方案簡介
數據中心承載著企業的核心業務、存儲海量的業務數據,是企業正常生產和運行的關鍵資源,因此數據中心的網絡安全顯得尤為重要。
華為金融數據中心方案通常採用模塊化和層次化設計。模塊化設計是將整個數據中心網絡劃分成多個分區,並通過防火牆保證業務的安全隔離。層次化設計是指整個網絡採用核心層、匯聚層、接入層的設計,使網絡具備橫向彈性,易擴展。
為了保證數據中心網絡和內部服務器安全,通常需要在數據中心網絡中部署防火牆產品,提供網絡安全隔離、訪問控制、攻擊防範和入侵防禦等功能。
如圖1-1所示,金融數據中心解決方案中,防火牆主要部署在三個位置:數據中心出口、內網接入區、互聯網出口。不同位置的防火牆提供不同的安全防護功能。
圖1-1 金融數據中心組網示意圖
方案簡介
數據中心承載著企業的核心業務、存儲海量的業務數據,是企業正常生產和運行的關鍵資源,因此數據中心的網絡安全顯得尤為重要。
華為金融數據中心方案通常採用模塊化和層次化設計。模塊化設計是將整個數據中心網絡劃分成多個分區,並通過防火牆保證業務的安全隔離。層次化設計是指整個網絡採用核心層、匯聚層、接入層的設計,使網絡具備橫向彈性,易擴展。
為了保證數據中心網絡和內部服務器安全,通常需要在數據中心網絡中部署防火牆產品,提供網絡安全隔離、訪問控制、攻擊防範和入侵防禦等功能。
如圖1-1所示,金融數據中心解決方案中,防火牆主要部署在三個位置:數據中心出口、內網接入區、互聯網出口。不同位置的防火牆提供不同的安全防護功能。
圖1-1 金融數據中心組網示意圖
數據中心出口防火牆
典型組網
如圖1-2所示為數據中心出口防火牆的典型組網。
- 核心交換機SW1/SW2堆疊組網、匯聚交換機SW3/SW4堆疊組網。防火牆位於核心交換機和匯聚交換機之間,三層接入並啟用主備備份方式的雙機熱備。
- 防火牆連接上下行設備的接口上配置VRRP,防火牆使用VRRP虛擬IP地址與上下行設備通信。
- 防火牆上配置靜態路由,引導流量的轉發。
圖1-2 數據中心出口防火牆典型組網
方案簡介
數據中心承載著企業的核心業務、存儲海量的業務數據,是企業正常生產和運行的關鍵資源,因此數據中心的網絡安全顯得尤為重要。
華為金融數據中心方案通常採用模塊化和層次化設計。模塊化設計是將整個數據中心網絡劃分成多個分區,並通過防火牆保證業務的安全隔離。層次化設計是指整個網絡採用核心層、匯聚層、接入層的設計,使網絡具備橫向彈性,易擴展。
為了保證數據中心網絡和內部服務器安全,通常需要在數據中心網絡中部署防火牆產品,提供網絡安全隔離、訪問控制、攻擊防範和入侵防禦等功能。
如圖1-1所示,金融數據中心解決方案中,防火牆主要部署在三個位置:數據中心出口、內網接入區、互聯網出口。不同位置的防火牆提供不同的安全防護功能。
圖1-1 金融數據中心組網示意圖
數據中心出口防火牆
典型組網
如圖1-2所示為數據中心出口防火牆的典型組網。
- 核心交換機SW1/SW2堆疊組網、匯聚交換機SW3/SW4堆疊組網。防火牆位於核心交換機和匯聚交換機之間,三層接入並啟用主備備份方式的雙機熱備。
- 防火牆連接上下行設備的接口上配置VRRP,防火牆使用VRRP虛擬IP地址與上下行設備通信。
- 防火牆上配置靜態路由,引導流量的轉發。
圖1-2 數據中心出口防火牆典型組網
內網接入區防火牆
典型組網
如圖1-3所示,防火牆掛接在核心交換機作為Agile Controller的硬件SACG。在分支機構1的用戶訪問數據中心的業務服務區時,防火牆和Agile Controller配合,對用戶進行准入控制並實現如下需求:
- 為保護數據中心業務服務區安全,防止非本公司人員以及不安全的終端主機接入,只有身份認證和終端主機安全檢查通過才允許訪問保護數據中心業務服務區。
- 數據中心業務服務區屬於核心資源,只允許員工在上班時間段訪問。
- 希望方案部署過程對現有網絡影響最小;整個網絡業務優先原則,如果准入控制系統失效,業務不能中斷。
將數據中心內網按邏輯劃分為認證前域、隔離域和後域。
- 前域是指終端主機在通過身份認證之前能夠訪問的區域,如DNS服務器、外部認證源、業務控制器(SC)、業務管理器(SM)。
- 隔離域是指在終端用戶通過了身份認證但未通過安全認證時允許訪問的區域,如補丁服務器、病毒庫服務器。
- 後域是指終端用戶通過了身份認證和安全認證後能夠訪問的區域,即數據中心業務服務區。
圖1-3 內網接入區防火牆典型組網
方案簡介
數據中心承載著企業的核心業務、存儲海量的業務數據,是企業正常生產和運行的關鍵資源,因此數據中心的網絡安全顯得尤為重要。
華為金融數據中心方案通常採用模塊化和層次化設計。模塊化設計是將整個數據中心網絡劃分成多個分區,並通過防火牆保證業務的安全隔離。層次化設計是指整個網絡採用核心層、匯聚層、接入層的設計,使網絡具備橫向彈性,易擴展。
為了保證數據中心網絡和內部服務器安全,通常需要在數據中心網絡中部署防火牆產品,提供網絡安全隔離、訪問控制、攻擊防範和入侵防禦等功能。
如圖1-1所示,金融數據中心解決方案中,防火牆主要部署在三個位置:數據中心出口、內網接入區、互聯網出口。不同位置的防火牆提供不同的安全防護功能。
圖1-1 金融數據中心組網示意圖
數據中心出口防火牆
典型組網
如圖1-2所示為數據中心出口防火牆的典型組網。
- 核心交換機SW1/SW2堆疊組網、匯聚交換機SW3/SW4堆疊組網。防火牆位於核心交換機和匯聚交換機之間,三層接入並啟用主備備份方式的雙機熱備。
- 防火牆連接上下行設備的接口上配置VRRP,防火牆使用VRRP虛擬IP地址與上下行設備通信。
- 防火牆上配置靜態路由,引導流量的轉發。
圖1-2 數據中心出口防火牆典型組網
內網接入區防火牆
典型組網
如圖1-3所示,防火牆掛接在核心交換機作為Agile Controller的硬件SACG。在分支機構1的用戶訪問數據中心的業務服務區時,防火牆和Agile Controller配合,對用戶進行准入控制並實現如下需求:
- 為保護數據中心業務服務區安全,防止非本公司人員以及不安全的終端主機接入,只有身份認證和終端主機安全檢查通過才允許訪問保護數據中心業務服務區。
- 數據中心業務服務區屬於核心資源,只允許員工在上班時間段訪問。
- 希望方案部署過程對現有網絡影響最小;整個網絡業務優先原則,如果准入控制系統失效,業務不能中斷。
將數據中心內網按邏輯劃分為認證前域、隔離域和後域。
- 前域是指終端主機在通過身份認證之前能夠訪問的區域,如DNS服務器、外部認證源、業務控制器(SC)、業務管理器(SM)。
- 隔離域是指在終端用戶通過了身份認證但未通過安全認證時允許訪問的區域,如補丁服務器、病毒庫服務器。
- 後域是指終端用戶通過了身份認證和安全認證後能夠訪問的區域,即數據中心業務服務區。
圖1-3 內網接入區防火牆典型組網