数据中心安全防护解决方案
数据中心安全防护解决方案
网络的核心资产是数据,所有的网络建设都是为了满足数据的访问,而集中的、大型数据中心是整个网络建设的重点工作之一。网络的应用使得数据中心的重要性日益增大,而另一方面由于数据中心的数据非常重要,它也成为了网络窃取和攻击行为最感兴趣的部分。
传统的安全概念中,网络被人为的区分为可信任网络和不可信任网络,一般只需要在网络的边界安装防护设备就可以构成一个可信任的网络。这种观念本身没有错误,但是问题的关键在于,随着网络技术的发展,攻击手段的更新,越来越多的网络安全事件发生的源头并不仅来自不可信的互联网络,而恰恰是通常认为可信任网络的内网。所以作为网络中最重要的组成部分的数据中心,必须既要能够防御来自互联网的威胁,更要防止来自办公网络甚至生产网络的不安全行为。
据权威机构发布的一份报告显示:2008年上半年,全球每分钟发生9110次的DDoS攻击。在国内,DDoS攻击占网络攻击的15%,平均每分钟发生800次,且在不断递增。全球有500万的僵尸主机,现在很多计算机和服务器都被病毒控制了。
综上报告表明,DoS和DDoS攻击行为攻击数量在逐年的递增,由于数据中心服务器未能做到严格的防范,操作系统和应用软件的存在漏洞问题,导致服务器很容易成为僵尸主机,被攻击者控制进而成为发起DDoS的攻击源,不仅导致企业面临机密数据泄漏,而且由于成为攻击发起源还可能承担法律责任。
针对数据中心服务器的防护重要性问题,我们认为:所有的数据中心前端都应部署防火墙,针对数据中心的每个访问行为进行检测控制,对每一台服务器指定严格的访问控制策略,关闭与服务无关的端口,拒绝网络中非法的访问及网络攻击行为。
数据中心安全防护解决方案拓扑图如下:
除防火墙以外,我们还应在数据中心前端尽可能的采取一些其它的安全措施,这些措施包括:防DoS、DDoS攻击系统的部署、IPS系统部署等,对出入数据中心的数据进行访问控制和深层的安全分析、检测,从而在安全威胁到达数据中心之前进行有效的拦截和告警。
5.1访问控制、应用隔离
企业网络一般按照不同的功能、部门等划分为不同的网络区域,并对不同的区域设置不同的访问权限,使不同的网络区域具有不同的安全级别,从而达到网络整体结构的分工化、安全化。
数据中心因其重要地位,必须与其他网络区域进行隔离,对于进出数据中心的数据流进行严格的访问控制。防火墙是最成熟、最经济、最有效的安全措施之一。对于数据中心来说,可在与其它网络区域连接边界部署防火墙,进行访问控制,拦截网络攻击行为。
防火墙能增强数据中心内部网络的安全性。防火墙系统可以控制哪些内部服务可以被外界访问;外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。通过设置,防火墙只允许授权的数据通过,还可以很方便地监视网络的安全性,并针对网络中异常行为进行报警。利用防火墙地址转换(NAT)技术,将内部的IP地址隐藏起来,有效的减少服务器的安全威胁。
5.2入侵防御
通过对防火墙进行严格配置,可以阻止各种非法访问进出数据中心,从而降低安全风险。但是,数据中心的安全不可能完全依靠防火墙来实现,因为防火墙无法阻止应用层攻击行为,网络安全是整体的,必须部署相应的网络安全产品,作为防火墙的必要补充。数据中心还需要有入侵检测和防御(IPS)的功能,IPS可根据已有的、最新的攻击行为代码对进出网络的所有访问行为进行实时监控、记录,从而防止针对数据中心的攻击行为。
对于数据中心来说,可在防火墙和路由器/交换机之间部署IPS设备,采用流量异常检测、后门检测、协议异常检测、状态签名检测、多重方法攻击检测等方式进行防护。
5.3攻击防护
随着Internet用户上网带宽的增加和互联网上多种Dos和DDoS黑客工具的不断发布,Dos和DDoS攻击的实施越来越容易,Dos和DDoS攻击事件正在呈上升趋势。由于商业竞争、打击报复和网络敲诈等多种因素,很多企业的数据中心长期以来一直为Dos和DDoS攻击所困扰。随之而来的是客户投诉、法律纠纷、客户流失等一系列问题。因此,解决Dos和DDoS攻击问题成为数据中心必须考虑的非常重要的大事。
为了防范攻击,数据中心已经配备了防火墙和入侵检测等设备,但靠防火墙和入侵防御系统是无法对所有攻击行为进行防护,DoS和DDoS防护技术可以弥补防火墙和入侵防御系统存在的弊端:
Ø 攻击特征码只有在攻击发生以后才能被分析出来,防火墙及入侵防御系统防御手段虽然有效,但是缺少足够的主动性;
Ø 新型的攻击层出不穷,基于特征和基于阀值的防范方式都只能从网络的行为的局部来降低攻击带来的负面影响。
因此,在网络安全形势日益严峻的今天,网络更需要多层次的、有效的主动防范机制,即专业的DoS和DDoS防护技术。
DoS和DDoS防护设备可以实时地隔离、拦截和阻止各种应用攻击,从而为所有网络化应用、资源互访提供了直接保护。同时具备入侵检测技术、DoS和DDoS防护、基于网络行为模式BDOS攻击、具备带宽管理功能,并能有效地在出口限制P2P应用带宽及非法流量。