应用背景
数据中心承载着用户的核心业务和机密数据,同时为内部、外部以及合作伙伴等客户提供业务交互和数据交换。所以说作为业务应用核心和敏感数据的汇集点,数据中心永远是攻击者最感兴趣的目标。以下问题一直困扰着用户的数据中心建设:
如何防范层出不穷的入侵?
如何防御大流量的DDoS和应用层攻击?
如何提高高压力时服务器的响应速度?
在安全防护的前提下,如何保证业务不间断?
如何简化数据中心的组网,降低管理难度和成本投入?
不同的安全产品,如何实现智能统一管理?
方案概述
数据中心要面对来自局域网、广域网和Internet网等不同用户的访问,由于访问用户所处的位置不同,访问的内容也不一样,因此其安全威胁的特点和等级都各不相同,有必要针对不同的用户采取不同的安全防护策略。如针对Internet网的用户需要进行DDoS的检测防御、安全权限的控制以及木马、病毒的检查,面对内网用户主要进行安全区域的隔离和病毒的检查。因此,能够提供全面的安全产品就非常重要。
H3C具备非常完善的安全产品种类,包括针对网络层的防火墙、流量清洗和网流分析产品;针对应用层的IPS入侵防御和流控产品。为了提高数据中心的性能,还可以选择链路负载均衡和服务器负载均衡产品。此外,H3C提供的安全管理平台,能够对上述各类产品提供统一的安全管理。正是由于具备了完善的产品系列,H3C才能够给用户提供一体化、智能化、虚拟化及高性能的新一代数据中心安全解决方案。
H3C新一代数据中心安全解决方案是由安全防御系统、负载均衡设备和安全管理平台等有机组成的,各种设备相互协助和配合,从而达到完备的安全防护效果。安全防御系统包括高性能的防火墙、IPS和流量清洗设备,能够实现包括DDoS防御、区域安全隔离、深度入侵防御等功能,实现对2~7层攻击的防御;而通过采用链路负载均衡和服务器负载均衡设备,能够通过智能的判断链路拥塞情况或者服务器的负荷情况,通过选择有效的负载均衡调度算法,以提升数据中心的响应速度和处理能力,为用户提供更佳体验;同时,通过安全管理平台通过对各种网络设备和安全设备安全日志的统一收集和监控,能够发现网络中存在的安全威胁和异常流量,然后再由安全管理平台的统一配置和管理,实现全网安全统一防控。
H3C安全产品的形态也很丰富,包括盒式设备和插卡式设备。H3C针对数据中心专门能够提供多种高性能的盒式安全产品,包括F5000超万兆防火墙和T5000入侵防御产品(IPS)。这些盒式设备适合独立式组网应用,可以在各个需要的节点部署相应的安全产品,组网灵活。此外,H3C领先的融合于H3C S12500/S95E/S75E/S58等交换机的各种安全插卡,更是为数据中心的安全防护提供了的灵活的选择。这些插卡可以部署在从核心层、汇聚层到接入层的各级交换机中,实现分级安全防护。插卡在部署时充分考虑了可靠性、灵活性,以保障数据中心业务持续不间断地运行。
典型组网
由于数据中心的重要性,在实现安全防护的同时,必须保证不能影响数据中心的转发性能。核心层作为数据中心交换的主节点,不再部署安全设备,而将安全设备备部署在汇聚交换层和接入层。其中,汇聚交换层可以在线或者旁挂部署高性能的盒式或插卡设备,而接入层也可以在各交换机中部署FW或IPS插卡,实现各个安全分区内部的保护。
方案特点
一体化的部署模式
安全防护是一个整体,任何疏漏都可能被攻击者利用并导致破坏。针对数据中心,H3C新一代数据中心安全解决方案推出了XBOX安全防御系统,通过在网络设备上集成SecBlade插卡,真正把安全技术融入到网络设备中,不但提供了包括安全隔离(FW)、DDoS防御(AFC)、深度防护(IPS)等在内的全面安全防护功能,还可以通过负载均衡(LB)以及网络流量分析(NetStream)等功能,实现对数据中心应用的优化,提高数据中心的可用性。
智能化的按需防护
传统的数据中心安全解决方案一般采用串行的部署模式,数据流要经过FW、IPS、防毒墙等设备的层层过滤,不但效率低,而且可靠性差。H3C的旁挂式安全解决方案,可以采用XBOX数据中心安全服务区,也可以采用高性能的盒式设备,能够针对不同用户实现按需引流,通过内部灵活的数据调度,将流量引到特定的安全模块上进行针对性的安全检测和防御,减小安全产品的处理负荷。对于不需安全处理的业务,降低传输时延及被阻断的风险。
高性能可扩展
面对数据中心访问人数多、流量大、业务发展快速的特点,安全设备如果性能不足,必然会成为数据中心的瓶颈所在。H3C的安全设备从两个方面满足新一代数据中心对安全性能的要求。一方面,H3C采用了业界领先的“多核处理器+FPGA”的硬件处理芯片,处理性能上大大超过传统的X86等硬件架构。另一方面,不仅XBOX安全平台可以扩展,而且像F5000和T5000等盒式安全设备也都采用了可扩展的“插卡式”硬件架构。在不改变拓扑结构和不中断原有业务的前提下,能够通过业务模块的平滑扩容,实现处理性能的倍增,灵活、高效的解决了数据中心流量快速增长情况下的安全瓶颈问题。
虚拟化的安全
数据中心由于运行的业务系统增多,网络安全设备种类及数量也在增多,导致部署越来越繁杂,设备与资源之间的矛盾越来越激烈,而通过采用虚拟化技术对资源进行合理的分配能够有效的解决上述难题。 H3C的安全设备支持多种虚拟化技术:通过1:N的虚拟化,可以将一台设备虚拟成多台设备,供多个对象单独使用,减少安全设备的部署数量;通过H3C 第二代智能弹性架构技术(IRF2)可以实现N:1的虚拟化,可以将多台设备虚拟成一台设备,实现负载分担和统一管理,极大简化网络逻辑架构、整合物理节点,实现数据中心网络运行的简捷化。
统一安全管理
H3C安全管理平台集成了SecCenter、iMC,可以实现数据中心统一部署、监控和管理。SecCenter对数据中心所有设备和服务器的海量安全事件进行采集、分析、关联、汇聚和统一处理,实时输出安全报告,协助管理员及时掌握数据中心的安全状态。不管数据中心部署了多少种安全设备或安全插卡,只要是一台交换机上的安全插卡,全部可以登录到同一个配置界面进行管理,可以进行统一的安全事件分析和全策略部署,而不需要部署多套管理软件。
典型行业安全解决方案
1. 网银数据中心安全防护
近年来,由于网上银行业务的快速发展,网银数据中心面临着巨大的安全威胁。由于访问流量大、以商业利益为目的的攻击猖獗以及数据中心业务种类多等特点,导致网银系统对安全的要求特别高。目前网银数据中心主要呈现以下应用特点:
访问量快速增长,服务器面临巨大的性能压力。 以木马、间谍软件、SQL注入等以窃取用户个人信息为代表的应用层攻击难以防范。 DDoS攻击日趋严重,通过带宽耗尽或资源耗尽等攻击方式,导致网银系统服务中断。 网银内部分区复杂,需要进行有效的内部安全隔离,防止信息泄密。 大量的安全设备带来一系列能耗高、噪音大等环境问题。 针对上述种种问题,H3C凭借完善的网络安全产品和解决方案,以及对数据中心的深刻理解,能够为网银数据中心提供全方面的安全保护。
通过在互联网出口部署专业的流量清洗产品,能够对大流量、突发性的DDoS攻击进行快速检测和清洗,保证网银系统能够提供7*24小时的稳定服务。 在出口部署H3C超万兆的防火墙,通过高性能的NAT转换及安全策略部署,防止非法用户的登录。在数据中心内部通过部署防火墙,实现互联网区、外联区、核心生产区、办公区等不同区域之间的有效隔离。 通过集成专业防病毒引擎的IPS,能够有效的阻断SQL注入、木马、间谍软件、病毒等各种应用层攻击,防止用户机密信息被窃取等行为导致的商业损失。 采用链路负载均衡,提高出口链路的使用效率和访问速度。采用服务器负载均衡,把访问数据智能灵活的分发到不同服务器上,能最大限度发挥服务器的性能,加快服务器响应速度,从而提高客户满意度。 采用SSL卸载设备,能够对通过HTTPS加密访问的数据进行数据加解密,从而减轻务器处理HTTPS业务的负荷,提高服务器处理性能。 采用H3C领先的安全虚拟化技术,不但减少了数据中心安全设备的部署数量,降低了TCO;同时由于简化了组网复杂度,降低了维护难度、减少了故障节点。 此外,H3C全系列产品都符合ROHS环保标准,能为用户创建一个绿色、环保、节能的新一代数据中心。 相关参考案例:工商银行、中国银行、安徽农信、江西农信、福建农信、厦门商行等等。
