信息化觀察網(wǎng)

方案簡(jiǎn)介

數(shù)據(jù)中心承載著企業(yè)的核心業(yè)務(wù)、存儲(chǔ)海量的業(yè)務(wù)數(shù)據(jù)，是企業(yè)正常生產(chǎn)和運(yùn)行的關(guān)鍵資源，因此數(shù)據(jù)中心的網(wǎng)絡(luò)安全顯得尤為重要。

華為金融數(shù)據(jù)中心方案通常采用模塊化和層次化設(shè)計(jì)。模塊化設(shè)計(jì)是將整個(gè)數(shù)據(jù)中心網(wǎng)絡(luò)劃分成多個(gè)分區(qū)，并通過防火墻保證業(yè)務(wù)的安全隔離。層次化設(shè)計(jì)是指整個(gè)網(wǎng)絡(luò)采用核心層、匯聚層、接入層的設(shè)計(jì)，使網(wǎng)絡(luò)具備橫向彈性，易擴(kuò)展。

為了保證數(shù)據(jù)中心網(wǎng)絡(luò)和內(nèi)部服務(wù)器安全，通常需要在數(shù)據(jù)中心網(wǎng)絡(luò)中部署防火墻產(chǎn)品，提供網(wǎng)絡(luò)安全隔離、訪問控制、攻擊防范和入侵防御等功能。

如圖1-1所示，金融數(shù)據(jù)中心解決方案中，防火墻主要部署在三個(gè)位置：數(shù)據(jù)中心出口、內(nèi)網(wǎng)接入?yún)^(qū)、互聯(lián)網(wǎng)出口。不同位置的防火墻提供不同的安全防護(hù)功能。

圖1-1 金融數(shù)據(jù)中心組網(wǎng)示意圖

數(shù)據(jù)中心出口防火墻

典型組網(wǎng)

如圖1-2所示為數(shù)據(jù)中心出口防火墻的典型組網(wǎng)。

●核心交換機(jī)SW1/SW2堆疊組網(wǎng)、匯聚交換機(jī)SW3/SW4堆疊組網(wǎng)。防火墻位于核心交換機(jī)和匯聚交換機(jī)之間，三層接入并啟用主備備份方式的雙機(jī)熱備。

●防火墻連接上下行設(shè)備的接口上配置VRRP，防火墻使用VRRP虛擬IP地址與上下行設(shè)備通信。

●防火墻上配置靜態(tài)路由，引導(dǎo)流量的轉(zhuǎn)發(fā)。

圖1-2 數(shù)據(jù)中心出口防火墻典型組網(wǎng)

內(nèi)網(wǎng)接入?yún)^(qū)防火墻

典型組網(wǎng)

如圖1-3所示，防火墻掛接在核心交換機(jī)作為Agile Controller的硬件SACG。在分支機(jī)構(gòu)1的用戶訪問數(shù)據(jù)中心的業(yè)務(wù)服務(wù)區(qū)時(shí)，防火墻和Agile Controller配合，對(duì)用戶進(jìn)行準(zhǔn)入控制并實(shí)現(xiàn)如下需求：

●為保護(hù)數(shù)據(jù)中心業(yè)務(wù)服務(wù)區(qū)安全，防止非本公司人員以及不安全的終端主機(jī)接入，只有身份認(rèn)證和終端主機(jī)安全檢查通過才允許訪問保護(hù)數(shù)據(jù)中心業(yè)務(wù)服務(wù)區(qū)。

●數(shù)據(jù)中心業(yè)務(wù)服務(wù)區(qū)屬于核心資源，只允許員工在上班時(shí)間段訪問。

●希望方案部署過程對(duì)現(xiàn)有網(wǎng)絡(luò)影響最小；整個(gè)網(wǎng)絡(luò)業(yè)務(wù)優(yōu)先原則，如果準(zhǔn)入控制系統(tǒng)失效，業(yè)務(wù)不能中斷。

將數(shù)據(jù)中心內(nèi)網(wǎng)按邏輯劃分為認(rèn)證前域、隔離域和后域。

●前域是指終端主機(jī)在通過身份認(rèn)證之前能夠訪問的區(qū)域，如DNS服務(wù)器、外部認(rèn)證源、業(yè)務(wù)控制器（SC）、業(yè)務(wù)管理器（SM）。

●隔離域是指在終端用戶通過了身份認(rèn)證但未通過安全認(rèn)證時(shí)允許訪問的區(qū)域，如補(bǔ)丁服務(wù)器、病毒庫(kù)服務(wù)器。

●后域是指終端用戶通過了身份認(rèn)證和安全認(rèn)證后能夠訪問的區(qū)域，即數(shù)據(jù)中心業(yè)務(wù)服務(wù)區(qū)。

圖1-3 內(nèi)網(wǎng)接入?yún)^(qū)防火墻典型組網(wǎng)