大厦网络运营方案材料.doc

  目 录 1 泰安云中心安全需求分析 3 1.1 大并发访问量特点 3 1.2 多业务并存的特点 3 1.3 面向网络的安全威胁 4 1.4 面向应用的攻击行为 4 1.5 需求总结 4 2 泰安云中心网络安全设计 7 2.1 互联网M8860网关部署方案 8 2.2 云中心M7360网关部署方案 12 2.3 山石网科HSM集中管理平台部署方案 14 2.4 360天眼新一代威胁感知系统（TSS）、360防病毒软件部署署方案 15 3 产品报价 16 4 部分产品简介 18 4.1 山石SG6000-M8860 18 4.2 山石SG6000-M7360 20 4.3 360天眼系统 22  1 泰安云中心安全需求分析 1.1 大并发访问量特点 由于泰安云中心实现了业务和数据的大集中，因此对于用户而言，其所有的业务都要通过远程访问数据中的资源，这就使得数据中心往往面对众多的远程访问请求。 并且由于业务的需要，这些远程请求的并发量、吞吐量很高，比如泰安目前数据中心的访问量可能要并发1万人以上，按照经验值，一个IP用户预留1000个并发，4M吞吐量，设备出口需要承担1000万以上并发，40G以上的吞吐量。 在访问高峰期，各个分支节点及远程移动办公人员的业务互动都要通过调用数据中心的资源来完成，高并发请求一方面使得数据中心的出口流量高，另一方面也需要数据中心对的业务处理能力高，同时在业务活动过程中的关键数据都存储在数据中心，也使得数据中心往往需要较大容量的存储系统。 大并发访问量的特点，也使得在进行网络边界安全设计中，对设备的选型有较高的要求，要求设备具有良好的并发维护能力，有较高的吞吐量，能够在提供防护的同时不影响数据中心正常的业务处理效率。 1.2 多业务并存的特点 数据中心是基于业务大集中模式建设的，因此数据中心先天具有多业务并存的特点，由于不同业务的重要性不同，因此在资源分配上应当有级差性，即不同业务需要分配不同的资源来保障。这种资源即包括服务器资源，也包含了出口链路带宽资源。 对此要求有很好的资源控制手段，对于网络边界，常见的手段就是带宽控制，根据业务级别进行出口链路带宽的二次分配。 1.3 面向网络的安全威胁 由于云中心的开放性，使得云中心往往面临着黑客的攻击，这种攻击轻者引起访问业务中断，严重的将造成重要信息的泄露，并且由于云中心集中了用户最重要的信息资产，一旦发生安全事件将对用户的正常业务造成极大的损失，因此必要采取必要的安全防护手段进行保护。 最典型就是拒绝服务攻击（DoS）和分布式拒绝服务攻击（DDoS），常见的DDOS攻击方法有SYN Flood、Established Connection Flood和Connection Per Second Flood。攻击者通过恶意抢占网络资源，使云中心无法正常运行，导致其他访问用户无法正常访问云中心，无法开展正常的业务活动。 1.4 面向应用的攻击行为 该类攻击具有更大的破坏性和隐蔽性，攻击的手段也很多样化，典型的有端口扫描、字典破解、缓冲区溢出、中间人攻击等，此类攻击行为的典型过程是：先通过扫描收集系统存在的漏洞，包括网络设备的配置漏洞、或者是操作系统的软件漏洞、应用软件的设计缺陷等，然后攻击者根据收集到的漏洞，采取相应的手段进行攻击，最终非法侵入云中心网络。由于这种攻击行为的针对性很强，所以其后果都比较严重，而云中心的开放性也为此类攻击行为提供了先决条件，对此需要在网络边界，对访问数据包进行深度检测，从而发掘闭关杜绝此类攻击行为。 1.5 需求总结 泰安云中心互联网出口及云中心内部防护需求： 一、 防火墙功能 在本次解决方案中，防火墙功能是整个网络的基础安全建设，是必须要考虑的。 二、 流量控制建设 本次流量控制建设可以为业务流量提供足够的保证，能够保证服务的可用性，能够有效管理带宽资源和区分网络应用的优先级。在本方案中，流量控制功能是必须考虑。 三、 防病毒网关建设 因对于现在网络病毒泛滥，防毒墙必须部署的，可以有效减少内网用户感染病毒的机率，它可以针对主要的网络协议进行病毒查杀，在本方案中建议使用防毒墙功能和360企业版防病毒软件形成互补的解决方案。 四、 IPS功能建设 准确监测网络异常流量，自动对各类攻击性的流量，尤其是对泰安云中心应用层的威胁进行实时阻断，而不是在监测到恶意流量的同时或之后才发出告警。这类产品弥补了acl访问控制等产品的不足，提供动态的、深度的、主动的安全防御，为泰安云中心提供了一个全新的安全解决方案。必须以全面深入的协议分析技术为基础，协议识别、协议异常检测、关联分析为核心的新一代入侵保护引擎，能够基于深度应用识别，积极防范复杂应用攻击;基于多核Plus G2构架满足深度应用分析、入侵防御功能的高CPU和高内存资源需求