公司數(shù)據(jù)中心建設網絡安全設計方案

1、公司數(shù)據(jù)中心建設網絡安全設計方案1.1網絡安全部署思路網絡安全整體架構目前大多數(shù)的安全解決方案從本質上來看是孤立的，沒 有形成一個完整的安全體系的概念，雖然已經存在很多的安 全防護技術，如防火墻、入侵檢測系統(tǒng)、防病毒、主機加固 等，但是各個廠家鑒于各自的技術優(yōu)勢，往往厚此薄彼。必 須從全局體系架構層次進行總體的安全規(guī)劃和部署。XXX公司本次信息建設雖然僅包括數(shù)據(jù)中心、內網樓層以及廣域網中心部分的改造和建設，但也必須從全局和架構 的高度進行統(tǒng)一的設計。建議采用目前國際最新的“信息保障技術框架（IATF ）”安全體系結構，其明確提出需要考慮 3 個主要的 因素： 人、操作 和技術。本技術方案著重討

2、論技 術因素，人和操作則需要在非技術領域（比如安全規(guī)章制度） 方面進行解決技術因素方面IATF提出了一個通用的框架，將信息系統(tǒng)的信息保障技術層面分為了四個技術框架域:?網絡和基礎設施： 網絡和基礎設施的防護?飛地邊界：解決邊界保護問題?局域計算環(huán)境：主機的計算環(huán)境的保護?支撐性基礎設施： 安全的信息環(huán)境所需要的支撐平并提出縱深防御的IA原則，即人、技術、操作相結合的 多樣性、多層疊的保護原則。如下圖所示：主要的一些安全技術和應用在框架中的位置如下圖所示:r臺 平 支rkls: 土 火 防PKIWI和N VP弓理 C管碼覽 商11-j一牌 令代 病碼碼 代Ik丿離 全安U一網鋼的交4服勢層應當提

3、 供的支搏服錚十/I;層應用需要解決的間題我們在本次網絡建設改造中需要考慮的安全問題就是上圖中的“網絡和基礎設施保護”、“邊界保護”兩個方面，而“計算機環(huán)境（主機）”、“支撐平臺”則是在系統(tǒng)主機 建設和業(yè)務應用建設中需要重點考慮的安全問題。網絡平臺建設所必須考慮的安全問題高速發(fā)達的網絡平臺衍生現(xiàn)代的網絡病毒、蠕蟲、DDoS攻擊和黑客入侵等等攻擊手段，如果我們的防護手段依然停 留在對計算環(huán)境和信息資產的保護，將處于被動。需要從網 絡底層平臺的建設開始，將安全防護的特性內置于其中。因 此在SODC架構中，安全是一個智能網絡應當對上層業(yè)務提 供的基本服務之一。XXX公司網絡從平臺安全角度的安全設計分

4、為以下三個 層次：設備級的安全： 需要保證設備本身的安全，因為設備本 身也越來越可能成為攻擊的最終目標；網絡級的安全：網絡作為信息傳輸?shù)钠脚_，有第一時間 保護信息資源的能力和機會，包括進行用戶接入認證、授權 和審計以防止非法的接入，進行傳輸加密以防止信息的泄漏 和窺測，進行安全劃分和隔離以防止為授權的訪問等等；系統(tǒng)級的主動安全： 智能的防御網絡必須能夠實現(xiàn)所謂 “先知先覺”，在潛在威脅演變?yōu)榘踩糁凹右源胧?，包括通過準入控制來使“健康”的機器才能接入網絡，通過事前探測即時分流來防止大規(guī)模DDoS攻擊，進行全局的安全管理等。XXX公司應在上述三個方面逐步實施。1.2網絡設備級安全網絡設備自身

5、安全包括設備本身對病毒和蠕蟲的防御 以及網絡協(xié)議本身的防范措施。有以下是本項目所涉及的網 絡設備和協(xié)議環(huán)境面臨的威脅和相應的解決方案：防蠕蟲病毒的等 Dos攻擊數(shù)據(jù)中心雖然沒有直接連接Internet，但內部專網中很多計算機并無法保證在整個使用周期內不會接觸互聯(lián)網和各 種移動存儲介質，仍然會較多的面臨大量網絡蠕蟲病毒的威 脅，比如Red Code，SQL Slammer等等，由于它們經常變 換特征，防火墻也不能完全對其進行過濾，它們一般發(fā)作的 機理如下：?利用Microdsoft OS 或應用的緩沖區(qū)溢出的漏洞獲得此主機的控制權?獲得此主機的控制權后，安裝病毒軟件，病毒軟件隨機生成大量的IP地

6、址，并向這些IP地址發(fā)送大 量的IP包。?有此安全漏洞的 MS OS會受到感染，也隨機生成大量IP地址，并向這些IP地址發(fā)送大量的IP包。?導致阻塞網絡帶寬，CPU利用率升高等?直接對網絡設備發(fā)出錯包，讓網絡設備 CPU占用率 升高直至引發(fā)協(xié)議錯誤甚至宕機因此需要在設備一級保證受到攻擊時本身的健壯性。此次XXX公司的核心交換機Nexus 7000、智能服務機箱Catalyst 6500 均支持硬件化的控制平面流量管制功能，可 以自主限制必須由 CPU親自進行處理的信息流速，要求能 將包速管制閾值設定在CPU可健康工作的范圍內，從根本上解決病毒包對 CPU資源占用的問題，同時不影響由數(shù)據(jù) 平面正

7、常的數(shù)據(jù)交換。特別是Nexus 7000的控制平面保護機制是在板卡一級分布式處理的，具備在大型IDC中對大規(guī)模DDoS的防護能力。另外所有此類的蠕蟲和病毒都會利用偽造源IP地址進行泛濫，局域網核心交換機和廣域網骨干路由器都應當支持對 轉發(fā)的包進行源地址檢查，只有源地址合法的IP包才會被轉 發(fā)，這種技術稱為 Unicast Reverse Forwarding （ uRPF，單 播反轉路徑轉發(fā)）。該技術如果通過 CPU實現(xiàn)，則在千兆以 上的網絡中將不具備實用性，而本次 XXX公司網絡中在萬兆一級的三層端口支持通過硬件完成的uRPF功能。防VLAN的脆弱性配置在數(shù)據(jù)中心的不同安全域進行防火墻訪問控

8、制隔離時， 存在多個VLAN，雖然廣泛采用端口捆綁、vPC等技術使正常工作中拓撲簡化甚至完全避免環(huán)路，但由于網絡VLAN多且關系復雜，無法在工程上完全杜絕諸如網絡故障切換、誤 操作造成的臨時環(huán)路，因此有必要運行生成樹協(xié)議作為二層 網絡中增加穩(wěn)定性的措施。但是，當前有許多軟件都具有STP功能，惡意用戶在它的PC上安裝STP軟件與一個 Switch相連，引起STP重新 計算，它有可能成為STP Root,因此所有流量都會流向惡意 軟件主機，惡意用戶可做包分析。局域網交換機應具有 Root guard （根橋監(jiān)控）功能，可以有效防止其它Switch 成為STP Root。本項目我們在所有允許二層生成

9、樹協(xié)議的設備 上，特別是接入層中都將啟動Root Guard 特性，另外Nexus5000/2000 還支持 BPDU filters, Bridge Assurance 等 生成樹特性以保證生成樹的安全和穩(wěn)定。還有一些惡意用戶編制特定的STP軟件向各個 Vian加入，會引起大量的 STP的重新計算，引起網絡抖動，CPU占用升高。本期所有接入層交換機的所有端口都將設置BPDU Guard 功能，一旦從某端口接收到惡意用戶發(fā)來的 STP BPDU,貝U禁止此端口。（三）防止ARP表的攻擊的有效手段 本項目大量使用了三層交換機，在發(fā)送數(shù)據(jù)前其工作方式同路由器一樣先查找 ARP，找到目的端的 MAC

10、地址，再 把信息發(fā)往目的。很多病毒可以向三層交換機發(fā)一個冒充的 ARP,將目的端的IP地址和惡意用戶主機的 MAC對應，因 此發(fā)往目的端的包就會發(fā)往惡意用戶，以此實現(xiàn)包竊聽。在Host上配置靜態(tài)ARP是一種防止方式， 但是有管理 負擔加重，維護困難，并當通信雙方經常更換時，幾乎不能 及時更新。本期所使用的所有三層交換機都支持動態(tài)ARPInspection 功能，可動態(tài)識別 DHCP，記憶 MAC 地址和IP 地址的正確對應關系，有效防止ARP的欺騙。實際配置中，主要配置對Server和網絡設備實施的 ARP欺騙，也可靜態(tài)人為設定，由于數(shù)量不多，管理也較簡單123防止DHCP相關攻擊本項目中的樓

11、層網段會采用 DHCP Server服務器提 供用戶端地址，但是卻面臨著幾種與 DHCP服務相關的攻擊 方式，它們是：DHCP Server冒用：當某一個惡意用戶再同一網段內 也放一個DHCP服務器時，PC很容易得到這個 DHCP server的分配的IP地址而導致不能上網。惡意客戶端發(fā)起大量 DHCP請求的DDos攻擊：惡意 客戶端發(fā)起大量 DHCP請求的DDos攻擊，則會使DHCP Server性能耗盡、CPU利用率升高。惡意客戶端偽造大量的 MAC地址惡意耗盡IP地址池應采用如下技術應對以上常見攻擊：?防DHCP Server冒用：此次新采購的用戶端接入交換機應當支持DHCP Snoop

12、ing VACL, 只允許指 定DHCP Server的服務通過，其它的DHCP Server的服務不能通過Switch 擊：此次 新采購的用戶端接入交換機應當支持對 DHCP請求作流量限速，防止惡意客戶端發(fā)起大量DHCP請求的 DDos 攻擊，防止 DHCP Server的 CPU利用率升高。?惡意客戶端偽造大量的 MAC地址惡意耗盡IP地址池：此次新采購的用戶端接入交換機應當支持DHCP option 82 字段插入，可以截斷客戶端 DHCP的請求，插入交換機的標識、接口的標識等發(fā)送給DHCP Server ；另外DHCP服務軟件應支持針對此標識來的請求進行限量的IP地址分配，或者其它附加的安全分配策略和條件。1.3網絡級安全網絡級安全是網絡基礎設施在提供連通性服務的基礎上所增值的安全服務，在網絡平臺上直接實現(xiàn)這些安全功能 比采用獨立的物理主機實現(xiàn)具有更為強的靈活性、更好的性能和更方便的管理。在本次數(shù)據(jù)中心的設計范圍內主要是訪問控制和隔離（防火墻技術）。從XXX公司全網看，集團網絡、各地機構廣域網、互聯(lián)網、內部樓層、內部數(shù)據(jù)中心等都是具備明顯不同安全要求 的網絡，按飛地邊界部