顏承林

（中國人民銀行北海市中心支行，北海 536000）

1 當前同城雙活數(shù)據(jù)中心基本情況

目前某省銀行已建成同城通信轉接中心，并通過“VRRP+裸纖+波分設備”打通與原來省級數(shù)據(jù)中心的二層網(wǎng)絡，極大地提高了該銀行省級網(wǎng)絡的安全性和可靠性，并為下一步實施服務器虛擬化工作奠定了堅實的基礎。

縱向防火墻是指部署在該銀行省級數(shù)據(jù)中心下聯(lián)路由器與核心交換機之間的安全設備?？v向防火墻的主要作用是防止下聯(lián)分支機構非授權訪問或惡意攻擊省級數(shù)據(jù)中心的服務器。

2 存在的問題

本次部署的省級同城雙活數(shù)據(jù)中心縱向防火墻是基于狀態(tài)檢測技術的防火墻。基于狀態(tài)檢測技術的防火墻比傳統(tǒng)的基于包過濾規(guī)則的防火墻具有更好的安全性和靈活性?；诎^濾規(guī)則的防火墻是通過監(jiān)測IP報文的相關信息符合度來允許或拒絕數(shù)據(jù)包通過的，無法對通過防火墻的網(wǎng)絡報文進行細粒度的控制，無法防范惡意攻擊也不支持應用層協(xié)議，無法很好的保證內(nèi)部網(wǎng)絡的安全?；跔顟B(tài)檢測技術的防火墻是采用基于連接的檢測機制，將同一連接的所有數(shù)據(jù)包看作一個整體的數(shù)據(jù)流。它會對對數(shù)據(jù)流的第一個報文進行完整的狀態(tài)檢測，并通過建立會話表來記錄報文的源IP和端口、目的IP和端口、網(wǎng)絡協(xié)議等。這個數(shù)據(jù)流的后續(xù)報文只有匹配會話表中的信息才能通過防火墻完成報文轉發(fā)，如果不匹配則被防火墻直接丟棄。

在兩數(shù)據(jù)中心部署基于狀態(tài)檢測防火墻后，我們發(fā)現(xiàn)當部分下聯(lián)分支機構通過轉接中心訪問數(shù)據(jù)中心服務器時，會出現(xiàn)業(yè)務不通現(xiàn)象。

3 問題分析

通過“VRRP+裸纖+波分設備”打通數(shù)據(jù)中心和轉接中心核心交換機的二層網(wǎng)絡后，實現(xiàn)了兩數(shù)據(jù)中心二層VLAN網(wǎng)關雙活。但由于數(shù)據(jù)中心核心交換機VLAN網(wǎng)關VRRP優(yōu)先級別較高，當下聯(lián)分支機構通過轉接中心訪問數(shù)據(jù)中心服務器的數(shù)據(jù)包到達轉接中心下聯(lián)路由器時，會出現(xiàn)數(shù)據(jù)包來回路徑跨越兩數(shù)據(jù)中心，即來回路徑不一樣的現(xiàn)象。

該數(shù)據(jù)包來時經(jīng)過網(wǎng)絡設備路徑為：廣域網(wǎng)線路→轉接中心下聯(lián)路由器→轉接中心核心交換機→數(shù)據(jù)中心核心交換機。該數(shù)據(jù)包回時經(jīng)過網(wǎng)絡設備路徑為：數(shù)據(jù)中心核心交換機→數(shù)據(jù)中心下聯(lián)路由器→廣域網(wǎng)線路。數(shù)據(jù)包來回路徑跨越兩數(shù)據(jù)中心示意圖如下。

根據(jù)基于狀態(tài)檢測技術的防火墻對報文的鏈路狀態(tài)進行合法性檢查，丟棄鏈路狀態(tài)不合法的報文的技術特性，當回時數(shù)據(jù)包經(jīng)過數(shù)據(jù)中心縱向防火墻時，會因為可能只收到通信過程的后續(xù)報文而沒有收到首包而將報文丟棄，從而導致業(yè)務不通。

4 問題解決思路

目前業(yè)內(nèi)主要有兩種解決思路：一種是通過變更網(wǎng)絡組網(wǎng)方式來保證數(shù)據(jù)包來回路徑的一致性，另一種是將兩數(shù)據(jù)中心的所有縱向防火墻進行集群，將同一流量往返程匯聚到同一臺防火墻上處理。

針對第一種解決思路，需要變更雙數(shù)據(jù)中心之間組成大二層網(wǎng)絡的網(wǎng)絡架構，這與當前需求相悖，因為大二層網(wǎng)絡架構是為解決數(shù)據(jù)中心服務器虛擬化后虛擬機動態(tài)遷移的需求而出現(xiàn)的。這種解決思路沒有很好的處理安全與應用之間的關系，在當前省級數(shù)據(jù)中心虛擬機動態(tài)遷移業(yè)務應用大需求的前提下，不具有可操作性。

第二種解決思路是集群成員之間共享數(shù)據(jù)流會話狀態(tài)表，以保證首包及后續(xù)包往返程均通過同一組防火墻處理，即將同一流量往返程匯聚到同一臺防火墻上處理。下面通過實例進行說明。

下面以上圖所示為例，介紹client1向server1發(fā)送TCP業(yè)務數(shù)據(jù)流的過程。

（1）建立通道將兩數(shù)據(jù)中心的縱向防火墻組建成集群防火墻，集群成員之間建立機制，實時同步數(shù)據(jù)流會話狀態(tài)表。

（2）client2向server1發(fā)送TCP報文。

（3）轉接中心防火墻收到流量，根據(jù)會話狀態(tài)表判斷是否存在會話，如果不存在則認為是首包，如果存在則認為是后續(xù)包。

（4）如果是首包，轉接中心防火墻將TCP業(yè)務數(shù)據(jù)流進行標記并更新集群數(shù)據(jù)流會話狀態(tài)表，會話狀態(tài)表實時同步至數(shù)據(jù)中心防火墻。

（5）更新并同步集群數(shù)據(jù)流會話狀態(tài)表后，轉接中心防火墻將數(shù)據(jù)流轉發(fā)到轉接中心核心交換機，再到數(shù)據(jù)中心核心交換機，最終到達server1。

（6）由于數(shù)據(jù)中心核心交換機VLAN網(wǎng)關VRRP優(yōu)先級別較高，從server1回程的數(shù)據(jù)流經(jīng)過數(shù)據(jù)中心核心交換機到達數(shù)據(jù)中心防火墻。

（7）數(shù)據(jù)中心防火墻根據(jù)數(shù)據(jù)流會話狀態(tài)表檢測到該數(shù)據(jù)流標記為轉接中心防火墻，直接將該回程數(shù)據(jù)流轉給轉接中心防火墻處理。

（8）如果是后續(xù)包，轉接中心防火墻進行標記并對數(shù)據(jù)包進行處理，先是轉發(fā)到轉接中心核心交換機，再到數(shù)據(jù)中心核心交換機，最終到達server1。

（9）同樣的，由于數(shù)據(jù)中心核心交換機VLAN網(wǎng)關VRRP優(yōu)先級別較高，從server1回程的數(shù)據(jù)流經(jīng)過數(shù)據(jù)中心核心交換機到達數(shù)據(jù)中心防火墻。數(shù)據(jù)中心防火墻根據(jù)數(shù)據(jù)流會話狀態(tài)表檢測到該數(shù)據(jù)流標記為轉接中心防火墻，直接將該回程數(shù)據(jù)流轉給轉接中心防火墻處理。

在第二種解決方案中，通過在防火墻上對數(shù)據(jù)包進行標識，并及時在集群中更新和同步數(shù)據(jù)流會話狀態(tài)表，以保證返程數(shù)據(jù)流能夠識別出處理來程數(shù)據(jù)流的防火墻，并交由同一防火墻處理，從而實現(xiàn)數(shù)據(jù)包往返都經(jīng)過同一防火墻。這種處理方式徹底解決了基于狀態(tài)檢測技術的防火墻在已打通大二層的同城雙活數(shù)據(jù)中心中數(shù)據(jù)流因往返過程跨中心跨不同防火墻而導致業(yè)務不通的問題。在這種方案中，只需對防火墻的操作系統(tǒng)進行必要的升級改造，無需改變原有網(wǎng)絡架構，是目前同城雙活數(shù)據(jù)中心部署縱向防火墻的最佳實踐。