加载中…数据中心的网络安全建设(下)
(2012-02-02 16:10:21)
标签:
数据中心网络安全虚拟化it |
分类: 安全 |
对外业务服务器区域需要同Internet互联来提供单位的网上交互业务(如金融单位的网银业务,政府的网上报税业务,企业的电子商务业务等),基本的网络结构如图2所示,通过路由器与Internet相连(一般考虑到业务连接的可靠性,会部署多条出口线路),区域的核心交换机分别连接WEB、APP和DB服务器,并且同数据中心核心区交换机互联。在这个区域的安全部署考虑如下:
- 确认对该安全区域内不同服务器的访问控制策略:Web服务器允许被互联网用户访问,同时也允许被内网用户和内网服务器访问;Web服务器允许访问APP服务器,但是不允许访问DB服务器;APP服务器智能被WEB服务器访问,并且允许访问DB服务器;DB服务器只能被APP服务器访问。
- 分析不同访问路线上需要关注的安全加固“点”和设备部署考虑,内容如表1:
|
分析条目 |
安全加固要求 |
安全设备部署 |
|
互联网接口 |
•链路分担设备(可作为DNS服务器提供不同运营商的地址解析) |
•链路负载均衡设备 |
|
•对来自互联网的DDOS攻击进行防御 |
•DDOS流量清洗设备 |
|
|
•部署访问控制策略,提供二到四层的网络攻击防护 |
•防火墙(外网边界防火墙) |
|
|
•提供四到七层的应用层安全攻击防护 |
•IPS提供应用层防护 |
|
|
WEB服务器 |
•部署安全访问控制策略 |
•防火墙 |
|
•对服务器的访问实现负载分担 |
•服务器负载均衡设备 |
|
|
• SSL加速卸载,优化HTTPs相应速度 |
•SSL VPN网关 |
|
|
APP服务器 |
•部署安全访问控制策略 |
•防火墙 |
|
•对服务器的访问实现负载分担 |
•服务器负载均衡设备 |
|
|
DB层服务器 |
•部署安全访问控制策略 |
•防火墙 |
|
安全关注点 |
•对外业务区—内网边界部署防火墙,内外网防火墙异构; |
•防火墙 |
|
•对外业务区内部流量分析,审计 |
•网流分析网关 |
表1 互联网业务区安全布局分析
基于上述的分析,整个对外业务区的安全部署结构可如图3所示,在区域内不同位置部署所需要的安全设备,形成功能区域内的网络安全布局。
http://www.h3c.com.cn/res/201112/20/20111220_1307719_image003_736173_30008_0.jpg
图3 互联网业务区安全布局
前面通过对安全“线路”进行分析,进行安全设备“点”的部署,实现了互联网业务区的网络安全布局,同时,考虑到整个数据中心“面”上的安全统一管理,在综合管理区部署安全管理中心设备,负责统计、关联分析内网各类网络事件,从全局角度帮助数据中心网络管理人员掌握整个网络中的安全事件,从而实现对数据中心安全访问“线路”上的安全加固“点”进行更加合理的布局和后续升级。
网络的安全虚拟化
“点、线、面”的安全布局方式为了实现安全“点”的全面加固,需要部署大量的安全设备,从而会大大增加网络结构上单点故障的机率;同时为了保证网络结构的可靠性,所部署的安全设备要都要做可靠性考虑和相关协议的设置,使网络部署的复杂度大幅增加,同时增大由于错误配置导致网络可靠性降低的可能。
业界目前的数据中心交换机在设计上支持丰富类型的安全业务板卡,可以将多种安全设备以板卡的形式安装在网络中的节点交换机上,实现网络的安全虚拟化部署。
1. N:1的虚拟化部署
http://www.h3c.com.cn/res/201112/20/20111220_1307720_image004_736173_30008_0.jpg
图4 N:1安全虚拟化应用
采用在数据中心网络节点的交换机上部署安全业务板卡的方式,改变了过去在一条线路上部署多个安全设备(就像糖葫芦串一样)的物理结构,将多个安全设备(N)集成在一台数据中心交换机上,使得整个网络线路得到大大的简化,这种部署方式具有以下技术优势:
- 大大简化了网络安全区域的拓扑结构;
- 降低了由于安全设备单点故障对数据中心网络可用性的影响,如果某块安全业务板卡出现故障问题,交换机会进行数据转发层面的二层回退,即数据流不再必经通过出现故障的安全板卡进行处理,而是直接由交换机进行正常的数据转发,保证整个业务的不中断;
- 一般独立的安全设备无法提供设备本身的高可靠保证,而这种部署方式,借助网络交换机本身的设备可靠性保障(引擎冗余,电源冗余,风扇冗余等),大大提高了安全设备的可靠性运行保证;
- 由于独立的安全设备无法进行性能升级,随着数据中心网络性能的提升,安全设备往往会成为整个网络性能的瓶颈,采用业务板卡的部署方式,可以在一台交换机上叠加多块安全板卡,通过增加板卡的数量提升安全防护的性能,有效的保护已有投资,并且适应网络的性能发展。
基于N:1安全虚拟化的方式,前面举例的对外业务区的网络安全布局可以简化为图5所示,安全加固“点”的设备都集成在网络节点交换机上,整个对外业务区的网络安全拓扑结构得到大大的简化。
http://www.h3c.com.cn/res/201112/20/20111220_1307721_image005_736173_30008_0.jpg
图5 N:1虚拟化对网络安全布局的优化
2. 1:N的虚拟化应用
http://www.h3c.com.cn/res/201112/20/20111220_1307722_image006_736173_30008_0.jpg
图6 1:N安全虚拟化应用
如图6所示,利用安全板卡的虚拟化特性,可以在一块物理板卡上逻辑虚拟出来多个安全板卡的实例,并可以将不同的实例分配给不同的服务器连接线路,并单独设定每个实例的安全配置属性。在配置了安全板卡后,交换机的每一个业务接口都可以看成为安全板卡的业务接口,因此基于这种1:N的虚拟化特性和实现机制可以扩大交换机的安全防范范围,便于更细致的安全分区划分,从而提高网络安全部署的精细度。
结束语
数据中心的网络安全是数据中心安全体系的最基本环节,通过合理的网络安全设计方法可以保证基础网络平台的安全可靠,并提供持续安全加固的扩展性设计。但是要想构建全面安全的数据中心,还需要数据安全、系统安全、信息安全等方面从其他的安全角度出发进行相应的安全规划,不断完善数据中心的安全防范等级。
喜欢
0
赠金笔