网络存储管理课程设计说明书内页.docVIP

目录 一. 背景描述 2 二.项目需求分析 3 三.数据中心安全设计的原则 4 3.1 标准型原则 4 3.2成熟性原则 4 3.3先进性原则 4 3.4扩展性原则 4 3.5可用性原则 4 3.6安全性原则 5 四．数据中心安全防御建设目标 5 4.1建设高性能高可靠的网络安全一体的目标? 5 4.2建设以虚拟化为技术支撑的目标? 5 4.3以集中的安全服务中心应对无边界的目标? 5 4.4满足安全防护与等保合规的目标? 5 五．数据中心的设计方案 6 5.1 网络拓扑图 6 5.2 IP规划 7 5.3防火墙 7 5.4入侵检测 8 5.5链路聚合 8 5.6 IP-SAN 8 5.7存储上使用RAID5技术 8 5.8安全审计 8 5.9华为设备选择 8 5.9.1防火墙的选择 8 5.9.2核心交换机的选择 10 5.9.3汇聚交换机的选择 11 5.9.4接入交换机的选择 12 5.9.5存储设备的选择 12 5.9.6服务器 14 5.9.7沙箱的选择 15 六.项目验收总结说明 16 七.小组任务分工 17 背景描述 .项目需求分析 。 数据中心设计图5-1 数据中心的各个设备的摆设在机架里如图5-2所示： 图5-2 5.2 IP规划 本设计中主要的IP规划,防火墙是服务集群和LogCenter服务器的网关，两个防火墙的IP地址虚拟成一个IP地址充当网关，具体如下表5-1所示： 表5-1 设备名称 IP地址 管理地址 网关 防火墙1 /24 54 防火墙2 /24 LogCenter服务器 /24 沙箱 /24 54 53 服务器群 /24 5.3防火墙 华为高端部署在大型数据中心出口，为客户提供高性能、高密度、高可用性、高安全的网络安全基础架构。通过部署高性能的高端墙，实现了安全域隔离，将数据中心划分为外链区和核心区，对各个域之间的流量进行安全防护，有效避免网络风暴扩散，保障网络安全，通过配置高性能USG设备，可以实现屏蔽可疑源地址安全策略；配置虚拟，实现2层到7层的虚拟系统隔离；可以实现配置资源预分配，控制虚拟防火墙的进出流量和会话连接数；配置公网IP限流，防止某个IP占用过量带宽等能力防火墙工作在混合透明模式下，此时部分接口配置IP 地址，部分接口不能配置IP 地址。配置IP 地址的接口所在的安全区域是三层区域，接口上启动VRRP功能，用于双机热备份；而未配置IP 地址的接口所在的安全区域是二层区域，和二层区域相关接口连接的外部用户同属一个子网。当报文在二层区域的接口间进行转发时，转发过程与透明模式的工作过程完全相同。在外联区部署IPS入侵防御系统，及时判断网络或系统中是否有违反安 全策略的行为和遭到攻击的迹象，并在发现威胁的情况进行阻断或告警等措施实现对网络的安全保护。通过在关键业务系统的入口交换机旁路部署NIP系统，对访问系统的网络流量进行实时入侵检测，实现了统计分析、入侵检测与防护、安全审计等功能。增加网络带宽 链路聚合可以将多个链路捆绑成为一个逻辑链路，捆绑后的链路带宽 是每个独立链路的带宽总和。 提高网络连接的可靠性 链路聚合中的多个链路互为备份，当有一条链路断开，流量会自动在剩下链路间重新分配。成本低廉，购买的网线和交换机都是用以太网，甚至可以利用现有网络组建SAN；部署简单，管理难度低；万兆以太网的出现使得IP SAN在与FC SAN竞争时不再逊色于传输带宽；基于IP网络的天生优势使得IP SAN很容易实现异地存储、远程容灾等穿越WAN才能时间的技术USG9520产品是华为技术有限公司为解决云数据中心、大型企业、教育、政府等网络的安全问题而自主研发的统一安全网关。USG95基于业界领先的“NP+多核+分布式”架构，融合了NAT、VPN、IPS、Anti-DDoS等行业领先的专业安全技术，通过将交换、路由、安全服务整合到统一的设备中，提供给用户高性能保证、全面的虚拟化安全防护、超千种应用识别。USG95在大型数据中心、大型企业、教育、政府、广电等行业和典型场景得到广泛应用。 图5-3 图5-4 图5-5 USG9520的形状如下图5-6所示： 图5-6 USG9520的具体参数如下表