網(wǎng)絡系統(tǒng)集成 課件 第6-8章 網(wǎng)絡安全方案設計、網(wǎng)絡應用服務器、網(wǎng)絡存儲方案設計

第六章網(wǎng)絡安全方案設計【內(nèi)容介紹】本章介紹了網(wǎng)絡安全現(xiàn)狀，我們從現(xiàn)狀分析得到應該采取什么樣的策略，然后圍繞策略，結合常見安全技術進行詳細地講解了網(wǎng)絡準入控制及相關產(chǎn)品，防火墻技術及相關產(chǎn)品，網(wǎng)絡入侵檢測技術及相關產(chǎn)品，網(wǎng)絡防病毒技術及相關產(chǎn)品，統(tǒng)一威脅管理及相關產(chǎn)品，網(wǎng)絡傳輸安全及相關產(chǎn)品。最后通過具體的方案案例給予網(wǎng)絡安全補充講解。7.1網(wǎng)絡安全基礎隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡安全逐漸成為一個潛在的巨大問題。網(wǎng)絡安全性是一個涉及面很廣泛的問題，其中也會涉及到是否構成犯罪行為的問題。在其最簡單的形式中，它主要關心的是確保無關人員不能讀取，更不能修改傳送給其他接收者的信息。此時，它關心的對象是那些無權使用，但卻試圖獲得遠程服務的人。安全性也處理合法消息被截獲和重播的問題，以及發(fā)送者是否曾發(fā)送過該條消息的問題。大多數(shù)安全性問題的出現(xiàn)都是由于有惡意的人試圖獲得某種好處或損害某些人而故意引起的?？梢钥闯霰ＷC網(wǎng)絡安全不僅僅是使它沒有編程錯誤。它包括要防范那些聰明的，通常也是狡猾的、專業(yè)的，并且在時間和金錢上是很充足、富有的人。同時，必須清楚地認識到，能夠制止偶然實施破壞行為的敵人的方法對那些慣于作案的老手來說，收效甚微。6.2網(wǎng)絡安全設計的步驟6.2.1信息安全的三要素信息安全的中心問題是要能夠保障信息的合法持有和使用者能夠在任何需要該信息時獲得保密的，沒有被非法更改過的“原裝的”信息。在英文的文獻中，信息安全的目的常常用Confidentiality(保密性),Integrity（完整性）,和Availability（可用性）,三個詞概括。簡而言之，叫CIA-Triad。6.2.2風險分析和管理網(wǎng)絡安全風險分析主要是指：由于網(wǎng)絡存在的安全漏洞，黑客們所制造的各類新型的風險將會不斷產(chǎn)生，這些風險由多種因素引起，與網(wǎng)絡系統(tǒng)結構和系統(tǒng)的應用等因素密切相關。（1）物理（2）網(wǎng)絡（3）系統(tǒng)（4）應用1、物理安全風險分析網(wǎng)絡物理安全是整個網(wǎng)絡系統(tǒng)安全的前提。物理安全的風險主要有：地震、水災、火災等環(huán)境事故造成整個系統(tǒng)毀滅。電源故障造成設備斷電以至操作系統(tǒng)引導失敗或數(shù)據(jù)庫信息丟失。電磁輻射可能造成數(shù)據(jù)信息被竊取或偷閱。不能保證幾個不同機密程度網(wǎng)絡的物理隔離。2、網(wǎng)絡安全風險分析內(nèi)部網(wǎng)絡與外部網(wǎng)絡間如果在沒有采取一定的安全防護措施，內(nèi)部網(wǎng)絡容易遭到來自外部網(wǎng)絡的攻擊。包括來自internet上的風險和下級單位的風險。內(nèi)部局域網(wǎng)不同部門或用戶之間如果沒有采用相應一些訪問控制，也可能造成信息泄漏或非法攻擊。據(jù)調查統(tǒng)計，已發(fā)生的網(wǎng)絡安全事件中，70%的攻擊是來自內(nèi)部。因此內(nèi)部網(wǎng)的安全風險更嚴重。內(nèi)部員工對自身企業(yè)網(wǎng)絡結構、應用比較熟悉，自己攻擊或泄露重要信息內(nèi)外勾結，都將可能成為導致系統(tǒng)受攻擊的最致命安全威脅。3、系統(tǒng)的安全風險分析所謂系統(tǒng)安全通常是指網(wǎng)絡操作系統(tǒng)、應用系統(tǒng)的安全。目前的操作系統(tǒng)或應用系統(tǒng)無論是Windows還是其它任何商用UNIX操作系統(tǒng)以及其它廠商開發(fā)的應用系統(tǒng)，其開發(fā)廠商必然有其后門（Back-Door），而且系統(tǒng)本身必定存在安全漏洞。這些“后門”或安全漏洞都將存在重大安全隱患。因此應正確估價自己的網(wǎng)絡風險并根據(jù)自己的網(wǎng)絡風險大小做出相應的安全解決方案。4、應用的安全風險分析應用系統(tǒng)的安全涉及很多方面。應用系統(tǒng)是動態(tài)的、不斷變化的。應用的安全性也是動態(tài)的。比如新增了一個新的應用程序，肯定會出現(xiàn)新的安全漏洞，必須在安全策略上做一些調整，不斷完善。6.2.3安全策略設計為了有效的解決網(wǎng)絡安全問題，不能單單從安全技術策略出發(fā)，而應該多方面的考慮整體策略，即網(wǎng)絡安全的定義、范圍、總體目標、安全管理措施和安全技術等幾個方面。而在本文中，我們主要側重于兩方面來考慮，即安全管理、安全技術。下面將通過兩方面的介紹來了解網(wǎng)絡安全策略，1、安全管理通常所說的網(wǎng)絡安全建設“三分技術，七分管理”，也就是突出了“管理”在網(wǎng)絡安全建設中所處的重要地位。長期以來，由于管理的不完善、人員責任心差等因素導致網(wǎng)絡安全事件時時發(fā)生。雖然現(xiàn)在有安全管理建設，真正實行還是有一定的難度，但是，安全管理在一定的程度上還是非常的重要，所以，我同樣要加強安全管理建設，是實現(xiàn)安全技術的有效方式2、安全技術安全技術及安全產(chǎn)品在現(xiàn)時的網(wǎng)絡安全建設中投入的成本比例是最大的，而且安全技術具有強制性手段，能杜絕許多不安全事件的發(fā)生，具有事前預防和事后修復的能力，還能實現(xiàn)安全事件的取證。6.3常見的網(wǎng)絡安全手段隨著計算機的普及和網(wǎng)絡技術的迅速發(fā)展，人們也越來越依賴于計算機和網(wǎng)絡。因此，網(wǎng)絡安全應該也必須引起注意。網(wǎng)絡安全是一門涉及計算機、網(wǎng)絡、通訊、密碼、信息安全、應用數(shù)學、數(shù)論、信息論等多種學科的綜合性學科，涉及面極廣，而且不斷更新和發(fā)展。國家對信息產(chǎn)業(yè)的扶持，使國內(nèi)的網(wǎng)絡狀況逐漸好轉，更多的服務器的開通，更快的寬帶網(wǎng)得逐漸普及，各種各樣的攻擊行為在網(wǎng)上也越來越頻繁化和簡單化。因此，網(wǎng)絡安全的嚴峻性對網(wǎng)絡管理員的水平提出了極高的要求。網(wǎng)絡安全有以下幾種常見的技術手段：密碼技術、網(wǎng)絡嗅探、安全掃描技術6.3.1密碼技術隨著密碼學商業(yè)應用的普及，密碼學受到前所未有的重視。除傳統(tǒng)的密碼應用系統(tǒng)外，PKI系統(tǒng)以公鑰密碼技術為主，提供加密、簽名、認證、密鑰管理、分配等功能。6.3.2網(wǎng)絡嗅探網(wǎng)絡嗅探是指局域網(wǎng)環(huán)境下網(wǎng)絡數(shù)據(jù)的截獲，針對不同的局域網(wǎng)環(huán)境嗅探的技術有所不同，分共享式網(wǎng)絡和交換式網(wǎng)絡。6.3.3安全掃描技術安全掃描技術主要分為兩類：主機安全掃描技術和網(wǎng)絡安全掃描技術。主機安全掃描技術是通過執(zhí)行一些腳本文件模擬對系統(tǒng)進行攻擊的行為并記錄系統(tǒng)的反應，從而發(fā)現(xiàn)其中的漏洞。網(wǎng)絡安全掃描技術主要針對系統(tǒng)中不合適的設置脆弱的口令，以及針對其它同安全規(guī)則抵觸的對象進行檢查等。網(wǎng)絡安全掃描技術是一類重要的網(wǎng)絡安全技術。6.3.4無線網(wǎng)絡安全問題安全問題是無線網(wǎng)絡的核心問題，也是由它的固有的屬性決定的。其中一些安全威脅和有線網(wǎng)絡相同，另一些則是無線網(wǎng)絡特有的。由于無線局域網(wǎng)采用公共的電磁波作為載體，電磁波能夠穿過天花板、玻璃、樓層、磚、墻等物體，因此在一個無線局域網(wǎng)接入點(AccessPoint)所服務的區(qū)域中，任何一個無線客戶端都可以接受到此接入點的電磁波信號，這樣就可能包括一些惡意用戶也能接收到其他無線數(shù)據(jù)信號。這樣惡意用戶在無線局域網(wǎng)中相對于在有線局域網(wǎng)當中，去竊聽或干擾信息就來得容易得多。無線網(wǎng)絡所面臨的安全威脅主要有以下幾類：1、網(wǎng)絡竊聽2、中間人欺騙3、WEP破解4、MAC地址欺騙5、地址欺騙和會話攔截6、高級入侵6.3.5網(wǎng)絡操作系統(tǒng)安全加固如何保護通用操作系統(tǒng)的安全，主要有下列防范措施：1、使用強密碼2、做好邊界防御3、更新軟件，打補丁4、關閉沒有使用的服務5、使用數(shù)據(jù)加密6.3.6防火墻技術從分布式來看，有個人防火墻、邊界網(wǎng)絡防火墻和分布式防火墻。其中個人防火墻是最簡單，也是應用最為廣泛的，比如360個人防火墻和；邊界防火墻屬于企業(yè)內(nèi)網(wǎng)與外網(wǎng)的安全隔離的傳統(tǒng)技術，幾乎所有的企業(yè)網(wǎng)絡都有，稱為網(wǎng)絡防火墻；分布式防火墻相對于傳統(tǒng)防火墻，分布式防火墻要負責對網(wǎng)絡邊界、各子網(wǎng)和網(wǎng)絡內(nèi)部各節(jié)點之間的安全防護，是一個完整的防護系統(tǒng)，而不是單一的產(chǎn)品，根據(jù)其所需完成的功能，分布式防火墻體系結構包含網(wǎng)絡防火墻、主機防火墻、中心管理。從防火墻的實現(xiàn)層次上可以分兩種：包過濾防火墻和應用層網(wǎng)關級防火墻。包過濾是在IP層實現(xiàn)的，主要表現(xiàn)為報文過濾，根據(jù)報文的源IP地址、目的IP地址、協(xié)議類型（TCP包、UDP包、ICMP包）、源端口、目的端口及報文傳遞方向等報頭信息來判斷是否允許報文通過，現(xiàn)在在此基礎上有更強的過濾技術：基于內(nèi)容的智能型和基于網(wǎng)絡連接狀態(tài)的狀態(tài)型。防火墻應用示例6.3.7入侵檢測技術基于網(wǎng)絡的入侵檢測系統(tǒng)的主要特點為：廣泛適用于各種網(wǎng)絡環(huán)境，不影響現(xiàn)有網(wǎng)絡性能實時的檢測和響應監(jiān)控來源于網(wǎng)絡的入侵行為和攻擊企圖使得攻擊者轉移證據(jù)困難獨立的系統(tǒng)，不需改變原有網(wǎng)絡結構，不需在任何主機上安裝程序2、入侵檢測工作流程通常，入侵檢測系統(tǒng)在分析和判斷攻擊行為、特定行為或違反策略的異常行為時，需要經(jīng)過下列四個階段：（1）數(shù)據(jù)采集，網(wǎng)絡入侵檢測系統(tǒng)（NIDS）利用處于混雜模式的網(wǎng)卡來獲得通過網(wǎng)絡的數(shù)據(jù)，采集必要的數(shù)據(jù)用于入侵分析。（2）數(shù)據(jù)過濾，根據(jù)預設的閾值，進行必要的數(shù)據(jù)過濾，從而提高檢測、分析的效率。（3）攻擊檢測/分析，根據(jù)定義的安全策略，來實時監(jiān)測并分析通過網(wǎng)絡的所有通信業(yè)務，使用采集的網(wǎng)絡包作為數(shù)據(jù)源進行攻擊辨別，通常采用模式匹配、表達式或字節(jié)匹配、頻率或穿越閥值、事件的相關性和統(tǒng)計異常檢測等技術來識別攻擊。（4）事件報警/響應，當IDS一旦檢測到了攻擊行為，其響應模塊就提供多種選項以通知、報警并對攻擊采取相應的反應，例如通知管理員、記錄數(shù)據(jù)庫等。3、入侵檢測的基本體系結構傳感器管理平臺事件分析數(shù)據(jù)庫TCP/IP網(wǎng)絡傳感器……信息分析事件收集響應控制圖6.2入侵檢測基本體系結構4、常見的入侵檢測技術(1)模式匹配(2)異常檢測(3)協(xié)議分析(4)會話檢測(5)實時關聯(lián)檢測6.3.8病毒防范主要采用防病毒軟件6.4傳統(tǒng)網(wǎng)絡安全產(chǎn)品及選型6.4.1防火墻1、防火墻產(chǎn)品選型：在選擇網(wǎng)絡防火墻時，應主要考慮網(wǎng)絡的規(guī)模、網(wǎng)絡的架構、網(wǎng)絡的安全需求、在網(wǎng)絡中的位置，以及網(wǎng)絡端口的類型等要素，選擇性能、功能、結構、接口、價格都最為適宜的網(wǎng)絡安全產(chǎn)品。（1）系統(tǒng)性能（2）接口（3）并發(fā)連接數(shù)（4）吞吐量（5）安全過濾帶寬（6）支持用戶數(shù)華為USG2000防火墻產(chǎn)品圖華為USG6300防火墻產(chǎn)品圖6.4.2入侵檢測圖6.5RG-IDS入侵檢測系統(tǒng)產(chǎn)品圖6.4.3統(tǒng)一威脅圖6.6UTM功能集合6.4.4桌面安全管理系統(tǒng)桌面安全管理（又稱終端安全管理）是為企業(yè)級用戶提供全面高效的計算機設備管理手段，監(jiān)控企業(yè)內(nèi)IT環(huán)境的變化，保障計算機設備正常運行，大幅度降低維護成本，幫助企業(yè)用戶管理好計算機設備。6.5網(wǎng)絡安全方案設計方案參考教材的分析過程圖6.7網(wǎng)絡安全整體解決方案圖示習題與思考題1．舉例說明常見的網(wǎng)絡安全現(xiàn)狀有哪些，結合目前最新的現(xiàn)狀給以說明。2．解決網(wǎng)絡安全問題的時候，通常有安全管理和安全技術，請說明安全管理應該如何建設，并結合目前最新的技術說明網(wǎng)絡安全技術有哪些。3．調查和調研目前有哪些主流的安全廠商。4．入侵檢測技術有哪些技術，舉例說明。5．調研UTM技術和目前的UTM產(chǎn)品有哪些。第七章網(wǎng)絡應用服務器【內(nèi)容介紹】在很多大中型網(wǎng)絡中，都有一個非常重要的核心設備，那就是服務器，它在提供對內(nèi)對外的各種服務中起著關鍵的作用。本章介紹服務器的概念、作用與分類；基本掌握服務器的技術、服務器的架構；掌握服務器的性能要求及配置要點、產(chǎn)品造型等知識。7.1服務器基礎知識7.1.1服務器簡介服務器是指在網(wǎng)絡環(huán)境下運行相應應用軟件，為網(wǎng)上用戶提供共享信息資源和服務的設備。服務器是網(wǎng)絡的中樞和信息化的核心，具有高性能、高可靠性、高可用性，I/O吞吐能力強，存儲容量大，連網(wǎng)和網(wǎng)絡管理能力強等特點。這里需要分清兩個概念的“服務器”，即硬件意義上的“服務器”和軟件意義上的“服務器”。其中，硬件意義上的服務器是指服務器的CPU、內(nèi)存、硬盤等看得見、摸得著的硬件系統(tǒng)。而軟件意義上的服務器更多地指服務器中運行的軟件部分，如將運行Web服務的服務器稱為“Web服務器”，將運行FTP服務的服務器稱為“FTP服務器”。軟件意義上的服務器不是獨立的，如“Web服務器”和“FTP服務器”可以存在于同一臺服務器中。7.1.2服務器的作用1、數(shù)據(jù)存儲2、網(wǎng)絡應用服務7.2服務器的分類7.2.1根據(jù)網(wǎng)絡規(guī)模劃分1、工作組級服務器2、部門級服務器3、企業(yè)級服務器7.2.2根據(jù)處理器架構劃分1、CISC架構服務器（復雜指令）2、RISC架構服務器（精簡指令）3、VLIW架構服務器（超長指令）7.2.3根據(jù)外形劃分1、臺式服務器2、機架式服務器3、機柜式服務器4、刀片式服務器7.3服務器主要技術與指標服務器CPU服務器內(nèi)存服務器硬盤應急管理端口RAID技術SMP技術容錯技術服務器集群7.4服務器虛擬化服務器的虛擬化是指將服務器物理資源抽象成邏輯資源，讓一臺服務器變成幾臺甚至上百臺相互隔離的虛擬服務器，我們不再受限于物理上的界限，而是讓CPU、內(nèi)存、磁盤、I/O等硬件變成可以動態(tài)管理的“資源池”，從而提高資源的利用率，簡化系統(tǒng)管理，實現(xiàn)服務器整合，讓IT對業(yè)務的變化更具適應力。服務器虛擬化主要分為三種：“一虛多”、“多虛一”和“多虛多”?！耙惶摱唷笔且慌_服務器虛擬成多臺服務器，即將一臺物理服務器分割成多個相互獨立、互不干擾的虛擬環(huán)境。“多虛一”就是多個獨立的物理服務器虛擬為一個邏輯服務器，使多臺服務器相互協(xié)作，處理同一個業(yè)務。另外還有“多虛多”的概念，就是將多臺物理服務器虛擬成一臺邏輯服務器，然后再將其劃分為多個虛擬環(huán)境，即多個業(yè)務在多臺虛擬服務器上運行。7.4.1服務器虛擬化的優(yōu)點1、降低能耗2、節(jié)省空間3、節(jié)約成本4、提高基礎架構的利用率5、提高穩(wěn)定性6、減少宕機事件7、提高靈活性7.4.2常見的服務器虛擬化軟件1、CitrixXenServer2、WindowsServer2012Hyper-V3、VMwareESXServer7.5網(wǎng)絡服務器選型7.5.1用戶網(wǎng)絡服務器性能要求分析歸納起來，服務器的性能方面的特點可以總結為“四性”：即可擴展性、可用性、可管理性和可利用性，也就是我們常見到的服務器“SUMA”：1、可擴展性2、可用性3、可管理性4、可利用性7.5.2服務器選購指南1、選購策略2、PC服務器選購標準3、購買服務器時應注意的配置參數(shù)，比如內(nèi)存、硬盤接口、主板芯片組4、多處理器服務器選購的策略習題與思考題1.簡述服務器在網(wǎng)絡中的地位。2.簡述CISC和RISC的區(qū)別。3.服務器與普通PC有何不同？4.簡述內(nèi)存中的ECC、ChipKill技術。5.簡述服務器的對稱多處理器技術、集群技術、高性能存儲技術和內(nèi)存技術。6.為什么說，在一般情況下服務器增大內(nèi)存要比增加處理器對應用更有效。7.如何選購服務器產(chǎn)品？第八章網(wǎng)絡存儲方案設計【內(nèi)容介紹】隨著網(wǎng)絡技術的不斷發(fā)展，企業(yè)的各類應用系統(tǒng)和數(shù)據(jù)存儲量也越來越大，而且對數(shù)據(jù)訪問的速度、可用性、可管理性等要求變得非常的突出，所以網(wǎng)絡存儲和備份技術的需求變得更加重要。在本章節(jié)中，主要講解網(wǎng)絡存儲備份技術的基本概念、存儲技術、備份技術及方案設計。通過本章的學習，使讀者掌握存儲技術和方案設計。8.1網(wǎng)絡存儲技術目前的網(wǎng)絡存儲技術主要有SAN、NAS和iSCSI，SAN主要基于光纖通道和光交換技術，以面向數(shù)據(jù)塊存取形式完成；NAS基于TCP/IP協(xié)議基礎上的，以文件的存取形式完成；iSCSI則是SAN和NAS兩種技術優(yōu)點的融合，通過把面向數(shù)據(jù)塊的SCSI協(xié)議封裝在TCP/IP協(xié)議數(shù)據(jù)包中，完成基于IP網(wǎng)絡的傳輸交換和數(shù)據(jù)存取。而另外的DAS存儲技術，屬于傳統(tǒng)的存儲技術，目前也是應用最為廣泛的一種，非常適合數(shù)據(jù)量不大的應用服務器。8.1.1DAS存儲技術DAS(DirectAttachedStorage-直接附加存儲)，也可稱為SAS（Server-AttachedStorage，服務器附加存儲），是指將存儲設備通過SCSI接口或光纖通道直接連接到一臺服務器（或主機）上，作為服務器（或主機）的硬件組成部分。DAS產(chǎn)品包括存儲器件和集成在一起的簡易服務器（或主機），其中存儲器件主要包括：硬盤驅動器陣列、CD或DVD驅動器、磁帶驅動器或可移動的存儲介質，存儲設備主要為：磁盤、磁帶、磁盤陣列或磁帶庫，可用于實現(xiàn)涉及文件存取及管理的所有功能。DAS適用于以下幾種環(huán)境：(1)存儲容量要求不高、服務器數(shù)量很少的中小企業(yè)的應用服務。(2)服務器在地理分布上很分散，通過SAN（存儲區(qū)域網(wǎng)絡）或NAS（網(wǎng)絡直接存儲）在它們之間進行互連非常困難，或者成本過高，而采用DAS也可以解決問題。(3)存儲系統(tǒng)必須被直與應用服務器相連接。(4)許多數(shù)據(jù)庫應用和應用服務器存儲需要獨立、便于搬遷、更改方便，而要求直接連接到存儲器上。8.1.2SAN存儲技術SAN存儲示意圖SANWebMailUnix網(wǎng)絡圖8.1SAN存儲技術示意圖SAN區(qū)LAN區(qū)SAN存儲技術的優(yōu)點(1)由于SAN采用光纖通道技術和交換技術，所以易于擴展，也具有高可用性和高性能，可以確保企業(yè)的關鍵業(yè)務運行的連續(xù)性。(2)由于采用了光纖技術，支持單模和多模，所以傳輸距離遠，多達幾十公里。(3)由于SAN具有很高的環(huán)路帶寬，提升了主機系統(tǒng)的存儲帶寬；又由于大量的數(shù)據(jù)存在于高速的SAN存儲池中，減輕了服務器與客戶機之間的通訊帶寬，所以傳輸速率高。(4)可采用LAN-Free的數(shù)據(jù)備份方式，將備份數(shù)據(jù)通過SAN的高速網(wǎng)絡傳輸?shù)酱艓?，僅有少量的控制信息通過網(wǎng)絡進行傳輸，大大節(jié)省了網(wǎng)絡帶寬資源，所以備份效率高。(5)支持服務器的異構平臺，可以確保企業(yè)網(wǎng)絡的靈活發(fā)展。(6)可通過4項技術確保數(shù)據(jù)安全性，即：可通過光纖交換機的分區(qū)（ZOONING）功能實現(xiàn)；交換機端口的訪問控制；可通過磁盤陣列的LUNmasking實現(xiàn)LUN一級的安全隔離；通過軟件實現(xiàn)文件共享訪問控制。(7)通過配置、備份恢復管理軟件，實現(xiàn)集中管理和遠程管理。SAN的不足基于SAN的存儲技術已經(jīng)逐漸推廣到信息化建設的硬件平臺上，SAN取代了基于服務器的存儲模式，形成了以數(shù)據(jù)存儲為中心的網(wǎng)絡平臺結構。SAN具有很好的性能、管理更為集中、具有很好的擴展能力。但是在具體實施過程中還存在一些問題：(1)企業(yè)原有的存儲設備（如SCSI的磁盤陣列）要想接入SAN中，有一定的難度，即使花費大量成本，仍然不能對其有效管理。(2)不同品牌的光纖通道卡(HBA卡)接入SAN時，出現(xiàn)性能不穩(wěn)定的現(xiàn)象。(3)SAN本身缺乏統(tǒng)一的標準，不同廠商的存儲管理軟件只能管理自己的存儲設備，不能管理其它廠商的存儲設備，不能有效地發(fā)揮功能。比如EMC的整個套件能夠實現(xiàn)功能強大的容災技術。(4)由于SAN的技術普及時間較短，集成商的技術支持的水平跟不上，而原廠商的維護費用又相當昂貴，導致SAN的應用范圍縮小。SAN的應用場合SAN以提供靈活、高性能和擴展的存儲環(huán)境，能夠解決在服務器和存儲設備之間傳輸大塊數(shù)據(jù)。特別適于以下應用場合：(1)對響應時間、可用性和可擴展性要求高的關鍵業(yè)務數(shù)據(jù)庫的應用。(2)對性能、數(shù)據(jù)完整性和可靠性要求高的集中存儲備份，以保證關鍵數(shù)據(jù)的安全，可極大地提高企業(yè)容災備份的可用性和可靠性。(3)需要海量數(shù)據(jù)存儲。例如，數(shù)字圖書館、企業(yè)或組織的數(shù)據(jù)中心。(4)支持服務器及其連接設備之間提供光纖通道高性能和可擴展的、遠距離的存儲訪問。8.1.3NAS存儲技術NAS（NetworkAttachedStorage，網(wǎng)絡附屬存儲）是傳統(tǒng)網(wǎng)絡文件服務器技術的發(fā)展延續(xù)，是專用的網(wǎng)絡文件服務器，是代替?zhèn)鹘y(tǒng)網(wǎng)絡文件服務器市場的新技術新產(chǎn)品；是一種將分布、獨立的數(shù)據(jù)整合為大型、集中化管理的數(shù)據(jù)中心，以便于對不同主機和應用服務器進行訪問的技術。它在局域網(wǎng)中，按照TCP/IP協(xié)議進行通信，提供文件的I/O（輸入/輸出）方式進行數(shù)據(jù)傳輸。在局域網(wǎng)環(huán)境下，NAS已經(jīng)完全可以實現(xiàn)不同平臺之間的數(shù)據(jù)級共享，比如NT、UNIX等平臺的共享，而且NAS本身能夠支持多種協(xié)議(如NFS、CIFS、FTP、HTTP等)。NAS連接需要專用的NAS服務器，NAS服務器一般由存儲硬件、操作系統(tǒng)以及其他上的文件系統(tǒng)等幾個部分組成，以提供方便的存儲服務，如圖8.2所示。Web服務器TCP/IP網(wǎng)絡Unix/Linux服務器NAS服務器圖8.2NAS結構示意圖目前市場上的NAS產(chǎn)品基本上可以分成兩種模式：專業(yè)存儲廠商NAS產(chǎn)品和主機廠商NAS產(chǎn)品。(1)專業(yè)存儲廠商的NAS產(chǎn)品是真正的NAS產(chǎn)品，因為他們都在NAS引擎的微碼中內(nèi)置了NFS和CIFS的支持，是真正的專業(yè)網(wǎng)絡文件服務器：NAS。目前主要專業(yè)NAS廠商有EMC和NETAPP，EMC的NAS產(chǎn)品基于其高可靠性，高性能主要面對的是商業(yè)用戶；NETAPP的NAS產(chǎn)品由于自身特點主要面向中低端用戶。(2)主機廠商NAS產(chǎn)品不是真正的NAS產(chǎn)品，基本都是采用兩臺NT（或UNIX）服務器做NAS的引擎，實際是包裝過的傳統(tǒng)網(wǎng)絡文件服務器，因此對CIFS（NFS）支持較好，但對NFS（CIFS）采用的是模擬方式，因此在性能上沒有很好的擴充性，無法大規(guī)模文件共享的需求。8.1.4iSCSI存儲技術TCP/IP網(wǎng)絡iSCSI設備SANiSCSI網(wǎng)關應用服務器iSCSI協(xié)議圖8.3iSCSI示意圖從目前的技術的來看，iSCSI技術還只是實現(xiàn)SAN架構的一種技術，在性能、擴展性、兼容性等方面還無法與FCSAN相比。通常我們將iSCSI視為“IPSAN”，而基于光纖通道的SAN視為“FCSAN”。8.1.5云存儲云存儲是在云計算（cloudcomputing）概念上延伸和發(fā)展出來的一個新的概念，是一種新興的網(wǎng)絡存儲技術，

是指通過集群應用、網(wǎng)絡技術或分布式文件系統(tǒng)等功能，將網(wǎng)絡中大量各種不同類型的存儲設備通過應用軟件集合起來協(xié)同工作，共同對外提供數(shù)據(jù)存儲和業(yè)務訪問功能的一個系統(tǒng)。當云計算系統(tǒng)運算和處理的核心是大量數(shù)據(jù)的存儲和管理時，云計算系統(tǒng)中就需要配置大量的存儲設備，那么云計算系統(tǒng)就轉變成為一個云存儲系統(tǒng)，所以云存儲是一個以數(shù)據(jù)存儲和管理為核心的云計算系統(tǒng)。簡單來說，云存儲就是將儲存資源放到云上供人存取的一種新興方案。使用者可以在任何時間、任何地方，透過任何可連網(wǎng)的裝置連接到云上方便地存取數(shù)據(jù)。云存儲可分為以下三類：1、公共云存儲像亞馬遜公司的SimpleStorageService(S3)和Nutanix公司提供的存儲服務一樣，它們可以低成本提供大量的文件存儲。供應商可以保持每個客戶的存儲、應用都是獨立的，私有的。其中以Dropbox為代表的個人云存儲服務是公共云存儲發(fā)展較為突出的代表，國內(nèi)比較突出的代表的有搜狐企業(yè)網(wǎng)盤，百度云盤，樂視云盤，移動彩云，金山快盤，堅果云，酷盤，115網(wǎng)盤，華為網(wǎng)盤，360云盤，新浪微盤，騰訊微云等。公共云存儲可以劃出一部分用作私有云存儲。一個公司可以擁有或控制基礎架構，以及應用的部署，私有云存儲可以部署在企業(yè)數(shù)據(jù)中心或相同地點的設施上。私有云可以由公司自己的IT部門管理，也可以由服務供應商管理。2、內(nèi)部云存儲這種云存儲和私有云存儲比較類似，唯一的不同點是它仍然位于企業(yè)防火墻內(nèi)部。至2016年可以提供私有云的平臺有：Eucalyptus、3ACloud、minicloud安全辦公私有云、聯(lián)想網(wǎng)盤等。3、混合云存儲這種云存儲把公共云和私有云/內(nèi)部云結合在一起。主要用于按客戶要求的訪問，特別是需要臨時配置容量的時候。從公共云上劃出一部分容量配置一種私有或內(nèi)部云可以幫助公司面對迅速增長的負載波動或高峰時很有幫助。盡管如此，混合云存儲帶來了跨公共云和私有云分配應用的復雜性。云存儲的優(yōu)勢：1、節(jié)約成本云存儲從短期和長期來看，最大的特點就是可以為小企業(yè)減少成本。因為如果小企業(yè)想要放在他們自己的服務器上存儲，那就必須購買硬件和軟件，要知道它是多么昂貴的。接著，企業(yè)還要聘請專業(yè)的IT人士，管理這些硬件和軟件的維護工作，并且還要更新這些設備和軟件。2、更好的備份本地數(shù)據(jù)并可以異地處理日常數(shù)據(jù)如果你所在辦公場所發(fā)生自然災害，由于你的數(shù)據(jù)是異地存儲，因此是它非常安全的。即使自然災害讓你不能通過網(wǎng)絡訪問到數(shù)據(jù)，但是數(shù)據(jù)依然存在。如果問題只出現(xiàn)在你的辦公室或者你所在的公司，那么可以你可以隨便去一個地方用你的筆記本來訪問重要數(shù)據(jù)和更新數(shù)據(jù)。它可以讓你保持在惡劣條件下依然讓你保持工作。3、更多的訪問和更好的競爭公司員工不在需要通過本地網(wǎng)絡來訪問公司信息。這就可以讓公司員工甚至是合作商在任何地方訪問他們需要的數(shù)據(jù)。8.1.6幾種存儲技術之間的簡單比較DAS是傳統(tǒng)的存儲技術，應用廣泛，其代表是磁盤陣列。DAS的主要優(yōu)勢在于簡單易用，部署方便，但是相對于NAS、SAN和iSCSI，DAS的缺點是很突出的：磁盤空間浪費多，而NAS、SAN和iSCSI很少；DAS不易擴容，容量受限于磁盤控制器，擴容只能再加一臺磁盤陣列或其他存儲；如果用光纖盤陣列，連接距離可以很遠，但價格昂貴，用SCSI或IDE接口，連接距離幾米內(nèi)；磁盤陣列沒有將存儲和計算分開，需要前端服務器比較強的處理能力。NAS甚至可理解為在磁盤陣列上加上文件系統(tǒng)，通過以太網(wǎng)提供服務。NAS的主要優(yōu)勢在于：簡單易用，通過WEB界面管理；價格便宜。共享方便，可以支持多種協(xié)同；擴容方便，可動態(tài)給不同用戶分配或更改存儲空間；對前端服務器要求不高，文件的管理、緩存在NAS上實現(xiàn)，成本相對降低了。但是NAS的對數(shù)據(jù)庫支持不如磁盤陣列和SAN，而且共用局域網(wǎng)帶寬資源，性能相對會下降很多。SAN屬于高端存儲，價格昂貴，高端一點的SAN，費用可達百萬元以上，而相同容量的NAS可能在10萬元以下。SAN優(yōu)點很多：性能很好，建設專用存儲網(wǎng)，和公司局域網(wǎng)不交叉，網(wǎng)絡帶寬高；支持數(shù)據(jù)庫很好，幾乎沒有應用限制；擴容方便，如果采用虛擬化存儲技術，可透明無限擴容；存儲利用率高，可動態(tài)分配空間；SAN也有部分和磁盤陣列相同的缺陷：投資成本高；文件的處理在服務器上實現(xiàn)，對前端服務器性能要求高，等等。云儲存的好處在于：第一、存儲管理可以實現(xiàn)自動化和智能化，所有的存儲資源被整合到一起，客戶看到的是單一存儲空間；第二、提高了存儲效率，通過虛擬化技術解決了存儲空間的浪費，可以自動重新分配數(shù)據(jù)，提高了存儲空間的利用率，同時具備負載均衡、故障冗余功能；第三、云存儲能夠實現(xiàn)規(guī)模效應和彈性擴展，降低運營成本，避免資源浪費。8.2災難備份與恢復8.2.1災難備份與恢復的概述常用的三種備份方式如下：(1)全備份（FullBackup）(2)增量備份(IncrementalBackup)(3)差異備份(DifferentialBackup)8.2.2建立災難備份專門機構實施災難備份應由董事會或高級管理層決策，指定高層管理人員組織實施。由科技、業(yè)務、財務、后勤支持等與災難備份相關的部門組成專門機構，主要職責為：分析災難備份需求，制定災難備份方案；確定工程預算，監(jiān)督工程實施；明確各部門的職責，協(xié)調各部門關系；對災難恢復計劃定期進行測試和評估；對測試和評估的結果進行審核和存檔并做出相應的改進。8.2.3分析災難備份需求重要信息系統(tǒng)災難備份需求分析應包括對數(shù)據(jù)處理中心的風險分析和對重要信息系統(tǒng)的業(yè)務分析，以確定災難恢復目標。(1)數(shù)據(jù)處理中心風險分析分析數(shù)據(jù)處理中心的風險，如物理安全，數(shù)據(jù)安全，人為因素，已有的備份和恢復系統(tǒng)、基礎設施脆弱點，數(shù)據(jù)處理中心位置，關鍵技術點等。明確防范風險的技術與管理手段。確定需要采取災難恢復的類型，