單位電子外網安全運維展望

該單位電子外網從建設之初到2016年已經快十年了，目前，電子外網正處于二期建設運行維護階段。在2017年，還將開展單位電子外網三期項目建設任務，在2016年7月份，已經先期開展了三期建設中與安全運維有關的規(guī)劃設計。

應用安全分域管控

根據相關電子外網項目建設的總體要求：電子外網需采用MPLS（多協(xié)議標簽交換）作為統(tǒng)一的多業(yè)務平臺承接技術，需提供三層MPLSVPN的開通服務，上級和下級部門外網需要支持跨域對接，需具備開通四級縱向MPLS-VPN的能力。

根據目前單位電子外網各功能區(qū)域的情況，將正在運行的VPN業(yè)務重新進行劃分，將訪問電子外網業(yè)務的區(qū)域作為縱向VPN業(yè)務區(qū)，將各單位訪問IDC數據中心業(yè)務的區(qū)域定義為城域網VPN區(qū)（該區(qū)域只能訪問IDC數據中心業(yè)務區(qū)域），訪問互聯(lián)網的區(qū)域定義為互聯(lián)網VPN區(qū)（該區(qū)域只能訪問Internet）。外網終端用戶同一時間只能訪問一個區(qū)域，其他區(qū)域做控制隔離，當用戶想訪問其他區(qū)域時，需手工登錄進行安全切換。

在上述各個區(qū)域中，在CE（用戶網絡邊緣路由器）上為每個訪問業(yè)務包加上MPLS標簽，PE（匯聚邊緣路由器）再根據標簽值進行轉發(fā)，最后P（核心路由器）再去掉標簽，恢復原來的IP包。通過劃分上述這些不同的VPN區(qū)域，可以使得各安全區(qū)域更加清晰，能夠使安全運維工作各司其職、各負其責，極大的提高了外網安全運行的能力。

信息安全加固

在互聯(lián)網出口區(qū)域，將增加部署流量清洗設備，主要用于有效防范DDoS攻擊。在數據中心區(qū)出口位置也要增加部署IPS、流量清洗設備。為了實時不間斷地將外網中來自不同廠商的安全設備、網絡設備、主機、操作系統(tǒng)、用戶業(yè)務系統(tǒng)的日志、事件、報警等信息進行匯集，并實現(xiàn)海量信息的集中存儲和綜合審計。

同時根據相關要求安全審計應對網絡系統(tǒng)中網絡設備運行狀況、網絡流量、用戶行為、應用系統(tǒng)重要安全事件等進行日志記錄，將增加部署一臺日志審計系統(tǒng)。該日志審計系統(tǒng)將能夠實時地對采集到的不同類型的信息進行歸并和實時分析，最大程度地消除誤報和錯報、找出漏報；通過該日志審計系統(tǒng)控制臺進行實時呈現(xiàn)，可以協(xié)助安全管理人員迅速準確地識別安全事故，消除了管理員在多個控制臺之間來回切換的煩惱，同時也可提高運維人員的工作效率；該日志審計系統(tǒng)對于集中存儲起來的海量信息可以進行深度挖掘、調查取證并保全證據。

調整現(xiàn)有云平臺數據中心結構

目前，單位外網云平臺基礎設施資源池由24臺服務器，500TB存儲，2TB內存和64個物理CPU組成，可為各部門非涉密應用系統(tǒng)分配虛擬機資源，提供統(tǒng)一管理、統(tǒng)一運維、統(tǒng)一支撐、統(tǒng)一標準的運行環(huán)境。數據中心云平臺基礎設施資源池部署結構比較簡單，僅僅是將這些硬件設備物理集中，部分資源做了整合，但無法實現(xiàn)業(yè)務的自動化。虛擬化技術是云計算時代的重要技術，但是虛擬化并不等同于云計算。如何有效地提高云平臺虛擬機資源運維的安全性，參考了目前流行的云計算數據中心建設的主流技術，其主要是Overlay技術和SDN技術。

Overlay（無狀態(tài)網絡技術）是未來數據中心的重要組成部分。Overlay是一種將二層網絡構架在三層/四層報文中進行傳遞的網絡技術。這樣的技術不考慮或很少考慮網絡層，物理層的問題，允許對沒有IP地址標識的目的主機路由信息，忽略位置信息，數據中心的組成部分可以在世界的任何角落，訪問數據中心的人也可以在世界的任何一個角落。Overlay網絡主要包括Overlay控制平面，提供服務發(fā)現(xiàn)、地址通告和映射、隧道管理，Overlay數據平面提供數據封裝，基于承載網絡傳輸，Overlay邊緣設備提供數據報文的封裝和解封裝。

圖3 未來電子外網云平臺數據中心架構

SDN（Software Defined Network簡稱為軟件定義網絡）現(xiàn)已成為網絡技術領域的熱門話題。其核心特點是抽象出網絡操作系統(tǒng)平臺，屏蔽底層網絡設備物理細節(jié)差異，并向上層提供統(tǒng)一的管理和編程接口，以網絡操作系統(tǒng)平臺為基礎開發(fā)出應用程序，通過軟件來定義網絡拓撲、資源分配、處理機制等。SDN通過把傳統(tǒng)網絡的緊耦合架構拆分為應用、控制、轉發(fā)三層分離的架構，網絡將不再成為制約業(yè)務上線和云效率的瓶頸，而是在完成數據傳輸任務的同時，也能變得和虛擬化后的計算、存儲資源一樣，成為一種可靈活調配的資源。

在三期建設中還準備采用云網融合技術實現(xiàn)頂層業(yè)務編排，底層網絡自動化部署，利用Overlay VxLAN技術實現(xiàn)鏈路級虛擬化，利用旁路部署的SDN控制器實現(xiàn)信息安全自動化管理，將防火墻、IPS、流量控制、WAF等設備并聯(lián)到網絡中，根據云平臺各業(yè)務系統(tǒng)的重要程度，SDN控制器監(jiān)控網絡安全，如果發(fā)現(xiàn)異常流量引流到安全設備做流量清洗；新設備替換，以及自動檢測配置并告警修正。

如圖3所示為未來單位電子外網云平臺數據中心的架構圖。