数据中心解决方案多业务板卡最佳实践技术白皮书nxpowerlite

1、Catalog 目 录1技术应用背景51.11.2前言5数据中心面对的安全. 5. 5. 7. .21.2.3面向应用层的面向网络层的对网络基础设施的2技术特色82.12.23安全层次化9安全. 10说明11技术11防御(IPS)技术..4SSL技术16应用优化技术194典型组网方案214.1数据中心FW+LB板卡最佳实践组网..44.1.5组网图21部署要点22组点及应用场景22流量路径23HA设计244.2数据中心FW+SSL板卡最佳实践组网1..44.2.5

2、组网图25部署要点25组点及应用场景26流量路径26HA设计274.3数据中心FW+SSL最佳实践组网22..44.3.5组网图28部署要点28组点及应用场景29流量路径29HA设计314.4数据中心FW+IPS最佳实践组网13..44.4.5组网图32部署要点32组点及应用场景32流量路径33HA设计344.5数据中心FW+IPS最佳实践组网23..44.5.5组网图35部署要点35组点及应用场景35流量路径36HA设计375综述38Figure List 图目录图1 应用协议. 6图

3、2 19952005 CERT/CC统计发现的. 7图3 数据中心层次化安全保护9图4 数据中心安全设计10图5图6安全区域管理12板卡13图7 MAC算法示意图17图8 SSL协议栈17图9 数据中心FW+LB板卡最佳实践组网22图10 数据中心FW+LB板卡最佳实践流量路径23图11 数据中心FW+LB板卡HA最佳实践24图12 数据中心FW+SSL图13 数据中心FW+SSL图14 数据中心FW+SSL图15 数据中心FW+SSL图16 数据中心FW+SSL图17 数据中心FW+SSL板卡最佳实践组网125板卡最佳实践1流量路径26板卡HA最佳实践127最佳实践组网228最佳实践2流量路

4、径30板卡HA最佳实践231图18 数据中心FW+IPS最佳实践组网132图19 数据中心FW+IPS最佳实践1流量路径33图20 数据中心FW+IPS板卡HA最佳实践134图21 数据中心FW+IPS最佳实践组网235图22 数据中心FW+IPS最佳实践2流量路径36图23 数据中心FW+IPS板卡HA最佳实践237数据中心解决方案多业务板卡最佳实践技术白皮书：数据中心、业务板卡、安全摘要：本文描述了数据中心的层次化安全防护体系中，、负载均衡、SSL和IPS等多块业务板卡组合的最佳实践组网方案及其使用特点。1技术应用背景1.1前言数据集中是管理集约化、精细化的必然要求，是企业优化业务流程、管

5、理流程的的必要手段。目前，数据集中已经成为国内电子政务、企业信息化建设的发展趋势。数据中心的建设已成为数据大集中趋势下的必然要求。做为网络中最频繁、资源最密集的地方，数据中心无疑是个充满着巨大的的数字城堡，任何防护上的疏漏必将会导致不可估量的损失，因此构筑一道安全地防御体系将是这座数字城堡首先面对。1.2数据中心面对的安全随着 ernet应用日益深化，数据中心运行环境正从传统客户机/服务器向网络连接的服务器，受其影响，基础设施框架下多层应用程序与硬件、网络、操作系统的关系变得愈加复杂。这种复杂性也为数据中心的安全体系引入许多不确定，一些未实施正确安全策略的数据中心，和蠕虫将顺势而入。尽管大多数

6、系统管理员已经认识到来自网络的行为对数据中心造成的严重损害，而且许多数据中心已经部署了依靠控制防御来获得安全性的设备，但对于日趋成熟和的各类，这些传统的防御措施仍然显现的力不从心。以下是当前数据中心面对的一些主要安全。1.2.1 面向应用层的常见的应用包括蠕虫、缓冲溢出代码、后门木马等，最典型的应用莫过于“蠕虫”。蠕虫是指通过计算机网络进行自我的程序，泛滥时可以导致网络阻塞和瘫痪。从本质上讲，蠕虫和工干预（如各种外部的最大的区别在于蠕虫是通过网络进行主动的，而需要人介质的读写）。蠕虫有多种形式，包括系统型蠕虫、邮件型蠕虫、共享型蠕虫、寄生型蠕虫和混和型蠕虫。其中最常见，变种最多的蠕虫是邮件型蠕

7、虫，它是通过进行的，著名的例子包括求职信、网络天空NetSky、雏鹰 BBeagle等，2005年11月爆发的Sober蠕虫，是一个非常典型的邮件型蠕虫。而最快，范围最广、危害最大是系统型蠕虫，例如利用TCP 445端口进行。的windows PnP服务到2006年第一季度还在肆虐它的图1 应用协议应用的共同特点是利用了系统在设计上的缺陷，并且他们的都基于现有的业务端口，因此应用可以毫不费力的躲过那些传统的或者具有少许深度检测功能的。国际计算机安全ICSA的结果显示，2005年范围提高了39%，重度被的应用层(ISO 7层)者提高了18%，造成的经济损失提高了31%，尤为引人注意的是，跨高了2

8、78%，即使在2004年，这一数字也高达249%。提摆在面前的大量表明，针对系统缺陷的应用已成为数据中心的主要威胁。造成应用的根本原因在于开发编写程序时没有充分考虑异常情况的处理过程，当系统处理处理某些特定输入时引起内存溢出或流程异常，因此形成了系统。利用系统可以获得对系统非资源的。来自CERT（计算机紧急事件相应组），从1995年开到2004年已有超过12，000个如此迅猛，如下图所示：被，而且自1999年以来，每年的数量都翻翻，增长图2 19952005 CERT/CC统计发现的，对数据中心意味着什么？系统安全小组必须及时采取行动获得补丁程序、如此多的测试、最后将其部署在服务器上，为什么不

9、直接给服务器打补丁呢？因为不能保证补丁对应用系统没有影响，为了以防万一，必须对补丁程序进试和验证，然后才允许将其投入生产系统。从补丁程序获得、测试和验证，再到最终的部署，完成这一系列任务需要多长时间？是，可能需要几个小时到几天，而在此期间可能已经发生，损失已无法挽回。这也就是所谓的“零时差”。如下表所示，从系统以小时计算。被发现到产生针对性应用的时间已从以年计算降至以天，表1 系统与应用爆发速度关系试想一下，这是一个何等的情况，数据中心庞大的服务器群还未来得及做出任何反应即遭到发动的“闪击战”，大量敏感数据用、网络险入瘫痪 |。因此，数据中心的另一个严峻问题是如何应对由应用造成的“零时差”效应

10、。1.2.2 面向网络层的除了由于系统造成的应用外，数据中心还要面对服务（DoS）和分布式服务（DDoS）的。DOS/DDOS是一种传统的网络方式，然而其破坏力却十分强应用系统与应用爆发周期MS05-03924 小时Witty48小时 （2天）Blast1个月 （26天）Slammer6个月 （185天）Nimida11个月 （336天）劲。据2004CSI/FBI的计算机和安全调研分析，DOS和DDOS已成为对企业损害最大的行为，超出其他各种类型两倍。常见的DDOSFlood。已发现的DOS方法有SYN Flood、Established Connection Flood和Connectio

11、n Per Second程序有ICMP Smurf、UDP 反弹，而典型的DDOS程序有Zombie、TFN2K、Trinoo 和 Stacheldraht等。DOS/DDoS大行其道的原因主要是利用了TCP/IP的开放性原则，从任意源地址向任意目标地址都可以发送数据包。DOS/DDOS利用看似合理的海量服务请求来耗尽网络和系统的资源，从而使合法用户无法得到服务的响应。早期的DOS由单机发起，在目标的CPU速度不高、内存有限、网络带宽窄的情况下效果是明显的。随着网络和系统性能的大幅提高，CPU的主频已达数G，服务器的内存通常在2G以上，此络的吞吐能力已达万兆，单机发起的DoS好比孤狼斗猛虎，没

12、。狼的习性是群居，一只固然势单力薄，但如果群起而攻之，恐怕猛虎也难抵挡，这就是分布式服务的原理。用一台机来攻击不再起作用的话，者使用10台机、100台呢共同发起呢？DDoS就是利用大量的傀儡机来发起，积少成多超过网络和系统的能力的极限，最终击溃高性能的网络和系统。数据中心绝不允许DOS/DDOS报文肆虐于网络之中，因此如何实施边界安全策略，如何“拒敌于国门之外”将是数据中心的又一个。1.2.3 对网络基础设施的数据中心象一座拥有巨大的城堡，然而坚固的堡垒最容易从被攻破，来自数据中心的也更具破坏性。隐藏在企业的不仅可以通过应用技术绕过，对数据中心的网络造成损害，还可以凭借其网络构架的充分了解，通

13、过、网络系统、路由器/交换机设备等，非资源，这些行将对企业造成更大的损失。“木桶的装水量取决于最短的木板”，涉及内网安全防护的产品非常多，从接入层设备到汇聚层设备再到层设备，从服务器到交换机到路由器、，几乎每台网络设备都将参与到系统安全的建设中，任何部署点安全策略的疏漏都将成为整个安全体系的短木板。“木桶的装水量还取决于木板间的紧密程度”，一个网络的安全不仅依赖于单个产品的安全特性，也依赖于各安全之间的紧密协作。一个融合不同工作模式的安全产品的无缝安全体系必须可以进行全面、集中的安全与。因此，数据中心的安全防护体系不能仅依靠单独的某个安全产品，还要依托整个网络中各的安全特性。2技术特色数据中心

14、的安全部署方式是层次化、的。层次化指的是从终端用户到数据中心的端到端的过程中，安全防护是分为多个层次的，形成一个纵深的防御阵地，使安全保护无处不在。具体包括：端点准入安全管理服务反防御应用优化是在层次化的基础上形成的。由于数据中心安全防护分为多个层次，所以数据中心数量很多，同时为了保证数据中心的高可用性，所有的必须成对部署，实现冗余设备。进一步增加了的数量。但是，数量的增加，加了数据中心管理的难度。同时，由于盒式电源等的不稳定性，降低了整个数据中心的高可用性。为了解决这两个问题，安全设备应运而生了。所谓安全，即是指将模块化，设计成一块交换机的插卡形式，然后将安全模块集成在框式交换机中，将多层次

15、的安全模块与交换机形成设备。2.1安全层次化图3 数据中心层次化安全保护向外延伸有8个层次的安全保护。用一个形象的比喻来说明数以数据中心服务器资源为据的三重保护。数据中心就像一个欣欣向荣的国家，来往的商客就像数据中心的报文；防火墙是驻守在国境线上的，一方面担负着守卫防御外族（DDOS）的重任，另一方面负责检查来往商客的（控制）；IPS是国家的，随时准备捉拿虽然拥有合份，但仍在从事违法乱纪活动的商客（蠕虫），以社会秩序。安全层次化为数据中心网络提供了从链路层到应用层的多层防御体系。数据中心网络边界安全定位在传输层与网络层的安全上，通过状态可以把安全信任网络和非安全网络进行，并提供对DDOS和多种

16、畸形报文的防御。IPS可以针对应用流量做深度分析与检测能力，同时配合以精心研究的特征知识库和用户规则，即可以有效检测并实时阻断隐藏在海量网络流量中的、与行为，也可以对分布在网络中的各种流量进行有效管理，从而达到对网络应用层的保护。2.2安全图4 数据中心安全设计H3C拥有、防御系统、应用控制网关、负载均衡、SSL、NetStream以及异常流量等七种SecBlade业务模块，是全球唯一拥有全系列应用安全和应用优化业务模块的厂商。这些业务模块可以安装在H3C S7500E/S9500系列交换机以及SR6600/SR8800系列路由器中，为用户提供融合多业务的解决方案。对于已经部署了H3C网络设备

17、的用户，可以通过扩容的方式在网络设备上增加这些新的业务模块。在新部署的网络中，可以直接将这些应用安全和应用优化业务模块添加到传统网络应用中去。通过H3C网络产品与这些创新功能的结合，H3C网络设备已经不仅仅是一个高性能的路由转发，而是一个智能应用网络，可以为客户提供更丰富，更安全和性能更优化的网络应用体验。SecBlade系列模块具有以下突出优势：1. 即插即用：各种SecBlade系列模块均支持热插拔，安装灵活，能够在业务不中断的情况下快速实现网络设备的安全特性。2. 扩展性强：一台网络设备中可以同时部署多块插卡，扩容方便，实现安全性能的平滑升级。3. 集强：一台设备中能同时部署SecBla

18、deFW、SecBladeIPS、SecBladeLB等不同功能的安全插卡。不但同时具备多种安全特性，而且大大简化了网络及的组网和管理难度。端口密度大：对于部署在网络设备中的安全业务模块，网络设备的所有端口均能用作SecBlade插卡的端口，这样就大大扩展了SecBlade插卡的接口数。避免单点故障：网络流量根据需要牵引到SecBlade上，在SecBlade故障时，流量可以不继续牵引，有效的避免了单点故障，确保业务不会中断。6. 接口种类丰富：除了局域网接口，广域网口例如口的流量也可以牵引到SecBlade模块上，而独立只能支持有限的局域网接口。7.理，简化了管理：可以通过网络设备对SecB

19、lade插卡（一种或多种安全插卡）进行管的管理难度，而独立安装设备需要单独的管理。通过在H3C网络设备中部署上述的各种应用安全和应用优化模块，能够为客户提供安全接入、边界防护、内网控制、数据中心保护、行为以及网络流量管理等安全解决方案，满足客户对于和应用最严格的要求。3说明数据中心的安全是多层次、的设计。相关的安全技术万象，本文介绍的重点是板卡物理形态的及相关技术，包括：、IPS、SSL和应用优化这4个层次之间的部署方案。因此，本节将重点介绍与此相关的安全技术。3.1.1技术的一项主要功能是实现网络，通过可以把安全信任网络和非安全网络进行。H3C SecPath系列以其高效可靠的防，和灵活多变

20、的安全区域配置策略担负起是守护数据中心边界安全的的重任。1. 状态实现网络的基本技术是IP滤，ACL是一种简单可靠的技术，应用在路由器或交换机上可实现最基本的IP滤，但单纯的ACL滤缺乏一定的灵活性。对于类似于应用FTP协议进行通信的多通道协议来说，配置ACL则是的。FTP包含一个预知端口的TCP控制通道和一个动态协商的TCP数据通道，对于一般的ACL来说，配置安全策略时无法预知数据通道的端，因此无法确定数据通道的。ASPF（Application Specific Packet Filter）是针对应用层的滤，即基于状态的报文过滤。协同工作，以便于实施网络的安全策略。ASPF能够检测试图通过

21、防火它和普通的静态墙的应用层协议会话信息，不符合规则的数据报文穿过。为保护，基于ACL规则的。ASPF能够检测应用层协议的信息，并滤可以在网络层和传输层检测数据包，防止对应用的流量进行。2.安全区域管理边界安全的一项主要功能是网络，并且这种网络技术不是简单的依靠网络接口来划分的，因为网络的实际拓扑是千差万别的，使用固定接口来进行网络不能适应网络的实际要求。SecPath提供了基于安全区域的模型，每个安全区域可以按照网络的实际组网加入任意的接口，因此SecPath的安全管理模型是不会受到网络拓扑的影响。一般都提供受信安全区域（trust）、非受信安全区域（untrust）、非军事化业界很多区域（

22、DMZ）三个独立的安全区域，这样的保护模型可以适应大部分的组网要求，但是在一些安全策略要求较高的场合，这样的保护模型还是不能满足要求。SecPath默认提供四个安全区域：trust、untrust、DMZ、local，在提供三个最常用的安全逻辑区域的基础上还新增加了本地逻辑安全区域，本地安全区域可以定义到本身的报文，保证了本身的安全防护，使得对本身的安全保护得到加强。例如，通过对本地本身的net、ftp等。SecPath安全区域的报文控制，可以很容易的防止不安全区域对还提供自定义安全区域，可以最大定义16个安全区域，每个安全区域都可以加入独立的接口。SecPath系列支持根据不同的安全区域之间

23、的设计不同的安全策略组，每条安全策略组支持若干个独立的规则。这样的规则体系使得的策略十分容易管理，方面用户对各种逻辑安全区域的独立管理。部分还是采用基于接口的安全策略管理机制，如图。图5安全区域管理两个接口：trust接口和DMZ接口共享untrust接口ernet，如果在接口上使用安全策略进行控制，则会导致策略。因为在untrust接口流量中，即有从DMZ和 ernet之间的流量，也有从trust和 ernet之间的流量。这样的策略控制模型不适合用户进行策略配置。而基于安全区域的策略控制模型，可以清晰的分别定义从trust到untrust、从DMZ到untrust之间的各种，这样的策略控制模

24、型使得SecPath的网络功能具有很好的管理能力。3.1）板卡的技术特点部署特点H3C SecBlade FW是业内第一款万兆高性能机以及SR6600/SR8800路由器。SecBlade FW集成模块，可应用于H3C S7500E/S9500交换、内容过滤和NAT地址转换等功能，了网络设备的安全业务能力，为用户提供全面的安全防护。H3C SecBlade FW能提供外部防范、内网安全、流量、URL过滤、应用层过滤等功能，有效的保证网络的安全。采用H3C ASPF（Application Specific Packet Filter）应用状态检测技术，实时检测应用层连接状态，实现3-7层安全防

25、护。提供邮件告警、日志、流日志和网络管理等功能，协助用户进行网络管理。SecBlade FW模块与基础网络设备融合，具有即插即用、扩展性强的特点，降低了用户管理难度，减少了成本。物理形态。图6板卡2）板卡的技术特点业内性能最高。采用先进的多核硬件结构，提供无以伦比的万兆线速安全防护，是业内处理性能最高的模块，将防护到万兆安全新阶段。全面的安全防护。支持对DoS/DDoS、ARP、TCP报文标志位不合法、超大ICMP报文、地址/端口扫描、ICMP重定向或不可达、Tracert、带路由选项IP报文、Java/ActiveX Blocking和SQL注入和控制网络中的各种P2P应用；支持静态和动态统

26、统计等安全功能。等的防范；可以有效的识别、MAC绑定、安全区域控制、系丰富的特性。集成IPSec、L2TP、GRE等多种成熟接入技术，保证移动用户、合作伙伴和分支机构安全、便捷的接入。全面NAT应用支持。提供多对一、多对多、静态网段、双向转换、Easy IP和DNS等多种NAT应用方式。提供DNS、FTP、H.323、NBT等NAT ALG功能，支持多种应用协议正确穿越NAT。先进的虚拟。支持先进的虚拟技术，通过在同一台物理设备上划分多个逻辑的实例来实现对用户多个业务独立安全策略部署的需求。当用户业务划分发生变化或者产生新的业务部门时，可以通过添加或者减少实例的方式十分灵活的解决后续网络扩展问

27、题，简化了网络管理的复杂度。降低运营成本。直接在H3C网络设备中增加SecBlade FW模块，即可扩展网络设备的防火墙功能。通过与网络设备共用管理，降低了管理难度。并且网络设备的任何端口都可以作为SecBlade FW模块的端口使用，从而降低用户成本。高可靠性。SecBlade FW业务模块作为业务插卡嵌入H3C网络设备中，降低了单点故障，保证了网络的高可靠性。3.1.2防御(IPS)技术1. DOS/DDOS防御Dos（Deny of service）是一类方式的统称（DDos也是Dos的一种），其的基本原理就是通过发送各种报文导致网络的阻塞、服务的瘫痪。Dos方式其利用IP无连接的特点，

28、可以制造各种不同的，而且方式非常简单。泛洪。泛洪是指，者在短时间内向目标系统发送大量的虚假请求，导致目标系统疲于应付无用信息，而无法为合法用户提供正常服务，即发生服务。设备支持对以下三种泛洪进行有效防范：1)SYN Flood由于资源的限制，TCP/IP协议栈只能允许有限个TCP连接。SYN Flood者向服务器发送源地址的SYN报文，服务器在回应SYN ACK报文后，由于目的地址是的，因此服务器不会收到相应的ACK报文，从而在服务器上产生一个半连接。若者发送大量这样的报文，被攻击主机上会出现大量的半连接，耗尽其系统资源，使正常的用户无法2) ICMP Flood，直到半连接超时。ICMP F

29、lood是指，者在短时间内向特定目标发送大量的ICMP请求报文（例如报文），使其忙于回复这些请求，致使目标系统负担过重而不能处理正常的业务。3.)UDP FloodUDP Flood是指，者在短时间内向特定目标发送大量的UDP报文，致使目标系统负担过重而不能处理正常的业务。功能是根据报文的源IP地址进行报文过滤的一种功能。防范特性。同基于ACL（Acs Control List，控制列表）的滤功能相比，进行报文匹配的方式更为简单，可以实现报文的高速过滤，从而有效地将特定IP地址发送来的报文掉。最主要的一个特色是可以由设备动态地进行添加或删除，这种动态添加是与扫描防范功能配合实现的。具体实现是，

30、当设备根据报文的行为特征检测到某特定IP地址的扫描企图之后，便将者的IP地址自动加入，之后该IP地址发送的报文会被设备滤掉过。该方式生成的表项会在一定的时间之后老化。除上面所说的动态方式之外，设备还支持手动方式添加或删除。手动配置的表项分为表项和非表项。黑名单表项建立后，一直存在，除非用户手工删除该表项。非表项的老化时间由用户指定，超出老化时间后，设备会自动将该表项删除，表项对应的IP地址发送的报文即可正常通过。一个优秀的Dos防御体系，应该具有如下最基本的特征：防御的健全和丰富。因为Dos种类比较多，因此必须具有丰富的防御，才可以保证真正的抵御Dos优秀的处理性能。因为Dos。伴随这一个重要

31、特征就是网络流量突然增大，如果IPS本身不具有优秀的处理能力，在处理Dos的同时本身就成为了网络的瓶颈，根本就不可能抵御Dos。因为Dos的一个重要目的就是使得网络瘫痪，网络上的关键设备点发生了阻塞，则Dos的目的就达到了。在进行Dos防御的过程中，设备的每秒新建能力就成为保证网络通畅的一个重要指标，Dos源地址因此所有的连接都是新建连接。的过程中，者都是在随化准确的识别能力。很多IPS在处理Dos的时候，仅仅能保证IPS后端的流量趋于网络可以接受的范围，但是不能保证准确的识别报文。这样处理虽然可以保证网络流量的正常，可以保证服务器不会瘫痪，但是这样处理还是会阻挡正常用户上网、等的报文，因此虽

32、然网络层面是正常的，但是真正的服务还是被了，因此还是不能达到真正的Dos防御的目的。2.IPS板卡的技术特点1）部署特点H3C SecBlade IPS（ ruPrevention System）是一款高性能防御模块，可应用于H3CS7500E和S9500系列交换机，集成防御/检测、过滤和带宽管理等功能，是业界综合防护技术最领先的防御/检测系统。通过深达7层的分析与检测，实时阻断网络流量中隐藏的、蠕虫、木马、网页篡改等和行为，并实现对网络基础设施、网络应用和性能的全面保护。SecBlade IPS模块与基础网络设备融合，具有即插即用、扩展性强的特点，降低了用户管理难度，减少了成本。2）IPS板

33、卡的技术特点强大的抵御能力。SecBlade IPS是业界唯一集成库、专业库、应用协议库的IPS模块。配合H3C（Full Inspection with Rigorous Se Test）专有引擎技术，能精确识别并实时防范各种网络和行为。专业的查杀。SecBlade IPS集成卡巴斯基防引擎和库。采用第二代启发式代码分析、iChecker实时和独特的等多种最尖端的反技术，能实时查杀各种文件型、网络型和混合型；并采用新一代虚拟脱壳和行为判断技术，准确查杀各种变种、未知。零时差的应用保护。H3C专业安全团队密切全球知名安全组织和厂商发布的安全公告，通过准确的分析，快速生成保护操作系统、应用系统以

34、及数据库的特征库；同时，通过部署于全球的蜜罐系统，实时掌握的技术和趋势，以定期（每周）和紧急（当安全被发现）两种方式发布，并自动或手动地分发到SecBlade IPS模块中，使用户的SecBlade IPS模块快速具备防御零时差的能力。网络基础设施保护。SecBlade IPS具有强大的防护和流量模型习能力，当发生、或者短时间内大规模爆发的导致网络流量激增时，能自动发现并阻断和异常流量，以保护路由器、交换机、VoIP系统、DNS服务器等网络基础设施免遭各种，保证关键业务的通畅。或IDS旁路方式部署；融合了丰富的网灵活的组网模式。透明模式，即插即用，支持络特性，可在MPLS、802.1inQ、G

35、RE等各种复杂的网络环境中灵活组网。高性能高可靠性。领先的多核架构及分布式搜索引擎，确保SecBlade IPS在各种大流量、复杂应用的环境下，仍能具备线速深度检测和防护能力，仅有微秒级时延。IPS模块通过嵌入到交换机中，可以有效降低单点故障，即使在SecBlade IPS出现故障时也能保证数据业务的正常转发。除了部署，SecBlade IPS模块还可以采用旁路部署的模式，实现IDS检测的功能。降低运营成本。直接在H3C S7500E或S9500系列交换机中增加SecBlade IPS模块，即可实现交换机应用层安全防护功能的扩展。通过与交换机共用管理，降低了管理难度。并且交换机的任何端口都可以

36、作为IPS端口使用，从而降低用户首次和后续扩容的投入成本。3.1.3SSL技术1. SSL介绍SSL（Secure Sockets Layer，接层）是一个安全协议，为基于TCP的应用层协议提供安全连接，如SSL可以为HTTP协议提供安全连接。SSL协议广泛应用于电子商务、网上域，为网络上数据的传输提供安全性保证。SSL提供的安全连接可以实现：等领连接的私密性：利用对称密钥算法对传输数据进行加密，并利用密钥交换算法RSA（Rivest Shamir and Adleman，非对称密钥算法的一种）加密传输对称密钥算法中使用的密钥。验证：基于利用数字签名方法对服务器和客户端进行验证，其中客户端的验

37、证是可选的。SSL服务器和客户端通过PKI（Public Key Infrastructure，公钥基础设施）提供的机制从CA（Authority，认证机构）获取。连接的可靠性：消息传输过程中使用基于密钥的MAC（Message Authentication Code，）来检验消息的完整性。MAC是将密钥和任意长度的数据转换为固定长度消息数据的一种算法。利用MAC算法验证消息完整性的过程如图1所示。发送者在密钥的参与下，利用MAC算法计算出消息的MAC值，并将其加在消息之后发送给接收者。接收者利用同样的密钥和MAC算法计算出消息的MAC值，并与接收到的MAC值比较。如果二者相同，则报文没有改变

38、；否则，报文在传输过程中被修改，接收者将丢弃该报文。图7 MAC算法示意图SSL协议结构如下图所示，SSL协议本身可以分为两层：底层为SSL协议（SSL recordprotocol）；上层为SSL握手协议（SSL handshake protocol）、SSLcipher spec protocol）和SSL警告协议（SSL alert protocol）。变化协议（SSL change图8 SSL协议栈协议：主要负责对上层的数据进行分块、计算并添加MAC、加密，最后把SSL传输给对方。块SSL握手协议：是SSL协议非常重要的组成部分，用来协商通信过程中使用的加密套件（对称密钥算法、密钥交换

39、算法和MAC算法等）、在服务器和客户端之间安全地交换密钥，实现服务器和客户端的验证。客户端和服务器通过握手协议建立一个会话。会话包含一组参数，主要有会话ID、对方的、加密套件（包括密钥交换算法、数据加密算法和MAC算法）及主密钥。SSL变化协议：客户端和服务器端通过变化协议通知接收方，随后的报文都将使用新协商的加密套件和密钥进行保护和传输。SSL警告协议：用来允许一方向另一方告警信息。消息中包含告警的严重级别和描述。2. SSL板卡的技术特点1）部署特点H3C SecBlade SSL入。用户无需安装客户端模块应用于S7500E/S9500交换机，提供方便、快捷的安全接，直接使用浏览器网络资源

40、，提供了方便、低成本的移动安全接入方式。SecBlade SSL接入；通过细粒度模块采用业界先进的远端安全状态检测技术，能限制不安全终端的权限控制，保证用户对网络资源的安全。SecBlade SSL模块与基础网络设备融合，具有即插即用、扩展性强的特点，降低了用户管理难度，减少了成本。2）技术特点业内性能最高。采用基于多核处理器的先进硬件结构，是业界支持用户数最多的SSL模块。免客户端Web接入。采用B/S架构，客户端无需安装任何，直接使用Web浏览器即可安全、快捷地内网资源。各种配置信息保存在内网SSL服务器上，在工作。用户退出时，SSL服务器进行即可，远端用户不需要任何模块自动删除缓存、s和

41、配置文件等信息，避免敏感资料的泄漏。远端安全状态检测。基于主动状态检测技术，可以实时对接入设备的操作系统、浏览器、防系统进程等进行安全状态评估，杜绝不安全终端的接入，实现对接入风险的防御。丰富的接入认证方式。根据接入安全性、可控制性的差异化需求，提供Web、TCP和IP 等多种不同的接入方式，实现对用户的细粒度控制。的URL、文件目录、服务器等资源，包括本地认证、Radius、LDAP、AD、RSA SecurID支持主流的认证和外部和第PKI认证等，保障对不同用户进行认证的和管理。应用层支持丰富。支持主流C/S应用系统，在构建的SSL Exchange、FTP、Outlook、VNC等各种应

42、用。直观易用管理界面。具有丰富的Web使用界面，全部操作在浏览器页面内即可完成，通道中，可以安全使用如并且为用户提供可以设置 的Logo和页面标题，实现界面的个性化。降低运营成本。直接在H3C交换机中增加SecBlade SSL模块，即可实现交换机在SSL用户接入和管理方面功能的扩展。通过与交换机共用管理，降低了管理难度。并且交换机的任何端口都可以作为SecBlade SSL首次和后续扩容的投入成本。端口使用，从而降低用户高可靠性。SecBlade SSL业务模块作为业务线卡嵌入H3C交换机中，降低了单点故障，保证了网络的高可靠性。3.1.4 应用优化技术1. 服务器负载分担负载均衡（Load

43、 Balance）建立在现有网络结构之上，它提供了一种廉价、有效、透明的方法，来扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。负载均衡有两方面的含义：首先，大量的并发或数据流量分担到多台节点设备上分别处理，减少用户等待响应的时间；其次，单个重负载的运算分担到多台节点设备上做并行处理，每个节点设备处理结束后，将结果汇总，返回给用户，系统处理能力得到大幅度提高。负载均衡技术分类目前有许多不同的负载均衡技术用以满足不同的应用需求，如软/硬件负载均衡、本地/全局负载均衡、更高网络层负载均衡，以及链路聚合技术。软/硬件负载均衡是指在一台或多台服务器相应的操作系统

44、上，安装一个或多个附加负载均衡解决方案，来实现负载均衡，如DNS负载均衡等。它的优点是基于特定环境、配置简单、使用灵活、成本低廉，可以满足一般的负载均衡需求。硬件负载均衡解决方案，是直接在服务器和外部网络间安装负载均衡设备，这种设备通常称之为负载均衡器。由于专门的设备完成专门的任务，独立于操作系统，整体性能得到大量提高，加上多样化的负载均衡策略，智能化的流量管理，可达到最佳的负载均衡需求。 一般而言，硬件负载均衡在功能、性能上优于方式，不过成本昂贵。本地/全局负载均衡负载均衡从其应用的地理结构上，分为本地负载均衡和全局负载均衡。本地负载均衡是指对本地的服务器群做负载均衡，全局负载均衡是指在不同

45、地理位置、有不同网络结构的服务器群间做负载均衡。本地负载均衡能有效地解决数据流量过大、网络负荷过重，并且不需花费昂贵开支购置性能卓越的服务器，可充分利用现有设备，避免服务器单点故障造成数据流量的损失。有灵活多样的均衡策略，可把数据流量合理地分配给服务器群内的服务器，来共同负担。即使是再给现有服务器扩充升级，也只是简单地增加一个新的服务器到服务群中，而不需改变现有网络结构、停止现有的服务。全局负载均衡，主要用于在一个多区域拥有自己服务器的站点，为了使全球用户只以一个IP地址或就能到离自己最近的服务器，从而获得最快的速度，也可用于子公司分散站点分布广的大公司通过ranet（企业互联网）来达到资源合

46、理分配的目的。更高网络层负载均衡针对网络上负载过重的不同瓶颈所在，从网络的不同层次入手，可以采用相应的负载均衡技术来解决现有问题。 更高网络层负载均衡，通常操作于网络的第四层或第七层。第四层负载均衡将一个 ernet上合法的IP地址，为多个服务器的IP地址，对每次TCP连接请求动态使用其中一个IP地址，达到负载均衡的目的。第七层负载均衡控制应用层服务的内容，流量的控制方式，适合对HTTP服务器群的应用。第七层负载均衡技术通过提供了一种对检查流经的HTTP报头，根据报头内的信息来执行负载均衡任务。网络负载平衡的优点:网络负载平衡允许你将传入的请求到最多达32台的服务器上，即可以使用最多32台服务

47、器共同分担对外的网络请求服务。网络负载平衡技术保证即使是在负载很重的情况下它们也能作出快速响应。网络负载平衡对外只须提供一个IP地址（或）。如果网络负载平衡中的一台或几台服务器不可用时，服务不会中断。网络负载平衡自动检测到服务器不可用时，能够迅速在剩余的服务器中重新指派客户机通讯。此保护措施能够帮助你为关键的业务程序提供不中断的服务。可以根据网络量的增多来增加网络负载平衡服务器的数量。2.应用优化板卡的技术特点1）部署特点H3C SecBlade LB（Load Balance）业务模块是一款高性能负载均衡产品，创新性地实现了应用优化与网络交换设备的完美融合。SecBlade LB通过对服务器

48、、以及数据链路进行健康和性能检测，将各种应用进行动态均衡分发，极大地提高了速度，为企业和运营商网络提供了一个高性能的负载均衡解决方案。SecBlade LB模块与基础网络设备融合，具有即插即用、扩展性强的特点，降低了用户管理难度，减少了成本。2）技术特点。SecBlade LB业务模块采用先进的多核硬件架构，并利用快转技术，做强大的硬件到一次运算多次转发，实现了高性能的负载均衡。在高速处理应用请求的同时，交换机的原有业务处理不会受到任何影响。丰富的负载均衡调度算法。SecBlade LB业务模块支持丰富的负载均衡调度算法，可根据具体的应用场景，采用不同的算法。支持的算法包括：轮询、轮询、最少连

49、接、加权最少连接、随机、随机、源地址和目的地址HASH等算法。以上负载均衡算法适用于4-7层负载均衡、链路负载均衡和全局负载均衡。7层负载均衡还支持特有的HTTP内容、RTSP URL算法。高效的健康检测算法。SecBlade LB业务模块支持丰富的健康检测算法，可从网络层、应用层全方位的探测、检查服务器和的运行状态。在进行健康检测时，采用H3C公司专利NQA（Network Qualityyzer，网络质量分析）技术，确康检测占用最小的系统资源开销，从而保证负载均衡业务的性能。健康检查算法适用于4-7层负载均衡、链路负载均衡、全局负载均衡。4-7层负载均衡。支持丰富的4-7层负载均衡特性。4

50、层负载均衡：基于TCP，UDP的各种业务应用，如HTTP、FTP、POP3、SMTP等业务进行负载均衡。7层负载均衡支持基于HTTP Request-URI、HTTP Host、HTTP User-Agent、HTTP Accept-Language、HTTPAccept-Encoding、HTTP的分析。支持多种持续性保持算法：包括HTTP URL、HTTP Coockie、SSLID，并且支持TCP长连接，确保用户在处理业务时的连续性，提高效率。全局负载均衡。支持高效的全局负载均衡特性。通过各个负载均衡交换机之间的动态协商以及对各个站点服务器健康状态的检测，智能的为每个用户选择最优的站点，

51、大大提高数据传输的效率。链路负载均衡。支持多出口情况下，实现多链路的路由智能选择。保证企业网用ernet。通过对链路状态实时精确的检测，来选择最适合的调度户，选择最优线路算法， 包括轮询、轮询、最小连接、最小连接、随机、随机、源地址HASH、目的地址HASH、源地址端口HASH等，确保数据流量在各条链配。降低运营成本。直接在H3C交换机中增加SecBlade LB模块，即可扩展交换机的负载均衡的均衡分功能。通过与交换机共用管理，降低了管理难度。并且系列交换机的任何端口都可以作为SecBlade LB端口使用，从而降低用户首次和后续扩容的投入成本。高可靠性。SecBlade LB业务模块作为业务

52、线卡嵌入H3C交换机中，降低了单点故障，保证了网络的高可靠性。同时，SecBlade LB业务模块支持VRRP功能。4典型组网方案4.1数据中心FW+LB板卡最佳实践组网4.1.1 组网图图9 数据中心FW+LB板卡最佳实践组网4.1.2部署要点交换机(Switch9500)汇聚交换机(Switch9500/75E)集成业务板卡、汇聚交换机之间配置OSPF协议FW（板卡）作为Server的网关。FW配置静态路由，缺省网关指向汇聚交换机。两个FW之间运行VRRP，保证HA或是负载均衡LB（负载均衡板卡） 单臂旁挂，配置静态路由，缺省网关指向汇聚交换机。两个LB之间运营VRRP，保证HA或是负载均

53、衡接入交换机(S55EI)做二层接入4.1.3组点及应用场景1. 优点：结构简单FW保证服务器之间的安全2. 缺点：LB没有安全保护，容易受到安全冲击3. 适用场景：中型数据中心，服务器数量较多安全要求高，对成本不是很敏感流量很大，并发连接/新建连接数很高可用性要求较高4.1.4流量路径图10 数据中心FW+LB板卡最佳实践流量路径1. C-S方向（紫色流量）1、数据流从交换机经过V1000进入汇聚交换机2、汇聚交换机根据目的(LB的VIP)将数据通过V100转发到LB3、LB作为终结报文。替换源地址()和目的地()之后通过V300返回汇聚交换机，下一跳是汇聚交换机() 4、汇聚交换机继续进行

54、三层转发到FW5、FW转发报文到V400的服务器()2. S-C方向1、服务器返回流量到FW（网关）2、FW转发数据到汇聚交换机(V300)3、汇聚交换机继续进行三层转发4、LB作为聚交换机终结报文。替换源地址()和目的地(客户端地址)之后通过V100返回汇5、汇聚交换机三层转发3. S-S方向（蓝色流量）1、数据流从接入、汇聚交换机二层转发(V500)进入FW2、FW过滤流量并三层转发3、数据流从FW经过汇聚、接入交换机二层转发(V400)到达服务器4.1.5 HA设计图11 数据中心FW+LB板卡HA最佳实践1.部署：与汇聚交换机之间采用OSPF组网。当任一节点整机故障或链路故障时，整网依

55、靠OSPF进行故障收敛。通过调整OSPF的o timer可以控制流量中断时间。两个LB之间运行VRRP，保证HA或是负载均衡。汇聚交换机上将去往服务器的下一跳指向LB的VRRP虚地址，当LB主路径板卡故障时，通过VRRP可以切换到备卡上恢复流量，切换时间可控。两个FW之间运行VRRP，保证HA或是负载均衡。当主路径板卡故障时，通过VRRP可以切换到备卡上恢复流量。切换时间也可控。汇聚交换机之间需要Trunk V100/V400/V500汇聚与接入交换机之间通过MSTP保证链路冗余2.注意事项：为保证HA，使用了VRRP与OSPF等技术。这些协议收敛时间均可通过配置来调整。过短的收敛时间配置会导

56、致网络中的大量协议报文消耗设备与带宽资源，并且会在流量较大或链路振荡时出现流量路径反复切换，从而引起整网振荡甚至风暴。建议此处配置收敛时间尽量考虑，根据实际组网环境多方面权衡。3.限制：LB要做源地址转换，使服务器得不到客户的源地址4.2数据中心FW+SSL板卡最佳实践组网14.2.1组网图图12 数据中心FW+SSL板卡最佳实践组网14.2.2部署要点交换机(Switch9500)汇聚交换机(Switch9500/75E)集成业务板卡、汇聚交换机之间配置OSPF协议FW（板卡）作为Server的网关。FW配置静态路由，缺省网关指向汇聚交换机。两个FW之间运行VRRP，保证HA或是负载均衡SS

57、LSSL（SSL板卡） 单臂旁挂，配置静态路由，缺省网关指向汇聚交换机。两个之间运营VRRP，保证HA或是负载均衡接入交换机(S55EI)做二层接入4.2.3 组点及应用场景1. 优点：结构简单FW保证服务器之间的安全2. 缺点：SSL没有安全保护，容易受到安全冲击3. 适用场景：中小型数据中心安全要求高移动办公用户需要安全接入数据中心并控制权限4.2.4流量路径图13 数据中心FW+SSL板卡最佳实践1流量路径1. C-S方向（紫色流量）1、数据流从交换机经过V100进入汇聚交换机，2、汇聚交换机根据目的地址将数据通过V200转发到SSL3、SSL作为终结报文。替换源地址()和目的地()之后

58、通过V200返回汇聚交换机，下一跳是汇聚交换机() 4、汇聚交换机继续进行三层转发到FW5、FW转发报文到V400的服务器()2. S-C方向1、服务器返回流量到FW（网关）2、FW转发数据到汇聚交换机(V300)3、汇聚交换机继续进行三层转发到SSL4、SSL作为终结报文。替换源地址()和目的地(客户端地址)之后通过V200返回汇聚交换机5、汇聚交换机三层转发(V100)3. S-S方向（蓝色流量）1、数据流从接入、汇聚交换机二层转发(V500)进入FW2、FW过滤流量并三层转发3、数据流从FW经过汇聚、接入交换机二层转发(V400)到达服务器4.2.5 HA设计图14 数据中心FW+SSL

59、板卡HA最佳实践11.部署：与汇聚交换机之间采用OSPF组网。当任一节点整机故障或链路故障时，整网依靠OSPF进行故障收敛。通过调整OSPF的o timer可以控制流量中断时间。两个SSL一跳指向SSL之间运行VRRP，保证HA或是负载均衡。汇聚交换机上将去往服务器的下的VRRP虚地址；汇聚交换机将SSL直连网段路由向外发布。当SSL主路径板卡故障时，通过VRRP可以切换到备卡上恢复流量，切换时间可控。两个FW之间运行VRRP，保证HA或是负载均衡。当主路径板卡故障时，通过VRRP可以切换到备卡上恢复流量。切换时间也可控。汇聚与接入交换机之间通过MSTP保证链路冗余2.注意事项：过短的收敛时间

60、配置会导致网络中的大量协议报文消耗设备与带宽资源，并且会在流量较大或链路振荡时出现流量路径反复切换，从而引起整网振荡甚至风暴。建议此处配置收敛时间尽量考虑，根据实际组网环境多方面权衡。3.限制：SSL限；的75E板卡只能使用4个GE通道，10GE通道能够显示但无法使用，带宽资源受SSLSSL SSL板卡在IP接入时目前不支持组播应用，对方案存在一定影响；板卡不支持带外管理；板卡不支持使用loack接口地址作为SSL服务地址；4.3数据中心FW+SSL最佳实践组网24.3.1组网图图15 数据中心FW+SSL最佳实践组网24.3.2部署要点交换机(Switch9500)汇聚交换机(Switch7