本文介紹互聯(lián)網(wǎng)數(shù)據(jù)中心網(wǎng)絡架構主要特征和多層設計原則，分析互聯(lián)網(wǎng)數(shù)據(jù)中心面臨的主要安全威脅，對其安全規(guī)劃和部署實施提出方案建議。

1 互聯(lián)網(wǎng)數(shù)據(jù)中心網(wǎng)絡多層設計原則

從本質(zhì)上說，互聯(lián)網(wǎng)數(shù)據(jù)中心網(wǎng)絡多層設計原則是劃分區(qū)域、劃分層次、各自負責安全防御任務，即將復雜的數(shù)據(jù)中心內(nèi)部網(wǎng)絡和主機元素按一定的原則分為多個層次多個部分，形成良好的邏輯層次和分區(qū)。

數(shù)據(jù)中心用戶的業(yè)務可分為多個子系統(tǒng)，彼此之間會有數(shù)據(jù)共享、業(yè)務互訪、數(shù)據(jù)訪問控制與隔離的需求，根據(jù)業(yè)務相關性和流程需要，需要采用模塊化設計，實現(xiàn)低耦合、高內(nèi)聚，保證系統(tǒng)和數(shù)據(jù)的安全性、可靠性、靈活擴展性、易于管理，把用戶的整個IT 系統(tǒng)按照關聯(lián)性、管理等方面的需求劃分為多個業(yè)務板塊系統(tǒng)，而每個系統(tǒng)有自己單獨的核心交換，服務器，安全邊界設備等，逐級訪問控制，并采用不同等級的安全措施和防護手段。

互聯(lián)網(wǎng)數(shù)據(jù)中心網(wǎng)絡可同時從個方面劃分層次和區(qū)域：

(1)根據(jù)內(nèi)外部分流原則分層。

(2)根據(jù)業(yè)務模塊隔離原則分區(qū)。

(3) 根據(jù)應用分層次訪問原則來分級。

▲圖1 數(shù)據(jù)中心網(wǎng)絡分層

1.1 分層

根據(jù)內(nèi)外部分流原則，數(shù)據(jù)中心網(wǎng)絡可分為4 層：互聯(lián)網(wǎng)接入層、匯聚層、業(yè)務接入層和運維管理層。

最常見的數(shù)據(jù)中心網(wǎng)絡分層如圖1 所示。

互聯(lián)網(wǎng)接入層配置核心路由器實現(xiàn)與互聯(lián)網(wǎng)的互聯(lián)，對互聯(lián)網(wǎng)數(shù)據(jù)中心內(nèi)網(wǎng)和外網(wǎng)的路由信息進行轉換和維護，并連接匯聚層的各匯聚交換機，形成數(shù)據(jù)中心的網(wǎng)絡核心。

匯聚層配置匯聚交換機實現(xiàn)向下匯聚業(yè)務接入層各業(yè)務區(qū)的接入交換機，向上與核心路由器互聯(lián)。部分流量管理設備、安全設備部署在該層。大客戶或重點業(yè)務可直接接入?yún)R聚層交換機。

業(yè)務接入層通過接入交換機接入各業(yè)務區(qū)內(nèi)部的各種服務器設備、網(wǎng)絡設備等。

運維管理層一般獨立成網(wǎng)，與業(yè)務網(wǎng)絡進行隔離，通過運維管理層的接入及匯聚交換機連接管理子系統(tǒng)各種設備。

1.2 分區(qū)

按照關聯(lián)性、管理、安全防護等方面的不同需求，可將數(shù)據(jù)中心網(wǎng)絡劃分為不同的區(qū)域：互聯(lián)網(wǎng)域、接入域、服務域、管理域、計算域等，各安全域之間經(jīng)過防火墻隔離，確保相應的訪問控制策略。

互聯(lián)網(wǎng)域包括實施自助管理的管理用戶和訪問應用的最終用戶。

接入域為用戶接入數(shù)據(jù)中心提供統(tǒng)一的界面和借口，又稱為非軍事化隔離區(qū)（DMZ）。服務域提供域名解析、身份認證授權、IP 地址轉換等網(wǎng)絡服務功能。計算域提供計算服務，可以根據(jù)安全需求再劃分安全子域。管理域提供安全管理、運營管理、業(yè)務管理等。

相對來說，計算域和管理域的安全級別最高，服務域和接入域次之，用戶域最低。

1.3 分級

服務器資源是數(shù)據(jù)中心的核心，按服務器服務功能將其分為可管理的層次，打破將所有功能都駐留在單一服務器時帶來的安全隱患，增強了擴展性和可用性。

服務器層直接與接入設備相連，提供面向客戶的應用，如IIS、服務器等等。

應用層用來粘合面向用戶的應用程序、后端的數(shù)據(jù)庫服務器或存儲服務器，如WebLogic、J2EE 等中間件技術。

數(shù)據(jù)庫層包含了所有的數(shù)據(jù)庫、存儲和被不同應用程序共享的原始數(shù)據(jù)，如MS SQL Server、Oracle 9i、等。

在以上3 種的分層分區(qū)域的設計下，不同網(wǎng)絡區(qū)域之間的安全關系明確，可對每個區(qū)域進行安全實施，而對其他區(qū)域不會干擾；最大限度地隔離故障區(qū)域，加快故障收斂時間，提高可用性；可根據(jù)不同的區(qū)域和層次的功能分別建設，業(yè)務部署靈活；網(wǎng)絡結構清晰，易管理。

2 互聯(lián)網(wǎng)數(shù)據(jù)中心安全威脅

侵入攻擊、拒絕服務攻擊（DoS）和分布式拒絕服務攻擊（DDoS）、蠕蟲病毒是互聯(lián)網(wǎng)數(shù)據(jù)中心面臨的最主要的3 類安全威脅。

數(shù)據(jù)中心網(wǎng)絡安全防護部件眾多，各網(wǎng)絡層次上不同的安全設備相互合作，形成整個安全防護體系。對數(shù)據(jù)中心網(wǎng)絡基礎設備的非法侵入和危害使侵入攻擊具有強大的破壞能力和隱蔽性，對某一個網(wǎng)絡設備的侵入可能影響到整個數(shù)據(jù)中心安全防衛(wèi)體系。

在DoS 和DDoS 中，攻擊者通過惡意搶占網(wǎng)絡資源，使數(shù)據(jù)中心無法正常運營。此類攻擊是互聯(lián)網(wǎng)數(shù)據(jù)中心最常預見的攻擊，同時也需要防范利用數(shù)據(jù)中心內(nèi)部僵尸主機對互聯(lián)網(wǎng)上其他主機進行攻擊。

利用軟件系統(tǒng)設計的漏洞對應用的攻擊包括惡意蠕蟲、病毒、緩沖溢出代碼、后門木馬等，攻擊者獲取存在漏洞的主機的控制權后對病毒進行復制和轉播，在已感染的主機中設置后門或者執(zhí)行惡意代碼，導致用戶帶寬資源被占用，或者數(shù)據(jù)中心增值業(yè)務受到威脅。因其傳播都基于現(xiàn)有的業(yè)務端口，傳統(tǒng)的防火墻對此類攻擊缺乏足夠的檢測能力。更為嚴峻的是數(shù)據(jù)中心抵抗飛速增長的應用的“零日攻擊”問題。

3 互聯(lián)網(wǎng)數(shù)據(jù)中心安全防護措施

為保障互聯(lián)網(wǎng)數(shù)據(jù)中心的安全，抵御各種威脅和攻擊，需要聯(lián)合使用安全體系中各個層次的安全技術，形成一個完善的安全防預體系。

3.1 虛擬專用網(wǎng)

為了在不安全的互聯(lián)網(wǎng)中實現(xiàn)企業(yè)應用的安全訪問和數(shù)據(jù)的安全傳輸，虛擬專用網(wǎng)（VPN） 技術無疑是互聯(lián)網(wǎng)數(shù)據(jù)中心必不可少的安全技術。VPN 通過互聯(lián)網(wǎng)建立一個臨時的、安全的連接，形成一個穿越公網(wǎng)的安全穩(wěn)定的虛擬私有廣域網(wǎng)。網(wǎng)絡的VPN 應用有兩種：除了提供防火墻到防火墻的VPN 應用，支持應用在企業(yè)分支機構之間互通信息外，還提供移動用戶到VPN 防火墻/網(wǎng)關設備的VPN 應用，支持移動辦公的IP 地址不固定的企業(yè)員工從互聯(lián)網(wǎng)上對企業(yè)內(nèi)部資源的訪問。隨著互聯(lián)網(wǎng)數(shù)據(jù)中心業(yè)務的不斷擴大，還需要保障在有限的網(wǎng)絡帶寬下實現(xiàn)VPN，并提供業(yè)務質(zhì)量（QoS） 保證。目前的趨勢是采用網(wǎng)絡控制和應用控制，即和身份和訪問管理（IAM） 技術結合，提供更靈活的訪問控制和安全隔離服務。

3.2 虛擬局域網(wǎng)

數(shù)據(jù)中心多業(yè)務運營的需求，使得數(shù)據(jù)中心網(wǎng)絡中服務器和客戶端之間的縱向流量大于服務器之間的橫向流量，需要使用虛擬局域網(wǎng)將不同客戶的不同業(yè)務從第二層隔離開，分配一個VLAN 和IP 子網(wǎng)。專用VLAN 可以有不同安全級別的端口：專用端口與服務器連接，只能與混雜端口通信；混雜端口與路由器或交換機接口相連，也可以和共有端口通信；共有端口之間也可以相互通信，主要用于需要相互通信的客戶之間。

3.3 防火墻

防火墻是數(shù)據(jù)中心網(wǎng)絡最基本的安全設備，可以對不同的信任級別的安全區(qū)域進行隔離，保護數(shù)據(jù)中心邊界安全，同時提供靈活的部署和擴展能力。DoS 攻擊和DDoS 攻擊的手段繁多、攻擊時流量突然增大，因此防DoS 攻擊對防火墻的功能要求和性能要求比較大。目前互聯(lián)網(wǎng)數(shù)據(jù)中心對防火墻的重點需求是基于狀態(tài)的包檢測功能和虛擬防火墻。狀態(tài)防火墻設備將狀態(tài)檢測技術應用在ACL 技術上，動態(tài)的決定哪些數(shù)據(jù)包可以通過防火墻，而基于流的狀態(tài)檢測技術可以提供更高的轉發(fā)性能。在物理防火墻無法滿足實際網(wǎng)絡環(huán)境的情況下，可以實施虛擬防火墻，將物理防火墻邏輯劃分出多個相互無干擾的虛擬防火墻，并依據(jù)業(yè)務需求設置合理的細粒度的訪問控制措施。另外，具有QoS 機制的防火墻能夠提供流量控制功能，針對不同的應用做出合理的帶寬分配和流量控制，防止某個應用如FTP、Telnet 在某個的時間內(nèi)獨占帶寬資源而導致關鍵業(yè)務流量丟失和實時性業(yè)務流量中斷。

目前大多數(shù)據(jù)中心實施雙機部署、或者部署異構防火墻，以滿足高可用性的要求。

3.4 流量清洗

為監(jiān)控、告警、防護對應用服務器發(fā)起的DOS/DDOS 攻擊，可在互聯(lián)網(wǎng)數(shù)據(jù)中心出口處部署流量清洗設備，監(jiān)測異常流量，當發(fā)現(xiàn)攻擊時，開啟防御，將異常流量牽引出來進行清洗，將正常的流量回注到服務器進行業(yè)務處理。

3.5 入侵防御

入侵防御系統(tǒng)檢測蠕蟲、網(wǎng)絡釣魚、后門木馬、間諜軟件等應用層攻擊，可在互聯(lián)網(wǎng)數(shù)據(jù)中心出口和內(nèi)部各安全區(qū)的網(wǎng)絡匯聚層采用旁掛或者與網(wǎng)絡設備融合的部署方式進行部署，主動提供防護，預先對入侵流量進行攔截，配合防火墻和安全網(wǎng)關設備形成從鏈路層到應用層的全面防護。互聯(lián)網(wǎng)數(shù)據(jù)中心的應用流量對入侵防御系統(tǒng)的性能提出了挑戰(zhàn)，需要具備高精度、高效率的入侵檢測引擎和全面及時的攻擊特征庫。

3.6 安全管理

為達到互聯(lián)網(wǎng)數(shù)據(jù)中心的運營要求，除了部署健全的網(wǎng)絡安全基礎設施外，還需建設的系統(tǒng)的、多層次的、可運營的安全管理系統(tǒng)，確保安全策略的集中部署、安全部件的統(tǒng)一管理，安全事件的高度關聯(lián)，從安全管理上提升數(shù)據(jù)中心的整體安全防御能力。

首先應制訂正式、有效、全面的安全管理制度，在安全管理機構與崗位設置上嚴格把關。加強系統(tǒng)安全運維管理，定期進行設備檢查、安全監(jiān)察、漏洞掃描，并采取及時地安全事件處置措施，還可利用輔助性管理工具，實現(xiàn)安全配置的自動管理。

在安全信息和事件管理方面，應對網(wǎng)絡設備、主機服務器、數(shù)據(jù)庫、應用系統(tǒng)、云平臺自身管理節(jié)點的安全信息與事件進行管理，進行安全日志管理，針對操作日志、運行日志、故障日志等進行管理，提供設備、主機、應用系統(tǒng)、漏洞、網(wǎng)絡流量、主機資產(chǎn)等報告。

在用戶身份認證與訪問管理方面，應按照不同用戶等級，設計相應的數(shù)據(jù)中心資源訪問用戶的訪問權限。用戶訪問等級權限應區(qū)分管理員用戶、普通用戶的不同權限。

在故障管理方面，應進行故障預防管理，通過對高危操作的預防以達到將隱患消除在萌芽狀態(tài)的目的。

可根據(jù)不同高危類別，設定不同級別的高危動作。應進行故障管理，如告警處理、故障處理、應急處理、部件更換等方面。

4 結束語

由于互聯(lián)網(wǎng)數(shù)據(jù)中心設備的集中、數(shù)據(jù)的集中、應用的集中以及通過互聯(lián)網(wǎng)的訪問模式的特點，為提供企業(yè)級的優(yōu)質(zhì)的業(yè)務服務能力，互聯(lián)網(wǎng)數(shù)據(jù)中心安全成為其建設和運營最需要關注的問題，需要在安全設備部署和安全管理兩方面共同配合，搭建一個立體無縫的安全平臺，形成全方位一體化的安全防御系統(tǒng)。同時，互聯(lián)網(wǎng)數(shù)據(jù)中心的網(wǎng)絡安全的建設是一個不斷發(fā)展更新的過程，需要及時的調(diào)整已有的安全策略，設計新的網(wǎng)絡安全方案、技術和服務，進行更全面和完善的網(wǎng)絡安全規(guī)劃和建設。

【凡本網(wǎng)注明來源非中國IDC圈的作品，均轉載自其它媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點和對其真實性負責�！�