該單位電子外網(wǎng)從建設(shè)之初到2016年已經(jīng)快十年了，目前，電子外網(wǎng)正處于二期建設(shè)運(yùn)行維護(hù)階段。在2017年，還將開(kāi)展單位電子外網(wǎng)三期項(xiàng)目建設(shè)任務(wù)，在2016年7月份，已經(jīng)先期開(kāi)展了三期建設(shè)中與安全運(yùn)維有關(guān)的規(guī)劃設(shè)計(jì)。

應(yīng)用安全分域管控

根據(jù)相關(guān)電子外網(wǎng)項(xiàng)目建設(shè)的總體要求：電子外網(wǎng)需采用MPLS（多協(xié)議標(biāo)簽交換）作為統(tǒng)一的多業(yè)務(wù)平臺(tái)承接技術(shù)，需提供三層MPLSVPN的開(kāi)通服務(wù)，上級(jí)和下級(jí)部門(mén)外網(wǎng)需要支持跨域?qū)?，需具備開(kāi)通四級(jí)縱向MPLS-VPN的能力。

根據(jù)目前單位電子外網(wǎng)各功能區(qū)域的情況，將正在運(yùn)行的VPN業(yè)務(wù)重新進(jìn)行劃分，將訪問(wèn)電子外網(wǎng)業(yè)務(wù)的區(qū)域作為縱向VPN業(yè)務(wù)區(qū)，將各單位訪問(wèn)IDC數(shù)據(jù)中心業(yè)務(wù)的區(qū)域定義為城域網(wǎng)VPN區(qū)（該區(qū)域只能訪問(wèn)IDC數(shù)據(jù)中心業(yè)務(wù)區(qū)域），訪問(wèn)互聯(lián)網(wǎng)的區(qū)域定義為互聯(lián)網(wǎng)VPN區(qū)（該區(qū)域只能訪問(wèn)Internet）。外網(wǎng)終端用戶同一時(shí)間只能訪問(wèn)一個(gè)區(qū)域，其他區(qū)域做控制隔離，當(dāng)用戶想訪問(wèn)其他區(qū)域時(shí)，需手工登錄進(jìn)行安全切換。

在上述各個(gè)區(qū)域中，在CE（用戶網(wǎng)絡(luò)邊緣路由器）上為每個(gè)訪問(wèn)業(yè)務(wù)包加上MPLS標(biāo)簽，PE（匯聚邊緣路由器）再根據(jù)標(biāo)簽值進(jìn)行轉(zhuǎn)發(fā)，最后P（核心路由器）再去掉標(biāo)簽，恢復(fù)原來(lái)的IP包。通過(guò)劃分上述這些不同的VPN區(qū)域，可以使得各安全區(qū)域更加清晰，能夠使安全運(yùn)維工作各司其職、各負(fù)其責(zé)，極大的提高了外網(wǎng)安全運(yùn)行的能力。

信息安全加固

在互聯(lián)網(wǎng)出口區(qū)域，將增加部署流量清洗設(shè)備，主要用于有效防范DDoS攻擊。在數(shù)據(jù)中心區(qū)出口位置也要增加部署IPS、流量清洗設(shè)備。為了實(shí)時(shí)不間斷地將外網(wǎng)中來(lái)自不同廠商的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)、操作系統(tǒng)、用戶業(yè)務(wù)系統(tǒng)的日志、事件、報(bào)警等信息進(jìn)行匯集，并實(shí)現(xiàn)海量信息的集中存儲(chǔ)和綜合審計(jì)。

同時(shí)根據(jù)相關(guān)要求安全審計(jì)應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為、應(yīng)用系統(tǒng)重要安全事件等進(jìn)行日志記錄，將增加部署一臺(tái)日志審計(jì)系統(tǒng)。該日志審計(jì)系統(tǒng)將能夠?qū)崟r(shí)地對(duì)采集到的不同類型的信息進(jìn)行歸并和實(shí)時(shí)分析，最大程度地消除誤報(bào)和錯(cuò)報(bào)、找出漏報(bào)；通過(guò)該日志審計(jì)系統(tǒng)控制臺(tái)進(jìn)行實(shí)時(shí)呈現(xiàn)，可以協(xié)助安全管理人員迅速準(zhǔn)確地識(shí)別安全事故，消除了管理員在多個(gè)控制臺(tái)之間來(lái)回切換的煩惱，同時(shí)也可提高運(yùn)維人員的工作效率；該日志審計(jì)系統(tǒng)對(duì)于集中存儲(chǔ)起來(lái)的海量信息可以進(jìn)行深度挖掘、調(diào)查取證并保全證據(jù)。

調(diào)整現(xiàn)有云平臺(tái)數(shù)據(jù)中心結(jié)構(gòu)

目前，單位外網(wǎng)云平臺(tái)基礎(chǔ)設(shè)施資源池由24臺(tái)服務(wù)器，500TB存儲(chǔ)，2TB內(nèi)存和64個(gè)物理CPU組成，可為各部門(mén)非涉密應(yīng)用系統(tǒng)分配虛擬機(jī)資源，提供統(tǒng)一管理、統(tǒng)一運(yùn)維、統(tǒng)一支撐、統(tǒng)一標(biāo)準(zhǔn)的運(yùn)行環(huán)境。數(shù)據(jù)中心云平臺(tái)基礎(chǔ)設(shè)施資源池部署結(jié)構(gòu)比較簡(jiǎn)單，僅僅是將這些硬件設(shè)備物理集中，部分資源做了整合，但無(wú)法實(shí)現(xiàn)業(yè)務(wù)的自動(dòng)化。虛擬化技術(shù)是云計(jì)算時(shí)代的重要技術(shù)，但是虛擬化并不等同于云計(jì)算。如何有效地提高云平臺(tái)虛擬機(jī)資源運(yùn)維的安全性，參考了目前流行的云計(jì)算數(shù)據(jù)中心建設(shè)的主流技術(shù)，其主要是Overlay技術(shù)和SDN技術(shù)。

Overlay（無(wú)狀態(tài)網(wǎng)絡(luò)技術(shù)）是未來(lái)數(shù)據(jù)中心的重要組成部分。Overlay是一種將二層網(wǎng)絡(luò)構(gòu)架在三層/四層報(bào)文中進(jìn)行傳遞的網(wǎng)絡(luò)技術(shù)。這樣的技術(shù)不考慮或很少考慮網(wǎng)絡(luò)層，物理層的問(wèn)題，允許對(duì)沒(méi)有IP地址標(biāo)識(shí)的目的主機(jī)路由信息，忽略位置信息，數(shù)據(jù)中心的組成部分可以在世界的任何角落，訪問(wèn)數(shù)據(jù)中心的人也可以在世界的任何一個(gè)角落。Overlay網(wǎng)絡(luò)主要包括Overlay控制平面，提供服務(wù)發(fā)現(xiàn)、地址通告和映射、隧道管理，Overlay數(shù)據(jù)平面提供數(shù)據(jù)封裝，基于承載網(wǎng)絡(luò)傳輸，Overlay邊緣設(shè)備提供數(shù)據(jù)報(bào)文的封裝和解封裝。

圖3 未來(lái)電子外網(wǎng)云平臺(tái)數(shù)據(jù)中心架構(gòu)

SDN（Software Defined Network簡(jiǎn)稱為軟件定義網(wǎng)絡(luò)）現(xiàn)已成為網(wǎng)絡(luò)技術(shù)領(lǐng)域的熱門(mén)話題。其核心特點(diǎn)是抽象出網(wǎng)絡(luò)操作系統(tǒng)平臺(tái)，屏蔽底層網(wǎng)絡(luò)設(shè)備物理細(xì)節(jié)差異，并向上層提供統(tǒng)一的管理和編程接口，以網(wǎng)絡(luò)操作系統(tǒng)平臺(tái)為基礎(chǔ)開(kāi)發(fā)出應(yīng)用程序，通過(guò)軟件來(lái)定義網(wǎng)絡(luò)拓?fù)?、資源分配、處理機(jī)制等。SDN通過(guò)把傳統(tǒng)網(wǎng)絡(luò)的緊耦合架構(gòu)拆分為應(yīng)用、控制、轉(zhuǎn)發(fā)三層分離的架構(gòu)，網(wǎng)絡(luò)將不再成為制約業(yè)務(wù)上線和云效率的瓶頸，而是在完成數(shù)據(jù)傳輸任務(wù)的同時(shí)，也能變得和虛擬化后的計(jì)算、存儲(chǔ)資源一樣，成為一種可靈活調(diào)配的資源。

在三期建設(shè)中還準(zhǔn)備采用云網(wǎng)融合技術(shù)實(shí)現(xiàn)頂層業(yè)務(wù)編排，底層網(wǎng)絡(luò)自動(dòng)化部署，利用Overlay VxLAN技術(shù)實(shí)現(xiàn)鏈路級(jí)虛擬化，利用旁路部署的SDN控制器實(shí)現(xiàn)信息安全自動(dòng)化管理，將防火墻、IPS、流量控制、WAF等設(shè)備并聯(lián)到網(wǎng)絡(luò)中，根據(jù)云平臺(tái)各業(yè)務(wù)系統(tǒng)的重要程度，SDN控制器監(jiān)控網(wǎng)絡(luò)安全，如果發(fā)現(xiàn)異常流量引流到安全設(shè)備做流量清洗；新設(shè)備替換，以及自動(dòng)檢測(cè)配置并告警修正。

如圖3所示為未來(lái)單位電子外網(wǎng)云平臺(tái)數(shù)據(jù)中心的架構(gòu)圖。