基于NGFW的数据中心安全架构方案探讨.docVIP

基于NGFW的数据中心安全架构方案探讨 　　摘 要：通过对传统防火墙和下一代防火墙的功能分析，阐述了下一代防火墙的优势所在，并以实际部署为例，介绍了集成式板载下一代防火墙的冗余式部署方案并验证。 　　关键词：防火墙；NGFW；数据中心 　　DOI：10.16640/j.cnki.37-1222/t.2016.22.112 　　1 前言 　　随着IT技术的发展和“互联网+”战略的实施，保护信息系统和数据安全的需要也飞速增长，数据中心的安全建设需求愈发重要。而防火墙作为数据中心防护架构的关键防线，如何在数据中心内部稳定并高效的部署防火墙，成为当今数据中心安全建设的一个重要课题。一般来说，数据中心防火墙部署于数据中心的网络边界上，位于数据中心内部的服务器区域和外部访问用户区域之间，传统的网络层防火墙运行在TCP/IP协议栈上，通过对访问流量的TCP/IP报文进行预订策略的识别、过滤和转发来控制外部用户对数据中心内部服务器的访问权限，保护数据中心内部服务器免于非法用户的访问和入侵[1]。 　　2 NGFW介绍 　　随着网络技术的发展和防护需求的提升，传统的网络层防火墙由于工作在ISO网络七层架构的网络层，对数据包和流量的分析是基于网络层五元组（源/目的IP，源/目的端口和协议）的，由此也暴露出一些新问题：1）基于端口的识别方式对具体应用没有识别能力，导致非法应用可能借用知名端口穿过防火墙；2）基于IP的识别方式对DDoS、源地址仿冒攻击和对象IP地址不固定的移动端信息服务防范能力不足；3）对于应用层服务的检测、过滤和管理能力欠缺。 　　因此，业内各个厂家近年来都推出了下一代防火墙（Next Generation Fire Wall，NGFW）来代替传统防火墙，除了提供传统防火墙的防护方式外，同时提供以区分用户、应用和资源内容为防护手段和目标的新一代数据中心防护模式。 　　3 NGFW实施方案 　　在实际实施方案中，我们选用了华为公司的S12708三层交换机作为数据中心的网络核心和骨干[2]，各个机柜的服务器通过二层VLAN连接到该数据中心交换机[3]。采用两块ET1D2FW00S00 NGFW下一代防火墙集成板卡作为安全防护核心。系统结构如图1所示： 　　该方案主要说明如下：1）两块S12708集成的NGFW Module做主备式部署，其GE0/0/1配置为心跳接口，当A板卡出问题后，防护系统自动切换到B板卡，消除单点故障；2）两块NGFW Module通过背板带宽，以一进一出两个虚拟20G接口的方式与S12708三层交换机做逻辑连接；3）两块NGFW Module上行链路做捆绑后与S12708数据中心交换机外网部分做路由互指，NGFW Module的默认路由指向S12708，S12708根据防火墙上实际部署的服务器网段做静态路由；4）两块防火墙的内向接口配置为内部服务器的网关，并且做VRRP以确保冗余切换，在内向接口上使用子接口区分不同VLAN。 　　4 具体关键配置 　　在对S12708进行完基础配置，使其联入互联网后，防火墙功能部分主要配置实施如下：1）将两块NGFW Module的GE0/0/1用网线直接连接，并配置其心跳线功能： 　　Module A： 　　interface GigabitEthernet0/0/1 　　ip address 10.0.0.1 255.255.255.252 　　hrp enable 　　hrp interface GigabitEthernet0/0/1 remote 10.0.0.2 　　Module B： 　　interface GigabitEthernet0/0/1 　　ip address 10.0.0.1 255.255.255.252 　　hrp enable 　　hrp interface GigabitEthernet0/0/1 remote 10.0.0.2 　　2）以新增VLAN51（VRRP=10.10.179.30）为例配置内网接口为服务器区域网关： 　　Module A： 　　vlan 51 　　hrp track active 　　interface Vlanif51 　　ip address 10.10.179.28 255.255.255.224 　　vrrp vrid 1 virtual-ip 10.10.179.30 active 　　interface GigabitEthernet1/0/0 　　portswitch 　　port link-type trunk 　　port trunk permit vlan 51 　　Module B： 　　vlan 51 　　hrp t