本文介紹互聯(lián)網(wǎng)數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)主要特征和多層設(shè)計原則，分析互聯(lián)網(wǎng)數(shù)據(jù)中心面臨的主要安全威脅，對其安全規(guī)劃和部署實施提出方案建議。

　　1 互聯(lián)網(wǎng)數(shù)據(jù)中心網(wǎng)絡(luò)多層設(shè)計原則

　　從本質(zhì)上說，互聯(lián)網(wǎng)數(shù)據(jù)中心網(wǎng)絡(luò)多層設(shè)計原則是劃分區(qū)域、劃分層次、各自負(fù)責(zé)安全防御任務(wù)，即將復(fù)雜的數(shù)據(jù)中心內(nèi)部網(wǎng)絡(luò)和主機元素按一定的原則分為多個層次多個部分，形成良好的邏輯層次和分區(qū)。

　　數(shù)據(jù)中心用戶的業(yè)務(wù)可分為多個子系統(tǒng)，彼此之間會有數(shù)據(jù)共享、業(yè)務(wù)互訪、數(shù)據(jù)訪問控制與隔離的需求，根據(jù)業(yè)務(wù)相關(guān)性和流程需要，需要采用模塊化設(shè)計，實現(xiàn)低耦合、高內(nèi)聚，保證系統(tǒng)和數(shù)據(jù)的安全性、可靠性、靈活擴展性、易于管理，把用戶的整個IT 系統(tǒng)按照關(guān)聯(lián)性、管理等方面的需求劃分為多個業(yè)務(wù)板塊系統(tǒng)，而每個系統(tǒng)有自己單獨的交換，服務(wù)器，安全邊界設(shè)備等，逐級訪問控制，并采用不同等級的安全措施和防護(hù)手段。

　　互聯(lián)網(wǎng)數(shù)據(jù)中心網(wǎng)絡(luò)可同時從個方面劃分層次和區(qū)域：

　　(1)根據(jù)內(nèi)外部分流原則分層。

　　(2)根據(jù)業(yè)務(wù)模塊隔離原則分區(qū)。

　　(3) 根據(jù)應(yīng)用分層次訪問原則來分級。

　　▲圖1 數(shù)據(jù)中心網(wǎng)絡(luò)分層

　　1.1 分層

　　根據(jù)內(nèi)外部分流原則，數(shù)據(jù)中心網(wǎng)絡(luò)可分為4 層：互聯(lián)網(wǎng)接入層、匯聚層、業(yè)務(wù)接入層和運維管理層。

　　互聯(lián)網(wǎng)接入層配置路由器實現(xiàn)與互聯(lián)網(wǎng)的互聯(lián)，對互聯(lián)網(wǎng)數(shù)據(jù)中心內(nèi)網(wǎng)和外網(wǎng)的路由信息進(jìn)行轉(zhuǎn)換和維護(hù)，并連接匯聚層的各匯聚交換機，形成數(shù)據(jù)中心的網(wǎng)絡(luò)。

　　匯聚層配置匯聚交換機實現(xiàn)向下匯聚業(yè)務(wù)接入層各業(yè)務(wù)區(qū)的接入交換機，向上與路由器互聯(lián)。部分流量管理設(shè)備、安全設(shè)備部署在該層。大客戶或重點業(yè)務(wù)可直接接入?yún)R聚層交換機。

　　業(yè)務(wù)接入層通過接入交換機接入各業(yè)務(wù)區(qū)內(nèi)部的各種服務(wù)器設(shè)備、網(wǎng)絡(luò)設(shè)備等。

　　運維管理層一般獨立成網(wǎng)，與業(yè)務(wù)網(wǎng)絡(luò)進(jìn)行隔離，通過運維管理層的接入及匯聚交換機連接管理子系統(tǒng)各種設(shè)備。

　　1.2 分區(qū)

　　按照關(guān)聯(lián)性、管理、安全防護(hù)等方面的不同需求，可將數(shù)據(jù)中心網(wǎng)絡(luò)劃分為不同的區(qū)域：互聯(lián)網(wǎng)域、接入域、服務(wù)域、管理域、計算域等，各安全域之間經(jīng)過防火墻隔離，確保相應(yīng)的訪問控制策略。

　　互聯(lián)網(wǎng)域包括實施自助管理的管理用戶和訪問應(yīng)用的終用戶。

　　接入域為用戶接入數(shù)據(jù)中心提供統(tǒng)一的界面和借口，又稱為非軍事化隔離區(qū)（DMZ）。服務(wù)域提供域名解析、身份授權(quán)、IP 地址轉(zhuǎn)換等網(wǎng)絡(luò)服務(wù)功能。計算域提供計算服務(wù)，可以根據(jù)安全需求再劃分安全子域。管理域提供安全管理、運營管理、業(yè)務(wù)管理等。

　　相對來說，計算域和管理域的安全級別，服務(wù)域和接入域次之，用戶域。

　　1.3 分級

　　服務(wù)器資源是數(shù)據(jù)中心的，按服務(wù)器服務(wù)功能將其分為可管理的層次，打破將所有功能都駐留在單一服務(wù)器時帶來的安全隱患，增強了擴展性和可用性。

　　服務(wù)器層直接與接入設(shè)備相連，提供面向客戶的應(yīng)用，如IIS、服務(wù)器等等。

　　應(yīng)用層用來粘合面向用戶的應(yīng)用程序、后端的數(shù)據(jù)庫服務(wù)器或存儲服務(wù)器，如WebLogic、J2EE 等中間件技術(shù)。

　　數(shù)據(jù)庫層包含了所有的數(shù)據(jù)庫、存儲和被不同應(yīng)用程序共享的原始數(shù)據(jù)，如MS SQL Server、Oracle 9i、等。

　　在以上3 種的分層分區(qū)域的設(shè)計下，不同網(wǎng)絡(luò)區(qū)域之間的安全關(guān)系明確，可對每個區(qū)域進(jìn)行安全實施，而對其他區(qū)域不會干擾；限度地隔離故障區(qū)域，加快故障收斂時間，提高可用性；可根據(jù)不同的區(qū)域和層次的功能分別建設(shè)，業(yè)務(wù)部署靈活；網(wǎng)絡(luò)結(jié)構(gòu)清晰，易管理。

　　2 互聯(lián)網(wǎng)數(shù)據(jù)中心安全威脅

　　侵入攻擊、拒絕服務(wù)攻擊（DoS）和分布式拒絕服務(wù)攻擊（DDoS）、蠕蟲病毒是互聯(lián)網(wǎng)數(shù)據(jù)中心面臨的主要的3 類安全威脅。

　　數(shù)據(jù)中心網(wǎng)絡(luò)安全防護(hù)部件眾多，各網(wǎng)絡(luò)層次上不同的安全設(shè)備相互合作，形成整個安全防護(hù)體系。對數(shù)據(jù)中心網(wǎng)絡(luò)基礎(chǔ)設(shè)備的非法侵入和危害使侵入攻擊具有強大的破壞能力和隱蔽性，對某一個網(wǎng)絡(luò)設(shè)備的侵入可能影響到整個數(shù)據(jù)中心安全防衛(wèi)體系。

　　在DoS 和DDoS 中，攻擊者通過惡意搶占網(wǎng)絡(luò)資源，使數(shù)據(jù)中心無法正常運營。此類攻擊是互聯(lián)網(wǎng)數(shù)據(jù)中心常預(yù)見的攻擊，同時也需要防范利用數(shù)據(jù)中心內(nèi)部僵尸主機對互聯(lián)網(wǎng)上其他主機進(jìn)行攻擊。

　　利用軟件系統(tǒng)設(shè)計的漏洞對應(yīng)用的攻擊包括惡意蠕蟲、病毒、緩沖溢出代碼、后門木馬等，攻擊者獲取存在漏洞的主機的控制權(quán)后對病毒進(jìn)行復(fù)制和轉(zhuǎn)播，在已感染的主機中設(shè)置后門或者執(zhí)行惡意代碼，導(dǎo)致用戶帶寬資源被占用，或者數(shù)據(jù)中心增值業(yè)務(wù)受到威脅。因其傳播都基于現(xiàn)有的業(yè)務(wù)端口，傳統(tǒng)的防火墻對此類攻擊缺乏足夠的檢測能力。更為嚴(yán)峻的是數(shù)據(jù)中心抵抗飛速增長的應(yīng)用的“零日攻擊”問題。

　　3 互聯(lián)網(wǎng)數(shù)據(jù)中心安全防護(hù)措施

　　為保障互聯(lián)網(wǎng)數(shù)據(jù)中心的安全，抵御各種威脅和攻擊，需要聯(lián)合使用安全體系中各個層次的安全技術(shù)，形成一個完善的安全防預(yù)體系。

　　3.1 虛擬專用網(wǎng)

　　為了在不安全的互聯(lián)網(wǎng)中實現(xiàn)企業(yè)應(yīng)用的安全訪問和數(shù)據(jù)的安全傳輸，虛擬專用網(wǎng)（VPN） 技術(shù)無疑是互聯(lián)網(wǎng)數(shù)據(jù)中心必不可少的安全技術(shù)。VPN 通過互聯(lián)網(wǎng)建立一個臨時的、安全的連接，形成一個穿越公網(wǎng)的安全穩(wěn)定的虛擬私有廣域網(wǎng)。網(wǎng)絡(luò)的VPN 應(yīng)用有兩種：除了提供防火墻到防火墻的VPN 應(yīng)用，支持應(yīng)用在企業(yè)分支機構(gòu)之間互通信息外，還提供移動用戶到VPN 防火墻/網(wǎng)關(guān)設(shè)備的VPN 應(yīng)用，支持移動辦公的IP 地址不固定的企業(yè)員工從互聯(lián)網(wǎng)上對企業(yè)內(nèi)部資源的訪問。隨著互聯(lián)網(wǎng)數(shù)據(jù)中心業(yè)務(wù)的不斷擴大，還需要保障在有限的網(wǎng)絡(luò)帶寬下實現(xiàn)VPN，并提供業(yè)務(wù)質(zhì)量（QoS） 保證。目前的趨勢是采用網(wǎng)絡(luò)控制和應(yīng)用控制，即和身份和訪問管理（IAM） 技術(shù)結(jié)合，提供更靈活的訪問控制和安全隔離服務(wù)。

　　3.2 虛擬局域網(wǎng)

　　數(shù)據(jù)中心多業(yè)務(wù)運營的需求，使得數(shù)據(jù)中心網(wǎng)絡(luò)中服務(wù)器和客戶端之間的縱向流量大于服務(wù)器之間的橫向流量，需要使用虛擬局域網(wǎng)將不同客戶的不同業(yè)務(wù)從第二層隔離開，分配一個VLAN 和IP 子網(wǎng)。專用VLAN 可以有不同安全級別的端口：專用端口與服務(wù)器連接，只能與混雜端口通信；混雜端口與路由器或交換機接口相連，也可以和共有端口通信；共有端口之間也可以相互通信，主要用于需要相互通信的客戶之間。

　　3.3 防火墻

　　防火墻是數(shù)據(jù)中心網(wǎng)絡(luò)基本的安全設(shè)備，可以對不同的信任級別的安全區(qū)域進(jìn)行隔離，保護(hù)數(shù)據(jù)中心邊界安全，同時提供靈活的部署和擴展能力。DoS 攻擊和DDoS 攻擊的手段繁多、攻擊時流量突然增大，因此防DoS 攻擊對防火墻的功能要求和性能要求比較大。目前互聯(lián)網(wǎng)數(shù)據(jù)中心對防火墻的重點需求是基于狀態(tài)的包檢測功能和虛擬防火墻。狀態(tài)防火墻設(shè)備將狀態(tài)檢測技術(shù)應(yīng)用在ACL 技術(shù)上，動態(tài)的決定哪些數(shù)據(jù)包可以通過防火墻，而基于流的狀態(tài)檢測技術(shù)可以提供更高的轉(zhuǎn)發(fā)性能。在物理防火墻無法滿足實際網(wǎng)絡(luò)環(huán)境的情況下，可以實施虛擬防火墻，將物理防火墻邏輯劃分出多個相互無干擾的虛擬防火墻，并依據(jù)業(yè)務(wù)需求設(shè)置合理的細(xì)粒度的訪問控制措施。另外，具有QoS 機制的防火墻能夠提供流量控制功能，針對不同的應(yīng)用做出合理的帶寬分配和流量控制，防止某個應(yīng)用如FTP、Telnet 在某個的時間內(nèi)獨占帶寬資源而導(dǎo)致關(guān)鍵業(yè)務(wù)流量丟失和實時性業(yè)務(wù)流量中斷。

　　目前大多數(shù)據(jù)中心實施雙機部署、或者部署異構(gòu)防火墻，以滿足高可用性的要求。

　　3.4 流量清洗

　　為監(jiān)控、告警、防護(hù)對應(yīng)用服務(wù)器發(fā)起的DOS/DDOS 攻擊，可在互聯(lián)網(wǎng)數(shù)據(jù)中心出口處部署流量清洗設(shè)備，監(jiān)測異常流量，當(dāng)發(fā)現(xiàn)攻擊時，開啟防御，將異常流量牽引出來進(jìn)行清洗，將正常的流量回注到服務(wù)器進(jìn)行業(yè)務(wù)處理。

　　3.5 入侵防御

　　入侵防御系統(tǒng)檢測蠕蟲、網(wǎng)絡(luò)釣魚、后門木馬、間諜軟件等應(yīng)用層攻擊，可在互聯(lián)網(wǎng)數(shù)據(jù)中心出口和內(nèi)部各安全區(qū)的網(wǎng)絡(luò)匯聚層采用旁掛或者與網(wǎng)絡(luò)設(shè)備融合的部署方式進(jìn)行部署，主動提供防護(hù)，預(yù)先對入侵流量進(jìn)行攔截，配合防火墻和安全網(wǎng)關(guān)設(shè)備形成從鏈路層到應(yīng)用層的全面防護(hù)?；ヂ?lián)網(wǎng)數(shù)據(jù)中心的應(yīng)用流量對入侵防御系統(tǒng)的性能提出了挑戰(zhàn)，需要具備高、高效率的入侵檢測引擎和全面及時的攻擊特征庫。

　　3.6 安全管理

　　為達(dá)到互聯(lián)網(wǎng)數(shù)據(jù)中心的運營要求，除了部署健全的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施外，還需建設(shè)的系統(tǒng)的、多層次的、可運營的安全管理系統(tǒng)，確保安全策略的集中部署、安全部件的統(tǒng)一管理，安全事件的高度關(guān)聯(lián)，從安全管理上提升數(shù)據(jù)中心的整體安全防御能力。

　　首先應(yīng)制訂正式、有效、全面的安全管理制度，在安全管理機構(gòu)與崗位設(shè)置上嚴(yán)格把關(guān)。加強系統(tǒng)安全運維管理，定期進(jìn)行設(shè)備檢查、安全監(jiān)察、漏洞掃描，并采取及時地安全事件處置措施，還可利用輔助性管理工具，實現(xiàn)安全配置的自動管理。

　　在安全信息和事件管理方面，應(yīng)對網(wǎng)絡(luò)設(shè)備、主機服務(wù)器、數(shù)據(jù)庫、應(yīng)用系統(tǒng)、云平臺自身管理節(jié)點的安全信息與事件進(jìn)行管理，進(jìn)行安全日志管理，針對操作日志、運行日志、故障日志等進(jìn)行管理，提供設(shè)備、主機、應(yīng)用系統(tǒng)、漏洞、網(wǎng)絡(luò)流量、主機資產(chǎn)等。

　　在用戶身份與訪問管理方面，應(yīng)按照不同用戶等級，設(shè)計相應(yīng)的數(shù)據(jù)中心資源訪問用戶的訪問權(quán)限。用戶訪問等級權(quán)限應(yīng)區(qū)分管理員用戶、普通用戶的不同權(quán)限。

　　在故障管理方面，應(yīng)進(jìn)行故障預(yù)防管理，通過對高危操作的預(yù)防以達(dá)到將隱患消除在萌芽狀態(tài)的目的。

　　可根據(jù)不同高危類別，設(shè)定不同級別的高危動作。應(yīng)進(jìn)行故障管理，如告警處理、故障處理、應(yīng)急處理、部件更換等方面。

　　4 結(jié)束語

　　由于互聯(lián)網(wǎng)數(shù)據(jù)中心設(shè)備的集中、數(shù)據(jù)的集中、應(yīng)用的集中以及通過互聯(lián)網(wǎng)的訪問模式的特點，為提供企業(yè)級的優(yōu)質(zhì)的業(yè)務(wù)服務(wù)能力，互聯(lián)網(wǎng)數(shù)據(jù)中心安全成為其建設(shè)和運營需要關(guān)注的問題，需要在安全設(shè)備部署和安全管理兩方面共同配合，搭建一個立體無縫的安全平臺，形成全方位一體化的安全防御系統(tǒng)。同時，互聯(lián)網(wǎng)數(shù)據(jù)中心的網(wǎng)絡(luò)安全的建設(shè)是一個不斷發(fā)展更新的過程，需要及時的調(diào)整已有的安全策略，設(shè)計新的網(wǎng)絡(luò)安全方案、技術(shù)和服務(wù)，進(jìn)行更全面和完善的網(wǎng)絡(luò)安全規(guī)劃和建設(shè)。