數據中心防火墻防護部署

叢 海

內蒙古自治區新聞出版廣播影視科研所 內蒙古 呼和浩特市 010050

1 數據中心邊界防護

數據中心（Internet Data Center，IDC），是基于互聯網中的內部網絡提供的全套設施與運維支撐服務體系。它可以實現數據的集中式收集、存儲、處理和發送。通常由大型網絡服務器提供商建設，為企事業單位或個人客戶提供服務器托管、虛擬域名空間等服務。

數據中心的網絡結構通常具有主要針對數據中心內的服務器進行保護，使用的安全功能需要根據服務器類型綜合考慮；數據中心可能部署有多家企業的服務器，更容易成為黑客的攻擊目標；數據中心的核心功能是對外提供網絡服務，保證外網對數據中心服務器的正常訪問極其重要，這不僅要求邊界防護設備擁有強大的處理性能和完善的可靠性機制，還可以在發生網絡攻擊時仍不影響正常的網絡訪問；數據中心流量復雜，如果流量可視度不高，則不能進行有針對性的配置調整等特征。

圖1 數據中心邊界防護部署

如圖1 所示，防火墻作為數據中心的邊界，應實現以下功能：開啟審計功能和流量統計，對IP、用戶、應用對流量狀況進行審計分析和長期統計，審計分析結果協助管理員確立安全策略制定漏洞，長期統計形成類大數據分析結果可協助管理員整理并系統調整現有的安全策略；開啟入侵防御、實時更新反病毒庫，使服務器降低入侵、蠕蟲、木馬等病毒危害比率；IP 地址和網絡應用限制流量可以使服務器穩定運行，避免網絡出口擁塞，影響網絡服務；開啟垃圾郵件過濾功能，保護內部局域網郵件服務器不受垃圾郵件侵擾，也避免其無意中轉發垃圾郵件被反垃圾郵件組織列入黑名單，影響正常郵件的發送；針對性部署DDoS 及其他攻擊防范功能，避免服務器受到互聯網外部主機的攻擊導致癱瘓；開啟文件過濾和數據過濾，避免數據泄露；通過實施雙機熱備部署可以提高系統穩定性和可靠性；部署網管系統（網管系統應細化管理至底層匯聚交換機），記錄各點在網絡中運行的日志信息，從而協助管理員更優的進行配置調整、風險識別和流量檢查；在發生單機故障時可以自動或手動切換至備機上運行業務流量，降低網絡運行停播率，保證服務器業務持續不間斷的運行。

2 攝像頭接入安全防護

數據中心機房通常都是無人值守，通過接入攝像頭來對設備運行狀態的實時監測必不可少。根據攝像頭接入數量、安全防護要求等的不同，防火墻也可以在接入、匯聚、核心區域靈活部署。

針對攝像頭易被仿冒、易被利用的特點，數據中心防火墻可以通過設備指紋認證、流量指紋過濾、協議漏洞檢測等手段，層層阻斷非法入侵，達到攝像頭安全接入的目的。

2.1 設備指紋認證

設備指紋是指可以用于區分不同攝像頭的固有信息，包括：MAC、IP、廠商、序列號、固件版本號等信息。防火墻可以通過IP、MAC 信息對設備進行認證過濾：將授權IP 加入安全策略列表，非授權IP 流量不允許通過；將授權MAC 加入安全策略列表，非授權MAC 流量不允許通過；對IP、MAC 進行綁定，IP、MAC 關系綁定錯誤的流量不允許通過。對于攝像頭通過三層設備接入到防火墻的情況，防火墻可以和三層網絡設備聯動獲取IP、MAC 綁定信息，如圖2 所示。

圖2 三層安全防護示意圖

2.2 流量指紋過濾及協議漏洞檢測

網絡黑客可以通過修改設備的固有信息欺騙防火墻，從而達到繞過防火墻指紋認證的目的，同樣，網絡黑客可以控制攝像頭，利用攝像頭漏洞進行網絡入侵。由于惡意流量是通過正常的視頻流量進行承載，因此無法通過指紋認證或流量過濾進行攔截。為此防火墻應提供流量指紋過濾功能及入侵檢測功能。

防火墻對經過的每條流量進行深度協議解析和特征匹配，確認流量的協議、廠商信息等，同時和策略中配置的協議/廠商信息進行匹配，只對授權流量進行放行。如確認為惡意流量，根據策略配置對流量進行阻斷或告警。

流量識別及入侵檢測均基于特征庫，特征庫應及時在線更新或本地更新，從而及時響應攝像頭流量的特征變更。特征庫提供自定義功能，可以在特殊情況下靈活配置達到阻斷特性流量的功能。

3 VPN遠程接入與移動辦公防護

現代企業為了在全球范圍內開展業務，通常都在公司總部之外設立了分支機構，或者與外地機構進行業務合作。分支機構、合作伙伴、出差員工都需要遠程接入企業總部網絡開展業務，目前通過VPN 技術可以實現安全、低成本的遠程接入和移動辦公。遠程接入和移動辦公通常都具有分支機構且都需要無縫接入總部網絡，并且持續不間斷地開展業務；合作伙伴需要根據業務開展的情況，靈活進行授權，限制合作伙伴可以訪問的網絡范圍、可以傳輸的數據類型；出差員工的地理接入位置不固定，使用的IP 地址不固定，接入時間不固定，需要靈活地隨時接入。而且出差員工所處位置往往不受企業其他信息安全措施的保護，所以需要對出差員工進行嚴格的接入認證，并且對出差員工可以訪問的資源和權限進行精確內部局域網控制；所有遠程接入的通信過程都需要進行加密保護，防止竊聽、篡改、偽造、重放等行為，同時還需要從應用和內容層面防止機密數據的泄露等特征。見圖3VPN 遠程接入與移動辦公典型部署方案。

圖3 VPN 遠程接入與移動辦公典型部署方案

3.1 MPLS VPN 解決方案

MPLS VPN 無縫地集成了IP路由技術的靈活性和ATM 標簽交換技術的簡捷性。數據中心防火墻路由網關應支持MPLS VPN 功能，既可以做骨干網的邊緣路由器設備，也可以做核心層設備。包括支持VRF 的路由表多實例，支持L2TP 方式接入VPN， 支 持IPSEC 方 式 接 入VPN，包括跨域支持靈活的VPN組網，基于標準協議，能全面與其他主流廠家互通，支持CE-PE 間靜態路由或動態路由協議。如圖4。

圖4 MPLS VPN 解決方案

4 IPv4向IPv6網絡協議過渡

2003 年1 月22 日，國 際 互聯網工程任務組（The Internet Engineering Task Force， 簡 稱IETF） 發 布 了IPv6 測 試 性 網絡，隨著多年發展，IPv6 已經被很多通信網絡和終端設備廠商支持，取得了長足的進步。但是我國許多數據中心現存的網絡中還存在大量的IPv4 網絡，隨著IPv6 的部署，很長一段時間是IPv4 與IPv6 共存的過渡階段，防火墻系列業務路由網關應支持多種IPv4 向IPv6 網絡過渡解決方案，主要包括雙棧技術、隧道技術以及IPv4/IPv6 協議轉換技術。如圖5。

4.1 雙棧技術

雙棧技術是IPv6 過渡技術的基礎，靈活啟用和關閉IPv4/IPv6 功能，對IPv4 和IPv6 提供了完全的兼容，但這種方式需要雙路由基礎設施，即所有節點都支持雙棧技術，防火墻路由網關使用IPv4 協議棧在與IPv4節點通訊時，可以使用IPv6 協議棧與IPv6 節點通訊時，因此增強了改造和部署難度，網絡復雜程度也更高。

圖5 IPv4 向IPv6 網絡過渡

4.2 隧道技術

隧道技術（Tunneling）是一種通過使用互聯網絡的基礎設施在網絡之間建立一條虛擬鏈路以傳遞數據的方式。使用隧道傳遞的數據可以運用不同協議的PDU，隧道將其他協議的PDU 重新封裝之后由網絡發送，將新路由信息賦予PDU，以便通過互聯網傳遞封裝好的數據。由于PDU 經過重新封裝，使得數據的發送方和接收方就像在一條專有“隧道”中進行數據傳輸和通信。

4.3 IPv4/IPv6協議轉換技術

IPv4/IPv6 協議轉換技術即提供IPv4 網絡與IPv6 網絡之間的互訪技術。防火墻業務路由網關要求支持NAT-PT （Network Address Translation- Protocol Translation）技術支持，NAT-PT技術負責在IPv4 報文與IPv6 報文之間進行翻譯轉換，從而達到只支持IPv6 協議的主機與只支持IPv4 協議的主機能進行互聯互通的目的。

截至2019 年5 月，我國IPv6地址資源總量達到47282 塊，居全球第一位。目前，我國處于IPv6 改造升級的關鍵時期，無論數據中心現在用的是什么網絡，都不可能繞過IPv6 的使用。另外，進一步完善數據中心在IPv6 環境下的安全防護機制建設，特別是有效防御針對IPv6 的新型網絡攻擊策略部署刻不容緩。