打开文本图片集

摘要：随着计算机技术的高速发展，目前私有云平台与防火墙保护结合已经成为企业财务系统建设的主要的选择方案，本项目拟更换原有系统的服务器、存储和防火墙等硬件设备，并结合VMware服务器虚拟化软件，打造一套具有安全性、稳定性、连续性的私有云系统，同时搭配一套专业备份设备并结合防火墙保护为各业务系统数据的安全性保驾护航。

关键词：私有云；防火墙；

引言

私有云是单独为客户需求进行构建的云计算技术，安全性和服务局效率都很好，并且可以很好的控制企业的相关数据，目前，私有云平台的构建方式主要包含两种，在企业原有的IT系统上进行构建，并部署在企业系统的防火墙中，或者根据云提供商的服务来构建，并依托其主机托管部署。私有云具有只为一个企业数据中心进行数据服务的专有资源核心属性，与市面上广泛应用的公有云、混合云共同占据着云存储市场份额。虽然越来越多企业选择使用私有云，但对私有云认知存在不足，导致其在企业应用中效果不明显。在旧的计算机网络的系统中，对网络安全法中的要求实现有缺，旧系统常用物理服务器对数据进行维护，后期维护中存在服务器老旧而替换困难、服务器备件准备规格不一、服务器扩展困难且空间占用量大、缺少系统备份措施且物理服务器还原困难等一系列问题。

目前，随着计算机网络技术的发展，本文设计并实现了基于虚拟化计算资源规划的私有云平台和防火墙保护结合的系统。本文首先通过对私有云平台的系统架构、防护墙保护等进行研究，设计私有云平台; 然后，提出了基于私有云平台的设计方案和实施方案，并成功将防火墙保护部署在私有云平台上。本文提供了一种私有云平台及防火墙保护的设计与实现方法，为私有云平台的搭建提供一种搭建思路，结合防火墙保护可以为后续相关系统搭建提供实际应用参考。

1 背景

1.1私有云平台背景

很多IT巨头包括微软、VMware等都在争夺云计算市场下的私有云领域，但私有云平台并未被他们垄断，还有很多新晋黑马创新IT公司也依托自研平台的创新在该领域脱颖而出。目前在私有云领域，VMware依旧位于比较领先的位置[1]，其次是三分之一的企业在使用vSphere作为私有云平台以及十分之一左右的企业在使用vCloud作为私有云平台，然后是约有三分之一的企业在使用OpenStack，目前比较新的私有云平台微软Azure Pack也有近十分之一的使用率。

私有云平台的常用构建技术主要包括以下几种：

（1）微软私有云：尽管IT巨头微软进入云领域较晚，但微软耗费了巨大的资源和精力去赶上其余竞争企业，微软的私有云软件被称作System Center 2012R2，主要包括虚拟化软件和数据保护管理器以及末端保护和操作控制器组合而成。

（2）VMware vCloud Suite私有云[2]：VMware在虚拟化的云计算市场占有最大份额，

是行业性能与可靠组合的榜样。目前能够将私有云服务在最复杂的场景中进行使用，并且可以将该软件特有的资源配置管理项提供给用户。

（3）OpenStack私有云：OpenStack为目前非常流行的开源私有云操作系统，包括管理、存储等技术，便于用户使用，是拥有有限个界面功能的私有云平台，不存在专属的虚拟化软件，但却可以兼容VMware的ESXi、微软的Hyper-V、Citrix的Xen以及最常用的KVM。

（4）Apache的CloudStack。可以兼容虚拟化软件，同OpenStack私有云。

该平台和OpenStack一样，不存在专属的虚拟化软件，但该平台的私有云平台方案十分完整。用户可以利用这个完整的管理界面进行执行和管理镜像的部署、分布式存储与有限的软件定义网络功能。

（5）Ucloud。Ucloud主要用于类似于游戏类的垂直领域，是基于OpenStack进行二次开发的私有云平台。

1.2防火墙保护背景

目前，通过防火墙来保证网络信息安全，防火墙的使用目前已经较为成熟，但仍存在可以优化的空间，网络上的病毒甚至也在不断的更新迭代，伺机侵入内网窃取我们的隐私信息，因此防火墙技术不可停滞不前，也需要不断研究并持续更新，为我们的网络提供可靠的防守。

防火墙技术是一道隔离线[3，4]，将不安全的请求全部隔离至隔离线外，确保内网不被侵扰，进而保护内网数据不外泄。这道隔离线可以保护内部数据，外网恶意数据必须经过这道隔离线的允许才可进入内网。不同级别的防火墙防护效果不同，级别越高，安全性越高。防火墙可有效防止外外界不合法请求数据进入用户网络，防火墙过滤分析出不合法信息并拦截，可有效保护内网的安全性。

现在防火墙基本都位于边界，存在于内外网间或者子网间，形成一个安全隔离带。但这种防火墙存在一定问题，因为恶意攻击不只位于外网，内网也有可能存在安全隐患，所以我们需要更严谨的防火墙防护。因此有了分布式防火墙，可以覆盖内外网，做到全面防护，大大提高了防火墙防护的安全性和全面性。以往防火墙功能单一，存在一定的局限性，因此需要对防火墙进行扩展。目前大部分厂商将不同类型的防火墙组合成一种使用，取长补短，防火墙的功能也不断完善。防火墙的研究必然是以性能和用户需求为主，将多种性能进行组合使用被越来越多的企业青睐。一般来说，多种性能组合的防火墙对系统负荷重，这方面可以考虑多种处理器优化。

2私有云平台及防火墙保护的系统实施架构

公司现有财务系统运行中涉及2台IBM服务器、1台天融信防火墙、1台存储、1台UPS、1套Oracle数据库和中间件，本项目拟更换现有服务器、存储和防火墙等硬件设备，并结合VMware服务器虚拟化软件，打造一套具有安全性、稳定性、连续性的私有云系统（原服务器、存储等旧设备也加入私有云系统）；同时搭配一套专业备份设备为各业务系统数据的安全性保驾护航。

本文是针对公司现有财务系统的原有平台进行升级及改造；依据国家信息安全法的落地，同时也更有效保证网络及数据的安全，最大可能性利用硬件平台资源，保证公司财务系统及其它应用系统稳定、安全、便于运维。 本文私有云平台及防火墙保护的系统实施架构如下图1所示：

本次采购硬件有服务器、存储、虚拟化软件、网络防火墙、VPN组网设备、安全加固软件、及供电设备，新购服务器及平台软件进行平台搭建，网络好网络防火墙及VPN组网设备，建立完善访问机制及权限设置，部署私有云平台及各应用的操作系统及数据库，测试通没有问题情况下，按照可行的时间节点进行原有设备的中应用系统进行迁移，迁移过程中保证业系统正常运行。一切准备就绪后，进行实时备份，防止业务数据中丢失。

3私有云平台及防火墙保护的设计与实现

3.1虚拟化计算资源规划

3.1.1虚拟化计算资源池规划

虚拟化资源池配置2台浪潮服务器，每台服务器配置2颗至强处理器。服务器通过双HBA卡连接磁盘阵列，从磁盘阵列可以动态向主机映射磁盘，虚拟机也可以按需从磁盘阵列取得存储资源。

3.1.1.1 虚拟化服务器心跳网/管理网连接规划

对于ESX server来讲，一方面通过业务网口提供对外服务，另一方面，需要通过心跳互相侦测对方状态，最后还需要通过管理网来远程进行虚拟化管理。

ESX server共有四种形式的网络： VmKernel（VMotion），VMConsole，光纤网，业务网。内工大项目中虚拟化服务器心跳网/管理网规划涉及到业务网以外的3中网络： VmKernel（VMotion），VMConsole，光纤网。

VmKernel/VMotion port：ESX server内核接口，用来传送VmKernel心跳，也用来做VMotion虚机故障迁移。根据上图设计，VmKernel是双链路冗余互备。为防止心跳网彻底中断引发安全故障，项目中还增加了光纤心跳。只要服务器与存储间的光纤连接不中断，即使VmKernel心跳全部中断，虚拟机也不会自动发生切换。

（1）1Service console port： ESX server的管理网络，如Vsphere client和vCenter使用此网络管理ESX虚拟化资源池，实现DRS、HA、vMotion等虚拟化集群等重要功能；另外，此网络还提供BE网络备份的数据流支撑。

（2）Fiber Channel虚拟化心跳： 在虚拟化的HA当中可以指定Fiber Channel光纤链路同时也作为心跳。只有当光纤磁盘心跳网也彻底断开时虚拟机才会开始切换。

本项目中的VmKernel/VMotion心跳网：

（3）每台虚拟化服务器2口网卡上的网络端口0（vmnic0）连接服务器，形成物理链路做VmKernel心跳，两条光纤链路，同时连接存储，形成光纤磁盘心跳。

本项目中的VMConsole管理网：

虚拟化服务器ESX1， ESX2，集成端口1（vmnic1）分别连接管理交换机1，形成管理网。

3.1.1.2 存储链路规划

本次项目配置双控浪潮AS2600G2存储，分别通过光纤线直连2台服务器，具体规划为：控制器1（1口）连接服务器1（1口），控制器1（2口）连接服务器2（1口），控制器2（1口）连接服务器1（2口），控制器2（2口）连接服务器2（2口），配置链路负载均衡，保障业务连续性.

3.2备份系统规划

本次项目配置爱数E6020，使用定时备份对现有业务系统进行完全备份和增量备份，保障业务连续性。

具体为：每周日完全备份，每周其余时间为增量备份。

3.3防火墙保护及VPN规划

防火墙保护实施步骤如下：

（1）新购防火墙上架通电，查看运行状态

（2）重新梳理网络架构，梳理老防火墙策略

（3）备份老防火墙配置及策略

（4）备份的配置及策略导入购防火墙

（5）新老防火墙割接，测试网络运行状况

（6）老防火墙下线

VPN实施步骤：

（1）设备上架通电，查看运行状态

（2）设备配置及用户数授权激活

（3）安装客户端，测试使用

（4）稳定性测试完成后，移除原先的端口映射访问方式

3.4 oracle数据库迁移

迁移步骤：

（1）现有数据库环境统计（版本，实例，表空间等）

（2）停业务，现有数据库备份

（3）新建虚拟机，新建数据库（版本，路径与原数据库一致）

（4）创建实例，表空间

（5）数据库恢复，测试数据库，验证数据

（6）验证业务

3.5 UPS实施

UPS实施步骤如下：

（1）新购UPS主机电池柜安装

（2）服务器机柜通电

4结语

根据本文私有云平台及防火墙保护的设计与实现，实现了打造一套具有安全性、稳定性、连续性的私有云系统，同时搭配一套专业备份设备并结合防火墙保护为各业务系统数据的安全性保驾护航。

本文的私有云平台及防火墙保护的设计与实现方法存在如下几个显著优点：

（1）业务持续性

系统无单点故障，一组存储节点相互连接在一起作为一个系统协同工作；可随时更改系统而不影响用户访问数据。

（2）无中断运行

将计划内事件和计划外时间根据NDO程度执行。计划内事件包括生命周期操作和维护操作，计划外事件包括基础架构弹性。生命周期操作包括容量和性能管理，维护操作包括软件升级、硬件更换和升级，基础架构弹性包括硬件和软件故障期间的弹性。

（3）经验证的高效率

私有云解决方案实现了虚拟化平台管理可视化，图表化显示虚拟数字中心状态，有效提搞了容量利用率、整合率，而vCenter统一管理虚拟化数据中心，为管理带来了极大方便。

（4）可扩展性

超融合系统可以进行横向扩展，可对每个节点进行CPU、内存、硬盘的扩充，也可以横向增加节点，最大可扩展至64个节点，能满足未来业务发展对基础架构能力扩展的需求，充分保护前期投资。

（5）经济性

推荐的方案均能满足目前业务需求，且未来能随业务增长动态扩展，实现投资经济性。

5参考文献

[1]Kim Weins，Cloud Computing Trends： 2015 State of the Cloud Survey[R]，New York，RightScale Companies，2015.

[2]孔令先，2011年现代数据中心基础设施建设技术年会[J]，电气应用，2011（03），58.

[3]谭湘.基于防火墙的企业网络安全设计与实现[D].西安电子科技大学[2024-05-10].DOI：10.7666/d.Y2379810.

[4]马耀军.防火墙技术在计算机网络安全中的有效应用[J].科技资讯， 2022（013）：020.

作者简介：蒋林博，1986.08.16，男，汉，江苏南京人，本科，系统集成项目管理师（中级），目前从事IT系统集成项目（网络安全）工程。