數(shù)據(jù)中心安全防護解決方案

網(wǎng)絡的核心資產(chǎn)是數(shù)據(jù)，所有的網(wǎng)絡建設(shè)都是為了滿足數(shù)據(jù)的訪問，而集中的、大型數(shù)據(jù)中心是整個網(wǎng)絡建設(shè)的重點工作之一。網(wǎng)絡的應用使得數(shù)據(jù)中心的重要性日益增大，而另一方面由于數(shù)據(jù)中心的數(shù)據(jù)非常重要，它也成為了網(wǎng)絡竊取和攻擊行為最感興趣的部分。

傳統(tǒng)的安全概念中，網(wǎng)絡被人為的區(qū)分為可信任網(wǎng)絡和不可信任網(wǎng)絡，一般只需要在網(wǎng)絡的邊界安裝防護設(shè)備就可以構(gòu)成一個可信任的網(wǎng)絡。這種觀念本身沒有錯誤，但是問題的關(guān)鍵在于，隨著網(wǎng)絡技術(shù)的發(fā)展，攻擊手段的更新，越來越多的網(wǎng)絡安全事件發(fā)生的源頭并不僅來自不可信的互聯(lián)網(wǎng)絡，而恰恰是通常認為可信任網(wǎng)絡的內(nèi)網(wǎng)。所以作為網(wǎng)絡中最重要的組成部分的數(shù)據(jù)中心，必須既要能夠防御來自互聯(lián)網(wǎng)的威脅，更要防止來自辦公網(wǎng)絡甚至生產(chǎn)網(wǎng)絡的不安全行為。

據(jù)權(quán)威機構(gòu)發(fā)布的一份報告顯示：2008年上半年，全球每分鐘發(fā)生9110次的DDoS攻擊。在國內(nèi)，DDoS攻擊占網(wǎng)絡攻擊的15%，平均每分鐘發(fā)生800次，且在不斷遞增。全球有500萬的僵尸主機，現(xiàn)在很多計算機和服務器都被病毒控制了。  

綜上報告表明，DoS和DDoS攻擊行為攻擊數(shù)量在逐年的遞增，由于數(shù)據(jù)中心服務器未能做到嚴格的防范，操作系統(tǒng)和應用軟件的存在漏洞問題，導致服務器很容易成為僵尸主機，被攻擊者控制進而成為發(fā)起DDoS的攻擊源，不僅導致企業(yè)面臨機密數(shù)據(jù)泄漏，而且由于成為攻擊發(fā)起源還可能承擔法律責任。

針對數(shù)據(jù)中心服務器的防護重要性問題，我們認為：所有的數(shù)據(jù)中心前端都應部署防火墻，針對數(shù)據(jù)中心的每個訪問行為進行檢測控制，對每一臺服務器指定嚴格的訪問控制策略，關(guān)閉與服務無關(guān)的端口，拒絕網(wǎng)絡中非法的訪問及網(wǎng)絡攻擊行為。

數(shù)據(jù)中心安全防護解決方案拓撲圖如下：

除防火墻以外，我們還應在數(shù)據(jù)中心前端盡可能的采取一些其它的安全措施，這些措施包括：防DoS、DDoS攻擊系統(tǒng)的部署、IPS系統(tǒng)部署等，對出入數(shù)據(jù)中心的數(shù)據(jù)進行訪問控制和深層的安全分析、檢測，從而在安全威脅到達數(shù)據(jù)中心之前進行有效的攔截和告警。

5.1訪問控制、應用隔離

企業(yè)網(wǎng)絡一般按照不同的功能、部門等劃分為不同的網(wǎng)絡區(qū)域，并對不同的區(qū)域設(shè)置不同的訪問權(quán)限，使不同的網(wǎng)絡區(qū)域具有不同的安全級別，從而達到網(wǎng)絡整體結(jié)構(gòu)的分工化、安全化。

數(shù)據(jù)中心因其重要地位，必須與其他網(wǎng)絡區(qū)域進行隔離，對于進出數(shù)據(jù)中心的數(shù)據(jù)流進行嚴格的訪問控制。防火墻是最成熟、最經(jīng)濟、最有效的安全措施之一。對于數(shù)據(jù)中心來說，可在與其它網(wǎng)絡區(qū)域連接邊界部署防火墻，進行訪問控制，攔截網(wǎng)絡攻擊行為。

防火墻能增強數(shù)據(jù)中心內(nèi)部網(wǎng)絡的安全性。防火墻系統(tǒng)可以控制哪些內(nèi)部服務可以被外界訪問；外界的哪些人可以訪問內(nèi)部的服務以及哪些外部服務可以被內(nèi)部人員訪問。通過設(shè)置，防火墻只允許授權(quán)的數(shù)據(jù)通過，還可以很方便地監(jiān)視網(wǎng)絡的安全性，并針對網(wǎng)絡中異常行為進行報警。利用防火墻地址轉(zhuǎn)換(NAT)技術(shù)，將內(nèi)部的IP地址隱藏起來，有效的減少服務器的安全威脅。

5.2入侵防御

通過對防火墻進行嚴格配置，可以阻止各種非法訪問進出數(shù)據(jù)中心，從而降低安全風險。但是，數(shù)據(jù)中心的安全不可能完全依靠防火墻來實現(xiàn)，因為防火墻無法阻止應用層攻擊行為，網(wǎng)絡安全是整體的，必須部署相應的網(wǎng)絡安全產(chǎn)品，作為防火墻的必要補充。數(shù)據(jù)中心還需要有入侵檢測和防御(IPS)的功能，IPS可根據(jù)已有的、最新的攻擊行為代碼對進出網(wǎng)絡的所有訪問行為進行實時監(jiān)控、記錄，從而防止針對數(shù)據(jù)中心的攻擊行為。

對于數(shù)據(jù)中心來說，可在防火墻和路由器/交換機之間部署IPS設(shè)備，采用流量異常檢測、后門檢測、協(xié)議異常檢測、狀態(tài)簽名檢測、多重方法攻擊檢測等方式進行防護。

5.3攻擊防護

隨著Internet用戶上網(wǎng)帶寬的增加和互聯(lián)網(wǎng)上多種Dos和DDoS黑客工具的不斷發(fā)布，Dos和DDoS攻擊的實施越來越容易，Dos和DDoS攻擊事件正在呈上升趨勢。由于商業(yè)競爭、打擊報復和網(wǎng)絡敲詐等多種因素，很多企業(yè)的數(shù)據(jù)中心長期以來一直為Dos和DDoS攻擊所困擾。隨之而來的是客戶投訴、法律糾紛、客戶流失等一系列問題。因此，解決Dos和DDoS攻擊問題成為數(shù)據(jù)中心必須考慮的非常重要的大事。

為了防范攻擊，數(shù)據(jù)中心已經(jīng)配備了防火墻和入侵檢測等設(shè)備，但靠防火墻和入侵防御系統(tǒng)是無法對所有攻擊行為進行防護，DoS和DDoS防護技術(shù)可以彌補防火墻和入侵防御系統(tǒng)存在的弊端：

Ø  攻擊特征碼只有在攻擊發(fā)生以后才能被分析出來，防火墻及入侵防御系統(tǒng)防御手段雖然有效，但是缺少足夠的主動性；

Ø  新型的攻擊層出不窮，基于特征和基于閥值的防范方式都只能從網(wǎng)絡的行為的局部來降低攻擊帶來的負面影響。

因此，在網(wǎng)絡安全形勢日益嚴峻的今天，網(wǎng)絡更需要多層次的、有效的主動防范機制，即專業(yè)的DoS和DDoS防護技術(shù)。

DoS和DDoS防護設(shè)備可以實時地隔離、攔截和阻止各種應用攻擊，從而為所有網(wǎng)絡化應用、資源互訪提供了直接保護。同時具備入侵檢測技術(shù)、DoS和DDoS防護、基于網(wǎng)絡行為模式BDOS攻擊、具備帶寬管理功能，并能有效地在出口限制P2P應用帶寬及非法流量。