運營商IDC安全設計與實現(xiàn)

文｜中國聯(lián)通陜西省分公司 王 東

1 IDC概述

IDC即是Internet Data Center，是基于Internet網絡，為集中式收集、存儲、處理和發(fā)送數(shù)據(jù)的設備提供運行維護的設施以及相關的服務體系。IDC提供的主要業(yè)務包括主機托管（機位、機架、VIP機房出租）、資源出租（如虛擬主機業(yè)務、數(shù)據(jù)存儲服務）、系統(tǒng)維護（系統(tǒng)配置、數(shù)據(jù)備份、故障排除服務）、管理服務（如帶寬管理、流量分析、負載均衡、入侵檢測、系統(tǒng)漏洞診斷），以及其他支撐、運行服務等。

隨著中國互聯(lián)網以超常的速度向前發(fā)展，企業(yè)用戶對IDC的需求也日益增長。而隨著電信運營商業(yè)務轉型，各種數(shù)據(jù)業(yè)務也層出不窮，作為其主要業(yè)務平臺IDC也受到越來越多的關注，而安全性則是焦點之一。

2 運營商IDC面臨的安全威脅

運營商IDC面臨三大安全攻擊類型：

（1）面向應用層的攻擊。常見的應用攻擊包括惡意蠕蟲、病毒、緩沖溢出代碼、后門木馬等。應用攻擊利用軟件系統(tǒng)在設計上的缺陷，基于現(xiàn)有的業(yè)務端口進行傳播。在傳統(tǒng)運營商IDC以資源出租的業(yè)務模式中，此類攻擊沒有直接影響IDC的運營，其表現(xiàn)在IDC內部客戶受攻擊后，可能會導致其租用的帶寬資源被攻擊占用。在新一代IDC中，運營商自身增值業(yè)務系統(tǒng)也會受到該類攻擊威脅。

（2）面向網絡層的攻擊。最典型就是拒絕服務攻擊（DoS）和分布式拒絕服務攻擊（DDoS）。常見的DDoS攻擊方法有SYN Flood、Established Connection Flood 和Connection Per Second Flood。攻擊者通過惡意搶占網絡資源，使IDC無法正常運營。該類攻擊是目前和今后運營商IDC最常見的攻擊，也是運營商IDC安全防護的重點之一。

（3）對網絡基礎設施的攻擊。該類攻擊具有更大的破壞性和隱蔽性，通過非法侵入IDC網絡、安全設備，或是從IDC內部發(fā)起面向網絡、計算、存儲資源的攻擊。該類威脅對IDC的運營始終存在，針對此類攻擊的防范不僅需要制定嚴格的安全運營管理體系，也需要更加細致的運用網絡與安全相融合的技術。

3 IDC安全解決方案

3.1 IDC安全模型

正是由于IDC威脅多種多樣，因此必須將IDC安全中各個層次的問題放到一個統(tǒng)一的模型下來考慮，否則可能面臨系統(tǒng)性的安全管理問題，發(fā)生顧此失彼的現(xiàn)象。此模型將安全防護主要歸結為兩方面：前臺業(yè)務網絡保障業(yè)務存活，后臺業(yè)務網絡保障用戶訪問合法性。

此外，此模型還考慮了分區(qū)規(guī)劃、分層部署的原則。根據(jù)業(yè)務類型和設備在IDC中存在不同價值和易受攻擊程度的不同，制定不同的安全策略和信任模型，將IDC網絡劃分為不同區(qū)域，將應用服務器分解成可管理的、安全的層次，打破了將所有功能都駐留在單一服務器時所帶來的安全隱患，增強了擴展性和高可用性。

3.2 前臺網絡安全部署

前臺網絡安全部署，主要由交換機安全策略部署、邊界安全防火墻和異常流量清洗三部分組成。

交換機的安全策略部署，是指在IDC內部接匯聚核心交換網絡，利用交換機和協(xié)議的安全功能特性，實現(xiàn)對攻擊的防范。常見的技術手段有，基于物理或VLAN的端口隔離技術，STP Root/STP BPDU Guard，基于報文識別處理的端口安全技術（NTK，Intrusion Protection，Device Tracking），基于轉發(fā)表項的綁定、檢測、映射等防IP報文偽裝技術和路由協(xié)議認證技術。

邊界安全防火墻指在IDC內部針對不同業(yè)務或用戶區(qū)域實現(xiàn)基礎網絡隔離，實現(xiàn)安全信任網絡和非安全網絡進行隔離，這種網絡隔離技術不是簡單的依靠網絡接口來劃分的、由于網絡的實際拓撲是千差萬別的，使用固定接口來進行網絡隔離不能適應網絡的實際要求，而基于安全區(qū)域的隔離模型，每個安全區(qū)域可以按照網絡的實際組網加入任意的接口，使得IDC內部的安全管理模型不會受到網絡拓撲的影響。

運營商IDC通過防火墻提供四個安全區(qū)域：授信安全區(qū)域trust、非授信安全區(qū)域untrust、非軍事化區(qū)域DMZ和本地邏輯安全區(qū)域local，其中本地邏輯安全區(qū)域可以定義到防火墻本身的報文，保證了防火墻本身的安全防護，使得對防火墻本身的安全保護得到加強。IDC防火墻還應支持擴展的自定義安全區(qū)域，支持運營商根據(jù)業(yè)務需求設定更多的安全區(qū)域，每個安全區(qū)域都可以加入獨立的接口。

防火墻虛擬化技術和基于狀態(tài)的包檢查功能是IDC對邊界防火墻的重點需求。虛擬防火墻技術是運營商IDC安全多業(yè)務運營的基礎保證，基于狀態(tài)包檢查防火墻將狀態(tài)檢測技術應用在ACL技術上，通過對連接狀態(tài)的檢測，動態(tài)的發(fā)現(xiàn)應該打開的端口，保證在通信的過程中動態(tài)的決定哪些數(shù)據(jù)包可以通過防火墻。同時，狀態(tài)防火墻還采用基于流的狀態(tài)檢測技術，可以根據(jù)流的信息決定數(shù)據(jù)包是否可以通過防火墻。利用流的狀態(tài)信息決定對數(shù)據(jù)包的處理結果，加快了轉發(fā)性能。

異常流量清洗系統(tǒng)在IDC網絡中起到對DDoS攻擊防范的作用。通常在運營商IDC的出口處部署異常流量清洗系統(tǒng)，該系統(tǒng)主要由異常流量檢測平臺、流量清洗平臺和安全管理平臺三部分組成。其工作過程分為四個步驟：

（1）異常流量檢測平臺發(fā)現(xiàn)異常流量，向業(yè)務管理軟件平臺進行告警。

（2）業(yè)務管理平臺通知防御設備，開啟攻擊防御。

（3）防御系統(tǒng)對異常流量進行牽引，改變流量轉發(fā)路徑，對流量進行清洗，只有正常的流量被回注到服務器進行業(yè)務處理，異常流量被清洗掉。

（4）當攻擊結束后，解除防御，流量恢復正常。

3.3 后臺網絡安全部署

后臺網絡安全部署主要由用戶端點準入安全策略部署、入侵防御系統(tǒng)（IPS）兩部分組成。

端點準入安全策略部署是指采用嚴格的用戶認證和授權控制策略，對接入終端的安全性進行檢查，避免病毒對IDC網絡造成破壞，對不同的接入用戶要做到動態(tài)的分配不同的權限，使之歸屬于不同的VPN，訪問對應授權的資源，保證核心數(shù)據(jù)和業(yè)務的安全性和機密性。端點準入系統(tǒng)應由安全客戶端、安全認證策略服務器、執(zhí)行安全策略的網絡設備以及聯(lián)動安全平臺構成，實現(xiàn)嚴格的身份認證，完備的安全狀態(tài)評估，基于角色的網絡授權，擴展開放的第三方安全融合能力和靈活方便的部署。

在IDC的互聯(lián)網出口處和內部各安全區(qū)的網絡匯聚層出口處部署IPS進行應用層防護，可采用旁掛方式或與網絡設備一體化的融合式部署，保證IDC整體和各安全區(qū)域內部服務器免受外部應用層攻擊。高性能的IPS解決方案應該關注如下三個方面：

（1）應用程序防護能力，可提供擴展至用戶端、服務器、及第二至第七層的網絡型攻擊防護。

（2）高精度、高效率的入侵檢測引擎，入侵檢測引擎的吞吐量和時延指標是衡量IPS性能的關鍵指標。

（3）全面、及時的攻擊特征庫，涵蓋主流操作系統(tǒng)、網絡設備、數(shù)據(jù)庫系統(tǒng)、應用軟件系統(tǒng)的全部漏洞特征和網絡攻擊特征，定時、及時更新特征庫，并具有24小時應急響應機制保證，即兼容國際標準，又符合IDC實際部署地域安全特征的保護要求。

3.4 統(tǒng)一安全管理

運營商建設IDC統(tǒng)一安全管理平臺是達到可運營標準的必然選擇，統(tǒng)一安全平臺旨在集中部署網絡安全防護策略，簡化對網絡安全部件的管理，確保網絡安全策略的統(tǒng)一；廣泛采集與分析來自于計算機、網絡、存儲、安全等設施的告警事件，通過關聯(lián)來自于不同地點、不同層次、不同類型的安全事件，發(fā)現(xiàn)真正的安全風險，提高安全報警的信噪比；準確的、實時的評估當前的網絡安全態(tài)勢和風險，并根據(jù)預先制定的策略做出快速響應。其基本功能包括：

（1）安全策略集中部署。IDC網絡中的安全部件涉及身份安全、終端安全、設備安全、連接安全、網絡安全等各個層面，對應的安全防護技術包括AAA、防病毒、漏洞檢測、防火墻、VPN、IPS等不同層次的防御部件。統(tǒng)一安全管理平臺提供了集成、統(tǒng)一、完整的安全防護策略配置功能，可以通過直觀的網絡、服務器、終端及用戶拓撲圖，查看和配置安全策略，同時可盡可能的集中收集各類安全事件報表。

（2）安全事件深度感知。IDC統(tǒng)一安全管理平臺在全面采集安全事件的基礎上，通過各種基于統(tǒng)計和規(guī)則的關聯(lián)分析算法，結合安全事件產生的網絡環(huán)境、資產重要程度、系統(tǒng)漏洞級別，對安全事件進行深度分析，可以有效提高安全事件的信噪比，減少告警日志數(shù)量而不丟失重要信息，輸出運營支撐的報表，為安全事件審計和風險響應提供更準確的決策支持。

（3）安全威脅的協(xié)同響應。IDC統(tǒng)一安全管理平臺在全面了解網絡資源部署的條件下，可以根據(jù)攻擊源的不同，智能選擇控制點以更有效的防止攻擊，比如，對于外部攻擊選擇在防火墻的ACL阻斷、對內部攻擊選擇用戶接入交換機的端口關閉、對于內部蠕蟲爆發(fā)選擇隔離攻擊源。也可以針對不同的被攻擊對象，區(qū)分響應方式，以提高整個網絡的自防御能力，比如，對于用戶終端可以強制進行補丁修復和病毒庫升級，對于服務器資源可以動態(tài)更新安全配置。

4 結束語

IDC的網絡建設和發(fā)展是一個長期的任務，隨著技術的發(fā)展和業(yè)務的更新，需要及時調整已有的安全策略，設計新的網絡安全方案，運營商IDC的安全解決方案還需要有更深入的研究。