该单位电子外网从建设之初到2016年已经快十年了，目前，电子外网正处于二期建设运行维护阶段。在2017年，还将开展单位电子外网三期项目建设任务，在2016年7月份，已经先期开展了三期建设中与安全运维有关的规划设计。

应用安全分域管控

根据相关电子外网项目建设的总体要求：电子外网需采用MPLS（多协议标签交换）作为统一的多业务平台承接技术，需提供三层MPLSVPN的开通服务，上级和下级部门外网需要支持跨域对接，需具备开通四级纵向MPLS-VPN的能力。

根据目前单位电子外网各功能区域的情况，将正在运行的VPN业务重新进行划分，将访问电子外网业务的区域作为纵向VPN业务区，将各单位访问IDC数据中心业务的区域定义为城域网VPN区（该区域只能访问IDC数据中心业务区域），访问互联网的区域定义为互联网VPN区（该区域只能访问Internet）。外网终端用户同一时间只能访问一个区域，其他区域做控制隔离，当用户想访问其他区域时，需手工登录进行安全切换。

在上述各个区域中，在CE（用户网络边缘路由器）上为每个访问业务包加上MPLS标签，PE（汇聚边缘路由器）再根据标签值进行转发，最后P（核心路由器）再去掉标签，恢复原来的IP包。通过划分上述这些不同的VPN区域，可以使得各安全区域更加清晰，能够使安全运维工作各司其职、各负其责，极大的提高了外网安全运行的能力。

信息安全加固

在互联网出口区域，将增加部署流量清洗设备，主要用于有效防范DDoS攻击。在数据中心区出口位置也要增加部署IPS、流量清洗设备。为了实时不间断地将外网中来自不同厂商的安全设备、网络设备、主机、操作系统、用户业务系统的日志、事件、报警等信息进行汇集，并实现海量信息的集中存储和综合审计。

同时根据相关要求安全审计应对网络系统中网络设备运行状况、网络流量、用户行为、应用系统重要安全事件等进行日志记录，将增加部署一台日志审计系统。该日志审计系统将能够实时地对采集到的不同类型的信息进行归并和实时分析，最大程度地消除误报和错报、找出漏报；通过该日志审计系统控制台进行实时呈现，可以协助安全管理人员迅速准确地识别安全事故，消除了管理员在多个控制台之间来回切换的烦恼，同时也可提高运维人员的工作效率；该日志审计系统对于集中存储起来的海量信息可以进行深度挖掘、调查取证并保全证据。

调整现有云平台数据中心结构

目前，单位外网云平台基础设施资源池由24台服务器，500TB存储，2TB内存和64个物理CPU组成，可为各部门非涉密应用系统分配虚拟机资源，提供统一管理、统一运维、统一支撑、统一标准的运行环境。数据中心云平台基础设施资源池部署结构比较简单，仅仅是将这些硬件设备物理集中，部分资源做了整合，但无法实现业务的自动化。虚拟化技术是云计算时代的重要技术，但是虚拟化并不等同于云计算。如何有效地提高云平台虚拟机资源运维的安全性，参考了目前流行的云计算数据中心建设的主流技术，其主要是Overlay技术和SDN技术。

Overlay（无状态网络技术）是未来数据中心的重要组成部分。Overlay是一种将二层网络构架在三层/四层报文中进行传递的网络技术。这样的技术不考虑或很少考虑网络层，物理层的问题，允许对没有IP地址标识的目的主机路由信息，忽略位置信息，数据中心的组成部分可以在世界的任何角落，访问数据中心的人也可以在世界的任何一个角落。Overlay网络主要包括Overlay控制平面，提供服务发现、地址通告和映射、隧道管理，Overlay数据平面提供数据封装，基于承载网络传输，Overlay边缘设备提供数据报文的封装和解封装。

图3 未来电子外网云平台数据中心架构

SDN（Software Defined Network简称为软件定义网络）现已成为网络技术领域的热门话题。其核心特点是抽象出网络操作系统平台，屏蔽底层网络设备物理细节差异，并向上层提供统一的管理和编程接口，以网络操作系统平台为基础开发出应用程序，通过软件来定义网络拓扑、资源分配、处理机制等。SDN通过把传统网络的紧耦合架构拆分为应用、控制、转发三层分离的架构，网络将不再成为制约业务上线和云效率的瓶颈，而是在完成数据传输任务的同时，也能变得和虚拟化后的计算、存储资源一样，成为一种可灵活调配的资源。

在三期建设中还准备采用云网融合技术实现顶层业务编排，底层网络自动化部署，利用Overlay VxLAN技术实现链路级虚拟化，利用旁路部署的SDN控制器实现信息安全自动化管理，将防火墙、IPS、流量控制、WAF等设备并联到网络中，根据云平台各业务系统的重要程度，SDN控制器监控网络安全，如果发现异常流量引流到安全设备做流量清洗；新设备替换，以及自动检测配置并告警修正。

如图3所示为未来单位电子外网云平台数据中心的架构图。