数据中心-网络及安全资源池系统及安全策略规划配置方案

网络及安全资源池系统及安全策略规划配

置方案

1.网络及安全资源池安全域规划思路、安全策略规划配置思路

根据安全要求及业务特点，整体网络架构将划分外网接入区、数据中心区、安全运维区、内部接入区等；容灾节点划分外网接入区、容灾区。具体网络架构如下所示：

（1）外网接入区

容灾节点与既有节点之间采用两条100M互联网链路连接，用于容灾数据传输。各业务系统数据使用既有的互联网链路方式进行传输。部署出口路由器负责对接外部网络（Internet和IP承载网），建议适当开启路由器安全策略，对进入数据中心的流量进行第一层基本防护；部署VPN网关以VPN方式（运营商MSTP 网络）连通各所属省公司局域网；部署入侵检测设备（IDS）对进入数据中心的安全隐患和迹象进行检测，在网络受到侵害前进行主动响应，部署部署异常流量检测设备、抗DDOS流量清洗设备对网络出口流量进行监控。抗DDOS、IDS同路由器的安全策略共同构成第一层基本防护，保护外网接入区设备。

（2）数据中心区

以多业务安全网关（支持下一代防火墙、上网行为管理功能）为第二层核心安全防护，划分非信任区（外网接入区）和信任区（数据中心区），其中数据中心区为整个云平台的核心，计算网络采用Spine-Leaf扁平体系架构，硬件网络由SDN统一控制，原有网络可以通过核心交换机的VxLAN网关功能实现VxLAN到VLAN的转换；存储网络基于存储阵列构建IPSAN网络，用于业务数据及虚机文件存储。同时为适合等级保护、企业内控等信息安全规范，将部署WEB应用防火墙（作为第二层应用安全防护）实现各类SQL注入、跨站、挂马、扫描器扫描、敏感信息泄露、盗链行为等攻击防护。

部署备份设备，实现约25%业务的数据按需数据备份的能力，发生关键数据丢失时，可以通过备份恢复数据。

（3）安全运维区

部署云管理平台、SDN控制器及安全管理设备，其中安全管理设备包括堡垒机(利旧网络可达即可)、安全审计、漏洞扫描、终端安全管理与防病毒、网页防篡改等构成第三层内网及管理防护。

（4）内部接入区

实现内部办公用户的接入。

（5）容灾区

通信技术中心节点DCA是主节点，容灾节点DCB是容灾节点，容灾节点可以实现对主节点约30%的核心业务进行容灾份资源需求。

2.网络及安全资源池网络端口规划配置（IP地址和VLAN规划）思路

2.1外网接入区

（1）出口路由器

出口路由器是在网络的边界点用于与其他网络(例如广域网)相连接的路由器设备，其定位是将用户由局域网汇接到广域网，其业务需求覆盖包括从简单的连网到复杂的多媒体业务和VPN业务等。考虑到数据中心集中建设后网络的可靠性，本项目建议配置两台边界路由器，实现双机热备，同时路由器需支持MSTP 组网并建议开启ACL访问控制、包过滤防火墙等安全功能。

（2）入侵检测设备（IDS）

其主要作用是帮助用户量化、定位来自内外网络的威胁情况，提供有针对性的指导措施和安全决策依据，并能够对网络安全整体水平进行效果评估，IDS可以依照用户定制的策略，准确分析、报告网络中正在发生的各种异常事件和攻击行为，实现对网络的“全面检测”，提供实时报警。根据安全需求分析，建议部署两台入侵检测设备以旁路方式连接至出口路由器。

2.2数据中心区

核心区为整个云数据中心的核心，承担所有业务流量数据的汇总。

（1）多业务安全网关

建议部署两台支持虚拟化的核心防火墙（多业务安全网关），实现各VDC的安全隔离。

在数据中心区内承载集团公司及多个所属企业的应用，按照业务隔离的概念，为每个VDC分虚拟防火墙，虚拟防火墙的划分可按照VxLAN方式，流量带着VxLAN标签到防火墙后根据VxLAN对应进入到每个虚拟防火墙进行安全检查，从而实现业务就可以完全隔离。

每个虚拟防火墙均可以设置安全域，接口可以灵活划分和分配，不同党政机关单位数据安全隔离，内部网络不同域隔离：

多业务安全网关配置指标如下所示：

1）不少于4个10GE光口；

2）支持网关防病毒（AV）、上网行为管理等增值安全服务；

3）支持多种安全业务的虚拟化，包括防火墙、入侵防御、反病毒、VPN 等。不同用户可在同一台物理设备上进行隔离的个性化管理；

4）支持Bypass，保障设备掉电网络直通。

（2）WAF防火墙

WAF（WEB应用防火墙）用于防御以Web应用程序漏洞为目标的攻击，并针对Web服务器进行HTTP/HTTPS流量分析，及针对Web应用访问各方面进行优化，以提高Web或网络协议应用的可用性、性能和安全性，确保Web业务应用安全、快速、可靠地交付。

本项目云数据中心规划了互联网DMZ区域，承载着WWW、FTP等外部应用，特别是WEB应用面临着一系列威胁，因此建议部署一台专业的WAF通过旁接DMZ 接入交换机抵御针对WEB的各类攻击行为。

WAF防火墙主要配置指标如下所示：

1）不少于GE光口2个；

2）网络层吞吐量不小于6Gbps，应用吞吐量不小于3Gbps，HTTP并发连接不小于900000；

3）支持WEB站点服务自动侦测功能，支持自动识别VLAN信息；

4）能够识别恶意请求：跨站脚本（XSS）、注入式攻击（包括SQL注入、命令注入、Cookie注入等）、跨站请求伪造等应用攻击行为；

5）支持智能识别攻击者，对网站连接发起攻击的IP地址进行自动锁定禁止访问被攻击的网站。

（3）数据中心核心交换机

建议部署两台高端万兆以太网交换机构建大二层网络便于虚机调度迁移，技术上要求能提供大容量、无阻塞的数据交换，同时需支持VxLAN、SDN等。

为确保服务器上联带宽以及后续数据量的增长，核心交换机至少需配置10G 端口，同时两台核心交换机之间通过40G链路连接，利用核心交换机支持的虚拟化技术，将两台设备虚拟化为一台逻辑设备，从而确保核心层在可靠性、分布性和易管理性方面具有强大的优势。

2.3安全运维区

部署安全管理平台。

2.4内部接入区

办公网接入交换机（利旧）

用做楼层交换机，负责办公网内各信息点的接入。主要配置指标如下：

（1）不低于28个千兆端口，支持combo口；

（2）包转发率不低于96Mpps。

2.5容灾区

容灾区外网接入同通信技术中心节点外网接入区配置。

容灾区服务器合计17台，部署核心交换机2台；业务接入交换机2台；配置存储接入交换机2台；利旧管理交换机（48GE电口）1台；利旧硬件管理交换机（48GE电口）1台。

3网络及安全资源池流量互访及隔离的规划配置、设计思路

（1）网络架构

1）实现不同云租户之间网络资源的隔离，并避免网络资源的过量占用；

2）保证云计算平台管理流量与云租户业务流量分离；

3）根据承载的业务系统安全保护等级划分不同安全级别的资源池区域，并实现资源池之间的网络隔离；

4）提供开放接口或开放性安全服务，允许云租户接入第三方安全产品或在云平台选择第三方安全服务。加强云租户虚拟机之间、安全区域之间的网络安全防护能力；

5）根据云租户的业务需求定义安全访问路径。

本设计方案将划分不同网络安全区域。

（2）访问控制

1）避免虚拟机通过网络非授权访问宿主机；

2）在虚拟化网络边界部署访问控制机制，并设置访问控制规则；

3）保证当虚拟机迁移时，访问控制策略随其迁移；

4）允许云租户设置不同虚拟机之间的访问控制策略。