数字传媒研究·Research
on Digital Media
作者简介:丛上海嵊泗列岛旅游攻略
海
内蒙古自治区新闻出版广播影视科研所
高级工程师
丛
海
内蒙古自治区新闻出版广播影视科研所内蒙古呼和浩特市010050
【摘要】防火墙的安装与部署是数据中心网络安全策略中的关键一环,顾名思义,防火墙就像一道
安装在接入互联网的外部网络和数据中心内部网络的由硬件设施和管控软件组成的隔离墙,是一种协助确保网络信息安全的保护设备,主要由服务访问规则、验证工具、包过滤和应用网关等部分组成,所有经过防火墙的数据和信息都会被有针对性的筛选,使网域间建立起一个安全网关,保护内部网络免受非法用户的侵入。本文通过防火墙在数据中心边界防护的部署中对应不同应用策略进行了阐述。 中国唯一拥有8个机场的城市
【关键词】防火墙VPN 标签协议栈双栈技术隧道技术【中图分类号】TP393
【文献标识码】A
【文章编号】2096-0751(2021)03-0006-06
1数据中心边界防护
数据中心(Internet Data Center,IDC ),是基于互联网中的内部网络提供的全套设施与运维支撑服务体系。它可以实现数据的集中式收集、存储、处理和发送。通常由大型网络服务器提供商建设,为企事业单位或个人客户提供服务器托管、虚拟域名空间等服务。
数据中心的网络结构通常具有主要针对数据中心内的服务器进行保护,使用的安全功能需要根据服务器类型综合考虑;数据中心可能部署有多家企业的服务器,更容易成为黑
18
数字传媒研究·Research
on Digital Media
客的攻击目标;数据中心的核心功能是对外提供网络服务,保证外网对数据中心服务器的正常访问极其重要,这不仅要求边界防护设备拥有强大的处理性能和完善的可靠性机制,还可以在发生网络攻击时仍不影响正常的网络访问;数据中心流量复杂,如果流量可视度不高,则不能进行有针对性的配置调整等特征。 如图1所示,防火墙作为数据中心的边界,应实现以下功能:开启审计功能和流量统
计,对IP、用户、应用对流量状况进行审计分析和长期统计,审计分析结果协助管理员确立安全策略制定漏洞,长期统计形成类大数据分析结果可协助管理员整理并系统调整现有的安全策略;开启入侵防御、实时更新反病毒库,使服务器降低入侵、蠕虫、木马等病毒危害比率;IP 地址和网络应用限制流量可以使服务器稳定运行,避免网络出口拥塞,影响网络服务;开启垃圾邮件过滤功能,保护内部局域网邮
件服务器不受垃圾邮件侵扰,也避免其无意中转发垃圾邮件被反垃圾邮件组织列入黑名单,影响正常邮件的发送;针对性部署DDoS 及其他攻击防范功能,避免服务器受到互联网外部主机的攻击导致瘫痪;开启文件过滤和数据过滤,避免数据泄露;通过实施双机热备部署可以提高系统稳定性和可靠性;部署网管系统(网管系统应细化管理至底层汇聚交换机),记录各点在网络中运行的日志信息,从而协助管理员更
图1数据中心边界防护部署
19
优的进行配置调整、风险识别和流量检查;在发生单机故障时可以自动或手动切换至备机上运行业务流量,降低网络运行停播率,保证服务器业务持续不间断的运行。
2摄像头接入安全防护
数据中心机房通常都是无人值守,通过接入摄像头来对设备运行状态的实时监测必不可少。根据摄像头接入数量、安全防护要求等的不同,防火墙也可以在接入、汇聚、核心区域灵活部署。
针对摄像头易被仿冒、易被利用的特点,数据中心防火墙可以通过设备指纹认证、流量指纹过滤、协议漏洞检测等
手段,层层阻断非法入侵,达
到摄像头安全接入的目的。
2.1设备指纹认证
设备指纹是指可以用于区
分不同摄像头的固有信息,包
括:MAC、IP、厂商、序列号、
固件版本号等信息。防火墙可
以通过IP、MAC信息对设备进
行认证过滤:将授权IP加入安
全策略列表,非授权IP流量不
允许通过;将授权MAC加入安
全策略列表,非授权MAC流量
不允许通过;对IP、MAC进行
绑定,IP、MAC关系绑定错误江苏最差的三本是哪家
的流量不允许通过。对于摄像
头通过三层设备接入到防火墙
的情况,防火墙可以和三层网
络设备联动获取IP、MAC绑定
信息,如图2所示。
2.2流量指纹过滤及协议漏洞
检测
网络黑客可以通过修改设
备的固有信息欺骗防火墙,从
而达到绕过防火墙指纹认证的
目的,同样,网络黑客可以控
安徽省黄山市歙县制摄像头,利用摄像头漏洞进
行网络入侵。由于恶意流量是
通过正常的视频流量进行承
载,因此无法通过指纹认证或
流量过滤进行拦截。为此防火
墙应提供流量指纹过滤功能及
入侵检测功能。
上海迪士尼详细攻略防火墙对经过的每条流量
进行深度协议解析和特征匹
配,确认流量的协议、厂商信
息等,同时和策略中配置的协
议/厂商信息进行匹配,只对授图2
三层安全防护示意图
20
澳大利亚旅游签证材料数字传媒研究·Research on Digital Media
数字传媒研究·Research
on Digital Media
权流量进行放行。如确认为恶意流量,根据策略配置对流量进行阻断或告警。
流量识别及入侵检测均基于特征库,特征库应及时在线更新或本地更新,从而及时响应摄像头流量的特征变更。特征库提供自定义功能,可以在特殊情况下灵活配置达到阻断特性流量的功能。
3VPN 远程接入与移动办公防护
现代企业为了在全球范围内开展业务,通常都在公司总
部之外设立了分支机构,或者与外地机构进行业务合作。分支机构、合作伙伴、出差员工都需要远程接入企业总部网络开展业务,目前通过VPN 技术可以实现安全、低成本的远程接入和移动办公。远程接入和移动办公通常都具有分支机构且都需要无缝接入总部网络,并且持续不间断地开展业务;合作伙伴需要根据业务开展的
情况,灵活进行授权,限制合作伙伴可以访问的网络范围、可以传输的数据类型;出差员工的地理接入位置不固定,使用的IP 地址不固定,接入时间
不固定,需要灵活地随时接入。而且出差员工所处位置往往不受企业其他信息安全措施的保护,所以需要对出差员工进行严格的接入认证,并且对出差员工可以访问的资源和权限进行精确内部局域网控制;所有远程接入的通信过程都需要进行加密保护,防止窃听、篡改、伪造、重放等行为,同时还需要从应用和内容层面防止机密数据的泄露等特征。见图3VPN 远程接入与移动办公典型部署方案。
3.1MPLS VPN 解决方案
MPLS VPN 无缝地集成了IP
图3VPN 远程接入与移动办公典型部署方案
21
数字传媒研究·Research
on Digital
Media
路由技术的灵活性和ATM 标签交换技术的简捷性。数据中心防火墙路由网关应支持MPLS VPN 功能,既可以做骨干网的边缘路由器设备,也可以做核心层设备。包括支持VRF 的路由表多实例,支持L2TP 方式接入VPN,支持IPSEC 方式接入VPN,包括跨域支持灵活的VPN 组网,基于标准协议,能全面与其他主流厂家互通,支持CE-PE 间静态路由或动态路由协议。如图4。
4IPv4向IPv6网络
协议过渡
2003年1月22日,国际互联网工程任务组(The Internet Engineering Task Force,简称IETF )发布了IPv6测试性网络,随着多年发展,IPv6已经被很多通信网络和终端设备厂商支持,取得了长足的进步。但是我国许多数据中心现存的网络中还存在大量的IPv4网络,
随着IPv6的部署,很长一段时
间是IPv4与IPv6共存的过渡阶段,防火墙系列业务路由网关应支持多种IPv4向IPv6网络过渡解决方案,主要包括双栈技术、隧道技术以及IPv4/IPv6协议转换技术。如图5。4.1双栈技术
双栈技术是IPv6过渡技术的基础,灵活启用和关闭IPv4/IPv6功能,对IPv4和IPv6提供了完全的兼容,但这种方式需要双路由基础设施,即所有节
图4
MPLS VPN 解决方案
22
