近幾年，隨著新興ICT業(yè)務(wù)的發(fā)展，網(wǎng)絡(luò)安全越來越受到人們關(guān)注。網(wǎng)絡(luò)安全的相關(guān)法律法規(guī)相繼出臺，讓安全合規(guī)成為企業(yè)數(shù)字化轉(zhuǎn)型的剛性要求。根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》，網(wǎng)絡(luò)安全應(yīng)做到“三同步”，即“同步規(guī)劃、同步建設(shè)、同步運營”，將網(wǎng)絡(luò)安全防護融入到規(guī)劃、可研、設(shè)計、建設(shè)、驗收、備案變更、維護評估、整改加固、退網(wǎng)的全過程，實現(xiàn)網(wǎng)絡(luò)安全防護工作規(guī)范化、流程化、常態(tài)化。

創(chuàng)新互聯(lián)公司專注為客戶提供全方位的互聯(lián)網(wǎng)綜合服務(wù)，包含不限于網(wǎng)站設(shè)計制作、網(wǎng)站建設(shè)、開原網(wǎng)絡(luò)推廣、小程序制作、開原網(wǎng)絡(luò)營銷、開原企業(yè)策劃、開原品牌公關(guān)、搜索引擎seo、人物專訪、企業(yè)宣傳片、企業(yè)代運營等，從售前售中售后，我們都將竭誠為您服務(wù)，您的肯定，是我們大的嘉獎；創(chuàng)新互聯(lián)公司為所有大學(xué)生創(chuàng)業(yè)者提供開原建站搭建服務(wù)，24小時服務(wù)熱線：13518219792，官方網(wǎng)址：www.cdcxhl.com

企業(yè)數(shù)字化轉(zhuǎn)型以及5G、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、移動支付等新業(yè)態(tài)帶動了數(shù)據(jù)中心的發(fā)展，在國家一體化大數(shù)據(jù)中心及“東數(shù)西算”節(jié)點布局的推動下，數(shù)據(jù)資源的安全越來越重要。因此，數(shù)據(jù)中心的安全需要從場景出發(fā)，與5G、云、網(wǎng)、算力等要素充分融合，提供綜合化、創(chuàng)新性解決方案。同時，“新基建”上云擴大了數(shù)據(jù)中心的安全邊界，應(yīng)根據(jù)用戶需求提出整體解決方案，主動防御。

本文在研究數(shù)據(jù)中心等級保護2.0(簡稱等保2.0)建設(shè)及IDC/ISP系統(tǒng)對IDC出口帶寬全覆蓋的基礎(chǔ)上，重點描述了數(shù)據(jù)中心安全部署位置、部署架構(gòu)選擇以及IDC/ISP系統(tǒng)存儲設(shè)備的優(yōu)化，將研究的成果應(yīng)用到了大型數(shù)據(jù)中心安全能力的建設(shè)，經(jīng)過測試，該方案能有效提升數(shù)據(jù)中心安全能力。

數(shù)據(jù)中心安全能力需求

等級保護2.0對數(shù)據(jù)中心安全能力提出要求

為適應(yīng)云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)及工業(yè)控制等新技術(shù)的安全需求，國家適時出臺了等保2.0的建設(shè)體系。等保2.0的要求包括安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境及安全管理中心5個方面。綿陽電信機房物理安全一般在機房建設(shè)初期進行了考慮，安全相關(guān)制度需在數(shù)據(jù)中心投入使用時制定，相關(guān)安全配套建設(shè)需要與網(wǎng)絡(luò)建設(shè)做到“三同步”，根據(jù)安全通信網(wǎng)絡(luò)、安全區(qū)域邊界以及安全計算環(huán)境的需求配置安全設(shè)備。

IDC/ISP互聯(lián)網(wǎng)信安系統(tǒng)要求

目前IDC/ISP系統(tǒng)均已實現(xiàn)100%覆蓋IDC，具備數(shù)據(jù)安全功能，可對數(shù)據(jù)泄露、跨境流動、網(wǎng)絡(luò)攻擊、惡意程序、網(wǎng)絡(luò)異常等行為進行監(jiān)測溯源和處理。

現(xiàn)有IDC/ISP系統(tǒng)隨著鏈路容量的擴大，EU系統(tǒng)存在資源利用率不高、對云業(yè)務(wù)安全監(jiān)測能力不足等問題。CU系統(tǒng)因逐年擴容建設(shè)成本較高，需考慮通過存算分離技術(shù)來實現(xiàn)資源按需擴展，提高資源利用率，實現(xiàn)降本增效。

黑洞路由傳遞需求

大型IDC設(shè)置有專門的IDC出口路由器，在網(wǎng)絡(luò)邊界做匯總回程路由的時候有些網(wǎng)段不在內(nèi)網(wǎng)中，但是又包含在匯總后的網(wǎng)段中，這些路由通過缺省路由進行轉(zhuǎn)發(fā)，能根據(jù)默認(rèn)路由又回到原來的路由器，這就形成了環(huán)路，影響路由器的處理效率。因此，面向IDC出口的黑洞路由傳遞是在大型數(shù)據(jù)中心建設(shè)中需要解決的問題之一。

數(shù)據(jù)中心安全建設(shè)方案分析

數(shù)據(jù)中心安全能力建設(shè)既要對IDC和互聯(lián)網(wǎng)專線用戶等提供安全防護能力，也要對內(nèi)外運營商自有系統(tǒng)和網(wǎng)絡(luò)提供安全防護能力。

安全能力池部署位置選擇

從安全原子能力的實現(xiàn)方式來看，可以將安全能力分為流量型和非流量型安全原子能力，以實現(xiàn)安全防護。流量型一般包括網(wǎng)關(guān)類安全能力及鏡像類安全能力，網(wǎng)關(guān)類通過VPN/PBR/VxLAN/SRv6等技術(shù)，將流量牽引至安全能力池內(nèi)，流量經(jīng)過處理后再回注被防護對象，此類安全能力與業(yè)務(wù)流量相關(guān)，時延要求較低。鏡像類將訪問流量鏡像至安全資源池內(nèi)進行分析，并將結(jié)果反饋至安全管理系統(tǒng)。

非流量型安全能力要求IP可達(dá)即可，安全原子能力只需與被防護目標(biāo)網(wǎng)絡(luò)IP可達(dá)，對時延要求比流量型的要求更低。

根據(jù)以上安全能力的分類，安全能力的部署位置有兩種選擇，即通過集中和近源部署實現(xiàn)安全防護。集中部署可以構(gòu)建統(tǒng)一的安全能力池，安全能力資源共建共享，集約化建設(shè)運營。近源部署則是將部分安全能力在防護目標(biāo)的近源側(cè)進行本地化部署，下沉至IDC機房，作為安全能力池的延伸，經(jīng)由安全管理平臺統(tǒng)一管理，通過近源流量牽引實現(xiàn)安全防護。

如圖1所示，數(shù)據(jù)中心因用戶訪問的時延敏感性，宜選用近源側(cè)部署方式，根據(jù)數(shù)據(jù)中心規(guī)模的大小，可分為3種部署方式：一是安全能力下沉至IDC機房;二是按城域網(wǎng)進行集約部署;三是以省為單位集中部署。3種部署方式對比如表1所示。

圖1 數(shù)據(jù)中心安全能力池部署方式

表1 IDC安全能力池三種部署方式對比

安全能力池架構(gòu)選擇

在安全能力組網(wǎng)架構(gòu)選擇上，傳統(tǒng)的安全設(shè)備以串式為主，此種方案能較好地對數(shù)據(jù)流進行安全能力處理，組網(wǎng)簡單，串式安全能力組網(wǎng)如圖2所示。

圖2 傳統(tǒng)串式安全能力架構(gòu)

此組網(wǎng)架構(gòu)存在一個弊端，即串式安全架構(gòu)安全能力池可擴展性差，單臺設(shè)備故障影響整體的安全能力，所有流量流經(jīng)所有安全設(shè)備，安全設(shè)備間緊耦合。針對傳統(tǒng)安全架構(gòu)遇到的挑戰(zhàn)，F(xiàn)5借助強大的全棧安全服務(wù)引擎，推出了SSLO，即SSL可視化與智能編排解決方案，可以做到安全能力資源池動態(tài)擴展、精分流量編排、設(shè)備故障快速隔離、安全設(shè)備灰度發(fā)布、以安全業(yè)務(wù)服務(wù)為調(diào)度核心。借鑒F5 SSLO安全架構(gòu)編排理念，采用基于園區(qū)匯聚并行安全架構(gòu)部署方式，可以完成數(shù)據(jù)中心的安全能力部署。3種安全架構(gòu)部署方式對比如表2所示。

表2 安全能力池架構(gòu)部署方式對比

大數(shù)據(jù)園區(qū)安全建設(shè)方案

隨著國家一體化大數(shù)據(jù)中心提出及“東數(shù)西算”工程的啟動，運營商紛紛在八大樞紐節(jié)點進行數(shù)據(jù)中心的建設(shè)，以某運營商在河北周邊數(shù)據(jù)中心建設(shè)為例，一期建設(shè)3棟數(shù)據(jù)中心大樓，啟用6000機架，考慮到建設(shè)初期IDC流量小，按單機架流量150Mbit/s、DCSW出口帶寬利用率65%進行擴容，通過計算可得DCSW出口帶寬達(dá)到1400G。在以上測算模型的基礎(chǔ)上進行數(shù)據(jù)中心安全能力的建設(shè)，某運營商大數(shù)據(jù)園區(qū)安全能力建設(shè)包括安全配套建設(shè)及國家監(jiān)管IDC/ISP系統(tǒng)的建設(shè)。

●大數(shù)據(jù)園區(qū)安全配套建設(shè)方案

安全能力分別滿足流量型及非流量型的需求，流量型安全能力下沉至IDC園區(qū)，在園區(qū)內(nèi)安全能力建設(shè)時，采用由其中一棟IDC機樓承接安全能力池的建設(shè)，其它機樓安全能力通過IP可達(dá)方式牽引至安全能力池進行部署。根據(jù)等保2.0的要求以及IDC園區(qū)自身路由安全的需求，安全能力池按需部署防火墻、IPS、DNS反解析、Web防掛馬、APT、WAF、漏洞掃描、基線掃描、雙提升測試服務(wù)器以及黑洞路由傳遞等10項安全原子能力。非流量型云安全自服務(wù)借助統(tǒng)一的安全能力部署方式，利用原有城域網(wǎng)的安全能力進行建設(shè)。

在部署架構(gòu)的選擇上，借鑒F5 SSLO安全架構(gòu)編排理念，安全能力設(shè)備集中部署在園區(qū)匯聚交換機側(cè)，每臺設(shè)備均雙上行至匯聚交換機，既保證了鏈路安全，又做到了安全資源池可動態(tài)擴展、設(shè)備故障快速隔離、降低業(yè)務(wù)時延、高效支撐業(yè)務(wù)發(fā)展。大型IDC安全能力池部署如圖3所示。

圖3 大型IDC安全能力池部署

●IDC/ISP系統(tǒng)優(yōu)化方案

根據(jù)IDC/ISP系統(tǒng)建設(shè)要求，需對DCSW出口帶寬進行100%覆蓋。依據(jù)IDC/ISP系統(tǒng)EU及CU存儲的計算模型，總體存儲新增需求達(dá)到8022TB。EU采用分散部署的方式，分別在每棟機樓部署。CU采用集中部署方式，放置于其中一棟IDC機樓。在CU系統(tǒng)建設(shè)中，存儲容量建設(shè)隨著網(wǎng)絡(luò)帶寬的擴容，每年的擴容量增長較快，目前常用的存儲方式為分布式存儲，存儲容量為120TB(2U)。針對ID冷存儲型服務(wù)器常見的單臺設(shè)備容量為288T(4U)，兩種建設(shè)方式對比如表3所示。

表3 CU兩種建設(shè)方式對比

綜合對比冷存儲型服務(wù)器及分布式存儲服務(wù)器，冷存儲服務(wù)器投資小、占用機架少，因此選用冷存儲服務(wù)器進行CU系統(tǒng)建設(shè)，可以實現(xiàn)降本增效。該方案應(yīng)用于某運營商在大數(shù)據(jù)園區(qū)安全能力的建設(shè)，經(jīng)測試，可達(dá)到數(shù)據(jù)中心的防護要求，對數(shù)據(jù)中心安全能力的建設(shè)有一定的參考價值。

當(dāng)前文章：數(shù)據(jù)中心網(wǎng)絡(luò)安全建設(shè)方案研究
轉(zhuǎn)載注明：http://weahome.cn/article/djegi.html