叢 海

內(nèi)蒙古自治區(qū)新聞出版廣播影視科研所 內(nèi)蒙古 呼和浩特市 010050

1 新網(wǎng)絡(luò)帶來的新威脅

隨著網(wǎng)絡(luò)的發(fā)展，層出不窮的新應(yīng)用雖然給人們的網(wǎng)絡(luò)生活帶來了更多的便利，同時也帶來更多的安全管理風(fēng)險。

1.1 IP 地址不等于使用者

在新網(wǎng)絡(luò)中，通過操縱僵尸主機借用合法IP 地址發(fā)動網(wǎng)絡(luò)攻擊，或者偽造、仿冒源IP地址來進行網(wǎng)絡(luò)欺騙和權(quán)限獲取已經(jīng)成為最簡單的攻擊手段。一個報文的源IP 地址，已經(jīng)不能真正反映發(fā)送這個報文的網(wǎng)絡(luò)使用者的身份。由于遠程辦公、移動辦公等新興的辦公形式的出現(xiàn)，同一使用者所使用的主機IP 地址可能隨時在發(fā)生變化，所以通過IP 地址進行流量控制已經(jīng)不能滿足現(xiàn)代網(wǎng)絡(luò)的需求。

1.2 端口和協(xié)議不等于應(yīng)用

傳統(tǒng)網(wǎng)絡(luò)業(yè)務(wù)總是運行在固定的端口之上。例如HTTP 運行在80 端口，F(xiàn)TP 運行在20、21 端口。然而在新網(wǎng)絡(luò)中，越來越多的網(wǎng)絡(luò)應(yīng)用開始使用未經(jīng)因特網(wǎng)地址分配組織（Internet Assigned Numbers Authority， IANA）明確分配的非知名端口，或者隨機指定的端口（例如P2P 協(xié)議）。這些應(yīng)用因為難以受到控制，濫用帶寬，往往造成網(wǎng)絡(luò)的擁塞。

同時，一些知名端口也被用于運行截然不同的業(yè)務(wù)。最為典型是隨著網(wǎng)頁技術(shù)的發(fā)展，越來越多不同風(fēng)險級別的業(yè)務(wù)借用HTTP 和HTTPS 協(xié)議運行在80 和443 端口之上，例如WebMail、網(wǎng)頁游戲、視頻網(wǎng)站、網(wǎng)頁聊天等等。

1.3 報文不等于內(nèi)容

單包檢測機制只能對單個報文的安全性進行分析。這樣無法防范在一次正常網(wǎng)絡(luò)訪問的過程中發(fā)生的病毒、木馬等網(wǎng)絡(luò)威脅。現(xiàn)在內(nèi)部局域網(wǎng)主機在訪問Internet 的過程中，很有可能無意中從外網(wǎng)引入蠕蟲、木馬及其他病毒，造成企業(yè)機密數(shù)據(jù)泄露，對企業(yè)經(jīng)營造成巨大損失。所以企業(yè)的網(wǎng)絡(luò)安全管理，有必要在控制流量的源和目的的基礎(chǔ)上，再對流量傳輸?shù)恼鎸崈?nèi)容進行深入的識別和監(jiān)控。

2 防火墻在數(shù)據(jù)中心網(wǎng)絡(luò)中的部署

2.1 互聯(lián)網(wǎng)接入邊界防護

一般大中型數(shù)據(jù)中心單位職工人數(shù)通常都比較多，在500人以上的單位均具有職工人員眾多、業(yè)務(wù)復(fù)雜、流量構(gòu)成豐富多樣化等特點，對外提供網(wǎng)站、郵件服務(wù)等網(wǎng)絡(luò)服務(wù)，容易成為DDoS（Distributed Denial of Service）攻擊的目標，而且一旦攻擊成功，業(yè)務(wù)損失巨大，對設(shè)備可靠性要求較高，需要邊界設(shè)備支持持續(xù)大流量運行，即使設(shè)備故障也不能影響網(wǎng)絡(luò)運轉(zhuǎn)等等的業(yè)務(wù)特征。（如圖1）

2.1.1 防火墻作為出口網(wǎng)關(guān)應(yīng)為數(shù)據(jù)中心單位提供高質(zhì)量、不間斷的網(wǎng)絡(luò)安全防護功能

1.應(yīng)將單位職工網(wǎng)絡(luò)、服務(wù)器群組網(wǎng)絡(luò)、外部網(wǎng)絡(luò)分別劃分到不同安全區(qū)域，確立不同的安全等級并對各個安全區(qū)域間的流量進行檢測和保護。

2.根據(jù)單位對外提供的網(wǎng)絡(luò)服務(wù)的類型針對性開啟相應(yīng)的內(nèi)容安全防護功能。例如，圖1 中的文件服務(wù)器開啟文件過濾和數(shù)據(jù)過濾，針對郵件服務(wù)器開啟郵件過濾，并且針對所有服務(wù)器須開啟反病毒和防入侵功能。

3.在職工需要訪問外部網(wǎng)絡(luò)時，要開啟反病毒、URL（Uniform Resource Locator） 過 濾、文件過濾、數(shù)據(jù)過濾、應(yīng)用行為控制等功能，既保護服務(wù)器群組不受外網(wǎng)威脅，又可以防止單位不宜公開以上級別信息的泄露，從而提高數(shù)據(jù)中心網(wǎng)絡(luò)的安全性。

4.通過數(shù)據(jù)中心防火墻與在外出差職工及下級單位分支機構(gòu)間建立VPN 隧道，使用VPN保護單位業(yè)務(wù)數(shù)據(jù)，使業(yè)務(wù)數(shù)在互聯(lián)網(wǎng)上安全傳輸。

5.開啟DDoS 防御選項，有效抵抗互聯(lián)網(wǎng)外部主機對數(shù)據(jù)中心內(nèi)部服務(wù)器進行的洪水攻擊，保障單位業(yè)務(wù)的正常開展。

圖1 互聯(lián)網(wǎng)接入邊界防護典型部署

6.防火墻須對數(shù)據(jù)中心內(nèi)外網(wǎng)之間的流量部署帶寬策略，控制各網(wǎng)內(nèi)域的流量帶寬和連接數(shù)，避免網(wǎng)絡(luò)擁塞，同時也可輔助提高DDoS 攻擊的防御，從而提高單位互聯(lián)網(wǎng)業(yè)務(wù)高質(zhì)量運行。

7.須并行部署網(wǎng)管審計系統(tǒng)，配合防火墻審計記錄網(wǎng)絡(luò)設(shè)備運行的日志。設(shè)備日志可以協(xié)助網(wǎng)絡(luò)管理員對系統(tǒng)進行再配置和調(diào)整、風(fēng)險識別和流量審計等大量數(shù)據(jù)分析工作。

8.條件允許的情況下防火墻應(yīng)雙機熱備部署，可提高數(shù)據(jù)中心系統(tǒng)安全可靠性。如果單機故障時可以將業(yè)務(wù)流量從主機平滑切換至備機上運行，從而保證單位互聯(lián)網(wǎng)業(yè)務(wù)持續(xù)無間斷的運行。

2.1.2 數(shù)據(jù)中心防火墻應(yīng)開啟以下安全防護功能

1.反病毒：在網(wǎng)關(guān)設(shè)備上應(yīng)用反病毒特性，保護內(nèi)部網(wǎng)絡(luò)用戶和服務(wù)器免受病毒威脅。

2.入侵防御：配置入侵防御功能，保護內(nèi)部網(wǎng)絡(luò)的PC 和Web 服務(wù)器避免受到來自Internet 的攻擊。

3.Web 訪問防護：通過配置URL 過濾、入侵防御和反病毒功能，保護內(nèi)部局域網(wǎng)用戶訪問Web 網(wǎng)站和下載文件時免受病毒威脅和攻擊。

4.數(shù)據(jù)泄露防護：通過配置文件過濾和內(nèi)容過濾功能，可以防止數(shù)據(jù)中心內(nèi)的信息泄露到互聯(lián)網(wǎng)，保證內(nèi)部網(wǎng)絡(luò)信息安全。

5.應(yīng)用行為控制：在企業(yè)安全網(wǎng)關(guān)上配置應(yīng)用行為控制功能，可以管理內(nèi)部局域網(wǎng)用戶的上網(wǎng)HTTP 行為和FTP 行為。

6.垃圾郵件防范：在安全網(wǎng)關(guān)上配置垃圾郵件防范功能，可以有效的過濾來自外網(wǎng)的垃圾郵件，保護單位內(nèi)部局域網(wǎng)和郵件服務(wù)器。

2.2 內(nèi)部局域網(wǎng)監(jiān)管與安全隔離

對于一個單位的數(shù)據(jù)中心來說，通常其內(nèi)部網(wǎng)絡(luò)也需要劃分詳細的安全等級，并對不同網(wǎng)絡(luò)間的流量進行監(jiān)控，以根據(jù)不同網(wǎng)絡(luò)的業(yè)務(wù)類型和安全風(fēng)險，部署不同的安全策略；在不同網(wǎng)絡(luò)間的流量需要受控，避免單位核心信息資產(chǎn)通過網(wǎng)絡(luò)泄露；將網(wǎng)絡(luò)進行隔離，避免一個網(wǎng)絡(luò)感染病毒擴散到整個數(shù)據(jù)中心內(nèi)部局域網(wǎng)；數(shù)據(jù)中心大部分流量主要發(fā)生在同一網(wǎng)絡(luò)內(nèi)，而同一網(wǎng)絡(luò)內(nèi)的流量傳輸往往無需過多干預(yù)的目的。所以通過網(wǎng)絡(luò)劃分，可以降低安全設(shè)備的檢測負擔(dān)，提高檢測效率，使網(wǎng)絡(luò)更加通暢。（如圖2）

圖2 內(nèi)部局域網(wǎng)管控與安全隔離典型部署

防火墻作為單位數(shù)據(jù)中心內(nèi)部局域網(wǎng)邊界，應(yīng)在內(nèi)部局域網(wǎng)部署一個或多個防火墻作為局域網(wǎng)內(nèi)不同網(wǎng)絡(luò)邊界的網(wǎng)關(guān)來隔離不同網(wǎng)絡(luò)。首先要建立健全用戶管理體系，對內(nèi)部局域網(wǎng)主機接入用戶進行詳細的層級權(quán)限控制；把相同安全等級的局域網(wǎng)絡(luò)劃分到同一個安全區(qū)域，這些局域網(wǎng)之間部署少量的安全功能，對網(wǎng)域間通信的流量仍然可以進行簡單的數(shù)據(jù)包過濾、反病毒、黑（白）名單等功能；在不同安全等級的網(wǎng)絡(luò)須劃分不同的安全區(qū)域，根據(jù)業(yè)務(wù)需求部署不同的安全功能；在各個區(qū)域之間啟用帶寬管理策略，嚴格控制帶寬與用戶的連接數(shù)，從而避免局域網(wǎng)內(nèi)部發(fā)生網(wǎng)絡(luò)擁塞現(xiàn)象；在局域網(wǎng)所有的區(qū)域與外網(wǎng)之間啟用反病毒、入侵防御、文件類型過濾、數(shù)據(jù)過濾、URL 過濾、應(yīng)用行為控制等功能。

2.3 跨數(shù)據(jù)中心集群防護設(shè)置

隨著數(shù)據(jù)中心的業(yè)務(wù)發(fā)展，對可靠性、可管理性有了更高的要求，要求支持數(shù)據(jù)中心之間的災(zāi)備、業(yè)務(wù)負載分擔(dān)、以及VM 遷移，并且在故障倒換、VM 遷移過程中保證業(yè)務(wù)的連續(xù)性。這些需求對狀態(tài)防火墻提出跨DC 高可靠的要求。傳統(tǒng)防火墻一般只支持雙機之間的熱備，不支持多機熱備。在多于2 個數(shù)據(jù)中心多活場景，防火墻多數(shù)據(jù)中心部署時各個防火墻之間沒有配合和聯(lián)動，導(dǎo)致在業(yè)務(wù)跨數(shù)據(jù)中心切換，VM 遷移等場景防火墻無法滿足業(yè)務(wù)持續(xù)高可用性的要求。跨數(shù)據(jù)中心防火墻高可靠方案，可以讓多活數(shù)據(jù)中心的多個防火墻設(shè)備組成集群，相互配合與協(xié)作，達成數(shù)據(jù)中心間業(yè)務(wù)切換的高可用性。

2.3.1 保證多活DC 防火墻集群故障倒換時業(yè)務(wù)連續(xù)

如圖3 所示，N 個數(shù)據(jù)中心對應(yīng)N 個業(yè)務(wù)組，NAT 地址事先由按業(yè)務(wù)組劃分好，每個DC 主用其中一部分地址，地址映射為本DC 內(nèi)部的服務(wù)。一個業(yè)務(wù)組優(yōu)先選擇本DC 防火墻成為自己的主用設(shè)備，同時可以手工指定其他DC 防火墻作為自己的備用設(shè)備，并指定各備用設(shè)備的優(yōu)先級別，各DC 的防火墻對外發(fā)布的NAT公網(wǎng)地址路由優(yōu)先級會根據(jù)對應(yīng)業(yè)務(wù)組的狀態(tài)進行調(diào)整。業(yè)務(wù)組對應(yīng)地址的路由在該業(yè)務(wù)組的主防火墻、備防火墻、次備防火墻上發(fā)布的時候優(yōu)先cost 值成階梯狀排序。這樣本DC 主用的部分地址在本DC 防火墻上對外發(fā)布的路由要比其他DC 防火墻發(fā)布的優(yōu)先級高，外部訪問對應(yīng)公網(wǎng)地址時，根據(jù)路由優(yōu)先級選路，會符合預(yù)期地訪問到主用DC 的防火墻上，從而訪問DC內(nèi)部就近的資源。

每個DC 都有對外的服務(wù)的公網(wǎng)地址可訪問，通過DNS 或其他手段，均勻地將外部網(wǎng)絡(luò)的訪問分擔(dān)到多個DC，這樣多個DC 的業(yè)務(wù)對外部訪問來說是同時在用的，也就是多活的。

為了保證故障倒換，業(yè)務(wù)的連續(xù)性，防火墻會話會從BG主防火墻實時備份到BG 的其他備份防火墻上。

對外部流量而言，當數(shù)據(jù)中心網(wǎng)絡(luò)發(fā)生鏈路故障時，通過路由收斂，外部流量會引流到對應(yīng)BG 的最優(yōu)備份數(shù)據(jù)中心防火墻上，由于之前會話已經(jīng)熱備過來，業(yè)務(wù)可以得到連續(xù)處理并通過DCI 的互通網(wǎng)絡(luò)到達服務(wù)所在內(nèi)部主機上。

圖3 保證多活DC 防火墻集群故障倒換時業(yè)務(wù)連續(xù)示意圖

2.3.2 保證多活DC VM 遷移業(yè)務(wù)連續(xù)

如圖4 所示，當數(shù)據(jù)中心整體故障，數(shù)據(jù)中心內(nèi)部VM 全部切換到最優(yōu)備份數(shù)據(jù)中心啟用，同時跨DC 防火墻集群管理主設(shè)備感知故障數(shù)據(jù)中心防火墻脫離集群，會將最優(yōu)備份防火墻切換為原故障防火墻業(yè)務(wù)組的主設(shè)備。

對外部流量而言，通過路由收斂，外部訪問原數(shù)據(jù)中心服務(wù)的流量可送往最優(yōu)備份數(shù)據(jù)中心。備份數(shù)據(jù)中心的防火墻做對應(yīng)NAT，轉(zhuǎn)換為這些服務(wù)的私網(wǎng)地址，送到備份數(shù)據(jù)中心內(nèi)部生效的服務(wù)器上，對外來說對應(yīng)業(yè)務(wù)保持可用。

對內(nèi)部流量而言，最優(yōu)備份數(shù)據(jù)中心防火墻成為原故障防火墻業(yè)務(wù)組的主設(shè)備后，通過在跨DC 內(nèi)部大二層網(wǎng)絡(luò)發(fā)布對應(yīng)VRRP 的免費ARP，將流量引到自身。

當數(shù)據(jù)中心部分VM 發(fā)生故障遷移到備份數(shù)據(jù)中心時候。由于防火墻自身沒有發(fā)生故障。外部訪問遷移VM 的流量會先被引流到原數(shù)據(jù)中心，并通過DCI 轉(zhuǎn)到遷移后的VM 上。

3 方案特點

僅涉及跨數(shù)據(jù)中心的設(shè)備集群，本地集群的場景暫不考慮。

圖4 保證多活DC VM 遷移業(yè)務(wù)連續(xù)示意圖

集群場景與雙機熱備場景不重疊出現(xiàn)，兩個特性在使用時互斥。

集群場景暫不考慮設(shè)備部署在透明模式承載業(yè)務(wù)的場景。

協(xié)商備份通道為不可靠通道，上層的協(xié)商與備份需要考慮重要信息的可靠傳輸方式。

集群內(nèi)數(shù)據(jù)備份會占用數(shù)據(jù)空間資源，若備份數(shù)據(jù)加原始數(shù)據(jù)總量到達資源上限，新建業(yè)務(wù)數(shù)據(jù)表項會被限制。