企業級數據中心安全部署應用技術

張凌云+李俊杰

摘 要：通過該文介紹的一種數據中心安全部署實施方案，實現防火墻的主備模式，加強了網絡的穩定性和安全性，同時實現安全區域劃分，滿足不同級別信息系統安全隔離，更加有效地控制各個網段的訪問權限。通過事先確認的測試項目，對主要網絡路徑的通斷情況、主要業務的狀況進行檢測，確保這些要檢測的網絡路徑和業務都正常工作。

關鍵詞：企業 數據中心 安全 部署應用

中圖分類號：TP393 文獻標識碼：A 文章編號：1674-098X（2017）04（a）-0135-02

為響應互聯網信息系統等級保護的要求，需對某企業核心網絡交換機與數據中心匯聚交換機間的防火墻進行改造升級，實現數據區數據庫、應用服務器等網段安全隔離，滿足不同級別信息系統安全隔離。通過該項目實施，實現防火墻的主備模式，加強了網絡的穩定性和健壯性，同時實現安全區域劃分，滿足不同級別信息系統安全隔離，更加有效地控制各個網段的訪問權限。

在進行網絡過渡的過程中，須考慮諸方面的因素，如系統升級、網絡拓撲的變化以及相應政策的影響，以確保網絡過渡過程不會對現有興義供電局局域網及其廣大用戶造成任何沖擊。在實施方案的制訂過程中，遵循如下原則。

（1）充分保證實施方案整體的可靠性。

（2）全面考慮網絡過渡過程的各方面因素。

（3）合理利用現有網絡設備、網絡拓撲結構。

（4）在網絡實施過程中加入必要的測試過程，保證整個網絡過渡過程的正確性。

（5）該方案可依實際情況進行具體分析討論后做出相應調整。

1 工程實施概況描述

1.1 網絡現狀描述

現某公司局域網接入到綜合數據網由兩臺不同型號的防火墻以路由方式接入，此方式存在的問題是不能進行安全策略的同步，由于非對稱路由問題不能兩條線路同時使用，只能手動進行線路的激活。

原來使用防火墻已經在線運行多年，性能已經不能滿足當前數據中心流量要求，并且數據端口為100 M，已經存在極大的網絡瓶頸。

1.2 目標網絡描述

使用局域網核心交換機的虛擬防火墻來替換現在的數據中心防火墻。并將其部署成為主備模式，主FWSM在進行配置后會自動將配置同步到備FWSM上。

1.3 方案設計說明

（1）在Cisco FWSM上創建數據區VFW。

（2）把原有業務接口上應用策略上移至每個VFW的Outside接口上，在VFW間實現網段間的安全隔離。

（3）VFW采用二層透明模式。業務機上網關保持原來地址不做改變。

采用二層部署的優勢在于如下幾個方面。

①簡化和加速安全設備的部署。

②在現有網絡中的快速部署，不改變任何IP地址。

③提供高性能“秘密的”L2-L7安全服務，提供網絡層的安全控制與攻擊保護。

2 施工程組織及安全措施

2.1 進度計劃表

進度計劃見表1。

2.2 風險分析及防范措施

此次網絡改造存在的風險如下。

（1）改造過程中，因為要進行線路改造和加入二層虛擬防火墻，改造中斷時間約為80 min左右。

（2）該次工作需要對兩臺核心分別進行改造，因此業務服務器通信鏈路需要進行多次網絡業務割接。在以往的工作中，服務器曾經因斷網而出現業務異常的情時有發生。針對核心中斷會導致服務器業務中斷的情況，擬采取以下措施。

①服務器服務器建議廠家和相關負責人員到場支持。

②建議相關服務器在網絡切換前關停機，在網絡恢復之后再行啟動。

③所有業務系統在網絡割接后，馬上進行測試，確保服務正常。

此次改造可能會影響AD域NACC流量引入不正常，嚴格要求AD域廠家現場支持。

（3）為保證在正常中斷時間內完成網絡切割，在實施前應做好充分的準備工作，在實施前做好相關設備的配置備份保存、實施過程中做好操作記錄工作，以保證如出現未知故障時，及時回退。

2.3 施工準備工作

（1）為順利完成工程所進行的必要準備。

①做好相關設備的配置備份和保存。

②準時把各設備運至安裝現場。

③準備工程必要的各種材料。

④準備必要的測試儀表工具。

⑤準備相應的施工安全工器具。

（2）技術、安全準備。

①熟悉方案技術要求。

②施工機具的準備。

③向施工班組做技術交底和向每個工作成員進行安全交底。

2.4 現場安裝要求

設備、材料運輸到貨要求：要安裝調試的設備，在站點計劃開始安裝日的前一天，將設備搬運到指定站點的指定位置。同一站點配套的設備及配件應一次送達。

安裝材料、附材的準備：為網絡設備準備相應的測試儀表、工器具、電纜等輔助材料。

嚴格按照施工方案要求開展割接工作，將施工中的各個環節、步驟的過程用書面或圖表等形式進行表述，使施工的全過程有一個可控性，能及時反映工作的進度和完成情況。工程質量目標，按照實施方案、規劃文件要求及國家電力行業現行技術標準、規范進行施工，保證安裝施工的質量。注意保持機房的環境清潔，退出工作后恢復機房的運行條件要求。對廢棄的物品進行環保處理。

3 割接總體說明

在做每個割接工作的正式割接之前，先通過事先確認的測試項目，對主要的網絡路徑的通斷情況、主要業務的狀況進行檢測，確保這些要檢測的網絡路徑和業務都工作正常，并記錄下檢測情況。然后按照事先確認的割接步驟，一步步地進行割接。所有割接步驟實施完畢后，再重復一次正式割接之前所做的工作，通過事先確認的測試項目，對主要的網絡路徑的通斷情況、主要業務的狀況進行檢測，確保這些要檢測的網絡路徑和業務都工作正常。通過這種對比方式，從而確保整個系統的割接成功。

參考文獻

[1] 彭可.控制網絡系統性能分析、系統設計和網絡互連的研究與應用[D].中南大學，2004.

[2] 謝顯中.TDD模式與第三代移動通信系統[J].現代電信科技，2000（2）：28-31.