叢 海
內(nèi)蒙古自治區(qū)新聞出版廣播影視科研所 內(nèi)蒙古 呼和浩特市 010050
隨著網(wǎng)絡(luò)的發(fā)展,層出不窮的新應(yīng)用雖然給人們的網(wǎng)絡(luò)生活帶來了更多的便利,同時也帶來更多的安全管理風(fēng)險。
在新網(wǎng)絡(luò)中,通過操縱僵尸主機借用合法IP 地址發(fā)動網(wǎng)絡(luò)攻擊,或者偽造、仿冒源IP地址來進行網(wǎng)絡(luò)欺騙和權(quán)限獲取已經(jīng)成為最簡單的攻擊手段。一個報文的源IP 地址,已經(jīng)不能真正反映發(fā)送這個報文的網(wǎng)絡(luò)使用者的身份。由于遠程辦公、移動辦公等新興的辦公形式的出現(xiàn),同一使用者所使用的主機IP 地址可能隨時在發(fā)生變化,所以通過IP 地址進行流量控制已經(jīng)不能滿足現(xiàn)代網(wǎng)絡(luò)的需求。
傳統(tǒng)網(wǎng)絡(luò)業(yè)務(wù)總是運行在固定的端口之上。例如HTTP 運行在80 端口,F(xiàn)TP 運行在20、21 端口。然而在新網(wǎng)絡(luò)中,越來越多的網(wǎng)絡(luò)應(yīng)用開始使用未經(jīng)因特網(wǎng)地址分配組織(Internet Assigned Numbers Authority, IANA)明確分配的非知名端口,或者隨機指定的端口(例如P2P 協(xié)議)。這些應(yīng)用因為難以受到控制,濫用帶寬,往往造成網(wǎng)絡(luò)的擁塞。
同時,一些知名端口也被用于運行截然不同的業(yè)務(wù)。最為典型是隨著網(wǎng)頁技術(shù)的發(fā)展,越來越多不同風(fēng)險級別的業(yè)務(wù)借用HTTP 和HTTPS 協(xié)議運行在80 和443 端口之上,例如WebMail、網(wǎng)頁游戲、視頻網(wǎng)站、網(wǎng)頁聊天等等。
單包檢測機制只能對單個報文的安全性進行分析。這樣無法防范在一次正常網(wǎng)絡(luò)訪問的過程中發(fā)生的病毒、木馬等網(wǎng)絡(luò)威脅。現(xiàn)在內(nèi)部局域網(wǎng)主機在訪問Internet 的過程中,很有可能無意中從外網(wǎng)引入蠕蟲、木馬及其他病毒,造成企業(yè)機密數(shù)據(jù)泄露,對企業(yè)經(jīng)營造成巨大損失。所以企業(yè)的網(wǎng)絡(luò)安全管理,有必要在控制流量的源和目的的基礎(chǔ)上,再對流量傳輸?shù)恼鎸崈?nèi)容進行深入的識別和監(jiān)控。
一般大中型數(shù)據(jù)中心單位職工人數(shù)通常都比較多,在500人以上的單位均具有職工人員眾多、業(yè)務(wù)復(fù)雜、流量構(gòu)成豐富多樣化等特點,對外提供網(wǎng)站、郵件服務(wù)等網(wǎng)絡(luò)服務(wù),容易成為DDoS(Distributed Denial of Service)攻擊的目標,而且一旦攻擊成功,業(yè)務(wù)損失巨大,對設(shè)備可靠性要求較高,需要邊界設(shè)備支持持續(xù)大流量運行,即使設(shè)備故障也不能影響網(wǎng)絡(luò)運轉(zhuǎn)等等的業(yè)務(wù)特征。(如圖1)
2.1.1 防火墻作為出口網(wǎng)關(guān)應(yīng)為數(shù)據(jù)中心單位提供高質(zhì)量、不間斷的網(wǎng)絡(luò)安全防護功能
1.應(yīng)將單位職工網(wǎng)絡(luò)、服務(wù)器群組網(wǎng)絡(luò)、外部網(wǎng)絡(luò)分別劃分到不同安全區(qū)域,確立不同的安全等級并對各個安全區(qū)域間的流量進行檢測和保護。
2.根據(jù)單位對外提供的網(wǎng)絡(luò)服務(wù)的類型針對性開啟相應(yīng)的內(nèi)容安全防護功能。例如,圖1 中的文件服務(wù)器開啟文件過濾和數(shù)據(jù)過濾,針對郵件服務(wù)器開啟郵件過濾,并且針對所有服務(wù)器須開啟反病毒和防入侵功能。
3.在職工需要訪問外部網(wǎng)絡(luò)時,要開啟反病毒、URL(Uniform Resource Locator) 過 濾、文件過濾、數(shù)據(jù)過濾、應(yīng)用行為控制等功能,既保護服務(wù)器群組不受外網(wǎng)威脅,又可以防止單位不宜公開以上級別信息的泄露,從而提高數(shù)據(jù)中心網(wǎng)絡(luò)的安全性。
4.通過數(shù)據(jù)中心防火墻與在外出差職工及下級單位分支機構(gòu)間建立VPN 隧道,使用VPN保護單位業(yè)務(wù)數(shù)據(jù),使業(yè)務(wù)數(shù)在互聯(lián)網(wǎng)上安全傳輸。
5.開啟DDoS 防御選項,有效抵抗互聯(lián)網(wǎng)外部主機對數(shù)據(jù)中心內(nèi)部服務(wù)器進行的洪水攻擊,保障單位業(yè)務(wù)的正常開展。
圖1 互聯(lián)網(wǎng)接入邊界防護典型部署
6.防火墻須對數(shù)據(jù)中心內(nèi)外網(wǎng)之間的流量部署帶寬策略,控制各網(wǎng)內(nèi)域的流量帶寬和連接數(shù),避免網(wǎng)絡(luò)擁塞,同時也可輔助提高DDoS 攻擊的防御,從而提高單位互聯(lián)網(wǎng)業(yè)務(wù)高質(zhì)量運行。
7.須并行部署網(wǎng)管審計系統(tǒng),配合防火墻審計記錄網(wǎng)絡(luò)設(shè)備運行的日志。設(shè)備日志可以協(xié)助網(wǎng)絡(luò)管理員對系統(tǒng)進行再配置和調(diào)整、風(fēng)險識別和流量審計等大量數(shù)據(jù)分析工作。
8.條件允許的情況下防火墻應(yīng)雙機熱備部署,可提高數(shù)據(jù)中心系統(tǒng)安全可靠性。如果單機故障時可以將業(yè)務(wù)流量從主機平滑切換至備機上運行,從而保證單位互聯(lián)網(wǎng)業(yè)務(wù)持續(xù)無間斷的運行。
2.1.2 數(shù)據(jù)中心防火墻應(yīng)開啟以下安全防護功能
1.反病毒:在網(wǎng)關(guān)設(shè)備上應(yīng)用反病毒特性,保護內(nèi)部網(wǎng)絡(luò)用戶和服務(wù)器免受病毒威脅。
2.入侵防御:配置入侵防御功能,保護內(nèi)部網(wǎng)絡(luò)的PC 和Web 服務(wù)器避免受到來自Internet 的攻擊。
3.Web 訪問防護:通過配置URL 過濾、入侵防御和反病毒功能,保護內(nèi)部局域網(wǎng)用戶訪問Web 網(wǎng)站和下載文件時免受病毒威脅和攻擊。
4.數(shù)據(jù)泄露防護:通過配置文件過濾和內(nèi)容過濾功能,可以防止數(shù)據(jù)中心內(nèi)的信息泄露到互聯(lián)網(wǎng),保證內(nèi)部網(wǎng)絡(luò)信息安全。
5.應(yīng)用行為控制:在企業(yè)安全網(wǎng)關(guān)上配置應(yīng)用行為控制功能,可以管理內(nèi)部局域網(wǎng)用戶的上網(wǎng)HTTP 行為和FTP 行為。
6.垃圾郵件防范:在安全網(wǎng)關(guān)上配置垃圾郵件防范功能,可以有效的過濾來自外網(wǎng)的垃圾郵件,保護單位內(nèi)部局域網(wǎng)和郵件服務(wù)器。
對于一個單位的數(shù)據(jù)中心來說,通常其內(nèi)部網(wǎng)絡(luò)也需要劃分詳細的安全等級,并對不同網(wǎng)絡(luò)間的流量進行監(jiān)控,以根據(jù)不同網(wǎng)絡(luò)的業(yè)務(wù)類型和安全風(fēng)險,部署不同的安全策略;在不同網(wǎng)絡(luò)間的流量需要受控,避免單位核心信息資產(chǎn)通過網(wǎng)絡(luò)泄露;將網(wǎng)絡(luò)進行隔離,避免一個網(wǎng)絡(luò)感染病毒擴散到整個數(shù)據(jù)中心內(nèi)部局域網(wǎng);數(shù)據(jù)中心大部分流量主要發(fā)生在同一網(wǎng)絡(luò)內(nèi),而同一網(wǎng)絡(luò)內(nèi)的流量傳輸往往無需過多干預(yù)的目的。所以通過網(wǎng)絡(luò)劃分,可以降低安全設(shè)備的檢測負擔(dān),提高檢測效率,使網(wǎng)絡(luò)更加通暢。(如圖2)
圖2 內(nèi)部局域網(wǎng)管控與安全隔離典型部署
防火墻作為單位數(shù)據(jù)中心內(nèi)部局域網(wǎng)邊界,應(yīng)在內(nèi)部局域網(wǎng)部署一個或多個防火墻作為局域網(wǎng)內(nèi)不同網(wǎng)絡(luò)邊界的網(wǎng)關(guān)來隔離不同網(wǎng)絡(luò)。首先要建立健全用戶管理體系,對內(nèi)部局域網(wǎng)主機接入用戶進行詳細的層級權(quán)限控制;把相同安全等級的局域網(wǎng)絡(luò)劃分到同一個安全區(qū)域,這些局域網(wǎng)之間部署少量的安全功能,對網(wǎng)域間通信的流量仍然可以進行簡單的數(shù)據(jù)包過濾、反病毒、黑(白)名單等功能;在不同安全等級的網(wǎng)絡(luò)須劃分不同的安全區(qū)域,根據(jù)業(yè)務(wù)需求部署不同的安全功能;在各個區(qū)域之間啟用帶寬管理策略,嚴格控制帶寬與用戶的連接數(shù),從而避免局域網(wǎng)內(nèi)部發(fā)生網(wǎng)絡(luò)擁塞現(xiàn)象;在局域網(wǎng)所有的區(qū)域與外網(wǎng)之間啟用反病毒、入侵防御、文件類型過濾、數(shù)據(jù)過濾、URL 過濾、應(yīng)用行為控制等功能。
隨著數(shù)據(jù)中心的業(yè)務(wù)發(fā)展,對可靠性、可管理性有了更高的要求,要求支持數(shù)據(jù)中心之間的災(zāi)備、業(yè)務(wù)負載分擔(dān)、以及VM 遷移,并且在故障倒換、VM 遷移過程中保證業(yè)務(wù)的連續(xù)性。這些需求對狀態(tài)防火墻提出跨DC 高可靠的要求。傳統(tǒng)防火墻一般只支持雙機之間的熱備,不支持多機熱備。在多于2 個數(shù)據(jù)中心多活場景,防火墻多數(shù)據(jù)中心部署時各個防火墻之間沒有配合和聯(lián)動,導(dǎo)致在業(yè)務(wù)跨數(shù)據(jù)中心切換,VM 遷移等場景防火墻無法滿足業(yè)務(wù)持續(xù)高可用性的要求。跨數(shù)據(jù)中心防火墻高可靠方案,可以讓多活數(shù)據(jù)中心的多個防火墻設(shè)備組成集群,相互配合與協(xié)作,達成數(shù)據(jù)中心間業(yè)務(wù)切換的高可用性。
2.3.1 保證多活DC 防火墻集群故障倒換時業(yè)務(wù)連續(xù)
如圖3 所示,N 個數(shù)據(jù)中心對應(yīng)N 個業(yè)務(wù)組,NAT 地址事先由按業(yè)務(wù)組劃分好,每個DC 主用其中一部分地址,地址映射為本DC 內(nèi)部的服務(wù)。一個業(yè)務(wù)組優(yōu)先選擇本DC 防火墻成為自己的主用設(shè)備,同時可以手工指定其他DC 防火墻作為自己的備用設(shè)備,并指定各備用設(shè)備的優(yōu)先級別,各DC 的防火墻對外發(fā)布的NAT公網(wǎng)地址路由優(yōu)先級會根據(jù)對應(yīng)業(yè)務(wù)組的狀態(tài)進行調(diào)整。業(yè)務(wù)組對應(yīng)地址的路由在該業(yè)務(wù)組的主防火墻、備防火墻、次備防火墻上發(fā)布的時候優(yōu)先cost 值成階梯狀排序。這樣本DC 主用的部分地址在本DC 防火墻上對外發(fā)布的路由要比其他DC 防火墻發(fā)布的優(yōu)先級高,外部訪問對應(yīng)公網(wǎng)地址時,根據(jù)路由優(yōu)先級選路,會符合預(yù)期地訪問到主用DC 的防火墻上,從而訪問DC內(nèi)部就近的資源。
每個DC 都有對外的服務(wù)的公網(wǎng)地址可訪問,通過DNS 或其他手段,均勻地將外部網(wǎng)絡(luò)的訪問分擔(dān)到多個DC,這樣多個DC 的業(yè)務(wù)對外部訪問來說是同時在用的,也就是多活的。
為了保證故障倒換,業(yè)務(wù)的連續(xù)性,防火墻會話會從BG主防火墻實時備份到BG 的其他備份防火墻上。
對外部流量而言,當數(shù)據(jù)中心網(wǎng)絡(luò)發(fā)生鏈路故障時,通過路由收斂,外部流量會引流到對應(yīng)BG 的最優(yōu)備份數(shù)據(jù)中心防火墻上,由于之前會話已經(jīng)熱備過來,業(yè)務(wù)可以得到連續(xù)處理并通過DCI 的互通網(wǎng)絡(luò)到達服務(wù)所在內(nèi)部主機上。
圖3 保證多活DC 防火墻集群故障倒換時業(yè)務(wù)連續(xù)示意圖
2.3.2 保證多活DC VM 遷移業(yè)務(wù)連續(xù)
如圖4 所示,當數(shù)據(jù)中心整體故障,數(shù)據(jù)中心內(nèi)部VM 全部切換到最優(yōu)備份數(shù)據(jù)中心啟用,同時跨DC 防火墻集群管理主設(shè)備感知故障數(shù)據(jù)中心防火墻脫離集群,會將最優(yōu)備份防火墻切換為原故障防火墻業(yè)務(wù)組的主設(shè)備。
對外部流量而言,通過路由收斂,外部訪問原數(shù)據(jù)中心服務(wù)的流量可送往最優(yōu)備份數(shù)據(jù)中心。備份數(shù)據(jù)中心的防火墻做對應(yīng)NAT,轉(zhuǎn)換為這些服務(wù)的私網(wǎng)地址,送到備份數(shù)據(jù)中心內(nèi)部生效的服務(wù)器上,對外來說對應(yīng)業(yè)務(wù)保持可用。
對內(nèi)部流量而言,最優(yōu)備份數(shù)據(jù)中心防火墻成為原故障防火墻業(yè)務(wù)組的主設(shè)備后,通過在跨DC 內(nèi)部大二層網(wǎng)絡(luò)發(fā)布對應(yīng)VRRP 的免費ARP,將流量引到自身。
當數(shù)據(jù)中心部分VM 發(fā)生故障遷移到備份數(shù)據(jù)中心時候。由于防火墻自身沒有發(fā)生故障。外部訪問遷移VM 的流量會先被引流到原數(shù)據(jù)中心,并通過DCI 轉(zhuǎn)到遷移后的VM 上。
僅涉及跨數(shù)據(jù)中心的設(shè)備集群,本地集群的場景暫不考慮。
圖4 保證多活DC VM 遷移業(yè)務(wù)連續(xù)示意圖
集群場景與雙機熱備場景不重疊出現(xiàn),兩個特性在使用時互斥。
集群場景暫不考慮設(shè)備部署在透明模式承載業(yè)務(wù)的場景。
協(xié)商備份通道為不可靠通道,上層的協(xié)商與備份需要考慮重要信息的可靠傳輸方式。
集群內(nèi)數(shù)據(jù)備份會占用數(shù)據(jù)空間資源,若備份數(shù)據(jù)加原始數(shù)據(jù)總量到達資源上限,新建業(yè)務(wù)數(shù)據(jù)表項會被限制。