数据中心防火墙.doc
数据中心防火墙
背景
数据的大集中使近几年数据中心的建设已经成为全球各大行业 IT 建设的重中之重,国内的运营商、金融、能源、大型企业等用户已经基本建设成了符合
自己行业特点和业务需求的数据中心;数据中心是各类业务的集中提供中心,
主要由高速网络、计算环境、存储等部分组成;数据中心已经成为大型机构的
核心竞争力以及各种网络攻击的核心和焦点,在为企业提供高效、灵活、统一
的业务服务同时,也遇到了如下的问题:
数据中心的访问流量剧增,相关网络设备、服务器等无法处理这些突发
的流量,导致数据中心无法提供正常的服务;严重损害了企业形象,数据中心
需要高性能、高可靠、高新建能力的安全设备;
各种设备的大量增加,造成各种内耗的急速上升,带来更大的成本压
力,同时给管理也带来更大的考验,数据中心安全需要扁平化发展;
各种基于大流量、多连接的 DDOS攻击使数据中心无法提供正常服务,严
重损害了企业的形象;随着数据中心虚拟化的发展,同一台服务器承载的应用和
业务量倍增,同时,这些应用和流量随着虚拟化的整合而动态变化。虚拟化的发
展需要一套高性能、高扩展能力的安全设备。
种种现象表明,数据中心的安全已经成为数据中心能否正常提供高效、可
用服务的关键,设备的稳定性、高性能、高容量、灵活的扩展性、面对突发流
量的适应性、绿色环保等特征已经成为数据中心安全处理设备的基本要求。
产品概述
Hillstone 山石网科的 SG-6000-X6150是 Hillstone 山石网科公司专门为数据中心提供的电信级高性能、高容量防火墙解决方案。产品采用业界领先的多核
Plus G2硬件架构,其全并行设计为设备提供了高效的处理能力,可扩展设计为
设备提供了丰富的业务扩展能力。SG-6000-X6150的处理能力高达100Gbps,配合 5000 万最大并发连接数、 100 万新建连接速率的大容量,使其特别适用于运
营商、金融、大型企业的数据中心等应用场景,在满足用户对高性能、高可
靠、高容量要求的同时,以有竞争力的 TCO(总体拥有成本 )为用户提供高性能、高容量的防火墙、丰富的业务扩展能力等解决方案。
产品特点
电信级可靠性设计
SG-6000-X6150采用电信级高可靠、全冗余设计,设备的电源、风扇盘、主控板卡、业务板卡等采用冗余、热插拔设计,配合自主研发的 64 位全并行安全操作系统 StoneOS可以做到设备、链路、会话、数据的负载均衡,设备之间支
持丰富的 HA 功能,包括主 / 主,主 / 备模式,保障用户业务网络的 7×24小时不间断运转。
高性能、高容量、低延迟
业界最领先的多核Plus G2硬件架构与自主研发的64 位全并行安全操作系统 StoneOS的完美结合,可以为用户提供高达 100Gbps的业务处理能力、 100 万的新建连接速率、 5000 万的最大并发连接数,而且性能可以随着业务处理卡的增加而呈现线性增长,充分保护用户的投资,使设备特别适合于运营商、金
融、大型企业的数据中心等大流量、高并发、低延迟的应用场景。智能的业务
自适应能力
虚拟化可以使数据中心快速、灵活地扩展业务系统的处理能力,而且在发
生业务故障的时候可以进行平滑过渡,但是在虚拟环境下,数据在各个服务器
群组间的分配都是动态的,流量的突发性、难以预测性可能会造成访问数据的
不均匀分配,造成部分服务器资源耗尽,性能下降,响应时间变慢; SG-6000-
X6150 的智能业务自适应功能可以自动识别数据和应用的变化情况以及发展趋
势,配合全并行高速处理能力,将突发流量和访问数据在系统内部合理、均匀
地分配,最大限度地提高数据中心业务系统的可用性、高效性。
xx应用检测及网络可视化
SG-6000-X6150创新的应用识别引擎,能够对网络中的流量和报文内容进行实时检测分析,不仅支持常规的端口服务监测,而且能够基于应用特征进行识别
和监测。 SG-6000-X6150通过对链路的业务精细化识别、业务流量流向分析、
各种应用占用比例展现,使网管监控人员更好地掌握网络运行状况。通过 SG-6000-X6150的 QoS功能,网管监控人员可以方便地优化网络的服务质量,及时发现和控制网络中异常流量,保障网络可靠稳定地运行。
丰富的业务扩展能力
SG-6000-X6150支持高密度的接口扩展,IOM-16SFP或IOM-4XFP接口板的组合可以为用户提供 144 个千兆接口或 36 个万兆接口,最大限度地满足用户对高端口密度的业务需求;
SG-6000-X6150支持业务处理板的扩展,业务处理性能可以随着业务处理
板的的增加而线性增加,支持高达 100Gbps的处理能力;
SG-6000-X6150支持 QoS处理板的扩展,对于需要高质量 QoS的用户可以选择此业务板来提高 QoS的处理质量和性能;
SG-6000-X6150还支持主控板的冗余扩展,最大限度地保障设备管理的实
时性和可靠性。
绿色、节能、环保
Hillstone 山石网科的产品从设计开始就考虑了产品绿色、节能、环保,所
有零部件全面禁止使用RoHS指令中禁用的 6 类有毒有害物质;节能电源、智能散热方案以及采用先进的工艺和节能芯片,极大地降低了产品的能耗、噪音,
并通过提升产品质量来延长产品的使用寿命,能耗比同类产品低 50%以上,另外高端口密度和前后板卡扩展的设计理念,使设备可以在有效的空间中提供更高的性能和更多的网络接口,极大地降低了数据中心运营的成本。
与安全管理系统HSM 完美融合
Hillstone 山石网科的 SG-6000-X6150能与 Hillstone 山石网科安全管理系统HSM 完美融合,通过 HSM 管理平台可以做到集中监控设备运行状态、安全事件,洞悉全网的安全状态;同时 HSM 能够收集安全产品发出的日志信息,并能
够进行统计分析,输出可视化报表,借助可视化的实时报表功能,用户可以轻松
进行全网威胁分析。
典型应用
部署在数据中心不同业务群组之间,起到业务隔离防护作用,SG-6000- X6150 的高稳定性、高性能、大容量是这类业务的最佳选择。
数据中心集成安全解决方案
数据中心集成安全解决方案 1.系统功能简介 ?数据中心负责存储、计算和转发企业最重要的数据信息,这些信息的安全可靠成为了企业发展和生存的前提条件。思科数据中心安全保护套件提供数据中心信息的安全防护。 ?考虑到Cisco Catalyst 6500系列交换机已经广泛部署在企业数据中心,安全套件主要由内嵌防火墙模块(FWSM)和内嵌入侵检测系统模块(IDSM)两个组件构成。 ?FWSM使用一个实时的、牢固的嵌入式系统,可以消除安全漏洞,防止各种可能导致性能降低的损耗。这个系统的核心是一种基于自适应安全算法(ASA)的保护机制,它可以提供面向连接的全状态防火墙功能。利用FWSM可以根据源地址和目的地地址,随机的TCP序列号,端口号,以及其他TCP标志,为一个会话流创建一个连接表条目。FWSM可以通过对这些连接表条目实施安全策略,控制所有输入和输出的流量。IDSM对进入网络的流量进行旁路的深层数据包检测,判断和分析数据包是否能够安全的在数据中心进行发送、接收,防止业务资产受到威胁,提高入侵防范的效率。 ?思科数据中心安全保护套件示意图如下:
2.系统先进特性 ?灵活的扩展性:集成模块 FWSM安装在Cisco Catalyst 6500系列交换机的内部,让交换机的任何物理端口都可以成为防火墙端口,并且在网络基础设施中集成了状态防火墙安全。对于那些机架空间非常有限的系统来说,这种功能非常重要。系统可以通过虚拟防火墙功能将一台物理的防火墙模块划分为最多250台虚拟的防火墙系统,以满足用户业务的不断扩展。IDSM可以通过VLAN访问控制列表(VACL)获取功能来提供对数据流的访问权限,并根据自己的需要,同时安装多个模块,为更多的VLAN和流量提供保护。当设备需要维护时,热插拔模块也不会导致网络性能降低或者系统中断。 ?强大的安全防护功能:该系统不仅可以保护企业网络免受未经授权的外部接入的攻击,还可以防止未经授权的用户接入企业网络的子网、工作组和LAN。强大的入侵检测能力还可以提供高速的分组检查功能,让用户可以为各种类型的网络和流量提供更多的保护。多种用于获取和响应的技术,包括SPAN/RSPAN和VACL获取功能,以及屏蔽和TCP重置功能,从而让用户可以监控不同的网段和流量,同时让产品可以采取及时的措施,以消除威胁。 ?便于管理:设备管理器的直观的图形化用户界面(GUI)可以方便的管理和配置FWSM。系统更加善于检测和响应威胁,同时能够就潜在的攻击向管理人员发出警报,便于管理人员及时对安全事件进行响应。 3.系统配置说明(硬件软件需要与产品列表) ?FWSM+IDSM(详细报价请参考Excel文件) ?系统配置说明: Catalyst 6500 IDSM-2入侵检测模块需购买签名(IPS SIGNATURE)升级服务。
数据中心防火墙
数据中心防火墙 背景 数据的大集中使近几年数据中心的建设已经成为全球各大行业IT建设的重中之重,国内的运营商、金融、能源、大型企业等用户已经基本建设成了符合自己行业特点和业务需求的数据中心;数据中心是各类业务的集中提供中心,主要由高速网络、计算环境、存储等部分组成;数据中心已经成为大型机构的核心竞争力以及各种网络攻击的核心和焦点,在为企业提供高效、灵活、统一的业务服务同时,也遇到了如下的问题: 数据中心的访问流量剧增,相关网络设备、服务器等无法处理这些突发的流量,导致数据中心无法提供正常的服务;严重损害了企业形象,数据中心需要高性能、高可靠、高新建能力的安全设备; 各种设备的大量增加,造成各种内耗的急速上升,带来更大的成本压力,同时给管理也带来更大的考验,数据中心安全需要扁平化发展; 各种基于大流量、多连接的DDOS攻击使数据中心无法提供正常服务,严重损害了企业的形象;随着数据中心虚拟化的发展,同一台服务器承载的应用和业务量倍增,同时,这些应用和流量随着虚拟化的整合而动态变化。虚拟化的发展需要一套高性能、高扩展能力的安全设备。 种种现象表明,数据中心的安全已经成为数据中心能否正常提供高效、可用服务的关键,设备的稳定性、高性能、高容量、灵活的扩展性、面对突发流量的适应性、绿色环保等特征已经成为数据中心安全处理设备的基本要求。 产品概述 Hillstone山石网科的SG-6000-X6150是Hillstone山石网科公司专门为数据中心提供的电信级高性能、高容量防火墙解决方案。产品采用业界领先的多核Plus G2硬件架构,其全并行设计为设备提供了高效的处理能力,可扩展设计为设备提供了丰富的业务扩展能力。SG-6000-X6150的处理能力高达100Gbps,配合5000万最大并发连接数、100万新建连接速率的大容量,使其特别适用于运营商、金融、大型企业的数据中心等应用场景,在满足用户对高性能、高可
防火墙技术案例9_数据中心防火墙应用
防火墙技术案例9_强叔拍案惊奇数据中心防火墙应用 近期经常有小伙伴们问到防火墙在数据中心如何部署?防火墙的双机热备功能如何与虚拟系统功能结合使用? 正好强叔最近接触了一个云数据中心的项目,现在就跟大家分享下,相信能完美的解决各位小伙伴的问题。 【组网需求】 如下图所示,两台防火墙(USG9560 V300R001C01版本)旁挂在数据中心的核心交换机CE12800侧。 两台CE12800工作在二层模式,且采用堆叠技术。 数据中心对防火墙的具体需求如下: 1、防火墙需要为每个虚拟主机都提供一个单独的虚拟系统,以便为每个虚拟主机都提供单独的访问控制策略。 2、每个虚拟机都能够使用公网IP访问Internet,并且能够对Internet用户提供访问服务。 【强叔规划】 1、从上图的数据中心整网结构和流量走向(蓝色虚线)来看,防火墙旁挂在CE12800侧就相当于把 CE12800在中间隔断,把一台CE12800当作两台设备来使用。所以我们可以将上面的组网图转换成下面更容易理解的逻辑图。
由于CE12800工作在二层模式,整个逻辑图就可以理解为经典的防火墙上下行连接二层设备的双机热备组网。这种组网的特点是需要在防火墙的上下行业务接口上配置VRRP备份组。 2、为了实现每一个虚拟主机都有一个单独的虚拟系统,我们需要为每个虚拟主机创建VLAN、子接口、虚拟系统,并将他们相互关联成一个网络,具体操作如下所示: 1) 在S5700上为每个虚拟机都建立一个VLAN,然后将对应的连接虚拟机的接口加入此VLAN。 2) 将S5700的上行接口,以及CE12800的上下行接口设置为Trunk接口,允许各个虚拟主机的VLAN 报文通过。 3) 在防火墙的下行接口上为每个虚拟机都建立一个子接口,并终结对应的虚拟机的VLAN。 4) 在防火墙上为每个虚拟机都创建一个虚拟系统,并将此虚拟系统与对应的子接口绑定。
数据中心建设架构设计
数据中心架构建设计方案建议书 1、数据中心网络功能区分区说明 1.1 功能区说明 图1:数据中心网络拓扑图 数据中心网络通过防火墙和交换机等网络安全设备分隔为个功能区:互联网区、应用服务器区、核心数据区、存储数据区、管理区和测试区。可通过在防火墙上设置策略来灵活控制各功能区之间的访问。各功能区拓扑结构应保持基本一致,并可根据需要新增功能区。 在安全级别的设定上,互联网区最低,应用区次之,测试区等,核心数据区和存储数据区最高。 数据中心网络采用冗余设计,实现网络设备、线路的冗余备份以保证较高的可靠性。 1.2 互联网区网络 外联区位于第一道防火墙之外,是数据中心网络的Internet接口,提供与Internet 高速、可靠的连接,保证客户通过Internet访问支付中心。 根据中国南电信、北联通的网络分割现状,数据中心同时申请中国电信、中国联通各1条Internet线路。实现自动为来访用户选择最优的网络线路,保证优质的网络访问服务。当1条线路出现故障时,所有访问自动切换到另1条线路,即实现线路的冗余备份。
但随着移动互联网的迅猛发展,将来一定会有中国移动接入的需求,互联区网络为未来增加中国移动(铁通)链路接入提供了硬件准备,无需增加硬件便可以接入更多互联网接入链路。 外联区网络设备主要有:2台高性能链路负载均衡设备F5 LC1600,此交换机不断能够支持链路负载,通过DNS智能选择最佳线路给接入用户,同时确保其中一条链路发生故障后,另外一条链路能够迅速接管。互联网区使用交换机可以利用现有二层交换机,也可以通过VLAN方式从核心交换机上借用端口。 交换机具有端口镜像功能,并且每台交换机至少保留4个未使用端口,以便未来网络入侵检测器、网络流量分析仪等设备等接入。 建议未来在此处部署应用防火墙产品,以防止黑客在应用层上对应用系统的攻击。 1.3 应用服务器区网络 应用服务器区位于防火墙内,主要用于放置WEB服务器、应用服务器等。所有应用服务器和web服务器可以通过F5 BigIP1600实现服务器负载均衡。 外网防火墙均应采用千兆高性能防火墙。防火墙采用模块式设计,具有端口扩展能力,以满足未来扩展功能区的需要。 在此区部署服务器负载均衡交换机,实现服务器的负载均衡。也可以采用F5虚拟化版本,即无需硬件,只需要使用软件就可以象一台虚拟服务器一样,运行在vmware ESXi上。 1.4 数据库区
数据中心云安全建设方案
若水公司 2017-3-23
目录 1项目建设背景 (2) 2云数据中心潜在安全风险分析 (2) 2.1从南北到东西的安全 (2) 2.2数据传输安全 (2) 2.3数据存储安全 (3) 2.4数据审计安全 (3) 2.5云数据中心的安全风险控制策略 (3) 3数据中心云安全平台建设的原则 (3) 3.1标准性原则 (3) 3.2成熟性原则 (4) 3.3先进性原则 (4) 3.4扩展性原则 (4) 3.5可用性原则 (4) 3.6安全性原则 (4) 4数据中心云安全防护建设目标 (5) 4.1建设高性能高可靠的网络安全一体的目标 (5) 4.2建设以虚拟化为技术支撑的目标 (5) 4.3以集中的安全服务中心应对无边界的目标 (5) 4.4满足安全防护与等保合规的目标 (6) 5云安全防护平台建设应具备的功能模块 (6) 5.1防火墙功能 (6) 5.2入侵防御功能 (7) 5.3负载均衡功能 (7) 5.4病毒防护功能 (8) 5.5安全审计 (8) 6结束语 (8)
1项目建设背景 2云数据中心潜在安全风险分析 云数据中心在效率、业务敏捷性上有明显的优势。然而,应用、服务和边界都是动态的,而不是固定和预定义的,因此实现高效的安全十分具有挑战性。传统安全解决方案和策略还没有足够的准备和定位来为新型虚拟化数据中心提供高效的安全层,这是有很多原因的,总结起来,云数据中心主要的安全风险面临以下几方面: 2.1从南北到东西的安全 在传统数据中心里,防火墙、入侵防御,以及防病毒等安全解决方案主要聚焦在内外网之间边界上通过的流量,一般叫做南北向流量或客户端服务器流量。 在云数据中心里,像南北向流量一样,交互式数据中心服务和分布式应用组件之间产生的东西向流量也对访问控制和深度报文检测有刚性的需求。多租户云环境也需要租户隔离和向不同的租户应用不同的安全策略,这些租户的虚拟机往往是装在同一台物理服务器里的。 传统安全解决方案是专为物理环境设计的,不能将自己有效地插入东西向流量的环境中,所以它们往往需要东西向流量被重定向到防火墙、深度报文检测、入侵防御,以及防病毒等服务链中去。这种流量重定向和静态安全服务链的方案对于保护东西向流量是效率很低的,因为它会增加网络的延迟和制造性能瓶颈,从而导致应用响应时间的缓慢和网络掉线。 2.2数据传输安全 通常情况下,数据中心保存有大量的租户私密数据,这些数据往往代表了租户的核心竞争力,如租户的客户信息、财务信息、关键业务流程等等。在云数据中心模式下,租户将数据通过网络传递到云数据中心服务商进行处理时,面临着几个方面的问题:一是如何确保租户的数据在网络传输过程中严格加密不被窃取;二是如何保证云数据中心服务商在得到数据时不将租户绝密数据泄露出去;三是在云数据中心服务商处存储时,如何保证访问用户经过严格的权限认证并且是合法的数据访问,并保证租户在任何时候都可以安全访问到自身的数据。
数据中心防火墙部署
红塔烟草(集团)万兆以太网建设项目数据中心防火墙部署改造方案 (V1.4) 北京联信永益信息技术有限公司 2010年2月 目录 一、概述................................. 错误!未指定书签。 二、人员及时间........................... 错误!未指定书签。 1、参与人员........................... 错误!未指定书签。 2、操作时间........................... 错误!未指定书签。 三、业务影响............................. 错误!未指定书签。 四、前期准备工作......................... 错误!未指定书签。 五、网络拓扑图........................... 错误!未指定书签。 六、数据中心设备配置..................... 错误!未指定书签。 1.数据中心两台6509E设备VSS部署及设备配置错误!未指定书 签。 2.数据中心两台6509E防火墙FWSM透明模式配置错误!未指定 书签。 七、防火墙失效切换测试................... 错误!未指定书签。 八、应急方案............................. 错误!未指定书签。
一、概述 数据中心网络现状:一台部署在商务楼4楼机房数据中心汇聚交换机6509E 与一台部署在技术中心机房数据中心汇聚交换机6509E分别通过1条10GE上联到核心6509E交换机,两台汇聚交换机之间通过一条10GE链路Trunk互联;放置在商务楼的数据中心服务器和放置在技术中心的数据中心服务器通过单链路,分别连接到对应区域的数据中心交换机上,所有服务器网关指向部署在商务楼4楼数据中心交换机上对应的vlan实地址。两台数据中心交换机上分别部署一块FWSM防火墙模块,通过Failover技术实现对数据中心网络安全保护。 本次工程将部署在技术中心的数据汇聚6509E交换机搬迁到商务楼1楼新机房,在两台数据中心6509E设备上部署VSS,采用VirtualSwitchingSupervisor72010GE引擎板卡上的万兆以太网上行链路端口进行互联,同时使用两条万兆链路进行捆绑,保证VSS系统的可靠性。采用两条10GE链路捆绑与核心设备互联,同时对防火墙模块部署透明模式。 二、人员及时间 1、参与人员 2、操作时间 2010年2月9日-2010年2月9日
数据中心防火墙安全部署最佳实践
数据中心防火墙安全部署最佳实践 杭州华三通信技术有限公司
数据中心防火墙安全部署最佳实践 1.1 数据中心安全模型——三重保护,多层防御 华为3COM数据中心安全解决方案秉承了华为3COM一贯倡导的"安全渗透理念",将安全部署渗透到整个数据中心的设计、部署、运维中,为数据中心搭建起一个立体的、无缝的安全平台,真正做到了使安全贯穿数据链路层到网络应用层的目标,使安全保护无处不在。 华为3COM数据中心安全解决方案的技术特色可用十二个字概括:三重保护、多层防御;分区规划,分层部署。 图1-1三重保护、多层防御模型 以数据中心服务器资源为核心向外延伸有三重保护功能。依拖具有丰富安全特性的交换机构成数据中心网络的第一重保护;以ASIC、FPGA和NP技术组成的具有高性能精确检测引擎的IPS提供对网络报文深度检测,构成对数据中心网络的第二重保护;第三重保护是凭借高性能硬件防火墙构成的数据中心网络边界。 用一个形象的比喻来说明数据的三重保护。数据中心就像一个欣欣向荣的国家,来往的商客就像访问数据中心的报文;防火墙是驻守在国境线上的军队,一方面担负着守卫国土防御外族攻击(DDOS)的重任,另一方面负责检查来往商客的身份(访问控制);IPS是国家的警察,随时准备捉拿虽然拥有合法身份,但仍在从事违法乱纪活动的商客(蠕虫病毒),以保卫社会秩序;具有各种安全特性的交换机就像商铺雇佣的保安,提供最基本的安全监管,时刻提防由内部人员造成的破坏(STP 攻击)。
图1数据中心多层安全防御 三重保护的同时为数据中心网络提供了从链路层到应用层的多层防御体系,如图。交换机提供的安全特性构成安全数据中心的网络基础,提供数据链路层的攻击防御。数据中心网络边界安全定位在传输层与网络层的安全上,通过状态防火墙可以把安全信任网络和非安全网络进行隔离,并提供对DDOS和多种畸形报文攻击的防御。IPS可以针对应用流量做深度分析与检测能力,同时配合以精心研究的攻击特征知识库和用户规则,即可以有效检测并实时阻断隐藏在海量网络流量中的病毒、攻击与滥用行为,也可以对分布在网络中的各种流量进行有效管理,从而达到对网络应用层的保护。 1.2 防火墙安全部署最佳实践 防火墙的本质功能就是实现网络隔离,通过防火墙可以把安全信任网络和非安全网络进行隔离,实现网络隔离的基本技术是IP包过滤。ACL是一种简单可靠的技术,应用在路由器或交换机上可实现最基本的IP包过滤,但单纯的ACL包过滤缺乏一定的灵活性。对于类似于应用FTP协议进行通信的多通道协议来说,配置ACL则是困难的。FTP包含一个预知端口的TCP控制通道和一个动态协商的TCP数据通道,对于一般的ACL来说,配置安全策略时无法预知数据通道的端口号,因此无法确定数据通道的入口。 状态防火墙设备将状态检测技术应用在ACL技术上,通过对连接状态的状态的检测,动态的发现应该打开的端口,保证在通信的过程中动态的决定哪些数据包可以通过防火墙。状态防火墙还采用基于流的状态检测技术可以提供更高的转发性能,因为基于ACL的包过滤技术是逐包检测的,这样当规则非常多的时候包过滤防火墙的性能会变得比较低下,而基于流的状态防火墙可以根据流的信息决定数据包是否可以通过防火墙,这样就可以利用流的状态信息决定对数据包的处理结果加快了转发性能。 除上述连接状态跟踪技术外,状态防火墙常常有内建的TCP SYN泛洪保护。当服务器达到一定的半开连接限制使,这种保护让防火墙代理TCP连接。只有当连接的请求确认合法时,服务器才会接受连接。 应用层防护能力也是状态防火墙的一种特性,通过报文的深度检测,防火墙可以实现P2P流量监管和病毒/木马过滤。 1.2.1 ServerFarm 网络边界上的状态防火墙 园区网络通常包括园区核心网、边界网络、内部网络、分支结构网络、数据中心(ServerFarm)网络。核心
数据中心安全防护之道
数据中心安全防护之道 摘要:在大数据发展的驱动下,未来高性能数据中心防火墙会在两个方面发展。第一,大型数据中心或者云数据中心中,用户访问数据中心,以及数据中心直接的访问流量都会导致南北向流量继续增长,导致大型数据中心出口带宽流量会由目前的超过200Gbps,到2015年将接近1Tbps的水平。第二,数据中心中的应用类型变得越来越多样化。 随着互联网及其相关应用产业的发展,内容更丰富、服务更深层的网络服务提供商横空出世。数据中心作为一个重要的网络服务平台,它通过与骨干网高速连接,借助丰富的网络资源向网站企业和传统企业提供大规模、高质量、安全可靠的专业化服务器托管等业务。 互联网应用日益深化,数据中心运行环境正从传统客户机/服务器向网络连接的中央服务器转型。受其影响,基础设施框架下多层应用程序与硬件、网络、操作系统的关系变得愈加复杂。这种复杂性也为数据中心的安全体系引入许多不确定因素,一些未实施正确安全策略的数据中心,黑客和蠕虫将顺势而入。尽管大多数系统管理员已经认识到来自网络的恶意行为对数据中心造成的严重损害,而且许多数据中心已经部署了依靠访问控制防御来获得安全性的设备,但对于日趋成熟和危险的各类攻击手段,这些传统的防御措施仍然显得力不从心。 高性能和虚拟化仍然是根本要求 虽然针对数据中心的安全服务遍及各大行业,甚至很多细分行业领域,但是对于数据中心的安全建设要求还是存在一定共性的。Fortinet中国区首席技术顾问谭杰认为,高性能和虚拟化是当前数据中心安全防护解决方案的两大基础共性。谭杰进一步解释道,数据中心,尤其是云计算数据中心的海量业务,对安全系统的吞吐量、延迟和会话能力都提出了极高的要求。关键点在于,数据中心中多租户模式而导致的业务种类繁多的特点,很难事前对大小数据包的比例进行规划和设计,因此非常需要安全设备的性能对大小包不敏感,即小包(如64字节)性能与大包相同。另外,云计算数据中心的虚拟化场景需要安全解决方案的良好配合。例如:为每个租户分配不同的虚拟安全设备及管理账号,让其自行管理,这就要求安全设备的虚拟化是完整的(包括接口、路由、策略、管理员等各种对象)。另外不同租户的业务不同,对安全保护的要求也各不相同。例如Web服务商需要IPS,邮件服务商需要反垃圾邮件,这就要求安全设备的所有功能都能在虚拟化之后正常工作。 对于上述观点,华为安全产品线营销工程师刘东徽也认为,数据中心防火墙的性能要基于“真实流量”来看,而不是简单的在某一种特定类型数据流量环境下的性能。目前数据中心的流量主要集中于东西向(数据中心内数据交换),而南北向(数据中心出口)流量较少。但是由于连接请求的基数很大,因此对于防护设备的性能和并发连接数的支持都要求相当高。我们正处于一个大数据的时代,80%-90%
防火墙设计方案
数据中心项目安全设计案-NetScreen防火墙部分 20134年11月
目录 第1章设计围及目标 (3) 1.1 设计围 (3) 1.2 设计目标 (3) 1.3 本设计案中“安全”的定义 (3) 第2章设计依据 (4) 第3章设计原则 (5) 3.1 全局性、综合性、整体性设计原则 (5) 3.2 需求、风险、代价平衡分析的原则 (5) 3.3 可行性、可靠性、安全性 (6) 3.4 多重保护原则 (6) 3.5 一致性原则 (6) 3.6 可管理、易操作原则 (6) 3.7 适应性、灵活性原则 (7) 3.8 要考虑投资保护 (7) 3.9 设计案要考虑今后网络和业务发展的需求 (7) 3.10 设计案要考虑实施的风险 (7) 3.11 要考虑案的实施期和成本 (7) 3.12技术设计案要与相应的管理制度同步实施 (7) 第4章设计法 (8) 4.1 安全体系结构 (8) 4.2 安全域分析法 (9) 4.3 安全机制和技术 (9) 4.4 安全设计流程 (10) 4.5 具体网络安全案设计的步骤: (10) 第5章安全案详细设计 (12) 5.1 网银Internet接入安全案 (12) 5.2 综合出口接入安全案................................................................................... 错误!未定义书签。 5.3 OA与生产网隔离安全案............................................................................ 错误!未定义书签。 5.4 控管中心隔离安全案................................................................................... 错误!未定义书签。 5.5 注意事项及故障回退................................................................................... 错误!未定义书签。第6章防火墙集中管理系统设计.. (17)
(整理)华为数据中心防火墙和负载均衡解决方案.
华为数据中心防火墙和负载均衡解决方案 2011/07/06 概述 数据中心是数据大集中而形成的集成IT应用环境,通过网络互联,成为数据计算与存储的中心来承载各种IT应用业务。通过数据中心的建设,企业能够实现对IT信息系统的整合和集中管理,提升内部的运营和管理效率以及对外的服务水平,同时降低IT 系统建设成本。 安全和高效是数据中心网络运行中需要解决的两个核心问题: 其一,数据中心网络面对着各种混杂流量,恶意攻击流量往往混杂在正常的流量之中,同时由内部和外部攻击导致的窃密也屡见不鲜。安全问题是始终是数据中心的一大挑战。 其二,承担基础运算任务的服务器,其性能差异很大,业务处理繁忙程度都或多或少影响着系统最终的服务性能。如何通过有效合理的业务调度,充分发挥硬件整体的最佳性能是数据中心的另外一大挑战。 为此,华为提出了数据中心防火墙和负载均衡解决方案,以解决数据中心安全性与服务器使用效率的问题。 方案介绍 数据中心按照其功能区划分可以分为Internet服务器区、Intranet服务器区和Extranet服务器区。 Internet服务器区中布放了支持Internet业务开展的服务器群,通常可以按照功能模块进一步划分为web应用服务器区、业务处理和中间件服务器区和数据库服务器区。在web应用服务器组和业务处理服务器组中需要部署负载均衡器和防火墙。
Intrannet服务器区中布放了支持了企业内部IT运作需要的服务器;Extranet服务器区中部署了提供给合作厂商进行访问的服务器。同样,在这些区域也需要部署负载均衡器和防火墙。 一个具体的部署实例如下图所示: 根据业务需要,在不同分区的汇聚交换机(S9306)上合理部署负载均衡和防火墙单板,来有效支撑相应的服务器群的业务展开需要;在核心的汇聚交换机(S9312)上也配置防火墙单板为不同的功能分区间的流量进行有效控制。 方案特点 基于多核的先进硬件架构 通过应用多核CPU能够提供基于软件的灵活业务处理能力,满足应用智能化的需求;通过各种硬件加速引擎的协同工作,来确保高性能业务处理能力。相比通用CPU,S9300汇聚交换机的业务处理CPU集成了多种硬件加速引擎,能够将业务分离给专用的硬件加速引擎处理,从而提高并行处理性能。 通过这些专有硬件引擎的支持,并结合高效可靠的软件处理,结合华为内部强大的路由、安全软件平台VRP,S9300能够充分发掘硬件的能力。S9300防火墙和负载均衡单板能够提供每槽位10GE线速的处理能力,并保持强大的应用感知能力。 内嵌设计支持可靠、灵活的部署和扩容 S9300防火墙和负载均衡单板作为系统的业务板内嵌于交换机,利用系统背板实现可靠高速的业务连接,与通过光纤、电缆外联的独立设备相比,其可靠性更高;同时,通过灵活选配业务单板,系统可以平滑地支持网络扩展,无需对网络拓扑进行改变。
大数据中心云安全系统建设方案设计
实用文档 数据中心云安全建设方案 2017-3-23
目录 1 项目建设背景 (2) 2 云数据中心潜在安全风险分析 (2) 2.1 从南北到东西的安全 (2) 2.2 数据传输安全 (2) 2.3 数据存储安全 (3) 2.4 数据审计安全 (3) 2.5 云数据中心的安全风险控制策略 (3) 3 数据中心云安全平台建设的原则 (3) 3.1 标准性原则 (3) 3.2 成熟性原则 (4) 3.3 先进性原则 (4) 3.4 扩展性原则 (4) 3.5 可用性原则 (4) 3.6 安全性原则 (4) 4 数据中心云安全防护建设目标 (5) 4.1 建设高性能高可靠的网络安全一体的目标 (5) 4.2 建设以虚拟化为技术支撑的目标 (5) 4.3 以集中的安全服务中心应对无边界的目标 (5) 4.4 满足安全防护与等保合规的目标 (6) 5 云安全防护平台建设应具备的功能模块 (6) 5.1 防火墙功能 (6) 5.2 入侵防御功能 (7) 5.3 负载均衡功能 (7) 5.4 病毒防护功能 (8) 5.5 安全审计 (8) 6 结束语 (8)
1项目建设背景 2云数据中心潜在安全风险分析 云数据中心在效率、业务敏捷性上有明显的优势。然而,应用、服务和边界都是动态的,而不是固定和预定义的,因此实现高效的安全十分具有挑战性。传统安全解决方案和策略还没有足够的准备和定位来为新型虚拟化数据中心提供高效的安全层,这是有很多原因的,总结起来,云数据中心主要的安全风险面临以下几方面: 2.1从南北到东西的安全 在传统数据中心里,防火墙、入侵防御,以及防病毒等安全解决方案主要聚焦在内外网之间边界上通过的流量,一般叫做南北向流量或客户端服务器流量。 在云数据中心里,像南北向流量一样,交互式数据中心服务和分布式应用组件之间产生的东西向流量也对访问控制和深度报文检测有刚性的需求。多租户云环境也需要租户隔离和向不同的租户应用不同的安全策略,这些租户的虚拟机往往是装在同一台物理服务器里的。 传统安全解决方案是专为物理环境设计的,不能将自己有效地插入东西向流量的环境中,所以它们往往需要东西向流量被重定向到防火墙、深度报文检测、入侵防御,以及防病毒等服务链中去。这种流量重定向和静态安全服务链的方案对于保护东西向流量是效率很低的,因为它会增加网络的延迟和制造性能瓶颈,从而导致应用响应时间的缓慢和网络掉线。 2.2数据传输安全 通常情况下,数据中心保存有大量的租户私密数据,这些数据往往代表了租户的核心竞争力,如租户的客户信息、财务信息、关键业务流程等等。在云数据中心模式下,租户将数据通过网络传递到云数据中心服务商进行处理时,面临着几个方面的问题:一是如何确保租户的数据在网络传输过程中严格加密不被窃取;二是如何保证云数据中心服务商在得到数据时不将租户绝密数据泄露出去;三是在云数据中心服务商处存储时,如何保证访问用户经过严格的权限认证并且是合法的数据访问,并保证租户在任何时候都可以安全访问到自身的数据。
数据中心网络安全建设的思路
由于数据中心承载着用户的核心业务和机密数据,同时为内部、外部以及合作伙伴等客户提供业务交互和数据交换,因此在新一代的数据中心建设过程中,安全体系建设成为重点的主题。 数据中心安全围绕数据为核心,从数据的访问、使用、破坏、修改、丢失、泄漏等多方面维度展开,一般来说包括以下几个方面: 物理安全:主要指数据中心机房的安全,包括机房的选址,机房场地安全,防电磁辐射泄漏,防静电,防火等内容; 网络安全:指数据中心网络自身的设计、构建和使用以及基于网络的各种安全相关的技术和手段,如防火墙,IPS,安全审计等; 系统安全:包括服务器操作系统,数据库,中间件等在内的系统安全,以及为提高这些系统的安全性而使用安全评估管理工具所进行的系统安全分析和加固; 数据安全:数据的保存以及备份和恢复设计; 信息安全:完整的用户身份认证以及安全日志审计跟踪,以及对安全日志和事件的统一分析和记录; 抛开物理安全的考虑,网络是数据中心所有系统的基础平台,网络安全从而成为数据中心安全的基础支持。因此合理的网络安全体系设计、构建安全可靠的数据中心基础网络平台是进行数据中心安全建设的基本内容。 数据中心网络安全建设原则 网络是数据传输的载体,数据中心网络安全建设一般要考虑以下三个方面: 合理规划网络的安全区域以及不同区域之间的访问权限,保证针对用户或客户机进行通信提供正确的授权许可,防止非法的访问以及恶性的攻击入侵和破坏; 建立高可靠的网络平台,为数据在网络中传输提供高可用的传输通道,避免数据的丢失,并且提供相关的安全技术防止数据在传输过程中被读取和改变; 提供对网络平台支撑平台自身的安全保护,保证网络平台能够持续的高可靠运行; 综合以上几点,数据中心的网络安全建设可以参考以下原则: ●整体性原则:“木桶原理”,单纯一种安全手段不可能解决全部安全问题; ●多重保护原则:不把整个系统的安全寄托在单一安全措施或安全产品上; ●性能保障原则:安全产品的性能不能成为影响整个网络传输的瓶颈; ●平衡性原则:制定规范措施,实现保护成本与被保护信息的价值平衡; ●可管理、易操作原则:尽量采用最新的安全技术,实现安全管理的自动化,以减轻安全管理的负担, 同时减小因为管理上的疏漏而对系统安全造成的威胁; ●适应性、灵活性原则:充分考虑今后业务和网络安全协调发展的需求,避免因只满足了系统安全要 求,而给业务发展带来障碍的情况发生; ●高可用原则:安全方案、安全产品也要遵循网络高可用性原则; ●技术与管理并重原则:“三分技术,七分管理”,从技术角度出发的安全方案的设计必须有与之 相适应的管理制度同步制定,并从管理的角度评估安全设计方案的可操作性 ●投资保护原则:要充分发挥现有设备的潜能,避免投资的浪费; 数据中心网络安全体系设计 ?模块化功能分区 为了进行合理的网络安全设计,首先要求对数据中心的基础网络,采用模块化的设计方法,根据数据中心服务器上所部署的应用的用户访问特性和应用的核心功能,将数据中心划分为不同的功能区域。 采用模块化的架构设计方法可以在数据中心中清晰区分不同的功能区域,并针对不同功能区域的安全
防火墙设计方案
数据中心项目安全设计方案-NetScreen防火墙部分 20134年11月
目录 第1章设计范围及目标 (3) 1.1 设计范围 (3) 1.2 设计目标 (3) 1.3 本设计方案中“安全”的定义 (3) 第2章设计依据 (4) 第3章设计原则 (5) 3.1 全局性、综合性、整体性设计原则 (5) 3.2 需求、风险、代价平衡分析的原则 (5) 3.3 可行性、可靠性、安全性 (6) 3.4 多重保护原则 (6) 3.5 一致性原则 (6) 3.6 可管理、易操作原则 (6) 3.7 适应性、灵活性原则 (7) 3.8 要考虑投资保护 (7) 3.9 设计方案要考虑今后网络和业务发展的需求 (7) 3.10 设计方案要考虑实施的风险 (7) 3.11 要考虑方案的实施周期和成本 (7) 3.12技术设计方案要与相应的管理制度同步实施 (7) 第4章设计方法 (8) 4.1 安全体系结构 (8) 4.2 安全域分析方法 (9) 4.3 安全机制和技术 (9) 4.4 安全设计流程 (10) 4.5 具体网络安全方案设计的步骤: (10) 第5章安全方案详细设计 (12) 5.1 网银Internet接入安全方案 (12) 5.2 综合出口接入安全方案......................................................................... 错误!未定义书签。 5.3 OA与生产网隔离安全方案 .................................................................. 错误!未定义书签。 5.4 控管中心隔离安全方案......................................................................... 错误!未定义书签。 5.5 注意事项及故障回退............................................................................. 错误!未定义书签。第6章防火墙集中管理系统设计 . (16)
数据中心的安全设备有哪几种类型
数据中心的安全设备有哪几种类型 来源:机房360 作者:林小村更新时间:2010/11/17 16:56:07 摘要:数据中心常用的网络及信息安全产品主要有防火墙、人侵检测、入侵防护、安全审计、漏洞扫描及桌面安全防护等软件和硬件,安全技术比较成熟,市场上产品种类也较多,为此,对数据中心安全设备的选型要求提出参考建议。 数据中心常用的网络及信息安全产品主要有防火墙、人侵检测、入侵防护、安全审计、漏洞扫描及桌面安全防护等软件和硬件,安全技术比较成熟,市场上产品种类也较多,为此,对数据中心安全设备的选型要求提出参考建议。 (1)产品应为国内自主研发,并拥有软件著作权登记证书。 (2)应具备国内权威机构的相关认证:公安部、国家信息安全测评认证中心、中国人民解放军信息安全测评认证中心、国家保密局,并提供相关证书编号。 (3)应具备标准千兆网络光接口,10/100/100兆网络电接口,10/100/1000兆网络接口。 (4)平均无故障时间(MTBF)不小于9万小时。 (5)应支持透明、路由、NAT、透明路由的混合模式的工作模式,支持多种网络地址转换,包括支持源网络地址转换,支持目的网络地址转换,支持双向地址转换,支持端口映射。 (6)应当可以通过图形配置界面,方便对网口的工作模式进行设定,如半双工/全双工、MTU等。 (7)应支持H.323,UPNP等多媒体协议,应当支持在NAT工作方式下的多媒体协议穿透,应支持TNS、RTSP等动态协议。 (8)应支持基于时间的访问控制,应当可以手工配置时间,应当支持NTP服务器。 (9)防火墙应具有局域网IP/MAC地址绑定功能,且必须具备MAC的自动学习功能。 (l0)提供应用代理功能,包括"HTTP、FTP、TELNET、SMTP、POP3、DNS、ICMP、SOCKS 代理及自定义代理,并可实现透明代理。 (l1)产品应当支持DHCP服务器、DHCPRelay、DHCP客户端。 (12)支持Radius和防火墙本地数据库认证。