网络环境描述:项目建设中有三家不同厂商合作,牵涉到三个业务系统的对接和网络防火墙策略的联调。三个业务系统都在核心华为8508下接着,三个业务系统有彼此之间的业务交互,同时它们各自也有对外的数据接口和业务互联访问。

网络拓扑:
多业务系统防火墙策略的制定和交互_第1张图片

 问题:在项目合作中制定防火墙策略时,各合作方如何避免重复和无效防火墙策略,保证业务之间的正确交互和相应的安全?以下是自己的几点思考:

第一:系统平台架构确立
         首先各合作厂商应该确定系统和平台架构。在项目开发过程中,架构设计是在需求规格说明书完成后介入的,需求规格说明书必须得到架构师的认可。架构师需要和分析人员反复交流,以保证自己完整并准确地理解用户需求。依据用户需求,架构师将系统整体分解为更小的子系统和组件,从而形成不同的逻辑层或服务。随后,架构师会确定各层的接口,层与层相互之间的关系。架构师不仅要对整个系统分层,进行“纵向”分解,还要对同一逻辑层分块,进行“横向”分解。 架构师通过对系统的一系列的分解,最终形成了软件的整体架构。技术选择主要取决于软件架构。根据软件架构来确立硬件选型和相应技术。比如服务器类型、操作系统、负载均衡、缓存设计、集群等等。

第二:业务流程梳理和服务器功能角色定位
          因为彼此之间的业务系统有交互,所以业务流程的梳理就很重要了。业务战略决定业务流程,业务流程决定处理架构。流程梳理一定要有明确的目标,要和具体的业务紧密结合,比如某个处理模块就是要实现数据的抽取和整合,那么从哪抽取在哪整合怎么展现出来,这些就决定了数据的流程,也跟后面的防火墙策略制定息息相关。梳理流程是为了方便项目的开发,通过流程梳理可以更好的去解决客户的问题和明确自己的目标。另外一些项目,单纯做一个流程梳理,尤其是上来就搞全面梳理,根本没有想清楚梳理流程为什么,这种项目基本上就是劳民伤财,顾问做的累,客户也配合得累,整个项目没有重点,到最后项目就是一团糟。业务流程明确后,模块也清晰后就可以定位服务器的功能和角色了。每个服务器或服务器群具体承载什么业务处理什么数据以及和其他服务器怎么关联,都可以进行比较准确的定位了,这些都会便于业务系统之间的交互和范围界定。

第三:IP统筹规划
     在以上两点确定后,接下面就可以进行整个系统和服务器的IP规划了。需要多少私有网段和地址以及需要申请多少公网地址,是否划分VLAN,是否做HSRP、VRRP和心跳等,网络设备和服务器的数量及设备的管理地址等,这些都需要考虑到。是否需要动态分配还是全部静态地址,是否需要做NAT等,这些需要进行体系化编址同时要注意后续的可扩展性。体系化编址主要是根据业务的具体需求和流程处理结构为原则对整个网络地址进行有条理的规划,使整个网络的结构清晰,路由信息明确,当然也能减小路由表。

第四:防火墙策略的制定和优化

     当以上条件都具备,我们就可以比较方便的进行各自业务系统的防火墙策略制定了。确立防火墙的内外区域和DMZ区域,根据各服务器的IP和业务端口再考虑彼此业务系统间的交互因素,我们就可以比较准确的设定防火墙策略,同时注意有些策略是单向的有些是双向的,通过负载均衡实现的服务器集群要注意虚地址的访问和放行策略。当各业务系统的防火墙策略设定完成后,要进行业务的检测和测试,并据此进行相应的优化和调整。

     所有策略调整优化生效后,我们也不要指望防火墙策略能够给予你足够坚固的安全。防火墙能够保护你免受从外部直接的***,但是却不能防止从LAN内部的***,它甚至不能保护你免受所有那些它能检测到的***和未知的***。并且安全是多方面的,防火墙只是其中的一个方面。正常情况下你可以通过很多安全措施来拒绝你所知道的必要和已知的和安全相关的任何危险和***。但是新的漏洞每天都出现,安全意味着永远都是一场持久战。

 

总结:多业务系统防火墙策略的制定和交互,是一项复杂的工作,它不仅需要你的细心更需要你在不断调整中面对动态的安全。