新一代數據中心安全與應用優化解決方案

　　應用背景

　　數據中心承載著用戶的核心業務和機密數據，同時為內部、外部以及合作伙伴等客戶提供業務交互和數據交換。所以說作為業務應用核心和敏感數據的匯集點，數據中心永遠是攻擊者最感興趣的目標。以下問題一直困擾著用戶的數據中心建設：

　　如何防范層出不窮的入侵?

　　如何防御大流量的DDoS和應用層攻擊?

　　如何提高高壓力時服務器的響應速度?

　　在安全防護的前提下，如何保證業務不間斷?

　　如何簡化數據中心的組網，降低管理難度和成本投入?

　　不同的安全產品，如何實現智能統一管理?

　　方案概述

　　數據中心要面對來自局域網、廣域網和Internet網等不同用戶的訪問，由于訪問用戶所處的位置不同，訪問的內容也不一樣，因此其安全威脅的特點和等級都各不相同，有必要針對不同的用戶采取不同的安全防護策略。如針對Internet網的用戶需要進行DDoS的檢測防御、安全權限的控制以及木馬、病毒的檢查，面對內網用戶主要進行安全區域的隔離和病毒的檢查。因此，能夠提供全面的安全產品就非常重要。

　　H3C具備非常完善的安全產品種類，包括針對網絡層的防火墻、流量清洗和網流分析產品;針對應用層的IPS入侵防御和流控產品。為了提高數據中心的性能，還可以選擇鏈路負載均衡和服務器負載均衡產品。此外，H3C提供的安全管理平臺，能夠對上述各類產品提供統一的安全管理。正是由于具備了完善的產品系列，H3C才能夠給用戶提供一體化、智能化、虛擬化及高性能的新一代數據中心安全解決方案。

　　H3C新一代數據中心安全解決方案是由安全防御系統、負載均衡設備和安全管理平臺等有機組成的，各種設備相互協助和配合，從而達到完備的安全防護效果。安全防御系統包括高性能的防火墻、IPS和流量清洗設備，能夠實現包括DDoS防御、區域安全隔離、深度入侵防御等功能，實現對2~7層攻擊的防御;而通過采用鏈路負載均衡和服務器負載均衡設備，能夠通過智能的判斷鏈路擁塞情況或者服務器的負荷情況，通過選擇有效的負載均衡調度算法，以提升數據中心的響應速度和處理能力，為用戶提供更佳體驗;同時，通過安全管理平臺通過對各種網絡設備和安全設備安全日志的統一收集和監控，能夠發現網絡中存在的安全威脅和異常流量，然后再由安全管理平臺的統一配置和管理，實現全網安全統一防控。

　　H3C安全產品的形態也很豐富，包括盒式設備和插卡式設備。H3C針對數據中心專門能夠提供多種高性能的盒式安全產品，包括F5000超萬兆防火墻和T5000入侵防御產品(IPS)。這些盒式設備適合獨立式組網應用，可以在各個需要的節點部署相應的安全產品，組網靈活。此外，H3C領先的融合于H3C S12500/S95E/S75E/S58等交換機的各種安全插卡，更是為數據中心的安全防護提供了的靈活的選擇。這些插卡可以部署在從核心層、匯聚層到接入層的各級交換機中，實現分級安全防護。插卡在部署時充分考慮了可靠性、靈活性，以保障數據中心業務持續不間斷地運行。

　　典型組網

　　由于數據中心的重要性，在實現安全防護的同時，必須保證不能影響數據中心的轉發性能。核心層作為數據中心交換的主節點，不再部署安全設備，而將安全設備備部署在匯聚交換層和接入層。其中，匯聚交換層可以在線或者旁掛部署高性能的盒式或插卡設備，而接入層也可以在各交換機中部署FW或IPS插卡，實現各個安全分區內部的保護。

　　方案特點

　　一體化的部署模式

　　安全防護是一個整體，任何疏漏都可能被攻擊者利用并導致破壞。針對數據中心，H3C新一代數據中心安全解決方案推出了XBOX安全防御系統，通過在網絡設備上集成SecBlade插卡，真正把安全技術融入到網絡設備中，不但提供了包括安全隔離(FW)、DDoS防御(AFC)、深度防護(IPS)等在內的全面安全防護功能，還可以通過負載均衡(LB)以及網絡流量分析(NetStream)等功能，實現對數據中心應用的優化，提高數據中心的可用性。

　　智能化的按需防護

　　傳統的數據中心安全解決方案一般采用串行的部署模式，數據流要經過FW、IPS、防毒墻等設備的層層過濾，不但效率低，而且可靠性差。H3C的旁掛式安全解決方案，可以采用XBOX數據中心安全服務區，也可以采用高性能的盒式設備，能夠針對不同用戶實現按需引流，通過內部靈活的數據調度，將流量引到特定的安全模塊上進行針對性的安全檢測和防御，減小安全產品的處理負荷。對于不需安全處理的業務，降低傳輸時延及被阻斷的風險。

　　高性能可擴展

　　面對數據中心訪問人數多、流量大、業務發展快速的特點，安全設備如果性能不足，必然會成為數據中心的瓶頸所在。H3C的安全設備從兩個方面滿足新一代數據中心對安全性能的要求。一方面，H3C采用了業界領先的“多核處理器+FPGA”的硬件處理芯片，處理性能上大大超過傳統的X86等硬件架構。另一方面，不僅XBOX安全平臺可以擴展，而且像F5000和T5000等盒式安全設備也都采用了可擴展的“插卡式”硬件架構。在不改變拓撲結構和不中斷原有業務的前提下，能夠通過業務模塊的平滑擴容，實現處理性能的倍增，靈活、高效的解決了數據中心流量快速增長情況下的安全瓶頸問題。

　　虛擬化的安全

　　數據中心由于運行的業務系統增多，網絡安全設備種類及數量也在增多，導致部署越來越繁雜，設備與資源之間的矛盾越來越激烈，而通過采用虛擬化技術對資源進行合理的分配能夠有效的解決上述難題。 H3C的安全設備支持多種虛擬化技術：通過1：N的虛擬化，可以將一臺設備虛擬成多臺設備，供多個對象單獨使用，減少安全設備的部署數量;通過H3C 第二代智能彈性架構技術(IRF2)可以實現N：1的虛擬化，可以將多臺設備虛擬成一臺設備，實現負載分擔和統一管理，極大簡化網絡邏輯架構、整合物理節點，實現數據中心網絡運行的簡捷化。

　　統一安全管理

　　H3C安全管理平臺集成了SecCenter、iMC，可以實現數據中心統一部署、監控和管理。SecCenter對數據中心所有設備和服務器的海量安全事件進行采集、分析、關聯、匯聚和統一處理，實時輸出安全報告，協助管理員及時掌握數據中心的安全狀態。不管數據中心部署了多少種安全設備或安全插卡，只要是一臺交換機上的安全插卡，全部可以登錄到同一個配置界面進行管理，可以進行統一的安全事件分析和全策略部署，而不需要部署多套管理軟件。

　　典型行業安全解決方案

　　1. 網銀數據中心安全防護

　　近年來，由于網上銀行業務的快速發展，網銀數據中心面臨著巨大的安全威脅。由于訪問流量大、以商業利益為目的的攻擊猖獗以及數據中心業務種類多等特點，導致網銀系統對安全的要求特別高。目前網銀數據中心主要呈現以下應用特點：

訪問量快速增長，服務器面臨巨大的性能壓力。

以木馬、間諜軟件、SQL注入等以竊取用戶個人信息為代表的應用層攻擊難以防范。

DDoS攻擊日趨嚴重，通過帶寬耗盡或資源耗盡等攻擊方式，導致網銀系統服務中斷。

網銀內部分區復雜，需要進行有效的內部安全隔離，防止信息泄密。

大量的安全設備帶來一系列能耗高、噪音大等環境問題。

針對上述種種問題，H3C憑借完善的網絡安全產品和解決方案，以及對數據中心的深刻理解，能夠為網銀數據中心提供全方面的安全保護。

通過在互聯網出口部署專業的流量清洗產品，能夠對大流量、突發性的DDoS攻擊進行快速檢測和清洗，保證網銀系統能夠提供7*24小時的穩定服務。

在出口部署H3C超萬兆的防火墻，通過高性能的NAT轉換及安全策略部署，防止非法用戶的登錄。在數據中心內部通過部署防火墻，實現互聯網區、外聯區、核心生產區、辦公區等不同區域之間的有效隔離。

通過集成專業防病毒引擎的IPS，能夠有效的阻斷SQL注入、木馬、間諜軟件、病毒等各種應用層攻擊，防止用戶機密信息被竊取等行為導致的商業損失。

采用鏈路負載均衡，提高出口鏈路的使用效率和訪問速度。采用服務器負載均衡，把訪問數據智能靈活的分發到不同服務器上，能最大限度發揮服務器的性能，加快服務器響應速度，從而提高客戶滿意度。

采用SSL卸載設備，能夠對通過HTTPS加密訪問的數據進行數據加解密，從而減輕務器處理HTTPS業務的負荷，提高服務器處理性能。

采用H3C領先的安全虛擬化技術，不但減少了數據中心安全設備的部署數量，降低了TCO;同時由于簡化了組網復雜度，降低了維護難度、減少了故障節點。

此外，H3C全系列產品都符合ROHS環保標準，能為用戶創建一個綠色、環保、節能的新一代數據中心。

　　相關參考案例：工商銀行、中國銀行、安徽農信、江西農信、福建農信、廈門商行等等。