XX廣電數(shù)據(jù)中心網(wǎng)絡解決方案

廣電數(shù)據(jù)中心網(wǎng)絡解決方案廣電數(shù)據(jù)中心面臨的挑戰(zhàn) “數(shù)據(jù)中心”建設是三網(wǎng)融合建設的重要組成部分，是廣電網(wǎng)絡運營商進行多業(yè)務運營轉(zhuǎn)型，提升綜合實力的主要任務。作為定位在“多業(yè)務運營平臺”基礎之上的數(shù)據(jù)中心，它不僅作為開展業(yè)務，還對廣電現(xiàn)有的寬帶接入業(yè)務、互動數(shù)字電視視頻業(yè)務、互動增值業(yè)務的發(fā)展產(chǎn)生積極作用，同時為廣電的支撐系統(tǒng)提供運維保障。 當前廣電數(shù)據(jù)中心面臨的挑戰(zhàn)是：廣電寬帶用戶需要的互聯(lián)網(wǎng)內(nèi)容與信息服務大部分在電信和聯(lián)通的網(wǎng)內(nèi)，導致廣電巨大的入網(wǎng)流量帶寬成本。需要建設數(shù)據(jù)中心并部署一定規(guī)模的P2P、應用緩存系統(tǒng)，從而盡可能將本地寬帶用戶的內(nèi)容和服務請求終結(jié)在廣電網(wǎng)內(nèi)?；訑?shù)字高清視頻業(yè)務是廣電運營商的核心業(yè)務，其發(fā)展方向是互動、高清、3D，該業(yè)務不僅需要大量豐富的高清互動視頻媒體資源，同時還需要完善的視頻內(nèi)容分發(fā)網(wǎng)絡（），作為數(shù)據(jù)中心一個業(yè)務域，對大流量環(huán)境下的高帶寬、高可靠、高穩(wěn)定、易管理、節(jié)能環(huán)保要求較高。業(yè)務是運營商業(yè)務領域的重要組成部分，是信息化服務的趨勢，相關業(yè)務除了傳統(tǒng)的系統(tǒng)托管業(yè)務、服務器和帶寬等資源租賃業(yè)務、網(wǎng)絡安全增值業(yè)務外，還將面向公眾、企業(yè)等客戶的云計算服務，承載這些業(yè)務，完善的數(shù)據(jù)中心基礎設施是不可或缺的。隨著業(yè)務的發(fā)展，廣電運營商需要逐步建設完備的支撐系統(tǒng)，包括相關的業(yè)務平臺管理系統(tǒng)、內(nèi)部管理系統(tǒng)，現(xiàn)階段大部分的廣電支撐系統(tǒng)還處在不斷完善、持續(xù)建設的階段，如果廣電馬上建設完善獨立的支撐系統(tǒng)數(shù)據(jù)中心將是一種硬件資源、運維資源的潛在浪費，需要將其納入到多業(yè)務數(shù)據(jù)中心，保障該系統(tǒng)的獨立性和安全隔離，以逐步完善支撐系統(tǒng)。 根據(jù)對廣電行業(yè)業(yè)務對數(shù)據(jù)中心的建設需求，漢柏科技提出了廣電數(shù)據(jù)中心網(wǎng)絡解決方案，對數(shù)據(jù)中心網(wǎng)絡的總體架構(gòu)、網(wǎng)絡功能、可靠性、安全設計、服務質(zhì)量設計進行了詳細的描述，以指導建設一個高度可靠、安全、快速、可擴展的數(shù)據(jù)中心網(wǎng)絡平臺。 漢柏認為數(shù)據(jù)中心網(wǎng)絡建設目標是：在統(tǒng)籌廣電數(shù)據(jù)中心項目業(yè)務需求和發(fā)展的基礎上，兼顧遠期發(fā)展目標，建設一個高度可靠、安全、快速、可擴展的基礎網(wǎng)絡平臺，為各項業(yè)務提供優(yōu)質(zhì)高效的網(wǎng)絡服務。數(shù)據(jù)中心業(yè)務規(guī)劃 廣電數(shù)據(jù)中心網(wǎng)絡承載的業(yè)務眾多，可按照業(yè)務類型初步規(guī)劃如下：自營交互應用業(yè)務 交互應用業(yè)務區(qū)承載了雙向互動點播系統(tǒng)業(yè)務，是作為廣電運營商“三網(wǎng)融合”的核心業(yè)務，在業(yè)務部署模式上采用的是分布式部署，即中央交互服務器與區(qū)域交互服務器是邏輯分開的。業(yè)務 包括大客戶系統(tǒng)托管、游戲門戶、視頻門戶、門戶等業(yè)務。云計算業(yè)務 包括承載網(wǎng)、企業(yè)私有云、個人公有云、物聯(lián)網(wǎng)等業(yè)務。支撐系統(tǒng) 包括多業(yè)務管理系統(tǒng)、計費管理系統(tǒng)、用戶管理系統(tǒng)、企業(yè)內(nèi)部管理系統(tǒng)等業(yè)務。網(wǎng)絡架構(gòu)設計設計原則廣電數(shù)據(jù)中心網(wǎng)絡設計原則如下：層次化廣電數(shù)據(jù)中心網(wǎng)絡在網(wǎng)絡層次設計上分為三層結(jié)構(gòu)，即核心層、匯聚層、接入層。區(qū)域化廣電數(shù)據(jù)中心網(wǎng)絡根據(jù)業(yè)務功能劃分區(qū)域，各自獨立，分別設計。高可靠性系統(tǒng)的可靠性是網(wǎng)絡健壯和穩(wěn)定的重要因素之一，所以對網(wǎng)絡系統(tǒng)的高可靠性設計必須全面考慮?？蓴U展性隨著網(wǎng)絡技術的發(fā)展和應用規(guī)模的不斷擴大，網(wǎng)絡應具有平滑擴展的能力，這種擴展不應影響原有的應用。廣電數(shù)據(jù)中心網(wǎng)絡系統(tǒng)應能夠隨時通過增加網(wǎng)絡設備或模塊來擴展、升級整個網(wǎng)絡系統(tǒng)，同時保證原有設備的正常使用。整體網(wǎng)絡架構(gòu) 漢柏建議數(shù)據(jù)中心網(wǎng)絡的網(wǎng)絡架構(gòu)采用分層、分區(qū)的模塊化規(guī)劃方法，即：根據(jù)不同的網(wǎng)絡訪問層次，將數(shù)據(jù)中心網(wǎng)絡分為：核心層、匯聚層和接入層。根據(jù)不同的業(yè)務功能，將數(shù)據(jù)中心網(wǎng)絡在功能上分為：交互業(yè)務區(qū)、業(yè)務區(qū)、云計算業(yè)務區(qū)、支撐業(yè)務區(qū)。 整體拓撲結(jié)構(gòu)如下： 核心交換區(qū)作為中心連接了各業(yè)務區(qū)匯聚接入交換機和骨干網(wǎng)、承載網(wǎng)接入路由器，核心與匯聚之間以及核心與廣域網(wǎng)之間采用口字型結(jié)構(gòu)，以保證系統(tǒng)可靠性。層次化網(wǎng)絡架構(gòu) 核心交換區(qū)分外聯(lián)核心交換區(qū)和內(nèi)聯(lián)核心交換區(qū)，各負責與廣電骨干網(wǎng)和承載網(wǎng)以及其它數(shù)據(jù)中心網(wǎng)絡互聯(lián)；作為數(shù)據(jù)中心網(wǎng)絡的路由中心，與區(qū)域匯聚交換機三層連接，實現(xiàn)整個網(wǎng)絡各個區(qū)域間的數(shù)據(jù)交換。核心層交換機之間通過兩條萬兆鏈路捆綁互聯(lián)，以實現(xiàn)穩(wěn)定可靠的網(wǎng)絡中心。核心交換機建議采用漢柏萬兆模塊化交換機6600系列交換機，通過萬兆鏈路與匯聚交換機實現(xiàn)互聯(lián)互通。 漢柏6600系列適合為用戶組建高性能、高安全、高可靠的數(shù)據(jù)中心。6600單機提供高達3.2T的交換容量和2381的轉(zhuǎn)發(fā)能力，可以實現(xiàn)384個千兆或64個萬兆以太網(wǎng)接口的全線速轉(zhuǎn)發(fā)，滿足了數(shù)據(jù)中心的高性能需求；6600支持全方位的安全，通過加強設備自身的安全特性，提供內(nèi)置的安全模塊等多種方式，滿足了數(shù)據(jù)中心的高安全需求；6600支持不間斷轉(zhuǎn)發(fā)技術，支持所有模塊的熱插拔，再加上等冗余備份技術，滿足了數(shù)據(jù)中心的高可靠需求。漢柏6600憑借其卓越的性能、全方位的安全以及電信級的可靠性，為數(shù)據(jù)中心建設提供了堅實可靠的網(wǎng)絡基礎平臺。 匯聚層作為各個區(qū)域數(shù)據(jù)的匯聚中心，分擔核心層的壓力，為服務器群對外提供高帶寬出口；要求提供高密度10端口實現(xiàn)接入層互聯(lián)；另外充分考慮擴展性需求，我們建議選用漢柏科技公司的6600萬兆交換機作為匯聚，以實現(xiàn)高密度、高性能的服務器接入。 接入層支持高密度千兆接入、萬兆接入；接入總帶寬和上行帶寬存在收斂比，基于機架考慮，1U設備更具有靈活部署能力。漢柏3750E系列萬兆路由交換機采用硬件領先的架構(gòu)，可全線速轉(zhuǎn)發(fā)各種類型的數(shù)據(jù)包，在6方面處于業(yè)界領先的地位。該系列產(chǎn)品全面支持各種單播路由和組播路由協(xié)議以及漢柏科技有限公司獨有的擴展的多項功能，可滿足于大型網(wǎng)絡的需求。不僅如此，3750E系列交換機還借助芯片級的安全可靠轉(zhuǎn)發(fā)能力和多樣化的業(yè)務支持，以及較高的性價比，成為大型網(wǎng)絡匯聚層和中型網(wǎng)絡萬兆核心層解決方案的最佳產(chǎn)品。 3750E系列萬兆路由交換機是漢柏科技有限公司強力推出的面向大型數(shù)據(jù)中心的高性能、高安全性、高可靠性的盒式萬兆路由交換機，3750E系列交換機支持靈活的千兆的雙介質(zhì)光、電組合端口形態(tài)，同時支持高達四個高性能的萬兆擴展，標準的1U高度，滿足匯聚產(chǎn)品向高性能、小型化、節(jié)能環(huán)保發(fā)展的趨勢。在性能和功能方面，3750E系列交換機能夠滿足大型網(wǎng)絡的組網(wǎng)需求，并具備豐富的智能和安全特性，特別適合于作為大型校園網(wǎng)、企業(yè)網(wǎng)、電子政務網(wǎng)、城域網(wǎng)的匯聚設備，以及中小型網(wǎng)絡的核心設備。區(qū)域化業(yè)務接入網(wǎng)絡架構(gòu) 目前應用訪問大部分已實現(xiàn)瀏覽器/服務（簡稱）架構(gòu)，該架構(gòu)要求采用三級服務器訪問模式，結(jié)合安全和管理方面需求，漢柏建議采用對外接入?yún)^(qū)和應用服務器接入?yún)^(qū)兩個子區(qū)域?qū)崿F(xiàn)業(yè)務服務器接入，其網(wǎng)絡架構(gòu)及流量模型如下： 兩個業(yè)務子區(qū)域通過交換網(wǎng)絡的互連，層層的安全保護，形成結(jié)構(gòu)清晰的易于部署的服務器接入架構(gòu)。網(wǎng)絡功能性設計設計 廣電數(shù)據(jù)中心網(wǎng)絡系統(tǒng)屬于交換網(wǎng)絡，各業(yè)務數(shù)據(jù)由通道進行承載，漢柏建議設計分為如下三個部分：設備管理設備間互聯(lián)業(yè)務 由于各業(yè)務區(qū)域廣播域完全分開，因此對業(yè)務區(qū)域來說可以獨立進行設計，建議設計與地址設計統(tǒng)籌考慮，如可以將編號與地址某一位設計成相同，以利于數(shù)據(jù)中心網(wǎng)絡系統(tǒng)運行維護。地址設計 地址設計分設備管理地址設計、互聯(lián)地址設計、業(yè)務地址設計，漢柏認為廣電數(shù)據(jù)中心網(wǎng)絡地址規(guī)劃應按如下原則進行：地址規(guī)劃主要涉及到網(wǎng)絡資源利用的方便有效的管理網(wǎng)絡的問題，合理的地址規(guī)劃是有利于網(wǎng)絡管理的；地址的合理分配是保證網(wǎng)絡順利運行和網(wǎng)絡資源有效利用的關鍵。應充分考慮到地址空間的合理使用，保證實現(xiàn)最佳的網(wǎng)絡內(nèi)地址分配及業(yè)務流量的均勻分布；地址的規(guī)劃與劃分應該考慮到網(wǎng)絡的后續(xù)規(guī)模和業(yè)務上的發(fā)展，能夠滿足未來發(fā)展的需要；即要滿足當前業(yè)務對地址的需求，同時要充分考慮未來業(yè)務發(fā)展，預留相應的地址段；地址的分配需要有足夠的靈活性，能夠滿足各種用戶接入需要；地址分配是由業(yè)務驅(qū)動，按照業(yè)務量的大小分配各業(yè)務區(qū)域的地址段；地址的分配必須采用(變長掩碼)技術，保證地址的利用效率；采用技術，通過地址聚合，以減小路由器路由表的大小，加快路由器路由的收斂速度，也可以減小網(wǎng)絡中廣播的路由信息的大??；充分合理利用分配的地址空間，提高地址的利用效率；地址規(guī)劃應該是數(shù)據(jù)中心網(wǎng)絡整體規(guī)劃的一部分，即地址規(guī)劃要和網(wǎng)絡層次規(guī)劃、路由協(xié)議規(guī)劃、流量規(guī)劃等結(jié)合起來考慮。地址的規(guī)劃應盡可能和網(wǎng)絡層次相對應，應該是自頂向下的一種規(guī)劃。路由設計 考慮到交互應用系統(tǒng)內(nèi)網(wǎng)絡中服務器對負載均衡的需求，漢柏建議將網(wǎng)絡網(wǎng)關部署在負載均衡器上，而網(wǎng)絡中的服務器網(wǎng)關部署在區(qū)域防火墻上，由防火墻實現(xiàn)安全訪問控制。 其它業(yè)務區(qū)域服務器網(wǎng)關均部署在匯聚交換機上，防火墻透明部署，并增加安全訪問控制策略。 為了實現(xiàn)網(wǎng)關設備的動態(tài)切換，漢柏建議為網(wǎng)關設備部署協(xié)議，并疊加技術，實現(xiàn)網(wǎng)關快速切換。 漢柏建議各區(qū)域采用路由協(xié)議實現(xiàn)互聯(lián)互通，路由策略設計如下：對于外聯(lián)核心交換機啟用三個進程，分別與對外接入?yún)R聚交換機、骨干網(wǎng)接入路由器、承載網(wǎng)接入路由器建立鄰居，分別學習到數(shù)據(jù)中心網(wǎng)絡路由、骨干網(wǎng)路由及承載網(wǎng)路由，然后將數(shù)據(jù)中心網(wǎng)絡路由重分布到骨干網(wǎng)和承載網(wǎng)，而骨干網(wǎng)和承載網(wǎng)之間不重分布路由，以防止骨干網(wǎng)用戶能夠訪問承載網(wǎng)數(shù)據(jù)。對于內(nèi)聯(lián)核心交換機啟用兩個進程，分別與應用服務器接入?yún)R聚交換機和其他節(jié)點數(shù)據(jù)中心交換機建立鄰居，在各路由區(qū)域內(nèi)選擇性重分布路由，以控制業(yè)務區(qū)域服務器與其它數(shù)據(jù)中心訪問。網(wǎng)絡可靠性設計設備級可靠性設計 本方案采用的漢柏設備為分布式體系結(jié)構(gòu)，所有關鍵部件采用冗余設計，包括主控板、交換網(wǎng)、電源和風扇等；采用無源背板設計，避免機箱出現(xiàn)單點故障；所有單板支持熱插拔功能，并且對其它單板上運行的業(yè)務無影響。 漢柏系列交換機采用“最長匹配、逐包轉(zhuǎn)發(fā)”模式，能夠抵御網(wǎng)絡病毒的攻擊；支持、2及4報文的明文及5密文認證；支持、、和端口等多種組合綁定方式，防范地址盜用；支持廣播報文抑制，有效控制等非法廣播流量對設備造成沖擊；支持，防止地址欺騙；支持報文安全過濾，防止非法侵入和惡意報文攻擊等。 此外設備自身的可靠性還可以通過為關鍵設備配置冗余部件來實現(xiàn)，如將核心交換機和匯聚交換機配置為雙引擎、雙電源。此外漢柏防火墻、入侵檢測設備均支持雙操作系統(tǒng)，當出現(xiàn)主操作系統(tǒng)不工作時，備操作系統(tǒng)立刻接管主操作系統(tǒng)，保證業(yè)務不發(fā)生中斷。鏈路級可靠性設計 漢柏6600及3750E交換機均支持鏈路捆綁技術，對于核心交換機和匯聚交換機，互聯(lián)鏈路采用了兩條鏈路捆綁，這樣當出現(xiàn)單條鏈路中斷情況時，均可以通過協(xié)議的收斂機制實現(xiàn)數(shù)據(jù)交換無丟包。 網(wǎng)絡互聯(lián)方面，由于采用了路由協(xié)議，當非捆綁鏈路出現(xiàn)中斷情況時，協(xié)議將重新計算出新的轉(zhuǎn)發(fā)路徑，保障數(shù)據(jù)轉(zhuǎn)發(fā)不中斷。同時漢柏6600及3750E交換機均支持技術，可將路由協(xié)議的收斂速度由秒級縮減到毫秒級，從而大大提高了整體網(wǎng)絡的可靠性和應用的可用性。網(wǎng)絡安全設計設計原則 漢柏認為數(shù)據(jù)中心網(wǎng)絡安全需遵從如下設計原則： (1)構(gòu)建分域的控制體系 整個系統(tǒng)安全在總體架構(gòu)上將按照分域保護思路進行，參考信息安全技術框架，將交互應用公共支撐網(wǎng)絡從結(jié)構(gòu)上劃分為不同的安全區(qū)域，各個安全區(qū)域內(nèi)部的網(wǎng)絡設備、服務器、應用系統(tǒng)形成單獨的計算環(huán)境、各個安全區(qū)域之間的通道形成邊界、各個安全區(qū)域之間的連接鏈路和網(wǎng)絡設備構(gòu)成了網(wǎng)絡基礎設施；因此方案將從保護計算環(huán)境、保護邊界、保護網(wǎng)絡基礎設施三個層面進行設計，并通過統(tǒng)一的基礎支撐平臺來實現(xiàn)對基礎安全設施的集中管理，構(gòu)建分域的控制體系。 (2)構(gòu)建縱深的防御體系 整個系統(tǒng)安全對交互應用公共支撐網(wǎng)絡的通信網(wǎng)絡、區(qū)域邊界、計算環(huán)境，綜合采用訪問控制、入侵檢測、安全審計、防病毒、集中數(shù)據(jù)備份等多種技術和措施，實現(xiàn)雙向交互業(yè)務應用的可用性、完整性和保密性保護，并在此基礎上實現(xiàn)綜合集中的安全管理，并充分考慮各種技術的組合和功能的互補性，合理利用措施，從外到內(nèi)形成一個縱深的安全防御體系，保障信息系統(tǒng)整體的安全保護能力。 (3)保證一致的安全強度 應采用分級的辦法，采取強度一致的安全措施，并采取統(tǒng)一的防護策略，使各安全措施在作用和功能上相互補充，形成動態(tài)的防護體系。在建設手段上，采取“大平臺”的方式進行建設，在平臺上實現(xiàn)各個級別信息系統(tǒng)的基本保護，比如多層的邊界防護系統(tǒng)、統(tǒng)一的審計系統(tǒng)，綜合的網(wǎng)管系統(tǒng)，然后在基本保護的基礎上，再根據(jù)各個信息系統(tǒng)的重要程度，采取高強度的保護措施。 (4)實現(xiàn)集中的安全管理 網(wǎng)絡與信息安全不是單純的技術問題，需要在采用安全技術和產(chǎn)品的同時，重視安全管理，不斷完善各類安全管理規(guī)章制度和操作規(guī)程，全面提高安全管理水平。建設一套覆蓋全面、重點突出、持續(xù)運行的信息安全管理體系，該體系覆蓋信息系統(tǒng)安全所要求的安全技術和安全運維等內(nèi)容，符合信息系統(tǒng)的業(yè)務特性和發(fā)展戰(zhàn)略，可持續(xù)發(fā)展與完善。 信息安全管理的目標就是通過采取適當?shù)目刂拼胧﹣肀Ｕ闲畔⒌谋Ｃ苄?、完整性、可用性，從而確保信息系統(tǒng)內(nèi)不發(fā)生安全事件、少發(fā)生安全事件、即使發(fā)生安全事件也能有效控制事件造成的影響。通過建設集中的安全管理平臺，實現(xiàn)對信息資產(chǎn)、安全事件、安全風險、訪問行為等的統(tǒng)一分析與監(jiān)管，通過關聯(lián)分析技術，使系統(tǒng)管理人員能夠迅速發(fā)現(xiàn)問題，定位問題，有效應對安全事件的發(fā)生。 (5)系統(tǒng)冗余設計 如何保證數(shù)據(jù)中心對外正常提供服務是整個數(shù)據(jù)中心網(wǎng)絡建設的重點，整個系統(tǒng)不應只考慮到安全設備的部署，還要系統(tǒng)的考慮到主干網(wǎng)絡、分域網(wǎng)絡、所有應用系統(tǒng)的冗余機制，以保證所有業(yè)務的正常訪問。 (6)提升系統(tǒng)的保障能力 在技術措施和管理手段建設的同時，重視信息安全中“人”的重要作用，通過一系列的風險評估、安全加固提升系統(tǒng)的安全性，并通過安全培訓和安全通告提高歌華有線自身技術人員的技術水平，使系統(tǒng)安全保障能力達到行業(yè)內(nèi)一流的信息安全保障水平，支撐和保障信息系統(tǒng)和業(yè)務的安全穩(wěn)定運行。安全域設計 傳統(tǒng)解決方案中，終端用戶可以訪問自己前端服務器，同時服務器可以訪問內(nèi)部應用服務器，這樣存在非常嚴重的安全隱患，一旦前端服務器被互聯(lián)網(wǎng)黑客植入木馬，則黑客可通過“肉雞”主機竊取高等級安全域中的信息數(shù)據(jù)。 針對網(wǎng)絡中可能存在的“肉雞”主機問題，應用安全域解決方案通過對用戶主機的認證授權模式，確保客戶主機在同一時間段只能訪問某一個區(qū)域，如訪問對外接入?yún)^(qū)域，則對外接入?yún)^(qū)域服務器不能訪問其他的安全域中的服務器，保證了即使被植入木馬的主機，不會被外界控制去訪問其它服務器資源，從而降低網(wǎng)絡中信息泄漏的概率。 按照區(qū)域的功能和應用的不同，漢柏建議數(shù)據(jù)中心網(wǎng)絡劃分為如下三個安全域：外聯(lián)區(qū)；業(yè)務區(qū)（包括四個子區(qū)）；內(nèi)聯(lián)區(qū)；各安全域的邊界規(guī)劃如下圖所示： 安全域邊界規(guī)劃描述如下：外聯(lián)區(qū)與業(yè)務區(qū)屬于不同安全域；內(nèi)聯(lián)區(qū)與業(yè)務區(qū)屬于不同安全域；各業(yè)務安全子域?qū)儆诓煌踩?；防火墻系統(tǒng)設計 為實現(xiàn)安全域邊界防護，需在安全域之間部署防火墻，漢柏建議廣電數(shù)據(jù)中心網(wǎng)絡防火墻部署方式如下圖： 建議在外聯(lián)區(qū)與業(yè)務區(qū)之間部署漢柏550045超萬兆防火墻，流量較小的內(nèi)聯(lián)區(qū)與業(yè)務區(qū)之間部署漢柏550040萬兆防火墻。部署模式建議采用透明方式+安全策略，以達到更高的轉(zhuǎn)發(fā)性能。 作為業(yè)界領先的安全防護產(chǎn)品，550045/40具有如下突出特點：專業(yè)的安全防護 550045/40不僅能夠提供全面的地址轉(zhuǎn)換、地址綁定、訪問控制策略、安全域劃分、身份認證等邊界防護功能，同時能夠抵御包括、、、、、、、2、碎片、源路由、端口掃描、等幾十種常見攻擊。 針對嵌入在各種應用（郵件、網(wǎng)頁、以及）中的攻擊、病毒和惡意插件，550045/40能夠在深度識別業(yè)務類別和用戶行為的前提下，提供基于狀態(tài)監(jiān)測的應用層網(wǎng)關功能，結(jié)合強大的入侵檢測機制和防病毒引擎，真正實現(xiàn)了邊界、接入、行為和數(shù)據(jù)的多重安全防護。穩(wěn)定和高性能 550045/40防火墻采用了基于漢柏多個專利技術的雙安全操作系統(tǒng)，并對數(shù)據(jù)平面和控制平面進行了嚴格的區(qū)分。對數(shù)據(jù)平面中各種需要高性能處理的功能，如地址轉(zhuǎn)換、報文轉(zhuǎn)發(fā)和訪問控制策略進行了細致的優(yōu)化處理；在控制平面上，支持鏈路狀態(tài)信息的倒換機制、分布式應用和模塊化的硬件架構(gòu)，同時也對處理資源進行了保護，確保即使在極限網(wǎng)絡壓力下，550045/40仍然能夠維持平穩(wěn)的工作狀態(tài)。萬兆就緒 針對日益突出的視頻傳輸、虛擬桌面和數(shù)據(jù)中心備份等大數(shù)據(jù)量傳輸，應用的飛速增長帶來了帶寬的提升需求，萬兆接口的應用已經(jīng)勢不可擋。同時，數(shù)據(jù)中心對設備的功耗和體積要求也越來越嚴格，更希望能夠在相同的機架面積里面實現(xiàn)更高密度的連接。借助出色的硬件平臺研發(fā)能力，漢柏科技率先推出了全球第一款在1體積上實現(xiàn)萬兆接口的防火墻，憑借突出的功耗控制和效能優(yōu)化，為用戶平滑過渡到萬兆時代提供了最佳選擇。內(nèi)置交換芯片 550045/40在業(yè)內(nèi)首次創(chuàng)新的采用了先進的防火墻+交換機的設計架構(gòu)，采用高性能的千兆交換芯片，提供高達128的交換容量，不僅能夠?qū)崿F(xiàn)接口之間的L23線速轉(zhuǎn)發(fā)，還同時能夠提供鏈路匯聚(802.3)、靈活的配置以及端口鏡像等功能，內(nèi)置的硬件還能夠配合防火墻，實現(xiàn)安全層面和轉(zhuǎn)發(fā)層面依據(jù)硬件分離，提供更為全面的高性能安全接入功能。虛擬防火墻功能 傳統(tǒng)的防火墻只能提供單一安全域的防護，而對于多個安全域的獨立部署，需要多臺防火墻才能實現(xiàn)，這造成了資源的極大浪費。550045/40支持虛擬防火墻技術，能夠在一臺物理防火墻上劃分出多個虛擬防火墻，每一臺虛擬防火墻都能夠?qū)崿F(xiàn)獨立的訪問控制策略、、身份認證和系統(tǒng)管理。同時，系統(tǒng)還能夠?qū)Χ鄠€虛擬防火墻進行統(tǒng)一的配置管理、軟件升級。對于用戶來說，即提高了現(xiàn)有設備的利用率，又解決了網(wǎng)絡部署復雜、擴展性差等問題。出色的能效比 550045/40采用了自主研發(fā)的高性能操作系統(tǒng)，并且針對報文轉(zhuǎn)發(fā)、過濾以及的關鍵處理進行了深入的優(yōu)化設計，在同等硬件處理能力下，比通用的操作系統(tǒng)要高出至少30%的效能，對于提高用戶資源利用率，降低能耗和節(jié)能減排給予了強有力的支持。精細的流量和業(yè)務管理 基于專利技術的流量識別，結(jié)合強大的深度業(yè)務識別技術，系列防火墻能夠提供對包括、、等多種業(yè)務在內(nèi)的精細化識別，根據(jù)既定的服務管理策略，對各種應用給予不同的差分化對待，確保了關鍵業(yè)務的正常運行，即提高了網(wǎng)絡資源的利用效率和組織的生產(chǎn)效率，又降低了總成本和運維的風險。入侵檢測系統(tǒng)設計 的部署目的是為了監(jiān)測來自不同網(wǎng)絡對數(shù)據(jù)中心網(wǎng)絡的訪問，用以及時發(fā)現(xiàn)網(wǎng)絡攻擊并提供有效證據(jù)。制定策略是使用最重要的工作之一，良好的策略不僅可以讓管理員及時捕捉到網(wǎng)絡上正在發(fā)生的重大危害事件，而且使管理員不致被大量的無用信息所淹沒，減輕工作負擔。如果是初次使用，對網(wǎng)絡上存在些什么樣的數(shù)據(jù)流可能不甚明確，這時可以采用包含事件較多的策略集，待運行一段時間后，對網(wǎng)絡狀況有了基本的了解，再在此策略集的基礎上酌情刪減。 漢柏建議的部署方式如下圖： 建議采用兩臺漢柏550040旁路部署模式，兩臺分別連接在核心交換機上，將核心交換機連接各業(yè)務區(qū)域端口的出入流量鏡像到漢柏550040，由漢柏550040進行入侵檢測。 漢柏550040主要特點如下：業(yè)界領先的架構(gòu)設計業(yè)界最佳的系統(tǒng)架構(gòu) 550040采用了控制平面、轉(zhuǎn)發(fā)平面和管理平面嚴格分離的系統(tǒng)架構(gòu)，采用基于硬件的完成防火墻的所有功能，實現(xiàn)小包64字節(jié)線速的吞吐量，嚴格保障防火墻的轉(zhuǎn)發(fā)性能；對于應用層安全，采用高性能的通用處理器，以應對實時變化的威脅和應用；對于管理數(shù)據(jù)，給予最高優(yōu)先級的處理，即使在應用層處理負載較重的時候，仍然能夠輕松對設備進行管理和配置。雙安全操作系統(tǒng) 550040采用了基于漢柏專利多核技術的雙安全操作系統(tǒng)，獨創(chuàng)性的提出了基于安全領域在多核上的（對稱多處理）軟件模型，該模型成功的應用了阿比達定律，有效的降低串行化執(zhí)行代碼在總執(zhí)行代碼中的比例，極大地發(fā)揮了多核下的并行計算能力。 除此之外，550040使用了智能流分類系統(tǒng)，將大量的數(shù)據(jù)流均勻分散在不同的核上進行全流程處理，增加了數(shù)據(jù)的命中率，極大的提高了系統(tǒng)的性能。針對多核軟件設計大量使用到的鎖，漢柏設計并實現(xiàn)了自有專利的安全操作系統(tǒng)寫時拷貝機制，使得90%的數(shù)據(jù)流在做并行化處理時都是免鎖的，進一步保障了系統(tǒng)的穩(wěn)定性和可靠性。入侵檢測和防御 550040采用了集成多種檢測機制的高性能掃描引擎，包括特征庫匹配、異常行為分析、協(xié)議檢查等手段，結(jié)合漢柏強大的實時安全服務，能夠主動識別各種攻擊、協(xié)議的變種攻擊、木馬和后門程序，不僅能準確地檢測入侵，實時的阻止惡意的攻擊，并能夠提供豐富完整的日志和定位信息，進行事后溯源工作。安全 針對不斷涌現(xiàn)的安全，550040也提供了一定程度的防護，不僅包括能夠有效的識別或過濾出嵌入在頁面中的、、和等信息，還能夠提供關鍵字過濾和基于超過4000萬域名的頁面分類數(shù)據(jù)庫，幫助管理員輕松設置工作時間禁止訪問的網(wǎng)頁，提高工作效率和控制對不良網(wǎng)站的訪問，杜絕潛在的威脅。數(shù)據(jù)泄漏防護 550040還提供了精細的數(shù)據(jù)泄漏防護()功能，支持用戶定義各種規(guī)則的關鍵字和敏感詞，支持包括、、和在內(nèi)的各種協(xié)議，對于銀行卡帳號、身份信息、財務信息等關鍵數(shù)據(jù)，將其控制在可信網(wǎng)絡的范圍以內(nèi)，避免惡意或者無意的數(shù)據(jù)泄漏造成不可彌補的錯誤。豐富的應用支持和管理 550040采用了多重識別技術，首先基于強大的深度報文檢測和多達1400種的業(yè)界最豐富的協(xié)議庫，對絕大部分的應用進行模式匹配；其次采用了啟發(fā)式學習和技術，采用漢柏專利技術進行深層次的行為挖掘；最后，對偽裝成報文的應用，進行一致性還原比對。在這三重技術的保障下，將應用識別率，提高到遠遠超過了業(yè)界的其他競爭對手的程度。可視化的安全管理 550040提供了豐富的展現(xiàn)功能，提供包括病毒排行、攻擊排行、應用帶寬的排行、鏈路帶寬使用情況，在應用管理上，可以提供能夠細致到當前用戶的應用、占用的帶寬、使用的連接，讓安全管理者對已有的、潛在的和未知的安全威脅，以及網(wǎng)絡中的各種應用和用戶行為，都有著非常豐富的直觀感受，為用戶創(chuàng)造出可視化安全的體驗。實時的病毒庫、攻擊庫、應用庫更新 作為安全網(wǎng)關設備，如何能夠保證在新的威脅、病毒、攻擊和新的應用出現(xiàn)的第一時間，就能夠做到有效的洞悉和控制，不僅考驗產(chǎn)品本身的應變能力，更考驗安全廠商支持的力度和深度，以及響應的速度。 漢柏科技為550040配備了強大的安全服務團隊，并和國際先進的安全機構(gòu)合作，對不斷涌現(xiàn)的新的病毒、威脅以及應用，實時更新到漢柏安全數(shù)據(jù)庫中。目前安全數(shù)據(jù)庫已經(jīng)有20萬條病毒特征、4000多種攻擊特征、1400多種應用特征庫，以及70多種分類4000多萬條網(wǎng)頁數(shù)據(jù)庫。簡單易用的配置工具 550040集成了業(yè)界最完整的安全功能，但并不是簡單的羅列。漢柏科技一直將提高使用者的便利性作為產(chǎn)品設計的核心思想，從產(chǎn)品定義階段就將易用性作為關鍵指標。 550040提供了簡單直觀的管理界面和用