淺談防火墻在數(shù)據(jù)中心內(nèi)外網(wǎng)部署

叢 海

內(nèi)蒙古自治區(qū)新聞出版廣播影視科研所 內(nèi)蒙古 呼和浩特市 010050

1 新網(wǎng)絡(luò)帶來(lái)的新威脅

隨著網(wǎng)絡(luò)的發(fā)展，層出不窮的新應(yīng)用雖然給人們的網(wǎng)絡(luò)生活帶來(lái)了更多的便利，同時(shí)也帶來(lái)更多的安全管理風(fēng)險(xiǎn)。

1.1 IP 地址不等于使用者

在新網(wǎng)絡(luò)中，通過(guò)操縱僵尸主機(jī)借用合法IP 地址發(fā)動(dòng)網(wǎng)絡(luò)攻擊，或者偽造、仿冒源IP地址來(lái)進(jìn)行網(wǎng)絡(luò)欺騙和權(quán)限獲取已經(jīng)成為最簡(jiǎn)單的攻擊手段。一個(gè)報(bào)文的源IP 地址，已經(jīng)不能真正反映發(fā)送這個(gè)報(bào)文的網(wǎng)絡(luò)使用者的身份。由于遠(yuǎn)程辦公、移動(dòng)辦公等新興的辦公形式的出現(xiàn)，同一使用者所使用的主機(jī)IP 地址可能隨時(shí)在發(fā)生變化，所以通過(guò)IP 地址進(jìn)行流量控制已經(jīng)不能滿足現(xiàn)代網(wǎng)絡(luò)的需求。

1.2 端口和協(xié)議不等于應(yīng)用

傳統(tǒng)網(wǎng)絡(luò)業(yè)務(wù)總是運(yùn)行在固定的端口之上。例如HTTP 運(yùn)行在80 端口，F(xiàn)TP 運(yùn)行在20、21 端口。然而在新網(wǎng)絡(luò)中，越來(lái)越多的網(wǎng)絡(luò)應(yīng)用開(kāi)始使用未經(jīng)因特網(wǎng)地址分配組織（Internet Assigned Numbers Authority， IANA）明確分配的非知名端口，或者隨機(jī)指定的端口（例如P2P 協(xié)議）。這些應(yīng)用因?yàn)殡y以受到控制，濫用帶寬，往往造成網(wǎng)絡(luò)的擁塞。

同時(shí)，一些知名端口也被用于運(yùn)行截然不同的業(yè)務(wù)。最為典型是隨著網(wǎng)頁(yè)技術(shù)的發(fā)展，越來(lái)越多不同風(fēng)險(xiǎn)級(jí)別的業(yè)務(wù)借用HTTP 和HTTPS 協(xié)議運(yùn)行在80 和443 端口之上，例如WebMail、網(wǎng)頁(yè)游戲、視頻網(wǎng)站、網(wǎng)頁(yè)聊天等等。

1.3 報(bào)文不等于內(nèi)容

單包檢測(cè)機(jī)制只能對(duì)單個(gè)報(bào)文的安全性進(jìn)行分析。這樣無(wú)法防范在一次正常網(wǎng)絡(luò)訪問(wèn)的過(guò)程中發(fā)生的病毒、木馬等網(wǎng)絡(luò)威脅。現(xiàn)在內(nèi)部局域網(wǎng)主機(jī)在訪問(wèn)Internet 的過(guò)程中，很有可能無(wú)意中從外網(wǎng)引入蠕蟲(chóng)、木馬及其他病毒，造成企業(yè)機(jī)密數(shù)據(jù)泄露，對(duì)企業(yè)經(jīng)營(yíng)造成巨大損失。所以企業(yè)的網(wǎng)絡(luò)安全管理，有必要在控制流量的源和目的的基礎(chǔ)上，再對(duì)流量傳輸?shù)恼鎸?shí)內(nèi)容進(jìn)行深入的識(shí)別和監(jiān)控。

2 防火墻在數(shù)據(jù)中心網(wǎng)絡(luò)中的部署

2.1 互聯(lián)網(wǎng)接入邊界防護(hù)

一般大中型數(shù)據(jù)中心單位職工人數(shù)通常都比較多，在500人以上的單位均具有職工人員眾多、業(yè)務(wù)復(fù)雜、流量構(gòu)成豐富多樣化等特點(diǎn)，對(duì)外提供網(wǎng)站、郵件服務(wù)等網(wǎng)絡(luò)服務(wù)，容易成為DDoS（Distributed Denial of Service）攻擊的目標(biāo)，而且一旦攻擊成功，業(yè)務(wù)損失巨大，對(duì)設(shè)備可靠性要求較高，需要邊界設(shè)備支持持續(xù)大流量運(yùn)行，即使設(shè)備故障也不能影響網(wǎng)絡(luò)運(yùn)轉(zhuǎn)等等的業(yè)務(wù)特征。（如圖1）

2.1.1 防火墻作為出口網(wǎng)關(guān)應(yīng)為數(shù)據(jù)中心單位提供高質(zhì)量、不間斷的網(wǎng)絡(luò)安全防護(hù)功能

1.應(yīng)將單位職工網(wǎng)絡(luò)、服務(wù)器群組網(wǎng)絡(luò)、外部網(wǎng)絡(luò)分別劃分到不同安全區(qū)域，確立不同的安全等級(jí)并對(duì)各個(gè)安全區(qū)域間的流量進(jìn)行檢測(cè)和保護(hù)。

2.根據(jù)單位對(duì)外提供的網(wǎng)絡(luò)服務(wù)的類型針對(duì)性開(kāi)啟相應(yīng)的內(nèi)容安全防護(hù)功能。例如，圖1 中的文件服務(wù)器開(kāi)啟文件過(guò)濾和數(shù)據(jù)過(guò)濾，針對(duì)郵件服務(wù)器開(kāi)啟郵件過(guò)濾，并且針對(duì)所有服務(wù)器須開(kāi)啟反病毒和防入侵功能。

3.在職工需要訪問(wèn)外部網(wǎng)絡(luò)時(shí)，要開(kāi)啟反病毒、URL（Uniform Resource Locator） 過(guò) 濾、文件過(guò)濾、數(shù)據(jù)過(guò)濾、應(yīng)用行為控制等功能，既保護(hù)服務(wù)器群組不受外網(wǎng)威脅，又可以防止單位不宜公開(kāi)以上級(jí)別信息的泄露，從而提高數(shù)據(jù)中心網(wǎng)絡(luò)的安全性。

4.通過(guò)數(shù)據(jù)中心防火墻與在外出差職工及下級(jí)單位分支機(jī)構(gòu)間建立VPN 隧道，使用VPN保護(hù)單位業(yè)務(wù)數(shù)據(jù)，使業(yè)務(wù)數(shù)在互聯(lián)網(wǎng)上安全傳輸。

5.開(kāi)啟DDoS 防御選項(xiàng)，有效抵抗互聯(lián)網(wǎng)外部主機(jī)對(duì)數(shù)據(jù)中心內(nèi)部服務(wù)器進(jìn)行的洪水攻擊，保障單位業(yè)務(wù)的正常開(kāi)展。

圖1 互聯(lián)網(wǎng)接入邊界防護(hù)典型部署

6.防火墻須對(duì)數(shù)據(jù)中心內(nèi)外網(wǎng)之間的流量部署帶寬策略，控制各網(wǎng)內(nèi)域的流量帶寬和連接數(shù)，避免網(wǎng)絡(luò)擁塞，同時(shí)也可輔助提高DDoS 攻擊的防御，從而提高單位互聯(lián)網(wǎng)業(yè)務(wù)高質(zhì)量運(yùn)行。

7.須并行部署網(wǎng)管審計(jì)系統(tǒng)，配合防火墻審計(jì)記錄網(wǎng)絡(luò)設(shè)備運(yùn)行的日志。設(shè)備日志可以協(xié)助網(wǎng)絡(luò)管理員對(duì)系統(tǒng)進(jìn)行再配置和調(diào)整、風(fēng)險(xiǎn)識(shí)別和流量審計(jì)等大量數(shù)據(jù)分析工作。

8.條件允許的情況下防火墻應(yīng)雙機(jī)熱備部署，可提高數(shù)據(jù)中心系統(tǒng)安全可靠性。如果單機(jī)故障時(shí)可以將業(yè)務(wù)流量從主機(jī)平滑切換至備機(jī)上運(yùn)行，從而保證單位互聯(lián)網(wǎng)業(yè)務(wù)持續(xù)無(wú)間斷的運(yùn)行。

2.1.2 數(shù)據(jù)中心防火墻應(yīng)開(kāi)啟以下安全防護(hù)功能

1.反病毒：在網(wǎng)關(guān)設(shè)備上應(yīng)用反病毒特性，保護(hù)內(nèi)部網(wǎng)絡(luò)用戶和服務(wù)器免受病毒威脅。

2.入侵防御：配置入侵防御功能，保護(hù)內(nèi)部網(wǎng)絡(luò)的PC 和Web 服務(wù)器避免受到來(lái)自Internet 的攻擊。

3.Web 訪問(wèn)防護(hù)：通過(guò)配置URL 過(guò)濾、入侵防御和反病毒功能，保護(hù)內(nèi)部局域網(wǎng)用戶訪問(wèn)Web 網(wǎng)站和下載文件時(shí)免受病毒威脅和攻擊。

4.數(shù)據(jù)泄露防護(hù)：通過(guò)配置文件過(guò)濾和內(nèi)容過(guò)濾功能，可以防止數(shù)據(jù)中心內(nèi)的信息泄露到互聯(lián)網(wǎng)，保證內(nèi)部網(wǎng)絡(luò)信息安全。

5.應(yīng)用行為控制：在企業(yè)安全網(wǎng)關(guān)上配置應(yīng)用行為控制功能，可以管理內(nèi)部局域網(wǎng)用戶的上網(wǎng)HTTP 行為和FTP 行為。

6.垃圾郵件防范：在安全網(wǎng)關(guān)上配置垃圾郵件防范功能，可以有效的過(guò)濾來(lái)自外網(wǎng)的垃圾郵件，保護(hù)單位內(nèi)部局域網(wǎng)和郵件服務(wù)器。

2.2 內(nèi)部局域網(wǎng)監(jiān)管與安全隔離

對(duì)于一個(gè)單位的數(shù)據(jù)中心來(lái)說(shuō)，通常其內(nèi)部網(wǎng)絡(luò)也需要?jiǎng)澐衷敿?xì)的安全等級(jí)，并對(duì)不同網(wǎng)絡(luò)間的流量進(jìn)行監(jiān)控，以根據(jù)不同網(wǎng)絡(luò)的業(yè)務(wù)類型和安全風(fēng)險(xiǎn)，部署不同的安全策略；在不同網(wǎng)絡(luò)間的流量需要受控，避免單位核心信息資產(chǎn)通過(guò)網(wǎng)絡(luò)泄露；將網(wǎng)絡(luò)進(jìn)行隔離，避免一個(gè)網(wǎng)絡(luò)感染病毒擴(kuò)散到整個(gè)數(shù)據(jù)中心內(nèi)部局域網(wǎng)；數(shù)據(jù)中心大部分流量主要發(fā)生在同一網(wǎng)絡(luò)內(nèi)，而同一網(wǎng)絡(luò)內(nèi)的流量傳輸往往無(wú)需過(guò)多干預(yù)的目的。所以通過(guò)網(wǎng)絡(luò)劃分，可以降低安全設(shè)備的檢測(cè)負(fù)擔(dān)，提高檢測(cè)效率，使網(wǎng)絡(luò)更加通暢。（如圖2）

圖2 內(nèi)部局域網(wǎng)管控與安全隔離典型部署

防火墻作為單位數(shù)據(jù)中心內(nèi)部局域網(wǎng)邊界，應(yīng)在內(nèi)部局域網(wǎng)部署一個(gè)或多個(gè)防火墻作為局域網(wǎng)內(nèi)不同網(wǎng)絡(luò)邊界的網(wǎng)關(guān)來(lái)隔離不同網(wǎng)絡(luò)。首先要建立健全用戶管理體系，對(duì)內(nèi)部局域網(wǎng)主機(jī)接入用戶進(jìn)行詳細(xì)的層級(jí)權(quán)限控制；把相同安全等級(jí)的局域網(wǎng)絡(luò)劃分到同一個(gè)安全區(qū)域，這些局域網(wǎng)之間部署少量的安全功能，對(duì)網(wǎng)域間通信的流量仍然可以進(jìn)行簡(jiǎn)單的數(shù)據(jù)包過(guò)濾、反病毒、黑（白）名單等功能；在不同安全等級(jí)的網(wǎng)絡(luò)須劃分不同的安全區(qū)域，根據(jù)業(yè)務(wù)需求部署不同的安全功能；在各個(gè)區(qū)域之間啟用帶寬管理策略，嚴(yán)格控制帶寬與用戶的連接數(shù)，從而避免局域網(wǎng)內(nèi)部發(fā)生網(wǎng)絡(luò)擁塞現(xiàn)象；在局域網(wǎng)所有的區(qū)域與外網(wǎng)之間啟用反病毒、入侵防御、文件類型過(guò)濾、數(shù)據(jù)過(guò)濾、URL 過(guò)濾、應(yīng)用行為控制等功能。

2.3 跨數(shù)據(jù)中心集群防護(hù)設(shè)置

隨著數(shù)據(jù)中心的業(yè)務(wù)發(fā)展，對(duì)可靠性、可管理性有了更高的要求，要求支持?jǐn)?shù)據(jù)中心之間的災(zāi)備、業(yè)務(wù)負(fù)載分擔(dān)、以及VM 遷移，并且在故障倒換、VM 遷移過(guò)程中保證業(yè)務(wù)的連續(xù)性。這些需求對(duì)狀態(tài)防火墻提出跨DC 高可靠的要求。傳統(tǒng)防火墻一般只支持雙機(jī)之間的熱備，不支持多機(jī)熱備。在多于2 個(gè)數(shù)據(jù)中心多活場(chǎng)景，防火墻多數(shù)據(jù)中心部署時(shí)各個(gè)防火墻之間沒(méi)有配合和聯(lián)動(dòng)，導(dǎo)致在業(yè)務(wù)跨數(shù)據(jù)中心切換，VM 遷移等場(chǎng)景防火墻無(wú)法滿足業(yè)務(wù)持續(xù)高可用性的要求。跨數(shù)據(jù)中心防火墻高可靠方案，可以讓多活數(shù)據(jù)中心的多個(gè)防火墻設(shè)備組成集群，相互配合與協(xié)作，達(dá)成數(shù)據(jù)中心間業(yè)務(wù)切換的高可用性。

2.3.1 保證多活DC 防火墻集群故障倒換時(shí)業(yè)務(wù)連續(xù)

如圖3 所示，N 個(gè)數(shù)據(jù)中心對(duì)應(yīng)N 個(gè)業(yè)務(wù)組，NAT 地址事先由按業(yè)務(wù)組劃分好，每個(gè)DC 主用其中一部分地址，地址映射為本DC 內(nèi)部的服務(wù)。一個(gè)業(yè)務(wù)組優(yōu)先選擇本DC 防火墻成為自己的主用設(shè)備，同時(shí)可以手工指定其他DC 防火墻作為自己的備用設(shè)備，并指定各備用設(shè)備的優(yōu)先級(jí)別，各DC 的防火墻對(duì)外發(fā)布的NAT公網(wǎng)地址路由優(yōu)先級(jí)會(huì)根據(jù)對(duì)應(yīng)業(yè)務(wù)組的狀態(tài)進(jìn)行調(diào)整。業(yè)務(wù)組對(duì)應(yīng)地址的路由在該業(yè)務(wù)組的主防火墻、備防火墻、次備防火墻上發(fā)布的時(shí)候優(yōu)先cost 值成階梯狀排序。這樣本DC 主用的部分地址在本DC 防火墻上對(duì)外發(fā)布的路由要比其他DC 防火墻發(fā)布的優(yōu)先級(jí)高，外部訪問(wèn)對(duì)應(yīng)公網(wǎng)地址時(shí)，根據(jù)路由優(yōu)先級(jí)選路，會(huì)符合預(yù)期地訪問(wèn)到主用DC 的防火墻上，從而訪問(wèn)DC內(nèi)部就近的資源。

每個(gè)DC 都有對(duì)外的服務(wù)的公網(wǎng)地址可訪問(wèn)，通過(guò)DNS 或其他手段，均勻地將外部網(wǎng)絡(luò)的訪問(wèn)分擔(dān)到多個(gè)DC，這樣多個(gè)DC 的業(yè)務(wù)對(duì)外部訪問(wèn)來(lái)說(shuō)是同時(shí)在用的，也就是多活的。

為了保證故障倒換，業(yè)務(wù)的連續(xù)性，防火墻會(huì)話會(huì)從BG主防火墻實(shí)時(shí)備份到BG 的其他備份防火墻上。

對(duì)外部流量而言，當(dāng)數(shù)據(jù)中心網(wǎng)絡(luò)發(fā)生鏈路故障時(shí)，通過(guò)路由收斂，外部流量會(huì)引流到對(duì)應(yīng)BG 的最優(yōu)備份數(shù)據(jù)中心防火墻上，由于之前會(huì)話已經(jīng)熱備過(guò)來(lái)，業(yè)務(wù)可以得到連續(xù)處理并通過(guò)DCI 的互通網(wǎng)絡(luò)到達(dá)服務(wù)所在內(nèi)部主機(jī)上。

圖3 保證多活DC 防火墻集群故障倒換時(shí)業(yè)務(wù)連續(xù)示意圖

2.3.2 保證多活DC VM 遷移業(yè)務(wù)連續(xù)

如圖4 所示，當(dāng)數(shù)據(jù)中心整體故障，數(shù)據(jù)中心內(nèi)部VM 全部切換到最優(yōu)備份數(shù)據(jù)中心啟用，同時(shí)跨DC 防火墻集群管理主設(shè)備感知故障數(shù)據(jù)中心防火墻脫離集群，會(huì)將最優(yōu)備份防火墻切換為原故障防火墻業(yè)務(wù)組的主設(shè)備。

對(duì)外部流量而言，通過(guò)路由收斂，外部訪問(wèn)原數(shù)據(jù)中心服務(wù)的流量可送往最優(yōu)備份數(shù)據(jù)中心。備份數(shù)據(jù)中心的防火墻做對(duì)應(yīng)NAT，轉(zhuǎn)換為這些服務(wù)的私網(wǎng)地址，送到備份數(shù)據(jù)中心內(nèi)部生效的服務(wù)器上，對(duì)外來(lái)說(shuō)對(duì)應(yīng)業(yè)務(wù)保持可用。

對(duì)內(nèi)部流量而言，最優(yōu)備份數(shù)據(jù)中心防火墻成為原故障防火墻業(yè)務(wù)組的主設(shè)備后，通過(guò)在跨DC 內(nèi)部大二層網(wǎng)絡(luò)發(fā)布對(duì)應(yīng)VRRP 的免費(fèi)ARP，將流量引到自身。

當(dāng)數(shù)據(jù)中心部分VM 發(fā)生故障遷移到備份數(shù)據(jù)中心時(shí)候。由于防火墻自身沒(méi)有發(fā)生故障。外部訪問(wèn)遷移VM 的流量會(huì)先被引流到原數(shù)據(jù)中心，并通過(guò)DCI 轉(zhuǎn)到遷移后的VM 上。

3 方案特點(diǎn)

僅涉及跨數(shù)據(jù)中心的設(shè)備集群，本地集群的場(chǎng)景暫不考慮。

圖4 保證多活DC VM 遷移業(yè)務(wù)連續(xù)示意圖

集群場(chǎng)景與雙機(jī)熱備場(chǎng)景不重疊出現(xiàn)，兩個(gè)特性在使用時(shí)互斥。

集群場(chǎng)景暫不考慮設(shè)備部署在透明模式承載業(yè)務(wù)的場(chǎng)景。

協(xié)商備份通道為不可靠通道，上層的協(xié)商與備份需要考慮重要信息的可靠傳輸方式。

集群內(nèi)數(shù)據(jù)備份會(huì)占用數(shù)據(jù)空間資源，若備份數(shù)據(jù)加原始數(shù)據(jù)總量到達(dá)資源上限，新建業(yè)務(wù)數(shù)據(jù)表項(xiàng)會(huì)被限制。