新一代數(shù)據(jù)中心安全與應(yīng)用優(yōu)化解決方案

　　應(yīng)用背景

　　數(shù)據(jù)中心承載著用戶的核心業(yè)務(wù)和機(jī)密數(shù)據(jù)，同時(shí)為內(nèi)部、外部以及合作伙伴等客戶提供業(yè)務(wù)交互和數(shù)據(jù)交換。所以說作為業(yè)務(wù)應(yīng)用核心和敏感數(shù)據(jù)的匯集點(diǎn)，數(shù)據(jù)中心永遠(yuǎn)是攻擊者最感興趣的目標(biāo)。以下問題一直困擾著用戶的數(shù)據(jù)中心建設(shè)：

　　如何防范層出不窮的入侵?

　　如何防御大流量的DDoS和應(yīng)用層攻擊?

　　如何提高高壓力時(shí)服務(wù)器的響應(yīng)速度?

　　在安全防護(hù)的前提下，如何保證業(yè)務(wù)不間斷?

　　如何簡化數(shù)據(jù)中心的組網(wǎng)，降低管理難度和成本投入?

　　不同的安全產(chǎn)品，如何實(shí)現(xiàn)智能統(tǒng)一管理?

　　方案概述

　　數(shù)據(jù)中心要面對來自局域網(wǎng)、廣域網(wǎng)和Internet網(wǎng)等不同用戶的訪問，由于訪問用戶所處的位置不同，訪問的內(nèi)容也不一樣，因此其安全威脅的特點(diǎn)和等級(jí)都各不相同，有必要針對不同的用戶采取不同的安全防護(hù)策略。如針對Internet網(wǎng)的用戶需要進(jìn)行DDoS的檢測防御、安全權(quán)限的控制以及木馬、病毒的檢查，面對內(nèi)網(wǎng)用戶主要進(jìn)行安全區(qū)域的隔離和病毒的檢查。因此，能夠提供全面的安全產(chǎn)品就非常重要。

　　H3C具備非常完善的安全產(chǎn)品種類，包括針對網(wǎng)絡(luò)層的防火墻、流量清洗和網(wǎng)流分析產(chǎn)品;針對應(yīng)用層的IPS入侵防御和流控產(chǎn)品。為了提高數(shù)據(jù)中心的性能，還可以選擇鏈路負(fù)載均衡和服務(wù)器負(fù)載均衡產(chǎn)品。此外，H3C提供的安全管理平臺(tái)，能夠?qū)ι鲜龈黝惍a(chǎn)品提供統(tǒng)一的安全管理。正是由于具備了完善的產(chǎn)品系列，H3C才能夠給用戶提供一體化、智能化、虛擬化及高性能的新一代數(shù)據(jù)中心安全解決方案。

　　H3C新一代數(shù)據(jù)中心安全解決方案是由安全防御系統(tǒng)、負(fù)載均衡設(shè)備和安全管理平臺(tái)等有機(jī)組成的，各種設(shè)備相互協(xié)助和配合，從而達(dá)到完備的安全防護(hù)效果。安全防御系統(tǒng)包括高性能的防火墻、IPS和流量清洗設(shè)備，能夠?qū)崿F(xiàn)包括DDoS防御、區(qū)域安全隔離、深度入侵防御等功能，實(shí)現(xiàn)對2~7層攻擊的防御;而通過采用鏈路負(fù)載均衡和服務(wù)器負(fù)載均衡設(shè)備，能夠通過智能的判斷鏈路擁塞情況或者服務(wù)器的負(fù)荷情況，通過選擇有效的負(fù)載均衡調(diào)度算法，以提升數(shù)據(jù)中心的響應(yīng)速度和處理能力，為用戶提供更佳體驗(yàn);同時(shí)，通過安全管理平臺(tái)通過對各種網(wǎng)絡(luò)設(shè)備和安全設(shè)備安全日志的統(tǒng)一收集和監(jiān)控，能夠發(fā)現(xiàn)網(wǎng)絡(luò)中存在的安全威脅和異常流量，然后再由安全管理平臺(tái)的統(tǒng)一配置和管理，實(shí)現(xiàn)全網(wǎng)安全統(tǒng)一防控。

　　H3C安全產(chǎn)品的形態(tài)也很豐富，包括盒式設(shè)備和插卡式設(shè)備。H3C針對數(shù)據(jù)中心專門能夠提供多種高性能的盒式安全產(chǎn)品，包括F5000超萬兆防火墻和T5000入侵防御產(chǎn)品(IPS)。這些盒式設(shè)備適合獨(dú)立式組網(wǎng)應(yīng)用，可以在各個(gè)需要的節(jié)點(diǎn)部署相應(yīng)的安全產(chǎn)品，組網(wǎng)靈活。此外，H3C領(lǐng)先的融合于H3C S12500/S95E/S75E/S58等交換機(jī)的各種安全插卡，更是為數(shù)據(jù)中心的安全防護(hù)提供了的靈活的選擇。這些插卡可以部署在從核心層、匯聚層到接入層的各級(jí)交換機(jī)中，實(shí)現(xiàn)分級(jí)安全防護(hù)。插卡在部署時(shí)充分考慮了可靠性、靈活性，以保障數(shù)據(jù)中心業(yè)務(wù)持續(xù)不間斷地運(yùn)行。

　　典型組網(wǎng)

　　由于數(shù)據(jù)中心的重要性，在實(shí)現(xiàn)安全防護(hù)的同時(shí)，必須保證不能影響數(shù)據(jù)中心的轉(zhuǎn)發(fā)性能。核心層作為數(shù)據(jù)中心交換的主節(jié)點(diǎn)，不再部署安全設(shè)備，而將安全設(shè)備備部署在匯聚交換層和接入層。其中，匯聚交換層可以在線或者旁掛部署高性能的盒式或插卡設(shè)備，而接入層也可以在各交換機(jī)中部署FW或IPS插卡，實(shí)現(xiàn)各個(gè)安全分區(qū)內(nèi)部的保護(hù)。

　　方案特點(diǎn)

　　一體化的部署模式

　　安全防護(hù)是一個(gè)整體，任何疏漏都可能被攻擊者利用并導(dǎo)致破壞。針對數(shù)據(jù)中心，H3C新一代數(shù)據(jù)中心安全解決方案推出了XBOX安全防御系統(tǒng)，通過在網(wǎng)絡(luò)設(shè)備上集成SecBlade插卡，真正把安全技術(shù)融入到網(wǎng)絡(luò)設(shè)備中，不但提供了包括安全隔離(FW)、DDoS防御(AFC)、深度防護(hù)(IPS)等在內(nèi)的全面安全防護(hù)功能，還可以通過負(fù)載均衡(LB)以及網(wǎng)絡(luò)流量分析(NetStream)等功能，實(shí)現(xiàn)對數(shù)據(jù)中心應(yīng)用的優(yōu)化，提高數(shù)據(jù)中心的可用性。

　　智能化的按需防護(hù)

　　傳統(tǒng)的數(shù)據(jù)中心安全解決方案一般采用串行的部署模式，數(shù)據(jù)流要經(jīng)過FW、IPS、防毒墻等設(shè)備的層層過濾，不但效率低，而且可靠性差。H3C的旁掛式安全解決方案，可以采用XBOX數(shù)據(jù)中心安全服務(wù)區(qū)，也可以采用高性能的盒式設(shè)備，能夠針對不同用戶實(shí)現(xiàn)按需引流，通過內(nèi)部靈活的數(shù)據(jù)調(diào)度，將流量引到特定的安全模塊上進(jìn)行針對性的安全檢測和防御，減小安全產(chǎn)品的處理負(fù)荷。對于不需安全處理的業(yè)務(wù)，降低傳輸時(shí)延及被阻斷的風(fēng)險(xiǎn)。

　　高性能可擴(kuò)展

　　面對數(shù)據(jù)中心訪問人數(shù)多、流量大、業(yè)務(wù)發(fā)展快速的特點(diǎn)，安全設(shè)備如果性能不足，必然會(huì)成為數(shù)據(jù)中心的瓶頸所在。H3C的安全設(shè)備從兩個(gè)方面滿足新一代數(shù)據(jù)中心對安全性能的要求。一方面，H3C采用了業(yè)界領(lǐng)先的“多核處理器+FPGA”的硬件處理芯片，處理性能上大大超過傳統(tǒng)的X86等硬件架構(gòu)。另一方面，不僅XBOX安全平臺(tái)可以擴(kuò)展，而且像F5000和T5000等盒式安全設(shè)備也都采用了可擴(kuò)展的“插卡式”硬件架構(gòu)。在不改變拓?fù)浣Y(jié)構(gòu)和不中斷原有業(yè)務(wù)的前提下，能夠通過業(yè)務(wù)模塊的平滑擴(kuò)容，實(shí)現(xiàn)處理性能的倍增，靈活、高效的解決了數(shù)據(jù)中心流量快速增長情況下的安全瓶頸問題。

　　虛擬化的安全

　　數(shù)據(jù)中心由于運(yùn)行的業(yè)務(wù)系統(tǒng)增多，網(wǎng)絡(luò)安全設(shè)備種類及數(shù)量也在增多，導(dǎo)致部署越來越繁雜，設(shè)備與資源之間的矛盾越來越激烈，而通過采用虛擬化技術(shù)對資源進(jìn)行合理的分配能夠有效的解決上述難題。 H3C的安全設(shè)備支持多種虛擬化技術(shù)：通過1：N的虛擬化，可以將一臺(tái)設(shè)備虛擬成多臺(tái)設(shè)備，供多個(gè)對象單獨(dú)使用，減少安全設(shè)備的部署數(shù)量;通過H3C 第二代智能彈性架構(gòu)技術(shù)(IRF2)可以實(shí)現(xiàn)N：1的虛擬化，可以將多臺(tái)設(shè)備虛擬成一臺(tái)設(shè)備，實(shí)現(xiàn)負(fù)載分擔(dān)和統(tǒng)一管理，極大簡化網(wǎng)絡(luò)邏輯架構(gòu)、整合物理節(jié)點(diǎn)，實(shí)現(xiàn)數(shù)據(jù)中心網(wǎng)絡(luò)運(yùn)行的簡捷化。

　　統(tǒng)一安全管理

　　H3C安全管理平臺(tái)集成了SecCenter、iMC，可以實(shí)現(xiàn)數(shù)據(jù)中心統(tǒng)一部署、監(jiān)控和管理。SecCenter對數(shù)據(jù)中心所有設(shè)備和服務(wù)器的海量安全事件進(jìn)行采集、分析、關(guān)聯(lián)、匯聚和統(tǒng)一處理，實(shí)時(shí)輸出安全報(bào)告，協(xié)助管理員及時(shí)掌握數(shù)據(jù)中心的安全狀態(tài)。不管數(shù)據(jù)中心部署了多少種安全設(shè)備或安全插卡，只要是一臺(tái)交換機(jī)上的安全插卡，全部可以登錄到同一個(gè)配置界面進(jìn)行管理，可以進(jìn)行統(tǒng)一的安全事件分析和全策略部署，而不需要部署多套管理軟件。

　　典型行業(yè)安全解決方案

　　1. 網(wǎng)銀數(shù)據(jù)中心安全防護(hù)

　　近年來，由于網(wǎng)上銀行業(yè)務(wù)的快速發(fā)展，網(wǎng)銀數(shù)據(jù)中心面臨著巨大的安全威脅。由于訪問流量大、以商業(yè)利益為目的的攻擊猖獗以及數(shù)據(jù)中心業(yè)務(wù)種類多等特點(diǎn)，導(dǎo)致網(wǎng)銀系統(tǒng)對安全的要求特別高。目前網(wǎng)銀數(shù)據(jù)中心主要呈現(xiàn)以下應(yīng)用特點(diǎn)：

訪問量快速增長，服務(wù)器面臨巨大的性能壓力。

以木馬、間諜軟件、SQL注入等以竊取用戶個(gè)人信息為代表的應(yīng)用層攻擊難以防范。

DDoS攻擊日趨嚴(yán)重，通過帶寬耗盡或資源耗盡等攻擊方式，導(dǎo)致網(wǎng)銀系統(tǒng)服務(wù)中斷。

網(wǎng)銀內(nèi)部分區(qū)復(fù)雜，需要進(jìn)行有效的內(nèi)部安全隔離，防止信息泄密。

大量的安全設(shè)備帶來一系列能耗高、噪音大等環(huán)境問題。

針對上述種種問題，H3C憑借完善的網(wǎng)絡(luò)安全產(chǎn)品和解決方案，以及對數(shù)據(jù)中心的深刻理解，能夠?yàn)榫W(wǎng)銀數(shù)據(jù)中心提供全方面的安全保護(hù)。

通過在互聯(lián)網(wǎng)出口部署專業(yè)的流量清洗產(chǎn)品，能夠?qū)Υ罅髁俊⑼话l(fā)性的DDoS攻擊進(jìn)行快速檢測和清洗，保證網(wǎng)銀系統(tǒng)能夠提供7*24小時(shí)的穩(wěn)定服務(wù)。

在出口部署H3C超萬兆的防火墻，通過高性能的NAT轉(zhuǎn)換及安全策略部署，防止非法用戶的登錄。在數(shù)據(jù)中心內(nèi)部通過部署防火墻，實(shí)現(xiàn)互聯(lián)網(wǎng)區(qū)、外聯(lián)區(qū)、核心生產(chǎn)區(qū)、辦公區(qū)等不同區(qū)域之間的有效隔離。

通過集成專業(yè)防病毒引擎的IPS，能夠有效的阻斷SQL注入、木馬、間諜軟件、病毒等各種應(yīng)用層攻擊，防止用戶機(jī)密信息被竊取等行為導(dǎo)致的商業(yè)損失。

采用鏈路負(fù)載均衡，提高出口鏈路的使用效率和訪問速度。采用服務(wù)器負(fù)載均衡，把訪問數(shù)據(jù)智能靈活的分發(fā)到不同服務(wù)器上，能最大限度發(fā)揮服務(wù)器的性能，加快服務(wù)器響應(yīng)速度，從而提高客戶滿意度。

采用SSL卸載設(shè)備，能夠?qū)νㄟ^HTTPS加密訪問的數(shù)據(jù)進(jìn)行數(shù)據(jù)加解密，從而減輕務(wù)器處理HTTPS業(yè)務(wù)的負(fù)荷，提高服務(wù)器處理性能。

采用H3C領(lǐng)先的安全虛擬化技術(shù)，不但減少了數(shù)據(jù)中心安全設(shè)備的部署數(shù)量，降低了TCO;同時(shí)由于簡化了組網(wǎng)復(fù)雜度，降低了維護(hù)難度、減少了故障節(jié)點(diǎn)。

此外，H3C全系列產(chǎn)品都符合ROHS環(huán)保標(biāo)準(zhǔn)，能為用戶創(chuàng)建一個(gè)綠色、環(huán)保、節(jié)能的新一代數(shù)據(jù)中心。

　　相關(guān)參考案例：工商銀行、中國銀行、安徽農(nóng)信、江西農(nóng)信、福建農(nóng)信、廈門商行等等。