顏承林

（中國人民銀行北海市中心支行，北海 536000）

1 當(dāng)前同城雙活數(shù)據(jù)中心基本情況

目前某省銀行已建成同城通信轉(zhuǎn)接中心，并通過“VRRP+裸纖+波分設(shè)備”打通與原來省級(jí)數(shù)據(jù)中心的二層網(wǎng)絡(luò)，極大地提高了該銀行省級(jí)網(wǎng)絡(luò)的安全性和可靠性，并為下一步實(shí)施服務(wù)器虛擬化工作奠定了堅(jiān)實(shí)的基礎(chǔ)。

縱向防火墻是指部署在該銀行省級(jí)數(shù)據(jù)中心下聯(lián)路由器與核心交換機(jī)之間的安全設(shè)備。縱向防火墻的主要作用是防止下聯(lián)分支機(jī)構(gòu)非授權(quán)訪問或惡意攻擊省級(jí)數(shù)據(jù)中心的服務(wù)器。

2 存在的問題

本次部署的省級(jí)同城雙活數(shù)據(jù)中心縱向防火墻是基于狀態(tài)檢測技術(shù)的防火墻?；跔顟B(tài)檢測技術(shù)的防火墻比傳統(tǒng)的基于包過濾規(guī)則的防火墻具有更好的安全性和靈活性?；诎^濾規(guī)則的防火墻是通過監(jiān)測IP報(bào)文的相關(guān)信息符合度來允許或拒絕數(shù)據(jù)包通過的，無法對(duì)通過防火墻的網(wǎng)絡(luò)報(bào)文進(jìn)行細(xì)粒度的控制，無法防范惡意攻擊也不支持應(yīng)用層協(xié)議，無法很好的保證內(nèi)部網(wǎng)絡(luò)的安全?；跔顟B(tài)檢測技術(shù)的防火墻是采用基于連接的檢測機(jī)制，將同一連接的所有數(shù)據(jù)包看作一個(gè)整體的數(shù)據(jù)流。它會(huì)對(duì)對(duì)數(shù)據(jù)流的第一個(gè)報(bào)文進(jìn)行完整的狀態(tài)檢測，并通過建立會(huì)話表來記錄報(bào)文的源IP和端口、目的IP和端口、網(wǎng)絡(luò)協(xié)議等。這個(gè)數(shù)據(jù)流的后續(xù)報(bào)文只有匹配會(huì)話表中的信息才能通過防火墻完成報(bào)文轉(zhuǎn)發(fā)，如果不匹配則被防火墻直接丟棄。

在兩數(shù)據(jù)中心部署基于狀態(tài)檢測防火墻后，我們發(fā)現(xiàn)當(dāng)部分下聯(lián)分支機(jī)構(gòu)通過轉(zhuǎn)接中心訪問數(shù)據(jù)中心服務(wù)器時(shí)，會(huì)出現(xiàn)業(yè)務(wù)不通現(xiàn)象。

3 問題分析

通過“VRRP+裸纖+波分設(shè)備”打通數(shù)據(jù)中心和轉(zhuǎn)接中心核心交換機(jī)的二層網(wǎng)絡(luò)后，實(shí)現(xiàn)了兩數(shù)據(jù)中心二層VLAN網(wǎng)關(guān)雙活。但由于數(shù)據(jù)中心核心交換機(jī)VLAN網(wǎng)關(guān)VRRP優(yōu)先級(jí)別較高，當(dāng)下聯(lián)分支機(jī)構(gòu)通過轉(zhuǎn)接中心訪問數(shù)據(jù)中心服務(wù)器的數(shù)據(jù)包到達(dá)轉(zhuǎn)接中心下聯(lián)路由器時(shí)，會(huì)出現(xiàn)數(shù)據(jù)包來回路徑跨越兩數(shù)據(jù)中心，即來回路徑不一樣的現(xiàn)象。

該數(shù)據(jù)包來時(shí)經(jīng)過網(wǎng)絡(luò)設(shè)備路徑為：廣域網(wǎng)線路→轉(zhuǎn)接中心下聯(lián)路由器→轉(zhuǎn)接中心核心交換機(jī)→數(shù)據(jù)中心核心交換機(jī)。該數(shù)據(jù)包回時(shí)經(jīng)過網(wǎng)絡(luò)設(shè)備路徑為：數(shù)據(jù)中心核心交換機(jī)→數(shù)據(jù)中心下聯(lián)路由器→廣域網(wǎng)線路。數(shù)據(jù)包來回路徑跨越兩數(shù)據(jù)中心示意圖如下。

根據(jù)基于狀態(tài)檢測技術(shù)的防火墻對(duì)報(bào)文的鏈路狀態(tài)進(jìn)行合法性檢查，丟棄鏈路狀態(tài)不合法的報(bào)文的技術(shù)特性，當(dāng)回時(shí)數(shù)據(jù)包經(jīng)過數(shù)據(jù)中心縱向防火墻時(shí)，會(huì)因?yàn)榭赡苤皇盏酵ㄐ胚^程的后續(xù)報(bào)文而沒有收到首包而將報(bào)文丟棄，從而導(dǎo)致業(yè)務(wù)不通。

4 問題解決思路

目前業(yè)內(nèi)主要有兩種解決思路：一種是通過變更網(wǎng)絡(luò)組網(wǎng)方式來保證數(shù)據(jù)包來回路徑的一致性，另一種是將兩數(shù)據(jù)中心的所有縱向防火墻進(jìn)行集群，將同一流量往返程匯聚到同一臺(tái)防火墻上處理。

針對(duì)第一種解決思路，需要變更雙數(shù)據(jù)中心之間組成大二層網(wǎng)絡(luò)的網(wǎng)絡(luò)架構(gòu)，這與當(dāng)前需求相悖，因?yàn)榇蠖泳W(wǎng)絡(luò)架構(gòu)是為解決數(shù)據(jù)中心服務(wù)器虛擬化后虛擬機(jī)動(dòng)態(tài)遷移的需求而出現(xiàn)的。這種解決思路沒有很好的處理安全與應(yīng)用之間的關(guān)系，在當(dāng)前省級(jí)數(shù)據(jù)中心虛擬機(jī)動(dòng)態(tài)遷移業(yè)務(wù)應(yīng)用大需求的前提下，不具有可操作性。

第二種解決思路是集群成員之間共享數(shù)據(jù)流會(huì)話狀態(tài)表，以保證首包及后續(xù)包往返程均通過同一組防火墻處理，即將同一流量往返程匯聚到同一臺(tái)防火墻上處理。下面通過實(shí)例進(jìn)行說明。

下面以上圖所示為例，介紹client1向server1發(fā)送TCP業(yè)務(wù)數(shù)據(jù)流的過程。

（1）建立通道將兩數(shù)據(jù)中心的縱向防火墻組建成集群防火墻，集群成員之間建立機(jī)制，實(shí)時(shí)同步數(shù)據(jù)流會(huì)話狀態(tài)表。

（2）client2向server1發(fā)送TCP報(bào)文。

（3）轉(zhuǎn)接中心防火墻收到流量，根據(jù)會(huì)話狀態(tài)表判斷是否存在會(huì)話，如果不存在則認(rèn)為是首包，如果存在則認(rèn)為是后續(xù)包。

（4）如果是首包，轉(zhuǎn)接中心防火墻將TCP業(yè)務(wù)數(shù)據(jù)流進(jìn)行標(biāo)記并更新集群數(shù)據(jù)流會(huì)話狀態(tài)表，會(huì)話狀態(tài)表實(shí)時(shí)同步至數(shù)據(jù)中心防火墻。

（5）更新并同步集群數(shù)據(jù)流會(huì)話狀態(tài)表后，轉(zhuǎn)接中心防火墻將數(shù)據(jù)流轉(zhuǎn)發(fā)到轉(zhuǎn)接中心核心交換機(jī)，再到數(shù)據(jù)中心核心交換機(jī)，最終到達(dá)server1。

（6）由于數(shù)據(jù)中心核心交換機(jī)VLAN網(wǎng)關(guān)VRRP優(yōu)先級(jí)別較高，從server1回程的數(shù)據(jù)流經(jīng)過數(shù)據(jù)中心核心交換機(jī)到達(dá)數(shù)據(jù)中心防火墻。

（7）數(shù)據(jù)中心防火墻根據(jù)數(shù)據(jù)流會(huì)話狀態(tài)表檢測到該數(shù)據(jù)流標(biāo)記為轉(zhuǎn)接中心防火墻，直接將該回程數(shù)據(jù)流轉(zhuǎn)給轉(zhuǎn)接中心防火墻處理。

（8）如果是后續(xù)包，轉(zhuǎn)接中心防火墻進(jìn)行標(biāo)記并對(duì)數(shù)據(jù)包進(jìn)行處理，先是轉(zhuǎn)發(fā)到轉(zhuǎn)接中心核心交換機(jī)，再到數(shù)據(jù)中心核心交換機(jī)，最終到達(dá)server1。

（9）同樣的，由于數(shù)據(jù)中心核心交換機(jī)VLAN網(wǎng)關(guān)VRRP優(yōu)先級(jí)別較高，從server1回程的數(shù)據(jù)流經(jīng)過數(shù)據(jù)中心核心交換機(jī)到達(dá)數(shù)據(jù)中心防火墻。數(shù)據(jù)中心防火墻根據(jù)數(shù)據(jù)流會(huì)話狀態(tài)表檢測到該數(shù)據(jù)流標(biāo)記為轉(zhuǎn)接中心防火墻，直接將該回程數(shù)據(jù)流轉(zhuǎn)給轉(zhuǎn)接中心防火墻處理。

在第二種解決方案中，通過在防火墻上對(duì)數(shù)據(jù)包進(jìn)行標(biāo)識(shí)，并及時(shí)在集群中更新和同步數(shù)據(jù)流會(huì)話狀態(tài)表，以保證返程數(shù)據(jù)流能夠識(shí)別出處理來程數(shù)據(jù)流的防火墻，并交由同一防火墻處理，從而實(shí)現(xiàn)數(shù)據(jù)包往返都經(jīng)過同一防火墻。這種處理方式徹底解決了基于狀態(tài)檢測技術(shù)的防火墻在已打通大二層的同城雙活數(shù)據(jù)中心中數(shù)據(jù)流因往返過程跨中心跨不同防火墻而導(dǎo)致業(yè)務(wù)不通的問題。在這種方案中，只需對(duì)防火墻的操作系統(tǒng)進(jìn)行必要的升級(jí)改造，無需改變?cè)芯W(wǎng)絡(luò)架構(gòu)，是目前同城雙活數(shù)據(jù)中心部署縱向防火墻的最佳實(shí)踐。