数据中心信息安系统部署方案-鲁广北大青鸟学员作品

方案设计原则

网络信息安是一个系统的工程，它包含防火墙、入侵检测、防病毒、漏洞扫描、身份认证等一系列安产品和技术。如何有效的集成这些安技术是一个复杂的系统工程，不同的安技术与网络，主机，应用等整个市XXX系统密切相关。制订基本的设计原则有助于我们实现终的系统设计目标。下面我们来看看武汉北大青鸟鲁广校区学员如何制定一个安性高并可行的网络安解决方案。

我们先确立了以下的设计原则:

1. 安性

2. 高性能

3. 易用性

4. 高可用性

5. 易管理性

6. 可扩展性

7. 完善的服务

方案设计结构

根据系统总体设计原则，我们提出如上图所示的总体规划，对数据中心信息安系统的网络的安设计分为：防火墙系统、入侵检测系统、网络隔离系统、内网安管理系统、多应用认证系统、网页防篡改系统、磁盘存储系统、服务器和数据中心信息安系统专业网络安服务.以下分别对上图中所列的安产品部署情况进行描述。

防火墙系统

根据北大青鸟鲁广校区多年的网络安经验，建议采用天融信网络卫士NGFW4000-UF千兆级防火墙产品。一台保护办公自动化系统服务器,一台保护案件管理服务器,一台保护其他类型服务器.

1、防火墙对服务器群的保护

由于各种应用服务器等公开服务器属于对外提供公开服务的主机系统，因此对于这些公开服务器的保护也是十分必要的;具体可以利用天融信防火墙4000千兆系统的安服务器网络(SSN)的特性，将公开服务器连接在千兆防火墙的SSN区上。

2、防火墙对核心内部业务网的保护

对于核心内部业务网部分在实施策略时，也可以配置防火墙4000系统工作与透明模式下，并设置只允许核心内部网能够访问外界有限分配资源，而不允许外界网络访问核心内部网信息资源或只允许访问有限资源;也可以在防火墙上配置NAT或MAP策略，能够更好地隐藏内部网络地址结构等信息，从而更好地保护核心内部网的系统安。

3、防火墙对网络边界的保护

对于XXX网络而言，外接网络系统和内网都是一个独立的网络安区域，因此在网络边界处配置天融信网络卫士防火墙4000系统，制定安的访问策略，不可以有效地保护内部网络中的系统和数据安，还可以防止各网络之间有意无意地探测和攻击行为。

4、建立完整、动态的安防护体系

在防火墙4000上除了通过设置安策略来增加对服务器或内部网的保护以外，同时还可以启用防火墙4000日志服务器记录功能来记录所有的访问情况，对非法访问进行监控;还可以使用防火墙4000与本次一起实施的入侵检测系统之间的实时联动功能，形成动态、完整的、安的防护体系。

入侵检测系统

1、入侵检测系统技术安防护方案

利用防火墙技术，经过仔细的配置，通常能够在内外网之间提供安的网络保护，降低了网络安风险。而入侵检测系统可以说是防火墙系统的合理补充和延伸，如果说防火墙是道安闸门，入侵检测系统可以说是第二道安闸门。入侵检测系统(Intrusion Detection System)是从计算机网络中的关键点收集信息，并分析这些信息，查看网络中是否存在违反安策略的行为。

2、入侵检测系统对网络的保护

入侵检测技术是主动保护自己免受攻击的一种网络安技术。作为防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的安管理能力(包括安审计、监视、攻击识别和响应)，提高了信息安基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息。

网络隔离系统

本方案建议采用中网物理隔离网闸X-GAP8500，放置于内部局域网与外部局域网之间，控制两边网络的信息交换和与Internet信息的交换。

1、使用网络隔离系统的环境

内部办公自动化网络安需求，不能够把机密文件和重要信息。利用隔离网闸把外网和内网分开，在没有配置交换模块的情况下，内网的信息是不能够发布到外网去的。

2、网络隔离系统的特点和部署

对此次我们采用中网物理隔离网闸X-Gap 8500产品。

过去的物理隔离策略主要采取的是物理隔离卡，该种方式虽然能够起到物理隔离的作用，但是却不能进行数据实时交换，工作效率很低。而中网物理隔离网闸X-GAP产品是运用先进物理隔离网络安技术设计的安网闸，保证内部网络与不可信网络物理隔断，能够阻止各种已知和未知的网络层和操作系统层攻击，提供比防火墙、入侵检测等技术更好的安性能，既保证了物理的物理隔离，又实现在线式实时访问不可信网络(如Internet、外部网络)所必需的数据交换,通过强大的协议检查、内容审查、用户审计等手段来确保内外网资源、信息和数据的安交换。

要解决的问题是：内部局域网(内网)在物理隔离的同时，通过内部局域网的补丁分发服务器和外部内网上的补丁分发服务器同步补丁升级文件;内网防病毒服务器通过隔离网闸从Internet上升级病毒码;内网数据库服务器和托管的数据库服务器同步数据库。

要解决这些问题，在两个网络的中心交换机之间放一台中网物理隔离网闸X-GAP8500即可，达到的效果如下：

1、内网防病毒服务器通过隔离网闸从Internet定时升级病毒库;

2、内网补丁分发服务器通过隔离网闸从外网补丁分发服务器升级补丁文件;

3、内网的数据库服务器和托管的数据库服务器同步数据库。

网络安管理系统

我们采用联软的IT综合监控管理系统LeagView UniMon一套来进行内网的安管理。

1、综合监控和网络安管理系统概述

此外，由于计算机系统是一个复杂的系统，电子器件老化、线路与电源故障，或者设备配置失误，都有可能导致系统的中断。如何在系统发生故障的情况下，时间发现故障源并且及时恢复系统运行，这是一个至关重要的问题。由于IT系统庞大，设备种类繁多，不同系统由不同专业技术人员维护，难以做到及时发现故障。

为解决安、故障、性能管理问题，以及IT系统运行管理中的其它问题，需要建立一套IT运行监控与安管理系统，对IT系统进行“故障、性能、安”方面的管理和监控。

2、综合监控和网络安管理系统部署

建设目标

运行监控与安管理系统的建设目标包括：

监控系统的范围：对可能影响IT系统正常运行的所有网络设备、服务器、对所有这些设备进行统一集中监控和管理。

监控系统的监控内容：所有可能影响IT系统正常运行的故障事件、性能事件、安事件以及各种设备和系统的日志进行统一、集中监控。

监控系统对事件的处理方法：可以将告警事件进行分类、分级、事件关联、定时触发与升级，在通知人、事件、告警方式三大要素之间建立自由组合定义的机制。实现Email、短信、语音播放、语音拨号、界面窗口等多种告警方式。

监控系统的服务对象：主要是为IT运行管理维护部门事件报警、处理、跟踪服务，同时为桌面计算机用户以及IT系统的其它用户提供提醒和报告服务。

此外，监控平台应具有自我检测功能，能够检查自身的运行状态，当某些模块的运行出现异常时，能及时告警。

运行监控与安管理系统框架建议

为方便系统的管理、操作、使用，建议运行监控与安管理系统采用基于B/S结构的整体解决方案，以降低系统的运行维护、培训等方面的费用。建议的运行监控与安管理系统框架如下图所示。

运行监控与安管理系统框架

整体系统分三大块：告警信息采集、告警信息处理与监控与报警终端。

监控系统从网络设备、Unix主机、Windows主机与机房设备以不同方式采集告警信息，包括系统日志事件采集、SNMP事件采集、Ping事件采集、端口测试事件采集、运行状态数据采集。

采集的告警信息被发送到告警信息处理服务器，后者将接收到的告警事件保存在事件数据库与设备数据库中，根据设定的告警策略与事件关联策略处理告警事件，将告警事件信息及系统维护人员信息分发给各个告警模块，向告警终端提供历史告警信息，从各种告警终端接收告警信息确认。

系统实现方案

根据前面的系统框架图，运行监控与安管理系统的系统实现方案如下图所示。

运行监控与安管理系统的实现方案

监控系统实现短消息、语音广播、语音拨号、终端等多种告警方式。另外通过系统告警终端实时监视设备详细运行状态、实时告警信息、历史告警信息、统计历史告警信息、配置整个平台系统的运行参数、配置告警策略与事件关联策略。

看过该学员作品的还看过

• 大学生学互联网技术好不好？武汉北大青鸟
• 武汉北大青鸟2024年寒假招生火热启动！
• 北大青鸟：北大青鸟招生简章【2024新版】
• 武汉北大青鸟全媒体直播培训：科技改变了世界
• 武汉北大青鸟鲁广校区2024年招生简章【招生计划】
• 武汉北大青鸟鲁广校区2024年度招录计划
• 武汉北大青鸟是个什么类型的学校？学校性质是什么
• 武汉北大青鸟口碑怎么样？北大青鸟好不好
• 北大青鸟武汉有几家？北大青鸟武汉具体地址
• 武汉北大青鸟是什么学校？可信度高吗？

本文标题：#数据中心信息安系统部署方案-鲁广北大青鸟学员作品#，宏鹏发布于北大青鸟鲁广校区。不同的安技术与网络，主机，应用等整个市XXX系统密切相关。制订基本的设计原则有助于我们实现终的系统设计目标。下面我们来看看武汉北大青鸟鲁广校区学员如何制定一个安性高并可行的网络安解决方案。