经典网络方案一期工程双机架构方案.docx
- 文档编号:29171342
- 上传时间:2023-07-21
- 格式:DOCX
- 页数:17
- 大小:990.67KB
经典网络方案一期工程双机架构方案.docx
《经典网络方案一期工程双机架构方案.docx》由会员分享,可在线阅读,更多相关《经典网络方案一期工程双机架构方案.docx(17页珍藏版)》请在冰豆网上搜索。
经典网络方案一期工程双机架构方案
项目名称:
xxxx局污染源在线监控系统能力达标建设工程
项目编号:
xxxx局
污染源在线监控系统能力达标建设
(一期工程)
xxxx有限公司
2012年04月
第一章项目简介
1.1项目概况
xxxx局信息化经过不断建设,规模庞大,结构复杂,维护难度在不断增加,与此同时越来越多的关键应用需要依靠信息网这个平台开展工作,要求信息网能够稳定高效持续运行。
如何保证信息网络长期稳定运行,除了不断升级改造以适应更高的要求外,还可以通过优化充分利用现有的资源,发挥最大的效能,提供更好的服务,这就是此次项目要达到的目的。
通过本次项目,使其结构更趋于合理,链路及带宽得到充分有效的利用,提高网络的可靠性及安全性,保障污染源在线监控系统、移动执法系统、对外服务应用及办公系统的有效稳定运行。
同时通过对机房基础设施的升级(空调设备和UPS供电设备),减少网络设备宕机的风险。
1.2需求分析
一、根据目前环保局的网络现状存在以下需求:
1.石家庄市环保局网络系统的整体融合。
2.整体网络系统的区域性划分。
3.网络设备高可靠性应用。
4.辅助安全设备购置。
5.网络设备归类整理。
6.线缆的标识整理。
7.机房标准化建设。
8.机房环境辅助设备购置。
二、通过以上的建设可以使:
1.网络维护人员对整体的网络架构更加清晰明了,使日常维护轻松快捷。
2.解决不同运营商、集成商进入机房设备随意放置造成设备没有归类,增加日常维护工作量。
3.采用区域划分的方式,对于以后的网络扩展,设备增加,可以只针对本区域进行建设不影响整体的网络结构。
4.网络设计采用高可靠行方式进行,防止单点故障,增加业务的持续性。
5.线缆标识整理可以使日常维护更加方便快捷。
6.机房辅助设备例如UPS容量扩容、机房专用空调能够更好的辅助设备正常运行,增加设备的寿命。
1.3项目建设目标
总体目标:
充分利用现有资源发挥最大效能,提供更好的服务。
一、提升性能
不一定非要增大带宽,加快转发速度才是提高性能,通过优化保证关键应用,降低其他非关键应用的性能占用,也是在一定程度下的提高性能。
二、提高健壮性
信息网络的健壮性、可靠性和抗攻击能力,是长期稳定运行的基础,通过调整拓扑结构,增加冗余链路、调整路由等优化手段可以有效的提高系统健壮性。
三、提高安全性
信息安全性通常包含两个层面问题,一个是保证应用系统安全,不受各种恶意攻击的影响,另一个是保证内部敏感信息不会泄露。
通过调整安全设备部署位置、梳理安全策略等优化手段可以增强系统整体的安全性。
四、排除隐患,查漏补缺。
网络建设到现在,规模很大,涉及设备和分支众多,结构越来越复杂,经历过很多次建设和改造,每一次建设基本上是相对独立的,这就会造成网管人员一定程度上对网络现状很难有一个清晰全面的了解。
每一次网络建设和升级改造,作为主要技术力量的集成商通常注意力会集中在自己工程的部分,缺乏全盘考虑。
此次项目中会帮助全面梳理现有网络状况,站在全盘的角度上,更容易发现隐患,处理隐患。
五、建立网络基线
解决网络问题的最简单途径是把当前设置和以前的设置相比较。
网络基线就是正常运行时的一些关键运行参数,是网络正常运行时的一个“快照”。
通过本次工作将记录网络关键设备、关键线路的运行状态,作为网络基线,为将来故障预警和问题排查提供依据。
六、机房标准化建设
为方便网络管理人员日常维护更为便捷,需要对目前的网络设备、线路线缆、机柜、配电以及其它辅助性功能设备进行标准化建设。
第二章整体系统设计
2.1网络整体规划
2.1.1一期规划建设拓扑
图2-1规划建设拓扑图
2.1.2网络建设整体规划说明
由于xxxx局是以办公信息化为主,随着应用的增加以后还会涉及到传输视频会议等,会有大量的数据交换,拟采用千兆以太网技术作为网络的主干传输技术。
采用千兆以太网技术,千兆交换到楼层,百兆到桌面。
根据内部的组织结构、光缆线路走向以及信息流向等特点,选择星形结构作为网络的主拓扑结构。
工程建设方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统为原则,以及考虑到技术的先进性、成熟性,并采用模块化的设计方法,构建两层交换技术的IP主干网络。
整个网络共分五个板块:
第一个板块为网络核心层,设立在网络中心机房。
核心层配置设备承担的任务主要是全网各单位间信息的交流和分发与管理,因此核心层设备是整个网络的中心枢纽,应具有强大的交换能力,保证不会发生信息拥塞,应该具有非常高的背板吞吐能力;强大的安全防护能力,保证不会因单点故障而影响整个系统的正常运行;有效的故障恢复能力,保证任何一种单点故障都能在短时间内迅速予以恢复。
第二个板块为局域网部分,是用户终端直接接入的网络设备,主要是实现终端接入工作,这一级交换机一样应具备较高的吞吐能力和千兆上联带宽,并具备强有力的用户访问控制能力(即虚拟局域网功能)以及大量的用户接入端口。
第三个板块为广域网部分,是xxxx局内部网络面向整个网络访问的出口。
第四个板块为服务器部分,xxxx局应用业务服务的提供中心,是数据运算、交换、存储的中心。
它结合了先进的网络技术和存储技术,承载了网络中80%以上的服务请求和数据存储量。
网络规划应采用服务、应用、存储相分离的架构,有效降低管理维护的成本,同时也满足了xxxx局日益增长的业务数据对系统扩容的需求。
第五个板块为对外服务部分,分为对公网用户提供的服务如:
邮件服务和门户网站,和对内部网络提供的服务如:
污染源在线监测、移动执法等服务。
网络规划以网络系统为依托,因此首先应保护网络系统平台的高可靠性,避免因网络系统的故障和性能瓶颈等影响xxxx局关键业务的运行。
可通过三层交换技术,有效抑制广播风暴,保证关键业务的数据传输;通过链路冗余和负载均衡技术,保证系统的高可用性;通过链路聚合技术,提高网络传输性能,消除网络瓶颈等等。
通过上述建设可以整合目前局域网络资源和环统网网络资源,在充分利用原有设备的同时对网络系统进行改造建设。
2.1.3防火墙系统部署
网络中相同的应用存在不同的节点,不同的节点的安全等级存在或大或小的差异,如果忽略这些差异的存在,就会产生安全风险,根据网络安全的木桶原理,安全风险的等级就会由本区域中防护等级最低的,或者风险最高的网络资源来决定。
以往的做法是同一应用的所有节点都划分在同一个安全域中,导致防护不力。
因此,必须建立新的网络安全域的划分模型,同时制定新的安全域的划分原则。
首先将这个网络分为3个网络安全层次,分别对应由高到低的3个安全防护等级---核心层、应用层、接入层,每个网络安全层次包含具有相似的应用处理功能和相同的安全防护等级。
核心层:
安全等级为1,主要转发核心数据和交换核心主机应用服务;
应用层:
安全等级为2,主要存放主要应用服务和应用数据;
接入层:
安全等级为3:
主要部署各种网络接入设备,用于连接被防护单位客户端。
对应用系统实施网络分层防护,有效地增加了系统的安全防护纵深,使得外部的侵入需要穿过多层防护机制,不仅增加恶意攻击的难度,还为主动防御提供了时间上的保证。
当外部攻击穿过外层防护机制进入计算中心应用区后,进一步的侵入受到应用层和核心层防护机制的制约。
由于外层防护机制已经检测到入侵,并及时通知管理部门。
当入侵者试图进入应用区时,管理人员可以监控到入侵者的行为,收集相关证据,并随时切断入侵的攻击路径。
一、核心区域防护
核心层设备承担的任务主要是整体网络各单位间信息的交流和分发与管理,因此核心层设备是整个网络的中心枢纽。
面临着外部威胁的第一波冲击,在核心区域和外部网络之间,增加安全边缘防护设备,并随时监测信息流数据。
建议在核心交换机前和防火墙后部署防毒墙、上网行为管理及入侵防御设备,通过安全设备的过滤对内部各个板块进行很好的防护。
二、应用区域防护
应用区域属于整体网络应用的最主要部分,承担着涉密业务处理和存储,关系着部门整体业务运转。
所以在搭建应用区域时,应该充分考虑未来业务高速扩展和性能的要求,必须保证业务的高可靠性和高可用性。
应用区域划分为专网应用安全区域、安全管理安全区域和核心业务安全区域,通过在汇聚交换机上添加安全设备全力保证应用业务的网络强壮。
针对应用区域的特点和要求,在设计将每台独立的服务器的安全防护集中在一起,便于未来通过统一的安全防护手段进行管理,这样就将分散的安全点集中起来,可以投入更多的注意力到集中安全防护上去,同时也达到业务服务器群与内部网络隔离的目的。
三、接入区域防护
接入区域主要是各种客户端的连接,可以防止非授权终端的接入;通过用户认证可以对接入终端的权限进行甄别,对传输进行加密;通过客户端管理系统可以对联网计算机的使用进行有效控制。
2.1.4入侵防御系统部署
近年来,政府内部网所面临的安全问题越来越复杂,安全威胁正在飞速增长,尤其混合威胁的风险,如黑客攻击、蠕虫病毒、木马后门、间谍软件、僵尸网络、DDoS攻击、垃圾邮件、网络资源滥用(P2P下载、IM即时通讯、网游、视频)等,极大地困扰着用户,给政府内部网的信息网络造成严重的破坏。
能否及时发现并成功阻止网络黑客的入侵、保证计算机和网络系统的安全和正常运行便成为政府内部网所面临的一个重要问题。
基于目前网络安全形势的严峻,入侵防护系统(IntrusionPreventionSystem)作为新一代安全防护产品应运而生。
网络入侵防护系统作为一种在线部署的产品,提供主动的、实时的防护,其设计目标旨在准确监测网络异常流量,自动对各类攻击性的流量,尤其是应用层的威胁进行实时阻断,而不是简单地在监测到恶意流量的同时或之后才发出告警。
IPS是通过直接串联到网络链路中而实现这一功能,即IPS接收到外部数据流量时,如果检测到攻击企图,就会自动地将攻击包丢弃或采取措施将攻击源阻断,而不把攻击流量放进网络内部。
针对xxxx局现状需求,我们防火墙后部署入侵防御,通过入侵防护过滤对内部各个板块进行很好的防护,减少公网对内部网络的安全威胁。
2.1.5上网行为管理部署
随着业务系统访问、网络应用行为日益频繁,我们可能经常遇到如下情况:
一、内部系统维护人员对业务应用系统的越权访问、违规操作,损害业务系统的运行安全;
二、政府内部网重要业务数据库,被员工或系统维护人员篡改牟利、外泄,给政府内部网造成巨大的经济损失;
三、员工随意通过网络共享文件夹、文件上传下载、EMAIL等方式,发送重要敏感信息、业务数据,导致信息外泄事件发生;
四、员工在论坛发表敏感信息、传播非法言论,造成恶劣社会影响;根据调查数据显示,大多数政府内部网虽然已经采用一定的网络安全手段(如防火墙、入侵检测、漏洞扫描等)和管理措施,但是上述安全事件发生后,却仍然无法进行及时告警响应、准确定位事件源头,给政府内部网带来极大的困扰和严重的信息安全隐患。
如何有效监控业务系统访问行为和敏感信息传播,准确掌握网络系统的安全状态,及时发现违反安全策略的事件并实时告警、记录,同时进行安全事件定位分析,事后追查取证,满足合规性审计要求,是政府内部网迫切需要解决的问题。
针对xxxx局现状需求,我们建议在防火墙以后链路部署上网行为管理系统,杜绝信息外泄和发布一些敏感信息事件的发生。
2.1.6存储备份系统部署
一、存储备份系统部署
为了提高服务器访问存储的效率,为存储系统专门提供两台千兆交换机,存储系统双千兆连接在千兆交换机上,提供2G的访问带宽,同时作冗余备份提高访问的安全性。
xxxx局的服务器增加千兆网卡连接到千兆交换机上直接访问存储资源,提高访问效率。
1.购买一台备份服务器,部署备份软件管理服务器端模块,下方备份策略到各个备份软件客户代理。
2.购买一台新的存储设备作为备份数据的存放介质,H3C存储阵列可以为服务器提供双机服务。
3.新购买的存储设备通过IPSAN的方式分配给备份服务器备份空间,用磁盘阵列存储数据库数据和文件数据及灾难镜像数据在线的备份。
4.新购买的存储设备通过IPSAN的方式分配给数据库存储空间。
二、存储备份软件部署
对连入IPSAN网的服务器,可以采用IPSAN模式,在该模式下。
1.在服务器内安装备份客户端代理模块。
2.在备份操作时,备份客户端模块把需要备份的数据从存储设备中读入服务器,并通过LAN把备份数据传给备份主服务器或介质服务器。
3.备份主服务器或介质服务器将把数据通过SAN写到备份设备上;
4.在恢复操作时,备份主服务器或介质服务器将通过SAN网从备份设备上读入恢复数据,并通过LAN把数据传给备份客户端模块。
三、操作系统灾难恢复模块
操作系统灾难恢复模块提供了快速可靠的系统恢复功能,可帮助用户在极短时的间内恢复业务。
可以在数分钟内恢复物理或虚拟系统,甚至可恢复到裸机、不同硬件、远程位置或虚拟环境。
灾难恢复模块能够在不影响用户工作效率的情况下捕获整个系统(包括操作系统、应用程序、系统设置、配置和文件)的恢复点。
该恢复点可以方便地保存到几乎任何磁盘存储设备上,包括内置硬盘、USB闪存、移动硬盘、网络共享文件夹、NAS和SAN存储,甚至刻录到CD、DVD等光学存储上。
系统发生故障时,用户可以迅速恢复它们,而无需经历漫长、容易出错的手动操作过程。
灾难恢复模块不仅可以作为单机版独立使用,还支持大规模的部署方式,通过简单的配置,即可集中管理最多2500台台式机、笔记本或服务器的系统备份与还原。
2.1.7堡垒机系统部署
随着信息技术的不断发展和信息化建设的不断进步,业务应用、办公系统、商务
平台等各种业务和经营支撑系统的不断增加,网络规模迅速扩大。
电信行业、财政、税务、公安、金融、电力、石油、大中企业和门户网站,更是使用数量巨大的服务器主机来运行关键业务,提供电子商务、数据库应用、运维管理、ERP和协同工作群件等服务。
由于服务器众多,系统管理员压力太大等因素,人为误操作的可能性时有发生,原有的由各个系统分散管理用户和访问授权的管理方式,使帐号和口令的安全性受到了极大影响,造成业务管理和安全之间的失衡。
黑客/恶意访问也有可能获取系统权限,闯入部门或单位内部网络,造成不可估量的损失。
如何提高系统运维管理水平,满足相关标准要求,防止黑客的入侵和恶意访问,跟踪服务器上用户行为,降低运维成本,提供控制和审计依据,越来越成为企业关心的问题。
为使企业内部网络设备和服务器需要更安全的环境,保护企业内部网络设备及服
务器资源的安全性,使得企业内部网络管理合理化和专业化。
需部署堡垒机系统。
堡垒机集帐号管理、授权管理、认证管理和综合审计于一体,为企业提供统一框架,整合企业应用系统、网络设备、主机系统,确保合法用户安全、方便使用特定资源。
既能有效地保障合法用户的权益,又能有效地保障支撑系统安全可靠地运行。
堡垒机对用户的网络设备、服务器等核心资产的常用访问方式,例如Telnet、SSH、ftp等字符终端访问及RDP、XWindow等图形终端访问,通过协议代理的技术进行访问控制和审计,实现对用户行为的控制、追踪、判定,满足企业内部网络对资源安全性的要求。
堡垒机是一种被加固的可以防御进攻的计算机,具备坚强的安全防护能力,扮演着看门者的职责,所有对网络设备和服务器的请求都要从这扇大门经过,因此网络卫士网络审计系统能够拦截非法访问和恶意攻击,对不合法命令进行阻断、过滤掉所有对目标设备的非法访问行为。
堡垒机具备强大的输入输出审计功能,不仅能够详细记录用户操作的每一条指令,而且能够将所有的输出信息全部记录下来;具备审计回放功能,能够模拟用户的在线操作过程,丰富和完善了网络的内控审计功能。
能够在自身记录审计信息的同时在外部某台计算机上做存储备份,可以极大增强审计信息的安全性,保证审计人员有据可查。
堡垒机还具备图形终端操作的审计功能,能够对多平台的多种图形终端操作做审计,例如Windows平台的RDP方式图形终端操作,Linux/Unix平台的X11方式图形终端操作。
为方便系统管理员查看审计信息,提供了审计查看检索功能。
系统管理员可以通过多种查询条件查看审计信息。
堡垒机可以旁路接入到网内不影响原有的网络架构。
2.1.8网闸系统部署
xxxx局网闸安装在对外服务器之前,通过网闸来保障内网的安全。
网闸的工作原理是:
安全隔离技术的工作原理是使用带有多种控制功能的固态开关读写介质连接两个独立的主机系统,模拟人工在两个隔离网络之间的信息交换。
其本质在于:
两个独立主机系统之间,不存在通信的物理连接和逻辑连接,不存在依据TCP/IP协议的信息包转发,只有格式化数据块的无协议“摆渡”。
被隔离网络之间的数据传递方式采用完全的私有方式,不具备任何通用性。
安全隔离与信息交换系统两侧网络之间所有的TCP/IP连接在其主机系统上都要进行完全的应用协议还原,还原后的应用层信息根据用户的策略进行强制检查后,以格式化数据块的方式通过隔离交换矩阵进行单向交换,在另外一端的主机系统上通过自身建立的安全会话进行最终的数据通信,即实现“协议落地、内容检测”。
这样,既从物理上隔离、阻断了具有潜在攻击可能的一切连接,又进行了强制内容检测,从而实现最高级别的安全。
图2-2安全隔离与信息交换系统工作原理图
安全隔离与信息交换系统架构主要由内网主机系统、外网主机系统。
内网主机系统与内网相连,外网主机系统与外网相连,内/外网主机系统分别负责内外网信息的获取和协议分析,根据安全策略完成信息的安全检测,内外网络之间的安全交换。
整个系统具备以下技术特性:
多网络隔离的体系结构,通过专用硬件完成两侧信息的“摆渡”。
被隔离网络之间任何时刻不产生物理连接。
内/外网主机系统之间没有网络协议逻辑连接,通过隔离交换矩阵的全部是应用层数据,也就是OSI模型的七层协议全部断开。
数据交换方式完全私有,不具备可编程性。
2.1.9网管系统部署
随着xxxx局网络的不断扩大为了确保整个计算机网络的正常运行,必须在一些网络故障发生之前就作出准确的判断,避免网络故障的发生和应用的中断。
而为了能够准确的预判可能出现的网络异常情况,用户必须借助于网络资源管理工具来对自己的网络进行完全的掌控,这样才能根据资源管理系统所提供的有关数据作为依据,作出正确的判断,避免网络故障的发生和应用的中断。
所以需要一套网络管理系统来完成对网络设备及IP层的流量监视和控制,保障网络安全,查找并定义网络故障,记录网络中的事件以及虚拟网段划分等。
并可以同时管理具有IP地址并支持网管标准协议的所有节点,包括主机、网络设备等,并检测网络性能。
图2-3网络运维系统界面示意图
2.1.10WEB防火墙系统部署
xxxx局WEB防火墙安装在网站服务器之前,来保障网站服务器的安全。
系统部署时,管理员首先在网站WEB服务器安装网页防篡改软件,目的是防止WEB服务器被病毒、木马等可执行程序攻击,保护WEB服务器的网页不被篡改。
在网站服务器前部署WEB防护网关,基于硬件的WEB防护网关能够实现防止SQL语句注入、抗网络攻击等功能,从而避免WEB网站不被攻击者使用SQL语句注入等方式进行攻击。
2.2基础环境建设
2.2.1机房空调
xxxx局机房的空调部分为普通空调设备,建设的时间较早,加上中心机房的网络设备数量随着应用的增加不断增多,并且普通空调本身的局限性致使其不能以7*24小时模式连续运转。
以上原因造成空调长时间超负荷运转,并且经常出现宕机。
对中心机房的核心网络设备和核心服务器等造成了极大地损害。
鉴于中心机房空调设备现状,提出了对中心机房空调设备的升级改造。
通过配备两台专用的机房空调,减少因为空调宕机的原因造成的对中心机房的核心网络设备和核心服务器等的损害。
进而减少因为网络硬件设备的损害而造成的市环保局关键业务的停机的风险。
表2-1普通空调和机房专用空调参数对比
性能
机房专用空调
普通舒适性空调
设计目的
精密的电子设备
人
制冷条件
室内
24℃,50%RH
27℃
室外
35℃
35℃
显热比
90-95%
60-75%
制冷量/每平方米
250-300大卡/小时
80-175大卡/小时
温度精度
±1~3℃
±5℃
相对湿度精度
±10%
无
寿命
10年(87,600小时)
3-4年(10,000小时)
高效空气过滤器
NBS标准90-99%
无
再加热系统
有
无
冷凝水盘
不锈钢
镀锌钢
高/低温度报警
标准配置
无
过滤器堵塞报警
标准
无
高压传感器/报警
标准
无
加湿器
有
无
压缩机启动次序控制
有
无
冷凝器外壳
铝
镀锌钢
2.2.2机房UPS
xxxx局机房的UPS负荷(不间断供电系统)为30KV,建设的时间较早,加上中心机房的网络设备数量随着应用的增加不断增多,有可能导致UPS设备的超负荷运转,从而加大设备宕机的风险,特别是存储的重要数据有丢失的风险。
鉴于中心机房UPS现状,提出了对中心机房UPS的升级改造。
配备二台60KVUPS,满足现阶段网络设备的负荷。
通过增加精密配电柜和UPS配电柜,达到现阶段要求的同时并预留一定的扩展空间。
图2-3UPS及空调部署图
2.2.3机房标准化建设
一、线缆标识
此次添加的设备主要为网络设备和主机服务器,之间的通道有光缆、和双绞线等。
而且涉及的区域广泛,包括机房本身网络设备。
尤其是网络的核心,节点连接包括了到其他单位的骨干线路,而且有核心交换机到信息接入的连接,甚至有到分支机构的接入连接。
所以总体线缆连接比较复杂和繁多,必须详细标识和说明。
根据线缆的属性,在线缆两端和不同间隔处应该添加标识,利于将来分辨。
标识文字需要说明:
线缆介质、目的地、管理部门和维护联系方式,标识物为号码管或者标签加透明胶带。
二、机柜标识
加装的机柜标识需要和安装地的其他机柜样式统一,如果需要,可以在机柜内适当位置加装标识标签,以便和其他应用机柜区分。
三、设备标识
1.网络设备标识
所有网络设备上标注设备名称、管理地址、归属用途和维护联系方式,使用端口旁边使用可以清楚辨别的描述,说明端口的状态、连接目的地和配置信息。
说明设备总体属性的标识物为标签,可以粘贴在设备上方或者其他醒目位置。
说明设备端口属性的标识物为标签,根据端口附近情况可以粘贴在端口附近。
2.服务器标识
各个服务器上标注设备管理部门、设备归属用途和管理人员等。
标识物为标签。
2.3采集数据设备
为加强环境信息机构规范化建设,促进环境信息化工作发展,根据环境信息化工作的实际需要。
同时为满足环境信息化建设过程中信息技术交流与培训的要求。
由于信息部门经常涉及到一些技术交流和培训。
通过数码相机或者相机将培训的内容拍摄下来,在部门之间进行学习和交流,同时为满足正常的办公需求。
申请采购数码相机和相机各一台,三台一体机,1台复印机和三部电话。
........忽略此处.......
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 经典 网络 方案 一期 工程 双机 架构