方案简介
数据中心承载着企业的核心业务、存储海量的业务数据,是企业正常生产和运行的关键资源,因此数据中心的网络安全显得尤为重要。
华为金融数据中心方案通常采用模块化和层次化设计。模块化设计是将整个数据中心网络划分成多个分区,并通过防火墙保证业务的安全隔离。层次化设计是指整个网络采用核心层、汇聚层、接入层的设计,使网络具备横向弹性,易扩展。
为了保证数据中心网络和内部服务器安全,通常需要在数据中心网络中部署防火墙产品,提供网络安全隔离、访问控制、攻击防范和入侵防御等功能。
如图1-1所示,金融数据中心解决方案中,防火墙主要部署在三个位置:数据中心出口、内网接入区、互联网出口。不同位置的防火墙提供不同的安全防护功能。
图1-1 金融数据中心组网示意图
数据中心出口防火墙
典型组网
如图1-2所示为数据中心出口防火墙的典型组网。
●核心交换机SW1/SW2堆叠组网、汇聚交换机SW3/SW4堆叠组网。防火墙位于核心交换机和汇聚交换机之间,三层接入并启用主备备份方式的双机热备。
●防火墙连接上下行设备的接口上配置VRRP,防火墙使用VRRP虚拟IP地址与上下行设备通信。
●防火墙上配置静态路由,引导流量的转发。
图1-2 数据中心出口防火墙典型组网
内网接入区防火墙
典型组网
如图1-3所示,防火墙挂接在核心交换机作为Agile Controller的硬件SACG。在分支机构1的用户访问数据中心的业务服务区时,防火墙和Agile Controller配合,对用户进行准入控制并实现如下需求:
●为保护数据中心业务服务区安全,防止非本公司人员以及不安全的终端主机接入,只有身份认证和终端主机安全检查通过才允许访问保护数据中心业务服务区。
●数据中心业务服务区属于核心资源,只允许员工在上班时间段访问。
●希望方案部署过程对现有网络影响最小;整个网络业务优先原则,如果准入控制系统失效,业务不能中断。
将数据中心内网按逻辑划分为认证前域、隔离域和后域。
●前域是指终端主机在通过身份认证之前能够访问的区域,如DNS服务器、外部认证源、业务控制器(SC)、业务管理器(SM)。
●隔离域是指在终端用户通过了身份认证但未通过安全认证时允许访问的区域,如补丁服务器、病毒库服务器。
●后域是指终端用户通过了身份认证和安全认证后能够访问的区域,即数据中心业务服务区。
图1-3 内网接入区防火墙典型组网