绵阳毅德商贸城物流园区网络安全建设方案.docx

资源描述

1 绵阳毅德商贸城物流园区网络安全建设方案 1.1 概述随着VoIP、高清视频、Web2.0、云计算等新技术的广泛应用，网络数据传输容量出现了几何级增长，据吉尔德定律预示，未来25年，带宽每六个月将增加一倍。如此飞速增长的数据业务不仅将使网络架构变得非常复杂，也将面临网络安全、应用体验性、业务持续可用等巨大挑战。传统的解决方法是使用大容量交换设备之外部署防火墙、IPS、流量控制、应用交付等深度业务处理设备，这种网络层与业务层相分离的架构初期比较灵活，但却只能适用于小型网络，主要原因有： ■ 设备的不断叠加使得网络变得越来越复杂，并带来大量单点故障 ■ 数据报文的多次重复解析和处理，造成网络性能的衰减和延迟的增加 ■ 多厂商、多设备间相互兼容困难，特别是随着网络规模和组网模式的不断革新，难以实现性能、功能、接口的按需扩展 ■ 网络与安全技术兼容困难，如MPLS VPN、IPv6、虚拟化等 ■ 各设备间物理和逻辑都是分割的，无法统一管理很显然，这种“葫芦串”的简单叠加模式看似合理，但已远远落后于用户业务需求的增长速度，不仅会耗费大量人力物力，造成资源的浪费，同时也会使得网络变得异常复杂，带来可靠性、性能、扩展能力、网络兼容性、管理等大量新问题。 1.2 网络安全系统设计如何有效解决上述问题，在大容量线速无阻塞转发条件下，保证网络及业务的安全、快速、可用？随着网络标准化、虚拟化、智能化程度的不断提高，只有通过将交换、应用和业务进行深度整合，并借助虚拟化技术实现网络层和业务层的无缝融合，才能达到简化网络架构、提高网络效率、在融合过程中保护用户既有资源的目的。本次绵阳毅德商贸城物流园区网络的建设将采用迪普科技DPX8000系列深度业务交换网关。DPX8000系列产品基于DPtech自主知识产权的ConPlat软件平台，集业务交换、网络安全、应用交付三大功能于一体。在提供IPv4/IPv6、MPLS VPN、不间断转发、环网保护等丰富网络特性基础上，还可以提供应用防火墙、IPS、UAG、异常流量清洗/检测、应用交付等深度业务的线速处理，是目前业界业务扩展能力最强、处理能力最高、接口密度最高的深度业务交换网关，旨在满足运营商、数据中心、大型企业的高性能网络深度业务处理需要。 1.2.1 总体网络结构网络结构将采用大型园区网典型的层次化、模块化组网结构。层次化结构的优势采用层次化结构有如下好处： l 节约成本：园区网络意味着巨大的业务投资正确设计的园区网络可以提高业务效率和降低运营成本。 l 便于扩展：一个模块化的或者层次化的网络由很多更加便于复制、改造和扩展的模块所构成，在添加或者移除一个模块时，并不需要重新设计整个网络。每个模块可以在不影响其他模块或者网络核心的情况下投入使用或者停止使用。 l 加强故障隔离能力：通过将网络分为多个可管理的小型组件，企业可以大幅度简化故障定位和排障处理时效。标准的网络分层结构层次化结构包括三个功能部分，即接入层、分布层和核心层，各层次定位分别如下： l 核心层：是企业数据交换网络的骨干，本层的设计目的是实现快速的数据交换，并且提供高可靠性和快速的路由收敛。 l 分布层：也称为汇聚层。主要汇聚来自接入层的流量和执行策略，当第三层协议被用于这一层时可以获得路由负载均衡，快速收敛和可扩展性等好处。分布层还是网络智能服务的实施点，包括安全控制、应用优化等智能功能都在此实施。 l 接入层：负责提供服务器、用户终端、存储设施等等的网络第一级接入功能，另外网络智能服务的初始分类，比如安全标识、QoS分类将也是这一层的基本功能。绵阳毅德商贸城物流园区的网络结构根据业界企业网络最佳设计实践参考，在边缘节点端口较少的小型网络中，可以考虑将核心层与分布层合并，小型网络的网络规模主要由接入层交换机决定。但对于绵阳毅德商贸城物流园区而言，结合绵阳毅德商贸城物流园区的业务现状及发展趋势，我们可以看到未来几年内业务处于一个高速成长期，必须在本期网络架构中充分考虑未来的可扩展性。所以绵阳毅德商贸城物流园区企业内部核心网络层次结构必须具有以上严格清晰的划分，即具有清晰的核心层、会聚分布层、接入层等分层结构，才能保证网络的稳定性、健壮性和可扩展性，以适应业务的发展。绵阳毅德商贸城物流园区的业务应用特点又决定了核心层将相对接入的网络模块较少，只有楼层汇聚接入、数据中心汇聚接入、广域网接入等三块，如果采用单独的大容量物理核心设备将造成浪费，而如果采用低端核心设备则会对业务相对繁忙的数据中心汇聚形成瓶颈，也影响网络整体的稳定性。鉴于此，我们采用大规模核心层设备DPX8000-A12深度业务交换网关作为核心，但虚拟化为两套交换机，一套用于全网核心，一套用于数据中心汇聚。这样做的优势如下： l 逻辑上仍然是清晰的两套设备，完全保持了前述网络分层结构的优势。 l 在性能上实现了网络核心和数据中心汇聚交换机资源的共享和复用，非常好的解决了核心层数据量和数据中心数据量可能存在较大差异的问题。 l 以较低的投入升级了数据中心汇聚交换机的能力（相当于可以与核心层复用1.152Tbps以上的交换能力），适于下一阶段要进行的云计算数据中心三网融合的资源需求。 l 减少了设备数量，降低了设备投入成本、功耗开销和维护管理的复杂度。绵阳毅德商贸城物流园区新一代数据中心整体网络结构如下图所示：网络安全域边界数据流量分析如下图网络安全域边界防护分析如下图 • 物流园区网络整体按用户、业务类型、使用单位及安全域防护需求及安全等级，共分为5个安全域；划分各安全区；安全区内再细分各接入单元； 1. 数据中心服务器域 Ø 后期会接入到20～50台服务器、需考虑未来FCoE万兆存储技术的应用、海量视频查询调用 Ø 本区域细分普通服务器区、重要服务器区、核心服务器区、视频监控服务器区等业务安全分区，服务器区互访需要各类安全防护，所以网关均终结在边界的DPX8000-A12深度业务交换网关。 Ø 防火墙、IPS入侵防御安全业务功能需要考虑未来支持15~30G的边界扩展流量。 Ø ADX服务器负载均衡安全业务功能只需要考虑做虚拟化集群服务器流量，所以考虑5~10G性能 2. 运维管理域 Ø 本区域细分为网络管理区、安全管理区、运维监控区及统一通讯管理平台。 Ø 防火墙、IPS入侵防御安全业务功能需要考虑支持2G的边界扩展流量。 3. 互联网接入域 Ø 本区域考虑互联网视频查询、内部租户上网，物流园区内部办公上网及与总部内网VPN安全互联。 Ø 采用电信、联通、移动三家运营商各300M线路提供服务，边界流量为900M。 Ø 防火墙需要具备IPSEC VPN及SSL VPN硬件加解密性能。 Ø 内网租户和园区办公网互联网带宽通过流控审计设备进行精细化分配管理，上网行为日志根据公安部要求保留60天。 Ø 防火墙、IPS入侵防御、 ADX链路负载均横及流控审计业务安全功能需要考虑支持1G的边界流量。 4. 租用用户接入域 Ø 本区域主要考虑以太光纤组网，万兆光纤上连至核心交换，内部千兆到桌面，考虑边界10~20G流量。 5. 内部接入域 Ø 本区域主要考虑商贸城内部办公接入及与总部VPN接入互联，考虑边界2G流量。【一期】网络安全域边界流量及防护分析如下图： • 【一期】物流园区网络整体按用户、业务类型、使用单位及安全域防护需求及安全等级，共分为5个安全域；划分各安全区；安全区内再细分各接入单元； 1. 数据中心服务器域 Ø 一期接入到10～20台服务器 Ø 本区域细分普通服务器区、重要服务器区、核心服务器区、视频监控服务器区等业务安全分区，服务器区互访需要各类安全防护，所以网关均终结在边界的DPX深度业务交换网关。 Ø 防火墙、IPS入侵防御安全业务功能需要考虑支持10G的边界扩展流量。 Ø ADX服务器负载均横安全业务功能只需要考虑做虚拟化集群服务器流量，所以考虑5G性能 2. 运维管理域 Ø 本区域细分为网络管理区、安全管理区、运维监控区及统一通讯管理平台。 Ø 防火墙、IPS入侵防御安全业务功能需要考虑支持2G的边界扩展流量。 3. 互联网接入域 Ø 本区域考虑互联网视频查询、内部租户上网，物流园区内部办公上网及与总部内网VPN安全互联。 Ø 采用电信、联通、移动三家运营商各300M线路提供服务，边界流量为900M。 Ø 防火墙需要具备IPSEC VPN及SSL VPN硬件加解密性能。 Ø 内网租户和园区办公网互联网带宽通过流控审计设备进行精细化分配管理，上网行为日志根据公安部要求保留60天。 Ø 防火墙、IPS入侵防御、 ADX链路负载均横及流控审计业务安全功能需要考虑支持1G的边界流量。 4. 租用用户接入域 Ø 本区域主要考虑以太光纤组网，万兆光纤上连至核心交换，内部千兆到桌面，一期考虑边界5G流量。 5. 内部接入域 Ø 本区域主要考虑商贸城内部办公接入及与总部VPN接入互联，考虑边界2G流量。 1.2.2 全网核心层设计本次我们采用能扩展到9.6Tbps以上的DPX8000系列深度业务交换网关，每台DPX8000-A12划分为两个虚拟交换机，一个虚拟交换机作为绵阳毅德商贸城物流园区全网核心，另一个虚拟交换机作为数据中心的分布汇聚层交换机。我们选择的是12插槽DPX8000-A12深度业务交换网关，以双机双冗余方式部署在网络核心。每台当前支持的最大交换容量为1.152Tbps，最大万兆端口容量为84个，每插槽交换能力为120Gbps（未来可扩展到320Gbps以上），可以在未来扩展40G/100G以太网。本次每台DPX8000-A12实配FW1000-Blade防火墙业务板卡、IPS2000-Blade入侵防御业务板卡、UAG3000-Blade流控审计业务板卡、ADX3000-Blade负载均衡业务板卡，所有安全业务板卡自身带12个千兆电和12个千兆光路由交换端口。这样平均每台DPX实配6个万兆端口，48个千兆电口，48个千兆光口，这些端口都可在物理上划分为属于全网核心的虚拟交换机和属于数据中心汇聚的虚拟交换机，每个虚拟交换机从软件进程到配置界面都各自独立，但可以共享和复用总的交换机资源。每台设备剩余扩展插槽6个以上，完全满足未来扩容需要。每个虚拟业务板卡都支持VSM虚拟化技术，即可以实现跨交换机的端口捆绑，这样在下级交换机上连属于不同机箱的虚拟交换机时，可以把分别连向不同机箱的万兆链路用与IEEE 802.3ad兼容的技术实现以太网链路捆绑，提高冗余能力和链路互连带宽的同时，大大简化网络维护。 1.2.3 园区网分布层设计数据中心分布层虚拟交换机数据中心的分布汇聚层交换机是采用上述DPX8000-A12内单独划分处理的虚拟深度业务交换网关实现。深度业务交换网关之间通过外部互连，并同样采用VSM的三层端口链路捆绑技术。分布汇聚层虚拟交换机与下面的接入层可以采用二层端口的VSM跨机箱捆绑技术互连。数据中心分布层深度业务安全防护数据中心的网络深度业务安全防护由设计在核心集业务交换、网络安全、应用交付三大功能于一体的DPX8000-A12提供。 DPX8000-A12配置了FW1000-Blade防火墙业务板卡、IPS2000-Blade入侵防御业务板卡、UAG3000-Blade流控审计业务板卡、ADX3000-Blade负载均衡业务板卡，提供应用级安全访问控制和应用优化、负载均衡功能。在一期实施中，网络安全域边界流量及数据中心服务器硬件模块的部署密度不高——每个DPX8000-A12机箱内防火墙模块、负载均衡模块各一块，这样通过VSM虚拟化为一台设备后，防火墙模块最大迸发吞吐量30Gbps，负载均衡模块最大四层吞吐能力10Gbps（而且不是所有都需要负载均衡，出口做链路负载均衡、数据中心相同业务虚拟服务器做服务器负载均衡），完全满足当前业务需求。由于DPX8000-A12的防火墙模块和应用控制优化模块都支持虚拟化技术，因此还可以利用智能服务虚拟化实现基于每个数据中心业务组的定制服务策略和功能，使每个业务应用使用所需资源时不必过度关注其物理存在方式，从而实现与物理无关的跨平台智能服务调用（SODC的交互服务调用），极大的提高资源利用效率，减少了物理设施维护的复杂度。互联网出口边界接入DPX8000-A12的虚拟化的深度业务网关，边界安全防护采用虚拟防火墙负责安全域划分、访问隔离、攻击防范、NAT、IPSec/SSL VPN等功能，提供网络层安全的访问控制；采用入侵防御模块负责4~7层对漏洞攻击、网页篡改、SQL注入等提供主动防护；同时，IPS内置卡巴斯基病毒库，可对各种蠕虫、病毒进行实时拦截；采用流控审计模块负责租户区与内部办公区的流量带宽精细化分配管理，并完成对P2P、游戏等非关键业务的流量控制，保障关键业务带宽，轻松实现对网络带宽的管理。通过审计模块对Web访问、网络游戏、炒股、在线影视等上网行为进行详细记录审核和权限管理，规范用户上网行为，确保上网行为符合相关规定要求；通过虚拟化的负载均衡模块进行三大运营商，电信、移动、联通线路的负载均衡。租户分布汇聚层采用迪普公司DPtech LSW5602-44GT4GC千兆三层汇聚交换机。LSW5602-44GT4GC标配有44个千兆以太网电口，4个千兆光或4个千兆电COMBO接口，2个扩展插槽（支持1端口万兆模块/2端口万兆模块/2端口千兆SFP模块）本次配置1端口万兆模块与核心DPX8000-A12万兆光纤上连，1端口千兆SFP光纤与楼层接入层交换机千兆下连。商贸城内部办公网采用2端口SFP千兆光纤上连核心，1端口SFP千兆光纤下连楼层接入交换机。边界访问控制通过核心DPX8000-A12的虚拟防火墙模块实现。 1.2.4 园区网接入层设计本次建议绵阳毅德商贸城物流园区使用DPtech LSW3600-48T4GP接入交换机，可以实现数据中心接入层的分级设计。标配有48个百兆以太网端口、4个千兆上连光口。可以配置为2条千兆光纤捆绑上连到汇聚，百兆到桌面的接入。 1.3 迪普深度业务交换网关简介 DPtech DPX8000系列深度业务交换网关 1.3.1 产品概述随着VoIP、高清视频、Web2.0、云计算等新技术的广泛应用，网络数据传输容量出现了几何级增长，据吉尔德定律预示，未来25年，带宽每六个月将增加一倍。如此飞速增长的数据业务不仅将使网络架构变得非常复杂，也将面临网络安全、应用体验性、业务持续可用等巨大挑战。传统的解决方法是使用大容量交换设备之外部署防火墙、IPS、流量控制、应用交付等深度业务处理设备，这种网络层与业务层相分离的架构初期比较灵活，但却只能适用于小型网络，主要原因有：设备的不断叠加使得网络变得越来越复杂，并带来大量单点故障数据报文的多次重复解析和处理，造成网络性能的衰减和延迟的增加多厂商、多设备间相互兼容困难，特别是随着网络规模和组网模式的不断革新，难以实现性能、功能、接口的按需扩展网络与安全技术兼容困难，如MPLS VPN、IPv6、虚拟化等各设备间物理和逻辑都是分割的，无法统一管理很显然，这种“葫芦串”的简单叠加模式看似合理，但已远远落后于用户业务需求的增长速度，不仅会耗费大量人力物力，造成资源的浪费，同时也会使得网络变得异常复杂，带来可靠性、性能、扩展能力、网络兼容性、管理等大量新问题。如何有效解决上述问题，在大容量线速无阻塞转发条件下，保证网络及业务的安全、快速、可用？随着网络标准化、虚拟化、智能化程度的不断提高，只有通过将交换、应用和业务进行深度整合，并借助虚拟化技术实现网络层和业务层的无缝融合，才能达到简化网络架构、提高网络效率、在融合过程中保护用户既有资源的目的。DPtech 正是在此背景下推出了DPX8000系列深度业务交换网关，包括DPX8000-A3、DPX8000-A5、DPX8000-A12三款产品。 DPX8000系列产品基于DPtech自主知识产权的ConPlat软件平台，集业务交换、网络安全、应用交付三大功能于一体。在提供IPv4/IPv6、MPLS VPN、不间断转发、环网保护等丰富网络特性基础上，还可以提供应用防火墙、IPS、UAG、异常流量清洗/检测、应用交付等深度业务的线速处理，是目前业界业务扩展能力最强、处理能力最高、接口密度最高的深度业务交换网关，旨在满足运营商、数据中心、大型企业的高性能网络深度业务处理需要。 1.3.2 产品特点 n 业界第一款深度业务交换网关。集业务交换、网络安全、应用交付三大功能于一体，适应融合业务网络发展趋势，使复杂的网络变得更简单 n 100G高性能平台。支持未来40GE和100GE以太网标准，提供480GE的全线速无阻塞处理能力；高性能业务单板，最大可提供400G整机深度业务处理能力 n 丰富的业务扩展能力。支持应用防火墙、IPS、流量控制、安全审计、应用交付、异常流量清洗/检测等深度业务功能的按需扩展 n 领先的虚拟化能力。DPX8000以资源化方式，将一个个相互独立的功能单一的物理设备形成一个或多个逻辑对象，所有策略配置和管理均基于逻辑对象进行实施，不仅大大提高了业务组网能力，并使得可靠性、无缝升级能力大大增强。 n 强大的网络适用性。支持IPv4/IPv6、三层/二层MPLS VPN等丰富的网络特性，并提供48GE光、48GE电、4*10GE、8*10GE、4*2.5G POS、4*10G POS、1*40G POS等各种高密端口 n 电信级高可靠。主控冗余、N+1电源、不间断重启、热补丁、数据/控制/监测平面分离等技术，确保99.999％的电信级可靠性 1.3.3 产品系列 1.3.4 典型组网过去：组网复杂、功能/性能扩展困难、单点故障点多、管理难度大现在：DPX8000组网简单、业务/性能按需扩展、单点故障点少、管理轻松 1.3.5 产品规格产品型号 DPX8000-A3 DPX8000-A5 DPX8000-A12 主控槽位 2 2 2 业务槽位数 2 4 10 整机交换容量（Gbps） 288 480 1152 整机业务处理能力（Gbps） 80 160 400 单板最大业务处理能力（Gbps） 40 40 40 电源 AC/DC双电源 AC/DC双电源 AC/DC四电源接口板类型支持48GE光、48GE电、4*10GE、8*10GE、4*2.5G POS、4*10G POS、1*40G POS等业务板类型应用防火墙、IPS、UAG、异常流量检测/清洗、应用交付等二层特性 VLAN、STP、RSTP、MSTP、QinQ、灵活QinQ、Vlan mapping、全双工流控、背压式流控、链路聚合、跨板链路聚合、跨板端口/流镜像、端口广播/多播/未知单播风暴抑制、Jumbo Frame、基于端口、协议、子网和MAC的VLAN划分、PVLAN、GVRP、CoS优先级三层特性 IPv4：静态路由、RIP v1/2、OSPF、BGP、策略路由等IPv4特性； IPv6：IPv6静态路由、RIPng、OSPFv3、BGP4+、IPv4向IPv6过渡隧道技术等； MPLS/VPLS 支持L3 MPLS VPN、L2 VPN: VLL (Martini, Kompella)、MCE、MPLS OAM、VPLS、VLL、分层VPLS、QinQ+VPLS接入、P/PE、LDP协议等组播特性支持IGMPv1/v2/v3、IGMPv1/v2/v3 Snooping、PIM-SM/PIM-DM/PIM-SSM ACL及其它网络层特性支持源IP、源端口、目的IP、目的端口、协议号、物理端口等条件的ACL规则；支持Ingress/Egress CAR；支持802.1P/DSCP优先级Mark/Remark；支持permit、deny、重定向、修改VLAN、镜像等多种动作应用防火墙业务板特性支持安全域划分、访问隔离、攻击防范、NAT、IPSec/SSL/PPTP/L2TP VPN等功能，提供网络安全 IPS业务板特性提供深入到七层的安全防御，对漏洞攻击、网页篡改、SQL注入等提供主动防护；同时，IPS内置卡巴斯基病毒库，可对各种蠕虫、病毒进行实时拦截 UAG业务板特性流量控制：深入到7层的识别、分类和控制，能快速实现网络流量及应用的可视化，并完成对P2P、游戏等非关键业务的流量控制，保障关键业务带宽，轻松实现对网络带宽的管理；安全审计：可对Web访问、网络游戏、炒股、在线影视等上网行为进行详细记录审核和权限管理，规范用户上网行为，确保上网行为符合相关规定要求；提供近1000万条URL数据库并分为数十种类别，用户可简单、灵活的实施URL控制策略应用交付业务板特性支持链路负载均衡、服务器负载均衡、应用加速等功能，保证应用的快速、可用异常流量检测/清洗业务板特性通过检测与清洗相结合，有效保护城域网、IDC等免遭海量DDoS攻击管理特性支持FTP、TFTP、Xmodem；支持WEB管理接口、SNMP v1/v2/v3；支持RMON、NTP时钟、电源智能管理可靠性支持主控板1+1冗余备份；支持电源N+1冗余备份；采用无源背板设计，所有单板支持热插拔；支持设备在线状态监测机制协议，实现对包括主控引擎，背板，芯片和存储等关键元器件进行检测

展开阅读全文