1、裝訂線長 春 大 學 課程設計紙 目錄一. 背景描述2二.項目需求分析3三.數(shù)據(jù)中心安全設計的原則43.1 標準型原則43.2成熟性原則43.3先進性原則43.4擴展性原則43.5可用性原則43.6安全性原則5四數(shù)據(jù)中心安全防御建設目標54.1建設高性能高可靠的網(wǎng)絡安全一體的目標54.2建設以虛擬化為技術支撐的目標54.3以集中的安全服務中心應對無邊界的目標54.4滿足安全防護與等保合規(guī)的目標5五數(shù)據(jù)中心的設計方案65.1 網(wǎng)絡拓撲圖65.2 IP規(guī)劃75.3防火墻75.4入侵檢測85.5鏈路聚合85.6 IP-SAN85.7存儲上使用RAID5技術85.8安全審計85.9華為設備選擇85.9

2、.1防火墻的選擇85.9.2核心交換機的選擇105.9.3匯聚交換機的選擇115.9.4接入交換機的選擇125.9.5存儲設備的選擇125.9.6服務器145.9.7沙箱的選擇15六.項目驗收總結說明16七.小組任務分工171. 背景描述 現(xiàn)代教育教學與計算機網(wǎng)絡,多媒體設備有著密不可分的關系,從新生進入校園的第一天開始,學生就將自己置身于一個龐大的數(shù)字網(wǎng)絡中.在這個網(wǎng)絡中,每一個學生都可以得到學校計算機網(wǎng)絡提供的方便快捷的服務.從新生第一天報名,學生會從學校招生辦公室的數(shù)據(jù)庫中提取到自己的個人信息,包括被錄取的專業(yè),劃分到的班級,分配的公寓等等.在辦理入學手續(xù)的過程中,學生會進行學籍注冊,課

3、程注冊.本學期的入學時間,所在的班級以及所選擇的課程信息都將記錄在學校的教務數(shù)據(jù)庫中.教師在教學過程中,會利用計算機多媒體設施進行教學.網(wǎng)絡課程,電子教案,在線考試,模擬實驗這些現(xiàn)代化的教務手段都將利用到教學數(shù)據(jù)酷中的數(shù)據(jù).如此眾多的數(shù)據(jù),沒有統(tǒng)一的管理,堅固的安全防范措施.一旦發(fā)生數(shù)據(jù)的丟失,對于教師正常的教學,學生正常的學習生活都會產(chǎn)生無法估量的損失,并會產(chǎn)生不良的社會影響.如何建立以甘泉的,快捷的數(shù)據(jù)中心將現(xiàn)有的數(shù)據(jù)交換平臺,來確保學校正常有序的教學工作. 隨著Internet應用日益深化，數(shù)據(jù)中心運行環(huán)境正從傳統(tǒng)客戶機/服務器向網(wǎng)絡連接的中心服務器轉型，受其影響，基礎設施框架下多層應用

4、程序與硬件、網(wǎng)絡、操作系統(tǒng)的關系變得愈加復雜。這種復雜性也為數(shù)據(jù)中心的安全體系引入許多不確定因素，一些未實施正確安全策略的數(shù)據(jù)中心，黑客和蠕蟲將順勢而入。盡管大多數(shù)系統(tǒng)治理員已經(jīng)熟悉到來自網(wǎng)絡的惡意行為對數(shù)據(jù)中心造成的嚴重損害，而且許多數(shù)據(jù)中心已經(jīng)部署了依靠訪問控制防御來獲得安全性的設備，但對于日趨成熟和危險的各類攻擊手段，這些傳統(tǒng)的防御措施仍然顯現(xiàn)的力不從心。 以下是當前數(shù)據(jù)中心面對的一些主要安全挑戰(zhàn)。而學校許多數(shù)據(jù)相當?shù)闹匾缃虅仗幍男畔?。我們必須保證這些信息不被篡改，丟失以及可以隨時被相關部門提取等等。數(shù)據(jù)中心象一座擁有巨大財富的城堡，然而堅固的堡壘最輕易從內(nèi)部被攻破，來自數(shù)據(jù)中心內(nèi)部

5、的攻擊也更具破壞性。隱藏在校園內(nèi)部的黑客不僅可以通過應用攻擊技術繞過防火墻，對數(shù)據(jù)中心的網(wǎng)絡造成損害，還可以憑借其網(wǎng)絡構架的充分了解，通過違規(guī)訪問、嗅探網(wǎng)絡系統(tǒng)、攻擊路由器/交換機設備等手段，訪問非授權資源，這些行將對企業(yè)造成更大的損失。 “木桶的裝水量取決于最短的木板”，涉及內(nèi)網(wǎng)安全防護的部件產(chǎn)品非常多，從接入層設備到匯聚層設備再到核心層設備，從服務器到交換機到路由器、防火墻，幾乎每臺網(wǎng)絡設備都將參與到系統(tǒng)安全的建設中，任何部署點安全策略的疏漏都將成為整個安全體系的短木板。 “木桶的裝水量還取決于木板間的緊密程度”，一個網(wǎng)絡的安全不僅依靠于單個部件產(chǎn)品的安全特性，也依靠于各安全部件之間的緊密

6、協(xié)作。一個融合不同工作模式的安全部件產(chǎn)品的無縫安全體系必須可以進行全面、集中的安全監(jiān)管與維護。 因此，數(shù)據(jù)中心的安全防護體系不能僅依靠單獨的某個安全產(chǎn)品，還要依托整個網(wǎng)絡中各部件的安全特性。二.項目需求分析 學校的數(shù)據(jù)中心在建設中,考慮的焦點一般都集中在性能上,如實現(xiàn)數(shù)據(jù)的冗余,建立負載平衡機制,實現(xiàn)快捷的網(wǎng)絡連接,還有時下倡導的綠色節(jié)能等等,而忽視數(shù)據(jù)的安全性,在這里所指的數(shù)據(jù)安全,要從兩面來考慮,一方面是物理安全,另一方面是數(shù)據(jù)信息的安全。我們在此只考慮數(shù)據(jù)信息的安全。 數(shù)據(jù)信息的安全包括關鍵數(shù)據(jù)的備份;新技術應用帶來的安全隱患;人為原因造成數(shù)據(jù)的破壞,以及數(shù)據(jù)的恢復等. 1.關鍵數(shù)據(jù)的備

7、份 確保數(shù)據(jù)的安全,首先要做好關鍵數(shù)據(jù)的備份工作.隨著學校的發(fā)展,在校生的人數(shù)越來越多,校園網(wǎng)內(nèi)的數(shù)據(jù)也會變得很龐大,這樣就有可能制約了學校的發(fā)展.也就會面臨數(shù)據(jù)備份的問題.我們這里所說的數(shù)據(jù)備份不是簡單的數(shù)據(jù)拷貝,它是一種安全策略,目的是保護數(shù)據(jù)的完整性與安全性.(1)校園網(wǎng)的數(shù)據(jù),要進行異地備份,儲存介質(zhì)的存放距離至少要保證有足夠的安全距離.在這里所指足夠的安全距離是備份數(shù)據(jù)與原始數(shù)據(jù)的距離;(2)云計算,SAAS軟件運營,是基于互聯(lián)網(wǎng)提供軟件服務的軟件應用模式.其提供的安全距離,也許是在國內(nèi),也許是在比鄰的國家,也有可能是大洋彼岸.同時SAAS也為數(shù)據(jù)提供加密手段.這樣就保證了數(shù)據(jù)的安全

8、性.且發(fā)生全球性的自然災害的幾率很低,數(shù)據(jù)的安全性有了進一步的加強。 2.人為原因造成數(shù)據(jù)的破壞,以及數(shù)據(jù)的恢復 很多時候數(shù)據(jù)的丟失,是由我們的誤操作造成的,對于數(shù)據(jù)結構的不了解,對于設備的操作失誤,權限劃分的不明確. 數(shù)據(jù)更新時的審核策略等,都有可能對數(shù)據(jù)造成破話.所以必須對數(shù)據(jù)備份的哦頻率,舊數(shù)據(jù)的更新等相關操作,制作合格的操作規(guī)程.定期對數(shù)據(jù)備份的流程進行審核,檢查舊數(shù)據(jù)的正確性與完整性,檢查新數(shù)據(jù)的安全性. 數(shù)據(jù)的恢復.數(shù)據(jù)的備份是數(shù)據(jù)恢復的必要條件,我們建立了玩唄的數(shù)據(jù)備份體系,為的是進行數(shù)據(jù)的恢復,進行數(shù)據(jù)恢復前,首先要做的是災害評估,評估災害的損失,數(shù)據(jù)丟失的量,可能恢復的程度,

9、100%的數(shù)據(jù)恢復的幾率是多大,可恢復數(shù)據(jù)的所需時間,學校所能忍耐的時間,對正常教學造成的影響等,完備的數(shù)據(jù)恢復機制還應包括數(shù)據(jù)恢復的方法與手段,為什么會發(fā)生這樣的災害.是否可以避免,是否可以進行事件追溯,對當前的現(xiàn)狀給予客觀,真實的評價與確認。 數(shù)據(jù)中心的數(shù)據(jù)中心需要全面的安全防護：（1）防御來自網(wǎng)絡外部的DDoS攻擊，保障數(shù)據(jù)中心的可用性；（2）對應用層攻擊進行預防和阻止，不僅能夠檢測入侵的發(fā)生，還要能通過一定的響應方式，實時地中止入侵行為的發(fā)生和發(fā)展，保護信息系統(tǒng)不受實質(zhì)性的攻擊；（3）攻擊防范及訪問控制，抵御來自外部的各種攻擊；在企業(yè)內(nèi)部根據(jù)部門的不同安全區(qū)域、級別進行隔離；（4）高密

10、度部署，具備虛擬化能力，低成本地滿足企業(yè)各部門專屬安全防護的需要；（5）高性能，適應數(shù)據(jù)中心大網(wǎng)絡流量的特點；（6）高可靠，增加網(wǎng)絡的可靠性。三.數(shù)據(jù)中心安全設計的原則 3.1 標準型原則 數(shù)據(jù)中心的安全建設必須符合安全建設的標準，做到安全風險可控的 效果，能夠提供防火墻、入侵防御、防病毒、抗DDOS、負載均衡、審計、流量分析等安全資源模塊，對安全資源可進行模塊化選擇，基于不同的租戶選擇不同的安全策略服務；對有安全管理需求的，必須提供獨立的安全策略管理界面，方便租戶進行按需的安全策略部署。 3.2成熟性原則 應支持主流的虛擬化技術且安全可控，可根據(jù)業(yè)務需要進行靈活定制開發(fā)與功能擴展，在選擇數(shù)據(jù)

11、安全建設的提供方，需具備相關的數(shù)據(jù)安全應用案例與成熟配套的解決方案。 3.3先進性原則 在實用和安全的基礎上，平臺設計要有一定的前瞻性，必須考慮應用和需求的發(fā)展以及技術的進步，從而確保系統(tǒng)具備可持續(xù)發(fā)展能力。數(shù)據(jù)安全平臺需支持虛擬化技術，能夠將安全資源模塊，進行虛擬化部署，形成安全資源池，將安全資源與數(shù)據(jù)中心的虛機業(yè)務深度融合，實現(xiàn)東西向的流量防護，主要安全設備需支持TRILL、VxLAN、OpenFlow等標準化協(xié)議，具備國際標準的SDN功能，兼容第三方標準的SDN控制系統(tǒng)，能夠與其他軟硬件系統(tǒng)配合使用。 3.4擴展性原則 考慮到未來發(fā)展的需要，數(shù)據(jù)安全平臺必須具備高擴展性，能在不影響現(xiàn)有業(yè)

12、務正常使用的情況下平滑擴展。本次建設完成后，隨著業(yè)務需求的增長，后期可單獨擴展對應的安全資源，使得性能與容量都呈線性上升，并保證設備可以充分利舊。 3.5可用性原則 需通過對安全資源，例如防火墻、入侵防御、防病毒、VPN、負載均衡、流量分析、審計等安全資源模塊，實現(xiàn)簡化管理、高效運維的目的。數(shù)據(jù)安全平臺能提供豐富的監(jiān)控管理界面與工具，實現(xiàn)統(tǒng)一管理，所有的安全日志統(tǒng)一收集、展示、存儲。 3.6安全性原則 數(shù)據(jù)安全設備選型需符合國家分保技術要求，系統(tǒng)安全可靠，建立完善的冗余備份和安全防范體系，保障平臺高可靠和端到端的安全，具有多重安全防護，無單一崩潰點，應急手。四數(shù)據(jù)中心安全防御建設目標 4.1建

13、設高性能高可靠的網(wǎng)絡安全一體的目標 為了應對云數(shù)據(jù)中心環(huán)境下的流量模型變化，安全防護體系的部署需要朝著高性能的方向調(diào)整。在現(xiàn)階段多條高速鏈路匯聚成的大流量已經(jīng)比較普遍，在這種情況下，安全設備必然要具備對高密度的10GE甚至100G接口的處理能力；無論是獨立的機架式安全設備，還是配合數(shù)據(jù)中心高端交換機的各種安全業(yè)務引擎，都可以根據(jù)用戶的云規(guī)模和建設思路進行合理配置；同時，考慮到云數(shù)據(jù)中心的業(yè)務永續(xù)性，設備的部署必須要考慮到高可靠性的支持，諸如雙機熱備、配置同步、電源風扇的冗余、鏈路捆綁聚合、硬件BYPASS等特性，真正實現(xiàn)大流量匯聚情況下的基礎安全防護。 4.2建設以虛擬化為技術支撐的目標 從網(wǎng)

14、絡基礎架構的角度（如狀態(tài)防火墻的安全隔離和訪問控制），需要考慮支持虛擬化的防火墻，不同用戶可以基于VLAN等映射到不同的虛擬化實例中，每個虛擬化實例具備獨立的安全控制策略，以及獨立的管理職能。 4.3以集中的安全服務中心應對無邊界的目標 和傳統(tǒng)的安全建設模型強調(diào)邊界防護不同，存儲計算等資源的高度整合，使得不同的租戶用戶在申請云數(shù)據(jù)中心服務時，只能實現(xiàn)基于邏輯的劃分隔離，不存在物理上的安全邊界。在這種情況下，已經(jīng)不可能基于每個或每類型用戶進行流量的匯聚并部署獨立的安全系統(tǒng)。因此安全服務部署應該從原來的基于各子系統(tǒng)的安全防護，轉移到基于整個云數(shù)據(jù)中心網(wǎng)絡的安全防護，建設集中的安全服務中心，以適應這

15、種邏輯隔離的物理模型。 4.4滿足安全防護與等保合規(guī)的目標 數(shù)據(jù)中心的應用帶來了極大的便利，在降低采購、運維等成本的同 時，極大的提升了系統(tǒng)的效率，簡化了管理，并使得應用具有了非常簡便的彈性擴展的能力。但是，云計算也模糊了安全的邊界，使得傳統(tǒng)的信息安全防護手段不再適用。事實上，信息安全問題已經(jīng)成為企業(yè)用戶使用云資源的主要障礙，因此安全防護應為云建設的重中之重。安全防護需求又可以細分為云基礎架構的安全防護以及租戶自身的安全防護。同時信息安全等級保護制度作為我國信息安全建設的基本國策，是必須要滿足的。按照等保定級指南進行評估，一般的云數(shù)據(jù)中心至少應該達到等保三級的要求。五數(shù)據(jù)中心的設計方案 5.1

16、 網(wǎng)絡拓撲圖 長春大學數(shù)據(jù)中心的設計如下圖5-1所示： 數(shù)據(jù)中心設計圖5-1 數(shù)據(jù)中心的各個設備的擺設在機架里如圖5-2所示： 圖5-2 5.2 IP規(guī)劃 本設計中主要的IP規(guī)劃,防火墻是服務集群和LogCenter服務器的網(wǎng)關，兩個防火墻的IP地址虛擬成一個IP地址充當網(wǎng)關，具體如下表5-1所示： 表5-1設備名稱IP地址管理地址網(wǎng)關防火墻1/2454防火墻2/24LogCenter服務器/24沙箱/2454192.168.1

17、0.253服務器群/24 5.3防火墻 華為高端防火墻部署在大型數(shù)據(jù)中心出口，為客戶提供高性能、高密度、高可用性、高安全的網(wǎng)絡安全基礎架構。通過部署高性能的高端墻，實現(xiàn)了安全域隔離，將數(shù)據(jù)中心劃分為外鏈區(qū)和核心區(qū)，對各個域之間的流量進行安全防護，有效避免網(wǎng)絡風暴擴散，保障網(wǎng)絡安全，通過配置高性能USG設備，可以實現(xiàn)屏蔽可疑源地址安全策略；配置虛擬防火墻，實現(xiàn)2層到7層的虛擬系統(tǒng)隔離；可以實現(xiàn)配置資源預分配，控制虛擬防火墻的進出流量和會話連接數(shù)；配置公網(wǎng)IP限流，防止某個IP占用過量帶寬等能力。 防火墻工作在混合透明模式下，此時部分接口配置IP 地址，部分接口不能配置IP

18、 地址。配置IP 地址的接口所在的安全區(qū)域是三層區(qū)域，接口上啟動VRRP功能，用于雙機熱備份；而未配置IP 地址的接口所在的安全區(qū)域是二層區(qū)域，和二層區(qū)域相關接口連接的外部用戶同屬一個子網(wǎng)。當報文在二層區(qū)域的接口間進行轉發(fā)時，轉發(fā)過程與透明模式的工作過程完全相同。 5.4入侵檢測 在外聯(lián)區(qū)部署IPS入侵防御系統(tǒng)，及時判斷網(wǎng)絡或系統(tǒng)中是否有違反安 全策略的行為和遭到攻擊的跡象，并在發(fā)現(xiàn)威脅的情況進行阻斷或告警等措施實現(xiàn)對網(wǎng)絡的安全保護。通過在關鍵業(yè)務系統(tǒng)的入口交換機旁路部署NIP系統(tǒng)，對訪問系統(tǒng)的網(wǎng)絡流量進行實時入侵檢測，實現(xiàn)了統(tǒng)計分析、入侵檢測與防護、安全審計等功能。 5.5鏈路聚合 A.增加

19、網(wǎng)絡帶寬 鏈路聚合可以將多個鏈路捆綁成為一個邏輯鏈路，捆綁后的鏈路帶寬 是每個獨立鏈路的帶寬總和。 B.提高網(wǎng)絡連接的可靠性 鏈路聚合中的多個鏈路互為備份，當有一條鏈路斷開，流量會自動在剩下鏈路間重新分配。 5.6 IP-SAN 成本低廉，購買的網(wǎng)線和交換機都是用以太網(wǎng)，甚至可以利用現(xiàn)有網(wǎng)絡組建SAN；部署簡單，管理難度低；萬兆以太網(wǎng)的出現(xiàn)使得IP SAN在與FC SAN競爭時不再遜色于傳輸帶寬；基于IP網(wǎng)絡的天生優(yōu)勢使得IP SAN很容易實現(xiàn)異地存儲、遠程容災等穿越WAN才能時間的技術. 5.7存儲上使用RAID5技術 RAID 5 是一種存儲性能、數(shù)據(jù)安全和存儲成本兼顧的存儲解決方案。 R

20、AID 5可以理解為是RAID 0和RAID 1的折中方案。RAID 5可以為系統(tǒng)提供數(shù)據(jù)安全保障，但保障程度要比Mirror低而磁盤空間利用率要比Mirror高。 5.8安全審計 需提供安全審計功能，能夠全面詳實地記錄網(wǎng)絡內(nèi)流經(jīng)監(jiān)聽出口的各種網(wǎng)絡行為，保存周期不少于60天；日志以加密的方式存放，按權限讀??；網(wǎng)絡行為日志需記錄包括使用者、分組、訪問時間、源IP地址、源端口、源MAC地址、目的IP地址、目的端口、訪問類型、訪問地址、帳號等關鍵數(shù)據(jù)項. 5.9華為設備選擇 5.9.1防火墻的選擇 USG9520產(chǎn)品是華為技術有限公司為解決云數(shù)據(jù)中心、大型企業(yè)、教育、政府等網(wǎng)絡的安全問題而自主研發(fā)的

21、統(tǒng)一安全網(wǎng)關。USG9520基于業(yè)界領先的“NP+多核+分布式”架構，融合了NAT、VPN、IPS、Anti-DDoS等行業(yè)領先的專業(yè)安全技術，通過將交換、路由、安全服務整合到統(tǒng)一的設備中，提供給用戶高性能保證、全面的虛擬化安全防護、超千種應用識別。USG9520在大型數(shù)據(jù)中心、大型企業(yè)、教育、政府、廣電等行業(yè)和典型場景得到廣泛應用。一些具體優(yōu)點見圖5-3、5-4和5-5： 圖5-3 圖5-4 圖5-5 USG9520的形狀如下圖5-6所示： 圖5-6USG9520的具體參數(shù)如下表5-1： 表5-2插槽數(shù)量3個,可配置業(yè)務板和接口板吞吐量80G (特殊配置可達到100G)并發(fā)連接數(shù)80M每秒新

22、建連接數(shù)1M1VPN性能48G(配4個CPU業(yè)務板)VPN隧道數(shù)128k(配4個CPU業(yè)務板)虛擬防火墻數(shù)4096可靠性模塊熱插拔/組件熱插拔/雙機熱備/鏈路聚合/雙主控/外置BYPASS盒子以太網(wǎng)GE接口單槽位;48X GE(光/電)以太網(wǎng)10GE接口單槽位;10X10G;收斂卡4X10G可插4塊5.9.2核心交換機的選擇 CloudEngine12808交換機是華為公司面向數(shù)據(jù)中心和高端園區(qū)網(wǎng)絡推出的新一代高性能核心交換機。在提供穩(wěn)定、可靠、安全的高性能L2/L3層交換服務基礎上，實現(xiàn)彈性、虛擬、敏捷和高品質(zhì)的網(wǎng)絡。 CE12808支持工業(yè)級可靠性，以及嚴格前后風道設計，并支持全面的虛擬化

23、能力和豐富的數(shù)據(jù)中心特性。此外，CE12808采用了多種綠色節(jié)能創(chuàng)新技術，大幅降低設備消耗。 CE142808的產(chǎn)品具體參數(shù)如表5-2所示： 表5-3應用層級三層交換方式存儲-轉發(fā)包轉發(fā)率9600Mpps端口參數(shù)端口結構 模塊化擴展模塊8個業(yè)務槽位傳輸模式全雙工/半雙工自適應功能特性VLAN 支持Access、Trunk、Hybrid方式QOS支持基于Layer2、Layer3、Layer4優(yōu)先級等的組合流支持ACL、CAR、Remark等動作網(wǎng)絡管理支持Console、Telnet、SSH等終端服務SNMPv1/v2/v3等網(wǎng)絡管理協(xié)議FTP、TFTP方式上載、下載文件支持BootROM升級

24、和在線升級 支持熱補丁安全管理支持RADIUS和HWTACACS用戶登錄認證命令行分級保護，未授權用戶無法侵入支持防范MAC攻擊、廣播風暴攻擊、大流量攻擊支持ICMP實現(xiàn)ping和traceroute功能支持RMON CE12808的形狀如下圖5-7所示： 圖5-7 5.9.3匯聚交換機的選擇 華為S5700S-28P-LI-AC的具體參數(shù)如下表5-4所示： 表5-4應用層級c傳輸速率10/100/1000Mbps交換方式存儲-轉發(fā)背板帶寬256Gbps包轉發(fā)率42MppsMAC地址表16K端口結構非模塊化端口數(shù)量28端口描述24個10/100/1000Base-T，4個1000Base-X

25、SFP傳輸模式全雙工/半雙工自適應網(wǎng)絡標準IEEE 802.3ah、802.1ag堆疊功能不可堆疊VLAN支持4K個VLANIP路由靜態(tài)路由，支持RIP、RIPng協(xié)議可靠性支持以太網(wǎng)OAM 802.3ah和802.1ag；支持ITU-Y.1731；支持DLDP；支持LACP 華為S5700S-28P-LI-AC的形狀如下圖5-8所示： 圖5-85.9.4接入交換機的選擇 華為S1700-16G的具體參數(shù)如下表5-4所示： 表5-4產(chǎn)品類型快速以太網(wǎng)交換機應用層級二層傳輸速率10/100/1000Mbps交換方式存儲-轉發(fā)背板帶寬32Gbps包轉發(fā)率24MppsMAC地址表8K端口結構非模塊化

26、端口數(shù)量16個端口描述下行端口16個10/100/1000Base-TX以太網(wǎng)端口上行端口與下行口共用 華為S1700-16G的形狀如下圖5-9所示： 圖5-95.9.5存儲設備的選擇 華為OceanStor S2600T（以下簡稱“華為S2600T”）是華為OceanStor T系列統(tǒng)一存儲（以下簡稱T系列）之一，產(chǎn)品是面向中高端存儲應用的新一代產(chǎn)品，它在實現(xiàn)了文件級和塊級數(shù)據(jù)、存儲協(xié)議以及管理界面的融合統(tǒng)一的基礎上，以業(yè)界領先的性能、多種效率提升機制為支撐，為用戶提供了高性能、全方位的解決方案，使用戶投資收益比最大化，能夠滿足大型數(shù)據(jù)庫OLTP/OLAP，高性能計算，數(shù)字媒體，因特網(wǎng)運營，

27、集中存儲，備份，容災，數(shù)據(jù)遷移等不同業(yè)務應用的需求。 A.融合統(tǒng)一 文件級和塊級數(shù)據(jù)的統(tǒng)一：SAN和NAS存儲協(xié)議的 統(tǒng)一，在同一套存儲系統(tǒng)內(nèi)可以支持結構化和非結構化數(shù)據(jù)。存儲協(xié)議的統(tǒng)一：支持iSCSI、FC、NFS、CIFS、HTTP、FTP等多種存儲網(wǎng)絡和協(xié)議。管理界面的統(tǒng)一：通過簡潔的圖形化界面，提供文件，塊數(shù)據(jù)業(yè)務的統(tǒng)一管理。向導式的配置方式，協(xié)助用戶輕松完成各項配置。 B.靈活可靠 輕松升級：可以輕松從塊升級至統(tǒng)一存儲。熱插拔設計：實現(xiàn)控制器、風扇、電源、I/O模塊、硬盤等模塊熱插拔，不影響 用戶業(yè)務，支持在線I/O擴展。 按需選擇多種類型的硬盤：SAS /NL SAS / SATA

28、 /SSD /FC高可靠架構設計：所有部件均為冗余設計，無單點故障；數(shù)據(jù)保險箱技術、文件系統(tǒng)鏡像等軟件技術進一步。 C.提高系統(tǒng)可靠性 領先的IO擴展性和靈活性：最大12個I/O模塊，48個I/O接口；支持4/8Gbps FC，1 Gbps iSCSI，10 Gbps iSCSI（TOE），10Gbps FCoE與6Gbps SAS接口數(shù)據(jù)保護機制：與EV和NBU無縫結合，并通過遠程復制實現(xiàn)異地容災。 應用優(yōu)化：利用主機代理軟件實現(xiàn)應用級的迅速備份、恢復與容災并支持容災驗證，支持Oracle/DB2/Exchange Server/SQL Server等多種主流應用系統(tǒng)。 D.經(jīng)濟高效 多節(jié)點

29、集群技術：多節(jié)點全Active集群技術，集群中所有節(jié)點可協(xié)同工作，實現(xiàn)對數(shù)據(jù)的并發(fā)訪問。 SmartCache加速：通過使用閃存驅動器來擴展緩存，獲得針對系統(tǒng)優(yōu)化的性能，混合工作負載的運行速度可提升數(shù)倍。 自動精簡配置：HyperThin技術支持容量自動擴展，提高硬盤利用效率，實現(xiàn)用戶按需購買，降低初次購買成本。 自動分級存儲：基于文件訪問頻率、時間策略在不同存儲介質(zhì)之間實現(xiàn)雙向動態(tài)遷移，對應用透明，降低企業(yè)投資成本。主動式的遠程服務：特有的Cloud Service服務為系統(tǒng)提供健康檢查、主動預警和告警回傳功能，與強大的故障處理專家后臺結合，減少系統(tǒng)的故障時間，在影響業(yè)務之前將故障消除。華為

30、OceanStor S2600T的具體參數(shù)是下表5-5所示： 表5-5參數(shù) OceanStor S2600T緩存（每控制器） 8GB前端通道端口類型 8Gbps FC，16Gbps FC，1Gbps iSCSI，10Gbps TOE后端通道端口類型 6Gbps SAS2.0寬端口主機接口數(shù)量（每控制器） 6 x 1Gbps iSCSI端口 4 x 8Gbps FC端口 2 x 16Gbps FC端口 4 x 1Gbps iSCSI端口 4 x 10Gbps TOE端口最大LUN數(shù)量 512最大盤位數(shù) 276硬盤類型與RAID級別硬盤類型：SAS、NL-SAS、SSD RAID級別：0、1、3、

31、5、6、10、50數(shù)據(jù)保護軟件HyperSnap（快照），HyperCopy（LUN拷貝），HyperClone（克?。?，HyperReplication（遠程復制，支持秒級RPO技術），HyperMirror（卷鏡像）關鍵業(yè)務保障SmartQoS（智能服務質(zhì)量控制），SmartPartition（智能緩存分區(qū)）資源效率提升SmartTier（智能數(shù)據(jù)分級），SmartCache（智能緩存），SmartThin（智能精簡配置），SmartMotion（智能數(shù)據(jù)迅移），SmartMulti-tenant（多租戶），SmartMigration（LUN數(shù)據(jù)遷移），SmartErase（LUN數(shù)據(jù)銷

32、毀），Data Reduction（數(shù)據(jù)縮減）操作系統(tǒng)兼容性 AIX、HP-UX、Solaris、Linux、Windows是否支持統(tǒng)一存儲 支持華為OceanStor S2600T的形狀如下圖5-10所示： 圖5-105.9.6服務器 FusionServer 5288 V3是華為全新一代4U雙路存儲型機架服務器，憑 借高效設計，在確保卓越計算性能的同時，提供靈活、超大容量的本地存儲擴展能力，適用于冷數(shù)據(jù)存儲、視頻監(jiān)控、云存儲、大數(shù)據(jù)等應用場景。 FusionServer 5288 V3的具體參數(shù)如下表5-6所示： 表5-6CPU類型 Intel Xen E5-2600 v3/v4 擴展槽

33、最多支持6個PCIe擴展插槽內(nèi)存 16個DDR4 DIMM插槽存儲40盤機型接口類型標準接口散熱系統(tǒng)熱插拔風扇模組系統(tǒng)管理采用華為Hi1710管理芯片，獨立接口，支持華為eSight管理軟件，支持SNMP，IPMI，提供GUI，虛擬KVM等電源類型和數(shù)量2個 , 支持11冗余 熱插拔盤位 支持熱插拔RAID模式RAID0、1、10、5、50、6、60 FusionServer 5288 V3的形狀如下圖5-10所示： 圖5-105.9.7沙箱的選擇 FireHunter6300沙箱通過病毒掃描、信譽掃描、靜態(tài)分析和虛擬執(zhí)行等技術，以及獨有的行為模式庫技術，根據(jù)情況分析給出精確的檢測報告，實現(xiàn)對

34、未知惡意文件的檢測。 FireHunter6300沙箱配合其他安全設備，能快速對高級惡意文件進行攔截，有效避免未知威脅攻擊的迅速擴散，避免企業(yè)核心信息資產(chǎn)的損失。特別適用于金融、政府機要部門、能源、高科技等關鍵用戶。 FireHunter6300沙箱的具體參數(shù)如下表5-7所示： 表5-7支持的操作系統(tǒng)Windows XP、Win7/10 .模擬多種操作系統(tǒng)，虛擬執(zhí)行環(huán)境動態(tài)執(zhí)行檢測支持的流量還原類型支持多種協(xié)議還原,壓縮文件PE,office97-2003, rtf支持檢測的文件類型WPS WEB頁面 視頻 java pdf python可執(zhí)行腳本 cmd,bat,vbs,vbe,ruby,ps1,py內(nèi)置AV檢測沙箱內(nèi)置AV，除支持上述檢測文件類型，還支持檢測chm、asp、php、com、elf格式文件C&C異常檢測C&C惡意服務器外聯(lián)檢測,基于DGA域名檢測算法，檢測C&C外聯(lián)隨機惡意域名報告輸出輸出詳細惡意文件檢測報告，包括文件檢測詳情、上威脅行為分類、動態(tài)行為分析等IOC可機讀威脅情報輸出豐富機