企业数据中心安全解决方案
1、应用背景
企业数据中心承载着用户的核心业务和机密数据,同时为内部、外部以及合作伙伴等客户提供业务交互和数据交换。所以说作为业务应用核心和敏感数据的汇集点,企业数据中心永远是攻击者最感兴趣的目标。以下问题一直困扰着用户的企业数据中心建设:
如何防范层出不穷的入侵?
如何防御大流量的DDoS和应用层攻击?
如何提高高压力时服务器的响应速度?
在安全防护的前提下,如何保证业务不间断?
如何简化企业数据中心的组网,降低管理难度和成本投入?
不同的安全产品,如何实现智能统一管理?
2、方案概述
企业数据中心要面对来自局域网、广域网和Internet网等不同用户的访问,由于访问用户所处的位置不同,访问的内容也不一样,因此其安全威胁的特点和等级都各不相同,有必要针对不同的用户采取不同的安全防护策略。如针对Internet网的用户需要进行DDoS的检测防御、安全权限的控制以及木马、病毒的检查,面对内网用户主要进行安全区域的隔离和病毒的检查。因此,能够提供全面的安全产品就非常重要。
本次方案采用H3C产品,为用户提供一体化、智能化、虚拟化及高性能的
新一代企业数据中心安全解决方案。企业数据中心安全解决方案是由安全防御系统、负载均衡设备和安全管理平台等有机组成的,各种设备相互协助和配合,从而达到完备的安全防护效果。安全防御系统包括高性能的防火墙、IPS和流量清洗设备,能够实现包括DDoS防御、区域安全隔离、深度入侵防御等功能,实现对2~7层攻击的防御;而通过采用链路负载均衡和服务器负载均衡设备,能够通过智能的判断链路拥塞情况或者服务器的负荷情况,通过选择有效的负载均衡调度算法,以提升企业数据中心的响应速度和处理能力,为用户提供更佳体验;同时,通过安全管理平台通过对各种网络设备和安全设备安全日志的统一收集和监控,能够发现网络中存在的安全威胁和异常流量,然后再由安全管理平台的统一配置和管理,实现全网安全统一防控。
3、典型组网
由于企业数据中心的重要性,在实现安全防护的同时,必须保证不能影响企业数据中心的转发性能。核心层作为企业数据中心交换的主节点,不再部署安全设备,而将安全设备备部署在汇聚交换层和接入层。其中,汇聚交换层可以在线或者旁挂部署高性能的盒式或插卡设备,而接入层也可以在各交换机中部署FW或IPS插卡,实现各个安全分区内部的保护。
一体化的部署模式
安全防护是一个整体,任何疏漏都可能被攻击者利用并导致破坏。针对企业数据中心,H3C新一代企业数据中心安全解决方案推出了XBOX安全防御系统,通过在网络设备上集成SecBlade插卡,真正把安全技术融入到网络设备中,不但提供了包括安全隔离(FW)、DDoS防御(AFC)、深度防护(IPS)等在内的全面安全防护功能,还可以通过负载均衡(LB)以及网络流量分析(
NetStream)等功能,实现对企业数据中心应用的优化,提高企业数据中心的可用性。
智能化的按需防护
传统的企业数据中心安全解决方案一般采用串行的部署模式,数据流要经过FW、IPS、防毒墙等设备的层层过滤,不但效率低,而且可靠性差。H3C的旁挂式安全解决方案,可以采用XBOX企业数据中心安全服务区,也可以采用高性能的盒式设备,能够针对不同用户实现按需引流,通过内部灵活的数据调度,将流量引到特定的安全模块上进行针对性的安全检测和防御,减小安全产品的处理负荷。对于不需安全处理的业务,降低传输时延及被阻断的风险。
高性能可扩展
面对企业数据中心访问人数多、流量大、业务发展快速的特点,安全设备如果性能不足,必然会成为企业数据中心的瓶颈所在。H3C的安全设备从两个方面满足新一代企业数据中心对安全性能的要求。一方面,H3C采用了业界领先的“多核处理器+FPGA”的硬件处理芯片,处理性能上大大超过传统的X86等硬件架构。另一方面,不仅XBOX安全平台可以扩展,而且像F5000和T5000等盒式安全设备也都采用了可扩展的“插卡式”硬件架构。在不改变拓扑结构和不中断原有业务的前提下,能够通过业务模块的平滑扩容,实现处理性能的倍增,灵活、高效的解决了企业数据中心流量快速增长情况下的安全瓶颈问题。
虚拟化的安全
企业数据中心由于运行的业务系统增多,网络安全设备种类及数量也在增多,导致部署越来越繁杂,设备与资源之间的矛盾越来越激烈,而通过采用虚拟化技术对资源进行合理的分配能够有效的解决上述难题。 H3C的安全设备支持多种虚拟化技术:通过1:N的虚拟化,可以将一台设备虚拟成多台设备,供多个对象单独使用,减少安全设备的部署数量;通过H3C 第二代智能弹性架构技术(
IRF2)可以实现N:1的虚拟化,可以将多台设备虚拟成一台设备,实现负载分担和统一管理,极大简化网络逻辑架构、整合物理节点,实现企业数据中心网络运行的简捷化。
统一安全管理
H3C安全管理平台集成了SecCenter、iMC,可以实现企业数据中心统一部署、监控和管理。SecCenter对企业数据中心所有设备和服务器的海量安全事件进行采集、分析、关联、汇聚和统一处理,实时输出安全报告,协助管理员及时掌握企业数据中心的安全状态。不管企业数据中心部署了多少种安全设备或安全插卡,只要是一台交换机上的安全插卡,全部可以登录到同一个配置界面进行管理,可以进行统一的安全事件分析和全策略部署,而不需要部署多套管理软件