政務數據中心建設方案

  背景介紹:

  隨著政府行業電子政務的發展,數據中心業務大集中已經成為一種趨勢。當大量的業務都集中在數據中心中,那么數據中心的業務安全性以及可靠性將至關重要,那么除了在主干線路加強安全建設外,如何將安全和可靠性后移,保證關鍵業務的安全和高可靠性。

  面臨的問題:

  1、數據中心的業務安全防護

  業務數據大集中,同時也意味著安全要求的大集中,數據中心的安全性要求也隨之提高。那么數據中心的業務安全面臨哪些安全風險呢?

  (1)利用業務開發時期沒有對代碼的安全進行評估,使得系統可輕易通過web攻擊實現對web服務器、數據庫的攻擊造成數據庫信息被竊取的問題;

  (2)利用服務器操作系統漏洞、應用軟件漏洞通過緩沖區溢出、惡意蠕蟲、病毒等應用層攻擊,獲取服務器權限、使服務器癱瘓導致服務器、存儲等資源被攻擊的問題;

  (3)來自其他安全域的病毒、木馬、蠕蟲的交叉感染,使得數據中心成為“養馬場”;

  (4)由于訪問控制權限不當、系統誤配置導致的敏感信息跨區域傳播的問題;

  (5)利用協議漏洞對服務器發起的拒絕服務攻擊使得服務器無法提供正常服務,導致業務中斷等問題;

  (6)不同業務域如何有效進行安全隔離,防止安全風險擴散。

  2、數據中心的業務可靠性

  業務大集中會導致數據中心非常龐大,如何使眾多業務系統發揮更大效能是我們面臨的挑戰,我們可能會遇到:

  (1)眾多業務系統采用多臺服務器,如何有效實現業務平穩切換,保障業務連續性,實現動態自動負載;

  (2)對于過載的服務器如何有效分擔服務器性能,進一步提高服務器處理效率;

  (3)已經采用服務器虛擬化技術后如何跟虛擬化進行有效結合,進一步降低運維成本。

  深信服解決方案:

  1、數據中心的安全防護方案

  部署深信服下一代防火墻,實現2-7層的全面防護

  深信服下一代防火墻(NGAF),一臺設備就能實現所有安全防護要求,增強網絡安全區域之間的安全防護。通過NGAF的部署可以實現以下效果:

  ■安全域邊界進行訪問控制,實現網絡層和應用層的數據流向控制;

  ■雙向內容防護,實現由內到外以及由外到內的雙向數據檢測,針對攻擊事件發生前的預防以及攻擊事件發生后的檢測補救措施,通過對服務器發起的請求以及服務器的回復包進行雙向內容檢測,使得敏感數據信息不被外發,黑客達不到攻擊的最終目的;

  ■通過防病毒子系統可實現各個安全域的流量清洗功能,清洗來自其他安全域的病毒、木馬、蠕蟲,防止各區域進行交叉感染;

  ■利用入侵防御子系統可實現對服務器集群操作系統漏洞(如:winserver2003、linux、unix等)、應用程序漏洞(IIS服務器、Apache服務器、中間件weblogic、數據庫oracle、MSSQL、MySQL等)的防護,防止黑客利用該類漏洞通過緩沖區溢出、惡意蠕蟲、病毒等應用層攻擊獲取服務器權限、使服務器癱瘓導致服務器、存儲等資源被攻擊的問題;

  ■通過web安全子系統可實現對各個區域(尤其是DMZ區)的web服務器、數據庫服務器、FTP服務器等服務器的安全防護。防止黑客利用業務代碼開發安全保障不利,使得系統可輕易通過web攻擊實現對web服務器、數據庫的攻擊造成數據庫信息被竊取的問題;

  ■通過信息泄漏防護子系統可自定義業務系統的敏感信息防止黑客繞過防御體系竊取業務系統的敏感信息;

  ■通過防篡改子系統可防止黑客利用各層面安全漏洞非法篡改業務系統合法界面,防止被篡改界面發布于眾;

  ■通過風險評估子系統對服務器集群進行安全體檢,通過一鍵策略部署的功能開啟入侵防御子系統模塊、web安全子系統模塊的對應策略,可幫助管理員的實現針對性的策略配置;

  ■通過智能聯動模塊的應用,可形成防火墻子系統功能模塊、入侵防御子系統功能模塊、web安全子系統功能模塊的智能聯動,有效的防止工具型、自動化的黑客攻擊,提高攻擊成本,可抑制APT攻擊的發生。

  

 

  2、數據中心的優化和運維管理方案

  部署應用交付系統AD,實現鏈路和服務器負載

  通過部署應用交付系統AD,實現鏈路和服務器的負載均衡,另外還有其他功能保障數據中心的可靠性。

  ■支持鏈路負載和服務器負載;

  ■結合健康檢查和業務特點,提供十幾種負載均衡算法組合,滿足多種生產環境下的業務需求;

  ■支持輪詢、加權輪詢、加權最少連接、最快響應、勱態反饋、優先級等多種靈活的調度機制;

  ■健全的鏈路健康檢查;

  ■內置豐富的節點監視手段,可以定義四層和七層的健康檢查機制,深度檢測服務器的健康狀態;

  ■支持基于服務器硬件運行狀況的實時監控,并可根據丌同應用類型交互機制設定相應的健康檢查機制;

  ■支持自定義內容檢查機制,通過模擬訪問請求來判斷服務器應用能否正常響應,業務適應能力強;

  ■TCP 連接優化不 SSL 卸載技術,減輕源數據節點的服務器計算資源消耗;

  ■HTTP 壓縮和單邊加速技術,降低服務器壓力,提升傳輸效率;

  ■限制服務器最大連接不并發,以避免過載,并丏支持服務器溫暖上線和平滑退出,便于維護管理;

  ■在網絡或者業務出現故障時,實時地以短信或者郵件告警的形式通知相關管理人員迚行維護 。

  深信服部署方案圖:

  

 

  部署說明:

  在數據中心各安全域出口邊界部署AF,實現2-7層安全防護,數據中心服務器群前面部署AD做服務器負載均衡。

  案例分享

  某省環保廳,數據中心建設在省會城市,各市的環保采集點數據通過專線傳輸到數據中心。在廣域網組網時,選用了深信服的加速VPN設備,實現通信加密和鏈路優化;選用深信服AF設備,部署在關鍵網絡節點處,實現2到7的層的全面的安全防護;部署AD,實現鏈路和服務器的負載均衡;部署APM實現對數據中心全網的可視化監控。

上一篇:第一頁

下一篇:互聯網安全優化方案

Copyright © 2016.Company name All rights reserved.河南軟電子科技有限公司

哈哈云南麻将助手 360全国开奖公告结果走势图 江苏快三一期必中计划 快乐十分规律号组合 山东时时11选5 香港赛马会内部资料会员图 幸运飞艇提前一期开奖号码 福利彩票江苏快3开奖 新疆时时纪录 香港正版六肖宝典 中国庆阳网站 天津时时提前开奖的 快3开奖结果查询河北省 算平码技巧 北京时时几号开奖结果 幸运农场走势图数 甘肃快3今日开奖结果