网络方案

海口市气象局数据采集项目

网络规划设计方案

吉林省思航网络工程有限公司

二〇一一年七月

目 录

一、前言 .......................................................................................................... 4 二、整体方案概述 .......................................................................................... 5

2.1、网络拓扑图 ..................................................................................... 6 2.3、功能概述 ......................................................................................... 7 三、网络传输设计 .......................................................................................... 8

3.1、设计原则与思路 ............................................................................. 8 3.2、中心数据网络设计 ......................................................................... 9 3.3、互联网接入设计 ............................................................................. 9 3.4、网络设备介绍 ................................................................................. 9 四、网络安全 ................................................................................................ 11

4.1、综述 ............................................................................................... 11 4.2、防火墙 ........................................................................................... 11 4.3、防火墙设备介绍 ........................................................................... 12 五、网络隔离 ................................................................................................ 14

5. 1、简述 .............................................................................................. 14 5.2、安全需求分析 ............................................................................... 14

5.3、方案设计 ....................................................................................... 15 六、服务器 .................................................................................................... 29

6.1、双机热备 ....................................................................................... 29 6.2、服务器设备介绍 ........................................................................... 31 七、数据存储、备份系统 ............................................................................ 35

7.1、RAID ............................................................................................. 35 7.2、存储设备介绍 ............................................................................... 37 7.3、虚拟带库 ....................................................................................... 38 7.4、虚拟带设备介绍 ........................................................................... 41

一、前言

海口市气象局数据采集网络工程是一个综合工程。涉及网络，安全，内外网隔离，服务器，存储，防病毒等多个方面的功能。为方便描述以及理解，本方案将按功能拆分为若干部分，分别阐述。

二、整体方案概述

2.1、方案概述

我们为海口市气象局数据采集网络构架了一个整套的安全体系结构，整个体系中最基本单元是每台在线主机的安全，即安全体系中的每一个点；子网/局域网是体系中的块状组成部分，是安全体系中的各个面；整个安全体系由各个层次和面组成，形成安全体系的立体框架。我们知道实现网络安全不是一次可以完成的任务，需要不断根据网络环境和网络管理进行调整，我们设计的解决方案充分兼容今后的安全管理及优化的需求。

基于海口市气象局的实际情况，使用成熟可靠的IT技术，科学规范地对整个网络进行规划；整个项目由资深工程技术人员完成设计实施和管理；充分利用设备原厂商对我们的鼎力支持，建成技术先进、稳定安全的海口市气象局数据采集网络系统。

海口市气象局数据采集网络系统分为内网基础平台和外网基础平台两个部分。方案以网络建设、数据存储建设、网络安全为重点。其中，外网的构建主要体现在INTERNET的接入，在此方案中我们不再提及，所以外网基础平台对内只提供宽带接入互联网服务，这一部分的网络拓扑结构同内部平台一致，在这里不再赘述；内网基础平台主要用来提供应用系统所需的网络环境、数据存储、文件服务器等，因此服务器采用配置稍高一点（CPU、内存、硬盘）的机器，配合“磁盘阵列”构建双机系

统，同时支持RAID、磁带库，保证数据的安全可靠。另外，严格按照相关技术规范设计和实施，充分保证信息传输介质的高可靠性；网络主干采用千兆以太网技术，核心交换设备不仅功能强大，而且具有优异的扩展性能；网络安全系统我们采用物理隔离和逻辑防护等措施，最大限度的保证网络的安全。

2.1、网络拓扑图

2.2、数据系统结构图

2.3、功能概述

本网络由服务存储系统、磁带库系统、网络交换系统、安全系统、内外网隔离、防病毒等六大部分组成。

三、网络传输设计

3.1、设计原则与思路

（1）先进性

世界上计算机技术的发展十分迅速，更新换代周期越来越短。所以，选购设备要充分注意先进性，选择硬件要预测到未来发展方向，选择软件要考虑开放性，工具性和软件集成优势。网络设计要考虑通信发展要求。 （2）可靠性

系统能长时间稳定可靠地运行，并保证系统安全，防止非法用户的非法访问。系统不能出现故障，或者说即使有设备出现故障，对网络和网上的数据不构成大的威胁，要有设备对数据作备份。 （3）实用性

系统的设计既要在相当长的时间内保证其先进性，还应本着实用的原则，在实用的基础上追求先进性，使系统便于联网，实现信息资源共享。易于维护管理，具有广泛兼容性，同时为适应企业的内部需求，员工的工作特性等。 （4）安全性

企业计算机网络都与外部网络互连互通日益增加，都直接或间接与国际互连网连接。企业的商业机密，员工资料，市场和销售信息等敏感信息关系到企业生存利害。因此，在系统方案设计需考虑到系统的可靠性、信息安全性和保密性的要求。 （5）可扩充性

系统规模及档次要易于扩展，可以方便地进行设备扩充和适应工程的变化，以及灵活进行软件版本的更新和升级，保护用户的投资。为将来系统的升级、扩展打下良好的基础。

3.2、中心数据网络设计

中心数据网络采用两台cisco 2960G千兆交换机，分别连接内网核心层及磁盘阵列、磁带库。数据中心流量较大，因此通过双链路千万兆链路与核心层相连，且有冗余链路。使用了两台交换机保证了数据中心的高安全。

数据中心包含了各种中心数据库服务器、实时数据库服务器，同时有一套存储系统。

3.3、互联网接入设计

出口处使用了cisco 2801路由器与cisco asa 5510防火墙，在路由器中配置NAT、ACL等第一层安全防护措施。将防火墙配置成透明模式，对进出数据进行深层过滤，进行第二层逻辑防护。可以有效的保证了数据网络的安全性。

3.4、网络设备介绍

3.4.1路由器-cisco-2801

产品型号 产品类型 广域网接口 局域网接口 硬件参数 DRAM内存 Flash内存 384MB 128MB 2801 模块化,企业级,路由器 10/100Mbps 2 x 10/100Mbps

控制端口 扩展插槽 软件参数 支持协议 认证标准 其它参数 重量 功率 Console 有扩展插槽,4个HWIC插槽 IEEE 802.3X UL 60950:CAN/CSA C22.2 No.60950,IEC 60950,EN 60950-1,AS/NZS 60950 6.2Kg AC-IP电源:360W,用于系统370W,无IP电话:280W 3.4.2 交换机-cisco 2960

指标项 交换容量 转发性能 固定接口 支持千兆SFP接口 MAC 系统内存 系统闪存 802.1q VLAN 指标要求 ≥16GB ≥6.5Mpps； 24个10/100Base-T ，2个千兆以太网电口 ≥2 ≥8K ≥64MB ≥32MB 支持4K个802.1Q VLAN ID 支持SP/SDWRR/SP+SDWRR队列调度技术，每端口支持8个队列 QOS 支持端口和队列的流量整形 支持IEEE 802.1p/DSCP优先级 生成树 高可靠性 安全性 管理协议 其它协议 支持STP、RSTP、MSTP、IEEE 802.1d、IEEE 802.1s 支持 HSRP、VRRP、RPS系统 支持 IEEE 802.1x SNMPv1/v2C/v3、RMON(1,2,3,9)、Syslog DHCP Relay、DHCP Snooping

四、网络安全

4.1、综述

随着信息化建设的逐步发展，信息安全问题越来越成为一个普遍的问题。各种信息安全解决方案层出不穷。本方案将根据气象局的实际需求综合运用如下信息安全防护手段，力求建立一个安全稳定的网络系统。

4.2、防火墙

信息安全的第一道门户就是防火墙，防火墙能够灵活定制各种规则，以各种规则约束内外网之间流通的数据。

防火墙设置在内网和外网之间。它是内外网络信息交换的唯一出入口，能根据系统管理人员的安全政策控制出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。 在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控内网和外网之间的任何活动，保证内部网络的安全。 以下图为例：

在防火墙的作用下，正常访问数据可以通过网络，而恶意攻击数据将被防火墙阻断在外。

另外，防火墙的保护使得外部用户无法穿透防火墙发现内网的结构。从而对整个内部网络起到一个加固作用。

4.3、防火墙设备介绍

特性 说明 防火墙吞吐率 高达 300 Mbps 并发威胁防御吞吐率 ( 防火墙 + IPS 服务 ) VPN 吞吐率 150 Mbps ，采用 AIP-SSM-10 300 Mbps ，采用 AIP-SSM-20 高达 170 Mbps 并发连接 50,000/130,000 *IPSec VPN 对 250

SSL VPN 对许可证级别** 10 、 25 、 50 、 100 或 250 安全环境 最多5个*** 接口 3 个快速以太网 + 1 个管理端口； 5 个快速以太网端口 *虚拟接口 (VLAN) 50/100 *高可用性 不支持；主用 / 主用，主用 / 备用 *

五、网络隔离

5. 1、简述

自上世纪90年代以来，信息技术迅猛发展，人们的生活、工作方式发生了巨大变革，信息网络的大规模应用极大提高了办公效率，从1995年开始，互联网在我国迅速普及，党和政府积极推进全国的数字化进程，使我国的数字化建设取得了突飞猛进的发展，经过多年建设，我国已建成具有相当规模的数字化网络，但随着网络的不断普及，安全问题日益增多，网络和信息安全问题成为威胁政府和企业安全的重大隐患。随着对安全问题的不断认识和了解，党和政府已将信息安全建设提到一个相当的高度上来，我国互联网建设的重点也从开始的组网、应用开发转移到现在的保障应用安全以及全面的信息监督、控制、管理体系的实现上来，从而构筑我国坚固的信息安全防护体系。

5.2、安全需求分析

客户网络上线气象数据采集系统由于涉及到来自外部网络的气象数据需要交换到内网，但是内网属于严格保密的专网，如果内外网直接连接的话，会造成专网受到攻击，专网的数据泄密等风险。如何能够实时的将外部网络的气象数据实时的导入到专网内部的应用系统中，并保持专网与外网的隔离成为一个亟待解决的问题。

5.3、方案设计

“要确保网络安全吗？那就断开网络吧！”这句话并非玩笑。在政府、金融、航天、军事等行业和部门物理隔离技术及产品已经开始发挥着重要的作用。但是这已经不是传统意义上的物理隔离，而是保证信息交换的安全隔离了。安全隔离技术作为一项新兴的网络安全技术，在保障国家信息安全，尤其是政府、军队及重点行业等信息系统安全建设方面发挥了重要的作用。

物理隔离作为一种安全管理和技术手段，能够比较有效地防范来自外界对网络和信息系统的安全威胁。但是物理隔离隔断了网络，禁止了数据交换，造成信息化工作无法开展，属于消极的防御方法。“积极防御”，就是说，既不能因为存在信息安全的威胁而消极地停止或者滞后信息化进程，隔断网络使信息不能共享；也不能忽视或者轻视信息安全威胁，使信息系统缺乏安全保障。

基于这样的需求特点，可以变被动为主动，采取与“黑名单”防御技术思路完全不同的方法进行“积极”防御：将正常需要传输和交换的、合法的

数据经过明确定义列入“白名单”，在网络的边界仅允许“白名单”所定义的应用数据通过，任何其它未知的数据传输一律阻断，并把这一机制用可信的防篡改的专用硬件固化下来。

这一采用“白名单”思路进行积极防御的技术即为GAP技术（也叫安全隔离与信息交换技术）。

GAP技术最初来源于物理隔离。为了防范网络、信息系统受到安全威胁，物理隔离禁止网络和信息系统与外界非信任网络的所有数据交换。这种手段固然能够最大程度地保证内部网络和信息系统的安全性，但是网络和信息系统的一些优点也都不复存在。这是背离信息化方向的，是消极的，与“积极防御”的指导方针背道而驰。另外，物理隔离的消极影响还在于可能会导致内部网络用户出现通过电话线外连、移动计算设备一机多用、用移动存储介质在网络间交换未知数据等潜在威胁。从业界出现的各种关于“主机非法外联监控”技术和相关产品的情况来看，这种潜在威胁已经浮出水面。认为物理隔离能保证高度安全无异于把头埋在沙堆里的鸵鸟。

物理隔离产生消极影响的原因是：用户希望根据业务和应用需求，在物理隔离的网络之间进行安全适度的信息交换。设想，用户需要在相互隔离的网络之间传输一些指定的文件，比如甲部门需要向乙部门定期提供的汇报、审计、总结等信息和数据，那么很自然的方式是采用移动介质，将所需要的文件从一个网络的服务器上拷贝到另外一个网络的服务器上。这种数据交换方式如果加上内容检查（包括病毒查杀在内）机制，

保证对所需传输的数据来源、格式和内容的确认，并确保其它未知数据不能在网络之间交换，即可在进行了数据交换的同时保持物理隔离手段所提供的高安全性。

GAP技术按照以上思路，在物理隔离的基础上，发展了安全信息交换的技术。就像上面描述的信息交换过程一样，GAP方式的信息和数据交换过程为：首先保证网络之间的隔离，然后根据业务需求，以“白名单”方式定义在网络间需要交换的数据，再通过主动请求或专用接口的方式获取数据，并且对所交换数据进行格式和内容的检查，最后将数据安全发送到目的地。从而在保持物理隔离的高安全性基础上提供信息交换的功能。

基于对实际应用系统的安全需求分析和风险分析，GAP技术采用了独特的软硬件设计架构，保证“白名单”策略的实施。

首先，GAP硬件采用多主机架构。GAP设备需要对在网络间交换的数据进行预处理。预处理过程包括：将网络上传送的数据还原为应用层数据；对这些数据进行由用户所定义的检查；读取和发送这些应用数据。这些预处理操作在进行数据交换之前必须在独立的主机系统中进行，保证数据的隔离。另外，多台主机用专用硬件串联的架构形成纵深防御，既使外部主机被攻击，也可以保证内部主机的安全。

第二，GAP硬件架构中采用专用防篡改硬件隔断TCP/IP协议通信，保证数据传送和检查机制固化、防篡改，保证网络隔离的有效性。

第三，GAP的“白名单”策略面向应用数据，并对未知来源的主动请求一律拒绝。因为用户对所传输的数据的定义只能是面向应用而不可能面向网络会话或者IP报文。读取和发送这些数据时，GAP采用主动请求（Pull & Push）或者专用安全接口或专用安全客户端的方法。内部网络的服务端口暴露在各种各样的未知请求面前时，很难避免遭受堆栈溢出、绕过安全检查、拒绝服务等的攻击。通过主动请求的方法可以避免开放服务端口；通过专用安全接口或者专用安全客户端进行数据读取和发送可以避免接收未知数据。这样可以避免绝大多数隐患

最后，GAP提供内容检查机制。内容检查机制首先采用病毒查杀引擎对已知病毒进行查杀。其次内容检查根据用户对数据的定义检查数据的格式和内容。

综上所述，GAP技术隔断了从物理层到应用层所有网络层次的协议通信，因此，可以把GAP理解成“the Gap of All Protocol”的缩写。 3.1 网闸的定义

网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于网闸所连接的两个独立主机系统之间，不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在依据协议的信息包转发，只有数据文件的无协议“摆渡”，且对固态存储介质只有“读”和“写”两个命令。所以，网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接，使“黑客”无法入侵、无法攻击、无法破坏，实现了

真正的安全。

3.2 网闸的信息交换方式

我们知道计算机网络依据物理连接和逻辑连接来实现不同网络之间、不同主机之间、主机与终端之间的信息交换与信息共享。网闸既然隔离、阻断了网络的所有连接，实际上就是隔离、阻断了网络的连通。网络被隔离、阻断后，两个独立主机系统之间如何进行信息交换？网络只是信息交换的一种方式，而不是信息交换方式的全部。在互联网时代以前，信息照样进行交换，如数据文件复制（拷贝）、数据摆渡，数据镜像，数据反射等等，网闸就是使用数据“摆渡”的方式实现两个网络之间的信息交换。

网络的外部主机系统通过网闸与网络的内部主机系统“连接”起来，网闸将外部主机的TCP/IP协议全部剥离，将原始数据通过存储介质，以“摆渡”的方式导入到内部主机系统，实现信息的交换。说到“摆渡”，我们会想到在1957年前，长江把我国分为南北两部分，京汉铁路的列车只有通过渡轮“摆渡”到粤汉铁路。京汉铁路的铁轨与粤汉铁路的铁轨始终是隔离、阻断的。渡轮和列车不可能同时连接京汉铁路的铁轨，又连接到粤汉铁路的铁轨。当渡轮和列车连接在京汉铁路时，它必然与粤汉铁路断开，反之依然。与此类似，网闸在任意时刻只能与一个网络的主机系统建立非TCP/IP协议的数据连接，即当它与外部网络的主机系统相连接时，它与内部网络的主机系统必须是断开的，反之依然。即保证内、外网络不能同时连接在网闸上。网闸的原始数据“摆渡”机制是原始数据通过存储

介质的存储（写入）和转发（读出）。

网闸在网络的第七层将数据还原为原始数据文件，然后以“摆渡文件”的形式来传递原始数据。任何形式的数据包、信息传输命令和TCP/IP协议都不可能穿透网闸。这同透明桥、混杂模式、IP over USB、代理主机、以及通过开关方式来转发信息包有本质的区别。下面以内网与外网之间的网闸为例，说明通过网闸的信息交换过程。

当内网与外网之间无信息交换时，数据交换单元与内网交换单元，数据交换单元与外网处理单元，内网处理单元与外网处理单元之间是完全断开的，即三者之间不存在任何连接，如下图所示。

当内网数据需要传输到外网时，网闸主动向内网处理单元数据交换代理发起非TCP/IP协议的数据连接请求，并发出“写”命令，将写入开关合上，并把所有的协议剥离，将原始数据写入存储介质。在写入之前，根据不同的应用，还要对数据进行必要的完整性、安全性检查，如病毒和恶意代码检查等。

在此过程中，外网处理单元与数据交换单元始终处于断开状态，见下图所示。

一旦数据完全写入网闸的存储介质，开关立即打开，中断与内网的连接。转而发起对外网的非TCP/IP协议的数据连接请求，当外网服务器收到请求后，发出“读”命令，将网闸存储介质内的数据导向内网服务器。内网服务器收到数据后，按TCP/IP协议重新封装接收到的数据，交给应用系统，完成了内网到外网的信息交换。详见图3所示。

3.3 产品功能

华御网闸由内、外网处理单元和安全数据交换单元组成。安全数据交换单元在内外网主机间按照指定的周期进行安全数据的摆渡。从而在保证内外网隔离的情况下，实现可靠、高效的安全数据交换，而所有这些复杂的操作均由隔离系统自动完成，用户只需依据自身业务特点定制合适的安全策略既可实现内外网络进行安全数据通信，在保障用户信息系统安全性的同时，最大限度保证客户应用的方便性。 3.3.1 安全隔离

物理隔离：系统由内网单元、外网单元及控制单元三个物理部分组成。控制单元是内外网之间唯一且安全的数据通道。

协议隔离：内、外网单元主机均采用安全操作系统，分别独立完成网络协议的终止。内、外网单元之间只能通过采用非网式专有安全通道进行间歇性数据传递，内外网无法直接建立任何的协议会话，从而阻断以共同协议为载体的风险传递。

应用隔离：系统采用模块化的应用解码，内外网单元分别独立完成与客户会话交互、提取安全数据等待数据交换，所以内外网之间不能建立直接的应用会话。

内容隔离：内、外网单元分别将待交换传输的数据进行内容检查与病毒查杀，不符合安全规定的数据内容将被直接删除，合法的数据才允许被安全数据交换单元交换至另一端，从而保证了数据内容的安全性。

风险隔离：系统以白名单机制运行，仅许可正常的、用户许可的网络应用，防范未知的安全风险。并且系统集成防病毒并可扩展多种常规安全防护引擎，如入侵检测等，可检测60000多种病毒和4000多种网络入侵。双重安全机制最大程度上实现了风险隔离。 3.3.2 信息交换

网闸可以提供内网单元与外网单元均为服务器的角色交换信息也可以一端做为服务器另一端作为客户端的角色交换信息，也可以内网单元与外网单元同时作为客户端的角色交换信息，并且这几种交换模式可以并存，为用户提供了丰富多样的交换策略选择，适应了所有的数据交换模式。

服务交换：内、外网单元通过系统内置的文件交换、数据库交换、安全浏览、邮件交换等处理模块，将用户提交的业务数据经过内容检查后置于安全数据交换区，安全数据交换单元根据指定的周期将安全数据交换至内网单元。

自动交换：系统的内、外网单元根据设定的自动交换策略，主动请求内、外网的提供服务的计算机，提取对应的数据，经过内容检查后置于安全数据交换区，安全数据交换单元根据指定的周期将其交换至另一网端，另一网端根据设定将这些安全数据主动的提交至目的服务计算机中。 3.3.3 网络访问控制

网闸具有强大的访问控制力，管理员可通过订制访问策略，精细地控

制 谁 （网络对象）能够 （允许或禁止）访问自己。管理控制台以人性化的人机接口协助管理员轻松实现管理目标。

网络访问控制：网闸的内、外网单元完整实现链路层、网络层、传输层访问控制，通过灵活组合网络对象，制定与实际需求完全吻合的访问策略。

访问用户控制：网闸的内、外网单元可实现定制、绑定哪些用户可以访问，以何种策略访问。 3.3.4 数据内容审查

内容检查是指当网闸准备交换文件之前对文件所进行的安全检查，确保只有符合保密、安全策略的数据、文件才允许被交换至另一端。 行为动作：网闸的内、外网单元可依据管理员设定的各个应用模块的行为动作策略进行控制，拒绝非允许的动作操作：如FTP的允许下载不允许上传，数据库的允许SELECT不允许DELETE等控制并将记录非授权动作到日志告警。

关键字检查：网闸的内、外网单元可依据管理员设定的涉密或不健康的信息进行过滤，将过滤到关键字的信息摈弃并记录日志告警。 文件类型检查：网闸的内、外网单元可将指定的可能产生危险的文件类型过滤、删除并且记录日志告警。 3.4 产品特点

华御网闸产品的设计原理就是在保证内外网物理隔离的情况下实现信息交换。其形象的比喻就是，一个U盘在两台计算机中间来回的拷贝数据，其数据流转过程称之为数据摆渡。华御网闸就是采用双主机＋专用物理隔离芯片的硬件结构，结合专业定制的网络安全操作系统和高强度的网络协议分析及控制的软件系统，共同构建一个在网络边界处隔离网络已知和未知攻击行为的高端网络安全设备。

华御网闸产品采用高性能的硬件平台和应用会话算法，可保证在很高的网络流量的压力下能正常的处理所有的信息。

首创的基于硬件的安全通道处理机制，使得单向控制极为安全。木马、病毒等有害信息更将无法反向穿过网闸破坏内网盗取内网涉密信息。 采用自行定制的网络安全操作系统SUOSV3.0和自研的安全协议栈，保障了平台的安全性，华御网闸设备本身具有极高的安全性，可抵御来自内外网的任何攻击者发起的地址欺骗、包重放、DDOS等攻击行为。 华御网闸设备支持透明部署与非透明部署两种模式，极大的适应了用户的环境要求，方便了用户的管理配置。并且当设备采用透明部署方式时设备将会全隐形。

华御网闸可支持同一网段和不同网段的数据交换。管理控制口无IP地址，只有通过专用控制软件才可找到网闸设备，并且进行进行管理员身份认证之后才可进行管理行为。 3.5 产品部署及安全策略

根据部队的网络环境需求，我们结合网闸的特点，制定出以下网络安全隔离部署示意图。如下图所示：

如上图所示，网络实行内外网隔离之后内网，在外网通过防火墙连接互联网，在将利用网闸将数据采集服务器与专网数据交换前置机进行隔离，数据交换前置服务器将网闸内网处理单元看做数据采集服务器，从网闸内网处理单元获取相应的数据内容。网闸内网处理单元根据既定的策略审核数据前置交换机的数据请求，并根据允许的策略，由网闸外网处理单元向数据采集服务器发起会话请求，获取数据内容，并将该内容由网闸内网处理单元交付给数据交换前置机。 安全策略：

服务器数据交换策略，根据服务器数据交换的应用类型，采用网闸内

部相应的数据交换模块等，定制数据交换策略只允许指定的专网数据交换前置服务器与外网数据采集服务器之间指定的应用数据单向交换； 华御网闸产品结合自身产品的优点针对部队网络环境的特点制定相应的安全策略，以确保专网与外网安全隔离的同时，实现内->外的单向业务数据交换通道，外部任何攻击请求不被受理。

部署华御网闸产品后可以从OSI的各个层次上立体式的保护专网，形成一整套统一的安全防御体系。

面临的威胁 华御网闸的处理及结果 物理层窃听、物理通路的切断使之无法实施 攻击、干扰 链路、网络及物理通路的切断使之上的协议终止，相应的攻击行为通讯层威胁 无法奏效 应用攻击由于物理通路的切断、单向控制及其之上的协议的终（CC、溢出、越权止，使此类攻击行为无法进入专网（安全域）。 访问等） 专有定制的应用服务模块提供，使对网闸的非安全域一端的处理单元的攻击行为无法奏效。即便是最糟糕的情况出现，将外网端的处理单元攻陷，其攻击者也无法通过不受任何一端控制的安全通道进入内网（安全域），这是单主机类安全产品无法做到的。 数据（敏感关专业的应用处理模块，其必须符合应用协议规范，并键字、病毒、木马只能按照规定的动作执行动作。木马病毒等无法被网闸摆

等） 渡，更不可能反向穿透网闸 针对部队的网络所面临的威胁，在部署华御网闸系统后，相应的威胁及不足得以消除和补充，部队相应的资源得到了安全保护，如下表所述：

面临的威胁 病毒、木马入侵 部署华御网闸后的效果 通过制定内容过滤策略和在应用通道中绑定内置的应用处理引擎，以白名单的方式运行的网闸，可以阻挡绝大部分的病毒和木马； 通过定制应用动作，可以避免木马通过网络通道盗取涉密内网的敏感信息； 黑客攻击 以白名单的方式制定访问策略，可以屏蔽非正常应用的请求、攻击，直接阻断、抛弃异常应用的连接，使攻击性尝试无法奏效； 非授权访问 定制的标准的应用服务模块，按照角色分配相应 的访问权限，每个人、每个角色只能按照设定的权限进行访问，保护了涉密内网重要数据的安全性和保密性。

六、服务器

服务器与存储器最重要的是数据安全与服务连续性。数据安全目前主要防护手段有RAID和磁带库，服务连续性保证主要靠双机热备来实现。下面分别讲解这两个部分。

6.1、双机热备

双机热备特指基于active/standby（运行/待机）方式的服务器热备。服务器数据包括数据库数据同时向两台或多台服务器写，或者使用一个共享的存储设备。在同一时间内只有一台服务器运行。当其中运行着的一台服务器出现故障无法启动时，另一台备份服务器会通过软件诊测（一般是通过心跳诊断）将standby（待机）机器激活，保证应用在短时间内完全恢复正常使用

双机热备针对的是服务器的故障。 服务器的故障可能由各种原因引起，如设备故障、操作系统故障、软件系统故障等等。一般地讲，在技术人员在现场的情况下，恢复服务器正常可能需要１０分钟、几小时甚至几天。从实际经验上看，除非是简单地重启服务器（可能隐患仍然存在），否则往往需要几个小时以上。而如果技术人员不在现场，则恢复服务的时间就更长了。

而对于一些重要系统而言，用户是很难忍受这样长时间的服务中断的。因此，就需要通过双机热备，来避免长时间的服务中断，保证系统长期、可靠的服务。

决定是否使用双机热备，正确的方法是要分析一下系统的重要性以及对服务中断的容忍程度，以此决定是否使用双机热备。即，你的用户能容忍多长时间恢复服务，如果服务不能恢复会造成多大的影响。 在考虑双机热备时，需要注意，一般意义上的双机热备都会有一个切换过程，这个切换过程可能是一分钟左右。在切换过程中，服务是有可能短时间中断的。但是，当切换完成后，服务将正常恢复。因此，双机热备不是无缝、不中断的，但它能够保证在出现系统故障时，能够很快恢复正常的服务，业务不致受到影响。而如果没有双机热备，则一旦出现服务器故障，可能会出现几个小时的服务中断，对业务的影响就可能会很严重。

另有一点需要强调，即服务器的故障与交换机、存储设备的故障不同，其概念要高得多。原因在于服务器是比交换机、存储设备复杂得多的设备，同时也是既包括硬件、也包括操作系统、应用软件系统的复杂系统。不仅设备故障可能引起服务中断，而且软件方面的问题也可能导致服务器不能正常工作。

还应指出的是，一些其他的防护措施如磁盘阵列（RAID）、数据备份虽然是非常重要的，但却不能代替双机热备的作用。

6.2、服务器设备介绍

6.2.1 Web服务器,网络安全服务器,文件服务器IBM 3550M3 要点：

通过更高的性能功耗比,实现更高的成本效益 通过灵活的设计,简化管理和服务.

通过弹性架构,保持极高的可用性并降低风险

硬件概要： 1 U 机箱

支持四核与六核处理器的双插槽服务器英特尔? 至强? 5600 系列处理器，高达 3.33 GHz

高达 192 GB 的新一代高性能 DDR-3 内存，带 18 个 DIMM 插槽，内存访问速度高达 1333 MHz

支持多达 4 个 3.5 英寸热插拔 SAS/SATA 硬盘驱动器，或多达 8 个 2.5英寸热插拔 SAS/SATA 硬盘驱动器. 2 个 PCIe 插槽1

可选的 VMware ESXi 4.0 嵌入式虚拟机管理程序

6.2.2 实时数据库服务器IBM 3650M3 要点：

以经济高效的高容量解决方案满足不断增长的性能和存储需求 有 IBM 卓绝的支持提供强大支持，可以实现极高水平的系统可用性

设计的配置可满足您当今的需求，而且在需求随着时间的推移而发生变化时可自由地进行升级 硬件概要： 2 U 机箱

支持四核与六核处理器的双插槽服务器英特尔? 至强? 5600 系列处

理器，高达 3.20 GHz

高达 192 GB 的新一代高性能 DDR-3 内存，带 12 个 DIMM 插槽，内存访问速度高达 1333 MHz

支持多达 14 个 3.5 英寸热插拔 SAS/SATA 硬盘驱动器，或多达 28 个 2.5英寸热插拔 SAS/SATA 硬盘驱动器，本地存储量高达 28 TB 的灵活内部存储 2 个 PCIe 插槽1

可选的 VMware ESXi 4.0 嵌入式虚拟机管理程序

6.2.3 中心数据库服务器IBM 3850X5 要点：

无与伦比的灵活性，可满足不断变化的工作负载需求

工作负载优化的系统，具有可针对目标工作负载进行自定义的配置 以更低的总成本实现更高的性能和利用率 借助源于大型机的可靠性使工作负载保持正常运行

借助节能智能型设计和远程访问，实现可轻松拥有的、简化的电源和系统管理

硬件摘要：

2 到 4 处理器、4 U 机架优化式企业服务器，采用英特尔至强处理器。 六核、八核和十核处理器选件，频率高达 2.4 GHz（十核）、2.13 GHz（八核）和 1.86 GHz（六核），最高配备 30 MB 三级缓存 可从 2 个处理器插槽和 2 个 DIMM 扩展为 8 个处理器插槽和 192 个 DIMM（采用 2 个系统和 2 个 MAX5） 可选的 MAX5 32-DIMM 内存扩展

16 个带 eXFlash 的 1.8 \SAS 固态驱动器或 8 个 2.5 \SAS 或 SATA 硬盘驱动器

7 个 PCIe x8 高性能 I/O 扩展插槽 可选嵌入式虚拟机管理程序

七、数据存储、备份系统

7.1、RAID

RAID是英文Redundant Array of Independent Disks的缩写，翻译成中文意思是“独立磁盘冗余阵列”，有时也简称磁盘阵列（Disk Array）。

简单的说，RAID是一种把多块独立的硬盘（物理硬盘）按不同的方式组合起来形成一个硬盘组（逻辑硬盘），从而提供比单个硬盘更高的存储性能和提供数据备份技术。组成磁盘阵列的不同方式成为RAID级别（RAID Levels）。数据备份的功能是在用户数据一旦发生损坏后，利用备份信息可以使损坏数据得以恢复，从而保障了用户数据的安全性。在用户看起来，组成的磁盘组就像是一个硬盘，用户可以对它进行分区，格式化等等。总之，对磁盘阵列的操作与单个硬盘一模一样。不同的是，磁盘阵列的存储速度要比单个硬盘高很多，而且可以提供自动数据备份。 RAID技术的两大特点：一是速度、二是安全，由于这两项优点，RAID技术被应用于高级服务器中的SCSI接口的硬盘系统中，随着近年计算机技术的发展,SATA,SAS，光纤等接口的RAID也已经在应用中。RAID通常是由在硬盘阵列塔中的RAID控制器或电脑中的RAID卡来实现的。 RAID技术经过不断的发展，现在已拥有了从 RAID 0 到 6 七种基本的RAID 级别。另外，还有一些基本RAID级别的组合形式，如RAID 10（RAID 0与RAID 1的组合），RAID 50（RAID 0与RAID 5的组合）等。不同RAID 级别代表着不同的存储性能、数据安全性和存储成本。但我

们最为常用的是下面的几种RAID形式。

RAID级别的选择有三个主要因素：可用性（数据冗余）、性能和成本。如果不要求可用性，选择RAID0以获得最佳性能。如果可用性和性能是重要的而成本不是一个主要因素，则根据硬盘数量选择RAID 1。如果可用性、成本和性能都同样重要，则根据一般的数据传输和硬盘的数量选择RAID3、RAID5

本方案建议采用RAID5，保证数据安全性的同时照顾到设备成本。

RAID级别 别名 RAID-0 条带 RAID-1 镜像 RAID-3 专用奇偶位条带 有 奇偶校验 有 高 三个或更多 （n-1）/n 的磁盘容量，n为磁盘数 连续数据写入，要求安全性高，如视频编辑，大型数据RAID-5 分布奇偶位条带 有 奇偶校验 有 高 三个或更多 （n-1）/n 的总磁盘容量，n为磁盘数 随机数据传输，要求安全性高，如金融，数据库，存储RAID-10 镜像阵列条带 有 复制 有 中 四个或4×N个 磁盘容量的50% 容错性 冗余类型 热备盘选项 读性能 需要磁盘数 无 没有 没有 高 一个或多个 总磁盘容量 有 复制 有 低 两个或2×N个 磁盘容量的50% 可用容量 典型应用 无故障迅速读写，要求安全性不高，如图形工随机数据写入，要求安全性高，如服务器，数据库存储要求数据量大，安全性高，如，银行，金融等领域

作站等 等 库等 等 7.2、存储设备介绍

7.2.1磁盘阵列IBM System Storage DS3500 要点：

6 Gbps SAS 系统以入门级价格提供中端性能和可扩展性 数据整合可帮助确保数据的可用性和效率

直观而又功能强大的存储管理软件中融合了管理专业技术 通过经由光纤通道的远程镜像以及与 DS5000 和 DS4000 的兼容性提供投资保护和经济高效的备份与恢复

?

? ? ?

?

混合主机接口支持可实现 DAS 和 SAN 分层，从而降低整体的运营和购置成本

? ?

带本地密钥管理的全盘加密提供稳健的数据安全 符合 NEBS 和 ETSI 规范并支持 48 V DC 电源 硬件摘要：

? ?

双活动型可热插拔控制器

4 种接口选项 - SAS、iSCSI/SAS、FC/SAS

o o o

4 个或 8 个 6 Gbps SAS 端口

8 个 8 Gbps FC 端口和 4 个 6 Gbps SAS 端口 8 个 1 Gbps iSCSI 端口和 4 个 6 Gbps SAS 端口

o

? ?

4 个 10 Gbps iSCSI 端口和 4 个 6 Gbps SAS 端口

2 个 6 Gbps SAS 驱动器扩展端口

多达 192 个驱动器 - 高性能、近线 （NL） SAS 和 SED SAS 驱动器

?

EXP3512（2 U，12 个 3.5 in 驱动器）和 EXP3524（3 U，24 个 2.5 in 驱动器）机柜

o

机柜可在控制器后方混用

?

每个控制器 1 GB 缓存，可升级至 2 GB

o

镜像，电池供电，降级至闪存

? ?

电源和散热模块容纳有电源、冗余散热风扇

所有主要器件均为可热插拔 CRU，并可以轻松接触以及卸下或更换

7.3、虚拟带库

所谓虚拟带库是指使用基于磁盘的存储（而非磁带）介质，仿真磁带库功能的存储设备。简单地说，虚拟磁带库就是电子化的机械磁带库，其诞生是为了解决机械磁带库的设备安全难题。

如前所述，磁带库备份方式本身存在着痼疾，即备份恢复能力差，备份流产率高，备份失效率高。虚拟带库是以何种方式即达到了磁带库的功能，又克服了磁带库的缺陷，且在功能等各方面得到提升的呢？

? 采用RAID保护技术

? 采用虚拟机械手

虚拟磁带库采用基于RAID保护的磁盘阵列代替无容错能力的磁带作为备份存储介质，从而将备份的可靠性较常规磁带备份提高了若干量级。 RAID是Redundant Array of Independent Disks（独立磁盘冗余阵列）的缩写。RAID保证了如果盘阵中的某磁盘损坏，依靠盘阵的内置冗余，用户仍可方便、完整地恢复盘阵中的数据。

磁盘本身的MTBF（平均无故障间隔）一般已为磁带的5倍以上，加上进一步的RAID保护，备份可靠性不再是隐患。

机械磁带库备份时，通常磁带之间没有容错保护，整体备份的可靠性取决于参与备份的磁带组中，读写可靠性最差的磁带。ESG企业集团2004年的调查表明，磁带备份不可恢复率高达20%。

举例来说，在对一个数据库备份进行恢复时，如果某盘数据磁带上的某一点因卡带、磨损、沾连、霉点或其他原因而不能读出，可能会导致整个数据库无法恢复。

为了降低数据丢失的风险，很多用户被迫将磁带复制多份，不仅费时费力，同时造成了巨大的额外运营成本负担。

虚拟磁带库用虚拟化的“机械手”和“磁带驱动器”，代替了机械磁带库中裸露、易损的系列机械装置，将备份系统的可用性提高了若干量

级。

虚拟磁带库同时采用高可用磁盘阵列代替无容错能力的磁带作为介质，进一步去除了因介质本身导致备份失败的可能性。

RAID保证即使盘阵中某磁盘出现故障，盘阵仍可正常读写，不会导致备份流产。用户可在线更换损坏的磁盘，RAID控制器自动以后台操作的方式对盘阵重建；用户亦可设置在线热备盘，使得出现坏盘时，RAID在报警的同时立即开始自动重构冗余，实现自动热恢复。

机械磁带库由机械手，磁带驱动器，磁带等系列非封闭、损耗性机械装置联合组成。任何一部的单点故障，均可导致整体备份工作流产。机械磁带库的维护因此成为用户的巨大负担。据Storage Magazine 2002年的统计，在美国，机械磁带库的平均年维护费用高达磁带库采购成本的10～15％。

尤其令用户烦恼的是，磁带库修复必须由专业人士进行，反应时间长，无可避免地造成日常运营混乱。 用户常因此而被迫购买冗余磁带驱动器 - 而驱动器恰恰是磁带库中的主要昂贵部件，进一步加大了用户的总体拥有成本。

了解了磁盘备份的优势，我们再来看一看磁盘备份中两种方式：磁盘到磁盘（Disk－TO－Disk）和虚拟磁带库，哪种更适合于本行业的备份系统

磁盘到磁盘（Disk to Disk，简称D2D）的解决方案，其核心是利用磁盘对在线数据进行镜像或文件快照，以实现对数据备份。

磁盘到磁盘一直面临的市场障碍是用户总体拥有成本过高，主要原因在于其不能使用技术成熟，易用廉价的备份软件群体进行备份管理，致使备份管理的配置成本高昂。同时磁盘到磁盘方案须改变用户既有备份流程，进一步为用户带来了额外的管理、培训等隐形成本。

技术角度上，磁盘到磁盘也存在一些核心弱点，尤其是它依赖于操作系统的文件管理系统，从而无法避免大量的File Systems Overhead，性能因此严重受制。加之D2D与磁带存档之间缺乏应有的关联，总体实施成本因此更加高昂。

虚拟磁带库彻底解决了D2D长期以来面临的市场与技术难题： ? 备份管理可采用物美价廉的通用备份软件，用户总体拥有成本因之得以大幅降低；

? 无需改变既有备份策略与流程，无需重新培训人员； ? 与传统磁带完全兼容，使用户兼备磁带存档能力；

? 突破操作系统限制，将备份性能提高到常规磁带库的数倍以上。

7.4、虚拟带设备介绍

7.4.1 磁带库IBM System Storage TS3100 要点：

可在 2U 外形中使用 1 个 IBM? Ultrium? 5 全高型磁带驱动器或最多 2 个 IBM Ultrium 5 半高型磁带驱动器支持最新一代 LTO?，以及 LTO 第 3 代和第 4 代磁带驱动器。

? ?

为半高型 LTO-5 和 LTO-4 磁带驱动器提供光纤通道连接支持 旨在为中端存储环境提供卓越的容量、性能和可靠性以实现经济高效的备份、恢复和归档

?

可通过标准 Web 界面对库进行远程管理，从而为存储操作提供灵活性和更出色的管理控制

?

支持 IBM Ultrium 5、Ultrium 4 或 Ultrium 3 磁带驱动器，可以实现更高的容量和性能，包括低电压差动 （LVD） SCSI、光纤通道和 SAS 连接

?

旨在通过 2U 外形以及 24 个数据磁带盒插槽和 1 个邮件插槽为中端存储环境提供出色的容量、性能和可靠性

?

支持使用标准条码阅读器在顺序或随机存取模式下经济高效地备份、保存、恢复和归档存储

?

可通过标准 Web 界面对库进行远程管理，从而为存储操作提供了灵活性和更出色的管理控制 硬件摘要：

8 Gb 光纤通道或 6 Gb SAS 接口

?

?

在 LTO 4 全高型中提供 LVD SCSI 驱动器、4 Gb 光纤通道和 3 Gb SAS 接口

? ?

最多可使用 2 个 LTO Ultrium 半高型磁带驱动器 独立式或机架安装式选件

本文来源：https://www.bwwdw.com/article/h1jw.html