学习一下：数据中心网络安全规划 （一）

xiaomifeng_2015

1    数据中心网络安全规划

　　大型数据中心由很多个分区组成例如：互联区、内联区、外联区、管理分区、服务器分区、核心区、存储区、开发测试区等等。其中有多个分区需要使用Internet接入，而Internet本身给社会发展带来巨大推动力的同时，产生大量的网络安全问题，越来越受到众多机构、众多企业的重视。

　　数据中心的安全措施包括很多方面：

　　●  设置严格的管理制度，实行人员通行证、人员登记、人员操作备案等等。

　　●  控制人员访问权限的安全，实现最小授权，业务严格划分。

　　●  对业务人员进行安全培训，建立严格的安全制度等，减少或避免安全事故的发生。

　　●  设置复杂的密码，防止账号密码被盗用等。

　　在本章中，主要描述的是数据中心网络安全方面的内容

1.1 网络安全问题分类

　　数据中心网络安全问题主要分为四类：

　　●  网络攻击：例如DDoS攻击、扫描类攻击、窥探类攻击、畸形包攻击等。

　　●  漏洞入侵：黑客利用操作系统、数据库、Web server等存在的漏洞进行入侵。

　　●  病毒威胁：各种类型的病毒，威胁数据中心服务器的安全。

　　●  内部人员威胁：例如内网用户越权访问、非法窃取数据等。

1.2 网络安全风险识别

　　数据中心由于进行数据的集中式管理，数据量大而且非常重要，往往更容易成为攻击目标，而采用单一的安全防范技术很难行之有效，所以需要对数据中心进行全方位的防护，针对不同的分区建设有针对性的防护。

　　数据中心的安全威胁来自于网络的各个层面，从物理层一直到应用层。需要针对各层的安全威胁的特点做出一系列的应对措施，如内容深度防御、二到七层的全方位防范、访问控制、协议栈的安全防范以及二到四层的攻击防范等。

　　数据中心内各个分区存在的安全威胁不尽相同，如下图所示。

图1-1 数据中心各分区风险识别图

                               
登录/注册后可看大图

1.3 网络安全设计原则

　　数据中心的安全的设计原则包含六个方面

　　● 可靠稳定，安全设备避免单点故障，切实保障网络中的安全以及网络的正常运行。

　　l 可扩展化，采用模块化体系结构，便于功能的添加和减少。

　　● 分区管理，不同区域采用不同安全策略，安全措施有针对性，有利于效率的提升。

　　● 最小授权，依据“缺省拒绝”方式制定防护策略。在身份鉴别的基础上，只授权开放必要的访问权限，并保证数据安全的完整性、机密性、可用性。

　　l 安全管理，关联事件分析，评估安全状态，便于及时调整安全策略。

　　● 运维审计，降低资源风险，完善责任认定。

　　数据中心的安全设计时，一下三个方面的功能需要重点考虑

　　● 防护方面，针对外部攻击，需要进行安全域的划分，把整个区域划分为多个不同安全等级的子区域;进行访问控制，对攻击进行防护，并在一些业务上允许用户建立安全隧道。

　　● 免疫方面，针对内部威胁，主要是能识别终端风险，对终端进行认证授权，对文档进行安全的管理和控制等。

　　● 可管理方面，主要指运维行为管理，对运维终端进行认证和授权，对运维的行为进行升级，对安全事件进行分析。

1.4 网络安全防护部署建议

　　针对数据中心各个分区的安全威胁，制定不同的部署建议以及推荐的产品。

表1-1 安全防护部署建议

安全区域	存在问题及风险	风险等级	部署建议	部署价值
内网接入区	非法业务访问	中低	防火墙	解决内网园区、远程分支、远程园区用户非法访问问题
WAN接入区域	非法业务访问	中低	防火墙	解决分支介入非法访问问题
Internet接入区	DDoS流量攻击 非法业务访问、NAT VPN安全接入	高	Anti-DDoS 防火墙 SSL VPN设备	解决DDOS攻击、业务非法访问、远程用户安全接入问题
合作伙伴接入区	VPN安全接入 非法业务访问	中	双层防火墙	解决业务非法访问问题 合作伙伴的VPN安全接入问题
业务服务区	非法业务访问 黑客攻击行为 病毒传播	中高	防火墙 IPS设备 AntiVirus网关	解决业务非法访问、黑客入侵攻击问题 网络层查杀病毒
网管维护区	非法业务访问 缺乏安全事件管理 缺乏安全设备管理 缺乏安全运维审计	低	防火墙 iSoC系统 安全设备管理系统 堡垒主机	解决业务非法访问，安全事件关联、安全设备管理与运维审计问题

1.4.2 防火墙部署建议

　　防火墙主要部署在不同区域之间，所以良好的分区原则是部署防火墙的前提，数据中心详细分区规划请参照本文“数据中心分区规划”章节。因为安全等级差异而划分出不同分区，而安全等级的高低会带来一些问题，例如安全等级低的区域因安全控制较弱进而引入较高风险和隐患，如果同其他分区的互联互通不进行限制，则会使得安全风险和问题不断蔓延扩散。因此，对分区间的互连互通进行合理管控是对整个数据中心进行风险识别和隔离的第一步，通常在分区边界部署防火墙设备进行访问控制和流量隔离。

图1-2 数据中心各分区防火墙部署

                               
登录/注册后可看大图

　　防火墙根据物理部署可以分为直连模式和旁挂旁挂模式，对于数据中心这种对业务有高可靠性要求的场景，建议防火墙均采用双机热备组网来保障可靠性。

　　如果两个网络设备间的数据流都需要通过防火墙防护时，防火墙就需要直挂部署在这两个网络设备之间，直挂部署的优点是流量部署清晰，但对防火墙性能要求高。

　　如果只需要针对部分数据流进行安全处理，则可以将防火墙旁挂部署在核心/汇聚交换机，防火墙作为默认网关或将需要处理的数据引到防火墙处理，旁挂部署在逻辑上仍然是串联方式，但通过默认网关的设置或策略路由等配置，可较为灵活的选择部分数据流进过防火墙处理。

图1-3 防火墙高可靠性直连及旁挂部署

                               
登录/注册后可看大图

　　根据防火墙对数据流的处理方式，防火墙部署可以分为路由模式、透明模式和混合模式.

图1-4 防火墙引流方式

                               
登录/注册后可看大图

　　路由模式

　　在路由模式下，防火墙以三层方式对外连接，所有接口都需要配置IP地址。此时防火墙相当于一台路由器，防火墙以根据路由表进行三层转发。

　　防火墙采用路由模式进行双机热备组网时，如果防火墙两侧为二层设备，防火墙可以采用VRRP组网;如果防火墙两侧为三层设备，防火墙可以采用OSPF组网。防火墙可以采用主备方式，也可以采用负载分担模式。

　　透明模式

　　在透明模式下，防火墙以二层方式对外连接，所有接口都不配置IP地址。此时防火墙对于用户和路由器来说是完全透明的，用户完全感觉不到防火墙的存在。

　　混合模式

　　在混合模式下，防火墙既存在工作在路由模式的接口(接口具有IP地址)，又存在工作在透明模式的接口(接口无IP地址)。

　　防火墙采用混合模式进行双机热备组网时，由于透明的接入到原有网络中，不改变既有网络流量流向，故可以依据原有网络流量流向方式采用主备或者负载分担模式。

　　防火墙虚拟化

　　防火墙虚拟化是指将一台防火墙从逻辑上划分为多台虚拟防火墙，分别为多个分区提供独立的安全保障。每台虚拟防火墙都是VPN实例(VPN Instance)、安全实例和配置实例的综合体。它能够为用户提供私有的路由转发服务、安全服务和配置管理服务。

1.4.3 Anti-DDoS部署建议

　　分布式拒绝服务(DDoS)攻击是Internet上最常见的攻击之一。这些攻击通过向目标发送大量恶意请求，导致计算机服务器和网络设备的性能降低和网络服务中断，或者网络连接的带宽达到饱和，从而导致合法用户对某个特定的计算机或者网络资源不能正常访问，服务中断。目前，数据中心已不仅限于对企业内部提供服务，还对外网用户提供大量的服务，因此，数据中心已逐渐成为DDoS攻击的主要目标。

　　DDoS攻击中，小流量攻击能影响服务器的运行，仅仅一个小流量的慢速攻击，就可能消耗服务器大量的资源，甚至导致服务器崩溃。大流量及特大流量网络攻击则会导致数据中心总出口甚至城域网的链路拥塞，致使出口路由器设备板卡转发异常，城域网内的网络中继拥塞等，受影响的不只是被攻击的用户，还波及相当数量的其他用户。

图1-5 Anti-DDoS部署建议

                               
登录/注册后可看大图

　　通过在数据中心外网出口部署Anti-DDoS系统，能有效防御各种类型的DDoS攻击流量。分光器将下行流量镜像到DDoS检测中心进行流量检测。检测中心将异常流量检测结果，检测日志等信息上报DDoS管理中心。 管理中心根据检测结果生成引流策略，并下发给DDoS清洗中心。清洗中心将引流策略发布给上游路由器将可疑流量引入并开始清洗动作,清洗结束后，将剩余的正常流量回注到下游路由器上。清洗中心将清洗结果，日志能信息上报管理中心，由其生成相关报表统计信息，至此，整个DDoS防御过程结束。

图1-6 Anti-DDoS 7层净化架构

                               
登录/注册后可看大图

　　Anti-DDoS系统进行网络流量分析，深入分析流量，精心打造“七层净化”架构可以有效识别流量型攻击、应用型攻击、扫描窥测型攻击和畸形包攻击等多种攻击类型，确保流向客户的流量均为安全、正确的业务流量。

　　1. 畸形报文过滤：过滤利用协议栈漏洞的畸形报文攻击、特殊控制报文过滤。

　　2. 特征过滤：全局静态过滤，首先基于报文内容特征的静态匹配过滤，主要针对没有连接状态的攻击进行防范，如UDP Flood、DNS Flood、ICMP Flood;然后基于黑名单静态过滤;最后提供僵木儒及协议漏洞的过滤。

　　3. 基于传输协议层源认证：用于防范虚假源发起的SYN Flood、ACK Flood、SYN-ACK Flood、TCP Fragment Flood。

　　4. 基于应用层的源认证：用于防范虚假源或僵尸工具的DNS Query Flood、DNS Reply Flood、HTTP Flood、HTTS Flood、SIP Flood。

　　5. 基于会话检查的防范技术：基于会话检查可防范FIN/RST Flood、TCP连接耗尽攻击、TCP异常会话攻击(SockStress攻击、重传攻击、空连接攻击)、DNS Cache Poisoning、DNS反射攻击 、SSL-DoS/SSL-DDoS、HTTP Slow Header/Post Attack。

　　6.行为分析技术：僵尸网络发起的攻击流量和用户访问业务流量行为上存在很大差异，用户访问业务流量具有突发性，访问资源比较分散;而僵尸网络攻击因属于僵尸工具攻击，流量最大特征是访问频率恒定，访问资源固定。可基于行为分析防范CC攻击、TCP慢速攻击、真实源发起的TCP Flood。

　　7. 流量整形：经过上述层层过滤后，如果流量还很大，超过服务器的实际带宽，则采用流量整形使到达服务器的流量处于服务器的安全带宽范围内。

eemail

很不错，有没有全集可分享的

brother

谢谢分享

kenny_xiao

good good 地，

wanwu0921

pogg

感谢楼主分享