虚拟化数据中心的网络安全设计

虚拟化数据中心给网络安全带来了一些挑战，尤其是虚拟机的迁移，计算集群主机的加入与离开等都是传统数据中心所没有的。为解决这些问题虚拟化数据中心的网络建设需要引入新思路和新技术，如VLAN扩展，安全策略上移，网络安全策略跟随虚拟机动态迁移等。

虚拟化数据中心的网络安全设计

数据中心虚拟化是指采用虚拟化技术构建基础设施池，主要包括计算、存储、网络三种资源。虚拟化后的数据中心不再象传统数据中心那样割裂的看待某台设备或某条链路，而是将整个数据中心的计算、存储、网络等基础设施当作可按需分割的资源集中调配。

数据中心虚拟化，从主机等计算资源的角度看，包含多合一与一分多两个方向（如图1所示），都提供了计算资源被按需调配的手段。由于虚拟化的数据中心是计算、存储、网络三种资源深度融合而成，因此主机虚拟化技术能够顺利实现必须由合适的网络安全策略与之匹配，否则一切都无从谈起。前者出现较早，主要包括集群计算等技术，以提升计算性能为主；而后者主要是近几年出现的在一台物理X86系统上的多操作系统同时并存的技术，以缩短业务部署时间，提高资源使用效率为主要目的。

图1 计算虚拟化的两种表现形式

虚拟化后数据中心面临的安全问题

传统数据中心网络安全包含纵向安全策略和横向安全策略，无论是哪种策略，传统数据中心网络安全都只关注业务流量的访问控制，将流量安全控制作为唯一的规划考虑因素。而虚拟化数据中心的网络安全模型则需要由二维平面转变为三维空间，即增加网络安全策略（如图2所示），网络安全策略能够满足主机顺畅的加入、离开集群，或者是动态迁移到其它物理服务器，并且实现海量用户、多业务的隔离。。

图2 数据中心虚拟化安全模型

虚拟化数据中心对网络安全提出三点需求：

1、在保证不同用户或不同业务之间流量访问控制，还要支持多租户能力；

2、网络安全策略可支撑计算集群中成员灵活的加入、离开或者迁移；

3、网络安全策略可跟随虚拟机自动迁移。

在上述三个需求中，第一个需求是对现有网络安全策略的增强。后两个需求则需要一些新的规划准则或技术来实现，这给当前网络安全策略带来了挑战。

应对之道

VLAN扩展

虚拟化数据中心作为集中资源对外服务，面对的是成倍增长的用户，承载的服务是海量的，尤其是面向公众用户的运营云平台。数据中心管理人员不但要考虑云主机（虚拟机或者物理机）的安全，还需要考虑在云平台中大量用户、不同业务之间的安全识别与隔离。

要实现海量用户的识别与安全隔离，需要为虚拟化数据中心的每一个租户提供一个唯一的标识。目前看开，VLAN是最好的选择，但由于VLAN数最多只能达到4096，无法满足虚拟化数据中心业务开展，因此需要对VLAN进行扩展。如图3所示，VLAN扩展的有以下两个

实现途径。

图3 VLAN扩展两种思路

QinQ：采用VLAN嵌套的方式将VLAN的数量扩展到160万个。内层标签称为用户VLAN 即C‐VLAN，外层标签成为运营VLAN，即S‐VLAN，例如100个C‐VLAN不同的同一类用户可以封装同一个相同S‐VLAN，极大的扩展VLAN的数量。该方法配置简单，易维护。但其缺点是接入的用户规模较小。

VPLS：用户VLAN封装在不同VPLAS通道内，不同的用户封装不同的VPLS通道即可实现海量用户之间良好的安全控制。其优点是接入规模大，可伸缩性强，易于跨地域数据中心之间平滑扩展。不足之处是VPLS会导致数据中心内配置较复杂，使数据中心之间扩展复杂度变大。

在实际选择时，可以根据数据中心对外服务的业务特点，对照上述两种方式的优缺点，选择合适的实现方式。

隔离手段与网关选择

虚拟化数据中心关注的重点是实现整体资源的灵活调配,因此在考虑网络安全控制时必须考虑网络安全能支撑计算资源调配的灵活性，只有将二者结合才能实现虚拟化数据中心网络安全的最佳配置。考虑虚拟化数据中心的安全部署时，建议按照先关注灵活性、

再关注安全控制的思路进行。

无论是集群计算还是虚拟机迁移都涉及到主机调配，当主机资源在同一个二层网络内被调配时，多数应用才能保持连续性，因此为满足计算资源的灵活调配，应该构建二层网络，否则一旦跨网段将导致应用中断或长时间的业务影响。可见，网络安全控制不能阻断二层网络内主机的灵活调配。

基于上述思想，网络安全控制点尽量上移，并且服务器网关尽量不设在防火墙上。因为防火墙属于强控制设施，网关一旦在防火墙上灵活性将大大的受到限制。

如图4所示，以数据中心主流的B/S服务模式为例，网络安全策略可按如下规划：

图4 主机网关地址落点选择

y将二层网络向上扩大，创造一个适合主机调配的二层网络环境。

y选择网关IP地址的落点与主机分组隔离方案。

图4左图方案中不设置防火墙，主机网关地址落在汇聚交换机上。承载业务的WEB、APP、DB主机划分为同一个VLAN（即VLAN1）内。针对VLAN部署安全策略，忽略交换机端口差异性， WEB、APP、DB之间互访不受限制。承载WEB、APP、DB的主机可以在VLAN1内被灵活调配。该方案极大的满足了虚拟化数据中心主机调配的灵活性，但完全忽视了网络安全控制，因此适合封闭的内部数据中心并且追求性能与高效业务部署，如互联网企业的大型虚拟化数据中心。

图4右图为得到普遍应用的虚拟化数据中心网络安全方案。承载业务的WEB、APP、DB 主机划分为三个VLAN内，属于相同VLAN内的主机可在对应的二层网络内灵活调配。以下重点讨论主机网关设在不同位置时如何实现WEB、APP、DB之间互访控制。

主机网关设在防火墙上

服务器群的网关设在防火墙上，防火墙通过VRRP提供冗余，冗余备份组通过静态路由下一跳指向IRF2交换机三层接口，防火墙进行虚拟化，分割成多个防火墙实例提供网络安全服

务，对每块防火墙划分三个逻辑实例，每一对虚拟防火墙工作在主备方式；可工作在双主用模式，防火墙实例分布在两台上面，从而达到负载分担和冗余备份的能力。此时，三组服务器的网关地址各不相同，各组服务器内的虚拟机只能在本VLAN内迁移，如WEB、APP、DB三种服务器分别对应在VLAN 2、VLAN3、VLAN4内。防火墙做服务器网关，L2分区之间互访必须经由防火墙对互访流量做状态检测，并W EB、APP、DB之间完全由防火墙实现访问控制，属于强隔离措施。

此方式适合业务相对稳定，流量模型固定的业务；并且业务之间隔离度高的环境。如银行的核心信贷、资金管理系统，企业的ERP系统等。

主机网关设在汇聚交换机上

采用IRF2后汇聚交换机仍然是L2与L3的分界点，面向服务器一侧工作在三层模式，面向网络一侧工作在二层模式。汇聚交换机作为WEB/AP/DB服务器的网关，WEB/AP/DB服务器二层分区之间互访经由汇聚交换机ACL做访问控制；防火墙作为边界安全控制设备。

将防火墙和交换机划分VRF（虚拟路由转发表），同一业务在同一VRF内，WEB/APP/DB 则分布到同一VRF的不同二层分区内。同一业务的WEB/APP/DB通过交换机三层转发访问，并以ACL进行访问控制；不同业务之间的访问，跨VRF通过防火墙控制。另外，对于某个三层接口（网段），当需要访问另一个网段并且需要经过防火墙时，就配置一条以防火墙为下一跳的“弱策略路由”，当防火墙失效，则该策略路由也失效。在紧急情况，旁路防火墙，即可保证网络的联通状态。

此方式适合虚拟化环境下虚拟机迁移的需求，对业务调整频繁的业务是一种很好的应对策略，同时，由于不同应用之间的隔离采用交换机ACL实现，因此适合业务安全隔离要求一般，主机调配灵活性要求稍高的环境。如大企业的业务开发中心等。

安全策略动态迁移

虚拟化数据中新带来的最大挑战就是网络安全策略要跟随虚拟机自动迁移。在创建虚拟机或虚拟机迁移时，虚拟机主机需要能够正常运行，除了在服务器上的资源合理调度，其网络连接的合理调度也是必须的。

图5 网络安全配置自动迁移

如图5所示，虚拟机1从pSrv1上迁移到pSrv2上，其网络连接从原来的由pSRV1上vSwitchA 的某个端口组接入到Edge Switch1，变成由pSRV2上vSwitchB的某个端口组接入到Edge Switch2。若迁移后对应的Edge Switch的网络安全配置不合适，会造成虚拟机1迁移后不能正常使用。尤其是原先对虚拟机1的访问设置了安全隔离ACL，以屏蔽非法访问保障虚拟机1上业务运行服务质量。因此在发生虚拟机创建或迁移时，需要同步调整相关的网络安全配置。并且，为了保证虚拟机的业务连续性，除了虚拟化软件能保证虚拟机在服务器上的快速迁移，相应的网络连接配置迁移也需要实时完成。即网络具有“随需而动”的自动化能力。

但在VEB vSwtich模式下，通常会出现多个虚拟机的配置都重复下发到一个物理接口上，很难做到针对每一个虚拟机的精细化网络安全配置管理。因此只有先精细化区分流量（比如源IP、源MAC、VLAN等），再进行针对性的网络安全配置迁移与本地配置自动化去部署。目前业界最优的解决方法就是在主机邻接物理交换机采用vPort的概念。一个虚拟机帮定一个或几个特定的vPort，虚拟机迁移时，只需在对应的邻接物理交换机上将虚拟机对应的网络配置Profile绑定到vPort上即可，而不会对其它虚拟机的vPort产生影响。

目前正在形成标准的VDP方案对网络安全配置自动迁移提供了良好的支撑能力。

邻接交换机使用VDP协议发现虚拟机实例，并向网管系统获取对应的网络安全配置Profile并部署到相应的vPort接口上。同时，虚拟机迁移前的接入位置物理交换机也会通过VDP解关联通告，去部署相应的profile对应的本地配置。加入VDP后，完全不依赖网管系统对虚拟机接入物理网络的定位能力，提高网络配置迁移的准确性和实时性。

结束语：

虚拟化数据中心是当前与未来的发展方向，而网络安全作为基础的承载保障平台面临一些新的挑战，一方面我们对现有技术进行优化改进以适应这种挑战，另一方面新技术与方案也在

不断的出现来应对挑战。只有这样才能多快好省的构造虚拟化数据中心的网络安全。

数据中心IRF虚拟化网络架构与应用

数据中心IRF虚拟化网络架构与应用
1 概述
网络已经成为企业IT运行的基石，随着IT业务的不断发展，企业的基础网络架构也不断调整和演化， 以支持上层不断变化的应用要求。 在传统数据中心网络的性能、安全、永续基础上，随着企业IT应用的展开，业务类型快速增长、运行 模式不断变化，给基础网络带来极大运维压力：需要不断变化结构、不断扩展。而传统的网络规划设计依 据高可靠思路，形成了冗余复杂的网状网结构，如图1所示。
图1 企业数据中心IT基础架构网状网 结构化网状网的物理拓扑在保持高可靠、故障容错、提升性能上有着极好的优势，是通用设计规则。 这样一种依赖于纯物理冗余拓扑的架构，在实际的运行维护中却同时也承担了极其繁冗的工作量。 多环的二层接入、full mesh的路由互联，网络中各种链路状态变化、节点运行故障都会引起预先规划配 置状态的变迁，带来运维诊断的复杂性；而应用的扩容、迁移对网络涉及更多的改造，复杂的网络环境下 甚至可能影响无关业务系统的正常运行。 因此，传统网络技术在支撑业务发展的同时，对运维人员提出的挑战是越来越严峻的。 随着上层应用不断发展，虚拟化技术、大规模集群技术广泛应用到企业IT中，作为底层基础架构的网 络，也进入新一轮技术革新时期。H3C提供的网络虚拟化技术IRF2，以极大简化网络逻辑架构、整合物理 节点、支撑上层应用快速变化为目标，实现IT网络运行的简捷化，改变了传统网络规划与设计的繁冗规则。

2
2.1
基于 IRF 虚拟化的数据中心 server farm 网络设计
数据中心的应用架构与服务器网络
对于上层应用系统而言，当前主流的业务架构主要基于C/S与B/S架构，从部署上，展现为多层架构的 方式，如图2所示，常见应用两层、三层、四层的部署方式都有，依赖于服务器处理能力、业务要求和性能、 扩展性等多种因素。
图2 多层应用架构 基础网络的构建是为上层应用服务，因此，针对应用系统的不同要求，数据中心服务器区的网络架构 提供了多种适应结构，如图3展示了4种H3C提供的常用网络拓扑结构：
图3 多种数据中心server farm结构 根据H3C的数据中心架构理解和产品组合能力，可提供独立的网络、安全、优化设备组网，也可以提 供基于框式交换平台集成安全、优化的网络架构。Server farm 1&2是一种扁平化架构，多层应用服务器

基于虚拟化的数据中心扩容建设_概括汇报材料

基于虚拟化的数据中心扩容建设 概述 目前***市信息办所有的应用系统设备均放至在***市数据中心机房内，中心数据机房整体建设完善，各业务系统有对应的管理机制，为进一步整合公共资源，提升***市公务信息化建设，需进行现有数据中心的扩容和升级，在原有数据中心建设的基础上，增加高性能服务器、大容量存储，并且需要通过升级扩容，形成机房综合管理系统，从而进一步提升***市信息办信息化平台建设水平。 新一代的信息办数据中心，应该设计成集中化、虚拟化和自动化管理的架构，不仅有利于数据的安全和系统的稳定，而且能够大大降低运营的成本，简化日常运营维护管理。本次***市信息办数据中心建设项目的设计目标是构造一个功能齐全、设备先进、运行高效、使用灵活、维护方便、易于扩展、投资省、高安全可靠的服务器及存储系统。 设计原则 根据项目实际需求，在系统设计原则及选型配置时应以满足当前的应用需求为基础，并具有良好的扩充能力，从实际应用和目前服务器技术发展趋势来看，服务器的选购应参考以下原则： 1.高效稳定、安全可靠 信息化建设必须秉承稳定为基础，兼顾高效率；故在设备选型及方案设计的初期，我们选择了先进的高端机架式服务器，同时应用业内最为先进的集群概念，通过采用虚拟化技术，在提高设备利用率的同时为上层应用系统提供更稳定更高效的基础平台支撑；进而实现信息化系统高效稳定的运行。 2.高可用 服务器涉及用户的关键应用和数据，因此高可用性的概念十分重要，“可用性”仍然是服务器的根本。 一般来讲，单台服务器的可用性通常需要考虑到关键部件的冗余。所以，提高可用性的一个普遍做法是部件的冗余配置，部件冗余对于高端服务器十分重要已是个不争的事实。然而，除了部件的冗余之外，还应该考虑采用HA和集群技

数据中心安全建设方案

数据中心安全建设方案

数据中心安全解决方案

目录 第一章解决方案 (2) 1.1建设需求 (2) 1.2建设思路 (2) 1.3总体方案 (3) 1.3.1 IP准入控制系统 (4) 1.3.2 防泄密技术的选择 (6) 1.3.3 主机账号生命周期管理系统 (6) 1.3.4 数据库账号生命周期管理系统.. 7 1.3.5 令牌认证系统 (7) 1.3.6 数据库审计系统 (8) 1.3.7 数据脱敏系统 (8) 1.3.8 应用内嵌账号管理系统 (9) 1.3.9 云计算平台 (12) 1.3.10 防火墙 (13) 1.3.11 统一安全运营平台 (13) 1.3.12 安全运维服务 (15) 1.4实施效果 (15) 1.4.1 针对终端接入的管理 (15) 1.4.2 针对敏感数据的使用管理 (16) 1.4.3 针对敏感数据的访问管理 (17) 1.4.4 针对主机设备访问的管理 (17)

1.4.5 针对数据库访问的管理 (18) 1.4.6 针对数据库的审计 (19) 1.4.7 针对应用内嵌账号的管理 (21) 1.4.8 安全运营的规范 (21) 1.4.9 针对管理的优化 (22) 第二章项目预算及项目要求 (23) 2.1项目预算 (23) 2.1.1 项目一期预算 (23) 2.1.2 一期实现目标 (24) 2.2项目要求 (25) 2.2.1 用户环境配合条件 (25)

第一章解决方案 1.1建设需求 XXX用户经过多年的信息化建设，各项业务都顺利的开展起来了，数据中心已经积累了很多宝贵的数据，这些无形的资产比硬件资产还重要，但它们却面临着非常大的安全挑战。 在早期的系统建设过程中，大多用户不会考虑数据安全、应用安全层面的问题，经过多年的发展，数据中心越来越庞大，业务越来越复杂，但信息安全完全没有配套建设，经常会发生一些安全事件，如：数据库的表被人删除了、主机密码被人修改了、敏感数据泄露了、特权账号被第三方人员使用等等情况，而这些安全事件往往都是特权用户从后台直接操作的，非常隐蔽，这时候往往无从查起。 其实，信息安全建设在系统的设计初期开始，就应该要介入，始终贯穿其中，这样花费的人力物力才是最小。当一个系统建成后，发现问题了，回头再来考虑安全建设，这样投入的成本将会变得最大。 1.2建设思路 数据中心的安全体系建设并非安全产品的堆砌，它是一个根据用户具体业务环境、使用习惯、安全策略要求等多个方面构建的一套生态体系，涉及众多的安全技术，实施过程需要涉及大量的调研、咨询等工作，还会涉及到众多的安全厂家之间的协调、产品的选型，安全系统建成后怎么维持这个生态体系的平衡，是一个复杂的系统工程，一般建议分期投资建设，从技术到管理，逐步实现组织的战略目标。 整体设计思路是将需要保护的核心业务主机包及数据库围起来，与其他网络区域进行逻辑隔离，封闭一切不应该暴漏的端口、IP，在不影响现有业务的情况下形成数据孤岛，设置固定的数据访问入口，对入口进行严格的访问控制及审计。由之前的被动安全变为主动防御，控制安全事故的发生，对接入系统

数据中心虚拟化为何离不开大二层网络技术

数据中心虚拟化为何离不开大二层网络技术？ 一.为什么需要大二层? 1. 虚拟化对数据中心提出的挑战 传统的三层数据中心架构结构的设计是为了应付服务客户端-服务器应用程序的纵贯式大流量，同时使网络管理员能够对流量流进行管理。工程师在这些架构中采用生成树协议(STP)来优化客户端到服务器的路径和支持连接冗余。 虚拟化从根本上改变了数据中心网络架构的需求。最重要的一点就是，虚拟化引入了虚拟机动态迁移技术。从而要求网络支持大范围的二层域。从根本上改变了传统三层网络统治数据中心网络的局面。 2. 虚拟机迁移与数据中心二层网络的变化 在传统的数据中心服务器区网络设计中，通常将二层网络的范围限制在网络接入层以下，避免出现大范围的二层广播域。 如图1所示，由于传统的数据中心服务器利用率太低，平均只有10%～15%，浪费了大量的电力能源和机房资源。虚拟化技术能够有效地提高服务器的利用率，降低能源消耗，降低客户的运维成本，所以虚拟化技术得到了极大的发展。但是，虚拟化给数据中心带来的不仅是服务器利用率的提高，还有网络架构的变化。具体的来说，虚拟化技术的一项伴生技术—虚拟机动态迁移(如VMware的VMotion)在数据中心得到了广泛的应用。简单来说，虚拟机迁移技术可以使数据中心的计算资源得到灵活的调配，进一步提高虚拟机资源的利用率。但是虚拟机迁移要求虚拟机迁移前后的IP和MAC地址不变，这就需要虚拟机迁移前后的网络处于同一个二层域内部。由于客户要求虚拟机迁移的范围越来越大，甚至是跨越不同地域、不同机房之间的迁移，所以使得数据中心二层网络的范围越来越大，甚至出现了专业的大二层网络这一新领域专题。 3. 传统网络的二层为什么大不起来? 在数据中心网络中，“区域”对应VLAN的划分。相同VLAN内的终端属于同一广播域，具有一致的VLAN-ID，二层连通;不同VLAN内的终端需要通过网关互相访问，二层隔离，三层连通。传统的数据中心设计，区域和VLAN的划分粒度是比较细的，这主要取决于“需求”和“网络规模”。 传统的数据中心主要是依据功能进行区域划分，例如WEB、APP、DB，办公区、业务区、内联区、外联区等等。不同区域之间通过网关和安全设备互访，保证不同区域的可靠性、安全性。同时，不同区域由于具有不同的功能，因此需要相互访问数据时，只要终端之间能够通信即可，并不一定要求通信双方处于同一VLAN或二层网络。 传统的数据中心网络技术， STP是二层网络中非常重要的一种协议。用户构建网络时，为了保证可靠性，通常会采用冗余设备和冗余链路，这样就不可避免的形成环路。而二层网

数据中心虚拟化项目立项报告

数据中心虚拟化项目 立项报告 客户对象：客户数据中心改造，需要新采购服务器，并搭建虚拟化平台做资源整合。客户新平台/业务系统上线，准备搭建服务器虚拟化承载业务系统。 使用目的：将多台物理服务器组成虚拟化集群，通过集群统一管理、灵活分配计算及资源，大幅提升现有服务器CPU/内存等资源的利用率。 立项名称参考：数据中心虚拟化项目/业务平台虚拟化项目

一、项目目的和当前问题分析： 随着信息化/互联网化的高速发展，我单位对内、对外的各种业务系统数量也在不断增加。目前我单位采用的传统数据中心建设方式，所有的业务系统都必须运行在独立的服务器中，这种割裂的计算资源分配方式导致每个新业务系统都必须配套采购服务器硬件。目前数据中心的服务器规模已经比较庞大，运维管理工作量不断上升。并且根据当前的业务访问监控数据显示，我单位80%以上的服务器CPU、内存日均使用率不足20%，服务器的计算资源浪费情况比较严重需要寻求新技术解决该问题。 二、项目内容： 由于信息化发展的速度加快，业务系统的数量在大幅提升。这种现状导致硬件采购越来越频繁，运维管理工作越来越复杂。更为严重的问题是当前业务系统与物理主机绑定的情况导致了计算资源的浪费，使得单位投资没有得到充分的利用。在传统技术手段中如果没在同一操作系统（主机）中运行两套业务平台，会引发业务冲突，出现宕机或者业务中断等情况。所以我单位需要引入先进的服务器虚拟化技术解决这一问题。 实现计算资源虚拟化 通过服务器虚拟化技术可以将所有的物理服务器组成集群，集群内的计算资源可以按需灵活创建虚拟机服务器。 实现统一管理监控 平台内的所有虚拟机服务器可以通过web页面管理，实施了解所有服务器运行状态，可以通过web平台新增、编辑虚拟服务器。 实现故障恢复 利用服务器虚拟化的故障迁移功能，可以在某台主机故障时，将虚拟机业务迁往其他主机中。

数据中心信息安全解决方案模板

数据中心信息安全 解决方案

数据中心解决方案 （安全）

目录 第一章信息安全保障系统...................................... 错误!未定义书签。 1.1 系统概述 .................................................... 错误!未定义书签。 1.2 安全标准 .................................................... 错误!未定义书签。 1.3 系统架构 .................................................... 错误!未定义书签。 1.4 系统详细设计 ............................................ 错误!未定义书签。 1.4.1 计算环境安全 ...................................... 错误!未定义书签。 1.4.2 区域边界安全 ...................................... 错误!未定义书签。 1.4.3 通信网络安全 ...................................... 错误!未定义书签。 1.4.4 管理中心安全 ...................................... 错误!未定义书签。 1.5 安全设备及系统......................................... 错误!未定义书签。 1.5.1 VPN加密系统 ...................................... 错误!未定义书签。 1.5.2 入侵防御系统 ...................................... 错误!未定义书签。 1.5.3 防火墙系统 .......................................... 错误!未定义书签。 1.5.4 安全审计系统 ...................................... 错误!未定义书签。 1.5.5 漏洞扫描系统 ...................................... 错误!未定义书签。 1.5.6 网络防病毒系统 .................................. 错误!未定义书签。 1.5.7 PKI/CA身份认证平台 .......................... 错误!未定义书签。 1.5.8 接入认证系统 ...................................... 错误!未定义书签。

数据中心IRF2虚拟化网络架构与应用

数据中心IRF2虚拟化网络架构与应用 文/刘新民 网络已经成为企业IT运行的基石，随着IT业务的不断发展，企业的基础网络架构也不断调整和演化，以支持上层不断变化的应用要求。 在传统数据中心网络的性能、安全、永续基础上，随着企业IT应用的展开，业务类型快速增长,运行模式不断变化，基础网络需要不断变化结构、不断扩展以适应这些变化，这给运维带来极大压力。传统的网络规划设计依据高可靠思路，形成了冗余复杂的网状网结构，如图1所示。 图1 企业数据中心IT基础架构网状网 结构化网状网的物理拓扑在保持高可靠、故障容错、提升性能上有着极好的优势，是通用设计规则。这样一种依赖于纯物理冗余拓扑的架构，在实际的运行维护中却同时也承担了极其繁冗的工作量。 多环的二层接入、Full Mesh的路由互联，网络中各种链路状态变化、节点运行故障都会引起预先规划配置状态的变迁，带来运维诊断的复杂性；而应用的扩容、迁移对网络涉及更多的改造，复杂的网络环境下甚至可能影响无关业务系统的正常运行。 因此，传统网络技术在支撑业务发展的同时，对运维人员提出的挑战是越来越严峻的。 随着上层应用不断发展，虚拟化技术、大规模集群技术广泛应用到企业IT中，作为底层基础架构的网络，也进入新一轮技术革新时期。H3C IRF2以极大简化网络逻辑架构、整合物理节点、支撑上层应用快速变化为目标，实现IT网络运行的简捷化，改变了传统网络规划与设计的繁冗规则。 1. 数据中心的应用架构与服务器网络 对于上层应用系统而言，当前主流的业务架构主要基于C/S与B/S架构，从部署上，展现为多层架构的方式，如图2所示，常见应用两层、三层、四层的部署方式都有，依赖于服务器处理能力、业务要求和性能、

数据中心、网络安全

一、数据中心的作用： 用来在internet网络基础设施上传递、加速、展示、计算、存储数据信息。 二、数据中心的组成 1、基础环境： 主要指数据中心机房及建筑物布线等设施，包括电力、制冷、消防、门禁、监控、装修等； 2、硬件设备： 主要包括核心网络设备（华为、新华三（H3C）、锐捷网络、D-Link）、 网络安全设备包含防火墙、utm、vpn、防毒邮件过滤、IPS防入侵系统物理安全隔离、监管（华为、深信服、新华三、360、天融信、启明星辰） 服务器(戴尔、联想、华为) 存储（惠普、希捷、联想、群辉） 灾备设备、机柜及配套设施； 3、基础软件： 服务器操作系统软件、虚拟化软件、IaaS服务管理软件、数据库软件、防病毒软件等；4、应用支撑平台： 一般来讲是具有行业特点的统一软件平台，整合异构系统，互通数据资源；剩下的是具体应用软件了，多数应该做成与硬件无关的。最最重要的是，光靠软件硬件的罗列是无法构成一个好的数据中心，关键是如何设计、如何 三、网络安全的作用 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断 四、网络安全的组成 1、防火墙： 防火墙是位于内部网和外部网之间的屏障，它按照系统管理员预先定义好的规则来控制数据包的进出。 2、IPS(防入侵系统) 监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。 3、防毒墙 查杀病毒保护网络安全 4、抗DDOS 主机特定漏洞的利用攻击导致网络栈失效、系统崩溃、主机死机而无法提供正常的网络服务功能，从而造成拒绝服务 5、堡垒机 保障网络和数据不受来自外部和内部用户的入侵和破坏，而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动，以便集中报警、及时处理及审计定责。 6、WAF网络防火墙 Web应用防护系统（也称为：网站应用级入侵防御系统 7、网闸 安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接，并能够在网络间进行安全适度的应用数据交换的网络安全设备。

数据中心安全规划方案

XX数据中心信息系统安全建设项目 技术方案

目录1.项目概述4 1.1.目标与范围4 1.2.参照标准4 1.3.系统描述4 2.安全风险分析5 2.1.系统脆弱性分析5 2.2.安全威胁分析5 2.2.1.被动攻击产生的威胁5 2.2.2.主动攻击产生的威胁5 3.安全需求分析7 3.1.等级保护要求分析7 3.1.1.网络安全7 3.1.2.主机安全8 3.1.3.应用安全9 3.2.安全需求总结9 4.整体安全设计10 4.1.安全域10 4.1.1.安全域划分原则10 4.1.2.安全域划分设计11 4.2.安全设备部署12 5.详细安全设计13 5.1.网络安全设计13 5.1.1.抗DOS设备13 5.1.2.防火墙14 5.1.3.WEB应用安全网关15 5.1.4.入侵防御16

5.1.5.入侵检测17 5.1. 6.安全审计18 5.1.7.防病毒18 5.2.安全运维管理19 5.2.1.漏洞扫描19 5.2.2.安全管理平台19 5.2.3.堡垒机21 6.产品列表21

1.项目概述 1.1.目标与范围 本次数据中心的安全建设主要依据《信息安全技术信息安全等级保护基本要求》中的技术部分，从网络安全，主机安全，应用安全，来对网络与服务器进行设计。根据用户需求，在本次建设完毕后XX数据中心网络将达到等保三级的技术要求。 因用户网络为新建网络，所以本次建设将完全按照《信息安全技术信息安全等级保护基本要求》中技术部分要求进行。 1.2.参照标准 GB/T22239-2008《信息安全技术信息安全等级保护基本要求》 GB/T 22239-2008《信息安全技术信息安全等级保护基本要求》 GB/T 22240-2008《信息安全技术信息系统安全等级保护定级指南》 GB/T 20270-2006《信息安全技术网络基础安全技术要求》 GB/T 25058-2010《信息安全技术信息系统安全等级保护实施指南》 GB/T 20271-2006《信息安全技术信息系统安全通用技术要求》 GB/T 25070-2010《信息安全技术信息系统等级保护安全设计技术要求》 GB 17859-1999《计算机信息系统安全保护等级划分准则》 GB/Z 20986-2007《信息安全技术信息安全事件分类分级指南》 1.3.系统描述 XX数据中心平台共有三个信息系统：能源应用，环保应用，市节能减排应用。 企业节点通过企业信息前置机抓取企业节点数据，并把这些数据上传到XX 数据中心的数据库中，数据库对这些企业数据进行汇总与分析，同时企业节点也可以通过VPN去访问XX数据中心的相关应用。

华为数据中心虚拟化解决方案

1项目技术方案 对于XXX项目中众多应用系统，采用华为FusionSphere虚拟化技术，将上述部分应用服务部署到虚拟化化的高性能物理服务器上，达到高可靠、自动化运维的目标。众多物理服务器虚拟化成计算资源池（集群），保障虚拟化平台的业务在出现计划外和计划内停机的情况下能够持续运行。本项目采用华为FusionSphere虚拟化计算技术实现， ?通过云平台HA、热迁移功能，能够有效减少设备故障时间，确保核心业务的连续性，避免传统IT，单点故障导致的业务不可用。 ?易实现物理设备、虚拟设备、应用系统的集中监控、管理维护自动化与动态化。 ?便于业务的快速发放, 缩短业务上线周期，高度灵活性与可扩充性、提高管理维护效率。 ?利用云计算技术可自动化并简化资源调配，实现分布式动态资源优化，智能地根据应用负载进行资源的弹性伸缩，从而大大提升系统的运作效率，使IT 资源与业务优 先事务能够更好地协调。 ?在数据存储方面，通过共享的SAN存储架构，可以最大化的发挥虚拟架构的优势；提供虚拟机的HA、虚拟机热迁移、存储热迁移技术提高系统的可靠性；提供虚拟机 快照备份技术(HyperDP)等，而且为以后的数据备份容灾提供扩展性和打下基础。 云平台：采用华为FusionSphere云平台，提供高可用性的弹性虚拟机，保障业务系统的连续性与虚拟机的安全隔离。 备份系统：采用华为FusionSphere HyperDP备份节点建立完整的数据保护系统。整个备份云可实现集中管理，负载均衡。 数据中心包含云管理、计算资源池、存储资源池，备份系统为可选。 Figure图1 单数据中心方案拓扑

XXX 应用系统集群 Exchange Sharepoint 终端终端 Internet XXX 项目数据中心架构分为： 接入控制：用于对终端的接入访问进行有效控制，包括接入网关，防火墙等设备。接入控制设备不是解决方案所必须的组成部分，可以根据客户的实际需求进行裁减。 虚拟化资源池：通过在计算服务器上安装虚拟化平台软件，然后在其上创建虚拟机。存储用于向虚拟机提供系统盘、数据盘等存储资源。 资源管理：云资源管理及调度，主要是对各种云物理资源和虚拟资源进行管理。创建虚拟机时，为虚拟机分配相应的虚拟资源。包括云管理服务器、集群管理服务器、安装服务器等。 硬件资源：服务器、存储、交换机。

数据中心网络安全设计与实施

摘要 随着信息技术的普及，生产、生活、工作、学习，到处可以看到计算机和网络，几乎互联网已经成为我们人类生存中不可缺少的一个重要组成部分。政府机关、事业单位，甚至我们的军队中，也出现了计算机网络。 如今，国内外黑客技术不断发展壮大，已经远远超过我们现有的防卫力量，网络安全威胁已经成为一个不可忽视的问题。大国之间的军备竞赛也涉及到网络，纷纷成立网络军队，使得互联网技术也成为了一把锋利的双刃剑。 IT行业不断发展，互联网应用将会越来越广泛，如今已经成为我们生产、生活不可分割的一部分，信息安全却成为我们迫在眉睫的问题。为了使我们使用网络更加方便，为了更好的进行管理，运营商和大型公司，都在纷纷建立数据中心，保障数据中心的网络安全，便成为我们工作的重中之重。 本次模拟试验是根据目前黑客拥有并掌握的攻防技术，以及Cisco公司指出的相关网络安全技术，通过网络安全方案实施，能够应对一般的网络安全攻击的威胁。

Abstract With the spread of information technology, production, living, working, learning, computers and networks can be seen everywhere, the Internet has become almost indispensable to human existence is an important part. Government agencies, institutions, and even our armed forces, there have been computer networks. Today, technology continues to grow and develop domestic and international hackers have been far more than our existing defense forces, the network has become a security threat can not be ignored. The arms race between the major powers involved in the network, have set up the network army, making Internet technology has also become a sharp double-edged sword. The continuous development of IT industry, Internet applications will become increasingly widespread, and now has become our production, an integral part of life, information security has become our immediate problem. To make our network more convenient to use, in order to better manage, operators and large companies, have set up in data centers, security.

数据中心安全建设方案

数据中心安全解决方案

1 目录 第一章解决方案 (2) 1.1建设需求 (2) 1.2建设思路 (2) 1.3总体方案 (3) 1.3.1 IP 准入控制系统 (5) 1.3.2防泄密技术的选择 (6) 1.3.3主机账号生命周期管理系统 (6) 1.3.4数据库账号生命周期管理系统 (7) 1.3.5令牌认证系统 (8) 1.3.6数据库审计系统 (8) 1.3.7数据脱敏系统 (9) 1.3.8应用内嵌账号管理系统 (10) 1.3.9云计算平台 (13) 1.3.10防火墙 (13) 1.3.11统一安全运营平台 (14) 1.3.12安全运维服务 (16) 1.4实施效果 (16) 1.4.1针对终端接入的管理 (16) 1.4.2针对敏感数据的使用管理 (17) 1.4.3针对敏感数据的访问管理 (18) 1.4.4针对主机设备访问的管理 (18) 1.4.5针对数据库访问的管理 (19) 1.4.6针对数据库的审计 (20) 1.4.7针对应用内嵌账号的管理 (22) 1.4.8安全运营的规范 (22) 1.4.9针对管理的优化 (23) 第二章项目预算及项目要求 .......................................................................错误！未定义书签。 2.1项目预算 ..........................................................................................错误！未定义书签。 2.1.1项目一期预算 .......................................................................错误！未定义书签。 2.1.2一期实现目标 .......................................................................错误！未定义书签。 2.2项目要求 ..........................................................................................错误！未定义书签。 2.2.1用户环境配合条件 ...............................................................错误！未定义书签。

云计算数据中心网络虚拟化技术

云计算数据中心网络虚拟化技术 Network1：VM 本地互访网络，边界是Access Switch ，包括物理服务器本机VM 互访和跨Access Switch 的不同物理服务器VM 互访两个层面。 Network2：Ethernet 与FC 融合，就是FCoE ，边界仍然是Access Switch 。 Network3：跨核心层服务器互访网络，边界是Access Switch 与Core Switch 。 Network4：数据中心跨站点二层网络，边界是Core Switch 。 Network5：数据中心外部网络，边界是Core Switch 与ISP IP 网络。 在大规模数据中心部署虚拟化计算和虚拟化存储以后，对网络产生了新的需求。 1) 虚拟机(VM)之间的互通，在DC 内部和DC 间任 意互通、迁移和扩展资源。 2) 更多的接口，更多的带宽，至少按照一万个万兆端口容量构建资源池。 3) 二层网络规模扩大，保证业务与底层硬件的透 明和随需部署。 4) 数据中心站点间二层互联，DC 资源整合，地域 无差别，构建真正的大云。 5) 服务器前后端网络融合，DC 内部网络整合。 李 明 杭州华三通信技术有限公司 杭州 100052 摘　要 云计算带来的超大规模数据中心建设，对数据中心网络提出了新的需求，网络虚拟化技术是解决这些新需求的有效手段，通过系统论述数据中心网络虚拟化技术中涉及的控制平面虚拟化技术和数据平面虚拟化技术，分析了业界主要厂商的技术实现和新的虚拟化标准协议的技术原理，为数据中心网络虚拟化技术的发展提出了一个较为清晰的演进路径。 关键词 云计算；数据中心；网络虚拟化技术 云计算最重要的技术实现就是虚拟化技术，计算虚拟化商用的解决方案得到了较成熟的应用，而存储虚拟化已经在SAN 上实现得很好了，在网络虚拟化技术方面，业界主流厂商都提出了自己的解决方案，本文分析了数据中心中网络虚拟化的实现相关技术和发展思路。 最早的网络虚拟化技术代表是交换机集群Cluster 技术，多以盒式小交换机为主，当前数据中心里面已经很少见了。而新技术则主要分为两个方向，控制平面虚拟化与数据平面虚拟化。在探讨网络虚拟化技术之前，先定义一下云计算数据中心各种网络类型，数据中心网络流量的根本出发点是Server ，结合云计算最适合的核心-接入二层网络结构，各种网络分类如图1所示。 Client Network5 Network4 Network3 Network2Network Core Layer Access Layer Physical Server(PS) VM/PS VM VM VM/PS DC Sitel DC Site2 图1 网络分类

数据中心云安全建设方案

若水公司 2017-3-23

目录 1项目建设背景 (2) 2云数据中心潜在安全风险分析 (2) 2.1从南北到东西的安全 (2) 2.2数据传输安全 (2) 2.3数据存储安全 (3) 2.4数据审计安全 (3) 2.5云数据中心的安全风险控制策略 (3) 3数据中心云安全平台建设的原则 (3) 3.1标准性原则 (3) 3.2成熟性原则 (4) 3.3先进性原则 (4) 3.4扩展性原则 (4) 3.5可用性原则 (4) 3.6安全性原则 (4) 4数据中心云安全防护建设目标 (5) 4.1建设高性能高可靠的网络安全一体的目标 (5) 4.2建设以虚拟化为技术支撑的目标 (5) 4.3以集中的安全服务中心应对无边界的目标 (5) 4.4满足安全防护与等保合规的目标 (6) 5云安全防护平台建设应具备的功能模块 (6) 5.1防火墙功能 (6) 5.2入侵防御功能 (7) 5.3负载均衡功能 (7) 5.4病毒防护功能 (8) 5.5安全审计 (8) 6结束语 (8)

1项目建设背景 2云数据中心潜在安全风险分析 云数据中心在效率、业务敏捷性上有明显的优势。然而，应用、服务和边界都是动态的，而不是固定和预定义的，因此实现高效的安全十分具有挑战性。传统安全解决方案和策略还没有足够的准备和定位来为新型虚拟化数据中心提供高效的安全层，这是有很多原因的，总结起来，云数据中心主要的安全风险面临以下几方面： 2.1从南北到东西的安全 在传统数据中心里，防火墙、入侵防御，以及防病毒等安全解决方案主要聚焦在内外网之间边界上通过的流量，一般叫做南北向流量或客户端服务器流量。 在云数据中心里，像南北向流量一样，交互式数据中心服务和分布式应用组件之间产生的东西向流量也对访问控制和深度报文检测有刚性的需求。多租户云环境也需要租户隔离和向不同的租户应用不同的安全策略，这些租户的虚拟机往往是装在同一台物理服务器里的。 传统安全解决方案是专为物理环境设计的，不能将自己有效地插入东西向流量的环境中，所以它们往往需要东西向流量被重定向到防火墙、深度报文检测、入侵防御，以及防病毒等服务链中去。这种流量重定向和静态安全服务链的方案对于保护东西向流量是效率很低的，因为它会增加网络的延迟和制造性能瓶颈，从而导致应用响应时间的缓慢和网络掉线。 2.2数据传输安全 通常情况下，数据中心保存有大量的租户私密数据，这些数据往往代表了租户的核心竞争力，如租户的客户信息、财务信息、关键业务流程等等。在云数据中心模式下，租户将数据通过网络传递到云数据中心服务商进行处理时，面临着几个方面的问题：一是如何确保租户的数据在网络传输过程中严格加密不被窃取；二是如何保证云数据中心服务商在得到数据时不将租户绝密数据泄露出去；三是在云数据中心服务商处存储时，如何保证访问用户经过严格的权限认证并且是合法的数据访问，并保证租户在任何时候都可以安全访问到自身的数据。

虚拟化数据中心的网络安全设计

虚拟化数据中心给网络安全带来了一些挑战，尤其是虚拟机的迁移，计算集群主机的加入与离开等都是传统数据中心所没有的。为解决这些问题虚拟化数据中心的网络建设需要引入新思路和新技术，如VLAN扩展，安全策略上移，网络安全策略跟随虚拟机动态迁移等。 虚拟化数据中心的网络安全设计 数据中心虚拟化是指采用虚拟化技术构建基础设施池，主要包括计算、存储、网络三种资源。虚拟化后的数据中心不再象传统数据中心那样割裂的看待某台设备或某条链路，而是将整个数据中心的计算、存储、网络等基础设施当作可按需分割的资源集中调配。 数据中心虚拟化，从主机等计算资源的角度看，包含多合一与一分多两个方向（如图1所示），都提供了计算资源被按需调配的手段。由于虚拟化的数据中心是计算、存储、网络三种资源深度融合而成，因此主机虚拟化技术能够顺利实现必须由合适的网络安全策略与之匹配，否则一切都无从谈起。前者出现较早，主要包括集群计算等技术，以提升计算性能为主；而后者主要是近几年出现的在一台物理X86系统上的多操作系统同时并存的技术，以缩短业务部署时间，提高资源使用效率为主要目的。 图1 计算虚拟化的两种表现形式

虚拟化后数据中心面临的安全问题 传统数据中心网络安全包含纵向安全策略和横向安全策略，无论是哪种策略，传统数据中心网络安全都只关注业务流量的访问控制，将流量安全控制作为唯一的规划考虑因素。而虚拟化数据中心的网络安全模型则需要由二维平面转变为三维空间，即增加网络安全策略（如图2所示），网络安全策略能够满足主机顺畅的加入、离开集群，或者是动态迁移到其它物理服务器，并且实现海量用户、多业务的隔离。。 图2 数据中心虚拟化安全模型 虚拟化数据中心对网络安全提出三点需求： 1、在保证不同用户或不同业务之间流量访问控制，还要支持多租户能力； 2、网络安全策略可支撑计算集群中成员灵活的加入、离开或者迁移； 3、网络安全策略可跟随虚拟机自动迁移。 在上述三个需求中，第一个需求是对现有网络安全策略的增强。后两个需求则需要一些新的规划准则或技术来实现，这给当前网络安全策略带来了挑战。 应对之道 VLAN扩展 虚拟化数据中心作为集中资源对外服务，面对的是成倍增长的用户，承载的服务是海量的，尤其是面向公众用户的运营云平台。数据中心管理人员不但要考虑云主机（虚拟机或者物理机）的安全，还需要考虑在云平台中大量用户、不同业务之间的安全识别与隔离。 要实现海量用户的识别与安全隔离，需要为虚拟化数据中心的每一个租户提供一个唯一的标识。目前看开，VLAN是最好的选择，但由于VLAN数最多只能达到4096，无法满足虚拟化数据中心业务开展，因此需要对VLAN进行扩展。如图3所示，VLAN扩展的有以下两个

数据中心网络及安全方案规划与设计

数据中心网络及安全方案规划与设计 1.1. 数据中心网络建设目标 XX数据中心未来将XX集团承载所有生产环境系统。数据中心网络作为业务网络的一个重要组成部分，为核心业务系统服务器和存储设备提供安全可靠的接入平台。网络建设应达成以下目标： 高可用――网络作为数据中心的基础设施，网络的高可用直接影响到业务系统的可用性。网络层的高可用至少包括高可靠、高安全和先进性三个方面： ◆高可靠：应采用高可靠的产品和技术，充分考虑系统 的应变能力、容错能力和纠错能力，确保整个网络基 础设施运行稳定、可靠。当今，关键业务应用的可用 性与性能要求比任何时候都更为重要。 ◆高安全：网络基础设计的安全性，涉及到XX业务的 核心数据安全。应按照端到端访问安全、网络L2-L7 层安全两个维度对安全体系进行设计规划，从局部安

全、全局安全到智能安全，将安全理念渗透到整个数 据中心网络中。 先进性：数据中心将长期支撑XX集团的业务发展，而网络又是数据中心的基础支撑平台，因此数据中心 网络的建设需要考虑后续的机会成本，采用主流的、 先进的技术和产品（如数据中心级设备、CEE、FCoE、虚拟化支持等），保证基础支撑平台5～10年内不会被 淘汰，从而实现投资的保护。 易扩展――XX集团的业务目前已向多元化发展，未来的业务范围会更多更广，业务系统频繁调整与扩展再所难免，因此数据中心网络平台必须能够适应业务系统的频繁调整，同时在性能上应至少能够满足未来5～10年的业务发展。对于网络设备的选择和协议的部署，应遵循业界标准，保证良好的互通性和互操作性，支持业务的快速部署。 易管理――数据中心是IT技术最为密集的地方，数据中心的设备繁多，各种协议和应用部署越来越复杂，对运维人员的要求也越来越高，单独依赖运维人员个人的技术能力和

虚拟化技术在数据中心中的应用

虚拟化技术在数据中心中的应用 虚拟化（Virtualization），伴随着计算机技术的发展与应用。在信息化建设的不同时期，虚拟化都受到了计算机厂商和用户的关注。虚拟化的优势在于它能将所有可用的计算和存储资源以资源池的方式组成一个单一的整合视图，通过提供虚拟功能，可将资源看做一个单一公共的平台，最终资源池就像我们日常生活中的水和电一样，成为企业信息系统中的“公用设施”（Utility Computing）。对用户来说，虚拟计算资源带来的益处是明显的：首先提高了资源利用率，避免了复杂的系统集成和大规模的设备占用空间，降低了投资成本；二是简化了管理的复杂性，能对整体系统运行环境进行统一监管和动态分配，从而降低了计算管理和运行成本；三是可以充分利用整体平台的优势，更好地发挥系统的效能;四是从总体上提高了全系统的可靠性。 正是由于虚拟化技术在资源配置和效率方便的巨大优势，虚拟化技术率先推动了数据中心的革命。数据中心的虚拟化有很多的优点。首先，可以通过整合或者共享物理设备来提高资源利用率，据调查，目前全球多数的数据中心的资源利用率在15%~20%之间，通过整合和虚拟化技术可以将利用率提高到50%~60%；其次，可以通过虚拟化技术实现节能环保的绿色数据中心，如可以减少物理设备、电缆、空间、电力、制冷等的需求；更重要的是，可以通过虚拟化技术实现应用部署的灵活和机动，以满足快速增长的业务需求。 一、数据中心相关的虚拟化技术 虚拟化技术的核心思路是，通过软件或硬件设备构成一个虚拟化层并对其进行管理，把各类物理资源映射为统一的虚拟资源。这些虚拟资源在使用上和物理资源的特性相差很少或者没有区别。可以被虚拟化的资源包括服务器、存储、网络等资源（还包括了一些比较专用的设备如防火墙、负载均衡等），映射的方式包括一对多（1->N）、多对一（N->1）和多对多(N->M)几种形式。 1、应用虚拟化 应用虚拟化就是将IT应用的客户端进行集中统一部署，使所有用户的应用和数据在同一平台上进行计算和运行，用户对应用进行透明的访问，并最终获得与本地访问应用同样的感受和计算结果。通俗点说，应用虚拟化就是将用户使用的所有软件安装在服务器端，用户的客户端零安装，用户通过使用服务器上的软件进行工作，通常服务器的性能、安全性都要远远高于用户个人用机；因此，这种方式通常可以给用户带来更高安全性和更好性能的应用体验。 现在的应用虚拟化已经能够较好地支持本地外界设备，如打印机、扫描仪、光驱等。基于应用虚拟化可以解决当今用户所面临的很多问题，通过对应用统一管理和监控，可以实现应用的快速发布和部署，增强应用的安全性，提高员工的工作效率，大幅降低企业在IT上的整体拥有成本。 CITRIX（思杰）的应用虚拟化解决方案是目前比较典型的代表。 2、虚拟桌面基础架构 虚拟桌面基础架构（Virtual Desktop Infrastructure,VDI）的基本原理很简单，用户的桌面环境包括操作系统、应用和其他必要组件都被压缩到一个虚拟机镜像里，然后可以在数据中心的服务器上运行这些虚拟系统，形成用户的“虚拟桌面”。用户通过来自客户端设备（瘦客户机或是家用PC甚至PDA）的瘦客户计算协议与虚拟桌面进行连接，用户访问他们的桌面就像是访问传统的本地安装桌面一样。这些虚拟桌面可能运行Windows、Linux或Unix，并且仍然宿主在相同机器里。思杰、微软和威睿都提供这样的功能。