【解决方案】Radware电信IDC网络整体解决方案.doc

Radware电信IDC网络整体解决方案 　一个典型的数据中心网络拓扑结构图如下图所示： 上述典型的数据中心网络大致由4 部分组成： 网络出口连接部分 网络安全部分 网络骨干交换部分 托管用户接入部分 一、网络存在问题 1.?广域网链路存在的缺陷 　　Internet连接部分是指数据中心通过ISP运营商的链路连接到Internet，用于为数据中心托管用户对外的网上公共信息发布， 为Internet 用户访问数据中心提供可靠连接。 链路的单点失效性：采用单一Internet连接链路存在单点失效性，一旦该链路出现故障将造成整个网络的瘫痪； 链路性能的瓶颈：单一Internet连接链路的带宽资源是有限的，无法满足企业内部全体用户对网络访问Internet时带宽不断增长的需求，同时也无法大量的Internet上的用户对企业的访问； 网络安全防护能力弱：目前Internet上的各种各样的网络攻击层出不穷，路由器自身对网络攻击的防护能力非常有限，DOS/DDOS 网络攻击会对广域网络由器产生严重的影响； 2.?网络安全防护存在的缺陷 　　网络安全部分通常由防火墙、虚拟专网（ＶＰＮ）和防病毒网关设备构成，用于制定内部信息资源的不同访问策略，保护数据中心的应用免受来自Internet的网络攻击。 ??? 网络安全设备缺乏高可用性：虽然某些数据中心采用了多台安全设备互相备份的解决方案，解决了单点失效的问题，但这些设备无法同时工作，导致投资严重浪费，备用设备只有等待主用设备失效以后才起作用，投资回报及性价比极低； 　　网络安全设备性能的瓶颈：网络安全设备由于要对进出网络的数据包进行安全性检查，与网络路由器和网络交换机相比，性能通常会降低很多，例如防病毒设备的网络吞吐量通常只有3－10Mbps。由于安全设备缺乏高可用性，因此网络中的安全设备通常都是制约网络传输速度的瓶颈点。 　　安全体系架构存在漏洞：防火墙可以基于网络中的TCP、UDP端口对网络流量进行访问控制，并且可以对基于状态的协议进行协议状态检查，因此防火墙通常是在网络第四层上对用户的网络进行保护。但是防火墙无法对基于网络七层中的网络攻击进行防护例如： 蠕虫入侵、病毒入侵、后门攻击。 3. 骨干交换及托管用户应用的缺陷 ??? 网络骨干交换提供了托管用户的接入，托管用户的应用实现对外WWW等信息发布系统，业务应用系统和后台数据库系统组成。 　　网络应用的可靠性较差：应用服务器由于服务器硬件的稳定性、流量压力超载、网络攻击等情况经常会出现意外宕机的情况，从而无法保证网络应用的7x24 小时的持续性服务。 　　网络应用的性能瓶颈：在网络应用系统中，通常会采用多台服务器同时提供服务的方式。但是由于网络中的流量并不均衡，因此经常会出现某台服务器由于访问量过大而宕机，造成网络应用性能的不稳定，从而影响到整个网络应用系统的性能。 ??? 网络应用的安全性较差：现有网络中的安全性防护机制的特点是： 现有的安全性防护机制通常是针对来自外网的攻击； 缺乏针对来自内网的攻击防护机制； 现有的安全性防护机制通常是针对整体网络层面的攻击防护，即针对网络IP层、TCP/UDP层的网络4层以下的攻击防护； 二、数据中心网络应用需求分析? 　　1. 广域网链路需求分析：数据中心网络出口连接方面的需求－多链路负载均衡技术 　　目前在国内由于多家ISP的竞争，Internet 接入链路的成本大幅降低，多链路Internet的接入已成为许多数据中心在的选择网络连接方面的需求。因此在数据中心Internet网络出口连接方面将存在如下要求： 　　提高Internet网络链路的可用性：当网络中心具有多条Internet链路后，应提高Internet网络链路可用性的智慧检查，防止出现由于某一条Internet链路的失效造成整体网络的不可访问。 　　提高Internet链路的网络吞吐量：提高数据中心的Internet网络链路的吞吐量，申请多条Internet链路。 　　提高Internet网络链路的抗网络攻击的能力：Internet上的各种各样的网络攻击首先影响的将会是Internet网络链路，因此应加强在Internet链路上的攻击防护。 　　2. 网络安全防护需求分析：网络安全方面的需求－防火墙、IDS、防病毒设备负载均衡技术的需求 　　为了保证数据中心的网络在网络安全防护方面的高可用性、高性能和安全性，数据中心在网络安全方面的需求可以分为以下几部分： ??? 提高网络安全设备的可用性：网络中应具备安全设备的的可用性检查，避免单一的网络安全设备的单点失效性。 ??? 提高网络安全设备性能：在网络中采用多台网络安全设备，避免网络安全设备带来的瓶颈，提高网络传输速度。 ??? 完善网络安全体系架构：各种各样