顏承林

（中國人民銀行北海市中心支行，北海 536000）

1 當前同城雙活數據中心基本情況

目前某省銀行已建成同城通信轉接中心，并通過“VRRP+裸纖+波分設備”打通與原來省級數據中心的二層網絡，極大地提高了該銀行省級網絡的安全性和可靠性，并為下一步實施服務器虛擬化工作奠定了堅實的基礎。

縱向防火墻是指部署在該銀行省級數據中心下聯(lián)路由器與核心交換機之間的安全設備?？v向防火墻的主要作用是防止下聯(lián)分支機構非授權訪問或惡意攻擊省級數據中心的服務器。

2 存在的問題

本次部署的省級同城雙活數據中心縱向防火墻是基于狀態(tài)檢測技術的防火墻?；跔顟B(tài)檢測技術的防火墻比傳統(tǒng)的基于包過濾規(guī)則的防火墻具有更好的安全性和靈活性?；诎^濾規(guī)則的防火墻是通過監(jiān)測IP報文的相關信息符合度來允許或拒絕數據包通過的，無法對通過防火墻的網絡報文進行細粒度的控制，無法防范惡意攻擊也不支持應用層協(xié)議，無法很好的保證內部網絡的安全?；跔顟B(tài)檢測技術的防火墻是采用基于連接的檢測機制，將同一連接的所有數據包看作一個整體的數據流。它會對對數據流的第一個報文進行完整的狀態(tài)檢測，并通過建立會話表來記錄報文的源IP和端口、目的IP和端口、網絡協(xié)議等。這個數據流的后續(xù)報文只有匹配會話表中的信息才能通過防火墻完成報文轉發(fā)，如果不匹配則被防火墻直接丟棄。

在兩數據中心部署基于狀態(tài)檢測防火墻后，我們發(fā)現當部分下聯(lián)分支機構通過轉接中心訪問數據中心服務器時，會出現業(yè)務不通現象。

3 問題分析

通過“VRRP+裸纖+波分設備”打通數據中心和轉接中心核心交換機的二層網絡后，實現了兩數據中心二層VLAN網關雙活。但由于數據中心核心交換機VLAN網關VRRP優(yōu)先級別較高，當下聯(lián)分支機構通過轉接中心訪問數據中心服務器的數據包到達轉接中心下聯(lián)路由器時，會出現數據包來回路徑跨越兩數據中心，即來回路徑不一樣的現象。

該數據包來時經過網絡設備路徑為：廣域網線路→轉接中心下聯(lián)路由器→轉接中心核心交換機→數據中心核心交換機。該數據包回時經過網絡設備路徑為：數據中心核心交換機→數據中心下聯(lián)路由器→廣域網線路。數據包來回路徑跨越兩數據中心示意圖如下。

根據基于狀態(tài)檢測技術的防火墻對報文的鏈路狀態(tài)進行合法性檢查，丟棄鏈路狀態(tài)不合法的報文的技術特性，當回時數據包經過數據中心縱向防火墻時，會因為可能只收到通信過程的后續(xù)報文而沒有收到首包而將報文丟棄，從而導致業(yè)務不通。

4 問題解決思路

目前業(yè)內主要有兩種解決思路：一種是通過變更網絡組網方式來保證數據包來回路徑的一致性，另一種是將兩數據中心的所有縱向防火墻進行集群，將同一流量往返程匯聚到同一臺防火墻上處理。

針對第一種解決思路，需要變更雙數據中心之間組成大二層網絡的網絡架構，這與當前需求相悖，因為大二層網絡架構是為解決數據中心服務器虛擬化后虛擬機動態(tài)遷移的需求而出現的。這種解決思路沒有很好的處理安全與應用之間的關系，在當前省級數據中心虛擬機動態(tài)遷移業(yè)務應用大需求的前提下，不具有可操作性。

第二種解決思路是集群成員之間共享數據流會話狀態(tài)表，以保證首包及后續(xù)包往返程均通過同一組防火墻處理，即將同一流量往返程匯聚到同一臺防火墻上處理。下面通過實例進行說明。

下面以上圖所示為例，介紹client1向server1發(fā)送TCP業(yè)務數據流的過程。

（1）建立通道將兩數據中心的縱向防火墻組建成集群防火墻，集群成員之間建立機制，實時同步數據流會話狀態(tài)表。

（2）client2向server1發(fā)送TCP報文。

（3）轉接中心防火墻收到流量，根據會話狀態(tài)表判斷是否存在會話，如果不存在則認為是首包，如果存在則認為是后續(xù)包。

（4）如果是首包，轉接中心防火墻將TCP業(yè)務數據流進行標記并更新集群數據流會話狀態(tài)表，會話狀態(tài)表實時同步至數據中心防火墻。

（5）更新并同步集群數據流會話狀態(tài)表后，轉接中心防火墻將數據流轉發(fā)到轉接中心核心交換機，再到數據中心核心交換機，最終到達server1。

（6）由于數據中心核心交換機VLAN網關VRRP優(yōu)先級別較高，從server1回程的數據流經過數據中心核心交換機到達數據中心防火墻。

（7）數據中心防火墻根據數據流會話狀態(tài)表檢測到該數據流標記為轉接中心防火墻，直接將該回程數據流轉給轉接中心防火墻處理。

（8）如果是后續(xù)包，轉接中心防火墻進行標記并對數據包進行處理，先是轉發(fā)到轉接中心核心交換機，再到數據中心核心交換機，最終到達server1。

（9）同樣的，由于數據中心核心交換機VLAN網關VRRP優(yōu)先級別較高，從server1回程的數據流經過數據中心核心交換機到達數據中心防火墻。數據中心防火墻根據數據流會話狀態(tài)表檢測到該數據流標記為轉接中心防火墻，直接將該回程數據流轉給轉接中心防火墻處理。

在第二種解決方案中，通過在防火墻上對數據包進行標識，并及時在集群中更新和同步數據流會話狀態(tài)表，以保證返程數據流能夠識別出處理來程數據流的防火墻，并交由同一防火墻處理，從而實現數據包往返都經過同一防火墻。這種處理方式徹底解決了基于狀態(tài)檢測技術的防火墻在已打通大二層的同城雙活數據中心中數據流因往返過程跨中心跨不同防火墻而導致業(yè)務不通的問題。在這種方案中，只需對防火墻的操作系統(tǒng)進行必要的升級改造，無需改變原有網絡架構，是目前同城雙活數據中心部署縱向防火墻的最佳實踐。