购物车(0)
数据中心机房方案模板(10篇)
时间:2022-04-20 15:03:36
导言:作为写作爱好者,不可错过为您精心挑选的10篇数据中心机房方案,它们将为您的写作提供全新的视角,我们衷心期待您的阅读,并希望这些内容能为您提供灵感和参考。
篇1
一、概述
随着社会电子信息化程度的提高,企业的业务和管理朝着电子化和网络化的方向快速发展,在这种背景下,通信运营商的IDC业务得到了迅速的发展。随着电子信息及制造技术的飞速提升,数据中心机房的设备密集度大大提高,耗电巨大,发热量更加集中,机房局部过热现象增多,机房内单位面积空调冷负荷急剧增加,由此引来的主设备运行故障和能耗逐年上升,甚至成为了制约通信业务发展的一大瓶颈。同时,具有重要战略地位及发展潜力数据中心作为通信行业高能耗的代表也成为了大家关注的焦点,国内外各大运营商及相关研究机构都陆续开展了一系列数据中心节能试点改造,取得了良好效果。
本文主要从电源(包括电力输配系统、交直流不间断电源等)和空调(包括制冷机房、空调末端系统等)两大方面对数据中心能耗现状及问题进行梳理,结合某运营商数据中心建设及改造案例,对数据中心机房提出系统的节能方案建议。
二、数据中心能耗现状
国内某运营商的调研数据显示:数据中心能耗呈逐年上升趋势,2009年比2008年增长了约20%左右,到2010年底,数据中心占该运营商全国网络运营总能耗的比例达到了13%(见图1),特别是在一些IDC业务发展较好的大城市,该比例远远超出了全国平均水平,比如:上海市2010年数据中心能耗占比超过了25%,北京市则达到了50%以上。
图2-1 某运营商2010年网络运营能耗结构
从机楼的角度来看,数据中心能耗主要由三个部分构成:数据通信设备、空调(制冷机房、空调末端系统)及电源(电力输配系统、交直流不间断电源),其能耗占比情况见图2。
图2-2 数据中心能耗构成
(数据来源:劳伦斯伯克利国家实验室)
上述数据显示,数据通信设备的能耗占比最大。但某种程度上来说,主设备的节能环节是运营商无法真正掌握的。因此,运营商在尽量采购节能减排主产品的同时,需不断加大力度,开展对数据中心空调及电源系统的节能建设及技术改造,以期实现节能降耗。
三、数据中心电源系统节能研究
一般来说,数据中心电源系统包括:外电引入、变压器、发电机、电动机、交流不间断电源系统、直流不间断电源系统、照明系统及输配电线路等。由于数据中心功率密度的提高,所消耗的电功率增加,在电力各环节能量损耗亦随之增大,因此,电源系统各环节均需采取节能措施。
一)、外电引入、变压器、发电机及电动机系统节能研究
数据中心外电、变压器、发电机及电动机等环节的现状、问题及节能建议见下表:
外电引入 变压器及发电机 电动机
现状及问题 目前数据中心所在机楼的外电引入多采用两回路互为备用的10kV专线。相比更高电压等级的外电引入,外电容量受到限制,线路损耗难以降低。 目前,不少机楼的变压器实际使用负荷率较低,实际用电量与设计规划用电量存在较大差距。 数据中心的电动机类负载主要是风机和水泵,且多为Y系列,其效能较新型YX2系列电动机低;电动机未采用变频调速等节能措施。
技术发展趋势及建议 发展趋势:1.20kV电压已列入国家标准电压。2.已经具备全方位的成熟产品,包括20/0.38kV变压器及相应电压等级的电缆。3.相比10kV供电系统,20kV系统在相同导线截面条件下,增加了近一倍供电能力;相同供电容量的前提下,降低电网损耗达75%,并节省外线建设投资约40%。当前,国内外电气行业在确定供电电压等级均以节能为导向的趋势,因此,如条件许可,建议采用20kV或更高等级的外电供电。 1.用电负荷合理分类及精细计算,应科学的考虑设备运行的需用系数和同时系数,合理配置变压器及应急发电机组容量,降低设备的初期投资及运行损耗。2.应根据实际情况灵活配置变压器,变压器采用2N配置时,每台变压器负荷率不大于50%;变压器采用N配置时,每台变压器负荷率不大于70%;变压器应采用D,yn11接线方式。3.选用低损耗、节能环保、具有抗谐波能力及较高过载能力的变压器产品;选用具有较高过载能力及较强带非线性负载的能力的产品,选用具有一定抗谐波能力的发电机组。4.供电距离长及功率较大,有并机运行需求时,宜采用10kV高压柴油发电机。5.通过加强谐波治理,提高变压器及发电机的有效容量。 发展趋势:1.660V电压已列入国家标准电压。2.10/0.66kV变压器、660V电动机、660V电缆、母线及开关等相关产品的标准化生产。3.变频控制技术发展成熟及广泛应用。建议:1.采用高效率新一代的节能电机YX2系列;采取电动机变频调速等节能措施。2.提高电动机供电电压等级: (1)较大容量的电动机(如:耗电较大的水泵、空调冷水机组以及空调末端风柜),建议采用660V电压供电。 (2)大容量的电动机,单台大于550kW的电动机(含电制冷机组),应当采用10kV(6kV)电源供电;单台大于350kW的电动机(含电制冷机组),宜采用10kV(6kV)电源供电。
某运营商案例 某运营商某省的IDC数据中心工程采用两路20KV专线电源,正常供电时,两段母线分段运行,两路电源同时供电,运行效果良好。 某运营商某数据中心对部分较大容量的电动机(约30多台空调主机、水泵等)采用660V供电,总功率达2500kW。
优点如下:大量节省配电开关及配电导线的投资;线路损耗仅为380V电压供电的33%,节能效果明显。该数据中心对数台大容量电动机(单台达1000kW以上的冷水机组)采用10kV高压供电。优点如下:减少了低压冷水机组所需的10/0.4kV变压器以及大容量的低压配电开关及控制设备;节省占地面积及一次性投资;减少年运行损耗,节能效果明显。
表3-1数据中心外电引入、变压器、发电机及电动机系统节能研究
二)、照明系统及输配电线路节能研究
数据中心照明及输配电线路环节的现状、问题及节能建议见下表:
照明 输配电线路
现状及问题 多数数据中心长期开启全部灯具,部分机房照度偏高;多采用T8荧光灯,效率不高;灯具开关缺乏智能控制。 目前多数在用的数据中心机楼的高低压配电房及发电机房、电力电池室等远离数据主设备及空调等负荷中心区域,输配电线路长,线路损耗较大。
建议 1.推广使用高效光源:优选细管荧光灯和紧凑型荧光灯,积极推广高压钠灯和金属卤化物灯。2.设置合理的照度,照度要求较高的场所采用混合照明。3.采取智能、合理的照明控制方案。 1.为减少投资并降低线路运行损耗:高低压配电室、变压器室、电力电池室等应采用贴近用电负荷的布局,以缩短输配电线路的距离;发电机房、低压配电房与电力电池室应尽量靠近,减少配电级数并缩短配电线路;楼层高的机房应分层安装变压器,面积大的机房应在中心位置设置变压器,以减少输配电线路长度。2.选用低损耗的新型输配电母线及电缆。
表3-2 数据中心照明及输配电线路节能研究
三)、交、直流不间断电源系统节能研究
1. 传统交流不间断电源(塔式UPS)系统应用现状
当前,数据中心主设备一般要求交流电源输入,多采用传统的交流UPS系统供电模式,即:UPS系统将交流市电整流逆变后,为数据主设备提供220/380V的交流不间断电源。其应用现状总结如下:
(1)传统UPS系统多采用N+1配置,等级较高的数据中心机房采用2(N+1)配置。
(2).部分在网的早期UPS主机采用6脉冲整流,近年来基本都采用12脉冲整流。
(3)为了限制UPS系统产生的谐波,部分UPS系统配置了有源滤波器。
(4)蓄电池后备时间大多按单机满载30分钟配置,有的数据中心配置达到了单机满载1小时。
2. 传统交流不间断电源系统存在的问题
随着数据中心高能耗问题的凸显以及对设备运行可靠性要求的不断提高,传统交流UPS供电模式存在以下一些不足:
(1)采用了冗余并机技术,无论是N+1还是2(N+1)系统,在正常运行时,UPS主机的负载率均较低,再考虑到系统配置容量较实际偏大,使得系统的负载率更低,未在最佳效率点附近运行,系统损耗较大。
传统UPS系统的负载率与效率的大致关系见下图:
图3-1 负载率与效率关系图
经调查,很多大型数据中心机房的UPS系统单机负载率一般在10%至30%之间,大多数只有20%左右,在发展过程中的数据中心机房UPS单机负载率甚至更低,单机负载率10%不到的也占很大部分。
(2)目前仍有采用6脉冲整流的UPS在网运行,且没有采取相应的谐波处理措施,导致系统额外附加功率损耗大。部分UPS系统虽然配置了谐波过滤器用于谐波治理,但治理后实际运行情况没有进行相应跟踪,治理效果无法保证。
(3)交流UPS系统的后备蓄电池需经过UPS逆变后才能供给负载,一旦UPS本身出故障,仍会造成负载停电。
3.数据中心不间断电源系统发展趋势
(1)模块化交流不间断电源系统
为解决传统UPS系统由于负载率低导致的系统低效率及难以实现按需扩容等问题,“模块化”的概念被引入了交流UPS设计生产领域,出现了模块化交流UPS系统。一般来说,模块化UPS系统由机架、UPS功率模块、静态开关模块、显示通信模块以及电池组构成,系统组成模式与直流供电系统相似,可以方便实现N+X冗余,可根据实际负载量来配置合理的电源容量,其系统效率及供电可靠性相比传统UPS系统都得到了提升。
(2)高压直流不间断电源系统
直流供电方式早已得到了长期的、大规模的使用及验证,该方式将交流市电整流后与蓄电池并联,直接为通信设备提供直流电源,大大提高了供电可靠性和工作效率,谐波小,可以很方便的实现按需扩容。传统的直流供电系统的电压等级一般为-48V,大功耗的数据中心设备若采用-48V的供电电压,会使得配电线路的损耗大大增加,因此需要提高直流供电的电压等级,于是出现了“高压直流供电方式”。与传统交流UPS系统比较,高压直流供电系统的效率更高,系统损耗明显降低。一般来说,直流电源模块的效率一般都在93%以上,即使模块使用率在40%,效率也可以达到92%,而UPS系统的实际满载效率一般仅为85%以上,不超过90%。同时,高压直流供电系统还大大提高了不间断供电系统的可靠性。
4.建议
(1)优先考虑在新建以及改造使用年限长、耗电量大、故障率高的传统交流UPS系统的数据中心采用高压直流供电系统或模块化UPS系统。
(2)加强谐波治理。
5.某运营商案例
2010年某运营商先后在5个省建设了约23套高压直流系统,用以取代传统的UPS供电系统,建设规模及平均节电率情况见下表:
省份 系统数量(套) 相比传统UPS系统的平均节电率(%)
A 7 20%
B 2 15%
C 6 22%
D 4 12%(普通机房)
3 37%(数据中心)
E 1 29%
小结 23 22%
表3-3 某运营商高压直流系统建设情况
四、数据中心空调系统节能研究
1.数据中心空调系统节能建议
数据中心空调系统能耗主要包括制冷机房能耗和空调末端系统能耗,通过对某运营商多个数据中心空调系统的调研及分析,节能建议如下表:
制冷系统 末端系统
建议 1.小型机楼或单个机房宜采用单元式风冷型恒温恒湿专用空调;新建大型数据中心机楼建议采用集中式冷冻水型恒温恒湿专用空调系统,其冷冻水供回水温差宜尽量加大。2.冬季可利用水冷机组的室外冷却塔作为冷源也可积极利用自然冷源。3.机房布局应合理,预留空调设备安装空间,设备机柜的布置应考虑空调制冷能力,少量高热密度服务器可以考虑加装柜门冷却等分体式精确送风空调降温,高密度机架可采用液冷方式,避免出现局部过热;高低密度设备宜分区布局、分区制冷。4.可考虑配套独立的节能加湿装置,减少专用空调加湿能耗。5.宜采用变频或模块化冷水机组,保证空调高效运行;可通过变频技术提高冷冻泵冷却泵效率。6.冷水机组电功率超过500kW时,宜采用10kV高压制冷机组;冷冻泵冷却泵电功率超过200kW时,宜采用10kV或660V电动机。 1.设备机房和电池电力室等辅助房间间隔开,主机房采用恒温恒湿末端,辅助区域采用普通空调。2.机柜按照“背对背,面对面”排列,空调气流方向与列走线架平行,保证通畅;优化冷热气流路径,减少混合。3.可考虑采用封闭冷通道,实现精确送风,同时提高机房内空调设定温度,降低空调能耗。4.在有条件的情况下,使用有送、排风通道的机柜进行精确下送风,自然回风或冷通道设地板风口送风,管道回风的送风方式。5.架空地板高度应根据单机架功率大小进行合理规划;架空地板下只准通风,严禁布放线缆;架空地板下楼面和接触空调冷风的机房墙面建议采用不燃材料制造的隔热保温层,防止结露,减少冷量损失;新建架空地板下送风机房前期装机容量较小时,可考虑地板下做临时隔断,控制送风空间,减少冷量浪费。6.有条件的老机房还可考虑进行下送风上回风或精确定点送风改造。7.应选择高效风机及风柜,宜采用变频装置,降低能耗。
表4-1数据中心空调节能建议
2.某运营商空调系统节能案例
2010年该运营商组织了7个省,重点针对部分气流组织不好、有局部过热现象的数据中心进行了精确送风改造,节能情况如下表:
省份 平均节电率 投资回收期(月)
a 11% 31
b 15% 18
c 16% 30
d 20% 17
e 15% 24
f 11% 31
g 17% 39
平均值 15% 27
表4-2某运营商数据中心精确送风改造情况
除此之外,该运营商还先后在多个省份开展了数据中心空调系统综合节能改造工程,取得良好效果,如:
(1)大型数据中心采用集中式冷冻水型恒温恒湿专用空调,架空地板精确下送风,管道结合自然回风,气流组织合理,提高空调系统整体能效比,节能效果显著。
(2)合理设定机房温湿度,分区精确供冷,提高效率,达到节能目的。
(3)部分专用空调取消加湿功能或配置独立的加湿装置,减少空调加湿能耗。
(4)采用自适应控制系统,根据机房负荷变化,自动调整空调运行数量,实现节能。
(5)改造老数据中心机房上送风风口以达到节能效果。
五、结束语
数据中心的节能降耗涉及到多个方面,本文通过对国内某运营商数据中心的实例分析,从电力和空调两方面提出了节能降耗建议,目标是为了更高效的利用能源,建设节能环保的绿色数据中心。
参考文献
GB/T 156-2007《标准电压》,2007-04-30
GB 50052-2009《供配电系统设计规范》,2010-07-01施行
YD/T1051-2010《通信局(站)电源系统总技术要求》,2010-12-29
YDB037-2009《通信用240V直流供电系统技术要求》,2009-12-12
YD/T2165-2010《通信用模块化不间断电源》,2010-12-29
《中国电信节能技术与应用蓝皮书》V1.1,2008-12
篇2
中图分类号:TP308
许多银行将安全性、可用性、易维护、可扩展性作为数据中心建设重点,不注重其经济性。数据中心的建设是一笔庞大的开支,银行做任何投资时都要考虑到其回报率,在投资回报率的压力下,数据中心的规模一般不会很大。而金融业的快速发展又使得银行的业务迅速增加,当业务量暴增时,数据中心就必须扩建才能满足工作需要。实际上,不断扩建的过程中提高了数据中心的建设成本,而且扩建的效果不太好,扩建又会造成资源的浪费,同时还使数据中心的运维风险增加,不利于银行的健康发展。这种数据中心建设策略不利于银行提高工作效率和降低成本,无法为客户提供全方位的多元化服务,银行的服务水平降低,进而不利于银行的发展。
在银行数据中心建设中,必须注重其经济性,注重数据中心的扩展性,确保在数据中心上的每一笔投入都能获得最高的回报率,减少资源浪费,并且使数据中心最大限度提高银行工作效率。那么,其经济性又可以从哪几个方面体现呢?
1 数据中心的选址
数据中心选址是数据中心规划中最为基础的内容,科学合理的选址可以大大节约资源,降低投资成本。商业银行的数据中心一般是采用“两地三中心”的规划方案,也就是生产中心、同城灾备中心、异地灾备中心在两个城市中。
1.1 生产中心和同城灾备中心选址
生产中心与同城灾备中心处于同一个城市里时,二者之间的距离必须在20km以上。为了保证同城灾备中心于生产中心之间的顺畅交流,二者之间应建立起交通通道,使得物质、人员可以快速实现转移。而同城灾备中心要对各种灾难性事件进行高效率的处理,因此,在选址时就要考虑到周围的供电状况、市政基础设施服务状况、通信环境、自然环境等。当然,选址的地价也是需要重点考虑的一个问题。
生产中心与同城灾备中心的选址应注意以下几点:
第一,二者之间的距离大于20km。
第二,周围需要有良好的供电环境,保证其基本电力需求。
第三,两者均需要接入城市骨干通信环网,但是需要是在不同的通信节点上接入通信网。
第四,生产中心与同城灾备中心之间有良好的交通环境,能够迅速完成人、物的转移。
第五,地价较低廉,有良好的排水条件。尤其是在多暴雨的城市中,选址时尽量选择地势较高的地段,确保排水的顺畅。
1.2 异地灾备中心选址
异地灾备中心的主要功能就是:发生重大灾难性事件时,确保业务应用系统的正常运行,尽量降低同城灾备中心在进行灾难恢复时的风险。一般而言,异地灾备中心与生产中心位于不同城市,选址时主要考虑的因素是:社会经济人文环境、自然地理环境、人才环境、基础设施环境、成本因素、周边环境因素和政策环境因素。其中,自然地理环境是需要着重考虑的要素,而且这几大要素又往往是相互制约的。当选择在一线城市时,其成本会很高,但是人才环境、基础设施环境会很好;如果选择在三四线城市中,其成本大大降低,但是人才瓶颈就很难解决了。
之所以要特别注重自然地理环境是因为,如果异地灾备中心的自然环境较恶劣,容易发生自然灾害的话,那么它本身就存在了很大的灾害风险,当发生灾难性事件时,很难确保业务应用系统的正常运行。
从经济学的角度来说,异地灾备中心选址需要注意以下几点:
第一,与生产中心位于不同城市,距离在300km以上。
第二,城市可以提供满足需要的人力资源,政策环境优。
第三,自然地理环境好,自然灾害少。
第四,城市的通信网发达。
第五,有丰富的电能资源,电价低廉。
2 数据中心基础设施规划
从现实环境来看,银行数据中心改建、扩建已不鲜见,那么为了节约资源,为客户提供更高满意度的业务服务,银行在建设数据中心时应尽量扩大规模,从银行未来很长一段时间的发展角度思考问题。数据中心的规模除了要满足当前的业务需要,还要满足未来的业务需求,至少留出三分之一的空间给未来的新兴业务。
据悉,功耗带来的成本压力已成为银行数据中心的一大挑战。因此,建设数据中心时要考虑到电价,还要考虑到服务器的耗能,尽量选择节能的服务器。
在数据中心机房的功率密度越来越高的情况下,要注重制冷系统的规划,空调位置靠近机柜、按照冷热通道分离的方式进行制冷系统的规划,尤其要重视热点区域的制冷系统的规划。
在通信布线规划上,在垂直和水平方向上均拥有两路以上相互分离的入户光缆通道,经过不同的方向进入数据中心通信机房。由于数据中心对防火性能要求较高,因此布线时尽量减少铜揽的使用,优先选择光纤的方式进行线路的布设。为了有效提高防火性能,可以在线路布设完成后,在线缆上涂刷一层阻燃剂。
3 绿色数据中心理念
随着不可再生能源的迅速消耗和自然环境的破坏,可持续发展理念提出,人们也越来越重视自然环境的保护。银行数据中心建设中,为了降低成本,遵循绿色数据中心理念势在必行。在数据中心建设中,尽量使用可再生环保的资源,提高资源利用率。
绿色数据中心最显著的特点就是能耗的大大降低,在数据中心的使用中,机房的计算机设备、电气设备、照明系统等都属于节能型设备,能够最大限度的利用资源,并减少污染物的排放。
在节能问题上,首先在设备的选型上注意其能耗,尽量选择能耗低的设备。比如说,运用UPS来减少电源系统的损耗;用刀片服务器替代传统的机架式设备;采用节能型照明设备。再比如说,在热点区域使用太阳能空调,达到节能的效果。其次,尽量减少设备,也就是说,提高每个设备的利用率,尽量做到一机多用,这样不仅可以达到节能的目的,还可以节约空间,另外也能适当减少制冷设备的利用。再次,尽量利用自然资源。在制冷系统上,并不是所有的制冷都需要运用制冷设备来完成,可以根据自然环境的变化,充分利用室外的冷空气,利用新风节能系统将室外的冷空气引入室内,并将室内的热空气排出,或者说将室内的热空气排放到人行通道中,这样又可以减少人行通道中的制暖设备,这样就能大大节约能源,还能减少对环境的污染。
除了前面提到的几点节能措施外,为了实现绿色数据中心,应对数据中心进行全面规划分析,任何一小点都不能放过,尽量减少能耗,充分利用自然资源,节约资源。
4 结束语
银行数据中心的建设是一项非常复杂的工作,技术含量高,涉及学科多。在当今银行业务迅速增加、银行规模不断扩大的形势下,银行要注重数据中心建设和运维的经济分析,从数据中心的选址到机房、通信系统等基础设施的建设,再到各个设备的选型和布置,对每个部分进行经济分析,力求建设出最优的数据中心,提高银行工作效率,提高服务水平,促进银行的可持续发展。
参考文献:
[1]胡滨.数据中心建设和运维方案的经济性分析[J].中国金融电脑,2010(01).
[2]李小庆.基于银行发展战略的数据中心管理[J].中国金融电脑,2010(02).
篇3
(一)树立大数据审计的理念。将大数据审计的贯穿到每个审计项目中,不断研究新思路、新经验和新做法,以数据为核心,将数据分析与现场延伸调查相结合的方式,更精准的定位审计疑点,缩小核实范围,提高工作效率。
(二)充实大数据审计资源。定期采集包括财政、民生等使用较为频繁的数据资源;积极推动数据采集规范化建设;推动大数据审计方法库的构建,使计算机审计方法的应用更为便利、快捷。
(三)强化大数据审计队伍建设。运用计算机和大数据进行审计应动员全局力量,而不仅仅局限在计算机人员。加强复合型人才的培养,审计人员不仅要懂得数据库的知识,还要懂得审计实务;加强数据分析能力和业务知识的学习培训,提升综合素质。
二、提高大数据审计的措施
(一)前期数据调查
对全市各部门(单位)所运用的业务系统和业务数据进行调查了解,摸清各部门的业务数据内容及其存储情况,为采集业务数据和审计项目中可能涉及到跨部门数据关联做准备。接入用友财务统一核算软件审计端口,审计端口的接入更灵活、方便地为各审计组财务数据采集提供服务。
(二)积极配合项目组
在项目实施前积极与组长、主审进行沟通,如何开展计算机审计、项目组需要什么、项目所需要的数据、主审想得到的目的和结果。以确定审计方向和重点,并将相关的审计内容纳入到审计工作实施方案。在审计项目实施过程中,对审计方法、发现的疑点、采集到的数据方面存在的问题、以及审计思路的变化,及时与主审反馈,以调整审计方法和思路,并配合项目组核实疑点。
(三)参与重点项目
年初审计计划项目制定后,确定重点审计项目,加入到项目组中。除数据分析外,通过参与其他审计内容,熟悉财务知识、财经法规以及其他业务方面知识,尽快地提升自身业务能力,积累经验。今后审计工作中,运用自己的思路和方法开展审计。
(四)编写计算机审计方法
篇4
泰科电子安普布线
引领技术发展
泰科电子公司与全球一流的IT设备制造商在设备的研发阶段紧密合作,将先进的连接器技术应用于服务器、存储和网络设备。例如,泰科电子已经加入思科的技术发展伙伴计划。泰科电子与思科的合作意味着客户可以在其数据中心和商业通信网络中,依赖泰科电子的产品来连接和运行思科的硬件设备。安普布线系统正是利用了泰科电子的创新成果,并且这些只能从全球领先的无源连接器公司得到。我们在连接器设计和开发方面的经验给客户带来了连接技术的领先优势,安普布线系统利用了这些连接器尖端技术,为用户提供完整的端到端高性能连接和布线解决方案。客户采用领先其他竞争对手的这些数据中心布线解决方案,在其数据中心发展的各个阶段与我们一起参与和利用未来的先进技术。
泰科电子安普布线
引领标准发展
当前的标准制定驱动未来的新产品发展。泰科电子在过去的40多年里参与了众多全球和区域的标准组织。实际上,泰科电子是TIA-942数据中心标准委员会和EN50173数据中心基础设施标准的主席单位。泰科电子正努力推动IEEE、ISO/IEC、CENELEC和TIA等标准化组织制订未来的高速传输技术并在其中继续发挥着重要的领导作用。
关键的环境和经济效益
客户利用泰科电子安普布线的产品建设他们的绿色数据中心同时提升其环境保护的底线。以前信息系统更多关注设备级别的兼容性能,今天的重点已经转变为绿色行动。
篇5
中图分类号:TP3 文献标识码:A 文章编号:1007-3973(2010)010-050-02
现代信息技术发展迅猛,Intemet已经在全球范围内得到普及和应用,计算机网络技术也越来越多的服务于人类生活,并给信息技术行业带来了更多的发展机会和经济效益。目前,有大部分的网络攻击事件都是由内部人员发起的攻击或者滥用网络资源而造成的,该类攻击占网络攻击的多数,因此,内部网络安全问题应及时解决,确保局域网的安全稳定运行
1、无线局域网安全发展概况
无线局域网802.11b公布之后,已迅速成为真实标准。但自从它开始实施以来,当中的安全协议WEP就遭到人们的质疑。例如,美国加州大学伯克利分校的Borisov,Goldberg和Wagner最早提出WEP中协议存在设计问题。而我国自2001年开始着手制定无线局域网安全标准,再通过各大科技院校的联合协作,经过2年多的努力,终于制定出无线认证和保密基础设施WAPI,现已成为国家标准。
2、局域网网络安全设计的原则
2.1 网络信息系统安全与保密的“木桶原则”
计算机网络系统结构复杂,在操作和管理过程中,会因为各种漏洞而引起系统安全问题,由于多用户的网络系统本身的情况复杂,数据资源在共享时容易遭到非法用户的窃取,安全性差。攻击者寻找最容易渗透的部位,在系统的薄弱地区进行攻击。因此,我们应全面的做好系统安全漏洞修补、对一系列的安全做具体分析、并评估和检测,这是保证系统设计安全的关键。
2.2 信息安全系统的“有效性与实用性”原则
在保护局域网系统安全的同时,不得影响系统的正常运行以及合法用户的正常活动,但网络信息的安全和信息资源的共享还存在一些矛盾:首先,为了更好的修补系统漏洞,技术人员会采取各种技术手段进行修补;其次,系统漏洞的修补必会给用户的使用带来不便,在当前的网络环境下,网络服务要求具备实时性,容忍安全连接和安全处理造成延误和数据扩张都会影响网络服务的质量。如何在确保安全性的基础上,将安全处理的运算量减到最小,减少不必要的服务器储存量,是现代计算机网络信息设计者迫切需要解决的问题。
3、局域网的不安全因素
3.1 局域网网络安全管理体系需建立完善
网络用户数量大,对局域网的网络安全见解并不清晰,他们认为:网络安全的关键还在于网络管理员的技术投入,只要实现必要的技术投入,网络安全问题必可迎刃而解。实际上,技术上的加强只是保护网络安全的一个方面,而系统上的安全管理才是重点。俗话说“三分技术、七分管理”,这样的道理同样适用于局域网安全管理。例如,我国胜利油田制定的网络安全管理制度过于宏观,不利于各二级单位具体执行操作,甚至连花费大量经费买回的软件也无法保证正常使用,虽然技术上符合国家要求,但由于胜利油田的相关标准太宏观,难以操作,执行力不强,有时出现随意更换IP地址,导致地址冲突而无法上网,网络服务器难以履行下载任务,而病毒库也无法升级,系统中的杀毒软件形同虚设。因此,我们应根据网络安全的要求和服务规范建设合理的安全制度,健立完备的、具有指导性和可操作性的标准、规范,并不断完善制度,提高可执行性。
3.2 网络安全意识淡薄
网络是现代信息科技技术发展中新事物,大多数人利用网络进行休闲、娱乐等活动,却常常忽略网络安全问题,在使用过程中存在侥幸心理,缺乏安全意识。甚至有人认为,网络安全问题只是小问题,即使开展网络安全管理,也很难取得实质的经济效益,安全技术投资难以见效;还有人认为,网络安全问题与个人无关,只需要网络管理员加强安全技术,网络的安全威胁问题就不会出现。由于网络安全意识的淡薄,导致网络安全问题愈发严重。
3.3 网络安全维护资金投入严重不足
很多网络管理部门不想投入过多的资金进行网络维护,也没有指定正确的网络维护费用量,导致费用年年萎缩,计算机信息系统未得到更新,信息数据易被人盗取,所以,大多网络管理部门只能力争,能否争取到或者能争取多少运维费用存在很大变数,造成计算机系统硬件设备的落后,网络安全无法得到保障。
4、安全机制与策略
4.1 建立MAC地址表,减少非法用户的侵入
如果网络用户接入不多,可通过其提供地唯一合法MAC地址在其接入的核心交换机上建立MAC地址表,对所有进入的用户进行身份验证,预防非法用户的非法接入。同时。可以在AP中对批准接入的MAC地址列表进行手工维护,这个物理的地址过滤方案要求AP中的MAC地址列表能随时更新,但扩展性差,难以实现服务器在不同AP之间的漫游,而且MAC地址被认为是可以伪造的,因此,这是比较低级的地址授权。
4.2 采用有线等效保密改进方案
(WEP2)IEEE802.11标准中对一种被称为有线等效保密(WEP)的可选加密方案做了规定,其目标是为WLAN提供相同级别的网络有效使用。WEP在链路层采用RC4对称加密算法,可以禁止非法用户的进入和非法接听使用。有线等效保密(WEP)方案主要是为了实现三个目标:接入控制、数据保密性和数据完整性。
4.2.1 认证
当两个站点之间要建立网络连接时,首先应通过认证,执行认证管理的站点应管理认证帧到一个相应的站点,IEEE802.1Ib标准对两种认证任务有所定义:第一是开放性的认证,即802.11b默认的认证方式,这是认证方法中较简单的一种,分为两步,首先向认证另一站点的站点发送个含有发送站点身份的认证管理帧:然后,接收站发回一个提醒它是否识别认证站点身份的帧。第二是共享密钥认证,这种认证先假定每一个站点都需要有独立的802.11网络的安全信道,已经接收到一个秘密共享密钥,然后这些站点通过共享密钥的加密认证,加密算法是有线等价加密(WEP)。
4.2.2 WEP-WiredEquivalentPrivaey加密技术
WEP安全技术来自于RC4的RSA数据加密技术,它可以满足高层次的网络安全要求。WEP为无线局域网提供了一种安全运行方式,WEP是一种对称加密,加密和解密的密钥及算法相同,WEP的目的是控制接入,预防未被授权的网络访问。安全维护的方式是通过加密和只允许有正确WEP密钥的用户解密来保证数据的安全流通。IEEE802.11b标准一共提出了两种网络WEP加密方案。一是提供四个缺省密钥,为所有的用户终端提供包括一个子系统内的所有接入点和客户适配器。当用户得到缺省密钥以后,就可以与子系统进行安
全通信和数据共享了,缺省密钥所存在的安全问题就是,它在被广泛分配的过程中容易遭到漏洞威胁。二是,在每个客户适配器建立一个与其他用户联系的密钥表、该方案比第一种方案更加安全,但在用户终端增加的过程中,终端分配密钥也会更加困难。
4.3 IEEE802.11i的设计和实现
限于篇幅,本文仅介绍802.11i的核心部分TKIP算法的实现。
MSDU的加密和解密
规范中对MIc的算法定义如下:输入:Key(KO,K1)和MI-Mn-I输出:MICvalue(VO,VI)K,M和v都代表了32位的字。其中密钥KO,KI是从TK2的第0-63位映射过来的。MO-Mn_I表示填充了的数据(sA+DA+protrity+DATA)。MIC函数还调用了规范中定义的b(L,R)的函数。TKlP的MSDU加密过程其实就是计算MIC值的过程,而MSDU的解密过程其实就是验证MIC值的过程。
MDPU的加密和解密它们分为两步,首先通过混合函数生成WEP密钥和Iv,然后进行加密。TKIP的混合函数是要生成wEP的128位的加密(包括24位的IV)密钥。它由两个阶段的混合函数组成,它们的实现在规范中都由详细的说明。
阶段一和阶段二都依赖s一盒,其定义
如下:#define s-(v16)(sbOx[O][L08(v16)Sbox[1][Hi8(v16)])其中Sbox为二维常量数组,eonstul6bSbox[21[256]=“…),(…))。L08是获得16位参数v16的低八位的函数,Hi8是获得高八位的函数。规范对阶段一的定义如下:入:传送方的地址TAO…TA5,临时密钥TKO…TKl5-HTSCO…TSC5。输出:中间阶段密钥TTAKO…TTAK4规范对阶段二的定义如下:输入:中间阶段密钥TTAKO…TTAK4,TK-glTSC输出:WEP的种子WEPSEEDO…W EPSeedl5发送的时候从priv获得tx-iv32(TSC[2…5])]I和TKl(key[0…15])和发送缓冲区skbuff获得传送地址TA[O…5],输入到阶段一的混合函数计算出临时TTAK[0…5]。然后再把TTAK[O…5]-tx-ivl6(TSC[O…l])输入到阶段二的混合函数,计算出WEP IV和密钥。生成的WEP密钥后,就可以用它们加密数据,最后扩展skbuff把TSC等数据加密到头部。接收的时候同样先计算出wEP IV和密钥,不过此时TSC是从缓7-Oskbuff获得的。
4.4 无线入侵检测系统
无线入侵检测可以随时监控计算机网络的安全情况,但无线入侵检测系统可以加强无线局域网的检测以及对系统破坏的反应能力。无线入侵检测系统可以以最快的速度找出入侵者,同时进行防御。通过该系统强有力的防范,保证局域网可以更安全的运行。
5、总 结
如今,网络发展速度快,并且不断更新完善,当我们在享受网络给我们的生活带来各种便捷的同时,还要清晰的认识到,各种局域网安全问题还是依然存在的。而网络安全技术是系统综合系统中的一部分,需要对局域网的各部分加强技术分析,利用各种安全技术,积极发挥局域网应有的安全服务功能,并对各种安全技术实行完善更新,及时适应现代局域网的发展,促进局域网安全治疗的提高。
参考文献:
[1]王顺满,陶然,陈朔鹰,等,无线局域网技术与安全[M],北京:机械工业出版社,2005,09
[2]孙宏,杨义先,无线局域网协议802.11安全性分析[J],电子学报,2003,07
[3]韩旭东,IEEE 802.11i研究综述[J],信息技术与标准化,2004,11
[4]李勤,张浩军,杨峰,等,无线局域网安全协议的研究和实现[J],计算机应用,2005,01
篇6
近年来,各大金融机构及各大国有企业均在大力推进信息化建设,数据中心成为了信息化的重要基础设施, 鉴于数据中心对安全的要求高,因此数据中心的安全防范系统设计至关重要,是一项复杂的系统工程,需要从物理环境和人为因素等各方面来全面的考虑,一般由视频安防监控系统、出入口控制系统、入侵报警系统、电子巡更系统、安全防范综合管理系统等系统组成。
1 设计原则
1)系统的防护级别与被防护对象的风险等级相适应;2)技防、物防、人防相结合,探测、延迟、反应相协调;3)满足防护的纵深性、均衡性、抗易损性要求;4)满足系统的安全性、可靠性、可维护性要求;5)满足系统的先进性、兼容性、可扩展性、经济性、适用性要求。
安全防范系统是一个基于客户端/服务器,分布式的网络管理平台,通过信息共享、信息处理和控制互联实现各子系统的集中控制和管理。安全防范系统的故障应不影响各子系统的运行;某一子系统的故障应不影响其它子系统的运行。
2 安全等级定义
1)针对数据中心园区的不同功能区域,可将安全保障定义为4个安全保障等级区域
(1)一级安全保障等级区:一般为数据机房楼内的模块机房及ECC区监控中心区域;(2)二级安全保障等级区:一般为数据机房楼机电设备区、动力保障区;(3)三级安全保障等级区:一般为运维办公区域;(4)四级安全保障等级区:一般为园区周界区域。
2)对于不同的安全级别的区域选择不同的安全防范技术手段
(1)一级安全保障等级区
①数据机房所有模块机房门
安装生物识别电子门禁、摄像监控设备、双鉴报警设备;
所有出入口设防,门禁及红外报警系统联动,红外报警系统与摄像监控系统联动。
②数据机房所有模块机房内
按照设备机柜的排列方位安装摄像监控设备,设备间通道设防。
(2)二级安全保障等级区
①数据机房维护人员通道:安装内外双向读卡器的电子门禁锁;机电设备维修区的门安装单向门禁锁,设置在维修区的外侧;在消防疏散楼梯安装单向门禁锁,设置在楼梯间内侧;
②数据机房所有的出入通道:安装双向读卡电子门禁、摄像监控设备、双鉴报警设备;
③数据机房入口的安保室设置安保实时监控管理设施。
(3)三级安全保障等级区
①运维办公区安装单向门禁锁,配置视频监控,具体设计依据相关安防系统规范设计;②建议进入运维办公区或中央监控中心的第一通道,在进行身份定位的同时,进行身份鉴别;速通门刷卡通行+保安人员通过屏幕图像对比方式。
(4)四级安全保障等级区
整个园区用围栏与四周道路分隔开,并设防闯入和视频监控系统。在周边四个路口的围栏转角处设置防冲撞体,在出入口设置液压防冲撞装置。数据机房油罐区域四周布置一体化球机及电子围栏,进行不间断的自动跟踪摄像,并设置防入侵装置。
3 视频安防监控系统
1)视频安防监控系统根据数据中心园区的使用功能和安全防范要求,对建筑物内外的主要出入口、通道、电梯厅、电梯轿厢、园区周界及园区内道路、停车场出入口、园区接待处及其他重要部位进行实时有效的视频探测,视频监视,图像显示、记录和回放;2)目前,工程上对网络视频监控系统的设计有两种:全数字化的网络视频监控系统和半数字化的网络视频监控系统即前端摄像机为模拟摄像机,模拟视频信号通过编码器转换为数字信号进行传输的视频监控系统。IP数字监控系统是发展的趋势,但是现在国内市场还处于初级阶段,IP数字监控系统成本相对要高一些,两种方案各有利弊。
4 出入口控制系统
1)出入口控制系统即门禁系统作为数据中心园区安全防范系统的主要子系统。它担负两大任务,一是完成对进出数据中心园区各重要区域和各重要房间的人员进行识别、记录、控制和管理的功能;二是完成其内部公共区域的治安防范监控功能;2)系统要求能满足多门互锁逻辑判断、定时自动开门、刷卡防尾随、双卡开门、卡加密码开门、门状态电子地图监测、输入输出组合、反胁迫等功能需求。控制所有设置门禁的电锁开/关,实行授权安全管理,并实时地将每道门的状态向控制中心报告;3)通过管理电脑预先编程设置,系统能对持卡人的通行卡进行有效性授权(进/出等级设置),设置卡的有效使用时间和范围(允许进入的区域),便于内部统一管理。设置不同的门禁区域、门禁级别。
5 入侵报警系统
1)根据相关规范、标准在数据中心园区的周界围墙、重要机房和重要办公室设置入侵报警探测器、紧急报警装置,系统采用红外和微波双鉴探测器、玻璃破碎探测器等前端设备,构成点、线、面的空间组合防护网络;2)周界围墙采用电子围栏或红外对射,地下油罐周界采用电子围栏及图像跟踪相结合的防范措施,重要机房、档案库、电梯间、室外出入口等设置双鉴探测器;3)对探测器进行时间段设定,在晚上下班时间,楼内工作人员休息时间及节假日设防,并与视频安防监控系统进行联动,有人出入时联动监视画面弹出,监测人员出入情况,及时发现问题防止不正常侵入,同时声光告警器告警。
6 电子巡更系统
在园区内采用在线式电子巡查系统。在主要通道及安防巡逻路由处设置巡更点,同时利用门禁系统相关点位作为相应的巡更点。
7 安全防范综合管理系统
利用统一的安防专网和管理软件将监控中心设备与各子系统设备联网,实现由监控中心对各子系统的自动化管理与监控。当安全管理系统发生故障时,不影响各子系统的独立运行。
7.1 对安防各子系统的集成管理
主要针对视频监控系统、出入口控制系统及入侵报警系统,在集成管理计算机上,可实时监视视频监控系统主机的运行状态、摄像机的位置、状态与图像信号;可实时监视出入口控制系统主机、各种入侵出入口的位置和系统运行、故障、报警状态,并以报警平面图和表格等方式显示所有出入口控制的运行、故障、报警状态。
7.2 安防系统联动策略
1)安保系统与门禁、照明等系统联动
安保系统与门禁、照明、电梯、CCTV、紧急广播、程控交换机等系统的高效联动。
说明:当发生非法闯入时,门禁或入侵报警系统记录非法闯入信息,通过跨系统联动设置,打开相应的照明系统设备和安保系统设备,使非法闯入者无处容身。
2)安保系统与消防系统之间联动
安保系统与消防系统联动策略为:当大楼内某一区域发生火警时立即打开该区所有的通道门,其他区域的门仍处于正常工作状态,并将该区域的摄像机系统启动、置预置位、进行巡视,多媒体监控计算机报警,矩阵切换该图像到控制室的视频处理设备上,并将图像信号切换到指挥中心、公安监控室、消防值班室的监视器上进行显示。
8 结论
数据中心园区的综合安防管理,需要纵深考虑,包括了人防、物防及技防,设防管理仅是技术手段,制度的管理和执行才是重要的工作。
参考文献
[1]安全防范工程技术规范 GB50348-2004.
篇7
藉此,台达于2011年就向业界隆重推出了其InfraSuite
数据中心解决方案,InfraSuite系统,是台达专为数据中心新推出的“网络关键物理基础设施架构(NCPI)”。该架构是一个整体的解决方案,具有可扩充性、可管理性、可维护性、高集成度、易于维护、标准化和模块化的组件中嵌入专业预测性维护服务,通过该服务可以降低总拥有成本并增加可用性,代表着现代数据中心所需的“行业最佳”的实践方案。
众所周知,在完整可靠的数据中心解决方案之中,供配电的核心部件UPS必须具备安全可靠、效率卓越,并且要能依照企业营运的成长需求扩充容量等特性。而此次台达全新推出的以模块架构设计的三相不间断电源——ModulonDPH,采用标准机柜式模块设计,可以根据功率需求将25kW直接提升到200kW。而DPH支持单一机柜的N+X冗余架构,无需另外加装UPS,所以能大幅降低建置成本和设备所需空间,并且能随着企业业务成长弹性增加容量,最大的容量扩充也可通过四台DPH并机实现。
蔡博士进一步指出:“除了UPS的可靠度与扩充性外,当考虑到运营成本时,能耗一直是最重要的因素。处理能耗的基本方式就是使用节能设备。”DPH是真正在线式双转换UPS,能为数据中心提供关键电源保护并达到卓越电力性能,在业界领先群雄。在30%负载和50%负载时,DPH的AC-AC整体效率分别为95%和96%,能节省至少6%的能耗,超越整机效率仅为92%的传统机型。DPH在发挥全功率(kVA=kW)时可以达到最大供电容量。相较于输出功率因数为0.8和0.9的系统,DPH的功率分别超出25%和11%,同时也省去UPS的降额问题,因此更能节省建置成本和营运费用。
篇8
项目名称:中信庐山西海别墅
完成时间:2012年11月
功能设计:灯光控制、窗帘控制、背景音乐、电器控制、周界防越、闭路电视监控、WiFi无线覆盖、iPad集成控制。
项目简介
中信庐山西海由中信地产投资,位处江西九江的庐山西海国家风景名胜区,素有中国“桃花源”发祥地之说。启动区总占地7平方公里,占据最美湖岸线景观,坐拥“7湾、8岛、1湖、1山”罕世资源,以“身心修养”为核心价值,构建“身心学禅”四大价值体系,邀请旅游、酒店、智能化、运动公园等各领域世界顶级策划、设计师倾情加盟,通过对区内生态契约、休闲养生、商务会议、绅士运动、教育培训、禅修太极等打造一系列特色主题的精品生态旅游地产。
功能设计
庐山西海别墅样板房及半岛餐厅邀请国际顶级设计师,所选用的产品亦是世界一流品牌,在该项目中通过和室内装修设计师及甲方的多方沟通,智能系统最终选用法国进口罗格朗智能控制系统。
1.智能灯光系统
对全宅的灯光进行集中管理和控制,可单点控制、多点控制、场景组合控制、调光控制、包括LED灯带的调光控制。可通过墙装面板、3.5寸触摸屏和iPad控制。
2.智能窗帘控制
对全宅的电动窗帘、电动卷帘进行集中管理和控制,可单点控制、多点控制、场景组合控制,可通过墙装面板、3.5寸触摸屏和iPad控制。
3.背景音乐控制
可通过iPad、触摸屏对室内及室外的背景音乐进行控制,如选曲、音量、选台等。
4.智能电器控制
通过场景或iPad、触摸屏等对电器设备进行联动控制或单独控制。
5.安防报警系统
通过室外的红外线周界防越和室内的探测器及紧急按钮组成一个强大的安防报警系统,触发防区警情自动传送到小区的管理中心及家庭主要联系人的手机。
6.闭路电视监控系统
通过室内外的高清晰度摄像机,结合报警系统,触发防区时联动摄像机进行录像,并将视频图像显示在家中的电视机上,同时联动室内外灯光闪烁进行提示。
7.无线WiFi覆盖
本系统选用神脑国际的无线覆盖系统,保证室内外任何角落都能实现无线上网功能,包括地下室、室外花园、和通往海边的凉亭。
8.iPad集成控制
所有电器、灯光、窗帘、背景音乐等智能系统全部集成在iPad平板上,在室内外的任何角落,通过移动的iPad都能对所有电器设备进行实时控制,方便售楼人员的讲解。
方案说明
入户
入户门安装了指纹门锁,授权的售楼人员和物业管理人员不用佩戴钥匙,通过指纹即可进入样板房,当有人离职时,可删除指纹。
玄关
在玄关处安装了罗格朗灯光及场景控制面板,可对玄关的灯光进行控制,以及场景的联动控制,如有讲解模式、参观模式、全开模式、全关模式,不同的模式联动提前设置好的灯光及电器设备。
会客厅
会客厅配置了罗格朗灯光面板、窗帘面板、场景面板,罗格朗智能三联面板,可对会客厅区域的灯光、窗帘、电器等进行单独控制及场景控制,还可单独对会客厅区域的灯光进行调光,会客区可通过手机对背景音乐进行控制。
主卧
主卧室按照总统套房设计。为方便客户的使用,在卧室入口配备了罗格朗智能灯光、窗帘智能面板,可对灯光窗帘单独控制和调光,另外在卧室过道还配置了灯光控制面板和场景面板,对主卫、衣帽间、主卧阳台及海边花园的灯光进行单独控制和联动控制,方便为晚间参观体验的客户提供美妙的灯光场景,并一路连接到私人码头。
在主卧床头的两边分别配置了灯光和场景面板,方便对主卧灯光、窗帘及场景的控制。主卧及主卫安装了吸顶喇叭,在主人需要的时候可通过手机、iPad等进行播放音乐及调频收音机。
设备箱
篇9
DOI:10.16640/ki.37-1222/t.2016.22.112
1 前言
随着IT技术的发展和“互联网+”战略的实施,保护信息系统和数据安全的需要也飞速增长,数据中心的安全建设需求愈发重要。而防火墙作为数据中心防护架构的关键防线,如何在数据中心内部稳定并高效的部署防火墙,成为当今数据中心安全建设的一个重要课题。一般来说,数据中心防火墙部署于数据中心的网络边界上,位于数据中心内部的服务器区域和外部访问用户区域之间,传统的网络层防火墙运行在TCP/IP协议栈上,通过对访问流量的TCP/IP报文进行预订策略的识别、过滤和转发来控制外部用户对数据中心内部服务器的访问权限,保护数据中心内部服务器免于非法用户的访问和入侵[1]。
2 NGFW介绍
随着网络技术的发展和防护需求的提升,传统的网络层防火墙由于工作在ISO网络七层架构的网络层,对数据包和流量的分析是基于网络层五元组(源/目的IP,源/目的端口和协议)的,由此也暴露出一些新问题:1)基于端口的识别方式对具体应用没有识别能力,导致非法应用可能借用知名端口穿过防火墙;2)基于IP的识别方式对DDoS、源地址仿冒攻击和对象IP地址不固定的移动端信息服务防范能力不足;3)对于应用层服务的检测、过滤和管理能力欠缺。
因此,业内各个厂家近年来都推出了下一代防火墙(Next Generation Fire Wall,NGFW)来代替传统防火墙,除了提供传统防火墙的防护方式外,同时提供以区分用户、应用和资源内容为防护手段和目标的新一代数据中心防护模式。
3 NGFW实施方案
在实际实施方案中,我们选用了华为公司的S12708三层交换机作为数据中心的网络核心和骨干[2],各个机柜的服务器通过二层VLAN连接到该数据中心交换机[3]。采用两块ET1D2FW00S00 NGFW下一代防火墙集成板卡作为安全防护核心。系统结构如图1所示:
该方案主要说明如下:1)两块S12708集成的NGFW Module做主备式部署,其GE0/0/1配置为心跳接口,当A板卡出问题后,防护系统自动切换到B板卡,消除单点故障;2)两块NGFW Module通过背板带宽,以一进一出两个虚拟20G接口的方式与S12708三层交换机做逻辑连接;3)两块NGFW Module上行链路做捆绑后与S12708数据中心交换机外网部分做路由互指,NGFW Module的默认路由指向S12708,S12708根据防火墙上实际部署的服务器网段做静态路由;4)两块防火墙的内向接口配置为内部服务器的网关,并且做VRRP以确保冗余切换,在内向接口上使用子接口区分不同VLAN。
4 具体关键配置
在对S12708进行完基础配置,使其联入互联网后,防火墙功能部分主要配置实施如下:1)将两块NGFW Module的GE0/0/1用网线直接连接,并配置其心跳线功能:
Module A:
interface GigabitEthernet0/0/1
ip address 10.0.0.1 255.255.255.252
hrp enable
hrp interface GigabitEthernet0/0/1 remote 10.0.0.2
Module B:
interface GigabitEthernet0/0/1
ip address 10.0.0.1 255.255.255.252
hrp enable
hrp interface GigabitEthernet0/0/1 remote 10.0.0.2
2)以新增VLAN51(VRRP=10.10.179.30)为例配置内网接口为服务器区域网关:
Module A:
vlan 51
hrp track active
interface Vlanif51
ip address 10.10.179.28 255.255.255.224
vrrp vrid 1 virtual-ip 10.10.179.30 active
interface GigabitEthernet1/0/0
portswitch
port link-type trunk
port trunk permit vlan 51
Module B:
vlan 51
hrp track active
interface Vlanif51
ip address 10.10.179.29 255.255.255.224
vrrp vrid 1 virtual-ip 10.10.179.30 standby
interface GigabitEthernet1/0/0
portswitch
port link-type trunk
port trunk permit vlan 51
3)配置两块NGFW Module和S12708之间的接口地址和互指路由后,内外网即可以互通。
配置完成后进行测试,将VLAN51下的服务器IP地址设置为10.10.179.0/27内地之后,可以ping通网关并正常上网。通过192.168.1.195和192.168.1.196可以进入防火墙板卡的配置接口或Web管理界面,以配置更详细的防火墙策略,实现对服务器的全面防护。
5 总结
较之独立防火墙设备的部署方式,集成式的防火墙板卡优化了与数据中心交换机的连接方式,节约了设备端口的同时,还提供了很大的双向连接带宽。同时充分利用了S12708上设备端口,减少了防火墙所需的设备下联端口。基于以上过程搭建的数据中心安全架构,具有很好的安全冗余性,并且除了提供了传统防火墙所具备的防功能外,还可以为数据中心提供反病毒、入侵防护、URL过滤、内容过滤、文件过滤、邮件过滤、应用行为控制等企业级应用层功能,经过多方面测试,具有较好的实际使用效果。
参考文献:
[1]陈麟,李焕洲,胡勇,戴宗坤.防火墙系统高可用性研究[J].四川大学学报(工程科学版),2005,31(01):126-129.
[2]HUAWEI USG6000系列&NGFW Module V100R001典型配置案例 [J].
篇10
[DOI]10.13939/ki.zgsc.2017.02.246
1 引 言
经管实验中心有管理类、会计类、经济类专业实训软件和电子资源供学生和老师使用学习。随着课程数量增加,专业知识难度加大,中心的资源也逐渐丰富。资源涵盖了商科领域各类软件数据以及电子资源,涉及专业课程、考研、留学等方面。实训软件以及电子资源种类繁多容易导致学生们难以迅速检索,无法高效利用等问题,甚至有些资料对学生帮助很大但是并不为人所知。数据资源共享平台的建立可以对各类软件进行分类管理,方便学生查找并利用,使得不同专业不同目标的学生可以通过平台进行学习与实践。
2 可行性分析
2.1 经济可行性分析
经济可行性分析中最重要的内容之一就是成本――效益分析。数据资源共享平台的设计与实现项目要在经济方面评价其是否合理,需要对系统设计与开发的花费与收益进行权衡比较。对于该系统的设计与实现中最主要的成本就是平台的创建与维护,因此不需要投入大量的经费。
2.2 技术可行性分析
现有技术完全可以实现平台开发与维护,利用现行技术完全可以在规定期限内完成开发工作。困难是需要短期内完成相关技术自学与应用。
2.3 操作可行性分析
操作可行性主要是指后台管理者的适应性,因此界面设计时要充分考虑管理人员的习惯,使得操作简单方便。例如:数据录入迅速、规范、可靠;统计准确,制表灵活,适应力强,容易扩充等。具有实用性、灵活性、开放性、可视性等特点。此外,操作可行性还应考虑用户使用的舒适性。例如:界面布局设计合理,查询系统方便快捷,软件资源丰富等。
通过以上经济、技术、操作可行性分析可以看出,本数据资源共享平台开发合理,从多角度考虑都是可行的。通过运行此平台,能够使实验中心的数据资源合理化分类,便捷化查找,提高学生们的学习效率。
3 平台设计
数据资源共享平台是为学生提供软件资源和其他数据资源的重要手段,目的是提升学生的专业知识和实践技能。共享平台可以将繁杂的软件进行系统的分类,提高数据资源的利用率,从而增大多方面效益。该数据资源共享平台总体上分为三大模块:学生实践平台、教师管理平台以及综合数据服务平台。教师们可以将教学用数据资源上传到共享平台上,后台管理人员对不同软件资源进行分类管理,学生们可以在平台上下载相应的软件数据与电子资源进行学习与实践。
3.1 系统功能
为了加强对数据资源共享平台的管理,可以分为5个模块:新闻公告、软件资源、影音资源、资源下载、常用链接。学生可以根据不同的需求选择不同模块的资源进行在线访问或下载。平台具有分类汇总的功能,方便学生查找;并且可以免费下载多种网络资源。平台首页可参考图1设计实现。
3.2 系统模块设计
该数据资源共享平台分为两大模块:应用模块与管理模块。
应用模块是为整个用户提供服务的各个模块的总和,包括用户登录、在线考试、信息浏览、用户留言、修改密码、信息查询等功能。用户登录是进入系统的入口,登录时要经过身份验证,只有在校生、教师、后台管理员可以登录。通过账号和密码验证之后,根据身份的不同,用户会访问不同的页面,使用系统提供与其身份相应的各项功能,其他用户只能浏览公开的信息。在线考试模块面向对象主要是学生用户,指导教把考试题库或者相应的测评软件上传到共享平台,要求学生在规定时间内做完规定项目。系统会自动评分并统计成绩。在用户留言模块中,学生以及指导教师针对整个系统平台提出意见与建议,可以通过留言或者私信的形式告知后台管理者。学生还可以随时针对其所学课程以及专业相关只是向其指导教师留言。从而实现学生、教师以及后台管理人员三方面的交流。此外,该共享平台还包括修改密码、信息查询等功能,方便广大在校师生使用。
系统管理模块用来协助后台人员实现对整个平台的管理,其中包括对系统的维护、测评监控、新闻管理、留言管理、用户管理、系统初始化、系统数据库备份等。后台人员可以测评指标体系的动态维护,管理在线测评的开始以及结束时间。此外,还需要定期查看系统进展情况,处理异常测评、留言等信息,同时通知有关部门。
4 技术路线
实验中心数据资源共享平台在上述可行性分析、功能模块设计方案的基础上,结合实时更新、自动分类、高效管理的目标,以及当下的主流技术,形成了如图2所示的技术路线图。
4.1 浏览器/服务器模式(Browers/Server)
B/S结构是Web兴起后的一种网络结构模式,Web浏览器是客户端最主要的应用软件。这种模式统一了客户端,将系统功能实现的核心部分集中到服务器上,简化了系统的开发、维护和使用。客户机上只要安装一个浏览器,服务器安装SQL Server、Oracle、MYSQL等数据库。浏览器通过Web Server 同数据库进行数据交互。
4.2 PHP技术
PHP(中文名:“超文本预处理器”)是一种通用开源脚本语言。语法吸收了C语言、Java和Perl的特点,利于学习,使用广泛,主要适用于Web开发领域。PHP 独特的语法混合了C、Java、Perl以及PHP自创的语法。它可以比CGI或者Perl更快速地执行动态网页。用PHP做出的动态页面与其他的编程语言相比,PHP是将程序嵌入到HTML(标准通用标记语言下的一个应用)文档中去执行,执行效率比完全生成HTML标记的CGI要高许多;PHP还可以执行编译后代码,编译可以达到加密和优化代码运行,使代码运行更快。
4.3 数据库共享技术
数据库共享技术体现在教师授课以及学生专业学习等方面。任课老师可以把课程中所需要的软件或者电子资源发到共享平台上,学生们可以在任何电子设备上下载并使用。
4.4 数据库挖掘与智能决策
通过数据库系统,后台管理人员可以统计软件数据与电子资源的利用率。通过挖掘用户登录数据、软件使用情况、数据下载记录和用户留言等数据,不仅为数据平台的有效用途提供了有力的数据支撑,还可为任课老师、学生、管理人员提供决策依据,为中心发展服务、为实践教学发展服务、为学生培养服务。
5 结 论
数据资源共享平台的建立可以解决软件数据以及电子资源种类繁多、利用率低的问题。通过平台的设计与实现,可以提高学院实践课程任课老师的工作效率,便于管理人员统一管理和维护。通过可行性分析、平台功能模块设计、技术路线的论述,表明资源共享平台的建立是可行的、有意义的。
参考文献:
