JR∕T 0224—2021 保险行业网络建设基本规范(金融).pdf

资源描述

1、ICS 03.060 CCS A 11 JR 中华人民共和国金融行业标准 JR/T 02242021 保险行业网络建设基本规范 The network specification of insurance industry 2021 - 10 - 9 发布 2021 - 10 - 9 实施中国银行保险监督管理委员会发布 JR/T 02242021I目次前言 .III 1 范围 .1 2 术语和定义 .1 3 符号和缩略语 .1 4 数据中心建设规范 .3 4.1 数据中心网络建设原则 .3 4.2 数据中心安全域和业务划分原则 .3 4.2.1 安全域划分原则

2、.3 4.2.2 业务分区原则 .4 4.3 数据中心网络管理需求 .4 4.4 数据中心网络结构 .4 4.4.1 数据中心网络逻辑架构 .4 4.4.2 数据中心网络物理架构 .5 4.4.3 交换核心区 .6 4.4.4 生产业务区 .8 4.4.5 开发测试区 .8 4.4.6 外联业务区 .9 4.4.7 互联网业务区 .9 4.4.8 广域网互联区 .10 4.4.9 ECC 管理区 .11 4.4.10 数据中心内网络带宽 .12 4.5 多数据中心互联结构 .12 4.5.1 多数据中心的必要性 .12 4.5.2 多数据中心的建设方式 .12 4.5.3 多数据中心的互联方式

3、 .13 4.6 数据中心网络安全建设 .13 4.6.1 数据中心的安全风险 .13 4.6.2 数据中心安全设计原则 .14 4.6.3 数据中心安全部署 .14 4.7 新型数据中心网络建设规范 .14 4.7.1 新型数据中心网络架构设计 .14 4.7.2 网络虚拟化设计原则 .15 4.7.3 Leaf 节点的组网方式 .16 5 广域骨干网建设规范 .19 5.1 广域网设计原则 .19 5.1.1 广域网组网方式 .19 JR/T 02242021II5.2 广域网络设计需求 .21 5.2.1 广域骨干网服务定位 .21 5.2.2 广域骨干网接入对象 .21 5.2.3 传

4、输数据类型 .21 5.2.4 服务等级的传输保障 .21 5.3 广域网网络架构 .21 5.3.1 广域网异构方式 .21 6 分支机构网络建设规范 .23 6.1 分支机构网络建设原则 .23 6.2 分支机构的网络架构 .23 6.3 分支网络接入安全 .25 参考文献 .26 JR/T 02242021III前言本文件按照GB/T 1.1-2020标准化工作导则第1部分：标准化文件的结构和起草规则的规定起草。本文件由全国金融标准化技术委员会保险分技术委员会（SAC/TC 180/SC1）提出并归口。本文件起草单位：中国人民财产保险股份有限公司、中国太平保险集团有限责任公

5、司、中国平安保险（集团）股份有限公司。本文件主要起草人：邵利铎、鹿慧、张化群、张鹏飞、王军、李晔、王宝泉、刘勇、韩梅、邓华威。本文件为首次制定。 JR/T 022420211保险行业网络建设基本规范 1范围本文件提供了保险公司数据中心及分支机构网络建设的指导。本文件适用于保险业网络的建设与管理。 2术语和定义下列术语和定义适用于本文件。广域骨干网 backbone of wide area network/backbone WAN 广域骨干网包含总部数据中心、业务中心与分公司各级机构之间、省级机构与下级机构之间等，跨区域广域互联网络，一般分为一级骨干网、二级骨干网及接入网等级别

6、。分支机构网络 branch network 分支机构网络为分公司各级机构根据业务需求构建的本地网络，服务于业务。分支机构网络包含与上级机构广域互联部分、分支本地局域网部分及网络安全部分等。 3符号和缩略语下列符号和缩略语适用于本文件。 AV AntiVirus 防病毒 Anti-DDos Anti Distributed Denial of Service 异常流量清洗 ATM Asynchronous Transfer Mode 异步传输模式 APT Advanced Persistent Threat 高级持续性威胁,本质是针对性攻击 Clos - 无阻塞多级交换结构，Clos

7、架构，诞生于 1952 年，是由贝尔实验室一位叫Charles Clos 的人提出的 DDoS Distributed Denial of Service 分布式拒绝服务 DMZ Demilitarized Zone 非军事化区 ECC Enterprise Command Center 企业总控中心 EoR End Of Row 一种布线方式，接入交换机集中安装在一列机柜端部的机柜内，通过水平缆线以永久链路方式连接设备柜内的主机/服务器/小型机设备 Ethernet - 以太网 JR/T 022420212GSLB Global Server Load Balance 全局负载均衡 GW

8、 Gateway 网关 IDS Intrusion Detection Systems 入侵检测系统 IETF The Internet Engineering Task Force 国际互联网工程任务组 IP Internet Protocol 网际协议 IPS Intrusion Prevention System 入侵防御系统 iSoC Information Security Operations Center 统一安全管控中心 ISP Internet Service Provider 因特网服务提供方 KVM Keyboard Video Mouse 多设备控制转换器 LAG Li

9、nk Aggregation Group 链路聚合组 LB Load Balance 负载均衡 Leaf - 子节点 MAD Multi-Active Detection 多主动检测 MoR Middle of Row 列中交换机 MPLS Multi-Protocol Label Switching 多协议标签交换 MSTP Multi-Service Transfer Platform 基于 SDH 的多业务传送平台 NAT Network Address Translation 网络地址转换 Netconf Network Configuration Protocol 网管协议 NVGR

10、E Network Virtualization using Generic Routing Encapsulation 使用通用路由封装的网络虚拟化 Openflow - 网络通信协议 Openstack - 云计算管理平台 OTN Optical Transport Network 光传输网络 Overlay - 虚拟的二层或三层网络 OVS Openstack vSwitch 开源虚拟交换机 OVSDB Openstack vSwitch Database management protocol 开源虚拟交换机数据库管理协 Portal - 接口 QoS Quality of Servi

11、ce 服务质量 SDH Synchronous Digital Hierarchy 同步数字体系 SDN Software Defined Network 软件定义网络 SNMP Simple Network Management Protocol 简单网络管理协议 Spine - 父节点 STT Stateless Transport Tunneling Protocol 无状态的传输隧道协议 ToR Top of Rack 一种布线方式，在服务器机柜的最上面安装接入交换机 Underlay - 物理网络 VLAN Virtual Local Area Network 虚拟局域网 VPL

12、S Virtual Private LAN Service 虚拟专用局域网 VPN Virtual Private Network 虚拟专用网络 VMM Virtual Machine Monitor 虚拟机监控器 JR/T 022420213vSwitch Virtual Switch 虚拟交换机 VTEP Vxlan Tunnel End Point Vxlan 隧道的端点 VXLAN Virtual Extensible LAN 可扩展虚拟局域网 VXLAN Bridge - VXLAN 网桥 VXLAN L3 GW Virtual Extensible LAN Layer3 Gatew

13、ay 可扩展虚拟局域网三层网关 WAF Web Application Firewall 网站应用级入侵防御系统 xDSL x Digital Subscriber Line 是各种类型 DSL 数字用户线路的总称,包括 ADSL、 RADSL、 VDSL、 SDSL、 IDSL 和 HDSL等 4数据中心建设规范 4.1数据中心网络建设原则 a) 遵循企业基本要求，结合公司投资、IT业务、规模等的基本要求，同时借鉴行业最佳实践，建立结构完整、体系统一的网络架构； b) 遵循数据中心建设规范，采用较成熟的网络技术，提高网络的可靠性和可用性； c) 可用性，网络架构需满足业务系统不间断、高质量的

14、访问和灾难备份需求； d) 可扩展性，网络架构在功能、性能容量、覆盖能力等各方面具有易扩展能力，可适应业务的快速发展对基础架构的要求； e) 安全性，根据信任程度、受威胁的级别、需要保护的级别和安全需求，划分安全域，部署安全设备，实现网络安全，以保证信息的私密性、完整性和可用性； f) 先进性、持续演进能力，网络架构和网络设备采用先进的设计理念和技术，如设备的Clos架构与信元交换、网络的大二层VXLAN、SDN可编程、虚拟网络等架构； g) 可管理性，网络管理要以保险公司生产运行管理体系为指导，建立符合精细化、自动化、智能化等管理要求的一体化管理体系； h) 绿色智能，网络架构要符“高效率、

15、高整合、低能耗、低占空、前瞻性”的绿色智能基础架构发展趋势。 4.2数据中心安全域和业务划分原则 4.2.1安全域划分原则 a) 业务保障原则：安全域划分的根本目标是能更好地保障网络上承载的业务。在保证安全的同时，还要保障业务的正常运行和运行效率； b) 结构简化原则：安全域划分的直接目的和效果是要将整个网络变得更加简单，简单的网络结构更便于设计防护体系； c) 分等级保护原则：安全域的划分要做到每个安全域内的信息资产价值相近，具有相同的安全等级、安全环境、安全策略等。网络安全域可分为接入域和服务域，可参考如下划分：表 1 安全域划分图例区域二级子区域三级子区域 JR/

16、T 022420214分支接入域分支接入域 DMZ 域外部接入域外联域接入域终端接入域终端接入域业务系统域（互联网）业务系统域业务系统域（内网）管理域 IT 基础设施域研发测试域研发测试域服务域灾备区域灾备业务区域接入域，根据接入方式的不同可分为分支接入域、外部接入域和终端接入域三个部分。服务域，主要指部署在数据中心的应用系统和数据库等计算环境资源，结合公司业务特点和所面临的安全威胁，可进一步细分为对内安全域和对外安全域，对内安全域主要由为总分机构服务的系统组成。对外安全域主要是对互联网接入提供服务的系统。根据物理位置的不同，如多个数据中心，多个办公

17、物理位置，根据业务需求可建立多个服务域与接入域的三级子域，也可根据不同的等保要求，进行三级子区域的调整。 4.2.2业务分区原则依据应用访问安全的要求，安全域内可划分多个分区,可参考如下原则： a) 不同安全等级的网络分区划属不同的逻辑分区； b) 不同功能的网络分区划属不同的逻辑分区； c) 承载不同应用架构的网络分区划属不同的逻辑分区； d) 分区总量不宜过多，各分区之间松耦合。为了提高资源利用率，在保证业务安全性和可用性的前提下，在分区划分时应充分考虑实现逻辑分区和物理分区之间的松耦合，实现业务部属的灵活性。 4.3数据中心网络管理需求 a) 配置管理：发现网络拓扑结构，构造和维

18、护网络系统的配置。 b) 故障管理：过滤、归并网络事件，有效地发现、定位网络故障，给出排错建议与排错工具，形成整套的故障发现、告警与处理机制。 c) 性能管理：采集、分析网络对象的性能数据，监测网络对象的性能，对网络线路质量进行分析。同时，统计网络运行状态信息，对网络的使用发展做出评测、估计，为网络进一步规划与调整提供依据。 d) 安全管理：结合使用用户认证、访问控制、数据传输、存储的保密与完整性机制，以保障网络管理系统本身的安全。维护系统日志，使系统的使用和网络对象的修改有据可查。应采取安全措施控制对网络资源的访问。应满足监管机构及业务对网络提出的可用性要求。 e) 审计管理：网

19、络的故障、操作日志应按要求保存，为合规审计提供有效依据。 4.4数据中心网络结构 4.4.1数据中心网络逻辑架构 JR/T 022420215按照数据中心安全域划分原则，数据中心逻辑架构包含如下几个功能区域，分别是交换核心区、生产业务区、开发测试区、外联业务区、互联网业务区、广域网互联区和ECC管理区。交换核心区连接各个局域网分区，作分区间互访核心。图1 数据中心逻辑架构图 4.4.2数据中心网络物理架构根据实际业务情况，灵活部署网络架构，数据中心可按需划分不同区域。各区域的物理架构应包含以下物理架构元素，若存在功能使用需求，建设时可采用比此要求更安全、更健壮、更解耦的方式实现。

20、JR/T 022420216 图2 数据中心物理架构示意图 4.4.3交换核心区交换核心区是整个数据中心网络互访核心。设备部署方式包括如下三种方式：虚拟化集群部署两台设备看成一台逻辑交换机系统，可通过一个 IP 地址进行管理，交换机间可实现负载分担和容错。 S SW W核核心心交交换换接接入入交交换换核核心心交交换换S SW WS SW WF FW WF FW WS SW W互互联联网网接接入入区区I In nt te er rn ne et tF FW WR RR RF FW WS SW WS SW WF FW WF FW WS SW WS SW W外外联联业业务务外外联联业业务务区区

21、第第三三方方机机构构F FW WR RR RF FW WS SW W广广域域网网互互联联区区分分支支/ /灾灾备备F FW WF FW WS SW WS SW W开开发发测测试试区区核核心心交交换换核核心心交交换换接接入入交交换换S Se er rv ve er rS Se er rv ve er rS Se er rv ve er r接接入入交交换换F FW WF FW WS SW WS SW W生生产产业业务务区区核核心心交交换换核核心心交交换换接接入入交交换换S Se er rv ve er rS Se er rv ve er rS Se er rv ve er rE EC CC C管管

22、理理区区交交换换核核心心区区接接入入交交换换接接入入交交换换S Se er rv ve er rS Se er rv ve er rS Se er rv ve er r生生产产发发布布业业务务区区( (D DM MZ Z) )F FW WF FW W接接入入交交换换S SW WS SW W接接入入交交换换S Se er rv ve er rS Se er rv ve er rS Se er rv ve er rF FW WR RI IP PS SI ID DS SD DD Do os sR RF FW WI IP PS SI ID DS SD DD Do os sS SW WS SW WG G

23、S SL LB B/ /L LB BG GS SL LB B/ /L LB BW WA AF FA AP PT TW WA AF FA AP PT TS SW W主要图标含义：S SW W：交换机S Se er rv ve er r：服务器F FW W：防火墙D DD Do os s：防Dos攻击R R：路由器I IP PS S/ /I ID DS S：入侵检测/入侵防御G GS SL LB B/ /L LB B：负载均衡W WA AF FA AP PT T：WAF防火墙JR/T 022420217 图3 交换核心区部署方式一示意图链路故障会导致虚拟化集群系统分裂，应在核心部署多主检测 MA

24、D（Multi-Active Detection）协议，可实现集群分裂的检测、冲突处理和故障恢复，降低集群分裂对业务的影响。MAD 检测方式可用直连检测方式，集群成员交换机间通过普通线缆直连的专用链路进行多主检测。跨设备链路聚合方式部署不同设备的不同端口组成一个 LAG，使得两台设备的控制面相互独立，但是转发面实现负载分担。图4 交换核心区部署方式二示意图独立部署汇聚和核心之间采用等价路由的方式实现负载负担。 S SW WS SW WActiveMaster虚拟化集群StandbyMaster主要图标含义：S SW W：交换机S SW WS SW WS SW WPeer link跨设

25、备链路聚合主要图标含义：S SW W：交换机S SW WS SW WS SW WS SW W主要图标含义：S SW W：交换机JR/T 022420218图5 交换核心区部署方式三示意图 4.4.4生产业务区生产业务区用于部署生产交易相关的业务系统，区域可部署为较为成熟的网络三层架构，如下图：图6 生产业务区网络架构图包含核心-汇聚-接入三层架构，核心层和汇聚层可采用虚拟化集群架构或者跨设备链路聚合方式，并根据实际业务情况设置收敛比，接入设备可采用ToR/EoR两种部署方式： ToR：适用于高密服务器部署场景，布线简化，线缆维护简单，扩展性好，但接入设备多，管理运维相对复杂。 EoR/M

26、oR：适用于低密服务器场景，布线相对复杂，线缆维护相对复杂，但接入设备少，管理运维简单。路由选择方面，为实现不同功能区域VLAN之间的互访及必要安全控制，核心设备和汇聚设备采用三层设计。二层网络设计时需配置必要的预防措施抑制广播风暴和网络环路。生产业务区可根据应用系统的等级需求进行多个业务区域的拆分，业务区域内部署方式可根据实际需求进行选择。对于有资源弹性需求的区域，可选用SDN等网络技术。防火墙可根据实际情况采用串行部署方式或旁挂部署方式。 4.4.5开发测试区开发测试区是数据中心用于承载企业业务研发、生产测试、技术应用测试的需求环境。开发测试区应与生产业务区域进行隔离。接

27、接入入交交换换F FW WF FW WS SW WS SW W核核心心交交换换核核心心交交换换接接入入交交换换S Se er rv ve er rS Se er rv ve er rS Se er rv ve er r核核心心层层汇汇聚聚层层接接入入层层服服务务器器存存储储存存储储存存储储主要图标含义：S SW W：交换机S Se er rv ve er r：服务器F FW W：防火墙JR/T 022420219开发测试区域可与生产业务区设计保持一致，也可在不影响现生产业务区的所有业务基础上，应用新技术，协助生产业务区新型业务上线或技术升级转型。 4.4.6外联业务区图7 外联业务区网络

28、架构图外联业务区是数据中心对外连接的区域，实现同第三方单位的业务互通。该区属于非可信网络区，不应直接与内部生产业务区域连接。访问权限应限制在本区域内部，内网访问应严格控制。可根据实际业务的需要，选择是否部署 DMZ 区。外联业务区应部署相应的安全设备，例如：VPN 设备、防火墙、入侵检测/防御、DDoS 设备等，且应冗余部署。网络安全设备可部署为负载分担的模式或主备的模式，防火墙设备宜采用串行部署方式。 4.4.7互联网业务区 F FW WR RF FW WR RF FW WF FW WS SW WS SW W外外联联业业务务第第三三方方机机构构S SW WS SW WI IP PS S

29、I ID DS SI IP PS SI ID DS SI IS SP P1 1I IS SP P2 2外外联联网网接接口口V VP PN NV VP PN NS Se er rv ve er rS Se er rv ve er rS Se er rv ve er rS Se er rv ve er rS Se er rv ve er rS Se er rv ve er r内内网网区区主要图标含义：S SW W：交换机S Se er rv ve er r：服务器F FW W：防火墙R R：路由器I IP PS S/ /I ID DS S：入侵检测/入侵防御V VP PN N：虚拟专用网络JR/T

30、 0224202110图 8 互联网业务区网络架构图互联网业务区用于部署对外门户网站等需要互联网直接访问的系统。互联网业务区应部署 DMZ 区域，需要对互联网提供的对外业务，部署在 DMZ 区。为了保证互联网业务区的安全，应部署高安全性、高可靠性，更高级别的安全设备，例如：高级别防火墙、高级别入侵检测/防御、高级别 DDoS 设备、VPN 设备、WAF、APT 防护等。所有设备应冗余部署，相关安全设备可采用串行部署方式或旁挂部署方式，负载模式可采用主备方式或负载分担方式。数据中心多 ISP 接入互联网时，可采用负载均衡设备（LB）实现出入流量的负载均衡。 4.4.8广域网互联区 F

31、 FW WR RI IP PS SI ID DS SD DD Do os sR RF FW WI IP PS SI ID DS SD DD Do os sS SW WS SW WF FW WF FW WS SW WS SW W互互联联网网接接口口I In nt te er rn ne et t接接入入交交换换接接入入交交换换S Se er rv ve er rS Se er rv ve er rS Se er rv ve er r生生产产发发布布业业务务区区( (D DM MZ Z) )I IS SP P1 1I IS SP P2 2S SW WS SW WG GS SL LB B/ /L L

32、B BG GS SL LB B/ /L LB BW WA AF FA AP PT TW WA AF FA AP PT T主要图标含义：S SW W：交换机S Se er rv ve er r：服务器F FW W：防火墙：路由器I IP PS S/ /I ID DS S：入侵检测/入侵防御G GS SL LB B/ /L LB B：负载均衡W WA AF FA AP PT T：WAF防火墙R RJR/T 0224202111 图9 广域网互联区网络架构图广域网互联区是多数据中心互联时、数据中心与分支机构互联时的互联区域。在广域网互联区的网络中，根据业务需要，选择广域链路的部署方式和类型。多数

33、据中心互联时，应采用线路冗余部署、路由及设备的冗余备份；对于多分支机构互联，应采用多出口线路备份，并在出口根据需要采用路由备份、负载均衡；对于分支机构的接入方式，根据业务需要选择不同的接入方式，例如：专网方式、MPLS VPN 方式、公网方式等。在数据中心的网络边界可部署安全设备，分支机构可根据各自规模和重要性在各区域边界部署安全设备。可在广域链路边界部署 QoS，以保证业务的服务质量。 4.4.9ECC 管理区 F FW WR RR RF FW WS SW WS SW W灾灾备备核核心心交交换换核核心心交交换换F FW WR RR RF FW WS SW WS SW W业业务务1

34、1业业务务2 2R RF FW WS SW W电电脑脑W Wi if fi i分分支支1 1分分支支2 2R RR RS SW WS SW W核核心心交交换换核核心心交交换换数数据据中中心心S SD DH H/ /M MS ST TP P/ /M MP PL LS SS SW WS SW WS SW W主要图标含义：S SW W：交换机F FW W：防火墙R R：路由器JR/T 0224202112 图10 ECC管理区网络架构图 ECC 管理区是数据中心独立的设备、策略、监控管理运维区域。根据数据中心网络规模和要求不同，可选择带外管理或带内管理。如果选择带外管理，ECC 管理区应采用

35、独立的网络设备，可采用两层网络结构（核心-接入），利于扩展。数据中心网络设备使用带外网口，运行网管协议（SNMP）实现网络管理、数据收集和实时监控功能。可通过堡垒机或 KVM 实现管理员的系统赋权和远程管理。 ECC 管理区应部署防火墙对访问该区域的流量进行管控，防火墙设备可根据实际情况，采用串行部署方式或旁挂部署方式。 4.4.10数据中心内网络带宽数据中心中的流量模型多为“东西流量” ，业务流量密集，数据中心内网络带宽应为未来业务扩展做好预留，网络带宽应具备平滑演进扩展的能力。例如：支持 10G、40G、100G 带宽，以致未来更大带宽的平滑升级。 4.5多数据中心互联结构 4.5.

36、1多数据中心的必要性根据实际业务的特点和需要，保险公司可选择由单数据中心、同城/异地灾备数据中心模式逐渐向两地三中心、多中心的模式过渡。业务可根据对灾备和网络的传输需求，选择在不同数据中心进行部署。对网络延迟敏感、网络带宽要求较大的业务，可采用同城数据中心模式实现业务多活和分布式部署，同时异地灾备数据中心满足业务的异地灾备需求。 4.5.2多数据中心的建设方式 a) 同城数据中心建设同城数据中心可选择在同城 200km（运营商提供光纤的距离）范围内建立，一般采用专线或者光传输设备互联，支持业务的双活和数据的实时复制。 F FW WF FW WS SW WS SW W接接入入交交换换

37、接接入入交交换换接接入入交交换换接接入入交交换换接接入入交交换换接接入入交交换换K KV VM MS Se er rv ve er rK KV VM MS Se er rv ve er r带带外外管管理理设设备备带带外外管管理理设设备备带带外外管管理理设设备备网网管管网网管管堡堡垒垒机机K KV VM M主要图标含义：S SW W：交换机K KV VM M S Se er rv ve er r：服务器F FW W：防火墙JR/T 0224202113b) 异地数据中心建设异地数据中心建设考虑到不可抗拒的自然灾害（如地震）对地区城市的毁灭性破坏，可在另外一个距离大于 400km 的城市建立灾

38、备中心，用于生产中心的备份。在灾难发生时，可满足信息系统的最低灾难恢复能力等级要求。 c) 多数据中心网络架构多数据中心网络架构示意图如下：图11 多数据中心网络架构示意图 4.5.3多数据中心的互联方式 a) 同城数据中心互联方式同城数据中心间互联可采用裸光纤，构建 OTN 网络，实现数据中心间的二三层互通。裸光纤部署简单，互联链路带宽大，通信时延小，在扩展性和可靠性方面较优，适用于需要业务质量要求高，多个数据中心业务双活的应用场景。同城数据中心间互联也可根据实际业务需求，向运营商租用专线，进行专线互联。 b) 异地数据中心互联方式异地数据中心之间可通过自建或租用网络方式进行。IP

39、/MPLS 骨干网进行互联，也可通过租用运营商 VPLS 服务实现。自建网络需要企业进行网络建设和运维，而租用运营商的 VPLS 服务，运营商可为企业提供接入端口和互联，以及运维服务。异地数据中心间互联也可根据实际业务需求，如对网络时延和带宽等性能要求较高，可选择裸光纤互联。 4.6数据中心网络安全建设 4.6.1数据中心的安全风险数据中心由于采用集中式数据管理，数据量大且重要，容易成为攻击目标，采用单一的安全防范技术很难行之有效，需要对数据中心进行多层次的安全防护，不同的分区建设应有针对性的防护措施。 F FW WR RR RF FW WS SW WS SW W核核心心交交换换核核心

40、心交交换换主主数数据据中中心心F FW WR RR RF FW WS SW WS SW W核核心心交交换换核核心心交交换换同同城城数数据据中中心心F FW WR RR RF FW WS SW WS SW W核核心心交交换换核核心心交交换换异异地地数数据据中中心心W WA AN NW WA AN N主要图标含义：S SW W：交换机F FW W：防火墙R R：路由器JR/T 0224202114数据中心的安全威胁来自于网络的各个层面，需要针对各层安全威胁的特点做出一系列的应对措施，包含内容深度防御、二到七层的全方位防范、访问控制、协议栈的安全防范以及二到四层的攻击防范等。数据中心网络虚

41、拟化后由于多主机、多安全设备和云业务的动态变化，管理符合用户业务要求的安全策略非常困难，手工配置几乎不可接受，传统的云安全策略管理机制在云中几乎不可实施。安全架构能够满足云计算业务中多租户、资源灵活性、无边界计算、全流量防护、安全业务随行等要求。 4.6.2数据中心安全设计原则 a) 技术安全要求：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心，云计算安全扩展要求。 b) 管理安全要求：安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。 4.6.3数据中心安全部署针对数据中心各个分区的安全威胁，根据实际业务特点制定不同的部署方式。生产业务区：主

42、要风险为非法业务访问、黑客攻击行为、病毒传播；风险等级中高；可部署防火墙、入侵防御/检测设备、AntiVirus 网关；解决业务非法访问、黑客入侵攻击、网络层查杀病毒问题。外联业务区：主要风险为非法业务访问、VPN 安全接入；风险等级中；可部署双层防火墙；解决业务非法访问、合作伙伴的 VPN 安全接入问题。互联网业务区：主要风险为 DDoS 流量攻击、非法业务访问、NATVPN 安全接入；风险等级高；可部署双层防火墙、Anti-DDoS、SSL VPN 设备；解决 DDoS 攻击、业务非法访问、远程用户安全接入问题。广域网互联区：主要风险为非法业务访问；风险等级中低；可部署防火墙；避免分

43、支接入非法访问。 ECC 管理区：主要风险为非法业务访问、缺乏安全事件管理、缺乏安全设备管理、缺乏运维安全审计；风险等级较高；可部署防火墙、iSoC 系统、安全设备管理系统、堡垒主机；解决业务非法访问，安全事件关联、安全设备管理与运维审计问题。网络虚拟化区：主要风险为僵化的安全资源不适应云业务的弹性要求和动态变化；固定的安全功能不满足租户多变的安全要求；无法实现边界及网内的全流量防护。实现安全服务化，提供“安全资源池”功能，在控制层面统一进行安全资源调度，按需组合安全功能，实现安全自适应能力。保证安全可以满足云计算业务所需的资源按需分配、弹性扩展、安全策略自适应业务变化。部署云网络基础设

44、施的智能防御体系，实现“检测+防御+联动闭环”的智能及时响应，解决安全自动化运维等要求。 4.7新型数据中心网络建设规范 4.7.1新型数据中心网络架构设计通过多年发展，网络虚拟化已经成为提供云数据中心的实质基础环境。其框架是对基础网络不进行大规模修改的条件下，实现应用在网络上的承载，并能与其它网络业务分离，从更靠近应用的边缘来提供网络虚拟化服务。按照使用较为广泛的Openstack架构，网络虚拟化的实现层次如下： JR/T 0224202115 图12 新型数据中心网络虚拟化实现层次示意图 a) 业务呈现/协同层 1) 云管理平台：提供 Portal、业务编排。 2) 云资源管理平台

45、：提供计算、存储、网络的编排与调度。 b) 网络控制层 1) 网络控制平台：即 SDN 控制器，完成网络建模和网络实例化。 2) 北向支持开放 API 接口，实现业务快速定制和自动发放。 3) 南向支持 OpenFlow/OVSdb/Netconf/SNMP 等接口，统一管理控制物理和虚拟网络。 c) Fabric 网络层 1) 由物理设备组成的承载 Overlay 网络的基础物理组网。 2) IETF 在 Overlay 技术领域有如下三大技术路线正在讨论，分别是 VXLAN，NVGRE 和 STT。目前 VXLAN 的方式使用较为普遍。支持对传统 VLAN 网络的兼容。 d) 服务器层 O

46、VS/vSwitch 实现虚拟机本地接入的网络配置/策略管理。 4.7.2网络虚拟化设计原则数据中心部署虚拟网络分为 Underlay 承载网设计以及 Overlay 业务网络两大部分。云管理平台云管理平台云资源管理平台云资源管理平台网络控制平台网络控制平台L L3 3 NetworkNetworkFWFWSWSWLBLBSWSWFWFWLBLBSWSWSWSWSWSWSWSWSWSW负载均衡负载均衡LeafLeafSpineSpine防火墙防火墙ServerServerServerServerServeServer rvServervServervSwitchvSwitchVM VM 1

47、 1VM VM 2 2VM nVM n物理服务器物理服务器vServervServervSwitchvSwitchvServervServervSwitchvSwitchvSwitchvSwitchvFWvFWVSAVSA业务呈现业务呈现/ /协同协同层层网络控制层网络控制层FabricFabric网络层网络层服务器层服务器层VMMVMM虚拟机管理组件虚拟机管理组件主要图标含义：SWSW：交换机ServerServer：服务器FWFW：防火墙vSwitchvSwitchvServervServervFWvFWLBLB：负载均衡：虚拟交换机：虚拟服务器：虚拟防火墙JR/T 0224202116U

48、nderlay 网络方案应采用成熟的 Spine-Leaf 架构，支持横向按需扩容，提高分区的接入能力。 Leaf与 Spine 全连接，等价多路径提高了网络的可用性。图13 SDN软件定义网络架构示意图 Spine 节点：Spine 节点部署两台大容量交换设备，Spine 节点同 Leaf 节点相连的以太网口配置为三层路由接口，构建 IP Fabric 网络。 Leaf 节点：Leaf 节点同每个 Spine 节点相连，实现全连接拓扑；同时 Leaf 节点作为 Underlay 网络的 L2/L3 分界，同 Spine 节点相连的以太网口配置为三层路由接口。 4.7.3Leaf 节点的

49、组网方式 a) 根据服务器不同的接入需求，可选择 Leaf 节点的组网方式： 1) ToR 单机部署服务器主备接入 IP Fabric核核心心交交换换S SW WS Se er rv ve er r核核心心交交换换S SW WS SW WS SW WS SW WS SW WS SW WS SW WSpine节点Leaf节点S Se er rv ve er rS Se er rv ve er rS Se er rv ve er rS Se er rv ve er r跨设备链路聚合Peer link链路聚合SDN控制器主要图标含义：S SW W：交换机S Se er rv ve er r：服务器S

50、 SW WS Se er rv ve er rS SW WL Le ea af f主要图标含义：S SW W：交换机S Se er rv ve er r：服务器JR/T 0224202117图14 Leaf节点的组网方式一示意图 2) ToR 堆叠服务器链路聚合接入图15 Leaf节点的组网方式二示意图 3) ToR 部署跨设备链路聚合服务器接入图16 Leaf节点的组网方式三示意图 4) ToR 部署纵向虚拟化服务器链路聚合接入 S SW WS SW WS Se er rv ve er rS Se er rv ve er r链链路路聚聚合合L Le ea af f主要图标含义：S SW

展开阅读全文