【導(dǎo)讀】數(shù)據(jù)中心項(xiàng)目解決方案技術(shù)建議書

　　

【正文】 發(fā)功能。當(dāng)主設(shè)備出現(xiàn)故障時，備份設(shè)備成為新的主設(shè)備，接替它的工作。 SmartLink SMARTLINK，中文譯為靈活鏈路，又稱為備份鏈路，是一種為鏈路雙上行提供可靠高效的備份和切換機(jī)制的解決方案，常用于雙上行組網(wǎng)。相比 STP（ Spanning Tree Protocol, 生成樹協(xié)議）， SMARTLINK 技術(shù)能夠提供更快速的收斂性能，相比 RRPP（ Rapid Ring Protection Protocol）， SMARTLINK 技術(shù)提供了更 簡潔的配置使用方式。 SMARTLINK 技術(shù)是 XXX 公司的私有技術(shù)，已經(jīng)申請發(fā)明專利。 14 圖 雙上行組網(wǎng) 針對雙上行組網(wǎng)， XXX 提出了 SMARTLINK 解決方案，實(shí)現(xiàn)主備鏈路冗余備份及快速遷移。該方案為雙上行組網(wǎng)量身定做，即保證了性能，又簡化了配置，同時，作為對SMARTLINK 的一個補(bǔ)充，還引入了端口聯(lián)動的方案，也即是 MONITORLINK，用于監(jiān)控上行鏈路，使 SMARTLINK 備份作用更為完善。 MONITORLINK 用于擴(kuò)展 SMARTLINK的鏈路備份的范圍，通過監(jiān)控上行鏈路對下行鏈路進(jìn)行同步設(shè)置，達(dá)到上行鏈路故障迅速傳達(dá)給下行設(shè)備，從而觸發(fā) SMARTLINK 的主備鏈路切換，防止長時間因上行鏈路故障而出現(xiàn)流量丟失。 SMARTLINK 及 MONITORLINK 技術(shù)適用于二層網(wǎng)絡(luò)，能夠達(dá)到亞秒級收斂。 數(shù)據(jù)中心 安全建設(shè) 數(shù)據(jù)中心 面對的安全挑戰(zhàn) 面向應(yīng)用層的攻擊 常見的應(yīng)用攻擊包括惡意蠕蟲、病毒、緩沖溢出代碼、后門木馬等，最典型的應(yīng)用攻擊莫過于 “蠕蟲 ”。應(yīng)用攻擊的共同特點(diǎn)是利用了軟件系統(tǒng)在設(shè)計(jì)上的缺陷， 其 傳播都基于現(xiàn)有的業(yè)務(wù)端口 ，因此應(yīng)用攻擊可以毫不費(fèi)力的躲過那些傳統(tǒng)的或者具有少許深度檢測功能的防火墻。 面向網(wǎng)絡(luò)層的攻擊 除了由于系統(tǒng)漏洞造成的應(yīng)用攻擊外，數(shù)據(jù)中心還要面對拒絕服務(wù)攻擊（ DoS）和分布式拒絕服務(wù)攻擊（ DDoS）的挑戰(zhàn)。 DOS/DDOS 是一種傳統(tǒng)的網(wǎng)絡(luò)攻擊方式，然而其破壞力卻十分強(qiáng)勁。 常見的 DDOS 攻擊方法有 SYN Flood、 Established Connection Flood 和 Connection Per Second Flood。已發(fā)現(xiàn)的 DOS 攻擊程序有 ICMP Smurf、 UDP 反彈，而典型的 DDOS 攻 擊程序有 Zombie、 TFN2K、 Trinoo 和 Stacheldraht 等。 15 對網(wǎng)絡(luò)基礎(chǔ)設(shè)施的攻擊 數(shù)據(jù)中心象一座擁有巨大財富的城堡，然而堅(jiān)固的堡壘最容易從內(nèi)部被攻破，來自數(shù)據(jù)中心內(nèi)部的攻擊也更具破壞性。 “木桶的裝水量取決于最短的木板 ”，涉及內(nèi)網(wǎng)安全防護(hù)的部件產(chǎn)品非常多，從接入層設(shè)備到匯聚層設(shè)備再到核心層設(shè)備，從服務(wù)器到交換機(jī)到路由器、防火墻，幾乎每臺網(wǎng)絡(luò)設(shè)備都將參與到系統(tǒng)安全的建設(shè)中，任何部署點(diǎn)安全策略的疏漏都將成為整個安全體系的短木板。 “木桶的裝水量還取決于木板間的緊密程度 ”，一個網(wǎng)絡(luò)的安全不僅 依賴于單個部件產(chǎn)品的安全特性，也依賴于各安全部件之間的緊密協(xié)作。一個融合不同工作模式的安全部件產(chǎn)品的無縫安全體系必須可以進(jìn)行全面、集中的安全監(jiān)管與維護(hù)。 數(shù)據(jù)中心的安全防護(hù)體系不能僅依靠單獨(dú)的某個安全產(chǎn)品，還要依托整個網(wǎng)絡(luò)中各部件的安全特性。 XXX安全解決方案 在這種咄咄逼人的安全形勢下，數(shù)據(jù)中心需要一個全方位一體化的安全部署方式。 XXX數(shù)據(jù)中心安全解決方案秉承了 XXX 一貫倡導(dǎo)的 “安全滲透理念 ”，將安全部署滲透到整個數(shù)據(jù)中心的設(shè)計(jì)、部署、運(yùn)維中，為數(shù)據(jù)中心搭建起一個立體的、無縫的安全平臺，真正做到了使安全 貫穿數(shù)據(jù)鏈路層到網(wǎng)絡(luò)應(yīng)用層的目標(biāo)，使安全保護(hù)無處不在。 XXX 數(shù)據(jù)中心安全解決方案的技術(shù)特色可用十二個字概括：三重保護(hù)、多層防御；分區(qū)規(guī)劃，分層部署。 三重保護(hù)，多層防御 圖 數(shù)據(jù)中心三重安全保護(hù) 以數(shù)據(jù)中心服務(wù)器資源為核心向外延伸有三重保護(hù)功能。依拖具有豐富安全特性的交換機(jī)構(gòu)成數(shù)據(jù)中心網(wǎng)絡(luò)的第一重保護(hù)；以 ASIC、 FPGA 和 NP 技術(shù)組成的具有高性能精確檢測引擎的 IPS 提供對網(wǎng)絡(luò)報文深度檢測，構(gòu)成對數(shù)據(jù)中心網(wǎng)絡(luò)的第二重保護(hù)；第三重保護(hù)是 16 憑借高性能硬件防火墻構(gòu)成的數(shù)據(jù)中心網(wǎng)絡(luò)邊界。 圖 數(shù)據(jù)中心多層安全防御 三重保護(hù)的同時為數(shù)據(jù)中心網(wǎng)絡(luò)提供了從鏈路層到應(yīng)用層的多層防御體系，如圖。交換機(jī)提供的安全特性構(gòu)成安全數(shù)據(jù)中心的網(wǎng)絡(luò)基礎(chǔ)，提供數(shù)據(jù)鏈路層的攻擊防御。數(shù)據(jù)中心網(wǎng)絡(luò)邊界安全定位在傳輸層與網(wǎng)絡(luò)層的安全上，通過狀態(tài)防火墻可以把安全信任網(wǎng)絡(luò)和非安全網(wǎng)絡(luò)進(jìn)行隔離，并提供對 DDOS 和多種畸形報文攻擊的防御。 IPS 可以針對應(yīng)用流量做深度分析與檢測能力，同時配合以精心研究的攻擊特征知識庫和用戶規(guī)則，即可以有效檢測并實(shí)時阻斷隱藏在海量網(wǎng)絡(luò)流量中的病毒、攻擊與濫用行為，也可以對分布在網(wǎng)絡(luò)中的各種流量進(jìn)行有效管 理，從而達(dá)到對網(wǎng)絡(luò)應(yīng)用層的保護(hù)。 網(wǎng)絡(luò)基礎(chǔ) 安全部署 數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ) 架構(gòu) 的安全特性 是數(shù)據(jù)中心中各部件產(chǎn)品基本安全特性的通稱。架構(gòu)安全特性涉及服務(wù)器、接入交換機(jī)、負(fù)載均衡器、匯聚交換機(jī)、核心交換機(jī)等設(shè)備，部署點(diǎn)多、覆蓋面大，是構(gòu)成整個安全數(shù)據(jù)中心的基石。 XXX 憑借基于 COMWARE 的具有豐富安全特性全系列智能交換機(jī)為數(shù)據(jù)中心打造堅(jiān)實(shí)的基礎(chǔ)構(gòu)架。 COMWARE 是由 XXX 推出的支持多種網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)操作系統(tǒng)，它以強(qiáng)大的 IP 轉(zhuǎn)發(fā)引擎為核心，通過完善的體系結(jié)構(gòu)設(shè)計(jì)，把實(shí)時操作系統(tǒng)和網(wǎng)絡(luò)管理、網(wǎng)絡(luò)應(yīng) 用、網(wǎng)絡(luò)安全等技術(shù)完美的結(jié)合在一起。作為一個不斷發(fā)展、可持續(xù)升級的平臺，它具有開放的接口，可靈活支持大量的網(wǎng)絡(luò)協(xié)議和安全特性。 COMWARE 可應(yīng)用在分布式或集中式的網(wǎng)絡(luò)設(shè)備構(gòu)架之上，也就是說，不僅可以運(yùn)行在高端的交換機(jī) /路由器上，而且也可以運(yùn)行在中低端的交換機(jī) /路由器上，不向其它廠商，不同的軟件運(yùn)行在不同的設(shè)備上。 COMWARE的這一特性可使網(wǎng)絡(luò)中各節(jié)點(diǎn)設(shè)備得到同一的安全特性，徹底避免了由于部件產(chǎn)品安全特性不一致、不統(tǒng)一造成的安全“短木板效應(yīng)”。 基于 VLAN 的端口隔離 交換機(jī)可以由硬件實(shí)現(xiàn)相同 VLAN 中的 兩個端口互相隔離。隔離后這兩個端口在本設(shè)備內(nèi)不能實(shí)現(xiàn)二、三層互通。當(dāng)相同 VLAN 中的服務(wù)器之間完全沒有互訪要求時，可以設(shè) 17 置各自連接的端口為隔離端口，如圖。這樣可以更好的保證相同安全區(qū)域內(nèi)的服務(wù)器之間的安全： STP Root/BPDU Guard 基于 Root/BPDU Guard 方式的二層連接保護(hù)保證 STP/RSTP 穩(wěn)定 ,防止攻擊 ,保障可靠的二層連接。如圖。 端口安全 端口安全（ Port Security）的主要功能就是通過定義各種安全模式，讓設(shè)備學(xué)習(xí)到合法的源 MAC 地址，以達(dá)到相應(yīng)的網(wǎng)絡(luò)管理效果。對于不 能通過安全模式學(xué)習(xí)到源 MAC 地址的報文或 認(rèn)證失敗的 設(shè)備， 當(dāng)發(fā)現(xiàn)非法報文后，系統(tǒng)將觸發(fā)相應(yīng)特性，并按照預(yù)先指定的方式自動進(jìn)行處理，減少了用戶的維護(hù)工作量，極大地提高了系統(tǒng)的安全性和可管理性。 端口安全的特性包括： NTK： NTK（ Need To Know）特性通過檢測從端口發(fā)出的數(shù)據(jù)幀的目的 MAC 地址，保證數(shù)據(jù)幀只能被發(fā)送到已經(jīng)通過認(rèn)證的設(shè)備上，從而防止非法設(shè)備竊聽網(wǎng)絡(luò)數(shù)據(jù)。 Intrusion Protection：該特性通過檢測端口接收到的數(shù)據(jù)幀的源 MAC 地址或 認(rèn)證的用戶名、密碼， 發(fā)現(xiàn)非法報文或非法事件，并采取相應(yīng)的動作，包括暫時斷開端口連接、永久斷開端口連接或是過濾此 MAC 地址的報文，保證了端口的安全性。 Device Tracking：該特性是指當(dāng)端口有特定的數(shù)據(jù)包（由非法入侵，用戶不正常上下線等原因引起）傳送時，設(shè)備將會發(fā)送 Trap 信息，便于網(wǎng)絡(luò)管理員對這些特殊的行為進(jìn)行監(jiān)控。 防 IP 偽裝 病毒和非法用戶很多情況會偽裝 IP 來實(shí)現(xiàn)攻擊。偽裝 IP 有三個用處： ? 本身就是攻擊的直接功能體。比如 smurf 攻擊。 ? 麻痹網(wǎng)絡(luò)中的安全設(shè)施。比如繞過利用源 IP 做的接入控制。 ? 隱藏攻擊源 設(shè)備防止 IP 偽裝的關(guān)鍵在于如何判定設(shè)備接收到的報文的源 IP 是經(jīng)過偽裝的。這種判定的方式有三種。分別在內(nèi)網(wǎng)和內(nèi)外網(wǎng)的邊界使用。 在 inter 出口處過濾 RFC3330 和 RFC1918 所描述的不可能在內(nèi)外網(wǎng)之間互訪的 IP 地址。 利用 IP 和 MAC 的綁定關(guān)系網(wǎng)關(guān)防御 利用 DHCP relay 特性，網(wǎng)關(guān)可以形成本網(wǎng)段下主機(jī)的 IP、 MAC 映射表。當(dāng)網(wǎng)關(guān)收到一個 ARP 報文時，會先在映射表中查找是否匹配現(xiàn)有的映射關(guān)系。如果找到則正常學(xué)習(xí)，否 18 則不學(xué)習(xí)該 ARP。這樣偽裝 IP 的設(shè)備沒有辦法進(jìn)行正常的跨網(wǎng)段通信。 接入設(shè)備防御 利用 DHCP SNOOPING 特性，接入設(shè)備通過監(jiān)控其端口接收到的 DHCP request、 ACK、release 報文，也可以形成一張端口下 IP、 MAC 的映射表。設(shè)備可以根據(jù) IP、 MAC、端口的對應(yīng)關(guān)系，下發(fā) ACL 規(guī)則限制從該端口通過的報文源 IP 必須為其從 DHCP 服務(wù)器獲取的 IP 地址。 UPRF UPRF 會檢測接收到的報文中的源地址是否和其接收報文的接口相匹配。其實(shí)現(xiàn)機(jī)制如下：設(shè)備接收到報文后， UPRF 會比較該報文的源地址在路由表中對應(yīng)的出接口是否和接收該報文的接口一致。如果兩者不一致，則將報文丟棄。 路由協(xié)議 認(rèn)證 攻擊者也可以向網(wǎng)絡(luò)中的設(shè)備發(fā)送錯誤的路由更新報文，使路由表中出現(xiàn)錯誤的路由，從而引導(dǎo)用戶的流量流向攻擊者的設(shè)備。為了防止這種攻擊最有效的方法就是使用局域網(wǎng)常用路由協(xié)議時，必須啟用路由協(xié)議的認(rèn)證。 另外，在不應(yīng)該出現(xiàn)路由信息的端口過濾掉所有路由報文也是解決方法之一。但這種方法會消耗掉許多 ACL 資源。 邊界安全 防火墻 邊界安全的一項(xiàng)主要功能是實(shí)現(xiàn)網(wǎng)絡(luò)隔離，通過防火墻可以把安全信任網(wǎng)絡(luò)和非安全網(wǎng)絡(luò)進(jìn)行隔離。 XXX SecPath 系列防火墻以其高效可靠的防攻擊手段，和靈活多變的安全區(qū)域配置策略擔(dān)負(fù)起是守護(hù)數(shù)據(jù) 中心邊界安全的的重任。 狀態(tài)防火墻 狀態(tài) 防火墻設(shè)備將狀態(tài)檢測技術(shù)應(yīng)用在 ACL 技術(shù) 上， 通過對 連接狀態(tài) 的狀態(tài) 的 檢測，動態(tài)的發(fā)現(xiàn)應(yīng)該打開的端口，保證在通信的過程中動態(tài)的決定哪些數(shù)據(jù)包可以通過防火墻。狀態(tài) 防火墻還采用基于流的狀態(tài)檢測技術(shù)可以提供更高的轉(zhuǎn)發(fā)性能， 可以根據(jù)流的信息決定數(shù)據(jù)包是否可以通過防火墻，這樣就可以利用流的狀態(tài)信息決定對數(shù)據(jù)包的處理結(jié)果加快了轉(zhuǎn)發(fā)性能。 防火墻安全區(qū)域管理 邊界安全的一項(xiàng)主要功能是網(wǎng)絡(luò)隔離，并且這種網(wǎng)絡(luò)隔離技術(shù)不是簡單的依靠網(wǎng)絡(luò)接口來劃分的，因?yàn)榫W(wǎng)絡(luò)的實(shí)際拓?fù)涫乔Р钊f別的，使用固定接 口來進(jìn)行網(wǎng)絡(luò)隔離不能適應(yīng)網(wǎng)絡(luò)的實(shí)際要求。 SecBlade 防火墻提供了基于安全區(qū)域的隔離模型，每個安全區(qū)域可以按照網(wǎng)絡(luò)的實(shí)際組網(wǎng)加入任意的接口，因此 SecBlade 的安全管理模型是不會受到網(wǎng)絡(luò)拓?fù)涞挠绊憽? 業(yè)界很多防火墻一般都提供受信安全區(qū)域（ trust）、非受信安全區(qū)域（ untrust）、非軍事化區(qū)域（ DMZ）三個獨(dú)立的安全區(qū)域，這樣的保護(hù)模型可以適應(yīng)大部分的組網(wǎng)要求，但是在一些安全策略要求較高的場合，這樣的保護(hù)模型還是不能滿足要求。 19 SecBlade 防火墻默認(rèn)提供四個安全區(qū)域： trust、 untrust、 DMZ、 local，在提供三個最常用的安全邏輯區(qū)域的基礎(chǔ)上還新增加了本地邏輯安全區(qū)域，本地安全區(qū)域可以定義到防火墻