QM_北控数据中心建设方案-V1审核

北京控股集团有限公司数据中心建设项目项目方案需求提出：北京控股集团有限公司方案制作：制作时间：2014年7月16日V1.0数据中心建设方案启迷科技2目录第一部分服务器、存储及网络设备的综合部署与搭建..........................................3第二部分服务器、存储、网络设备采购清单.........................................................8数据中心建设方案启迷科技3第一部分服务器、存储及网络设备的综合部署与搭建一、机房拓扑结构本数据中心需要满足内、外网的大量用户与数据交互，涉及到互联网、财务系统、办公网络、数据存储和网络通讯的综合业务处理，根据需求，拓扑结构设计如下图：其中核心交换机互相热备、可切换。财务服务器做集群。存储做阵列、并可互相热备可切换。WEB与企业邮局服务器做文件数据分离，数据库做主从设计，可实现热备切换，并通过客户端进行远程管理与维护，在机房内设置移动式维护设备进行本地管理维护。楼层间网络交换与下属公司、外联网络做网段划分，与整体网络共同做好网络安全规划。同时考虑到设备的采购成本、维护成本及使用成本和质量与稳定性，我们提供了两套可选设备的选购方案，主要区别为优秀的国有自主品牌以及市场选用较多的国际化品牌，详见“第九部分服务器、存储、网络设备采购方案”二、网络安全规划1、网络安全部署思路本次信息建设虽然仅包括数据中心、内网楼层以及广域网中心部分的改造和建设，但也必须从全局和架构的高度进行统一的设计。建议采用目前国际最新的“信息保障技术框架（IATF）”数据中心建设方案启迷科技4安全体系结构，其明确提出需要考虑3个主要的因素：人、操作和技术。本技术方案着重讨论技术因素，人和操作则需要在非技术领域（比如安全规章制度）方面进行解决。技术因素方面IATF提出了一个通用的框架，将信息系统的信息保障技术层面分为了四个技术框架域：网络和基础设施：网络和基础设施的防护飞地边界：解决边界保护问题局域计算环境：主机的计算环境的保护支撑性基础设施：安全的信息环境所需要的支撑平台并提出纵深防御的IA原则，即人、技术、操作相结合的多样性、多层叠的保护原则。如下图所示：主要的一些安全技术和应用在框架中的位置如下图所示：数据中心建设方案启迷科技5我们在本次网络建设改造中需要考虑的安全问题就是上图中的“网络和基础设施保护”、“边界保护”两个方面，而“计算机环境（主机）”、“支撑平台”则是在系统主机建设和业务应用建设中需要重点考虑的安全问题。2、设备级安全A、防蠕虫病毒的等DOS攻击数据中心虽然没有直接连接Internet，但内部专网中很多计算机并无法保证在整个使用周期内不会接触互联网和各种移动存储介质，仍然会较多的面临大量网络蠕虫病毒的威胁，比如RedCode，SQLSlammer等等，由于它们经常变换特征，防火墙也不能完全对其进行过滤，它们一般发作的机理如下：利用MicrodsoftOS或应用的缓冲区溢出的漏洞获得此主机的控制权获得此主机的控制权后，安装病毒软件，病毒软件随机生成大量的IP地址，并向这些IP地址发送大量的IP包。有此安全漏洞的MSOS会受到感染，也随机生成大量IP地址，并向这些IP地址发送大量的IP包。导致阻塞网络带宽，CPU利用率升高等直接对网络设备发出错包，让网络设备CPU占用率升高直至引发协议错误甚至宕机B、防VLAN的脆弱性配置在数据中心的不同安全域进行防火墙访问控制隔离时，存在多个VLAN，虽然广泛采用端口捆绑、vPC等技术使正常工作中拓扑简化甚至完全避免环路，但由于网络VLAN多且关系复杂，数据中心建设方案启迷科技6无法在工程上完全杜绝诸如网络故障切换、误操作造成的临时环路，因此有必要运行生成树协议作为二层网络中增加稳定性的措施。但是，当前有许多软件都具有STP功能，恶意用户在它的PC上安装STP软件与一个Switch相连，引起STP重新计算，它有可能成为STPRoot,因此所有流量都会流向恶意软件主机,恶意用户可做包分析。局域网交换机应具有Rootguard（根桥监控）功能，可以有效防止其它Switch成为STPRoot。本项目我们在所有允许二层生成树协议的设备上，特别是接入层中都将启动RootGuard特性，另外Nexus5000/2000还支持BPDUfilters,BridgeAssurance等生成树特性以保证生成树的安全和稳定。还有一些恶意用户编制特定的STP软件向各个Vlan加入，会引起大量的STP的重新计算，引起网络抖动，CPU占用升高。本期所有接入层交换机的所有端口都将设置BPDUGuard功能，一旦从某端口接收到恶意用户发来的STPBPDU,则禁止此端口。大量使用了三层交换机，在发送数据前其工作方式同路由器一样先查找ARP，找到目的端的MAC地址，再把信息发往目的。很多病毒可以向三层交换机发一个冒充的ARP,将目的端的IP地址和恶意用户主机的MAC对应，因此发往目的端的包就会发往恶意用户，以此实现包窃听。在Host上配置静态ARP是一种防止方式，但是有管理负担加重，维护困难，并当通信双方经常更换时，几乎不能及时更新。本期所使用的所有三层交换机都支持动态ARPInspection功能，可动态识别DHCP，记忆MAC地址和IP地址的正确对应关系，有效防止ARP的欺骗。实际配置中，主要配置对Server和网络设备实施的ARP欺骗，也可静态人为设定，由于数量不多，管理也较简单。C、防止DHCP相关攻击楼层网段会采用DHCPServer服务器提供用户端地址，但是却面临着几种与DHCP服务相关的攻击方式，它们是：DHCPServer冒用：当某一个恶意用户再同一网段内也放一个DHCP服务器时，PC很容易得到这个DHCPserver的分配的IP地址而导致不能上网。恶意客户端发起大量DHCP请求的DDos攻击：恶意客户端发起大量DHCP请求的DDos攻击，则会使DHCPServer性能耗尽、CPU利用率升高。恶意客户端伪造大量的MAC地址恶意耗尽IP地址池应采用如下技术应对以上常见攻击：防DHCPServer冒用：此次新采购的用户端接入交换机应当支持DHCPSnoopingVACL,只允许指定DHCPServer的服务通过，其它的DHCPServer的服务不能通过Switch。防止恶意客户端发起大量DHCP请求的DDos攻击：此次新采购的用户端接入交换机应当数据中心建设方案启迷科技7支持对DHCP请求作流量限速，防止恶意客户端发起大量DHCP请求的DDos攻击，防止DHCPServer的CPU利用率升高。恶意客户端伪造大量的MAC地址恶意耗尽IP地址池：此次新采购的用户端接入交换机应当支持DHCPoption82字段插入，可以截断客户端DHCP的请求，插入交换机的标识、接口的标识等发送给DHCPServer；另外DHCP服务软件应支持针对此标识来的请求进行限量的IP地址分配，或者其它附加的安全分配策略和条件。3、网络级安全网络级安全是网络基础设施在提供连通性服务的基础上所增值的安全服务，在网络平台上直接实现这些安全功能比采用独立的物理主机实现具有更为强的灵活性、更好的性能和更方便的管理。本项目我司主要提供访问控制和隔离（防火墙技术）。A、安全区域划分数据中心安全域的划分需要建立在对数据中心应用业务的分析基础之上，具体原则如下：同一业务一定要在一个安全域内有必要进行安全审计和访问控制的区域必须使用安全域划分需要进行虚拟机迁移的虚拟主机要在一个安全域中划分不宜过细，安全等级一致的业务可以在安全域上进行归并，建议一期不超过5个安全域根据本项目需求，我们建议划分为：WEB前端，管理后台，数据库，封闭环境和财务系统等。B、防火墙部署策略不同安全域之间的访问控制策略由于虚拟化设计而只需考虑各个安全域内出方向策略和入方向策略即可。建议初始策略依据如下原则设定，然后根据业务需求不断调整：出方向上不进行策略限制，全部打开入方向上按“最小授权原则”打开必要的服务允许发自内部地址的双方向的ICMP，但对ICMP进行应用检查（Inspect）允许发自内部地址的TraceRoute，便于网络诊断关闭双方向的TCPSeqRandomization，在数据中心内的防火墙可以去除该功能以提高转发效率减少或者不进行NAT，保证数据中心内的地址透明性，便于ACE提供服务数据中心建设方案启迷科技8关闭nat-control（此为默认），关闭xlate记录，以保证并发连接数对每个防火墙的资源进行最大限定：总连接数，策略数，吞吐量，基于每个虚拟防火墙设定最大未完成连接数（EmbryonicConnection），将来升级到定义每客户端的最大未完成连接数。C、智能主动防御传统的不停的打补丁和进行特征码升级的被动防御手段已经无法适应安全防御的要求，必须由网络主动的智能感知网络中的行为和事件，在发生严重后果之前及时通知安全网络管理人员，甚至直接联动相关的安全设备，进行提早措施，才能有效减缓危害。要实现这种智能的主动防御系统，需要网络中进行如下部署：对桌面用户的接入进行感知和相应措施对桌面用户的行为进行分析和感知对全网安全事件、流量和拓扑进行智能的分析、关联和感知对各种信息进行综合分析然后进行准确的报告第二部分服务器、存储、网络设备采购清单方案一：名称品牌型号数量单价（元）合计（元）服务器数据库服务器IBM/DELL2台HR服务器IBM/DELL2台档案存储服务器IBM/DELL1台档案应用服务器IBM/DELL1台WEB服务器IBM/DELL2台财务服务器IBM/DELL7台企业邮局系统263500用户工作站监控用PC联想/华为1台办公用PC联想/华为2台移动式维护设备1套存储磁盘阵列柜EMC2台存储服务器华为2台备份系统赛门铁克网络引擎板Cisco2台光口接口板2个数据中心建设方案启迷科技9电口接口板2个电源4组光模块50个核心交换机2台交换机12台防火墙3台方案二：名称品牌型号数量单价（元）合计（元）服务器数据库服务器联想/华为2台HR服务器联想/华为2台档案存储服务器联想/华为1台档案应用服务器联想/华为1台WEB服务器联想/华为2台财务服务器浪潮7台企业邮局系统263500用户工作站监控用PC联想/华为1台办公用PC联想/华为2台移动式维护设备1套存储磁盘阵列柜华为2台存储服务器华为2台备份系统网络核心交换机华为2台电口板卡2个光口板卡2个光模块160组交换机30台防火墙3台数据中心建设方案启迷科技10