本文介紹互聯網數據中心網絡架構主要特征和多層設計原則，分析互聯網數據中心面臨的主要安全威脅，對其安全規劃和部署實施提出方案建議。

1 互聯網數據中心網絡多層設計原則

從本質上說，互聯網數據中心網絡多層設計原則是劃分區域、劃分層次、各自負責安全防御任務，即將復雜的數據中心內部網絡和主機元素按一定的原則分為多個層次多個部分，形成良好的邏輯層次和分區。

數據中心用戶的業務可分為多個子系統，彼此之間會有數據共享、業務互訪、數據訪問控制與隔離的需求，根據業務相關性和流程需要，需要采用模塊化設計，實現低耦合、高內聚，保證系統和數據的安全性、可靠性、靈活擴展性、易于管理，把用戶的整個IT 系統按照關聯性、管理等方面的需求劃分為多個業務板塊系統，而每個系統有自己單獨的核心交換，服務器，安全邊界設備等，逐級訪問控制，并采用不同等級的安全措施和防護手段。

互聯網數據中心網絡可同時從個方面劃分層次和區域：

(1)根據內外部分流原則分層。

(2)根據業務模塊隔離原則分區。

(3) 根據應用分層次訪問原則來分級。

▲圖1 數據中心網絡分層

1.1 分層

根據內外部分流原則，數據中心網絡可分為4 層：互聯網接入層、匯聚層、業務接入層和運維管理層。

最常見的數據中心網絡分層如圖1 所示。

互聯網接入層配置核心路由器實現與互聯網的互聯，VPS，對互聯網數據中心內網和外網的路由信息進行轉換和維護，并連接匯聚層的各匯聚交換機，形成數據中心的網絡核心。

匯聚層配置匯聚交換機實現向下匯聚業務接入層各業務區的接入交換機，向上與核心路由器互聯。部分流量管理設備、安全設備部署在該層。大客戶或重點業務可直接接入匯聚層交換機。

業務接入層通過接入交換機接入各業務區內部的各種服務器設備、網絡設備等。

運維管理層一般獨立成網，與業務網絡進行隔離，通過運維管理層的接入及匯聚交換機連接管理子系統各種設備。

1.2 分區

按照關聯性、管理、安全防護等方面的不同需求，可將數據中心網絡劃分為不同的區域：互聯網域、接入域、服務域、管理域、計算域等，各安全域之間經過防火墻隔離，確保相應的訪問控制策略。

互聯網域包括實施自助管理的管理用戶和訪問應用的最終用戶。

接入域為用戶接入數據中心提供統一的界面和借口，又稱為非軍事化隔離區（DMZ）。服務域提供域名解析、身份認證授權、IP 地址轉換等網絡服務功能。計算域提供計算服務，可以根據安全需求再劃分安全子域。管理域提供安全管理、運營管理、業務管理等。

相對來說，計算域和管理域的安全級別最高，服務域和接入域次之，用戶域最低。

1.3 分級

服務器資源是數據中心的核心，按服務器服務功能將其分為可管理的層次，打破將所有功能都駐留在單一服務器時帶來的安全隱患，增強了擴展性和可用性。

服務器層直接與接入設備相連，提供面向客戶的應用，如IIS、服務器等等。

應用層用來粘合面向用戶的應用程序、后端的數據庫服務器或存儲服務器，如WebLogic、J2EE 等中間件技術。

數據庫層包含了所有的數據庫、存儲和被不同應用程序共享的原始數據，如MS SQL Server、Oracle 9i、等。

在以上3 種的分層分區域的設計下，不同網絡區域之間的安全關系明確，可對每個區域進行安全實施，而對其他區域不會干擾；最大限度地隔離故障區域，加快故障收斂時間，提高可用性；可根據不同的區域和層次的功能分別建設，業務部署靈活；網絡結構清晰，易管理。

2 互聯網數據中心安全威脅

侵入攻擊、拒絕服務攻擊（DoS）和分布式拒絕服務攻擊（DDoS）、蠕蟲病毒是互聯網數據中心面臨的最主要的3 類安全威脅。

數據中心網絡安全防護部件眾多，各網絡層次上不同的安全設備相互合作，形成整個安全防護體系。對數據中心網絡基礎設備的非法侵入和危害使侵入攻擊具有強大的破壞能力和隱蔽性，對某一個網絡設備的侵入可能影響到整個數據中心安全防衛體系。

在DoS 和DDoS 中，攻擊者通過惡意搶占網絡資源，使數據中心無法正常運營。此類攻擊是互聯網數據中心最常預見的攻擊，同時也需要防范利用數據中心內部僵尸主機對互聯網上其他主機進行攻擊。

利用軟件系統設計的漏洞對應用的攻擊包括惡意蠕蟲、病毒、緩沖溢出代碼、后門木馬等，攻擊者獲取存在漏洞的主機的控制權后對病毒進行復制和轉播，在已感染的主機中設置后門或者執行惡意代碼，導致用戶帶寬資源被占用，或者數據中心增值業務受到威脅。因其傳播都基于現有的業務端口，傳統的防火墻對此類攻擊缺乏足夠的檢測能力。更為嚴峻的是數據中心抵抗飛速增長的應用的“零日攻擊”問題。

3 互聯網數據中心安全防護措施

為保障互聯網數據中心的安全，抵御各種威脅和攻擊，需要聯合使用安全體系中各個層次的安全技術，形成一個完善的安全防預體系。

3.1 虛擬專用網