大数据中心云平台及业务系统方案702页（2024年修订版）.docx

大数据中心云平台及业务系统方案投标文 目录 第一章 技术支持资料 5 第一节 项目设计方案 5 第一条 项目概述 5 第二条 需求分析 11 第三条 总体架构 13 第四条 项目建设方案 17 第二节 项目实施方案 252 为保证数据中心整体业务目标的顺利达成，需启动一期工程的建设 252 第一条 项目实施团队组织架构 253 第二条 项目进度计划 258 第三条 项目实施管理 263 第四条 项目质量管理 313 第五条 系统测试方案 317 第六条 项目验收管理 327 第七条 项目风险管理 330 第三节 运维方案 339 第一条 运维概述 339 第二条 运维整体框架 340 第三条 整体研究方法 343 第四条 服务方案整体实施方法 347 第五条 云服务运维服务系统化设计 348 第六条 运维服务范围 348 1.3.6.3.21.1系统基础架构优化整合 384 第七条 安全运维服务方案 413 特洛伊木马和后门程序恶意插件 457 第八条 运维服务管理 458 我方定义的需要升级的异常问题包括：√用户投诉 467 第九条 运维管理制度 468 第十条 服务级别管理 486 第十一条 服务过渡及转换管理 488 第十二条 服务实施计划与沟通计划 502 ◇MicrosoftOfficeWord 517 第十三条 服务管理和支持服务流程 522 ●预防性维护流程 529 第十四条 运维实施质量管理 529 问题/风险跟踪表 546 第十五条 驻场人员服务 546 第十六条 责任边界 549 1.3.17.4.5.1事前控制一风险管理规划 581 第四节 培训方案 583 第一条 技术交流方案 583 第二条 培训管理方案 583 第三条 培训方案及课程安排 588 ●HSloud服务类型介绍，主机服务使用方法，使用硬盘管理 594 第五节 应急方案 596 第一条 方案概述 596 第二条 应急目标 597 第三条 应急原则 597 第四条 方案依据 598 第五条 应急团队保障 599 第六条 应急事件定义和分级 605 第七条 应急响应工作流程 607 第八条 应急预案制定方法论 618 第九条 云平台应急预案 632 ●故障现象 640 第十条 网络应急预案 640 第十一条 硬件设备故障应急预案 649 ●故障现象 656 第十二条 安全应急预案 656 本单位信息安全应急响应工作机构 665 第十三条 应急保障措施 670 第十四条 应急演练 672 应急演练记录单 682 第十五条 应急文档体系的管理与维护 683 第十六条 应急预防措施 685 第十七条 应急方案相关模板 687 影响评估表示例 689 第二章 技术服务和质保期服务计划 697 第一节 售后服务计划 697 第一条 售后服务体系及售后服务机构 697 GSMC有限公司提供每周7天，每天24小时热线支持。提供统一 701 第二条 售后服务团队人员构成 702 技术支持资料 项目设计方案 项目概述 1.1.1.1项目背景 大数据中心项目，由XXHS大数据有限公司投资，按照国际A级T3+标准建设，将面向国内外大型工业企业、互联网公司及政府灾备，发展基础数据交易和数据清洗、活化、分析等创新产业，培养大数据分析人才，打造辐射周边数据产业的基地，以先进计算、大数据产业化视角促进各产业领域与数字产业融合应用并形成颠覆性创新，实现区域平衡型发展。逐步成为区域转型发展的引领性产业。 1.1.1.2建设原则 总体建设原则如下：一、统一规范由于云计算是一个复杂的体系，应在统一的框架体系下，参考国际国内各方面的标准与规范，严格遵从各项技术规定，做好系统的标准化设计与施工。 二、成熟稳定 由于云计算的发展变化很快，而本项目建设时间紧，涉及面广，应用性强，在设计过程中，应选成熟稳定的技术和产品，确保建成的满足XXHS大数据有限公司的需求，同时节约项目施工时间。 三、实用先进 为避免投资浪费，体系的设计不仅要求能够满足目前业务使用的需求，还必须具备一定的先进性和发展潜力，使系统具有容量的扩充与升级换代的可能，以便该项目在尽可能的时间内与业务发展和信息技术进步相适应。 四、开放适用 由于云计算平台为各业务应用系统提供支撑，必须充分考虑系统的开放性，提供开放标准接口，供开发者、用户使用。 五、安全可靠 本项目设计时应按照国家第三级安全等级保护规范，加强系统安全防护能力，确保方案实施完成后能顺利通过第三级安全等级保护测评。 1.1.1.3建设思路 数据中心以大数据、虚拟化、云计算、AI人工智能技术为支撑，以数据服务核心，以标准化、模块化服务为主体，以运营服务为导向，建设基于云理念的弹性、高效、安全的基础设施资源运营服务中心，实现基础软、硬件设施资源动态调度、自动管控、共享使用和业务快速部署，实现“数据驱动、用户至上、开放协同、随需应变”的发展战略。 1.1.1.4建设目标 本期工程建设目标为完成数据中心网络建设，同时在一层微模块区域建设部署公有云平台和专属云平台。满足HS自有业务的部署和提供公有云服务能力。 建设要求 1.1.1.4.1业务需求 一号楼项目规划，IT部分总体建设分为三期，本期工程为一期，需完成数据中心网络建设、并按现有业务需求建设公有云平台和专属云平台。 1.1.1.4.2可用性 通过冗余网络节点、网络链路设计，以及协议层次的故障快速检测与恢复设计，保证基础网络架构的高可用性。避免单一物理分区的网络故障，扩散到其他物理分区，引发数据中心业务整体不可用。 1.1.1.4.3安全性 不同安全风险等级的应用部署到不同的不同分区。安全风险低的应用单独划分到一个物理分区，低风险应用之间不作安全控制。安全风险高的在区域内部作安全控制。 1.1.1.4.4灵活性/可扩展性 方便业务系统的灵活部署，提高计算、存储、网络设备资源利用率。 不调整网络架构的基础上，按需、弹性扩展网络规模，以适应业务的未来扩展。 1.1.1.4.5可维护性 配置简单，易于故障定位与排除。考虑不同应用的运维时间窗口等运维需求的差异性。 1.1.1.4.6先进性 基础网络采用高带宽、低时延、大缓存，、10GE接入，虚拟化部署；云平台采用弹性伸缩，实现业务灵活部署和服务自动化。 1.1.1.4.7标准化 采用成熟网络技术和标准协议，提高网络和系统的兼容性，以及多厂商设备在网络中的互联互通。 1.1.1.5编制依据 依据已经并在实施中的国家、XX省等有关法律、法规、规章以及规范性文件、政策性文件，主要包括： 《中华人民共和国网络安全法》 《关于政府向社会力量购买服务的指导意见》(国办发[2013]96号) 《信息安全技术信息系统安全管理要求》GB/T2269-2006 《信息安全技术信息系统通用安全技术要求》GB/T2271-2006 《信息安全技术信息系统安全工程管理要求》GB/T2282-2006 《信息安全技术信息系统安全等级保护基本要求》GB/T22239-2008 《信息安全技术信息系统安全保护等级定级指南》GB/T 22240-2008 《信息安全技术信息系统安全等级保护实施指南》GB/T 25058-2010 《信息安全技术信息系统等级保护安全设计技术要求》GB/T25070-2010 《信息安全技术信息系统安全等级保护测评要求》GB/T 28448-2012 《信息安全技术云计算服务安全指南》GB/T31167-2014 >《信息安全技术云计算服务安全能力要求》GB/T31168-2014>《2006—2020年国家信息化发展战略》(中办发[2006]11号) 《关于大力推进信息化发展和切实保障信息安全的若干意见》(国发[2012]23号) 《关于进一步加强政务部门信息共享建设管理的指导意见》(发改高技[2013]733号) 《关于加强和完善国家电子政务工程建设管理的意见》(发改高10技[2013]266号) 《基于云计算的电子政务公共平台顶层设计指南》工业和信息化部信息化推进司关于印发函(2013年2月20日) 《关于促进电子政务协调发展的指导意见》(国办发[2014]66 号) 《关于推进和完善服务项目政府采购有关问题的通知》(财政部[2014]37号) 《关于加强党政部门云计算服务网络安全管理的意见》(中网办发文[2015]14号) 《关于促进云计算创新发展培育信息产业新业态的意见》(国办发[2015]05号) 《电子政务云平台服务费用计算参考指南(第一版)》(国家电子政务云平台建设应用工作组发2015) 《电子政务云平台服务考核评估方法(第一版)》(国家电子政务云平台建设应用工作组发2015) 《国家电子政务外网跨网数据安全交换技术要求与实施指南》GW0205-2014 《计算机信息系统安全保护等级划分准则》GB17859-1999 《电子信息系统机房设计规范》(GB50174-2008) 11 《电子信息系统机房设计规范》(GB50174-2008) 需求分析 1.1.2.1现状概述 数据中心目前主体工程已经完工，正在同步进行机电施工。一号楼为三层独栋机楼，1层共两个微模块机房，2层共五个列式机柜机房，3层共三个列式机柜机房。 1.1.2.2需求分析 本期工程主要建设数据中心云平台及业务系统的建设。通过建设实施数据中心的基础网络和云平台，从而实现承载用户不同的业务应用系统。 数据中心平台为我市智慧城市、智慧政务和工业互联网平台提供基础业务支撑。该平台能为用户提供稳定、安全、可靠的云服务。主要服务内容包括：智慧城市服务、政务共享交换服务、政务私有云服务、政务公有云服务、应用功能服务、信息安全技术服务、应用部署迁移服务、服务实施和运行保障服务等，可以有效支撑我市智慧城市的建设和发展，为我市实现“强政、兴业、惠民”提供有力保障。 1.数据中心平台包括云中心机房及配套设施服务、网络资源服务包括网络出口、云平台和联接互联网云计算中心专用链路，带宽不小于10G、计算资源服务、存储资源服务和灾备服务。 2.数据中心支撑软件资源服务包括为云平台资源使用单位提供操作系统、中间件、数据库和开发工具等应用支撑软件服务；提供业务应用的开发、部署和运行的支撑服务；提供数据搜索引擎、通用代码库和工具等组件和构件服务。 3.数据中心信息安全技术服务包括平台安全服务、数据安全服务、业务安全服务、终端安全服务、安全监控服务、安全事件服务和安全审计服务等。 4.数据中心建设，需要支撑工业互联网平台，为工业互联网系统提供高性能计算、存储、网络、安全等资源平台。 5.数据中心建设，需要为后续政府职能转变，打破各部门因系统按业务功能划分，数据相对分散，形成的“数据壁垒”,实现跨地区、跨部门、跨层级互联互通及部门之间的业务协同，提供平台支撑能力。 6.数据中心建设，服务实施包括基础设施服务实施、支撑软件服务实施、应用功能服务实施、信息资源技术服务实施、信息安全服务实施、运行保障服务实施。 7.数据中心建设，运行保障服务包括云平台管理的各项资源监测、资源配置、资源优化、服务监控、事件处理、运维流程、日常巡检、备份恢复、灾备管理、应急预案管理、服务质量监督和报告等服务。 总体架构 1.1.3.1云平台布局架构 数据中心总体架构，如下图所示： 具体描述如下： 1.数据中心包含专属云区、公有云区及未云化区。公有云平台承担社会公众服务的内容如系统、协同办公、智能制造等；专属云平台承担HS客户服务的内容如电商业务、游戏业务、智能仓储、大中小型企业办公等，为各类客户应用系统提供基础设施支撑；未云化平台承担IDC托管业务，满足各类客户租赁需求。 2.数据中心云节点与备份云区域节点之间高速互联，构建多活及灾备业务架构，全面提升整体容灾服务能力，保障应用系统的高可用和数据安全性。 3.数据中心专属云区、公有云区、未云化区均设计为运营商高品质专线、互联网高速链路双线出口方案，部署专线互联区和外网互联区，以满足不同客户的业务需求。 4.项目建设将由GSMC整合合作方优势资源，利用云平台方面的上百个成功部署和实施经验，以及云运营、云运维、云安全等方面的成熟技术手段，结合GSMC丰富的生态合作系统，实现云平台和XX云谷数据中心需求落地的整体服务。 1.1.3.1云平台整体架构 云管理是整个后台的管理、调度、运维中心。是对整个进行统一管理并发布的平台，由XXHS大数据有限公司用户使用。 HSCloudOS基于Openstack平台的商业化云服务平台，在继承原有架构灵活、扩展性强、开放性和兼容度高的基础上，产品稳定性和可靠性大大增强。基于用户到应用的端到端的云服务配置和管理，将用户申请的服务组装成服务链，统一管理和配置。 建立以云业务为中心，以流程为导向符合ITIL/IS020000标准的运维管理体系，提供先进的流程管理工具设计科学、规范的流程管理模型和方法，以建立完备、关联的业务资源配置管理数据库为基础和切入点，实施事件管理、问题管理、变更管理、配置管理和发布管理等5大核心流程，实现配置管理数据库相关数据项与5大核心流程的关联和融合；使用规范化的流程管理办法将涉及运维服务管理的每一项规章制度在日常工作中进行模式化和固定化，使以往繁杂无序的运服管理工作变成 标准有序，不断降低云运维服务管理工作的风险，为管理人员和技术人员提供一个灵活的、易于量化的管理平台。 1.1.3.2总体逻辑架构 整体分为六大部分： 1、物理层 物理层包括运行云平台所需的云数据中心机房运行环境，以及计算、存储、网络、安全等设备。云数据中心机房的部署按照分区设计，主要分为DMZ区、核心区、互联网接入区、横向互联接入区、综合安全管理区、核心交换区、预留扩展区等区域。 2、资源抽象与控制层 资源抽象与控制层通过虚拟化技术，负责对底层硬件资源进行抽象，对底层硬件故障进行屏蔽，统一调度计算、存储、网络、安全资源池。其核心是虚拟化内核，该内核提供主机CPU、内存、I0的虚拟化，通过共享文件系统保证云主机的迁移、HA集群和动态资源调度。同时通过分布式交换机实现虚拟化层的网络隔离。在存储资源上，核心存储实现对底层磁盘的虚拟化，同时两台存储之间实现双活，任意一台存储故障不影响业务。 3、云服务层 云服务层提供IaaS云服务与驻场维护： IaaS服务：包括云主机、云存储、云防火墙和云网络(租户子网/IP/域名等)、以及针对性能要求高的应用提供物理服务器的裸金属服务等。 驻场维护：提供7×24驻场服务。 4、云安全防护 云安全防护为物理层、资源抽象与控制层、云服务层提供全方位的安全防护，包括防病毒木马蠕虫、防DDoS攻击、漏洞扫描、网站防御、租户隔离等模块。满足国家安全等级保护3级的部署要求。 5、运行监控与维护管理 为运维人员提供设备管理、配置管理、镜像管理、备份管理、日志管理、监控与报表等，满足云平台的日常运营维护需求。 6、云服务管理 此模块主要面向运维人员，提供服务目录、组织管理、用户管理、业务流管理、计量管理等多方面服务。 项目建设方案 一号楼为三层独栋机楼，1层共两个微模块机房，2层共五个列式机柜机房，3层共三个列式机柜机房。根据数据中心整体情况，结合业务发展需求，本期工程中，计划在数据中心机房内分别建设部署区域一和区域二基础网络平台，并按照持续运营的思路建设两套云基础设施。该云基础设施可随后期业务拓展，便捷快速的进行弹性扩展，以支撑业务需求。数据中心内运营商机房的运营商传输等网络设备不在本方案设计范围内。 基础网络分为区域1和区域2进行设计和建设，原因是考虑到数据中心可承接多种类型(如云业务租售，IDC租赁，主机托管，政府政务网等)的业务，不同类型的业务对基础网络有差异化需求，如数据物理隔离，流量隔离，网络安全措施等方面。通过设计和建设两套独立的基础网络平台，可实现数据和流量的物理隔离，网络安全和稳定性等方面的要求，从而保证数据中心承接和发展不同类型的业务。 本期工程完成以下内容的建设部署： 1.1.4.1网络建设方案 1.1.4.1.1区域一基础网络 数据中心1号楼内建设区域1基础网络，包含专线互联区、外网互联区、公共服务区、汇聚网络区、管理网络区、接入网络区。区域一基础网络可作为面向公有云，工业大数据等公有业务类型的网络支撑平台。 专线互联区，部署2台专线接入交换机，2台专线防火墙，2台专线Leaf设备，实现区域1基础网络的专线对接功能； 外网互联区，部署2台出口路由器，2台外网接入交换机，2台防19 DDoS设备，2台VPN防火墙，2台外网防火墙，实现区域1基础网络的的公网互联和出口安全功能； 公共服务区，部署2台安全网关，2台Leaf网络设备，实现区域1基础网络的对外业务网络能力； 汇聚网络区，部署2台Border网络设备，2台Spine网络设备，2台存储汇聚设备，2台管理汇聚设备，以及2台租户防火墙和租户负载均衡设备，实现对业务流量的汇聚和区域内东西向流量的穿透能力； 管理网络区，部署10台管理接入交换机，2台管理防火墙，实现对区域1所有设备的纳管功能； 接入网络区，部署8台业务接入交换机，10台存储接入交换机，实现对业务X86服务器的计算和存储流量接入功能。 本期工程区域一基础网络平台，最大可接入192台高性能X86服务器；可为每台业务服务器提供20G业务带宽、20G存储带宽、2G管理带宽。后期随业务发展需求，可对接入网络区进行扩容，以满足新增扩容X86服务器的网络环境。 1.1.4.1.2区域二基础网络 数据中心1号楼内建设区域2基础网络，包含专线互联区、外网互 联区、DMZ区、汇聚网络区、管理网络区、接入网络区。区域二基础网络可作为面向自有业务、政府类业务等私有业务属性的网络支撑平台。 专线互联区，部署2台专线接入交换机，2台专线防火墙，2台专线Leaf设备，实现区域2基础网络的专线对接功能； 外网互联区，部署2台出口路由器，2台外网接入交换机，2台防DDoS设备，2台VPN防火墙，2台外网防火墙，2台异构防火墙实现区域2基础网络的的公网互联和出口安全功能； DMZ区，部署2台安全网关，1台WAF设备，2台Leaf网络设备，2台存储接入设备，2台管理网设备，实现区域2基础网络的对外业务网络支撑能力； 汇聚网络区，部署2台Border网络设备，2台Spine网络设备，2 台存储汇聚设备，2台管理汇聚设备，以及2台租户防火墙和租户负载均衡设备，实现对业务流量的汇聚和区域内东西向流量的穿透能力； 管理网络区，部署10台带内管理接入交换机，10台带外管理接入交换机，2台管理防火墙，1台堡垒机，1台漏洞扫描设备，1台数据库 审计设备实现对区域2内设备的安全和管理功能； 接入网络区，部署8台业务接入交换机，10台存储接入交换机，实现对业务服务器计算和存储流量的接入功能。 本期工程区域二基础网络，最大可接入192台高性能X86服务器；可为每台业务服务器提供20G业务带宽、20G存储带宽、2G带内管理带宽、1G带外管理带宽。后期随业务发展需求，可对接入网络区进行扩容，以满足新增X86服务器的网络环境。 1.1.4.1云平台建设方案 1.1.4.1.1云平台A建设 在区域1基础网络平台上，本期工程在数据中心机房内建设一套基础云平台A,提供核心云产品和服务能力，包含云主机，云存储，和云数据库等基础平台能力。本期云平台含10台X86服务器，1套高性能光纤存储设备，2台光纤交换机，及相关配套软件。 本期云平台的设计思路为，快速搭建一套基础云平台，以最短的建设周期实现云服务核心计算、存储、数据库产品的支撑环境。保证客户业务的迅速落地商用。 后期可根据业务需求，对云平台进行实时扩容，提高云平台业务支撑能力和丰富云产品种类。 本期云平台A,设计部署5台通用型X86服务器，2台存储型X86服务器，1台X86数据库服务器，2台管理服务器，以及1套3PAR存储和配套光纤交换机。 本期工程建设完成后，云平台A可提供164核物理CPU计算能力，64TB分布式存储能力，3TB数据库存储能力，以及24TB光纤存储能力。后续可以视用户和业务上线情况，实时进行计算、存储等相关资源的弹性扩容。 1.1.4.1.2云平台B建设 在区域2基础网络平台上，本期工程在数据中心机房内建设一套基础云平台B,提供核心云产品和服务能力，包含云主机，云存储，和云数据库等基础平台能力。本期云平台含10台X86服务器，1套高性能光纤存储设备，2台光纤交换机，及相关配套软件。 本期云平台的设计思路为，快速搭建一套基础云平台，以最短的建 设周期实现云服务核心计算、存储、数据库产品的支撑环境。保证客户业务的迅速落地商用。 后期可根据业务需求，对云平台进行实时扩容，提高云平台业务支撑能力和丰富云产品种类。 本期云平台B,设计部署4台通用型X86服务器，2台存储型X86服务器，1台X86数据库服务器，3台管理服务器，以及1套3PAR存储和配套光纤交换机。 本期工程建设完成后，云平台B可提供164核物理CPU计算能力，64TB分布式存储能力，3TB数据库存储能力，以及24TB光纤存储能力。后续可以视用户和业务上线情况，实时进行计算、存储等相关资源的弹性扩容。 1.1.4.1.3云平台方案设计 1.1.4.1.3.1物理资源层 物理资源层包括运行专属云、公有云所需的机房运行环境，以及计算、存储和网络等设备。组网设计采用“核心一接入”两层扁平化设计，根据模块化的分区的方式，主要分为业务区、管理服务区、外网互联区、专线互联区、公共服务区和DMZ区等区域。 物理组网逻辑示意图，如下图所示： 图云平台整体网络拓扑图 专属云物理组网设计，如下图所示： 图专属云物理组网图 公有云物理组网设计，如下图所示： 图公有云物理组网图 9.1.4.1.3.1.1业务区 业务区主要用于部署承载业务应用的虚拟服务器，配置将依据客户各类应用为基础，结合云计算、存储应用解决方案来满足业务应用的需 求；业务区广域/局域纵向流量与各服务功能分区间横向流量的交汇点为上层核心交换机，同时支持按需进行横向、纵向的扩展能力以及服务器提升能力，以便应对未来业务的快速增长。 业务区包含业务网、存储网、管理网三部分，各部分组网设计如下：业务网物理组网如下图所示： 图业务网物理组网图 存储网物理组网如下图所示： 图存储网物理组网图 管理网物理组网如下图所示： 图管理网物理组网图 9.1.4.1.3.1.2管理服务区 部署云管理平台、网络管理平台、虚拟化管理平台等管理服务器，通过对云管理平台、网络管理平台、虚拟化管理平台等软件的部署，实现对底层资源的合理管控，保障业务运行的可靠性、可用性，合理的分配资源，通过自动化的运维管理，提升客户IT人员的运维管理效率，物理组网如下图所示： 云管平台 CVM、VCFC 图管理服务区组网图 从业务管理可靠性来分析，系统管理区各管理平台部署分为两大类，硬件支撑系统和虚拟支撑系统。包括： 1.虚拟云化集群：通过虚拟化管理主机实现对虚机的管理运维，保证虚拟化管理平台的可靠性、稳定性、可伸缩性。 29 2.云管理平台：通过云管理平台主机实现对大云平台的管理运维，,保证云管理平台的可靠性、稳定性、易用性。 在虚拟化环境下，直接将管理平台部署在虚机上，建立统一的云服务管理集群，通过虚拟化软件来保证各管理平台的可靠性，在这个集群内主要运行以下几个系统： 数据库管理：主要内容包括数据库的建立、调整、重构、安全控制、完整性控制和对用户提供技术支持。 网络管理平台：实现网络拓扑、故障、性能、配置、安全等管理功能。 计算管理节点：对下层虚拟化计算资源进行管理调度。 对象存储管理：静态数据的存储、检索、预览，数据的持久性和可扩展性管理。 9.1.4.1.3.1.3专线互联区 专线接入可有效避免由公网拥塞或跨网抖动等不可控因素带来的连接品质下降，专线互联区提供安全、高速、稳定的专属连接，为专属云、公有云、IDC托管用户提供稳定的网络保障。防护专线区安全，需要提供细粒度的安全检测设备，进行必要的检测；通过防火墙，为用户提供统一的多业务安全能力，包括NAT、VPN、防病毒等。 物理组网如下图所示： 图专线互联区组网图 通过在专线接入交换机串接防火墙设备并旁挂IPS设备，对专线互联区进行双重安全防护，提供细粒度的入侵防护安全检测，为用户提供统一的多业务安全能力。采用透明模式部署，支持动态扩展。 9.1.4.1.3.1.4外网互联区 针对云运营网站、CMP、以及租户业务等需要提供internet服务， 统一接入到外网互联区访问internet业务。在外联网出口的DDoS攻击防护，避免带宽占用或业务瘫痪；针对云服务商提供访问控制、NAT、VPN、防攻击、防病毒等出口安全需求。 物理组网如下图所示： 图外网互联区组网图 通过在外网接入交换机串接防火墙设备并旁挂DDoS流量检测设备、DDoS流量清洗设备以及IPS设备，对外网互联区进行三重安全防护，为用户提供统一的多业务安全能力。 此区域实现的功能： 1、DDOS流量检测、清洗和回注：对进入云数据中心的数据流量进行实时监控，及时发现包括DOS攻击在内的异常流量。在不影响正常业务的前提下，清洗掉异常流量。有效满足用户对云数据中心运作连续性的要求。同时通过时间通告、分析报表等服务内容提升用户网络流量的可见性和安全状况的清晰性。 2、访问控制：利用防火墙实现云数据中心的整体安全防护；同时 为每个申请安全服务的租户提供独立的vFW服务，实现租户业务的隔离需求。 3、入侵防御：通过IPS插卡，可为数据中心内部提供更坚固的安全保护机制。通过IPS的深度检测功能可以有效保护内部服务器避免受到病毒、蠕虫、程序漏洞等来自应用层的安全威胁。 9.1.4.1.3.1.5公共服务区 公共服务区为互联网用户提供安全可靠、低成本的云端存储服务，包含文件存储及对象存储资源访问功能，该区域对象存储资源可满足企业Web、移动应用、自媒体站点、网站加速等各类用户需求；文件存储资源可满足服务器信息共享、企业内部文件共享等各类用户需求，广泛应用于各种内容管理系统。物理组网如下图所示： 文件存储、对象存储资源 图公共服务区组网图 该区域依托外网互联区强大的业务安全能力，在保障用户业务安全可靠的基础上，可共享网络出口区的安全资源，降低数据中心建设投入成本。 9.1.4.1.3.1.6DMZ区 DMZ区域部署