單位電子外網(wǎng)安全運維展望

該單位電子外網(wǎng)從建設(shè)之初到2016年已經(jīng)快十年了，目前，電子外網(wǎng)正處于二期建設(shè)運行維護階段。在2017年，還將開展單位電子外網(wǎng)三期項目建設(shè)任務(wù)，在2016年7月份，已經(jīng)先期開展了三期建設(shè)中與安全運維有關(guān)的規(guī)劃設(shè)計。

應用安全分域管控

根據(jù)相關(guān)電子外網(wǎng)項目建設(shè)的總體要求：電子外網(wǎng)需采用MPLS（多協(xié)議標簽交換）作為統(tǒng)一的多業(yè)務(wù)平臺承接技術(shù)，需提供三層MPLSVPN的開通服務(wù)，上級和下級部門外網(wǎng)需要支持跨域?qū)樱杈邆溟_通四級縱向MPLS-VPN的能力。

根據(jù)目前單位電子外網(wǎng)各功能區(qū)域的情況，將正在運行的VPN業(yè)務(wù)重新進行劃分，將訪問電子外網(wǎng)業(yè)務(wù)的區(qū)域作為縱向VPN業(yè)務(wù)區(qū)，將各單位訪問IDC數(shù)據(jù)中心業(yè)務(wù)的區(qū)域定義為城域網(wǎng)VPN區(qū)（該區(qū)域只能訪問IDC數(shù)據(jù)中心業(yè)務(wù)區(qū)域），訪問互聯(lián)網(wǎng)的區(qū)域定義為互聯(lián)網(wǎng)VPN區(qū)（該區(qū)域只能訪問Internet）。外網(wǎng)終端用戶同一時間只能訪問一個區(qū)域，其他區(qū)域做控制隔離，當用戶想訪問其他區(qū)域時，需手工登錄進行安全切換。

在上述各個區(qū)域中，在CE（用戶網(wǎng)絡(luò)邊緣路由器）上為每個訪問業(yè)務(wù)包加上MPLS標簽，PE（匯聚邊緣路由器）再根據(jù)標簽值進行轉(zhuǎn)發(fā)，最后P（核心路由器）再去掉標簽，恢復原來的IP包。通過劃分上述這些不同的VPN區(qū)域，可以使得各安全區(qū)域更加清晰，能夠使安全運維工作各司其職、各負其責，極大的提高了外網(wǎng)安全運行的能力。

信息安全加固

在互聯(lián)網(wǎng)出口區(qū)域，將增加部署流量清洗設(shè)備，主要用于有效防范DDoS攻擊。在數(shù)據(jù)中心區(qū)出口位置也要增加部署IPS、流量清洗設(shè)備。為了實時不間斷地將外網(wǎng)中來自不同廠商的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機、操作系統(tǒng)、用戶業(yè)務(wù)系統(tǒng)的日志、事件、報警等信息進行匯集，并實現(xiàn)海量信息的集中存儲和綜合審計。

同時根據(jù)相關(guān)要求安全審計應對網(wǎng)絡(luò)系統(tǒng)中網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為、應用系統(tǒng)重要安全事件等進行日志記錄，將增加部署一臺日志審計系統(tǒng)。該日志審計系統(tǒng)將能夠?qū)崟r地對采集到的不同類型的信息進行歸并和實時分析，最大程度地消除誤報和錯報、找出漏報；通過該日志審計系統(tǒng)控制臺進行實時呈現(xiàn)，可以協(xié)助安全管理人員迅速準確地識別安全事故，消除了管理員在多個控制臺之間來回切換的煩惱，同時也可提高運維人員的工作效率；該日志審計系統(tǒng)對于集中存儲起來的海量信息可以進行深度挖掘、調(diào)查取證并保全證據(jù)。

調(diào)整現(xiàn)有云平臺數(shù)據(jù)中心結(jié)構(gòu)

目前，單位外網(wǎng)云平臺基礎(chǔ)設(shè)施資源池由24臺服務(wù)器，500TB存儲，2TB內(nèi)存和64個物理CPU組成，可為各部門非涉密應用系統(tǒng)分配虛擬機資源，提供統(tǒng)一管理、統(tǒng)一運維、統(tǒng)一支撐、統(tǒng)一標準的運行環(huán)境。數(shù)據(jù)中心云平臺基礎(chǔ)設(shè)施資源池部署結(jié)構(gòu)比較簡單，僅僅是將這些硬件設(shè)備物理集中，部分資源做了整合，但無法實現(xiàn)業(yè)務(wù)的自動化。虛擬化技術(shù)是云計算時代的重要技術(shù)，但是虛擬化并不等同于云計算。如何有效地提高云平臺虛擬機資源運維的安全性，參考了目前流行的云計算數(shù)據(jù)中心建設(shè)的主流技術(shù)，其主要是Overlay技術(shù)和SDN技術(shù)。

Overlay（無狀態(tài)網(wǎng)絡(luò)技術(shù)）是未來數(shù)據(jù)中心的重要組成部分。Overlay是一種將二層網(wǎng)絡(luò)構(gòu)架在三層/四層報文中進行傳遞的網(wǎng)絡(luò)技術(shù)。這樣的技術(shù)不考慮或很少考慮網(wǎng)絡(luò)層，物理層的問題，允許對沒有IP地址標識的目的主機路由信息，忽略位置信息，數(shù)據(jù)中心的組成部分可以在世界的任何角落，訪問數(shù)據(jù)中心的人也可以在世界的任何一個角落。Overlay網(wǎng)絡(luò)主要包括Overlay控制平面，提供服務(wù)發(fā)現(xiàn)、地址通告和映射、隧道管理，Overlay數(shù)據(jù)平面提供數(shù)據(jù)封裝，基于承載網(wǎng)絡(luò)傳輸，Overlay邊緣設(shè)備提供數(shù)據(jù)報文的封裝和解封裝。

圖3 未來電子外網(wǎng)云平臺數(shù)據(jù)中心架構(gòu)

SDN（Software Defined Network簡稱為軟件定義網(wǎng)絡(luò)）現(xiàn)已成為網(wǎng)絡(luò)技術(shù)領(lǐng)域的熱門話題。其核心特點是抽象出網(wǎng)絡(luò)操作系統(tǒng)平臺，屏蔽底層網(wǎng)絡(luò)設(shè)備物理細節(jié)差異，并向上層提供統(tǒng)一的管理和編程接口，以網(wǎng)絡(luò)操作系統(tǒng)平臺為基礎(chǔ)開發(fā)出應用程序，通過軟件來定義網(wǎng)絡(luò)拓撲、資源分配、處理機制等。SDN通過把傳統(tǒng)網(wǎng)絡(luò)的緊耦合架構(gòu)拆分為應用、控制、轉(zhuǎn)發(fā)三層分離的架構(gòu)，網(wǎng)絡(luò)將不再成為制約業(yè)務(wù)上線和云效率的瓶頸，而是在完成數(shù)據(jù)傳輸任務(wù)的同時，也能變得和虛擬化后的計算、存儲資源一樣，成為一種可靈活調(diào)配的資源。

在三期建設(shè)中還準備采用云網(wǎng)融合技術(shù)實現(xiàn)頂層業(yè)務(wù)編排，底層網(wǎng)絡(luò)自動化部署，利用Overlay VxLAN技術(shù)實現(xiàn)鏈路級虛擬化，利用旁路部署的SDN控制器實現(xiàn)信息安全自動化管理，將防火墻、IPS、流量控制、WAF等設(shè)備并聯(lián)到網(wǎng)絡(luò)中，根據(jù)云平臺各業(yè)務(wù)系統(tǒng)的重要程度，SDN控制器監(jiān)控網(wǎng)絡(luò)安全，如果發(fā)現(xiàn)異常流量引流到安全設(shè)備做流量清洗；新設(shè)備替換，以及自動檢測配置并告警修正。

如圖3所示為未來單位電子外網(wǎng)云平臺數(shù)據(jù)中心的架構(gòu)圖。