详解零信任架构下的数据中心网络设计

零信任架构概述

零信任架构是一种现代网络安全模型，其核心理念是"永不信任，始终验证"。这一理念源于对传统网络安全模型的反思和创新，旨在应对日益复杂的网络环境和层出不穷的安全威胁。零信任架构的核心在于消除对网络内部和外部的隐含信任，要求所有用户、设备和应用程序在访问网络资源之前都必须经过严格的身份验证和授权。

零信任架构的发展历程可以追溯到2010年，当时Forrester Research的首席分析师John Kindervag首次提出了这一概念。随着云计算、大数据、物联网等技术的快速发展，传统的边界防护模式逐渐暴露出其局限性，零信任架构应运而生，并迅速成为网络安全领域的新宠。

零信任架构的主要优势体现在以下几个方面：

1. 增强安全性：通过持续验证和细粒度访问控制，零信任架构能够有效防止未经授权的访问和横向移动，大幅降低安全风险。
2. 适应性强：零信任架构不依赖于固定的网络边界，能够灵活适应企业业务的变化和云环境的动态特性。
3. 提高可见性：零信任架构强调对所有网络流量的全面监控和控制，使得安全团队能够更好地了解网络活动，及时发现潜在威胁。
4. 降低管理复杂度：通过实施最小权限原则和动态访问控制，零信任架构能够简化访问管理流程，减少人为错误的可能性。
5. 保护关键资产：零信任架构能够针对不同类型的资产和资源实施差异化的安全策略，确保最重要的数据和系统得到最高级别的保护。

零信任架构的这些优势使其成为现代企业应对复杂网络安全挑战的理想选择。随着技术的不断进步，零信任架构将变得更加智能化和自动化，为企业提供更加安全、可靠的网络环境。

数据中心网络安全现状与挑战

传统网络安全模型的局限性

传统网络安全模型在数据中心环境中面临着诸多局限性。首先，基于边界的安全防护策略难以应对现代数据中心复杂的网络拓扑结构。随着虚拟化、云计算和容器技术的广泛应用，数据中心的边界变得模糊，传统防火墙和入侵检测系统难以有效监控和控制所有网络流量。其次，传统模型通常采用静态访问控制策略，无法适应动态变化的网络环境和用户需求。这种静态策略容易导致权限过度分配，增加了安全风险。此外，传统模型缺乏对内部流量的细粒度监控和控制，使得内部威胁难以被发现和阻止。最后，传统网络安全模型通常依赖于固定的信任边界，忽视了网络内部可能存在的安全漏洞和威胁，这种"信任但验证"的理念已经无法满足现代数据中心的安全需求。

数据中心面临的新型威胁

数据中心正面临着日益复杂和多样化的安全威胁。首先，高级持续性威胁（APT）成为数据中心面临的主要挑战之一。APT攻击者通常具有高度专业化的技能和资源，能够长期潜伏在目标网络中，窃取敏感数据或进行破坏性操作。其次，内部威胁日益突出，无论是恶意内部人员还是被入侵的合法账户，都可能对数据中心造成严重损害。云计算环境下的多租户模式也带来了新的安全挑战，租户之间的隔离不当可能导致数据泄露或资源滥用。此外，勒索软件攻击的频率和复杂性不断增加，给数据中心的安全运营带来了巨大压力。最后，供应链攻击的兴起使得数据中心面临来自第三方供应商和合作伙伴的安全风险。这些新型威胁的共同特点是隐蔽性强、破坏力大、难以检测和防御，传统的安全防护手段往往难以应对。

零信任架构在数据中心网络中的应用

身份认证与访问控制

在零信任架构下，数据中心网络的身份认证与访问控制机制得到了全面革新。传统的基于边界的安全模型往往依赖于静态的访问控制列表，而零信任架构则采用了一种更加动态和细粒度的方法。首先，零信任架构强调"永不信任，始终验证"的原则，这意味着每个访问请求，无论其来源如何，都必须经过严格的身份验证和授权。

实现这一目标的关键在于多因素身份验证（MFA）的广泛应用。MFA结合了知识因素（如密码）、所有权因素（如安全令牌）和生物特征因素（如指纹），大大提高了身份认证的可靠性。例如，用户在访问数据中心资源时，可能需要同时提供密码和通过手机接收的一次性验证码，甚至还需要进行面部识别。

此外，零信任架构还引入了基于属性的访问控制（ABAC）机制。这种方法根据用户的身份、角色、设备类型、地理位置、时间等因素动态地决定访问权限。例如，一个财务部门的员工在正常工作时间从公司内部网络访问财务系统可能会被允许，但如果在非工作时间从外部网络尝试访问，则可能会被拒绝。

为了实现这种动态访问控制，零信任架构通常会采用身份和访问管理（IAM）系统。这些系统能够集中管理用户身份、设备信息和访问策略，并与其他安全工具集成，实现实时的访问决策和策略执行。

零信任架构还强调最小权限原则，即只授予用户完成其工作所需的最小访问权限。这可以通过细粒度的角色定义和权限分配来实现，确保用户无法访问与其工作无关的资源。

最后，零信任架构下的访问控制是持续性的。这意味着即使在用户成功通过初始认证后，系统仍会持续监控其行为，并根据上下文信息（如用户的位置变化、设备状态变化等）动态调整访问权限。

微隔离技术

微隔离技术是零信任架构在数据中心网络中应用的一个重要方面。它通过将网络划分为更小的、安全的区域来实现更精细的控制，从而减少攻击面并限制潜在威胁的横向移动。

在传统的数据中心网络中，安全策略通常是基于网络拓扑结构来定义的，例如使用VLAN或子网来隔离不同部门或应用。然而，这种方法在面对现代数据中心复杂的虚拟化环境时显得力不从心。微隔离技术则通过在虚拟化层实施安全策略，克服了这一限制。

微隔离的实现通常依赖于软件定义网络（SDN）和网络功能虚拟化（NFV）技术。通过这些技术，安全策略可以与工作负载紧密关联，并随着工作负载的移动而动态调整。例如，一个虚拟机在迁移到不同的物理服务器时，其安全策略可以自动跟随迁移，而不需要人工干预。

微隔离技术的主要优势在于其灵活性和细粒度控制能力。它允许安全团队为每个工作负载或应用组件定义独立的安全策略，从而实现更精确的访问控制和威胁隔离。此外，微隔离还能够提供更详细的网络流量可见性，使得安全团队能够更好地监控和分析网络活动。

微隔离技术的应用场景非常广泛。它可以用于保护关键应用，限制内部威胁的影响，隔离高风险系统，甚至可以用来实现合规性要求。例如，在金融行业，微隔离可以用来隔离不同类型的交易系统，确保敏感数据的隔离和保护。

持续监控与威胁检测

零信任架构强调持续监控和威胁检测的重要性，将其作为保护数据中心网络的关键手段。这种持续监控不仅限于网络层面，还包括用户行为、设备状态和应用活动等多个方面。

实现持续监控的关键在于部署先进的安全信息和事件管理（SIEM）系统。这些系统能够收集、关联和分析来自各种来源的安全日志和事件数据，从而提供全面的安全态势感知。例如，SIEM系统可以整合网络流量数据、用户登录记录、文件访问日志等，以识别潜在的安全威胁。

零信任架构下的威胁检测还依赖于人工智能和机器学习技术。这些技术能够分析大量的安全数据，识别出异常行为和潜在威胁。例如，通过分析用户的行为模式，AI系统可以检测到异常登录活动或异常的数据访问模式，从而及时发现内部威胁或账户被劫持的情况。

此外，零信任架构还强调威胁情报的共享和利用。安全团队可以订阅各种威胁情报源，获取最新的威胁信息，并将这些信息整合到安全策略和检测机制中。例如，当一个新的漏洞被披露时，安全团队可以迅速更新访问控制策略，限制对该漏洞的访问。

持续监控和威胁检测的最终目的是实现快速响应和自动化防护。零信任架构支持安全编排、自动化和响应（SOAR）系统，这些系统能够根据预设的规则和策略自动执行安全操作。例如，当检测到可疑活动时，SOAR系统可以自动隔离受影响的系统，阻止进一步的访问，并通知安全团队。

通过这种持续监控和威胁检测机制，零信任架构能够有效应对复杂的安全威胁，提供更高级别的安全保障。

零信任架构下的数据中心网络设计原则

最小权限原则

最小权限原则是零信任架构的核心设计理念之一，它要求用户、设备或应用程序只能获得完成其任务所需的最低权限。这种方法能够显著降低潜在的安全风险，即使某个账户被入侵，攻击者也无法获得对整个网络的访问权限。

在数据中心网络设计中应用最小权限原则，需要从以下几个方面着手：

1. 细粒度的访问控制：根据用户角色、工作职责和任务需求，精确地定义每个用户的访问权限。这可以通过创建详细的访问控制列表（ACL）和角色基访问控制（RBAC）策略来实现。
2. 动态权限管理：实施实时权限评估机制，根据用户的行为、设备状态和上下文信息动态调整访问权限。例如，当用户尝试访问敏感数据时，系统可以要求额外的身份验证步骤。
3. 临时权限授予：为特定任务或项目授予临时访问权限，并在任务完成后立即撤销这些权限。这可以通过实施"即时访问"策略来实现。
4. 最小化网络暴露：使用微隔离技术将网络划分为更小的安全区域，限制不同区域之间的通信，从而减少潜在的攻击面。
5. 持续监控和审计：实施全面的监控和审计机制，确保最小权限原则得到有效执行，并及时发现和纠正权限滥用行为。

通过在数据中心网络设计中应用最小权限原则，可以显著提高整体安全性，减少潜在的攻击面，并降低内部威胁的风险。

动态访问控制

动态访问控制是零信任架构在数据中心网络中的另一个关键设计原则。它强调根据实时上下文信息动态调整访问权限，而不是依赖于静态的、预先定义的访问控制策略。

动态访问控制在数据中心网络中的应用主要体现在以下几个方面：

1. 基于上下文的访问决策：系统会根据用户身份、设备状态、地理位置、时间、网络环境等多个因素综合评估访问请求。例如，从公司内部网络访问可能比从公共Wi-Fi访问获得更高的信任度。
2. 实时风险评估：利用人工智能和机器学习技术，实时分析用户行为和设备状态，评估潜在的安全风险。例如，如果检测到异常登录行为，系统可能会临时限制访问权限。
3. 自适应访问策略：根据实时数据和威胁情报，动态调整访问控制策略。例如，当检测到新的安全威胁时，系统可以自动更新访问控制列表，限制对受影响资源的访问。
4. 持续身份验证：实施持续的身份验证机制，即使在用户初始登录后，系统也会定期重新验证用户身份。例如，通过分析用户的行为模式或使用生物特征识别技术。
5. 细粒度的访问控制：实施更细粒度的访问控制策略，例如基于属性的访问控制（ABAC），根据多个属性动态决定访问权限。

动态访问控制的实现通常依赖于先进的身份和访问管理（IAM）系统、安全信息和事件管理（SIEM）工具，以及人工智能驱动的分析平台。这些系统能够收集、处理和分析大量的安全数据，从而支持动态访问控制策略的实施。

通过实施动态访问控制，数据中心网络能够更好地适应不断变化的安全威胁环境，提供更高级别的安全保障，同时也能提高用户体验，因为访问权限的调整是自动化的，不需要用户频繁地进行身份验证。

安全策略的持续优化

在零信任架构下，安全策略的持续优化对于数据中心网络的安全至关重要。网络安全是一个动态的过程，威胁环境不断变化，新的漏洞和攻击手段不断出现。因此，安全策略必须能够适应这些变化，才能有效保护数据中心网络。

安全策略的持续优化主要体现在以下几个方面：

1. 定期安全评估：定期进行全面的安全评估，识别潜在的安全漏洞和风险。这包括漏洞扫描、渗透测试和配置审计等。
2. 威胁情报整合：持续关注最新的安全威胁情报，并将其整合到安全策略中。例如，当新的漏洞被披露时，及时更新访问控制策略。
3. 安全事件分析：对发生的安全事件进行深入分析，识别根本原因，并据此调整安全策略。例如，如果发现某个访问控制策略被频繁绕过，可能需要重新评估该策略的有效性。
4. 自动化策略更新：利用安全编排、自动化和响应（SOAR）系统，实现安全策略的自动化更新和部署。这可以确保安全策略能够快速响应新的威胁。
5. 持续的员工培训：定期对员工进行安全意识培训，确保他们了解最新的安全策略和最佳实践。
6. 性能监控：持续监控安全策略的实施效果，确保它们不会对网络性能造成负面影响。例如，如果发现某个安全策略导致网络延迟增加，可能需要重新评估其实现方式。
7. 反馈机制：建立有效的反馈机制，收集用户和管理员的反馈意见，并据此调整安全策略。

通过持续优化安全策略，数据中心网络能够更好地应对不断变化的安全威胁环境，提供更高级别的安全保障。同时，这种持续优化的过程也有助于提高安全策略的有效性和效率，减少不必要的资源消耗。

零信任架构下的安全策略持续优化是一个持续的过程，需要安全团队、技术团队和管理层的共同努力。通过建立有效的流程和机制，可以确保安全策略始终保持最佳状态，为数据中心网络提供可靠的安全保障。

零信任架构下的数据中心网络实施步骤

需求分析与规划

在实施零信任架构之前，进行全面的需求分析与规划至关重要。这个阶段的目标是明确组织的安全目标、现有基础设施的现状，以及实施零信任架构所需的资源和时间。

首先，需要进行详细的安全评估。这包括对现有网络架构、安全策略、访问控制机制和威胁态势的全面分析。通过这种评估，可以识别出当前安全策略的不足之处，以及实施零信任架构可能带来的改进。

其次，需要明确业务需求。零信任架构的实施应该与组织的业务目标保持一致。这需要与各个业务部门进行沟通，了解他们的需求和顾虑。例如，某些部门可能需要更严格的访问控制，而另一些部门可能更关注用户体验。

第三，需要制定实施路线图。这个路线图应该包括短期、中期和长期的目标，以及每个阶段的具体任务和里程碑。例如，短期目标可能包括实施基本的身份验证和访问控制机制，而长期目标可能是实现全面的微隔离和持续监控。

关键要素包括：

1. 利益相关者参与：确保所有相关方，包括IT、安全、业务部门和高层管理人员，都参与到需求分析和规划过程中。
2. 风险评估：识别关键资产和潜在威胁，评估实施零信任架构可能带来的风险和收益。
3. 技术评估：评估现有技术基础设施的适用性，确定需要升级或替换的组件。
4. 预算规划：制定详细的预算计划，包括硬件、软件、人力资源和培训成本。
5. 沟通计划：制定沟通策略，确保所有员工了解零信任架构的实施计划、预期变化和潜在影响。
6. 合规性考虑：确保零信任架构的实施符合相关法律法规和行业标准。

通过全面的需求分析与规划，可以为成功实施零信任架构奠定坚实的基础，确保项目能够按时、按预算完成，并达到预期的安全目标。

架构设计与组件选型

在完成需求分析与规划后，下一步是进行零信任架构的设计和组件选型。这个阶段的目标是构建一个符合组织需求的安全架构，并选择合适的工具和技术来实现这个架构。

架构设计应该基于零信任的核心原则，如"永不信任，始终验证"、最小权限原则和持续监控。设计过程应该考虑以下几个方面：

1. 身份管理：设计一个强大的身份和访问管理（IAM）系统，支持多因素身份验证（MFA）、单点登录（SSO）和细粒度的访问控制。
2. 网络架构：重新设计网络架构，以支持微隔离和软件定义网络（SDN）。这可能包括使用虚拟局域网（VLAN）、虚拟专用网络（VPN）和网络访问控制（NAC）技术。
3. 数据保护：实施数据分类和加密策略，确保敏感数据在传输和存储过程中得到保护。
4. 设备安全：制定设备安全策略，包括设备认证、配置管理和安全补丁更新。
5. 应用安全：实施应用层安全措施，如Web应用防火墙（WAF）、API安全和代码审计。
6. 监控与响应：设计一个全面的安全信息和事件管理（SIEM）系统，支持实时监控、威胁检测和自动化响应。

在组件选型方面，需要考虑以下几个方面：

1. 兼容性：确保所选组件能够与现有系统和工具集成。
2. 可扩展性：选择能够支持组织未来增长和扩展的解决方案。
3. 安全性：优先选择经过独立安全评估和认证的产品。
4. 成本效益：在满足安全需求的同时，考虑总拥有成本（TCO）。
5. 供应商支持：选择有良好声誉和强大支持的供应商。
6. 社区和生态系统：考虑产品的社区支持和生态系统，这可能包括开源社区、第三方插件和集成服务。

通过精心设计的架构和明智的组件选型，可以构建一个强大、灵活且可扩展的零信任架构，为数据中心网络提供全面的安全保护。

集成与测试

在完成架构设计和组件选型后，下一步是进行零信任架构的集成与测试。这个阶段的目标是确保所有组件能够协同工作，并验证零信任架构的有效性。

集成过程应该遵循以下步骤：

1. 制定集成计划：详细规划集成过程，包括时间表、资源分配和责任分配。
2. 环境准备：准备测试环境，确保其与生产环境尽可能相似。
3. 组件部署：按照设计文档逐步部署各个组件，确保每个组件都能正常工作。
4. 配置管理：实施配置管理策略，确保所有组件的配置都是一致的、可追踪的。
5. 接口集成：确保不同组件之间的接口能够正确连接和通信。
6. 数据流测试：验证数据在各个组件之间的流动是否符合预期。
7. 身份验证和访问控制测试：测试身份验证机制和访问控制策略，确保它们能够正确执行。
8. 微隔离测试：验证微隔离策略的有效性，确保不同安全区域之间的隔离。
9. 监控和响应测试：测试监控和响应机制，确保它们能够及时检测和应对安全事件。
10. 性能测试：评估零信任架构对网络性能的影响，确保其不会对业务运营造成负面影响。
11. 安全测试：进行全面的安全测试，包括漏洞扫描、渗透测试和配置审计。
12. 用户验收测试：邀请最终用户参与测试，收集反馈并进行必要的调整。

测试过程中应该注意以下几点：

1. 文档化：详细记录测试过程、发现的问题和解决方案。
2. 自动化：尽可能使用自动化测试工具，提高测试效率和准确性。
3. 持续集成：实施持续集成（CI）流程，确保每次代码更改都经过测试。
4. 威胁模拟：模拟各种安全威胁，测试零信任架构的防御能力。
5. 性能基准：建立性能基准，以便在后续的维护和优化中进行比较。
6. 反馈机制：建立有效的反馈机制，及时收集和处理测试过程中发现的问题。

通过全面的集成与测试，可以确保零信任架构的各个组件能够协同工作，并验证其有效性，为后续的部署和运维奠定基础。

部署与运维

在完成集成与测试后，下一步是进行零信任架构的部署与运维。这个阶段的目标是将零信任架构投入生产环境，并确保其持续有效地运行。

部署过程应该遵循以下步骤：

1. 制定部署计划：详细规划部署过程，包括时间表、资源分配和责任分配。
2. 备份和恢复：确保有可靠的备份和恢复策略，以应对部署过程中可能出现的问题。
3. 分阶段部署：考虑采用分阶段部署策略，例如先在非关键系统或测试环境中部署，然后逐步扩展到整个网络。
4. 监控和日志记录：在部署过程中实施全面的监控和日志记录，以便及时发现和解决问题。
5. 用户培训：为最终用户和管理员提供培训，确保他们了解零信任架构的使用方法和安全策略。
6. 沟通计划：制定沟通策略，及时向所有利益相关者通报部署进度和任何可能出现的问题。
7. 应急计划：制定应急计划，以应对部署过程中可能出现的意外情况。

在运维方面，需要考虑以下几个方面：

1. 持续监控：实施全面的安全监控策略，实时监控网络活动、用户行为和系统状态。
2. 定期审计：定期进行安全审计和合规性检查，确保零信任架构的有效性。
3. 威胁情报：持续关注最新的安全威胁情报，并将其整合到安全策略中。
4. 安全更新：及时应用安全补丁和更新，确保系统始终处于最新状态。
5. 性能优化：定期评估零信任架构的性能，进行必要的优化和调整。
6. 事件响应：建立有效的事件响应机制，快速应对安全事件。
7. 策略优化：根据安全事件和新的威胁信息，持续优化安全策略。
8. 用户支持：提供持续的用户支持，解决用户在使用零信任架构过程中遇到的问题。
9. 文档更新：及时更新所有相关文档，包括架构图、配置指南和操作手册。
10. 合规性管理：确保零信任架构的运维符合相关法律法规和行业标准。

通过有效的部署与运维，可以确保零信任架构持续有效地运行，为数据中心网络提供长期的安全保障。同时，持续的运维过程也有助于发现和解决潜在的问题，提高零信任架构的整体效能。

零信任架构的实施是一个复杂的过程，需要安全团队、技术团队和管理层的共同努力。通过遵循这些实施步骤，可以提高零信任架构实施的成功率，为组织构建一个强大、灵活且可扩展的安全架构。

零信任架构下的数据中心网络案例分析

案例一：某大型互联网公司数据中心网络设计

某全球领先的互联网公司面临着日益严峻的网络安全挑战，其数据中心网络需要保护海量的用户数据和关键业务系统。该公司决定采用零信任架构来重构其数据中心网络安全体系。

在实施过程中，该公司首先进行了全面的需求分析，识别出需要保护的关键资产和潜在威胁。随后，他们设计了一个基于身份和上下文的动态访问控制系统。该系统集成了多因素身份认证、设备认证和基于属性的访问控制（ABAC）机制。

在网络架构方面，该公司采用了软件定义网络（SDN）技术，实现了网络流量的精细化控制和微隔离。通过这种方式，他们能够将不同的应用和服务隔离开来，限制潜在的横向移动。

为了实现持续监控和威胁检测，该公司部署了先进的安全信息和事件管理（SIEM）系统。该系统集成了机器学习技术，能够实时分析网络流量、用户行为和系统日志，识别异常活动。

此外，该公司还实施了全面的数据保护策略，包括数据分类、加密传输和存储，以及密钥管理。

通过实施零信任架构，该公司的数据中心网络安全水平得到了显著提升。他们成功地将安全事件减少了40%，并缩短了安全事件的平均响应时间。同时，这种架构也提高了系统的灵活性和可扩展性，为公司的未来发展奠定了基础。

案例二：某金融机构数据中心网络设计

某大型金融机构面临着日益复杂的网络安全威胁，其数据中心网络需要保护敏感的金融数据和关键业务系统。该机构决定采用零信任架构来重构其数据中心网络安全体系。

在实施过程中，该机构首先进行了全面的风险评估，识别出需要保护的关键资产和潜在威胁。随后，他们设计了一个基于身份和上下文的动态访问控制系统。该系统集成了多因素身份认证、设备认证和基于角色的访问控制（RBAC）机制。

在网络架构方面，该机构采用了虚拟局域网（VLAN）和虚拟专用网络（VPN）技术，实现了网络流量的精细化控制和微隔离。通过这种方式，他们能够将不同的业务系统隔离开来，限制潜在的横向移动。

为了实现持续监控和威胁检测，该机构部署了先进的安全信息和事件管理（SIEM）系统。该系统集成了机器学习技术，能够实时分析网络流量、用户行为和系统日志，识别异常活动。

此外，该机构还实施了全面的数据保护策略，包括数据分类、加密传输和存储，以及密钥管理。

通过实施零信任架构，该机构的数据中心网络安全水平得到了显著提升。他们成功地将安全事件减少了50%，并缩短了安全事件的平均响应时间。同时，这种架构也提高了系统的灵活性和可扩展性，为机构的未来发展奠定了基础。

案例三：某制造业企业数据中心网络设计

某大型制造业企业面临着日益复杂的网络安全威胁，其数据中心网络需要保护敏感的制造数据和关键业务系统。该企业决定采用零信任架构来重构其数据中心网络安全体系。

在实施过程中，该企业首先进行了全面的风险评估，识别出需要保护的关键资产和潜在威胁。随后，他们设计了一个基于身份和上下文的动态访问控制系统。该系统集成了多因素身份认证、设备认证和基于属性的访问控制（ABAC）机制。

在网络架构方面，该企业采用了虚拟局域网（VLAN）和虚拟专用网络（VPN）技术，实现了网络流量的精细化控制和微隔离。通过这种方式，他们能够将不同的业务系统隔离开来，限制潜在的横向移动。

为了实现持续监控和威胁检测，该企业部署了先进的安全信息和事件管理（SIEM）系统。该系统集成了机器学习技术，能够实时分析网络流量、用户行为和系统日志，识别异常活动。

此外，该企业还实施了全面的数据保护策略，包括数据分类、加密传输和存储，以及密钥管理。

通过实施零信任架构，该企业的数据中心网络安全水平得到了显著提升。他们成功地将安全事件减少了30%，并缩短了安全事件的平均响应时间。同时，这种架构也提高了系统的灵活性和可扩展性，为企业的未来发展奠定了基础。