国内某知名网站扩容项目技术建议方案.docVIP

XX网站扩容建设项目 技术建议方案 信息系统股份有限公司 二〇〇九年七月 目 录 1 方案概述 1 1.1 现状描述 1 1.2 需求分析 2 2 项目技术方案 4 2.1 总体建设原则 4 2.2 网络改造方案 4 2.2.1 网络改造目标 4 2.2.2 网络改造思路 4 2.2.3 网络改造的技术特点 5 2.2.4 网络改造方案 6 2.2.5 网络设备选型建议 11 2.3 服务器及存储方案 14 2.3.1 服务器方案 14 2.3.2 存储容灾备份方案 18 2.4 网络安全方案 24 2.4.1 安全体系架构 24 2.4.2 设计思想及原则 24 2.4.3 网络安全风险分析 26 2.4.4 网络安全体系构建方案 29 2.4.5 安全产品选型建议 43 方案概述 现状描述 XX是湖南省委、省政府的新闻和综合网站，湖南省重点新闻网站和网络新闻总站，湖南省第四媒体，省一类新闻单位。网站于2001年5月30日正式开通。XX按照“就地起步，快速成长，争创一流”的发展思路，以立足湖南、面向全国、走向世界为理念，以服务广大网民为根本。网站将湖南省各类资源进行整合，组建湖南网络新闻宣传的“航母”，打造湖南网络的强势品牌。XX历经三次改版，设有频道十四个，栏目上千个。新闻和信息日更新量超过了2000条。提供最权威、最丰富、最及时的湖南新闻，并汇集了湖南社会、经济、文化、生活等各个方面必威体育精装版信息资讯，是世界了解湖南的重要窗口。现正逐渐成为湖南省各级党政领导的办公网、决策网，真正为老百姓办实事的百姓网、呼声网。 目前XX具体的网络环境如下图所示。 网络方面：全网划分为服务器外网、备份网以及办公内网三个部分，其中服务器外网主要是对外提供网站访问和论坛服务；备份网则部署网站和论坛的数据库服务器以及内部的生产服务器，备份网相对独立，不汇聚到核心层，外网服务器通过双网卡的形式直接连入备份网，进行数据读写；办公内网主要为内部用户提供办公以及互联网访问服务。全网核心层采用一台Cisco 4503作为单核心，无冗余。网络出口为四条百兆光纤，带宽400M，分别为电信100M独享链路三条，网通100M链路一条；CDN加速带宽30M，服务商为上海帝联信息科技发展有限公司。无线接入则主要采用胖AP的方式。 服务器及存储方面：XX的服务器为几年前采购的老机型，无论从性能上还是数量上都已无法处理当前访问量的增长。数据存储则是采用分布式的存储架构，未配置磁盘阵列实现集中存储。 安全方面：部署了一台100M的抗攻击设备绿盟的黑洞；VPN接入则是通过一台天融信设备所提供的IP-Sec VPN方式。 需求分析 针对XX目前的现状，我们给出如下分析： 1、网络核心层未提供冗余，易出现单点故障，急需实现双机冗余。 2、服务器网的接入层设备品牌繁杂，设备老化，性能和稳定性都无法满足XX发展的要求，因此需要对这部分设备进行更新换代。 3、大部分内部用户都使用笔记本电脑通过无线的方式接入内网，对无线接入提出了更高的要求，因此需要由目前的胖AP模式，转变为无线控制器+瘦AP的模式，使无线接入更安全，更易管理。 4、带宽严重不足，除网通光纤负载率在60%以外，三条电信光纤负载率都达到了85%以上，一旦遇到突发流量，网民访问XX变得及其缓慢。因此需要增加带宽，为网民提供更快速更流畅的访问体验。 5、为了改善目前20%的服务器占用80%的带宽，导致大部分服务器带宽得不到保障的局面，急需部署流量控制设备，提供流量分析、统计以及审计功能，帮助管理员及时了解网络中的应用分布。网络出现拥堵时，能快速定位被攻击光纤和服务器以及攻击类型，确保正常业务得到带宽保障。 6、需要对外联链路进行负载均衡和流量分担，对多家运营商所提供的带宽资源，实现带宽叠加、链路失效替换和智能路径判断。 7、随着带宽的升级，目前的黑洞100M设备已不能满足要求，需要将抗DoS攻击设备的处理能力提升至1G，并且部署专业的应用层攻击防护设备，为XX提供更全面的防御能力。 8、目前XX使用的VPN设备为4年前采购的天融信VPN设备，安装上线后碰到很多兼容问题，而且传统的IP-SEC VPN由于存在诸多弊端，根本不能满足XX使用人员和业务部署的需要。因此需通过部署SSL VPN产品，来扩展XX内部信息平台的覆盖范围，并保障数据在网络链路上传输的安全性。 9、目前XX的前台应用服务器已无法处理当前访问量的增长，前台程序服务器平均每天的CPU占用率高达90%以上，碰到大的突发情况CPU占用率会达到100%，造成正常访问极度缓慢。需增购高性能的数据中心服务器以及应用服务器，以满足XX访问量的不断增长。 10、建设共享式的多协议（SAN、NAS、iSCSI）存储资源池，充分利用各种存储协议的特点实现存储资源的有效整合，并提