張凌云+李俊杰

摘 要：通過該文介紹的一種數(shù)據(jù)中心安全部署實施方案，實現(xiàn)防火墻的主備模式，加強了網(wǎng)絡(luò)的穩(wěn)定性和安全性，同時實現(xiàn)安全區(qū)域劃分，滿足不同級別信息系統(tǒng)安全隔離，更加有效地控制各個網(wǎng)段的訪問權(quán)限。通過事先確認的測試項目，對主要網(wǎng)絡(luò)路徑的通斷情況、主要業(yè)務(wù)的狀況進行檢測，確保這些要檢測的網(wǎng)絡(luò)路徑和業(yè)務(wù)都正常工作。

關(guān)鍵詞：企業(yè) 數(shù)據(jù)中心 安全 部署應(yīng)用

中圖分類號：TP393 文獻標識碼：A 文章編號：1674-098X（2017）04（a）-0135-02

為響應(yīng)互聯(lián)網(wǎng)信息系統(tǒng)等級保護的要求，需對某企業(yè)核心網(wǎng)絡(luò)交換機與數(shù)據(jù)中心匯聚交換機間的防火墻進行改造升級，實現(xiàn)數(shù)據(jù)區(qū)數(shù)據(jù)庫、應(yīng)用服務(wù)器等網(wǎng)段安全隔離，滿足不同級別信息系統(tǒng)安全隔離。通過該項目實施，實現(xiàn)防火墻的主備模式，加強了網(wǎng)絡(luò)的穩(wěn)定性和健壯性，同時實現(xiàn)安全區(qū)域劃分，滿足不同級別信息系統(tǒng)安全隔離，更加有效地控制各個網(wǎng)段的訪問權(quán)限。

在進行網(wǎng)絡(luò)過渡的過程中，須考慮諸方面的因素，如系統(tǒng)升級、網(wǎng)絡(luò)拓撲的變化以及相應(yīng)政策的影響，以確保網(wǎng)絡(luò)過渡過程不會對現(xiàn)有興義供電局局域網(wǎng)及其廣大用戶造成任何沖擊。在實施方案的制訂過程中，遵循如下原則。

（1）充分保證實施方案整體的可靠性。

（2）全面考慮網(wǎng)絡(luò)過渡過程的各方面因素。

（3）合理利用現(xiàn)有網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)拓撲結(jié)構(gòu)。

（4）在網(wǎng)絡(luò)實施過程中加入必要的測試過程，保證整個網(wǎng)絡(luò)過渡過程的正確性。

（5）該方案可依實際情況進行具體分析討論后做出相應(yīng)調(diào)整。

1 工程實施概況描述

1.1 網(wǎng)絡(luò)現(xiàn)狀描述

現(xiàn)某公司局域網(wǎng)接入到綜合數(shù)據(jù)網(wǎng)由兩臺不同型號的防火墻以路由方式接入，此方式存在的問題是不能進行安全策略的同步，由于非對稱路由問題不能兩條線路同時使用，只能手動進行線路的激活。

原來使用防火墻已經(jīng)在線運行多年，性能已經(jīng)不能滿足當前數(shù)據(jù)中心流量要求，并且數(shù)據(jù)端口為100 M，已經(jīng)存在極大的網(wǎng)絡(luò)瓶頸。

1.2 目標網(wǎng)絡(luò)描述

使用局域網(wǎng)核心交換機的虛擬防火墻來替換現(xiàn)在的數(shù)據(jù)中心防火墻。并將其部署成為主備模式，主FWSM在進行配置后會自動將配置同步到備FWSM上。

1.3 方案設(shè)計說明

（1）在Cisco FWSM上創(chuàng)建數(shù)據(jù)區(qū)VFW。

（2）把原有業(yè)務(wù)接口上應(yīng)用策略上移至每個VFW的Outside接口上，在VFW間實現(xiàn)網(wǎng)段間的安全隔離。

（3）VFW采用二層透明模式。業(yè)務(wù)機上網(wǎng)關(guān)保持原來地址不做改變。

采用二層部署的優(yōu)勢在于如下幾個方面。

①簡化和加速安全設(shè)備的部署。

②在現(xiàn)有網(wǎng)絡(luò)中的快速部署，不改變?nèi)魏蜪P地址。

③提供高性能“秘密的”L2-L7安全服務(wù)，提供網(wǎng)絡(luò)層的安全控制與攻擊保護。

2 施工程組織及安全措施

2.1 進度計劃表

進度計劃見表1。

2.2 風險分析及防范措施

此次網(wǎng)絡(luò)改造存在的風險如下。

（1）改造過程中，因為要進行線路改造和加入二層虛擬防火墻，改造中斷時間約為80 min左右。

（2）該次工作需要對兩臺核心分別進行改造，因此業(yè)務(wù)服務(wù)器通信鏈路需要進行多次網(wǎng)絡(luò)業(yè)務(wù)割接。在以往的工作中，服務(wù)器曾經(jīng)因斷網(wǎng)而出現(xiàn)業(yè)務(wù)異常的情時有發(fā)生。針對核心中斷會導(dǎo)致服務(wù)器業(yè)務(wù)中斷的情況，擬采取以下措施。

①服務(wù)器服務(wù)器建議廠家和相關(guān)負責人員到場支持。

②建議相關(guān)服務(wù)器在網(wǎng)絡(luò)切換前關(guān)停機，在網(wǎng)絡(luò)恢復(fù)之后再行啟動。

③所有業(yè)務(wù)系統(tǒng)在網(wǎng)絡(luò)割接后，馬上進行測試，確保服務(wù)正常。

此次改造可能會影響AD域NACC流量引入不正常，嚴格要求AD域廠家現(xiàn)場支持。

（3）為保證在正常中斷時間內(nèi)完成網(wǎng)絡(luò)切割，在實施前應(yīng)做好充分的準備工作，在實施前做好相關(guān)設(shè)備的配置備份保存、實施過程中做好操作記錄工作，以保證如出現(xiàn)未知故障時，及時回退。

2.3 施工準備工作

（1）為順利完成工程所進行的必要準備。

①做好相關(guān)設(shè)備的配置備份和保存。

②準時把各設(shè)備運至安裝現(xiàn)場。

③準備工程必要的各種材料。

④準備必要的測試儀表工具。

⑤準備相應(yīng)的施工安全工器具。

（2）技術(shù)、安全準備。

①熟悉方案技術(shù)要求。

②施工機具的準備。

③向施工班組做技術(shù)交底和向每個工作成員進行安全交底。

2.4 現(xiàn)場安裝要求

設(shè)備、材料運輸?shù)截浺螅阂惭b調(diào)試的設(shè)備，在站點計劃開始安裝日的前一天，將設(shè)備搬運到指定站點的指定位置。同一站點配套的設(shè)備及配件應(yīng)一次送達。

安裝材料、附材的準備：為網(wǎng)絡(luò)設(shè)備準備相應(yīng)的測試儀表、工器具、電纜等輔助材料。

嚴格按照施工方案要求開展割接工作，將施工中的各個環(huán)節(jié)、步驟的過程用書面或圖表等形式進行表述，使施工的全過程有一個可控性，能及時反映工作的進度和完成情況。工程質(zhì)量目標，按照實施方案、規(guī)劃文件要求及國家電力行業(yè)現(xiàn)行技術(shù)標準、規(guī)范進行施工，保證安裝施工的質(zhì)量。注意保持機房的環(huán)境清潔，退出工作后恢復(fù)機房的運行條件要求。對廢棄的物品進行環(huán)保處理。

3 割接總體說明

在做每個割接工作的正式割接之前，先通過事先確認的測試項目，對主要的網(wǎng)絡(luò)路徑的通斷情況、主要業(yè)務(wù)的狀況進行檢測，確保這些要檢測的網(wǎng)絡(luò)路徑和業(yè)務(wù)都工作正常，并記錄下檢測情況。然后按照事先確認的割接步驟，一步步地進行割接。所有割接步驟實施完畢后，再重復(fù)一次正式割接之前所做的工作，通過事先確認的測試項目，對主要的網(wǎng)絡(luò)路徑的通斷情況、主要業(yè)務(wù)的狀況進行檢測，確保這些要檢測的網(wǎng)絡(luò)路徑和業(yè)務(wù)都工作正常。通過這種對比方式，從而確保整個系統(tǒng)的割接成功。

參考文獻

[1] 彭可.控制網(wǎng)絡(luò)系統(tǒng)性能分析、系統(tǒng)設(shè)計和網(wǎng)絡(luò)互連的研究與應(yīng)用[D].中南大學(xué)，2004.

[2] 謝顯中.TDD模式與第三代移動通信系統(tǒng)[J].現(xiàn)代電信科技，2000（2）：28-31.