"為什麼沒有「防火牆」？", Cisco學習資訊分享

[Cisco學習資訊分享]

"為什麼沒有「防火牆」？", Cisco學習資訊分享

---

為什麼沒有「防火牆」？ Posted: 26 Feb 2013 08:02 AM PST 清溪川，可以下去玩水喔！韓國首爾 昨天在台北的某數據中心，發生大樓地下室局部失火的事故。在事故發生後，網路上，也開始流傳一個笑話，「不是有防火牆？」 〔本報訊〕昨天台北市內湖地區機房失火，造成許多公司聯外網路中斷，雖讓許多民眾感到不便，但也因此鬧出笑話。有網友分享親身趣事，因為網友公司的機房受到波及，大老闆情急之下，說出一句：「不是有防火牆嗎？」網友們熱烈回應，笑稱老闆真是「可愛」。 節錄自自由時報 雖然這只是一個玩笑話，但是從另外一個角度來觀察，為什麼沒有「真的防火牆」？ 回到事故本身。火災本身並沒有造成數據中心的建築物、伺服器、或者是網路設備毀損，然而，為了找出起火的源頭，竟然必須將整棟數據中心大樓的電力切斷。因為該數據中心裡面，住了很多的重要的客戶，例如TPIX (這家公司的腳色是Internet Exchange，台灣主要的Internet供應商的網路會合點之一。該公司的網站目前還沒有修復)。這麼一來，就造成全台灣部分網路服務變慢、或者無法使用的窘境。 我個人從這個事件，至少可以學到下面這幾件事。 各個層面的設計，都需要認真考慮「隔離」的機制，也就是「防火牆」 這棟大樓，有這麼多的租用戶，為何單一租用戶的失火，就必須關閉整棟大樓的電源？難道只是因為消防法規的問題，還是該大樓電力系統設計上沒有考慮到「隔離」？ 數位通發佈新聞稿說明，昨天由配合廠商進行UPS不斷電系統的例行保養，廠商在檢修系統時發現設備出現異常，電池室起火悶燒傳出陣陣濃煙，因起火地點位於大樓地下二樓，火勢未波及上方其他樓層，所幸客戶託管設備未受損害，但因為消防單位搶救控制火勢需要，大樓停止供電使得相關代管機房、線路服務中斷。 節錄自 iThome online 我的確沒有官方的正確資訊。不過倒是提醒了我，「隔離」用的「防火牆」，不是只有網路才需要。  Yes, you build that wall (build that wall) And you make it stronger.  - Phil Collins, "Separate Lives" 租用數據中心時，要選擇單一功能的獨立大樓，另外，也要考慮其他租用戶的安全係數。 這次事故的發生來源，雖然的確來自於數據中心本身，如果有些公司將數據中心放在住宅、商用、辦公、等多功能大樓中，任何一個因子如果發生失火的事故，就可能造成整個數據中心失效。 經驗上告訴我，人多的地方，比較容易失火。功能越單純的地方，越不容易發生意外。 最低的安全係數租用戶，決定整個數據中心的安全係數。 異地備援，真的很重要。 那幾個被波及到而失效的網站，每一個都是真實的案例。 虛擬化的數據中心，有存在的必要。 傳統的多租用戶的數據中心，都是允許客戶自行BYOD：自己安裝自己專用的伺服器和網路設備。萬一有任何一個租用戶不考慮整體的安全，硬是要安裝一個有消防安全疑慮的設備時，數據中心的管理者，是否有能力即時發現，和避免？ 也許，多租用戶的數據中心設計，根本就不應該允許客戶自行BYOD。必須要規定，所有的租用戶，一律只能使用虛擬化的伺服器和網路，來確保所有租用戶的安全。 您的公司躲過了這個事故嗎？我的建議，趁這個時候，好好檢查和演練災害備援計畫吧！ 後記： Cisco 12000 Series Routers (GSR)。截圖自Cisco網站。 其實我跟這個事故的數據中心，有一點點小淵源。因為，我所安裝的第一部 Cisco GSR，就在這棟大樓的二樓的某個角落。 (不知道還在不在！)

You are subscribed to email updates from Cisco學習資訊分享 To stop receiving these emails, you may unsubscribe now.	Email delivery powered by Google
Google Inc., 20 West Kinzie, Chicago IL USA 60610