企業(yè)級數(shù)據(jù)中心安全部署應用技術

張凌云+李俊杰

摘 要：通過該文介紹的一種數(shù)據(jù)中心安全部署實施方案，實現(xiàn)防火墻的主備模式，加強了網(wǎng)絡的穩(wěn)定性和安全性，同時實現(xiàn)安全區(qū)域劃分，滿足不同級別信息系統(tǒng)安全隔離，更加有效地控制各個網(wǎng)段的訪問權限。通過事先確認的測試項目，對主要網(wǎng)絡路徑的通斷情況、主要業(yè)務的狀況進行檢測，確保這些要檢測的網(wǎng)絡路徑和業(yè)務都正常工作。

關鍵詞：企業(yè) 數(shù)據(jù)中心 安全 部署應用

中圖分類號：TP393 文獻標識碼：A 文章編號：1674-098X（2017）04（a）-0135-02

為響應互聯(lián)網(wǎng)信息系統(tǒng)等級保護的要求，需對某企業(yè)核心網(wǎng)絡交換機與數(shù)據(jù)中心匯聚交換機間的防火墻進行改造升級，實現(xiàn)數(shù)據(jù)區(qū)數(shù)據(jù)庫、應用服務器等網(wǎng)段安全隔離，滿足不同級別信息系統(tǒng)安全隔離。通過該項目實施，實現(xiàn)防火墻的主備模式，加強了網(wǎng)絡的穩(wěn)定性和健壯性，同時實現(xiàn)安全區(qū)域劃分，滿足不同級別信息系統(tǒng)安全隔離，更加有效地控制各個網(wǎng)段的訪問權限。

在進行網(wǎng)絡過渡的過程中，須考慮諸方面的因素，如系統(tǒng)升級、網(wǎng)絡拓撲的變化以及相應政策的影響，以確保網(wǎng)絡過渡過程不會對現(xiàn)有興義供電局局域網(wǎng)及其廣大用戶造成任何沖擊。在實施方案的制訂過程中，遵循如下原則。

（1）充分保證實施方案整體的可靠性。

（2）全面考慮網(wǎng)絡過渡過程的各方面因素。

（3）合理利用現(xiàn)有網(wǎng)絡設備、網(wǎng)絡拓撲結(jié)構。

（4）在網(wǎng)絡實施過程中加入必要的測試過程，保證整個網(wǎng)絡過渡過程的正確性。

（5）該方案可依實際情況進行具體分析討論后做出相應調(diào)整。

1 工程實施概況描述

1.1 網(wǎng)絡現(xiàn)狀描述

現(xiàn)某公司局域網(wǎng)接入到綜合數(shù)據(jù)網(wǎng)由兩臺不同型號的防火墻以路由方式接入，此方式存在的問題是不能進行安全策略的同步，由于非對稱路由問題不能兩條線路同時使用，只能手動進行線路的激活。

原來使用防火墻已經(jīng)在線運行多年，性能已經(jīng)不能滿足當前數(shù)據(jù)中心流量要求，并且數(shù)據(jù)端口為100 M，已經(jīng)存在極大的網(wǎng)絡瓶頸。

1.2 目標網(wǎng)絡描述

使用局域網(wǎng)核心交換機的虛擬防火墻來替換現(xiàn)在的數(shù)據(jù)中心防火墻。并將其部署成為主備模式，主FWSM在進行配置后會自動將配置同步到備FWSM上。

1.3 方案設計說明

（1）在Cisco FWSM上創(chuàng)建數(shù)據(jù)區(qū)VFW。

（2）把原有業(yè)務接口上應用策略上移至每個VFW的Outside接口上，在VFW間實現(xiàn)網(wǎng)段間的安全隔離。

（3）VFW采用二層透明模式。業(yè)務機上網(wǎng)關保持原來地址不做改變。

采用二層部署的優(yōu)勢在于如下幾個方面。

①簡化和加速安全設備的部署。

②在現(xiàn)有網(wǎng)絡中的快速部署，不改變?nèi)魏蜪P地址。

③提供高性能“秘密的”L2-L7安全服務，提供網(wǎng)絡層的安全控制與攻擊保護。

2 施工程組織及安全措施

2.1 進度計劃表

進度計劃見表1。

2.2 風險分析及防范措施

此次網(wǎng)絡改造存在的風險如下。

（1）改造過程中，因為要進行線路改造和加入二層虛擬防火墻，改造中斷時間約為80 min左右。

（2）該次工作需要對兩臺核心分別進行改造，因此業(yè)務服務器通信鏈路需要進行多次網(wǎng)絡業(yè)務割接。在以往的工作中，服務器曾經(jīng)因斷網(wǎng)而出現(xiàn)業(yè)務異常的情時有發(fā)生。針對核心中斷會導致服務器業(yè)務中斷的情況，擬采取以下措施。

①服務器服務器建議廠家和相關負責人員到場支持。

②建議相關服務器在網(wǎng)絡切換前關停機，在網(wǎng)絡恢復之后再行啟動。

③所有業(yè)務系統(tǒng)在網(wǎng)絡割接后，馬上進行測試，確保服務正常。

此次改造可能會影響AD域NACC流量引入不正常，嚴格要求AD域廠家現(xiàn)場支持。

（3）為保證在正常中斷時間內(nèi)完成網(wǎng)絡切割，在實施前應做好充分的準備工作，在實施前做好相關設備的配置備份保存、實施過程中做好操作記錄工作，以保證如出現(xiàn)未知故障時，及時回退。

2.3 施工準備工作

（1）為順利完成工程所進行的必要準備。

①做好相關設備的配置備份和保存。

②準時把各設備運至安裝現(xiàn)場。

③準備工程必要的各種材料。

④準備必要的測試儀表工具。

⑤準備相應的施工安全工器具。

（2）技術、安全準備。

①熟悉方案技術要求。

②施工機具的準備。

③向施工班組做技術交底和向每個工作成員進行安全交底。

2.4 現(xiàn)場安裝要求

設備、材料運輸?shù)截浺螅阂惭b調(diào)試的設備，在站點計劃開始安裝日的前一天，將設備搬運到指定站點的指定位置。同一站點配套的設備及配件應一次送達。

安裝材料、附材的準備：為網(wǎng)絡設備準備相應的測試儀表、工器具、電纜等輔助材料。

嚴格按照施工方案要求開展割接工作，將施工中的各個環(huán)節(jié)、步驟的過程用書面或圖表等形式進行表述，使施工的全過程有一個可控性，能及時反映工作的進度和完成情況。工程質(zhì)量目標，按照實施方案、規(guī)劃文件要求及國家電力行業(yè)現(xiàn)行技術標準、規(guī)范進行施工，保證安裝施工的質(zhì)量。注意保持機房的環(huán)境清潔，退出工作后恢復機房的運行條件要求。對廢棄的物品進行環(huán)保處理。

3 割接總體說明

在做每個割接工作的正式割接之前，先通過事先確認的測試項目，對主要的網(wǎng)絡路徑的通斷情況、主要業(yè)務的狀況進行檢測，確保這些要檢測的網(wǎng)絡路徑和業(yè)務都工作正常，并記錄下檢測情況。然后按照事先確認的割接步驟，一步步地進行割接。所有割接步驟實施完畢后，再重復一次正式割接之前所做的工作，通過事先確認的測試項目，對主要的網(wǎng)絡路徑的通斷情況、主要業(yè)務的狀況進行檢測，確保這些要檢測的網(wǎng)絡路徑和業(yè)務都工作正常。通過這種對比方式，從而確保整個系統(tǒng)的割接成功。

參考文獻

[1] 彭可.控制網(wǎng)絡系統(tǒng)性能分析、系統(tǒng)設計和網(wǎng)絡互連的研究與應用[D].中南大學，2004.

[2] 謝顯中.TDD模式與第三代移動通信系統(tǒng)[J].現(xiàn)代電信科技，2000（2）：28-31.