完整的数据机房建设的方案

完整的数据机房建设的方案内容摘要：

t2924也同样支持快速以太通道和千兆的主干连接，可以在需要的时候平滑地从现在的10M/100M/1000M 的交换结构升级到 100M/1000M/n*1000M 的交换结构，成 10倍地提升网络速率。 IDC 基础系统建设 IDC 在前期建设中，首要任务之一是建设其基础服务系统， IDC 的基础系统主要有 DNS系统、目录服务系统、数据备份系统、安全系统等。 DNS建设 在 Inter 上计算机和网络设备使用 IP 地址来表示的，但 IP 地址很难记忆，所以采用和 IP 地址相对应的域名 (Domain)来表示主机和网络， DNS(Domain Name Service)即域名服务就是把主机名字和 IP 地址作相互匹配，供 Inter上用户以主机域名的方式相互查询。 DNS 是向用户提供域名查询或域名登录服务，其与 Inter 中的其它域名服务器形成全球域名服务体系。 通常 DNS 服务器采用两台或多台的方式来运行，其中一台主服务器（ Primary），其它为次服务器（ Second） ,当主服务器不能工作时，有任何一台次服务器来接管其工作，这样保证了 DNS系统运行的可靠性，主次服务器之 间采用自动信息更新方式。 IDC 的 DNS系统除了要为 IDC 自身服务之外，还要为其客户提供相应的域名定义、为用户开设虚拟域名服务等。 所以在 IDC 的 DNS服务器上可能要定义和管理上百个或更多域名，由于有如此多的域名，其每天接受的查询量也是相当庞大的。 为了保证 IDC 的 DNS 域名的可靠性和安全性，我们采用 Split DNS 技术来设计 IDC 的 DNS系统，即把 IDC 的 DNS系统划分为内部和外部两部分，其中外部 DNS 系统位于公共服务区，负责 IDC 正常对外解析工作，如 IDC 的 Web 服务器、 IDC 用户的 Web 服务器等解析工作全由外部 DNS 服务器来完成；内部DNS系统主要有两项工作，一是负责解析 IDC 内部网络的主机，如目录服务器、邮件服务器等，另一工作是负责当内部要查询 Inter上域名时，其把查询任务转发到外部 DNS服务器上，然后由外部 DNS服务器完成查询任务，返回结果。 由于把 DNS 系统分内外两部分， Inter 上用户只能看到外部 DNS 系统中的服务器，而看不见内部的服务器，而且只有内外 DNS服务器之间交换 DNS查询信息，从而保证了系统的安全性。 如下图说明了 DNS解析流程， 我们采用两台 Sun E420R服务器作为外部 DNS服务器，两台 Sun E420R服务器作为内部 DNS服务器，所有两台服务器之间以主次方式运行， DNS软件可采用 Solaris系统中的，也可使用 Inter上公开的 Bind。 具体的服务器配置如下表所示。 安全性建设 系统安全架构的设计将包括两个方面：防止 IDC 网络外部用户对 IDC 网络系统可能的攻击，以及防止 IDC 网络内部各子系统之间可能的攻击。 这两个方面所采用的技术和思路是一致的。 系统安全架构将从三个层次来考虑： 网络层、主机 /服务器系统及应用层。 网络层的安全主要是防范对于整个网络的非法访问，一般通过防火墙来实现。 通过配置了多级防火墙，以隔离 IDC 网络各个组成部分相互之间的非法访问（合法访问可以通过）；对于 Inter 用户来讲，如果想非法侵入 IDC 内部网络，必须突破防火墙的防范。 另外，各级防火墙可采用不同的产品，以提高网络整体的安全性。 主机 /服务器系统的安全是针对个别机器的。 除了主机 /服务器的操作系统自身的安全性之外，目前有多种产品可供选择，包括 SUN 公司的 Security Manager和 CA公司的 Unicenter TNG等产品。 应用层的安全将从三个方面来考虑：增强应用服务器系统的安全；采用身份认证机制，以保证应用的可靠性；采用数据加密技术和防病毒软件，以保证应用的安全性。 操作系统的安全性建设应是整个系统安全性建设的基础。 操作系统的安全性建设主要包括用户的管理、超级用户的管理、文件系统安全管理、远程对系统的访问等。 用户管理：对用户的管理主要有用户的账号口令管理，设置用户账号的有效期， 用户账号口令的存活期限等。 如果需要可以规 定用户只能在指定的时间内才能登录系统，并对登录系统的用户进行审核（ audit）。 超级用户的管理：严格限制有普通用户变成超级用户（如使用 su、 rlogin等命令），如果需要可以使用如 CA Unicenter TNG这样的软件来控制系统超级用户的权限。 文件系统的安全管理：控制用户对系统内特殊文件的访问权限，特别是删除、移动等权限，对使用 NFS系统可以采用 kerberos方式认证。 远程对系统的访问：封闭系统的 tel、 ftp、r访问（ rsh、 rlogin、 rcp）等功能；但可以对系统管理员开放相应的 tel、 ftp功能，以便利于对系统的管理和维护。 2．防病毒 (AntiVirus) 目前病毒在网络和 Inter上传播主要以电子邮件和 Web浏览的方式传播，以及内部网络上员工的共享文件的传播。 防病毒可以分为集中防病毒和分散防病毒两种方法。 集中防病毒的方法是在主要的服务器上安装防病毒软件，此软件先对进出此服务器的数据进行检查，然后再把通过检查的数据发送给客户；分散防病毒是只在客户端安装防病毒软件，它只检查进出客户端的数据是否有病毒感染。 由于 IDC 主要为客户服务，数据主要集中在服务器上，所以在 IDC 系统的防病毒体系中主要采用集中防病毒方法，但同时对一些与服务器相交户的内部客户段（如管理客户段）也采用分散的防病毒方法。 集中防病毒主要是对进出的邮件和HTTP流数据进行防病毒；分散是保护内部网的单个终端用户。 3．防火墙 (Firewall) 防火墙 (Firewall)是保证网络安全的重要手段之一，在建设 IDC 基础网络系统安全性时，首先是要考虑防火墙的建设。 在 Inter/Intra上，通过防火墙来在两个或多个网络间加强访问控制，其目的是保护一个网络不受来自另一个网络的攻击，隔离风险区域与安 全区域的连接，但不妨碍人们对风险区域的访问。 防火墙要完成如下主要功能： 通过对 IP 包的检查，过滤对网络安全有潜在威胁的 IP 数据包。 屏蔽对于网络不必要且有安全漏洞的服务，如 Tel、 FTP等。 控制从 Inter 上过来的 IP 数据的流向，如数据包其目的地址只能是某个区域的 DNS、 WWW等服务器。 屏蔽对于某些 Inter站点的访问。 完成系统内部 IP地址到 Inter合法 IP 地址的转换，保证能够从系统内部访问 Inter，隐藏内部网络和主机的结构。 访问日记，即 Access Log。 IDC 不仅要建设自己的防火墙系统，同时也要考虑特定的用户需要建立起自己的防火墙系统，即用需要在其自己的应用前增设相应的防火墙系统来保护其应用的安全（这可根据用户的实际需求再进行建设）。 4. 网络和系统入侵监控 网络和系统的入侵检测是在网络上增加一台扫描仪器和在主要服务器上增加相应的防入侵软件来实现。 此类防入侵软件有两个主要功能，一个扫描网络和系统上的安全漏洞，以便在网络和系统建立初期，就解决好安全问题，此功能也属于安全保护范围；另一个功能是在网络和系统运行时，监 控数据流，及时发现黑客入侵，从而做到防止黑客的入侵。 在 IDC 系统中，在每个重要的服务取得网络的入口处安放一个探测器，对每个进出此段网络的数据流进行检查探测，当其发现某一个数据流不是正常的数据流时，探测器把此数据流截获住，并向位于管理区的管理服务器发送入侵信息和警告，然后由管理服务器在做相应的防御对策。 同时在每个服务器上安装有类似的探测器，所以当黑客入侵服务器系统时，也是采取上述动作。 数据存储系统 1． IDC 存储系统综述 在新的以信息为核心的时代，如何更有效的管理、保护和共享企业信息已为各行 业的发展提出了新的挑战。 尤其在电子商务、互连网络等新兴信息行业领域，更是面临着前所未有的巨大挑战。 在传统的分布式处理模式下，网站内所有的信息分布在内部各个服务器上，信息的管理，信息的可用性受到了很大的限制，不能充分发挥应有的作用，而且系统的升级和新业务的开发部署也都不能及时响应Inter 快速变化的要求，在这种情形下，以信息为中心的集中处理模式应时代的需要再次走上了历史舞台，而构建企业信息基础设施则更是集中处理模式的重中之重。 对于 Inter 网站来说，几分钟的宕机都会带来巨大的经济损失以及不可估 量的网络用户的流失，如果宕机的时间再长一些则可能危及整个网站的生命。 因此整个 IT系统的高可用性变的非常重要，而作为信息系统核心的数据部分的高可用性更是重中之重，服务器的宕机可以通过多台服务器冗余带来保护，但是如果服务器上的数据没有有效的保护或成为访问瓶颈，则可能成为致命的缺陷。 另外，分布式的环境给信息系统管理带来了巨大的障碍。 数据分布在众多的平台和服务器之上，备份和管理的工作变的。