莫嵐 李永亮 顧偉 廖小軍

摘? 要：2021年是數(shù)字化轉(zhuǎn)型發(fā)展的重要年份，國家大力倡導(dǎo)，企業(yè)紛紛跟進，尤其在能源領(lǐng)域，各大石油集團大力倡導(dǎo)“轉(zhuǎn)型發(fā)展，提質(zhì)增效”，而現(xiàn)目正是數(shù)字化轉(zhuǎn)型的關(guān)鍵時期，企業(yè)日益增加的DMZ區(qū)需求與現(xiàn)有資源存在極大的不平衡，本文將以XX油氣田的DMZ區(qū)架構(gòu)及資源配置使用情況為例，從3個優(yōu)化架構(gòu)方案入手，對DMZ區(qū)的升級改造進行探討和分析。

關(guān)鍵詞：數(shù)字化轉(zhuǎn)型? DMZ區(qū)? 升級改造? 虛擬化? H3C超融合? 深信服超融合

中圖分類號：TP391.44? ? ? ? ? ? ? ? ? ? ? 文獻標(biāo)識碼：A? ? ? ? ? ? ? ? ? 文章編號：1674-098X（2021）06（a）-0049-03

Optimization of DMZ upgrade under the background of digital transformation of oil and gas fields

MO Lan? LI Yongliang? GU Wei? LIAO Xiaojun

（Communication and Information Technology Center of PetroChina Southwest Oil and Gas Field Company， Chengdu， Sichuan， Province， 610051? China）

Abstract： 2021 is an important year for the development of digital transformation. The country vigorously advocates， and governments and enterprises have followed suit. Especially in the energy field， major oil groups vigorously advocate "transformation and development， improving quality and efficiency". During the critical period of digital transformation， there is a huge imbalance between the company's increasing DMZ demand and existing resources. This article will take the DMZ structure and resource allocation and usage of the XX oil and gas field as an example， starting with three optimized architecture schemes. Discuss and analyze the upgrading and reconstruction of DMZ area.

Key Words： Digital transformation; DMZ; Upgrade; Virtualization; H3C super fusion; Convinced super fusion

1? DMZ區(qū)簡介

1.1 基本介紹

DMZ（Demilitarized Zone）中文名稱為“隔離區(qū)”，也常常稱“非軍事化區(qū)”[1-2]。為解決安裝防火墻后，外部網(wǎng)絡(luò)的訪問用戶不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器這一問題，人們設(shè)立了介于非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，即DMZ區(qū)。一方面，它位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)，可放置一些必須公開的服務(wù)器設(shè)施，如企業(yè)Web服務(wù)器、FTP服務(wù)器和論壇等。另一方面，該區(qū)的設(shè)置可以更加有效地保護內(nèi)部網(wǎng)絡(luò)。

1.2 應(yīng)用

網(wǎng)絡(luò)設(shè)備開發(fā)商利用這一技術(shù)開發(fā)出了名為“非軍事區(qū)結(jié)構(gòu)模式”的防火墻解決方案[3-4]。在該方案中，包括內(nèi)外2個防火墻，內(nèi)部防火墻管理DMZ對于內(nèi)部網(wǎng)絡(luò)的訪問，外部防火墻抵擋外部網(wǎng)絡(luò)攻擊，并管理所有內(nèi)部網(wǎng)絡(luò)對DMZ的訪問。內(nèi)部防火墻是內(nèi)部網(wǎng)絡(luò)的第三道安全防線，當(dāng)外部防火墻失效的時候可以保護內(nèi)部網(wǎng)絡(luò)。而局域網(wǎng)內(nèi)部，對于Internet的訪問由內(nèi)部防火墻和位于DMZ的堡壘主機控制。在這樣的結(jié)構(gòu)里，一個黑客必須通過外部防火墻、內(nèi)部防火墻和堡壘主機3個獨立的區(qū)域，才能到達局域網(wǎng)。攻擊難度加大，內(nèi)部網(wǎng)絡(luò)安全性就更強。

2? XX油氣田DMZ區(qū)現(xiàn)狀

2.1 目前架構(gòu)

XX油氣田DMZ虛擬化平臺現(xiàn)狀為3臺物理服務(wù)器安裝vsphere 6.7組成群集接入總部專用DMZ交換機，如圖1所示，具體如下。

（1）臺曙光I620-G20處理器;邏輯處理器16個;內(nèi)存64GB;本地存儲550G，共享存儲4.37T。

（2）臺聯(lián)想SR650處理器;邏輯處理器40個;內(nèi)存256GB;本地存儲11.77TB共享存儲4.37T。

2.2 當(dāng)前面臨的主要問題

近年XX油氣田新增DMZ區(qū)應(yīng)用中，部分應(yīng)用還在內(nèi)網(wǎng)環(huán)境測試未正式部署，現(xiàn)有服務(wù)器環(huán)境無法滿足DMZ區(qū)虛擬化新增及原有硬件DMZ區(qū)系統(tǒng)的虛擬化所需的資源。目前該油氣田移動平臺服務(wù)器設(shè)計未考慮大量部署虛擬服務(wù)，其配置、存儲資源只為滿足平臺自身。近年來，新增服務(wù)器資源較多，若出現(xiàn)新服務(wù)器宕機情況，老服務(wù)器無法接管多余虛擬機，會導(dǎo)致其他系統(tǒng)全部宕機，而后期相應(yīng)的虛擬化安全管理、國產(chǎn)化等問題也需解決，且現(xiàn)有DMZ區(qū)接入交換機已經(jīng)沒有可控端口。

2.3 優(yōu)化目標(biāo)

通過對DMZ區(qū)的優(yōu)化調(diào)整，建設(shè)與現(xiàn)有業(yè)務(wù)發(fā)展匹配的DMZ區(qū)云資源池，能夠承載現(xiàn)有測試環(huán)境的業(yè)務(wù)系統(tǒng)部署，并能夠平滑擴容。盡量保證現(xiàn)有架構(gòu)較小改動，且能管理現(xiàn)有虛擬化資源，充分保護現(xiàn)有信息化投資。減小業(yè)務(wù)應(yīng)用系統(tǒng)從現(xiàn)有測試環(huán)境遷移時的技術(shù)壁壘。

3? 架構(gòu)優(yōu)化設(shè)計

3.1 架構(gòu)一：擴容現(xiàn)有虛擬化

3.1.1 方案描述

（1）新增一組新DMZ接入交換機。若防火墻擁有可用接口，交換機直接上聯(lián)至DMZ區(qū)防火墻，防火墻端口所屬安全域與現(xiàn)有集團DMZ接入交換機所屬安全域一致，訪問控制安全策略與現(xiàn)有環(huán)境保持一致，無需變更?，F(xiàn)有服務(wù)器根據(jù)與新增交換機端口匹配情況及變更難度，考慮是否遷移到新DMZ接入交換機，也可保持現(xiàn)狀不變。因現(xiàn)有DMZ接入交換機無可用端口，可考慮將現(xiàn)有服務(wù)器接入變更至新DMZ接入，新DMZ接入交換機上聯(lián)至現(xiàn)有集團DMZ區(qū)。

（2）存儲增加冗余控制機頭，并增加存儲盤柜，提供至少100T的可用空間。

（3）新增一組光纖SAN交換機，保證交換機冗余可靠性。SAN交換機滿足6臺服務(wù)器接入端口，及對應(yīng)端口授權(quán);所有服務(wù)器需配置兩張HBA網(wǎng)卡，每張網(wǎng)卡2個FC16G端口。

（4）增加VMware vsphere虛擬化授權(quán)，共計6個CPU，與現(xiàn)有VMware服務(wù)器組成集群，提供管理和運維。

3.1.2 優(yōu)勢與問題

擴容現(xiàn)有虛擬化的優(yōu)勢是可以保持現(xiàn)有架構(gòu)不變，仍然只運維管理一個VMware集群，業(yè)務(wù)及虛擬機也可以平滑遷移和漂移，并采用傳統(tǒng)架構(gòu)，組成雙機、雙控、服務(wù)器集群擴大后，架構(gòu)經(jīng)過多年考研，成熟穩(wěn)定。

但該方案需增加一組SAN交換機，一組萬兆交換機、存儲雙控及擴展柜、存儲硬盤等，成本費用相對較高。VMware作為國外品牌產(chǎn)品，與國產(chǎn)化替代的戰(zhàn)略有矛盾，維保收費較高，且原廠服務(wù)響應(yīng)相比國產(chǎn)廠商響應(yīng)較慢。并且，該方案只能提供計算資源的虛擬化，存儲、網(wǎng)絡(luò)等資源調(diào)配、申請和回收等不夠靈活。DMZ虛擬化環(huán)境安全設(shè)計有所缺失，特別是虛擬機層面。

3.2 架構(gòu)二：新建H3C超融合結(jié)構(gòu)

3.2.1 方案描述

（1）新增一組新DMZ接入交換機。若防火墻擁有可用接口，交換機直接上聯(lián)至DMZ區(qū)防火墻，防火墻端口所屬安全域與現(xiàn)有集團DMZ接入交換機所屬安全域一致，訪問控制安全策略與現(xiàn)有環(huán)境保持一致，無需變更。現(xiàn)有3臺服務(wù)器根據(jù)與新增交換機端口匹配情況及變更難度，考慮是否遷移到新DMZ接入交換機，也可保持現(xiàn)狀不變。因現(xiàn)有DMZ接入交換機無可用端口，可考慮將現(xiàn)有服務(wù)器接入變更至新DMZ接入，新DMZ接入交換機上聯(lián)至現(xiàn)有集團DMZ區(qū)。

（2）新增一組萬兆交換機作為存儲數(shù)據(jù)交換機，用于超融合節(jié)點間的數(shù)據(jù)同步和傳輸，保證傳輸效率和質(zhì)量。

（3）新增3臺超融合節(jié)點，組成新集群，運行網(wǎng)絡(luò)虛擬化、計算虛擬化、存儲虛擬化、安全虛擬化，并提供IAAS的云服務(wù)：

①計算虛擬化采用CAS，并提供P2V、V2V的遷移工具;

②存儲虛擬化采用onestore，提供同一集群中，按業(yè)務(wù)系統(tǒng)不同需求的多副本或者糾刪碼技術(shù)，既保證關(guān)鍵業(yè)務(wù)的保存多份數(shù)據(jù)可靠性要求，又能在非關(guān)鍵業(yè)務(wù)節(jié)約磁盤空間;

③網(wǎng)絡(luò)虛擬化提供3層的vrouter、vFW、vLB等特性功能。

（4）針對現(xiàn)有VMware資源池：通過云管理平臺的圖形化界面對已有的VMware虛擬化平臺進行無縫納管，并且支持虛擬機的批量納管，納管過程中虛擬機無需重啟、用戶業(yè)務(wù)不中斷;提供VMware虛擬機的全生命周期管理和運維;支持VMware 5.5/6.0/6.5/6.7的標(biāo)準(zhǔn)版、企業(yè)版、企業(yè)增強版。

（5）新建的超融合集群，采用無代理防病毒方案，在虛擬化內(nèi)核集成亞信AV能力，并能在管理平臺做安全的統(tǒng)一管理，在增加系統(tǒng)總體安全性的同時，減低資源的消耗。

（6）南北向流量，出入DMZ區(qū)的安全防護，可利用現(xiàn)有DMZ區(qū)防火墻，做嚴(yán)格的訪問控制策略。

3.2.2 優(yōu)勢與問題

該方案總體投資最低。提供云計算IAAS平臺能力，計算、存儲、網(wǎng)絡(luò)、安全等資源可以靈活調(diào)配調(diào)度、申請和回收，并提供審批、報表、多維度展示等功能。存儲同時提供多副本和糾刪碼的能力，既可以保障高要求業(yè)務(wù)的數(shù)據(jù)高可用要求，又可以通過糾刪碼方式提升磁盤利用率。降低整網(wǎng)復(fù)雜度，減少SAN交換機、存儲機頭、磁盤柜等硬件故障節(jié)點。提供虛機層面和3層網(wǎng)絡(luò)的安全防控能力，提升整個系統(tǒng)的安全性。

但該架構(gòu)是通過CLOUD云平臺管理VMware集群，采用了2種虛擬化技術(shù)，運維復(fù)雜度有所提升，不同虛擬化平臺間的業(yè)務(wù)遷移需要采用工具實現(xiàn)。

3.3 架構(gòu)三：新建深信服超融合結(jié)構(gòu)

3.3.1 方案描述

（1）現(xiàn)有服務(wù)器與存儲繼續(xù)沿用，運行模式仍然不變。物理層面按照“交換機+服務(wù)器+存儲”方式，邏輯層面單獨運行的VMware集群，管理方式及運行模式與現(xiàn)在不變。

（2）新增3臺超融合節(jié)點和2組接入交換機。3臺節(jié)點組成深信服超融合集群，單獨運行和運維管理，現(xiàn)有在開發(fā)測試環(huán)境的應(yīng)用可逐步遷移上新建集群，未來可以平滑擴容集群節(jié)點，承載更多應(yīng)用系統(tǒng)。

①網(wǎng)絡(luò)連接方式一：一組作為業(yè)務(wù)接入，上聯(lián)至現(xiàn)有DMZ去防火墻，一組作為存儲后端接入交換機，用作超融合節(jié)點存儲數(shù)據(jù)內(nèi)部傳輸及同步?，F(xiàn)有DMZ區(qū)防火墻需提供新的物理接口，接入超融合節(jié)點業(yè)務(wù)服務(wù)器，防火墻接口與現(xiàn)有集團DMZ接入交換機屬于同一安全域，并按照需求定制訪問控制策略。

②網(wǎng)絡(luò)連接方式二：利用現(xiàn)有集團DMZ接入交換機資源，申請空閑端口資源，每臺交換機設(shè)備至少3個。

③新建深信服超融合集群可納管VMware集群。

3.3.2 優(yōu)勢與問題

該方案總體投資較低。提供計算、存儲、網(wǎng)絡(luò)、安全等資源的統(tǒng)一虛擬化。存儲提供多副本的能力，保障業(yè)務(wù)數(shù)據(jù)的可靠性[5]。降低整網(wǎng)復(fù)雜度，減少SAN交換機、存儲機頭、磁盤柜等硬件故障節(jié)點。提供虛機層面和3層網(wǎng)絡(luò)的安全防控能力，提升整個系統(tǒng)的安全性[6]。

但該架構(gòu)通過與現(xiàn)有VMware集群、H3C業(yè)務(wù)云平臺采用了不同的架構(gòu)和技術(shù)，總共運維3套系統(tǒng)，運維壓力及復(fù)雜度最高[7]。不同虛擬化平臺間的業(yè)務(wù)遷移需要采用工具實現(xiàn)。

4? 建議架構(gòu)

通過分析，H3C超融合架構(gòu)平臺具有最全面的云計算能力，包括計算、存儲、網(wǎng)絡(luò)、安全、云平臺，采用虛擬化無代理殺毒等技術(shù)，系統(tǒng)資源占用率低，可以用于部署業(yè)務(wù)系統(tǒng)的資源利用率最高。運維便利，總共運維兩個平臺，與現(xiàn)網(wǎng)一致。同時多副本、糾刪碼等技術(shù)，數(shù)據(jù)可靠性及存儲空間利用率最高。提供最多的存儲類型：塊、NAS、對象。國產(chǎn)品牌擁有自主知識產(chǎn)權(quán)，本地技術(shù)支持團隊響應(yīng)快，所以該優(yōu)化結(jié)構(gòu)為最佳方案。

參考文獻

[1] 陳衛(wèi)平.DMZ區(qū)安全建設(shè)模型初探[J].現(xiàn)代電視技術(shù)，2013（2）：125-128.

[2] 祝成.檔案信息系統(tǒng)安全防護體系設(shè)計原則[J].中國檔案，2017（11）：70-71.

[3] 張守俊.C企業(yè)網(wǎng)絡(luò)安全分析與改進研究[D].南京：南京郵電大學(xué)，2018.

[4] 陳興蜀，曾雪梅，王文賢，等.基于大數(shù)據(jù)的網(wǎng)絡(luò)安全與情報分析[J].工程科學(xué)與技術(shù)，2017，49（3）：1-12.

[5] 肖文華.惡劣環(huán)境下移動云計算協(xié)同方法研究[D].長沙：國防科技大學(xué)，2017.

[6] 孔斌.高安全等級信息系統(tǒng)的風(fēng)險評估研究[D].北京：北京交通大學(xué)，2021.

[7] 吳紅玲，楊紅軍，洪佩雯，等.異構(gòu)政務(wù)云平臺的搭建與運營[J].電信科學(xué)，2020，36（S1）：89-96.