科技云信息化建设.docx
- 文档编号:24177510
- 上传时间:2023-05-25
- 格式:DOCX
- 页数:39
- 大小:1.22MB
科技云信息化建设.docx
《科技云信息化建设.docx》由会员分享,可在线阅读,更多相关《科技云信息化建设.docx(39页珍藏版)》请在冰豆网上搜索。
科技云信息化建设
科
技
云
网
络
可
行
方
案
目录
目录I
1.网络架构2
1.1.拓扑图2
2.方案说明2
2.1.网络防火墙2
2.2.三层交换机3
2.3.web安全防护3
2.4.存储4
3.产品选型4
3.1.3层交换机:
华为S5720S-28P-SI-AC4
3.2.启明星辰防火墙:
5
3.3.启明星辰web防护:
8
3.4.浪潮NF5270M410
3.5.华为OceanStorS2200T12
5.技术设计14
1.网络架构
1.1.拓扑图
2.方案说明
2.1.网络防火墙
在出口部署网络防火墙与公网对接,有3个作用;
1.代替路由器,提供接入功能,路由功能,NAT转换功能
2.隔离内外网,实现安全边界
3.抵挡网络攻击,提供安全防护
2.2.三层交换机
任意端到端的通信会穿越整个网络,所以任意一个节点的变化都会影响全局,部署一台3层交换机目的是实现网络逻辑隔离控制,分区设计。
采用VLAN划分技术隔离2层广播域/冲突域,根据业务需求把服务器区,办公区、网管区等分成不同区域,每个区域采用不同的IP子网通信,这样区域内产生的变化不会影响到其他区域,如PC之间互访的流量不会传到服务器,访问服务器的流量不会传到办公区中,上外网流量不会传到内网等,有效阻挡了广播流量泛洪,病毒传播,攻击扫描等事件。
区域之间的通信采用3层交换机的VLAN路由技术实现跨网段互访。
2.3.web安全防护
用于防御以Web应用程序漏洞为目标的攻击,并针对Web服务器进行HTTP/HTTPS流量分析,及针对Web应用访问各方面进行优化,以提高Web或网络协议应用的可用性、性能和安全性,确保Web业务应用安全、快速、可靠地交付。
2.4.存储
项目初期数据量规模不大,可采用2-4台服务器实现业务数据冗余备份
若后期数据量暴涨,可考虑部署存储设备,主要起3个作用;
1.提供数据备份,防止服务器宕机数据丢失
2.扩容存储空间,弥补传统服务器槽位限制带来的容量瓶颈
3.应用系统与数据分离设计,起到了分布式的效果
3.产品选型
3.1.3层交换机:
华为S5720S-28P-SI-AC
S5720-SI下一代标准型千兆以太网交换机系列(以下简称S5720-SI),是华为公司全新研发的三层千兆以太网交换机,提供灵活的全千兆接入以及高性价比的固定千兆和万兆上行端口,并采用先进的前后风道及电源冗余设计。
该系列交换机基于新一代高性能硬件和华为公司统一的VRP(VersatileRoutingPlatform)软件平台,具有增强的三层特性,简易的运行维护,灵活的以太组网,可扩展支持MACSec,成熟的IPv6特性等特点,广泛应用于企业园区接入和汇聚、数据中心接入等多种应用场景。
参数:
24*10/100/1000base-T以太网端口、交流供电、交换容量336Gbps、包转发率96Mpps,4个千兆SFP口
3.2.启明星辰防火墙:
天清汉马新一代USG防火墙是集防火墙、VPN、上网行为管理AC、内容过滤、防病毒、入侵防护等多种安全技术于一身,高性能、绿色低碳,同时全面支持各种路由协议、QoS、高可用性(HA)、日志审计等功能,为网络边界提供了全面实时的安全防护,帮助用户抵御日益复杂的安全威胁。
接口规格
万兆接口
NA
千兆SFP接口
最大8SFP
千兆GE电接口
标配4GE,最大12GE
百兆FE电接口
NA
扩展插槽
1扩展槽
可扩展网口模块
USG-FW-2000DP-4GE,4GE扩展卡USG-FW-2000DP-8GE,8GE扩展卡USG-FW-2000DP-4SFP,4SFP扩展卡USG-FW-2000DP-8SFP,8SFP扩展卡USG-FW-2000DP-2GE6SFP,2GE6SFP扩展卡USG-FW-2000DP-4GE4SFP,4GE4SFP扩展卡
可选附加模块
USG-FW-2000DP-LCD,液晶屏
性能规格
防火墙吞吐量(bps)
5G
IPS吞吐量(bps)
4G
防病毒吞吐量(bps)
2.5G
VPN加密吞吐
400M
VPN隧道数
5000条
最大并发连接数
220万
每秒新建连接数
4万
其他硬件规格
USB接口数
2个
串口类型
1个RJ45
尺寸(宽*长*高)
450mm*435mm*88mm
重量(Kg)
8Kg
机架安装
2U
电源规格
100-240V47-63Hz4.5-2A
电源功率
300W
完善的防火墙特性
✧支持基于源IP、目的IP、源端口、目的端口、时间、服务、用户、文件、网址、关键字、邮件地址、脚本、MAC地址等方式进行访问控制
✧支持流量管理、连接数控制、IP+MAC绑定、用户认证等
✧支持虚拟防火墙:
可以将接口划分给不同的虚拟防火墙,每个虚拟防火墙具有独立的管理员、安全域、资源对象、安全策略、NAT规则、静态路由等配置
✧同终端无缝结合:
支持同天珣内网安全管理系统联动,将防火墙防御能力推进到桌面终端
高网络适用性
✧支持透明、路由和NAT模式部署
✧支持静态路由、策略路由、RIP/OSPF/BGP动态路由,支持等价路由ECMP和加权路由WCMP,支持组播路由
✧支持STP,可以同二层网络设备进行生成树计算
✧支持IGMPSnooping,优化在桥模式下的组播流量
✧支持私有HA和VRRP
✧支持IPv6:
支持IPv4、IPv6双栈运行、静态IPv6路由、手工隧道、6to4隧道和ISATAP隧道。
✧支持链路聚合,可通过手动方式、IEEE802.3ad静态LACP方式创建聚合链路;通过链路聚合可以增加链路带宽,并起到负载均衡和链路备份的作用
高稳定性和可靠性
✧采用多核MIPS架构,产品具有高性能,同时多核之间互为备份,可靠性高
✧支持私有协议HA和VRRP,实现双机热备和冗余
✧支持双操作系统和多配置文件,最大支持10个配置文件备份
全面的VPN支持
✧多VPN支持:
IPSec、L2TP、SSLVPN、GRE
✧丰富的应用:
专用VPN客户端、USBKEY、动态口令卡、图形认证码
✧灵活的部署:
Hub-Spoken、Full-Mesh、DVPN、网关-网关的SSLVPN
✧支持对IPAD、IPHONE等移动终端的VPN接入
完善的上网行为管理功能
✧采用独立的上网行为管理库,通过互联网实现每周更新。
✧P2P控制:
对Emule、BitTorrent、Maze、Kazaa等进行阻断、限速
✧IM控制:
基于黑白名单的IM登录控制、文件传输阻止、查毒;支持主流IM软件如QQ、MSN、雅虎通、Gtalk、Skype
✧流媒体控制:
对流媒体应用进行阻断或限速,支持Kamunppfilm、PPLive、PPStream、QQ直播、TVAnts、沸点网络电视、猫扑播霸等
✧网络游戏控制:
对常见网络游戏如魔兽世界、征途、QQ游戏大厅、联众游戏大厅等的阻断
✧股票软件控制:
对常用股票软件如同花顺、大参考、大智慧等的阻断
强大的日志报表功能
✧记录内容丰富:
可对防火墙日志、攻击日志、病毒日志、带宽使用日志、Web访问日志、Mail发送日志、关键资产访问日志、用户登录日志等进行记录
✧日志快速查询:
可对IP地址、端口、时间、危急程度、日志内容关键字等进行查询
✧报表贴近需求:
根据用户具体需求,定制报表内容、定制报名名称、定制企业LOGO,并可形成多种格式的报表文件。
方便的集中管理功能
✧通过集中管理与数据分析中心实现对多台设备的统一管理、实时监控、集中升级和拓扑展示。
3.3.启明星辰web防护:
•Web应用防护
天清WAF能够精确识别并防护常见的Web攻击:
•基于HTTP/HTTPS/FTP协议的蠕虫攻击、木马后门、间谍软件、灰色软件、网络钓鱼等基本攻击;
•CGI扫描、漏洞扫描等扫描攻击;
•SQL注入攻击、XSS攻击等Web攻击;
•应用层Dos防护
•Web非授权访问防护
天清WAF能够精确识别并防护常见的Web非授权访问攻击:
•CSRF攻击防护
•Cookie篡改防护
•网站盗链防护
•Web恶意代码防护
天清WAF能够精确识别并防护常见的Web恶意代码攻击:
•网页挂马防护
•WebShell防护
•Web应用合规
天清WAF能够精确识别并防护常见的Web应用合规:
•基于URL的访问控制
•HTTP协议合规
•敏感信息泄露防护
•文件上传下载控制
•Web表单关键字过滤
•Web应用交付
天清WAF能够对Web应用加速和流量分配:
•网页防篡改
•基于URL的流量控制
•Web应用加速
•多服务器负载均衡
•Web应用防护事件库
天清WAF产品内置Web应用防护事件库,包含各类Web安全相关事件特征,启明星辰提供定期与突发Web安全事件紧急升级服务,能够针对最新的、突发的、热点的Web攻击进行快速响应。
启明星辰公司ADLAB(积极防御实验室)拥有大批漏洞发掘和分析人员,是中国独立发掘CVE漏洞数量最多的团队。
•集中管理与事件分析
天清WAF提供了完善的集中管理功能,可实现分布式部署、集中式管理;能够实时监控Web流量的连接状况和流量信息,能够实时监控经过WAF保护后,Web服务器交付质量提升的效果;具备丰富的Web安全事件统计分析功能与详尽的Web安全事件报表功能,既适用于运维人员对具体事件进行查询、分析;也适用于安全状况的分析与决策。
3.4.浪潮NF5270M4
浪潮NF5270M4采用2U机架式设计,主机出厂为用户提供了单颗英特尔至强E5处理器以及8GBDDR4规格内存和2TB硬盘,能够方便用户对服务器进行基本配置,强大的硬件扩容能力和对多种硬盘类型的支持让这款服务器在配置升级后具备较大的性能优势
配置:
产品类别
机架式
产品结构
2U
CPU类型
Intel至强E5-2620v4
CPU型号
XeonE5-2620v4
CPU频率
2.1GHz
最大CPU数量
2颗
制程工艺
22nm
二级缓存
20MB
总线规格
QPI8GT/s
CPU核心
六核(Haswell)
CPU线程数
六线程
主板芯片组
IntelC610
扩展槽
6×PCI-E3.0
内存类型
DDR4
内存容量
64GB
硬盘接口类型
SAS
标配硬盘容量
4*600G
硬盘描述
可支持7200转3.5寸SAS及SATA硬盘
内部硬盘架数
12个硬盘支架
磁盘控制器
硬盘小于等于4块时,系统默认标配一个4口背板;超过4块硬盘时,带两个4口背板,支持RAID0/1/10/5
光驱
DVD
网络控制器
双千兆网卡
标准接口
1×USB3.0接口,1×VGN接口(前置)2×USB3.0接口,1×VGA接口(后置)2×USB3.0接口兼容2.0(内置)
系统管理
集成系统管理芯片,支持NM3.0、SNMP3.0标准,支持浪潮睿捷系列服务器管理、部署软件
支持网络唤醒,网络冗余,负载均衡等网络高级特性
配置DVD光驱,三年免费质保服务
3.5.华为OceanStorS2200T
OceanStorS2200T以业界领先的硬件规格为支撑,融合了TurboModule高密接口设计、灵活I/O模块及热插拔设计、多重数据保护等高端技术,满足中小企业数据中心规模不断增大并且存储要求日益复杂的数据库OLTP/OLAP、数字媒体、视频监控、集中存储、备份、容灾、数据迁移等不同业务应用的需求,同时有效保证企业用户业务安全性与连续性。
为了满足中小企业数据中心的灵活业务需求,华为OceanStorS2200T网络存储产品打造了4方面的关键技术特性:
灵活、高扩展性:
支持SAS/NLSAS/SATA多种类型的硬盘;支持iSCSI与FC主机接口,满足不同业务之间FCSAN与IPSAN的融合组网需求;独创的TurboModule技术大幅提升I/O接口模块密度,系统附带12个1GbpsiSCSI接口,同时可扩展8个8GbpsFC接口;
高可靠、高可用性:
最大支持256台主机,最多可扩展至204块硬盘;TurboModule技术实现了控制器、风扇、电源、I/O模块、硬盘等热插拔;支持掉电保护技术,自动将Cache数据写入数据保险箱,保证数据不丢失;硬盘预拷贝技术,提前发现故障硬盘,并主动迁移故障硬盘数据,有效降低数据丢失风险;支持HyperImage、HyperCopy高级数据保护技术;
经济、高效、易用:
性价比高,并可按需配置和扩展,最高可扩展至204块硬盘;统一易用的ISM管理维护工具,维护管理简单方便;
绿色节能:
硬盘智能休眠技术,最大降低40%的能耗;16档智能风扇调速技术,CPU智能变频等;
同时,华为OceanStorS2200T网络存储相比市场上类似产品,在产品规格、扩展性、软件功能方面具有很多技术亮点,主要有:
领先的产品规格和高扩展性,OceanStorS2200T最大支持12x1GbpsiSCSI端口和8x8GbpsFC端口,最大支持204块硬盘;
领先的TurboModule技术,实现了控制器、风扇、电源、I/O模块、硬盘等热插拔,真正实现不停机扩容和维护;
支持高端存储技术HyperImage,HyperCopy,HyperMirrorA/S实现虚拟快照,LUN拷贝和同步/异步远程拷贝功能。
主
要
性
能
高速缓存双控4GB或8GB或16GB 纠错
∙系统支持AIX、HP-UX、Solaris、Linux、Windows等
∙外接主机通道双控3.5硬盘控制框:
标配12x1GbpsiSCSI端口,
∙可选8GbpsFC端口、1GbpsiSCSI端口和10GbpsiSCSI端口(支持TOE功能);
双控2.5硬盘控制框:
标配8x8GbpsFC端口,可选扩展8GbpsFC端口、1GbpsiSCSI端口和10GbpsiSCSI端口(支持TOE功能)
∙RAID支持0,1,3,5,6,10,50
∙单机磁盘数量最大204个
∙内置硬盘接口SSD,SAS,NLSAS,SATA
∙处理器多核多处理器组
∙其它参数前端通道端口类型:
8GbpsFC、1GbpsiSCSI、10GbpsiSCSI(支持TOE功能)
后端通道端口类型:
6GbpsSAS2.0宽端口
本项目在为了更好的为科技企业服务,需要对平台的架构进行更新,同时需要针对持续不断的企业行为进行分析挖掘用户的潜在特征和需求,发掘有价值的信息,以期更好的企业进行服务。
项目的具体的技术架构图如下图所示,其中左边为原有的平台架构,右边为新的就技术平台架构。
项目的技术架构图
基础设施层
基础设施层是为中间层或者用户提供其所需的计算和存储等资源,并通过虚拟化等技术奖资源池化,以实现资源的按需分配和快速部署。
1)云计算平台构建技术
本平台整体采用云计算体系架构,它将基础设施、数据资源与数据处理、应用系统抽象成服务,这些服务具有可靠性强、可用性高、规模可伸缩等特点,满足多样化的应用需求,政府、企业、高校和公众等用户通过访问接口实现端到云的访问。
对于SOA和IaaS层云计算都有一个共性特征,即先通过解耦方式拆分再进行合并和组合。
一个通过解耦形成的是标准的可复用的服务单元,而一个通过解耦形成的是标准的计算资源或存储资源。
对于SOA的解耦重点是实现了业务和技术的剥离,而对于云计算解耦重点是实现业务系统和硬件环境的剥离。
SOA和云平台融合,将企业业务系统中的平台层和基础层能力层全部迁移到云端集中。
平台层能力包括了数据整合平台,系统集成平台等;而基础层能力则包括了海量数据存储,海量数据处理、资源调度等。
云技术是将传统的分布式计算机或大规模服务器进行虚拟化,形成一个资源池,实现共同计算,共享资源,将各种性能(计算、存储)合理分配给各个子系统,各系统无需关心性能问题,只要考虑业务流程即可。
本平台包括六个子系统,为每个系统单独建设服务器不仅系统间通信和数据维护较为困难,同时在系统运行其间对性能的需求每时每刻都在变动,服务器负荷可能超载也可能空闲,为了更有效地使用计算资源,平台采用云技术面向各类用户提供相应的服务,基于云计算、云存储技术,将高性能的服务器虚拟化,为不同的服务需求提供硬件和软件的保障。
OpenStack是一个面向IaaS层的开源项目,用于实现公有云和私有云的部署及管理。
上图为OpenStack架构,三个元素将会与系统中的所有组件进行交互。
Horizon是图形用户界面,管理员可以很容易地使用它来管理所有项目。
Keystone处理授权用户的管理,Neutron定义提供组件之间连接的网络。
Nova被认为是OpenStack的核心,负责处理工作负载的流程。
它的计算实例通常需要进行某种形式的持久存储,它可以是基于块的(Cinder)或基于对象的(Swift)。
Nova还需要一个镜像来启动一个实例。
Glance将会处理这个请求,它可以有选择地使用Swift作为其存储后端。
数据资源层
数据资源层主要提供数据库访问(结构化数据的操作)服务提供数据服务;文件访问和存储(非结构化数据的操作)是基于的分布式存储的云存储服务器,持久化科技成果申请的鉴别材料,临时存储科技项目申请的申请材料。
1)多源数据整合技术
建立数据整合模块以多种手段获取对各业务应用系统的数据。
并在数据共享库中进行整合,实现业务应用之间数据的横向连通;为实现不同业务协同及相关应用系统互联互通.数据整合模块包含应用系统流程管理和先进的分析手段和工具.提供统计报表的输出、数据展示、分析、挖掘,建立相互系统之间实时信息传输,最大限度的发挥这些数据的作用,提高数据的综合利用程度。
企业服务总线
提供服务注册、服务发布、服务编排、服务监控等功能;
元数据管理
从各数据源抽取元数据,开放接口或底层数据模型,提供给服务生成模块使用。
另外元数据管理系统需要将服务作为一类元数据管理起来,以便运维人员查看基于服务的数据流向;
服务生成模块
该模块提供服务生成管理界面,展示元数据系统获取的数据源表结构和字段信息,管理员可通过选择相同或不同数据源的字段信息,生成数据提取代码块,并注册到企业服务总线,从而提供数据访问服务。
支持数据库内连接和内存连接两种代码生成模式,提供日常的服务生成、修改、删除、查询等维护功能,支持服务信息由该模块到元数据管理系统的回传,便于元数据系统对服务的管理并提供数据流向信息;
服务运行模块
数据提取服务的执行模块,通过数据库接口连接到各数据源。
服务生成模块生成的代码在该模块中打包后发布到WEB服务器,形成执行模块。
业务系统的数据访问请求发送到企业服务总线后,企业服务总线路由到该执行模块进行数据提取。
2)分布式云存储技术
平台业务涉及到大量的数据存储需求,不同的系统涉及到的数据类型与容量均有差异,为了保障这种非结构化数据的存数和访问效率,分布式云存储技术是一个较好的选择,满足了非结构化数据的高隔离性、高保密性、长期存储等需求。
平台使用Hadoop的HDFS为云存储服务,Hadoop分布式文件系统(HDFS)被设计成适合运行在通用硬件(commodityhardware)上的分布式文件系统。
它和现有的分布式文件系统有很多共同点。
但同时,它和其他的分布式文件系统的区别也是很明显的。
HDFS是一个高度容错性的系统,适合部署在廉价的机器上。
HDFS能提供高吞吐量的数据访问,非常适合大规模数据集上的应用。
HDFS放宽了一部分POSIX约束,来实现流式读取文件系统数据的目的。
Namenode负责维护文件系统命名空间,任何对文件系统名字空间或属性的修改都将被Namenode记录下来。
应用程序可以设置HDFS保存的文件的副本数目。
Datanode将HDFS数据以文件的形式存储在本地的文件系统中,它并不知道有关HDFS文件的信息。
它把每个HDFS数据块存储在本地文件系统的一个单独的文件中。
数据处理层
数据处理层主要承担系统各类功能支撑组件,该层各类组件将被应用层各类功能子系统所调用。
并与下层数据层进行交互。
1)数据分析处理技术
为了获取更多智能的、深入的、有价值的信息,本平台利用统计分析、数据挖掘等数据处理技术来对存储于分布式系统的海量数据进行分析和预测,对相关企业的发展方向给出明确的指引,同时为企业定制关于行业竞争对手、企业自身状况、特定技术领域、单项技术等的专题分析报告进行个性化专题推送;为了提高数据处理的效率,满足实时性的需求,本平台采用流式计算与MapReduce编程模型,给日志分析,倒排索引构建,文档聚类奠定了良好的处理基础。
MapReduce是一个编程模型,是大规模数据集并行运算的核心模型,该模型运行任务的主要思想是map(映射)和reduce(规约),一般MapReduce任务流程分为输入分片—>map阶段—>shuffle阶段—>reduce阶段,如图所示:
(1)对数据集进行分片;
(2)将不同的片段交给不同的map执行;(3)将map阶段输出的数据根据Key/Value规则进行reduce归并;(4)执行reduce工作并将结果存入HDFS。
目前MapReduce作为Hadoop框架的主要算法,一般会随Hadoop框架进行部署,并且目前已经有大量的应用方案,如谷歌,华为等企业提供的大数据解决方案中都包含这种模型。
流式计算模块
该模块是在大数据环境下兴起的运算方法,相比于传统的实时运算或是批处理运算,流式计算可以结合MapReduce方法胜任更加大规模的运算工作。
实时运算是在用户进行操作的一瞬间,由系统将操作指令进行解析,然后发送至服务器,等待数据处理完毕后再发回到前端进行呈现,这一过程消耗瞬间大量计算资源,运行完成后又不再占用任何资源。
流式计算是不确定数据速率的事件流入系统,系统处理能力必须与事件流量匹配,然后将事件进行负载分流,对资源的使用效率达到了最大。
目前流式计算的主流应用有IBM开发的StreamBase商业流式计算系统,BrandeisUniversity、BrownUniversity和MIT合作开发的Borealis,以及开源的S4系统,在主流的网络平台上,Apache的Storm系统、Spark系统和Samza系统都是比较好的实时运算的开源的分布式系统,它们都是在运行数据流代码时,将任务分配到一系列具有容错能力的计算机上并行运行,并提供一些接口来简化底层实现的复杂度,Twitter、雅虎、亚马逊、领英等企业均使用Apache的流式计算框架。
在部署上,流式计算模块与本平台的大环境相同,主要采用Zookeeper(Storm,Samza)、java、hadoop框架(Spark,Samza)、maven2、kafka等,编程语言采用java/python/scala均可。
数据关联模块
该模块是大数据分析中一类可以被发现的重要的知识。
当在多个变量之间存在某种规律的时候,即可认定它们之间具有关联性。
通常情况下进行关联分析是为了找出数据中隐藏的关系网,变量之间的关联强弱以数字进行标注,让变量之间的关联得以显现。
本系统中的数据关联模块作用在于通过数据关联算法
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 科技 信息化 建设