云计算数据中心网络安全的实现原理

摘要：探索云计算的网络架构。针对云服务提供商在网络安全方案方面进行了研究和探讨。对于云计算数据中心的整个网络架构作了仔细阐述。

关键词：企业云；云服务；私有云；云安全；云架构

中图分类号：TP393.08文献标识码：A文章编号：16727800（2011）012013502

作者简介：李知杰（1981-），男，湖北武汉人，硕士，中国船舶重工集团公司第七二二研究所工程师，研究方向为通信工程；赵健飞（1981-），男，湖北武汉人，中国惠普有限公司工程师，研究方向为企业云服务。

1基本概念

1.1云计算

云计算是网格计算、分布式计算、并行计算、效用计算、网络存储、虚拟、负载均衡等传统计算机技术和网络技术发展融合的产物。它旨在通过网络把多个成本相对较低的计算实体整合成一个具强大计算能力的完美系统，并借助SaaS、PaaS、IaaS、MSP等先进的商业模式把这强大的计算能力分布到终端用户手中。

1.2云服务

云服务提供商通过自己的基础设置直接向外部用户提供服务。提供的服务主要分为2种，一种是将软件或者应用部署到自己的服务器集群上，通过Internet提供给用户访问。还有一种是将自己的设备以租用形式提供给用户，给用户提供独立的机房和相对独立的局域网络。

1.3VLAN

VLAN（Virtual Local Area Network）的中文名为“虚拟局域网”。VLAN是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用于交换机和路由器中，但主流应用还是在交换机之中。但又不是所有交换机都具有此功能，只有VLAN协议的第三层以上交换机才具有此功能，这一点可以查看相应交换机的说明书即可得知。

1.4VSX

VSX (Virtual System Extension) 是一种网络安全和VPN的解决方案，基于大规模的场景下保证网络的安全。VSX为多重网络或者混合的基础架构中的VLAN提供全面的保护。VSX技术将它们安全地连接起来并共享资源给互联网和/或DMZ区，并允许它们彼此安全的交互。

2网络实现原理

2.1传统数据中心的网络拓扑

在图1中我们可以看到，传统的网络环境中，数据中心需要为每个用户分配一个单独的网络，每个网络需要有单独的网络安全设备，防火墙和交换机等。同一个用户的所有的服务器都部署在单独的物理网络中，以达到数据安全隔离的效果。

图1传统数据中心的网络拓扑图

2.2云服务数据中心的网络拓扑

在图2中我们可以看到，新的数据中心架构使用了VSX Gateway 取代的传统的VPN和网络安全设备，并且核心交换机和二级交换机全部启用的VLAN，二级交换机与核心交换机通过Trunk口连接。

2.3VSX系统的通信流

VSX系统网关是通过以下几个步骤来执行的：

（1）ContextID的定义。每个Virtual System都通过定义一个Context ID作为唯一标识符。

（2）安全策略实施。每一个虚拟系统可作为一个独立的安全网关的功能,它能够通过其自己独特的安全政策来保护整个网络。可指定虚拟系统允许或阻止所有交通等，其基本规则都包含在自己独立的安全政策里。

（3）转发到目的地。每台虚拟系统保持其独特的结构处理和转发通信规则使其到达最终的目的地。这个配置规则还包括定义NAT，VPN，还有其他高级特性。

图2安全网关图3VSX Gateway内部拓扑图

图3是VSX Gateway的内部拓扑图，在这幅图中，我们不难发现，VSX系统是由Virtual Switch、Virtual Firewall 和Virtual Route等虚拟设备组成。对于数据中心中的每一个VLAN都可以通过一个独立的Virtual firewall与外网进行通信。

3安全分析

3.1与传统的网络结构作比较

在传统的数据中心网络结构中，每一台服务器根据机柜的物理位置，来决定其所在的网络。比如，一个客户需要组建自己的企业局域网，于是订购了一批服务器，订单中包括服务器的型号，配置，使用开始日期和结束日期等信息。那么传统的数据中心的工作人员拿到订单后，需要将该型号服务器放置到一个特定的机房和机柜，然后给用户安装网络安全设备，配置网络和安全策略之后用户才能正常使用。这些工作需要到机房移动设备，耗费工作人员大量的时间。如果不移动机器，可能会带来3种问题。①由于服务器可能在不同的机房或机柜，可能接入了不同的网络中，无法互相访问；②不同用户之间的设备如果都在一个机房或者机柜，可能在同一网络，可以互相访问，带来了安全隐患；③防火墙如果没有给每个用户独立出来，会导致规则混乱，难以维护，并无法将防火墙的管理权限直接提供给用户使用。而由上述的VSX和VLAN构成的网络结构，用户需要使用的服务器与该设备所处的物理位置没有关系，无论这台服务器放在哪个机房或者或机柜，只要将与这台服务器所连接的Switch端口划分到这个用户的VLAN中，这个机器可以为这个用户服务，如果用户退订这台服务器，只需将与这台设备所连接的Switch口划分到预备的VLAN中即可。这一切工作只需要通过云计算中心的自动化部署程序自动实时完成，不需要人工干预。

3.2网络结构的优势

3.2.1数据安全

对于每一个用户来说，自己的网络都是安全的。从商业角度来讲，每个用户需要预先订购VLAN，然后再订购网络设备，在网络设备的配置中，可以指定该设备运行在哪一个VLAN中，当然，用户只能指定该设备划分到自己预定的VLAN中。而对于每一个VLAN，有独立的Security Gateway为其提供网络安全保障，其中包括NAT、ACL、VPN、入侵检测流量控制和日志监控等。这就相当于为这个用户单独建立了一个机房。然后将用户订购的设备放置到这个机房来为用户提供服务一样。而用户不需要这些资源时候，可以通过自动化部署程序将它立即从当前VLAN中移除。

3.2.2提高了服务质量

具有弹性，能灵活的根据用户的需求增减设备。响应速度快，几分钟之内设备即可到位，并且可以自动化部署操作系统，软件和应用程序，立刻为用户提供服务。如果用户不需要再使用该设备，退订后，可以立刻对设备进行初始化，放回资源池待分配给下一个申请该资源的用户使用。

4结束语

云计算始终是发展的趋势，越来越多的传统硬件设备生产商都在利用自己的硬件资源优势向着云计算的服务商进行转换。在企业接受云计算，云服务的过程中，安全问题一直被多数的企业和用户质疑，本篇文章概括地介绍了云计算数据中心是如何进行网络安全隔离，并响应用户实时的设备订购服务。随着IT行业高速发展，相信还有更好的安全架构来支持云服务数据中心。设备的集中化管理和自动化部署将会是未来的大趋势。

参考文献：

[1]刘朝,薛凯,杨树国.云环境数据库安全问题探究.[J].电脑与电信,2011(1).

[2]J B HORRIGAN.Use of cloud computing applications and services[C].Pew Internet & American Life project memo, Sept2008.

[3]Microsoft Corporation,Privacy Guidelines for Developing Software Products and Services[C].Version 2.1a,26th April 2007.

Implementation of Network Securty of Cloud Datacenter

Abstract:Research for the network security infrastructure of Enterprise Cloud Service Datacenter, regarding Enterprise Cloud Service provider's network security design. In the article, have a example of integrate of VLAN, Virtual System Extension and virtual firewall technology, also have some compare of Cloud Service Datacenter with traditional Datacenter.

Key Words: Enterprise Cloud Service; Cloud Computing; Private Cloud; Public Cloud; Cloud Network Security