【導(dǎo)讀】數(shù)據(jù)中心項(xiàng)目解決方案技術(shù)建議書(shū)

　　

【正文】 發(fā)功能。當(dāng)主設(shè)備出現(xiàn)故障時(shí)，備份設(shè)備成為新的主設(shè)備，接替它的工作。 SmartLink SMARTLINK，中文譯為靈活鏈路，又稱為備份鏈路，是一種為鏈路雙上行提供可靠高效的備份和切換機(jī)制的解決方案，常用于雙上行組網(wǎng)。相比 STP（ Spanning Tree Protocol, 生成樹(shù)協(xié)議）， SMARTLINK 技術(shù)能夠提供更快速的收斂性能，相比 RRPP（ Rapid Ring Protection Protocol）， SMARTLINK 技術(shù)提供了更 簡(jiǎn)潔的配置使用方式。 SMARTLINK 技術(shù)是 XXX 公司的私有技術(shù)，已經(jīng)申請(qǐng)發(fā)明專利。 14 圖 雙上行組網(wǎng) 針對(duì)雙上行組網(wǎng)， XXX 提出了 SMARTLINK 解決方案，實(shí)現(xiàn)主備鏈路冗余備份及快速遷移。該方案為雙上行組網(wǎng)量身定做，即保證了性能，又簡(jiǎn)化了配置，同時(shí)，作為對(duì)SMARTLINK 的一個(gè)補(bǔ)充，還引入了端口聯(lián)動(dòng)的方案，也即是 MONITORLINK，用于監(jiān)控上行鏈路，使 SMARTLINK 備份作用更為完善。 MONITORLINK 用于擴(kuò)展 SMARTLINK的鏈路備份的范圍，通過(guò)監(jiān)控上行鏈路對(duì)下行鏈路進(jìn)行同步設(shè)置，達(dá)到上行鏈路故障迅速傳達(dá)給下行設(shè)備，從而觸發(fā) SMARTLINK 的主備鏈路切換，防止長(zhǎng)時(shí)間因上行鏈路故障而出現(xiàn)流量丟失。 SMARTLINK 及 MONITORLINK 技術(shù)適用于二層網(wǎng)絡(luò)，能夠達(dá)到亞秒級(jí)收斂。 數(shù)據(jù)中心 安全建設(shè) 數(shù)據(jù)中心 面對(duì)的安全挑戰(zhàn) 面向應(yīng)用層的攻擊 常見(jiàn)的應(yīng)用攻擊包括惡意蠕蟲(chóng)、病毒、緩沖溢出代碼、后門木馬等，最典型的應(yīng)用攻擊莫過(guò)于 “蠕蟲(chóng) ”。應(yīng)用攻擊的共同特點(diǎn)是利用了軟件系統(tǒng)在設(shè)計(jì)上的缺陷， 其 傳播都基于現(xiàn)有的業(yè)務(wù)端口 ，因此應(yīng)用攻擊可以毫不費(fèi)力的躲過(guò)那些傳統(tǒng)的或者具有少許深度檢測(cè)功能的防火墻。 面向網(wǎng)絡(luò)層的攻擊 除了由于系統(tǒng)漏洞造成的應(yīng)用攻擊外，數(shù)據(jù)中心還要面對(duì)拒絕服務(wù)攻擊（ DoS）和分布式拒絕服務(wù)攻擊（ DDoS）的挑戰(zhàn)。 DOS/DDOS 是一種傳統(tǒng)的網(wǎng)絡(luò)攻擊方式，然而其破壞力卻十分強(qiáng)勁。 常見(jiàn)的 DDOS 攻擊方法有 SYN Flood、 Established Connection Flood 和 Connection Per Second Flood。已發(fā)現(xiàn)的 DOS 攻擊程序有 ICMP Smurf、 UDP 反彈，而典型的 DDOS 攻 擊程序有 Zombie、 TFN2K、 Trinoo 和 Stacheldraht 等。 15 對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的攻擊 數(shù)據(jù)中心象一座擁有巨大財(cái)富的城堡，然而堅(jiān)固的堡壘最容易從內(nèi)部被攻破，來(lái)自數(shù)據(jù)中心內(nèi)部的攻擊也更具破壞性。 “木桶的裝水量取決于最短的木板 ”，涉及內(nèi)網(wǎng)安全防護(hù)的部件產(chǎn)品非常多，從接入層設(shè)備到匯聚層設(shè)備再到核心層設(shè)備，從服務(wù)器到交換機(jī)到路由器、防火墻，幾乎每臺(tái)網(wǎng)絡(luò)設(shè)備都將參與到系統(tǒng)安全的建設(shè)中，任何部署點(diǎn)安全策略的疏漏都將成為整個(gè)安全體系的短木板。 “木桶的裝水量還取決于木板間的緊密程度 ”，一個(gè)網(wǎng)絡(luò)的安全不僅 依賴于單個(gè)部件產(chǎn)品的安全特性，也依賴于各安全部件之間的緊密協(xié)作。一個(gè)融合不同工作模式的安全部件產(chǎn)品的無(wú)縫安全體系必須可以進(jìn)行全面、集中的安全監(jiān)管與維護(hù)。 數(shù)據(jù)中心的安全防護(hù)體系不能僅依靠單獨(dú)的某個(gè)安全產(chǎn)品，還要依托整個(gè)網(wǎng)絡(luò)中各部件的安全特性。 XXX安全解決方案 在這種咄咄逼人的安全形勢(shì)下，數(shù)據(jù)中心需要一個(gè)全方位一體化的安全部署方式。 XXX數(shù)據(jù)中心安全解決方案秉承了 XXX 一貫倡導(dǎo)的 “安全滲透理念 ”，將安全部署滲透到整個(gè)數(shù)據(jù)中心的設(shè)計(jì)、部署、運(yùn)維中，為數(shù)據(jù)中心搭建起一個(gè)立體的、無(wú)縫的安全平臺(tái)，真正做到了使安全 貫穿數(shù)據(jù)鏈路層到網(wǎng)絡(luò)應(yīng)用層的目標(biāo)，使安全保護(hù)無(wú)處不在。 XXX 數(shù)據(jù)中心安全解決方案的技術(shù)特色可用十二個(gè)字概括：三重保護(hù)、多層防御；分區(qū)規(guī)劃，分層部署。 三重保護(hù)，多層防御 圖 數(shù)據(jù)中心三重安全保護(hù) 以數(shù)據(jù)中心服務(wù)器資源為核心向外延伸有三重保護(hù)功能。依拖具有豐富安全特性的交換機(jī)構(gòu)成數(shù)據(jù)中心網(wǎng)絡(luò)的第一重保護(hù)；以 ASIC、 FPGA 和 NP 技術(shù)組成的具有高性能精確檢測(cè)引擎的 IPS 提供對(duì)網(wǎng)絡(luò)報(bào)文深度檢測(cè)，構(gòu)成對(duì)數(shù)據(jù)中心網(wǎng)絡(luò)的第二重保護(hù)；第三重保護(hù)是 16 憑借高性能硬件防火墻構(gòu)成的數(shù)據(jù)中心網(wǎng)絡(luò)邊界。 圖 數(shù)據(jù)中心多層安全防御 三重保護(hù)的同時(shí)為數(shù)據(jù)中心網(wǎng)絡(luò)提供了從鏈路層到應(yīng)用層的多層防御體系，如圖。交換機(jī)提供的安全特性構(gòu)成安全數(shù)據(jù)中心的網(wǎng)絡(luò)基礎(chǔ)，提供數(shù)據(jù)鏈路層的攻擊防御。數(shù)據(jù)中心網(wǎng)絡(luò)邊界安全定位在傳輸層與網(wǎng)絡(luò)層的安全上，通過(guò)狀態(tài)防火墻可以把安全信任網(wǎng)絡(luò)和非安全網(wǎng)絡(luò)進(jìn)行隔離，并提供對(duì) DDOS 和多種畸形報(bào)文攻擊的防御。 IPS 可以針對(duì)應(yīng)用流量做深度分析與檢測(cè)能力，同時(shí)配合以精心研究的攻擊特征知識(shí)庫(kù)和用戶規(guī)則，即可以有效檢測(cè)并實(shí)時(shí)阻斷隱藏在海量網(wǎng)絡(luò)流量中的病毒、攻擊與濫用行為，也可以對(duì)分布在網(wǎng)絡(luò)中的各種流量進(jìn)行有效管 理，從而達(dá)到對(duì)網(wǎng)絡(luò)應(yīng)用層的保護(hù)。 網(wǎng)絡(luò)基礎(chǔ) 安全部署 數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ) 架構(gòu) 的安全特性 是數(shù)據(jù)中心中各部件產(chǎn)品基本安全特性的通稱。架構(gòu)安全特性涉及服務(wù)器、接入交換機(jī)、負(fù)載均衡器、匯聚交換機(jī)、核心交換機(jī)等設(shè)備，部署點(diǎn)多、覆蓋面大，是構(gòu)成整個(gè)安全數(shù)據(jù)中心的基石。 XXX 憑借基于 COMWARE 的具有豐富安全特性全系列智能交換機(jī)為數(shù)據(jù)中心打造堅(jiān)實(shí)的基礎(chǔ)構(gòu)架。 COMWARE 是由 XXX 推出的支持多種網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)操作系統(tǒng)，它以強(qiáng)大的 IP 轉(zhuǎn)發(fā)引擎為核心，通過(guò)完善的體系結(jié)構(gòu)設(shè)計(jì)，把實(shí)時(shí)操作系統(tǒng)和網(wǎng)絡(luò)管理、網(wǎng)絡(luò)應(yīng) 用、網(wǎng)絡(luò)安全等技術(shù)完美的結(jié)合在一起。作為一個(gè)不斷發(fā)展、可持續(xù)升級(jí)的平臺(tái)，它具有開(kāi)放的接口，可靈活支持大量的網(wǎng)絡(luò)協(xié)議和安全特性。 COMWARE 可應(yīng)用在分布式或集中式的網(wǎng)絡(luò)設(shè)備構(gòu)架之上，也就是說(shuō)，不僅可以運(yùn)行在高端的交換機(jī) /路由器上，而且也可以運(yùn)行在中低端的交換機(jī) /路由器上，不向其它廠商，不同的軟件運(yùn)行在不同的設(shè)備上。 COMWARE的這一特性可使網(wǎng)絡(luò)中各節(jié)點(diǎn)設(shè)備得到同一的安全特性，徹底避免了由于部件產(chǎn)品安全特性不一致、不統(tǒng)一造成的安全“短木板效應(yīng)”。 基于 VLAN 的端口隔離 交換機(jī)可以由硬件實(shí)現(xiàn)相同 VLAN 中的 兩個(gè)端口互相隔離。隔離后這兩個(gè)端口在本設(shè)備內(nèi)不能實(shí)現(xiàn)二、三層互通。當(dāng)相同 VLAN 中的服務(wù)器之間完全沒(méi)有互訪要求時(shí)，可以設(shè) 17 置各自連接的端口為隔離端口，如圖。這樣可以更好的保證相同安全區(qū)域內(nèi)的服務(wù)器之間的安全： STP Root/BPDU Guard 基于 Root/BPDU Guard 方式的二層連接保護(hù)保證 STP/RSTP 穩(wěn)定 ,防止攻擊 ,保障可靠的二層連接。如圖。 端口安全 端口安全（ Port Security）的主要功能就是通過(guò)定義各種安全模式，讓設(shè)備學(xué)習(xí)到合法的源 MAC 地址，以達(dá)到相應(yīng)的網(wǎng)絡(luò)管理效果。對(duì)于不 能通過(guò)安全模式學(xué)習(xí)到源 MAC 地址的報(bào)文或 認(rèn)證失敗的 設(shè)備， 當(dāng)發(fā)現(xiàn)非法報(bào)文后，系統(tǒng)將觸發(fā)相應(yīng)特性，并按照預(yù)先指定的方式自動(dòng)進(jìn)行處理，減少了用戶的維護(hù)工作量，極大地提高了系統(tǒng)的安全性和可管理性。 端口安全的特性包括： NTK： NTK（ Need To Know）特性通過(guò)檢測(cè)從端口發(fā)出的數(shù)據(jù)幀的目的 MAC 地址，保證數(shù)據(jù)幀只能被發(fā)送到已經(jīng)通過(guò)認(rèn)證的設(shè)備上，從而防止非法設(shè)備竊聽(tīng)網(wǎng)絡(luò)數(shù)據(jù)。 Intrusion Protection：該特性通過(guò)檢測(cè)端口接收到的數(shù)據(jù)幀的源 MAC 地址或 認(rèn)證的用戶名、密碼， 發(fā)現(xiàn)非法報(bào)文或非法事件，并采取相應(yīng)的動(dòng)作，包括暫時(shí)斷開(kāi)端口連接、永久斷開(kāi)端口連接或是過(guò)濾此 MAC 地址的報(bào)文，保證了端口的安全性。 Device Tracking：該特性是指當(dāng)端口有特定的數(shù)據(jù)包（由非法入侵，用戶不正常上下線等原因引起）傳送時(shí)，設(shè)備將會(huì)發(fā)送 Trap 信息，便于網(wǎng)絡(luò)管理員對(duì)這些特殊的行為進(jìn)行監(jiān)控。 防 IP 偽裝 病毒和非法用戶很多情況會(huì)偽裝 IP 來(lái)實(shí)現(xiàn)攻擊。偽裝 IP 有三個(gè)用處： ? 本身就是攻擊的直接功能體。比如 smurf 攻擊。 ? 麻痹網(wǎng)絡(luò)中的安全設(shè)施。比如繞過(guò)利用源 IP 做的接入控制。 ? 隱藏攻擊源 設(shè)備防止 IP 偽裝的關(guān)鍵在于如何判定設(shè)備接收到的報(bào)文的源 IP 是經(jīng)過(guò)偽裝的。這種判定的方式有三種。分別在內(nèi)網(wǎng)和內(nèi)外網(wǎng)的邊界使用。 在 inter 出口處過(guò)濾 RFC3330 和 RFC1918 所描述的不可能在內(nèi)外網(wǎng)之間互訪的 IP 地址。 利用 IP 和 MAC 的綁定關(guān)系網(wǎng)關(guān)防御 利用 DHCP relay 特性，網(wǎng)關(guān)可以形成本網(wǎng)段下主機(jī)的 IP、 MAC 映射表。當(dāng)網(wǎng)關(guān)收到一個(gè) ARP 報(bào)文時(shí)，會(huì)先在映射表中查找是否匹配現(xiàn)有的映射關(guān)系。如果找到則正常學(xué)習(xí)，否 18 則不學(xué)習(xí)該 ARP。這樣偽裝 IP 的設(shè)備沒(méi)有辦法進(jìn)行正常的跨網(wǎng)段通信。 接入設(shè)備防御 利用 DHCP SNOOPING 特性，接入設(shè)備通過(guò)監(jiān)控其端口接收到的 DHCP request、 ACK、release 報(bào)文，也可以形成一張端口下 IP、 MAC 的映射表。設(shè)備可以根據(jù) IP、 MAC、端口的對(duì)應(yīng)關(guān)系，下發(fā) ACL 規(guī)則限制從該端口通過(guò)的報(bào)文源 IP 必須為其從 DHCP 服務(wù)器獲取的 IP 地址。 UPRF UPRF 會(huì)檢測(cè)接收到的報(bào)文中的源地址是否和其接收?qǐng)?bào)文的接口相匹配。其實(shí)現(xiàn)機(jī)制如下：設(shè)備接收到報(bào)文后， UPRF 會(huì)比較該報(bào)文的源地址在路由表中對(duì)應(yīng)的出接口是否和接收該報(bào)文的接口一致。如果兩者不一致，則將報(bào)文丟棄。 路由協(xié)議 認(rèn)證 攻擊者也可以向網(wǎng)絡(luò)中的設(shè)備發(fā)送錯(cuò)誤的路由更新報(bào)文，使路由表中出現(xiàn)錯(cuò)誤的路由，從而引導(dǎo)用戶的流量流向攻擊者的設(shè)備。為了防止這種攻擊最有效的方法就是使用局域網(wǎng)常用路由協(xié)議時(shí)，必須啟用路由協(xié)議的認(rèn)證。 另外，在不應(yīng)該出現(xiàn)路由信息的端口過(guò)濾掉所有路由報(bào)文也是解決方法之一。但這種方法會(huì)消耗掉許多 ACL 資源。 邊界安全 防火墻 邊界安全的一項(xiàng)主要功能是實(shí)現(xiàn)網(wǎng)絡(luò)隔離，通過(guò)防火墻可以把安全信任網(wǎng)絡(luò)和非安全網(wǎng)絡(luò)進(jìn)行隔離。 XXX SecPath 系列防火墻以其高效可靠的防攻擊手段，和靈活多變的安全區(qū)域配置策略擔(dān)負(fù)起是守護(hù)數(shù)據(jù) 中心邊界安全的的重任。 狀態(tài)防火墻 狀態(tài) 防火墻設(shè)備將狀態(tài)檢測(cè)技術(shù)應(yīng)用在 ACL 技術(shù) 上， 通過(guò)對(duì) 連接狀態(tài) 的狀態(tài) 的 檢測(cè)，動(dòng)態(tài)的發(fā)現(xiàn)應(yīng)該打開(kāi)的端口，保證在通信的過(guò)程中動(dòng)態(tài)的決定哪些數(shù)據(jù)包可以通過(guò)防火墻。狀態(tài) 防火墻還采用基于流的狀態(tài)檢測(cè)技術(shù)可以提供更高的轉(zhuǎn)發(fā)性能， 可以根據(jù)流的信息決定數(shù)據(jù)包是否可以通過(guò)防火墻，這樣就可以利用流的狀態(tài)信息決定對(duì)數(shù)據(jù)包的處理結(jié)果加快了轉(zhuǎn)發(fā)性能。 防火墻安全區(qū)域管理 邊界安全的一項(xiàng)主要功能是網(wǎng)絡(luò)隔離，并且這種網(wǎng)絡(luò)隔離技術(shù)不是簡(jiǎn)單的依靠網(wǎng)絡(luò)接口來(lái)劃分的，因?yàn)榫W(wǎng)絡(luò)的實(shí)際拓?fù)涫乔Р钊f(wàn)別的，使用固定接 口來(lái)進(jìn)行網(wǎng)絡(luò)隔離不能適應(yīng)網(wǎng)絡(luò)的實(shí)際要求。 SecBlade 防火墻提供了基于安全區(qū)域的隔離模型，每個(gè)安全區(qū)域可以按照網(wǎng)絡(luò)的實(shí)際組網(wǎng)加入任意的接口，因此 SecBlade 的安全管理模型是不會(huì)受到網(wǎng)絡(luò)拓?fù)涞挠绊憽? 業(yè)界很多防火墻一般都提供受信安全區(qū)域（ trust）、非受信安全區(qū)域（ untrust）、非軍事化區(qū)域（ DMZ）三個(gè)獨(dú)立的安全區(qū)域，這樣的保護(hù)模型可以適應(yīng)大部分的組網(wǎng)要求，但是在一些安全策略要求較高的場(chǎng)合，這樣的保護(hù)模型還是不能滿足要求。 19 SecBlade 防火墻默認(rèn)提供四個(gè)安全區(qū)域： trust、 untrust、 DMZ、 local，在提供三個(gè)最常用的安全邏輯區(qū)域的基礎(chǔ)上還新增加了本地邏輯安全區(qū)域，本地安全區(qū)域可以定義到防火墻