文/楊民強(qiáng) 李善璽

現(xiàn)代安全網(wǎng)絡(luò)設(shè)計中，最關(guān)鍵的思想之一是隔離網(wǎng)絡(luò)上的不同區(qū)域。

數(shù)據(jù)中心承載了核心業(yè)務(wù)和機(jī)密數(shù)據(jù)，為用戶提供業(yè)務(wù)平臺和數(shù)據(jù)交互。隨著業(yè)務(wù)越來越多，數(shù)據(jù)中心變得更加復(fù)雜龐大，同時數(shù)據(jù)交換量也越來越大，對數(shù)據(jù)中心的安全產(chǎn)生更大的壓力。另外，新一代數(shù)據(jù)中心往往引入了系統(tǒng)虛擬化，主機(jī)、網(wǎng)絡(luò)、操作系統(tǒng)及數(shù)據(jù)等管理工作更為集中，虛擬化場景下系統(tǒng)邊界模糊，對數(shù)據(jù)中心安全提出了新的要求。本文就蘭州大學(xué)通信網(wǎng)絡(luò)中心（下文中簡稱為中心）數(shù)據(jù)中心建設(shè)中安全相關(guān)的工作和考慮作以介紹。

網(wǎng)絡(luò)安全建設(shè)主要有三類措施：1.建立健全網(wǎng)絡(luò)安全規(guī)章制度，對相關(guān)人員進(jìn)行安全教育。2.技術(shù)方面有設(shè)計調(diào)整網(wǎng)絡(luò)拓?fù)?，評估安全級別，并采用防毒、加密、授權(quán)、認(rèn)證、防火墻等多種技術(shù)手段。3.監(jiān)控、審計和分析預(yù)測措施。

網(wǎng)絡(luò)安全不能做到百分之百，網(wǎng)絡(luò)安全建設(shè)需要在強(qiáng)化安全管理和安全意識的基礎(chǔ)上，采用多種技術(shù)手段，形成多層立體防護(hù)，并在宏觀層面統(tǒng)計分析，達(dá)到安全網(wǎng)絡(luò)建設(shè)的目的。安全制度和安全意識需要長期執(zhí)行和培養(yǎng)，本文不作贅述，主要展開數(shù)據(jù)中心網(wǎng)絡(luò)安全建設(shè)后兩類措施的相關(guān)工作。

數(shù)據(jù)中心介紹

中心新一代數(shù)據(jù)中心的基礎(chǔ)建設(shè)工作包括公共數(shù)據(jù)中心、統(tǒng)一認(rèn)證和虛擬化平臺等，進(jìn)而在其基礎(chǔ)上建立統(tǒng)一業(yè)務(wù)平臺。目前，中心承載的業(yè)務(wù)主要有三類：1.公共信息服務(wù)，如網(wǎng)站、郵件、云存儲等；2.教務(wù)、財務(wù)、政務(wù)等業(yè)務(wù)平臺；3.一卡通、網(wǎng)絡(luò)管理認(rèn)證及其他業(yè)務(wù)。

中心已建立基于Citrix XEN的虛擬化平臺和基于IBM 740的Oracle RAC數(shù)據(jù)庫系統(tǒng)，很大程度上降低了中心運(yùn)維成本，提高資源使用率，同時也得到更高的可用性和可靠性。然而，虛擬化和集中化數(shù)據(jù)庫的引入也帶來了安全問題，虛擬化系統(tǒng)存儲、網(wǎng)絡(luò)等資源共享和虛擬機(jī)遷移等特性也都暴露了潛在的安全威脅。因此在網(wǎng)絡(luò)安全設(shè)計上，需要將資源使用和安全問題綜合考慮進(jìn)來，合理使用虛擬化平臺。當(dāng)前，虛擬化安全問題尚未很好的解決，為了安全起見，一些敏感的服務(wù)仍舊運(yùn)行在物理服務(wù)器上，如財務(wù)服務(wù)、一卡通服務(wù)等。對于像電子郵件這樣，也比較敏感，且服務(wù)器資源消耗大，但是又對外開放的服務(wù)，也需要將其運(yùn)行在物理平臺，并單獨(dú)考慮安全級別和方案。

在安全網(wǎng)絡(luò)架構(gòu)設(shè)計中，內(nèi)網(wǎng)被認(rèn)為是較為安全的區(qū)域，而在大學(xué)網(wǎng)絡(luò)環(huán)境中，校園網(wǎng)用戶和外網(wǎng)用戶一樣會對數(shù)據(jù)中心產(chǎn)生威脅，因此不能簡單地劃分內(nèi)外網(wǎng)和DMZ區(qū)，需要根據(jù)校園網(wǎng)的特殊性實際考慮，設(shè)計合理的安全拓?fù)浜筒呗浴?/p>

圖1 核心數(shù)據(jù)中心結(jié)構(gòu)

安全評估及拓?fù)湓O(shè)計

現(xiàn)代安全網(wǎng)絡(luò)設(shè)計中，最關(guān)鍵的思想之一是隔離網(wǎng)絡(luò)上的不同區(qū)域。置于不同區(qū)中的設(shè)備具有不同的安全需求，而基于這些需求則需提供相應(yīng)的保護(hù)。因此在進(jìn)行網(wǎng)絡(luò)規(guī)劃前，需要將網(wǎng)絡(luò)環(huán)境中的網(wǎng)絡(luò)和設(shè)備進(jìn)行分區(qū)。例如，Web服務(wù)器容易受到網(wǎng)絡(luò)攻擊且難于保護(hù)，而數(shù)據(jù)中心中的校園卡信息（含有金融賬戶信息）更敏感但是訪問接口較少，因此，需要將Web服務(wù)器和校園卡服務(wù)器隔離開來，并賦予不同的安全級別。中心的業(yè)務(wù)按照安全級別從高到底依次為：

1. 財務(wù)、一卡通及數(shù)據(jù)庫服務(wù)器；

2. 認(rèn)證服務(wù)、Web服務(wù)、郵件服務(wù)、DNS服務(wù)、教務(wù)平臺、政務(wù)平臺等；

3. 校園網(wǎng)；

4. 外網(wǎng)。

前面講到的業(yè)務(wù)中，和財務(wù)相關(guān)服務(wù)的安全級別最高，核心數(shù)據(jù)庫也比較重要且易受攻擊，因此這兩類服務(wù)器一并當(dāng)最高安全級別處理（第一類）。第二類是郵件、Web服務(wù)、云存儲、DNS、認(rèn)證、教務(wù)、政務(wù)等系統(tǒng)保證校園網(wǎng)的正常運(yùn)行和學(xué)校工作的開展，容易受到攻擊，但是又要響應(yīng)來自校園網(wǎng)和外網(wǎng)的請求，安全級別較第一類低，因此放在DMZ中。前兩類都置于防火墻之后，由于Web、教務(wù)等系統(tǒng)容易受攻擊，因此在第二類設(shè)備（即DMZ區(qū)）與防火墻之間設(shè)立IPS進(jìn)行入侵防御。剩下校園網(wǎng)和外網(wǎng)兩部分都屬于不安全網(wǎng)絡(luò)，但是由于內(nèi)網(wǎng)用戶需要通過認(rèn)證系統(tǒng)才能訪問網(wǎng)絡(luò)資源，認(rèn)證和日志系統(tǒng)存有用戶的使用記錄，避免了一定程度安全隱患。為了保護(hù)整個校園網(wǎng)并提高用戶網(wǎng)絡(luò)服務(wù)指令，在外網(wǎng)出口處設(shè)立防火墻（Cisco ASA 5585 、H3C）和流量控制（H3C ACG），并在其上進(jìn)行網(wǎng)絡(luò)監(jiān)控。DMZ區(qū)是容易受攻擊的區(qū)域，因此在DMZ區(qū)與服務(wù)器防火墻之間設(shè)立IPS，后續(xù)詳細(xì)介紹。整個數(shù)據(jù)中心安全架構(gòu)如圖2所示。

圖2 中心安全結(jié)構(gòu)

圖3 CACAI設(shè)備流量圖

安全方案與措施

防毒軟件

防火墻能夠抵御外部攻擊，如DoS、信息收集等，但是不能防止來自內(nèi)部網(wǎng)絡(luò)主機(jī)上的木馬程序發(fā)起的攻擊。因此，需要在內(nèi)部主機(jī)，特別是承載業(yè)務(wù)的服務(wù)器上運(yùn)行主機(jī)防火墻和防毒軟件。中心服務(wù)器使用的操作系統(tǒng)主要為Linux和Microsoft Windows。

對于Linux服務(wù)器，采用SELinux + iptables + ClamAV。SELinux全稱Security Enhanced Linux，是 MAC (Mandatory Access Control，強(qiáng)制訪問控制系統(tǒng))的一個實現(xiàn)，目的在于指明某個進(jìn)程可以訪問哪些資源(文件、網(wǎng)絡(luò)端口等)。ClamAV是Linux開源的反病毒工具包，該工具包提供了包含靈活且可伸縮的監(jiān)控程序、命令行掃描程序以及用于自動更新數(shù)據(jù)庫的高級工具在內(nèi)的大量實用程序。SELinux、ClamAV，再加上Linux主機(jī)防火墻iptables，可以為Linux服務(wù)器提供充分的安全保障。Microsoft Windows主機(jī)采用Microsoft Windows Server系列，并配備Symantec防毒軟件。

防御、監(jiān)測、審計與分析

防火墻和主機(jī)主動防御不能提供足夠的防護(hù)，特別是一些Windows服務(wù)器，很容易受到攻擊，如前文提到，中心在容易受攻擊的服務(wù)器出口和防火墻之間安裝迪普IPS，在抵御網(wǎng)絡(luò)攻擊中起到積極作用。

中心建立H3C SecCenter、CACTI等平臺監(jiān)測網(wǎng)絡(luò)使用情況，可有效觀測網(wǎng)絡(luò)異常。

在已有監(jiān)測平臺和深入學(xué)習(xí)研究網(wǎng)絡(luò)行為的基礎(chǔ)上，中心在教育網(wǎng)出口處設(shè)立監(jiān)測接口獲取網(wǎng)絡(luò)數(shù)據(jù)，進(jìn)行常見攻擊類型分析和網(wǎng)絡(luò)安全評估。對疑似攻擊進(jìn)行統(tǒng)計并產(chǎn)生警告，配合IDS和IPS加強(qiáng)網(wǎng)絡(luò)安全監(jiān)測和防護(hù)。

其他安全考慮與措施

在網(wǎng)絡(luò)設(shè)備的配置和管理中，設(shè)備的密碼管理、訪問方式、SNMP的控制、登錄標(biāo)志、日志等也很重要，這些配置和安全意識在中心的日常工作中也在逐漸加強(qiáng)。

服務(wù)器虛擬化引入減輕了中心的運(yùn)維壓力，提高系統(tǒng)可用性，但同時也帶來了安全問題。虛擬化共享的本質(zhì)本身就帶來風(fēng)險，就網(wǎng)絡(luò)來說宿主機(jī)和虛擬機(jī)都通過軟件組件進(jìn)行數(shù)據(jù)交換，不像傳統(tǒng)網(wǎng)絡(luò)具有硬件防火墻，直接和二、三層的網(wǎng)絡(luò)硬件通信，不易被侵入。另外為了提升效率或可管理性，也提供了一個PV Tools安裝在客戶機(jī)中，并在VMM中有對應(yīng)的后端，這些組件也帶來安全隱患。因此，目前中心尚未將敏感業(yè)務(wù)遷移到虛擬化平臺。對于未來需要進(jìn)一步遷移安全要求較高的服務(wù)到虛擬化平臺，一種方案是將XenServer置于兩個不同的安全區(qū)中，對于不同安全級別的虛擬機(jī)，連接不同的物理端口。