SCI论文(www.lunwensci.com):
摘要:重庆广电集团“两江云”融媒体平台基于公有云和私有云混合部署,承载了重庆广电集团全部媒体内容的生产、发布与传播业务,并向全市各区县提供融媒资源共享、传播互助、生态共建等服务,目前是重庆市唯一的视频类新闻融媒体平台。随着华为底层架构的迭代与融合媒体平台规模不断扩大,原有的防火墙采用直连模式,接口使用趋近饱和,在未来几年内可能无法承载私有云业务,因此需要将防火墙的私有云网络连接模式更换为旁路模式。本文基于防火墙技术,浅析防火墙旁路模式在实际应用中的解决方案。
关键词:云平台;防火墙;旁路模式
Analysis of the cloud platform's security protection solution based onfirewall bypass mode
Zhao Xin,Hu Chungang
[Chongqing Radio and Television Group(Head quarters),Chongqing,401147]
Abstract:The"Liangjiang cloud"media integration platform of CBG is based on the mixed deployment of public cloud and private cloud.It carries all the media content production,publishing and dissemination business of CBG and to providesfinancial media resource sharing,communication mutual assistance and ecological co construction services to all districts and counties of Chongqing.It is the only video news media platform in Chongqing.With the iteration of Huawei's underlying architecture and the continuous expansion of the scale of the converged media platform.The originalfirewall adopts direct connection mode,Interface usage approaching saturation.It may not be able to host private cloud services in the next few years.Thefirewall needs to be changed from the private cloud network connection mode to the bypass mode.This paper is based onfirewall on-demand protection and service expansion,analysis on the solution offirewall bypass mode in practical application.
Key words:cloud platform,firewall,bypass mode
重庆广电集团“两江云”融合媒体平台采用公有云、私有云的混合云结构部署,承载了重庆广电集团全部媒体内容的生产、发布与传播业务。其中,私有云部署了上百台虚拟主机,承载了大部分业务系统,是整个云平台重要的组成部分。防火墙作为私有云的网络边界,采用直连模式接入网络。现考虑到日渐增多的业务接入需求和防火墙本身对底层架构的匹配,将防火墙接入模式从直连模式更改为旁路模式接入,此方式是当前最合理的接入方式。
一、防火墙技术
(一)网络防火墙基本定义
防火墙(Firewall),可以是硬件防火墙,也可以是软件防火墙。它作用于信任程度不同的内部和外部网络之间,并对内外部网络之间的数据交换进行控制,通过强制实施统一的安全策略,防止重要信息资源被非法存取和访问,从而实现对计算机网络可能存在的危险因素的阻断。只有在防火墙允许通过的情况下,外部的用户或者数据才可以进入内部的网络[1]。如果外部用户试图非法进入内部网络,防火墙则会根据配置的安全策略匹配规则,阻止其进入并发出相应警报。
(二)防火墙的工作原理
防火墙从整体上分为包过滤型和应用代理型两种[2]。其中,包过滤型防火墙工作在OSI模型的网络层和传输层,根据数据包头源地址、目的地址、端口号、协议类型等方面确认是否允许数据通过。包过滤防火墙也存在缺陷,比如它不能阻止某些IP欺骗。应用网关防火墙则可以弥补包过滤防火墙的不足之处,网关防火墙可以在应用层面上建立协议过滤和转发功能。
(三)防火墙的功能与作用
1.网络安全屏障
防火墙能够过滤和阻挡来自外部网络的非法入侵或恶意攻击,提高内部网络的安全性。防火墙可以通过配置安全策略,限制具体的端口与协议访问相应的IP地址或者IP地址段。因为只有经过选择并授权允许的应用协议才能通过防火墙,所以网络环境能变得更安全。
2.强化网络安全策略
防火墙可以把安全软件或者策略配置在防火墙上,集中管理墙内的主机而不需要将安全软件或者策略部署在各个主机,这样管理更科学和经济。另外,防火墙还具有入侵防御检测(IDS)功能,能够识别攻击行为和核查系统漏洞。
3.监控和审计
防火墙可以对网络存取和访问进行监控审计。由于所有的访问都必须经过防火墙,因此,防火墙不仅可以展现完整的日志操作记录,还能提供网络使用情况的统计数据,并根据源IP地址和目的IP地址的访问情况,判断当下发生的数据通信是否异常。当发现可疑的行为时,防火墙会识别并告警,并提供网络是否受到监测和攻击的详细信息。防火墙审计监控不仅可以及时观察来自外部的可疑行为,还可以审计内部人员的操作是否合规、合法,而且对内部人员的失误操作或者恶意破坏操作,也能达到监控的目的。由此,可阻止攻击者的探测和攻击,也能防止内部信息的外泄。防火墙可以监控的日志包括流量日志、威胁日志、操作日志、系统日志、策略命中日志、用户活动日志。
4.防止内部信息外泄
利用防火墙对内部网络进行划分,可以实现内部网络中重点网段的隔离,限制内部网络中不同部门之间互相访问,从而保证网络内部敏感数据的安全。
5.网络地址转换(NAT)
网络地址转换可以解决地址短缺的问题。配置源/目的地址转换可以减少公网IP的需求。
(四)防火墙的局限性
防火墙并不是万能的,它不能解决所有网络安全问题,也不能抵挡所有的网络攻击,具有以下局限性。
第一,防火墙不能阻止绕过防火墙的攻击。如果黑客通过IP欺骗、Dos攻击、DDos攻击或者木马攻击等手段,绕过防火墙的监测进入内部,防火墙则不能阻止其进行的横向攻击。
第二,防火墙不能防止内部人员的恶意行为。如果内部人员进行非法或者违规操作,防火墙无法进行阻止。
第三,防火墙不能阻止受病毒感染的文件的传输。防火墙本身是基于对数据包头内容的筛选进行阻断,对已经受病毒感染的文件本身不具备杀毒功能,因此即使安装第三方的防病毒软件,也不可能查杀所有病毒。
二、防火墙常见部署方式分析
(一)防火墙直连部署在网络出口边界
防火墙部署在整个网络的边界并和核心交换机直连。数据首先经过防火墙再进入核心交换机,最后进入内部网络。该类型的部署方式需要防火墙自身具备较强识别和防御攻击的能力,并通过防火墙实现对外部进入内部业务系统有效的访问控制。但是,该部署方式对防火墙的接口数量有一定的要求,每个不同的业务系统都有不同的网络出口,接入多少个外部系统,防火墙就需要多少个接口,因此也容易出现接口不够的情况。
(二)防火墙旁挂于网络出口的核心交换机
防火墙和核心交换机并联连接。对整个网络结构来说,防火墙属于旁路模式接入网络。这种类型的部署方式最大的优势在于其不影响之前的组网布局,即使新接入了系统,也无需改变现有的网络拓扑,无需调整网关。这种部署方式应用于有较高安全需求的业务系统,对外来接入的系统也可以提供相应的支持。该模式是将所有外来业务系统全部接入核心交换机,然后数据流量经过防火墙分析和识别,最后回送到核心交换机,进入内部系统进行数据的交换。此种模式虽然可以支持更多数量的业务系统接入,但是数据在防火墙一进一出,对交换机的压力也比直连模式大。
(三)防火墙部署在需要防护的系统前端
防火墙直连部署在所需系统前端,仅针对所需系统作出相应的访问控制配置和相关防护。此模式对防火墙本身的性能需求相对较低,不需要使用特别高端的防火墙。
重庆广电集团“两江云”融合媒体平台采用了第二、三两种部署模式。针对“两江云”平台的私有云部分,该平台选择的是旁路模式的接入方式,主要考虑到以下两点原因。
第一,重庆广电集团云平台业务系统日渐增多,除要满足集团本身的新闻制作业务外,还需要满足和区县融媒体中心、其他传媒公司的业务交互。尽管目前防火墙的端口足够使用,但在未来几年内,很可能会出现接口不够用的情况,因此旁路模式能更好地支持业务数量的需求。
第二,基于SDN在云平台的应用场景和华为底层HCS版本迭代,防火墙考虑以旁路模式替代原有的直连模式。
三、旁路模式的优势和具体部署方法
(一)旁路模式优势
重庆广电集团“两江云”融合媒体平台的防火墙为2台USG6680,采用双机备份。平台在私有云边界接入重庆广电集团公有云专线业务、办公网业务、重视传媒业务及广大传媒公司、艾迪普公司等相关业务,每个业务都有单独的VPC。虚拟防火墙根据业务需求控制每个VPC的访问策略。
考虑到重庆广电集团“两江云”融合媒体平台的具体情况,若采用原有的直连模式,随着时间推移,防火墙接口会在不久的将来被使用完。因此,为了未来的业务发展需求,平台必须增加防火墙的接口或者更换为旁路模式以支持更多数量的业务系统接入。图1为防火墙改为旁路模式之后的网络拓扑。
(二)旁路模式具体配置详解
由于本次更改操作只需要将直连结构更改为旁路结构,交换机和防火墙基本信息的配置和部分网
图1旁路模式的网络拓扑
络配置在前期已经完成,因此和旁路模式无关的配置就不再赘述。
第一,相关人员应梳理核心交换机上的端口,确认连接业务系统的端口和连接防火墙的端口,配置好VLAN,做好前期工作。
第二,更改物理链路。核心交换机需要采用堆叠双机交叉连接的方式保证链路冗余,将原来所有接入防火墙的线路迁移至核心交换机规划的端口。
第三,防火墙的其他配置无需改动,只需梳理更改为旁路模式之后的路由表,将原来防火墙上的路由全部转移到核心交换机。在直连模式下,路由配置在防火墙上,而现在所有的路由表配置核心交换机并引向防火墙。
第四,将业务系统的上行流量引导至防火墙,再通过出口核心交换机到达私有云外部。相关人员需在核心交换机配置相应路由。源地址为私有云内部地址,目的地址为私有云外部地址,下一跳为防火墙。
第五,将业务系统下行流量引导至防火墙,再回到核心交换机,进入内部网络。相关人员需在核心交换机配置相应的路由。源地址为外部地址或者所有地址(根据业务需求不同,配置不同),目的
地址为私有云内部地址,下一跳为防火墙。第六,配置完成后测试业务的可用性。
四、结语
以上总结了防火墙在企业应用中的三种连接模式。在实际应用中,相关部门不可拘泥于某一种模式,应根据自身的适用情况选择适合的接入方案,让防火墙发挥最大的作用的同时避免资源浪费。重庆广电集团“两江云”融合媒体平台是一个市级的媒体共享平台,也是重庆市视频类新闻的生产、发布平台,业务种类相对繁多且对安全性的要求较高。再者,基于SDN架构和华为HCS底层的部分限制,综合各方面因素,该平台最终选择了旁路模式的安全防护解决方案。
【参考文献】
[1]郑功深.数据中心网络防火墙常见部署方式分析[J].通讯世界,2017(20).
[2]罗进杰.有关计算机网络防火墙的设置分析[J].计算机光盘软件与应用,2012,(19).
关注SCI论文创作发表,寻求SCI论文修改润色、SCI论文代发表等服务支撑,请锁定SCI论文网!
文章出自SCI论文网转载请注明出处:https://www.lunwensci.com/jisuanjilunwen/43478.html
