(QM北控数据中心建设方案V1审核.docVIP

北京控股集团有限公司 数据中心建设项目 项目方案 需求提出：北京控股集团有限公司 方案制作： 制作时间：2014年7月16日V1.0  目 录 第一部分 服务器、存储及网络设备的综合部署与搭建 3 第二部分 服务器、存储、网络设备采购清单 8  第一部分 服务器、存储及网络设备的综合部署与搭建 一、机房拓扑结构 本数据中心需要满足内、外网的大量用户与数据交互，涉及到互联网、财务系统、办公网络、数据存储和网络通讯的综合业务处理，根据需求，拓扑结构设计如下图： 其中核心交换机互相热备、可切换。财务服务器做集群。存储做阵列、并可互相热备可切换。WEB与企业邮局服务器做文件数据分离，数据库做主从设计，可实现热备切换，并通过客户端进行远程管理与维护，在机房内设置移动式维护设备进行本地管理维护。楼层间网络交换与下属公司、外联网络做网段划分，与整体网络共同做好网络安全规划。 同时考虑到设备的采购成本、维护成本及使用成本和质量与稳定性，我们提供了两套可选设备的选购方案，主要区别为优秀的国有自主品牌以及市场选用较多的国际化品牌，详见“第九部分 服务器、存储、网络设备采购方案” 二、网络安全规划 1、网络安全部署思路 本次信息建设虽然仅包括数据中心、内网楼层以及广域网中心部分的改造和建设，但也必须从全局和架构的高度进行统一的设计。建议采用目前国际必威体育精装版的“信息保障技术框架（IATF）”安全体系结构，其明确提出需要考虑3个主要的因素：人、操作和技术。本技术方案着重讨论技术因素，人和操作则需要在非技术领域（比如安全规章制度）方面进行解决。 技术因素方面IATF提出了一个通用的框架，将信息系统的信息保障技术层面分为了四个技术框架域： 网络和基础设施：网络和基础设施的防护 飞地边界：解决边界保护问题 局域计算环境：主机的计算环境的保护 支撑性基础设施：安全的信息环境所需要的支撑平台 并提出纵深防御的IA原则，即人、技术、操作相结合的多样性、多层叠的保护原则。如下图所示： 主要的一些安全技术和应用在框架中的位置如下图所示： 我们在本次网络建设改造中需要考虑的安全问题就是上图中的“网络和基础设施保护”、“边界保护”两个方面，而“计算机环境（主机）”、“支撑平台”则是在系统主机建设和业务应用建设中需要重点考虑的安全问题。 2、设备级安全 A、防蠕虫病毒的等DOS攻击 数据中心虽然没有直接连接Internet，但内部专网中很多计算机并无法保证在整个使用周期内不会接触互联网和各种移动存储介质，仍然会较多的面临大量网络蠕虫病毒的威胁，比如Red Code，SQL Slammer等等，由于它们经常变换特征，防火墙也不能完全对其进行过滤，它们一般发作的机理如下： 利用Microdsoft OS或应用的缓冲区溢出的漏洞获得此主机的控制权 获得此主机的控制权后，安装病毒软件，病毒软件随机生成大量的IP地址，并向这些IP地址发送大量的IP包。 有此安全漏洞的MS OS会受到感染，也随机生成大量IP地址，并向这些IP地址发送大量的IP包。 导致阻塞网络带宽，CPU利用率升高等 直接对网络设备发出错包，让网络设备CPU占用率升高直至引发协议错误甚至宕机 B、防VLAN的脆弱性配置 在数据中心的不同安全域进行防火墙访问控制隔离时，存在多个VLAN，虽然广泛采用端口捆绑、vPC等技术使正常工作中拓扑简化甚至完全避免环路，但由于网络VLAN多且关系复杂，无法在工程上完全杜绝诸如网络故障切换、误操作造成的临时环路，因此有必要运行生成树协议作为二层网络中增加稳定性的措施。 但是，当前有许多软件都具有STP 功能，恶意用户在它的PC上安装STP软件与一个Switch相连，引起STP重新计算，它有可能成为STP Root, 因此所有流量都会流向恶意软件主机, 恶意用户可做包分析。局域网交换机应具有Root guard（根桥监控）功能，可以有效防止其它Switch成为STP Root。本项目我们在所有允许二层生成树协议的设备上，特别是接入层中都将启动Root Guard特性，另外Nexus5000/2000还支持BPDU filters, Bridge Assurance等生成树特性以保证生成树的安全和稳定。 还有一些恶意用户编制特定的STP软件向各个Vlan加入，会引起大量的STP的重新计算，引起网络抖动，CPU占用升高。本期所有接入层交换机的所有端口都将设置BPDU Guard功能，一旦从某端口接收到恶意用户发来的STP BPDU,则禁止此端口。 大量使用了三层交换机，在发送数据前其工作方式同路由器一样先查找ARP，找到目的端的MAC地址，再把信息发往目的。很多病毒可以向三层交换机发一个冒充的ARP,将目的端的IP地址和恶意用户主机的MAC对应，