智慧农业大数据平台整体解决方案79页

1、智慧农业大数据平台建设方案V3.0智慧农业大数据平台建设方案- 78 -智慧农业大数据平台建设方案V3.0- 72 -目录 TOC o 1-3 h z u HYPERLINK l _Toc525652353 1需求背景 PAGEREF _Toc525652353 h - 3 - HYPERLINK l _Toc525652354 1.1信息安全现状 PAGEREF _Toc525652354 h - 3 - HYPERLINK l _Toc525652355 1.2基本原则 PAGEREF _Toc525652355 h - 7 - HYPERLINK l _Toc525652356 2需求分

2、析 PAGEREF _Toc525652356 h - 8 - HYPERLINK l _Toc525652357 2.1加强数据学科体系建设，丰富数据科学理论方法。 PAGEREF _Toc525652357 h - 8 - HYPERLINK l _Toc525652358 2.2要构建农业基准数据，夯实农业发展基础支撑。 PAGEREF _Toc525652358 h - 8 - HYPERLINK l _Toc525652359 2.3加强智能模型系统研发，推动农业智能转型。 PAGEREF _Toc525652359 h - 9 - HYPERLINK l _Toc525652360

3、 2.4倡导数据开放，服务和引领农业发展。 PAGEREF _Toc525652360 h - 9 - HYPERLINK l _Toc525652361 3总体设计 PAGEREF _Toc525652361 h - 9 - HYPERLINK l _Toc525652362 3.1方案总体设计 PAGEREF _Toc525652362 h - 9 - HYPERLINK l _Toc525652363 1.1总体实现思路 PAGEREF _Toc525652363 h - 10 - HYPERLINK l _Toc525652364 3.2方案部署设计 PAGEREF _Toc52565

4、2364 h - 11 - HYPERLINK l _Toc525652365 3.2.1外部数据导入系统 PAGEREF _Toc525652365 h - 11 - HYPERLINK l _Toc525652366 3.2.2核心数据库区 PAGEREF _Toc525652366 h - 12 - HYPERLINK l _Toc525652367 3.2.3网络接入及安全防护区 PAGEREF _Toc525652367 h - 12 - HYPERLINK l _Toc525652368 3.2.4安全计算、存储资源池 PAGEREF _Toc525652368 h - 12 -

5、HYPERLINK l _Toc525652369 3.2.5网络安全集中管理平台 PAGEREF _Toc525652369 h - 12 - HYPERLINK l _Toc525652370 3.2.6网络安全预警平台 PAGEREF _Toc525652370 h - 12 - HYPERLINK l _Toc525652371 3.2.7运维管理中心 PAGEREF _Toc525652371 h - 13 - HYPERLINK l _Toc525652372 4详细设计 PAGEREF _Toc525652372 h - 14 - HYPERLINK l _Toc52565237

6、3 4.1外部数据导入系统 PAGEREF _Toc525652373 h - 14 - HYPERLINK l _Toc525652374 4.1.1外部数据导入系统构架及工作原理 PAGEREF _Toc525652374 h - 14 - HYPERLINK l _Toc525652375 4.1.2主要功能 PAGEREF _Toc525652375 h - 15 - HYPERLINK l _Toc525652376 4.2网络接入及安全防护区 PAGEREF _Toc525652376 h - 19 - HYPERLINK l _Toc525652377 4.2.1异常流量管理与抗

7、拒绝服务能力 PAGEREF _Toc525652377 h - 19 - HYPERLINK l _Toc525652378 4.2.2深度识别与访问控制能力 PAGEREF _Toc525652378 h - 20 - HYPERLINK l _Toc525652379 4.2.3可疑入侵检测能力 PAGEREF _Toc525652379 h - 24 - HYPERLINK l _Toc525652380 4.2.4网络行为审计系统 PAGEREF _Toc525652380 h - 27 - HYPERLINK l _Toc525652381 4.3计算、存储资源池 PAGEREF

8、_Toc525652381 h - 30 - HYPERLINK l _Toc525652382 4.3.1虚拟化平台搭建 PAGEREF _Toc525652382 h - 30 - HYPERLINK l _Toc525652383 4.3.2虚拟化安全网关 PAGEREF _Toc525652383 h - 47 - HYPERLINK l _Toc525652384 4.4核心数据库区 PAGEREF _Toc525652384 h - 53 - HYPERLINK l _Toc525652385 4.4.1核心数据库防护系统 PAGEREF _Toc525652385 h - 53

9、- HYPERLINK l _Toc525652386 4.5安全设备集中管理平台 PAGEREF _Toc525652386 h - 55 - HYPERLINK l _Toc525652387 4.5.1安全集中管理系统 PAGEREF _Toc525652387 h - 55 - HYPERLINK l _Toc525652388 4.6运维管理中心 PAGEREF _Toc525652388 h - 57 - HYPERLINK l _Toc525652389 4.6.1网络运维管理能力 PAGEREF _Toc525652389 h - 57 - HYPERLINK l _Toc52

10、5652390 4.6.2安全运维审计能力 PAGEREF _Toc525652390 h - 58 - HYPERLINK l _Toc525652391 4.7网络安全预警平台 PAGEREF _Toc525652391 h - 62 - HYPERLINK l _Toc525652392 4.7.1安全预警管理系统整体设计 PAGEREF _Toc525652392 h - 62 - HYPERLINK l _Toc525652393 5设备清单 PAGEREF _Toc525652393 h - 72 -需求背景信息安全现状近年来，我国多地出现鲜活农产品滞销、买贵卖难的现象。一方面是“

11、姜你军”、“蒜你狠”、“葱击波”、“火箭蛋”等轮番“上阵”，消费者无奈为高价的农产品买单;一方面是果蔬等农产品丰产滞销现象频现，如2013年海南荔枝丰收，2元一斤仍少人收购;2014年安徽歙县三潭枇杷大丰收却积压难销，不少枇杷瓜熟蒂落，归于泥土;年末，“倒奶卖牛”现象再现，并且蔓延至全国农产品丰产却卖不出去，“滞销、卖难、买贵”的怪圈在全国多个地方都反复出现过，让农民“丰产”难增收，这已渐成当前国内农业生产的头号杀手。“造成滞销卖难频现的一个主要原因，就是产销信息不对称。信息预警服务滞后。”农业部市场预警专家委员会秘书长、中国农业科学院农业信息研究所所长许世卫研究员认为，只有加快农业信息化建设

12、，不断完善农业信息服务体系建设，才能从源头上彻底解决农产品“滞销、卖难、买贵”的问题。以信息技术破解难题对于农产品滞销，地方政府想方设法采取措施应对，但问题仍然没有得到根治。国家行政学院教授张占斌分析认为，农产品滞销有市场供求关系失衡问题，政府与其绞尽脑汁推销积压农产品，不如通过搭建供销信息平台、走访农户给予产销信息服务，引导农户和市场对接。此外，通过相关政策及减少产销中间环节等措施，保证种植户利益，也能减轻城市消费者负担。农村传统的经营模式是一家一户式的，生产者并不清楚消费者需要什么，只能根据上年什么赚钱下年种什么，结果扎堆种植，丰产却难销售。原因就是产销信息不匹配造成生产要么过剩要么过少。

13、“我国有3000多个涉农网站，国家发改委等多个部门也先后建立了价格公布系统，但是因为信息更新慢、推送不畅、针对性差，农民面对这些信息往往收不到、看不懂、用不上。”近几年，电子商务、微商营销等大数据应用发展迅速。2013年阿里平台上，经营农产品的卖家数量达到39.4万个，农产品销售同比增长112.2%。“农产品电子商务与大数据技术的融合正在成为农民增收的新业态。”“源于科学研究的大数据的开发利用，随着各国政府的高度重视，正上升至国家战略高度。”中科院计算机网络信息中心研究员周园春说，美国已于2012年启动了“大数据研究与发展计划”，并在翌年启动了第二轮大数据计划“从数据到知识到行动：建立新的伙伴

14、关系”;日本和英国卡梅伦政府也相继启动了旨在促进大数据研究和应用的计划。我国政府也高度重视大数据的发展，近年来不断进行大数据的研究与应用推进。2013年7月习近平总书记在中科院考察时指出，“大数据是工业社会的石油资源，谁掌握了数据，谁就掌握了主动权。”“大数据已成为信息主权的一种表现形式，将是继边防、海防、空防之后，另一个大国博弈的空间。”周园春认为，大数据正在开启一次重大的时代转型，它将改变人类的生活以及理解世界的方式。摸清农业“家底”工信部电信研究院大数据白皮书(2014年)认为，目前，大数据在政府、学术界、企业界引起重大反响，可以说，互联网行业是大数据应用的领跑者，农业、交通、医疗、能源

15、等行业正在与大数据加速融合拓展，大数据发展的环境得到持续完善。近年来以大数据为代表的信息技术突飞猛进，数据驱动创新的机制正在渗透到现代农业的各个领域，使得学科领域的交叉融合日益紧密，协同创新更加紧迫，已成为支撑现代农业发展新的增长力量。本文来源：瞭望观察网 “大数据是一种以数据驱动农业生产向智慧型转变的新兴力量，是现代农业生产中新兴的生产要素，对于我国现代农业的转型升级具有重要意义。”但实际上，长久以来，由于农业基础数据资源薄弱、数据结构不合理、数据粒度不够、数据标准化与规范化程度低等原因，在很大程度上影响了我国现代化农业的建设步伐。许世卫认为，我国农业大数据发展，还存在几方面问题：一是“家底

16、”不清。我国依然缺少针对农田环境监测、土壤普查、农情分析的系统性数据积累，对水资源的调查评估也较为欠缺。“未来立足国土资源整体布局优势生产区，必须先摸清家底，搞清数据。只有基础数据准确了，农业资源间的发展潜力、搭配关系和最佳使用途径，最优化配置模式才能够精确计算，才能实现农业生产需求变化与资源变化的深度耦合，实现农业全要素、全过程、全系统生产的一体化。”。二是农业信息数据资源研究与建设总体仍然滞后。目前，我国已经成为农产品净进口国，但我国大量“三农”信息的缺失、滞后、封闭，严重制约了全球视角下开展农业管理决策的科学性、系统性、高效性和精准性。截至2014年5月底，农业部共有12个司局和9家部属

17、事业单位直接开展农业信息监测统计工作，努力打造“三农”数据新平台，建立了21套统计报表制度，加强了指标调查，再加上行业管理监测数据、农业地理空间数据，已经形成了农业“专业监测统计相对分散、部门监测统计趋于集中”的复合型组织模式。但由于中国农情复杂，品种类型多样，也出现了诸如农产品消费数据缺失严重、多类数据交叉矛盾、匹配性差，以及部门内外信息不能充分共享，缺少数据会商、难以有效发挥调控农产品市场作用等问题。当国际环境发生重大变化、当农产品价格出现大幅波动或质量安全出现问题时，不能及时发现源头，迅速采取有效应急方案，延误了解决事件的最佳时机。三是农业大数据的处理分析技术缺乏。由于农业生产过程发散，

18、生产主体复杂，需求千变万化，与互联网大数据相比，针对农业的异质、异构、海量、分布式大数据处理分析技术依然缺乏，开展适农大数据技术研究迫在眉睫。完成海量数据的存储、索引、检索和组织管理，突破农业异质数据转换、集成与调度技术，实现海量数据快速查询和调用的数据组织管理技术;加强适农大数据分析挖掘技术。围绕病虫害综合防治、粮食产量预测等重点领域，开展并行高效农业数据挖掘算法，建立智能机理预测分析模型;围绕农产品品种、气象、环境、生产履历、产量、空间地理、遥感影像等数据资源建立农业协同推理和智能决策模型;围绕农产品市场信息开展多品种市场关联预测技术和农产品市场预警多维模拟技术研究。基本原则坚持问题导向、

19、应用驱动。从面临的突出问题和迫切需求入手，明确建设重点，主攻薄弱环节，以应用为内生动力，推动科学高效可持续发展。坚持创新机制、整合资源。加强顶层设计，以数据资源整合促进数据采集、带动数据开发利用，建立标准统一、各负其责、共建共享的工作机制。坚持先易后难、逐步推进。优先选择基础较好的地区、重点领域、重点品种建设大数据，逐个品种、逐个环节开展试点，边试点边总结，边推进边见成效，带动不同地区、不同领域农业农村大数据稳步发展。坚持上下联动、社会众筹。中央和地方上下联动，涉农部门相互配合，各类市场主体、行业组织等社会力量广泛参与，形成覆盖全面、业务协同、上下互通、众筹共享的农业农村大数据发展格局。基础架

20、构先进，安全建设先行，应用稳步推进。 大数据平台完全不是单机版应用简单堆叠，构建初期就必须要严格按照大数据要求的最新架构进行设计，安全防范措施要改变原来出了问题再整改，再修补的状态，而且安全防范要从被动防御向主动防御转变，安全管理必须要做到可管理、可应对、可展现、可落地的防御要求。只要这些基础工作做到位，才能够保证农牧业大数据业务可以稳步部署，业务部门和技术部门可以将主要精力放在不断完善的业务应用上，保证业务平台平稳有效的发挥作用！需求分析加强数据学科体系建设，丰富数据科学理论方法。国内外实践表明，农业信息学科的新概念、新理论、新方法的创新，是引领农业信息技术重大变革、促使农业生产发生巨大飞跃

21、的重要引擎。数据密集型科学将加速信息技术与现代农业相关学科的融合发展。但数据要形成一门科学还需要更加注重大数据基础理论研究、科学方法创新，更加注重大数据学科体系建设。应在大数据生命周期、演化与传播规律，数据科学与农业相关学科之间的互动融合机制，及大数据计算模型、作物模型与模拟、智能控制理论与技术、农业监测预警技术，大数据可视化呈现与精准化推送等方面加强研究，形成系统、全面、深入的理论支撑。要构建农业基准数据，夯实农业发展基础支撑。目前，我国尚存在农业基准数据资源薄弱、数据结构不合理、数据标准化水平差等问题。应结合农业部大田长期监测工作，建立现代农业自然资源、生产、市场、农业管理等基准数据，并对

22、数据采集、传输、存储和汇交等制定标准和规范，为现代农业发展决策提供坚实的基础支撑。加强智能模型系统研发，推动农业智能转型。数据的处理和分析能力是大数据技术的核心。针对农业领域数据海量、分散、异构等现象而难以集成、不能挖掘其巨大潜在价值的现状，应重点开展农业大数据智能学习与分析模型系统关键技术研究，利用人工智能、数据挖掘、机器学习、数学建模等技术，针对农业领域所要解决的实际问题，建立有效的数学模型对数据进行处理，并利用最终形成的模型对海量数据进行处理分析，辅助农业决策，实现决策的智能化、精确化和科学化。倡导数据开放，服务和引领农业发展。数据的应用是大数据的最终目的，数据的公开开放有助于我国农业的

23、健康发展。为此，应加强数据立法，为农业信息公开提供法律保障;形成数据开发的体制和机制，保证在数据会商、开放标准、发布规范等方面的切实可行;以召开中国农业展望大会和发布中国农业展望报告为契机，形成具有中国特色的农产品监测预警和信息发布制度，最终为生产决策、市场监测、农业管理提供信息支撑，引领现代农业发展。农业转型升级总体设计方案总体设计面向大数据生态链，大数据分析平台包含基础架构层、数据分析层、数据展现层三部分。通过引用底层通用大数据基础架构，主要实现完成大数据分析层功能与大数据展现层功能。在本次项目中，针对大数据平台的基础架构平台进行设计规划。总体实现思路大数据分析平台提供一套完整的数据管理平

24、台框架，从“数据汇入、数据存储、数据分析、数据展示”全过程对数据进行管理。通过各种采集方式将不同异构源的数据集中汇入，将预处理后的数据进行分布式存储，基于数据特性建模并引用分析规则进行数据的挖掘分析，通过多类型方式按需实现界面可视化展示及交互应用。图 STYLEREF 1 s 3- SEQ 图 * ARABIC s 1 1大数据平台总体架构图方案部署设计外部数据导入系统负责接收处理其他相关厅局共享数据，部署两台单向网闸进行数据交换与病毒过滤处理，保证得到安全有效数据，进入外部接收数据库格式转换后送入数据采集引擎。核心数据库区核心数据库区部署双机数据库集群服务器，保障数据库高可用，同时部署数据防

25、泄露系统和数据库防火墙系统，来保障数据库的数据安全可控。网络接入及安全防护区全网核心接采用双链路全交叉负载设计，保障核心网络高可能、高带宽、高安全运行，在核心网络中部暑数据中心级防火墙、抗DDOS、入侵检测系统、网络行为审计系统、VPN系统保障核心网络可能性、完整性、安全性。安全计算、存储资源池采用10台双路服务器、2台存储、1台容灾、2台FC交换机组成硬件资源池，部服务器安全虚拟化系统，为大数据平台提供计算、存储资源，同时虚拟化系统具备完全的安全防护能力，其安全防护能力与综合安全网关能力一致，并提供虚拟化与安全可视化能力。网络安全集中管理平台安全设备和策略管理系统主要针对使用了安全设备和第三

26、方设备的客户。它允许安全管理员简便高效地从一个中央控制台管理多达数千台设备。其关键在于它能够通过简便易用、直观的管理功能，迅速完成设备部署。集中管理全网所有安全设备，集中部署，集中策略，集中下发等统一平台管理能力。网络安全预警平台主要负责监控、分析和管理企业信息系统的整体安全态势，并为整个信息系统的安全运营提供决策服务，实现安全动态可视化。通过采用多种技术、手段，收集和整合各类安全事件，并运用实时关联分析技术、智能推理技术和风险管理技术，实现对安全事件的深度分析，能快速做出智能响应，实现对安全风险的统一监控分析和预警处理。依据信息安全标准，结合安全服务的最佳实践，以资产管理为基础，以风险管理为

27、核心，以事件管理为主线，通过深度数据挖掘、事件关联等技术，辅以有效的网络管理与监视、安全报警响应、工单处理等功能，对企业内部各类安全事件进行集中管理和智能分析，最终实现对企业全风险态势的统一监控分析和预警处理。运维管理中心综合而全面的IT运行维护系统，是网管用户的最终选择。这个系统应该能够兼顾多方面的需求，在一个统一的平台上，实现对异构的 IT 环境之运行、维护的规范化，同时对 IT 信息化的使用效果进行综合管理和分析，这包括：面向服务的综合资源管理：对整个IT环境的所有资源，实现在一个平台上的综合透明的管理；全面掌握IT资源利用情况、诊断服务瓶颈，优化服务质量，同时为服务的扩展提供依据；智能

28、故障分析：能通过性能阈值判断服务的临界状态，同时提供故障过滤与故障根源分析，简化故障处理难度；全网流量分析可监控：网络中的“摄像头”，自动快速发现影响网络性能和状态，事前运维管理，轻松掌控全局；即时可用的价值保证：方便的部署，实用的功能，大幅降低网络与系统的运行维护工作量。一个通用的IT基础设施和服务应用的管理平台。它从网络和应用的不同层次，收集与业务/服务相关的各种信息：网络设备信息、全网流量信息、服务器内存、 I/O的使用情况，甚至应用系统对资源的占用情况等；同时，内置的智能系统对收集到的信息进行综合关联分析；详细设计外部数据导入系统与外部数据来源间部署“单向数据隔离交换与病毒清除系统”，

29、在保障数据源正常接收情况下完成网络隔离及病毒过滤。外部数据导入系统构架及工作原理计算机网络依据物理连接和逻辑连接来实现不同网络之间、不同主机之间、主机与终端之间的信息交换与信息共享。单向网闸既然隔离、阻断了网络的所有连接，实际上就是隔离、阻断了会话的连通。单向网闸借鉴传统网闸技术，在使用数据“摆渡”的方式实现两个网络之间的信息交换。网络的外部主机系统通过单向网闸与网络的内部主机系统“连接”起来，单向网闸将外部主机的TCP/IP协议全部剥离，将原始数据通过存储介质，以单向发送的方式导入到内部主机系统，内部主机系统再将相应的信息发送至真正的使用者或在本地实现备份。单向网闸在网络的第七层将数据还原为

30、原始数据文件，然后以“摆渡文件”的形式来传递原始数据。下面以信息流由外网到内网为例，说明通过单向网闸的信息传输过程。（图一）单向网闸的工作原理是在内、外网处理单元独立完成网络协议终止、内容检查与日志审计，将符合安全策略的数据内容提交至安全数据交换区等待数据传输。单向传输单元按照设定的周期由外网处理单元的安全数据交换区将数据内容提取并单向传输至内网处理单元的安全数据下载区，等待用户的读取或传输至指定的计算机上。同时系统集成防病毒技术及扩展入侵检测技术，形成一套具有多重防护的安全解决方案。 主要功能主要功能特点就是在保证两个网络隔离的情况下，做指定的单向数据安全传输。由内、外网处理单元和物理单向传

31、输单元组成。物理单向传输单元在内、外网主机间按照指定的周期进行安全数据的摆渡。安全隔离物理单向：系统由内网单元、外网单元及单向传输单元三个物理部分组成。协议隔离：内、外网单元主机均采用安全操作系统，分别独立完成网络协议的终止。应用隔离：系统采用应用解码，客户应用可经过模块编码验证，只有符合白名单的编码规则的数据才可被传输至内网单元。内容隔离：外网单元分别将待交换传输的数据进行内容检查与病毒查杀，不符合安全规定的数据内容将被直接删除，合法的数据才允许被安全数据交换单元交换至另一端，从而保证了数据内容的安全性。风险隔离：系统以白名单机制运行，仅许可正常的、用户许可的网络应用，防范未知的安全风险。并

32、且系统集成防病毒并可扩展多种常规安全防护引擎，如入侵检测等。信息交换单向网闸的工作原理基于人工信息交换的操作模式，即由外网处理单元接收来自客户端的发送数据请求，内网处理单元负责接收来自外网处理单元的信息，并将信息提交至目标服务器。由于单向传输单元的物理单向性，两个处理单元之间没有交互式会话，无法实现发送数据的校验。在此前提下，通过专有硬件实现网络间信息的实时单向传输可能会造成部分数据的丢失。TCP应用单向传输：对于符合规则的应用数据单向传输至内网处理单元，对于不符合白名单规则的会话将日志报警并断开会话。UDP应用单向传输：对于不符合白名单规则的会话将日志报警。内网处理单元对于从外网处理单元发送

33、过来的数据根据任务号可发送给相应的服务器。被动文件信息传输：通过系统内置的单向文件传输模块，单向网闸能够实现私有文件从外网向内网的单向传输。客户机通过管理控制台分配的账号，使用专用的文件客户端软件上传或下载文件。每个账号均有自己的私有目录空间，另外系统提供一个公共空间以供所有用户使用。单向邮件信息传输：通过系统内置的单向邮件传输模块，单向网闸能够实现邮件信息从外网向内网的单向传输。数据库单向同步：单向网闸能够实现外网数据库向内网数据库的单向同步，支持Oracle、Sql Server、Sybase、MySql和DB2数据等。网络访问控制可通过订制访问策略，精细地控制 谁 （网络对象）能够 （允

34、许或禁止）访问系统。管理控制台以人性化的人机接口协助管理员轻松实现管理目标。网络访问控制：单向网闸的内、外网单元可分别实现链路层、网络层、传输层访问控制，通过灵活组合网络对象，制定与实际需求完全吻合的访问控制策略。访问用户控制：单向网闸的内、外网单元可分别实现定制、绑定哪些用户可以访问系统。数据内容审查单向网闸外网处理单元对接收到的文件和信息进行安全性检查，确保只有符合保密、安全策略的数据、文件才允许被单向传输至内网端。白名单规则：数据流代理应用规范可由管理员设定，只有负责设定的数据规范才可以被传输关键字检查：单向网闸的外网单元可依据管理员设定的涉密或不健康的信息进行过滤，将过滤到关键字的信息

35、摒弃并记录日志告警。文件类型检查：隔离系统的内、外网单元可将指定的可能产生危险的文件类型过滤、删除并且记录日志告警。病毒检查：单向网闸的外网处理单元可针对用户上传的文件进行检查，在确保没有病毒的情况下才被转存到安全数据区。当发现病毒后，系统会将病毒文件删除，并记录日志告警。网络接入及安全防护区异常流量管理与抗拒绝服务能力能够从纷杂的网络背景流量中精准地识别出各种已知和未知的拒绝服务攻击流量，并能够实时过滤和清洗，确保网络正常访问流量通畅，是保障服务器数据可用性的安全产品。应具有在线串接、旁路检测和旁路清洗三种工作模式，既可以单台设备在线串接方式部署，也可以两台设备分别进行检测和清洗工作。能够检

36、测与防御流量型DDOS攻击（如UDP Flood、TCP SYN Flood等）、应用型DDOS攻击（如CC、DNS Flood、慢速连接耗尽等）、DOS攻击（如Land、Teardrop、Smurf等）、非法协议攻击（如IP流、TCP无标记、无确认FIN、圣诞树等）四大类拒绝服务攻击。还应具有流量牵引和回注、数据包过滤、攻击报文取证等功能，支持双机热备和集群，并提供了详尽的攻击事件记录、各种统计报表，并以可视化方式动态展示，实现实时的全网威胁监控。采用统一的检测与防护引擎设计，在数据平面处理器上实现了针对数据报文的解析、识别、检测、清洗、动作和统计的一体化高速处理，同时支持特定业务应用防御的

37、处理注册，在管理平面处理器上实现了配置管理及日志报表等功能。达到了万兆小包线速的报文转发和检测清洗能力。可以检测和清洗超过100种拒绝服务攻击，涵盖几乎所有常见的流量型DDOS攻击，如：ICMP Flood、UDP Flood、TCP SYN/ACK/RST/FIN Flood、TCP SYN-ACK Flood、TCP Connection Flood（连接耗尽）、HTTP GET/POST Flood、CC、HTTPS Flood、DNS QUERY Flood、DNS NXDomain Flood、DNS反射、慢速等，以及DOS攻击和各种非法协议攻击。还可以有效发现和清洗各种未知DDOS

38、攻击。应具有针对应用层的DDoS攻击事件，针对HTTP应用的DDoS攻击。具有完善的应用层攻击防御功能，可有效防御各种应用层DDoS攻击，如流行的CC、DNS反射、慢速连接耗尽等攻击。通过协议扩展，具备检测和清洗https和SIP协议拒绝服务攻击的能力。支持硬件bypass功能，可以串行接入用户网络环境，在设备升级维护等需要重新启动过程中确保用户网络通畅。支持主备方式的双机热备功能，可以实现链路的高可用性。深度识别与访问控制能力高精度应用识别应用识别引擎不仅可以识别出底层的承载协议（例如标准的HTTP协议），还能进一步区分出上层的精确应用协议类型，例如，HTTP承载的各类Web视频应用（优酷视

39、频、奇艺视频等）、各类网络邮箱（gmail、126邮箱等）、各类网盘（115、百度网盘等）等；对于同时采用明文方式和加密方式进行通信的应用（例如BT应用），应用识别能够将BT应用细化识别为不同协议类型进行区分，具体可细分为BT HTTP明文数据、BT普通明文数据和BT加密数据等；对于利用信令通道（或控制通道）协商数据通道的应用（例如VoIP应用的SIP与H.323、FTP应用），数据中心防火墙的应用识别引擎可以通过识别信令通道提取数据通道信息，从而成功识别出无特征的数据通道流量。应用识别综合运用单包特征识别、统计特征识别、多包特征识别等多种识别方式进行细粒度、深层次应用和协议识别，同时采用多层

40、匹配模式与多级过滤架构，从而具有极高的应用协议识别率与精确度，可精确识别高达98%的主流应用。此外，应用识别通过加密流量识别方法，对于SSL/TLS加密流量，甚至是私有协议强加密流量，例如HTTPS流量、BT加密流量、迅雷加密流量、网络视频加密流量或Skype加密流量，可实现完全识别。应用识别采用高效的确定型字符串多模式匹配状态机作为匹配核心，并采用HTTP分流、TCP/UDP分流等状态机缩小待识别流量范围以进一步提高识别性能；同时，支持多种状态机压缩匹配方式，对于大规模规则库，可以大幅度缩减状态机内存的大小，从而避免内存的膨胀性需求，而且使得状态机可以充分利用处理器的Cache特性而保持较高

41、的应用识别性能。应用识别基于多核硬件架构实现了多实例、流水线特征匹配框架，各个引擎实例运行在不同的CPU核心。同时，输入流量可通过硬件分流机制被直接分发到相应的CPU核心，各个引擎实例实现了独立调度和并行执行，从而具有线性的识别性能扩展能力，可以通过增加引擎实例的数目实现整体应用识别性能的线性增长。应满足高性能的应用层安全检测与防护需求，不但兼容最新TCP/IP特性，同时避免了由传统内核态协议栈所带来的从内核态到用户态的中断调度和数据复制问题。包含了多个安全引擎：应用识别、入侵防御、病毒过滤、URL分类过滤、DLP、DDOS、VPN等等，提供了全面的安全防护能力。同时数据中心防火墙采用了一体化

42、流模式业务处理设计，将上述各安全引擎全面开启后，在大数据网络环境下仍然能够确保高性能的安全业务处理。在对应用层进行安全检查过程，例如应用识别、入侵防御、病毒过滤等等，安全引擎检查的业务特征数据往往是在连续多个报文中，单纯独立地处理单个报文，无疑会造成漏检和错检。而接收多个报文以后再处理，无疑会降低性能并增加转发延时。安全业务处理能力，具体如下：并发连接数达到1个亿每秒新建连接（FW+APP）80万网络层吞吐160Gbps应用层吞吐（FW+APP）120Gbps对APT攻击进行有效防御。正是由于APT攻击中所谓“持续性”这一特点，就意味着我们很难通过某一种安全检测机制，对一次攻击行为进行阻断就能

43、将威胁彻底消除。另外，越来越多的攻击事件采用未知恶意代码、利用未知安全漏洞向目标发起隐形、低调的攻击行为，这类攻击往往具有较高的成功几率，而其后果的严重性也更是无法想象。在边界安全防护层面的APT攻击中，主要体现在针对已知漏洞的恶意代码攻击。针对基于已知漏洞、恶意代码等等发起的APT攻击行为，需要下一代防火墙产品要具有高效、全面的安全检测引擎以应对APT攻击过程中的每个环节，而专业、大规模以及响应快速的各种威胁检测特征库也同样是防御APT攻击的关键因素。提供了病毒过滤、入侵防御、Botnet（僵尸网络）阻断、URL（含恶意网址）过滤、DLP、应用识别以及DDoS防御等多种安全引擎，通过一体化流

44、模式业务处理，只需对报文进行一次拆解即可对其实现2-7层高效、全面的安全检查。数据中心防火墙具有业界专业的攻击规则库、病毒特征库、URL网址库与Botnet识别库，为各个安全引擎对APT攻击过程中的每一个行为进行准确判断提供了强有力的技术支撑。在针对未知威胁（如0day/1day漏洞）的APT攻击防护中，通过与APT防御系统联动，对不可信的代码程序进行静态、动态双模分析，并采用联动机制对基于未知漏洞、恶意代码的APT攻击实现主动防御。能够通过直观、简单的方式了解设备的健康状况、发现业务风险，为用户提供了对设备的全方位健康体检功能，通过结合内置的健康评分体系，对网络中设备的健康情况进行综合评定，

45、并以“一键式健康体检评分”和“多视角体检分析报告”的形式进行展现，有效地帮助用户评估设备自身的健康状况，从而提高用户对设备安全风险的防范能力。功能组成 可疑入侵检测能力网络攻击检测功能入侵检测引擎用于检测网络中数据的合法性，以旁路模式部署于要保护的网络中。引擎内置违反安全事件数据库，用于存储检测到的安全事件信息。具有高速的数据并行检测处理和转发能力，能够胜任高速网络的安全防护要求。检测引擎采用协议分析、模式识别、统计阀值和流量异常监视等综合技术手段来判断入侵行为，可以准确地发现并检测各种网络恶意攻击。基于目标系统的流重组检测引擎，首先对到达的TCP数据包按照其目标服务器主机的操作系统类型进行流

46、重组，然后对重组后的完整数据进行攻击检测，从而从根源上彻底检测了TCP流分段重叠攻击行为。全面支持DOS/DDOS检测，通过构建统计性攻击模型和异常包攻击模型，可以全面检测SYN flood、ICMP flood、UDP flood、DNS Flood，DHCP flood、Winnuke、TcpSScan以及CC等多达几十种DOS/DDOS攻击行为；还可以通过自学习模式，针对用户所需保护的服务器进行智能检测。专业攻防实验室充分与国际厂商和国家权威机构合作，不断跟踪、分析、研究最新发现的安全漏洞，拥有自主知识产权的攻击检测规则库。目前，该规则库已经通过国际权威组织CVE的兼容性认证，并保持至少

47、每周一次的更新频率。支持IPv6协议的攻击检测，完全识别IPv6封包下的攻击检测。能够识别包括传统协议、P2P下载、股票交易、即时通讯、流媒体、网络游戏、网络视频等在内的百多种网络应用，并能够详细统计每一种应用的流量、连接数和累积传输字节数，使用户很容易判断网络中的各种带宽滥用行为。对应用协议交互过程进行智能分析，而非简单依据服务端口的技术手段来判断应用协议类型，对那些采用动态变化服务端口或者使用标准协议端口隐藏传输内容的应用也可以准确识别，能够精确监控内网用户的上网行为。网络病毒库，采用基于数据流的检测技术，能够检测包括木马、后门和蠕虫在内的新近流行的超过100万种网络病毒。直接在数据流中检

48、测病毒，进行高速检测，并能够实时检测流行的各种网络病毒。能够统计分析内网用户的上网行为，对恶意网站或者潜在不安全站点的访问，通过与智能应用协议识别功能相结合，可以制定有效的管理策略，实现内网用户的上网行为管理。具备内网主机监控功能，能够实时监测到每一个内网主机（以ip地址为标识）的各种应用流量、以及累积访问各类URL地址的数量，在网络中出现问题时能够快速定位到问题源头（内网主机用户），可以有效威慑和遏制内网用户的各种违反安全策略行为。无线攻击防御能力WIPS无线安全，主要用于针对WLAN网络的安全防护，实时监控阻断WLAN中的网络威胁。WIPS探针支持IEEE 802.11a/b/g/n系列协

49、议，支持2.4G、5.8G双频全向天线。WIPS采用先进的无线射频技术对无线网络边界实施安全防护，提供对信息安全区域AP实施绝对可控的安全策略，阻断WLAN连接；提供对无线钓鱼、代理AP、有风险配置等多中无线攻击行为实施识别阻断；同时对非法接入的客户端、非法的AP实施定位从根源上排除安全隐患。灵活的自定义规则能力TopSentry产品内置了丰富灵活的自定义规则能力，能够根据协议、源端口、目的端口及协议内容自行定义攻击行为，其中协议内容支持强大灵活的PCRE（兼容perl的正则表达式）语法格式，特定协议支持更多达10种，包括：ip、tcp、http、dns、ftp、pop3、smtp、qq、ms

50、n、imap等。借助于灵活的自定义规则能力，用户可以轻松定义自己的应用层检测和控制功能。支持A/S、A/A的双机备份技术，完全可以实现链路的高可用性，拥有完备的Bypass功能。 提供软件Bypass功能；供硬件bypass功能，同时还支持外接Bypass设备。网络行为审计系统网络审计能力采用开放性的系统架构及模块化的设计，具有实时的网络数据采集能力、智能的信息处理能力、强大的审计分析功能。采用多核、云审计、量子云存储等多项独特技术及专利，旁路部署，支持多点多级和集中管理，是一款安全高效，易于管理和扩展的网络安全审计产品。网络审计功能协议内容审计：Http浏览与发布；邮件：Smtp、Pop3、

51、Imap、Webmail；文件传输：Ftp；文件共享：Netbios、Nfs；即时通信：MSN、QQ、飞信、飞秋、腾讯通；文件共享：SMB、NFS；Telnet审计；DNS审计；Rlogin审计；Radius审计协议行为审计：除了能审计常见的网络协议外，网络审计系统还支持300种以上国内常见应用协议行为的自动识别与审计记录。基本信息审计：基本信息主要包括TCP五元组、应用协议识别结果、IP地址溯源结果等：源地址，目的地址，源端口，目的端口，传输协议，源MAC，目的MAC，源用户，目的用户，源国家，目的国家，源区域，目的区域，源城市，目的城市，应用协议名，应用协议分组，VLAN ID，时间内容行

52、为审计：可根据用户审计级别配置，实现不同协议的不同粒度审计要求。主要包括：HTTP协议：审计系统内置了URL分类库，可对用户访问的URL自动进行分类；HTTP审计事件属性包括：访问域，URL引用页，URL分类，HTTP类别，请求文件，请求参数，访问行为发布内容，请求结果，网页类别，浏览器，服务器，Cookie，返回长度，代理客户端IP ，代理上网，HTTP响应时间。邮件：Smtp、Pop3、Imap：可审计邮件发件人，收件人，抄送，密送，邮件主题，正文及附件；Webmail：可审计Webmail发件人，Webmail收件人，抄送，密送，Webmail主题，邮件正文，附件，服务提供商。此外，对于

53、非内置Webmail审计，可以通过模板方式扩充。FTP：可审计FTP用户名，FTP命令，操作结果，传输文件文件共享：可审计请求主机名，请求主机域名，请求主机操作系统，请求主机共享协议，应答主机名，应答主机域名，应答主机操作系统，应答主机共享协议，操作命令，登陆用户，原文件名，现文件名，文件名，文件类型；支持原始数据包留存，可通过sftp方式从设备中取得已记录的原始数据包。支持IPv6网络环境中的审计，在IPv6网络环境中可实现网络审计系统中的所有功能。多维度统计分析：网络审计系统提供多维度的统计分析，系统内置的统计分析引擎能从多维度统计分析业务系统与数据库系统的压力。分析SQL语句以及网络带宽

54、上的性能瓶颈，为保障系统持续稳定运行打下基础，为网络扩容提供依据。支持自定义多维度统计分析场景，用户可根据自身的业务需求，对审计结果的任意属性进行统计分析；支持统计分析的下钻与上卷；事件实时统计，查看统计结果时快速返回，操作人员无需等待；统计结果以饼图、柱图展示，可导出统计结果报表网络审计系统提供流量分析功能，产品内置NetFlow接收引擎，分析NetFlow信息，统计分析当前网络流量状况，用户可根据此功能分析网络中的应用分布以及网络带宽使用情况等。基于流的流量分析，提供收集NetFlow信息的能力。可以对接口、传输协议、应用协议、应用协议组、源目的地址、源目的端口进行统计分析，可以多条件组合

55、分析。支持流量趋势分析；支持流量分析的下钻与上卷；支持IP分组流量统计实时告警：网络审计系统可根据审计到的网络事件，判断事件的危险级别，进行实时的响应处理。以便于管理员及时发现网络中的潜在危险，快速处理，保证网络运行的安全。Syslog告警；SNMP Trap告警；邮件告警；支持旁路阻断；支持Topsec联动协议第三方接口：网络审计系统还提供了第三方接口，供其他管理产品进行管理，或者进行日志接收等。支持SNMP方式，提供系统运行状态给第三方网管系统，支持Syslog方式向外发送审计日志，支持SNMP Trap方式向外发送审计日志，支持NTP时间同步计算、存储资源池采用10台双路服务器、两台存储

56、、一台容灾、一套安全虚拟化系统组成资源池，为大数据平台提计算、存储、应用支掌。虚拟化平台搭建 整体方案设计方案设计思路我们计划将某项目服务器虚拟化整合项目按照以下思路设计和实施。主要是在现有基础上构建有弹性的虚拟化基础平台架构，使得相应的计算、网络和存储资源能够以最大利用率的方针对用户现有及未来的应用部署提供快速服务支撑，满足业务系统快速上线与降低信息系统基础架构管理复杂性的要。虚拟化环境实现目标：完成基本的虚拟化基础平台架构建设，同时为未来业务的不断增加提供可自动在线弹性扩展的虚拟化资源池系统。虚拟化环境的基本要求如下：考虑到构建集中式的虚拟机高可用集群环境，需要配置足够的冗余交换网络：这包

57、括管理及集群心跳网络，在线迁移网络以及虚拟机应用对外连接的服务网络。对整个数据中心的应用资源合理分配，确保平台运行各应用尤其是核心应用的计算资源和IO资源得到有效的保障。对整体数据中心虚拟化集群环境实现负载均衡的计算资源在线管理，如虚拟机热迁移等功能，以及数据中心基础架构的弹性扩展。实现虚拟机负载均衡的高可用环境（HA）虚拟机集群环境的集中统一管理和监控 (TSV vCenter)通过虚拟化环境延长软硬件的生存周期，确保降低总体拥有成本TCO，提高投资回报率。为了实现数据的集中存储、集中备份以及充分利用虚拟架构中虚拟机可动态在线从一台物理TSV vServer服务器迁移到另一台物理vServe

58、r服务器上和高可用等特性；会将数据中心整体构建在基于SAN的存储网络，通过共享的存储架构，可以最大化的发挥虚拟架构的整体优势。方案设计描述根据上述设计思路，结合我们以往的项目经验，针对本次项目的虚拟化平台整体架构如下：以上为总体架构方案，分成4层，服务器层、数据存储层、网络层和虚拟机资源层。第一部分 - 服务器层：采用x86架构服务器组成资源池，为虚拟化桌面提供足够的计算资源，本方案会由10台服务器主机组建虚拟化服务器集群系统。第二部分 存储层：分别利用本次方案中的2套存储系统和一台容灾系统，配合虚拟化集群实现容灾备份。采用10台安装了虚拟化vServer Hypervisor的服务器组成集群

59、（,通过光纤通道连接2台主光纤存储，和1台备份存储作为私有云数据中心生产环境的底层硬件；为了最大限度增加资源利用率，避免存储资源争抢等状况，建议虚拟化服务器集群选择某存储作为主存储。备份服务器连接磁带库或盘阵作为备份。第三部分 网络层：分成2部分，一部分是存储网络，用于服务器设备与存储设备之间的连通，另外一部分业务网络，分成管理网络和业务网络，管理网络用于对整个虚拟化平台进行管理，业务网络用于所虚拟出来的服务器连接业务网络。方案中将虚拟化服务器系统与存储备份系统及其应用业务视为一个密切结合的整体来进行方案设计，确保其软硬件在具良好兼容性的前提下发挥出最优的性能。第四部分 虚拟机层：此次项目由1

60、0台服务器、2套虚拟化存储设备作为整个虚拟化集群平台的资源池。方案可以最大利用到设备的性能和能体现出系统的高可用。在集群中创建1台服务器安装vCenter实现虚拟化平台的集中管理和高可用。建成后整个虚拟化数据中心如下图：虚拟化平台设计平台总体设计根据对本案例的需求分析，我们建议本次虚拟化平台配置如下:1台vCenter集群管理平台（可安装在集群的任意虚拟机中）10个服务器虚拟化集群2套存储设备和1台容灾系统实现数据中心容灾备份整个虚拟架构由vCenter管理服务器统一管理。基于以上规划配置方案，虚拟化基础架构环境能够最大程度保障用户业务系统的可靠性和运营连续性，避免系统计划内停机对业务的影响并