■ 青島 何歡

編者按：現代社會網絡已經成為各種信息的主要傳播載體，隨著網絡上信息爆炸式的增長，信息安全越來越受到全社會的重視。目前從網絡形態(tài)上看，專用網、廣域網、局域網等多種網絡形式共存，在各種網的邊界進行安全方面的設計顯得越發(fā)重要。本文就某單位的信息通信網邊界接入平臺進行改造，使其滿足單位內部要求。

某單位現有兩條專線和一條互聯網接入，根據接入業(yè)務按照如圖1 模式進行構建。

通過圖1 可以發(fā)現，每增加一個接入點就需要部署一臺前置服務器。隨著社會對信息公開的要求的逐漸提高，勢必在未來出現一個大規(guī)模接入的增長，如果延續(xù)該部署方式，不但需要增加大量前置服務器，還需要增加大規(guī)模的機房空間對其進行承載。當設備數量達到一定規(guī)模后，維護成本和運營成本將極大提高。

另外，前置服務器的作用為將數據轉化為文件的形式實現內外網的交互，該方式可以對內網服務器進行一定的防護，但無法從網絡層面保證接入的安全。

例如，前置服務器無法對外部發(fā)起的DDoS、分布式攻擊、拒絕服務等攻擊行為進行有效的識別和阻斷。

改造方案

針對上述問題，建議通過部署防火墻和小規(guī)模前置服務器的模式，進行接入平臺的搭建，拓撲如圖2 所示。

在該方案中，防火墻作為接入線路的匯聚設備，可以通過其自身所帶的規(guī)則庫對網絡攻擊行為進行初步的防護，對于DDoS、分布式攻擊等基于協議棧2 至4 層的攻擊行為進行防護，對進入單位內網的數據做第一階段的清洗。并且可以通過啟用虛擬防火墻的方式，對每一條接入鏈路構建專用防火墻，針對每一條鏈路設置相應的策略和訪問規(guī)則，每條鏈路在默認情況下是不可相互通信的，保證了線路之間的安全性。

訪問流量經過防火墻初步過濾后，應將訪問請求和數據傳輸請求交由前置服務器進行進一步分析和轉發(fā)，排除掉5 至7 層攻擊行為后，將數據轉換為文件形式與后臺數據服務器數據交互。

圖1 接入架構結構圖

圖2 接入平臺拓撲圖

出于消除單點故障的考慮，防火墻和前置服務器應部署2 臺設備互為主備，防火墻可選擇A/A 模式部署或A/S 模式部署，其中A/A 模式即雙主模式，兩臺防火墻同時工作并提供服務；A/S 即主備模式，兩臺防火墻一主一備，主防火墻故障，備用防火墻接替工作。從工作效率考慮，建議按照A/A 模式部署。

前置交換機也應考慮至少部署2 臺以上服務器提供接入服務，同時線路及服務應能保證均可對外部訪問請求提供接入服務。但前置交換機受限于應用系統和應用的限制，無法靠自身對外提供負載均衡的服務，僅能通過對流量的定向或線路指定來分攤負載，在單臺服務器故障后，需要人為手工切換線路。

為消除前置機的故障需人為干涉的問題，本次方案中建議部署負載均衡設備，通過設備的多種算法路徑算法，自動計算最優(yōu)的前置服務器對外提供服務。

通過負載均衡設備，可以保證所有前置服務器能夠平均分攤外來數據流量，同時在單個設備故障時，負載均衡設備又能夠自動計算出故障設備路徑失效，自動將流量分攤到其他前置服務器，實現自動故障切換。同時，在后期前置服務器資源不足需要擴充的情況下，只需將該服務器加入負載均衡池中，即可分攤流量，而不需要在前置服務器配置額外設置。

設備選型

1.防火墻

防火墻建議采用模塊化交換機搭配控制引擎、業(yè)務板卡和防火墻板卡的模式進行構建。之所以采用該類設備，是因為該類設備有較強的擴展能力，可根據線路類型靈活擴展光口或者電口，同時該類設備數據處理能力強，其處理能力要優(yōu)于傳統固定接口的防火墻設備。同時，由于防火墻板卡直接插在設備的背板總線上，可以提供較大的數據交換性能。防火墻板卡應支持虛擬防火墻的劃分。

2.負載均衡設備

應選擇成熟產品，如F5、Redware、深信服等，設備應具有鏈路負載均衡和應用負載均衡等多種算法，能夠根據應用的不同，自動選擇或指定最適宜的算法。

3.前置服務器

前置服務器主要用于數據的存儲和轉發(fā)，因此主流服務器設備完全能夠提供足夠的CPU 和內存資源，唯一的瓶頸可能會出現在網卡的吞吐率和磁盤的I/O，因此建議配置萬兆光纖網卡，和高轉速的SAS 硬盤。當單臺前置服務器資源耗盡后可通過增加多臺前置服務器的方式對請求進行負載分擔。