数据中心网络之安全规划

大型数据中心由很多个分区组成，例如：互联区、内联区、外联区、管理分区、服务器分区、核心区、存储区、开发测试区等等。其中有多个分区需要使用Internet接入，而Internet本身给社会发展带来巨大推动力的同时，产生大量的网络安全问题，越来越受到众多机构、众多企业的重视。

数据中心的安全措施包括很多方面：

1、设置严格的管理制度，实行人员通行证、人员登记、人员操作备案等等。

2、控制人员访问权限的安全，实现最小授权，业务严格划分。

3、对业务人员进行安全培训，建立严格的安全制度等，减少或避免安全事故的发生。

4、设置复杂的密码，防止账号密码被盗用等.

在本文中，主要描述的是数据中心网络安全方面的内容

网络安全问题分类

数据中心网络安全问题主要分为四类：

1、网络攻击：例如DDoS攻击、扫描类攻击、窥探类攻击、畸形包攻击等。

2、漏洞入侵：黑客利用操作系统、数据库、Web server等存在的漏洞进行入侵。

3、病毒威胁：各种类型的病毒，威胁数据中心服务器的安全。

4、内部人员威胁：例如内网用户越权访问、非法窃取数据等等。

网络安全风险识别

数据中心由于进行数据的集中式管理，数据量大而且非常重要，往往更容易成为攻击目标，而采用单一的安全防范技术很难行之有效，所以需要对数据中心进行全方位的防护，针对不同的分区建设有针对性的防护。

数据中心的安全威胁来自于网络的各个层面，从物理层一直到应用层。需要针对各层的安全威胁的特点做出一系列的应对措施，如内容深度防御、二到七层的全方位防范、访问控制、协议栈的安全防范以及二到四层的攻击防范等。

数据中心内各个分区存在的安全威胁不尽相同，如下图所示。

数据中心各分区风险识别图

网络安全设计原则

数据中心的安全的设计原则包含六个方面

1、可靠稳定，安全设备避免单点故障，切实保障网络中的安全以及网络的正常运行。

2、可扩展化，采用模块化体系结构，便于功能的添加和减少。

3、分区管理，不同区域采用不同安全策略，安全措施有针对性，有利于效率的提升。

4、最小授权，依据“缺省拒绝”方式制定防护策略。在身份鉴别的基础上，只授权开放必要的访问权限，并保证数据安全的完整性、机密性、可用性。

5、安全管理，关联事件分析，评估安全状态，便于及时调整安全策略。

6、运维审计，降低资源风险，完善责任认定。

[重点考虑]

数据中心的安全设计时，以下三个方面的功能需要重点考虑

1、防护方面，针对外部攻击，需要进行安全域的划分，把整个区域划分为多个不同安全等级的子区域；进行访问控制，对攻击进行防护，并在一些业务上允许用户建立安全隧道。

2、免疫方面，针对内部威胁，主要是能识别终端风险，对终端进行认证授权，对文档进行安全的管理和控制等。

3、可管理方面，主要指运维行为管理，对运维终端进行认证和授权，对运维的行为进行升级，对安全事件进行分析。

网络安全防护部署建议

针对数据中心各个分区的安全威胁，制定不同的部署建议以及推荐的产品。

安全防护部署建议表

防火墙部署建议

防火墙主要部署在不同区域之间，所以良好的分区原则是部署防火墙的前提。因为安全等级差异而划分出不同分区，而安全等级的高低会带来一些问题，例如安全等级低的区域因安全控制较弱进而引入较高风险和隐患，如果同其他分区的互联互通不进行限制，则会使得安全风险和问题不断蔓延扩散。

因此，对分区间的互连互通进行合理管控是对整个数据中心进行风险识别和隔离的第一步，通常在分区边界部署防火墙设备进行访问控制和流量隔离。

数据中心各分区防火墙部署

防火墙根据物理部署可以分为直连模式和旁挂旁挂模式，对于数据中心这种对业务有高可靠性要求的场景，建议防火墙均采用双机热备组网来保障可靠性。

如果两个网络设备间的数据流都需要通过防火墙防护时，防火墙就需要直挂部署在这两个网络设备之间，直挂部署的优点是流量部署清晰，但对防火墙性能要求高。

如果只需要针对部分数据流进行安全处理，则可以将防火墙旁挂部署在核心/汇聚交换机，防火墙作为默认网关或将需要处理的数据引到防火墙处理，旁挂部署在逻辑上仍然是串联方式，但通过默认网关的设置或策略路由等配置，可较为灵活的选择部分数据流进过防火墙处理。

防火墙高可靠性直连及旁挂部署

根据防火墙对数据流的处理方式，防火墙部署可以分为路由模式、透明模式和混合模式。

路由模式

在路由模式下，防火墙以三层方式对外连接，所有接口都需要配置IP地址。此时防火墙相当于一台路由器，防火墙以根据路由表进行三层转发。防火墙采用路由模式进行双机热备组网时，如果防火墙两侧为二层设备，防火墙可以采用VRRP组网；如果防火墙两侧为三层设备，防火墙可以采用OSPF组网。防火墙可以采用主备方式，也可以采用负载分担模式。

透明模式

在透明模式下，防火墙以二层方式对外连接，所有接口都不配置IP地址。此时防火墙对于用户和路由器来说是完全透明的，用户完全感觉不到防火墙的存在。

混合模式

在混合模式下，防火墙既存在工作在路由模式的接口（接口具有IP地址），又存在工作在透明模式的接口（接口无IP地址）。防火墙采用混合模式进行双机热备组网时，由于透明的接入到原有网络中，不改变既有网络流量流向，故可以依据原有网络流量流向方式采用主备或者负载分担模式。

防火墙虚拟化

防火墙虚拟化是指将一台防火墙从逻辑上划分为多台虚拟防火墙，分别为多个分区提供独立的安全保障。每台虚拟防火墙都是VPN实例（VPN Instance）、安全实例和配置实例的综合体。它能够为用户提供私有的路由转发服务、安全服务和配置管理服务。

未完待续...

喜欢本文的小伙伴

期待您的

多多留言

点点