數(shù)據(jù)中心安全防護(hù)解決方案

網(wǎng)絡(luò)的核心資產(chǎn)是數(shù)據(jù)，所有的網(wǎng)絡(luò)建設(shè)都是為了滿足數(shù)據(jù)的訪問，而集中的、大型數(shù)據(jù)中心是整個(gè)網(wǎng)絡(luò)建設(shè)的重點(diǎn)工作之一。網(wǎng)絡(luò)的應(yīng)用使得數(shù)據(jù)中心的重要性日益增大，而另一方面由于數(shù)據(jù)中心的數(shù)據(jù)非常重要，它也成為了網(wǎng)絡(luò)竊取和攻擊行為最感興趣的部分。

傳統(tǒng)的安全概念中，網(wǎng)絡(luò)被人為的區(qū)分為可信任網(wǎng)絡(luò)和不可信任網(wǎng)絡(luò)，一般只需要在網(wǎng)絡(luò)的邊界安裝防護(hù)設(shè)備就可以構(gòu)成一個(gè)可信任的網(wǎng)絡(luò)。這種觀念本身沒有錯(cuò)誤，但是問題的關(guān)鍵在于，隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，攻擊手段的更新，越來越多的網(wǎng)絡(luò)安全事件發(fā)生的源頭并不僅來自不可信的互聯(lián)網(wǎng)絡(luò)，而恰恰是通常認(rèn)為可信任網(wǎng)絡(luò)的內(nèi)網(wǎng)。所以作為網(wǎng)絡(luò)中最重要的組成部分的數(shù)據(jù)中心，必須既要能夠防御來自互聯(lián)網(wǎng)的威脅，更要防止來自辦公網(wǎng)絡(luò)甚至生產(chǎn)網(wǎng)絡(luò)的不安全行為。

據(jù)權(quán)威機(jī)構(gòu)發(fā)布的一份報(bào)告顯示：2008年上半年，全球每分鐘發(fā)生9110次的DDoS攻擊。在國(guó)內(nèi)，DDoS攻擊占網(wǎng)絡(luò)攻擊的15%，平均每分鐘發(fā)生800次，且在不斷遞增。全球有500萬的僵尸主機(jī)，現(xiàn)在很多計(jì)算機(jī)和服務(wù)器都被病毒控制了。  

綜上報(bào)告表明，DoS和DDoS攻擊行為攻擊數(shù)量在逐年的遞增，由于數(shù)據(jù)中心服務(wù)器未能做到嚴(yán)格的防范，操作系統(tǒng)和應(yīng)用軟件的存在漏洞問題，導(dǎo)致服務(wù)器很容易成為僵尸主機(jī)，被攻擊者控制進(jìn)而成為發(fā)起DDoS的攻擊源，不僅導(dǎo)致企業(yè)面臨機(jī)密數(shù)據(jù)泄漏，而且由于成為攻擊發(fā)起源還可能承擔(dān)法律責(zé)任。

針對(duì)數(shù)據(jù)中心服務(wù)器的防護(hù)重要性問題，我們認(rèn)為：所有的數(shù)據(jù)中心前端都應(yīng)部署防火墻，針對(duì)數(shù)據(jù)中心的每個(gè)訪問行為進(jìn)行檢測(cè)控制，對(duì)每一臺(tái)服務(wù)器指定嚴(yán)格的訪問控制策略，關(guān)閉與服務(wù)無關(guān)的端口，拒絕網(wǎng)絡(luò)中非法的訪問及網(wǎng)絡(luò)攻擊行為。

數(shù)據(jù)中心安全防護(hù)解決方案拓?fù)鋱D如下：

除防火墻以外，我們還應(yīng)在數(shù)據(jù)中心前端盡可能的采取一些其它的安全措施，這些措施包括：防DoS、DDoS攻擊系統(tǒng)的部署、IPS系統(tǒng)部署等，對(duì)出入數(shù)據(jù)中心的數(shù)據(jù)進(jìn)行訪問控制和深層的安全分析、檢測(cè)，從而在安全威脅到達(dá)數(shù)據(jù)中心之前進(jìn)行有效的攔截和告警。

5.1訪問控制、應(yīng)用隔離

企業(yè)網(wǎng)絡(luò)一般按照不同的功能、部門等劃分為不同的網(wǎng)絡(luò)區(qū)域，并對(duì)不同的區(qū)域設(shè)置不同的訪問權(quán)限，使不同的網(wǎng)絡(luò)區(qū)域具有不同的安全級(jí)別，從而達(dá)到網(wǎng)絡(luò)整體結(jié)構(gòu)的分工化、安全化。

數(shù)據(jù)中心因其重要地位，必須與其他網(wǎng)絡(luò)區(qū)域進(jìn)行隔離，對(duì)于進(jìn)出數(shù)據(jù)中心的數(shù)據(jù)流進(jìn)行嚴(yán)格的訪問控制。防火墻是最成熟、最經(jīng)濟(jì)、最有效的安全措施之一。對(duì)于數(shù)據(jù)中心來說，可在與其它網(wǎng)絡(luò)區(qū)域連接邊界部署防火墻，進(jìn)行訪問控制，攔截網(wǎng)絡(luò)攻擊行為。

防火墻能增強(qiáng)數(shù)據(jù)中心內(nèi)部網(wǎng)絡(luò)的安全性。防火墻系統(tǒng)可以控制哪些內(nèi)部服務(wù)可以被外界訪問；外界的哪些人可以訪問內(nèi)部的服務(wù)以及哪些外部服務(wù)可以被內(nèi)部人員訪問。通過設(shè)置，防火墻只允許授權(quán)的數(shù)據(jù)通過，還可以很方便地監(jiān)視網(wǎng)絡(luò)的安全性，并針對(duì)網(wǎng)絡(luò)中異常行為進(jìn)行報(bào)警。利用防火墻地址轉(zhuǎn)換(NAT)技術(shù)，將內(nèi)部的IP地址隱藏起來，有效的減少服務(wù)器的安全威脅。

5.2入侵防御

通過對(duì)防火墻進(jìn)行嚴(yán)格配置，可以阻止各種非法訪問進(jìn)出數(shù)據(jù)中心，從而降低安全風(fēng)險(xiǎn)。但是，數(shù)據(jù)中心的安全不可能完全依靠防火墻來實(shí)現(xiàn)，因?yàn)榉阑饓o法阻止應(yīng)用層攻擊行為，網(wǎng)絡(luò)安全是整體的，必須部署相應(yīng)的網(wǎng)絡(luò)安全產(chǎn)品，作為防火墻的必要補(bǔ)充。數(shù)據(jù)中心還需要有入侵檢測(cè)和防御(IPS)的功能，IPS可根據(jù)已有的、最新的攻擊行為代碼對(duì)進(jìn)出網(wǎng)絡(luò)的所有訪問行為進(jìn)行實(shí)時(shí)監(jiān)控、記錄，從而防止針對(duì)數(shù)據(jù)中心的攻擊行為。

對(duì)于數(shù)據(jù)中心來說，可在防火墻和路由器/交換機(jī)之間部署IPS設(shè)備，采用流量異常檢測(cè)、后門檢測(cè)、協(xié)議異常檢測(cè)、狀態(tài)簽名檢測(cè)、多重方法攻擊檢測(cè)等方式進(jìn)行防護(hù)。

5.3攻擊防護(hù)

隨著Internet用戶上網(wǎng)帶寬的增加和互聯(lián)網(wǎng)上多種Dos和DDoS黑客工具的不斷發(fā)布，Dos和DDoS攻擊的實(shí)施越來越容易，Dos和DDoS攻擊事件正在呈上升趨勢(shì)。由于商業(yè)競(jìng)爭(zhēng)、打擊報(bào)復(fù)和網(wǎng)絡(luò)敲詐等多種因素，很多企業(yè)的數(shù)據(jù)中心長(zhǎng)期以來一直為Dos和DDoS攻擊所困擾。隨之而來的是客戶投訴、法律糾紛、客戶流失等一系列問題。因此，解決Dos和DDoS攻擊問題成為數(shù)據(jù)中心必須考慮的非常重要的大事。

為了防范攻擊，數(shù)據(jù)中心已經(jīng)配備了防火墻和入侵檢測(cè)等設(shè)備，但靠防火墻和入侵防御系統(tǒng)是無法對(duì)所有攻擊行為進(jìn)行防護(hù)，DoS和DDoS防護(hù)技術(shù)可以彌補(bǔ)防火墻和入侵防御系統(tǒng)存在的弊端：

Ø  攻擊特征碼只有在攻擊發(fā)生以后才能被分析出來，防火墻及入侵防御系統(tǒng)防御手段雖然有效，但是缺少足夠的主動(dòng)性；

Ø  新型的攻擊層出不窮，基于特征和基于閥值的防范方式都只能從網(wǎng)絡(luò)的行為的局部來降低攻擊帶來的負(fù)面影響。

因此，在網(wǎng)絡(luò)安全形勢(shì)日益嚴(yán)峻的今天，網(wǎng)絡(luò)更需要多層次的、有效的主動(dòng)防范機(jī)制，即專業(yè)的DoS和DDoS防護(hù)技術(shù)。

DoS和DDoS防護(hù)設(shè)備可以實(shí)時(shí)地隔離、攔截和阻止各種應(yīng)用攻擊，從而為所有網(wǎng)絡(luò)化應(yīng)用、資源互訪提供了直接保護(hù)。同時(shí)具備入侵檢測(cè)技術(shù)、DoS和DDoS防護(hù)、基于網(wǎng)絡(luò)行為模式BDOS攻擊、具備帶寬管理功能，并能有效地在出口限制P2P應(yīng)用帶寬及非法流量。