加载中…国家数字出版基地云计算中心的安全设计与部署
(2013-02-27 14:50:06)
标签:
irf虚拟化智能管理secbladeit |
分类: 安全 |
文/张东亮
根据数据中心网络安全的建设要求,按照结构化、模块化、扁平化的设计原则,实现高可用、易扩展、易管理的建设目标,网络安全设计方案如图1所示:
http://www.h3c.com.cn/res/201206/12/20120612_1372454_image001_747531_30008_0.jpg图1
对于数据中心的网络安全部署,在本方案中采用了出口万兆防火墙 一体化安全交换机*(*注:一体化安全交换机是指安全设备以插卡/模块的方式与交换机融合,例如H3C SecBlade FW、IPS、LB、SSL VPN等系列安全插卡可直接插在H3C交换机的业务槽位,通过交换机背板互连实现流量转发,共用交换机电源、风扇等基础部件,达到简化机房布线、节省机架空间、简化管理的目的。)的方式实现,在Internet出口,部署万兆防火墙,分别连接到联通和电信的万兆出口链路上。
纵观整体方案拓扑,在方案设计与部署时分别采用了IRF虚拟化、网络安全融合、智能管理三个颇具特色的关键技术与方案,在保证数据中心的高可靠的同时,简化网络运维管理,同时提供了智能化的安全管理平台。
- 核心交换区的安全设计
1
核心交换区的主要功能是完成数据中心各服务器功能分区、Internet之间数据流量的高速交换,是广域/局域纵向流量与服务功能分区间横向流量的交汇点。核心交换区必须具备高速转发的能力,同时应具备可扩展性,以便应对未来业务的快速增长。
核心模块是整个平台的枢纽。因此,高安全性是衡量核心交换区设计的关键指标。否则,一旦核心模块出现安全问题而不能及时恢复的话,会造成整个平台业务的长时间中断,影响巨大。因此,一方面要考虑到核心交换区下连多台服务器,需要实现服务器的负载均衡;另一方面要考虑核心交换区直接连接Internet,很多应用层的攻击,如SQL注入、跨站脚本攻击、命令注入攻击、缓冲区溢出攻击和拒绝服务攻击等对核心交换区会形成直接威胁,需要进行应用层安全加固。
2
在核心交换机上旁挂一体化安全交换机(如图1所示的S7503E),在交换机中配置负载均衡和IPS插卡,完成链路的负载均衡和出口线路上如主动式及被动式应用安全防护,防御所有已知和未知的Web蠕虫和漏洞攻击、防护SQL注入,跨站脚本攻击,命令注入攻击,缓冲区溢出攻击,参数/表格纂改攻击,HTTP/HTTPs拒绝服务攻击,SSL Flooding攻击,应用平台漏洞攻击等针对云计算数据中心HTTP(1.0/1.1)、HTTPS应用的攻击行为。
- 服务器接入区的安全设计
1
服务器接入区用于完成服务器的LAN网络接入,涉及到服务器接入的业务分区包括展示体验中心区、凤尾楼区、电子政务区、数字媒体区、托管租用区、VIP区、运维管理区,这些区域虽然部署的应用服务器类型不一样,设备的选型要求也不一样,但网络安全设计方式是一样的,因此在方案设计时,将这些区域的网络安全设计统一进行描述。
服务器接入区的这些区域之间必须划分安全域,实现分区之间的安全隔离和访问控制。服务器接入交换机部署双机,通过采用IRF虚拟化技术,将两台物理设备虚拟化为一台逻辑设备,实现跨设备链路捆绑,与核心交换机配合实现端到端IRF虚拟化。服务器双网关配置成双活模式(Active-Active),要求安全设备必须支持虚拟化;接入交换机以及核心交换机之间运行OSPF动态路由,安全设备也必须支持OSPF路由协议。
2
在核心交换机的旁挂一体化安全交换机上部署支持虚拟化和OSPF的防火墙插卡,实现对服务器接入区多个区域之间的安全隔离和访问控制。
- Internet区安全设计
1
Internet区用于部署运营商的线路接入,通过Internet对公众用户提供各种应用和服务。Internet区是用户访问数据中心的必经之路,由于Internet区的特殊性,这个区域也是各种病毒和攻击威胁入侵数据中心的入口,因此该区域除了部署防火墙以外,还需部署应用层的安全设备,对整个Internet出口形成一个立体式的防护。此外,Internet出口采用双运营商链路,保证用户访问效率的同时,实现了链路的冗余,这就要求安全设备也应具备冗余备份的特点。
2
首先,在Internet出口各部署一台H3C高端万兆防火墙,分别连接到联通和电信的万兆出口链路上,使运营商提供的链路转发无阻塞,同时通过冗余备份功能,在保证用户访问效率的同时,实现链路安全防护的冗余。
其次,通过在核心交换机旁挂的一体化交换机上部署IPS插卡,对来自Internet的应用层威胁进行防护。这里部署的IPS插卡具备按需防护的特点,可以对Internet过来的流量进行针对性按需防护。
1
安全管理主要分为安全设备的管理和安全运维两方面。数据中心的设备繁多,各种协议和应用部署越来越复杂,对运维人员的要求也越来越高,单独依赖运维人员个人的技术能力和业务能力是无法保证业务运行的持续性的。因此数据中心需要提供完善的安全运维管理平台,对数据中心安全资源进行全局掌控、统一管理,减少日常运维的人为故障。同时一旦出现安全问题,能够借助管理平台直观、快速定位。
2
按照统一管理的原则,由一套管理平台来对包括安全设备在内数据中心的全局资源进行监控,出现故障或告警后能够快速找到故障点。这一个全局的平台需要监控机柜、网络安全设备、服务器及虚拟机资源的状态。
同时,借助安全管理中心,对来自于网络、安全、操作系统、数据库、存储等设施的安全信息与事件进行分析,并能根据预先制定的策略做出快速的响应,保障网络安全。安全管理中心也可以实现日志管理和提供完善的可定制的安全报告。
一体化安全交换机的部署要点
在以上的安全设计中,多次提到了旁挂的一体化安全交换机上融合各种安全插卡,这种网络与安全的融合方案得到了越来越多的应用。云计算环境下,原有分散部署的多层次安全设备将逐步资源池化并通过虚拟化技术实现多通道防护,因此对设备的高性能、可扩展等特性有新的要求;超高性能的设备,有助于简化网络连接,减少网络管理节点,提升安全的可配置可管理的能力。
这里结合本案例重点介绍IPS和LB插卡的部署要点:
- SecBlade IPS基本组网设计
IPS插卡通过OAA(开放的应用架构)技术与宿主交换机配合使用。可以通过传统的流量重定向方式将需要IPS处理的业务流重定向到IPS插卡上处理,也可以通过OAA方式在IPS的Web页面上配置重定向策略,这两种方式都可以实现相同的功能。由于不同交换机设备对OAA的支持程度不同。我们推荐在本方案中采用重定向策略引流(如图2所示)。
http://www.h3c.com.cn/res/201206/12/20120612_1372455_image002_747531_30008_0.jpg图2
由于IPS插卡在整个网络中属于二层透明转发设备,不会对报文进行任何修改,加入IPS后整个网络从连通性上不会产生任何变化。因此建议实施的时候将其放在最后进行上线配置,即其他设备都调试通过后,流量转发与HA设计都已正常实现情况下再进行IPS的部署实施。
SecBlade IPS不会对报文进行任何修改,对于上IPS处理的报文,非OAA方式只能通过VLAN区分流量是属于外部域还是内部域。所以在组网设计中需注意非OAA方式重定向到IPS插卡的业务流上下行流量需为不同VLAN。由于IPS插卡不具有双机热备功能,通过组网设计,部分环境可以做到IPS故障的切换,部分环境中当IPS故障后,重定向功能失效,业务流将不能继续受到IPS的安全保护,流量在短暂中断后仍然可以保证连续性。
- SecBlade LB板卡设计部署
LB插卡的工作方式与防火墙的类似,仍然作为一个独立的设备运行。通过传统的三层方式与交换机或下游设备相连。可以通过静态路由和缺省路由实现三层互通,也可以通过OSPF这样的路由协议提供动态的路由机制(如图3所示)。
http://www.h3c.com.cn/res/201206/12/20120612_1372456_image003_747531_30008_0.jpg图3
如图4所示,在数据中心出口区域,LB插卡可以与宿主交换机建立三层连接关系,也可以直接和下游设备如防火墙等建立三层连接关系,这取决于用户的实际需求,前一种方式可以提供更灵活的路由控制策略,而后一种方式可以简化组网的复杂结构(例如:如果经LLB下行的流量都要通过防火墙的安全保护,那么可以将防火墙直接作为LLB的下一跳设备)。
需要注意的是,在双机热备的组网环境中,两块LLB的出口配置必须相同,这样才能保证业务切换后能正常运行。
http://www.h3c.com.cn/res/201206/12/20120612_1372457_image004_747531_30008_0.jpg图4
结束语
本方案设计中安全设备虚拟化、高性能和可平滑扩展的特点满足了国家数字出版基地云计算中心当前的安全防护需求,这种将安全内嵌到云计算中心的虚拟基础网络架构中,并且通过安全服务的方式进行交互的形式,不仅可以增加云计算中心的安全防护能力、安全服务的可视交付,还可以根据风险预警进行实时的策略控制,这将使得云计算的服务交付更加安全可靠。
喜欢
0
赠金笔