大厦网络运营方案.docx
- 文档编号:24138423
- 上传时间:2023-05-24
- 格式:DOCX
- 页数:20
- 大小:1.29MB
大厦网络运营方案.docx
《大厦网络运营方案.docx》由会员分享,可在线阅读,更多相关《大厦网络运营方案.docx(20页珍藏版)》请在冰豆网上搜索。
大厦网络运营方案
目录
1泰安云中心安全需求分析3
1.1大并发访问量特点3
1.2多业务并存的特点3
1.3面向网络的安全威胁4
1.4面向应用的攻击行为4
1.5需求总结4
2泰安云中心网络安全设计7
2.1互联网M8860网关部署方案8
2.2云中心M7360网关部署方案12
2.3山石网科HSM集中管理平台部署方案14
2.4360天眼新一代威胁感知系统(TSS)、360防病毒软件部署署方案15
3产品报价16
4部分产品简介18
4.1山石SG6000-M886018
4.2山石SG6000-M736020
4.3360天眼系统22
1泰安云中心安全需求分析
1.1大并发访问量特点
由于泰安云中心实现了业务和数据的大集中,因此对于用户而言,其所有的业务都要通过远程访问数据中的资源,这就使得数据中心往往面对众多的远程访问请求。
并且由于业务的需要,这些远程请求的并发量、吞吐量很高,比如泰安目前数据中心的访问量可能要并发1万人以上,按照经验值,一个IP用户预留1000个并发,4M吞吐量,设备出口需要承担1000万以上并发,40G以上的吞吐量。
在访问高峰期,各个分支节点及远程移动办公人员的业务互动都要通过调用数据中心的资源来完成,高并发请求一方面使得数据中心的出口流量高,另一方面也需要数据中心对的业务处理能力高,同时在业务活动过程中的关键数据都存储在数据中心,也使得数据中心往往需要较大容量的存储系统。
大并发访问量的特点,也使得在进行网络边界安全设计中,对设备的选型有较高的要求,要求设备具有良好的并发维护能力,有较高的吞吐量,能够在提供防护的同时不影响数据中心正常的业务处理效率。
1.2多业务并存的特点
数据中心是基于业务大集中模式建设的,因此数据中心先天具有多业务并存的特点,由于不同业务的重要性不同,因此在资源分配上应当有级差性,即不同业务需要分配不同的资源来保障。
这种资源即包括服务器资源,也包含了出口链路带宽资源。
对此要求有很好的资源控制手段,对于网络边界,常见的手段就是带宽控制,根据业务级别进行出口链路带宽的二次分配。
1.3面向网络的安全威胁
由于云中心的开放性,使得云中心往往面临着黑客的攻击,这种攻击轻者引起访问业务中断,严重的将造成重要信息的泄露,并且由于云中心集中了用户最重要的信息资产,一旦发生安全事件将对用户的正常业务造成极大的损失,因此必要采取必要的安全防护手段进行保护。
最典型就是拒绝服务攻击(DoS)和分布式拒绝服务攻击(DDoS),常见的DDOS攻击方法有SYNFlood、EstablishedConnectionFlood和ConnectionPerSecondFlood。
攻击者通过恶意抢占网络资源,使云中心无法正常运行,导致其他访问用户无法正常访问云中心,无法开展正常的业务活动。
1.4面向应用的攻击行为
该类攻击具有更大的破坏性和隐蔽性,攻击的手段也很多样化,典型的有端口扫描、字典破解、缓冲区溢出、中间人攻击等,此类攻击行为的典型过程是:
先通过扫描收集系统存在的漏洞,包括网络设备的配置漏洞、或者是操作系统的软件漏洞、应用软件的设计缺陷等,然后攻击者根据收集到的漏洞,采取相应的手段进行攻击,最终非法侵入云中心网络。
由于这种攻击行为的针对性很强,所以其后果都比较严重,而云中心的开放性也为此类攻击行为提供了先决条件,对此需要在网络边界,对访问数据包进行深度检测,从而发掘闭关杜绝此类攻击行为。
1.5需求总结
泰安云中心互联网出口及云中心内部防护需求:
一、防火墙功能
在本次解决方案中,防火墙功能是整个网络的基础安全建设,是必须要考虑的。
二、流量控制建设
本次流量控制建设可以为业务流量提供足够的保证,能够保证服务的可用性,能够有效管理带宽资源和区分网络应用的优先级。
在本方案中,流量控制功能是必须考虑。
三、防病毒网关建设
因对于现在网络病毒泛滥,防毒墙必须部署的,可以有效减少内网用户感染病毒的机率,它可以针对主要的网络协议进行病毒查杀,在本方案中建议使用防毒墙功能和360企业版防病毒软件形成互补的解决方案。
四、IPS功能建设
准确监测网络异常流量,自动对各类攻击性的流量,尤其是对泰安云中心应用层的威胁进行实时阻断,而不是在监测到恶意流量的同时或之后才发出告警。
这类产品弥补了acl访问控制等产品的不足,提供动态的、深度的、主动的安全防御,为泰安云中心提供了一个全新的安全解决方案。
必须以全面深入的协议分析技术为基础,协议识别、协议异常检测、关联分析为核心的新一代入侵保护引擎,能够基于深度应用识别,积极防范复杂应用攻击;基于多核PlusG2构架满足深度应用分析、入侵防御功能的高CPU和高内存资源需求,基于深度应用原理、攻击原理的入侵防御解决方案。
五、负载均衡建设
不同链路的成本不同,将低价值应用的流量从低成本的链路转发,高价值的应用从高成本的链路转发,才能做到链路资源使用的最优化。
内网和外网之间存在多条链路时,通过负载均衡功能安全网关的出站动态探测功能,内网访问的流量可以在多条链路上实现智能分担。
六、安全审计建设
按照公安部82号令要求,系统提供不少于60天上网行为日志留存,对网络行为日志进行查询统计与审计分析,从而为工作人员的决策和管理提供重要的数据依据。
对全网络内所有人员的计算机实名登记,针对上网行为如网络游戏、在线聊天、在线炒股、P2P下载、网页访问、邮件外发及论坛博客微薄发帖等各种网络行为进行全面控制管理,并记录其行为,以备后查。
需要针对不同用户、不同网络行为、不同时间进行灵活的管理策略设置和日志记录。
2泰安云中心网络安全设计
根据云中心对边界安全防护的建设需求,不难看出,通过安全网关实现边界隔离与防护是一种非常有效的手段,同时针对云中心的特点,在选择并实施安全防护技术时,应进行有针对性的选择,确保实施后的系统能够真正发挥作用,对抗攻击行为,保障云中心安全可靠地运行。
在泰安云数据中心核心位置处部署两台山石网科SG6000-M7360安全网关(配置流量控制模块、IPS模块、防病毒模块、负载均衡模块、虚拟防火墙模块),在互联网出口部署两台山石网科SG6000-M8860(配置流量控制模块、IPS模块、防病毒模块、负载均衡模块、),在核心交换机镜像端口处部署安全审计系统,核心交换机处部署360天眼新一代威胁感知系统,在每个服务器上部署360网络版防病毒软件,整体部署拓扑图如下:
2.1互联网M8860网关部署方案
互网部署拓扑图如下:
●部署两台双机SG-6000-M8860为互联网提供保障,部署方式为路由部署:
两台M8860两台设备组成两个“HA组”,一台在HA组0中充当主设备,在HA组1中充当备份设备;另一台在HA组0中充当备份设备,在HA组1中充当主设备。
两台设备同时运行各自的工作,且相互监测对方的情况。
当其中一台设备发生设备或链路故障时,另外一台设备运行其自身的工作并且接管故障设备的工作,以保证工作不间断。
这种双主模式具有高性能以及负载均衡的优点。
●部署两台双机SG-6000-M8860为广域网提供保障,部署方式为路由部署,防火墙功能其功能如下:
通过山石SG划分了不同的安全域:
服务器放到防火墙的DMZ区,服务器使用私有IP,隐藏DMZ区网络结构通过在防火墙上设置静态或端口NAT使DMZ服务器能够向外提供服务。
内部连接映射到外部网络中的一个单独的IP地址上,同时在该地址上加上一个由NAT设备选定的TCP端口号。
泰安云数据中心公司内网中使用Nat\Pat时,所有不同的信息流看起来好像来源于泰安云数据中心同一个IP地址。
由于内部主机使用私有IP,并通过动态NAT出外网访问,对外部来说,内部的结构是完全不透明的,黑客无法对防火墙内部发起攻击。
●可通过负载均衡探测功能将流量合理分配到各条链路,从而极大提升链路利用效率和内网用户的网络访问体验;国内ISP数量众多且互相访问时速度差异很大,本次泰安云数据中心企业为提高访问效率,租用联通、电信、移动三条ISP链路。
然而,当远程办公人员通过多条链路访问企业内网资源时,由于访问地点的差异性,尽管有多条链路提供服务,依然存在流量负载分担不均、链路资源利用率低下的问题。
将Hillstone安全网关部署在企业网络出口,可通过入站负载均衡技术将流量合理分配到各条链路,从而极大提升链路利用效率和外网用户访问企业内网Web应用服务的体验。
Hillstone还可以使用应用引流或智能动态探测(或二者同时使用)的方案来实现多链路负载均衡与优化。
应用引流是首先识别出应用流量,然后通过策略路由的方式引导到相应的链路上,使不同的应用流量走不同的链路,从而达到链路流量负载优化的目的。
智能动态探测是对用户流量到某目的地址的各路径进行探测,对响应相对快速的接口生成静态路由,后续报文直接路由而达到链路流量负载均衡的效果。
●山石网科M8860安全网关,作用在互联网出口链路上,通过访问控制策略,针对访问数据包,根据数据包的应用访问类型,进行控制。
传统防火墙的基于地址/端口的访问控制方法已变得不可信赖。
Hillstone支持基于应用的访问控制,使访问控制粒度更精细,并且进一步加强了安全防护力度。
例如,对于防火墙部署在互联网出口的场景,可限制“仅允许用户侧到网络侧的HTTP浏览、HTTP下载、邮件”,既满足网内用户的工作需要,又能保正极大的安全性。
准确识别应用协议以及对应用协议进行分类是精细应用访问控制的基础。
虽然网络应用很多,但是通过对网络应用报文特征的分析,Hillstone能够将网络应用进行分类,例如BT、迅雷属于P2P软件类,QQ、MSN属于即时通讯类、土豆、优酷属于Web视频类等等。
经过对网络应用合理的分类,用户可以根据网络环境的需要对不关注的分类进行粗粒度控制,对于关注的分类进行细粒度的控制。
●Hillstone山石网科提供专有的智能应用识别(IntelligentApplicationIdentification)功能,简称为IAI。
IAI能够对千余种网络应用进行分类,用户可以为关键的ERP和OA流量设置高优先级保证它们的带宽使用;可基于用户进行流量控制:
Hillstone山石网科设备可以为每个用户控制应用流量并对该用户的应用流量区分优先级。
例如,对于同一个角色产生的不同流量,用户可以基于应用分类结果指定流量的优先级。
●Hillstone山石网科安全网关支持的病毒过滤技术,针对数据中心,可有效防范大规模蠕虫病毒的传播。
这里,针对数据中心高并发量的特点。
采用“空中抓毒“技术,工作在网络的关键节点,对经过网关的数据包进行过滤,在判断为是病毒的时候进行阻断,防止病毒利用网络进行传播。
在配置病毒过滤策略时,需要考虑过滤技术对性能的影响,为此方案建议应执行如下的策略:
Hillstone山石网科病毒过滤功能与访问控制技术完全整合。
管理员能够完全控制以下各方面:
哪些域的流量需要进行病毒过滤扫描,哪些用户或者用户组进行扫描,以及哪些服务器和应用被保护。
通过该策略,可以大大提升病毒过滤的精度和针对性,更有效保障数据中心的服务器资源。
●Hillstone山石网科入侵防御功能与策略引擎完全集成。
可以主动防御已知和未知攻击,实时阻断各种黑客攻击,如缓冲区溢出、SQL注入、暴力猜测、拒绝服务、扫描探测、非授权访问、蠕虫病毒、木马后门、间谍软件等,而且针对僵尸网络提供主动防御,广泛精细的应用防护帮助用户避免安全损失;管理员能够完全控制以下各方面:
哪些域的流量需要进行入侵防御,以及哪些服务器和应用被保护,并且可以根据服务器的具体应用定制入侵防御规则集。
2.2云中心M7360网关部署方案
烟台云中心的网络结构建议采用扁平结构,扁平化化结构最大好处是提升性能。
任意两台虚拟服务器之间可作无阻塞的快速交换。
云中心M7360部署拓扑图如下:
●通过在核心机上划分VLAN,将不同业务配置到不同的VLAN中;将山石网科安全网关的接口配置到核心交换机的TRUNK口上,使得安全网关可以和所有的VLAN进行通信;并使得安全网关也能够控制和检测不同VLAN间的访问。
●Hillstone基于Openstack平台的Neutron虚拟网络技术,整合Hillstone防火墙产品,提出了FWaaS安全解决方案,帮助Openstack平台用户构建FWaaS服务。
解决方案组件安装在Openstack控制节点中,代替了Neutron网络中的虚拟路由器功能,当租户在Openstack的界面上操作创建虚拟路由器时,Openstack控制台会自动连接Hillstone物理防火墙为用户创建虚拟防火墙以及做相应的配置。
每个租户可以拥有一个或多个VLAN,不同的租户通过不同的虚拟防火墙隔离开来,租户的虚拟防火墙可以共享物理防火墙的外网接口,然后通过主机路由的方式进入租户的虚拟防火墙,租户可以对自己的虚拟防火墙进行业务管理。
●Hillstone云数据中心FWaaS解决方案,通过Openstack平台的FWaaS服务接口,为每个租户提供独立的虚拟防火墙,实现了租户间的安全隔离和保护。
所有虚拟防火墙可以由Openstack平台统一配置和管理,与传统数据中心每台安全设备的单独维护相比,管理上更加简便。
图形化呈现云数据中心的网络拓扑,管理员轻松掌握全网安全设备的运行状态。
●云数据中心每个租户的业务类型不同,安全防护的需求也不同。
HillstoneVsys虚拟防火墙技术,将一台物理防火墙在逻辑上划分成多个虚拟防火墙,对于租户的业务系统,每个虚拟防火墙拥有的系统资源、管理员、安全域和安全策略都是独立的,能够实现不同业务的专属防护策略配置。
创建虚拟防火墙时还可以根据租户实际的业务流量设置不同的吞吐量。
●HillstoneFWaaS解决方案基于硬件防火墙设备,具备了更高的可靠性和稳定性。
通过虚拟化技术可以隔离虚拟防火墙之间的故障,当单个虚拟防火墙受到攻击或资源耗尽时,其它虚拟防火墙不会受到影响,保证了租户业务系统的可用性和连续性。
硬件安全设备的单独部署,不占用虚拟环境的计算资源,保证了每个虚拟防火墙都有高性能表现。
对比传统的安全方案,实际部署安全硬件的数量大幅减少,降低了云数据中心的建设成本。
●虚拟防火墙控制策略:
虚拟防火墙就是将一台防火墙在逻辑上划分成多台虚拟的防火墙,每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备,可拥有独立的系统资源、管理员、安全策略、用户认证数据库等,从而达到降低投资和维护成本,减少网络管理复杂度的目地。
在本次建设过程中,针对计算云中心的实际情况,建议利用虚拟防火墙技术实现了防火墙的三级防护,分别为边界防护、虚拟防火墙之间的防护以及虚拟防火墙内的防护。
●Ips\防病毒\流量控制功能和互联网出口设备功能一致,不再赘述。
2.3山石网科HSM集中管理平台部署方案
Hillstone山石网科安全管理系统部署在防火墙IP可达的任一位置即可,对数据中心内部署的安全网关进行集中配置和管理,实现:
●设备基本信息集中监管:
对部署的Hillstone山石网科安全网关设备进行集中监管,包括设备基本信息以及设备实时统计信息,包括实时资源使用状态、会话数、总流量、VPN隧道数、攻击数以及病毒数。
系统通过曲线图显示以上实时信息,使用户能够直观的了解当前设备的各种状态。
●设备访问日志浏览:
通过Hillstone山石网科安全网关集中管理系统,接收部署在各个关键节点的安全网关设备发送的多种日志信息,经过系统处理后,提供给商业银行总行系统管理员对全网关键节点的访问状态进行有效分析,为快速响应安全事件提供依据。
具体包括:
各关键节点安全网关的系统日志;各关键节点安全网关的配置日志;各关键节点安全网关转发的访问会话日志;各关键节点安全网关记录的安全事件信息
●设备转发流量监控:
流量是安全事件分析的重要参考,这里通过Hillstone山石网科安全网关集中管理系统,接收部署在商业银行办公网关键节点上安全网关转发的流量信息,提供给商业银行总行系统管理员进行分析,并对突发流量和流量分配状态进行有效把握,包括:
安全网关指定接口转发流量信息(提供TOPN排名);安全网关对指定应用访问信息(提供TOPN排名);安全网关对指定地址转发流量信息(提供TOPN排名)柱状图可分别按照上行流量、下行流量或者总流量进行排序;饼状图可分别根据上行流量、下行流量或者总流量显示不同的百分比。
●安全策略下发:
安全网关集中管理系统通过全局安全策略的统一下发功能,对部署在各个节点的安全网关进行集中部署,提升响应的效率,并保证策略的一致性。
比如在大规模蠕虫病毒爆发期间,总行系统管理员可指定一条防范蠕虫传播的策略(比如限制高端口应用),这条策略将快速地通过管理中心分发到每个节点上,提升了安全防护的一致性,也提升了安全配置的效率。
2.4360天眼新一代威胁感知系统(TSS)、360防病毒软件部署署方案
◆360天眼新一代威胁感知系统(ESS)采用旁路部署的方式,接入到所监控网络的交换机镜像端口处,由于采用旁路接入的方式,360天眼的部署不会改变现有网络结构,也不会对现有网络的运行产生任何影响;360天眼充分利用自身多引擎、高精尖的深度检测能力,并将此能力与360天擎ESS协同联动,共同打造数据中心“深度检测、精确防御”的新一代、多层次主动防御体系。
3产品报价
名称
参数
数量
用途
价格(单台)
数据中心防火墙山石M7380
22G吞吐,4个千兆电口,4个千兆SFP,流量控制、NAT、AV、IPS功能
2(强烈建议双机)
数据中心
17*2
广域网防火墙山石M8860
40G吞吐,4个千兆电口,4个千兆SFP,流量控制、NAT、AV、IPS功能
2(AA双机)
互联网
29万*2
360防病毒软件
网络版防病毒软件,300个许可
1
防病毒软件
21,000(杀软价格)+34,800(此价格是NPC-1000,是可选的硬件平台)
360新一代威胁感知系统(硬件)
采取旁路部署,全流量监控、整合静态检测、动态分析等多项独创专利技术
1
未知威胁感知系统。
276,000
网络审计:
安恒明御网络审计
6个以上网络接口,500M以上处理能力,独立硬件设备
1
网络审计,事件记录
63,000
4部分产品简介
4.1山石SG6000-M8860
4.2山石SG6000-M7360
4.3360天眼系统
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 大厦 网络 运营 方案