在云平台建设中基于等保2.0要求,如何进行网络安全域隔离?

在云平台建设中基于等保2.0要求,如何进行网络安全域隔离?

参与7

1同行回答

GaryyGaryy  系统工程师 , 某保险
金融网络区域主要由外联区、互联网接入区、广域网区、运维管理区、核心交换区、云平台管理区、云平台资源池区组成。虚拟网络采用了先进的Overlay技术架构,通过SDN VXLAN(Virtual eXtensible LAN虚拟可扩展局域网)实现了软件定义的网络。虚拟机和物理服务器可以同时纳入管...显示全部

金融网络区域主要由外联区、互联网接入区、广域网区、运维管理区、核心交换区、云平台管理区、云平台资源池区组成。
虚拟网络采用了先进的Overlay技术架构,通过SDN VXLAN(Virtual eXtensible LAN虚拟可扩展局域网)实现了软件定义的网络。虚拟机和物理服务器可以同时纳入管理。由控制器统一控制下发网络策略。Overlay控制器作网络管理的核心,和计算管理,存分布式储管理模块一起,受云管理平台的统一控制。
1)核心交换区
核心交换区为整个网络的核心枢纽,实现各个区域之间的数据访问。作为全网络的核心交换网络。建议采用三层路由的方式进行连接。核心交换区必须具备高速转发的能力,同时还需要有很强的扩展能力,以便应对未来业务的快速增长。
2)外联区
外联区主要是提供保险行业业监管机构、同业单位、第三方支付平台等金融机构链路的访问需求,对安全性有着较高的要求。
采用两台万兆路由器设备作为外联机构线路汇聚接入。两台设备采用H3C虚拟化技术虚拟化为一台逻辑设备,实现两台设备统一IP地址管理。
出口 交换机使用两台设备做堆叠,通过万兆接口上联出口路由器设备,下联边界防火墙。
边界防火墙使用两台防火墙,上行接入Internet网,下联两台DMZ汇聚交换机设备,边界防火墙使用双机虚拟化技术,实现两台设备虚拟化成一台逻辑设备,实现负载分担和业务备份。
在边界防火墙内侧下联DMZ区,用户部署前置或WEB业务供外联机构安全访问。DMZ区采用汇聚、接入两层架构,在汇聚设备上部署负载均衡设备,实现业务的负载。
在DMZ区下侧部署防火墙设备,用于DMZ区和云计算资源池业务区之间的访问控制,上行接入DMZ汇聚设备,区域汇聚交换机,边界防火墙使用双机虚拟化技术,实现两台设备虚拟化成一台逻辑设备,实现负载分担和业务备份。
在防火墙的下面部署区域汇聚交换机设备,用于和核心设备层互连,在区域交换机和核心交换机之间部署ospf动态路由,实现路由的互通。两台汇聚交换机采用H3C IRF堆叠,实现设备个链路带宽的高可用。
3)互联网区
互联网接入区会主要是提供Internet链路的访问需求,对安全性有着较高的要求。采用防火墙做为该区域的安全设备,通过物理网络设备N:1虚拟化技术,简化网络部署,提高网络系统的可靠性。并且支持丰富的攻击防范功能包括:Land、Smurf、UDP Snork attack、UDP Chargen DoS attack (Fraggle)、Large ICMP Traffic 、Ping of Death、Tiny Fragment 、Tear Drop、IP Spoofing、IP分片报文、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法、超大ICMP报文、地址扫描、端口扫描等攻击防范,还包括针对SYN Flood、UPD Flood、ICMP Flood、DNS Flood、CC等常见DDoS攻击的检测防御。物理组网如下图所示:
采用两台万兆路由器设备作为运营商线路汇聚接入。两台设备采用H3C虚拟化技术虚拟化为一台逻辑设备,实现两台设备统一IP地址管理。
出口 交换机使用两台设备做堆叠,通过万兆接口上联出口路由器设备,下联边界防火墙。
边界防火墙使用两台防火墙,上行接入Internet网,下联两台DMZ汇聚设备,边界防火墙使用双机虚拟化技术,实现两台设备虚拟化成一台逻辑设备,实现负载分担和业务备份。
在边界防火墙内侧下联DMZ区,用户部署前置或WEB业务供互联网安全访问。DMZ区采用汇聚、接入两层架构,在汇聚设备上部署负载均衡设备,实现业务的负载。
在DMZ区下侧部署防火墙设备,用于DMZ区和云计算资源池业务区之间的访问控制,上行接入DMZ汇聚设备,区域汇聚交换机,边界防火墙使用双机虚拟化技术,实现两台设备虚拟化成一台逻辑设备,实现负载分担和业务备份。
在防火墙的下面部署区域汇聚交换机设备,用于和核心设备层互连,在区域交换机和核心交换机之间部署ospf动态路由,实现路由的互通。两台汇聚交换机采用H3C IRF堆叠,实现设备个链路带宽的高可用。
4)广域网区
采用两台千兆路由器设备作为各分支机构的汇聚接入。两台设备采用H3C虚拟化技术虚拟化为一台逻辑设备,实现两台设备统一IP地址管理。
广域网交换机使用两台设备做堆叠,通过万兆接口上联出口路由器设备,下联核心交换区。
5)带外与带内
带外管理:通过接入交换机连接了各个区域设备的带外管理接口,如业务区服务器的ILO口和交换机的控制端口,实现了对整个网络和服务器的管理。
带内管理:通过接入交换机连接了各个区域设备的的管理口,完成对设备的管理。
6)云计算资源池区
传统的网络技术面不能够适应对云计算要求,在金融互联网业务区及开发测试区面临以下问题:
1) 云业务需求变更频繁,需要快速调度和分配网络资源,以提升业务的部署、上线和撤销速度;
2) 要求网络能够感知业务变化,例如虚拟机迁移需要网络策略跟随;
3) 网络业务和租户数目规模按需调整,需要网络能弹性伸缩;
4) 动态的业务部署和迁移,丰富的迁移策略要求业务与物理位置无关;
5) 云业务的多样性导致网络设备配置复杂,运维困难,需要进行简化。
为了解决以上问题,通过SDN技术和网络链路虚拟化技术Overlay来支撑云与虚拟化的建设要求,并实现更大规模的多租户能力。
7)云计算管理区
部署云管理平台、SDN控制器各采用3路物理服务器,虚拟化管理平台Venter管理服务器各采用2路物理服务器,通过对云管理平台、虚拟化管理平台等软件的部署,实现对底层资源的合理管控,保障业务运行的可靠性、可用性,合理的分配资源,通过自动化的运维管理,提升用户IT人员的运维管理效率

收起
保险 · 2018-03-09
浏览2324

提问者

朱向东
朱向东162657
高级工程师某银行
擅长领域: 服务器存储数据库

问题来自

相关问题

相关资料

相关文章

问题状态

  • 发布时间:2018-03-08
  • 关注会员:3 人
  • 问题浏览:4552
  • 最近回答:2018-03-09
  • X社区推广