文档介绍：网站扩容建设技术方案
目录
1 方案概述 1
现状描述 1
需求分析 2
2 项目技术方案 4
总体建设原则 4
网络改造方案 4
网络改造目标 4
网络改造思路 4
网络改造的技术特点 5
网络改造方案 6
网络设备选型建议 11
服务器及存储方案 14
服务器方案 14
存储容灾备份方案 18
网络安全方案 24
安全体系架构 24
设计思想及原则 24
网络安全风险分析 26
网络安全体系构建方案 29
安全产品选型建议 43
方案概述
现状描述
某是某省委、省政府的新闻和综合网站,某省重点新闻网站和网络新闻总站,某省第四媒体,省一类新闻单位。网站于2001年5月30日正式开通。某按照“就地起步,快速成长,争创一流”的发展思路,以立足某、面向全国、走向世界为理念,以服务广大网民为根本。网站将某省各类资源进行整合,组建某网络新闻宣传的“航母”,打造某网络的强势品牌。某历经三次改版,设有频道十四个,栏目上千个。新闻和信息日更新量超过了2000条。提供最权威、最丰富、最及时的某新闻,并汇集了某社会、经济、文化、生活等各个方面最新信息资讯,是世界了解某的重要窗口。现正逐渐成为某省各级党政领导的办公网、决策网,真正为老百姓办实事的百姓网、呼声网。
目前某具体的网络环境如下图所示。
网络方面:全网划分为服务器外网、备份网以及办公内网三个部分,其中服务器外网主要是对外提供网站访问和论坛服务;备份网则部署网站和论坛的数据库服务器以及内部的生产服务器,备份网相对独立,不汇聚到核心层,外网服务器通过双网卡的形式直接连入备份网,进行数据读写;办公内网主要为内部用户提供办公以及互联网访问服务。全网核心层采用一台Cisco 4503作为单核心,无冗余。网络出口为四条百兆光纤,带宽400M,分别为电信100M独享链路三条,网通100M链路一条;CDN加速带宽30M,服务商为上海帝联信息科技发展有限公司。无线接入则主要采用胖AP的方式。
服务器及存储方面:某的服务器为几年前采购的老机型,无论从性能上还是数量上都已无法处理当前访问量的增长。数据存储则是采用分布式的存储架构,未配置磁盘阵列实现集中存储。
安全方面:部署了一台100M的抗攻击设备绿盟的黑洞;VPN接入则是通过一台天融信设备所提供的IP-Sec VPN方式。
需求分析
针对某目前的现状,我们给出如下分析:
1、网络核心层未提供冗余,易出现单点故障,急需实现双机冗余。
2、服务器网的接入层设备品牌繁杂,设备老化,性能和稳定性都无法满足某发展的要求,因此需要对这部分设备进行更新换代。
3、大部分内部用户都使用笔记本电脑通过无线的方式接入内网,对无线接入提出了更高的要求,因此需要由目前的胖AP模式,转变为无线控制器+瘦AP的模式,使无线接入更安全,更易管理。
4、带宽严重不足,除网通光纤负载率在60%以外,三条电信光纤负载率都达到了85%以上,一旦遇到突发流量,网民访问某变得及其缓慢。因此需要增加带宽,为网民提供更快速更流畅的访问体验。
5、为了改善目前20%的服务器占用80%的带宽,导致大部分服务器带宽得不到保障的局面,急需部署流量控制设备,提供流量分析、统计以及审计功能,帮助管理员及时了解网络中的应用分布。网络出现拥堵时,能快速定位被攻击光纤和服务器以及攻击类型,确保正常业务得到带宽保障。
6、需要对外联链路进行负载均衡和流量分担,对多家运营商所提供的带宽资源,实现带宽叠加、链路失效替换和智能路径判断。
7、随着带宽的升级,目前的黑洞100M设备已不能满足要求,需要将抗DoS攻击设备的处理能力提升至1G,并且部署专业的应用层攻击防护设备,为某提供更全面的防御能力。
8、目前某使用的VPN设备为4年前采购的天融信VPN设备,安装上线后碰到很多兼容问题,而且传统的IP-SEC VPN由于存在诸多弊端,根本不能满足某使用人员和业务部署的需要。因此需通过部署SSL VPN产品,来扩展某内部信息平台的覆盖范围,并保障数据在网络链路上传输的安全性。
9、目前某的前台应用服务器已无法处理当前访问量的增长,前台程序服务器平均每天的CPU占用率高达90%以上,碰到大的突发情况CPU占用率会达到100%,造成正常访问极度缓慢。需增购高性能的数据中心服务器以及应用服务器,以满足某访问量的不断增长。
10、建设共享式的多协议(SAN、NAS、iSCSI)存储资源池,充分利用各种存储协议的特点实现存储资源的有效整合,并提高存储资源的利用率。实施存储本地