51CTO-双机及网络安全方案.docVIP

网络安全及双机热备整体解决方案 第 PAGE 3页 网络安全及双机热备份整体解决 方 案 设 计 书 2007年7月 方案介绍： 1．1 前言 随着国内外信息化技术的发展，在线支付、电子商务、网上交易、都早已付诸实施。企业的发展也越来越离不开信息化的支持了。信息化一方面也极大的刺激着企业的长展，并对之产生深远的影响。 应贵公司的相应方案要求，制订了本方案，本公司非常高兴能有机会参与此次方案设计。在认真听取了合作方公司的网络建设现状和需求后，根据我们对此项方案所要实现的目标、技术要求的理解。结合以往的设计经验。我们提出了包括网络硬件和服务器系统设计在内的一套完整的网络建设方案。希望和合作方真诚合作，共同建设好整个网络信息系统。 1．2需求分析 用户要求硬件设备（包含防火墙、服务器、双机软件）能满足网站服务器程序、自定义应用程序、邮件服务器、数据库、文件存储的正常应用及安全需要，且具备双机热备份功能，即自动实现主备机断电、系统故障、当机的情况下的自动切换及备份的一系列功能，同时满足INTERNET上相应网络访问量。 1．3方案简介。 本方案采用三向外围的网络设计及软双机热备的实现方法。首先将服务器置于外网和内网之间的一块DMZ区（*DMZ区 英文意思是非军事区，用于放置服务器群），在此清网NP防火墙承载了Internet的接入防护，考虑到公司内部服务器群的安全及数据资料，防止不安全因素的袭击，服务器均被放置在防火墙的DMZ区进行保护，大大提高了安全性。而服务器组采用双机热备，最大限度的保证了网络服务不中断.。在此方案中采用了两台IBM X3800高端服务器，采用4核的至强7110 CPU，扩充至4GB内存、300GB存储空间，双机软件采用目前行业一致好评的ROSE MIRROR HA,具备很好的适用性及安全性。整个软硬件系统能满足目前的行业应用，并具备很好的可扩充性。 方案细则。 2．1 网络拓朴结构(附图) 2．2 三向外围网络设计 2.2.1 三向外围网络 三向外围网络是基于网络服务器安全设计的，将网络划分为外网、内网、DMZ区。其中内网用于内部机器的使用、只要相应的设置就可以保证内网机器可以正常访问外部INTERNET网络；外网用于公网的连接；DMZ区用于对外发布服务器，使公网上客户能够访问相应的服务，并最大程度的保证本地服务器的安全。 基于此方案下我们可以轻松的设置相应的访问策略。三向外围的设计我们可以很方便的实现下列功能: 内网可访问外网,在防火墙上配置NAT即能实现内网用户访问到外问网络。也可开启DHCP，然后在交换机上做中续就能保证内网用户直接向防火墙申请到IP并上网。 外网不能访问内网 阻至外网访问内网，可防止内网上机密的数据被窃取。 外网可直接访问DMZ区 外网用户可以直接通过本机的公网IP 实现访问，与直接放在外网的服务器没有访问上的任何差别，但DMZ区的安全要高很多。 内网可以访问DMZ区 内网用户只需服务器私网IP就能访问到服务器，这一方面有效的节省了光纤的带宽资源。 2.2.2 防火墙 清网NP防火墙TR-200A7 是一款有4个电口，1个配置口标准型的百兆防火墙，具备主流防火墙的较为全面的功能。适用于对重点服务器的防护，DMZ的划分，并具备VPN功能。 2．3 双机热备方案 2.3.1 双机热备 双机热备是近年来服务器端的安全性，可用性的一次重大的革命。从以前加大的硬件可用性，到现在的双机要备用，来保证服务器的不停机运行，是高可用性的一次重大的进步。 本方案是使用的一种软件实现的双机热备方案，采用软件方式，（不需要外接盘阵等存储设备）一台服务器做主机，另一台服务器做备机，主备机之间采用心跳方式连接，正常情况下，主机自动向备机备份相应的数据；当连续三次心跳联络失败时，系统服务将切换到备机，此时备机接管主机的一切工作。 2.3.2 双机软硬件配置 ①、服务器硬件：两台相同配置服务器：（图片仅供参考，以实物为准） 两台高性能IBM X3800服务器，配备4核CPU，4GB内存，磁盘系统冗余阵列、电源冗余，能实现高访问量及大量的数据请求处理能力。 x3800 服务器采用 IBM X3 架构进行设计，是一款基于IBM System x? 塔式服务器的系统，可提供第三代源于大型机的