叢 海

內(nèi)蒙古自治區(qū)新聞出版廣播影視科研所 內(nèi)蒙古 呼和浩特市 010050

1 數(shù)據(jù)中心邊界防護(hù)

數(shù)據(jù)中心（Internet Data Center，IDC），是基于互聯(lián)網(wǎng)中的內(nèi)部網(wǎng)絡(luò)提供的全套設(shè)施與運(yùn)維支撐服務(wù)體系。它可以實現(xiàn)數(shù)據(jù)的集中式收集、存儲、處理和發(fā)送。通常由大型網(wǎng)絡(luò)服務(wù)器提供商建設(shè)，為企事業(yè)單位或個人客戶提供服務(wù)器托管、虛擬域名空間等服務(wù)。

數(shù)據(jù)中心的網(wǎng)絡(luò)結(jié)構(gòu)通常具有主要針對數(shù)據(jù)中心內(nèi)的服務(wù)器進(jìn)行保護(hù)，使用的安全功能需要根據(jù)服務(wù)器類型綜合考慮；數(shù)據(jù)中心可能部署有多家企業(yè)的服務(wù)器，更容易成為黑客的攻擊目標(biāo)；數(shù)據(jù)中心的核心功能是對外提供網(wǎng)絡(luò)服務(wù)，保證外網(wǎng)對數(shù)據(jù)中心服務(wù)器的正常訪問極其重要，這不僅要求邊界防護(hù)設(shè)備擁有強(qiáng)大的處理性能和完善的可靠性機(jī)制，還可以在發(fā)生網(wǎng)絡(luò)攻擊時仍不影響正常的網(wǎng)絡(luò)訪問；數(shù)據(jù)中心流量復(fù)雜，如果流量可視度不高，則不能進(jìn)行有針對性的配置調(diào)整等特征。

圖1 數(shù)據(jù)中心邊界防護(hù)部署

如圖1 所示，防火墻作為數(shù)據(jù)中心的邊界，應(yīng)實現(xiàn)以下功能：開啟審計功能和流量統(tǒng)計，對IP、用戶、應(yīng)用對流量狀況進(jìn)行審計分析和長期統(tǒng)計，審計分析結(jié)果協(xié)助管理員確立安全策略制定漏洞，長期統(tǒng)計形成類大數(shù)據(jù)分析結(jié)果可協(xié)助管理員整理并系統(tǒng)調(diào)整現(xiàn)有的安全策略；開啟入侵防御、實時更新反病毒庫，使服務(wù)器降低入侵、蠕蟲、木馬等病毒危害比率；IP 地址和網(wǎng)絡(luò)應(yīng)用限制流量可以使服務(wù)器穩(wěn)定運(yùn)行，避免網(wǎng)絡(luò)出口擁塞，影響網(wǎng)絡(luò)服務(wù)；開啟垃圾郵件過濾功能，保護(hù)內(nèi)部局域網(wǎng)郵件服務(wù)器不受垃圾郵件侵?jǐn)_，也避免其無意中轉(zhuǎn)發(fā)垃圾郵件被反垃圾郵件組織列入黑名單，影響正常郵件的發(fā)送；針對性部署DDoS 及其他攻擊防范功能，避免服務(wù)器受到互聯(lián)網(wǎng)外部主機(jī)的攻擊導(dǎo)致癱瘓；開啟文件過濾和數(shù)據(jù)過濾，避免數(shù)據(jù)泄露；通過實施雙機(jī)熱備部署可以提高系統(tǒng)穩(wěn)定性和可靠性；部署網(wǎng)管系統(tǒng)（網(wǎng)管系統(tǒng)應(yīng)細(xì)化管理至底層匯聚交換機(jī)），記錄各點(diǎn)在網(wǎng)絡(luò)中運(yùn)行的日志信息，從而協(xié)助管理員更優(yōu)的進(jìn)行配置調(diào)整、風(fēng)險識別和流量檢查；在發(fā)生單機(jī)故障時可以自動或手動切換至備機(jī)上運(yùn)行業(yè)務(wù)流量，降低網(wǎng)絡(luò)運(yùn)行停播率，保證服務(wù)器業(yè)務(wù)持續(xù)不間斷的運(yùn)行。

2 攝像頭接入安全防護(hù)

數(shù)據(jù)中心機(jī)房通常都是無人值守，通過接入攝像頭來對設(shè)備運(yùn)行狀態(tài)的實時監(jiān)測必不可少。根據(jù)攝像頭接入數(shù)量、安全防護(hù)要求等的不同，防火墻也可以在接入、匯聚、核心區(qū)域靈活部署。

針對攝像頭易被仿冒、易被利用的特點(diǎn)，數(shù)據(jù)中心防火墻可以通過設(shè)備指紋認(rèn)證、流量指紋過濾、協(xié)議漏洞檢測等手段，層層阻斷非法入侵，達(dá)到攝像頭安全接入的目的。

2.1 設(shè)備指紋認(rèn)證

設(shè)備指紋是指可以用于區(qū)分不同攝像頭的固有信息，包括：MAC、IP、廠商、序列號、固件版本號等信息。防火墻可以通過IP、MAC 信息對設(shè)備進(jìn)行認(rèn)證過濾：將授權(quán)IP 加入安全策略列表，非授權(quán)IP 流量不允許通過；將授權(quán)MAC 加入安全策略列表，非授權(quán)MAC 流量不允許通過；對IP、MAC 進(jìn)行綁定，IP、MAC 關(guān)系綁定錯誤的流量不允許通過。對于攝像頭通過三層設(shè)備接入到防火墻的情況，防火墻可以和三層網(wǎng)絡(luò)設(shè)備聯(lián)動獲取IP、MAC 綁定信息，如圖2 所示。

圖2 三層安全防護(hù)示意圖

2.2 流量指紋過濾及協(xié)議漏洞檢測

網(wǎng)絡(luò)黑客可以通過修改設(shè)備的固有信息欺騙防火墻，從而達(dá)到繞過防火墻指紋認(rèn)證的目的，同樣，網(wǎng)絡(luò)黑客可以控制攝像頭，利用攝像頭漏洞進(jìn)行網(wǎng)絡(luò)入侵。由于惡意流量是通過正常的視頻流量進(jìn)行承載，因此無法通過指紋認(rèn)證或流量過濾進(jìn)行攔截。為此防火墻應(yīng)提供流量指紋過濾功能及入侵檢測功能。

防火墻對經(jīng)過的每條流量進(jìn)行深度協(xié)議解析和特征匹配，確認(rèn)流量的協(xié)議、廠商信息等，同時和策略中配置的協(xié)議/廠商信息進(jìn)行匹配，只對授權(quán)流量進(jìn)行放行。如確認(rèn)為惡意流量，根據(jù)策略配置對流量進(jìn)行阻斷或告警。

流量識別及入侵檢測均基于特征庫，特征庫應(yīng)及時在線更新或本地更新，從而及時響應(yīng)攝像頭流量的特征變更。特征庫提供自定義功能，可以在特殊情況下靈活配置達(dá)到阻斷特性流量的功能。

3 VPN遠(yuǎn)程接入與移動辦公防護(hù)

現(xiàn)代企業(yè)為了在全球范圍內(nèi)開展業(yè)務(wù)，通常都在公司總部之外設(shè)立了分支機(jī)構(gòu)，或者與外地機(jī)構(gòu)進(jìn)行業(yè)務(wù)合作。分支機(jī)構(gòu)、合作伙伴、出差員工都需要遠(yuǎn)程接入企業(yè)總部網(wǎng)絡(luò)開展業(yè)務(wù)，目前通過VPN 技術(shù)可以實現(xiàn)安全、低成本的遠(yuǎn)程接入和移動辦公。遠(yuǎn)程接入和移動辦公通常都具有分支機(jī)構(gòu)且都需要無縫接入總部網(wǎng)絡(luò)，并且持續(xù)不間斷地開展業(yè)務(wù)；合作伙伴需要根據(jù)業(yè)務(wù)開展的情況，靈活進(jìn)行授權(quán)，限制合作伙伴可以訪問的網(wǎng)絡(luò)范圍、可以傳輸?shù)臄?shù)據(jù)類型；出差員工的地理接入位置不固定，使用的IP 地址不固定，接入時間不固定，需要靈活地隨時接入。而且出差員工所處位置往往不受企業(yè)其他信息安全措施的保護(hù)，所以需要對出差員工進(jìn)行嚴(yán)格的接入認(rèn)證，并且對出差員工可以訪問的資源和權(quán)限進(jìn)行精確內(nèi)部局域網(wǎng)控制；所有遠(yuǎn)程接入的通信過程都需要進(jìn)行加密保護(hù)，防止竊聽、篡改、偽造、重放等行為，同時還需要從應(yīng)用和內(nèi)容層面防止機(jī)密數(shù)據(jù)的泄露等特征。見圖3VPN 遠(yuǎn)程接入與移動辦公典型部署方案。

圖3 VPN 遠(yuǎn)程接入與移動辦公典型部署方案

3.1 MPLS VPN 解決方案

MPLS VPN 無縫地集成了IP路由技術(shù)的靈活性和ATM 標(biāo)簽交換技術(shù)的簡捷性。數(shù)據(jù)中心防火墻路由網(wǎng)關(guān)應(yīng)支持MPLS VPN 功能，既可以做骨干網(wǎng)的邊緣路由器設(shè)備，也可以做核心層設(shè)備。包括支持VRF 的路由表多實例，支持L2TP 方式接入VPN， 支 持IPSEC 方 式 接 入VPN，包括跨域支持靈活的VPN組網(wǎng)，基于標(biāo)準(zhǔn)協(xié)議，能全面與其他主流廠家互通，支持CE-PE 間靜態(tài)路由或動態(tài)路由協(xié)議。如圖4。

圖4 MPLS VPN 解決方案

4 IPv4向IPv6網(wǎng)絡(luò)協(xié)議過渡

2003 年1 月22 日，國 際 互聯(lián)網(wǎng)工程任務(wù)組（The Internet Engineering Task Force， 簡 稱IETF） 發(fā) 布 了IPv6 測 試 性 網(wǎng)絡(luò)，隨著多年發(fā)展，IPv6 已經(jīng)被很多通信網(wǎng)絡(luò)和終端設(shè)備廠商支持，取得了長足的進(jìn)步。但是我國許多數(shù)據(jù)中心現(xiàn)存的網(wǎng)絡(luò)中還存在大量的IPv4 網(wǎng)絡(luò)，隨著IPv6 的部署，很長一段時間是IPv4 與IPv6 共存的過渡階段，防火墻系列業(yè)務(wù)路由網(wǎng)關(guān)應(yīng)支持多種IPv4 向IPv6 網(wǎng)絡(luò)過渡解決方案，主要包括雙棧技術(shù)、隧道技術(shù)以及IPv4/IPv6 協(xié)議轉(zhuǎn)換技術(shù)。如圖5。

4.1 雙棧技術(shù)

雙棧技術(shù)是IPv6 過渡技術(shù)的基礎(chǔ)，靈活啟用和關(guān)閉IPv4/IPv6 功能，對IPv4 和IPv6 提供了完全的兼容，但這種方式需要雙路由基礎(chǔ)設(shè)施，即所有節(jié)點(diǎn)都支持雙棧技術(shù)，防火墻路由網(wǎng)關(guān)使用IPv4 協(xié)議棧在與IPv4節(jié)點(diǎn)通訊時，可以使用IPv6 協(xié)議棧與IPv6 節(jié)點(diǎn)通訊時，因此增強(qiáng)了改造和部署難度，網(wǎng)絡(luò)復(fù)雜程度也更高。

圖5 IPv4 向IPv6 網(wǎng)絡(luò)過渡

4.2 隧道技術(shù)

隧道技術(shù)（Tunneling）是一種通過使用互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施在網(wǎng)絡(luò)之間建立一條虛擬鏈路以傳遞數(shù)據(jù)的方式。使用隧道傳遞的數(shù)據(jù)可以運(yùn)用不同協(xié)議的PDU，隧道將其他協(xié)議的PDU 重新封裝之后由網(wǎng)絡(luò)發(fā)送，將新路由信息賦予PDU，以便通過互聯(lián)網(wǎng)傳遞封裝好的數(shù)據(jù)。由于PDU 經(jīng)過重新封裝，使得數(shù)據(jù)的發(fā)送方和接收方就像在一條專有“隧道”中進(jìn)行數(shù)據(jù)傳輸和通信。

4.3 IPv4/IPv6協(xié)議轉(zhuǎn)換技術(shù)

IPv4/IPv6 協(xié)議轉(zhuǎn)換技術(shù)即提供IPv4 網(wǎng)絡(luò)與IPv6 網(wǎng)絡(luò)之間的互訪技術(shù)。防火墻業(yè)務(wù)路由網(wǎng)關(guān)要求支持NAT-PT （Network Address Translation- Protocol Translation）技術(shù)支持，NAT-PT技術(shù)負(fù)責(zé)在IPv4 報文與IPv6 報文之間進(jìn)行翻譯轉(zhuǎn)換，從而達(dá)到只支持IPv6 協(xié)議的主機(jī)與只支持IPv4 協(xié)議的主機(jī)能進(jìn)行互聯(lián)互通的目的。

截至2019 年5 月，我國IPv6地址資源總量達(dá)到47282 塊，居全球第一位。目前，我國處于IPv6 改造升級的關(guān)鍵時期，無論數(shù)據(jù)中心現(xiàn)在用的是什么網(wǎng)絡(luò)，都不可能繞過IPv6 的使用。另外，進(jìn)一步完善數(shù)據(jù)中心在IPv6 環(huán)境下的安全防護(hù)機(jī)制建設(shè)，特別是有效防御針對IPv6 的新型網(wǎng)絡(luò)攻擊策略部署刻不容緩。