数据中心-网络及安全资源池系统及安全策略规划配置方案

1、网络及安全资源池系统及安全策略规划配置方案1.网络及安全资源池安全域规划思路、安全策略规划配置思路根据安全要求及业务特点，整体网络架构将划分外网接入区、数据中心区、 安全运维区、内部接入区等；容灾节点划分外网接入区、容灾区。具体网络架构 如下所示：（1）外网接入区容灾节点与既有节点之间采用两条100M互联网链路连接，用于容灾数据传 输。各业务系统数据使用既有的互联网链路方式进行传输。部署出口路由器负责 对接外部网络（Intemet和IP承载网），建议适当开启路由器安全策略，对进 入数据中心的流量进行第一层基本防护：部署VPN网关以VPN方式（运营商MSTP 网络）连通各所属省公司局域网；部署入

2、侵检测设备（IDS）对进入数据中心的 安全隐患和迹象进行检测，在网络受到侵害前进行主动响应，部署部署异常流量 检测设备、抗DDOS流量清洗设备对网络出口流量进行监控。抗DDOS、IDS同路 由器的安全策咯共同构成第一层基本防护，保护外网接入区设备。（2）数据中心区以多业务安全网关（支持下一代防火墙、上网行为管理功能）为第二层核心 安全防护，划分非信任区（外网接入区）和信任区（数据中心区），其中数据中 心区为整个云平台的核心，计算网络采用Spine-Leaf扁平体系架构，硬件网络 由SDN统一控制，原有网络可以通过核心交换机的VxLAN网关功能实现VxLAN到 VLAN的转换；存储网络基于存储阵

3、列构建IPSAN网络，用于业务数据及虚机文 件存储。同时为适合等级保护、企业内控等信息安全规范，将部署WEB应用防火 墙（作为第二层应用安全防护）实现各类SQL注入、跨站、挂马、扫描器扫描、 敏感信息泄露、盗链行为等攻击防护。部署备份设备，实现约25%业务的数据按需数据备份的能力，发生关键数据 丢失时，可以通过备份恢复数据。（3）安全运维区部署云管理平台、SDN控制器及安全管理设备，其中安全管理设备包括堡垒 机（利旧网络可达即可）、安全审计、漏洞扫描、终端安全管理与防病毒、网页防 篡改等构成第三层内网及管理防护。（4）内部接入区实现内部办公用户的接入。（5）容灾区通信技术中心节点DC.A是主节

4、点，容灾节点DCB是容灾节点，容灾节点可以 实现对主节点约30%的核心业务进行容灾份资源需求。2.网络及安全资源池网络端口规划配置（IP地址和VLAN规划）思路外网接入区（1）出口路由器出口路由器是在网络的边界点用于与其他网络（例如广域网）相连接的路由 器设备，其定位是将用户由局域网汇接到广域网，其业务需求覆盖包括从简单的 连网到复杂的多媒体业务和VP、业务等。考虑到数据中心集中建设后网络的可靠 性，本项目建议配置两台边界路由器，实现双机热备，同时路由器需支持MSTP 组网并建议开启ACL访问控制、包过滤防火墙等安全功能。（2）入侵检测设备（IDS）其主要作用是帮助用户量化、定位来自内外网络的

5、威胁情况，提供有针对性 的指导措施和安全决策依据，并能够对网络安全整体水平进行效果评估，IDS可 以依照用户定制的策略，准确分析、报告网络中正在发生的各种异常事件和攻击 行为，实现对网络的“全面检测”，提供实时报警。根据安全需求分析，建议部 署两台入侵检测设备以旁路方式连接至出口路由器。数据中心区核心区为整个云数据中心的核心，承担所有业务流量数据的汇总。（1）多业务安全网关建议部署两台支持虚拟化的核心防火墙（多业务安全网关），实现各VDC的 安全隔离。在数据中心区内承载集团公司及多个所属企业的应用，按照业务隔离的概念, 为每个VDC分虚拟防火墙，虚拟防火墙的划分可按照VxLAN方式，流量带着V

6、xLAN标 签到防火墙后根据VxLAN对应进入到每个虚拟防火墙进行安全检查，从而实现业 务就可以完全隔离。每个虚拟防火墙均可以设置安全域，接口可以灵活划分和分配，不同党政机 关单位数据安全隔离，内部网络不同域隔离：多业务安全网关配置指标如下所示：1）不少于4个10GE光口；2）支持网关防病毒（AV）、上网行为管理等增值安全服务；3）支持多种安全业务的虚拟化，包括防火墙、入侵防御、反病毒、VPN 等。不同用户可在同一台物理设备上进行隔离的个性化管理；4）支持Bypass,保障设备掉电网络直通。（2） WAF防火墙WAF （WEB应用防火墙）用于防御以Web应用程序漏洞为目标的攻击，并针 对Web

7、服务器进行HTTP/HTTPS流量分析，及针对Web应用访问各方面进行优化， 以提高Web或网络协议应用的可用性、性能和安全性，确保Web业务应用安全、 快速、可靠地交付。本项目云数据中心规划了互联网DMZ区域，承载着WWW、FTP等外部应用， 特别是WEB应用面临着一系列威胁，因此建议部署一台专业的WAF通过旁接DMZ 接入交换机抵御针对WEB的各类攻击行为。WAF防火墙主要配置指标如下所示：1）不少于GE光口2个；2）网络层吞吐量不小于6Gbps,应用吞吐量不小于3Gbps, HTTP并发连接不 小于 900000；3）支持WEB站点服务自动侦测功能，支持自动识别VLAN信息；4）能够识别

8、恶意请求：跨站脚本（XSS）、注入式攻击（包括SQL注入、命 令注入、Cookie注入等）、跨站请求伪造等应用攻击行为；5）支持智能识别攻击者，对网站连接发起攻击的IP地址进行自动锁定禁止 访问被攻击的网站。（3）数据中心核心交换机建议部署两台高端万兆以太网交换机构建大二层网络便于虚机调度迂移，技 术上要求能提供大容量、无阻塞的数据交换，同时需支持VxLAN、SDN等。为确保服务器上联带宽以及后续数据量的增长，核心交换机至少需配置10G 端口，同时两台核心交换机之间通过40G链路连接，利用核心交换机支持的虚拟 化技术，将两台设备虚拟化为一台逻辑设备，从而确保核心层在可靠性、分布性 和易管理性方

9、面具有强大的优势。3安全运维区部署安全管理平台。4内部接入区办公网接入交换机（利旧）用做楼层交换机，负责办公网内各信息点的接入。主要配置指标如下：（1）不低于28个千兆端口，支持comb。口；（2）包转发率不低于96Mpps。5容灾区容灾区外网接入同通信技术中心节点外网接入区配置。容灾区服务器合计17台，部署核心交换机2台；业务接入交换机2台；配 置存储接入交换机2台；利旧管理交换机（48GE电口）1台；利旧硬件管理交换 机（48GE电口）1台。3网络及安全资源池流量互访及隔离的规划配置、设计思路（1）网络架构1）实现不同云租户之间网络资源的隔离，并避免网络资源的过量占用；2）保证云计算平台管

10、理流量与云租户业务流量分离；3）根据承载的业务系统安全保护等级划分不同安全级别的资源池区域，并 实现资源池之间的网络隔离；4）提供开放接口或开放性安全服务，允许云租户接入第三方安全产品或在 云平台选择第三方安全服务。加强云租户虚拟机之间、安全区域之间的网络安 全防护能力；5）根据云租户的业务需求定义安全访问路径。本设计方案将划分不同网络安全区域。（2）访问控制1）避免虚拟机通过网络非授权访问宿主机；2）在虚拟化网络边界部署访问控制机制，并设置访问控制规则；3）保证当虚拟机迂移时，访问控制策略随其迂移；4）允许云租户设置不同虚拟机之间的访问控制策略。本设计方案将通过部署防火墙实现访问控制。（3）

11、入侵防范1）应保证跨越边界的访问和数据流经过防护设备提供的受控接口进行通 信；2）应在租户虚拟网络与外部网络边界部署入侵防范机制，实现对虚拟化环 境中的攻击行为的检测和防范；3）应能够针对Web应用攻击进行检测发现。本设计方案将通过部署IDS （入侵检测设备）、多业务安全网关（下一代防 火墙）、WAF （WEB应用防火墙）实现入侵防范。（4）安全审计1）应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对 重要的用户行为和重要安全事件进行审计；2）审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及 其他与审计相关的信息；3）应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆 盖等。