络核心层通常采用两台核心交换设备互为备份，各接入

28、交换设备通过双链路直接分别上联到核心设备，确保了网络的可靠性，实现了网络的无收敛接入。5.1.2 核心网络虚拟化如前所述，随着业务的不断发展，各类新的业务和应用对数据中心网络在网络性能、可靠性和功能上提出了诸多新的需求。在传统数据中心向云计算平台为主的数据中心转变的过程中，数据中心网络架构采用扁平化的大二层简单组网。在双链路上联的组网环境下，对每个二层域来说，双上联链路会形成二层环路。传统的解决二层环路问题的方式是在设备上运行STP协议，STP协议自动计算链路状态，通过阻塞某些链路的二层转发达到消除二层环路的目的。通过STP解决二层环路会带来以下问题：1) 链路资源利用率较低。STP协议阻塞了

29、部分链路的二层数据传输，相当于这些链路处于空闲状态，只有当运行状态的链路发生故障时，这些链路才能发挥作用，使用效率非常低下。2) 收敛速度慢。当运行状态的链路发生故障时，STP协议需要重新计算整网拓扑，最终实现拓扑收敛并恢复数据运行的时间往往较长。对于实时性要求非常高的数据中心来说，等待STP收敛的过程就意味着业务的中断，这是很难接受的。针对以上问题，本次方案采用了迪普科技的VSM（Virtual Switching Matrix虚拟交换矩阵）多合一虚拟化技术，对网络核心交换设备进行横向虚拟化，将多台核心层设备虚拟化成一台逻辑设备，从而消除了二层环路，完美解决了数据中心网络中STP协议的不足带

30、来的问题。图5-1 VSM虚拟化技术迪普科技的VSM横向虚拟化技术，可以将多台核心设备虚拟成为一台逻辑设备，可实现核心设备二、三层控制平面的统一计算，进而在保证了多设备冗余的高可靠的前提下，实现接入交换机上行链路的跨设备链路聚合，从而消除环路。通过消除二层环路，网络中的各条接入链路不再需要进入阻塞状态，可进行同时的数据传输，实现了网络性能的倍增，提高二层组网的性能。更重要的是，这种组网方式消除由生成树重计算造成的网络震荡，将链路故障造成的网络重收敛时间降至毫秒级，确保的数据中心业务的不间断运行，实现了的业务永续。虚拟化后的数据中心大二层网络架构如下图所示：图5-2 DP xCloud数据中心网

31、络架构5.2 安全防护与等保合规5.2.1 网络安全同步设计对于网络来说，光稳定、可靠是不够的，还要保障安全，网络才可用。有的企业在信息化建设中将网络建设和网络安全建设割裂，先建设网络再建设网络安全，这会带来很多问题，比如应用层对权限进行限制后，网络层可能是连通的。此外，网络建设的重要内容是进行网络策略规划，这其中的核心就是安全分区的划分，而安全分区的划分属于网络安全建设范畴。因此，网络安全的设计应与网络设计同步，从一开始就进行网络策略、安全策略的规划。网络安全体系并不是安全功能的简单叠加，而是一个功能联动、相互配合、覆盖L27、从终端到核心的完整的安全体系。本项目的安全体系包括：访问控制、入

32、侵防御、异常流量检测、Web应用防护、漏洞扫描和应用交付等。5.2.2 整网安全分区分域在安全设计时，首先要将网络划分为不同的功能区域，用于部署不同的应用，使得整个集团网络的架构具备可伸缩性、灵活性、和高可用性。服务器将会根据服务器上的应用的用户访问特性和应用的核心功能分成不同组部署在不同的区域中，但是由于整个数据中心的很多服务是统一提供的，例如数据备份和系统管理，所以为保持架构的统一性，避免资源不必要的重复浪费，一些功能相似的服务将统一部署在特定的功能区域内，例如与管理相关的服务器将被部署在管理区。实际部署中，建议通过防火墙实现安全区域的边界隔离与访问控制，防火墙定义为高级的安全访问控制设备

33、，通过位于不同网络或网络安全域之间信息的唯一连接处，根据组织的业务特点、行业背景、管理制度所制定的安全策略，运用包过滤、代理网关、NAT转换、IP/MAC地址绑定等技术，实现对出入网络的信息流进行全面的安区控制（允许通过、拒绝通过、过程监测）。通过防火墙功能实现以下控制策略：n 端口级访问控制：控制进出安全区域的数据包的方法，实时监控网络上数据包的状态，制定基于IP、端口、出入接口、数据流方向的控制策略，实现通过防火墙的数据流的允许、拒绝的明确控制。n 深度内容过滤策略：设置基于HTTP、SMTP、FTP、TELNET、SMTP、POP3等协议的过滤，控制级别到命令级别，针对邮件进行主题、正文

34、、收发件人、附件名等的过滤。n 会话连接控制：针对某一端口或设备进行连接数限制，以此控制网络流量，以及部分DOS、DDOS攻击，对于普通会话连接，会话超时时自动断掉连接，某些特殊服务需要长连接控制，因此对某些服务进行长连接控制，当会话处于非活跃状态下，在一定时长内保持会话的连接状态。n 带宽管理策略：根据业务优先级进行带宽管理设置，保证重要业务的贷款使用，保证业务的可用性。n IP/MAC绑定策略：进行IP与MAC地址绑定，防止地址欺骗n 身份认证策略：采用防火墙本地认证或者与第三方认证系统联动，进行用户级别的访问控制，通过身份控制与授权管理共同确保信息资源的机密性。n 管理权限策略：防火墙的

35、设备管理员权限分级管理，不同管理员权限不同，例如可通过权限控制拨号访问的用户数量等。5.2.3 关键路径入侵防御入侵防御系统是目前实现应用层攻击防御和入侵防范重要设备，建议可通过部署网络入侵防御系统来实现，网络入侵防御系统部署于敏感数据需要保护的网络上，通过实时侦听网络数据流，寻找网络行为违规模式和未授权的网络访问尝试。通过设置如下安全策略实现入侵防范措施：n 防范网络攻击事件：正如入侵防御系统的安全策略中描述的，针对应急平台敏感数据处理区域，入侵防御系统采用细粒度检测技术，协议分析技术，误用检测技术，协议异常检测，可有效防止各种攻击和欺骗。针对端口扫描类、木马后门、缓冲区溢出、IP碎片攻击等

36、进行监视和报警。n 防范拒绝服务攻击：入侵防御系统在防火墙进行边界防范的基础上，入侵防御系统能够应付各种SNA类型和应用层的强力攻击行为,包括消耗目的端的各种资源如网络带宽、系统性能等攻击。主要防范的攻击类型有TCP Flood，UDP Flood，Ping Abuse等；n 审计、查询策略：能够完整记录多种应用协议（HTTP、FTP、SMTP、POP3、TELNET等）的内容。记录内容包括，攻击源IP、攻击类型、攻击目标、攻击时间等信息，并按照相应的协议格式进行回放，清楚再现入侵者的攻击过程，重现内部网络资源滥用时泄漏的保密信息内容。同时必须对重要安全事件提供多种报警机制。5.2.4 业务系

37、统抗DDoS攻击防护DDoS（Distributed Denial of Service）攻击通过大量合法的请求占用大量网络资源，以达到瘫痪网络的目的。目前DDoS攻击技术的发展，攻击方式多样，可以在网络的L37展开持续而有效的攻击。数据中心各类业务系统遭受DDOS攻击常有发生，时时都有受到攻击的威胁。为此，数据中心设计通过部署专业的异常流量清洗系统来抵御日渐流行的DDoS攻击。异常流量清洗系统旁路工作在网络核心，正常情况下核心流量不经过系统。当攻击发生时系统介入，滤除数据流中的攻击数据包，从保障业务系统正常访问不受影响。5.2.5 Web站点细粒度防护随着B/S架构业务系统成为主流，基于We

38、b的应用日益增多，针对Web站点的SQL注入、跨站脚本、网页挂马等各种攻击手段使得Web应用处于高风险的环境中，传统安全设备无法对Web应用提供细粒度的有效防护。目前，针对Web站点的攻击防护主要通过在服务器前端部署Web应用防火墙（WAF）系统实现。WAF系统主要具有以下功能：n 高效的Web漏洞防护功能：能够有效抵御包括SQL注入、跨站脚本、会话劫持在内的各种高危害性Web漏洞攻击。n HTTP协议加固功能：具备HTTP协议正规化功能，支持对Cookie的各种属性进行严格检查，支持缓冲区溢出保护等多种HTTP协议加固功能。n 网页防恶意篡改功能：能够对Web网站的数据备份和还原，并且支持在

39、自动或手动模式下，对网站数据的精确、增量同步，能够有效防止网页被恶意篡改。5.2.6 服务器应用交付在服务器集群技术已非常成熟的背景下，采用服务器集群支撑重要业务服务，能够有效提升服务能力，并且避免因单台服务器故障引起的业务瘫痪。本次方案设计在数据中心核心配置应用交付平台，为业务系统提供应用负载均衡支持，以实现业务不间断访问，保障业务连续性。应用交付平台主要具有以下功能：n 隐藏内部地址：应用交付平台作为访问客户端和业务服务器之间的双向代理，当接收到来自访问客户端的访问请求后，对该请求的源、目的IP地址进行转换，并发送给合适的服务器；收到服务器的响应后，再对响应的数据包进行IP地址转换，发送给

40、访问客户端。通过这种方式，客户端只知道应用交付平台的IP地址，隐藏了内部服务器的地址，保障了业务服务器免受来自外部的直接攻击。n 确保业务永续： 应用交付平台作为双向代理，同时可对各服务器的工作状态进行检测，将访问请求发送到负载较小、服务能力较好的服务器上；当集群中的个别服务器发送故障时，应用交付平台就不向其发送访问请求，因此对外部用户来说，只要不是所有的服务器全部故障，就可以获得服务器的响应，确保了业务的永续。n 分担服务器功能：应用交付平台可替代服务器完成一些原先在服务器上完成的工作，比如数据加解密、压缩等，从而释放服务器性能。5.2.7 安全防范与等保合规信息安全等级保护制度（以下简称“

41、等保”）是我国信息安全建设的基本国策。等保的建设过程分为：定级、评估、整改、测评、监管。根据信息系统安全等级保护定级指南，信息系统的定级分为五个等级。在实际等保建设中，大多数的企业的等保在第二级和第三级。等保建设主要依据信息系统安全建设和改造过程中使用的标准信息系统安全等级保护基本要求（以下简称基本要求），进行方案设计。基本要求在整体框架结构上以三种分类为支撑点，自上而下分别为：类、控制点和项。其中，类表示基本要求在整体上大的分类，其中技术部分分为：物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等5大类，管理部分分为：安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维

42、管理等5大类，一共分为10大类。控制点表示每个大类下的关键控制点。具体框架结构如图所示：图5-3 等级保护制度框架信息安全等级保护工作是个庞大的系统工程，关系信息化建设的方方面面，这就决定了这项工作的开展必须分步骤、分阶段、有计划的实施。迪普在信息安全等级保护工作中能为用户提供网络安全的全部防护和数据安全的部分安全防护。迪普能提供的安全防护如图所示：图5-4 迪普科技安全防护5.3 网络安全融合5.3.1 传统安全部署方式的局限性随着云计算、物联网的不断发展，用户的数据业务飞速增长，不仅使网络架构变得非常复杂，也使网络安全、应用体验性、业务持续可用面对巨大挑战。传统的安全解决方法是在大容量交换

43、设备之外，通过旁挂或者串联的方式部署防火墙、IPS、流量控制、应用交付、漏洞扫描系统和Web应用防火墙等深度业务处理设备。这种解决方法在新的技术发展趋势下，显现出越来越多的问题：1) 整网可靠性低。网络中要增加防火墙、IPS、流量控制、应用交付、漏洞扫描系统、上网行为审计、Web应用防火墙等大量的安全设备，使整网的可靠性降低。如果都是单台设备“糖葫芦串式”的组网带来大量单点故障。如果采用双机部署，盒式安全设备的双机备份时间往往在秒级，甚至十秒级，可靠性不高。2) 内部流量安全无法保护。大量的安全设备部署到网络中，设备如何部署、以什么模式部署、设备之间的组网关系、如何进行流量规划、网络策略规划都

44、变得非常复杂。为了保证数据中心整网的数据转发能力，各业务系统的网关通常设置在数据中心核心交换机上。对于各类安全防护设备部署来说，最理想的位置是在核心交换设备与服务器之间，这样不仅能够对外部访问业务系统的流量进行防护，还能够防护数据中心内部业务系统间的流量。但是这种部署需要在数据中心每个二层域都部署一套安全防护设备，建设成本过于高昂。因此通常数据中心建设时都是将安全设备部署在核心交换机外部，这种方式能够对外部访问流量进行防护，但是无法防护数据中心内部横向访问流量。3) 运维管理复杂。多厂商、多设备间相互兼容困难，特别是随着网络规模和组网模式的不断革新，难以实现性能、功能、接口的按需扩展。同时网络

45、、安全设备无法统一管理。4) 时延高。数据报文的多次重复解析和处理，造成网络性能的衰减和延迟的增加。5) 网络特性支持不完善，如MPLS VPN、IPv6、虚拟化等。6) 扩展性差。后续增加新的安全功能，或是网络性能扩容时，往往需要对原有设备进行替换，否则会让网络更加复杂。5.3.2 业界唯一的L27融合传统安全解决方法的根本局限，在于与网络不相容。因此，迪普科技提出“应用即网络”的技术理念，实现网络与应用的融合，在解决以上问题的同时，让网络可以根据应用进行交换、路由、控制、加速，从而保障用户信息安全、提升用户体验，降低用户总体拥有成本。所谓融合，就是将网络与安全融为一体。具体来说，有四层含义

46、：1) 同一台设备能提供L27所有功能，包括交换、访问控制、入侵防御、病毒防范、流量控制、行为审计、负载均衡等功能。如果一台设备仅实现两到三种功能，比如防火墙、IPS，那只是在网络与安全的整合，不是融合。2) 同一个IP。整机对外呈现一个IP地址，在网络中为一个节点。3) 统一的管理界面。L27所有功能均通过一个管理界面，而不是单独的管理界面去管理。4) 统一的操作系统。L27所有功能均为统一的操作系统，而不是多个操作系统。5) 统一的硬件架构。L27所有功能通过统一的硬件架构实现。 同一台设备图5-5 L27融合本方案中，交换、访问控制、入侵防御、流量控制、负载均衡等L27的安

47、全功能，均可通过融合式安全网关实现。 统一的IP图5-6 业界唯一的应用网络平台网络与应用融合的大趋势下，传统的OSI七层架构正在受到挑战，网络厂商也越来越重视其产品对应用层的支持能力。越来越多的交换机厂商在其核心交换机推出越来越多种类的安全与应用交付业务板。从业界来看，这些“交换机+业务板”的设备，主要有两种情况：1) 交换设备对外一个IP地址，每块业务板卡一个IP地址。如图所示，整机部署两块防火墙板卡、两块应用交付板卡、一块IPS板卡后，整机对外5个IP地址。2) 交换设备对外一个IP地址，同类型业务板卡一个IP地址。部分厂商可以将同类型的业务板卡通过VRRP方式对外一个IP

48、地址。如图所示，整机对外3个IP地址。但不管怎么说，这些“交换机+业务板”的设备对外仍然是网络归网络、应用归应用，多个IP地址在网络中就意味着多个逻辑节点。网络、应用仍是两张皮。迪普科技创新的DPX8000/19000系列融合式网关，则真正实现了网络、应用的无缝融合，即使部署所有类型的业务板卡，整机对外也是一个IP地址，一个逻辑节点。 统一的管理界面本方案中，L27所有的功能通过融合式网关的一个管理界面去集中配置、管理和日志集中分析。图5-7 DPX19000统一管理界面图5-8 DPX19000统一管理界面图5-9 DPX19000统一管理界面图5-10 DPX19000统一管

49、理界面图5-11 DPX19000日志分析界面 统一的操作系统图5-12 ConPlat操作系统对于传统网络厂商来说，其操作系统的网络特性支持完善，但应用层功能几乎没有。对于传统安全厂商来说，其操作系统对应用层功能支持完善，但网络特性往往只支持基础的二三层转发功能，对MPLS、大二层、IPv6等特性支持不完善。其实，网络、应用分属不同的操作系统，正是“交换机+插卡” 对外体现出多个IP地址的原因。相比之下，迪普科技利用深厚的技术积累，推出了业界唯一的L27融合的ConPlat操作系统。迪普科技的所有L27的功能，从路由、交换，到访问控制、入侵防御、病毒防范、流量控制、行为审计、负

50、载均衡等，都是在ConPlat操作系统上，由不同的功能模块提供，真正实现了L27的融合。第六章 方案规划与设计根据对教育管理公共服务平台的需求分析，以及多年在教育行业积累的经验，迪普科技设计本项目的方案拓扑：图6-1 xx教育管理平台拓扑如图6-1所示，方案采用模块化设计的思路，分为出口区、应用服务器区、数据库服务器区、前置服务器区、核心区、网络管理区、终端接入区等区域。网络架构上，采用“核心-接入”的扁平化组网，骨干万兆，千兆到桌面。组网采用大二层组网。安全设计上，在出口、数据中心核心部署安全防护板卡，实现L27层防护。方案设计参考国家教育管理公共服务平台省级数据中心建设指南，同时满足国家等

51、级保护要求。6.1 核心区设计6.1.1 组网设计核心区负责数据中心网络数据的高速转发，是整网的关键区域，设备承载的压力较大。因此核心节点的扩建，通常必须遵循以下几个原则：1. 必须具备高可靠性及高冗余性；2. 必须具备模块化产品设计；3. 必须具有迅速升级能力；4. 必须具有较少的时延和好的可管理性；5. 必须具有多业务应用扩展性；本方案在核心区部署两台DPtech DPX8000-A12深度业务交换网关，通过VSM技术将两台设备虚拟化成一台逻辑设备。DPX8000-A12作为业界第一款深度业务交换网关，提供6480Gbps、4860Mpps的处理能力，满足XX集团对处理性能的要求。网络特性

52、上，DPX8000-A12支持IPv4/IPv6、三层/二层MPLS VPN、OSPF等丰富的网络特性，并提供千兆电、千兆光、万兆电、万兆光等各种高密端口。可靠性上，方案部署双核心，所有接入设备通过双链路上行，通过采用VSM技术将两台核心虚拟化成一台逻辑设备，消除了二层环路，实现链路性能倍增，同时提高链路可靠性。在VSM虚拟化运行方式下，正常情况下两台设备同时工作，业务负载分担，故障情况下，实现毫秒级的设备切换。接入交换机至核心交换的双上行链路跨设备链路聚合，消除二层环路，实现上行链路备份，并避免复杂的STP协议配置。关于VSM技术的详细介绍参见第五章。6.1.2 安全分区设计如5.2节所述，

53、安全设计与网络设计密不可分。因此本方案在进行网络设计的同时，进行安全设计。本次方案采用了整网安全与网络核心一体化设计，实现L27融合式部署。安全设计内容上，包括网络安全分区、业务系统入侵防护、重点业务应用安全等几方面的内容。数据中心应根据承载数据的规模、应用系统的重要程度、数据中心的业务和服务功能等划分不同的安全域。安全域应包括应用服务器区域、数据库服务器区域、数据存储区域、前置服务器区域、网络安全管理区域和对外服务区域等，根据“业务资产重要程度相似、业务风险等级相似”等原则进行安全域划分。本次方案设计在核心DPX8000上部署迪普科技防火墙板卡。通过防火墙板卡的部署，可实现数据中心网络安全域

54、的划分。同时，防火墙板卡可根据各安全域的安全级别，设置相应的访问策略，实现网络边界的基础安全防护，确保数据中心网络基础安全防护满足等保要求。6.1.3 入侵防御及业务深度防护设计本次方案设计在数据中心业务核心平台上部署迪普科技的入侵防御实现对数据中心各类业务系统的应用级安全防护。通过上述应用安全防护板卡的部署，实现了数据中心各业务系统的应用防护与病毒防护，使得数据中心内部安全防护满足等保合规性需求。上述业务应用防护板卡与防火墙板卡一样，通过紧耦合的部署方式进行部署，不单独占用IP地址，实现了融合式组网与一体化的管理。通过紧耦合的部署方式，设备可实现流量数据包的“一次解析，多次防护”，数据包经过

55、设备时一次性对数据包内容进行深度解析，按照需求经过不同业务板卡的防护，避免了传统盒式设备方案多次拆包多次计算带来的网络延时问题，大大提升了网络的业务处理能力。6.1.4 内部流量安全防护如前所述，通过网络、安全一体化的部署方式，整网核心设备融合了基础安全防护、入侵防御、应用安全防护等功能，通过网络安全紧耦合部署，设备只占用一个IP地址。因此，在本方案中，各业务系统网关均可部署在业务核心平台DPX8000设备上，这样除了来自外部的访问流量仍就能够经过安全防护设备之外，网络内部各二层域之间的互访流量也能够经过核心层安全防护设备的处理，实现了内部流量的安全防护。6.1.5 应用交付考虑到业务系统具有

56、进行集中、突发性大流量的数据上传、归档和信息查询等服务特性，对业务服务应用的处理能力要求较高，为了保障和提高系统信息服务的高可用性，本次方案设计在业务核心网关部署迪普科技应用交付系列板卡。交付平台同时可从网络层、应用层全方位的探测、检查服务器和链路的运行状态，选择最合适的服务器对外提供访问响应，从而高效地将客户端对数据中心服务的访问请求合理地分发到数据中心的各台服务器上，以保证数据中心的响应速度和业务连续性，并大大提升服务器的使用效率和弹性伸缩能力。6.2 接入区设计接入层设备负责业务系统的高密接入。根据数据中心的综合布线模式及各机柜网络的信息点数量，设计在机柜内部或者是网络机柜部署迪普科技L

57、SW5600系列24口交换机或48口交换机，实现业务系统的高速高密接入。接入交换机通过万兆光纤上连至核心网关。DPtech LSW5600系列以太网交换机是迪普科技推出的下一代全千兆多业务以太网交换机产品。该系列采用迪普科技领先的高性能硬件构架和统一的ConPlat 软件平台，具备高性能L2-4业务处理能力和和高密千兆端口，并可根据应用场景灵活扩展万兆上行和PoE+端口供电能力，充分满足园区多业务汇聚、中小企业核心、千兆到桌面和IDC千兆接入等多种应用场景需求。此外，环境感知、环境监控和0-70宽工作温度等环境增强设计，降低维护成本，简化网络管理，使网络应用率先进入低碳时代。6.3 出口设计省级数据中心的重要作用是给全省的中小学、职教、高校提供服务，这些服务都是通过互联网展开，出口是用户访问数据中心的必经之路。因此出口是