方国强, 刘一谦, 张常亮
(1.高原与盆地暴雨旱涝灾害四川省重点实验室,四川 成都 610072;2.四川省气象探测数据中心,四川 成都 610072)
多年来,安全专家一直在争论网络安全威胁究竟是外部人员还是内部人员带来更大的风险,表明网络安全威胁来自于南北向、东西向网络安全威胁同样严重[1]。
气象部门是高度依赖信息化的公众服务型事业单位,网络建设起步较早,随着业务的发展,网络基础架构和业务系统布局越来越复杂。四川省气象局作为省级气象部门,网络结构相对也较复杂,网络安全建设由于多方面原因侧重南北向防御、东西向防御建设长期处于空白。面对省级气象部门这种复杂网络环境,如何在有限经费投入情况下,使东西向网络安全防御建设达到较理想的效果,是西部等欠发达地区气象部门面临的一大难题。基于云架构的安全资源池系统出现,较好地解决了此困境。但系统部署涉及现有资源整合,不可避免地会出现一些问题,需要根据实际情况针对性地优化解决。
安全资源池是云计算平台中提供安全服务的资源集合[2-3]。本文应用的深信服安全资源池架构基于软件虚拟化技术,建立能够为最终用户提供方便快捷的网络安全自动编排服务的云安全服务平台(cloud security service platform,CSSP)。平台主要包括下一代防火墙、入侵防御、Web应用防火墙、堡垒机、漏洞扫描、数据库审计、上网行为管理、日志审计、终端安全(EDR)等组件。
云安全架构(图1)从下往上分为三层[4]:
基础硬件架构层:由服务器、交换机和存储系统构成。
虚拟化架构层:基于底层基础硬件架构,将计算、网络和存储进行软件虚拟化,为上层安全资源池架构提供其所需的资源单元。
安全资源池架构层:利用虚拟化架构层提供的资源单元,将各类安全组件进行统一部署和管理,对内利用安全服务链可以将任意安全组件进行自由组合,对外提供自由的安全编排服务能力。
策略路由(policy-based-route)是一种依据用户制定的策略进行路由选择的机制[5],策略路由通过数据包源、目的地址、长度等信息匹配进行定制化的路由选择。
通常策略路由的优先级要高于普通路由,数据包到达端口后先匹配策略路由,如无匹配项再按照普通路由进行转发[6]。但不同厂商、不同类型的产品,路由优先级各有不同。总的来说,策略路由一般有强弱两种模式。弱策略路由的下一跳如果不可达,则返回继续查找路由表[7-8];强策略路由,不管下一跳是否可达,都会按照策略路由进行转发,如果下一跳不可达,则直接丢弃报文。
四川省气象局局域网络为典型的核心、汇聚和接入三层架构,汇聚交换机超过20台,可管理接入交换机超过90台。根据业务需要,核心与汇聚之间有三层和二层两种互联方式,整个网络中VLAN超过100个,重要业务系统分别部署于16个C类网段。其中,7个为数据支撑系统专用网段,物理上为独立区域,其余9个网段网关全部位于核心交换机,散乱分布于机房内,接入不同的交换机。所有重要业务系统网段都需要进行边界安全防护,以提升整个网络东西向安全,但由于内部数据交换量大,如使用传统硬件安全设备,则一方面高性能设备经费投入太高,另一方面设备性能无法根据业务发展动态调整。
如何将散乱分布于机房内的服务器纳入安全设备后端进行保护,是安全系统部署首要面临的问题。通过策略路由引流,实现气象业务数据流经安全设备是一种可行的方式。
本文应用测试的安全资源池单臂部署在核心交换机上,为保证安全资源池宕机等离线情况对网络通信不造成影响,采用弱策略路由将指定地址段的流量引流到安全资源池,以此实现9个分散部署的业务系统网段东西向网络边界防护。安全资源池全部选择下一代防火墙(VAF)[9]组件,实现东西向边界应用控制、WEB应用防护、入侵防御等安全防护需求[10-11]。
根据业务系统数据流量,将9个业务网段安全防护分配到7个VAF,安全资源池可以购买不同的VAF处理性能授权,灵活搭配,底层硬件服务器资源不足可以平滑扩容,满足业务发展需求。安全资源池的部署示意图如图2所示。
图2 安全资源池部署示意图
安全资源池内部虚拟网络中,VAF同样单臂部署在虚拟核心路由器上,通过策略路由将数据流量分发到不同VAF,能够避免因VAF故障导致的网络中断,安全资源池内部结构如图3所示。
图3 安全资源池内部结构
安全资源池单臂部署,通过在核心交换机上配置策略路由进行引流,保证访问重要业务系统网段的请求数据包和返回数据包都通过安全资源池。
3.2.1 ACL配置
对于防火墙来说,只有请求数据包和返回数据包都通过防火墙,才能准确发挥应用控制策略的作用。确保请求数据包和返回数据包都通过安全资源池的关键是策略路由ACL配置准确性[12]。本次部署测试中,业务系统网段的三层接口设计匹配指定源地址的ACL,其他三层接口设计匹配指定目的的ACL。
指定目的地址配置示例:
指定源地址配置示例:
3.2.2 策略路由配置
业务系统网段中有部分NAS、ISCSI等存储业务,一方面数据量过大,另一方面针对存储系统的安全威胁相对较小,这部分数据考虑不通过安全资源池。核心交换机配置策略路由时,需要将这部分IP排除,其方法是对这部分IP地址配置指定目的地址和源地址的两条ACL,策略路由中匹配ACL后不进行任何后续动作,并将该部分配置在节点node-number最小的位置优先执行。
策略路由配置示例:
策略路由应用下发示例:
3.2.3 策略路由下发效果
通过策略路由进行引流后,实现访问业务网段的数据通过VAF进行安全过滤,通过TRACERT命令进行路由跟踪,数据流量通过核心交换、安全资源池虚拟路由器、虚拟防火墙等设备地址后,最终到达目标服务器。
交换机和安全资源池是比较成熟的网络及安全产品,在生产业务中单独部署时,基本不存在问题。但在本次部署测试中,在核心交换机的三层接口下发策略路由到最后阶段时,出现策略路由下发响应缓慢,策略路由下发后不生效的问题。
交换机其他操作运行正常,只有在下发策略路由配置操作时响应缓慢,应该是策略路由相关的资源不足,策略路由主要消耗ACL资源,从ACL资源进行问题分析处理。
华三交换机可以通过display qos-acl resource命令查看QoS和ACL的资源使用情况,详细命令及命令结果如图4所示,图中各字段含义如表1所示。
图4 交换机QoS和ACL的资源使用情况
表1 字段含义表
通过在核心交换机上输入display qos-acl resource命令,发现交换机7号槽位板卡IFP ACL项Usage值超过了90%,而3号槽位板卡仅只有40%,同时发现3号槽位板卡的IFP ACL资源总数是7号槽位板卡的3倍。通过查看交换机物理设备信息发现,3号槽位和7号槽位板卡分别是EB和EA两种类型的万兆电口板,EB性能优于EA。因此,初步判断策略路由下发后不生效的原因是7号槽位板卡物理性能不足,必须优化配置降低板卡物理资源消耗。异常时交换机资源使用情况如图5所示。
图5 异常时交换机资源使用情况
策略路由不生效的原因是板卡ACL资源消耗超过阈值,需要优化减少ACL匹配条数。从配置分析来看,ACL数量过多,主要是在排除NAS、ISCSI等存储业务地址时,由于IP地址零散,每条规则只匹配一个地址,导致ACL规则条数过多。优化该ACL采用多个IP汇总为网段和调整设备地址到网络存储专用网段等方式,将原22条规则优化为3条规则。
优化前ACL配置:
优化后ACL配置:
通过对ACL优化后,板卡ACL资源消耗明显下降,交换机策略路由运行正常,安全资源池各VAF均有数量流量正常通过,应用控制策略功能正常。优化配置后的交换机资源使用情况如图6所示。
图6 优化配置后交换机资源使用情况
框式交换机业务模块配置时,不仅需要考虑端口配置,同时需要根据业务需求考虑模块自身物理性能,以免出现类似本文中将模块物理性能耗尽的情况。
安全资源池是一种较经济实惠的网络内部边界云安全系统,但对网络策略配置和网络设备协同要求较高,部署模式也导致应用中存在一些瑕疵。安全资源池内部策略路由全部在虚拟核心路由器上配置,网络通信时会按照策略路由配置先后顺序将数据流量分配到匹配的第一条ACL对应的VAF,不会同时通过相应的两台VAF。因此,安全资源池中的VAF之间存在优先级,业务网段之间的安全策略配置需要根据优先级确定对应的VAF。单臂部署模式下,通过VAF防护的业务网段和没有应用策略路由的一般网段之间通信时,由于数据流量只单向经过VAF,某些应用控制策略可能会造成误判,需要针对性地进行策略配置优化调整。
上线新的业务系统,尤其是网络安全方面的系统,上线运行只是开始,还需要在未来不断根据业务发展进行完善和调优,才能充分发挥系统作用,促进业务发展。