企业级数据中心安全部署应用技术

张凌云+李俊杰

摘 要：通过该文介绍的一种数据中心安全部署实施方案，实现防火墙的主备模式，加强了网络的稳定性和安全性，同时实现安全区域划分，满足不同级别信息系统安全隔离，更加有效地控制各个网段的访问权限。通过事先确认的测试项目，对主要网络路径的通断情况、主要业务的状况进行检测，确保这些要检测的网络路径和业务都正常工作。

关键词：企业 数据中心 安全 部署应用

中图分类号：TP393 文献标识码：A 文章编号：1674-098X（2017）04（a）-0135-02

为响应互联网信息系统等级保护的要求，需对某企业核心网络交换机与数据中心汇聚交换机间的防火墙进行改造升级，实现数据区数据库、应用服务器等网段安全隔离，满足不同级别信息系统安全隔离。通过该项目实施，实现防火墙的主备模式，加强了网络的稳定性和健壮性，同时实现安全区域划分，满足不同级别信息系统安全隔离，更加有效地控制各个网段的访问权限。

在进行网络过渡的过程中，须考虑诸方面的因素，如系统升级、网络拓扑的变化以及相应政策的影响，以确保网络过渡过程不会对现有兴义供电局局域网及其广大用户造成任何冲击。在实施方案的制订过程中，遵循如下原则。

（1）充分保证实施方案整体的可靠性。

（2）全面考虑网络过渡过程的各方面因素。

（3）合理利用现有网络设备、网络拓扑结构。

（4）在网络实施过程中加入必要的测试过程，保证整个网络过渡过程的正确性。

（5）该方案可依实际情况进行具体分析讨论后做出相应调整。

1 工程实施概况描述

1.1 网络现状描述

现某公司局域网接入到综合数据网由两台不同型号的防火墙以路由方式接入，此方式存在的问题是不能进行安全策略的同步，由于非对称路由问题不能两条线路同时使用，只能手动进行線路的激活。

原来使用防火墙已经在线运行多年，性能已经不能满足当前数据中心流量要求，并且数据端口为100 M，已经存在极大的网络瓶颈。

1.2 目标网络描述

使用局域网核心交换机的虚拟防火墙来替换现在的数据中心防火墙。并将其部署成为主备模式，主FWSM在进行配置后会自动将配置同步到备FWSM上。

1.3 方案设计说明

（1）在Cisco FWSM上创建数据区VFW。

（2）把原有业务接口上应用策略上移至每个VFW的Outside接口上，在VFW间实现网段间的安全隔离。

（3）VFW采用二层透明模式。业务机上网关保持原来地址不做改变。

采用二层部署的优势在于如下几个方面。

①简化和加速安全设备的部署。

②在现有网络中的快速部署，不改变任何IP地址。

③提供高性能“秘密的”L2-L7安全服务，提供网络层的安全控制与攻击保护。

2 施工程组织及安全措施

2.1 进度计划表

进度计划见表1。

2.2 风险分析及防范措施

此次网络改造存在的风险如下。

（1）改造过程中，因为要进行线路改造和加入二层虚拟防火墙，改造中断时间约为80 min左右。

（2）该次工作需要对两台核心分别进行改造，因此业务服务器通信链路需要进行多次网络业务割接。在以往的工作中，服务器曾经因断网而出现业务异常的情时有发生。针对核心中断会导致服务器业务中断的情况，拟采取以下措施。

①服务器服务器建议厂家和相关负责人员到场支持。

②建议相关服务器在网络切换前关停机，在网络恢复之后再行启动。

③所有业务系统在网络割接后，马上进行测试，确保服务正常。

此次改造可能会影响AD域NACC流量引入不正常，严格要求AD域厂家现场支持。

（3）为保证在正常中断时间内完成网络切割，在实施前应做好充分的准备工作，在实施前做好相关设备的配置备份保存、实施过程中做好操作记录工作，以保证如出现未知故障时，及时回退。

2.3 施工准备工作

（1）为顺利完成工程所进行的必要准备。

①做好相关设备的配置备份和保存。

②准时把各设备运至安装现场。

③准备工程必要的各种材料。

④准备必要的测试仪表工具。

⑤准备相应的施工安全工器具。

（2）技术、安全准备。

①熟悉方案技术要求。

②施工机具的准备。

③向施工班组做技术交底和向每个工作成员进行安全交底。

2.4 现场安装要求

设备、材料运输到货要求：要安装调试的设备，在站点计划开始安装日的前一天，将设备搬运到指定站点的指定位置。同一站点配套的设备及配件应一次送达。

安装材料、附材的准备：为网络设备准备相应的测试仪表、工器具、电缆等辅助材料。

严格按照施工方案要求开展割接工作，将施工中的各个环节、步骤的过程用书面或图表等形式进行表述，使施工的全过程有一个可控性，能及时反映工作的进度和完成情况。工程质量目标，按照实施方案、规划文件要求及国家电力行业现行技术标准、规范进行施工，保证安装施工的质量。注意保持机房的环境清洁，退出工作后恢复机房的运行条件要求。对废弃的物品进行环保处理。

3 割接总体说明

在做每个割接工作的正式割接之前，先通过事先确认的测试项目，对主要的网络路径的通断情况、主要业务的状况进行检测，确保这些要检测的网络路径和业务都工作正常，并记录下检测情况。然后按照事先确认的割接步骤，一步步地进行割接。所有割接步骤实施完毕后，再重复一次正式割接之前所做的工作，通过事先确认的测试项目，对主要的网络路径的通断情况、主要业务的状况进行检测，确保这些要检测的网络路径和业务都工作正常。通过这种对比方式，从而确保整个系统的割接成功。

参考文献

[1] 彭可.控制网络系统性能分析、系统设计和网络互连的研究与应用[D].中南大学，2004.

[2] 谢显中.TDD模式与第三代移动通信系统[J].现代电信科技，2000（2）：28-31.