数据中心面对的安全挑战

随着Internet应用日益深化，数据中心运行环境正从传统客户机/服务器向网络连接的中央服务器转型，受其影响，基础设施框架下多层应用程序与硬件、网络、操作系统的关系变得愈加复杂。这种复杂性也为数据中心的安全体系引入许多不确定因素，一些未实施正确安全策略的数据中心，黑客和蠕虫将顺势而入。尽管大多数系统管理员已经认识到来自网络的恶意行为对数据中心造成的严重损害，而且许多数据中心已经部署了依靠访问控制防御来获得安全性的设备，但对于日趋成熟和危险的各类攻击手段，这些传统的防御措施仍然显现的力不从心。

*面向应用层的攻击

*面向网络层的攻击

*对网络基础设施的攻击

数据中心安全解决方案

在这种咄咄逼人的安全形势下，数据中心需要一个全方位一体化的安全部署方式。H3C数据中心安全解决方案秉承了H3C一贯倡导的“安全渗透理念”，将安全部署渗透到整个数据中心的设计、部署、运维中，为数据中心搭建起一个立体的、无缝的安全平台，真正做到了使安全贯穿数据链路层到网络应用层的目标，使安全保护无处不在。

三重保护，多层防御

数据中心服务器资源为核心向外延伸有三重保护功能。依拖具有丰富安全特性的交换机构成数据中心网络的第一重保护；以ASIC、FPGA和NP技术组成的具有高性能精确检测引擎的IPS提供对网络报文深度检测，构成对数据中心网络的第二重保护；第三重保护是凭借高性能硬件防火墙构成的数据中心网络边界。

三重保护的同时为数据中心网络提供了从链路层到应用层的多层防御体系，如图。交换机提供的安全特性构成安全数据中心的网络基础，提供数据链路层的攻击防御。数据中心网络边界安全定位在传输层与网络层的安全上，通过状态防火墙可以把安全信任网络和非安全网络进行隔离，并提供对DDOS和多种畸形报文攻击的防御。IPS可以针对应用流量做深度分析与检测能力，同时配合以精心研究的攻击特征知识库和用户规则，即可以有效检测并实时阻断隐藏在海量网络流量中的病毒、攻击与滥用行为，也可以对分布在网络中的各种流量进行有效管理，从而达到对网络应用层的保护。

分区规划，分层部署

在网络中存在不同价值和易受攻击程度不同的设备，按照这些设备的情况制定不同的安全策略和信任模型，将网络划分为不同区域，这就是所谓的分区思想。数据中心网络根据不同的信任级别可以划分为：远程接入区、园区网、Internet服务器区、Extranet服务器区、Intranet服务器区、管理区、核心区，如图:

所谓多层思想不仅体现在传统的网络三层部署（接入－汇聚－核心）上，更应该关注数据中心服务器区（Server Farm）的设计部署上。服务器资源是数据中心的核心，多层架构把应用服务器分解成可管理的、安全的层次。“多层”指数据中心可以有任意数据的层次，但通常是3层。按照功能分层打破了将所有功能都驻留在单一服务器时带来的安全隐患，增强了扩展性和高可用性。

结束语

数据中心安全解决方案为数据中心提供了建立在全线速网络基础上的防护攻击所需的边界安全、深度防御及构架安全解决之道。它可保护数据中心中关键应用和保密数据；增强数据中心的运营效率，并迅速创建新的安全应用环境来支持新的业务流程。

通过拥有一个高度永续、有效、可调整的数据中心网络，企业可缓解竞争压力、拓展市场范围、加速新服务的面世，面向未来提供一条高效安全的可持续发展之路。