必須考慮的內容有:硬體安全和軟體安全問題。規劃計算機網路安全是一個相對的計劃,中心問題是網路安全的相對性。它與使用性質、使用環境、投資效益是緊密聯系在一起的。總的說,投資的恰倒好處,使網路相對的安全,就達到目的了。因為網路安全問題,不是一勞永逸的,還需要作為管理者不斷的學習更新升級。
硬體安全是指,一切眼睛看得見的,摸得著的,或通過儀器可以測量出來物理指標的設施、設備、網線、線路工程、供電及UPS電源、機房及建築結構、地理環境等部件。以上所有物理部件的安全因素,都是必須考慮的內容。考慮的重點是這些硬體的物理指標、運行的穩定可靠程度、防火、防水、防盜等容災系數。
軟體是指計算機操作系統,包括系統運行、管理、監測、監控等軟體。軟體安全,重點是考慮使用正版軟體和使用授權范圍、管理功能、運行可靠性、數據兼容性、容災備份和技術支持等內容。
② 網路規劃幫幫忙,,,,
兄弟你也是懶人一族,組建網路懶是不行的這和是我的經驗之談--!血的教訓啊我當時產靠是這個大綱給你看看了:
園網是各類型網路中一大分支,有著非常廣泛的應用及代表性。作為新技術的發祥地,學校、尤其是高等院校,和網路的關系自然密不可分, 本文就是從用戶的需求分析入手,闡述了校園網的應用特點,以及網路產品如何滿足校園網用戶的多方面需求,在校園網建設中的注意事項等。
總體思路及工程步驟:
進行對象研究和需求調查,弄清學校的性質、任務、網路建設的目的和發展的特點,對學校的信息化環境進行准確的描述,明確系統建設的需求和條件;
在應用需求分析的基礎上,確定學校Intranet服務類型,進而確定系統建設的具體目標,包括網路設施、站點設置、開發應用和管理等方面的目標;
確定網路拓樸結構和功能,根據應用需求、建設目標和學校主要建築分布特點,進行系統分析和設計;
確定技術設計的原則要求,如在技術選型、布線設計、設備選擇、軟體配置等方面的標准和要求;
確定好以上四點包含的所有具體細節內容後,基本上我們就可以為用戶量身定做適合他們的解決方案了,不過一個完整的網路建設工程,有過項目經驗的人都知道,當然以下三點也是必不可少的步驟。
貼近網路現狀的測試方案;
規劃安排校園網建設的實施步驟(項目管理);
內容完善的驗收文檔。
校園網建設的原則:
先進性,先進的設計思想、網路結構、開發工具,採用市場覆蓋率高、標准化和技術成熟的軟硬體產品;實用性,建網時應考慮利用和保護現有的資源、充分發揮設備效益;靈活性,採用積木式模塊組合和結構化設計,使系統配置靈活,滿足學校逐步到位的建網原則,使網路具有強大的可擴展性;可靠性,具有容錯功能,管理、維護方便。對網路的設計、選型、安裝、調試等各環節進行統一規劃和分析,確保系統運行可靠,經濟性,投資合理,有良好的性能價格比。
校園網是建構在多媒體技術和現代網路技術之上的為教學、科研、管理服務並與網際網路連接的校園內區域網絡環境,是一種教育科研網路。計算機網路畢竟是個新生事物,在各方面還不盡人所知,不顧自身需求和經濟實力而一擲千金的事例層出不窮。究其原因,多數為對校園網工程的具體事項了解不夠,作為一項龐大的系統工程,校園網工程事關學校的發展大計,必須慎重考慮。
網路建設需求匯總:
對校園網建設進行各步驟全面的需求分析,是成功校園網建設的必要條件,下面就從以上方面,結合目前校園網路建設,根據學校實際情況對學校網路建設的需求分析做一下匯總,主要是網路方面,對於終端、伺服器等不做過多介紹。
軟、硬體需求:
硬體是架構校園網的基礎,選擇硬體產品時,需要選擇兼容性好、擴展性強的設備,並且在選擇過程中綜合設備的性能價格等多方面的因素,而且該設備廠家必須能夠提供良好的售前及售後服務,解除用戶的後顧之憂。比如對中心設備一定要採用性能穩定、功能強大、安全的網路設備,伺服器等存儲設備也要採用高性能設備;還有在特定區域,如象圖書館等可能有大文件、圖片等數據需要傳輸的地方也要應用性能較好的設備。
軟體包括系統和管理兩種,學校應根據自身考慮來選擇適合自己的軟體。
資源需求
校園網資源建設是校園網最重要的組成部分,它的類型與功能是校園網區別於其他企業網
的重要特徵,對校園資源的分析是我們建設校園網的出發點,也是一個校園真正的需求所在,應用策略也要根據這方面的需求來選擇。比如vlan的劃分需要根據內部資源來定,安全問題則是外部資源需求要重點考慮的問題。
對於校園,主要應該考慮以下兩個方面:
內部資源區域劃分:對於一個有序、正規的網路,區域劃分非常重要,我們需要把一個校園的各個部門進行合理的劃分。比如圖書館、檔案館、宿舍等都要細劃分出來。再細劃分,還應該考慮學生的資料,如學生成績、入學等;員工教師的資料等等等等。
外部資源劃分:包括internet、學校網站、電子郵件、公共信息交流、內部信息資源共享等需求。
應用需求
這方面的需求不同學校有著明顯不同,大體都可以分為,教學、科研、辦公、服務這四方面應用。如對教學、科研方面的網路設計應考慮穩定、擴展、安全等問題;辦公、服務等帶寬是要著重考慮的方面,所以學校應該根據自己的實際情況來考慮網路的結構,及安全問題。
網路需求
網路需求我們要遵循幾大要點,一個成功、合理的網路一定要考慮資金、安全、管理、擴展性、實用、高性能這幾大方面。
網路技術需求
網路技術需求就是要解決的網路問題。在一個網路中會存在許多網路自身的問題,如vlan的劃分、ip地址沖突、mac地址沖突、數據安全、數據備份都是我們在設計網路時要考慮的問題。
結構化布線:
我們知道網路故障70%來自綜合布線,合理的布線不但可以使網路更好的暢通而且可以減少網路故障的發生。
綜合布線系統是建築物或建築群內的傳輸網路,它既能使話音和數據通信設備、交換設備和其他信息管理系統彼此連接,也能使這些設備與外部通信網路相互連接,包括建築物到外部網路或電話局線路上的連線點,與工作區的話音或數據終端之間的所有電纜,以及相關聯的布線部件。校園網為園區網,樓群間子系統採用光纜連接,可提供千兆位的帶寬,有充分的擴展餘地。垂直子系統則位於高層建築物的豎井內,可採用多模光纜或大對數雙絞線。樓內布線包括水平布線和主幹布線。一般水平系統採用超五類雙絞線,新的樓宇採用暗裝牆內的方式,舊的樓宇採用PVC線槽明裝的方式。
校園網路架構設計:
校園網的拓補結構基本上是混合型的,它是由星型、匯流排型等典型拓補結構組成,在現代網路結構化布線工程中多採用星型結構,主要用於同一樓層,由各個房間的計算機間用集線器或者交換機連接產生的,它具有施工簡單,擴展性高,成本低和可管理性好等優點;而校園網在分層布線主要採用樹型結構;每個房間的計算機連接到本層的集線器或交換機,然後每層的集線器或交換機在連接到本樓出口的交換機或路由器,各個樓的交換機或路由器再連接到校園網的通信網中,由此構成了校園網的拓補結構。當然這其中還有對網路整體結構的設計,如vlan的劃分,各不同區域的細劃分都需要根據學校情況來定。
校園網路中心以及各分校區均通過2M E1光纖或DDN專線或ADSL接入Internet。對於我們畫定的區域如圖書館、宿舍等,都可以通過100M交換口連入校園網,而各個終端可以採用10/100M共享式埠。
目前的校園網大多數是純三層的交換網路。由於交換機都具有三層功能,匯聚層一般已經可以與接入層歸納為一個層次。各樓層和各樓之間的交換設備都直接上連到核心設備上。
網路技術:
目前比較常見的主幹網技術有FDDI、ATM、快速乙太網和千兆乙太網等。前二種技術,由於缺點眾多,已經退出了主流市場;後二種乙太網技術由於有很多技術優勢,已經成為現今網路的主流,其中具有交換功能的快速乙太網,支持VLAN,並容易升級到千兆乙太網,性能優越,價格適中,一般建議採用快速乙太網作為校園網的主幹技術。快速乙太網,以上已經提到主要應用在校園的接入層,如樓層,樓間;千兆乙太網主要應用在核心設備之間,主校園與分校之間及上連廣域網設備上。
快速乙太網
傳統乙太網用的是10Mb/s技術,快速乙太網是乙太網的升級,速度可提升到100Mb/s,現在的網卡和集線器等網路終端設備都支持這種技術,是當今的網路技術的主流,應用非常廣泛。不光是校園,快速乙太網也很好的應用在政府、企業的網路中。快速乙太網的設計非常靈活,幾乎對網路結構沒有限制,可以是交換式、共享式的或基於路由器的。現在正在應用的網路互聯技術,例如,特定IP交換技術和第三層的交換技術,都與快速乙太網完全兼容。並且可以通過價格便宜的共享集線器、交換機或路由器來實現。
千兆乙太網
千兆位乙太網是相當成功的10Mb/s乙太網和100Mb/s快速乙太網連接標準的擴展,並且繼承了快速乙太網的所有優點。現在千兆位乙太網成熟的標准為IEEE802.3z。千兆位乙太網技術以簡單的乙太網技術為基礎,為網路主幹提供1Gb/s的帶寬。千兆位乙太網使用的傳輸介質有光纖、5類非屏蔽雙絞線(UTP)或同軸電纜。目前,千兆乙太網支持單模光纖、多模光纖和同軸電纜,支持5類非屏蔽雙絞線的標准正在制定中。
設備選型:
目前的校園網路結構大多都採用交換設備搭建,我們針對學校校園網的結構及用戶,對設備的選擇應該充分考慮服務,管理性、穩定性、安全性、性能價格比等因素。
核心層是校園網路的最重要的部分,在這里一定要選用性能穩定,安全的設備。學校網路中心的核心交換機可以選擇H3Com Switch 7500系列區域網絡核心交換機、SuperStack 3 系列區域網絡交換機或者思科Catalyst 6000、5000、4000系列交換機。這些設備都是各大廠商的主流設備,並且廣泛應用與網路結構的核心,具有管理方便、性能穩定、安全(可增加安全模塊)和高擴展性。
匯聚層則可以選用3Com SuperStack 3 系列區域網絡交換機或者思科Catalyst 4000系列、3500系列等設備,這些設備性能穩定,管理方便,擴展性強。
接入層可以採用思科Catalyst 2900、3500系列交換機,也可以採用華為的28系列。這些設備性能穩定,價格便宜,功能強大。
當然,匯聚層也可以與接入層規劃為一層,設備也可以根據上面的設備再根據自己學校的需求與能力來自行選擇,那麼接入層就可以使用價格更加便宜的集線器。
③ 在部署數據中心時,需要規劃以下哪些安全解決方案
1. 數據中心設計原則
依據數據中心網路安全建設和改造需求,數據中心方案設計將遵循以下原則:
1.1 網路適應雲環境原則
網路的設計要在業務需求的基礎上,屏蔽基礎網路差異,實現網路資源的池化;根據業務自動按需分配網路資源,有效增強業務系統的靈活性、安全性,降低業務系統部署實施周期和運維成本。
1.2 高安全強度原則
安全系統應基於等保要求和實際業務需求,部署較為完備的安全防護策略,防止對核心業務系統的非法訪問,保護數據的安全傳輸與存儲,設計完善的面向全網的統一安全防護體系。同時,應充分考慮訪問流量大、業務豐富、面向公眾及虛擬化環境下的安全防護需求,合理設計雲計算環境內安全隔離、監測和審計的方案,提出雲計算環境安全解決思路。
1.3 追求架構先進,可靠性強原則
設計中所採用的網路技術架構,需要放眼長遠,採用先進的網路技術,順應當前雲網路發展方向,使系統建設具有較長的生命周期,順應業務的長遠發展。同時保證網路系統的可靠性,實現關鍵業務的雙活需求。同時,應為設備和鏈路提供冗餘備份,有效降低故障率,縮短故障修復時間。
1.4 兼容性和開放性原則
設計中所採用的網路技術,遵守先進性、兼容性、開放性,以保證網路系統的互操作性、可維護性、可擴展性。採用標准網路協議,保證在異構網路中的系統兼容性;網路架構提供標准化介面,便於整體網路的管理對接,實現對網路資源的統一管理。
2. 雲計算環境下的安全設計
隨著目前大量服務區虛擬化技術的應用和雲計算技術的普及,在雲計算環境下的安全部署日益成為關注的重點問題,也關繫到未來數據中心發展趨勢。在本設計方案中,建議採用高性能網路安全設備和靈活的虛擬軟體安全網關(NFV 網路功能虛擬化)產品組合來進行數據中心雲安全設計。在滿足多業務的安全需求時,一方面可以通過建設高性能、高可靠、虛擬化的硬體安全資源池,同時集成FW/IPS/LB等多種業務引擎,每個業務可以靈活定義其需要的安全服務類型並通過雲管理員分配相應的安全資源,實現對業務流量的安全隔離和防護;另一方面,針對業務主機側的安全問題,可以通過虛擬軟體安全網關實現對主機的安全防護,每個業務可以針對自身擁有的伺服器計算資源進行相應的安全防護和加固的工作。其部署示意圖如下所示:
2.1 南北向流量安全防護規劃
在雲計算數據中心中,針對出入數據中心的流量,我們稱之為「南北向流量」。針對南北向流量的安全防護,建議採用基於虛擬化技術的高性能安全網關來實現。
虛擬化技術是實現基於多業務業務隔離的重要方式。和傳統廠商的虛擬化實現方式不同,H3C的安全虛擬化是一種基於容器的完全虛擬化技術;每個安全引擎通過唯一的OS內核對系統硬體資源進行管理,每個虛擬防火牆作為一個容器實例運行在同一個內核之上,多台虛擬防火牆相互獨立,每個虛擬防火牆實例對外呈現為一個完整的防火牆系統,該虛擬防火牆業務功能完整、管理獨立、具備精細化的資源限制能力,典型示意圖如下所示:
虛擬防火牆具備多業務的支持能力
虛擬防火牆有自己獨立的運行空間,各個實例之間的運行空間完全隔離,天然具備了虛擬化特性。每個實例運行的防火牆業務系統,包括管理平面、控制平面、數據平面,具備完整的業務功能。因此,從功能的角度看,虛擬化後的系統和非虛擬化的系統功能一致。這也意味著每個虛擬防火牆內部可以使能多種安全業務,諸如路由協議,NAT,狀態檢測,IPSEC VPN,攻擊防範等都可以獨立開啟。
虛擬防火牆安全資源精確定義能力
通過統一的OS內核,可以細粒度的控制每個虛擬防火牆容器對的CPU、內存、存儲的硬體資源的利用率,也可以管理每個VFW能使用的物理介面、VLAN等資源,有完善的虛擬化資源管理能力。通過統一的調度介面,每個容器的所能使用的資源支持動態的調整,比如,可以根據業務情況,在不中斷VFW業務的情況下,在線動態增加某個VFW的內存資源。
多層次分級分角色的獨立管理能力
基於分級的多角色虛擬化管理方法,可以對每個管理設備的用戶都會被分配特定的級別和角色,從而確定了該用戶能夠執行的操作許可權。一方面,通過分級管理員的定義,可以將整個安全資源劃分為系統級別和虛擬防火牆級別。系統級別的管理員可以對整個防火牆的資源進行全局的配置管理,虛擬防火牆管理員只關注自身的虛擬防火牆配置管理。另一方面,通過定義多角色管理員,諸如在每個虛擬防火牆內部定義管理員、操作員、審計員等不同角色,可以精確定義每個管理員的配置管理許可權,滿足虛擬防火牆內部多角色分權的管理。
2.2 東西向流量安全防護規劃
數據中心中虛機(VM)間的交互流量,我們稱之為「東西向流量」。針對東西兩流量,採用虛擬軟體安全網關產品來實現安全防護。
對於普通的雲計算VPC模型的業務,既可以將NFV安全業務安裝在業務伺服器內,也可以部署獨立的安全業務網關伺服器。可採用部署獨立的安全業務網關伺服器,此時安裝了NFV的獨立的伺服器資源邏輯上被認為是單一管理節點,對外提供高性能的VFW業務。
考慮到在虛擬化之後伺服器內部的多個VM之間可能存在流量交換,在這種情況下外部的安全資源池無法對其流量進行必要的安全檢查,在這種情況下,基於SDN架構模式的虛擬化軟體安全網關vFW產品應運而生,在安全功能方面,為用戶提供了全面的安全防範體系和遠程安全接入能力,支持攻擊檢測和防禦、NAT、ALG、ACL、安全域策略,能夠有效的保證網路的安全;採用ASPF(Application Specific Packet Filter)應用狀態檢測技術,可對連接狀態過程和異常命令進行檢測,提供多種智能分析和管理手段,支持多種日誌,提供網路管理監控,協助網路管理員完成網路的安全管理;支持多種VPN業務,如L2TP VPN、GRE VPN、IPSec VPN等豐富業務功能。
vFW技術帶來如下優勢:
• 部署簡單,無需改變網路即可對虛擬機提供保護
• 安全策略自動跟隨虛擬機遷移,確保虛擬機安全性
• 新增虛擬機能夠自動接受已有安全策略的保護
• 細粒度的安全策略確保虛擬機避免內外部安全威脅;
vFW解決方案能夠監控和保護虛擬環境的安全,以避免虛擬化環境與外部網路遭受內外部威脅的侵害,從而為虛擬化數據中心和雲計算網路帶來全面的安全防護,幫助企業構建完善的數據中心和雲計算網路安全解決方案。
3. 雲計算環境下數據安全防護手段建議
基於以上雲計算環境下的數據安全風險分析,在雲計算安全的建設過程中,需要針對這些安全風險採取有針對性的措施進行防護。
3.1 用戶自助服務管理平台的訪問安全
用戶需要登錄到雲服務管理平台進行自身的管理操作設置,如基礎的安全防護策略設置,針對關鍵伺服器的訪問許可權控制設置,用戶身份認證加密協議配置,虛擬機的資源配置、管理員許可權配置及日誌配置的自動化等等。這些部署流程應該被遷移到自服務模型並為用戶所利用。在這種情況下,雲服務管理者本身需要對租戶的這種自服務操作進行用戶身份認證確認,用戶策略的保密、不同租戶之間的配置安全隔離以及用戶關鍵安全事件的日誌記錄以便後續可以進行問題跟蹤溯源。
3.2 伺服器虛擬化的安全
在伺服器虛擬化的過程中,單台的物理伺服器本身可能被虛化成多個虛擬機並提供給多個不同的租戶,這些虛擬機可以認為是共享的基礎設施,部分組件如CPU、緩存等對於該系統的使用者而言並不是完全隔離的。此時任何一個租戶的虛擬機漏洞被黑客利用將導致整個物理伺服器的全部虛擬機不能正常工作,同時,針對全部虛擬機的管理平台,一旦管理軟體的安全漏洞被利用將可能導致整個雲計算的伺服器資源被攻擊從而造成雲計算環境的癱瘓。針對這類型公用基礎設施的安全需要部署防護。
在此背景下,不同的租戶可以選擇差異化的安全模型,此時需要安全資源池的設備可以通過虛擬化技術提供基於用戶的專有安全服務。如針對防火牆安全業務的租戶,為了將不同租戶的流量在傳輸過程中進行安全隔離,需要在防火牆上使能虛擬防火牆技術,不同的租戶流量對應到不同的虛擬防火牆實例,此時,每個租戶可以在自身的虛擬防火牆實例中配置屬於自己的訪問控制安全策略,同時要求設備記錄所有安全事件的日誌,創建基於用戶的安全事件分析報告,一方面可以為用戶的網路安全策略調整提供技術支撐,另一方面一旦發生安全事件,可以基於這些日誌進行事後的安全審計並追蹤問題發生的原因。其它的安全服務類型如IPS和LB負載均衡等也需要通過虛擬化技術將流量引入到設備並進行特定的業務處理。
3.3 內部人員的安全培訓和行為審計
為了保證用戶的數據安全,雲服務管理者必須要對用戶的數據安全進行相應的SLA保證。同時必須在技術和制度兩個角度對內部數據操作人員進行安全培訓。一方面通過制定嚴格的安全制度要求內部人員恪守用戶數據安全,另一方面,需要通過技術手段,將內部人員的安全操作日誌、安全事件日誌、修改管理日誌、用戶授權訪問日誌等進行持續的安全監控,確保安全事件發生後可以做到有跡可尋。
3.4 管理平台的安全支持
雲服務管理者需要建設統一的雲管理平台,實現對整個雲計算基礎設施資源的管理和監控,統一的雲管理平台應在安全管理功能的完整性以及介面API的開放性兩個方面有所考慮。前者要求管理平台需要切實承擔起對全部安全資源池設備的集中設備管理、安全策略部署以及整網安全事件的監控分析和基於用戶的報表展示;後者的考慮是為了適配雲計算環境中可能存在的多種安全設備類型或多廠商設備,也需要在API介面的開放性和統一性上進行規范和要求,以實現對下掛安全資源池設備的配置管理和日誌格式轉換等需求。也只有這樣才能實現設備和管理平台的無縫對接,提升雲管理平台的安全管理能力。