淺談防火墻在數據中心內外網部署

叢 海

內蒙古自治區新聞出版廣播影視科研所 內蒙古 呼和浩特市 010050

1 新網絡帶來的新威脅

隨著網絡的發展，層出不窮的新應用雖然給人們的網絡生活帶來了更多的便利，同時也帶來更多的安全管理風險。

1.1 IP 地址不等于使用者

在新網絡中，通過操縱僵尸主機借用合法IP 地址發動網絡攻擊，或者偽造、仿冒源IP地址來進行網絡欺騙和權限獲取已經成為最簡單的攻擊手段。一個報文的源IP 地址，已經不能真正反映發送這個報文的網絡使用者的身份。由于遠程辦公、移動辦公等新興的辦公形式的出現，同一使用者所使用的主機IP 地址可能隨時在發生變化，所以通過IP 地址進行流量控制已經不能滿足現代網絡的需求。

1.2 端口和協議不等于應用

傳統網絡業務總是運行在固定的端口之上。例如HTTP 運行在80 端口，FTP 運行在20、21 端口。然而在新網絡中，越來越多的網絡應用開始使用未經因特網地址分配組織（Internet Assigned Numbers Authority， IANA）明確分配的非知名端口，或者隨機指定的端口（例如P2P 協議）。這些應用因為難以受到控制，濫用帶寬，往往造成網絡的擁塞。

同時，一些知名端口也被用于運行截然不同的業務。最為典型是隨著網頁技術的發展，越來越多不同風險級別的業務借用HTTP 和HTTPS 協議運行在80 和443 端口之上，例如WebMail、網頁游戲、視頻網站、網頁聊天等等。

1.3 報文不等于內容

單包檢測機制只能對單個報文的安全性進行分析。這樣無法防范在一次正常網絡訪問的過程中發生的病毒、木馬等網絡威脅。現在內部局域網主機在訪問Internet 的過程中，很有可能無意中從外網引入蠕蟲、木馬及其他病毒，造成企業機密數據泄露，對企業經營造成巨大損失。所以企業的網絡安全管理，有必要在控制流量的源和目的的基礎上，再對流量傳輸的真實內容進行深入的識別和監控。

2 防火墻在數據中心網絡中的部署

2.1 互聯網接入邊界防護

一般大中型數據中心單位職工人數通常都比較多，在500人以上的單位均具有職工人員眾多、業務復雜、流量構成豐富多樣化等特點，對外提供網站、郵件服務等網絡服務，容易成為DDoS（Distributed Denial of Service）攻擊的目標，而且一旦攻擊成功，業務損失巨大，對設備可靠性要求較高，需要邊界設備支持持續大流量運行，即使設備故障也不能影響網絡運轉等等的業務特征。（如圖1）

2.1.1 防火墻作為出口網關應為數據中心單位提供高質量、不間斷的網絡安全防護功能

1.應將單位職工網絡、服務器群組網絡、外部網絡分別劃分到不同安全區域，確立不同的安全等級并對各個安全區域間的流量進行檢測和保護。

2.根據單位對外提供的網絡服務的類型針對性開啟相應的內容安全防護功能。例如，圖1 中的文件服務器開啟文件過濾和數據過濾，針對郵件服務器開啟郵件過濾，并且針對所有服務器須開啟反病毒和防入侵功能。

3.在職工需要訪問外部網絡時，要開啟反病毒、URL（Uniform Resource Locator） 過 濾、文件過濾、數據過濾、應用行為控制等功能，既保護服務器群組不受外網威脅，又可以防止單位不宜公開以上級別信息的泄露，從而提高數據中心網絡的安全性。

4.通過數據中心防火墻與在外出差職工及下級單位分支機構間建立VPN 隧道，使用VPN保護單位業務數據，使業務數在互聯網上安全傳輸。

5.開啟DDoS 防御選項，有效抵抗互聯網外部主機對數據中心內部服務器進行的洪水攻擊，保障單位業務的正常開展。

圖1 互聯網接入邊界防護典型部署

6.防火墻須對數據中心內外網之間的流量部署帶寬策略，控制各網內域的流量帶寬和連接數，避免網絡擁塞，同時也可輔助提高DDoS 攻擊的防御，從而提高單位互聯網業務高質量運行。

7.須并行部署網管審計系統，配合防火墻審計記錄網絡設備運行的日志。設備日志可以協助網絡管理員對系統進行再配置和調整、風險識別和流量審計等大量數據分析工作。

8.條件允許的情況下防火墻應雙機熱備部署，可提高數據中心系統安全可靠性。如果單機故障時可以將業務流量從主機平滑切換至備機上運行，從而保證單位互聯網業務持續無間斷的運行。

2.1.2 數據中心防火墻應開啟以下安全防護功能

1.反病毒：在網關設備上應用反病毒特性，保護內部網絡用戶和服務器免受病毒威脅。

2.入侵防御：配置入侵防御功能，保護內部網絡的PC 和Web 服務器避免受到來自Internet 的攻擊。

3.Web 訪問防護：通過配置URL 過濾、入侵防御和反病毒功能，保護內部局域網用戶訪問Web 網站和下載文件時免受病毒威脅和攻擊。

4.數據泄露防護：通過配置文件過濾和內容過濾功能，可以防止數據中心內的信息泄露到互聯網，保證內部網絡信息安全。

5.應用行為控制：在企業安全網關上配置應用行為控制功能，可以管理內部局域網用戶的上網HTTP 行為和FTP 行為。

6.垃圾郵件防范：在安全網關上配置垃圾郵件防范功能，可以有效的過濾來自外網的垃圾郵件，保護單位內部局域網和郵件服務器。

2.2 內部局域網監管與安全隔離

對于一個單位的數據中心來說，通常其內部網絡也需要劃分詳細的安全等級，并對不同網絡間的流量進行監控，以根據不同網絡的業務類型和安全風險，部署不同的安全策略；在不同網絡間的流量需要受控，避免單位核心信息資產通過網絡泄露；將網絡進行隔離，避免一個網絡感染病毒擴散到整個數據中心內部局域網；數據中心大部分流量主要發生在同一網絡內，而同一網絡內的流量傳輸往往無需過多干預的目的。所以通過網絡劃分，可以降低安全設備的檢測負擔，提高檢測效率，使網絡更加通暢。（如圖2）

圖2 內部局域網管控與安全隔離典型部署

防火墻作為單位數據中心內部局域網邊界，應在內部局域網部署一個或多個防火墻作為局域網內不同網絡邊界的網關來隔離不同網絡。首先要建立健全用戶管理體系，對內部局域網主機接入用戶進行詳細的層級權限控制；把相同安全等級的局域網絡劃分到同一個安全區域，這些局域網之間部署少量的安全功能，對網域間通信的流量仍然可以進行簡單的數據包過濾、反病毒、黑（白）名單等功能；在不同安全等級的網絡須劃分不同的安全區域，根據業務需求部署不同的安全功能；在各個區域之間啟用帶寬管理策略，嚴格控制帶寬與用戶的連接數，從而避免局域網內部發生網絡擁塞現象；在局域網所有的區域與外網之間啟用反病毒、入侵防御、文件類型過濾、數據過濾、URL 過濾、應用行為控制等功能。

2.3 跨數據中心集群防護設置

隨著數據中心的業務發展，對可靠性、可管理性有了更高的要求，要求支持數據中心之間的災備、業務負載分擔、以及VM 遷移，并且在故障倒換、VM 遷移過程中保證業務的連續性。這些需求對狀態防火墻提出跨DC 高可靠的要求。傳統防火墻一般只支持雙機之間的熱備，不支持多機熱備。在多于2 個數據中心多活場景，防火墻多數據中心部署時各個防火墻之間沒有配合和聯動，導致在業務跨數據中心切換，VM 遷移等場景防火墻無法滿足業務持續高可用性的要求。跨數據中心防火墻高可靠方案，可以讓多活數據中心的多個防火墻設備組成集群，相互配合與協作，達成數據中心間業務切換的高可用性。

2.3.1 保證多活DC 防火墻集群故障倒換時業務連續

如圖3 所示，N 個數據中心對應N 個業務組，NAT 地址事先由按業務組劃分好，每個DC 主用其中一部分地址，地址映射為本DC 內部的服務。一個業務組優先選擇本DC 防火墻成為自己的主用設備，同時可以手工指定其他DC 防火墻作為自己的備用設備，并指定各備用設備的優先級別，各DC 的防火墻對外發布的NAT公網地址路由優先級會根據對應業務組的狀態進行調整。業務組對應地址的路由在該業務組的主防火墻、備防火墻、次備防火墻上發布的時候優先cost 值成階梯狀排序。這樣本DC 主用的部分地址在本DC 防火墻上對外發布的路由要比其他DC 防火墻發布的優先級高，外部訪問對應公網地址時，根據路由優先級選路，會符合預期地訪問到主用DC 的防火墻上，從而訪問DC內部就近的資源。

每個DC 都有對外的服務的公網地址可訪問，通過DNS 或其他手段，均勻地將外部網絡的訪問分擔到多個DC，這樣多個DC 的業務對外部訪問來說是同時在用的，也就是多活的。

為了保證故障倒換，業務的連續性，防火墻會話會從BG主防火墻實時備份到BG 的其他備份防火墻上。

對外部流量而言，當數據中心網絡發生鏈路故障時，通過路由收斂，外部流量會引流到對應BG 的最優備份數據中心防火墻上，由于之前會話已經熱備過來，業務可以得到連續處理并通過DCI 的互通網絡到達服務所在內部主機上。

圖3 保證多活DC 防火墻集群故障倒換時業務連續示意圖

2.3.2 保證多活DC VM 遷移業務連續

如圖4 所示，當數據中心整體故障，數據中心內部VM 全部切換到最優備份數據中心啟用，同時跨DC 防火墻集群管理主設備感知故障數據中心防火墻脫離集群，會將最優備份防火墻切換為原故障防火墻業務組的主設備。

對外部流量而言，通過路由收斂，外部訪問原數據中心服務的流量可送往最優備份數據中心。備份數據中心的防火墻做對應NAT，轉換為這些服務的私網地址，送到備份數據中心內部生效的服務器上，對外來說對應業務保持可用。

對內部流量而言，最優備份數據中心防火墻成為原故障防火墻業務組的主設備后，通過在跨DC 內部大二層網絡發布對應VRRP 的免費ARP，將流量引到自身。

當數據中心部分VM 發生故障遷移到備份數據中心時候。由于防火墻自身沒有發生故障。外部訪問遷移VM 的流量會先被引流到原數據中心，并通過DCI 轉到遷移后的VM 上。

3 方案特點

僅涉及跨數據中心的設備集群，本地集群的場景暫不考慮。

圖4 保證多活DC VM 遷移業務連續示意圖

集群場景與雙機熱備場景不重疊出現，兩個特性在使用時互斥。

集群場景暫不考慮設備部署在透明模式承載業務的場景。

協商備份通道為不可靠通道，上層的協商與備份需要考慮重要信息的可靠傳輸方式。

集群內數據備份會占用數據空間資源，若備份數據加原始數據總量到達資源上限，新建業務數據表項會被限制。