張凌云+李俊杰

摘 要：通過該文介紹的一種數(shù)據(jù)中心安全部署實(shí)施方案，實(shí)現(xiàn)防火墻的主備模式，加強(qiáng)了網(wǎng)絡(luò)的穩(wěn)定性和安全性，同時(shí)實(shí)現(xiàn)安全區(qū)域劃分，滿足不同級(jí)別信息系統(tǒng)安全隔離，更加有效地控制各個(gè)網(wǎng)段的訪問權(quán)限。通過事先確認(rèn)的測試項(xiàng)目，對(duì)主要網(wǎng)絡(luò)路徑的通斷情況、主要業(yè)務(wù)的狀況進(jìn)行檢測，確保這些要檢測的網(wǎng)絡(luò)路徑和業(yè)務(wù)都正常工作。

關(guān)鍵詞：企業(yè) 數(shù)據(jù)中心 安全 部署應(yīng)用

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-098X（2017）04（a）-0135-02

為響應(yīng)互聯(lián)網(wǎng)信息系統(tǒng)等級(jí)保護(hù)的要求，需對(duì)某企業(yè)核心網(wǎng)絡(luò)交換機(jī)與數(shù)據(jù)中心匯聚交換機(jī)間的防火墻進(jìn)行改造升級(jí)，實(shí)現(xiàn)數(shù)據(jù)區(qū)數(shù)據(jù)庫、應(yīng)用服務(wù)器等網(wǎng)段安全隔離，滿足不同級(jí)別信息系統(tǒng)安全隔離。通過該項(xiàng)目實(shí)施，實(shí)現(xiàn)防火墻的主備模式，加強(qiáng)了網(wǎng)絡(luò)的穩(wěn)定性和健壯性，同時(shí)實(shí)現(xiàn)安全區(qū)域劃分，滿足不同級(jí)別信息系統(tǒng)安全隔離，更加有效地控制各個(gè)網(wǎng)段的訪問權(quán)限。

在進(jìn)行網(wǎng)絡(luò)過渡的過程中，須考慮諸方面的因素，如系統(tǒng)升級(jí)、網(wǎng)絡(luò)拓?fù)涞淖兓约跋鄳?yīng)政策的影響，以確保網(wǎng)絡(luò)過渡過程不會(huì)對(duì)現(xiàn)有興義供電局局域網(wǎng)及其廣大用戶造成任何沖擊。在實(shí)施方案的制訂過程中，遵循如下原則。

（1）充分保證實(shí)施方案整體的可靠性。

（2）全面考慮網(wǎng)絡(luò)過渡過程的各方面因素。

（3）合理利用現(xiàn)有網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。

（4）在網(wǎng)絡(luò)實(shí)施過程中加入必要的測試過程，保證整個(gè)網(wǎng)絡(luò)過渡過程的正確性。

（5）該方案可依實(shí)際情況進(jìn)行具體分析討論后做出相應(yīng)調(diào)整。

1 工程實(shí)施概況描述

1.1 網(wǎng)絡(luò)現(xiàn)狀描述

現(xiàn)某公司局域網(wǎng)接入到綜合數(shù)據(jù)網(wǎng)由兩臺(tái)不同型號(hào)的防火墻以路由方式接入，此方式存在的問題是不能進(jìn)行安全策略的同步，由于非對(duì)稱路由問題不能兩條線路同時(shí)使用，只能手動(dòng)進(jìn)行線路的激活。

原來使用防火墻已經(jīng)在線運(yùn)行多年，性能已經(jīng)不能滿足當(dāng)前數(shù)據(jù)中心流量要求，并且數(shù)據(jù)端口為100 M，已經(jīng)存在極大的網(wǎng)絡(luò)瓶頸。

1.2 目標(biāo)網(wǎng)絡(luò)描述

使用局域網(wǎng)核心交換機(jī)的虛擬防火墻來替換現(xiàn)在的數(shù)據(jù)中心防火墻。并將其部署成為主備模式，主FWSM在進(jìn)行配置后會(huì)自動(dòng)將配置同步到備FWSM上。

1.3 方案設(shè)計(jì)說明

（1）在Cisco FWSM上創(chuàng)建數(shù)據(jù)區(qū)VFW。

（2）把原有業(yè)務(wù)接口上應(yīng)用策略上移至每個(gè)VFW的Outside接口上，在VFW間實(shí)現(xiàn)網(wǎng)段間的安全隔離。

（3）VFW采用二層透明模式。業(yè)務(wù)機(jī)上網(wǎng)關(guān)保持原來地址不做改變。

采用二層部署的優(yōu)勢在于如下幾個(gè)方面。

①簡化和加速安全設(shè)備的部署。

②在現(xiàn)有網(wǎng)絡(luò)中的快速部署，不改變?nèi)魏蜪P地址。

③提供高性能“秘密的”L2-L7安全服務(wù)，提供網(wǎng)絡(luò)層的安全控制與攻擊保護(hù)。

2 施工程組織及安全措施

2.1 進(jìn)度計(jì)劃表

進(jìn)度計(jì)劃見表1。

2.2 風(fēng)險(xiǎn)分析及防范措施

此次網(wǎng)絡(luò)改造存在的風(fēng)險(xiǎn)如下。

（1）改造過程中，因?yàn)橐M(jìn)行線路改造和加入二層虛擬防火墻，改造中斷時(shí)間約為80 min左右。

（2）該次工作需要對(duì)兩臺(tái)核心分別進(jìn)行改造，因此業(yè)務(wù)服務(wù)器通信鏈路需要進(jìn)行多次網(wǎng)絡(luò)業(yè)務(wù)割接。在以往的工作中，服務(wù)器曾經(jīng)因斷網(wǎng)而出現(xiàn)業(yè)務(wù)異常的情時(shí)有發(fā)生。針對(duì)核心中斷會(huì)導(dǎo)致服務(wù)器業(yè)務(wù)中斷的情況，擬采取以下措施。

①服務(wù)器服務(wù)器建議廠家和相關(guān)負(fù)責(zé)人員到場支持。

②建議相關(guān)服務(wù)器在網(wǎng)絡(luò)切換前關(guān)停機(jī)，在網(wǎng)絡(luò)恢復(fù)之后再行啟動(dòng)。

③所有業(yè)務(wù)系統(tǒng)在網(wǎng)絡(luò)割接后，馬上進(jìn)行測試，確保服務(wù)正常。

此次改造可能會(huì)影響AD域NACC流量引入不正常，嚴(yán)格要求AD域廠家現(xiàn)場支持。

（3）為保證在正常中斷時(shí)間內(nèi)完成網(wǎng)絡(luò)切割，在實(shí)施前應(yīng)做好充分的準(zhǔn)備工作，在實(shí)施前做好相關(guān)設(shè)備的配置備份保存、實(shí)施過程中做好操作記錄工作，以保證如出現(xiàn)未知故障時(shí)，及時(shí)回退。

2.3 施工準(zhǔn)備工作

（1）為順利完成工程所進(jìn)行的必要準(zhǔn)備。

①做好相關(guān)設(shè)備的配置備份和保存。

②準(zhǔn)時(shí)把各設(shè)備運(yùn)至安裝現(xiàn)場。

③準(zhǔn)備工程必要的各種材料。

④準(zhǔn)備必要的測試儀表工具。

⑤準(zhǔn)備相應(yīng)的施工安全工器具。

（2）技術(shù)、安全準(zhǔn)備。

①熟悉方案技術(shù)要求。

②施工機(jī)具的準(zhǔn)備。

③向施工班組做技術(shù)交底和向每個(gè)工作成員進(jìn)行安全交底。

2.4 現(xiàn)場安裝要求

設(shè)備、材料運(yùn)輸?shù)截浺螅阂惭b調(diào)試的設(shè)備，在站點(diǎn)計(jì)劃開始安裝日的前一天，將設(shè)備搬運(yùn)到指定站點(diǎn)的指定位置。同一站點(diǎn)配套的設(shè)備及配件應(yīng)一次送達(dá)。

安裝材料、附材的準(zhǔn)備：為網(wǎng)絡(luò)設(shè)備準(zhǔn)備相應(yīng)的測試儀表、工器具、電纜等輔助材料。

嚴(yán)格按照施工方案要求開展割接工作，將施工中的各個(gè)環(huán)節(jié)、步驟的過程用書面或圖表等形式進(jìn)行表述，使施工的全過程有一個(gè)可控性，能及時(shí)反映工作的進(jìn)度和完成情況。工程質(zhì)量目標(biāo)，按照實(shí)施方案、規(guī)劃文件要求及國家電力行業(yè)現(xiàn)行技術(shù)標(biāo)準(zhǔn)、規(guī)范進(jìn)行施工，保證安裝施工的質(zhì)量。注意保持機(jī)房的環(huán)境清潔，退出工作后恢復(fù)機(jī)房的運(yùn)行條件要求。對(duì)廢棄的物品進(jìn)行環(huán)保處理。

3 割接總體說明

在做每個(gè)割接工作的正式割接之前，先通過事先確認(rèn)的測試項(xiàng)目，對(duì)主要的網(wǎng)絡(luò)路徑的通斷情況、主要業(yè)務(wù)的狀況進(jìn)行檢測，確保這些要檢測的網(wǎng)絡(luò)路徑和業(yè)務(wù)都工作正常，并記錄下檢測情況。然后按照事先確認(rèn)的割接步驟，一步步地進(jìn)行割接。所有割接步驟實(shí)施完畢后，再重復(fù)一次正式割接之前所做的工作，通過事先確認(rèn)的測試項(xiàng)目，對(duì)主要的網(wǎng)絡(luò)路徑的通斷情況、主要業(yè)務(wù)的狀況進(jìn)行檢測，確保這些要檢測的網(wǎng)絡(luò)路徑和業(yè)務(wù)都工作正常。通過這種對(duì)比方式，從而確保整個(gè)系統(tǒng)的割接成功。

參考文獻(xiàn)

[1] 彭可.控制網(wǎng)絡(luò)系統(tǒng)性能分析、系統(tǒng)設(shè)計(jì)和網(wǎng)絡(luò)互連的研究與應(yīng)用[D].中南大學(xué)，2004.

[2] 謝顯中.TDD模式與第三代移動(dòng)通信系統(tǒng)[J].現(xiàn)代電信科技，2000（2）：28-31.