方國強, 劉一謙, 張常亮

(1.高原與盆地暴雨旱澇災(zāi)害四川省重點實驗室,四川 成都 610072;2.四川省氣象探測數(shù)據(jù)中心,四川 成都 610072)

0 引言

多年來,安全專家一直在爭論網(wǎng)絡(luò)安全威脅究竟是外部人員還是內(nèi)部人員帶來更大的風(fēng)險,表明網(wǎng)絡(luò)安全威脅來自于南北向、東西向網(wǎng)絡(luò)安全威脅同樣嚴(yán)重[1]。

氣象部門是高度依賴信息化的公眾服務(wù)型事業(yè)單位,網(wǎng)絡(luò)建設(shè)起步較早,隨著業(yè)務(wù)的發(fā)展,網(wǎng)絡(luò)基礎(chǔ)架構(gòu)和業(yè)務(wù)系統(tǒng)布局越來越復(fù)雜。四川省氣象局作為省級氣象部門,網(wǎng)絡(luò)結(jié)構(gòu)相對也較復(fù)雜,網(wǎng)絡(luò)安全建設(shè)由于多方面原因側(cè)重南北向防御、東西向防御建設(shè)長期處于空白。面對省級氣象部門這種復(fù)雜網(wǎng)絡(luò)環(huán)境,如何在有限經(jīng)費投入情況下,使東西向網(wǎng)絡(luò)安全防御建設(shè)達到較理想的效果,是西部等欠發(fā)達地區(qū)氣象部門面臨的一大難題?；谠萍軜?gòu)的安全資源池系統(tǒng)出現(xiàn),較好地解決了此困境。但系統(tǒng)部署涉及現(xiàn)有資源整合,不可避免地會出現(xiàn)一些問題,需要根據(jù)實際情況針對性地優(yōu)化解決。

1 相關(guān)技術(shù)介紹

1.1 安全資源池

安全資源池是云計算平臺中提供安全服務(wù)的資源集合[2-3]。本文應(yīng)用的深信服安全資源池架構(gòu)基于軟件虛擬化技術(shù),建立能夠為最終用戶提供方便快捷的網(wǎng)絡(luò)安全自動編排服務(wù)的云安全服務(wù)平臺(cloud security service platform,CSSP)。平臺主要包括下一代防火墻、入侵防御、Web應(yīng)用防火墻、堡壘機、漏洞掃描、數(shù)據(jù)庫審計、上網(wǎng)行為管理、日志審計、終端安全(EDR)等組件。

云安全架構(gòu)(圖1)從下往上分為三層[4]:

基礎(chǔ)硬件架構(gòu)層:由服務(wù)器、交換機和存儲系統(tǒng)構(gòu)成。

虛擬化架構(gòu)層:基于底層基礎(chǔ)硬件架構(gòu),將計算、網(wǎng)絡(luò)和存儲進行軟件虛擬化,為上層安全資源池架構(gòu)提供其所需的資源單元。

安全資源池架構(gòu)層:利用虛擬化架構(gòu)層提供的資源單元,將各類安全組件進行統(tǒng)一部署和管理,對內(nèi)利用安全服務(wù)鏈可以將任意安全組件進行自由組合,對外提供自由的安全編排服務(wù)能力。

1.2 策略路由

策略路由(policy-based-route)是一種依據(jù)用戶制定的策略進行路由選擇的機制[5],策略路由通過數(shù)據(jù)包源、目的地址、長度等信息匹配進行定制化的路由選擇。

通常策略路由的優(yōu)先級要高于普通路由,數(shù)據(jù)包到達端口后先匹配策略路由,如無匹配項再按照普通路由進行轉(zhuǎn)發(fā)[6]。但不同廠商、不同類型的產(chǎn)品,路由優(yōu)先級各有不同。總的來說,策略路由一般有強弱兩種模式。弱策略路由的下一跳如果不可達,則返回繼續(xù)查找路由表[7-8];強策略路由,不管下一跳是否可達,都會按照策略路由進行轉(zhuǎn)發(fā),如果下一跳不可達,則直接丟棄報文。

2 網(wǎng)絡(luò)現(xiàn)狀及存在的問題

四川省氣象局局域網(wǎng)絡(luò)為典型的核心、匯聚和接入三層架構(gòu),匯聚交換機超過20臺,可管理接入交換機超過90臺。根據(jù)業(yè)務(wù)需要,核心與匯聚之間有三層和二層兩種互聯(lián)方式,整個網(wǎng)絡(luò)中VLAN超過100個,重要業(yè)務(wù)系統(tǒng)分別部署于16個C類網(wǎng)段。其中,7個為數(shù)據(jù)支撐系統(tǒng)專用網(wǎng)段,物理上為獨立區(qū)域,其余9個網(wǎng)段網(wǎng)關(guān)全部位于核心交換機,散亂分布于機房內(nèi),接入不同的交換機。所有重要業(yè)務(wù)系統(tǒng)網(wǎng)段都需要進行邊界安全防護,以提升整個網(wǎng)絡(luò)東西向安全,但由于內(nèi)部數(shù)據(jù)交換量大,如使用傳統(tǒng)硬件安全設(shè)備,則一方面高性能設(shè)備經(jīng)費投入太高,另一方面設(shè)備性能無法根據(jù)業(yè)務(wù)發(fā)展動態(tài)調(diào)整。

3 安全資源池部署及上線應(yīng)用測試

3.1 安全資源池部署規(guī)劃

如何將散亂分布于機房內(nèi)的服務(wù)器納入安全設(shè)備后端進行保護,是安全系統(tǒng)部署首要面臨的問題。通過策略路由引流,實現(xiàn)氣象業(yè)務(wù)數(shù)據(jù)流經(jīng)安全設(shè)備是一種可行的方式。

本文應(yīng)用測試的安全資源池單臂部署在核心交換機上,為保證安全資源池宕機等離線情況對網(wǎng)絡(luò)通信不造成影響,采用弱策略路由將指定地址段的流量引流到安全資源池,以此實現(xiàn)9個分散部署的業(yè)務(wù)系統(tǒng)網(wǎng)段東西向網(wǎng)絡(luò)邊界防護。安全資源池全部選擇下一代防火墻(VAF)[9]組件,實現(xiàn)東西向邊界應(yīng)用控制、WEB應(yīng)用防護、入侵防御等安全防護需求[10-11]。

根據(jù)業(yè)務(wù)系統(tǒng)數(shù)據(jù)流量,將9個業(yè)務(wù)網(wǎng)段安全防護分配到7個VAF,安全資源池可以購買不同的VAF處理性能授權(quán),靈活搭配,底層硬件服務(wù)器資源不足可以平滑擴容,滿足業(yè)務(wù)發(fā)展需求。安全資源池的部署示意圖如圖2所示。

圖2 安全資源池部署示意圖

安全資源池內(nèi)部虛擬網(wǎng)絡(luò)中,VAF同樣單臂部署在虛擬核心路由器上,通過策略路由將數(shù)據(jù)流量分發(fā)到不同VAF,能夠避免因VAF故障導(dǎo)致的網(wǎng)絡(luò)中斷,安全資源池內(nèi)部結(jié)構(gòu)如圖3所示。

圖3 安全資源池內(nèi)部結(jié)構(gòu)

3.2 核心交換機策略路由配置

安全資源池單臂部署,通過在核心交換機上配置策略路由進行引流,保證訪問重要業(yè)務(wù)系統(tǒng)網(wǎng)段的請求數(shù)據(jù)包和返回數(shù)據(jù)包都通過安全資源池。

3.2.1 ACL配置

對于防火墻來說,只有請求數(shù)據(jù)包和返回數(shù)據(jù)包都通過防火墻,才能準(zhǔn)確發(fā)揮應(yīng)用控制策略的作用。確保請求數(shù)據(jù)包和返回數(shù)據(jù)包都通過安全資源池的關(guān)鍵是策略路由ACL配置準(zhǔn)確性[12]。本次部署測試中,業(yè)務(wù)系統(tǒng)網(wǎng)段的三層接口設(shè)計匹配指定源地址的ACL,其他三層接口設(shè)計匹配指定目的的ACL。

指定目的地址配置示例:

指定源地址配置示例:

3.2.2 策略路由配置

業(yè)務(wù)系統(tǒng)網(wǎng)段中有部分NAS、ISCSI等存儲業(yè)務(wù),一方面數(shù)據(jù)量過大,另一方面針對存儲系統(tǒng)的安全威脅相對較小,這部分?jǐn)?shù)據(jù)考慮不通過安全資源池。核心交換機配置策略路由時,需要將這部分IP排除,其方法是對這部分IP地址配置指定目的地址和源地址的兩條ACL,策略路由中匹配ACL后不進行任何后續(xù)動作,并將該部分配置在節(jié)點node-number最小的位置優(yōu)先執(zhí)行。

策略路由配置示例:

策略路由應(yīng)用下發(fā)示例:

3.2.3 策略路由下發(fā)效果

通過策略路由進行引流后,實現(xiàn)訪問業(yè)務(wù)網(wǎng)段的數(shù)據(jù)通過VAF進行安全過濾,通過TRACERT命令進行路由跟蹤,數(shù)據(jù)流量通過核心交換、安全資源池虛擬路由器、虛擬防火墻等設(shè)備地址后,最終到達目標(biāo)服務(wù)器。

4 安全資源池上線異常分析及優(yōu)化

交換機和安全資源池是比較成熟的網(wǎng)絡(luò)及安全產(chǎn)品,在生產(chǎn)業(yè)務(wù)中單獨部署時,基本不存在問題。但在本次部署測試中,在核心交換機的三層接口下發(fā)策略路由到最后階段時,出現(xiàn)策略路由下發(fā)響應(yīng)緩慢,策略路由下發(fā)后不生效的問題。

交換機其他操作運行正常,只有在下發(fā)策略路由配置操作時響應(yīng)緩慢,應(yīng)該是策略路由相關(guān)的資源不足,策略路由主要消耗ACL資源,從ACL資源進行問題分析處理。

4.1 ACL資源分析

華三交換機可以通過display qos-acl resource命令查看QoS和ACL的資源使用情況,詳細命令及命令結(jié)果如圖4所示,圖中各字段含義如表1所示。

圖4 交換機QoS和ACL的資源使用情況

表1 字段含義表

4.2 異常原因分析

通過在核心交換機上輸入display qos-acl resource命令,發(fā)現(xiàn)交換機7號槽位板卡IFP ACL項Usage值超過了90%,而3號槽位板卡僅只有40%,同時發(fā)現(xiàn)3號槽位板卡的IFP ACL資源總數(shù)是7號槽位板卡的3倍。通過查看交換機物理設(shè)備信息發(fā)現(xiàn),3號槽位和7號槽位板卡分別是EB和EA兩種類型的萬兆電口板,EB性能優(yōu)于EA。因此,初步判斷策略路由下發(fā)后不生效的原因是7號槽位板卡物理性能不足,必須優(yōu)化配置降低板卡物理資源消耗。異常時交換機資源使用情況如圖5所示。

圖5 異常時交換機資源使用情況

4.3 優(yōu)化處理

策略路由不生效的原因是板卡ACL資源消耗超過閾值,需要優(yōu)化減少ACL匹配條數(shù)。從配置分析來看,ACL數(shù)量過多,主要是在排除NAS、ISCSI等存儲業(yè)務(wù)地址時,由于IP地址零散,每條規(guī)則只匹配一個地址,導(dǎo)致ACL規(guī)則條數(shù)過多。優(yōu)化該ACL采用多個IP匯總為網(wǎng)段和調(diào)整設(shè)備地址到網(wǎng)絡(luò)存儲專用網(wǎng)段等方式,將原22條規(guī)則優(yōu)化為3條規(guī)則。

優(yōu)化前ACL配置:

優(yōu)化后ACL配置:

4.4 優(yōu)化效果

通過對ACL優(yōu)化后,板卡ACL資源消耗明顯下降,交換機策略路由運行正常,安全資源池各VAF均有數(shù)量流量正常通過,應(yīng)用控制策略功能正常。優(yōu)化配置后的交換機資源使用情況如圖6所示。

圖6 優(yōu)化配置后交換機資源使用情況

框式交換機業(yè)務(wù)模塊配置時,不僅需要考慮端口配置,同時需要根據(jù)業(yè)務(wù)需求考慮模塊自身物理性能,以免出現(xiàn)類似本文中將模塊物理性能耗盡的情況。

5 結(jié)束語

安全資源池是一種較經(jīng)濟實惠的網(wǎng)絡(luò)內(nèi)部邊界云安全系統(tǒng),但對網(wǎng)絡(luò)策略配置和網(wǎng)絡(luò)設(shè)備協(xié)同要求較高,部署模式也導(dǎo)致應(yīng)用中存在一些瑕疵。安全資源池內(nèi)部策略路由全部在虛擬核心路由器上配置,網(wǎng)絡(luò)通信時會按照策略路由配置先后順序?qū)?shù)據(jù)流量分配到匹配的第一條ACL對應(yīng)的VAF,不會同時通過相應(yīng)的兩臺VAF。因此,安全資源池中的VAF之間存在優(yōu)先級,業(yè)務(wù)網(wǎng)段之間的安全策略配置需要根據(jù)優(yōu)先級確定對應(yīng)的VAF。單臂部署模式下,通過VAF防護的業(yè)務(wù)網(wǎng)段和沒有應(yīng)用策略路由的一般網(wǎng)段之間通信時,由于數(shù)據(jù)流量只單向經(jīng)過VAF,某些應(yīng)用控制策略可能會造成誤判,需要針對性地進行策略配置優(yōu)化調(diào)整。

上線新的業(yè)務(wù)系統(tǒng),尤其是網(wǎng)絡(luò)安全方面的系統(tǒng),上線運行只是開始,還需要在未來不斷根據(jù)業(yè)務(wù)發(fā)展進行完善和調(diào)優(yōu),才能充分發(fā)揮系統(tǒng)作用,促進業(yè)務(wù)發(fā)展。