■ 青島 何歡

編者按：現(xiàn)代社會網(wǎng)絡(luò)已經(jīng)成為各種信息的主要傳播載體，隨著網(wǎng)絡(luò)上信息爆炸式的增長，信息安全越來越受到全社會的重視。目前從網(wǎng)絡(luò)形態(tài)上看，專用網(wǎng)、廣域網(wǎng)、局域網(wǎng)等多種網(wǎng)絡(luò)形式共存，在各種網(wǎng)的邊界進(jìn)行安全方面的設(shè)計顯得越發(fā)重要。本文就某單位的信息通信網(wǎng)邊界接入平臺進(jìn)行改造，使其滿足單位內(nèi)部要求。

某單位現(xiàn)有兩條專線和一條互聯(lián)網(wǎng)接入，根據(jù)接入業(yè)務(wù)按照如圖1 模式進(jìn)行構(gòu)建。

通過圖1 可以發(fā)現(xiàn)，每增加一個接入點(diǎn)就需要部署一臺前置服務(wù)器。隨著社會對信息公開的要求的逐漸提高，勢必在未來出現(xiàn)一個大規(guī)模接入的增長，如果延續(xù)該部署方式，不但需要增加大量前置服務(wù)器，還需要增加大規(guī)模的機(jī)房空間對其進(jìn)行承載。當(dāng)設(shè)備數(shù)量達(dá)到一定規(guī)模后，維護(hù)成本和運(yùn)營成本將極大提高。

另外，前置服務(wù)器的作用為將數(shù)據(jù)轉(zhuǎn)化為文件的形式實(shí)現(xiàn)內(nèi)外網(wǎng)的交互，該方式可以對內(nèi)網(wǎng)服務(wù)器進(jìn)行一定的防護(hù)，但無法從網(wǎng)絡(luò)層面保證接入的安全。

例如，前置服務(wù)器無法對外部發(fā)起的DDoS、分布式攻擊、拒絕服務(wù)等攻擊行為進(jìn)行有效的識別和阻斷。

改造方案

針對上述問題，建議通過部署防火墻和小規(guī)模前置服務(wù)器的模式，進(jìn)行接入平臺的搭建，拓?fù)淙鐖D2 所示。

在該方案中，防火墻作為接入線路的匯聚設(shè)備，可以通過其自身所帶的規(guī)則庫對網(wǎng)絡(luò)攻擊行為進(jìn)行初步的防護(hù)，對于DDoS、分布式攻擊等基于協(xié)議棧2 至4 層的攻擊行為進(jìn)行防護(hù)，對進(jìn)入單位內(nèi)網(wǎng)的數(shù)據(jù)做第一階段的清洗。并且可以通過啟用虛擬防火墻的方式，對每一條接入鏈路構(gòu)建專用防火墻，針對每一條鏈路設(shè)置相應(yīng)的策略和訪問規(guī)則，每條鏈路在默認(rèn)情況下是不可相互通信的，保證了線路之間的安全性。

訪問流量經(jīng)過防火墻初步過濾后，應(yīng)將訪問請求和數(shù)據(jù)傳輸請求交由前置服務(wù)器進(jìn)行進(jìn)一步分析和轉(zhuǎn)發(fā)，排除掉5 至7 層攻擊行為后，將數(shù)據(jù)轉(zhuǎn)換為文件形式與后臺數(shù)據(jù)服務(wù)器數(shù)據(jù)交互。

圖1 接入架構(gòu)結(jié)構(gòu)圖

圖2 接入平臺拓?fù)鋱D

出于消除單點(diǎn)故障的考慮，防火墻和前置服務(wù)器應(yīng)部署2 臺設(shè)備互為主備，防火墻可選擇A/A 模式部署或A/S 模式部署，其中A/A 模式即雙主模式，兩臺防火墻同時工作并提供服務(wù)；A/S 即主備模式，兩臺防火墻一主一備，主防火墻故障，備用防火墻接替工作。從工作效率考慮，建議按照A/A 模式部署。

前置交換機(jī)也應(yīng)考慮至少部署2 臺以上服務(wù)器提供接入服務(wù)，同時線路及服務(wù)應(yīng)能保證均可對外部訪問請求提供接入服務(wù)。但前置交換機(jī)受限于應(yīng)用系統(tǒng)和應(yīng)用的限制，無法靠自身對外提供負(fù)載均衡的服務(wù)，僅能通過對流量的定向或線路指定來分?jǐn)傌?fù)載，在單臺服務(wù)器故障后，需要人為手工切換線路。

為消除前置機(jī)的故障需人為干涉的問題，本次方案中建議部署負(fù)載均衡設(shè)備，通過設(shè)備的多種算法路徑算法，自動計算最優(yōu)的前置服務(wù)器對外提供服務(wù)。

通過負(fù)載均衡設(shè)備，可以保證所有前置服務(wù)器能夠平均分?jǐn)偼鈦頂?shù)據(jù)流量，同時在單個設(shè)備故障時，負(fù)載均衡設(shè)備又能夠自動計算出故障設(shè)備路徑失效，自動將流量分?jǐn)偟狡渌爸梅?wù)器，實(shí)現(xiàn)自動故障切換。同時，在后期前置服務(wù)器資源不足需要擴(kuò)充的情況下，只需將該服務(wù)器加入負(fù)載均衡池中，即可分?jǐn)偭髁?，而不需要在前置服?wù)器配置額外設(shè)置。

設(shè)備選型

1.防火墻

防火墻建議采用模塊化交換機(jī)搭配控制引擎、業(yè)務(wù)板卡和防火墻板卡的模式進(jìn)行構(gòu)建。之所以采用該類設(shè)備，是因?yàn)樵擃愒O(shè)備有較強(qiáng)的擴(kuò)展能力，可根據(jù)線路類型靈活擴(kuò)展光口或者電口，同時該類設(shè)備數(shù)據(jù)處理能力強(qiáng)，其處理能力要優(yōu)于傳統(tǒng)固定接口的防火墻設(shè)備。同時，由于防火墻板卡直接插在設(shè)備的背板總線上，可以提供較大的數(shù)據(jù)交換性能。防火墻板卡應(yīng)支持虛擬防火墻的劃分。

2.負(fù)載均衡設(shè)備

應(yīng)選擇成熟產(chǎn)品，如F5、Redware、深信服等，設(shè)備應(yīng)具有鏈路負(fù)載均衡和應(yīng)用負(fù)載均衡等多種算法，能夠根據(jù)應(yīng)用的不同，自動選擇或指定最適宜的算法。

3.前置服務(wù)器

前置服務(wù)器主要用于數(shù)據(jù)的存儲和轉(zhuǎn)發(fā)，因此主流服務(wù)器設(shè)備完全能夠提供足夠的CPU 和內(nèi)存資源，唯一的瓶頸可能會出現(xiàn)在網(wǎng)卡的吞吐率和磁盤的I/O，因此建議配置萬兆光纖網(wǎng)卡，和高轉(zhuǎn)速的SAS 硬盤。當(dāng)單臺前置服務(wù)器資源耗盡后可通過增加多臺前置服務(wù)器的方式對請求進(jìn)行負(fù)載分擔(dān)。