服务器虚拟化与DS方案模版

编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第页AAA(北京)科技有限公司XXXXX信息中心虚拟化建设方案[键入作者姓名][选取日期][在此处键入文档的摘要。摘要通常是对文档内容的简短总结。在此处键入文档的摘要。摘要通常是对文档内容的简短总结。]

目录TOC\o"1-2"\h\z\u1. 1.项目概况 41.1 项目背景 41.2 项目需求 42. 设计原则 83. 方案设计 103.1 虚拟化评估报告概述 113.2 X86服务器评估数据列表 123.3 服务器安全需求评估 153.4 评估报告总结 163.5 项目规划 174. 方案优势 204.1 虚拟化技术概述 204.2 虚拟化技术的优势 244.3 虚拟化安全的优势 355. 附录产品介绍 355.1 VMwarevSphere 355.2 VMwarevCenterServer 375.3 vFoglight 385.4 vRanger 395.5 vReplicator 405.6 TrendMicroDeepSecurity 41

1.项目概况项目背景多年来，XXXXX坚持走科技发展的道路，并且非常重视XX信息化的建设。早在多年前，就看到了计算机网络管理化的趋势，意识到应该对网络和计算机管理系统进行总体规划。先后引进了大批先进的设备及应用系统，这些设备及应用对提升XX整体业务水平发挥着极为重要的作用，但由此对整个XX的信息化管理提出了更高的要求。为全面适应XX迅速增长的业务要求，XX决定进一步加强涵盖全局的信息化建设进程。项目需求由于XXXXX新的办公大楼重新建设，现在所有的应用系统设备均放至在XXX指挥中心机房内，新的办公大楼即将投入使用，计划在新的办公大楼投入使用时建设一个新的XXXXX信息中心，将XXX指挥中心原有系统做为该信息中心的异地灾备中心。在本次项目中，计划要建成警务综合管理系统、派出所综合管理系统、GIS、OA及为以上系统提供的WEB和数据库等业务的高可用性。派出所综合管理系统是XX的主要综合管理系统，它包含人口管理、治安管理、安全防范、执法办案、情报信息、派出所建设等六大功能子系统组成，负责XX整体业务应用，所以说对于安全行需求特别高。地理信息子系统包括：责任区信息、门牌楼信息、电子地图三个子系统，对XX来说地理信息系统，对于民警的日常办公及办案起到不可估量的作用，一旦系统出现不可恢复的缺损，不仅影响民警的办案效率，最终会涉及到每一位公民的切身利益。在传统的XX信息化建设模式中，警务综合管理系统、派出所综合管理系统、GIS及为以上系统提供的WEB和数据库等系统除了数据库应用系统，其余应用系统所采取的存储方式与存储介质各不相同。传统分散式布局的服务器和存储架构维护不便，维护成本较高，不同的业务系统之间在资源利用上不能共享和平衡。作为XX，为保证每一位公民的切身利益必须要保证每一个应用的正常运行。所以搭建一个稳定、高效、安全、可管理并可持续发展的适应性基础平台来承载XX的应用，是我们在本方案中要解决的问题当务之急。新一代的XX数据中心，应该设计成集中化、虚拟化和自动化管理的架构，不仅有利于数据的安全和系统的稳定，而且能够大大降低运营的成本。对XX而言，业务的高可用性与连续性是十分必须的。服务器设备一旦发生故障，将给XX和广大民众带来诸多不便甚至更坏的影响，为全面确保XX业务的不间断，XX对服务器提出特别严格的要求。另外，存储系统也是最核心的部分之一，对于存储系统的要求，第一要满足数据高可用性的要求，同时通过备份系统的设计保障数据的绝对安全。另外，还要能满足未来几年内不断增长的数据对容量的需求。在警务综合管理系统、派出所综合管理系统、GIS及为以上系统提供的WEB和数据库等业务系统中，其中对存储容量要求较高包括数据库和GIS系统。特别是GIS对存储要求更加苛刻，它对系统的存储能力提出了更加严峻的挑战。围绕着数据量大、数据类型丰富、实时性强，精度高，安全性强等要求，我们建议XX的信息系统在存储方面采用先进的存储区域网络结构（SAN）。按照用户对数据高可用性的要求，我们建议采用基于SAN网络的存储容灾系统架构。随着XXX信息化进程的不断深入，越来越多的业务被融入到信息化系统中，导致了相关应用和服务器的数目不断上升等一系列问题，数目众多的服务器给管理工作和信息化建设带来了巨大的挑战，主要体现在：如何更有效的管理服务器，监控服务器的运行状态。每年都需要购买新的硬件服务器，以满足新的业务系统需求。服务器数量日益增长，如何做好服务器的系统和数据备份与容灾，如何保障快速地恢复。很多的服务器已经运行了很多年，稳定性变差、性能大幅度下降，大量的服务器需要更新。业务系统如何迁移到新硬件上面，并保证业务系统的稳定、安全。如何保证业务的连续运行及数据的安全迁移，也将是一个很重大的问题。未来越来越多的新业务系统，如何保证稳定运行与可扩展性，可迁移性，也是需要考虑的。需要基于虚拟化环境下的新安全解决方案，对VM群进行安全防护，以及将来基于云计算的新安全Solution随着全国XXX系统快速的发展，上述问题日益凸显。在未来还会有更多的应用系统需要上线使用，界时将会有更多的服务器投入使用，面对服务器数量激增，业务连续性成本居高不下，运维管理难度不断提升等诸多问题，必须构建一套功能齐全、设备先进、运行高效、使用灵活、维护方便、易于扩展、投资省、高安全可靠的信息化平台，优化整个XXX系统的运行系统与支撑系统，以满足未来XXX系统信息化建设的发展要求。为实现上述目标，我们在下面的总体方案设计中将详细阐述XX的解决方案。

设计原则本次项目建设满足以下几项基本原则：实用性：在满足审计业务管理和行政办公的基础上，充分考虑现有设备、未来发展和节省投资三个因素。安全性：针对虚拟化技术环境与传统物理环境所造成的不同，这次将采用创新的，针对虚拟化技术所定制安全解决方案，通过底层于ESXServer以及与VCenter整合彻底杜绝各种安全问题，包括：病毒，木马，蠕虫及黑客攻击等安全问题，保护操作系统和应用系统安全，从而根本上摆脱了传统安全解决方案需要在每一台虚拟机上部署客户端影响性能以及增加管理成本的弊端。可靠性：系统设计要有效的避免单点故障，在设备的选择和关键设备的互联时，应提供充分的冗余备份，一方面最大限度地减少故障的可能性，另一方面要保证系统能在最短时间内修复。成熟和先进性：设备选择等方面应采用国际上先进的同时又是成熟、实用的技术和主流品牌。高可用性：在较高的可靠性和可用性前提下，保证办公系统的正常运行，关键设备做到实时备份和自动故障切换。规范性：系统设计所采用的技术和设备应符合国际标准、国家标准和业界标准，为系统的扩展升级、与其他系统的互联提供良好的基础。开放性和标准化：在设计时，要求提供开放性好、标准化程度高的技术方案；设备的各种接口满足开放和标准化原则。可扩充和扩展化：所有系统设备不但满足当前需要，并在扩充模块后能够满足可预见未来需求，保证建设完成后的系统在向新的技术升级时，能保护现有的投资。可管理性：整个系统的设备应易于管理，易于维护，易学，易用，便于进行系统配置，在安全性、系统性能等方面很好的监视和控制，方便进行远程管理和故障诊断。

方案设计某市XX数据中心作为承载业务的重要IT基础设施，承担着稳定运行和业务创新的重任。在新的形势下，数据中心需要更高效地支持业务和信息共享需求，提供不间断的服务，这对数据中心的资源整合、全面安全、高效管理和业务连续性提出更高的要求。利用虚拟化技术，将缓解某市XX信息化建设过程中服务器数量激增的带来的运维压力，提升系统的业务连续性保障体系和新应用部署效率，构建灵活、动态、可控的数据中心及配套的容灾备份解决方案。对于灾备工作，一直是困扰着许多单位信息化建设的难题，通常面临如下诸多挑战：有较强的软硬件依赖性每种应用均有不同的容灾方案，复杂度高无法兼容所有平台及应用灾备中心切换成功率难以保证较难实现本地硬盘数据与磁阵数据的一致性灾备切换、演练、回切流程复杂人员成本及硬件设备投入、维护成本偏高如今，随着某市XX对数据可用性认识的加深，关键业务不允许出现哪怕是1%的灾难威胁，因此灾备工作已经成为数据可用性解决方案的中重要的组成部分。基于虚拟化技术的封装性及硬件独立性，虚拟化将为系统的灾备工作提供了极高的环境基础：借助虚拟化资源池化将完成异构向同构的转变，进而实现灾备过程中的硬件、系统、应用无关性；虚拟化提供一个广泛适用的架构，来适应原本千差万别的企业应用环境；虚拟化可以提供更多的选择和灵活性：可以在应用统一后进行容灾；或者尊重现有的应用体系不变，在架构整合后进行容灾；多对一容灾方案（灾备中心大集中）得以简单实现。虚拟化评估报告概述由于XXXXX新的信息是要建设所有的现有应用系统，为了对现在所有系统的业务压力及服务器承载能力有一个充分的认识，由我公司针对XXXXXXXX指挥中心现有14台X86服务器提供相应的采样方法，并提供以下信息：抽样服务器硬件资源使用率统计数据，部署虚拟化的意义以及满足XX目前和未来的工作负载的VMwareESXServer主机预期需求。本部分主要包括以下内容：抽样服务器硬件资源使用率分析。对XX一组采样的服务器进行分析后得出的统计数据。服务器整合评估——现有抽样服务器整合率预计值。服务器控制评估——未来计划服务器整合率预计值。X86服务器评估数据列表在XXX指针对14台基于x86架构的主要应用服务器进行采样分析：应用服务器CPU平均负载内存平均负载主机内存大小（G）外网旅店业内网数据库10.00%45.20%4旅店外网WEB(1)1.98%29.30%2旅店外网WEB(2)2.48%37.00%2综合应用（1）1.98%23.00%8综合应用（2）2.00%25.30%8综合应用（3）1.50%20.00%8综合应用全文检索1.20%8.40%8综合应用调度节点15.00%33.70%4综合应用数据抽取7.50%35.20%8GIS-WEB13.00%41.20%8GIS-DATA16.00%45.70%8实有人口9.00%43.30%4旅店业内网数据库6.36%25.80%4旅店业内网WEB15.00%44.50%4平均负载7.36%32.69%根据XXXXX提供的硬件配置信息，以及对14台主要应用服务器抽样的测试数据可以得出以下信息：CPU总频率168GHzCPU实际平均使用总频率12.36GHzCPU平均使用率7.36%内存总量80G内存实际平均使用量26.15G内存平均使用率32.69%在XXXXX总共抽取了14台服务器作为虚拟化评估目标，所有被测服务器的内存总数是80G，实际平均使用量是26.15G，内存平均占用率是32.69%14台服务器共计CPU总频率为168GHz，实际平均使用量为12.36GHz，所有被测服务器的CPU平均利用率7.36%。下图表现了XXXXX现有服务器CPU使用情况。CPU占用分布列表：百分比生产环境数量峰值数量0%-5%605%-10%4110%-15%3215%-20%11从上表我们可以看到XXXXX的X86服务器的CPU、内存资源的平均负载都很低。正是因为这种情况的存在，我们以最坏的情况考虑，假设所有应用在同一时间都达到此峰值，那么所需的资源为74.16GHZ,为了能够保证峰值时服务器的CPU频率不会成为企业瓶颈，我们建议XX进行虚拟化整合时，CPU总频率至少为122.6GHz，来满足所有应用的正常运行。根据性能监测结果XX服务器实际平均内存总使用量为26.15G，性能监测结果显示，短暂峰值时内存总平均使用量为48.38G，如同CPU一样以最坏的方式考虑，假如所有应用内存使用在同一时间达到峰值（据测试显示峰值利用率最高能达到90%），那么内存大小必须在保证在70.6G。根据以上数字，假设每台服务器为二路6核服务器，每CPU主频2.4GHz，那么每台计算机CPU的总主频为28.8GHz。上文已经提及为避免CPU成为瓶颈，总频率必须122.6GHz以上，XX为保证IT的正常运行，不可能将虚拟化服务器的资源利用率超过80%，因为较高的资源使用率势必增加了物理服务器的宕机几率，因此在进行虚拟化时至少要拥有4台服务器才可满足CPU硬件需求。假设每台服务器内存配32G，那么4台服务器总内存大小为128G，完全可以满足现有70.6G内存需求，而且能够很高的满足所有应用程序的突发使用率。如果留有1台冗余服务器，那么5台服务器既可以完全保障以上业务稳定运行。服务器在正常使用时如果发生意外宕机，在该服务器中运行的虚拟机将会全部关闭，严重影响XX的IT业务连续性。因此，我们建议XX进行虚拟化部署时使用虚拟化技术中的HA功能，HA可以为虚拟机提供简单易用、经济高效的高可用性。当发生硬件故障时该工具会在其他ESXServer主机上自动重新启动虚拟机，因此可以缩短意外宕机时间，并有效帮助XX提高业务连续性。服务器安全需求评估序号服务器虚拟化后将面临的新安全问题虚拟化后服务器以及整个虚拟环境所面临的安全风险1传统环境下安全解决方案在虚拟化环境下的瓶颈需要基于虚拟化环境下的新安全解决方案，对VM进行安全防护。2大量VM带来安全不可管理性，策略难以从服务器主机为单位部署部署在虚拟化环境下的新的安全Solution提出了要易管理要求3传统安全软件资源占用高要顺应虚拟化的基本特性之一，提高资源利用，故新的安全Solution要能够提升虚拟环境的资源利用率而不是降低资源利用率。4不同安全等级的VM混杂提供安全标准化，即在虚拟化层上统一部署安全软件，为上层所有虚拟机提供安全年防护5拓展到云计算环境下的安全问题需要基于Vmware云操作系统的新安全Solution评估报告总结通过以上数据分析，对XXXXX信息中心虚拟化方案主要分成三大部分：1. XXXXX数据中心虚拟化依据客户需求及分虚拟化析报告可知，为实现虚拟化，我们需要5台高性能PC服务器及中央存储来满足虚拟化基础需求，来达到整个环境的最高性能。2. XXX数据中心虚拟化XX对整体业务连续性要求极高，所以我们建议XXX数据中心同样采用虚拟化方案来整合现有应用服务器，来满足后期虚拟化最优灾备方案。为何说是最优灾备方案呢？因为在两地虚拟化方案的基础上，我们能够应用vizioncore提供的vReplicator灾备技术，实现两地的实时及自动化灾备。降低了由于误操作或操作繁琐对生产环境恢复所造成的风险。3. 两地数据中心的灾备在两地实现虚拟化整合的基础上，为实现两地数据中心灾备，我们能够很方便的在原有虚拟化基础上，借助于vizioncore实现两地的数据灾备，从而达到实时、自动的最优化灾备方案，以最方便、最快捷、最安全、最廉价的方式提高整体业务的连续性。4．应用基于ESX层新型安全防护套件在每台物理服务器的ESXServer上，部署全球知名安全厂商TrendMicro的DeepSecurity安全套件，这是唯一和Vmware在底层做整合的安全套件。直接在Vmware底层对上层所有的虚拟机提供统一的安全防护，包括：防病毒，IDS/IPS，Web服务器防护，应用程序控制，防火墙，完整性检查和日志审计等各种安全模块。更为重要的是，DeepSecurity提供的安全防护，在上层所有的虚拟机上都无需安装客户端软件。应用了创新的底层技术，DeepSecurity可以在虚拟环境下提供传统安全软件所不能提供的：提升资源利用率，提升和简化管理，无缝保护大量新的或者移动中的虚拟机以及协助用户从传统的物理环境顺利的转换到虚拟化环境。项目规划第一阶段：首先在XXX数据中心对警综平台全部应用、情报预警防范、情报报表、电子印章、网管软件、平台管理软件、备份软件等进行物理架构向虚拟架构迁移（P2V迁移），同时模拟容灾过程。通过一定时间的运行，一方面有助于某市XX通过实际环境验证VMware虚拟化的稳定性及其他功能的可实现性，另一方面帮助数据中心的运维人员了解虚拟化的环境与运维手段，为日后的大规模部署及两地容灾工作提供必要的技术保障。对于虚拟环境下所有虚拟服务器的安全防护，采用TrendMicro的DeepSecurity安全套件，在VmwareESX底层提供给上层所有虚拟服务器统一的防病毒，IDS/IPS，Web服务器防护，应用程序控制，防火墙，完整性检查和日志审计等各种安全防护，无需在每台虚拟机上安装客户端软件。DeepSecurity组件功能数量DSVA针对于ESXServer的客户端程序，安装在ESXServer上，对上层所有虚拟机统一提供安全防护，包括防病毒，IDS/IPS，Web服务器防护，应用程序控制，防火墙。与Vmware底层API整合，无缝连接，全球创新技术，策略可以以ESX为单位。大量的安全策略模板，快速部署，并且集中管理和运维，管理配置简单，维护方便，新技术比传统Solution，在提供防病毒的同时，资源利用率提升50%。做到了真正的安全标准化。每一台ESX装一套。上层虚拟机无需安装客户端DSMDeepSecurity套件中的管理平台管理所有的DSVA以及DSA，同时统一管理策略，安全报告以及组件更新等等需要单独一台机器，不可以DSVA部署在一台物理服务器上DSA针对于虚拟机操作系统的客户端程序。如果用户需要对虚拟机操作系统进行完整性检查和日志升级，需要单独部署这个模块第二阶段：待某新办公大楼投入使用后，计划在新的办公大楼投入使用时建设一个新的XXXXX信息中心，将XXX指挥中心迁移至某数据中心，原有系统将作为该信息中心的异地灾备中心。至此，利用VMware虚拟化技术，将各类应用进行标准封装，某市XX信息化平台将通过标准的运维模式进行管理，实现硬件资源整合、统一管理、业务连续性保障、备份、系统升级、系统扩容、应用发布、监控管理及容灾工作，大幅加速XXX系统信息化建设的进度。在安全方面，利用DeepSecurity的创新技术，把所有ESXServer从底层防护起来。起到安全标准化方案优势根据对XX信息化系统建设项目的深入了解，结合我公司在开放性、实用性、扩充性及高可用性应用上的经验，我们力求建立这样一个体系结构，使计算机系统能够在最大限度上满足IT系统不断增长和变化的业务需求，同时在最大限度保护用户原有投资的前提下不断利用迅速发展中的计算机技术和产品。我们会在性能、功能、维护、投资保护、高安全可靠等方面提供良好的支持。虚拟化技术概述XX信息化建设的总体目标是“打造数字化XX平台、促进XX现代化建设”。根据XX的最新发展，数字化XX平台将覆盖所有的科室，并由不同的应用系统组成。XX整体信息化建设的主要内容由以下系统组成：警务综合管理系统、派出所综合管理系统、GIS、OA及为以上系统提供的WEB和数据库。当前XX信息化工程建设的主要是景物综合系统，根据XX业务的进一步发展，未来会持续发展其他的应用系统，进行更深入的信息化建设。虽然虚拟化技术在最近几年才得以大规模推广和应用，但是早在1959年这项技术就已经被提出。利用它可以对属于稀有而昂贵资源的大型机硬件进行分区运行多个程序。随着时间的推移，x86服务器不断发展，可提供更经济的方法来提高计算能力。到了20世纪90年代，研究人员开始探索如何利用虚拟化解决硬件激增等相关的一系列问题，例如，资源利用率不足、管理成本不断攀升和较高的电力消耗等。直到VMware率先将虚拟化技术成功带入X86平台，进而引发了一场IT革命。VMware的虚拟化是一种经过大量生产环境验证的软件技术，它正迅速地改变着IT的面貌，并从根本上改变着人们的计算方式。虚拟化可以看作是一个抽象层，它将物理硬件与操作系统剥离，并提供更高的IT资源利用率和灵活性。如今，具有强大处理能力的x86计算机硬件仅仅运行了单个操作系统和单个应用程序，这使得大多数计算机远未得到充分利用。利用虚拟化，可以在一台物理机上运行多个虚拟机，从而实现在多个环境间共享这一台计算机的资源。虚拟化的基础是虚拟机，一台常见的虚拟机工作原理如下：虚拟机是一种严密隔离的软件容器，它可以运行自己的操作系统和应用程序，就好像一台物理计算机一样。虚拟机的运行完全类似于一台物理计算机，它包含自己的虚拟CPU、内存、硬盘、网卡(NIC)。操作系统无法分辨虚拟机与物理计算机之间的差异，应用程序和网络中的其他计算机也无法分辨。即使是虚拟机本身也认为自己是一台“真正的”计算机。同时，虚拟机实际上是以一组文件的形式存在的，因此虚拟机具备物理硬件所没有的很多独特的优势。虚拟化所的优势是多方面的，总结来说主要包括了以下几点——效率：将原本一台服务器的资源分配给了数台虚拟化的服务器，有效的利用了闲置资源，确保硬件设备与应用程序发挥出最高的可用性和性能。隔离：虽然虚拟机可以共享一台计算机的物理资源，但它们彼此之间仍然是完全隔离的，就像它们是不同的物理计算机一样。因此，在可用性和安全性方面，虚拟环境中运行的应用程序之所以远优于在传统的非虚拟化系统中运行的应用程序，隔离就是一个重要的原因。可靠：虚拟服务器是独立于硬件进行工作的，通过改进灾难恢复解决方案提高了业务连续性，当一台服务器出现故障时可在最短时间内恢复业务且不影响整个集群的运作，在整个数据中心实现高可用性。成本：降低了部署成本，只需要更少的服务器就可以实现需要更多服务器才能做到的事情，也间接降低了安全等其他方面的成本。兼容：所有的虚拟服务器都与正常的x86系统相兼容，他改进了桌面管理的方式，可部署多套不同的系统，将因兼容性造成问题的可能性降至最低。便于管理：提高了服务器/管理员比率，一个管理员可以轻松的管理比以前更多的服务器而不会造成更大的负担。通过将桌面到数据中心的所有IT资产进行虚拟化，可以建立一个动态、灵活、高效的基础架构，为业务提供最大价值。虚拟化技术作为新一代的资源平台正迅速在全球爆发，目前，VMware的客户已经超过17万，涵盖100%的《财富》100强公司，98%的《财富》500强公司（500家公司中的492家），在《财富》1000强中涵盖，94%的能源公司97%的金融服务公司98%的制造业94%的医疗保健公司97%的技术公司96%的零售业100%的电信、媒体、娱乐公司97%的运输公司虚拟化技术正快速覆盖到各个领域，全球技术研究和咨询公司Gartner分析指出：“虚拟化对整个IT产业的影响深远，虚拟化技术将持续成为推动基础架构和业务运作软件变革最主要的催化剂。组织机构正在寻找能削减成本、更好地利用资产、减少执行和管理时间与复杂性的方式，而虚拟化满足了所有这些需求。”Gartner预计，全球虚拟化软件市场规模到2012年将超过80亿美元。左图为我们最为熟悉的传统架构，由底层的CPU、内存、网卡、硬盘等硬件资源，中间的操作系统，和上层的应用所组成。人们已习惯于传统架构下，每台服务器安装一个操作系统和一个应用，正是由于操作系统与底层硬件之间的死板的映射关系，导致了现有数据中心中出现的各种问题，而随着XXX系统信息化的发展，这些问题也就日益严峻。右图展示了虚拟化架构，虚拟化技术将操作系统从运行它的底层硬件中抽离出来，形成虚拟化层，即图中的“ESX”蓝色部分，并为操作系统及其应用程序提供标准化的虚拟硬件，从而使得多台虚拟机能够在一台或者多台共享处理器上同时独立运行。借助虚拟化技术，部局可以轻松将多台不同服务器的工作负载整合到更为可靠并且性能更高的硬件平台上。基于固有的分区、隔离和封装等特性，虚拟机与物理服务器相比具有了很多优势。虚拟化技术的优势服务器整合提高资源利用率某市XX投入了大量的人力和财力构建现有的信息化平台，但是目前服务器的资源利用率情况仍然无法达到预期的要求，这正是由于传统的物理架构所导致的。传统物理架构下，服务器只能同时运行一个操作系统，为了保证应用的稳定运行，通常只在一个操作系统中只安装一个应用，这就导致了一台服务器对应一个应用的现状，而且没有一种有效的手段可以将服务器中空闲的资源释放出来。根据在XXX选取的14台基于x86架构的主要应用服务器进行采样分析后发现，CPU平均使用率为7.36%，内存平均使用率为32.69。这导致了大量的硬件、空间以及电力的浪费。同时由于应用程序兼容性的问题，IT人员只能通过在不同场所的不同服务器中分别运行的方式，将应用程序隔离起来。这又会导致服务器数量的增长。设置新的服务器是一项漫长，并且对人力要求很高的过程，往往需要数日甚至数月的仔细考虑，这使得IT人员更加难以应对业务成长和变动的需求。例如，对于测试和开发环境的供应和拆除需求，往往就需要消耗大量宝贵的资源和时间。通过服务器虚拟化技术，将多个工作负载整合到一个平台上，甚至可以在减缓物理服务器数量的增长的同时，仍旧保持“一个应用程序，一台服务器”的状况。同时，对于如网络设备、KVM、额外加密设备来说，也同样适用于此，通过虚拟化整合的服务器，从多台变为一台，相应的附加设备，如之前要将多台服务器连接起来的路由器，仅仅需要一个或几个端口即可解决问题，从设备到网线，从能耗到布线和空间成本，都将大幅提高，而KVM及其它额外设备也同样会受益于此，从而提升了IT系统中设备的利用率。利用虚拟化技术成果降低服务器数量并提升了系统资源利用率，将构建某市XX统一的信息化平台，通过部署虚拟机将服务器利用率大幅提升，并避免传统架构下过度的资源浪费情况。利用VMware虚拟化整合x86服务器，从而更充分地利用现有的资源。传统的“一种工作负载配一台机器”的服务器部署方法不可避免会导致硬件资产过度部署和利用率不足。同时，电力、散热、网络基础架构、存储基础架构、管理开销和不动产以至未充分利用的服务器的成本不断增加。将x86物理机转换为功能完善的虚拟机可以避免服务器数量剧增。VMware虚拟机独立于底层硬件运行，在多种物理服务器上均受支持。通过在高配置的x86服务器上运行多个工作负载，可以帮助XXXXX将服务器硬件的利用率。更重要的是，虚拟化会将XXXXX的硬件需求减少到原来的十分之一或更少。通过前面的分析，可以得知，虚拟化可以能够在更少的物理服务器上运行更多的应用程序，事实上，绝大部分虚拟化用户都在单个硬件上运行多达10个或更多的应用程序。降低成本节能减排构建绿色IT人们已越来越清晰地认识到，信息技术更应推动推动碳减排目标的实现。首先，作为主要的能耗用户，信息科技产业目前所产生的碳排放量占世界总量的2%，与航空业一样，位居世界最大的二氧化碳排放行业之列。因此要根据IT政策、实践与投资采取一种系统的方法降低能源消耗和碳排放量。不难发现，经过若干年的信息化建设，某市XX的服务器数量迅速增加，并且不断地出现新的硬件设备采购需求。随着计算能力的飞速提升，IT设备对能耗的需求也在成倍增加。现在主流的服务器动辄六七百瓦的电源，运行一年消耗的电能多达数千元。与此同时，服务器消耗的部分电能还会转化为热能，然而在机房内排除这些热能实质上是相当困难的，依靠大功率的空调无疑又增加了电力消耗。行业分析机构Gartner预计，未来5年，大部分企业数据中心花在能源（电力和散热）上的费用将与花在硬件基础架构上的费用一样多。市局面对的主要问题是服务器数量越来越多，对机房面积、承重带来的压力日益增强，服务器散热量越来越大，能耗不断增加，并将很大一部分的IT投资浪费在散热及供电上。在信息化建设过程中，国家“绿色IT”的发展战略也就变得尤为重要，许多政府机构为响应国家节能减排的政策要求，已经在以往的设备采购过程中，考虑更多的是机器的配置、价格、单程运行的性能以及售后服务质量，而现在则加重了“绿色IT”指标的力度，比如节能降耗方面的要求。VMware解决方案注重IT环境，降低与之相关联的近40%的碳排放量，同时降低30%的总体拥有成本。而且这是通过降低IT的复杂性来实现的，包括对数据中心的整合、对低能耗设备、服务器和存储器管理、虚拟化，以及建立基于服务的架构等。通过服务器整合，您可以用较少的硬件支持整个业务，从而降低的硬件设备成本，以及降低服务器供电和冷却所需的电力消耗，更可以减少服务器场所需的机架空间。资源池化，提升IT灵活性及部署效率通过成熟的虚拟化技术实现分散服务器形成统一的资源池进行管理，将来自物理服务器群、存储和网络的计算资源聚合为逻辑资源池，最大限度地提高效率和利用率，从而为构建私有云奠定基础。如VMware提供的资源池模型可支持物理资源的自行管理和自行优化，同时使IT部门可根据不同部门的资源需求为其划分、分配和委派逻辑资源职责，提高资源利用率和系统安全性。资源池化可把现有的处理器、内存、磁盘以及网络设备等资源，加入到相应的集群中，并创建逻辑运算资源池。操作系统及其应用程序被隔离到安全、可移动的虚拟机中。随后，系统资源会根据需求和优先级动态地分配给每台虚拟机，这种对服务器资源的利用和控制可与大型机相媲美。由于虚拟机可以在资源池中的任一物理服务器上运行，并且无需宕机便可在这些服务器之间无缝地转移。因此，就可以将虚拟机动态、自动地分配给资源池中最合适的主机，从而保障应用程序的服务级别。通过将硬件资源聚合到资源池，IT环境可得到优化，进而满足不断变化的业务需求，同时确保灵活性以及硬件资源的高效利用。以往的新业务上线通常伴随的漫长的硬件设备采购及部署周期，资源无法合理利用，通过虚拟架构，将资源池化后，资源可以进行按需分配、而且可以进行复用，使投资变得更加经济适用。利用Vmware虚拟化技术将警综平台全部应用、情报预警防范、情报报表、电子印章、网管软件、平台管理软件、备份软件等均已部署在利用VMware虚拟化技术构建的资源池中，可以根据应用的需求分配或调整资源，大幅提升系统的灵活性。同时虚拟化架构还将大幅削减新应用上线的部署周期，当接受到省厅新业务上线的工作指示后，即可根据新应用的环境要求，基于预先配置好操作系统的模板快速地创建虚拟机，再根据应用的规模从虚拟化资源池中划分适当的资源，至此，在几分钟内完成了新应用上线的全部基础环境准备工作，大幅提升了某市XX业务响应能力。提升系统管理效率虚拟化平台提供的集中式管理中心，可以集中管理数百台虚拟化主机以及数千个虚拟机，这为IT环境提供了操作自动化、资源优化以及高可用性等功能。IT运维人员的工作效率将会大大提高，拥有更多的时间和精力来关注应用部分而非底层硬件，由此，虚拟化技术真正可以使IT服务级别由原来的组件级别提升至服务级别。对于任何规模的虚拟化IT环境，VMware都可以实现最便捷、最高效、最安全、最可靠的管理。其主要特点包括：集中管理功能，使管理员能够通过单一界面来组织、监控和配置整个环境，从而降低运营成本。提供多种组织结构分层视图以及拓扑视图，清楚地表明了主机与虚拟机的关系。性能监控功能，包括CPU、内存、磁盘I/O和网络I/O的利用率图表，可提供必要的详细信息，用于分析主机服务器和虚拟机的性能。通过任务调度和警报功能实现的操作自动化，提高了对业务需求的响应速度并确保了优先执行最紧急的操作。利用部署向导和虚拟机模板可以实现快速部署，这大幅度减少了创建和部署虚拟机所需的时间和精力，只需点击几下鼠标就可以轻松完成操作。安全的访问控制机制、强大的权限管理机制以及与MicrosoftActiveDirectory的集成，可确保只有授权用户才能对VMwareInfrastructure及其虚拟机进行访问。通过为经过授权的管理员和最终用户委派可自定义的角色和权限，可以安全地限制对虚拟机的访问。无论数据中心的访问控制策略多么详尽，也能完全遵守。完善的业务连续性保障在虚拟化架构中，操作系统、应用程序及相关配置都将以文件的形式存放在中央存储中，因此虚拟化技术所具备的封装性与硬件独立性为系统的业务连续性保障提供了极高的基础环境，包括完善的计划内停机解决方案、计划外停机解决方案及备份容灾解决方案。某市XX每年都投入了大量的精力来最大程度的减少停机时间，根据相关部门的统计，87%的停机是由计划内的硬件维护、服务器迁移和固件更新等引起的，这些工作全都需要执行物理服务器停机。为将这一停机造成的影响降至最低，各组织机构不得不推迟维护，最终导致停机时段极不方便、难于安排。VMware虚拟化可以让组织大幅度减少计划内停机。使用在线迁移技术，不必停机或中断服务即可将平台上的工作负载（即上图所示的虚拟机（VM）在线移动到不同的物理服务器，因此，无需将应用程序和服务置于离线即可执行服务器维护。因此，在部署虚拟化后，某市XX的信息化可以实现：消除常见维护操作造成的停机消除计划内维护时段随时执行维护而不会对用户和服务造成中断但是仍有12%的停机并不是在计划内的，通常称之为计划为停机，对于此类停机，虚拟化平台提供相应的解决方案。当由于硬件故障出现停机后，可以自动在几分钟之内恢复其准核心应用。虚拟化平台可以使用其特有的高可用技术，实现在机群中任意一台主机异常宕机时由另外一台虚拟化主机顶替该主机工作。上图所示集群中的三台虚拟化主机之间彼此检测心跳，默认状态是每秒轮询一次。如果被轮询的主机无响应，控制器会记录宕机的主机在宕机时运行的具体虚拟机，而后在集群中其他有冗余资源的主机上重启这些虚拟机，整个过程无需人为干预，从而大大减少宕机时间，同时可以按照不同应用的级别还可以自定义的重启顺序。如果应用的业务连续性要求极为苛刻，几分钟的停机时间都是不允许的，那么对于此类应用的解决方案如下。FT是VMware虚拟化平台提供的更高级别高可用组件，该技术会在主机群组中为启用FT的虚拟机映射另外一台完全相同的虚拟机镜像。一旦硬件出现故障导致虚拟机无法启动，虚拟机镜像会在同一时间自动接管宕掉的虚拟机并运行服务。相对于上面描绘的高可用方案而言，FT无需重启，切换故障时间更快，对于应用完全没有任何的业务影响，实现了计划外的零宕机，提供了更高级别的业务连续性。此技术在保护某市XX低负载但极其关键的应用时起到重要的意义。随着某市XX信息化建设的不断发展，越来越多的业务将借助信息化技术来实现，在大幅提升工作效率的同时，还应当在构建其信息基础结构时把备份容灾考虑进来。在规划企业的IT系统时，一定要为备份容灾功能的引入打好基础结构，为今后整个IT系统的可扩展做好准备工作。尽可能地将数据集中化管理，这是备份与容灾工作的一个前提。而虚拟化平台的特性恰恰满足了这一前提，由此虚拟化的全面部署也将为某市XX信息化备份与容灾工作提供了一个更可靠的平台。VMwareStorageVMotion是数据中心物理位置变更解决方案，是市局信息化平台能够跨异构存储阵列执行实施的虚拟机磁盘迁移，同时保证全面的事务完整性，而且不会发生关键应用程序的服务中断，为日后的某与XXX数据中心之间的工作提供了良好的环境基础。在虚拟基础架构中实施VMwareStorageVMotion所获得的功能包括：执行主动的存储迁移、简化阵列更新/报废过程、提高虚拟机的存储性能，还能节省数据中心宝贵的存储容量。VMwareStorageVMotion可以简化阵列迁移和存储升级，购买新的存储设备和阵列用于替换旧的存储设备时，通常都会导致繁琐、耗时且有中断发生的迁移。StorageVMotion可将虚拟机磁盘文件从现有的存储位置实时、自动的迁移到新的目标位置，从而帮助您解决服务中断的问题。根据作为分层存储一部分的使用率和优先级策略，将虚拟机磁盘文件无中断的迁移到不同的种类的存储设备的做法，提供了一种经济高效的虚拟机磁盘管理方式。某市XX信通处作为市局承载业务的重要IT基础设施，承担着稳定运行和业务创新的重任。在新的形势下，数据中心需要更高效地支持业务和信息共享需求，提供不间断的服务，这对数据中心的资源整合、全面安全、高效管理和业务连续性提出更高的要求。利用虚拟化技术，将缓解某市XX信息化建设过程中服务器数量激增的带来的运维压力，提升系统的业务连续性保障体系和新应用部署效率，构建灵活、动态、可控的数据中心及配套的容灾备份解决方案。对于灾备工作，一直是困扰着许多单位信息化建设的难题，通常面临如下诸多挑战：有较强的软硬件依赖性每种应用均有不同的容灾方案，复杂度高无法兼容所有平台及应用灾备中心切换成功率难以保证较难实现本地硬盘数据与磁阵数据的一致性灾备切换、演练、回切流程复杂人员成本及硬件设备投入、维护成本偏高如今，随着某市XX对数据可用性认识的加深，关键业务不允许出现哪怕是1%的灾难威胁，因此灾备工作已经成为数据可用性解决方案的中重要的组成部分。基于虚拟化技术的封装性及硬件独立性，虚拟化将为系统的灾备工作提供了极高的环境基础：借助虚拟化资源池化将完成异构向同构的转变，进而实现灾备过程中的硬件、系统、应用无关性；虚拟化提供一个广泛适用的架构，来适应原本千差万别的企业应用环境；虚拟化可以提供更多的选择和灵活性：可以在应用统一后进行容灾；或者尊重现有的应用体系不变，在架构整合后进行容灾；多对一容灾方案（灾备中心大集中）得以简单实现。虚拟化安全的优势序号解决方案的功能和优势[Function-Advantage]给用户带来的价值1功能：DeepSecurity与Vcenter，EXS整合，优势：底层API整合，无缝连接，全球创新技术既能迈入虚拟化，又可以得到新环境下的安全防护2功能：与ESX整合，策略可以以ESX为单位。大量的安全策略模板，快速部署，并且集中管理和运维优势：管理配置简单，维护方便B管理效率，和持续降低运维成本3功能：无需在每台VM上安装防病毒软件，只需在ESXServer上安装DSVA即可优势：新技术比传统Solution，在提供防病毒的同时，资源利用率提升50%在保证安全的前提上，资源利用率大大提高4功能：ESXServer提供统一安全管理。优势：安全标准化，提供统一的虚拟化安全防护标准，不会因为大量的虚拟机存在，导致有安全疏漏5功能：云操作系统上的安全软件，优势：配合Vmware云计算环境下的所有应用特性，提供安全防护让用户在安全方面无缝转化到云计算平台附录产品介绍VMwarevSphere作为一种应用最广泛的通过虚拟化技术来优化和管理IT环境的软件套件，VMwarevSphere是虚拟化的基础架构软件，可部署于从台式机到数据中心的各种环境中。VMwarevSphere将操作系统从运行它的底层硬件中抽离出来，并为操作系统及其应用程序提供标准化的虚拟硬件，从而使多个虚拟机能够同时在一台或多台共享处理器上独立地运行。借助虚拟化技术，客户可以轻松将多个不同服务器的工作负载整合到更为可靠并且性能更高的硬件上。VMwarevSphere将行业标准x86服务器及其现有的处理器、内存、磁盘和网络连接一起转换到了一个逻辑计算资源池中。操作系统及其应用程序被隔离到安全、可移植的虚拟机中。随后，该基础架构会根据每个虚拟机的需要和优先级，将系统资源动态地分配给它们，从而实现主机级容量利用率以及对服务器资源的控制。由于虚拟机可以在资源池中的任一物理服务器上运行，并且无需宕机便可在这些服务器之间无缝地转移。因此，虚拟机可动态、自动地分配给资源池中最合适的主机，从而确保软件应用程序的服务级别。通过将硬件资源聚合到资源池，IT环境可得到优化，从而动态支持不断变化的业务需求，同时确保灵活有效地利用硬件资源。VMwarevSphere提供了一系列功能，这些功能可使整个IT环境比单独的物理硬件具有更高的适用性、可用性和效率。以前，某市XX必须结合使用各种操作系统或软件应用程序特定解决方案，以实现高可用性、资源优化和安全性。而现在，由于虚拟化层是直接安装在裸机上的第一个软件，因此VMwarevSphere可以始终如一地为所有虚拟机提供这些功能。依靠一致的、基于虚拟化的分布式服务将整个IT环境标准化，这就好像是创建一条IT装配流水线，可靠性、可预测性和效率均得到保障。VMwarevCenterServervCenter可以集中管理数百个ESXServer主机以及数千个虚拟机，使IT环境具备了操作自动化、资源优化以及高可用性等优势。vCenter提供了单个Windows管理客户端来管理所有任务，该客户端称为VirtualvSphereClient。通过键盘和鼠标可置备、配置、启动、停止、删除、重新定位和远程访问虚拟机。VirtualvSphereClient也可以与Web浏览器结合使用，以便通过任一联网设备访问虚拟机。浏览器形式的客户端使用户可以像发送书签URL一样轻松地访问虚拟机。VMwarevCenter支持将ESXServer主机及其虚拟机组织到群集和资源池中，这样就大大简化了资源管理工作。群集是虚拟基础架构管理中的一个新概念，它同时具有多个主机服务器的强大功能与管理单个实体的便利性。利用资源池功能和内在高可用性，群集可将多个独立的主机聚集到单个群集中，从而大大简化了服务器的管理工作。现在可以将虚拟机置备到群集中而不是单个ESXServer主机上，这样虚拟机便可使用群集中的所有资源。vCenter可以为虚拟机选择最适合的主机，并可以在情况发生变化时在群集内部移动虚拟机。vFoglightvFoglight是企业级的监控管理软件，提供性能监控，容量规划和计费功能，帮助组织机构减少资源共享的风险，优化资源的利用，以及补偿基础设施成本。使用vFoglight，管理员可以通过详细的描述直观的看到整个基础架构，充分利用崭新的报警和专家建议去检测、诊断和解决影响可用性和性能的问题。vFoglight允许管理员规划、管理和优化基础架构容量，以改善性能和更好的利用资源。对于那些希望收回基础架构使用成本的组织而言，vFoglight支持领先的计费系统从而跟踪基础架构使用中产生的成本。在虚拟化环境中，管理员可以任意的建立、克隆和迁移虚拟机，毫无疑问这为管理员提供了相当大的业务灵活性，但是这种灵活性也引发了新的议题，管理远必须投入更多的精力来了解主机及虚拟机的性能是否因此类迁移受到影响，资源的分配是否适当。vFoglight可以迅速提升虚拟化管理高度，基于vSphere的虚拟化环境，虚拟机又与存储和每台ESX主机相关联，并且虚拟机数量随时间的推移在不断增加，所以需要一个完善的管理监控机制来实时监控ESX主机与虚拟机的运行状态。vFoglight与vCenterServer相结合，提供一套完整的图形化界面来显示VMware虚拟化系统的运行状况。管理者可以清楚的掌握vCenter、Datacenter、Datastore、Resourcepools、Clusters、ESXServer及VM等不同层面的详细的运行情况，并立即识别已经存在和即将发生问题。vFoglight同时提供从各个层面监控CPU、内存、网络流量、存储流量、存储使用率等丰富信息。对于安装有微软操作系统的虚拟机vFoglight则可以实现进程级别的监控。vRangervRanger是虚拟化备份组件，它完全从虚拟化底层的磁盘文件出发，避免了在虚拟机中安装任何代理程序，而且其备份和复制机制为镜像级（Image），完全拷贝了虚拟机操作系统、应用程序和数据，避免应用恢复失败现象，并采用数据压缩技术，使备份、复制、恢复速度远高于其他同类产品。不同于代理，vRanger在操作系统之外运行，而且可以和虚拟化平台的管理中心共同使用，以便进行有效的备份管理。vRanger也是一种在线迁移的感知工具，因此它可以随虚拟机执行日常计划备份，即使在虚拟机已经移动到其他主机情况下。vRanger具备以下优势使其成为虚拟化架构下备份的最佳的备份选择，可以对运行于VMwareESX服务器环境下的虚拟机执行自动备份，并在出现磁盘故障或者用户希望恢复到以前版本的特定VM时可以恢复备份的VM。vRanger将为用户提供更大的灵活性，并可全面提高备份过程的性能。vReplicator通过建立远端服务器群，vReplicator可轻松实现异构的多对一的虚拟化IT容灾架构，在运营端和远端之间启用vReplicator服务，可以实现运营端虚拟机应用实时复制到远端ESX主机存储，达到异地容灾的目的。vReplicator针对虚拟机操作，实时监控虚拟机磁盘文件的数据变化，在完整磁盘数据复制操作完成后，最短每隔5分钟，自动将两地磁盘数据间的差异数据复制到容灾端，当运营端服务器出现异常服务中断，vReplicator自动将容灾端处于待机状态的备份虚拟机进行Failover操作，备份机数据及设置与源虚拟机完全相同，因此启动后即刻可以接管应用，重新开始对最终用户提供服务。vReplicator是一种可靠、高效且成本低廉的虚拟化容灾组件。TrendMicroDeepSecurityTrendMicroDeepSecurity解决方案是一种在虚拟、云计算和传统的数据中心环境之间统一安全性的服务器和应用程序防护软件。它帮助组织预防数据泄露和业务中断，符合包括PCI在内的关键法规和标准，并有助于应当今经济形势之要求降低运营成本。DeepSecurity解决方案使系统能够自我防御，并经过优化，能够帮助您保护机密数据并确保应用程序的可用性。趋势科技的基于服务器的安全防护软件主要在服务器群上实现以下6大模块的安全控制：防病毒实时和计划任务扫描，病毒，木马和蠕虫等恶意威胁IDS/IPS防护未知漏洞，被未知攻击防护已知攻击防护零日攻击，确保未知漏洞不会被利用Web应用防护防护web应用程序的弱点和漏洞防护Web应用程序的历史记录支持PCI规范。应用程序控制侦测通过非标准端口进行通讯相关协议限制和设定哪些应用程序能通过网络被访问侦测和阻断恶意软件通过网络进行访问防火墙一致性检查和监控重要的操作系统和应用程序文件控制（文件，目录，注册表以及键值等等）监控制定的目录灵活并且主动实用的监控审计日志和报表日志检查和审计搜集操作系统和应用程序的日志，便于安全检查和审计可疑行为侦测搜集安全行为相关的管理员设定产品特点数据中心服务器安全架构必须解决不断变化的IT架构问题，包括虚拟化和整合、新服务交付模式以及云计算。对于所有这些数据中心模式，DeepSecurity解决方案可帮助：通过以下方式预防数据泄露和业务中断在服务器自身位置提供一道防线–无论是物理服务器、虚拟服务器还是云服务器针对Web和企业应用程序以及操作系统中的已知和未知漏洞进行防护，并阻止对这些系统的攻击帮助您识别可疑活动及行为，并采取主动或预防性的措施通过以下方式实现合规性满足六大PCI合规性要求（包括Web应用程序安全、文件完整性监控和服务器日志收集）及其他各类合规性要求提供记录了所阻止的攻击和策略合规性状态的详细可审计报告，缩短了支持审计所需的准备时间通过以下方式支持降低运营成本提供漏洞防护，以便能够对安全编码措施排定优先级，并且可以更具成本效益地实施未预定的补丁为组织充分利用虚拟化或云计算并实现这些方法中固有的成本削减提供必要的安全性以单个集中管理的软件代理提供全面的防护–消除了部署多个软件客户端的必要性及相关成本产品模块及功能DeepSecurity解决方案使您能够部署一个或多个防护模块，提供恰好适度的防护以满足不断变化的业务需求。您可以通过部署全面防护创建自我防御的服务器和虚拟机，也可以从完整性监控模块着手发现可疑行为。所有模块功能都通过单个DeepSecurity代理部署到服务器或虚拟机，该DeepSecurity代理由DeepSecurity管理器软件集中管理，并在物理、虚拟和云计算环境之间保持一致。病毒过滤DeepSecurity解决方案能够底层整合ESX以及VShield，提供给虚拟机Agentless的病毒查杀功能，包括，实时和计划任务扫描，病毒，木马蠕虫等等恶意文件。深度数据包检查(DPI)引擎实现入侵检测和防御、Web应用程序防护以及应用程序控制该解决方案的高性能深度数据包检查引擎可检查所有出入通信流（包括SSL通信流）中是否存在协议偏离、发出攻击信号的内容以及违反策略的情况。该引擎可在检测或防御模式下运行，以保护操作系统和企业应用程序的漏洞。它可保护Web应用程序，使其免受应用层攻击，包括SQL注入攻击和跨站点脚本攻击。详细事件提供了十分有价值的信息，包括攻击者、攻击时间及意图利用的漏洞。发生事件时，可通过警报自动通知管理员。DPI用于入侵检测和防御、Web应用程序防护以及应用程序控制。入侵检测和防御(IDS/IPS)在操作系统和企业应用程序安装补丁之前对其漏洞进行防护，以提供及时保护，使其免受已知攻击和零日攻击漏洞规则可保护已知漏洞（如Microsoft披露的漏洞），使其免受无数次的漏洞攻击。DeepSecurity解决方案对超过100种应用程序（包括数据库、Web、电子邮件和FTP服务器）提供开箱即用的漏洞防护。在数小时内即可提供可对新发现的漏洞进行防护的规则，无需重新启动系统即可在数分钟内将这些规则应用到数以千计的服务器上：智能规则通过检测包含恶意代码的异常协议数据，针对攻击未知漏洞的漏洞攻击行为提供零日防护。漏洞攻击规则可停止已知攻击和恶意软件，类似于传统的防病毒软件，都使用签名来识别和阻止已知的单个漏洞攻击。由于趋势科技是Microsoft主动保护计划(MAPP)的现任成员，DeepSecurity解决方案可在每月安全公告发布前提前从Microsoft收到漏洞信息。这种提前通知有助于预测新出现的威胁，并通过安全更新为双方客户快速有效地提供更及时的防护。WEB应用程序安全DeepSecurity解决方案符合有关保护Web应用程序及其处理数据的PCI要求6.6。Web应用程序防护规则可防御SQL注入攻击、跨站点脚本攻击及其他Web应用程序漏洞攻击，在代码修复完成之前对这些漏洞提供防护。该解决方案使用智能规则识别并阻止常见的Web应用程序攻击。根据客户要求进行的一项渗透测试，我们发现，部署DeepSecurity的SaaS数据中心可对其Web应用程序和服务器中发现的99%的高危险性漏洞提供防护。应用程序控制应用程序控制规则可针对访问网络的应用程序提供更进一步的可见性控制能力。这些规则也可用于识别访问网络的恶意软件或减少服务器的漏洞。防火墙减小物理和虚拟服务器的受攻击面DeepSecurity防火墙软件模块具有企业级、双向性和状态型特点。它可用于启用正确的服务器运行所必需的端口和协议上的通信，并阻止其他所有端口和协议，降低对服务器进行未授权访问的风险。其功能如下：虚拟机隔离：使虚拟机能够隔离在云计算或多租户虚拟环境中，无需修改虚拟交换机配置即可提供虚拟分段。细粒度过滤：通过实施有关IP地址、Mac地址、端口及其他内容的防火墙规则过滤通信流。可为每个网络接口配置不同的策略。覆盖所有基于IP的协议：通过支持全数据包捕获简化了故障排除，并且可提供宝贵的分析见解，有助于了解增加的防火墙事件–TCP、UDP、ICMP等。侦察检测：检测端口扫描等活动。还可限制非IP通信流，如ARP通信流。灵活的控制：状态型防火墙较为灵活，可在适当时以一种受控制的方式完全绕过检查。它可解决任何网络上都会遇到的通信流特征不明确的问题，此问题可能出于正常情况，也可能是攻击的一部分。预定义的防火墙配置文件：对常见企业服务器类型（包括Web、LDAP、DHCP、FTP和数据库）进行分组，确保即使在大型复杂的网络中也可快速、轻松、一致地部署防火墙策略。可操作的报告：通过详细的日志记录、警报、仪表板和灵活的报告，DeepSecurity防火墙软件模块可捕获和跟踪配置更改（如策略更改内容及更改者），从而提供详细的审计记录。完整性监控监控未授权的、意外的或可疑的更改DeepSecurity完整性监控软件模块可监控关键的操作系统和应用程序文件（如目录、注册表项和值），以检测可疑行为。其功能如下：按需或预定检测：可预定或按需执行完整性扫描。广泛的文件属性检查：使用开箱即用的完整性规则可对文件和目录针对多方面的更改进行监控，包括：内容、属性（如所有者、权限和大小）以及日期与时间戳。还可监控对Windows注册表键值、访问控制列表以及日志文件进行的添加、修改或删除操作，并提供警报。此功能适用于PCIDSS10.5.5要求。可审计的报告：完整性监控模块可显示DeepSecurity管理器仪表板中的完整性事件、生成警报并提供可审计的报告。该模块还可通过Syslog将事件转发到安全信息和事件管理(SIEM)系统。安全配置文件分组：可为各组或单个服务器配置完整性监控规则，以简化监控规则集的部署和管理。基准设置：可创建基准安全配置文件用于比较更改，以便发出警报并确定相应的操作。灵活实用的监控：完整性监控模块提供了灵活性和控制性，可针对您的独特环境优化监控活动。这包括在扫描参数中包含/排除文件或通配符文件名以及包含/排除子目录的功能。此外，还可根据独特的要求灵活创建自定义规则。日志审计查找日志文件中隐藏的重要安全事件并了解相关信息使用DeepSecurity日志审计软件模块可收集并分析操作系统和应用程序日志，以查找安全事件。日志审计规则优化了对多个日志条目中隐藏的重要安全事件进行识别的能力。这些事件随后会转发到一个SIEM系统或集中式的日志记录服务器，以便进行关联、报告和存档。DeepSecurity代理还会将事件信息转发到DeepSecurity管理器。日志审计模块的部分优势如下：可疑行为检测：该模块可检测服务器上可能发生的可疑行为。收集您的整个环境中的事件：DeepSecurity日志审计模块能够收集许多事件并将其关联起来，这些事件包括：MicrosoftWindows、Linux和Solaris平台间的事件；来自Web服务器、邮件服务器、SSHD、Samba、MicrosoftFTP等的应用程序事件；自定义应用程序日志事件。关联不同事件：收集各种警告、错误和信息事件并将其关联起来，包括系统消息（如磁盘已满、通信错误、服务事件、关机和系统更新）、应用程序事件（如帐户登录/注销/故障/锁定、应用程序错误和通信错误）、管理员操作（如管理员登录/注销/故障/锁定、策略更改和帐户更改）。有关合规性的可审计报告：可生成安全事件的完整审计记录，以帮助满足合规性要求，如PCI10.6。产品原理及架构DeepSecurity解决方案架构包含三个组件：DeepSecurity代理，部署在受保护的服务器或虚拟机上。DeepSecurity管理器，提供集中式策略管理、发布安全更新并通过警报和报告进行监控。安全中心安全中心是DeepSecurity解决方案中不可或缺的一部分。它包含一支由安全专家组成的动态团队，这些专家在发现各种新的漏洞和威胁时便提供及时快速的响应，从而帮助客户对最新威胁做到防患于未然；同时，安全中心还包含一个用于访问安全更新和信息的客户门户。安全中心专家采用一套由复杂的自动化工具所支持的严格的六步快速响应流程：监控：对超过100个公共、私有和政府数据源进行系统化的持续监控，以识别新的相关威胁和漏洞，并将其关联起来。安全中心研究人员利用与不同组织的关系，获取有关漏洞的早期（有时是预发布）信息，从而向客户提供及时、准确的防护。这些来源包括Microsoft、Oracle及其他供应商顾问、SANS、CERT、Bugtraq、VulnWatch、PacketStorm以及Securiteam。确定优先级：然后根据客户风险评估及服务等级协议确定漏洞的优先级，以作进一步分析。分析：对漏洞执行深入分析，确定需要采取的必要防护措施。开发和测试：然后开发出可对漏洞实行防护的软件过滤器以及可推荐过滤器的规则，并进行广泛的测试，以便最大限度地降低误测率，并确保客户能够快速、顺利地部署这些过滤器和规则。交付：将新过滤器作为安全更新交付给客户。当新的安全更新发布时，客户将通过DeepSecurity管理器中的警报立即收到通知。然后就可以将这些过滤器自动或手动应用于相应的服务器。通信：通过可提供有关新发现安全漏洞的详细描述的安全顾问，可实现与客户之间的持续通信。附录资料：不需要的可以自行删除Excel小知识■用多窗口修改编辑Excel文档如果要比较，修改Excel中不同单元格间的数据，而单元格又相距较远的话，来回拖动鼠标很是麻烦。我们可以用多窗口来进行比较，依次单击“窗口→拆分”，Excel便自动拆分成四个窗口，每个窗口都是一个独立的编辑区域，我们在浏览一个窗口的时候，不影响另外一个窗口。在word中对长文档的修改比较繁琐，也可以用这种方法将窗口进行拆分。要取消多窗口，双击分隔线或依次单击“窗口→取消拆分”即可。■Excel录入时自动切换输入法在Excel单元格中，经常遇到中英文交替输入的情况，如A列输入中文而B列却输入英文，这时就要在中英文输入法之间反复切换，这样非常麻烦而且严重影响录入效率。其实可以先打开中文输入法，选中需要输入中文的列，执行菜单“数据→有效性”，在“数据有效性”中切换到“输入法模式”标签分页，在“模式”下拉列表中选择“打开”，确定退出。接着选择需要输入英文的列，同样打开“输入法模式”标签分页，在“模式”下拉列表中选择“关闭（英文模式）”，确定后退出即可。■Excel中粘贴时避免覆盖原有内容在工作表中进行复制或移动操作时，粘贴的内容将自动覆盖工作表中的原有内容，怎样避免这一现象呢？首先选中要复制或移动的单元格，单击复制或剪切按钮，选中要粘贴的起始单元格，按下“Ctrl+shift++”组合键，在弹出的“插入粘贴”对话框中选择活动单元格移动的方向，单击“确定”按钮就可以了。■Excel中快速排查公式错误在Excel中，经常会遇到某个单元格中包含多层嵌套的复杂函数的公式，如果公式一旦出错就很难追踪错误。其实在Excel2003中利用“公式求值”功能就可以进行公式的错误排查。依次单击“工具→自定义”打开“自定义”对话框并切换到“命令”选项卡，在左边“类别”列表中选择“工具”，在右边找到“公式求值”并将它拖放到工具栏，这样工具栏上就出现一个“公式求值”按钮。以后选中公式所有的单元格，单击“公式求值”按钮就可以按照公式的执行顺序逐步观察公式的运算结果，从而定位并找到错误之源，原理类似程序调试中的“单步执行”。■Excel中妙用“条件格式”让行列更清晰在用Excel处理一些含有大量数据的表格时，经常会出现错行错列的情况，其实可以将行或列间隔设置成不同格式，这样看起来就清晰明了得多。利用“条件格式”可以轻松地达到目的。先选中数据区中所有单元格，然后选择菜单命令“格式→条件格式”，在打开的对话框中，在最左侧下拉列表中单击“公式”，然后在其右侧的输入栏中输入公式“＝MOD(ROW(),2)”，然后单击下方的“格式”按钮，在弹出的“单元格格式”对话框中单击“图案”选项卡，指定单元格的填充颜色，并选择“边框”选项卡，为单元格加上外边框，然后一路单击“确定”按键即可。如果希望第一行不添加任何颜色，只须将公式改为“＝MOD(ROW()+1，2）”即可。如果需要间隔两行添加填充颜色只须将公式改为“＝MOD(ROW(),3)=0”就可以了。如果要间隔四行，那就将“3”改为“4”，以此类推。如果我们希望让列间隔添加颜色，那么只须将上述公式中的“ROW”改为“COLUMN”就可以达到目的。■“照相机”的妙用如果要让sheet2中的部分内容自动出现在sheet1中，用excel的照相机功能也是一种方法。操作方法如下：首先点击“工具”菜单，选择“自定义”命令，在弹出的对话框的“命令”选择卡下的“类别”中选择“工具”，在右边的“命令”列表中找到“照相机”，并且将它拖到工具栏的任意位置。接着拖动鼠标选择sheet2中需要在sheet1中显示的内容，再单击工具栏上新增加的“照相机”按钮，于是这个选定的区域就被拍了下来。最后打开sheet1工作表，在要显示“照片”的位置上单击鼠标左键，被“拍摄”的“照片”就立即粘贴过来了。■EXCEL中快速插入系统时间与日期在用Excel进行报表处理时，经常需要在表格的前端或者末尾输入当天的时间与日期。若用数字输入的话显得比较繁琐。其实可以这样来快速输入：首先选中需要时间的单元格，同时按下“ctrl+shift+；”组合键即可；若要输入系统日期则按下“ctrl+；”组合键即可。■彻底隐藏Excel工作表在Excel中可以通过执行“格式－工作表－隐藏”将当前活动的工作表隐藏起来，在未执行进一步的工作簿设置的情况下，可以通过执行“格式－工作表－取消隐藏”来打开它。其实还可以通过设置工作表的隐藏属性来彻底隐藏。按下“ALT＋F11”组合键进入VBA编辑窗口，在左侧选中需要隐藏的工作表，按下F4键打开“属性”对话框，切换到“按分类序”标签分页，将“杂项”下的“Visable”的值选择改为“2－xlSheetVeryHidden”或“0－xlSheetVeryHidden”退出后返回Excel即可。这样将选定的工作表隐藏起来，且“取消隐藏”也不起作用，这样就能彻底隐藏工作表了。将Visable值改还原即可取消隐藏。■轻松挑出重复数据笔者在工作过程中遇到这样的问题：要在Excel中把A列和B列中重复的数据和重复的次数找出来（A和B两列数据之间存在逻辑关系，有重复现象出现）。笔者的做法是：选中C2单元格，输入公式“=IF(COUNTIF(B:B,A2)>=1,A2,"")”，然后用“填充柄”将C2单元格中的公式复制到C列的其它单元格中。假设重复出现次数的统计结果保存在D列中，在D2单元格中输入公式“=COUNTIF(B:B,A2)”，然后将公式填充到D列的其他单元格中即可。重复出现的数据和重复的次数自动列了出来。■用IF函数搞定“＃DIV/0！”在Excel中用公式计算时，经常会出现错误值“#DIV/0！”，它表示公式中的分母引用了空白