基于专用协议
专用协议一般都是利用SNMP来获取，我们一般用于监控设备的流量、可用性等参数。

实现流量的监控

基于客户端模式
设备性能监控，采用基于客户端模式，由客户端采集系统参数，发送到服务器端。 目前针对Linux和windows系统都可以良好的支持。
4.触发器名称：Free disk space is too low
所有设备通过堡垒机统一进行管理，做到设备可管、可控、可查，保存相关的登录操作等日志三个月以上

数据库操作审计
设有专门的数据库审计设备，对数据库的所有增删改查做审计。保留相对应的日志文件，方便溯源。

业务流量严格把控
3
13
互联网接入区


合理利用运维工具
4
23
为什么要部署监控软件
在一个IT环境中会存在各种各样的设备，例如，硬件设备、软件设备，其系统的构成也是非常复杂的，通 常由下图所示的模型构成
安全的前提是要保证数 据中心的稳定运行。
上层应用
1、数据库：MySQL、MariaDB、Oracle、SQLServer及NOSQL（redis， memcached） 2.应用软件：nginx、Apache、PHP、Tomcat、Weblogic、Websphere,ERP业务 应用等

WEB应用防护
WAF通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护 对HTTP的请求进行异常检测，拒绝不符合HTTP标准的请求。可有效防止网页篡改、信息泄露、木马植入等恶 意网络入侵行为。从而减小Web服务器被攻击的可能性。自动更新特征库，保障攻击识别率。
监控的实现原理
一个监控系统的组成大题可以分为两部分：数据采集部分（客户端）和数据存储分析告警展示部 分（服务器端）。这两部分组成了监控系统的基本模型
1 专用客户端
angent
2 公用协议
专用协议
SNMP SSH Telnet
Server数据存 储分析告警展
示
数据通信
主动 模式
专用客户端 angent 公用协议
互联网
出口网关
核心交换 业务区域
管理流量
移动用户
SSL-VPN设备 堡垒机

管理员安全认证
为保障管理流量的安全，所有管理员需要通过专用的SSL-VPN拨号进入内网，实现了 1、用户身份的认证 2、针对不同用户可操作资源区分 3、流量数据加密

设备分权管理

访问控制策略
通过严格设置内部服务器的流量通过规则，使得服务器只向外开发对外服务的端口，其余端口的流量直接在防 火墙上做拒绝操作，从网络层和传输层上杜绝了非法流量的进入。

入侵防御
采用专业的入侵防御系统，对于5-7层的数据流量进行检测。能够即时的中断、调整或隔离一些不正常或是具 有伤害性的网络资料传输行为。 可根据厂商提供的信息，自动更新特征库，保障攻击识别率，提高系统安全性

数据中心区域划分

详细拓扑结构

管理流量安全审计
2
7
配置基础策略
NO
类别
1
2 远程登录管理
3
4
密码管理
5
账号管理
6
会话超时
7 8
日志管理
9 服务管理
10
检查内容 用户认证方式
说明 启用本地或AAA认证
鉴别信息在网络传输过程中被窃听 使用SSH、https加密传输

可以监控的参数

系统情况
为了保障数据中心的系统稳定，我们必须实时监测系统的各项性能参数，对系统问题做到预判。

数据库监控
可以监控到数据库的表空间使用率、会话数、用户情况。

虚拟化的监控
我们可以通过Vcenter提供的SOAP接口来获取XML格式信息，并通过解析XML格式的得到相 应的监控数据。

异地灾备
信息系统灾备是一种对信息系统的正常运营具有重大破坏性的突发事件，其中最明显的影响是信息服务的 中断和延迟，致使业务无法正常运营。信息系统停顿的世界越长，单位的信息化程度越高，损失就越大。
1.典型的自然灾害，如火灾、地 震洪水等； 2.设备故障、软件错误、通讯和 电力故障等； 3.人为因素，误操作、攻击、破 坏等；
数据中心安全管理经验分享
2016年12月 杨连磊
CONTENT
1 数据中心网络结构 2 管理流量安全审计 3 业务流量严格把控 4 合理利用运维工具

数据中心网络结构
1
3
机房环境介绍
数据中心建筑面积2100平米，其中建成机房面积553平米机房按照A级标准规范设计建设，所有设备均采用冗余设 计建设，目前已安装机柜110面，部署了120台服务器，600多台虚拟机，承载了44个大型业务系统。

添加触发器
触发器可以在模板中添加，也可以在主机总直接添加。当在模板中添加是，我们不能把阈值 写死，因为每台主机的具体情况是不同的，需要在模板中定义变量，并在触发器表达式中使用变 量代替具体的数值。

添加触发器
在使用模板的主机中修改为符合情况的数值
修改系统默认snmp community 修改snmp community
public、private团体名
public/private默认团体名
时钟服务
指定NTP服务器或校对本地时间

安全登录及审计
合理利用现有设备，针对外部管理流量尽量采 用VPN加密方式，所有操作日志需要有专门的 审计设备。
系统设置ssh/https访问地址
管理员登录地址进行限制，指定 ssh访问的地址
用户口令加密并定期更换
检查无用账号和分配权限
定义会话超时时间 日志服务 系统配置日志级别
防火墙的用户口令加密并定期更换 （90天）
现存账号符合运维工作要求，无无 用账号
登录失败后应强制退出
必须指定log服务器 定义日志级别

配置步骤
Web界面添加Vcenter的监控
1.链接Template Virt VMware
2.添加SOAP接口的url和用户名密码

可以监控的参数
通过链接的模板通过DDL自动发现集群、主机、以及虚拟机信息，并添加到相应的群组 进行监控。当我们在VC中删除某台主机后，系统也会自动删除对应主机监控
被动 模式

常见的运维工具
在监控软件中，开源的解决方案有流量监控（MRTG、Cacti、SmokePing、Graphite等）和性 能告警（Nagios、Zabbix、Zenoss Core、Ganglia、OpenTSDB等）可供选择，并且每种软件都 有自己的特点和功能，各自的侧重点和目标不完全相同，在设计理念和实现方法上也大同小异，但 都具有共同特征，例如，采集数据、分析展示、告警以及简单的故障自动出来。

告警触发器
1.触发器名称：server is overloaded {server:system.cpu.load[all,avg1].last(0)}>5|{:system.cpu.load[all,avg1].min(1 0m)}>2 当前cpu负载大于5或者最近10分内的cpu负载大于2，那么表达式将会返回true. 2.触发器名称：/etc/passwd has been changed 使用函数 diff():
系统架构
1、操作系统：Linux、Unix、Windows等 2、虚拟化：Vmware、KVM、XEN、XenServer等 3、集群：LVS、Keepalived、HAProxy、RHCS、F5deng
底层支持
1、网络：网络环境（内网环境，外网环境） 2、硬件：服务器、存储、网络设备等


部署模式
因为目前数据中心虚拟机较多，环境复杂，我们目前是部署了多个server用来收 集，利用一个代理服务器负责整体的读取，然后展式主要有两种，一种是基于客户端方式，一种是基于公有协议，而我们的实 现除了将两种方式进行了结合，也基于虚拟化平台（vmware），通过vc的接口，实现了对虚 拟化环境的完全监控（包括存储、esxi系统等）
服务端必须支持—with-libxml2和—with-libcurl，（前者用来解析调用SOAP接口返回的 XML，后者用来调用vcenter的SOAP接口）
配置文件中也要增加对VM的支持
StartVMwareCollectors=5 #Number of pre-forked vmware collector instances.只有大于 0时才能是该功能生效，意为预先配置的vmware监控实例数量。 (特别注意) VMwareFrequency=60 #Delay in seconds between data gathering from a single VMware service.zabbix获取更新vmware集群结构的最小间隔时间，单位为分钟。 VMwareCacheSize=8M #Shared memory size for storing VMware data.内存中维护的vmware 集群结构的大小

物理机和存储监控
因为物理机和存储无法进行客户端的安装，我们通过和vc的接口，来获取各项参数。

监控展示

添加触发器
如何添加触发器，如为某一主机添加CPU触发器告警
1. 定义触发器名称 2. 编写触发器表达式，（表达式含义为5分钟内 Cpu使用率大于阈值或者15分钟内Cpu使用率 一直大于20%就触发报警）
宁可错杀1000，也不放过一个

横向数据流安全
由于信息系统的系统众多，且整体规划采用的大二层设计。为防止各个系统之间的互相影响，采用了防火墙板 卡，对于各个业务系统之间进行横向隔离，只允许符合规则的流量通过，减小威胁的扩散范围。