1、(一)网络2、网络技术方案2.1 建设背景随着社会的发展和科技的进步,金融行业越来越依赖于数据处理来进行业务运营,对IT系统的依赖性也随之增加。然而,灾难就像灰尘一样伏击在企业周围,您的业务可能正在一个充满风险和威胁的世界里运行:无法预知的IT 硬件设备的损坏、断电、火灾、自然灾害、恐怖袭击等,造成数据丢失或业务的突然中断;系统人员误操作造成意外宕机或关键数据丢失,无法避免;手段频多的黑客攻击、病毒入侵、垃圾邮件、网络与系统的漏洞,造成网络瘫痪、系统崩溃。如果不能对风险采取有效治理,一旦数据由于上述某种原因丢失,就有可能造成整个银行在运营上的重大不便和经济损失,银行的信誉也将受到影响。如果核心
2、数据丢失,严重时完全有可能造成整个银行的瘫痪。由此可见,保证银行的业务连续运营及数据处理的高可靠性和高可用性,已经成为所有IT人员在建设IT基础架构中首先要考虑的问题。与此同时,我们需要考虑建立和加强银行的业务恢复能力,缩短业务恢复的时间,以便在发生系统灾难后能够从容应对风险。故此,银行对IT系统提出了以下要求:1)网络系统的高可用性,保证数据7X24 小时的连续访问; 2)将现有的网络技术集成,建设高效、可靠、可自恢复并且安全的骨干网络,为未来发展奠定良好的基础。 3)需要能够支撑对银行现有的数据以及各种应用系统进行集中化、自动化的基于策略的保护; 4)需要一套成熟度高,业内应用广泛的网络整
3、体解决方案,一旦发生灾难(洪水、地震、火灾等),或者人为灾难(用户失误、磁盘失效等)导致数据丢失或者业务中断时,能够快速、及时地恢复数据,保证业务的连续运行。为进一步推进某银行信息化建设,以信息化推动某银行业务工作的改革与发展,需要在抚顺本地建设某银行的同城灾备中心,建设新一代绿色高效能数据中心网络。同时主中心需进行适当的扩容以配合此次同城灾备的实施。此次建设的重点是数据中心,数据中心(英文拼写 Data Center,简写DC)是数据大集中而形成的集成 IT 应用环境,它是各种 IT 应用服务的提供中心,是数据计算、网络、存储的中心。数据中心实现了安全策略的统一部署,IT 基础设施、业务应用
4、和数据的统一运维管理。数据中心是当前各行业的 IT 建设重点。运营商、电力、能源、金融证券、大型企业、政府、交通、教育、制造业、网站和电子商务公司等正在进行或已完成数据中心建设,通过数据中心的建设,实现对 IT 信息系统的整合和集中管理,提升内部的运营和管理效率以及对外的服务水平,同时降低 IT 建设的TCO。数据中心的发展可分为四个层面: 数据中心基础网络整合:根据业务需求,基于开放标准的 IP 协议,完成对企业现有异构业务系统、网络资源和 IT 资源的整合,解决如何建设数据中心的问题。 数据中心应用智能:基于 TCP/IP 的开放架构,保证各种新业务和应用在数据中心的基础体系架构上平滑部署
5、和升级,满足用户的多变需求,保证数据中心的持续服务和业务连续性。各种应用的安全、优化与集成可以无缝的部署在数据中心之上。 数据中心虚拟化:传统的应用孤岛式的数据中心模型扩展性差,核心资源的分配与业务应用发展出现不匹配,使得资源利用不均匀,导致运行成本提高、现有投资无法达到最优化的利用、新业务部署难度增大、现有业务持续性得不到保证、安全面临威胁。虚拟化通过构建共享的资源池,实现对网络资源、计算计算和存储资源的几种管理、规划和控制,简化管理维护、提高设备资源利用率、优化业务流程部署、降低维护成本。 数据中心资源智能:通过智能化管理平台实现对资源的智能化管理,资源智能分配调度,构建高度智能、自动化数
6、据中心。2.2 方案规划与设计2.2.1 网络建设目标某银行主中心数据与备份中心数据中心未来将承载所有生产环境系统。数据中心网络作为业务网络的一个重要组成部分,为核心业务系统服务器和存储设备提供安全可靠的接入平台。网络建设应达成以下目标:高可用网络作为数据中心的基础设施,网络的高可用直接影响到业务系统的可用性。网络层的高可用至少包括高可靠、高安全和先进性三个方面: 高可靠:应采用高可靠的产品和技术,充分考虑系统的应变能力、容错能力和纠错能力,确保整个网络基础设施运行稳定、可靠。当今,关键业务应用的可用性与性能要求比任何时候都更为重要。 高安全:网络基础设计的安全性,涉及到银行业务的核心数据安全
7、。应按照端到端访问安全、网络 L2-L7 层安全两个维度对安全体系进行设计规划,从局部安全、全局安全到智能安全,将安全理念渗透到整个数据中心网络中。 先进性:数据中心将长期支撑某银行的业务发展,而网络又是数据中心的基础支撑平台,因此数据中心网络的建设需要考虑后续的机会成本,采用主流的、先进的技术和产品(如数据中心级设备、虚拟化支持等),保证基础支撑平台 510 年内不会被淘汰,从而实现投资的保护。易扩展某银行的业务目前已向多元化发展,未来的业务范围会更多更广,业务系统频繁调整与扩展再所难免,因此数据中心网络平台必须能够适应业务系统的频繁调整,同时在性能上应至少能够满足未来 510 年的业务发展
8、。对于网络设备的选择和协议的部署,应遵循业界标准,保证良好的互通性和互操作性,支持业务的快速部署。易管理数据中心是 IT 技术最为密集的地方,数据中心的设备繁多,各种协议和应用部署越来越复杂,对运维人员的要求也越来越高,单独依赖运维人员个人的技术能力和业务能力是无法保证业务运行的持续性的。因此数据中心需要提供完善的运维管理平台,对数据中心 IT 资源进行全局掌控,减少日常的运维的人为故障。同时一旦出现故障,能够借助工具直观、快速定位。网络分层网络分层设计是将网络设备分为核心层、接入层,通过分层部署可以使网络具有很好的扩展性(无需干扰其它区域就能根据需要增加容量),可以提升网络的可用性(隔离故障
9、域降低故障对网络的影响),可以简化网络的管理(拓扑结构结构更清晰)。对于某银行数据中心而言,各功能区域的网络核心层都划归到数据中心核心区域,也就是说各功能区域包括汇聚层网络设备和接入层网络设备(对于各服务器区,汇聚设备和接入设备合二为一),由此而构成了一种核心边缘网络结构,以核心区为中心,其他作为边缘处理。这样设计的优点:首先,各功能区域的业务系统都需要和其它区域的业务系统进行交互,因此需要在网络中设计一个知道其它区域路由的区域,这就是数据中心核心区。同时由于在各个区域中已经部署了安全管理的功能,因此为了保证更好的网络性能,将不需要在核心区上面再部署额外的安全功能,只需要部署高性能的交换机即可
10、。其次,这种设计将使某银行数据中心获得更好的伸缩性能,例如,未来根据业务发展的需要,可以非常容易的增加新的功能区域,而不需要对整个Server Farm 的网络架构进行大的修改。具备更好的可管理性, 因为每个区域的安全功能和详细的路由可以根据每个区域的功能进行定义,因此针对每个区域可以预测一些特别路由路线和将来的需求,同时也可以在不影响其他应用或者整个区域的情况下进行数据中心网络的优化。2.2.2 总体设计思路及原则数据中心为某银行业务网络、日常办公与外联单位提供数据访问、OA 和视频等服务,以及各业务的安全隔离控制。数据中心并不是孤立存在的,而是与某银行数据中心、网络汇聚中心外联单位网络等网
11、络区域相辅相成,数据中心基础网络是业务数据的传输通道,将数据的计算和数据存储有机的结合在一起。为保证数据中心网络的高可用、易扩展、易管理,数据中心网络架构需按照结构化、模块化和扁平化的原则设计:结构化结构化的网络设计便于上层协议的部署和网络的管理,提高网络的收敛速度,实现高可靠。数据中心网络结构化设计体现在适当的冗余性和网络的对称性两个方面。如下图所示:冗余的引入可以消除设备和链路的单点故障,但是过度的冗余同样会使网络过于复杂,不便于运行和维护,因此一般采用双节点双归属的架构设计网络结构的对称,可以使得网络设备的配置简化、拓扑直观,有助于协议设计分析。在数据中心网络设计时,由于引入了冗余和对称
12、的设计,这必将引入网络的环路,可通过如下建设思路消除环路影响:1 启用 STP 和 VRRP 协议传统解决方案,标准的协议,设备要求较低。但此种部署方案网络的协议部署复杂,收敛慢,链路带宽利用率低,运维管理工作量大。本方案设计不采用此方法。2 IRF 网络设备 N:1 虚拟化技术通过 H3C IRF 技术对同一层面的设备进行横向整合,将两台或多台设备虚拟为一台设务,统一转发、统一管理,并实现跨设备的链路捆绑。因此不会引入环路,无需部署 STP 和 VRRP 等协议,简化网络协议的部署,大大缩短设备和链路收敛时间(毫秒级) ,链路负载分担方式工作,利用率大大提升。在本方案的设计中,将采用端到端的
13、 IRF 部署,满足网络高可靠的同时,简化网络运维管理。 模块化构建数据中心基础网络时,应采用模块化的设计方法,将数据中心划分为不同的功能区域,用于实现不同的功能或部署不同的应用,使得整个数据中心的架构具备可伸缩性、灵活性、和高可用性。数据中心中的服务器将会根据服务器上的应用的用户访问特性和应用的功能不同部署在不同的区域中。如下图所示:数据中心网络分为网络接入区、数据中心核心交换区和服务器接入区三大功能区域,其中网络接入区和服务器接入区依据服务类型的不同,可进行子区的细分,详细参见“业务分区”章节的描述。数据中心核心区用于承接各区域之间的数据交换,是整个数据中心的核心枢纽,因此核心交换机设备应
14、选用可靠性高的数据中心级设备部署。在进行模块化设计时,尽量做到各模块之间松耦合,这样可以很好的保证数据中心的业务扩展性,扩展新的业务系统或模块时不需要对核心或其它模块进行改动。同时模块化设计也可以很好的分散风险,在某一模块(除核心区外)出现故障时不会影响到其它模块,将数据中心的故障影响降到最小。 扁平化数据中心的网络架构依据接入密度和分为三层架构和二层架构,如下图所示:传统的数据中心网络通常采用三层架构进行组网,三层架构可以保证网络具备很好的扩展性,同一个分区内服务器接入密度高。但三层架构网络设备较多,不便于网络管理,运维工作量大。同时组网成本相对较高。随着网络交换技术的不断发展,交换机的端口
15、接入密度也越来越高,二层组网的扩展性和密度已经能够很好的满足企业数据中心服务器接入的要求。同时在服务器虚拟化技术应用越来越广泛的趋势下,二层架构更容易实现 VLAN 的大二层互通,满足虚拟机的部署和迁移。相比三层架构,二层架构可以大大简化网络的运维与管理。综合上述因素,数据中心的网络设计采用二层扁平化架构,满足扩展性的同时,实现易管理。2.3 业务分区按照“模块化”设计原则,需要对业务系统进行分区。分区的优点:首先,允许在设计中明确不同网络区域之间的安全关系,允许设计者可以对每一个区域进行安全的评估和实施,不必要考虑对其他区域的影响。这样保障了网络的高扩展性、可管理性和弹性的网络架构。其次,采
16、用模块化分区设计方法可以在数据中心中清晰区分不同的功能区域,根据每个区域业务系统的差异而采用不同的网络拓扑。对于区域而言,从该区域的功能定义即可预知未来这个区域对可扩展性、安全性等的要求,例如,核心业务系统服务器区需要更高的可用性和安全控制能力,而类似开发和测试功能区域将会需要更大的灵活性来适应比较频繁的变化。通过上述分析也可看出,如果将核心业务服务器区、业务系统服务器区整合到一个区域中,虽然可以降低建设投入资金,但带来的问题是区域安全边界不明确、 数据路径复杂,可管理性和可扩展性较差。从技术看,业务分区需要遵循以下原则: 分区优先考虑访问控制的安全性,单个应用访问尽量在一个区域内部完成,单个
17、区域故障仅影响一类应用,尽量减少区域间的业务耦合度; 区域总数量的限制:但区域多则运维管理的复杂度和设备投资增加,区域总数量上限不超过 20 个; 单个区域内服务器数量的限制:受机房空间、二层域大小、接入设备容量限制,单个区域内服务器数量有限(通常不超过 200 台) 。 接入层设备利用率的限制:受机房布局的影响,如果每个机房都要部署多个安全区的接入交换机,会导致接入交换机资源浪费,端口利用率低,因此安全区的数量不宜过多。 防火墙性能的限制: 区域之间的流量如果超过 10G,则需要考虑通过防火墙横向扩容,或区域调整的方式分担流量。在实际的数据中心分区设计中,通常有以下三种分区方法:1. 按照业
18、务功能进行分区:根据业务系统的功能(如生产、OA、支撑等)或业务的实时性(实时业务、非实时业务)或者业务系统的功能(如ERP、营销、财务等)进行分区划分,此分区方法适合大多数企业数据中心;2. 按照服务器类型进行分区:一般分为 WEB 服务器区、APP/中间件服务器区、DB 服务器区。此分区适合互联网企业等数据中心。按照需求调研时了解的某银行业务系统分布情况,结合业务系统的用户类型,数据中心的分区设计按照业务功能进行分区。分区设计如下:各区域业务系统部署描述如下:服务输出层中的分区有:核心服务器区、前置服务器区、基础服务区、运维监控区、办公服务器区、测试服务器区、外联区七个子区域。核心路由层,
19、即核心骨干区:由 H3C SR6608 骨干路由器、H3C 10500 核心交换机、RG8600 交换机采用主备和 OSPF FULLMESH 方式组成,作为本网络的核心。服务请求层中的分区有:分行接入区、支行接入区、电子银行接入区、离行接入区、办公接入区、离行办公、外联接入区七个子区域。2.4 网络设计在抚顺商业银行数据中心网络架构设计中,为了实现一个可管理的、高可用性的、高性能网络,我们将采用层次化的方法,将网络分为核心层、分布层和接入层三个层次进行设计。这种层次结构划分方法也是目前国内外网络建设中普遍采用的网络拓扑结构。在这种结构下,三个层次的网络设备各司其职又相互协同工作,从而有效保证
20、了整个网络的高可靠性、高性能、高安全性和灵活的扩展性。数据中心标准的拓扑结构其每一层的网络设备功能描述如下: 核心层:提供高速的三层交换骨干 核 心 层 不 进 行 终 端 系 统 的 连 接 ; 核 心 层 少 用 或 不 实 施 影 响 高 速 交 换 性 能 的 ACL 等 功 能 。 汇聚层:作为接入层和核心层的分界层,分布层完成以下的功能: 本 功 能 区 VLAN 间 的 路 由 ; IP 地 址 或 路 由 区 域 的 汇 聚 ; 接入层:提供 Layer2 或 Layer3 的网络接入,通过 VLAN 定义实现接入的隔离。网络接入层具有以下特点: 接 入 层 接 入 端 口 规
21、 划 容 量 根 据 实 际 使 用 情 况 具 有 一 定 的 扩展 性 ;上述每一个层次结构内部需要采用冗余的架构来保障该层功能的稳定可靠。 核心层:是企业数据交换网络的骨干,本层的设计目的是实现快速的数据交换,并且提供高可靠性和快速的路由收敛。 汇聚层:主要汇聚来自接入层的流量和执行策略,当第三层协议被用于这一层时可以获得路由负载均衡,快速收敛和可扩展性等好处。分布层还是网络智能服务的实施点,包括安全控制、应用优化等智能功能都在此实施。 接入层:负责提供服务器、用户终端、存储设施等等的网络第一级接入功能,另外网络智能服务的初始分类,比如安全标识、QoS 分类将也是这一层的基本功能。采用层
22、次化结构有如下好处: 节约成本:数据中心网络意味着巨大的业务投资,正确设计的数据中心网络可以提高业务效率和降低运营成本。 便于扩展:一个模块化的或者层次化的网络由很多更加便于复制、改造和扩展的模块所构成,在添加或者移除一个模块时,并不需要重新设计整个网络。每个模块可以在不影响其他模块或者网络核心的情况下投入使用或者停止使用。 加强故障隔离能力:通过将网络分为多个可管理的小型组件,企业可以大幅度简化故障定位和排障处理时效。1.1.1. 功能区域模块化 第二个设计思想是在充分考虑物理和逻辑结构的基础上从应用的角度出发对东北特钢整体企业网络进行模块化结构设计。系统的模块化是组成企业网络的基石。模块化
23、特出的优势是可以提供隔离。故障点可以隔离在其他网络模块之外,提供简单的故障排错和整个网络的高可用型。网络的变化、升级或增加新服务,可以有效控制范围,提供企业网络的更灵活的维护和操作。当某个模块容量不够或不满足新的功能服务需求,可以通过同样结构的其他分层设计的模块替代。在本次抚顺商业银行数据中心网络的模块化设计中,将依据银行业数据中心总体规划中的网络模块设计标准进行设计。根据多年的银行业网络规划设计经验总结的一个银行业数据中心网络设计的一个事实标准,银行业网络架构设计的最佳实践,具有很强的指导意义。银行网络总体模块化标准架构1.1.2. 技术实现标准化网络系统在结构上实现真正开放,符合有关国际标
24、准,使网络具有良好的开放性和兼容性。开放的系统可以使用户自由地选择不同厂家的计算机、网络设备及操作系统,构成真正的跨软硬件平台的系统。网络的设计基于国际标准,网络设备采用标准的接口和规范的协议,满足用户的不同需求并充分利用软硬件资源,有效地保护用户投资的长期效益。1.2.总体网络结构设计宗旨本方案将采用将两个数据中心对应的区域通过光纤直接连接起来,在两个中心的各个业务区域之间形成高带宽的通道,确保数据得以进行高速传输,保障数据进行实时同步。同时通过三套骨干设备(核心交换机、骨干路由器、二层打通核心交换机)构建三个环路,充分保障网络的冗余度和稳定性。对于网点来说,保证到各个数据中心至少有两条链路
25、可达。从网络角度来看,两中心间通过裸光纤连接起来,构成一个拉伸的局域网。两中心间网络设备组成高可用集群。网络示意图如下:数据库数据库数据库数据库裸 光 纤外 联 机 构 及 分支 行 广 域 网 络SAN扩展连接数据中心双活,各外联机构及分支行无需感知业务支撑来自哪个数据中心,两个数据中心可看做一个私有云双数据中心之间通过“二层打通交换机”互相连接,交换机使用 VSU 虚拟化技术虚拟为一台设备,从而实现跨设备的链路聚合,以此提高灾备链路的高可用性服务器群 服务器群VSUL 3 连 接运营商裸光纤VSU主 数 据 中 心 灾 备 数 据 中 心二 层 打 通 交 换 机 使 用V S U 虚 拟
26、 化 技 术 虚 拟 成一 台 交 换 机 , 从 而 实 现跨 设 备 的 链 路 捆 绑1.3.核心层网络设计服务输出层中的七个分区连接至核心交换上,两个数据中心通过“二层打通交换机”互联,七个分区通过此设备二层连接到另一个数据中心。二层互联交换机将采用锐捷的RG8600 系列核心交换机,以保证整体网络的二层转发能力,确保主备数据中心之间的二层数据链路的畅通,同时在核心交换机、二层打通交换机、骨干路由器上通过 OSPF 动态路由协议构建三个环路,以保障数据中心之间的冗余度以及链路的负载分担。核心交换使用 H3C 的专有虚拟化技术 IRF 的核心交换机 H3C 10500,将每个数据中心的两
27、台核心设备虚拟为一台,这样各分区的汇聚交换可以使用链路聚合的方式连接到核心交换上,两个数据中心通过双运营商的线路,采用 OSPF 动态路由协议的方式进行互联,用以保证链路贷款以及业务的高可用性和连续性。二层打通交换机使用锐捷虚拟化技术将两台设备虚拟成一台设备,并分别使用两个运营商的裸光纤线路进行互联。其中每个运营商采用两条链路进行互联,使用共计室条链路进行跨设备链路聚合,这样使数据中心间的二层带宽达到 40G,保证了数据中心之间二层链路的高速无阻塞转发。灾备数据中心主数据中心二 层 打 通核 心 交 换核 心 服 务Si Si服 务器 群基 础 服 务服 务器 群办 公 服 务服 务器 群运
28、维 监 控服 务器 群内 部 前 置服 务器 群SiSi 核 心 交 换核 心 服 务Si Si服 务器 群基 础 服 务服 务器 群办 公 服 务服 务器 群运 维 监 控服 务器 群SiSi外 部 前 置服 务器 群内 部 前 置服 务器 群测 试 服 务服 务器 群内 部 前 置服 务器 群外 部 前 置服 务器 群内 部 前 置服 务器 群测 试 服 务服 务器 群1.4.边界网络的设计在本次方案中,我们拟将分行、支行和办公网接入网络通过边界防火墙接入核心路由器 SR6608,进而访问服务输出层。边界防火墙通过虚拟化技术将防火墙虚拟成多个供使用。通过安全策略的限制,控制各个分区以及边界
29、网络各个设备之间的访问。通过此方式来实现各个分区之间的安全访问,具体细节在安全设计里面会有详细的描述。外联机构部分:银联、人民行、银监局、清算中心、其他代收费、电话银行、网银等通过外联防火墙接入核心路由,从而访问服务输出层。在两个机房的各两个 SR6608 和各个外联路由器上,将采用 OSPF 动态路由协议构建一张环形网络,保证到外联机构能有两条可用的数据通道(在有双线路的业务上) 。同时通过 OSPF 动态路由协议实现两个机房之间的外联业务数据的负载分担和链路备份,保障外联区域的高可用性以及业务的连续性需求。外联防火墙边界防火墙核心交换核心路由Si Si各 支行各 分行办 公接 入代 收费金
30、 融外 联网 银2 网络安全设计2.1 网络安全部署思路某银行本次信息建设虽然包括主数据中心改造,同城灾备中心新建的改造和建设,但也必须从全局和架构的高度进行统一的设计。建议采用目前国际最新的“信息保障技术框架(IATF)”安全体系结构,其明确提出需要考虑 3 个主要的因素:人、操作和技术。本技术方案着重讨论技术因素,人和操作则需要在非技术领域(比如安全规章制度)方面进行解决。技术因素方面 IATF 提出了一个通用的框架,将信息系统的信息保障技术层面分为了四个技术框架域: 网络和基础设施:网络和基础设施的防护 飞地边界:解决边界保护问题 局域计算环境:主机的计算环境的保护 支撑性基础设施:安全
31、的信息环境所需要的支撑平台并提出纵深防御的 IA 原则,即人、技术、操作相结合的多样性、多层叠的保护原则。如下图所示:主要的一些安全技术和应用在框架中的位置如下图所示:我们在本次网络建设改造中需要考虑的安全问题就是上图中的“网络和基础设施保护”、“边界保护”两个方面,而“计算机环境(主机)”、“支撑平台”则是在系统主机建设和业务应用建设中需要重点考虑的安全问题。2.2 网络平台建设所必须考虑的安全问题高速发达的网络平台衍生现代的网络病毒、蠕虫、DDoS 攻击和黑客入侵等等攻击手段,如果我们的防护手段依然停留在对计算环境和信息资产的保护,将处于被动。需要从网络底层平台的建设开始,将安全防护的特性
32、内置于其中。因此在 SODC 架构中,安全是一个智能网络应当对上层业务提供的基本服务之一。某银行网络从平台安全角度的安全设计分为以下三个层次:设备级的安全:需要保证设备本身的安全,因为设备本身也越来越可能成为攻击的最终目标;网络级的安全:网络作为信息传输的平台,有第一时间保护信息资源的能力和机会,包括进行用户接入认证、授权和审计以防止非法的接入,进行传输加密以防止信息的泄漏和窥测,进行安全划分和隔离以防止为授权的访问等等;系统级的主动安全:智能的防御网络必须能够实现所谓“先知先觉” ,在潜在威胁演变为安全攻击之前加以措施,包括通过准入控制来使“健康”的机器才能接入网络,通过事前探测即时分流来防
33、止大规模 DDoS 攻击,进行全局的安全管理等。某银行应在上述三个方面逐步实施。2.3 网络设备级安全网络设备自身安全包括设备本身对病毒和蠕虫的防御以及网络协议本身的防范措施。有以下是本项目所涉及的网络设备和协议环境面临的威胁和相应的解决方案:2.5.3.1 防蠕虫病毒的等 Dos 攻击数据中心虽然没有直接连接 Internet,但内部专网中很多计算机并无法保证在整个使用周期内不会接触互联网和各种移动存储介质,仍然会较多的面临大量网络蠕虫病毒的威胁,比如 Red Code,SQL Slammer 等等,由于它们经常变换特征,防火墙也不能完全对其进行过滤,它们一般发作的机理如下: 利用 Micr
34、odsoft OS 或应用的缓冲区溢出的漏洞获得此主机的控制权 获得此主机的控制权后,安装病毒软件,病毒软件随机生成大量的IP 地址,并向这些 IP 地址发送大量的 IP 包。 有此安全漏洞的 MS OS 会受到感染,也随机生成大量 IP 地址,并向这些 IP 地址发送大量的 IP 包。 导致阻塞网络带宽,CPU 利用率升高等 直接对网络设备发出错包,让网络设备 CPU 占用率升高直至引发协议错误甚至宕机因此需要在设备一级保证受到攻击时本身的健壮性。此次某银行的核心交换机 H3C S10500 支持控制平面的多级保护及安全性, S10500 的控制平面策略特性通过配置 QoS 过滤和限速来管理
35、从数据平面(DP)到控制平面(CP)的报文流,保护 S10500 交换机在遭受 DoS 攻击时能识别和保护重要的报文,丢弃非法的报文,保证控制平面在遭受攻击或者大流量的情形下维护正常的转发和协议状态、服务器接入交换机 RG S5750 支持支持集中式 MAC 地址认证、802.1x认证、PORTAL 认证、EAD 快速部署,支持用户帐号、IP、MAC、VLAN、端口等用户标识元素的动态或静态绑定,同时实现用户策略(VLAN、QoS、ACL)的动态下发;配合 H3C 公司的 iMC 系统对在线用户进行实时的管理,及时的诊断和瓦解网络非法行为。RG S5750 系列交换机提供增强的 ACL 控制逻
36、辑,支持超大容量的入方向和出方向 ACL,并且支持基于 VLAN 的 ACL 下发,在简化用户配置过程的同时,避免了 ACL 资源的浪费。另外,S57 系列还将支持单播反向路径查找技术(uRPF) ,原理是当设备的一个接口上收到一个数据包时,会反向查找路径来验证是否存在从该接收接口到包中制定的源地址之间的路由,即验证了其真实性,如果不存在就将数据包删除,这样我们就可以有效杜绝网络中日益泛滥的源地址欺骗。2.5.3.2 防 VLAN 的脆弱性配置在数据中心的不同安全域进行防火墙访问控制隔离时,存在多个 VLAN,虽然广泛采用端口捆绑、vPC 等技术使正常工作中拓扑简化甚至完全避免环路,但由于网络
37、 VLAN 多且关系复杂,无法在工程上完全杜绝诸如网络故障切换、误操作造成的临时环路,因此有必要运行生成树协议作为二层网络中增加稳定性的措施。但是,当前有许多软件都具有 STP 功能,恶意用户在它的 PC 上安装 STP软件与一个 Switch 相连,引起 STP 重新计算,它有可能成为 STP Root, 因此所有流量都会流向恶意软件主机, 恶意用户可做包分析。局域网交换机应具有Root guard(根桥监控)功能,可以有效防止其它 Switch 成为 STP Root。本项目我们在所有允许二层生成树协议的设备上,特别是接入层中都将启动 Root Guard 特性。还有一些恶意用户编制特定的
38、 STP 软件向各个 Vlan 加入,会引起大量的 STP 的重新计算,引起网络抖动,CPU 占用升高。本期所有接入层交换机的所有端口都将设置 BPDU Guard 功能,一旦从某端口接收到恶意用户发来的STP BPDU,则禁止此端口。防止 ARP 表的攻击的有效手段本项目大量使用了三层交换机,在发送数据前其工作方式同路由器一样先查找 ARP,找到目的端的 MAC 地址,再把信息发往目的。很多病毒可以向三层交换机发一个冒充的 ARP,将目的端的 IP 地址和恶意用户主机的 MAC 对应,因此发往目的端的包就会发往恶意用户,以此实现包窃听。在 Host 上配置静态 ARP 是一种防止方式,但是有
39、管理负担加重,维护困难,并当通信双方经常更换时,几乎不能及时更新。本期所使用的所有三层交换机都支持动态 ARP Inspection 功能,可动态识别 DHCP,记忆 MAC 地址和 IP 地址的正确对应关系,有效防止 ARP 的欺骗。实际配置中,主要配置对 Server 和网络设备实施的 ARP 欺骗,也可静态人为设定,由于数量不多,管理也较简单。2.4 网络级安全网络级安全是网络基础设施在提供连通性服务的基础上所增值的安全服务,在网络平台上直接实现这些安全功能比采用独立的物理主机实现具有更为强的灵活性、更好的性能和更方便的管理。在本次数据中心的设计范围内主要是访问控制和隔离(防火墙技术)。
40、从某银行全网看,集团网络、各地机构广域网、互联网、内部楼层、内部数据中心等都是具备明显不同安全要求的网络,按飞地边界部署规则,都需要有防火墙进行隔离。本文档仅讨论数据中心部分内部的防火墙安全控制设计。安全域的划分数据中心安全域的划分需要建立在对数据中心应用业务的分析基础之上,因而与前述的虚拟服务区的划分原则一致。实际上按虚拟化设计原则,每一个虚拟服务区应当对应唯一的虚拟防火墙,也即对应唯一的一个安全域。具体原则如下: 同一业务一定要在一个安全域内 有必要进行安全审计和访问控制的区域必须使用安全域划分 需要进行虚拟机迁移的虚拟主机要在一个安全域中 划分不宜过细,安全等级一致的业务可以在安全域上进
41、行归并,建议一期不超过 5 个安全域一般可以划分为:OA 区,应用服务区,数据库区,开发测试区等。2.5 防火墙部署设计在此次方案中我们设计将防火墙部署在服务器区域,如下图:上图中无论是在主数据中心还是在灾备数据中心所有的外联链路及外联区域我们都部署了防火墙。如上图:防火墙将被部署在外联区域和服务器群两个地方,外联将采用迈普的 DPX8000-A5 防火墙,通过虚拟化的方式来实现各个接入设备之间的安全性保障,新增的 Juniper SRX1400 防火墙将被部署在服务器群,通过防火墙虚拟化为各个服务区域提供服务。不同安全域之间的访问控制策略只需考虑各个安全域内出方向策略和入方向策略即可。建议初
42、始策略依据如下原则设定,然后根据业务需求不断调整: 出方向上不进行策略限制,全部打开 入方向上按“最小授权原则”打开必要的服务 允许发自内部地址的双方向的 ICMP,但对 ICMP 进行应用检查(Inspect) 允许发自内部地址的 Trace Route,便于网络诊断 关闭双方向的 TCP Seq Randomization,在数据中心内的防火墙可以去除该功能以提高转发效率 减少或者不进行 NAT,保证数据中心内的地址透明性,便于 ACE 提供服务 关闭 nat-control(此为默认),关闭 xlate 记录,以保证并发连接数在此次设计方案我们推荐使用:JUNIPER SRX1400,D
43、P8000-A5 两款高性能防火墙, JUNIPER SRX1400 特点:防火墙性能(最大) 10 GbpsIPS 性能(NSS 4.2.1) 2 GbpsAES256+SHA-1 / 3DES+SHA-1 VPN 性能 2 Gbps 最大并发会话数 50 万每秒新建会话数(持续、TCP、3 向) 45,000 最大安全策略数 40,000 支持的最大用户数 不限可用于安装 IOC 的最大插槽数 1 (前面插槽)固定 I/O 端口 GE 基本系统6 个 10/100/1000 RJ45 + 4 个 1000Base-X SFP + 2 个 1000Base-X SFP(数据或集群控制的共用端
44、口) XGE 基本系统3 个 10GBase-X SFP plus + 6 个 10/100/1000 RJ45 + 1 个 1000Base-X SFP + 2 个 1000Base-X SFP(数据或集群控制的共用端口)CX111 3G 网桥支持 N/A 内部 3G Express Card 插槽支持 N/A 局域网接口选项 16 个 10/100/1000 RJ4516 个 1000Base-X SFP2 个 10GBase-X XFP高可用性支持 主用/备用,主用/主用低影响的机箱集群机箱集群的接口汇聚组AppSecure 服务 应用识别:有为应用提供的拒绝服务攻击防护(AppDoS)
45、:有AppTrack:有防火墙 网络入侵检测:有DoS 和 DDoS 防护:有用于保护片段数据包的 TCP 流重组:有强行攻击缓解:有SYN cookie 防护:有基于区域的 IP 欺骗防护:有异常数据包防护:有GPRS 状态检测:有入侵防御系统 状态协议签名:有攻击检测机制:状态签名、协议异常检测(包括零日攻击)、应用识别攻击响应机制:丢弃连接、关闭连接、会话数据包日志、会话汇总、电子邮件、定制会话攻击通知机制:结构化系统日志蠕虫防御:有SSL 加密流量检测:有通过建议使用的策略来简化安装工作:有特洛伊木马防护:有间谍软件/广告软件/键盘记录防护:有其他恶意软件防护:有防止受感染的系统传播攻
46、击:有侦听防护:有请求端和响应端的攻击防护:有复合攻击 - 结合了状态签名和协议异常:有创建定制的攻击签名:有用于定制的接入上下文: 500+攻击编辑(端口范围、其他):有流特征:有协议阈值:有状态协议签名:有大约覆盖的攻击数量: 6,000+详细的威胁说明和修复/补丁信息:有创建和执行适当的应用使用策略:有攻击者和目标审计跟踪与报告:有部署模式:线内或 TAP 尺寸和电源 尺寸 (W x H x D) :17.5 x 5.25 x 13.8 英寸 (44.5 x 13.3 x 35.05 厘米)重量:基本机箱:29.3 磅 (13.3 千克)完整配置的机箱:42.5 磅(19.3 千克)电源
47、(AC):100 - 127 VAC, 60 Hz, 13.0 A电源(DC):-40 至 -72 V DC最大功耗:1100 W (AC 电源), 1050 W (DC 电源)电源冗余: 1 + 12.6 某银行同城灾备中心建设边界网络安全防护解决方案拓扑针对某银行边界网络安全防护要求,安全防护解决方案可以从技术上、工程上以及提供的服务质量上均能非常好的满足要求,具体组网构架如下:主机房的两台迪普深度安全网关和备机房的两台迪普深度安全网关,分别通过虚拟化多虚一方式,将两台迪普 DPX8000-A5 深度安全网关防火墙、IPS进行虚拟化成一个云平台。然后通过多虚一的方式,将一个云平台,虚拟成两
48、个逻辑的深度安全网关防火墙、IPS 设备,每个逻辑设备部署分别部署在支行接入区和办公接入区的边界。主机房深度安全网关云平台和备机房深度安全网关通过二层打通交换机互联,实时同步策略配置,未来随着业务和技术的发展,配合核心交换机实现四虚一的平台建设,完全实现主备机房的虚拟化,所有数据可以灵活根据设备的负载情况智能漂移。2.7 某银行同城灾备中心建设支行接入区网络安全防护解决方案支行接入区负责连接辖内各个支行和网点,以及外埠分行接入总行等,支行所有金融业务数据与数据中心的互访需要经过此区域,因此,保障该数据全方位的安全至关重要。在核心区交换机和接入路由器之间部署深度安全网关防火墙、IPS,有效对各支
49、行网点防护总部进行安全防护,及各支行网点之间业务数据进行安全防护。2.8 某银行同城灾备中心建设办公接入区网络安全防护解决方案用户接入区主要负责新大楼内机关用户接入网络。在核心交换机和楼层接入汇聚交换机之间部署应该接入路由器之间部署深度安全网关防火墙、IPS,对用户访问安全防护。2.9 边界网络安全解决方案设计优势支行接入区、办公接入区使用 DPtech DPX8000-A5 深度业务交换网关产品作为核心安全防护。通过虚拟化多虚一方式,将两台迪普 DPX8000-A5 深度安全网关防火墙、IPS 进行虚拟化成一个云平台。然后通过多虚一的方式,将一个云平台,虚拟成两个逻辑的深度安全网关防火墙、IPS 设备,每个逻辑设备部署分别部署在支行接入区和办公接入区。根据区域所需要的安全性能容量进行合理分配,最终到达最优的部署方案。后续根据区域业务系统的发展灵活的调配安全性能容量。另外迪普深度安全网关具备以下优势特点:高性能100G 平台高性能。支持未来 40GE 和 100GE 以太网标准,提供 480GE 的全线速无阻塞处理能力;高性能业务单板,最大可提供 400G 整机深度业务处理能力,保证某银行在启用防火墙功能、IPS 功能、防病毒、复杂的路由协议的同时依然
