【導讀】數(shù)據(jù)中心項目解決方案技術建議書

　　

【正文】 發(fā)功能。當主設備出現(xiàn)故障時，備份設備成為新的主設備，接替它的工作。 SmartLink SMARTLINK，中文譯為靈活鏈路，又稱為備份鏈路，是一種為鏈路雙上行提供可靠高效的備份和切換機制的解決方案，常用于雙上行組網(wǎng)。相比 STP（ Spanning Tree Protocol, 生成樹協(xié)議）， SMARTLINK 技術能夠提供更快速的收斂性能，相比 RRPP（ Rapid Ring Protection Protocol）， SMARTLINK 技術提供了更 簡潔的配置使用方式。 SMARTLINK 技術是 XXX 公司的私有技術，已經(jīng)申請發(fā)明專利。 14 圖 雙上行組網(wǎng) 針對雙上行組網(wǎng)， XXX 提出了 SMARTLINK 解決方案，實現(xiàn)主備鏈路冗余備份及快速遷移。該方案為雙上行組網(wǎng)量身定做，即保證了性能，又簡化了配置，同時，作為對SMARTLINK 的一個補充，還引入了端口聯(lián)動的方案，也即是 MONITORLINK，用于監(jiān)控上行鏈路，使 SMARTLINK 備份作用更為完善。 MONITORLINK 用于擴展 SMARTLINK的鏈路備份的范圍，通過監(jiān)控上行鏈路對下行鏈路進行同步設置，達到上行鏈路故障迅速傳達給下行設備，從而觸發(fā) SMARTLINK 的主備鏈路切換，防止長時間因上行鏈路故障而出現(xiàn)流量丟失。 SMARTLINK 及 MONITORLINK 技術適用于二層網(wǎng)絡，能夠達到亞秒級收斂。 數(shù)據(jù)中心 安全建設 數(shù)據(jù)中心 面對的安全挑戰(zhàn) 面向應用層的攻擊 常見的應用攻擊包括惡意蠕蟲、病毒、緩沖溢出代碼、后門木馬等，最典型的應用攻擊莫過于 “蠕蟲 ”。應用攻擊的共同特點是利用了軟件系統(tǒng)在設計上的缺陷， 其 傳播都基于現(xiàn)有的業(yè)務端口 ，因此應用攻擊可以毫不費力的躲過那些傳統(tǒng)的或者具有少許深度檢測功能的防火墻。 面向網(wǎng)絡層的攻擊 除了由于系統(tǒng)漏洞造成的應用攻擊外，數(shù)據(jù)中心還要面對拒絕服務攻擊（ DoS）和分布式拒絕服務攻擊（ DDoS）的挑戰(zhàn)。 DOS/DDOS 是一種傳統(tǒng)的網(wǎng)絡攻擊方式，然而其破壞力卻十分強勁。 常見的 DDOS 攻擊方法有 SYN Flood、 Established Connection Flood 和 Connection Per Second Flood。已發(fā)現(xiàn)的 DOS 攻擊程序有 ICMP Smurf、 UDP 反彈，而典型的 DDOS 攻 擊程序有 Zombie、 TFN2K、 Trinoo 和 Stacheldraht 等。 15 對網(wǎng)絡基礎設施的攻擊 數(shù)據(jù)中心象一座擁有巨大財富的城堡，然而堅固的堡壘最容易從內部被攻破，來自數(shù)據(jù)中心內部的攻擊也更具破壞性。 “木桶的裝水量取決于最短的木板 ”，涉及內網(wǎng)安全防護的部件產(chǎn)品非常多，從接入層設備到匯聚層設備再到核心層設備，從服務器到交換機到路由器、防火墻，幾乎每臺網(wǎng)絡設備都將參與到系統(tǒng)安全的建設中，任何部署點安全策略的疏漏都將成為整個安全體系的短木板。 “木桶的裝水量還取決于木板間的緊密程度 ”，一個網(wǎng)絡的安全不僅 依賴于單個部件產(chǎn)品的安全特性，也依賴于各安全部件之間的緊密協(xié)作。一個融合不同工作模式的安全部件產(chǎn)品的無縫安全體系必須可以進行全面、集中的安全監(jiān)管與維護。 數(shù)據(jù)中心的安全防護體系不能僅依靠單獨的某個安全產(chǎn)品，還要依托整個網(wǎng)絡中各部件的安全特性。 XXX安全解決方案 在這種咄咄逼人的安全形勢下，數(shù)據(jù)中心需要一個全方位一體化的安全部署方式。 XXX數(shù)據(jù)中心安全解決方案秉承了 XXX 一貫倡導的 “安全滲透理念 ”，將安全部署滲透到整個數(shù)據(jù)中心的設計、部署、運維中，為數(shù)據(jù)中心搭建起一個立體的、無縫的安全平臺，真正做到了使安全 貫穿數(shù)據(jù)鏈路層到網(wǎng)絡應用層的目標，使安全保護無處不在。 XXX 數(shù)據(jù)中心安全解決方案的技術特色可用十二個字概括：三重保護、多層防御；分區(qū)規(guī)劃，分層部署。 三重保護，多層防御 圖 數(shù)據(jù)中心三重安全保護 以數(shù)據(jù)中心服務器資源為核心向外延伸有三重保護功能。依拖具有豐富安全特性的交換機構成數(shù)據(jù)中心網(wǎng)絡的第一重保護；以 ASIC、 FPGA 和 NP 技術組成的具有高性能精確檢測引擎的 IPS 提供對網(wǎng)絡報文深度檢測，構成對數(shù)據(jù)中心網(wǎng)絡的第二重保護；第三重保護是 16 憑借高性能硬件防火墻構成的數(shù)據(jù)中心網(wǎng)絡邊界。 圖 數(shù)據(jù)中心多層安全防御 三重保護的同時為數(shù)據(jù)中心網(wǎng)絡提供了從鏈路層到應用層的多層防御體系，如圖。交換機提供的安全特性構成安全數(shù)據(jù)中心的網(wǎng)絡基礎，提供數(shù)據(jù)鏈路層的攻擊防御。數(shù)據(jù)中心網(wǎng)絡邊界安全定位在傳輸層與網(wǎng)絡層的安全上，通過狀態(tài)防火墻可以把安全信任網(wǎng)絡和非安全網(wǎng)絡進行隔離，并提供對 DDOS 和多種畸形報文攻擊的防御。 IPS 可以針對應用流量做深度分析與檢測能力，同時配合以精心研究的攻擊特征知識庫和用戶規(guī)則，即可以有效檢測并實時阻斷隱藏在海量網(wǎng)絡流量中的病毒、攻擊與濫用行為，也可以對分布在網(wǎng)絡中的各種流量進行有效管 理，從而達到對網(wǎng)絡應用層的保護。 網(wǎng)絡基礎 安全部署 數(shù)據(jù)中心網(wǎng)絡架構安全技術 網(wǎng)絡基礎 架構 的安全特性 是數(shù)據(jù)中心中各部件產(chǎn)品基本安全特性的通稱。架構安全特性涉及服務器、接入交換機、負載均衡器、匯聚交換機、核心交換機等設備，部署點多、覆蓋面大，是構成整個安全數(shù)據(jù)中心的基石。 XXX 憑借基于 COMWARE 的具有豐富安全特性全系列智能交換機為數(shù)據(jù)中心打造堅實的基礎構架。 COMWARE 是由 XXX 推出的支持多種網(wǎng)絡設備的網(wǎng)絡操作系統(tǒng)，它以強大的 IP 轉發(fā)引擎為核心，通過完善的體系結構設計，把實時操作系統(tǒng)和網(wǎng)絡管理、網(wǎng)絡應 用、網(wǎng)絡安全等技術完美的結合在一起。作為一個不斷發(fā)展、可持續(xù)升級的平臺，它具有開放的接口，可靈活支持大量的網(wǎng)絡協(xié)議和安全特性。 COMWARE 可應用在分布式或集中式的網(wǎng)絡設備構架之上，也就是說，不僅可以運行在高端的交換機 /路由器上，而且也可以運行在中低端的交換機 /路由器上，不向其它廠商，不同的軟件運行在不同的設備上。 COMWARE的這一特性可使網(wǎng)絡中各節(jié)點設備得到同一的安全特性，徹底避免了由于部件產(chǎn)品安全特性不一致、不統(tǒng)一造成的安全“短木板效應”。 基于 VLAN 的端口隔離 交換機可以由硬件實現(xiàn)相同 VLAN 中的 兩個端口互相隔離。隔離后這兩個端口在本設備內不能實現(xiàn)二、三層互通。當相同 VLAN 中的服務器之間完全沒有互訪要求時，可以設 17 置各自連接的端口為隔離端口，如圖。這樣可以更好的保證相同安全區(qū)域內的服務器之間的安全： STP Root/BPDU Guard 基于 Root/BPDU Guard 方式的二層連接保護保證 STP/RSTP 穩(wěn)定 ,防止攻擊 ,保障可靠的二層連接。如圖。 端口安全 端口安全（ Port Security）的主要功能就是通過定義各種安全模式，讓設備學習到合法的源 MAC 地址，以達到相應的網(wǎng)絡管理效果。對于不 能通過安全模式學習到源 MAC 地址的報文或 認證失敗的 設備， 當發(fā)現(xiàn)非法報文后，系統(tǒng)將觸發(fā)相應特性，并按照預先指定的方式自動進行處理，減少了用戶的維護工作量，極大地提高了系統(tǒng)的安全性和可管理性。 端口安全的特性包括： NTK： NTK（ Need To Know）特性通過檢測從端口發(fā)出的數(shù)據(jù)幀的目的 MAC 地址，保證數(shù)據(jù)幀只能被發(fā)送到已經(jīng)通過認證的設備上，從而防止非法設備竊聽網(wǎng)絡數(shù)據(jù)。 Intrusion Protection：該特性通過檢測端口接收到的數(shù)據(jù)幀的源 MAC 地址或 認證的用戶名、密碼， 發(fā)現(xiàn)非法報文或非法事件，并采取相應的動作，包括暫時斷開端口連接、永久斷開端口連接或是過濾此 MAC 地址的報文，保證了端口的安全性。 Device Tracking：該特性是指當端口有特定的數(shù)據(jù)包（由非法入侵，用戶不正常上下線等原因引起）傳送時，設備將會發(fā)送 Trap 信息，便于網(wǎng)絡管理員對這些特殊的行為進行監(jiān)控。 防 IP 偽裝 病毒和非法用戶很多情況會偽裝 IP 來實現(xiàn)攻擊。偽裝 IP 有三個用處： ? 本身就是攻擊的直接功能體。比如 smurf 攻擊。 ? 麻痹網(wǎng)絡中的安全設施。比如繞過利用源 IP 做的接入控制。 ? 隱藏攻擊源 設備防止 IP 偽裝的關鍵在于如何判定設備接收到的報文的源 IP 是經(jīng)過偽裝的。這種判定的方式有三種。分別在內網(wǎng)和內外網(wǎng)的邊界使用。 在 inter 出口處過濾 RFC3330 和 RFC1918 所描述的不可能在內外網(wǎng)之間互訪的 IP 地址。 利用 IP 和 MAC 的綁定關系網(wǎng)關防御 利用 DHCP relay 特性，網(wǎng)關可以形成本網(wǎng)段下主機的 IP、 MAC 映射表。當網(wǎng)關收到一個 ARP 報文時，會先在映射表中查找是否匹配現(xiàn)有的映射關系。如果找到則正常學習，否 18 則不學習該 ARP。這樣偽裝 IP 的設備沒有辦法進行正常的跨網(wǎng)段通信。 接入設備防御 利用 DHCP SNOOPING 特性，接入設備通過監(jiān)控其端口接收到的 DHCP request、 ACK、release 報文，也可以形成一張端口下 IP、 MAC 的映射表。設備可以根據(jù) IP、 MAC、端口的對應關系，下發(fā) ACL 規(guī)則限制從該端口通過的報文源 IP 必須為其從 DHCP 服務器獲取的 IP 地址。 UPRF UPRF 會檢測接收到的報文中的源地址是否和其接收報文的接口相匹配。其實現(xiàn)機制如下：設備接收到報文后， UPRF 會比較該報文的源地址在路由表中對應的出接口是否和接收該報文的接口一致。如果兩者不一致，則將報文丟棄。 路由協(xié)議 認證 攻擊者也可以向網(wǎng)絡中的設備發(fā)送錯誤的路由更新報文，使路由表中出現(xiàn)錯誤的路由，從而引導用戶的流量流向攻擊者的設備。為了防止這種攻擊最有效的方法就是使用局域網(wǎng)常用路由協(xié)議時，必須啟用路由協(xié)議的認證。 另外，在不應該出現(xiàn)路由信息的端口過濾掉所有路由報文也是解決方法之一。但這種方法會消耗掉許多 ACL 資源。 邊界安全 防火墻 邊界安全的一項主要功能是實現(xiàn)網(wǎng)絡隔離，通過防火墻可以把安全信任網(wǎng)絡和非安全網(wǎng)絡進行隔離。 XXX SecPath 系列防火墻以其高效可靠的防攻擊手段，和靈活多變的安全區(qū)域配置策略擔負起是守護數(shù)據(jù) 中心邊界安全的的重任。 狀態(tài)防火墻 狀態(tài) 防火墻設備將狀態(tài)檢測技術應用在 ACL 技術 上， 通過對 連接狀態(tài) 的狀態(tài) 的 檢測，動態(tài)的發(fā)現(xiàn)應該打開的端口，保證在通信的過程中動態(tài)的決定哪些數(shù)據(jù)包可以通過防火墻。狀態(tài) 防火墻還采用基于流的狀態(tài)檢測技術可以提供更高的轉發(fā)性能， 可以根據(jù)流的信息決定數(shù)據(jù)包是否可以通過防火墻，這樣就可以利用流的狀態(tài)信息決定對數(shù)據(jù)包的處理結果加快了轉發(fā)性能。 防火墻安全區(qū)域管理 邊界安全的一項主要功能是網(wǎng)絡隔離，并且這種網(wǎng)絡隔離技術不是簡單的依靠網(wǎng)絡接口來劃分的，因為網(wǎng)絡的實際拓撲是千差萬別的，使用固定接 口來進行網(wǎng)絡隔離不能適應網(wǎng)絡的實際要求。 SecBlade 防火墻提供了基于安全區(qū)域的隔離模型，每個安全區(qū)域可以按照網(wǎng)絡的實際組網(wǎng)加入任意的接口，因此 SecBlade 的安全管理模型是不會受到網(wǎng)絡拓撲的影響。 業(yè)界很多防火墻一般都提供受信安全區(qū)域（ trust）、非受信安全區(qū)域（ untrust）、非軍事化區(qū)域（ DMZ）三個獨立的安全區(qū)域，這樣的保護模型可以適應大部分的組網(wǎng)要求，但是在一些安全策略要求較高的場合，這樣的保護模型還是不能滿足要求。 19 SecBlade 防火墻默認提供四個安全區(qū)域： trust、 untrust、 DMZ、 local，在提供三個最常用的安全邏輯區(qū)域的基礎上還新增加了本地邏輯安全區(qū)域，本地安全區(qū)域可以定義到防火墻