基于NGFW的數(shù)據(jù)中心安全架構(gòu)方案探討

夏凌云

(中國石油大學(xué)（華東） 網(wǎng)絡(luò)及教育技術(shù)中心 ,山東 青島 266580)

基于NGFW的數(shù)據(jù)中心安全架構(gòu)方案探討

夏凌云

(中國石油大學(xué)（華東） 網(wǎng)絡(luò)及教育技術(shù)中心 ,山東 青島 266580)

通過對傳統(tǒng)防火墻和下一代防火墻的功能分析，闡述了下一代防火墻的優(yōu)勢所在，并以實(shí)際部署為例，介紹了集成式板載下一代防火墻的冗余式部署方案并驗(yàn)證。

防火墻;NGFW;數(shù)據(jù)中心

1 前言

隨著IT技術(shù)的發(fā)展和“互聯(lián)網(wǎng)+”戰(zhàn)略的實(shí)施，保護(hù)信息系統(tǒng)和數(shù)據(jù)安全的需要也飛速增長，數(shù)據(jù)中心的安全建設(shè)需求愈發(fā)重要。而防火墻作為數(shù)據(jù)中心防護(hù)架構(gòu)的關(guān)鍵防線，如何在數(shù)據(jù)中心內(nèi)部穩(wěn)定并高效的部署防火墻，成為當(dāng)今數(shù)據(jù)中心安全建設(shè)的一個(gè)重要課題。一般來說，數(shù)據(jù)中心防火墻部署于數(shù)據(jù)中心的網(wǎng)絡(luò)邊界上，位于數(shù)據(jù)中心內(nèi)部的服務(wù)器區(qū)域和外部訪問用戶區(qū)域之間，傳統(tǒng)的網(wǎng)絡(luò)層防火墻運(yùn)行在TCP/IP協(xié)議棧上，通過對訪問流量的TCP/IP報(bào)文進(jìn)行預(yù)訂策略的識別、過濾和轉(zhuǎn)發(fā)來控制外部用戶對數(shù)據(jù)中心內(nèi)部服務(wù)器的訪問權(quán)限，保護(hù)數(shù)據(jù)中心內(nèi)部服務(wù)器免于非法用戶的訪問和入侵[1]。

2 NGFW介紹

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和防護(hù)需求的提升，傳統(tǒng)的網(wǎng)絡(luò)層防火墻由于工作在ISO網(wǎng)絡(luò)七層架構(gòu)的網(wǎng)絡(luò)層，對數(shù)據(jù)包和流量的分析是基于網(wǎng)絡(luò)層五元組（源/目的IP，源/目的端口和協(xié)議）的，由此也暴露出一些新問題：1）基于端口的識別方式對具體應(yīng)用沒有識別能力，導(dǎo)致非法應(yīng)用可能借用知名端口穿過防火墻；2）基于IP的識別方式對DDoS、源地址仿冒攻擊和對象IP地址不固定的移動端信息服務(wù)防范能力不足；3）對于應(yīng)用層服務(wù)的檢測、過濾和管理能力欠缺。

因此，業(yè)內(nèi)各個(gè)廠家近年來都推出了下一代防火墻（Next Generation Fire Wall，NGFW）來代替?zhèn)鹘y(tǒng)防火墻，除了提供傳統(tǒng)防火墻的防護(hù)方式外，同時(shí)提供以區(qū)分用戶、應(yīng)用和資源內(nèi)容為防護(hù)手段和目標(biāo)的新一代數(shù)據(jù)中心防護(hù)模式。

3 NGFW實(shí)施方案

在實(shí)際實(shí)施方案中，我們選用了華為公司的S12708三層交換機(jī)作為數(shù)據(jù)中心的網(wǎng)絡(luò)核心和骨干[2]，各個(gè)機(jī)柜的服務(wù)器通過二層VLAN連接到該數(shù)據(jù)中心交換機(jī)[3]。采用兩塊ET1D2FW00S00 NGFW下一代防火墻集成板卡作為安全防護(hù)核心。系統(tǒng)結(jié)構(gòu)如圖1所示：

該方案主要說明如下：1）兩塊S12708集成的NGFW Module做主備式部署，其GE0/0/1配置為心跳接口，當(dāng)A板卡出問題后，防護(hù)系統(tǒng)自動切換到B板卡，消除單點(diǎn)故障；2）兩塊NGFW Module通過背板帶寬，以一進(jìn)一出兩個(gè)虛擬20G接口的方式與S12708三層交換機(jī)做邏輯連接；3）兩塊NGFW Module上行鏈路做捆綁后與S12708數(shù)據(jù)中心交換機(jī)外網(wǎng)部分做路由互指，NGFW Module的默認(rèn)路由指向S12708，S12708根據(jù)防火墻上實(shí)際部署的服務(wù)器網(wǎng)段做靜態(tài)路由；4）兩塊防火墻的內(nèi)向接口配置為內(nèi)部服務(wù)器的網(wǎng)關(guān)，并且做VRRP以確保冗余切換，在內(nèi)向接口上使用子接口區(qū)分不同VLAN。

4 具體關(guān)鍵配置

在對S12708進(jìn)行完基礎(chǔ)配置，使其聯(lián)入互聯(lián)網(wǎng)后，防火墻功能部分主要配置實(shí)施如下：1）將兩塊NGFW Module的GE0/0/1用網(wǎng)線直接連接，并配置其心跳線功能：

2）以新增VLAN51（VRRP=10.10.179.30）為例配置內(nèi)網(wǎng)接口為服務(wù)器區(qū)域網(wǎng)關(guān)：

3）配置兩塊NGFW Module和S12708之間的接口地址和互指路由后，內(nèi)外網(wǎng)即可以互通。

配置完成后進(jìn)行測試，將VLAN51下的服務(wù)器IP地址設(shè)置為10.10.179.0/27內(nèi)地之后，可以ping通網(wǎng)關(guān)并正常上網(wǎng)。通過192.168.1.195和192.168.1.196可以進(jìn)入防火墻板卡的配置接口或Web管理界面，以配置更詳細(xì)的防火墻策略，實(shí)現(xiàn)對服務(wù)器的全面防護(hù)。

5 總結(jié)

較之獨(dú)立防火墻設(shè)備的部署方式，集成式的防火墻板卡優(yōu)化了與數(shù)據(jù)中心交換機(jī)的連接方式，節(jié)約了設(shè)備端口的同時(shí)，還提供了很大的雙向連接帶寬。同時(shí)充分利用了S12708上設(shè)備端口，減少了防火墻所需的設(shè)備下聯(lián)端口?；谝陨线^程搭建的數(shù)據(jù)中心安全架構(gòu)，具有很好的安全冗余性，并且除了提供了傳統(tǒng)防火墻所具備的防功能外，還可以為數(shù)據(jù)中心提供反病毒、入侵防護(hù)、URL過濾、內(nèi)容過濾、文件過濾、郵件過濾、應(yīng)用行為控制等企業(yè)級應(yīng)用層功能，經(jīng)過多方面測試，具有較好的實(shí)際使用效果。

[1]陳麟,李煥洲,胡勇,戴宗坤.防火墻系統(tǒng)高可用性研究[J].四川大學(xué)學(xué)報(bào)(工程科學(xué)版),2005,31(01)：126-129.

[2]HUAWEI USG6000系列&NGFW Module V100R001典型配置案例 [J]. 2015(07)：30.

[3]S12700系列敏捷交換機(jī)典型配置舉例[J].2016(03)：16.

作者介紹：夏凌云（1980-）,男,四川瀘州人,碩士研究生,工程師,主要研究方向：互聯(lián)網(wǎng)技術(shù)、計(jì)算機(jī)軟硬件技術(shù)和物聯(lián)網(wǎng)技術(shù)。

10.16640/j.cnki.37-1222/t.2016.22.112