网络安全技术解决方案范例(12篇)
时间:2024-03-01
时间:2024-03-01
关键词:信息安全;网络;VPN
中图分类号:TN915.08文献标识码:A文章编号:1007-9599(2010)09-0000-01
EnterpriseNetworkSecuritySolution
LuWenshuo
(NationalComputerNetworkEmergencyResponseTechnicalTeamCoordinationCentre,GuangdongSub-center,Guangzhou510665,China)
Abstract:Withtherapiddevelopmentofinformationtechnology,managementofthecomputerapplicationsystemdependentenhancement,computerapplicationsincreaseddependenceontheputernetworksandcomputerapplicationsystemsrunningonahighernetworksecurityrequirements.Informationsecurityshouldbedonetopreventtheoverallconsiderationofacomprehensiveinformationsystemcoveringalllevels,forthenetwork,system,application,datadocomprehensiveprevention.
Keywords:Informationsecurity;Network;VPN
一、引言
随着计算机网络的出现和互联网的飞速发展,企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户,在2003年后,木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。
二、设计原则
安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。
(一)标准化原则。本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。
(二)系统化原则。信息安全是一个复杂的系统工程,从信息系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,以形成系统化的解决方案。
(三)分步实施原则。由于某公司应用扩展范围广阔,随着网络规模的扩大及应用的增加,系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性,寻求安全、风险、开销的平衡,采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求,亦可节省费用开支。
三、设计思路及安全产品的选择和部署
信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终。信息安全又是相对的,需要在风险、安全和投入之间做出平衡,通过对某公司信息化和信息安全现状的分析,对现有的信息安全产品和解决方案的调查,通过与计算机专业公司接触,初步确定了本次安全项目的内容。通过本次安全项目的实施,基本建成较完整的信息安全防范体系。
(一)网络安全基础设施。证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:身份认证(Authentication)、数据的机密性(Confidentiality)、数据的完整性(Integrity)、不可抵赖性(Non-Repudiation)。
(二)边界防护和网络的隔离。VPN(VirtualPrivateNetwork)虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。
通过安装部署VPN系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程LAN的安全连接。集成的防火墙功能模块采用了状态检测的包过滤技术,可以对多种网络对象进行有效地访问监控,为网络提供高效、稳定地安全保护。集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。
(三)桌面安全防护。对企业信息安全的威胁不仅来自企业网络外部,大量的安全威胁来自企业内部。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。
四、方案的组织与实施方式
网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程如图所示。网络与信息安全防范体系模型流程不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。
关键词:网络安全;动态安全模型;P2DR;企业园区网
中图分类号:TP393.08文献标志码:A
近年来,网络安全技术的研究逐渐摆脱了传统的单一防守思想局限,开始关注入侵检测系统以及实时响应系统在网络安全中的重要作用。P2DR作为一种全面、动态、实时的主动防御和利用入侵检测制定及时响应措施的模型代表,为网络安全管理提供了很好的解决方案。它能够根据网络动态变化的情况及时做出相应的调整,以维持网络系统的相对安全稳定的状态。
1P2DR模型
P2DR模型是一个动态模型,其中引进了时间的概念,而且对如何实现系统安全,如何评估安全的状态给出了可操作性的描述,P2DR模型是对传统安全模型的重大改进。P2DR模型包含四个主要部分:Policy(安全策略)、Protection(防护)、Detection(检测)、Response(响应)。防护、检测和响应组成了一个较完整的、动态的安全循环,在安全策略的指导下保证信息系统的安全。P2DR网络安全模型如图1所示。
(1)Policy。它是模型的核心,负责制定一系列的控制策略、通信策略和整体安全策略。一个策略体系的建立包括安全策略的制定、评估和执行等。策略意味着网络安全要达到的目标,它决定了各种措施的强度。因为追求安全是要付出代价的,一般会牺牲用户使用的舒适度,还有整个网络系统的运行性能,因此策略的制定要按照需要进行。在制定好策略之后,网络安全的其他几个方面就要围绕着策略运行。
(2)Protection。它是模型的重要组成部分,通过传统的静态安全技术和方法来实现,主要有防火墙、数字加密技术、身份认证控制等。通过防火墙监视、限制进出网络的数据包,防范内外网之间的非法访问,提高网络的防护能力,保护信息系统的保密性、完整性、可用性、可控性和不可否认性,可以根据安全策略来制定程序内置主机防火墙策略。
(3)Detection。它是整个模型动态性的体现,能够保证模型随着事件的递增,防御能力也随着提升。检测是动态响应和加强防护的依据,是强制落实安全策略的工具,通过不断地检测和监控网络及系统,来发现新的威胁和弱点,通过循环反馈来及时做出有效的响应。网络的安全风险是实时存在的,检测的对象主要针对系统自身的脆弱性及外部威胁,利用检测工具了解和评估系统的安全状态。
(4)Response。它是解决安全潜在性的最有效的方法,在安全系统中占有重要的地位。主要负责在检测到安全漏洞和安全事件之后及时做出正确的响应,从而把系统调整到风险最低,最为安全的状态。
2某企业园区网络安全系统方案的设计
随着企业的快速发展,应用信息突破了时间和空间上的障碍,信息的价值在不断提高。但与此同时,计算机病毒、系统非法入侵、数据泄密、木马植入、漏洞非法利用等信息安全事件时有发生。企业园区的主要功能包括园区办公,科研生产,实验测试等等,而相关的产品设计方案、生产制造数据、设备程序代码等等都是企业赖以生存的商业机密,任何数据的丢失都可能给企业带来无法想象的损失。企业园区信息安全体系最终目的就是保护数据安全,不受偶然的或者恶意的原因而遭到破坏、更改、泄露。
2.1设计原则
企业园区网络安全体系结构是一种被划分若干层面、多层次和立体的安全构架,体系涉及网络安全策略指导、网络安全标准规范、网络安全防范技术、网络安全管理保障和网络安全服务支持体系等诸多方面,因此建立动态安全体系结构应遵循:
(1)先进性和整体性。它不是一个独立的个体,而是由一组相互补充、相互作用的安全防范标准、技术与工具组成的有机整体;
(2)层次性和区域性。它不是各项安全工具的顺序排列,而应该是在多层次、多区域和不同保护措施的等级上的三维空间中安全工具的有选择的部署,根据安全保护等级在不同层次、不同区域的系统中部署各类安全工具,建立起安全工具之间的依赖关系,形成一个有机的三维网络安全体系。
(3)实用性与通用性。它应该与实际需要协调一致,不同的网络环境应该针对不同的重点采用不同的安全解决方案;
(4)高性能与可扩展性。它应该可以随网络系统的变化而调整,并根据实际需求进行扩展。
2.2网络安全系统设计
某企业园区网络的典型场景如图2所示。
从图可以看出,整个企业园区网路大致可以分为办公接入区、科研生产区、实验测试区、管理中心区、数据中心区、广域网接入区和生产外联区等7个业务子网区域。数据中心区是整个园区网络的核心部分,对整个数据中心构成安全威胁的区域主要是办公接入区、实验测试区、广域网接入区和生产外联区。因此要做好这四个区域的访问控制限制,避免病毒和攻击入侵到数据中心区,确保整个园区网络系统稳定、可靠、安全的运行,为整个园区的办公与科研生产提供有利的保障。
办公接入区与实验测试区主要是园区用户的PC机接入。一方面,由于很多用户安全意识匮乏,对网络攻击和防范了解又很少,在不知不觉中就遭到了安全攻击;另一方面,整个网络系统还不可避免地受到来自内部一些员工的违规接入、非法上联甚至是恶意的入侵攻击、破坏等行为。此区域需要重点防范基于七层的网络病毒泛滥的威胁,如:木马、蠕虫以及各种基于系统漏洞的病毒,所以,在办公网络接入区和实验测试区部署IPS。
广域网接入区是一个严重的危险区域,该区域是本园区与其他园区及上级部门的汇聚区域,外来数据都要通过此区域流入到园区网络的数据中心,只要有一个节点或者一个分支网点被病毒感染,就会严重威胁到数据中心的安全,使整个园区办公网络与科研生产网络受到严重影响,所以此区域需部署IPS与防火墙。
生产外联区是园区与外界交换的一种重要部分,园区内相关部门通过该区域可以访问互联网,以获取外界最新信息,也方便外网用户访问园区的一些公共信息,实现园区内外的信息交互。随着互联网的发展,生产外联区将会成为展现园区实力一个重点窗口,但同时生产外联区既与网络核心交换区直接相连,又是一个Internet出口,必将是黑客入侵、病毒侵蚀、网络钓鱼欺骗等众多危害最严重的区域,所以此处的安全部署不容忽视,需在出口处部署防火墙和IPS。
2.3系统的实现
结语
P2DR网络安全模型理论给人们提出了全新的安全概念,安全不能依靠单纯的静态防护,也不能依靠单纯的技术手段来解决,而是随着网络技术、应用技术的发展而发展。本文通过对P2DR网络安全模型的研究,结合各种网络安全技术和管理手段,给出了基于P2DR模型的某企业园区网络安全系统的设计方案。实践运行结果表明,该设计方案具有良好的安全效果。
参考文献
[1]侯小梅,毛宗源.基于P2DR模型的Internet安全技术[J].计算机工程与应用,2000.
[关键词]数据库档案管理应用
信息化是当今世界发展的大趋势,是推动经济社会发展和变革的重要力量。随着我国各单位业务的急速发展,单纯的手工记录方式已无法及时有效地对档案材料进行收集、整理、立卷、归档和管理。而计算机技术在近十年来的迅猛发展,使得各单位利用计算机对档案进行辅助管理成为可能。档案信息化是在档案管理中全面应用现代信息技术,对档案信息资源进行开发、管理和提供利用等服务,主要包括档案资源数字化和网络化、档案信息管理和利用提供的一体化、档案信息的高度共享等。
《全国档案信息化建设实施纲要》规定了我国近期档案工作发展目标,《国家信息化发展战略(2006年―2022年)》的审议通过,为档案信息化提供了有力保障。计算机的介入打破了传统的管理模式,使得原本松散、庞杂的档案管理迈入了集中统一、信息自动化的新领域。虽然,利用计算机辅助管理档案能大量减轻管理工作的强度、提高管理工作的效率,并能减少管理工作的失误,但是由于计算机技术,尤其是数据库的发展是一个逐步开发、完善的过程,同时使用该技术的工作人员也有逐步学习、应用的阶段,因此计算机辅助管理各单位档案中也存在着不少需要解决的问题。
一、数据库在档案管理中应用的现状与不足
随着各单位业务的不断扩大,传统的手工管理档案的方法,已经不能适应成倍膨胀的档案数量,也无法满足社会对档案的巨大利用需求,利用档案管理软件进行计算机管理是提高各单位档案服务水平的必由之路。将手工管理的纸质档案转换为数字信息进入网络,即从档案的实态转换到虚拟态,档案信息与载体分离,在这个意义上说网络传递的仅是档案信息,用户得到的仅是复制品,而非档案原件。使用数据库计算机辅助管理档案不同于以往对纸质文档进行收集、整理、立卷、归档、管理等工作,管理人员除了需要具备档案管理业务素质外,还需要对计算机及数据库应用具备一定的认识。有相当多的档案管理工作人员知识结构老化,缺乏计算机技术知识,不能准确、规范地录入基本信息,导致基本信息错误、缺失甚至张冠李戴。与此同时,由于一些档案管理软件在建立时仅考虑当时的数据量和用户需求,数据库结构中只有比较有限的几个数据字段,数据库容量较小,不能导出通用格式的数据。当数据量成倍增加,数据库运行的速度就相应减慢,使工作效率被迫降低。
二、数据库在档案管理中的应用建议
要全面提升档案数据库系统的安全水平是个艰难的过程,涉及方面很多,需要管理部门投入人量的人力物力。有些方面,例如,设备的可靠性,火灾预防等方面,主要涉及投入力度的问题:防止人为的有意识破坏方面,如泄密监取密码口令、计算机病毒、黑客等,主要依靠管理制度和计算机安全专项技术。但在数据库的一致性、完整性问题上,档案管理部门自身起着决定性作用。主要应关注以下几点:
1.采用科学的数据库开发方式
早期使用结构化方法开发的档案管理软件,其稳定性、可修改性和可重用性都比较差,用户需求的变化往往造成系统结构的较大变化,并且需要花费很大代价才能实现这种变化。新的档案管理软件可采用面向对象的程序设计方法,商定一种或多种数据转换方式,以便数据能够在不同软件之间实现信息共享。考虑到信息网络化的需要,档案管理软件可具备通过网页进行数据查询、交换的功能。同时还应考虑数据量增加的速度和数据库技术发展的趋势,以便今后对数据库进行升级或更新换代。对于管理条例的各种文件可采用数码照相或者文本方式进行保存整理,通过公文类程序或网页进行交换及查询。
2.确保档案的保密性和安全性
单位档案的保密性和安全性是十分令人关注的问题。档案一旦进入计算机网络系统,网络的安全将直接关系到档案的保密性。对于计算机网络与电子文件所存在的技术上的弱点只能靠技术上的发展去解决。作为计算机网络的使用者,电子文件的形成者和保管者都有责任关注信息技术的最新发展,也有责任采用诸如防火墙、密码技术、网关、虚拟保险箱、电子印章、电子水印等最先进信息技术解决上述问题。同时通过建立符合科研档案技术发展规律的各种工作规范来保障电子文件的安全。只要工作规范,技术到位,这一科研档案工作的主要障碍是完全可以解决与克服的。
加强网络监控,及时备份数据。网络中存在的安全性问题是对档案管理系统安全性最大的威胁。目前有多种网络安全策略,各种安全策略必须相互配合才能真正起到保护作用,其中网络的访问控制可以说是保证网络安全最重要的核心策略,它的主要任务是保证网络资源不被非法使用和访问,它也是维护网络系统安全、保护网络资源的重要手段。另外,要注意建立计算机检索查询和提供档案信息的主要服务方式,为使用者提供网状信息组织结构,使用户可以根据自己的意志沿着信息之间的关系链进行浏览,而不是按照规定途径进行检索和查询档案信息。
3.关注计算机病毒的新变化
当档案信息系统扩展到局域网甚至互联网时,计算机病毒成为不可回避的危害,而且新型病毒具有许多网络时代的新特征,例如,病毒传播主要通过网络途径扩散,病毒与计算机入侵关系密切,Windows操作系统的网络功能是常见的攻击点,等等,档案工作者应当时刻注意新的技术变化,制定针对性策略,并从管理制度、技术监督、后备保护、应急措施等多方面综合防范。
4.加强法制建设
保障档案信息安全单纯依靠档案管理部门自身的努力是不够的,还需要有相关法律、规章制度的约束。因此,档案信息安全与其它社会问题一样,是一个复杂的综合性较强的问题,各个环节必须紧密衔接才能发挥作用。立法在保障档案信息安全性中的作用是不言而喻的,缺乏法律支持的信息安全保障是纸上谈兵。我国已将信息安全列入国家信息化发展战略,辽宁省早在1998年就通过了《辽宁省计算机信息系统安全管理条例)),这些都将在档案信息安全保障中发挥重要作用,但随着新问题的出现还需要更完善的、更专业的法律、法规出台。
参考文献:
[1]张姝,韩振英.计算机在学籍档案管理中的应用[J].洛阳工业高等专科学校学报,1998,(4).
云部署加速
近年来,运营商的利润逐渐缩减。光依靠传统的语音和流量收益越发难以支撑运营商的野心。同时,5G时代即将来临,5G带来的高速网络和丰富的业务类型也将给传统运营商网络架构带来冲击。
“SDN/NFV谈了四五年,今年在国内终于要落地了。现在三大运营商认为变革的时机已经到来。”思博伦通信副总裁兼大中华及东亚区总经理谭昊在接受《通信产业报》(网)记者专访时表示。
不仅是SDN/NFV技术,云的部署也正在加速,国外企业亚马逊、谷歌、微软已经在云服务领域深耕多年,国内互联网“三巨头”BAT也正在向云服务发力。
同时,根据2017年1月RightScale公司的“2017年云状况调查”报告显示,未来私有云采用率将下降,混合云将成为企业首选战略。
谭昊表示,如何为运营商的智能化网络重构的部署加速,如何为云服务提供商新一代云网络部署加速,并保证体验质量,是思博伦正在考虑和做的事。
测试厂商特点就是要紧跟前沿技术。由此思博伦为云和虚拟化提供了全方位、多层次的解决方案,以加速下一代云网络的部署。
具体说来,思博伦的新一代云网络部署加速包含了从网络架构到不同云服务商提供的云健康性的测试方案,乃至生命周期管理测试。在所有测试基础上,思博伦还提供了定制的服务,包括定制开发、测试实施、提供专业报告,为新一代网络的部署提供切实可行的专业化建议。
加码5G
虽然5G标准尚未确定,但是运营商、设备商都在加紧脚步进行5G技术研发测试。5G容量将千倍提升、带宽将百倍增长、时延将缩短至毫秒级,这都为5G测试提出了挑战。
思博伦一直与设备商、运营商保持密切合作,助力5G技g研发测试。此前,思博伦已经与领先的5G移动前传网络测试设备制造商萨洛卡(SarokalTestSystems)缔结合作伙伴关系,为5G基站提供高效的测试解决方案,为客户带来用户友好且成本效益颇高的方案,加速产品面市时间。此次合作,很好地解决了5G基站大天线阵列的测试挑战,促进5G的发展。思博伦拥有模块化的信道仿真平台,可根据用户需求提供前所未有的扩展能力和模块化水平,还可支持众多信道模型的仿真。双方合作实现天线和基站之间的直接光纤连接,从而实现对5G基站天线阵列的强大支持,在有效降低成本的同时,还保持高效性能测试的真实性。
同时,思博伦正式签约成为中国移动5G联合创新中心项目合作伙伴,成为中国移动5G联合创新中心C-RAN云平台技术研究和产业推进项目的首批且唯一测试解决方案提供商。
直指物联网
日前,BIIntelligence曾一份物联网的详细报告,并预计到2022年将有340亿台设备接入互联网。
这一方面意味着物联网将催生商业新蓝海,但另一方面逐渐猖獗的分布式拒绝服务(DDoS)攻击,也给物联网发展带来了挑战。
面对物联网带来的机遇和挑战,思博伦积极布局物联网并提供涉及物联网网络、设备、安全等方面的解决方案。
在物联网网络方面,思博伦Landslide解决方案,该方案能够仿真NB-IoT设备、LTE基站和演进分组核心(EPC),帮助网络设备供应商的开发团队,确保网络功能已经为物联网所要求的规模和多种QoS能力做好准备。在MWC2017上思博伦也携手博科联合展示符合3GPP规范的NB-IoT解决方案。
在物联网设备方面,思博伦了Elevate物联网设备测试解决方案。这种全新的蜂窝网络测试解决方案可支持适应于物联网(IoT)应用的各个测试领域,包括端对端云服务器连接性、安全性漏洞评估,以及电池寿命测量等。
Elevate物联网解决方案还可以帮助客户获取思博伦SecurityLabs服务,解决物联网安全问题。该服务是由经验丰富的安全专家组成的专职团队。可以为嵌入式设备提供的全面扫瞄、贯穿测试和监视服务。
在物联网产业中,车联网的重要性正在逐渐提高,汽车不仅被称为电脑、手机、电视之外的“第四终端”,同时车辆数量的快速增加所带来的交通、环保等社会问题也越来越尖锐,整个社会对汽车也提出了更多要求。
【关键词】阳光政法查询监督系统WCDMAVPDN
一、系统组成
阳光政法查询监督系统融合了公、检、法、司各部门系统信息,综合了多媒体技术、计算机技术、通信技术,由多媒体终端、通信网络、安全接入平台、应用平台以及内网组成,集报警、投诉、查询、监督等多种功能于一体,本方案中通信网络部分采用的是基于WCDMAVPDN网络的无线接入方式。
二、无线网络通信单元关键技术
阳光政法查询监督系统无线网络通信单元采用WCDMAVPDN技术,VPDN又称虚拟专用拨号网,是虚拟专用网(VPN)业务的一种,它是利用IP网络的承载功能,结合相应的认证和授权机制建立起来的安全VPN。
WCDMAVPDN由三段网络组成[1]:MS终端至SGSN间的无线接入网、SGSN至行业GGSN之间的分组网和GGSN至企业间的VPDN企业接入网。
三、安全接入模型
阳光政法监督查询系统需要与公、检、法、司内网互相通信,考虑政法部门对安全性及保密性的高要求,综合VPDN、网闸隔离等安全技术,建立了安全接入模型[2]。该模型分为内网应用、安全隔离、移动通信网和终端四个区域,针对不同的区域提供了不同的安全防护措施,见图1。
终端加固:基于软件客户端对终端进行安全加固,保证终端计算环境、资源和网络访问的安全和控制。
信道加密:采用密码算法实现移动终端到安全隔离区端到端的通信加密,保证内网信息在传输过程中的机密性和完整性。加密信道建立在通信运营商提供的APN专线之上。认证接入:实现移动终端和安全隔离区接入设备之间的双向身份认证,保证持有合法身份证书的移动终端才能接入安全隔离区。访问控制:保证内网信息资源只能被授权的终端访问,并对异常的访问进行阻断。网闸隔离:实现外网和内网之间的网络隔离。对出入内网的数据进行协议剥离和内容过滤。
四、基于WCDMAVPDN的阳光政法查询监督系统
根据阳光政法监督查询系统的安全接入模型,基于WCDMAVPDN组建了安全可靠的无线接入解决方案,该方案将阳光政法查询监督系统分成四个不同的区域:外网(包括移动终端、移动通信网)、移动接入区、安全隔离区和内网;网络部署如图2所示。
该方案中,阳光政法查询监督系统终端通过3G路由器与SGSN之间建立拨号连接,SGSN和GGSN之间是运营商内部承载网GTP隧道,上述两段链路由运营商提供安全保护。GGSN和公安局的防火墙通过APN专线连接,采用透明接入模式的VPN方案,通过GRE隧道保障网络层面的安全。
该组网方案中,运营商不参与管理用户的接入鉴权认证,公安局在安全隔离区配置有网络隔离设备,物理隔开移动接入区和政法信息网,实现对接入用户的鉴权认证管理以及对交换的信息进行内容过滤。
参考文献
在马斯洛人类需求金字塔中,人类需求由低到高依次为:生理需求,安全需求,社交需求,尊重需求,自我实现需求。然而,在万物互联的世界,在信息高速流动的今天,“联接”事实上已经成为人类最基本的需求。在5月25日举行的2014华为网络大会(HNC2014)上,华为战略Marketin总裁徐文伟表示:“今天,联接已经变成人类文明最基本的需求,我们已经无法再没有网络的环境中生存和工作。”这也可以视为华为对未来信息世界的理解。
需求决定商业的本质,科技改变商业的形态。今天,云计算、大数据、物联网、移动互联网创造了全新的商业格局,而华为网络大会以“敏捷已来”作为对时代的应答,帮助人们通过敏捷网络实现敏捷应变,以持续的创新力缔造全联接世界的敏捷商业。华为向外界宣告:“在这个全新的商业版图机遇与挑战瞬息万变,保持优势固然重要,但如果你不能敏捷的应变,可能你就会输掉未来。构建敏捷的商业,以应对未来复杂多变的商业机遇,未来已来。”
“敏捷已来・WeavingTheFuture”――一个全联接的世界,敏捷的商业,敏捷网络,已经到来。对2014华为网络大会的理解,形而上是华为对未来商业的解构和因应,形而下是敏捷网络产品和解决方案的一次集中亮相。事实上,敏捷网络诞生的时间不长,真正与敏捷有关的产品也只有敏捷交换机和敏捷网关两种。但在华为企业网络产品线总裁刘少伟看来,“敏捷”就是华为网络创新的代名词。HNC2014意在向全世界展示华为创新的下一代网络。
敏捷网络是业界首个以业务和用户体验为中心的网络,包含三大敏捷:业务敏捷――业务随行的网络、管理敏捷――感知IP质量的网络、演进敏捷――软件定义的园区网络,为企业带来的改变体现在更好的体验、简单的运维、更快的创新速度三个方面。目前,敏捷网络广泛地应用于政府、金融、医疗、大企业、交通、教育、广电等7大行业,并且已经在全球近200个网络进行商用部署。
在广泛商用的背景下,HNC2014又是一场分享和探讨敏捷网络的实践与未来的大会。所以,围绕“全联接世界、敏捷商业、敏捷网络、创新”等关键词,来自华为、分析师机构和合作伙伴的嘉宾共同探讨了未来网络架构和商业蓝图。这些重量级的嘉宾包括华为战略Marketin总裁徐文伟、华为企业BG总裁阎力大、华为企业网络产品线总裁刘少伟、ForresterResearch研究副总裁BryanWang、巴士在线董事长兼CEO王献蜀、华为CIO苏立清、英特尔通信基础设施事业部全球总经理StevePrice等等。
全联接世界的实相,敏捷商业的实现,敏捷网络的创新,是HNC2014带给人们的价值所在。
联接是敏捷商业的核心
敏捷商业源于联接的变化,一个是关于“物”,一个是关于“务”。与之相应的,敏捷网络改变“物”的联接,而ICT支撑“务”的联接。
网络端点的数量已迎来爆发,今天的移动宽带用户已经超过20亿,物联网数量超过120亿;华为预计,到2025年移动宽带用户将增长到85亿户,物联网数量将增长到1000亿。联接数量在持续增加,换句话说,人类从来没有像今天这样紧密的联接。
徐文伟在《全联接世界的敏捷商业》中讲到,联接已经成为一种全新的常态,就像电力和道路一样,成为现在文明发展极为依赖的基础设施。“联接更会促进人才流、资本流、技术流、物流在一起,打破传统意义上海洋和大陆约束,延伸到各个角落,任何人任何时候,都可以充分调度全球的智慧,敏捷和高效的研究、生产,紧密地联接客户。”
因此,联接成为继土地、劳动力、资本之后新的生产要素,ICT基础设施也由过去的知识系统向生产系统转变。
在技术层面,物的联接是创新的基础。然而阎力大也在《创新力――商业引擎的新动力》中指出,比技术创新更重要的是商业模式的创新,产业颠覆者的创新拥有共同的特征:改变联接。阿里巴巴创造了卖家和买家直接联系的平台,改变了联接的结构;苹果开创了数字音乐产业,让音乐通过网络到达消费者,改变了联接的途径;沃尔玛简化了商品到市场的中间环节,改变了联接的效率。产业颠覆以改变旧有的联接来创造新的商业模式,所以说创新源于改变联接。
变革背后的支撑力量来自于ICT基础架构。阎力大表示:“ICT基础架构一定要适应不断调整的商业模式,以及相应的组织和流程的变化。所以,ICT的基础架构一定应该是敏捷、可靠、可扩展、可管理。华为作为一个ICT基础架构提供商,有信心成为企业商业变革道路上ICT变革的最佳的伙伴。”
今天的商业赢在变革,变革中有新生,也有倒下的身影,在阎力大的报告中,柯达、施乐、诺基亚被树立为典型。他指出,过去十年的财富500强榜单,在前50名当中新上榜公司占据60%的份额,这意味着众多历史上非常辉煌的公司退出历史舞台,而众多新公司崛起成为新的行业领袖。“当商业环境变化的时候,只有那些不断创新、保持活力的公司才能够基业常青。”
敏捷网络加速变革
过去几年,手机从功能到智能,出版从纸版印刷到数字内容,摄影从胶片到数码,技术变革在持续进行。然而变革只是新商业成功的必要条件,真正决定输赢的还是转变的速度。徐文伟指出,成功的企业总是能够率先拥抱趋势,赢得先机。他说:“高速比拼,输赢都在趋势的拐点上。能够赢得拐点上的先机,并不取决于是否拥抱和转变,而是在于你转变的速度有多么快。”
徐文伟介绍了华为面向全球的一项覆盖金融、能源、教育、制造、农业等十多个行业的调查,结果显示ICT在企业转型的过程中发挥了巨大威力,其中,制造业位居首位,物流、石油和天然气、金融等行业紧随其后。“我们欣喜的看到,更多的企业,甚至传统企业,都在纷纷拥抱联接,使用ICT技术,敏捷的把握全联接世界带来的商机。”
“所有的企业都会成为互联网企业,所有的网络都需要敏捷起来,所有的商业都应该立足于敏捷网络,从关注技术和连通转变到关注业务和用户体验,实现从‘尽力而为’到‘尽在掌控’的巨大转变,从而不断开辟创新模式,持续建立差异化竞争优势。在全联接的世界里,让网络更敏捷地为业务服务。”在徐文伟的口中,提供敏捷网络的华为对全联接的世界充满信心。
开放的端到端的敏捷网络架构
华为在HNC2014上展示了一个全面的端到端敏捷网络架构,包含敏捷分支、敏捷园区、敏捷数据中心、敏捷广域四大解决方案,以及其核心――敏捷控制器(AgileController)。其中敏捷园区和广域网方案在去年8月8日推出,刘少伟称之为改变未来的开始,本次大会重点带来敏捷数据中心,敏捷分支,以及敏捷控制器。
敏捷园区的标志着敏捷网络的正式亮相,敏捷带来五大创新:业务随行、质量感知、有线无线深度融合、全网安全协防、SDN。“业务随行”让网络策略的编排、下发和修改可以通过简单几个点击来实现,传统网络需要数月的策略部署,敏捷网络缩短到几个小时完成;“质量感知”解决了过去IP网络质量难以掌控的难题,iPCA技术可以精准地定位网络问题,而且不增加网络开销;“有线无线深度融合”重点体现在“深度”二字,网络虚拟化让管理效率成倍提升,融合也更加彻底;“全网安全协防”通过对网络所有节点的数据、事件、日志等进行汇总,进行大数据分析和可视化呈现,将单点防护能力上升到全网协防;“SDN”主要体现为全可编程,ENP芯片同时支持控制面和转发面可编程,满足SDN平滑演进。
在云计算广泛普及的情况下,数据中心的虚拟化进程在加快,物理和虚拟网络之间的协同影响到数据中心网络效率,与此同时,移动化、物联网的发展给企业分支建设带来新的机遇。因此,华为在HNC2014带来了敏捷数据中心云联接解决方案和敏捷分支解决方案。
敏捷数据中心云联接解决方案针对数据中心的效率、管理和感知问题,利用ICT的云端融合管理,大幅度提升云计算的部署和管理效率,让物理网络和计算存储资源一样,成为云的一部分,网络和计算相互协同、相互可视,让云计算变得简单。
敏捷分支解决方案,将移动分支和物联分支纳入架构,颠覆建设分支的模式,配置自动化实现零本地维护。通过敏捷控制器的集中控制和敏捷网关的虚拟架构,让随时随地的人联和无所不在的物联成为可能。总结起来,敏捷分支带来三个改变:部署敏捷、业务敏捷、运维敏捷。
敏捷网络的核心――敏捷控制器,构建了全网智能策略系统,将网络从以设备和技术、连通为中心,变为以业务、用户和体验为中心,实现上层业务对到物理网络定义、控制和管理的全自动化,无论在分支、园区、数据中心还是广域互联,敏捷控制器都是敏捷网络的业务与控制中心。敏捷控制器解决了过去在物理网络和虚拟网络之间相互不能感知的问题,通过敏捷控制器可以知道物理网络和虚拟网络的拓扑情况,相互可以共同管理,从而实现资源上的优化。
据刘少伟介绍,敏捷分支架构的三个部件,除了敏捷控制器外,还有软件仓库和敏捷网关。敏捷网关针对不同的分支,相当于一个ICT融合环境,和敏捷控制器配合完成建网、业务部署和维护。
华为敏捷网络不仅包含SDN,并且可以解决SDN无法解决的问题――敏捷网络同SDN的关系表现在集中式控制,网络能力开放和网络虚拟化等多个方面,而华为对SDN有自己独特的认知,提出包括全可编程,质量感知,以及平滑演进等华为SDN增强架构的概念。
“SDN不关心质量的感知,它是对整个架构的改变。SDN还是把整个网络作为资源向上开放的过程。”刘少伟强调说。
从本质上看,华为敏捷网络的基础架构由网络设备层和网络控制器组成。网络设备层目前包含四类设备:第一类是传统网络设备,第二类是数据中心运行在服务器当中的虚拟化设备,第三类是敏捷交换机,第四类是敏捷分支。但刘少伟同时指出,目前网络设备的形态在发生改变,系统更加融合、开放,可以运行各种软件,甚至整个ICT融入进去。
华为的网络控制器通过虚拟化技术实现,而且开放API接口,意在与合作伙伴甚至客户一起创作敏捷的产业链。刘少伟说:“华为会做应用,比如说策略控制器。策略是网络的一部分,这部分华为做的放在上面,变成整个园区完整的控制器。这个控制器本身开放,还可以加其他应用进来。我们后面会沿着这个架构会继续往前走。”
敏捷“代表团”
――敏捷交换机、敏捷Wifi、物联网、安全、敏捷交通、智能电网
相信很多人还记得去年敏捷交换机时的盛况,作为敏捷网络的首个代表产品,敏捷交换机以全可编程架构,支持SDN的平滑演进,内置随板AC无线局域网接入控制器,内置统一用户管理,支持iPCA网络包守恒算法等特性赢得了业界的关注。然而,在近一年的时间里,外界对敏捷交换机的认识还停留在表面上,只知其然不知其所以然。在HNC2014大会期间,华为企业业务BG交换机产品总监宋端智有针对性地对敏捷交换机的一些特点进行了深入解读。
iPCA网络质量感知是华为首创的技术,通过在正常流量中写入标识数据,利用网络自身流量去监控网络存在的问题。宋端智解释说:“具体就是在正常的流量里面打上一些标识,到了每一站都进行相应的统计,而不是额外添加一个数据流去监控整个现网的情况。”根据网络本身的流量去检测网络存在的问题,而不是额外添加一个检测的动作,这是华为iPCA技术与其他检测技术最大的区别,其优点是实时感知网络质量,且不会增加网络开销,保证网络性能。
敏捷意味着网络更灵活,客户更快捷。iPCA技术能让客户很容易知道现网任何地方可能存在的问题,并且快速定位,这是敏捷网络整个的核心技术的关键。
敏捷交换机支持SDN的平滑演进,策略的集中管控,灵活快速调整是其另一大特色。在实际应用中,策略同步的速度与网络的规模有一定关系,依赖服务器性能以及网络设备之间的带宽。总之,“让运维变得简单”即是“让网络变得敏捷”,不论是部署、配置还是运维都将智能化、自动化、简单化、人性化。让网络运维像今天的电网一样简单是宋端智内心对敏捷网络的期望。
日前,华为刚刚联合Ixia完成了对敏捷交换机S12700的10G接口的整机FullMeshRFC2544性能测试。测试结果显示,S12700整机线速转发无丢包及最高可达576*10GE的全线速转发能力,是目前国内吞吐量最大及性能最高的园区交换机。除了高端的S12700,华为敏捷交换机还包括S9700、S7700,甚至更低端的S5700。S9700、S7700可以通过新增的ENP板卡升级为敏捷交换机。宋端智表示,今后的一段时间,敏捷交换机将致力于两个方面的工作,一方面是继续丰富敏捷交换机的系列款型,另一方面是依托华为在芯片方面的投入,进一步提升敏捷交换机的能力,把性价比做得更好。
敏捷WiFi
长期以来,无线局域网(WLAN)的应用难题主要集中在两个“高”上:一是高密覆盖,随着智能移动终端的普及,高密度场景已经非常普遍;二是高速移动,基于802.11ac标准的WLAN在移动性和“漫游”上无法与目前的3G/4G电信网络相提并论,而需求方交通工具上基于IP的数据业务越来越多,所需的带宽越来越大,交通运行的速度也越来越快。
华为敏捷WiFi是HNC2014上的一大亮点,不仅带来全新的802.11ac产品,还推出了高密覆盖和高速移动解决方案,包括:室外AP8130DN、室外AP8030DN、轨交AP9130DN、NPEAT815SN和室内AP7030DE,最高密度8万人的密集覆盖,最高速度120KM/H的WiFi解决方案,此外还有业界最长距离10公里WiFi覆盖方案。
据华为企业网络产品线WLAN产品总监付洁介绍,针对高密覆盖,业界还无法实现根本上的突破,目前所能做得是不断地优化。华为高密WiFi的成功之道在于,通过专业的网规工具,保证全场覆盖无死角;通过高密覆盖技术(虚拟管道技术,终端公平时间调度,多用户冲突控制),提升用户性能,降低网络冲突;无线定位技术可实现基于定位的精准营销。华为高密WiFi方案已在全球多个体育场馆得到应用,承载球迷上网和视频业务:在上海F1赛车馆,苏格兰格拉斯哥流浪者体育场,英国雷丁体育场,荷兰阿贾克斯体育场,以及德国多特蒙德体育场,提供最高覆盖8万名球迷的WiFi服务。
敏捷WiFi的另一个重要应用是120KM/H移动WiFi解决方案,利用独有的彻底通信快速切换技术,实现120KM/H+的时速下,车地间链路切换时间
在五大敏捷特性中,有线无线深度融合被重点提出。华为实现在敏捷交换机中应用随板AC技术,带来认证和管理的有线、无线一体化。在功能、界面上把两者之间的界限打破,实现深度融合,为用户带来更好的体验。
物联网
物联网建设在加快,华为基于基础通信和开放的优势,瞄准物联网发展的两个短板――通信与应用。华为企业网络产品线物联网关产品总监李安认为,物是没有智慧的,对通信网络的可靠性和可维护性提出更高的要求,敏捷网络顺应物联网时代的需求,提供可靠的通信保障。华为物联网关产品基于中低端路由器平台向物联网延伸布局,始终坚持围绕通信管道提供业界领先产品的解决方案。
面对物联网应用匮乏的问题,李安指出,其根本原因在于行业大数据的分析、提取价值信息方面还存在短板。华为将持续推进网络标准化和开放性,帮助合作伙伴更好地挖掘数据价值。
安全
信息安全面临的挑战与日俱增,APT、DDoS、安全边界模糊等问题对网络安全服务商提出更大的挑战。华为企业网络产品线副总裁、企业网络防火墙领域总经理刘立柱在HNC2014期间重点介绍了华为在这些领域的应对之策。
对于APT攻击防御,华为的理念是从基础的网络安全做起,从身份认证,到威胁内容的检测分析,再到基于大数据的防护等机制实施融合的解决方案。敏捷网络的全网安全协防,是防御APT攻击的重要组成部分。基于全网安全协防的大数据分析,针对具有渗透性的、长期潜伏的隐患进行持续性的跟踪,监控并区分正常行为和恶意行为。刘立柱表示,“基于这些输入信息,建立可追踪的IP资产库再结合对这些IP资产外发内容的监测和还原,从而实现主动型的信息防泄密,这是我们针对APT攻击的解决方案,也是全网安全协防重要的组成部分。”
华为的Anti-DDoS解决方案早前已经在阿里巴巴和腾讯得到部署和考验。刘立柱认为,大流量的DDoS防护应该基于运营商网络来实现,同时,企业客户在其出口部署更精准更精细化的应用级DDoS防御,两者相互结合形成多层次、多维度的防御体系。另一方面,华为也在推动ICT运营商以及专业MSSP提供基于云的DDoS防护服务。
安全与业务随行,在最接近用户的地方实现防护,以获得最大的安全,这是华为敏捷网络的安全之道。所以,敏捷交换机通过安全业务板设计,使得无论是数据中心内部的虚拟化区域,还是数据中心边界或者模糊边界位置,华为都能在距离用户最近的地方部署安全防御能力。
敏捷交通
交通是关系国计民生的重要领域,华为在交通领域的积累已接近二十年。华为敏捷交通针对目前交通领域面临的安全、绿色环保、科学运营等问题,利用敏捷网络解决过去交通服务中网络架构太“硬”的问题,让安全性、运行效率在敏捷网络的基础上得到提升,让交通服务随需而动,带来更好的体验。
华为EBG中国区交通系统部部长陈斌认为,交通运营主要面临以下几个问题:首先是安全性、可靠性,其次是提升运营效率,打造绿色交通,最后是提升旅客体验。7.23动车事故对整个行业是一个警示,在智能交通方案中要首先考虑安全性。华为从芯片、板件、产品、解决方案、系统以及客户业务方面,都是把安全放在第一位。
华为敏捷网络引入SDN架构,以“软”的网络为交通运营的安全、高效、绿色提供有力支撑。敏捷网络可以通过对交通运营安全设备的感知,通过对最终客户的感知,帮助合作伙伴、运营商提高安全性,提升对旅客的服务水平。
敏捷网络的开放性,帮助华视传媒这样的运营商更好地实现新业务部署。华为不只是提供基础网络的支撑,还通过开放接口和控制器,提供更多的资源。华为企业网络解决方案总经理马达介绍说,“我们后面会建很多的联合实验室、创新实验室,或者叫敏捷实验室。我们希望更多地朋友来加入这个产业链,一起探讨在移动互联网时代怎么给乘客提供创新的应用。这个创新的应用背后,又对网络提供什么样的诉求,一起把这个接口标准化。”
华视传媒移动互联网事业部总经理郑毓明表示,在公共交通领域,敏捷网络将原来很多的“不可能”变成了“可能”,原有商业模式将被新的网络形态颠覆,催生更多的商业模式。“过去我们的商业模式是单向的,现在在这样的网络基础上,可以思考双向的东西。过去的网络是基于(视频)收看的,今天我可以通过这个网络,去搜集很多用户的行为,能够做大数据的分析,是双向的、互动的。除了电视视频业务,可以延展出一系列互联网增值业务,让我们为公交地铁乘客提供电视服务的同时,获得更大的商业利益。”
在轨道交通方面,敏捷网络拥有WiFi和eLTE两个无线通信方案,根据业务级别和内容,两套方案可分工协作。例如,地铁中类似PIS承载、集群调度业务等高安全性、高可靠性的业务可以承载在eLTE上,WLAN的频点释放后,WLAN可能满足旅客上网,图像的传送,大容量低成本的大带宽的无线接入。
智能电网
在HNC2014期间,华为向外界展示了配网自动化解决方案中的iODN光口识别、eOTDR光链路监测、光链路损耗分析等最新PON技术。敏捷网络在电网技术与通信技术相互融合的大趋势下,成为智能电网的建设、运营有力支撑。
关键词:802.1Qbg;VEB(虚拟以太网交换机VirtualEthernetBridging);VEPA(虚拟以太网端口汇聚器VirtualEthernetPortAggregator);Multi-Channel(多通道)
中图分类号:TP308文献标识码:A文章编号:1674-7712(2013)04-0046-02
随着服务器虚拟化和网络虚拟化的日益蓬勃发展,云计算在发展过程中出现了一台物理机上部署虚拟机过多vSwitch占用服务器大量物理资源的问题,虚拟机与外部网络对接、关联和感知不明确不可控的问题。如何解决以上问题,Cisco公司提出了802.1Qbh、802.1BR和VN-Tag技术方案,而HP(H3C)/IBM提出了802.1Qbg的技术解决方案。
一、802.1Qbg技术
数据中心的变革历经了服务器虚拟化、云计算等过程,而相应的交换设备也随之悄然演化着,标准的制定和推出为这一变化指出改革方向,802.1Qbg顺应改革浪潮及时跟进,对数据中心部署云时遇到的难题给出了解决方案。HP(H3C)/IBM对一台物理机上部署虚拟机过多vSwitch占用服务器大量物理资源的问题,虚拟机与外部网络对接、关联和感知不明确不可控的问题,提出尽量将网络功能移植回物理网络,推出了802.1Qbg标准。
802.1Qbg在交换功能上,除了兼容vSwitch原有的VEB模式(VirtualEthernetBridging)模式外,还增加了VEPA(VirtualEthernetPortAggregator)和Multi-Channel工作模式共3种。VEB模式是大家部署虚拟服务器时常见的模式,802.1Qbg兼容这种模式。此种模式下,同一台物理机上同一VLAN的虚拟服务器之间通信是直接经过该服务器内部的vSwitch转发,没有经过外部网络设备。虽然由于vSwitch这一网元数量的增加,可以拓展虚拟化网络规模,但也因为内部虚拟服务器数据交换不可控,QOS和网络安全控制是个难题。
VEPA模式主要是针对之前已部署虚拟化的企业推出的一种解决方案。HP(H3C)/IBM基于IEEE标准,提出在没有增加新的二层标签基础上,只对VMM软件和交换机软件简单升级就可实现VEPA转发功能。此种方案对已部署虚拟化服务器的用户影响较小,二次投入也不多。VEPA方案既可以采用纯软件方式,也可是采用硬件方式实现。经HP实验室测试,该方案报文转发性能比传统vSwitch提升12%或更高。VEPA要求VM服务器交换数据流必须经过外部Bridge,然后再原路返回VM响应服务器,路径的一进一出就为原来意义上的vSwitch减轻了负担,同时可以对相应端口进行Qos、ACL策略配置,IDS/IPS和防火墙等也可以对此端口进行安全管理,不但可控还节约了投资。
Multi-Channel工作模式是802.1Qbg的第三种模式,它是VEPA的一种增强模式。此种模式去除了服务器内部网络功能,而以S-Channel方式将虚拟服务器与外部网络连接起来,通过VDP(VSIDiscoveryProtocol)和CDCP(S-ChannelDiscoveryandConfigurationProtocol)协议报文交换,最终将将虚拟端口(vPort)终结在物理交换机端口上。多通道模式允许VEB、VEPA、DirectorIO同时存在,也允许各种组合方式存在。它将网络端口划分为并行独立的逻辑通道并在逻辑上隔离,通道可按用户要求随意安排成VEB、VEPA或DirectorIO的一种。多通道技术实现了VEB和VEPA共存一机的要求。值得一提的是,该方式需网卡和交换机支持S-TAG和QinQ功能,所以对新部署虚拟化技术的且要求比较多的用户比较适合。
二、802.1Qbg在云数据中心的应用测试
H3C公司作为HP的子公司,在802.1Qbg技术解决方案上做了大量的工作。笔者有幸作为一名测试用户申请试用了H3C的虚拟化数据中心平台。该公司为体验用户搭建了云数据中心的测试平台,VMM软件是基于KVM(IBM虚拟化)核心源代码开发的H3C虚拟化系统,管理软件是iMCCRM管理平台,网络平台是基于40G和100G的H3C12500路由交换为核心,服务器是美国HP制造的多台H3C服务器,并启用了各种后台存储设备。在该试用平台上,厂家利用多种基于802.1Qbg解决方案的技术,给用户提供多种体验环境。测试中,VMM迁移顺畅,业务实时工作不中断;虚拟机部署方便容易;各种网络管理策略可在管理平台上统一制定模板;实时对端口监测,发现异常及时报警。经观察,多通道技术对虚拟化应用支持力度最为强劲不但兼容了原有VEB,还可利用VEPA技术,在交换机上对虚拟服务器网络端口做各种策略,Qos、ACL保障极为便利,端口流镜像、报文统计、安全策略下发管理上极为方便。
数据中心虚拟化目前最大的问题是虚拟机迁移不可控的问题,而HP(H3C)/IBM在VMM迁移(vMotion)这个问题上,找到了一条比较明确的解决方案:即利用iMCCRM管理虚拟机状态,同时对可迁移的资源统一部署,利用802.1Qbg技术制定相应网络迁移策略和路径,做到可控的迁移,明确了VMM迁移的范围和可利用资源。
目前H3CiMC系统能够维护多达数万个虚拟机接入,基于层级化的网络管理模式,未来iMC将可管理虚拟机数量扩展到数十万甚至数百万,做到跨三层大范围的自动化配置与迁移,而这一切的实现都离不开802.1Qbg技术对数据中心虚拟化的贡献。
本人在测试中,感觉802.1Qbg对KVM、VMware支持力度很大,而对Microsoft的HyperV3支持力度偏弱。如果厂家能及时跟进,加大与HyperV可扩展交换机技术的融合,开发相应的扩展程序包或硬件,将会是个不错的选择。毕竟微软的用户是众多的,而Cisco、NEC和Inmon也都为此开发了相关扩展包组件或硬件。
三、结束语
802.1Qbg解决方案将服务器虚拟交换机功能大部分或完全移植回物理网络,提升了服务器性能,明晰了网络与服务器的界限,增强了虚拟服务器与网络数据交换的可控性和安全性,降低了对安全设备重复投资的要求。802.1Qbg该技术和Cisco的VN-TAG如果互相借鉴的话,将会更有利于数据中心虚拟化的发展,EVB标准将会更加融合和发展。
参考文献:
[1]李存军.数据中心云接入技术比较[J].计算机光盘软件与应用,2012,23.
[2]H3CEVB技术体系介绍[J].IP领航,2012,6.
[3]H3CEVB数据中心应用模型[J].IP领航,2012,6.
[4]钱景辉.数据中心在云计算需求下的技术分析[J].现代计算机,2012,07.
[5]姜建伟.企业数据中心网络虚拟化环境中边界感知安全技术和应用[J].计算机应用与软件.
[6]吴晨,朱志祥,胡清俊.一种云数据中心虚拟交换的解决方案[J].西安邮电学院学报,2011,9,16,5.
[7]梁凯鹏.基于VEPA的云计算数据中心的设计与实现[J].广东通信技术,2011,09.
[8]ShehzadMerchantVEPA:虚拟交换解决之道[J].网络世界,2011,1,17第028版.
[9]李晨,许辉阳.云计算数据中心组网技术研究[J].电信网技术,2012,6,6.
目前所在地:广州民族:汉族
婚姻状况:未婚年龄:29岁
应聘职位:系统集成工程师:技术主管
工作年限:6
求职类型:全职可到职日期:两个星期
月薪要求:面议希望工作地区:广州
个人工作经历:
2005/05--至今:广州新蓝电脑科技有限公司
所属行业:计算机服务(系统、数据服务,维修)
技术部总经理助理
1.对公司所有电脑及网络进行维护;
2.配合Business、Sales对Server(如dell,HP、IBM),storage(Dell、HP、IBM、Nstor)、Network(Cisco、3com、网件),firewall(Watchguard、Netscreen、中网),backupsoftware(Veritas、CA)等进行零售采购;
3.配合Sales对项目进行跟踪,撰写公司资料,技术方案,如:综合布线、网络设计、网络安全、数据备份、服务器整合方案,双机,NAS、SAN存储方案、及施工方案;
4.电话解决客户问题及上门为客户解决问题;协调售后客户关系;
5.客户反馈,客户跟踪;制度客户反馈表格,考核部门员工.制订公司客户管理制度;商务与销售的协调,主持公司每周的周例会;
6.为公司寻找开源CRM软件、测试,实施,安装调试CRM系统及培训。
7.为公司推广电话销售业务。实施、时间规划、实行。
8.策划和培训公司员工对IT方面的技术。
2004/04--2005/05:广东思博泛亚信息科技有限公司
所属行业:计算机软件
技术部门售前系统工程师
1.对公司所有电脑及网络进行维护,如网络设备、防火墙、VPN、服务器,如:DataServe、报销系统、等等设备的维护。
2.配合Business、Sales对Server(如HP、IBM),storage(HP、IBM、Nstor)、Network(Cisco、3com、D_link),firewall(Watchguard、Netscreen、),backupsoftware(Veritas、CA)等进行零售采购。
3.配合Sales对项目进行跟踪,撰写技术方案,如:综合布线、网络设计、网络安全、数据备份、服务器整合方案,双机,NAS、SAN存储方案、及施工方案。
4.电话解决客户问题及上门为客户解决问题。
所属行业:计算机软件
系统部门系统工程师
1.撰写信息安全的技术方案;
2.撰写智能技术方案;
3.NC解决方案;
4.NC的测试、安装、调试报告表格及产品手册;
5.企业事业部宣传手册。
职责有:对NC、服务器、存储、防火墙、监控、公共广播的解决方案。
所属行业:通信/电信/网络设备
售前部门系统工程师
1.撰写技术方案;
2.用户售前咨询;
3.测试WBT系列产品;
4.安装配置WINDOWS终端服务器;
5.安装,配置,维护HP、IBMPCSERVER;
6.为顾客演示,讲解WBT。
教育背景
毕业院校:湖南理工大学
最高学历:大本毕业日期:2002-07-01
所学专业一:计算机应用所学专业二:会计
产品介绍如:(无线路由器、无线AP、无线网卡、交换机、防火墙VPN.)网络基础;方案分析;设备安装配置。
2005/02--2005/02广州Apple办事处Xsan
对Xsan产品的体系结构、性能、安装配置介绍;案例方案的介绍。
2004/08--2004/09Watchguard公司培训Watchguard防火墙
Watchguard的安装配置;VPN设置等等。
2004/04--2004/04美国网件公司美国网件公司
对网件公司产品的配置如:VPN,无线网卡,宽带路由器,防火器安装配置等等.
2002/08--2002/12MCSE微软系统工程师
99-2002湖南工程学院大学
语言能力
外语:英语良好
国语水平:优秀粤语水平:一般
工作能力及其他专长
来广州几年中不断完善自己,从一个技术员—系统工程师——售前工程师。对IT技术方面的综合性的了解,现在踏上管理方面的发展,担任多面手的角色。
详细个人描述
本人在生活、工作上,我始终保持着积极、乐观、向上的态度。并具有良好的与人协作沟通的能力。具有较高的技术水平和丰富的协调管理经验。适合从事IT领域售前售后技术支持领导工作。愿从事销售方面发展。
个人联系方式
革命性的技术演进
飞思卡尔PowerQUICCⅢ一体化通信处理器可在以PowerArchitecture技术构建的可扩展e500片上系统(SoC)平台的基础上,提供对称和不对称多核系统解决方案,使处理器能够同时运行多操作系统,比如实时操作系统和Linux操作系统,还可以提供双核千兆赫以上的通信处理性能,以及高级内容处理和安全功能。
MPC8572系列处理器可提供1.2~1.5GH2的时钟速度。它采用两个功能强大的处理器内核、增强型设备和高速互连技术,对处理器性能和I/O系统吞吐量进行平衡。这些处理器还包含1个应用加速块,它集成了4个功能强大的引擎:一个查找表单元(TLU),可以降低复杂表搜索和报头检测的负荷;一个模式匹配引擎(PME),用于处理正则表达式(reg-ex)匹配;一个压缩存储空间引擎,用于管理文件解压;为虚拟专用网络加速IPSec和SL/TLS密码操作的安全引擎。
由于采用了飞思卡尔的绝缘体上硅芯片技术(SOI),MPC8572能够提供更高的性能和更低的功耗。MPC8572处理器大大提高了性能,代表了PowerQUICC系列不断创新的先进水平。通过进行无损失集成,MPC8572平台构建在PowerArchitecture技术的嵌入式核心性能之上,增加了新的功能,增强了流量管理和安全加速,如图1所示。
通过支持MPC8572上的高速接口,可实现与数据平面的网络处理器和,或ASIC的可扩展连接,同时,MPC8572平台能够处理复杂、计算要求苛刻的控制平面处理任务。此外,这些处理器还包括下一代双倍数据速率(DDR2/DDR3)内存控制器、增强型吉比特以太网支持、双倍精度浮点和具有最新高级加密标准(AES)功能的一体化安全引擎。
能为多个H标应用提供多种功能
MPC8572系列处理器具有的强大功能集和高级集成为仅需要以太网或RapidIO互联的应用提供了最佳通信处理解决方案。下一代体系结构还能满足无线基础架构设备(如无线节点控制器和WiMAX基站)对计算要求苛刻的处理需求。高性能和经济高效的MPC8572系列处理器的目标是广泛的成像和通用嵌入式控制应用,例如机器人技术、离散制造和流程制造控制。RapidIO序列交换接口的片上支持非常适用于连接高性能分布式系统中的MPC8572处理器和设备,实例包括控制平面处理、协议处理和其它需要高速、对等通信和低针脚数的计算密集型应用。RapidIO生态系统由50多个成员组成,包括业界领先的嵌入式厂商,他们能提供主机处理器、DP、通信处理器、底板界面、交换机、系统、工具、操作系统和服务。
MPC8572主要特征
2个高性能的增强型e500内核:
与纠错编码(ErrorCheckingandCorrect-ing)共享1MB的L2高速缓存;
较高的内部处理带宽。
4个集成的以太网控制器(增强型TSEC),带IEEE1588支持和无损流控制。
2个集成的DDR2/DDR3内存控制器。
1个带MII/(混合)的10/100快速以太网控制器(FEC)。
灵活高速的互连接口:
SerialRapidIO互连技术;
PCIExpress。
广泛的合作伙伴生态系统
飞思卡尔的安全和通信处理解决方案得到了广泛的第三方合作伙伴生态系统(包括网络安全领域的专家)的支持。依托这个广泛且不断发展的生态系统,原始设备制造商(OEM)能够加快产品上市速度,降低开发成本。飞思卡尔已经与Kaspersky实验室及其StreamAV部门结成合作关系,开发飞思卡尔技术构件的原型,以优化反病毒解决方案及其他需要密集内容处理的网络设备。
【关键词】校园网网络安全解决方案
1安全现状
校园网是学校基础设施,用于教学、科研、管理和对外交流等。校园网的安全情况有学校工作起至关重要的作用,其安全与否直接影响学生工作的质量高低。校园网建设之初,学校对这一块的重视力度不大,随着科技发展和教学办公的信息化,校园网受到的网络攻击变多,校园网安全问题也开始多样,加上学校安全意识和管理方面的原因,校园网的事故不断发生,安全受到极大的威胁。随着学校的发展和对网络管理的重视,科技促使校园网规模扩大,复杂性也在增加,学校网络用户对校园网的性能要求在提升,网络安全已经成为校园网发展建设的关键任务。
2关键技术
2.1防火墙技术
校园网安全问题,需要设置一个高级访问控制设备,以此组成防火墙系统,将其部署在几个不同的网络当中,内外网络信息必须从这个系统经过,因此可以利用防火墙拦截不安全信息,并对想要进入校园网的信息进行访问控制,保证校园网络的安全。
2.2VPN技术
VPN指虚拟专用网络,是在建立私有和安全的通道,建立起自身网络和远程用户的安全连接。VPN是W络不断扩展中一个完整的组成部分,在网络元素不断扩展的时代,VPN技术能够保证校园网的安全性。利用VPN技术给两个或多个网络连接提供一条加密的隧道。这样,利用校园网这个共有网络传输的通信是隐藏的,保证安全性。
2.3入侵检测技术
入侵检测技术也是一项安全技术,主要是网络边界的防护,虽然防火墙在安全方面有着重要作用。它部署在网络的各个关键点,但从安全技术和理论上看,防火墙是不能够避免入侵行为的。在这种形势下,利用入侵检测技术十分必要,检测防火墙在防护中遗漏的入侵行为,发现网络出现安全问题的原因,提高校园网的整体安全性。
2.4设备冗余
校园网是一个比较公开,并且多种类型用户的网络系统,系统故障很常见,这时就需要利用冗余设备,以此来减少系统故障时间,保证校园网系统的可靠性。冗余是重要组成部分,和其他安全技术和措施不同,它不能直接缓解网络攻击和处理漏洞问题,但如果没有部署冗余设计,其他的安全技术和措施是不能发挥作用的,不能防范和抵御已知和未知的威胁和攻击,也不能够保证系统的安全。因而,在合适的位置部署冗余设计,是校园网安全的重要措施之一。设置冗余设备,保证其他技术的正常工作,使校园网更加安全、可靠和稳定,同时也能够为保护机制的建立争取时间。
3安全措施
校园网安全问题是当前重要的一个问题,采取有效措施进行病毒和不良信息的入侵,能够保证学校网络环境的安全。
3.1虚拟隔离
对于校园网内部环境的安全,应该利用VLAM技术进行虚拟隔离,给不同的区域不同的安全隔离,使不同等级的网络划分开,即使病毒进入一个区域,也不能任意妄为,扩散到其他区域,导致全网络的瘫痪。
3.2病毒查杀
校园网的安全问题,病毒查杀是重要解决措施,在网络中安装防毒软件,能够过滤和查杀网络中可能存在的病毒,保证网络数据安全,同时也加强互联网连入业务的监控管理。
4解决方案
校园使用用户多,不同用户需求不同,因而要制定相应措施,缓解网络攻击。
4.1工作人员
校园网使用中,由于用户很多,所以要对使用者提出要求。本系统和公共系统以及业务处理系统的服务器都可以进行访问。但设计到部门的资源,特别是安全实施方案,不允许其他部门的用户进行访问,所以需要系统服务器、公共系统服务器和业务处理的路由都加入自身网络。
4.2内部服务器
对于系统内部服务器要提出要求,允许服务器通用,允许其他部门用户访问,但不能够访问服务器安全实施方案,部门内部的服务器要由自身管理,在连接校园网后,要加强服务器安全管理,统一给学校网络中心管理。
4.3公共服务器网段
公共服务器网段是开放的,将公共服务器的路由分发给允许访问的用户,在这个过程中,要注意的是个别部门对公共服务器的攻击,进而控制公共服务器,达到访问其他网络的行为。
5管理方案
校园网具有自身独特的特点,以前,“外部网络是”网络安全建设的核心,现在转成了“内部网络”。其内部建设面临挑战,所以加强校园网安全管理十分重要。怎样应对内部网络安全威胁,不仅是已知威胁,还有未知威胁,组织攻击手段在内网中的运行,保证校园网的安全。
5.1终端管理
校园网的威胁,多来自学生。所以,校园网要利用终端管理是保证网络安全。利用内网介入控制,对上网行为进行检测,实现对外接或移动存储空间的监控,利用身份认证技术,保证检测到具体个人。
5.2用户管理
校园网安全管理中,应该制定管理制度和技术措施等,在制度中明确校园网用过的责任和义务,以此提供他们在使用网络时的安全意识,这样也能够在校园网安全事故发生时,及时有效的做出处理。学生在使用校园网时,可以根据自身情况签订入网协议,这样才能使学生用户了解学生的网络安全管理制度,对他们的用网行为起制约作用。另外,还需要对校园网安全管理者进行专业技能培训,使他们能够有能力应对校园网安全问题。
6结语
校园网安全是学校教学和办公的保证,目前很多学校网络环境还没有得到很快完善,在网络安全上还存在一定缺陷,学校要采取各种措施和安全保护技术,例如病毒隔离技术、防火墙技术和VPN技术等等,从管理和技术上解决校园网安全问题,致力于给学校提供一个良好的网络环境。
参考文献
[1]林玉梅.高校校园网络安全防护方案的设计与实施[D].华侨大学,2015(04).
[2]李春晓.校园网网络技术安全技术及解决方案分析[J].电子测试,2013(09).
[3]张俊芳.高校校园网升级改造方案的设计与实现[D].华南理工大学,2014(06).
关键词:档案网络管理安全总结
(一)档案网络管理发展的意义
档案网络管理的发展对于管理我国档案有着重要的意义,主要表现在以下几个方面――
1.1有助于推动我国档案管理的规范化发展
档案网络管理的发展有助于推动我国档案管理的规范化发展。在档案网络管理的过程中,会不断解决网络管理中存在的问题,不断推动我国档案网络安全管理的规范化发展。
1.2有助于推动我国档案网络管理制度的完善
档案网络管理的发展有助于推动我国档案网络管理制度的完善。由于我国网络档案管理发展的历史比较短,管理经验尚不完善。在这种情况下,加强对档案网络管理的发展在一定程度上推动了我国档案网络管理制度。
(二)档案网络安全管理在发展中遇到的问题
档案网络安全管理在发展中存在着一定的问题,主要表现在以下几个方面――
2.1缺乏档案网络安全管理意识
我国档案管理人员在进行档案网络管理中缺乏安全管理意识。由于对档案网络安全的防护意识不高,在网络档案管理中,很容易出现档案丢失、多次复印扫描与输出对纸质档案原件造成的损坏等各方面的问题。这些问题在很大程度上妨碍了我国档案网络工作的顺利进行。同时这种档案网络安全意识的匮乏也给档案的安全保管带来威胁。
2.2档案网络信息更新不及时
档案网络信息更新不及时是目前很多档案网络管理中存在的普遍问题。随着信息时代的不断发展,计算机系统不断更新,为档案的网络管理提供了很大的方便,但是也存在着一定的问题。举一个简单的例子,2009年北方某国有企业由于没有定期做计算机软、硬件等方面的检测,防入侵检测技术和防病毒技术由于没有及时检测而导致出现了部分问题,使得该企业的档案网络资料被黑客攻击,给档案管理的工作造成了一定的障碍。
(三)解决措施
为了更好地发展档案网络,针对上述提到的问题,提出相应的解决措施,具体表现在以下几个方面――
3.1树立档案网络安全管理意识
企业档案管理人员要树立档案网络安全管理意识。任何企业都要将档案保护意识灌输到企业的工作人员,从本质上让档案管理工作人员树立依法治档意识和档案保护意识,只有这样才能确保我国档案网络管理工作的开展。
3.2及时更新网络档案信息
及时更新网络档案信息可以有效地避免网络档案管理出现问题。对计算机系统不断检测监督可以随时发现问题并解决问题。同时当档案的人事出现调动的时候,档案管理人员要及时更新该工作人员的信息,只有这样才能推动我国档案网络管理制度的完善发展。
参考文献:
【关键词】网络安全;防火墙;网络系统
信息技术的使用给人们生活、工作的方方面面带来了数不尽的便捷和好处。然而,计算机信息技术也和其他科学技术一样是一把双刃剑。当大多数人们使用信息技术提高工作效率,为社会创造更多财富的同时,另外一些人利用信息技术却做着相反的事情。他们非法侵入他人的计算机系统窃取机密信息,篡改和破坏数据,给社会造成难以估量的巨大损失。
1.计算机网络安全
网络安全从其本质上来讲就是网络上的信息安全,是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统可连续、可靠、正常地运行,网络服务不中断。
1.1密码学
密码学是一种以秘密的方式编码信息,使只有特定的接收者才可以访问被编码的信息的方法。安全机制常常得益于密码学的应用,如基于网络的用户登录协议。不过,它们也并不是必须依赖于密码学的应用,例如Unix系统中对文件的访问控制。反过来,密码学也依赖于系统的安全性。密码算法常常用软件或硬件实现,它们能否正常运作关键取决于是否有一个安全的系统。比如,如果系统缺乏访问控制的安全性,攻击者可以修改密码系统的软件算法。可见,安全性的缺乏会直接影响密码术的效用。
1.2危险和防护
计算机危险或攻击通常分为三类:秘密攻击、完备性攻击、可得性攻击。这三类攻击是息息相关的。也就是说,某一类攻击的技术和后果经常作为另一类攻击的辅助手段。比如:一个攻击者通过秘密攻击获知口令,这样就有权访问这个系统,然后修改系统资源,最终完成拒绝服务攻击。当遭受攻击时,系统会出错,但大多数系统由于缺乏安全机制仍认为是安全的。同样地,这些攻击的防护机制之间也是紧密相关的。一般来讲,防护有一种或多种目的:防止攻击,检测是否遭受攻击或恢复系统。所以说,一种防护机制并不是万能的。
1.3防护
由于有许多潜在的薄弱环节和无穷尽的攻击,而每一种攻击又可能包含多种攻击技术,所以确保整个系统的安全很困难。由于系统的安全性是由它的最薄弱环节决定,因此,安全范围必须是整个系统性的。在构筑更为有用的防护方面,防火墙(FireWall)扮演了一个重要角色。但是,防火墙也存在一些不足之处:第一,防火墙不能滤除和阻止所有的网络灾难。像HTTP协议这样的信息可以巧妙地通过防火墙。通常,防火墙与移动代码作用是相反的。其次,防火墙目前已经成为大企业通信的瓶颈。
1.4安全模型
安全模型(SecurityModel)是人们对访问被保护数据加以控制的方法的一种抽象。像防火墙一样,安全模型也有多种形式和尺寸,对于不同的应用程序和应用环境,安全模型的要求有很大不同。安全模型用途很广,如驱动和分析计算机系统的设计或形成系统操作的基础,但是它在使用中会产生许多有趣的问题,对这些安全问题目前已有一定程度的研究。
2.网络系统安全的解决方案
网络系统涉及整个网络操作系统和网络硬件平台的安全性。对于现在流行的Microsoft的Windows操作系统或者其它任何商用UNIX操作系统,目前没有绝对安全的操作系统可以选择,可选的系统范围很小,但是这些操作系统带给我们的方便快捷、应用平台等好处我们已经不能缺少,毕竟从头开发一套安全的操作系统也不太现实,因此我们应该做的就是,紧密关注操作系统厂家的安全更新和安全建议,提高自己的安全意识,积极主动地解决系统中出现的安全问题。
2.1入侵检测技术
利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低了网络安全风险。但是,仅仅使用防火墙,网络安全还远远不够:入侵者可寻找防火墙背后可能敞开的后门;入侵者可能就在防火墙内;由于性能的限制,防火墙通常不能提供实时的入侵检测能力。入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测
及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。实时入侵检测能力之所以重要,首先它能够对付来自内部网络的攻击,其次它能够缩短hacker入侵造成危害的时间。
入侵检测系统可分为两类:基于主机、基于网络。基于主机的入侵检测系统用于保护关键应用的服务器,实时监视可疑的连接、系统日志检查、非法访问的闯入等,并且提供对典型应用的监视如Web服务器应用。基于主机及网络的入侵监控系统通常均可配置为分布式模式:在需要监视的服务器上安装监视模块(agent),分别向管理服务器报告及上传证据,提供跨平台的入侵监视解决方案。在需要监视的网络路径上,放置监视模块(sensor),分别向管理服务器报告及上传证据,提供跨网的入侵监视解决方案。
2.2安全扫描技术
网络安全技术中,另一类重要技术为安全扫描技术。安全扫描技术与防火墙、安全监控系统互相配合能够提供很高安全性的网络。安全扫描工具源于Hacker在入侵网络系统时采用的工具。商品化的安全扫描工具为网络安全漏洞的发现提供了强大的支持。安全扫描工具通常也分为基于服务器和基于网络的扫描器。基于服务器的扫描器主要扫描服务器相关的安全漏洞,如password文件,目录和文件权限,共享文件系统,敏感服务,软件,系统漏洞等,并给出相应的解决办法建议。通常与相应的服务器操作系统紧密相关。基于网络的安全扫描器主要扫描设定网络内的服务器、路由器、网桥、交换机、访问服务器、防火墙等设备的安全漏洞,并可设定模拟攻击,以测试系统的防御能力。
2.3伪装技术
伪装技术是近年新发展出来的技术。使用伪装技术,网络管理员能够以极低的成本构造出一套虚拟的网络和服务,并且,故意留出漏洞,并实时观察、记录入侵者的来源、操作手法。伪装技术可以帮助管理员查询入侵者,并保留入侵证据。其次,通过了解入侵者的入侵方法,完善真正的系统的保护手段。
2.4网络安全扫描
网络系统中采用网络安全扫描的网络扫描器,对网络设备进行自动的安全漏洞检测和分析,并且在执行过程中支持基于策略的安全风险管理过程。另外,执行预定的或事件驱动的网络探测,包括对网络通信服务、操作系统、路由器、电子邮件、Web服务器、防火墙和应用程序的检测,从而识别能被入侵者利用来非法进入网络的漏洞。系统能够给出检测到的漏洞信息,包括位置、详细描述和建议的改进方案。这种策略允许管理员侦测和管理安全风险信息,并跟随开放的网络应用和迅速增长的网络规模而相应地改变。
3.结束语
随着网络经济和网络社会时代的到来,网络将会进入一个无处不有、无所不用的境地。经济、文化、军事和社会活动将会强烈地依赖网络,作为重要基础设施的网络的安全性和可靠性将成为社会各界共同关注的焦点。
参考文献
下一篇:给老公一封信(精选2篇)
热门推荐