摘 要:本文通过对人民银行同城通信转接中心纵向防火墙建设过程的分析,探讨了省级节点两数据中心安全防护措施的技术特点及其存在的不足之处,并提出相应的问题解决思路,为同城通信转接中心纵向防火墙建设提供有力参考。
关键词:数据中心;防火墙;安全防护
中图分类号:TN918.91 文献标识码:A 文章编号:2096-4706(2018)12-0186-02
Construction Practice of Vertical Firewall in Provincial City
Communication Transfer Center
YAN Chenglin
(Beihai Central Sub Branch of the Peoples Bank of China,Beihai 536000,China)
Abstract:This paper introduces the construction process of the longitudinal firewall of the Peoples Bank of Chinas inter-city communication transfer center,discusses the technical characteristics of the security protection measures of the provincial node two data centers and puts forward the solutions to the problems. It provides a powerful reference for the vertical firewall construction of the communication center of the city.
Keywords:data center;firewall;security protection
1 项目实施背景
2018年8月人民银行南宁中心支行完成了同城通信转接中心纵向防火墙建设工作。纵向防火墙是指部署在省域网下联路由器和核心交换机之间的防火墙设备。纵向防火墙的作用主要是保护省级数据中心的安全,防止下联分支机构非授权访问或者恶意攻击省级数据中心服务器资源。
目前人民银行南宁中心支行已打通了省级数据中心和同城通信转接中心的二层网络,实现了真正意义上的网络同城“双活”中心。同城通信转接中心与省级数据中心共同担负着省域网网络负载均衡的重要任务,因此实施同城通信转接中心安全防护措施,建设区域边界纵向防火墙,是完善和优化省级数据中心的重要内容之一。
2 实施过程
2.1 防火墙设备选型
目前省域网同城通信转接中心使用基于包过滤规则的三层网络设备访问控制列表来防范非法访问和恶意攻击。基于包过滤规则的访问控制列表,根据设定好的静态规则来判断是否允许报文通过,必须逐条配置进出两个方向的报文通过规则,这种方式转发效率低下而且容易带来安全风险。
为了解决这些问题,同城通信转接中心纵向防火墙选用基于状态检测的防火墙。状态检测防火墙使用基于连接状态的检测机制,它会对一条流量的首包(第一个报文)进行完整检测,并建立会话来记录报文的状态信息(包括源IP、目的IP、源端口、端口、协议等)。这条流量的后续报文只有匹配会话才能够通过防火墙并完成报文转发,如果不匹配则丢弃。这种状态监测方式既提高了报文转发效率,又提高了风险防范水平。
2.2 设计网络结构
为减少项目实施对现有网络的改动,纵向防火墙以透明方式部署于同城通信转接中心下联路由器与核心交换机之间。两台防火墙之间采用“双机热备-负载分担”模式,即两台防火墙组成双活防火墙系统。在这种模式下,为了避免两台防火墙同步配置数据时发生冲突,需要将两台防火墙分别定义为配置主设备和配置从设备。配置主设备负责发送备份配置命令,配置从设备负责接收备份配置命令,即在负载分担组网下,设备配置数据只能从配置主设备备份到配置从设备。但设备状态信息仍是可以两台设备互为备份。网络结构如图1所示。
2.3 定义安全区域
根据要实现的功能,纵向防火墙需要设置成untrust、trust和“心跳”三个区域,其中untrust区域指定为与下联路由器相连的网络区域,trust区域指定为与核心交换机相连的区域,“心跳”区域指定为双机热备的纵向防火墙的心跳口连接。区域划分如图2所示。
2.4 配置接口连接模式
将纵向防火墙与trust区域、untrust区域相连的对应接口设置为交换模式,并且互联的两个接口属于同一VLAN,以实现设备间的互联。“心跳”区域的设备互联接口为聚合接口,接口设置为路由模式,并为接口分配IP地址,以实现两个纵向防火墙之间的互联,避免单心跳故障。将纵向防火墙的管理接口设置为路由模式,并为该接口分配远程管理IP地址及默认网关,使网络管理员可以通过该接口远程访问防火墙设备。
2.5 配置HA
根据设计方案,必须将两台防火墙配置成“双机热备-负载分担”模式。双机热备是将两台完全一样的物理设备虚拟为一台逻辑设备,以实现两台设备自动故障侦测、业务切换和配置备份,保证在主用设备和备用设备进行业务切换时,业务流量不中断。负载分担是指路由器在转发流量时,将负载(流量)分摊到两台设备上进行转发。负载分担可以减少网络阻塞状况,并且当其中一条链路发生故障时,流量可以自动切换到另外一条可用的链路上继续转发,从而提高链路可靠性。
2.6 配置访问控制策略并测试数据流向
目前人民银行广西辖区大部分业务系统已上收至省级数据中心,各业务系统应用端口及访问源数量和种类都比较多。为了不影响业务正常开展,配置访问控制策略需要采取逐步完善的方法。第一步是先默认允许纵向防火墙untrust区域与trust区域之间双向端口通信,保证业务正常开展。具体做法就是关闭防火墙状态检测功能,采取类似于ACL的包过滤访问控制机制。第二步是通过三种途径收集同城通信转接中心业务数据流信息,不断细化和完善访问控制策略,以满足严格隔离和最小化授权原则。一是通过系统运维部门提供的相关技术参数信息,二是通过天旦旁路流量监测系统收集统计相关数据流五元组信息,三是利用防火墙自带的流量日志、会话表、五元组抓包功能收集统计相关信息。
在配置同城通信转接中心防火墙策略时,需要注意长连接问题。长连接是指在一个连接上可以发送多个数据包,其主要应用于操作频繁的点对点通讯场景。一般数据库连接都是用长连接,目前人民银省级数据中心典型的长连接应用为MQ中间件等。而对于Web网站访问一般则用短连接,因为web网站并发量大,每个访问用户的行为操作时间间隔相对较长,如果使用了长连接,将大量耗费web服务器资源。
3 不足之处
目前南宁中心支行到省域网下联分支机构的两条广域网线路均为等价路由,下联分支机构访问南宁的数据流负载分担在两条广域网线路上。省级数据中心和同城通信转接中心通过“互联裸纤线路+VRRP”实现二层网络互通及二层VLAN网关双活后,省级数据中心核心交换机VLAN网关VRRP优先级较高。这样的组网环境会导致省域网下联分支机构通过同城转接中心的数据流存在数据包跨越两数据中心而来回路径不一致的情况。
基于状态检测的防火墙通过对报文的链路状态进行合法性检查,丢弃链路状态不合法的报文。当防火墙做为网络唯一出口时,一次通信过程中来回两个方向的报文都经过防火墙的处理,网络通信正常。当网络存在多个出口时,防火墙可能只会收到通信过程中的后续报文,而没有收到首包,网络通信异常。在这种情况下,为了保证网络通信正常,就需要关闭防火墙的状态检测功能。关闭了状态监测功能的防火墙,其访问控制策略的实现方式变为类似于网络设备ACL的包过滤机制,影响报文转发效率,存在安全风险。
4 改进建议
根据目前省级两数据中心的组网架构,为了开启防火墙的状态监测功能,可通过同步省级数据中心和同城通信转接中心的四台防火墙数据流会话状态表的方法来实现。但目前主流防火墙的系统尚未支持跨中心四台设备同步配置和会话。网络结构如图3所示。
5 结 论
为保证省级节点两数据中心的安全,南宁中心支行将通过采集到的网络信息,对同城通信转接中心纵向防火墙进行严格的基本安全和业务安全策略配置,并积极与纵向防火墙厂商沟通联系,争取早日实现两中心四台纵向防火墙自动同步配置和会话,开启防火墙状态检测功能,提高报文转发效率,提升省域网安全防护水平。
参考文献:
[1] 马秋贤.基于华为模拟器的防火墙NAT实验设计与实现 [J].现代信息科技,2017,1(5):95-97.
[2] 钟琳,陈强,吴疆.跨频多路通信转接平台设计 [J].价值工程,2010,29(36):151.
[3] 方园,李礼.计算机网络安全技术发展及防火墙技术分析 [J].现代信息科技,2017,1(3):107-108.
作者简介:颜承林(1981.02-),男,壮族,广西北海人,副科长,中级工程师,本科。研究方向:金融科技。
