数据中心安全面对的问题与解决方案
为了使大家对数据中心的安全系统有一个整体的认识,我们介绍安全体系的总体部署,以便能更好地理解数据中心的安全系统。
面临的安全问题
银行数据中心网络安全面临以下问题:
银行数据大集中使数据中心的网络流量骤升,安全设备性能能否承受巨大的压力,包括DDoS攻击、木马、病毒、蠕虫、SQL注入等干扰。如何保证服务器稳定可靠工作?如何在服务器间合理分配负载,充分利用服务器资源?针对如何实现数据中心网络、安全设备的统一管理,实时掌握网络安全状态和如何确保数据中心安全运行的需求,这里提供一套较完整的银行数据中心安全系统解决方案。
安全防护与应用优化解决方案
银行数据中心的安全防护需要从性能保护、攻击防护、负载均衡、应用优化,到安全管理全方位考虑,构建立体、层次的安全防护体系。典型组网如图9 13所示。
1数据中心之性能保护
银行数据中心具有业务流量大、性能要求高的特点,为此部署了全系列的万兆安全产品,以满足数据中心的高性能要求,使安全产品不再成为数据中心性能瓶颈。这些安全产品基于业界先进的多核硬件平台,主要包括万兆防火墙、万兆IPS、万兆AFC(异常流量清洗)、万兆ACG(应用控制网关)、万兆业务模块等。同时,为了充分利用原有网络设备,减少网结构复杂度,降低建设成本和维护成本,这些安全产品都是插卡式、模块化设计,在银行数据中心采用SecBlade安全业务模块是安全方案的一个重要特点。SecBlade安全业务模块包括FW防火墙模块、lPS模块、SSL,VPN模块、AFC异常流量清洗模块、ACG应用控制网关模块、LB负载均衡模块等,可以插卡形式部署在核心交换机/路由器上。从而实现了网络与安全的深度融合,同时具有很高的可靠性。在安全模块出现故障时,业务流量自动绕行,避免了单点故障带来的风险,满足了银行数据中心对高可靠性的要求。
2数据中心攻击的防护
(1)边界访问控制。防火墙具有较完善的隔离控制能力和安全防范能力。通过在核心交换机上部署防火墙模块,利用虚拟化防火墙功能,实现不同安全区域间、不同应用层次间和不同服务器间多种粒度级别的安全隔离,从而在整体上保证了所有接人设备均受控于整体的安全策略。
(2)深度智能防御。银行数据中心通常具有互联网出口,因此面临着来自互联网的各种攻击和威胁,如DDoS攻击、各种蠕虫、木马、病毒等。这些攻击直接威胁到银行数据申心能否稳定、安全地运行。传统的防火墙设备由于工作在2一4层,无法实现对应用层攻击的深度检测。入侵防御系统(IPS)集成人侵检测与防御、病毒防护、协议异常保护等功能,可以精确实时地识别并防御蠕虫、病毒、木马等网络攻击,防止攻击者对数据中心的破坏,保障敏感数据不被窃取以及业务的持续运行,从而达到对网络上运行的银行业务的保护、网络基础设施的保护和网络性能的保护。
(3)流量清洗。针对DDoS攻击,流量清洗产品AFC(AnomalyFlowCleaner)通过静态漏洞攻击特征检查、动态规则过滤、异常流量限速和H3C独创的"基于用户行为的单向防御"技术,实现多层次安全防护,精确检测并阻断各种网络层和应用层的Doe引DDoS攻击和未知恶意流量,包括SYNFlood、UDPFlood、ICMPFlood、CC、DNSQuery同ood、HTTPGetFlood等,支持线速的流量清洗,保护用户免遭海量分布式拒绝服务(DDoS)攻击的威胁,实现前所未有的高性能安全防护。通过在Internet人口处部署高性能的AFC,与智能管理平台联动,实现对异常攻击流量的过滤,从而构建安全可靠的高性能网络,提升业务处理能力。
3数据中心之应用优化
随着银行业务的快速发展,Web服务器性能瓶颈日趋凸现,为了解决诸如此类的性能问题,采用连接管理技术进行TCP卸载和传输层端到端优化,对SSI,、压缩、加密等进行并发处理,应用优化设备,提高了数据中心服务器的数据访问性能。采用面向Web应用的ASE系列高性能应用加速硬件产品,将Web加速、SSL,卸载和加速、压缩、TCP优化、负载均衡等技术集成在一个硬件平台上,并且每个功能模块都是由专有的硬件芯片运行。利用全硬件加速处理技术来帮助企业提高应用性能。
4.数据中心之负载均衡
采用LB(Load Balance)业务模块,实现了应用优化与网络交换设备的较好融合。通过对服务器、防火墙进行健康和性能检测,将各种应用访问进行动态均衡分发,极大地提高了访问速度。LB业务模块提供丰富的检测技术,可以进行实时、高效的设备性能探测。同时提供了全面的负载均衡算法,可以根据不同应用场景,采用不同的负载均衡算法,确保服务器访问效率最大化。通过与H3C网络设备的深度融合,提供高密度的业务接口,并且支持多块模块,实现性能的平滑升级,满足银行数据中心对于高性能的业务需求。
5数据中心之安全管理
安全管理中心集成多种产品,实现数据中心统一部署、监控和管理,可对网络设备、安全设备、服务器的海量安全事件进行采集、分析、关联、汇聚和统一处理,实时输出安全报告,协助管理员及时掌握数据中心的安全状态。通过将安全体系中各层次的安全产品、网络设备、用户终端等纳人到一个紧密"统一安全管理平台",对安全事件的深度感知和关联分析以及安全部件的协同响应,构建一个智能安全防御体系。
