公司数据中心建设网络安全设计方案

1、公司数据中心建设网络安全设计方案1.1网络安全部署思路网络安全整体架构目前大多数的安全解决方案从本质上来看是孤立的，没 有形成一个完整的安全体系的概念，虽然已经存在很多的安 全防护技术，如防火墙、入侵检测系统、防病毒、主机加固 等，但是各个厂家鉴于各自的技术优势，往往厚此薄彼。必 须从全局体系架构层次进行总体的安全规划和部署。XXX公司本次信息建设虽然仅包括数据中心、内网楼层以及广域网中心部分的改造和建设，但也必须从全局和架构 的高度进行统一的设计。建议采用目前国际最新的“信息保障技术框架（IATF ）”安全体系结构，其明确提出需要考虑 3 个主要的 因素： 人、操作 和技术。本技术方案着重讨

2、论技 术因素，人和操作则需要在非技术领域（比如安全规章制度） 方面进行解决技术因素方面IATF提出了一个通用的框架，将信息系统的信息保障技术层面分为了四个技术框架域:?网络和基础设施： 网络和基础设施的防护?飞地边界：解决边界保护问题?局域计算环境：主机的计算环境的保护?支撑性基础设施： 安全的信息环境所需要的支撑平并提出纵深防御的IA原则，即人、技术、操作相结合的 多样性、多层叠的保护原则。如下图所示：主要的一些安全技术和应用在框架中的位置如下图所示:r台 平 支rkls: 土 火 防PKIWI和N VP弓理 C管码览 商11-j一牌 令代 病码码 代Ik丿离 全安U一网鋼的交4服势层应当提

3、 供的支搏服铮十/I;层应用需要解决的间題我们在本次网络建设改造中需要考虑的安全问题就是上图中的“网络和基础设施保护”、“边界保护”两个方面，而“计算机环境（主机）”、“支撑平台”则是在系统主机 建设和业务应用建设中需要重点考虑的安全问题。网络平台建设所必须考虑的安全问题高速发达的网络平台衍生现代的网络病毒、蠕虫、DDoS攻击和黑客入侵等等攻击手段，如果我们的防护手段依然停 留在对计算环境和信息资产的保护，将处于被动。需要从网 络底层平台的建设开始，将安全防护的特性内置于其中。因 此在SODC架构中，安全是一个智能网络应当对上层业务提 供的基本服务之一。XXX公司网络从平台安全角度的安全设计分

4、为以下三个 层次：设备级的安全： 需要保证设备本身的安全，因为设备本 身也越来越可能成为攻击的最终目标；网络级的安全：网络作为信息传输的平台，有第一时间 保护信息资源的能力和机会，包括进行用户接入认证、授权 和审计以防止非法的接入，进行传输加密以防止信息的泄漏 和窥测，进行安全划分和隔离以防止为授权的访问等等；系统级的主动安全： 智能的防御网络必须能够实现所谓 “先知先觉”，在潜在威胁演变为安全攻击之前加以措施，包括通过准入控制来使“健康”的机器才能接入网络，通过事前探测即时分流来防止大规模DDoS攻击，进行全局的安全管理等。XXX公司应在上述三个方面逐步实施。1.2网络设备级安全网络设备自身

5、安全包括设备本身对病毒和蠕虫的防御 以及网络协议本身的防范措施。有以下是本项目所涉及的网 络设备和协议环境面临的威胁和相应的解决方案：防蠕虫病毒的等 Dos攻击数据中心虽然没有直接连接Internet，但内部专网中很多计算机并无法保证在整个使用周期内不会接触互联网和各 种移动存储介质，仍然会较多的面临大量网络蠕虫病毒的威 胁，比如Red Code，SQL Slammer等等，由于它们经常变 换特征，防火墙也不能完全对其进行过滤，它们一般发作的 机理如下：?利用Microdsoft OS 或应用的缓冲区溢出的漏洞获得此主机的控制权?获得此主机的控制权后，安装病毒软件，病毒软件随机生成大量的IP地

6、址，并向这些IP地址发送大 量的IP包。?有此安全漏洞的 MS OS会受到感染，也随机生成大量IP地址，并向这些IP地址发送大量的IP包。?导致阻塞网络带宽，CPU利用率升高等?直接对网络设备发出错包，让网络设备 CPU占用率 升高直至引发协议错误甚至宕机因此需要在设备一级保证受到攻击时本身的健壮性。此次XXX公司的核心交换机Nexus 7000、智能服务机箱Catalyst 6500 均支持硬件化的控制平面流量管制功能，可 以自主限制必须由 CPU亲自进行处理的信息流速，要求能 将包速管制阈值设定在CPU可健康工作的范围内，从根本上解决病毒包对 CPU资源占用的问题，同时不影响由数据 平面正

7、常的数据交换。特别是Nexus 7000的控制平面保护机制是在板卡一级分布式处理的，具备在大型IDC中对大规模DDoS的防护能力。另外所有此类的蠕虫和病毒都会利用伪造源IP地址进行泛滥，局域网核心交换机和广域网骨干路由器都应当支持对 转发的包进行源地址检查，只有源地址合法的IP包才会被转 发，这种技术称为 Unicast Reverse Forwarding （ uRPF，单 播反转路径转发）。该技术如果通过 CPU实现，则在千兆以 上的网络中将不具备实用性，而本次 XXX公司网络中在万兆一级的三层端口支持通过硬件完成的uRPF功能。防VLAN的脆弱性配置在数据中心的不同安全域进行防火墙访问控

8、制隔离时， 存在多个VLAN，虽然广泛采用端口捆绑、vPC等技术使正常工作中拓扑简化甚至完全避免环路，但由于网络VLAN多且关系复杂，无法在工程上完全杜绝诸如网络故障切换、误 操作造成的临时环路，因此有必要运行生成树协议作为二层 网络中增加稳定性的措施。但是，当前有许多软件都具有STP功能，恶意用户在它的PC上安装STP软件与一个 Switch相连，引起STP重新 计算，它有可能成为STP Root,因此所有流量都会流向恶意 软件主机，恶意用户可做包分析。局域网交换机应具有 Root guard （根桥监控）功能，可以有效防止其它Switch 成为STP Root。本项目我们在所有允许二层生成

9、树协议的设备 上，特别是接入层中都将启动Root Guard 特性，另外Nexus5000/2000 还支持 BPDU filters, Bridge Assurance 等 生成树特性以保证生成树的安全和稳定。还有一些恶意用户编制特定的STP软件向各个 Vian加入，会引起大量的 STP的重新计算，引起网络抖动，CPU占用升高。本期所有接入层交换机的所有端口都将设置BPDU Guard 功能，一旦从某端口接收到恶意用户发来的 STP BPDU,贝U禁止此端口。（三）防止ARP表的攻击的有效手段 本项目大量使用了三层交换机，在发送数据前其工作方式同路由器一样先查找 ARP，找到目的端的 MAC

10、地址，再 把信息发往目的。很多病毒可以向三层交换机发一个冒充的 ARP,将目的端的IP地址和恶意用户主机的 MAC对应，因 此发往目的端的包就会发往恶意用户，以此实现包窃听。在Host上配置静态ARP是一种防止方式， 但是有管理 负担加重，维护困难，并当通信双方经常更换时，几乎不能 及时更新。本期所使用的所有三层交换机都支持动态ARPInspection 功能，可动态识别 DHCP，记忆 MAC 地址和IP 地址的正确对应关系，有效防止ARP的欺骗。实际配置中，主要配置对Server和网络设备实施的 ARP欺骗，也可静态人为设定，由于数量不多，管理也较简单123防止DHCP相关攻击本项目中的楼

11、层网段会采用 DHCP Server服务器提 供用户端地址，但是却面临着几种与 DHCP服务相关的攻击 方式，它们是：DHCP Server冒用：当某一个恶意用户再同一网段内 也放一个DHCP服务器时，PC很容易得到这个 DHCP server的分配的IP地址而导致不能上网。恶意客户端发起大量 DHCP请求的DDos攻击：恶意 客户端发起大量 DHCP请求的DDos攻击，则会使DHCP Server性能耗尽、CPU利用率升高。恶意客户端伪造大量的 MAC地址恶意耗尽IP地址池应采用如下技术应对以上常见攻击：?防DHCP Server冒用：此次新采购的用户端接入交换机应当支持DHCP Snoop

12、ing VACL, 只允许指 定DHCP Server的服务通过，其它的DHCP Server的服务不能通过Switch 击：此次 新采购的用户端接入交换机应当支持对 DHCP请求作流量限速，防止恶意客户端发起大量DHCP请求的 DDos 攻击，防止 DHCP Server的 CPU利用率升高。?恶意客户端伪造大量的 MAC地址恶意耗尽IP地址池：此次新采购的用户端接入交换机应当支持DHCP option 82 字段插入，可以截断客户端 DHCP的请求，插入交换机的标识、接口的标识等发送给DHCP Server ；另外DHCP服务软件应支持针对此标识来的请求进行限量的IP地址分配，或者其它附加的安全分配策略和条件。1.3网络级安全网络级安全是网络基础设施在提供连通性服务的基础上所增值的安全服务，在网络平台上直接实现这些安全功能 比采用独立的物理主机实现具有更为强的灵活性、更好的性能和更方便的管理。在本次数据中心的设计范围内主要是访问控制和隔离（防火墙技术）。从XXX公司全网看，集团网络、各地机构广域网、互联网、内部楼层、内部数据中心等都是具备明显不同安全要求 的网络，按飞地边界部