返回
qm北控数据中心建设方案-v1审核

qm北控数据中心建设方案-v1审核

ID:35273843

大小:254.50 KB

页数:10页

时间:2019-03-22

qm北控数据中心建设方案-v1审核_第1页
qm北控数据中心建设方案-v1审核_第2页
qm北控数据中心建设方案-v1审核_第3页
qm北控数据中心建设方案-v1审核_第4页
qm北控数据中心建设方案-v1审核_第5页
资源描述:

《qm北控数据中心建设方案-v1审核》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、数据中心建设方案启迷科技北京控股集团有限公司数据中心建设项目项目方案需求提出:北京控股集团有限公司方案制作:制作时间:2014年7月16日V1.010数据中心建设方案启迷科技目录第一部分服务器、存储及网络设备的综合部署与搭建3第二部分服务器、存储、网络设备采购清单810数据中心建设方案启迷科技第一部分服务器、存储及网络设备的综合部署与搭建一、机房拓扑结构本数据中心需要满足内、外网的大量用户与数据交互,涉及到互联网、财务系统、办公网络、数据存储和网络通讯的综合业务处理,根据需求,拓扑结构设计如下图:其中核心交换机互相热备、可切换。财务服务器做集群。存储做阵列、

2、并可互相热备可切换。WEB与企业邮局服务器做文件数据分离,数据库做主从设计,可实现热备切换,并通过客户端进行远程管理与维护,在机房内设置移动式维护设备进行本地管理维护。楼层间网络交换与下属公司、外联网络做网段划分,与整体网络共同做好网络安全规划。同时考虑到设备的采购成本、维护成本及使用成本和质量与稳定性,我们提供了两套可选设备的选购方案,主要区别为优秀的国有自主品牌以及市场选用较多的国际化品牌,详见“第九部分服务器、存储、网络设备采购方案”二、网络安全规划1、网络安全部署思路本次信息建设虽然仅包括数据中心、内网楼层以及广域网中心部分的改造和建设,但也必须从全

3、局和架构的高度进行统一的设计。建议采用目前国际最新的“10数据中心建设方案启迷科技信息保障技术框架(IATF)”安全体系结构,其明确提出需要考虑3个主要的因素:人、操作和技术。本技术方案着重讨论技术因素,人和操作则需要在非技术领域(比如安全规章制度)方面进行解决。技术因素方面IATF提出了一个通用的框架,将信息系统的信息保障技术层面分为了四个技术框架域:Ø网络和基础设施:网络和基础设施的防护Ø飞地边界:解决边界保护问题Ø局域计算环境:主机的计算环境的保护Ø支撑性基础设施:安全的信息环境所需要的支撑平台并提出纵深防御的IA原则,即人、技术、操作相结合的多样性、

4、多层叠的保护原则。如下图所示:主要的一些安全技术和应用在框架中的位置如下图所示:10数据中心建设方案启迷科技我们在本次网络建设改造中需要考虑的安全问题就是上图中的“网络和基础设施保护”、“边界保护”两个方面,而“计算机环境(主机)”、“支撑平台”则是在系统主机建设和业务应用建设中需要重点考虑的安全问题。2、设备级安全A、防蠕虫病毒的等DOS攻击数据中心虽然没有直接连接Internet,但内部专网中很多计算机并无法保证在整个使用周期内不会接触互联网和各种移动存储介质,仍然会较多的面临大量网络蠕虫病毒的威胁,比如RedCode,SQLSlammer等等,由于它们

5、经常变换特征,防火墙也不能完全对其进行过滤,它们一般发作的机理如下:Ø利用MicrodsoftOS或应用的缓冲区溢出的漏洞获得此主机的控制权Ø获得此主机的控制权后,安装病毒软件,病毒软件随机生成大量的IP地址,并向这些IP地址发送大量的IP包。Ø有此安全漏洞的MSOS会受到感染,也随机生成大量IP地址,并向这些IP地址发送大量的IP包。Ø导致阻塞网络带宽,CPU利用率升高等Ø直接对网络设备发出错包,让网络设备CPU占用率升高直至引发协议错误甚至宕机B、防VLAN的脆弱性配置10数据中心建设方案启迷科技在数据中心的不同安全域进行防火墙访问控制隔离时,存在多个V

6、LAN,虽然广泛采用端口捆绑、vPC等技术使正常工作中拓扑简化甚至完全避免环路,但由于网络VLAN多且关系复杂,无法在工程上完全杜绝诸如网络故障切换、误操作造成的临时环路,因此有必要运行生成树协议作为二层网络中增加稳定性的措施。但是,当前有许多软件都具有STP功能,恶意用户在它的PC上安装STP软件与一个Switch相连,引起STP重新计算,它有可能成为STPRoot,因此所有流量都会流向恶意软件主机,恶意用户可做包分析。局域网交换机应具有Rootguard(根桥监控)功能,可以有效防止其它Switch成为STPRoot。本项目我们在所有允许二层生成树协议的

7、设备上,特别是接入层中都将启动RootGuard特性,另外Nexus5000/2000还支持BPDUfilters,BridgeAssurance等生成树特性以保证生成树的安全和稳定。还有一些恶意用户编制特定的STP软件向各个Vlan加入,会引起大量的STP的重新计算,引起网络抖动,CPU占用升高。本期所有接入层交换机的所有端口都将设置BPDUGuard功能,一旦从某端口接收到恶意用户发来的STPBPDU,则禁止此端口。大量使用了三层交换机,在发送数据前其工作方式同路由器一样先查找ARP,找到目的端的MAC地址,再把信息发往目的。很多病毒可以向三层交换机发一

8、个冒充的ARP,将目的端的IP地址和恶意用户主机的M

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。