1、ICS 03.060 CCS A 11 JR 中 华 人 民 共 和 国 金 融 行 业 标 准 JR/T 02242021 保险行业网络建设基本规范 The network specification of insurance industry 2021 - 10 - 9发布 2021 - 10 - 9实施 中国银行保险监督管理委员会 发 布 JR/T 02242021 I 目次 前言 .III 1 范围 .1 2 术语和定义 .1 3 符号和缩略语 .1 4 数据中心建设规范 .3 4.1 数据中心网络建设原则 .3 4.2 数据中心安全域和业务划分原则 .3 4.2.1 安全域划分原则
2、.3 4.2.2 业务分区原则 .4 4.3 数据中心网络管理需求 .4 4.4 数据中心网络结构 .4 4.4.1 数据中心网络逻辑架构 .4 4.4.2 数据中心网络物理架构 .5 4.4.3 交换核心区 .6 4.4.4 生产业务区 .8 4.4.5 开发测试区 .8 4.4.6 外联业务区 .9 4.4.7 互联网业务区 .9 4.4.8 广域网互联区 .10 4.4.9 ECC管理区 .11 4.4.10 数据中心内网络带宽 .12 4.5 多数据中心互联结构 .12 4.5.1 多数据中心的必要性 .12 4.5.2 多数据中心的建设方式 .12 4.5.3 多数据中心的互联方式
3、.13 4.6 数据中心网络安全建设 .13 4.6.1 数据中心的安全风险 .13 4.6.2 数据中心安全设计原则 .14 4.6.3 数据中心安全部署 .14 4.7 新型数据中心网络建设规范 .14 4.7.1 新型数据中心网络架构设计 .14 4.7.2 网络虚拟化设计原则 .15 4.7.3 Leaf节点的组网方式 .16 5 广域骨干网建设规范 .19 5.1 广域网设计原则 .19 5.1.1 广域网组网方式 .19 JR/T 02242021 II 5.2 广域网络设计需求 .21 5.2.1 广域骨干网服务定位 .21 5.2.2 广域骨干网接入对象 .21 5.2.3 传
4、输数据类型 .21 5.2.4 服务等级的传输保障 .21 5.3 广域网网络架构 .21 5.3.1 广域网异构方式 .21 6 分支机构网络建设规范 .23 6.1 分支机构网络建设原则 .23 6.2 分支机构的网络架构 .23 6.3 分支网络接入安全 .25 参考文献 .26 JR/T 02242021 III 前 言 本文件按照GB/T 1.1-2020标准化工作导则 第1部分:标准化文件的结构和起草规则的规定起 草。 本文件由全国金融标准化技术委员会保险分技术委员会(SAC/TC 180/SC1)提出并归口。 本文件起草单位:中国人民财产保险股份有限公司、中国太平保险集团有限责任
5、公司、中国平安保 险(集团)股份有限公司。 本文件主要起草人:邵利铎、鹿慧、张化群、张鹏飞、王军、李晔、王宝泉、刘勇、韩梅、邓华威。 本文件为首次制定。 JR/T 02242021 1 保险行业网络建设基本规范 1范围 本文件提供了保险公司数据中心及分支机构网络建设的指导。 本文件适用于保险业网络的建设与管理。 2术语和定义 下列术语和定义适用于本文件。 广域骨干网 backbone of wide area network/backbone WAN 广域骨干网包含总部数据中心、业务中心与分公司各级机构之间、省级机构与下级机构之间等,跨 区域广域互联网络,一般分为一级骨干网、二级骨干网及接入网
6、等级别。 分支机构网络 branch network 分支机构网络为分公司各级机构根据业务需求构建的本地网络,服务于业务。分支机构网络包含与 上级机构广域互联部分、分支本地局域网部分及网络安全部分等。 3符号和缩略语 下列符号和缩略语适用于本文件。 AV AntiVirus 防病毒 Anti-DDos Anti Distributed Denial of Service 异常流量清洗 ATM Asynchronous Transfer Mode 异步传输模式 APT Advanced Persistent Threat 高级持续性威胁,本质是针对性攻击 Clos - 无阻塞多级交换结构,Clo
7、s 架构,诞生 于 1952 年,是由贝尔实验室一位叫 Charles Clos的人提出的 DDoS Distributed Denial of Service 分布式拒绝服务 DMZ Demilitarized Zone 非军事化区 ECC Enterprise Command Center 企业总控中心 EoR End Of Row 一种布线方式, 接入交换机集中安装在一 列机柜端部的机柜内, 通过水平缆线以永 久链路方式连接设备柜内的主机/服务器 /小型机设备 Ethernet - 以太网 JR/T 02242021 2 GSLB Global Server Load Balance 全
8、局负载均衡 GW Gateway 网关 IDS Intrusion Detection Systems 入侵检测系统 IETF The Internet Engineering Task Force 国际互联网工程任务组 IP Internet Protocol 网际协议 IPS Intrusion Prevention System 入侵防御系统 iSoC Information Security Operations Center 统一安全管控中心 ISP Internet Service Provider 因特网服务提供方 KVM Keyboard Video Mouse 多设备控制转换
9、器 LAG Link Aggregation Group 链路聚合组 LB Load Balance 负载均衡 Leaf - 子节点 MAD Multi-Active Detection 多主动检测 MoR Middle of Row 列中交换机 MPLS Multi-Protocol Label Switching 多协议标签交换 MSTP Multi-Service Transfer Platform 基于SDH 的多业务传送平台 NAT Network Address Translation 网络地址转换 Netconf Network Configuration Protocol 网管
10、协议 NVGRE Network Virtualization using Generic Routing Encapsulation 使用通用路由封装的网络虚拟化 Openflow - 网络通信协议 Openstack - 云计算管理平台 OTN Optical Transport Network 光传输网络 Overlay - 虚拟的二层或三层网络 OVS Openstack vSwitch 开源虚拟交换机 OVSDB Openstack vSwitch Database management protocol 开源虚拟交换机数据库管理协 Portal - 接口 QoS Quality o
11、f Service 服务质量 SDH Synchronous Digital Hierarchy 同步数字体系 SDN Software Defined Network 软件定义网络 SNMP Simple Network Management Protocol 简单网络管理协议 Spine - 父节点 STT Stateless Transport Tunneling Protocol 无状态的传输隧道协议 ToR Top of Rack 一种布线方式, 在服务器机柜的最上面安 装接入交换机 Underlay - 物理网络 VLAN Virtual Local Area Network 虚拟
12、局域网 VPLS Virtual Private LAN Service 虚拟专用局域网 VPN Virtual Private Network 虚拟专用网络 VMM Virtual Machine Monitor 虚拟机监控器 JR/T 02242021 3 vSwitch Virtual Switch 虚拟交换机 VTEP Vxlan Tunnel End Point Vxlan隧道的端点 VXLAN Virtual Extensible LAN 可扩展虚拟局域网 VXLAN Bridge - VXLAN网桥 VXLAN L3 GW Virtual Extensible LAN Layer
13、3 Gateway 可扩展虚拟局域网三层网关 WAF Web Application Firewall 网站应用级入侵防御系统 xDSL x Digital Subscriber Line 是各种类型 DSL 数字用户线路的总称,包 括ADSL、 RADSL、 VDSL、 SDSL、 IDSL和HDSL 等 4数据中心建设规范 4.1数据中心网络建设原则 a) 遵循企业基本要求,结合公司投资、IT业务、规模等的基本要求,同时借鉴行业最佳实践, 建立结构完整、体系统一的网络架构; b) 遵循数据中心建设规范,采用较成熟的网络技术,提高网络的可靠性和可用性; c) 可用性,网络架构需满足业务系统不
14、间断、高质量的访问和灾难备份需求; d) 可扩展性,网络架构在功能、性能容量、覆盖能力等各方面具有易扩展能力,可适应业务的 快速发展对基础架构的要求; e) 安全性,根据信任程度、受威胁的级别、需要保护的级别和安全需求,划分安全域,部署安 全设备,实现网络安全,以保证信息的私密性、完整性和可用性; f) 先进性、持续演进能力,网络架构和网络设备采用先进的设计理念和技术,如设备的Clos架 构与信元交换、网络的大二层VXLAN、SDN可编程、虚拟网络等架构; g) 可管理性,网络管理要以保险公司生产运行管理体系为指导,建立符合精细化、自动化、智 能化等管理要求的一体化管理体系; h) 绿色智能,
15、网络架构要符“高效率、高整合、低能耗、低占空、前瞻性”的绿色智能基础架 构发展趋势。 4.2数据中心安全域和业务划分原则 4.2.1安全域划分原则 a) 业务保障原则:安全域划分的根本目标是能更好地保障网络上承载的业务。 在保证安全的同时, 还要保障业务的正常运行和运行效率; b) 结构简化原则:安全域划分的直接目的和效果是要将整个网络变得更加简单,简单的网络结构 更便于设计防护体系; c) 分等级保护原则:安全域的划分要做到每个安全域内的信息资产价值相近,具有相同的安全等 级、安全环境、安全策略等。 网络安全域可分为接入域和服务域,可参考如下划分: 表1 安全域划分图例 区域 二级子区域 三
16、级子区域 JR/T 02242021 4 分支接入域 分支接入域 DMZ域 外部接入域 外联域 接入域 终端接入域 终端接入域 业务系统域(互联网) 业务系统域 业务系统域(内网) 管理域 IT基础设施域 研发测试域 研发测试域 服务域 灾备区域 灾备业务区域 接入域,根据接入方式的不同可分为分支接入域、外部接入域和终端接入域三个部分。 服务域,主要指部署在数据中心的应用系统和数据库等计算环境资源,结合公司业务特点和所面临 的安全威胁, 可进一步细分为对内安全域和对外安全域, 对内安全域主要由为总分机构服务的系统组成。 对外安全域主要是对互联网接入提供服务的系统。 根据物理位置的不同,如多个数
17、据中心,多个办公物理位置,根据业务需求可建立多个服务域与接 入域的三级子域,也可根据不同的等保要求,进行三级子区域的调整。 4.2.2业务分区原则 依据应用访问安全的要求,安全域内可划分多个分区,可参考如下原则: a) 不同安全等级的网络分区划属不同的逻辑分区; b) 不同功能的网络分区划属不同的逻辑分区; c) 承载不同应用架构的网络分区划属不同的逻辑分区; d) 分区总量不宜过多,各分区之间松耦合。 为了提高资源利用率,在保证业务安全性和可用性的前提下,在分区划分时应充分考虑实现逻辑分 区和物理分区之间的松耦合,实现业务部属的灵活性。 4.3数据中心网络管理需求 a) 配置管理:发现网络拓
18、扑结构,构造和维护网络系统的配置。 b) 故障管理:过滤、归并网络事件,有效地发现、定位网络故障,给出排错建议与排错工具,形 成整套的故障发现、告警与处理机制。 c) 性能管理:采集、分析网络对象的性能数据,监测网络对象的性能,对网络线路质量进行分析。 同时,统计网络运行状态信息,对网络的使用发展做出评测、估计,为网络进一步规划与调整提供 依据。 d) 安全管理:结合使用用户认证、访问控制、数据传输、存储的保密与完整性机制,以保障网络 管理系统本身的安全。维护系统日志,使系统的使用和网络对象的修改有据可查。应采取安全措施 控制对网络资源的访问。应满足监管机构及业务对网络提出的可用性要求。 e)
19、 审计管理:网络的故障、操作日志应按要求保存,为合规审计提供有效依据。 4.4数据中心网络结构 4.4.1数据中心网络逻辑架构 JR/T 02242021 5 按照数据中心安全域划分原则,数据中心逻辑架构包含如下几个功能区域,分别是交换核心区、生 产业务区、开发测试区、外联业务区、互联网业务区、广域网互联区和ECC管理区。交换核心区连接各 个局域网分区,作分区间互访核心。 图1 数据中心逻辑架构图 4.4.2数据中心网络物理架构 根据实际业务情况,灵活部署网络架构,数据中心可按需划分不同区域。各区域的物理架构应包含 以下物理架构元素,若存在功能使用需求,建设时可采用比此要求更安全、更健壮、更解
20、耦的方式实现。 JR/T 02242021 6 图2 数据中心物理架构示意图 4.4.3交换核心区 交换核心区是整个数据中心网络互访核心。设备部署方式包括如下三种方式: 虚拟化集群部署 两台设备看成一台逻辑交换机系统,可通过一个 IP 地址进行管理,交换机间可实现负载分担和容 错。 SW 核心 交换 接入 交换 核心 交换 SW SW FW FW SW 互联网接入区 Internet FW R R FW SW SW FW FW SW SW 外 联 业 务 外联业务区 第三方机构 FW R R FW SW 广域网互联区 分支/灾备 FW FW SW SW 开发测试区 核心 交换 核心 交换 接入
21、 交换 Server Server Server 接入 交换 FW FW SW SW 生产业务区 核心 交换 核心 交换 接入 交换 Server Server Server ECC管理区 交换核心区 接入 交换 接入 交换 Ser ver Ser ver Ser ver 生产发布业务区 (DMZ) FW FW 接入 交换 SW SW 接入 交换 Server Server Server FW R IPS IDS DDos R FW IPS IDS DDos SW SW GSLB/ LB GSLB/ LB WAFAP T WAFAP T SW 主要图标含义: SW :交换机 Server :服
22、务器 FW :防火墙 DDos :防Dos攻击 R :路由器 IPS/IDS :入侵检测/入侵防御 GSLB/LB :负载均衡 WAFAPT :WAF防火墙JR/T 02242021 7 图3 交换核心区部署方式一示意图 链路故障会导致虚拟化集群系统分裂,应在核心部署多主检测MAD(Multi-Active Detection)协 议,可实现集群分裂的检测、冲突处理和故障恢复,降低集群分裂对业务的影响。MAD检测方式可用直 连检测方式,集群成员交换机间通过普通线缆直连的专用链路进行多主检测。 跨设备链路聚合方式部署 不同设备的不同端口组成一个LAG,使得两台设备的控制面相互独立,但是转发面实现
23、负载分担。 图4 交换核心区部署方式二示意图 独立部署 汇聚和核心之间采用等价路由的方式实现负载负担。 SW SW Active Master 虚拟化集群 Standby Master 主要图标含义: SW :交换机 SW SW SW Peer link 跨设备链路聚合 主要图标含义: SW :交换机 SW SW SW SW 主要图标含义: SW :交换机JR/T 02242021 8 图5 交换核心区部署方式三示意图 4.4.4生产业务区 生产业务区用于部署生产交易相关的业务系统,区域可部署为较为成熟的网络三层架构,如下图: 图6 生产业务区网络架构图 包含核心-汇聚-接入三层架构,核心层和
24、汇聚层可采用虚拟化集群架构或者跨设备链路聚合方式, 并根据实际业务情况设置收敛比,接入设备可采用ToR/EoR两种部署方式: ToR:适用于高密服务器部署场景,布线简化,线缆维护简单,扩展性好,但接入设备多,管理运 维相对复杂。 EoR/MoR:适用于低密服务器场景,布线相对复杂,线缆维护相对复杂,但接入设备少,管理运维 简单。 路由选择方面,为实现不同功能区域VLAN之间的互访及必要安全控制,核心设备和汇聚设备采用三 层设计。二层网络设计时需配置必要的预防措施抑制广播风暴和网络环路。 生产业务区可根据应用系统的等级需求进行多个业务区域的拆分, 业务区域内部署方式可根据实际 需求进行选择。对于
25、有资源弹性需求的区域,可选用SDN等网络技术。 防火墙可根据实际情况采用串行部署方式或旁挂部署方式。 4.4.5开发测试区 开发测试区是数据中心用于承载企业业务研发、生产测试、技术应用测试的需求环境。 开发测试区应与生产业务区域进行隔离。 接入 交换 FW FW SW SW 核心 交换 核心 交换 接入 交换 Server Server Server 核心层 汇聚层 接入层 服务器 存储 存储 存储 主要图标含义: SW :交换机 Server :服务器 FW :防火墙JR/T 02242021 9 开发测试区域可与生产业务区设计保持一致,也可在不影响现生产业务区的所有业务基础上,应用 新技术
26、,协助生产业务区新型业务上线或技术升级转型。 4.4.6外联业务区 图7 外联业务区网络架构图 外联业务区是数据中心对外连接的区域,实现同第三方单位的业务互通。 该区属于非可信网络区,不应直接与内部生产业务区域连接。访问权限应限制在本区域内部,内网 访问应严格控制。可根据实际业务的需要,选择是否部署DMZ区。 外联业务区应部署相应的安全设备,例如:VPN 设备、防火墙、入侵检测/防御、DDoS 设备等,且 应冗余部署。网络安全设备可部署为负载分担的模式或主备的模式,防火墙设备宜采用串行部署方式。 4.4.7互联网业务区 FW R FW R FW FW SW SW 外联业务 第三方机构 SW S
27、W IPS IDS IPS IDS ISP1 ISP2 外联网 接口 VPN VPN Server Server Server Server Server Server 内网区 主要图标含义: SW :交换机 Server :服务器 FW :防火墙 R :路由器 IPS/IDS :入侵检测/入侵防御 VPN :虚拟专用网络JR/T 02242021 10 图8 互联网业务区网络架构图 互联网业务区用于部署对外门户网站等需要互联网直接访问的系统。 互联网业务区应部署DMZ区域,需要对互联网提供的对外业务,部署在DMZ区。 为了保证互联网业务区的安全,应部署高安全性、高可靠性,更高级别的安全设备,
28、例如:高级别 防火墙、高级别入侵检测/防御、高级别DDoS设备、VPN设备、WAF、APT防护等。所有设备应冗余部署, 相关安全设备可采用串行部署方式或旁挂部署方式,负载模式可采用主备方式或负载分担方式。 数据中心多ISP接入互联网时,可采用负载均衡设备(LB)实现出入流量的负载均衡。 4.4.8广域网互联区 FW R IPS IDS DDos R FW IPS IDS DDos SW SW FW FW SW SW 互联网 接口 Internet 接入 交换 接入 交换 Ser ver Ser ver Ser ver 生产发布业务区 (DMZ) ISP1 ISP2 SW SW GSLB/ LB
29、 GSLB/ LB WAF APT WAF APT 主要图标含义: SW :交换机 Server :服务器 FW :防火墙 :路由器 IPS/IDS :入侵检测/入侵防御 GSLB/LB :负载均衡 WAFAPT :WAF防火墙 RJR/T 02242021 11 图9 广域网互联区网络架构图 广域网互联区是多数据中心互联时、数据中心与分支机构互联时的互联区域。 在广域网互联区的网络中,根据业务需要,选择广域链路的部署方式和类型。多数据中心互联时, 应采用线路冗余部署、路由及设备的冗余备份;对于多分支机构互联,应采用多出口线路备份,并在出 口根据需要采用路由备份、负载均衡;对于分支机构的接入方
30、式,根据业务需要选择不同的接入方式, 例如:专网方式、MPLS VPN方式、公网方式等。 在数据中心的网络边界可部署安全设备, 分支机构可根据各自规模和重要性在各区域边界部署安全 设备。 可在广域链路边界部署QoS,以保证业务的服务质量。 4.4.9ECC管理区 FW R R FW SW SW 灾备 核心 交换 核心 交换 FW R R FW SW SW 业务1 业务2 R FW SW 电脑 Wifi 分支1 分支2 R R SW SW 核心 交换 核心 交换 数据 中心 SDH/MSTP/MPLS SW SW SW 主要图标含义: SW :交换机 FW :防火墙 R :路由器JR/T 022
31、42021 12 图10 ECC管理区网络架构图 ECC管理区是数据中心独立的设备、策略、监控管理运维区域。根据数据中心网络规模和要求不同, 可选择带外管理或带内管理。 如果选择带外管理,ECC管理区应采用独立的网络设备,可采用两层网络结构(核心-接入) ,利于 扩展。数据中心网络设备使用带外网口,运行网管协议(SNMP)实现网络管理、数据收集和实时监控功 能。可通过堡垒机或KVM实现管理员的系统赋权和远程管理。 ECC管理区应部署防火墙对访问该区域的流量进行管控,防火墙设备可根据实际情况,采用串行部 署方式或旁挂部署方式。 4.4.10数据中心内网络带宽 数据中心中的流量模型多为“东西流量”
32、 ,业务流量密集,数据中心内网络带宽应为未来业务扩展 做好预留,网络带宽应具备平滑演进扩展的能力。例如:支持 10G、40G、100G 带宽,以致未来更大带 宽的平滑升级。 4.5多数据中心互联结构 4.5.1多数据中心的必要性 根据实际业务的特点和需要,保险公司可选择由单数据中心、同城/异地灾备数据中心模式逐渐向 两地三中心、多中心的模式过渡。 业务可根据对灾备和网络的传输需求,选择在不同数据中心进行部署。对网络延迟敏感、网络带宽 要求较大的业务,可采用同城数据中心模式实现业务多活和分布式部署,同时异地灾备数据中心满足业 务的异地灾备需求。 4.5.2多数据中心的建设方式 a) 同城数据中心
33、建设 同城数据中心可选择在同城200km(运营商提供光纤的距离)范围内建立,一般采用专线或者光传 输设备互联,支持业务的双活和数据的实时复制。 FW FW SW SW 接入 交换 接入 交换 接入 交换 接入 交换 接入 交换 接入 交换 KVM Server KVM Server 带外管 理设备 带外管 理设备 带外管 理设备 网管 网管 堡垒机 KVM 主要图标含义: SW :交换机 KVM Server :服务器 FW :防火墙JR/T 02242021 13 b) 异地数据中心建设 异地数据中心建设考虑到不可抗拒的自然灾害(如地震)对地区城市的毁灭性破坏,可在另外一个 距离大于400k
34、m的城市建立灾备中心,用于生产中心的备份。在灾难发生时,可满足信息系统的最低灾 难恢复能力等级要求。 c) 多数据中心网络架构 多数据中心网络架构示意图如下: 图11 多数据中心网络架构示意图 4.5.3多数据中心的互联方式 a) 同城数据中心互联方式 同城数据中心间互联可采用裸光纤,构建OTN网络,实现数据中心间的二三层互通。裸光纤部署简 单,互联链路带宽大,通信时延小,在扩展性和可靠性方面较优,适用于需要业务质量要求高,多个数 据中心业务双活的应用场景。 同城数据中心间互联也可根据实际业务需求,向运营商租用专线,进行专线互联。 b) 异地数据中心互联方式 异地数据中心之间可通过自建或租用网
35、络方式进行。IP/MPLS骨干网进行互联,也可通过租用运营 商VPLS服务实现。自建网络需要企业进行网络建设和运维,而租用运营商的VPLS服务,运营商可为企 业提供接入端口和互联,以及运维服务。 异地数据中心间互联也可根据实际业务需求,如对网络时延和带宽等性能要求较高,可选择裸光纤 互联。 4.6数据中心网络安全建设 4.6.1数据中心的安全风险 数据中心由于采用集中式数据管理,数据量大且重要,容易成为攻击目标,采用单一的安全防范技 术很难行之有效,需要对数据中心进行多层次的安全防护,不同的分区建设应有针对性的防护措施。 FW R R FW SW SW 核心 交换 核心 交换 主数据中心 FW
36、 R R FW SW SW 核心 交换 核心 交换 同城数据中心 FW R R FW SW SW 核心 交换 核心 交换 异地数据中心 WAN WAN 主要图标含义: SW :交换机 FW :防火墙 R :路由器JR/T 02242021 14 数据中心的安全威胁来自于网络的各个层面, 需要针对各层安全威胁的特点做出一系列的应对措施, 包含内容深度防御、 二到七层的全方位防范、 访问控制、 协议栈的安全防范以及二到四层的攻击防范等。 数据中心网络虚拟化后由于多主机、多安全设备和云业务的动态变化,管理符合用户业务要求的安 全策略非常困难,手工配置几乎不可接受,传统的云安全策略管理机制在云中几乎不
37、可实施。安全架构 能够满足云计算业务中多租户、资源灵活性、无边界计算、全流量防护、安全业务随行等要求。 4.6.2数据中心安全设计原则 a) 技术安全要求:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心, 云计算安全扩展要求。 b) 管理安全要求:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。 4.6.3数据中心安全部署 针对数据中心各个分区的安全威胁,根据实际业务特点制定不同的部署方式。 生产业务区:主要风险为非法业务访问、黑客攻击行为、病毒传播;风险等级中高;可部署防火墙、 入侵防御/检测设备、AntiVirus网关;解决业务非法访问、黑客入侵
38、攻击、网络层查杀病毒问题。 外联业务区:主要风险为非法业务访问、VPN安全接入;风险等级中;可部署双层防火墙;解决业 务非法访问、合作伙伴的VPN安全接入问题。 互联网业务区:主要风险为DDoS流量攻击、非法业务访问、NATVPN安全接入;风险等级高;可部 署双层防火墙、Anti-DDoS、SSL VPN设备;解决DDoS攻击、业务非法访问、远程用户安全接入问题。 广域网互联区:主要风险为非法业务访问;风险等级中低;可部署防火墙;避免分支接入非法访问。 ECC管理区:主要风险为非法业务访问、缺乏安全事件管理、缺乏安全设备管理、缺乏运维安全审 计;风险等级较高;可部署防火墙、iSoC 系统、安全
39、设备管理系统、堡垒主机;解决业务非法访问, 安全事件关联、安全设备管理与运维审计问题。 网络虚拟化区:主要风险为僵化的安全资源不适应云业务的弹性要求和动态变化;固定的安全功能 不满足租户多变的安全要求;无法实现边界及网内的全流量防护。实现安全服务化,提供“安全资源池” 功能,在控制层面统一进行安全资源调度,按需组合安全功能,实现安全自适应能力。保证安全可以满 足云计算业务所需的资源按需分配、弹性扩展、安全策略自适应业务变化。部署云网络基础设施的智能 防御体系,实现“检测+防御+联动闭环”的智能及时响应,解决安全自动化运维等要求。 4.7新型数据中心网络建设规范 4.7.1新型数据中心网络架构设计 通过多年发展,网络虚拟化已经成为提供云数据中心的实质基础环境。其框架是对基础网络不进行 大规模修改的条件下,实现应用在网络上的承载,并能与其它网络业务分离,从更靠近应用的边缘来提 供网络虚拟化服务。 按照使用较为广泛的Openstack架构,网络虚拟化的实现层次如下: JR/T 02242021 15 图12 新型数据中心网络虚拟化实现层次示意图 a) 业务呈现/协同层 1) 云管理平台:提供Portal、业务编排。 2) 云资源管理平台:提供计算、存储、网络的编排与调度。 b) 网络控制层 1) 网络控制平台:即SDN控制器,完成网络建模和网络实例化。 2) 北向支持开放API接口