首页 文学文摘 时政新闻 科技科普 经济法律 健康生活 管理财经 教育教学 文化艺术 社科历史
电子技术与软件工程

首页>科技科普>电子技术与软件工程> 2015年第2期

企业数据中心网络安全设计与实施

作者:刘志锋 来源:电子技术与软件工程

随着企业内部各应用系统的日益增多,网络资源比较分散,各类业务和应用系统对计算机网络运行的稳定性和安全性要求越来越高,这一切都对现有网络系统构成了巨大的压力:网络带宽存在瓶颈,网络拓扑缺乏有效管理,网络不安全因数较多,网络可管理性较差,网络可扩展性较弱,网络易受到病毒攻击。因此对数据中心的网络安全进行了重新规划调整,以适应企业发展需要并提供可靠、高速、安全的网络环境。

【关键词】数据中心 网络 应用系统 安全

1 数据中心网络安全改造背景

1.1 改造前数据中心网络状况

1.1.1 网络连接状况

数据中心网络连接了集团公司各种应用服务器包括集团公司网站服务器,OA协同办公服务器,安全监控服务器,人员定位服务器,全面物质服务器,代维服务器,财务系统服务器,医保系统服务器等共计应用系统多达几十个。具体结构说明如下:

(1)主干环网使用两台思科7609交换机,采用千兆光纤链路与二级交换机相连;

(2)接入层二级交换机为OA3750,人员3750,小型机3560,全面物资3560等;

(3)各应用系统服务器(OA服务器,人员服务器,全面物质服务器,安全监控服务器,小型机数据库,网站服务器,代维服务器等)皆为就近连接二级交换机。

1.1.2 数据中心安全状况

当前数据中心的安全防护手段主要依靠外网出口系统中的IPS设备和万兆防火墙,并没有专门针对数据中心做安全防护策略。

1.2 存在的问题

根据数据中心网络系统现状分析,目前数据中心主要存在以下几个问题:

(1)网络结构比较复杂。两台核心交换机7609不仅与数据中心全部二级交换机相连,而且也与集团总部大部分单位网络二层交换机相连。上述交换机网关全部指向核心7609,对交换机性能负载较大。随着中心机房服务器的日益增加,网络结构也在不停的增加、调整、变化,造成布线系统比较零乱,日常管理管理维护难度大。

(2)数据中心的管理访问权限较低。任何集体公司内网终端都可以远程连接大部分服务器,所有pc终端没有使用IP地址和MAC地址绑定的安全策略,存在恶意访问的安全隐患。

(3)数据中心的系统TCP/UDP端口全部开放,容易被网络黑客扫描攻击。

(4)目前的数据中心网络结构来看,数据中心二级交换机直接与核心7609相连,在集团公司内网和外网没有安全隔离区,如果考虑到未来安全规划的需求来增加网络,但是安全设备无法安全接入。

2 数据中心网络改造设计方案

为了彻底解决数据中心网络存在的问题,根据网络实际情况,可以针对以下几个方面进行网络安全改造。

2.1 物理安全措施

数据中心二级交换机与核心环网交换机之间架设两台数据中心核心交换机,数据中心交换机与核心交换机启用OSPF协议并且相互之间链接使用千兆聚合口,消除网络瓶颈。

两台数据中心核心交换机启用HSRP协议,在主用链路中加入应用防火墙。该网络结构安全性较高,即使两台交换机和防火墙发生故障,经过紧急抢修后不会对数据中心网络造成影响。

在核心交换机7609与数据中心二级交换机增加两台三层汇聚交换机。两台汇聚交换机启用HSRP(热备路由协议),核心7609交换机与汇聚交换机架设安全防护设备,专门保证数据中心的安全。

所有交换机使用聚合口连接提高网络稳定性,核心7609交换机和汇聚交换机启用OSPF路由协议。

集团公司内网所有PC终端在各个单位核心交换机上采用IP+MAC绑定功能,可以简化网管人员的工作。因为限制了客户机的接入,既增加了网络的安全性,又减少了IP冲突的可能,这样增强了用户接入的有效性和安全性。

2.2 运行安全措施

集团公司内网用户规模巨大,对病毒的传播控制难度很大,数据中心内有大量服务器提供着内外网的连接服务。病毒一旦进入数据中心,有可能殃及整个网络系统。因此我们数据中心每个服务器都安装了杀毒软件,最新部署的趋势杀毒系统在重要系统防护中性能表现良好。

2.3 信息安全控制

访问控制的实现,主要考虑网络层访问控制及业务系统资源访问控制两个主要方面。针对网络访问控制,主要采用防火墙设备以及二级交换机利用其访问控制功能实现。针对业务系统资源访问控制,可结合安全网关设备,设置用户与后台服务资源间的访问控制关系,以实现业务访问控制。

2.3.1 网络边界的访问控制

网络访问控制通过防火墙实现。防火墙能根据相应安全策略控制出入的网络信息流,是提供信息安全服务,实现网络和信息安全的基础设施。

基于不同单位分配的不同IP地址,根据数据中心的实际情况将每个部门可以管理那些服务器做了具体的访问控制,数据库相互的连接也做了访问策略。比如物资管理服务器,只能由相关人员进行登陆维护,其他的IP地址是不可以登录访问的。

2.3.2 应用层的访问控制

目前的数据中心部分应用系统可以通过控制源IP地址实现部分用户对服务器进行远程访问控制。此外我们在应用防火墙上对服务器区地址做了针对端口访问控制,结合访问控制列表实现对不同用户的权限的控制。

3 应用效果总结

数据的传输经过数据中心防火墙和数据中心交换机7609,在实际测试中,模拟交换机7609或者防火墙出现故障后,网络传输立即切换到核心375交换机,交换机7609或者防火墙恢复正常后,数据传输自动切换至数据中心交换机7609,整个过程没有对网络传输造成影响,同时各个服务器业务没有出现中断情况。

数据中心防火墙和交换机上的访问策略经过验证全部正常启用,达到预期的数据中心安全防护要求。

此次网络安全改造后运行至今,数据中心网络运行未出现任何不稳定现象,大大提高了应用系统的安全性,同时用户访问服务器的速度也有了很大提高,为提升企业核心竞争力,节约生产成本,提高生产效率奠定了信息化基础。

作者单位

1.安徽理工大学计算机科学与工程学院 安徽省淮南市 232001

2.淮南矿业集团信息分公司 安徽省淮南市 232001

热门推荐
电子杂志 更多 +