




版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領
文檔簡介
廣電數(shù)據(jù)中心網(wǎng)絡解決方案廣電數(shù)據(jù)中心面臨的挑戰(zhàn) “數(shù)據(jù)中心”建設是三網(wǎng)融合建設的重要組成部分,是廣電網(wǎng)絡運營商進行多業(yè)務運營轉(zhuǎn)型,提升綜合實力的主要任務。作為定位在“多業(yè)務運營平臺”基礎之上的數(shù)據(jù)中心,它不僅作為開展業(yè)務,還對廣電現(xiàn)有的寬帶接入業(yè)務、互動數(shù)字電視視頻業(yè)務、互動增值業(yè)務的發(fā)展產(chǎn)生積極作用,同時為廣電的支撐系統(tǒng)提供運維保障。 當前廣電數(shù)據(jù)中心面臨的挑戰(zhàn)是:廣電寬帶用戶需要的互聯(lián)網(wǎng)內(nèi)容與信息服務大部分在電信和聯(lián)通的網(wǎng)內(nèi),導致廣電巨大的入網(wǎng)流量帶寬成本。需要建設數(shù)據(jù)中心并部署一定規(guī)模的P2P、應用緩存系統(tǒng),從而盡可能將本地寬帶用戶的內(nèi)容和服務請求終結(jié)在廣電網(wǎng)內(nèi)?;訑?shù)字高清視頻業(yè)務是廣電運營商的核心業(yè)務,其發(fā)展方向是互動、高清、3D,該業(yè)務不僅需要大量豐富的高清互動視頻媒體資源,同時還需要完善的視頻內(nèi)容分發(fā)網(wǎng)絡(),作為數(shù)據(jù)中心一個業(yè)務域,對大流量環(huán)境下的高帶寬、高可靠、高穩(wěn)定、易管理、節(jié)能環(huán)保要求較高。業(yè)務是運營商業(yè)務領域的重要組成部分,是信息化服務的趨勢,相關業(yè)務除了傳統(tǒng)的系統(tǒng)托管業(yè)務、服務器和帶寬等資源租賃業(yè)務、網(wǎng)絡安全增值業(yè)務外,還將面向公眾、企業(yè)等客戶的云計算服務,承載這些業(yè)務,完善的數(shù)據(jù)中心基礎設施是不可或缺的。隨著業(yè)務的發(fā)展,廣電運營商需要逐步建設完備的支撐系統(tǒng),包括相關的業(yè)務平臺管理系統(tǒng)、內(nèi)部管理系統(tǒng),現(xiàn)階段大部分的廣電支撐系統(tǒng)還處在不斷完善、持續(xù)建設的階段,如果廣電馬上建設完善獨立的支撐系統(tǒng)數(shù)據(jù)中心將是一種硬件資源、運維資源的潛在浪費,需要將其納入到多業(yè)務數(shù)據(jù)中心,保障該系統(tǒng)的獨立性和安全隔離,以逐步完善支撐系統(tǒng)。 根據(jù)對廣電行業(yè)業(yè)務對數(shù)據(jù)中心的建設需求,漢柏科技提出了廣電數(shù)據(jù)中心網(wǎng)絡解決方案,對數(shù)據(jù)中心網(wǎng)絡的總體架構(gòu)、網(wǎng)絡功能、可靠性、安全設計、服務質(zhì)量設計進行了詳細的描述,以指導建設一個高度可靠、安全、快速、可擴展的數(shù)據(jù)中心網(wǎng)絡平臺。 漢柏認為數(shù)據(jù)中心網(wǎng)絡建設目標是:在統(tǒng)籌廣電數(shù)據(jù)中心項目業(yè)務需求和發(fā)展的基礎上,兼顧遠期發(fā)展目標,建設一個高度可靠、安全、快速、可擴展的基礎網(wǎng)絡平臺,為各項業(yè)務提供優(yōu)質(zhì)高效的網(wǎng)絡服務。數(shù)據(jù)中心業(yè)務規(guī)劃 廣電數(shù)據(jù)中心網(wǎng)絡承載的業(yè)務眾多,可按照業(yè)務類型初步規(guī)劃如下:自營交互應用業(yè)務 交互應用業(yè)務區(qū)承載了雙向互動點播系統(tǒng)業(yè)務,是作為廣電運營商“三網(wǎng)融合”的核心業(yè)務,在業(yè)務部署模式上采用的是分布式部署,即中央交互服務器與區(qū)域交互服務器是邏輯分開的。業(yè)務 包括大客戶系統(tǒng)托管、游戲門戶、視頻門戶、門戶等業(yè)務。云計算業(yè)務 包括承載網(wǎng)、企業(yè)私有云、個人公有云、物聯(lián)網(wǎng)等業(yè)務。支撐系統(tǒng) 包括多業(yè)務管理系統(tǒng)、計費管理系統(tǒng)、用戶管理系統(tǒng)、企業(yè)內(nèi)部管理系統(tǒng)等業(yè)務。網(wǎng)絡架構(gòu)設計設計原則廣電數(shù)據(jù)中心網(wǎng)絡設計原則如下:層次化廣電數(shù)據(jù)中心網(wǎng)絡在網(wǎng)絡層次設計上分為三層結(jié)構(gòu),即核心層、匯聚層、接入層。區(qū)域化廣電數(shù)據(jù)中心網(wǎng)絡根據(jù)業(yè)務功能劃分區(qū)域,各自獨立,分別設計。高可靠性系統(tǒng)的可靠性是網(wǎng)絡健壯和穩(wěn)定的重要因素之一,所以對網(wǎng)絡系統(tǒng)的高可靠性設計必須全面考慮??蓴U展性隨著網(wǎng)絡技術的發(fā)展和應用規(guī)模的不斷擴大,網(wǎng)絡應具有平滑擴展的能力,這種擴展不應影響原有的應用。廣電數(shù)據(jù)中心網(wǎng)絡系統(tǒng)應能夠隨時通過增加網(wǎng)絡設備或模塊來擴展、升級整個網(wǎng)絡系統(tǒng),同時保證原有設備的正常使用。整體網(wǎng)絡架構(gòu) 漢柏建議數(shù)據(jù)中心網(wǎng)絡的網(wǎng)絡架構(gòu)采用分層、分區(qū)的模塊化規(guī)劃方法,即:根據(jù)不同的網(wǎng)絡訪問層次,將數(shù)據(jù)中心網(wǎng)絡分為:核心層、匯聚層和接入層。根據(jù)不同的業(yè)務功能,將數(shù)據(jù)中心網(wǎng)絡在功能上分為:交互業(yè)務區(qū)、業(yè)務區(qū)、云計算業(yè)務區(qū)、支撐業(yè)務區(qū)。 整體拓撲結(jié)構(gòu)如下: 核心交換區(qū)作為中心連接了各業(yè)務區(qū)匯聚接入交換機和骨干網(wǎng)、承載網(wǎng)接入路由器,核心與匯聚之間以及核心與廣域網(wǎng)之間采用口字型結(jié)構(gòu),以保證系統(tǒng)可靠性。層次化網(wǎng)絡架構(gòu) 核心交換區(qū)分外聯(lián)核心交換區(qū)和內(nèi)聯(lián)核心交換區(qū),各負責與廣電骨干網(wǎng)和承載網(wǎng)以及其它數(shù)據(jù)中心網(wǎng)絡互聯(lián);作為數(shù)據(jù)中心網(wǎng)絡的路由中心,與區(qū)域匯聚交換機三層連接,實現(xiàn)整個網(wǎng)絡各個區(qū)域間的數(shù)據(jù)交換。核心層交換機之間通過兩條萬兆鏈路捆綁互聯(lián),以實現(xiàn)穩(wěn)定可靠的網(wǎng)絡中心。核心交換機建議采用漢柏萬兆模塊化交換機6600系列交換機,通過萬兆鏈路與匯聚交換機實現(xiàn)互聯(lián)互通。 漢柏6600系列適合為用戶組建高性能、高安全、高可靠的數(shù)據(jù)中心。6600單機提供高達3.2T的交換容量和2381的轉(zhuǎn)發(fā)能力,可以實現(xiàn)384個千兆或64個萬兆以太網(wǎng)接口的全線速轉(zhuǎn)發(fā),滿足了數(shù)據(jù)中心的高性能需求;6600支持全方位的安全,通過加強設備自身的安全特性,提供內(nèi)置的安全模塊等多種方式,滿足了數(shù)據(jù)中心的高安全需求;6600支持不間斷轉(zhuǎn)發(fā)技術,支持所有模塊的熱插拔,再加上等冗余備份技術,滿足了數(shù)據(jù)中心的高可靠需求。漢柏6600憑借其卓越的性能、全方位的安全以及電信級的可靠性,為數(shù)據(jù)中心建設提供了堅實可靠的網(wǎng)絡基礎平臺。 匯聚層作為各個區(qū)域數(shù)據(jù)的匯聚中心,分擔核心層的壓力,為服務器群對外提供高帶寬出口;要求提供高密度10端口實現(xiàn)接入層互聯(lián);另外充分考慮擴展性需求,我們建議選用漢柏科技公司的6600萬兆交換機作為匯聚,以實現(xiàn)高密度、高性能的服務器接入。 接入層支持高密度千兆接入、萬兆接入;接入總帶寬和上行帶寬存在收斂比,基于機架考慮,1U設備更具有靈活部署能力。漢柏3750E系列萬兆路由交換機采用硬件領先的架構(gòu),可全線速轉(zhuǎn)發(fā)各種類型的數(shù)據(jù)包,在6方面處于業(yè)界領先的地位。該系列產(chǎn)品全面支持各種單播路由和組播路由協(xié)議以及漢柏科技有限公司獨有的擴展的多項功能,可滿足于大型網(wǎng)絡的需求。不僅如此,3750E系列交換機還借助芯片級的安全可靠轉(zhuǎn)發(fā)能力和多樣化的業(yè)務支持,以及較高的性價比,成為大型網(wǎng)絡匯聚層和中型網(wǎng)絡萬兆核心層解決方案的最佳產(chǎn)品。 3750E系列萬兆路由交換機是漢柏科技有限公司強力推出的面向大型數(shù)據(jù)中心的高性能、高安全性、高可靠性的盒式萬兆路由交換機,3750E系列交換機支持靈活的千兆的雙介質(zhì)光、電組合端口形態(tài),同時支持高達四個高性能的萬兆擴展,標準的1U高度,滿足匯聚產(chǎn)品向高性能、小型化、節(jié)能環(huán)保發(fā)展的趨勢。在性能和功能方面,3750E系列交換機能夠滿足大型網(wǎng)絡的組網(wǎng)需求,并具備豐富的智能和安全特性,特別適合于作為大型校園網(wǎng)、企業(yè)網(wǎng)、電子政務網(wǎng)、城域網(wǎng)的匯聚設備,以及中小型網(wǎng)絡的核心設備。區(qū)域化業(yè)務接入網(wǎng)絡架構(gòu) 目前應用訪問大部分已實現(xiàn)瀏覽器/服務(簡稱)架構(gòu),該架構(gòu)要求采用三級服務器訪問模式,結(jié)合安全和管理方面需求,漢柏建議采用對外接入?yún)^(qū)和應用服務器接入?yún)^(qū)兩個子區(qū)域?qū)崿F(xiàn)業(yè)務服務器接入,其網(wǎng)絡架構(gòu)及流量模型如下: 兩個業(yè)務子區(qū)域通過交換網(wǎng)絡的互連,層層的安全保護,形成結(jié)構(gòu)清晰的易于部署的服務器接入架構(gòu)。網(wǎng)絡功能性設計設計 廣電數(shù)據(jù)中心網(wǎng)絡系統(tǒng)屬于交換網(wǎng)絡,各業(yè)務數(shù)據(jù)由通道進行承載,漢柏建議設計分為如下三個部分:設備管理設備間互聯(lián)業(yè)務 由于各業(yè)務區(qū)域廣播域完全分開,因此對業(yè)務區(qū)域來說可以獨立進行設計,建議設計與地址設計統(tǒng)籌考慮,如可以將編號與地址某一位設計成相同,以利于數(shù)據(jù)中心網(wǎng)絡系統(tǒng)運行維護。地址設計 地址設計分設備管理地址設計、互聯(lián)地址設計、業(yè)務地址設計,漢柏認為廣電數(shù)據(jù)中心網(wǎng)絡地址規(guī)劃應按如下原則進行:地址規(guī)劃主要涉及到網(wǎng)絡資源利用的方便有效的管理網(wǎng)絡的問題,合理的地址規(guī)劃是有利于網(wǎng)絡管理的;地址的合理分配是保證網(wǎng)絡順利運行和網(wǎng)絡資源有效利用的關鍵。應充分考慮到地址空間的合理使用,保證實現(xiàn)最佳的網(wǎng)絡內(nèi)地址分配及業(yè)務流量的均勻分布;地址的規(guī)劃與劃分應該考慮到網(wǎng)絡的后續(xù)規(guī)模和業(yè)務上的發(fā)展,能夠滿足未來發(fā)展的需要;即要滿足當前業(yè)務對地址的需求,同時要充分考慮未來業(yè)務發(fā)展,預留相應的地址段;地址的分配需要有足夠的靈活性,能夠滿足各種用戶接入需要;地址分配是由業(yè)務驅(qū)動,按照業(yè)務量的大小分配各業(yè)務區(qū)域的地址段;地址的分配必須采用(變長掩碼)技術,保證地址的利用效率;采用技術,通過地址聚合,以減小路由器路由表的大小,加快路由器路由的收斂速度,也可以減小網(wǎng)絡中廣播的路由信息的大??;充分合理利用分配的地址空間,提高地址的利用效率;地址規(guī)劃應該是數(shù)據(jù)中心網(wǎng)絡整體規(guī)劃的一部分,即地址規(guī)劃要和網(wǎng)絡層次規(guī)劃、路由協(xié)議規(guī)劃、流量規(guī)劃等結(jié)合起來考慮。地址的規(guī)劃應盡可能和網(wǎng)絡層次相對應,應該是自頂向下的一種規(guī)劃。路由設計 考慮到交互應用系統(tǒng)內(nèi)網(wǎng)絡中服務器對負載均衡的需求,漢柏建議將網(wǎng)絡網(wǎng)關部署在負載均衡器上,而網(wǎng)絡中的服務器網(wǎng)關部署在區(qū)域防火墻上,由防火墻實現(xiàn)安全訪問控制。 其它業(yè)務區(qū)域服務器網(wǎng)關均部署在匯聚交換機上,防火墻透明部署,并增加安全訪問控制策略。 為了實現(xiàn)網(wǎng)關設備的動態(tài)切換,漢柏建議為網(wǎng)關設備部署協(xié)議,并疊加技術,實現(xiàn)網(wǎng)關快速切換。 漢柏建議各區(qū)域采用路由協(xié)議實現(xiàn)互聯(lián)互通,路由策略設計如下:對于外聯(lián)核心交換機啟用三個進程,分別與對外接入?yún)R聚交換機、骨干網(wǎng)接入路由器、承載網(wǎng)接入路由器建立鄰居,分別學習到數(shù)據(jù)中心網(wǎng)絡路由、骨干網(wǎng)路由及承載網(wǎng)路由,然后將數(shù)據(jù)中心網(wǎng)絡路由重分布到骨干網(wǎng)和承載網(wǎng),而骨干網(wǎng)和承載網(wǎng)之間不重分布路由,以防止骨干網(wǎng)用戶能夠訪問承載網(wǎng)數(shù)據(jù)。對于內(nèi)聯(lián)核心交換機啟用兩個進程,分別與應用服務器接入?yún)R聚交換機和其他節(jié)點數(shù)據(jù)中心交換機建立鄰居,在各路由區(qū)域內(nèi)選擇性重分布路由,以控制業(yè)務區(qū)域服務器與其它數(shù)據(jù)中心訪問。網(wǎng)絡可靠性設計設備級可靠性設計 本方案采用的漢柏設備為分布式體系結(jié)構(gòu),所有關鍵部件采用冗余設計,包括主控板、交換網(wǎng)、電源和風扇等;采用無源背板設計,避免機箱出現(xiàn)單點故障;所有單板支持熱插拔功能,并且對其它單板上運行的業(yè)務無影響。 漢柏系列交換機采用“最長匹配、逐包轉(zhuǎn)發(fā)”模式,能夠抵御網(wǎng)絡病毒的攻擊;支持、2及4報文的明文及5密文認證;支持、、和端口等多種組合綁定方式,防范地址盜用;支持廣播報文抑制,有效控制等非法廣播流量對設備造成沖擊;支持,防止地址欺騙;支持報文安全過濾,防止非法侵入和惡意報文攻擊等。 此外設備自身的可靠性還可以通過為關鍵設備配置冗余部件來實現(xiàn),如將核心交換機和匯聚交換機配置為雙引擎、雙電源。此外漢柏防火墻、入侵檢測設備均支持雙操作系統(tǒng),當出現(xiàn)主操作系統(tǒng)不工作時,備操作系統(tǒng)立刻接管主操作系統(tǒng),保證業(yè)務不發(fā)生中斷。鏈路級可靠性設計 漢柏6600及3750E交換機均支持鏈路捆綁技術,對于核心交換機和匯聚交換機,互聯(lián)鏈路采用了兩條鏈路捆綁,這樣當出現(xiàn)單條鏈路中斷情況時,均可以通過協(xié)議的收斂機制實現(xiàn)數(shù)據(jù)交換無丟包。 網(wǎng)絡互聯(lián)方面,由于采用了路由協(xié)議,當非捆綁鏈路出現(xiàn)中斷情況時,協(xié)議將重新計算出新的轉(zhuǎn)發(fā)路徑,保障數(shù)據(jù)轉(zhuǎn)發(fā)不中斷。同時漢柏6600及3750E交換機均支持技術,可將路由協(xié)議的收斂速度由秒級縮減到毫秒級,從而大大提高了整體網(wǎng)絡的可靠性和應用的可用性。網(wǎng)絡安全設計設計原則 漢柏認為數(shù)據(jù)中心網(wǎng)絡安全需遵從如下設計原則: (1)構(gòu)建分域的控制體系 整個系統(tǒng)安全在總體架構(gòu)上將按照分域保護思路進行,參考信息安全技術框架,將交互應用公共支撐網(wǎng)絡從結(jié)構(gòu)上劃分為不同的安全區(qū)域,各個安全區(qū)域內(nèi)部的網(wǎng)絡設備、服務器、應用系統(tǒng)形成單獨的計算環(huán)境、各個安全區(qū)域之間的通道形成邊界、各個安全區(qū)域之間的連接鏈路和網(wǎng)絡設備構(gòu)成了網(wǎng)絡基礎設施;因此方案將從保護計算環(huán)境、保護邊界、保護網(wǎng)絡基礎設施三個層面進行設計,并通過統(tǒng)一的基礎支撐平臺來實現(xiàn)對基礎安全設施的集中管理,構(gòu)建分域的控制體系。 (2)構(gòu)建縱深的防御體系 整個系統(tǒng)安全對交互應用公共支撐網(wǎng)絡的通信網(wǎng)絡、區(qū)域邊界、計算環(huán)境,綜合采用訪問控制、入侵檢測、安全審計、防病毒、集中數(shù)據(jù)備份等多種技術和措施,實現(xiàn)雙向交互業(yè)務應用的可用性、完整性和保密性保護,并在此基礎上實現(xiàn)綜合集中的安全管理,并充分考慮各種技術的組合和功能的互補性,合理利用措施,從外到內(nèi)形成一個縱深的安全防御體系,保障信息系統(tǒng)整體的安全保護能力。 (3)保證一致的安全強度 應采用分級的辦法,采取強度一致的安全措施,并采取統(tǒng)一的防護策略,使各安全措施在作用和功能上相互補充,形成動態(tài)的防護體系。在建設手段上,采取“大平臺”的方式進行建設,在平臺上實現(xiàn)各個級別信息系統(tǒng)的基本保護,比如多層的邊界防護系統(tǒng)、統(tǒng)一的審計系統(tǒng),綜合的網(wǎng)管系統(tǒng),然后在基本保護的基礎上,再根據(jù)各個信息系統(tǒng)的重要程度,采取高強度的保護措施。 (4)實現(xiàn)集中的安全管理 網(wǎng)絡與信息安全不是單純的技術問題,需要在采用安全技術和產(chǎn)品的同時,重視安全管理,不斷完善各類安全管理規(guī)章制度和操作規(guī)程,全面提高安全管理水平。建設一套覆蓋全面、重點突出、持續(xù)運行的信息安全管理體系,該體系覆蓋信息系統(tǒng)安全所要求的安全技術和安全運維等內(nèi)容,符合信息系統(tǒng)的業(yè)務特性和發(fā)展戰(zhàn)略,可持續(xù)發(fā)展與完善。 信息安全管理的目標就是通過采取適當?shù)目刂拼胧﹣肀U闲畔⒌谋C苄?、完整性、可用性,從而確保信息系統(tǒng)內(nèi)不發(fā)生安全事件、少發(fā)生安全事件、即使發(fā)生安全事件也能有效控制事件造成的影響。通過建設集中的安全管理平臺,實現(xiàn)對信息資產(chǎn)、安全事件、安全風險、訪問行為等的統(tǒng)一分析與監(jiān)管,通過關聯(lián)分析技術,使系統(tǒng)管理人員能夠迅速發(fā)現(xiàn)問題,定位問題,有效應對安全事件的發(fā)生。 (5)系統(tǒng)冗余設計 如何保證數(shù)據(jù)中心對外正常提供服務是整個數(shù)據(jù)中心網(wǎng)絡建設的重點,整個系統(tǒng)不應只考慮到安全設備的部署,還要系統(tǒng)的考慮到主干網(wǎng)絡、分域網(wǎng)絡、所有應用系統(tǒng)的冗余機制,以保證所有業(yè)務的正常訪問。 (6)提升系統(tǒng)的保障能力 在技術措施和管理手段建設的同時,重視信息安全中“人”的重要作用,通過一系列的風險評估、安全加固提升系統(tǒng)的安全性,并通過安全培訓和安全通告提高歌華有線自身技術人員的技術水平,使系統(tǒng)安全保障能力達到行業(yè)內(nèi)一流的信息安全保障水平,支撐和保障信息系統(tǒng)和業(yè)務的安全穩(wěn)定運行。安全域設計 傳統(tǒng)解決方案中,終端用戶可以訪問自己前端服務器,同時服務器可以訪問內(nèi)部應用服務器,這樣存在非常嚴重的安全隱患,一旦前端服務器被互聯(lián)網(wǎng)黑客植入木馬,則黑客可通過“肉雞”主機竊取高等級安全域中的信息數(shù)據(jù)。 針對網(wǎng)絡中可能存在的“肉雞”主機問題,應用安全域解決方案通過對用戶主機的認證授權模式,確保客戶主機在同一時間段只能訪問某一個區(qū)域,如訪問對外接入?yún)^(qū)域,則對外接入?yún)^(qū)域服務器不能訪問其他的安全域中的服務器,保證了即使被植入木馬的主機,不會被外界控制去訪問其它服務器資源,從而降低網(wǎng)絡中信息泄漏的概率。 按照區(qū)域的功能和應用的不同,漢柏建議數(shù)據(jù)中心網(wǎng)絡劃分為如下三個安全域:外聯(lián)區(qū);業(yè)務區(qū)(包括四個子區(qū));內(nèi)聯(lián)區(qū);各安全域的邊界規(guī)劃如下圖所示: 安全域邊界規(guī)劃描述如下:外聯(lián)區(qū)與業(yè)務區(qū)屬于不同安全域;內(nèi)聯(lián)區(qū)與業(yè)務區(qū)屬于不同安全域;各業(yè)務安全子域?qū)儆诓煌踩?;防火墻系統(tǒng)設計 為實現(xiàn)安全域邊界防護,需在安全域之間部署防火墻,漢柏建議廣電數(shù)據(jù)中心網(wǎng)絡防火墻部署方式如下圖: 建議在外聯(lián)區(qū)與業(yè)務區(qū)之間部署漢柏550045超萬兆防火墻,流量較小的內(nèi)聯(lián)區(qū)與業(yè)務區(qū)之間部署漢柏550040萬兆防火墻。部署模式建議采用透明方式+安全策略,以達到更高的轉(zhuǎn)發(fā)性能。 作為業(yè)界領先的安全防護產(chǎn)品,550045/40具有如下突出特點:專業(yè)的安全防護 550045/40不僅能夠提供全面的地址轉(zhuǎn)換、地址綁定、訪問控制策略、安全域劃分、身份認證等邊界防護功能,同時能夠抵御包括、、、、、、、2、碎片、源路由、端口掃描、等幾十種常見攻擊。 針對嵌入在各種應用(郵件、網(wǎng)頁、以及)中的攻擊、病毒和惡意插件,550045/40能夠在深度識別業(yè)務類別和用戶行為的前提下,提供基于狀態(tài)監(jiān)測的應用層網(wǎng)關功能,結(jié)合強大的入侵檢測機制和防病毒引擎,真正實現(xiàn)了邊界、接入、行為和數(shù)據(jù)的多重安全防護。穩(wěn)定和高性能 550045/40防火墻采用了基于漢柏多個專利技術的雙安全操作系統(tǒng),并對數(shù)據(jù)平面和控制平面進行了嚴格的區(qū)分。對數(shù)據(jù)平面中各種需要高性能處理的功能,如地址轉(zhuǎn)換、報文轉(zhuǎn)發(fā)和訪問控制策略進行了細致的優(yōu)化處理;在控制平面上,支持鏈路狀態(tài)信息的倒換機制、分布式應用和模塊化的硬件架構(gòu),同時也對處理資源進行了保護,確保即使在極限網(wǎng)絡壓力下,550045/40仍然能夠維持平穩(wěn)的工作狀態(tài)。萬兆就緒 針對日益突出的視頻傳輸、虛擬桌面和數(shù)據(jù)中心備份等大數(shù)據(jù)量傳輸,應用的飛速增長帶來了帶寬的提升需求,萬兆接口的應用已經(jīng)勢不可擋。同時,數(shù)據(jù)中心對設備的功耗和體積要求也越來越嚴格,更希望能夠在相同的機架面積里面實現(xiàn)更高密度的連接。借助出色的硬件平臺研發(fā)能力,漢柏科技率先推出了全球第一款在1體積上實現(xiàn)萬兆接口的防火墻,憑借突出的功耗控制和效能優(yōu)化,為用戶平滑過渡到萬兆時代提供了最佳選擇。內(nèi)置交換芯片 550045/40在業(yè)內(nèi)首次創(chuàng)新的采用了先進的防火墻+交換機的設計架構(gòu),采用高性能的千兆交換芯片,提供高達128的交換容量,不僅能夠?qū)崿F(xiàn)接口之間的L23線速轉(zhuǎn)發(fā),還同時能夠提供鏈路匯聚(802.3)、靈活的配置以及端口鏡像等功能,內(nèi)置的硬件還能夠配合防火墻,實現(xiàn)安全層面和轉(zhuǎn)發(fā)層面依據(jù)硬件分離,提供更為全面的高性能安全接入功能。虛擬防火墻功能 傳統(tǒng)的防火墻只能提供單一安全域的防護,而對于多個安全域的獨立部署,需要多臺防火墻才能實現(xiàn),這造成了資源的極大浪費。550045/40支持虛擬防火墻技術,能夠在一臺物理防火墻上劃分出多個虛擬防火墻,每一臺虛擬防火墻都能夠?qū)崿F(xiàn)獨立的訪問控制策略、、身份認證和系統(tǒng)管理。同時,系統(tǒng)還能夠?qū)Χ鄠€虛擬防火墻進行統(tǒng)一的配置管理、軟件升級。對于用戶來說,即提高了現(xiàn)有設備的利用率,又解決了網(wǎng)絡部署復雜、擴展性差等問題。出色的能效比 550045/40采用了自主研發(fā)的高性能操作系統(tǒng),并且針對報文轉(zhuǎn)發(fā)、過濾以及的關鍵處理進行了深入的優(yōu)化設計,在同等硬件處理能力下,比通用的操作系統(tǒng)要高出至少30%的效能,對于提高用戶資源利用率,降低能耗和節(jié)能減排給予了強有力的支持。精細的流量和業(yè)務管理 基于專利技術的流量識別,結(jié)合強大的深度業(yè)務識別技術,系列防火墻能夠提供對包括、、等多種業(yè)務在內(nèi)的精細化識別,根據(jù)既定的服務管理策略,對各種應用給予不同的差分化對待,確保了關鍵業(yè)務的正常運行,即提高了網(wǎng)絡資源的利用效率和組織的生產(chǎn)效率,又降低了總成本和運維的風險。入侵檢測系統(tǒng)設計 的部署目的是為了監(jiān)測來自不同網(wǎng)絡對數(shù)據(jù)中心網(wǎng)絡的訪問,用以及時發(fā)現(xiàn)網(wǎng)絡攻擊并提供有效證據(jù)。制定策略是使用最重要的工作之一,良好的策略不僅可以讓管理員及時捕捉到網(wǎng)絡上正在發(fā)生的重大危害事件,而且使管理員不致被大量的無用信息所淹沒,減輕工作負擔。如果是初次使用,對網(wǎng)絡上存在些什么樣的數(shù)據(jù)流可能不甚明確,這時可以采用包含事件較多的策略集,待運行一段時間后,對網(wǎng)絡狀況有了基本的了解,再在此策略集的基礎上酌情刪減。 漢柏建議的部署方式如下圖: 建議采用兩臺漢柏550040旁路部署模式,兩臺分別連接在核心交換機上,將核心交換機連接各業(yè)務區(qū)域端口的出入流量鏡像到漢柏550040,由漢柏550040進行入侵檢測。 漢柏550040主要特點如下:業(yè)界領先的架構(gòu)設計業(yè)界最佳的系統(tǒng)架構(gòu) 550040采用了控制平面、轉(zhuǎn)發(fā)平面和管理平面嚴格分離的系統(tǒng)架構(gòu),采用基于硬件的完成防火墻的所有功能,實現(xiàn)小包64字節(jié)線速的吞吐量,嚴格保障防火墻的轉(zhuǎn)發(fā)性能;對于應用層安全,采用高性能的通用處理器,以應對實時變化的威脅和應用;對于管理數(shù)據(jù),給予最高優(yōu)先級的處理,即使在應用層處理負載較重的時候,仍然能夠輕松對設備進行管理和配置。雙安全操作系統(tǒng) 550040采用了基于漢柏專利多核技術的雙安全操作系統(tǒng),獨創(chuàng)性的提出了基于安全領域在多核上的(對稱多處理)軟件模型,該模型成功的應用了阿比達定律,有效的降低串行化執(zhí)行代碼在總執(zhí)行代碼中的比例,極大地發(fā)揮了多核下的并行計算能力。 除此之外,550040使用了智能流分類系統(tǒng),將大量的數(shù)據(jù)流均勻分散在不同的核上進行全流程處理,增加了數(shù)據(jù)的命中率,極大的提高了系統(tǒng)的性能。針對多核軟件設計大量使用到的鎖,漢柏設計并實現(xiàn)了自有專利的安全操作系統(tǒng)寫時拷貝機制,使得90%的數(shù)據(jù)流在做并行化處理時都是免鎖的,進一步保障了系統(tǒng)的穩(wěn)定性和可靠性。入侵檢測和防御 550040采用了集成多種檢測機制的高性能掃描引擎,包括特征庫匹配、異常行為分析、協(xié)議檢查等手段,結(jié)合漢柏強大的實時安全服務,能夠主動識別各種攻擊、協(xié)議的變種攻擊、木馬和后門程序,不僅能準確地檢測入侵,實時的阻止惡意的攻擊,并能夠提供豐富完整的日志和定位信息,進行事后溯源工作。安全 針對不斷涌現(xiàn)的安全,550040也提供了一定程度的防護,不僅包括能夠有效的識別或過濾出嵌入在頁面中的、、和等信息,還能夠提供關鍵字過濾和基于超過4000萬域名的頁面分類數(shù)據(jù)庫,幫助管理員輕松設置工作時間禁止訪問的網(wǎng)頁,提高工作效率和控制對不良網(wǎng)站的訪問,杜絕潛在的威脅。數(shù)據(jù)泄漏防護 550040還提供了精細的數(shù)據(jù)泄漏防護()功能,支持用戶定義各種規(guī)則的關鍵字和敏感詞,支持包括、、和在內(nèi)的各種協(xié)議,對于銀行卡帳號、身份信息、財務信息等關鍵數(shù)據(jù),將其控制在可信網(wǎng)絡的范圍以內(nèi),避免惡意或者無意的數(shù)據(jù)泄漏造成不可彌補的錯誤。豐富的應用支持和管理 550040采用了多重識別技術,首先基于強大的深度報文檢測和多達1400種的業(yè)界最豐富的協(xié)議庫,對絕大部分的應用進行模式匹配;其次采用了啟發(fā)式學習和技術,采用漢柏專利技術進行深層次的行為挖掘;最后,對偽裝成報文的應用,進行一致性還原比對。在這三重技術的保障下,將應用識別率,提高到遠遠超過了業(yè)界的其他競爭對手的程度。可視化的安全管理 550040提供了豐富的展現(xiàn)功能,提供包括病毒排行、攻擊排行、應用帶寬的排行、鏈路帶寬使用情況,在應用管理上,可以提供能夠細致到當前用戶的應用、占用的帶寬、使用的連接,讓安全管理者對已有的、潛在的和未知的安全威脅,以及網(wǎng)絡中的各種應用和用戶行為,都有著非常豐富的直觀感受,為用戶創(chuàng)造出可視化安全的體驗。實時的病毒庫、攻擊庫、應用庫更新 作為安全網(wǎng)關設備,如何能夠保證在新的威脅、病毒、攻擊和新的應用出現(xiàn)的第一時間,就能夠做到有效的洞悉和控制,不僅考驗產(chǎn)品本身的應變能力,更考驗安全廠商支持的力度和深度,以及響應的速度。 漢柏科技為550040配備了強大的安全服務團隊,并和國際先進的安全機構(gòu)合作,對不斷涌現(xiàn)的新的病毒、威脅以及應用,實時更新到漢柏安全數(shù)據(jù)庫中。目前安全數(shù)據(jù)庫已經(jīng)有20萬條病毒特征、4000多種攻擊特征、1400多種應用特征庫,以及70多種分類4000多萬條網(wǎng)頁數(shù)據(jù)庫。簡單易用的配置工具 550040集成了業(yè)界最完整的安全功能,但并不是簡單的羅列。漢柏科技一直將提高使用者的便利性作為產(chǎn)品設計的核心思想,從產(chǎn)品定義階段就將易用性作為關鍵指標。 550040提供了簡單直觀的管理界面和用
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
- 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 健身俱樂部入股協(xié)議書
- 食堂費用補貼協(xié)議書
- 高壓配電施工協(xié)議書
- 集體資金使用協(xié)議書
- 長春專利保護協(xié)議書
- 面試審查就業(yè)協(xié)議書
- 資金撥付告知協(xié)議書
- 集中斗毆和解協(xié)議書
- 跟兄弟分錢寫協(xié)議書
- 餐廳消防責任協(xié)議書
- MOOC 學術英語寫作-東南大學 中國大學慕課答案
- 浙江理工大學研究生培養(yǎng)方案專家論證意見表
- T∕CADERM 3033-2020 創(chuàng)傷中心創(chuàng)傷復蘇單元內(nèi)醫(yī)師 站位及分工規(guī)范
- 高等數(shù)學(下)無窮級數(shù)PPT通用PPT課件
- 大傾角皮帶輸送機設計(全套圖紙)
- 《老北京四合院》
- 常用化學中英文名詞對照表
- 第三章磁功能玻璃
- 國家開放大學《機械制造基礎》章節(jié)測試題參考答案
- 大學生對美團滿意調(diào)查問卷
- 軸承的計算公式
評論
0/150
提交評論