随着越来越多的企业业务和数据正从分散部署走向大集中,作为这种集中模式的代表,数据中心的出现极大地促进了企业业务的发展。但与此同时,受制于数据中心对开放Internet的依赖,在带来应用便利和自由度的同时,也对安全提出了更高的要求。
数据中心的特点及安全需求
通过互联网提供服务的数据中心的特点是:业务集中化处理,数据集中化存储,外部集中访问。此类的数据中心对互联网开放,因此数据中心往往面临着较多的安全威胁。作为集中了用户最重要信息的资产,其重要性不言而喻,因此加强边界的安全防护显得至关重要。
众所周知,数据中心实现了业务和数据的大集中,对于用户而言,其所有的业务都要通过远程访问数据中心的资源,这就使得数据中心往往面对众多的远程访问请求,数据中心承受着大并发访问量、高开放性、多业务并存以及不确定的访问来源等多种情况,因此给数据中心带来了众多的安全威胁,所以安全需求也因此而生。
数据中心对网络边界层面的防护具有如下的安全需求:其一是有效的边界隔离,可以实现对非法访问的阻断;其二是有效的身份识别与访问控制功能,可以实现对源地址的定位、识别和控制;其三是建立有效的对抗攻击能力,实现对异常流量、恶意代码、有目标的渗透等情况的鉴别和防护;其四是建立深度应用识别与攻击检测,对应用数据包进行深度检测,防范欺骗;其五是可以实现业务间隔离与带宽资源控制,保障重要业务访问;其六是保护数据传输安全,防止数据被窃听和篡改。
同时,还必须具有高可靠性的安全设备来防止由于高并发访问量、系统故障等突发情况而带来的访问不便。此外,由于边界是数据中心正常运行的重要节点,部署安全产品必须具有便于管理的特点,这就要求设备能够适应不同的网络环境,配置尽量简单方便,特征库能够自动升级,可以提供丰富的访问审计功能,能够对流量进行有效监控,能够提供丰富的攻击统计,使数据中心系统管理员能够充分掌握数据中心的安全态势,为不断地优化安全策略提供依据。
Hillstone山石网科对数据中心网络边界安全设计
根据数据中心对边界安全防护的建设需求,不难看出,通过安全网关实现边界隔离与防护是一种非常有效的手段,同时针对数据中心的特点,在选择并实施安全防护技术时,应进行有针对性的选择,确保实施后的系统能够真正发挥作用,对抗攻击行为,保障数据中心安全可靠地运行。
对此,Hillstone山石网科认为在数据中心的互联网出口,通过配置高性能安全网关设备,综合运用访问控制、入侵防护、病毒过滤、QOS、VPN、行为审计等措施,有效隔离互联网,并对来自互联网的访问进行有效控制,可以满足数据中心在抗攻击、防止非授权访问、资源控制、加密传输、高可靠及管理维护层面的建设需求。
对应上述分析的数据中心特点,Hillstone山石网科数据认为必须从以下四个方面考虑:一是采用可提供多种安全技术的高性能安全网关,形成综合防护体系,来防范各类安全风险;二是采用具有便于管理的集中监控,从全局视角掌握数据中心的安全态势,为发生安全事件后的快速响应提供有力依据;三是确保安全网关的高性能可以处理并发访问量高,对链路质量有较高的要求,保证数据中心的整体运行效率;四是保障设备的高可靠性,一是设备自身的稳定运行能力;二是设备故障后的冗余能力。
Hillstone山石网科数据中心网络边界安全防护解决方案
针对数据中心边界安全的问题,Hillstone山石网科提出了采用自制研发的高性能多核安全网关来解决这一难题,该系列设备综合实现了防火墙、抗攻击、防病毒、VPN、QoS、日志审计等功能,能够为数据中心提供多种综合性的安全防护手段,使数据中心能够应对多种攻击和非法访问行为;同时设备采用多核技术,在吞吐量和并发能力上均有很好的表现,符合数据中心高吞吐量、高并发的特点;此外,Hillstone山石网科高性能多核安全网关还可提供多种高可靠方案,包括设备内部故障后的冗余措施,和设备整机故障后的冗余措施。这些都能够符合数据中心对边界安全防护技术的要求。
Hillstone山石网科全线产品采用了创新的新一代网络安全架构,硬件平台采用64位高性能的新一代多核处理器Multi-Core CPU,内部传输采用高达960Gbps高速交换总线,其网络安全的处理能力最高可以达到百G级别。对于数据中心而言,通过Hillstone山石网科高性能多核安全网关,可以为数据中心提供高效的安全防护,在保障安全的同时,不会降低数据中心原有的安全运行效率。
值得一提的是,Hillstone山石网科高性能多核安全网关还具有基于角色管理的用户可视化、应用可视化和网络行为可视化功能,可以有效方便管理和保障数据中心安全;专用操作系统StoneOS,具有64位实时并行处理能力,其核心针对Hillstone山石网科硬件产品进行了全面优化,使得系统具有更高的处理效率和稳定性;设备还具有高度可扩展的能力、灵活高效的带宽管理功能和强大的应用层检测能力;简捷方便的统一管理操作界面使工作人员可以便于管控。
方案的部署是将Hillstone山石网科高性能多核安全网关作用在数据中心的出口节点上,为数据中心提供网络边界层面的基础防护,并对外部的访问进行严格的控制和深度的检测,对异常行为进行阻断,在保障数据中心安全性的同时,也保证了数据中心快速处理各类外部访问请求。