仲子路機房建設系統設計方案

仲子路機房建設系統設計方案

網絡安全規劃

1需求分析

高級威脅防御

當前0day漏洞、社工攻擊、變種或新型惡意軟件等高級威脅層出不窮，由于很多安全設備檢測方式主要是基于靜態特征檢測，對于勒索病毒新型變種等這些攻擊很難被傳統檢測手段發現，因此分公司在建設時要對互聯網中的高級威脅進行防護。

員工安全意識薄弱

部分員工的整體安全意識較為薄弱，無法有效區分來自互聯網的威脅，比如釣魚郵件，惡意鏈接，惡意應用等，可能導致整個的網絡受到波及，再加上部分員工自制力較弱，上班期間若瀏覽視頻網站或者下載視頻或者炒股，亂發郵件和濫用網盤，這些行為一方面會導致貴公司出口帶寬被占用，同時也會降低工作效率和帶來安全風險。因此分公司在建設時要對員工的上網行為進行管控，同時做好審計滿足《網絡安全法》的要求。

1.2遠程接入風險

此剛剛成立分公司，同時還存在出差的移動辦公人員，需要保障分支和移動辦公人員的接入、傳輸、權限等安全性要求。

1.3總部設備升級

總部從原來的一條100M鏈路升級為2條100M鏈路，原有的防火墻和上網行為管理性能不足需要進行替換。

1.4安全規劃方案

整體方案拓撲圖

（網絡拓撲）

基于騰亞當下的主需求，本方案采用如下設計：

在總部出口網橋部署滿足200M帶寬的下一代防火墻設備，來有效防御來自互聯網的高級威脅。

在總部出口網橋部署滿足200M帶寬上網行為管理設備，做好內部員工上網行為的管控，流量的管控以及做好上網行為審計，滿足《網絡安全法》的要求。

在分支出口網橋部署滿足200M帶寬的下一代防火墻設備，來有效防御來自互聯網的高級威脅。

在分支出口網橋部署滿足200M帶寬上網行為管理設備，做好內部員工上網行為的管控，流量的管控以及做好上網行為審計，滿足《網絡安全法》的要求。

在分支核心交換機上旁路部署SSL VPN設備，和總部ssl vpn設備進行IPSEC組網，滿足分支和總部的安全互聯。

1.5方案詳述

     通過相應的安全設備和技術手段對總部和分支網絡建設進行安全建設，主要涉及安全域邊界的安全防護，同時做好員工上網行為的有效管控和審計以及分支和總部間的安全互聯。

出口邊界安全建設

對于互聯網出口來說，應能夠做到以下安全防護：

有效防范來自互聯網的蠕蟲、病毒、間諜軟件和黑客等攻擊和入侵，快速發現網絡安全事件，保護用戶網絡安全，防止黑客帶來的業務安全損失；

能實時發現網絡入侵、控制、破壞等安全問題，有效解決被控制后產生的擴散、泄密、對外攻擊等問題，對僵尸網絡和WEB安全進行事前、事中、事后全面雙向安全防護。

能針對自身業務維度進行一鍵式運維，可以自動識別當前服務器資產和終端資產，并對其進行全面體檢，發現脆弱性，包括弱密碼，開放端口，WEB 明文傳輸等問題，及時補足安全短板；

在遭受攻擊時，可以基于黑客攻擊鏈條來防護，定位失陷終端具體處于哪個階段，比如是在 C&C 攻擊階段，還是內網擴散階段，或者數據外發階段等，可及時做出相應策略，及時止損；

可導出可視化的安全報表，針對業務，終端，漏洞，脆弱性等安全風險詳細分析，便于總結和匯報；

發現和阻斷員工通過互聯網無意識下載惡意的木馬程序和惡意代碼，保護用戶網絡不受網絡病毒的入侵，快速定位內部失陷主機，及時消除潛在風險；

因此建議在出口網橋部署深信服下一代防火墻，通過 L2-7層深度防御，能夠有效防御邊界的安全威脅。

深信服下一代防火墻來說智能融合了僵尸網絡識別技術，其內置的僵尸網絡特征庫數量已經達到了50多萬條，包含了木馬、后門、蠕蟲、惡意軟件、間諜軟件等多種分類，和CNCERT、Virustotal等專業組織保持了密切合作，實時更新；對于釣魚、盜號、欺詐、木馬、頁面偽造等多種惡意鏈接，能夠自動檢測出來并阻止進一步訪問彈出重定向告警頁面。對于漏洞檢測方面，擁有專業的漏洞研究團隊，此外還加入了國內CNVD、CNNVD等專業單位及時共享漏洞特征信息，同時是微軟的MAPP項目合作伙伴，有效發現底層系統漏洞、弱密碼問題、業務應用漏洞、開放端口等多種安全缺陷，并提供對應的防護方案。

上網管控建設

對于內部員工的上網行為管控和審計，通過在出口部署深信服上網行為管理設備，可以實現對員工上網流量管控，應用封堵以及行為審計的作用。

通過制定管控策略，針對風險應用，比如安全風險類的釣魚及惡意網站、翻墻代理、非法網頁、病毒、木馬等，外發文件；泄密風險類的網盤上傳、IM外發文件、郵件發送等應用進行管控；

同時對員工瀏覽上網行為進行審計，做到有據可查，可以審計微博論壇，新聞評論等，微信和 QQ 的 PC 客戶端全面審計，同時支持 SSL 加密網頁審計和網盤上傳下載審計，可以查看上傳或者發送的附件，也可對附件的大小，數量等進行限制，全面管控泄密風險；

通過創新的行為感知系統的大數據分析技術可以直觀有效的查看人員外發情況和泄密追蹤以及員工工作效率和離職傾向；

6分支接入安全建設

總部端設計

總部端通過原有的ssl vpn設備進行和分支互聯。

分支端設計

通過在分支端核心交換機網橋部署ssl vpn設備，和總部ssl vpn設備進行IPSEC組網。

移動辦公人員接入

通過在總部部署的SSL VPN設備，在外出差的移動辦公人員通過每個人一個賬號登錄 VPN，進而訪問內網資源。

SANGFOR SSL VPN支持LocalDB、LDAP/AD、Radius、第三方CA、自建CA、Dkey、短信認證（短信貓和短信網關）、硬件特征碼、動態令牌多種安全認證方式，最大限度地保證了接入用戶的合法性。

數據傳輸安全

VPN的本質就是需要保證數據在公網上傳輸的安全性，達到虛擬專用網的效果。傳輸的安全性強度往往需要依靠VPN數據所采用的加密算法。SANGFOR SSL VPN通過AES、DES、3DES、RSA、RC4、簽名算法等多種國際主流加密算法對數據進行強加密，保證數據傳輸的高安全。

快速易用的SSL VPN

深信服SSL VPN通過自主研發的SRAP協議，單邊加速技術和多線路智能選路技術以及HTP快速傳輸協議來提高訪問速度。

同時，借助于瀏覽器技術，SANGFOR SSL VPN可以支持所有網絡環境，只要瀏覽器能夠上網就可以使用SSL VPN。

如今主流的操作系統主要有Windows、Linux、MAC OS等。主流的瀏覽器分為基于IE內核的如IE、遨游、騰訊TT等，自行開發內核的如Firefox、Opera、Safari、Chrom、Konqueror（Linux）等等。而用戶端使用的操作系統及瀏覽器往往具有隨機、廣泛的特點，需要滿足用戶隨時隨地方便的接入SSL VPN，所使用的SSL VPN系統就必須具有高平臺兼容性，并具備其平臺之上對B/S應用及C/S應用完整的支持性。

SANGFOR SSL VPN可完整支持上述主流的操作系統、瀏覽器，并可完整支持其上的所有應用，提供用戶最高的使用體驗。

深信服SSL VPN支持真正的跨平臺：

支持主流的操作系統；

無需插件，即可兼容所有瀏覽器；

三層VPN功能在不同操作系統功能一致；

VPN功能在所有瀏覽器上功能一致。

精細化的權限管控

基于角色的應用訪問授權

在應用訪問權限的劃分上，可通過IP、端口、服務、URL等方式對內網應用以“資源”的方式進行定義，并基于“角色”將特定用戶/用戶組與相應的資源進行對應綁定，實現指定用戶只能訪問指定的應用的權限劃分。

通過獨特的角色管理功能，提供了細致到每個URL和不同應用的權限劃分。通過給不同用戶設置不同角色來分配訪問授權，一個用戶可以賦予多個角色以適合各種復雜的組織結構。同時，基于角色的授權機制可結合對客戶端安全檢查結果的準入和授權，做到根據用戶所屬角色、用戶登錄時間、登錄終端、終端安全檢查結果的細致應用訪問授權。

角色：用戶、資源、準入策略及授權策略的綁定

URL細粒度授權

對于B/S架構的應用如文件共享應用等往往需要做到URL級別細粒度的權限控制以防止核心數據的泄露。支持HTTP、HTTPS、Fileshare、FTP應用的URL細粒度用戶授權。并可自行編輯URL授權不通過的告警頁面，友好化操作。

服務器方案優勢

安全組網：深信服ssl vpn設備中SANGFOR VPN模塊實現總部與分支機構的安全組網，采用深信服獨有VPN協議；采用硬件特征碼VPN對接接入認證專利技術，保證接入對象的唯一性。

快速流壓縮技術加速網絡訪問：集成了快速的壓縮算法，同時也可以作為加密的加強。壓縮算法采用LZO，比傳統的ZIP快出近10倍，能很好的保證傳輸的實時性。在啟動了該流壓縮選項后，能極大的減少冗余數據流量，增大傳輸效率；平均而言，將傳輸效率提高到130%。

帶寬疊加技術擴充帶寬：多線路復用技術是深信服公司的專利技術之一，通過該技術可以在騰亞總部和分支間同時使用兩條Internet 線路實現互聯。一方面通過線路復用實現互聯帶寬疊加，大大增加大數據量業務的處理速度，另一方面，當其中的一條線路中斷時，系統可以把負載自動切換到其他線路，使得互聯線路不中斷，大大增強VPN系統的穩定性。

多線路負載均衡和斷線重連：支持多達6條線路的線路備份和負載均衡，大大提高了VPN網絡的穩定性。若任何一條線路出現故障，可以將數據無縫切換到其他正常線路，不會影響SSL VPN用戶的接入和訪問。并且若故障線路恢復正常，VPN的連接隧道將自動愈合。同時，為了保證撥號網絡的穩定性，集成了自動撥號軟件，在撥號中斷后，可以自動重撥。網絡物理連接恢復正常后，可以實現總部、分支IP無變化時3s內恢復VPN連接；任意一端IP發送變化時25s恢復VPN連接。

機房裝修

總體需求

工作范圍為兩大項，一是機房設備購置部分,包括機房精密空調、機房氣體消防、機房UPS、機房視頻監控系統、機房門禁控制系統。二是機房工程部分，包括機房裝修工程、機房配電、機房的強電布線、機房弱電布線施工、機房電源防雷接地系統以及機房新排風系統。

為保證計算機機房安全、可靠的運行，以及為工作人員提供一個良好的工作環境，具備一個完整的機房工程系統是必不可少的。該系統包括空調、防靜電、防雷擊等方面的內容。作為機房建設的首要任務，工程項目的設計規劃是十分重要的起步。優秀的設計，合理的性價比以及切實可行的項目規劃是建設一個成功機房的重要保證。

室內裝修要求

一般要求：

1.計算機房的室內裝修工程主要包括吊頂、隔斷墻、門、窗、墻壁裝修、地面、活動地板的施工驗收及其他室內作業。

2.室內裝修作業應符合《裝飾工程施工及驗收規范》、《地面與樓面工程施工及驗收規范》、《木結構工程施工及驗收規范》及《鋼結構工程施工及驗收規范》的有關規定。

3.在施工時應保證現場、材料和設備的清潔。隱蔽工程（如地板下、吊頂上、假墻、夾層內）在封口前必須先進行除塵，清潔處理、并由有關專業人員驗收，暗處表層應能保持長期不起塵、起皮和龜裂。

4.機房所有管線穿墻處的裁口必須作防塵處理，對縫隙必須用密封材料填堵。

5.在裱糊、粘接貼面及進行其他涂復施工時，其環境條件應符合材料說明書的規定。

6.裝修材料應盡量選擇無毒、無刺激性的材料，盡量選擇難燃、阻燃材料，否則應涂防火涂料。

活動地板

1.本工程區域地面采用防靜電活動地板。地面鋪設前應對原地面進行防塵處理及用15mm厚保溫進行保溫處理；

2.計算機房用活動地板應符合國標GB6650-86《計算機房用活動地板技術條件》。

3.活動地板的鋪設應在機房內各類裝修施工及固定設施安裝完成并對地面清潔處理后進行。

4.建筑地面應符合設計要求，并應清潔、干燥、活動地板下空間作為靜壓箱時，四壁及地面均應作防塵處理（如防塵油漆等），應保證長期不起皮、起泡或龜裂。

5.現場切割的地板，周邊應光滑，無毛刺，并按原產品的技術要求作相應處理。

6.活動地板鋪設前應按標高及地板布置嚴格放線將支撐部件調整至設計高度。

7.活動地板鋪設過程中應隨時調整水平遇到障礙或不規則地面，應按實際尺寸鑲補并附加支撐部件，保證地板牢固可靠。

8.在活動地板上搬運，安裝設備時應對地板表面采取防護措施，保證竣工時提供完整如新的地板面。

9.活動地板鋪設接縫應橫平豎直，鋪設偏差應符合下表的規定：

活動地板允許偏差

10.為防止地面結露，精密空調區地面應鋪設15厚橡塑保溫材料。

空氣調節系統

空調系統主機

1.本工程標明采用精密空調區域采用下送風、上回風恒溫恒濕精密機房空調系統，依據本項目現場實際面積，因此預計單臺精密空調的極限制冷量至少需要12.5KW（理論上空調系統主體設備應有20%的備份余量）。

2.計算機機房活動地板下空間作為靜壓箱時，管道安裝應符合下列要求：

靜壓箱內各種管道應嚴格按設計要求施工。設計無規定時，各種管道應安裝在同一水平高度上，不要疊放。

在靜壓箱與各種管道接縫處應采取密封措施，做到清潔、嚴密。

機房空調系統的主體設備要留有備份余量。

機房專用空調安裝應豎向垂直，橫向水平，牢固穩定?？照{器的基礎臺座應與建筑樓地面牢靠固定，空調器與金屬臺座間應墊隔震材料。

空調器與風冷冷凝器之間的氣體和液體管道在安裝后應用氮氣進行吹洗干凈，管道內不得存有異物、灰塵和水份等。

3.溫度、相對濕度傳感器的安裝應符合下列要求：

安裝在室內的，應設置在空氣流通的回風氣流中。

安裝在活動地板下時，應設置在離空調器出風口順氣流方向3m遠外氣流均勻的地方。

4.室外風冷冷凝器的安裝應符合下列要求：

風冷冷凝器的四周應留有足夠的通風及維修空間，設計無規定時，設備與圍擋物之間及二臺設備之間距離應大于1.5m；留有人員上下維修的通道。

連接空調與風冷冷凝器之間的管道保溫材料，設計無規定時應采用導熱系數小，抗溫性及耐火性強，不易霉爛，機械強度高，經久耐用，便于加工的材料。

為了避免下層結露，樓板保溫建議采用目前最新技術，效果良好的橡塑的保溫層方式。

采取措施，保證機房主控區域不因遠離空調機組而造成調溫、調濕效果差的問題。

主機房精密環境控制設備的制冷量不應小于 12.5 KW。并需要形成主機1＋1冗余備份工作方式。

UPS配電區域、操作間、備份機房采用大金吸頂空調。

新風

新風采用獨立的新風系統，送入機房的新風應符合下列要求：新風應是新鮮潔凈的空氣，本機房的新風補充量應為8％-10％。

新風機采用變頻式，應具有高效過濾作用。

新風機安裝過程中，應防止損壞過濾材料，并保持完好與清潔。

機房溫度指標

機房相對濕度指標

開機時的測試應在計算機設備正常運轉1小時后進行。

空氣潔凈度指標

機房空氣潔凈度依機器的要求而定，本機房根據國家標準《計算機場地技術條件》中A級的要求，即粒度(μm)≥0.5的塵粒數(粒/dm3)≤18，000。

機房壓力

主機房內應保持有正壓力，對外界空氣一般應維持10-20Pa的正壓。

供配電系統

供配電電源

1.供電電源應滿足下列要求：

頻率：50HZ；

電壓：交流380V／220V；

相數：三相五線制和單相三線制。

2.國家標準《計算站場地技術條件》對機房的供電要求見下表。

3.機房的低壓配電室為機房提供1路不小于20KW、100A容量的電源至機房進。

4.UPS輸出低壓控制的數量視機房內UPS輸出插座和接線盒數量確定，并應留有擴充余量。

配線

1.干線與電源盤，柜應采用壓接端子連接。

2.機房內的電源線、信號線和通訊線應分別鋪設、排列整齊、捆扎固定、長度留有余量。

3.電源相線、中性線，保護接地線，直流工作地線，各種信號線和通訊線的顏色應各不相同，并按設計要求編號。

4.電纜電線連接應可靠，不得有扭絞，壓扁和保護層斷裂等現象。

5.地板下管線應與地面保持一定高度。

6.所有電氣裝置、導線通電運行2小時后的溫升，不得超過允許值。

不間斷電源系統

1.UPS設備由施工單位負責采購、安裝、調試。

2.UPS輸出配電柜應有足夠的余量（可至少支撐機房設備總用電量2小時或以上）和高度的可靠性，其每路開關與對應的插座、接線盒都有明顯的標識（可按坐標位置標注）。

3.所有的UPS輸出線纜均應穿鐵管鋪設并與地面保持一定的高度距離。

4.UPS配電區域，應進行加固處理，UPS主機及電池柜均布置于承重鋼梁上。

防雷接地

對機房內弱電設備的防雷接地設置要求如下：

1.防雷接地，要求嚴格按照有關標準執行（如《建筑物防雷設計規范》GB 50057等，能夠確切保證系統和人身安全、數據和設備安全。

2.機房采用二級電源防雷標準。一級設置在UPS的出口端；二級設置在重要設備前端，并考慮等電位設計。信號防雷主要針對安防系統前端進行防雷。

3.應設置供電電源浪涌保護器以及UPS后的配電箱浪涌保護器。

4.各信息系統需要設置信號避雷器。

5.弱電系統的接地系統要考慮完整。采用綜合接地方式。接地系統的接地體與強電專業共用，接地電阻小于1歐姆。

6.弱電機房和弱電井均要設置“接地端子箱”。

機房大體效果圖

南京仲子路科技有限公司14年機房建設系統工程施工經驗，如果您對機房建設系統工程有任何疑問或需求，請致電4001-868-111或在線咨詢！也可到我們的官網留言咨詢、官網：www.xootter.com、我們7-24小時為您服務。     

本文相關關鍵詞：網絡機房建設方案、江蘇機房建設公司、數據中心機房建設、機房裝修、機房建設

聲明：本文只做技術研究討論，請勿用于非法目的，如果惡意使用造成任何法律責任本站概不負責！