摘 要：隨著學校信息化程度的提高，數(shù)據(jù)量急劇增加，學校的數(shù)據(jù)管理面臨著困難：學校內(nèi)部不同應用采用的是不同的存儲和服務器，彼此無法兼容，存儲、服務器操作系統(tǒng)不統(tǒng)一，維護管理工作復雜，需要專業(yè)IT人員，總部和分支機構(gòu)分設(shè)服務器，數(shù)據(jù)需要手工備份、同步，耗時耗力且容易出錯同時，近年來，隨著學校的高速發(fā)展，數(shù)據(jù)中心向著更大容量、更高能力、超大規(guī)模、多種業(yè)務模式和運營模式共存的方向發(fā)展。數(shù)據(jù)中心網(wǎng)絡(luò)安全面臨嚴峻的挑戰(zhàn)，網(wǎng)絡(luò)升級迫在眉睫。

關(guān)鍵詞：校園網(wǎng)；數(shù)據(jù)中心；網(wǎng)絡(luò)安全

中圖分類號：TP393.08

本項目涉及的是某高校校園網(wǎng)的升級改造。近年來，隨著學校校園網(wǎng)應用的不斷增加，原學校核心網(wǎng)壓力越來越大。同時，隨著新的教學模式的應用，如很多學科視頻應用逐漸常規(guī)化，大量的視頻及圖像數(shù)據(jù)流對原校園網(wǎng)中服務器、存儲及核心網(wǎng)絡(luò)設(shè)備性能都提出了更高的要求，另外校園網(wǎng)的網(wǎng)絡(luò)安全也日益成為焦點。因此，該校決定對原有校園網(wǎng)進行改造。

1 項目需求

在此次校園網(wǎng)升級改造中，該校決定將各系業(yè)務進行整合，并建設(shè)一個獨立、高性能的數(shù)據(jù)中心。通過數(shù)據(jù)中心統(tǒng)一為全校提供靈活、高效的業(yè)務支撐，滿足各院系差異化需求，并保留未來強大的擴展能力。

由于新建立的數(shù)據(jù)中心需要為全校的各種視頻、網(wǎng)絡(luò)教學等關(guān)鍵業(yè)務提供服務，因此對數(shù)據(jù)中心服務器、存儲及網(wǎng)絡(luò)設(shè)備的性能和可靠性提出了很高的要求。

具體要求：

（1）數(shù)據(jù)中心服務器配置了大量高性能千兆網(wǎng)卡，因此要求新建數(shù)據(jù)中心網(wǎng)絡(luò)能夠滿足高密度千兆速率接入需求。

（2）新建數(shù)據(jù)中心網(wǎng)絡(luò)要求具備接口擴展等數(shù)據(jù)中心特性，以適應未來發(fā)展需求。

由于此次改造的重點是數(shù)據(jù)中心，因此對網(wǎng)絡(luò)安全也提出了相應的要求：

（1）防御來自網(wǎng)絡(luò)外部的DDoS攻擊，保障數(shù)據(jù)中心的可用性。

（2）對應用層攻擊進行預防和阻止。

（3）攻擊防范及訪問控制，抵御來自外部的各種攻擊；在校園內(nèi)部根據(jù)部門的不同安全區(qū)域、級別進行隔離。

（4）高密度部署，具備虛擬化能力，低成本地滿足校園各部門專屬安全防護的需要。

2 項目解決方案

通過對客戶需求及應用場景的深入分析，最終將該公司數(shù)據(jù)中心建設(shè)的關(guān)注點放在了數(shù)據(jù)中心網(wǎng)絡(luò)安全防護上。經(jīng)過分析最終選定華為公司為運營商。

通過對數(shù)據(jù)中心的分析，目前對數(shù)據(jù)經(jīng)中心的安全需求基本包括以下方面：

數(shù)據(jù)中心鏈路普遍采用10G鏈路，將要向40G/100G鏈路進行遷移，同時，數(shù)據(jù)中心的發(fā)展，使得大二層數(shù)據(jù)中心快速發(fā)展，東西向流量的交換集中匯聚到數(shù)據(jù)中心核心交換機，這種趨勢必然要求信息安全產(chǎn)品需要有更高的處理能力，低性能的網(wǎng)絡(luò)安全防護產(chǎn)品如FW/IPS等必制約了數(shù)據(jù)中心的平滑升級；

數(shù)據(jù)中心的發(fā)展規(guī)模越來越大，業(yè)務越來越多，數(shù)據(jù)中心數(shù)據(jù)價值也越來越高，各種對數(shù)據(jù)的攻擊也日新月異，攻擊呈現(xiàn)持續(xù)性、高流量、異變性等，如何防護這些種類繁多的攻擊行為要求防護產(chǎn)品的快速反應和高性能的處理能力；

信息安全威脅的快速變化，需要網(wǎng)絡(luò)防護產(chǎn)品能快速的安全能力升級的能力，以及要求安全廠商有更積極的安全產(chǎn)品升級策略；

網(wǎng)絡(luò)安全產(chǎn)品能夠感知不同的應用類型，在網(wǎng)絡(luò)需要時可以對不同的應用給予不同的帶寬保障，保障高價值業(yè)務的用戶體驗；以緩和數(shù)據(jù)中心出口帶寬的壓力，提升用戶體驗。

2.1 外聯(lián)區(qū)安全防護

華為高端防火墻部署在大型數(shù)據(jù)中心出口，為客戶提供高性能、高密度、高可用性、高安全的網(wǎng)絡(luò)安全基礎(chǔ)架構(gòu)。通過部署高性能的高端墻，實現(xiàn)了安全域隔離，將數(shù)據(jù)中心劃分為外鏈區(qū)和核心區(qū)，對各個域之間的流量進行安全防護，有效避免網(wǎng)絡(luò)風暴擴散，保障網(wǎng)絡(luò)安全。在外聯(lián)區(qū)部署IPS入侵防御系統(tǒng)，及時判斷網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到攻擊的跡象，并在發(fā)現(xiàn)威脅的情況進行阻斷或告警等措施實現(xiàn)對網(wǎng)絡(luò)的安全保護。通過在關(guān)鍵業(yè)務系統(tǒng)的入口交換機旁路部署NIP系統(tǒng)，對訪問系統(tǒng)的網(wǎng)絡(luò)流量進行實時入侵檢測，實現(xiàn)了統(tǒng)計分析、入侵檢測與防護、安全審計等功能。

同時在出口部署Anti-DDoS設(shè)備，可以有效識別DDoS攻擊，減少惡意流量的沖擊，實現(xiàn)對DDoS的攻擊防護。

2.2 核心區(qū)網(wǎng)絡(luò)安全解決方案

通過在核心交換機上部署各種安全業(yè)務，如防火墻、IPS/IDS等為數(shù)據(jù)中心的業(yè)務提供內(nèi)部網(wǎng)絡(luò)安全解決方案。

在核心區(qū)部署高性能USG設(shè)備，將核心區(qū)按照業(yè)務模式劃分不同的區(qū)域，如測試區(qū)、托管區(qū)、運行管理區(qū)等，對不同的區(qū)域?qū)崿F(xiàn)不同的安全策略，為不同的區(qū)域提供不同的安全防護能力。

在核心區(qū)部署高性能的IPS設(shè)備，以旁路IDS方式部署NIP產(chǎn)品，監(jiān)控內(nèi)部的攻擊行為，檢測異常的數(shù)據(jù)流量，同時在業(yè)務服務器群前，防御DDoS攻擊，以及各種黑客攻擊行為和蠕蟲等，以保護高安全業(yè)務區(qū)的業(yè)務安全。

2.3 方案的優(yōu)勢

多種專業(yè)防護能力：采用“七層過濾”技術(shù)，秒級防御流量型、應用型、畸形報文等各種DoS/DDoS攻擊；方案集成業(yè)務感知模塊，超1200多種應用識別能力，能夠?qū)I(yè)務做到應用層可視化管控。

高性能：針對數(shù)據(jù)中心大數(shù)據(jù)、大流量的特點，華為數(shù)據(jù)中心網(wǎng)絡(luò)安全解決方案依托電信級的硬件平臺，提供高性能、高可靠的安全防護。在業(yè)務吞吐量、接口能力、漏洞檢出率/誤報率、防護響應速度等安全設(shè)備關(guān)鍵指標上全面領(lǐng)先業(yè)界水平。

高可靠：方案涉及設(shè)備的電源/風扇/主控等關(guān)鍵部件冗余和可熱插拔，業(yè)務板間均衡負載流量，多種容錯設(shè)計保證在海量復雜網(wǎng)絡(luò)流量下可靠性和可用性，保證業(yè)務永續(xù)。

易擴展：采用插板式設(shè)計，安全隔離、IPS和Anti-DDoS的功能均能在同一硬件平臺上擴展，高密度，保護客戶已有投資。

虛擬化能力強：虛擬化能力是業(yè)界平均水平的4倍以上，低成本的提供多部門獨享安全服務的需求。

全面的IPv6攻擊防范能力：提供完善的IPv6過渡方案，確保IPv4向IPv6網(wǎng)絡(luò)過渡期間的安全、平滑升級。

3 結(jié)束語

本文對校園網(wǎng)的數(shù)據(jù)中心升級做了簡要的描述。在校園網(wǎng)的建設(shè)中，我們首先要做的是了解各項業(yè)務需求，然后從中選出最重要的點作為項目實現(xiàn)的重點，進行方案設(shè)計和設(shè)備選型，最后進行項目實施。

參考文獻：

[1]鄭葉來，陳世峻.分布式云數(shù)據(jù)中心的建設(shè)與管理[M].北京：清華大學出版社，2013.

[2]張廣明，陳冰，張彥和.數(shù)據(jù)中心基礎(chǔ)設(shè)施設(shè)計與建設(shè)[M].北京：電子工業(yè)出版社，2012.

[3]孟玲玲.校園網(wǎng)組建與維護[M].北京：中國人民大學出版社，2011.

作者簡介：肖仁鋒（1979.04-），男，山東諸城人，助教，畢業(yè)于山東師范大學，本科，研究方向：計算機網(wǎng)絡(luò)；徐書海（1979.07-），男，山東濟南人，助教，畢業(yè)于山東大學，本科，研究方向：計算機應用。

作者單位：濟南職業(yè)學院，濟南 250100