必须考虑的内容有:硬件安全和软件安全问题。规划计算机网络安全是一个相对的计划,中心问题是网络安全的相对性。它与使用性质、使用环境、投资效益是紧密联系在一起的。总的说,投资的恰倒好处,使网络相对的安全,就达到目的了。因为网络安全问题,不是一劳永逸的,还需要作为管理者不断的学习更新升级。
硬件安全是指,一切眼睛看得见的,摸得着的,或通过仪器可以测量出来物理指标的设施、设备、网线、线路工程、供电及UPS电源、机房及建筑结构、地理环境等部件。以上所有物理部件的安全因素,都是必须考虑的内容。考虑的重点是这些硬件的物理指标、运行的稳定可靠程度、防火、防水、防盗等容灾系数。
软件是指计算机操作系统,包括系统运行、管理、监测、监控等软件。软件安全,重点是考虑使用正版软件和使用授权范围、管理功能、运行可靠性、数据兼容性、容灾备份和技术支持等内容。
② 网络规划帮帮忙,,,,
兄弟你也是懒人一族,组建网络懒是不行的这和是我的经验之谈--!血的教训啊我当时产靠是这个大纲给你看看了:
园网是各类型网络中一大分支,有着非常广泛的应用及代表性。作为新技术的发祥地,学校、尤其是高等院校,和网络的关系自然密不可分, 本文就是从用户的需求分析入手,阐述了校园网的应用特点,以及网络产品如何满足校园网用户的多方面需求,在校园网建设中的注意事项等。
总体思路及工程步骤:
进行对象研究和需求调查,弄清学校的性质、任务、网络建设的目的和发展的特点,对学校的信息化环境进行准确的描述,明确系统建设的需求和条件;
在应用需求分析的基础上,确定学校Intranet服务类型,进而确定系统建设的具体目标,包括网络设施、站点设置、开发应用和管理等方面的目标;
确定网络拓朴结构和功能,根据应用需求、建设目标和学校主要建筑分布特点,进行系统分析和设计;
确定技术设计的原则要求,如在技术选型、布线设计、设备选择、软件配置等方面的标准和要求;
确定好以上四点包含的所有具体细节内容后,基本上我们就可以为用户量身定做适合他们的解决方案了,不过一个完整的网络建设工程,有过项目经验的人都知道,当然以下三点也是必不可少的步骤。
贴近网络现状的测试方案;
规划安排校园网建设的实施步骤(项目管理);
内容完善的验收文档。
校园网建设的原则:
先进性,先进的设计思想、网络结构、开发工具,采用市场覆盖率高、标准化和技术成熟的软硬件产品;实用性,建网时应考虑利用和保护现有的资源、充分发挥设备效益;灵活性,采用积木式模块组合和结构化设计,使系统配置灵活,满足学校逐步到位的建网原则,使网络具有强大的可扩展性;可靠性,具有容错功能,管理、维护方便。对网络的设计、选型、安装、调试等各环节进行统一规划和分析,确保系统运行可靠,经济性,投资合理,有良好的性能价格比。
校园网是建构在多媒体技术和现代网络技术之上的为教学、科研、管理服务并与因特网连接的校园内局域网络环境,是一种教育科研网络。计算机网络毕竟是个新生事物,在各方面还不尽人所知,不顾自身需求和经济实力而一掷千金的事例层出不穷。究其原因,多数为对校园网工程的具体事项了解不够,作为一项庞大的系统工程,校园网工程事关学校的发展大计,必须慎重考虑。
网络建设需求汇总:
对校园网建设进行各步骤全面的需求分析,是成功校园网建设的必要条件,下面就从以上方面,结合目前校园网络建设,根据学校实际情况对学校网络建设的需求分析做一下汇总,主要是网络方面,对于终端、服务器等不做过多介绍。
软、硬件需求:
硬件是架构校园网的基础,选择硬件产品时,需要选择兼容性好、扩展性强的设备,并且在选择过程中综合设备的性能价格等多方面的因素,而且该设备厂家必须能够提供良好的售前及售后服务,解除用户的后顾之忧。比如对中心设备一定要采用性能稳定、功能强大、安全的网络设备,服务器等存储设备也要采用高性能设备;还有在特定区域,如象图书馆等可能有大文件、图片等数据需要传输的地方也要应用性能较好的设备。
软件包括系统和管理两种,学校应根据自身考虑来选择适合自己的软件。
资源需求
校园网资源建设是校园网最重要的组成部分,它的类型与功能是校园网区别于其他企业网
的重要特征,对校园资源的分析是我们建设校园网的出发点,也是一个校园真正的需求所在,应用策略也要根据这方面的需求来选择。比如vlan的划分需要根据内部资源来定,安全问题则是外部资源需求要重点考虑的问题。
对于校园,主要应该考虑以下两个方面:
内部资源区域划分:对于一个有序、正规的网络,区域划分非常重要,我们需要把一个校园的各个部门进行合理的划分。比如图书馆、档案馆、宿舍等都要细划分出来。再细划分,还应该考虑学生的资料,如学生成绩、入学等;员工教师的资料等等等等。
外部资源划分:包括internet、学校网站、电子邮件、公共信息交流、内部信息资源共享等需求。
应用需求
这方面的需求不同学校有着明显不同,大体都可以分为,教学、科研、办公、服务这四方面应用。如对教学、科研方面的网络设计应考虑稳定、扩展、安全等问题;办公、服务等带宽是要着重考虑的方面,所以学校应该根据自己的实际情况来考虑网络的结构,及安全问题。
网络需求
网络需求我们要遵循几大要点,一个成功、合理的网络一定要考虑资金、安全、管理、扩展性、实用、高性能这几大方面。
网络技术需求
网络技术需求就是要解决的网络问题。在一个网络中会存在许多网络自身的问题,如vlan的划分、ip地址冲突、mac地址冲突、数据安全、数据备份都是我们在设计网络时要考虑的问题。
结构化布线:
我们知道网络故障70%来自综合布线,合理的布线不但可以使网络更好的畅通而且可以减少网络故障的发生。
综合布线系统是建筑物或建筑群内的传输网络,它既能使话音和数据通信设备、交换设备和其他信息管理系统彼此连接,也能使这些设备与外部通信网络相互连接,包括建筑物到外部网络或电话局线路上的连线点,与工作区的话音或数据终端之间的所有电缆,以及相关联的布线部件。校园网为园区网,楼群间子系统采用光缆连接,可提供千兆位的带宽,有充分的扩展余地。垂直子系统则位于高层建筑物的竖井内,可采用多模光缆或大对数双绞线。楼内布线包括水平布线和主干布线。一般水平系统采用超五类双绞线,新的楼宇采用暗装墙内的方式,旧的楼宇采用PVC线槽明装的方式。
校园网络架构设计:
校园网的拓补结构基本上是混合型的,它是由星型、总线型等典型拓补结构组成,在现代网络结构化布线工程中多采用星型结构,主要用于同一楼层,由各个房间的计算机间用集线器或者交换机连接产生的,它具有施工简单,扩展性高,成本低和可管理性好等优点;而校园网在分层布线主要采用树型结构;每个房间的计算机连接到本层的集线器或交换机,然后每层的集线器或交换机在连接到本楼出口的交换机或路由器,各个楼的交换机或路由器再连接到校园网的通信网中,由此构成了校园网的拓补结构。当然这其中还有对网络整体结构的设计,如vlan的划分,各不同区域的细划分都需要根据学校情况来定。
校园网络中心以及各分校区均通过2M E1光纤或DDN专线或ADSL接入Internet。对于我们画定的区域如图书馆、宿舍等,都可以通过100M交换口连入校园网,而各个终端可以采用10/100M共享式端口。
目前的校园网大多数是纯三层的交换网络。由于交换机都具有三层功能,汇聚层一般已经可以与接入层归纳为一个层次。各楼层和各楼之间的交换设备都直接上连到核心设备上。
网络技术:
目前比较常见的主干网技术有FDDI、ATM、快速以太网和千兆以太网等。前二种技术,由于缺点众多,已经退出了主流市场;后二种以太网技术由于有很多技术优势,已经成为现今网络的主流,其中具有交换功能的快速以太网,支持VLAN,并容易升级到千兆以太网,性能优越,价格适中,一般建议采用快速以太网作为校园网的主干技术。快速以太网,以上已经提到主要应用在校园的接入层,如楼层,楼间;千兆以太网主要应用在核心设备之间,主校园与分校之间及上连广域网设备上。
快速以太网
传统以太网用的是10Mb/s技术,快速以太网是以太网的升级,速度可提升到100Mb/s,现在的网卡和集线器等网络终端设备都支持这种技术,是当今的网络技术的主流,应用非常广泛。不光是校园,快速以太网也很好的应用在政府、企业的网络中。快速以太网的设计非常灵活,几乎对网络结构没有限制,可以是交换式、共享式的或基于路由器的。现在正在应用的网络互联技术,例如,特定IP交换技术和第三层的交换技术,都与快速以太网完全兼容。并且可以通过价格便宜的共享集线器、交换机或路由器来实现。
千兆以太网
千兆位以太网是相当成功的10Mb/s以太网和100Mb/s快速以太网连接标准的扩展,并且继承了快速以太网的所有优点。现在千兆位以太网成熟的标准为IEEE802.3z。千兆位以太网技术以简单的以太网技术为基础,为网络主干提供1Gb/s的带宽。千兆位以太网使用的传输介质有光纤、5类非屏蔽双绞线(UTP)或同轴电缆。目前,千兆以太网支持单模光纤、多模光纤和同轴电缆,支持5类非屏蔽双绞线的标准正在制定中。
设备选型:
目前的校园网络结构大多都采用交换设备搭建,我们针对学校校园网的结构及用户,对设备的选择应该充分考虑服务,管理性、稳定性、安全性、性能价格比等因素。
核心层是校园网络的最重要的部分,在这里一定要选用性能稳定,安全的设备。学校网络中心的核心交换机可以选择H3Com Switch 7500系列局域网络核心交换机、SuperStack 3 系列局域网络交换机或者思科Catalyst 6000、5000、4000系列交换机。这些设备都是各大厂商的主流设备,并且广泛应用与网络结构的核心,具有管理方便、性能稳定、安全(可增加安全模块)和高扩展性。
汇聚层则可以选用3Com SuperStack 3 系列局域网络交换机或者思科Catalyst 4000系列、3500系列等设备,这些设备性能稳定,管理方便,扩展性强。
接入层可以采用思科Catalyst 2900、3500系列交换机,也可以采用华为的28系列。这些设备性能稳定,价格便宜,功能强大。
当然,汇聚层也可以与接入层规划为一层,设备也可以根据上面的设备再根据自己学校的需求与能力来自行选择,那么接入层就可以使用价格更加便宜的集线器。
③ 在部署数据中心时,需要规划以下哪些安全解决方案
1. 数据中心设计原则
依据数据中心网络安全建设和改造需求,数据中心方案设计将遵循以下原则:
1.1 网络适应云环境原则
网络的设计要在业务需求的基础上,屏蔽基础网络差异,实现网络资源的池化;根据业务自动按需分配网络资源,有效增强业务系统的灵活性、安全性,降低业务系统部署实施周期和运维成本。
1.2 高安全强度原则
安全系统应基于等保要求和实际业务需求,部署较为完备的安全防护策略,防止对核心业务系统的非法访问,保护数据的安全传输与存储,设计完善的面向全网的统一安全防护体系。同时,应充分考虑访问流量大、业务丰富、面向公众及虚拟化环境下的安全防护需求,合理设计云计算环境内安全隔离、监测和审计的方案,提出云计算环境安全解决思路。
1.3 追求架构先进,可靠性强原则
设计中所采用的网络技术架构,需要放眼长远,采用先进的网络技术,顺应当前云网络发展方向,使系统建设具有较长的生命周期,顺应业务的长远发展。同时保证网络系统的可靠性,实现关键业务的双活需求。同时,应为设备和链路提供冗余备份,有效降低故障率,缩短故障修复时间。
1.4 兼容性和开放性原则
设计中所采用的网络技术,遵守先进性、兼容性、开放性,以保证网络系统的互操作性、可维护性、可扩展性。采用标准网络协议,保证在异构网络中的系统兼容性;网络架构提供标准化接口,便于整体网络的管理对接,实现对网络资源的统一管理。
2. 云计算环境下的安全设计
随着目前大量服务区虚拟化技术的应用和云计算技术的普及,在云计算环境下的安全部署日益成为关注的重点问题,也关系到未来数据中心发展趋势。在本设计方案中,建议采用高性能网络安全设备和灵活的虚拟软件安全网关(NFV 网络功能虚拟化)产品组合来进行数据中心云安全设计。在满足多业务的安全需求时,一方面可以通过建设高性能、高可靠、虚拟化的硬件安全资源池,同时集成FW/IPS/LB等多种业务引擎,每个业务可以灵活定义其需要的安全服务类型并通过云管理员分配相应的安全资源,实现对业务流量的安全隔离和防护;另一方面,针对业务主机侧的安全问题,可以通过虚拟软件安全网关实现对主机的安全防护,每个业务可以针对自身拥有的服务器计算资源进行相应的安全防护和加固的工作。其部署示意图如下所示:
2.1 南北向流量安全防护规划
在云计算数据中心中,针对出入数据中心的流量,我们称之为“南北向流量”。针对南北向流量的安全防护,建议采用基于虚拟化技术的高性能安全网关来实现。
虚拟化技术是实现基于多业务业务隔离的重要方式。和传统厂商的虚拟化实现方式不同,H3C的安全虚拟化是一种基于容器的完全虚拟化技术;每个安全引擎通过唯一的OS内核对系统硬件资源进行管理,每个虚拟防火墙作为一个容器实例运行在同一个内核之上,多台虚拟防火墙相互独立,每个虚拟防火墙实例对外呈现为一个完整的防火墙系统,该虚拟防火墙业务功能完整、管理独立、具备精细化的资源限制能力,典型示意图如下所示:
虚拟防火墙具备多业务的支持能力
虚拟防火墙有自己独立的运行空间,各个实例之间的运行空间完全隔离,天然具备了虚拟化特性。每个实例运行的防火墙业务系统,包括管理平面、控制平面、数据平面,具备完整的业务功能。因此,从功能的角度看,虚拟化后的系统和非虚拟化的系统功能一致。这也意味着每个虚拟防火墙内部可以使能多种安全业务,诸如路由协议,NAT,状态检测,IPSEC VPN,攻击防范等都可以独立开启。
虚拟防火墙安全资源精确定义能力
通过统一的OS内核,可以细粒度的控制每个虚拟防火墙容器对的CPU、内存、存储的硬件资源的利用率,也可以管理每个VFW能使用的物理接口、VLAN等资源,有完善的虚拟化资源管理能力。通过统一的调度接口,每个容器的所能使用的资源支持动态的调整,比如,可以根据业务情况,在不中断VFW业务的情况下,在线动态增加某个VFW的内存资源。
多层次分级分角色的独立管理能力
基于分级的多角色虚拟化管理方法,可以对每个管理设备的用户都会被分配特定的级别和角色,从而确定了该用户能够执行的操作权限。一方面,通过分级管理员的定义,可以将整个安全资源划分为系统级别和虚拟防火墙级别。系统级别的管理员可以对整个防火墙的资源进行全局的配置管理,虚拟防火墙管理员只关注自身的虚拟防火墙配置管理。另一方面,通过定义多角色管理员,诸如在每个虚拟防火墙内部定义管理员、操作员、审计员等不同角色,可以精确定义每个管理员的配置管理权限,满足虚拟防火墙内部多角色分权的管理。
2.2 东西向流量安全防护规划
数据中心中虚机(VM)间的交互流量,我们称之为“东西向流量”。针对东西两流量,采用虚拟软件安全网关产品来实现安全防护。
对于普通的云计算VPC模型的业务,既可以将NFV安全业务安装在业务服务器内,也可以部署独立的安全业务网关服务器。可采用部署独立的安全业务网关服务器,此时安装了NFV的独立的服务器资源逻辑上被认为是单一管理节点,对外提供高性能的VFW业务。
考虑到在虚拟化之后服务器内部的多个VM之间可能存在流量交换,在这种情况下外部的安全资源池无法对其流量进行必要的安全检查,在这种情况下,基于SDN架构模式的虚拟化软件安全网关vFW产品应运而生,在安全功能方面,为用户提供了全面的安全防范体系和远程安全接入能力,支持攻击检测和防御、NAT、ALG、ACL、安全域策略,能够有效的保证网络的安全;采用ASPF(Application Specific Packet Filter)应用状态检测技术,可对连接状态过程和异常命令进行检测,提供多种智能分析和管理手段,支持多种日志,提供网络管理监控,协助网络管理员完成网络的安全管理;支持多种VPN业务,如L2TP VPN、GRE VPN、IPSec VPN等丰富业务功能。
vFW技术带来如下优势:
• 部署简单,无需改变网络即可对虚拟机提供保护
• 安全策略自动跟随虚拟机迁移,确保虚拟机安全性
• 新增虚拟机能够自动接受已有安全策略的保护
• 细粒度的安全策略确保虚拟机避免内外部安全威胁;
vFW解决方案能够监控和保护虚拟环境的安全,以避免虚拟化环境与外部网络遭受内外部威胁的侵害,从而为虚拟化数据中心和云计算网络带来全面的安全防护,帮助企业构建完善的数据中心和云计算网络安全解决方案。
3. 云计算环境下数据安全防护手段建议
基于以上云计算环境下的数据安全风险分析,在云计算安全的建设过程中,需要针对这些安全风险采取有针对性的措施进行防护。
3.1 用户自助服务管理平台的访问安全
用户需要登录到云服务管理平台进行自身的管理操作设置,如基础的安全防护策略设置,针对关键服务器的访问权限控制设置,用户身份认证加密协议配置,虚拟机的资源配置、管理员权限配置及日志配置的自动化等等。这些部署流程应该被迁移到自服务模型并为用户所利用。在这种情况下,云服务管理者本身需要对租户的这种自服务操作进行用户身份认证确认,用户策略的保密、不同租户之间的配置安全隔离以及用户关键安全事件的日志记录以便后续可以进行问题跟踪溯源。
3.2 服务器虚拟化的安全
在服务器虚拟化的过程中,单台的物理服务器本身可能被虚化成多个虚拟机并提供给多个不同的租户,这些虚拟机可以认为是共享的基础设施,部分组件如CPU、缓存等对于该系统的使用者而言并不是完全隔离的。此时任何一个租户的虚拟机漏洞被黑客利用将导致整个物理服务器的全部虚拟机不能正常工作,同时,针对全部虚拟机的管理平台,一旦管理软件的安全漏洞被利用将可能导致整个云计算的服务器资源被攻击从而造成云计算环境的瘫痪。针对这类型公用基础设施的安全需要部署防护。
在此背景下,不同的租户可以选择差异化的安全模型,此时需要安全资源池的设备可以通过虚拟化技术提供基于用户的专有安全服务。如针对防火墙安全业务的租户,为了将不同租户的流量在传输过程中进行安全隔离,需要在防火墙上使能虚拟防火墙技术,不同的租户流量对应到不同的虚拟防火墙实例,此时,每个租户可以在自身的虚拟防火墙实例中配置属于自己的访问控制安全策略,同时要求设备记录所有安全事件的日志,创建基于用户的安全事件分析报告,一方面可以为用户的网络安全策略调整提供技术支撑,另一方面一旦发生安全事件,可以基于这些日志进行事后的安全审计并追踪问题发生的原因。其它的安全服务类型如IPS和LB负载均衡等也需要通过虚拟化技术将流量引入到设备并进行特定的业务处理。
3.3 内部人员的安全培训和行为审计
为了保证用户的数据安全,云服务管理者必须要对用户的数据安全进行相应的SLA保证。同时必须在技术和制度两个角度对内部数据操作人员进行安全培训。一方面通过制定严格的安全制度要求内部人员恪守用户数据安全,另一方面,需要通过技术手段,将内部人员的安全操作日志、安全事件日志、修改管理日志、用户授权访问日志等进行持续的安全监控,确保安全事件发生后可以做到有迹可寻。
3.4 管理平台的安全支持
云服务管理者需要建设统一的云管理平台,实现对整个云计算基础设施资源的管理和监控,统一的云管理平台应在安全管理功能的完整性以及接口API的开放性两个方面有所考虑。前者要求管理平台需要切实承担起对全部安全资源池设备的集中设备管理、安全策略部署以及整网安全事件的监控分析和基于用户的报表展示;后者的考虑是为了适配云计算环境中可能存在的多种安全设备类型或多厂商设备,也需要在API接口的开放性和统一性上进行规范和要求,以实现对下挂安全资源池设备的配置管理和日志格式转换等需求。也只有这样才能实现设备和管理平台的无缝对接,提升云管理平台的安全管理能力。