公司数据中心建设网络安全设计方案

公司数据中心建设网络安全设计方案

1.1网络安全部署思路

1.1.1网络安全整体架构

目前大多数的安全解决方案从本质上来看是孤立的，没有形成一个完整的安全体系的概念，虽然已经存在很多的安全防护技术，如防火墙、入侵检测系统、防病毒、主机加固等，但是各个厂家鉴于各自的技术优势，往往厚此薄彼。必须从全局体系架构层次进行总体的安全规划和部署。

XXX公司本次信息建设虽然仅包括数据中心、内网楼层以及广域网中心部分的改造和建设，但也必须从全局和架构的高度进行统一的设计。建议采用目前国际最新的“信息保障技术框架（IATF）”安全体系结构，其明确提出需要考虑3个主要的因素：人、操作和技术。本技术方案着重讨论技术因素，人和操作则需要在非技术领域（比如安全规章制度）方面进行解决。

技术因素方面IATF提出了一个通用的框架，将信息系统的信息保障技术层面分为了四个技术框架域：

•网络和基础设施：网络和基础设施的防护

•飞地边界：解决边界保护问题

•局域计算环境：主机的计算环境的保护

•支撑性基础设施：安全的信息环境所需要的支撑平台

并提出纵深防御的IA原则，即人、技术、操作相结合的多样性、多层叠的保护原则。如下图所示：

主要的一些安全技术和应用在框架中的位置如下图所示：

我们在本次网络建设改造中需要考虑的安全问题就是

上图中的“网络和基础设施保护”、“边界保护”两个方面，而“计算机环境（主机）”、“支撑平台”则是在系统主机建设和业务应用建设中需要重点考虑的安全问题。

1.1.2网络平台建设所必须考虑的安全问题

高速发达的网络平台衍生现代的网络病毒、蠕虫、DDoS 攻击和黑客入侵等等攻击手段，如果我们的防护手段依然停

留在对计算环境和信息资产的保护，将处于被动。需要从网络底层平台的建设开始，将安全防护的特性内置于其中。因此在SODC架构中，安全是一个智能网络应当对上层业务提供的基本服务之一。

XXX公司网络从平台安全角度的安全设计分为以下三个层次：

设备级的安全：需要保证设备本身的安全，因为设备本身也越来越可能成为攻击的最终目标；

网络级的安全：网络作为信息传输的平台，有第一时间保护信息资源的能力和机会，包括进行用户接入认证、授权和审计以防止非法的接入，进行传输加密以防止信息的泄漏和窥测，进行安全划分和隔离以防止为授权的访问等等；

系统级的主动安全：智能的防御网络必须能够实现所谓“先知先觉”，在潜在威胁演变为安全攻击之前加以措施，包括通过准入控制来使“健康”的机器才能接入网络，通过

事前探测即时分流来防止大规模DDoS攻击，进行全局的安全管理等。

XXX公司应在上述三个方面逐步实施。

1.2网络设备级安全

网络设备自身安全包括设备本身对病毒和蠕虫的防御以及网络协议本身的防范措施。有以下是本项目所涉及的网络设备和协议环境面临的威胁和相应的解决方案：

1.2.1防蠕虫病毒的等Dos攻击

数据中心虽然没有直接连接Internet，但内部专网中很多计算机并无法保证在整个使用周期内不会接触互联网和各种移动存储介质，仍然会较多的面临大量网络蠕虫病毒的威胁，比如Red Code，SQL Slammer等等，由于它们经常变换特征，防火墙也不能完全对其进行过滤，它们一般发作的机理如下：

•利用Microdsoft OS或应用的缓冲区溢出的漏洞获

得此主机的控制权

•获得此主机的控制权后，安装病毒软件，病毒软件随机生成大量的IP地址，并向这些IP地址发送大

量的IP包。

•有此安全漏洞的MS OS会受到感染，也随机生成大量IP地址，并向这些IP地址发送大量的IP包。

•导致阻塞网络带宽，CPU利用率升高等

•直接对网络设备发出错包，让网络设备CPU占用率升高直至引发协议错误甚至宕机

因此需要在设备一级保证受到攻击时本身的健壮性。此次XXX公司的核心交换机Nexus 7000、智能服务机箱Catalyst 6500均支持硬件化的控制平面流量管制功能，可以自主限制必须由CPU亲自进行处理的信息流速，要求能将包速管制阈值设定在CPU可健康工作的范围内，从根本上解决病毒包对CPU资源占用的问题，同时不影响由数据平面正常的数据交换。特别是Nexus 7000的控制平面保护机制是在板卡一级分布式处理的，具备在大型IDC中对大规

模DDoS的防护能力。

另外所有此类的蠕虫和病毒都会利用伪造源IP地址进行泛滥，局域网核心交换机和广域网骨干路由器都应当支持对转发的包进行源地址检查，只有源地址合法的IP包才会被转发，这种技术称为Unicast Reverse Forwarding（uRPF，单播反转路径转发）。该技术如果通过CPU实现，则在千兆以上的网络中将不具备实用性，而本次XXX公司网络中在万兆一级的三层端口支持通过硬件完成的uRPF功能。

1.2.2防VLAN的脆弱性配置

在数据中心的不同安全域进行防火墙访问控制隔离时，存在多个VLAN，虽然广泛采用端口捆绑、vPC等技术使正常工作中拓扑简化甚至完全避免环路，但由于网络VLAN多且关系复杂，无法在工程上完全杜绝诸如网络故障切换、误操作造成的临时环路，因此有必要运行生成树协议作为二层网络中增加稳定性的措施。

但是，当前有许多软件都具有STP 功能，恶意用户在它的PC上安装STP软件与一个Switch相连，引起STP重新计算，它有可能成为STP Root, 因此所有流量都会流向恶意软件主机, 恶意用户可做包分析。局域网交换机应具有Root guard（根桥监控）功能，可以有效防止其它Switch成为STP Root。本项目我们在所有允许二层生成树协议的设备上，特别是接入层中都将启动Root Guard特性，另外Nexus5000/2000还支持BPDU filters, Bridge Assurance等生成树特性以保证生成树的安全和稳定。

还有一些恶意用户编制特定的STP软件向各个Vlan加入，会引起大量的STP的重新计算，引起网络抖动，CPU 占用升高。本期所有接入层交换机的所有端口都将设置BPDU Guard功能，一旦从某端口接收到恶意用户发来的STP BPDU,则禁止此端口。

（三）防止ARP表的攻击的有效手段