基于NGFW的數據中心安全架構方案探討

夏凌云

(中國石油大學（華東） 網絡及教育技術中心 ,山東 青島 266580)

基于NGFW的數據中心安全架構方案探討

夏凌云

(中國石油大學（華東） 網絡及教育技術中心 ,山東 青島 266580)

通過對傳統防火墻和下一代防火墻的功能分析，闡述了下一代防火墻的優勢所在，并以實際部署為例，介紹了集成式板載下一代防火墻的冗余式部署方案并驗證。

防火墻;NGFW;數據中心

1 前言

隨著IT技術的發展和“互聯網+”戰略的實施，保護信息系統和數據安全的需要也飛速增長，數據中心的安全建設需求愈發重要。而防火墻作為數據中心防護架構的關鍵防線，如何在數據中心內部穩定并高效的部署防火墻，成為當今數據中心安全建設的一個重要課題。一般來說，數據中心防火墻部署于數據中心的網絡邊界上，位于數據中心內部的服務器區域和外部訪問用戶區域之間，傳統的網絡層防火墻運行在TCP/IP協議棧上，通過對訪問流量的TCP/IP報文進行預訂策略的識別、過濾和轉發來控制外部用戶對數據中心內部服務器的訪問權限，保護數據中心內部服務器免于非法用戶的訪問和入侵[1]。

2 NGFW介紹

隨著網絡技術的發展和防護需求的提升，傳統的網絡層防火墻由于工作在ISO網絡七層架構的網絡層，對數據包和流量的分析是基于網絡層五元組（源/目的IP，源/目的端口和協議）的，由此也暴露出一些新問題：1）基于端口的識別方式對具體應用沒有識別能力，導致非法應用可能借用知名端口穿過防火墻；2）基于IP的識別方式對DDoS、源地址仿冒攻擊和對象IP地址不固定的移動端信息服務防范能力不足；3）對于應用層服務的檢測、過濾和管理能力欠缺。

因此，業內各個廠家近年來都推出了下一代防火墻（Next Generation Fire Wall，NGFW）來代替傳統防火墻，除了提供傳統防火墻的防護方式外，同時提供以區分用戶、應用和資源內容為防護手段和目標的新一代數據中心防護模式。

3 NGFW實施方案

在實際實施方案中，我們選用了華為公司的S12708三層交換機作為數據中心的網絡核心和骨干[2]，各個機柜的服務器通過二層VLAN連接到該數據中心交換機[3]。采用兩塊ET1D2FW00S00 NGFW下一代防火墻集成板卡作為安全防護核心。系統結構如圖1所示：

該方案主要說明如下：1）兩塊S12708集成的NGFW Module做主備式部署，其GE0/0/1配置為心跳接口，當A板卡出問題后，防護系統自動切換到B板卡，消除單點故障；2）兩塊NGFW Module通過背板帶寬，以一進一出兩個虛擬20G接口的方式與S12708三層交換機做邏輯連接；3）兩塊NGFW Module上行鏈路做捆綁后與S12708數據中心交換機外網部分做路由互指，NGFW Module的默認路由指向S12708，S12708根據防火墻上實際部署的服務器網段做靜態路由；4）兩塊防火墻的內向接口配置為內部服務器的網關，并且做VRRP以確保冗余切換，在內向接口上使用子接口區分不同VLAN。

4 具體關鍵配置

在對S12708進行完基礎配置，使其聯入互聯網后，防火墻功能部分主要配置實施如下：1）將兩塊NGFW Module的GE0/0/1用網線直接連接，并配置其心跳線功能：

2）以新增VLAN51（VRRP=10.10.179.30）為例配置內網接口為服務器區域網關：

3）配置兩塊NGFW Module和S12708之間的接口地址和互指路由后，內外網即可以互通。

配置完成后進行測試，將VLAN51下的服務器IP地址設置為10.10.179.0/27內地之后，可以ping通網關并正常上網。通過192.168.1.195和192.168.1.196可以進入防火墻板卡的配置接口或Web管理界面，以配置更詳細的防火墻策略，實現對服務器的全面防護。

5 總結

較之獨立防火墻設備的部署方式，集成式的防火墻板卡優化了與數據中心交換機的連接方式，節約了設備端口的同時，還提供了很大的雙向連接帶寬。同時充分利用了S12708上設備端口，減少了防火墻所需的設備下聯端口。基于以上過程搭建的數據中心安全架構，具有很好的安全冗余性，并且除了提供了傳統防火墻所具備的防功能外，還可以為數據中心提供反病毒、入侵防護、URL過濾、內容過濾、文件過濾、郵件過濾、應用行為控制等企業級應用層功能，經過多方面測試，具有較好的實際使用效果。

[1]陳麟,李煥洲,胡勇,戴宗坤.防火墻系統高可用性研究[J].四川大學學報(工程科學版),2005,31(01)：126-129.

[2]HUAWEI USG6000系列&NGFW Module V100R001典型配置案例 [J]. 2015(07)：30.

[3]S12700系列敏捷交換機典型配置舉例[J].2016(03)：16.

作者介紹：夏凌云（1980-）,男,四川瀘州人,碩士研究生,工程師,主要研究方向：互聯網技術、計算機軟硬件技術和物聯網技術。

10.16640/j.cnki.37-1222/t.2016.22.112