公司數(shù)據(jù)中心建設(shè)網(wǎng)絡(luò)安全設(shè)計方案

1、公司數(shù)據(jù)中心建設(shè)網(wǎng)絡(luò)安全設(shè)計方案1.1網(wǎng)絡(luò)安全部署思路網(wǎng)絡(luò)安全整體架構(gòu)目前大多數(shù)的安全解決方案從本質(zhì)上來看是孤立的，沒 有形成一個完整的安全體系的概念，雖然已經(jīng)存在很多的安 全防護(hù)技術(shù)，如防火墻、入侵檢測系統(tǒng)、防病毒、主機(jī)加固 等，但是各個廠家鑒于各自的技術(shù)優(yōu)勢，往往厚此薄彼。必 須從全局體系架構(gòu)層次進(jìn)行總體的安全規(guī)劃和部署。XXX公司本次信息建設(shè)雖然僅包括數(shù)據(jù)中心、內(nèi)網(wǎng)樓層以及廣域網(wǎng)中心部分的改造和建設(shè)，但也必須從全局和架構(gòu) 的高度進(jìn)行統(tǒng)一的設(shè)計。建議采用目前國際最新的“信息保障技術(shù)框架（IATF ）”安全體系結(jié)構(gòu)，其明確提出需要考慮 3 個主要的 因素： 人、操作 和技術(shù)。本技術(shù)方案著重討

2、論技 術(shù)因素，人和操作則需要在非技術(shù)領(lǐng)域（比如安全規(guī)章制度） 方面進(jìn)行解決技術(shù)因素方面IATF提出了一個通用的框架，將信息系統(tǒng)的信息保障技術(shù)層面分為了四個技術(shù)框架域:?網(wǎng)絡(luò)和基礎(chǔ)設(shè)施： 網(wǎng)絡(luò)和基礎(chǔ)設(shè)施的防護(hù)?飛地邊界：解決邊界保護(hù)問題?局域計算環(huán)境：主機(jī)的計算環(huán)境的保護(hù)?支撐性基礎(chǔ)設(shè)施： 安全的信息環(huán)境所需要的支撐平并提出縱深防御的IA原則，即人、技術(shù)、操作相結(jié)合的 多樣性、多層疊的保護(hù)原則。如下圖所示：主要的一些安全技術(shù)和應(yīng)用在框架中的位置如下圖所示:r臺 平 支rkls: 土 火 防PKIWI和N VP弓理 C管碼覽 商11-j一牌 令代 病碼碼 代Ik丿離 全安U一網(wǎng)鋼的交4服勢層應(yīng)當(dāng)提

3、 供的支搏服錚十/I;層應(yīng)用需要解決的間題我們在本次網(wǎng)絡(luò)建設(shè)改造中需要考慮的安全問題就是上圖中的“網(wǎng)絡(luò)和基礎(chǔ)設(shè)施保護(hù)”、“邊界保護(hù)”兩個方面，而“計算機(jī)環(huán)境（主機(jī)）”、“支撐平臺”則是在系統(tǒng)主機(jī) 建設(shè)和業(yè)務(wù)應(yīng)用建設(shè)中需要重點考慮的安全問題。網(wǎng)絡(luò)平臺建設(shè)所必須考慮的安全問題高速發(fā)達(dá)的網(wǎng)絡(luò)平臺衍生現(xiàn)代的網(wǎng)絡(luò)病毒、蠕蟲、DDoS攻擊和黑客入侵等等攻擊手段，如果我們的防護(hù)手段依然停 留在對計算環(huán)境和信息資產(chǎn)的保護(hù)，將處于被動。需要從網(wǎng) 絡(luò)底層平臺的建設(shè)開始，將安全防護(hù)的特性內(nèi)置于其中。因 此在SODC架構(gòu)中，安全是一個智能網(wǎng)絡(luò)應(yīng)當(dāng)對上層業(yè)務(wù)提 供的基本服務(wù)之一。XXX公司網(wǎng)絡(luò)從平臺安全角度的安全設(shè)計分

4、為以下三個 層次：設(shè)備級的安全： 需要保證設(shè)備本身的安全，因為設(shè)備本 身也越來越可能成為攻擊的最終目標(biāo)；網(wǎng)絡(luò)級的安全：網(wǎng)絡(luò)作為信息傳輸?shù)钠脚_，有第一時間 保護(hù)信息資源的能力和機(jī)會，包括進(jìn)行用戶接入認(rèn)證、授權(quán) 和審計以防止非法的接入，進(jìn)行傳輸加密以防止信息的泄漏 和窺測，進(jìn)行安全劃分和隔離以防止為授權(quán)的訪問等等；系統(tǒng)級的主動安全： 智能的防御網(wǎng)絡(luò)必須能夠?qū)崿F(xiàn)所謂 “先知先覺”，在潛在威脅演變?yōu)榘踩糁凹右源胧ㄍㄟ^準(zhǔn)入控制來使“健康”的機(jī)器才能接入網(wǎng)絡(luò)，通過事前探測即時分流來防止大規(guī)模DDoS攻擊，進(jìn)行全局的安全管理等。XXX公司應(yīng)在上述三個方面逐步實施。1.2網(wǎng)絡(luò)設(shè)備級安全網(wǎng)絡(luò)設(shè)備自身

5、安全包括設(shè)備本身對病毒和蠕蟲的防御 以及網(wǎng)絡(luò)協(xié)議本身的防范措施。有以下是本項目所涉及的網(wǎng) 絡(luò)設(shè)備和協(xié)議環(huán)境面臨的威脅和相應(yīng)的解決方案：防蠕蟲病毒的等 Dos攻擊數(shù)據(jù)中心雖然沒有直接連接Internet，但內(nèi)部專網(wǎng)中很多計算機(jī)并無法保證在整個使用周期內(nèi)不會接觸互聯(lián)網(wǎng)和各 種移動存儲介質(zhì)，仍然會較多的面臨大量網(wǎng)絡(luò)蠕蟲病毒的威 脅，比如Red Code，SQL Slammer等等，由于它們經(jīng)常變 換特征，防火墻也不能完全對其進(jìn)行過濾，它們一般發(fā)作的 機(jī)理如下：?利用Microdsoft OS 或應(yīng)用的緩沖區(qū)溢出的漏洞獲得此主機(jī)的控制權(quán)?獲得此主機(jī)的控制權(quán)后，安裝病毒軟件，病毒軟件隨機(jī)生成大量的IP地

6、址，并向這些IP地址發(fā)送大 量的IP包。?有此安全漏洞的 MS OS會受到感染，也隨機(jī)生成大量IP地址，并向這些IP地址發(fā)送大量的IP包。?導(dǎo)致阻塞網(wǎng)絡(luò)帶寬，CPU利用率升高等?直接對網(wǎng)絡(luò)設(shè)備發(fā)出錯包，讓網(wǎng)絡(luò)設(shè)備 CPU占用率 升高直至引發(fā)協(xié)議錯誤甚至宕機(jī)因此需要在設(shè)備一級保證受到攻擊時本身的健壯性。此次XXX公司的核心交換機(jī)Nexus 7000、智能服務(wù)機(jī)箱Catalyst 6500 均支持硬件化的控制平面流量管制功能，可 以自主限制必須由 CPU親自進(jìn)行處理的信息流速，要求能 將包速管制閾值設(shè)定在CPU可健康工作的范圍內(nèi)，從根本上解決病毒包對 CPU資源占用的問題，同時不影響由數(shù)據(jù) 平面正

7、常的數(shù)據(jù)交換。特別是Nexus 7000的控制平面保護(hù)機(jī)制是在板卡一級分布式處理的，具備在大型IDC中對大規(guī)模DDoS的防護(hù)能力。另外所有此類的蠕蟲和病毒都會利用偽造源IP地址進(jìn)行泛濫，局域網(wǎng)核心交換機(jī)和廣域網(wǎng)骨干路由器都應(yīng)當(dāng)支持對 轉(zhuǎn)發(fā)的包進(jìn)行源地址檢查，只有源地址合法的IP包才會被轉(zhuǎn) 發(fā)，這種技術(shù)稱為 Unicast Reverse Forwarding （ uRPF，單 播反轉(zhuǎn)路徑轉(zhuǎn)發(fā)）。該技術(shù)如果通過 CPU實現(xiàn)，則在千兆以 上的網(wǎng)絡(luò)中將不具備實用性，而本次 XXX公司網(wǎng)絡(luò)中在萬兆一級的三層端口支持通過硬件完成的uRPF功能。防VLAN的脆弱性配置在數(shù)據(jù)中心的不同安全域進(jìn)行防火墻訪問控

8、制隔離時， 存在多個VLAN，雖然廣泛采用端口捆綁、vPC等技術(shù)使正常工作中拓?fù)浜喕踔镣耆苊猸h(huán)路，但由于網(wǎng)絡(luò)VLAN多且關(guān)系復(fù)雜，無法在工程上完全杜絕諸如網(wǎng)絡(luò)故障切換、誤 操作造成的臨時環(huán)路，因此有必要運行生成樹協(xié)議作為二層 網(wǎng)絡(luò)中增加穩(wěn)定性的措施。但是，當(dāng)前有許多軟件都具有STP功能，惡意用戶在它的PC上安裝STP軟件與一個 Switch相連，引起STP重新 計算，它有可能成為STP Root,因此所有流量都會流向惡意 軟件主機(jī)，惡意用戶可做包分析。局域網(wǎng)交換機(jī)應(yīng)具有 Root guard （根橋監(jiān)控）功能，可以有效防止其它Switch 成為STP Root。本項目我們在所有允許二層生成

9、樹協(xié)議的設(shè)備 上，特別是接入層中都將啟動Root Guard 特性，另外Nexus5000/2000 還支持 BPDU filters, Bridge Assurance 等 生成樹特性以保證生成樹的安全和穩(wěn)定。還有一些惡意用戶編制特定的STP軟件向各個 Vian加入，會引起大量的 STP的重新計算，引起網(wǎng)絡(luò)抖動，CPU占用升高。本期所有接入層交換機(jī)的所有端口都將設(shè)置BPDU Guard 功能，一旦從某端口接收到惡意用戶發(fā)來的 STP BPDU,貝U禁止此端口。（三）防止ARP表的攻擊的有效手段 本項目大量使用了三層交換機(jī)，在發(fā)送數(shù)據(jù)前其工作方式同路由器一樣先查找 ARP，找到目的端的 MAC

10、地址，再 把信息發(fā)往目的。很多病毒可以向三層交換機(jī)發(fā)一個冒充的 ARP,將目的端的IP地址和惡意用戶主機(jī)的 MAC對應(yīng)，因 此發(fā)往目的端的包就會發(fā)往惡意用戶，以此實現(xiàn)包竊聽。在Host上配置靜態(tài)ARP是一種防止方式， 但是有管理 負(fù)擔(dān)加重，維護(hù)困難，并當(dāng)通信雙方經(jīng)常更換時，幾乎不能 及時更新。本期所使用的所有三層交換機(jī)都支持動態(tài)ARPInspection 功能，可動態(tài)識別 DHCP，記憶 MAC 地址和IP 地址的正確對應(yīng)關(guān)系，有效防止ARP的欺騙。實際配置中，主要配置對Server和網(wǎng)絡(luò)設(shè)備實施的 ARP欺騙，也可靜態(tài)人為設(shè)定，由于數(shù)量不多，管理也較簡單123防止DHCP相關(guān)攻擊本項目中的樓

11、層網(wǎng)段會采用 DHCP Server服務(wù)器提 供用戶端地址，但是卻面臨著幾種與 DHCP服務(wù)相關(guān)的攻擊 方式，它們是：DHCP Server冒用：當(dāng)某一個惡意用戶再同一網(wǎng)段內(nèi) 也放一個DHCP服務(wù)器時，PC很容易得到這個 DHCP server的分配的IP地址而導(dǎo)致不能上網(wǎng)。惡意客戶端發(fā)起大量 DHCP請求的DDos攻擊：惡意 客戶端發(fā)起大量 DHCP請求的DDos攻擊，則會使DHCP Server性能耗盡、CPU利用率升高。惡意客戶端偽造大量的 MAC地址惡意耗盡IP地址池應(yīng)采用如下技術(shù)應(yīng)對以上常見攻擊：?防DHCP Server冒用：此次新采購的用戶端接入交換機(jī)應(yīng)當(dāng)支持DHCP Snoop

12、ing VACL, 只允許指 定DHCP Server的服務(wù)通過，其它的DHCP Server的服務(wù)不能通過Switch 擊：此次 新采購的用戶端接入交換機(jī)應(yīng)當(dāng)支持對 DHCP請求作流量限速，防止惡意客戶端發(fā)起大量DHCP請求的 DDos 攻擊，防止 DHCP Server的 CPU利用率升高。?惡意客戶端偽造大量的 MAC地址惡意耗盡IP地址池：此次新采購的用戶端接入交換機(jī)應(yīng)當(dāng)支持DHCP option 82 字段插入，可以截斷客戶端 DHCP的請求，插入交換機(jī)的標(biāo)識、接口的標(biāo)識等發(fā)送給DHCP Server ；另外DHCP服務(wù)軟件應(yīng)支持針對此標(biāo)識來的請求進(jìn)行限量的IP地址分配，或者其它附加的安全分配策略和條件。1.3網(wǎng)絡(luò)級安全網(wǎng)絡(luò)級安全是網(wǎng)絡(luò)基礎(chǔ)設(shè)施在提供連通性服務(wù)的基礎(chǔ)上所增值的安全服務(wù)，在網(wǎng)絡(luò)平臺上直接實現(xiàn)這些安全功能 比采用獨立的物理主機(jī)實現(xiàn)具有更為強(qiáng)的靈活性、更好的性能和更方便的管理。在本次數(shù)據(jù)中心的設(shè)計范圍內(nèi)主要是訪問控制和隔離（防火墻技術(shù)）。從XXX公司全網(wǎng)看，集團(tuán)網(wǎng)絡(luò)、各地機(jī)構(gòu)廣域網(wǎng)、互聯(lián)網(wǎng)、內(nèi)部樓層、內(nèi)部數(shù)據(jù)中心等都是具備明顯不同安全要求 的網(wǎng)絡(luò)，按飛地邊界部