公司数据中心建设网络安全设计方案
1.1网络安全部署思路
1.1.1网络安全整体架构
目前大多数的安全解决方案从本质上来看是孤立的，没有形成一个完整的安全体系的概念，虽然已经存在很多的安全防护技术，如防火墙、入侵检测系统、防病毒、主机加固等，但是各个厂家鉴于各自的技术优势，往往厚此薄彼。

必须从全局体系架构层次进行总体的安全规划和部署。

XXX公司本次信息建设虽然仅包括数据中心、内网楼层以及广域网中心部分的改造和建设，但也必须从全局和架构的高度进行统一的设计。

建议采用目前国际最新的“信息保障技术框架（IATF）”安全体系结构，其明确提出需要考虑3个主要的因素：人、操作和技术。

本技术方案着重讨论技术因素，人和操作则需要在非技术领域（比如安全规章制度）方面进行解决。

技术因素方面IATF提出了一个通用的框架，将信息系统的信息保障技术层面分为了四个技术框架域：
•网络和基础设施：网络和基础设施的防护
•飞地边界：解决边界保护问题
•局域计算环境：主机的计算环境的保护
•支撑性基础设施：安全的信息环境所需要的支撑平台
并提出纵深防御的IA原则，即人、技术、操作相结合的多样性、多层叠的保护原则。

如下图所示：
主要的一些安全技术和应用在框架中的位置如下图所示：
我们在本次网络建设改造中需要考虑的安全问题就是
上图中的“网络和基础设施保护”、“边界保护”两个方面，而“计算机环境（主机）”、“支撑平台”则是在系统主机建设和业务应用建设中需要重点考虑的安全问题。

1.1.2网络平台建设所必须考虑的安全问题
高速发达的网络平台衍生现代的网络病毒、蠕虫、DDoS 攻击和黑客入侵等等攻击手段，如果我们的防护手段依然停
留在对计算环境和信息资产的保护，将处于被动。

需要从网络底层平台的建设开始，将安全防护的特性内置于其中。

因此在SODC架构中，安全是一个智能网络应当对上层业务提供的基本服务之一。

XXX公司网络从平台安全角度的安全设计分为以下三个层次：
设备级的安全：需要保证设备本身的安全，因为设备本身也越来越可能成为攻击的最终目标；
网络级的安全：网络作为信息传输的平台，有第一时间保护信息资源的能力和机会，包括进行用户接入认证、授权和审计以防止非法的接入，进行传输加密以防止信息的泄漏和窥测，进行安全划分和隔离以防止为授权的访问等等；
系统级的主动安全：智能的防御网络必须能够实现所谓“先知先觉”，在潜在威胁演变为安全攻击之前加以措施，包括通过准入控制来使“健康”的机器才能接入网络，通过
事前探测即时分流来防止大规模DDoS攻击，进行全局的安全管理等。

XXX公司应在上述三个方面逐步实施。

1.2网络设备级安全
网络设备自身安全包括设备本身对病毒和蠕虫的防御以及网络协议本身的防范措施。

有以下是本项目所涉及的网络设备和协议环境面临的威胁和相应的解决方案：
1.2.1防蠕虫病毒的等Dos攻击
数据中心虽然没有直接连接Internet，但内部专网中很多计算机并无法保证在整个使用周期内不会接触互联网和各种移动存储介质，仍然会较多的面临大量网络蠕虫病毒的威胁，比如Red Code，SQL Slammer等等，由于它们经常变换特征，防火墙也不能完全对其进行过滤，它们一般发作的机理如下：
•利用Microdsoft OS或应用的缓冲区溢出的漏洞获
得此主机的控制权
•获得此主机的控制权后，安装病毒软件，病毒软件随机生成大量的IP地址，并向这些IP地址发送大
量的IP包。

•有此安全漏洞的MS OS会受到感染，也随机生成大量IP地址，并向这些IP地址发送大量的IP包。

•导致阻塞网络带宽，CPU利用率升高等
•直接对网络设备发出错包，让网络设备CPU占用率升高直至引发协议错误甚至宕机
因此需要在设备一级保证受到攻击时本身的健壮性。

此次XXX公司的核心交换机Nexus 7000、智能服务机箱Catalyst 6500均支持硬件化的控制平面流量管制功能，可以自主限制必须由CPU亲自进行处理的信息流速，要求能将包速管制阈值设定在CPU可健康工作的范围内，从根本上解决病毒包对CPU资源占用的问题，同时不影响由数据平面正常的数据交换。

特别是Nexus 7000的控制平面保护机制是在板卡一级分布式处理的，具备在大型IDC中对大规
模DDoS的防护能力。

另外所有此类的蠕虫和病毒都会利用伪造源IP地址进行泛滥，局域网核心交换机和广域网骨干路由器都应当支持对转发的包进行源地址检查，只有源地址合法的IP包才会被转发，这种技术称为Unicast Reverse Forwarding（uRPF，单播反转路径转发）。

该技术如果通过CPU实现，则在千兆以上的网络中将不具备实用性，而本次XXX公司网络中在万兆一级的三层端口支持通过硬件完成的uRPF功能。

1.2.2防VLAN的脆弱性配置
在数据中心的不同安全域进行防火墙访问控制隔离时，存在多个VLAN，虽然广泛采用端口捆绑、vPC等技术使正常工作中拓扑简化甚至完全避免环路，但由于网络VLAN多且关系复杂，无法在工程上完全杜绝诸如网络故障切换、误操作造成的临时环路，因此有必要运行生成树协议作为二层网络中增加稳定性的措施。

但是，当前有许多软件都具有STP 功能，恶意用户在它的PC上安装STP软件与一个Switch相连，引起STP重新计算，它有可能成为STP Root, 因此所有流量都会流向恶意软件主机, 恶意用户可做包分析。

局域网交换机应具有Root guard（根桥监控）功能，可以有效防止其它Switch成为STP Root。

本项目我们在所有允许二层生成树协议的设备上，特别是接入层中都将启动Root Guard特性，另外Nexus5000/2000还支持BPDU filters, Bridge Assurance等生成树特性以保证生成树的安全和稳定。

还有一些恶意用户编制特定的STP软件向各个Vlan加入，会引起大量的STP的重新计算，引起网络抖动，CPU 占用升高。

本期所有接入层交换机的所有端口都将设置BPDU Guard功能，一旦从某端口接收到恶意用户发来的STP BPDU,则禁止此端口。

（三）防止ARP表的攻击的有效手段
本项目大量使用了三层交换机，在发送数据前其工作方式同路由器一样先查找ARP，找到目的端的MAC地址，再把信息发往目的。

很多病毒可以向三层交换机发一个冒充的ARP,将目的端的IP地址和恶意用户主机的MAC对应，因此发往目的端的包就会发往恶意用户，以此实现包窃听。

在Host上配置静态ARP是一种防止方式，但是有管理负担加重，维护困难，并当通信双方经常更换时，几乎不能及时更新。

本期所使用的所有三层交换机都支持动态ARP Inspection功能，可动态识别DHCP，记忆MAC地址和IP 地址的正确对应关系，有效防止ARP的欺骗。

实际配置中，主要配置对Server和网络设备实施的ARP欺骗，也可静态人为设定，由于数量不多，管理也较简单。

1.2.3防止DHCP相关攻击
本项目中的楼层网段会采用DHCP Server服务器提供用户端地址，但是却面临着几种与DHCP服务相关的攻击方式，它们是：
●DHCP Server 冒用：当某一个恶意用户再同一网段内
也放一个DHCP 服务器时，PC很容易得到这个
DHCP server的分配的IP地址而导致不能上网。

●恶意客户端发起大量DHCP请求的DDos 攻击：恶意
客户端发起大量DHCP请求的DDos 攻击，则会使
DHCP Server性能耗尽、CPU利用率升高。

●恶意客户端伪造大量的MAC地址恶意耗尽IP地址池
应采用如下技术应对以上常见攻击：
•防DHCP Server 冒用：此次新采购的用户端接入交换机应当支持DHCP Snooping VACL, 只允许指
定DHCP Server的服务通过，其它的DHCP Server
的服务不能通过Switch。

•防止恶意客户端发起大量DHCP请求的DDos 攻击：此次新采购的用户端接入交换机应当支持对
DHCP请求作流量限速，防止恶意客户端发起大量
DHCP请求的DDos 攻击，防止DHCP Server的
CPU利用率升高。

•恶意客户端伪造大量的MAC地址恶意耗尽IP地址池：此次新采购的用户端接入交换机应当支持
DHCP option 82 字段插入，可以截断客户端DHCP
的请求，插入交换机的标识、接口的标识等发送给
DHCP Server；另外DHCP服务软件应支持针对此
标识来的请求进行限量的IP地址分配，或者其它附
加的安全分配策略和条件。

1.3 网络级安全
网络级安全是网络基础设施在提供连通性服务的基础上所增值的安全服务，在网络平台上直接实现这些安全功能比采用独立的物理主机实现具有更为强的灵活性、更好的性
能和更方便的管理。

在本次数据中心的设计范围内主要是访问控制和隔离（防火墙技术）。

从XXX公司全网看，集团网络、各地机构广域网、互联网、内部楼层、内部数据中心等都是具备明显不同安全要求的网络，按飞地边界部署规则，都需要有防火墙进行隔离。

本文档仅讨论数据中心部分内部的防火墙安全控制设计。

1.3.1安全域的划分
数据中心安全域的划分需要建立在对数据中心应用业务的分析基础之上，因而与前述的虚拟服务区的划分原则一致。

实际上按SODC的虚拟化设计原则，每一个虚拟服务区应当对应唯一的虚拟防火墙，也即对应唯一的一个安全域。

具体原则如下：
●同一业务一定要在一个安全域内
●有必要进行安全审计和访问控制的区域必须使用安全
域划分。