数据中心解决方案安全技术白皮书(6)

网络基础架构的安全特性是数据中心中各部件产品基本安全特性的通称。架构安全特性涉及服务器、接入交换机、负载均衡器、汇聚交换机、核心交换机等设备，部署点多、覆盖面大，是构成整个安全数据中心的基石。

华为3COM凭借基于COMWARE的具有丰富安全特性全系列智能交换机为数据中心打造坚实的基础构架。COMWARE是由华为3COM推出的支持多种网络设备的网络操作系统，它以强大的IP转发引擎为核心，通过完善的体系结构设计，把实时操作系统和网络管理、网络应用、网络安全等技术完美的结合在一起。作为一个不断发展、可持续升级的平台，它具有开放的接口，可灵活支持大量的网络协议和安全特性。COMWARE可应用在分布式或集中式的网络设备构架之上，也就是说，不仅可以运行在高端的交换机/路由器上，而且也可以运行在中低端的交换机/路由器上，不向其它厂商，不同的软件运行在不同的设备上。COMWARE的这一特性可使网络中各节点设备得到同一的安全特性，彻底避免了由于部件产品安全特性不一致、不统一造成的安全“短木板效应”。

图7 数据中心基础架构安全相关架构

1.    基于VLAN的端口隔离

交换机可以由硬件实现相同VLAN中的两个端口互相隔离。隔离后这两个端口在本设备内不能实现二、三层互通。当相同VLAN中的服务器之间完全没有互访要求时，可以设置各自连接的端口为隔离端口，如图。这样可以更好的保证相同安全区域内的服务器之间的安全：

?          即使非法用户利用后门控制了其中一台服务器，但也无法利用该服务器作为跳板攻击该安全区域内的其他服务器。

?          可以有效的隔离蠕虫病毒的传播，减小受感染服务器可能造成的危害。比如：如果Web服务器遭到了Code-Red红色代码的破坏，即使其它Web服务器也在这个网段中，也不会被感染。

图8 交换机Isolated Vlan 技术

2.    STP Root/BPDU Guard

基于Root/BPDU Guard方式的二层连接保护保证STP/RSTP稳定,防止攻击,保障可靠的二层连接。如图。

图9 交换机Root Guard/BPDU Guard 技术

l         BPDU Guard