應用背景

　　數(shù)據(jù)中心承載著用戶的核心業(yè)務和機密數(shù)據(jù)，同時為內(nèi)部、外部以及合作伙伴等客戶提供業(yè)務交互和數(shù)據(jù)交換。所以說作為業(yè)務應用核心和敏感數(shù)據(jù)的匯集點，數(shù)據(jù)中心永遠是攻擊者最感興趣的目標。以下問題一直困擾著用戶的數(shù)據(jù)中心建設：

　　如何防范層出不窮的入侵?

　　如何防御大流量的DDoS和應用層攻擊?

　　如何提高高壓力時服務器的響應速度?

　　在安全防護的前提下，如何保證業(yè)務不間斷?

　　如何簡化數(shù)據(jù)中心的組網(wǎng)，降低管理難度和成本投入?

　　不同的安全產(chǎn)品，如何實現(xiàn)智能統(tǒng)一管理?

　　方案概述

　　數(shù)據(jù)中心要面對來自局域網(wǎng)、廣域網(wǎng)和Internet網(wǎng)等不同用戶的訪問，由于訪問用戶所處的位置不同，訪問的內(nèi)容也不一樣，因此其安全威脅的特點和等級都各不相同，有必要針對不同的用戶采取不同的安全防護策略。如針對Internet網(wǎng)的用戶需要進行DDoS的檢測防御、安全權限的控制以及木馬、病毒的檢查，面對內(nèi)網(wǎng)用戶主要進行安全區(qū)域的隔離和病毒的檢查。因此，能夠提供全面的安全產(chǎn)品就非常重要。

　　H3C具備非常完善的安全產(chǎn)品種類，包括針對網(wǎng)絡層的防火墻、流量清洗和網(wǎng)流分析產(chǎn)品;針對應用層的IPS入侵防御和流控產(chǎn)品。為了提高數(shù)據(jù)中心的性能，還可以選擇鏈路負載均衡和服務器負載均衡產(chǎn)品。此外，H3C提供的安全管理平臺，能夠?qū)ι鲜龈黝惍a(chǎn)品提供統(tǒng)一的安全管理。正是由于具備了完善的產(chǎn)品系列，H3C才能夠給用戶提供一體化、智能化、虛擬化及高性能的新一代數(shù)據(jù)中心安全解決方案。

　　H3C新一代數(shù)據(jù)中心安全解決方案是由安全防御系統(tǒng)、負載均衡設備和安全管理平臺等有機組成的，各種設備相互協(xié)助和配合，從而達到完備的安全防護效果。安全防御系統(tǒng)包括高性能的防火墻、IPS和流量清洗設備，能夠?qū)崿F(xiàn)包括DDoS防御、區(qū)域安全隔離、深度入侵防御等功能，實現(xiàn)對2~7層攻擊的防御;而通過采用鏈路負載均衡和服務器負載均衡設備，能夠通過智能的判斷鏈路擁塞情況或者服務器的負荷情況，通過選擇有效的負載均衡調(diào)度算法，以提升數(shù)據(jù)中心的響應速度和處理能力，為用戶提供更佳體驗;同時，通過安全管理平臺通過對各種網(wǎng)絡設備和安全設備安全日志的統(tǒng)一收集和監(jiān)控，能夠發(fā)現(xiàn)網(wǎng)絡中存在的安全威脅和異常流量，然后再由安全管理平臺的統(tǒng)一配置和管理，實現(xiàn)全網(wǎng)安全統(tǒng)一防控。

　　H3C安全產(chǎn)品的形態(tài)也很豐富，包括盒式設備和插卡式設備。H3C針對數(shù)據(jù)中心專門能夠提供多種高性能的盒式安全產(chǎn)品，包括F5000超萬兆防火墻和T5000入侵防御產(chǎn)品(IPS)。這些盒式設備適合獨立式組網(wǎng)應用，可以在各個需要的節(jié)點部署相應的安全產(chǎn)品，組網(wǎng)靈活。此外，H3C領先的融合于H3C S12500/S95E/S75E/S58等交換機的各種安全插卡，更是為數(shù)據(jù)中心的安全防護提供了的靈活的選擇。這些插卡可以部署在從核心層、匯聚層到接入層的各級交換機中，實現(xiàn)分級安全防護。插卡在部署時充分考慮了可靠性、靈活性，以保障數(shù)據(jù)中心業(yè)務持續(xù)不間斷地運行。

　　典型組網(wǎng)

　　由于數(shù)據(jù)中心的重要性，在實現(xiàn)安全防護的同時，必須保證不能影響數(shù)據(jù)中心的轉(zhuǎn)發(fā)性能。核心層作為數(shù)據(jù)中心交換的主節(jié)點，不再部署安全設備，而將安全設備備部署在匯聚交換層和接入層。其中，匯聚交換層可以在線或者旁掛部署高性能的盒式或插卡設備，而接入層也可以在各交換機中部署FW或IPS插卡，實現(xiàn)各個安全分區(qū)內(nèi)部的保護。

　　方案特點

　　一體化的部署模式

　　安全防護是一個整體，任何疏漏都可能被攻擊者利用并導致破壞。針對數(shù)據(jù)中心，H3C新一代數(shù)據(jù)中心安全解決方案推出了XBOX安全防御系統(tǒng)，通過在網(wǎng)絡設備上集成SecBlade插卡，真正把安全技術融入到網(wǎng)絡設備中，不但提供了包括安全隔離(FW)、DDoS防御(AFC)、深度防護(IPS)等在內(nèi)的全面安全防護功能，還可以通過負載均衡(LB)以及網(wǎng)絡流量分析(NetStream)等功能，實現(xiàn)對數(shù)據(jù)中心應用的優(yōu)化，提高數(shù)據(jù)中心的可用性。

　　智能化的按需防護

　　傳統(tǒng)的數(shù)據(jù)中心安全解決方案一般采用串行的部署模式，數(shù)據(jù)流要經(jīng)過FW、IPS、防毒墻等設備的層層過濾，不但效率低，而且可靠性差。H3C的旁掛式安全解決方案，可以采用XBOX數(shù)據(jù)中心安全服務區(qū)，也可以采用高性能的盒式設備，能夠針對不同用戶實現(xiàn)按需引流，通過內(nèi)部靈活的數(shù)據(jù)調(diào)度，將流量引到特定的安全模塊上進行針對性的安全檢測和防御，減小安全產(chǎn)品的處理負荷。對于不需安全處理的業(yè)務，降低傳輸時延及被阻斷的風險。

　　高性能可擴展

　　面對數(shù)據(jù)中心訪問人數(shù)多、流量大、業(yè)務發(fā)展快速的特點，安全設備如果性能不足，必然會成為數(shù)據(jù)中心的瓶頸所在。H3C的安全設備從兩個方面滿足新一代數(shù)據(jù)中心對安全性能的要求。一方面，H3C采用了業(yè)界領先的“多核處理器+FPGA”的硬件處理芯片，處理性能上大大超過傳統(tǒng)的X86等硬件架構。另一方面，不僅XBOX安全平臺可以擴展，而且像F5000和T5000等盒式安全設備也都采用了可擴展的“插卡式”硬件架構。在不改變拓撲結(jié)構和不中斷原有業(yè)務的前提下，能夠通過業(yè)務模塊的平滑擴容，實現(xiàn)處理性能的倍增，靈活、高效的解決了數(shù)據(jù)中心流量快速增長情況下的安全瓶頸問題。

　　虛擬化的安全

　　數(shù)據(jù)中心由于運行的業(yè)務系統(tǒng)增多，網(wǎng)絡安全設備種類及數(shù)量也在增多，導致部署越來越繁雜，設備與資源之間的矛盾越來越激烈，而通過采用虛擬化技術對資源進行合理的分配能夠有效的解決上述難題。 H3C的安全設備支持多種虛擬化技術：通過1：N的虛擬化，可以將一臺設備虛擬成多臺設備，供多個對象單獨使用，減少安全設備的部署數(shù)量;通過H3C 第二代智能彈性架構技術(IRF2)可以實現(xiàn)N：1的虛擬化，可以將多臺設備虛擬成一臺設備，實現(xiàn)負載分擔和統(tǒng)一管理，極大簡化網(wǎng)絡邏輯架構、整合物理節(jié)點，實現(xiàn)數(shù)據(jù)中心網(wǎng)絡運行的簡捷化。

　　統(tǒng)一安全管理

　　H3C安全管理平臺集成了SecCenter、iMC，可以實現(xiàn)數(shù)據(jù)中心統(tǒng)一部署、監(jiān)控和管理。SecCenter對數(shù)據(jù)中心所有設備和服務器的海量安全事件進行采集、分析、關聯(lián)、匯聚和統(tǒng)一處理，實時輸出安全報告，協(xié)助管理員及時掌握數(shù)據(jù)中心的安全狀態(tài)。不管數(shù)據(jù)中心部署了多少種安全設備或安全插卡，只要是一臺交換機上的安全插卡，全部可以登錄到同一個配置界面進行管理，可以進行統(tǒng)一的安全事件分析和全策略部署，而不需要部署多套管理軟件。

　　典型行業(yè)安全解決方案

　　1. 網(wǎng)銀數(shù)據(jù)中心安全防護

　　近年來，由于網(wǎng)上銀行業(yè)務的快速發(fā)展，網(wǎng)銀數(shù)據(jù)中心面臨著巨大的安全威脅。由于訪問流量大、以商業(yè)利益為目的的攻擊猖獗以及數(shù)據(jù)中心業(yè)務種類多等特點，導致網(wǎng)銀系統(tǒng)對安全的要求特別高。目前網(wǎng)銀數(shù)據(jù)中心主要呈現(xiàn)以下應用特點：

訪問量快速增長，服務器面臨巨大的性能壓力。

以木馬、間諜軟件、SQL注入等以竊取用戶個人信息為代表的應用層攻擊難以防范。

DDoS攻擊日趨嚴重，通過帶寬耗盡或資源耗盡等攻擊方式，導致網(wǎng)銀系統(tǒng)服務中斷。

網(wǎng)銀內(nèi)部分區(qū)復雜，需要進行有效的內(nèi)部安全隔離，防止信息泄密。

大量的安全設備帶來一系列能耗高、噪音大等環(huán)境問題。

針對上述種種問題，H3C憑借完善的網(wǎng)絡安全產(chǎn)品和解決方案，以及對數(shù)據(jù)中心的深刻理解，能夠為網(wǎng)銀數(shù)據(jù)中心提供全方面的安全保護。

通過在互聯(lián)網(wǎng)出口部署專業(yè)的流量清洗產(chǎn)品，能夠?qū)Υ罅髁?、突發(fā)性的DDoS攻擊進行快速檢測和清洗，保證網(wǎng)銀系統(tǒng)能夠提供7*24小時的穩(wěn)定服務。

在出口部署H3C超萬兆的防火墻，通過高性能的NAT轉(zhuǎn)換及安全策略部署，防止非法用戶的登錄。在數(shù)據(jù)中心內(nèi)部通過部署防火墻，實現(xiàn)互聯(lián)網(wǎng)區(qū)、外聯(lián)區(qū)、核心生產(chǎn)區(qū)、辦公區(qū)等不同區(qū)域之間的有效隔離。

通過集成專業(yè)防病毒引擎的IPS，能夠有效的阻斷SQL注入、木馬、間諜軟件、病毒等各種應用層攻擊，防止用戶機密信息被竊取等行為導致的商業(yè)損失。

采用鏈路負載均衡，提高出口鏈路的使用效率和訪問速度。采用服務器負載均衡，把訪問數(shù)據(jù)智能靈活的分發(fā)到不同服務器上，能最大限度發(fā)揮服務器的性能，加快服務器響應速度，從而提高客戶滿意度。

采用SSL卸載設備，能夠?qū)νㄟ^HTTPS加密訪問的數(shù)據(jù)進行數(shù)據(jù)加解密，從而減輕務器處理HTTPS業(yè)務的負荷，提高服務器處理性能。

采用H3C領先的安全虛擬化技術，不但減少了數(shù)據(jù)中心安全設備的部署數(shù)量，降低了TCO;同時由于簡化了組網(wǎng)復雜度，降低了維護難度、減少了故障節(jié)點。

此外，H3C全系列產(chǎn)品都符合ROHS環(huán)保標準，能為用戶創(chuàng)建一個綠色、環(huán)保、節(jié)能的新一代數(shù)據(jù)中心。

　　相關參考案例：工商銀行、中國銀行、安徽農(nóng)信、江西農(nóng)信、福建農(nóng)信、廈門商行等等。