安全資源池在省級氣象網絡中的部署及優化

方國強, 劉一謙, 張常亮

(1.高原與盆地暴雨旱澇災害四川省重點實驗室,四川 成都 610072;2.四川省氣象探測數據中心,四川 成都 610072)

0 引言

多年來,安全專家一直在爭論網絡安全威脅究竟是外部人員還是內部人員帶來更大的風險,表明網絡安全威脅來自于南北向、東西向網絡安全威脅同樣嚴重[1]。

氣象部門是高度依賴信息化的公眾服務型事業單位,網絡建設起步較早,隨著業務的發展,網絡基礎架構和業務系統布局越來越復雜。四川省氣象局作為省級氣象部門,網絡結構相對也較復雜,網絡安全建設由于多方面原因側重南北向防御、東西向防御建設長期處于空白。面對省級氣象部門這種復雜網絡環境,如何在有限經費投入情況下,使東西向網絡安全防御建設達到較理想的效果,是西部等欠發達地區氣象部門面臨的一大難題。基于云架構的安全資源池系統出現,較好地解決了此困境。但系統部署涉及現有資源整合,不可避免地會出現一些問題,需要根據實際情況針對性地優化解決。

1 相關技術介紹

1.1 安全資源池

安全資源池是云計算平臺中提供安全服務的資源集合[2-3]。本文應用的深信服安全資源池架構基于軟件虛擬化技術,建立能夠為最終用戶提供方便快捷的網絡安全自動編排服務的云安全服務平臺(cloud security service platform,CSSP)。平臺主要包括下一代防火墻、入侵防御、Web應用防火墻、堡壘機、漏洞掃描、數據庫審計、上網行為管理、日志審計、終端安全(EDR)等組件。

云安全架構(圖1)從下往上分為三層[4]:

基礎硬件架構層:由服務器、交換機和存儲系統構成。

虛擬化架構層:基于底層基礎硬件架構,將計算、網絡和存儲進行軟件虛擬化,為上層安全資源池架構提供其所需的資源單元。

安全資源池架構層:利用虛擬化架構層提供的資源單元,將各類安全組件進行統一部署和管理,對內利用安全服務鏈可以將任意安全組件進行自由組合,對外提供自由的安全編排服務能力。

1.2 策略路由

策略路由(policy-based-route)是一種依據用戶制定的策略進行路由選擇的機制[5],策略路由通過數據包源、目的地址、長度等信息匹配進行定制化的路由選擇。

通常策略路由的優先級要高于普通路由,數據包到達端口后先匹配策略路由,如無匹配項再按照普通路由進行轉發[6]。但不同廠商、不同類型的產品,路由優先級各有不同。總的來說,策略路由一般有強弱兩種模式。弱策略路由的下一跳如果不可達,則返回繼續查找路由表[7-8];強策略路由,不管下一跳是否可達,都會按照策略路由進行轉發,如果下一跳不可達,則直接丟棄報文。

2 網絡現狀及存在的問題

四川省氣象局局域網絡為典型的核心、匯聚和接入三層架構,匯聚交換機超過20臺,可管理接入交換機超過90臺。根據業務需要,核心與匯聚之間有三層和二層兩種互聯方式,整個網絡中VLAN超過100個,重要業務系統分別部署于16個C類網段。其中,7個為數據支撐系統專用網段,物理上為獨立區域,其余9個網段網關全部位于核心交換機,散亂分布于機房內,接入不同的交換機。所有重要業務系統網段都需要進行邊界安全防護,以提升整個網絡東西向安全,但由于內部數據交換量大,如使用傳統硬件安全設備,則一方面高性能設備經費投入太高,另一方面設備性能無法根據業務發展動態調整。

3 安全資源池部署及上線應用測試

3.1 安全資源池部署規劃

如何將散亂分布于機房內的服務器納入安全設備后端進行保護,是安全系統部署首要面臨的問題。通過策略路由引流,實現氣象業務數據流經安全設備是一種可行的方式。

本文應用測試的安全資源池單臂部署在核心交換機上,為保證安全資源池宕機等離線情況對網絡通信不造成影響,采用弱策略路由將指定地址段的流量引流到安全資源池,以此實現9個分散部署的業務系統網段東西向網絡邊界防護。安全資源池全部選擇下一代防火墻(VAF)[9]組件,實現東西向邊界應用控制、WEB應用防護、入侵防御等安全防護需求[10-11]。

根據業務系統數據流量,將9個業務網段安全防護分配到7個VAF,安全資源池可以購買不同的VAF處理性能授權,靈活搭配,底層硬件服務器資源不足可以平滑擴容,滿足業務發展需求。安全資源池的部署示意圖如圖2所示。

圖2 安全資源池部署示意圖

安全資源池內部虛擬網絡中,VAF同樣單臂部署在虛擬核心路由器上,通過策略路由將數據流量分發到不同VAF,能夠避免因VAF故障導致的網絡中斷,安全資源池內部結構如圖3所示。

圖3 安全資源池內部結構

3.2 核心交換機策略路由配置

安全資源池單臂部署,通過在核心交換機上配置策略路由進行引流,保證訪問重要業務系統網段的請求數據包和返回數據包都通過安全資源池。

3.2.1 ACL配置

對于防火墻來說,只有請求數據包和返回數據包都通過防火墻,才能準確發揮應用控制策略的作用。確保請求數據包和返回數據包都通過安全資源池的關鍵是策略路由ACL配置準確性[12]。本次部署測試中,業務系統網段的三層接口設計匹配指定源地址的ACL,其他三層接口設計匹配指定目的的ACL。

指定目的地址配置示例:

指定源地址配置示例:

3.2.2 策略路由配置

業務系統網段中有部分NAS、ISCSI等存儲業務,一方面數據量過大,另一方面針對存儲系統的安全威脅相對較小,這部分數據考慮不通過安全資源池。核心交換機配置策略路由時,需要將這部分IP排除,其方法是對這部分IP地址配置指定目的地址和源地址的兩條ACL,策略路由中匹配ACL后不進行任何后續動作,并將該部分配置在節點node-number最小的位置優先執行。

策略路由配置示例:

策略路由應用下發示例:

3.2.3 策略路由下發效果

通過策略路由進行引流后,實現訪問業務網段的數據通過VAF進行安全過濾,通過TRACERT命令進行路由跟蹤,數據流量通過核心交換、安全資源池虛擬路由器、虛擬防火墻等設備地址后,最終到達目標服務器。

4 安全資源池上線異常分析及優化

交換機和安全資源池是比較成熟的網絡及安全產品,在生產業務中單獨部署時,基本不存在問題。但在本次部署測試中,在核心交換機的三層接口下發策略路由到最后階段時,出現策略路由下發響應緩慢,策略路由下發后不生效的問題。

交換機其他操作運行正常,只有在下發策略路由配置操作時響應緩慢,應該是策略路由相關的資源不足,策略路由主要消耗ACL資源,從ACL資源進行問題分析處理。

4.1 ACL資源分析

華三交換機可以通過display qos-acl resource命令查看QoS和ACL的資源使用情況,詳細命令及命令結果如圖4所示,圖中各字段含義如表1所示。

圖4 交換機QoS和ACL的資源使用情況

表1 字段含義表

4.2 異常原因分析

通過在核心交換機上輸入display qos-acl resource命令,發現交換機7號槽位板卡IFP ACL項Usage值超過了90%,而3號槽位板卡僅只有40%,同時發現3號槽位板卡的IFP ACL資源總數是7號槽位板卡的3倍。通過查看交換機物理設備信息發現,3號槽位和7號槽位板卡分別是EB和EA兩種類型的萬兆電口板,EB性能優于EA。因此,初步判斷策略路由下發后不生效的原因是7號槽位板卡物理性能不足,必須優化配置降低板卡物理資源消耗。異常時交換機資源使用情況如圖5所示。

圖5 異常時交換機資源使用情況

4.3 優化處理

策略路由不生效的原因是板卡ACL資源消耗超過閾值,需要優化減少ACL匹配條數。從配置分析來看,ACL數量過多,主要是在排除NAS、ISCSI等存儲業務地址時,由于IP地址零散,每條規則只匹配一個地址,導致ACL規則條數過多。優化該ACL采用多個IP匯總為網段和調整設備地址到網絡存儲專用網段等方式,將原22條規則優化為3條規則。

優化前ACL配置:

優化后ACL配置:

4.4 優化效果

通過對ACL優化后,板卡ACL資源消耗明顯下降,交換機策略路由運行正常,安全資源池各VAF均有數量流量正常通過,應用控制策略功能正常。優化配置后的交換機資源使用情況如圖6所示。

圖6 優化配置后交換機資源使用情況

框式交換機業務模塊配置時,不僅需要考慮端口配置,同時需要根據業務需求考慮模塊自身物理性能,以免出現類似本文中將模塊物理性能耗盡的情況。

5 結束語

安全資源池是一種較經濟實惠的網絡內部邊界云安全系統,但對網絡策略配置和網絡設備協同要求較高,部署模式也導致應用中存在一些瑕疵。安全資源池內部策略路由全部在虛擬核心路由器上配置,網絡通信時會按照策略路由配置先后順序將數據流量分配到匹配的第一條ACL對應的VAF,不會同時通過相應的兩臺VAF。因此,安全資源池中的VAF之間存在優先級,業務網段之間的安全策略配置需要根據優先級確定對應的VAF。單臂部署模式下,通過VAF防護的業務網段和沒有應用策略路由的一般網段之間通信時,由于數據流量只單向經過VAF,某些應用控制策略可能會造成誤判,需要針對性地進行策略配置優化調整。

上線新的業務系統,尤其是網絡安全方面的系統,上線運行只是開始,還需要在未來不斷根據業務發展進行完善和調優,才能充分發揮系統作用,促進業務發展。