云数据中心网络安全设备部署研究

魏喜莲

在信息化快速发展的时代，网络技术的应用越来越广泛和深入，同时伴随着不断出现的网络安全问题，这就使网络安全技术的重要性更加突出。我国非常重视网络安全问题，从法律、管理、技术等方面采取了切实可行的有效措施，2017 年正式颁布实施《网络安全法》，2019 年正式颁布实施《信息安全技术网络安全等级保护基本要求》（GB∕T 22239—2019）。

随着云计算技术的日趋成熟，数据中心无论是在技术上还是在部署上都得到了快速发展，以利用资源虚拟化和服务动态管理为手段，增加资源共享利用率和资源部署灵活度的云数据中心也越来越多。因此，其安全性正越来越成为企业考虑云平台的重要指标之一。本文研究了云数据中心的建设模式，探讨了云数据中心网络安全设备的部署。

1 云数据中心网络安全建设模式

与传统数据中心相比，云数据中心网络安全设备部署的原则仍然是：分区规划、分层部署。

由于不同的应用或业务单元在网络中的存在价值和易受攻击程度是不同的，应按照其具体情况制定不同的安全策略和信任模型，再将网络划分为不同区域，以满足业务需求、数据流需求、应用逻辑功能需求和IT 安全需求，这就是分层规划［1］。

在将网络划分为不同区域的基础上，按照网络安全防护的部署要求，根据实际情况，在每个区域的边界处部署相应的网络安全设备，这就是分层部署［2］。

在云环境下，云数据中心最显著的特征是大数据和资源共享，较为典型的安全问题为侵入供给、拒绝服务攻击DoS 以及分布式拒绝服务攻击DDoS、蠕虫病毒等。这些安全问题主要通过广泛传播，或者对网络资源非法占用的方式来阻碍网络环境中的安全设备正常工作。为了保护云数据中心的安全，需要部署各种网络安全设备，不同的网络安全设备相互配合形成一个统一、有效的整体，共同构建起一套完整的安全防御体系。本文从以下4 个方面对云数据中心网络安全设备的部署进行研究：①网络边界安全设备的部署研究；②应用安全设备的部署研究；③管理与运维安全设备的部署研究；④主机安全设备的部署研究。

2 网络边界安全设备的部署研究

网络边界安全设备一般采用防火墙（FW）和防DDoS 网络安全设备。

2.1 防火墙（FW）部署研究

2.1.1 主要功能

防火墙主要根据数据包的源地址、目的地址、端口、通信协议、流量、用户、通信时间等信息，实现网络隔离、网络访问管控、多种安全引擎，以及安全可视化等功能。

2.1.2 部署模式

防火墙的部署模式分为串联和旁挂2 种模式。串联部署模式的优点是流量部署清晰，缺点是对防火墙的性能要求高；而旁挂部署模式的优点是可以通过采取策略使部分流量不经过防火墙，缺点是交换机的策略较复杂。

2.1.3 工作模式

防火墙常见的工作模式为：路由模式、透明模式和混合模式。

路由模式的特点是防火墙所有的接口都需配置IP 地址，采用三层路由模式，防火墙表现为一个路由器。与路由器的不同之处是：防火墙的报文在三层区域的接口间进行转发时，还需要送到上层进行过滤等相关处理，由上层来确定是否允许该报文通过。采用路由模式的防火墙还支持ACL 规则检查、ASPF 状态过滤、流量监控等功能。

透明模式的特点是防火墙所有的接口都不用配置IP 地址，采用二层透明模式，防火墙表现为一个透明网桥。与透明网桥的不同之处是：防火墙中IP 报文还需要送到上层进行过滤等相关处理，通过检查ACL 规则或会话表，以确定是否允许该报文通过。采用透明模式的防火墙支持ACL 规则检查、ASPF 状态过滤、流量监控等功能。

混合模式则是路由模式与透明模式的组合。混合模式的特点是仅有部分接口配置IP 地址。配置IP 地址的接口工作在三层区域；而未配置IP 地址的接口，与透明模式的工作过程完全相同。

2.1.4 典型部署场景

在实际的云平台建设过程中，分支机构/合作伙伴、互联网接入区、WAN 专网接入广域网时，一般按照串接的方式分别部署2 台工作在透明模式下的防火墙，防止被入侵，保护南/北向数据业务安全。在云数据中心内部各区域间一般按照旁挂的方式部署2 台工作在混合模式下的防火墙，保护东/西向数据业务安全。在核心业务区（数据库、存储区、服务器区等） 部署具有虚拟功能的防火墙，应对虚拟化安全风险，如非授权访问、恶意攻击和VM 间的病毒感染，以及VM 无缝迁移等。常用的部署场景见图1。

图1 云数据中心防火墙的典型部署

2.2 防DDoS 部署研究

2.2.1 防DDoS 部署的必要性

根据国家互联网应急中心监测数据，发生在我国主流云平台上的各类网络安全事件数量占比仍然较高，其中云平台上遭受DDoS 攻击次数占境内目标被攻击次数的69.6%，被植入后门链接数量占境内全部被植入后门链接数量的63.1%，被篡改网页数量占境内被篡改网页数量的62.5%。所以，云数据中心防DDoS 攻击非常重要。

DDoS 攻击就是用海量数据包消耗被攻击目标的可用系统和带宽资源，导致网络服务瘫痪的一种攻击手段，利用自身的资源，通过一种放大或不对等的方式来达到消耗对方资源的目的。

为了防止DDoS 攻击，保证云数据中心的安全，在云数据中心的出口部署Anti-DDoS 系统，流量完全镜像到检测中心进行检测，检测结果上报ATIC 管理中心，管理中心根据策略对攻击流量进行清洗。

2.2.2 Anti-DDoS 系统组成

Anti-DDoS 系统主要由ATIC 管理中心、检测中心和清洗中心3部分组成［3］。其系统组成见图2。

2.2.3 Anti-DDoS 系统部署模式

Anti-DDoS 系统的部署模式分为直路和旁路2 种模式，其中旁路模式又分为清洗设备独立部署和检测清洗设备联动部署2 种方式。

图2 Anti-DDoS 系统组成

直路部署模式的优点为组网简单，不需要额外增加接口，可以实时监控双向流量，在个别攻击防护上要优于旁路部署；缺点是为了避免单点故障并减少算法上的误判，必须具有Bypass 功能。

旁路部署模式的优点是能够避免Anti-DDoS防护设备对所有流量进行处理而耗费大量的转发性能，从而导致投资上升，以及设备直路部署可能带来的链路短时中断；缺点是组网略复杂。

2.2.4 云数据中心Anti-DDoS 典型部署场景

因云数据中心出口带宽流量较大，业务类型较多，可靠性要求较高，容易遭受Flood 类攻击和新型应用层攻击［4］，故在云数据中心实际建设过程中一般采用检测、清洗设备联动的旁路模式部署1 套Anti-DDoS 设备，其典型部署见图3。

图3 云数据中心Anti-DDOS 的典型部署

3 应用安全设备的部署研究

应用安全设备一般采用部署入侵防御系统（IPS）、Web 应用防火墙（WAF）、安全沙箱等网络安全设备。

3.1 入侵防御系统部署研究

3.1.1 入侵防御系统部署的必要性

防火墙可以根据IP 地址（IP-Addresses） 或服务端口（Ports）过滤数据包，但由于防火墙很难深入检查数据包内容，只能拦截低层攻击行为，因此无法检测到利用合法IP 地址和端口进行的破坏活动的攻击，对应用层的深层攻击行为无能为力。入侵检测系统（IDS）可以检测到穿透防火墙的深层攻击行为，但是无法及时阻断。虽然IDS与防火墙可以相互配合工作，IDS 检测到穿透防火墙的深层攻击行为，然后通知防火墙进行阻断，但是因为防火墙与IDS 之间没有统一的接口规范，且现在“瞬间攻击”越来越频发，所以在实际的工程应用中采用IDS 与防火墙联动部署方案的效果并不明显。在这种情况下，就迫切需要一款既可以及时检测到穿透防火墙的深层攻击行为，又能对其进行实时阻断的网络安全设备——入侵防御系统（IPS）。

3.1.2 入侵防御系统部署模式

IPS 的部署模式分为直路和旁路2 种。其中，最常用的部署模式是旁路模式。需要注意的是，直路部署的IPS 必须具有Bypass 功能。

3.1.3 云数据中心入侵防御系统典型部署场景

在云数据中心的实际建设中，IPS 的部署一般分为2 种情况。为了防御各种黑客攻击行为和蠕虫病毒等，一般在业务服务器群前直路部署IPS 产品，以保护高安全业务区安全；为了监控内部的攻击行为，检测异常的数据流量，在数据中心内部旁路部署IPS 产品。云数据中心入侵防御系统（IPS）典型部署见图4。

3.2 Web 应用安全设备部署研究

3.2.1 Web 应用安全设备部署的必要性

随着网络的快速发展，Web 应用也日益丰富，Web 服务器因其计算能力强大、处理性能极高、数据价值较高，逐渐成为黑客攻击的主要目标［5］，频繁发生SQL 注入攻击、命令注入攻击、网页挂马、网页篡改等安全事件［6］，因此需要部署一款用来解决诸如防火墙等传统设备束手无策的Web 应用安全问题的安全设备——Web 应用防火墙（WAF）。

图4 云数据中心入侵防御系统（IPS）典型部署

3.2.2 Web 应用防火墙的主要功能

WAF 与传统防火墙相比，不同之处在于WAF 工作在应用层，因此对Web 应用防护具有先天的技术优势，检测和验证来自Web 应用程序客户端的各种请求，以确保其安全性与合法性，实时阻断不合法的请求，从而有效保护网站站点。

WAF 主要功能包括：对HTTP 的请求进行异常检测，拒绝不符合HTTP 标准的请求；有效防止网页篡改、信息泄露、木马植入等恶意网络入侵行为，从而减小Web 服务器被攻击的可能性；及时补丁，只要得到全面的漏洞信息，WAF 就能在1 h 内屏蔽掉相关漏洞；基于Web 应用的安全规则库实时更新，用户可以按照这些规则对应用进行全方面检测；WAF 能够判断用户是否是第一次访问，将请求重定向到默认登录页面并记录事件，通过检测用户的整个操作行为而更容易识别攻击；能够检测出异常事件，并且在达到极限值时进行处理，这对暴力攻击的识别和响应是十分有利的；另外，WAF 还具有应用负载均衡、Web 应用加速、Bypass 和HA 等 功 能。

3.2.3 Web 应用防火墙部署模式

WAF 部署模式分为透明代理和反向代理2 种模式。

1）透明代理模式。

透明代理部署模式应用于透明串接部署方式，如图5 所示。将WAF 串接在用户网络中，网络设备与服务器配置都不需要更改。优点是部署简单易用，适用于大部分用户网络；不需要更改数据包内容，对于用户网络是透明的；防护能力强，可支持WAF 绝大部分功能防护；故障恢复快，可支持Bypass功能。

WAF 采用透明代理模式部署的前提条件：WAF 设备开机后正常运行；物理直通模式/网桥直通模式下，Web 服务器可达。

2）反向代理模式。

反向代理模式为旁路部署，适用于网络结构复杂的环境中。部署时需要在用户网络设备上将域名解析到设备上或将地址映射到设备上。反向代理模式部署拓扑结构见图6。

WAF 反向代理模式的特点：对于用户网络不透明；访问时需要先访问WAF 配置的业务口地址；故障恢复时，需要重新将域名或地址映射到原服务器，恢复时间慢；支持多台WAF 设备VRRP冗余和集群部署，不支持Bypass 功能。

WAF 反向代理模式部署的前提条件：WAF设备开机后正常运行；WAF 配置的业务口IP 与保护站点通信正常。

3.2.4 云数据中心Web 应用防火墙典型部署场景

WAF 的部署一般采用侧挂在数据中心服务区的核心交换机上［7］，主要有以下2 种部署模式：①网关模式：WAF 需要配置IP 地址，且Web 服务器的网关地址为Web 应用防火墙的IP 地址，在这种模式下，后端的多台Web 服务器可以做负载均衡；②旁路监控模式：通过交换机做镜像流量到WAF，WAF 对镜像流量进行检测分析，分析业务流量的安全状况。

云数据中心Web 应用防火墙（WAF）典型部署场景见图7。

图5 Web 应用防火墙（WAF）透明代理模式

图6 Web 应用防火墙（WAF）反向代理模式

图7 云数据中心Web 应用防火墙（WAF）典型部署

3.3 未知威胁防护部署研究

3.3.1 未知威胁防护部署的必要性

防火墙、Anti-DDoS、入侵防御系统、WAF这些安全设备都是基于特征的检测技术，无法识别未知的恶意软件；而这些未知恶意软件的隐蔽性高，使用了高级逃逸技术，行为难以追踪，这就需要部署一款针对未知威胁的防护设备——安全沙箱。

3.3.2 安全沙箱的检测机制

安全沙箱的检测机制就是用虚拟化技术构建操作系统环境以及各种软件环境，在该环境中充分运行检测文档和可执行程序，实时分析可执行程序以及文档在运行过程中的行为，与防火墙进行联动，快速拦截未知恶意攻击。

3.3.3 云数据中心安全沙箱的典型部署

在云数据中心一般采用集群部署、统一管理，将安全沙箱部署在现有安全设备之后，检测绕过FW、IPS 和SMG 的恶意软件、基于0-Day 漏洞的威胁和定向型APT威胁等。安全沙箱典型部署场景见图8。

图8 云数据中心安全沙箱典型部署

4 管理与运维安全设备部署研究

云数据中心管理与运维安全的解决方案一般是采用部署堡垒机、日志审计系统、大数据安全态势感知系统等网络安全设备。

4.1 堡垒机的部署研究

4.1.1 堡垒机部署的必要性

云数据中心因设备众多、用户众多，一般存在人员入口比较分散、集中管理困难、运维人员权限控制难等问题，所有维护人员直接登录到各个网元设备或服务器进行操作，缺少统一的审计溯源方案，无法集中监控和审计，对行政管理手段要求高。为了解决这些问题，需要部署一款既可以解决运维人员权限控制难的问题，又可控制和审计违规操作，且本身不会产生大规模的流量，不会成为影响网络性能瓶颈的安全设备——堡垒机。

4.1.2 堡垒机的主要功能

堡垒机的主要功能包括：提供设备统一运维入口；对云数据中心的各种设备的运维管理账号进行集中管理、集中认证和授权；提供内建本地账号和与第三方账号的联动，包括AD 账号和LDAP 账号；记录操作全过程及日志，以视频的形式保留操作信息，方便事后审计和定期问题审查。

4.1.3 堡垒机的典型部署

在云数据中心部署堡垒机可以实现统一访问入口、集中权限控制、运维操作的规范化管理，完善组织的内部控制与审计体系，提供精准的责任鉴定和事件追溯［8］。云数据中心堡垒机典型部署场景见图9。

图9 云数据中心堡垒机典型部署

4.2 日志审计系统部署研究

4.2.1 日志审计系统部署的必要性

云数据中心面临网元类型多样，日志格式不统一、可读性差、海量日志存储困难、日志难于统一管理等问题，因此需要部署一套日志审计系统。

4.2.2 日志审计系统的主要功能

日志审计系统全面涵盖服务器主机审计、网络（安全）设备审计、数据库系统及行为审计、网络访问行为审计、应用（业务） 系统审计等多个层面，为用户提供日志全生命周期管理和极简的可视化安全审计服务，并对系统和应用软件日志、各种网络操作行为进行第三方的实时分析与记录。

4.2.3 云数据中心日志审计系统典型部署

云数据中心网络设备、服务器主机设备、数据库设备众多，具有用户数量多等特点，故云数据中心一般采用旁路部署的模式部署1套分布式的日志审计系统。云数据中心日志审计系统典型部署场景见图10。

4.3 大数据安全态势感知系统部署研究

4.3.1 大数据安全态势感知系统部署的必要性

随着大数据时代的到来，各类应用系统也越来越多，各类安全信息的规模变得非常庞大、种类变得非常繁多［9］，这使安全信息的采集规模也日益庞大，而传统日志安全中心已无法适应海量数据的存储和安全事件的处理，使传统日志安全中心的分析能力变弱、调查效率变低，安全数据的存储和管理也变得困难，因此就需要部署一款新一代的日志审计系统——大数据安全态势感知系统。

图10 云数据中心日志审计系统典型部署

4.3.2 大数据安全态势感知系统的主要功能

大数据安全态势感知系统集中处理数据库审计、数据库防火墙、数据加密、数据脱敏等各种数据安全产品采集的信息，将不同类型的数据进行汇总，在此基础上进行关联分析，动态展示数据资产分布状况和敏感数据的访问行为，并预测数据资产可能面临的泄露风险。

4.3.3 云数据中心大数据安全态势感知系统的典型部署

由于云数据中心网络环境复杂，存在大量安全设备，一般采用集中部署模式。根据网络划分多个区域，每个分区内部部署一套采集组件，实现本分区内的信息收集和处理，在中心区域部署1 套安全审计系统，通过与各类事件组件或安全设备通信，实现整个网络的全局管理。云数据中心大数据安全态势感知系统典型部署见图11。

图11 云数据中心大数据安全态势感知系统典型部署

5 主机安全部署研究

云数据中心主机一般部署具有虚拟功能的防火墙（VFW）、终端准入控制系统等网络安全设备。

5.1 主机安全部署的必要性

云数据中心部署防火墙、Anti-DDoS、IPS、安全沙箱等安全设备都是针对数据中心物理网络的防护。云数据中心是基于云计算的虚拟环境，安装传统的安全设备或杀毒软件并不能保护虚拟设备，因此云数据中心需要部署能够保护云主机安全的网络安全设备。

5.2 主机安全部署方案研究

5.2.1 具有虚拟功能的防火墙（VFW）部署研究

防火墙的部署模式及工作模式详见防火墙章节。

为了保护云数据中心云主机的网络安全，一般采用在核心业务区（数据库、存储区、服务器区等）集中部署具有虚拟功能的防火墙，应对虚拟化安全风险，如非授权访问、恶意攻击、VM 之间的隔离和防攻击，以及VM 无缝迁移等。

5.2.2 终端准入控制系统部署研究

云数据网络中包含各种各样的终端，不仅有台式机、笔记本电脑、服务器等固定终端，还包含智能手机、平板电脑、电子阅读器等移动终端，甚至还包含网络中的打印机、IP 电话等“哑终端”。网络中的这些终端数量和种类多、接入方式多，是网络中访问各种应用系统并获取数据的源头，也是病毒传播、内部恶意攻击和数据失窃的起点［10］。故为了保护云数据网络中云主机的安全，一般采用旁路模式部署一套用来进行终端身份识别和接入控制的网络安全设备——终端控制准入系统。

6 结束语

在云数据中心建设时，应根据实际情况选择契合度高的网络安全设备和部署模式，云数据中心网络安全应当是诸多网络安全设备协同工作形成的一个综合性的整体。

在云数据中心，除了部署一系列的网络安全设备外，还应对云数据中心云化后网络安全技术进行研究。云数据中心依靠虚拟化技术，通过一虚多的方式进一步提高硬件资源的利用率，云数据中心可以按照用户的实际需求进行动态的资源分配，云数据中心用户的网络也就随之动态变化，这对云数据中心的运维安全提出了非常高的要求。将控制面和数据面进行分离，对云数据中心的网络进行灵活细粒度的管理和控制，这是云数据中心网络安全研究的重点和方向。