1、網(wǎng)絡(luò)及安全資源池系統(tǒng)及安全策略規(guī)劃配置方案1.網(wǎng)絡(luò)及安全資源池安全域規(guī)劃思路、安全策略規(guī)劃配置思路根據(jù)安全要求及業(yè)務(wù)特點(diǎn)，整體網(wǎng)絡(luò)架構(gòu)將劃分外網(wǎng)接入?yún)^(qū)、數(shù)據(jù)中心區(qū)、 安全運(yùn)維區(qū)、內(nèi)部接入?yún)^(qū)等；容災(zāi)節(jié)點(diǎn)劃分外網(wǎng)接入?yún)^(qū)、容災(zāi)區(qū)。具體網(wǎng)絡(luò)架構(gòu) 如下所示：（1）外網(wǎng)接入?yún)^(qū)容災(zāi)節(jié)點(diǎn)與既有節(jié)點(diǎn)之間采用兩條100M互聯(lián)網(wǎng)鏈路連接，用于容災(zāi)數(shù)據(jù)傳 輸。各業(yè)務(wù)系統(tǒng)數(shù)據(jù)使用既有的互聯(lián)網(wǎng)鏈路方式進(jìn)行傳輸。部署出口路由器負(fù)責(zé) 對(duì)接外部網(wǎng)絡(luò)（Intemet和IP承載網(wǎng)），建議適當(dāng)開啟路由器安全策略，對(duì)進(jìn) 入數(shù)據(jù)中心的流量進(jìn)行第一層基本防護(hù)：部署VPN網(wǎng)關(guān)以VPN方式（運(yùn)營商MSTP 網(wǎng)絡(luò)）連通各所屬省公司局域網(wǎng)；部署入

2、侵檢測設(shè)備（IDS）對(duì)進(jìn)入數(shù)據(jù)中心的 安全隱患和跡象進(jìn)行檢測，在網(wǎng)絡(luò)受到侵害前進(jìn)行主動(dòng)響應(yīng)，部署部署異常流量 檢測設(shè)備、抗DDOS流量清洗設(shè)備對(duì)網(wǎng)絡(luò)出口流量進(jìn)行監(jiān)控。抗DDOS、IDS同路 由器的安全策咯共同構(gòu)成第一層基本防護(hù)，保護(hù)外網(wǎng)接入?yún)^(qū)設(shè)備。（2）數(shù)據(jù)中心區(qū)以多業(yè)務(wù)安全網(wǎng)關(guān)（支持下一代防火墻、上網(wǎng)行為管理功能）為第二層核心 安全防護(hù)，劃分非信任區(qū)（外網(wǎng)接入?yún)^(qū)）和信任區(qū)（數(shù)據(jù)中心區(qū)），其中數(shù)據(jù)中 心區(qū)為整個(gè)云平臺(tái)的核心，計(jì)算網(wǎng)絡(luò)采用Spine-Leaf扁平體系架構(gòu)，硬件網(wǎng)絡(luò) 由SDN統(tǒng)一控制，原有網(wǎng)絡(luò)可以通過核心交換機(jī)的VxLAN網(wǎng)關(guān)功能實(shí)現(xiàn)VxLAN到 VLAN的轉(zhuǎn)換；存儲(chǔ)網(wǎng)絡(luò)基于存儲(chǔ)陣

3、列構(gòu)建IPSAN網(wǎng)絡(luò)，用于業(yè)務(wù)數(shù)據(jù)及虛機(jī)文 件存儲(chǔ)。同時(shí)為適合等級(jí)保護(hù)、企業(yè)內(nèi)控等信息安全規(guī)范，將部署WEB應(yīng)用防火 墻（作為第二層應(yīng)用安全防護(hù)）實(shí)現(xiàn)各類SQL注入、跨站、掛馬、掃描器掃描、 敏感信息泄露、盜鏈行為等攻擊防護(hù)。部署備份設(shè)備，實(shí)現(xiàn)約25%業(yè)務(wù)的數(shù)據(jù)按需數(shù)據(jù)備份的能力，發(fā)生關(guān)鍵數(shù)據(jù) 丟失時(shí)，可以通過備份恢復(fù)數(shù)據(jù)。（3）安全運(yùn)維區(qū)部署云管理平臺(tái)、SDN控制器及安全管理設(shè)備，其中安全管理設(shè)備包括堡壘 機(jī)（利舊網(wǎng)絡(luò)可達(dá)即可）、安全審計(jì)、漏洞掃描、終端安全管理與防病毒、網(wǎng)頁防 篡改等構(gòu)成第三層內(nèi)網(wǎng)及管理防護(hù)。（4）內(nèi)部接入?yún)^(qū)實(shí)現(xiàn)內(nèi)部辦公用戶的接入。（5）容災(zāi)區(qū)通信技術(shù)中心節(jié)點(diǎn)DC.A是主節(jié)

4、點(diǎn)，容災(zāi)節(jié)點(diǎn)DCB是容災(zāi)節(jié)點(diǎn)，容災(zāi)節(jié)點(diǎn)可以 實(shí)現(xiàn)對(duì)主節(jié)點(diǎn)約30%的核心業(yè)務(wù)進(jìn)行容災(zāi)份資源需求。2.網(wǎng)絡(luò)及安全資源池網(wǎng)絡(luò)端口規(guī)劃配置（IP地址和VLAN規(guī)劃）思路外網(wǎng)接入?yún)^(qū)（1）出口路由器出口路由器是在網(wǎng)絡(luò)的邊界點(diǎn)用于與其他網(wǎng)絡(luò)（例如廣域網(wǎng)）相連接的路由 器設(shè)備，其定位是將用戶由局域網(wǎng)匯接到廣域網(wǎng)，其業(yè)務(wù)需求覆蓋包括從簡單的 連網(wǎng)到復(fù)雜的多媒體業(yè)務(wù)和VP、業(yè)務(wù)等。考慮到數(shù)據(jù)中心集中建設(shè)后網(wǎng)絡(luò)的可靠 性，本項(xiàng)目建議配置兩臺(tái)邊界路由器，實(shí)現(xiàn)雙機(jī)熱備，同時(shí)路由器需支持MSTP 組網(wǎng)并建議開啟ACL訪問控制、包過濾防火墻等安全功能。（2）入侵檢測設(shè)備（IDS）其主要作用是幫助用戶量化、定位來自內(nèi)外網(wǎng)絡(luò)的

5、威脅情況，提供有針對(duì)性 的指導(dǎo)措施和安全決策依據(jù)，并能夠?qū)W(wǎng)絡(luò)安全整體水平進(jìn)行效果評(píng)估，IDS可 以依照用戶定制的策略，準(zhǔn)確分析、報(bào)告網(wǎng)絡(luò)中正在發(fā)生的各種異常事件和攻擊 行為，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的“全面檢測”，提供實(shí)時(shí)報(bào)警。根據(jù)安全需求分析，建議部 署兩臺(tái)入侵檢測設(shè)備以旁路方式連接至出口路由器。數(shù)據(jù)中心區(qū)核心區(qū)為整個(gè)云數(shù)據(jù)中心的核心，承擔(dān)所有業(yè)務(wù)流量數(shù)據(jù)的匯總。（1）多業(yè)務(wù)安全網(wǎng)關(guān)建議部署兩臺(tái)支持虛擬化的核心防火墻（多業(yè)務(wù)安全網(wǎng)關(guān)），實(shí)現(xiàn)各VDC的 安全隔離。在數(shù)據(jù)中心區(qū)內(nèi)承載集團(tuán)公司及多個(gè)所屬企業(yè)的應(yīng)用，按照業(yè)務(wù)隔離的概念, 為每個(gè)VDC分虛擬防火墻，虛擬防火墻的劃分可按照VxLAN方式，流量帶著V

6、xLAN標(biāo) 簽到防火墻后根據(jù)VxLAN對(duì)應(yīng)進(jìn)入到每個(gè)虛擬防火墻進(jìn)行安全檢查，從而實(shí)現(xiàn)業(yè) 務(wù)就可以完全隔離。每個(gè)虛擬防火墻均可以設(shè)置安全域，接口可以靈活劃分和分配，不同黨政機(jī) 關(guān)單位數(shù)據(jù)安全隔離，內(nèi)部網(wǎng)絡(luò)不同域隔離：多業(yè)務(wù)安全網(wǎng)關(guān)配置指標(biāo)如下所示：1）不少于4個(gè)10GE光口；2）支持網(wǎng)關(guān)防病毒（AV）、上網(wǎng)行為管理等增值安全服務(wù)；3）支持多種安全業(yè)務(wù)的虛擬化，包括防火墻、入侵防御、反病毒、VPN 等。不同用戶可在同一臺(tái)物理設(shè)備上進(jìn)行隔離的個(gè)性化管理；4）支持Bypass,保障設(shè)備掉電網(wǎng)絡(luò)直通。（2） WAF防火墻WAF （WEB應(yīng)用防火墻）用于防御以Web應(yīng)用程序漏洞為目標(biāo)的攻擊，并針 對(duì)Web

7、服務(wù)器進(jìn)行HTTP/HTTPS流量分析，及針對(duì)Web應(yīng)用訪問各方面進(jìn)行優(yōu)化， 以提高Web或網(wǎng)絡(luò)協(xié)議應(yīng)用的可用性、性能和安全性，確保Web業(yè)務(wù)應(yīng)用安全、 快速、可靠地交付。本項(xiàng)目云數(shù)據(jù)中心規(guī)劃了互聯(lián)網(wǎng)DMZ區(qū)域，承載著WWW、FTP等外部應(yīng)用， 特別是WEB應(yīng)用面臨著一系列威脅，因此建議部署一臺(tái)專業(yè)的WAF通過旁接DMZ 接入交換機(jī)抵御針對(duì)WEB的各類攻擊行為。WAF防火墻主要配置指標(biāo)如下所示：1）不少于GE光口2個(gè)；2）網(wǎng)絡(luò)層吞吐量不小于6Gbps,應(yīng)用吞吐量不小于3Gbps, HTTP并發(fā)連接不 小于 900000；3）支持WEB站點(diǎn)服務(wù)自動(dòng)偵測功能，支持自動(dòng)識(shí)別VLAN信息；4）能夠識(shí)別

8、惡意請(qǐng)求：跨站腳本（XSS）、注入式攻擊（包括SQL注入、命 令注入、Cookie注入等）、跨站請(qǐng)求偽造等應(yīng)用攻擊行為；5）支持智能識(shí)別攻擊者，對(duì)網(wǎng)站連接發(fā)起攻擊的IP地址進(jìn)行自動(dòng)鎖定禁止 訪問被攻擊的網(wǎng)站。（3）數(shù)據(jù)中心核心交換機(jī)建議部署兩臺(tái)高端萬兆以太網(wǎng)交換機(jī)構(gòu)建大二層網(wǎng)絡(luò)便于虛機(jī)調(diào)度迂移，技 術(shù)上要求能提供大容量、無阻塞的數(shù)據(jù)交換，同時(shí)需支持VxLAN、SDN等。為確保服務(wù)器上聯(lián)帶寬以及后續(xù)數(shù)據(jù)量的增長，核心交換機(jī)至少需配置10G 端口，同時(shí)兩臺(tái)核心交換機(jī)之間通過40G鏈路連接，利用核心交換機(jī)支持的虛擬 化技術(shù)，將兩臺(tái)設(shè)備虛擬化為一臺(tái)邏輯設(shè)備，從而確保核心層在可靠性、分布性 和易管理性方

9、面具有強(qiáng)大的優(yōu)勢(shì)。3安全運(yùn)維區(qū)部署安全管理平臺(tái)。4內(nèi)部接入?yún)^(qū)辦公網(wǎng)接入交換機(jī)（利舊）用做樓層交換機(jī)，負(fù)責(zé)辦公網(wǎng)內(nèi)各信息點(diǎn)的接入。主要配置指標(biāo)如下：（1）不低于28個(gè)千兆端口，支持comb。口；（2）包轉(zhuǎn)發(fā)率不低于96Mpps。5容災(zāi)區(qū)容災(zāi)區(qū)外網(wǎng)接入同通信技術(shù)中心節(jié)點(diǎn)外網(wǎng)接入?yún)^(qū)配置。容災(zāi)區(qū)服務(wù)器合計(jì)17臺(tái)，部署核心交換機(jī)2臺(tái)；業(yè)務(wù)接入交換機(jī)2臺(tái)；配 置存儲(chǔ)接入交換機(jī)2臺(tái)；利舊管理交換機(jī)（48GE電口）1臺(tái)；利舊硬件管理交換 機(jī)（48GE電口）1臺(tái)。3網(wǎng)絡(luò)及安全資源池流量互訪及隔離的規(guī)劃配置、設(shè)計(jì)思路（1）網(wǎng)絡(luò)架構(gòu)1）實(shí)現(xiàn)不同云租戶之間網(wǎng)絡(luò)資源的隔離，并避免網(wǎng)絡(luò)資源的過量占用；2）保證云計(jì)算平臺(tái)管

10、理流量與云租戶業(yè)務(wù)流量分離；3）根據(jù)承載的業(yè)務(wù)系統(tǒng)安全保護(hù)等級(jí)劃分不同安全級(jí)別的資源池區(qū)域，并 實(shí)現(xiàn)資源池之間的網(wǎng)絡(luò)隔離；4）提供開放接口或開放性安全服務(wù)，允許云租戶接入第三方安全產(chǎn)品或在 云平臺(tái)選擇第三方安全服務(wù)。加強(qiáng)云租戶虛擬機(jī)之間、安全區(qū)域之間的網(wǎng)絡(luò)安 全防護(hù)能力；5）根據(jù)云租戶的業(yè)務(wù)需求定義安全訪問路徑。本設(shè)計(jì)方案將劃分不同網(wǎng)絡(luò)安全區(qū)域。（2）訪問控制1）避免虛擬機(jī)通過網(wǎng)絡(luò)非授權(quán)訪問宿主機(jī)；2）在虛擬化網(wǎng)絡(luò)邊界部署訪問控制機(jī)制，并設(shè)置訪問控制規(guī)則；3）保證當(dāng)虛擬機(jī)迂移時(shí)，訪問控制策略隨其迂移；4）允許云租戶設(shè)置不同虛擬機(jī)之間的訪問控制策略。本設(shè)計(jì)方案將通過部署防火墻實(shí)現(xiàn)訪問控制。（3）

11、入侵防范1）應(yīng)保證跨越邊界的訪問和數(shù)據(jù)流經(jīng)過防護(hù)設(shè)備提供的受控接口進(jìn)行通 信；2）應(yīng)在租戶虛擬網(wǎng)絡(luò)與外部網(wǎng)絡(luò)邊界部署入侵防范機(jī)制，實(shí)現(xiàn)對(duì)虛擬化環(huán) 境中的攻擊行為的檢測和防范；3）應(yīng)能夠針對(duì)Web應(yīng)用攻擊進(jìn)行檢測發(fā)現(xiàn)。本設(shè)計(jì)方案將通過部署IDS （入侵檢測設(shè)備）、多業(yè)務(wù)安全網(wǎng)關(guān)（下一代防 火墻）、WAF （WEB應(yīng)用防火墻）實(shí)現(xiàn)入侵防范。（4）安全審計(jì)1）應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行安全審計(jì)，審計(jì)覆蓋到每個(gè)用戶，對(duì) 重要的用戶行為和重要安全事件進(jìn)行審計(jì)；2）審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及 其他與審計(jì)相關(guān)的信息；3）應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改或覆 蓋等。