數據中心安全防護解決方案
數據中心安全防護解決方案
網絡的核心資產是數據,所有的網絡建設都是為了滿足數據的訪問,而集中的、大型數據中心是整個網絡建設的重點工作之一。網絡的應用使得數據中心的重要性日益增大,而另一方面由于數據中心的數據非常重要,它也成為了網絡竊取和攻擊行為最感興趣的部分。
傳統的安全概念中,網絡被人為的區分為可信任網絡和不可信任網絡,一般只需要在網絡的邊界安裝防護設備就可以構成一個可信任的網絡。這種觀念本身沒有錯誤,但是問題的關鍵在于,隨著網絡技術的發展,攻擊手段的更新,越來越多的網絡安全事件發生的源頭并不僅來自不可信的互聯網絡,而恰恰是通常認為可信任網絡的內網。所以作為網絡中最重要的組成部分的數據中心,必須既要能夠防御來自互聯網的威脅,更要防止來自辦公網絡甚至生產網絡的不安全行為。
據權威機構發布的一份報告顯示:2008年上半年,全球每分鐘發生9110次的DDoS攻擊。在國內,DDoS攻擊占網絡攻擊的15%,平均每分鐘發生800次,且在不斷遞增。全球有500萬的僵尸主機,現在很多計算機和服務器都被病毒控制了。
綜上報告表明,DoS和DDoS攻擊行為攻擊數量在逐年的遞增,由于數據中心服務器未能做到嚴格的防范,操作系統和應用軟件的存在漏洞問題,導致服務器很容易成為僵尸主機,被攻擊者控制進而成為發起DDoS的攻擊源,不僅導致企業面臨機密數據泄漏,而且由于成為攻擊發起源還可能承擔法律責任。
針對數據中心服務器的防護重要性問題,我們認為:所有的數據中心前端都應部署防火墻,針對數據中心的每個訪問行為進行檢測控制,對每一臺服務器指定嚴格的訪問控制策略,關閉與服務無關的端口,拒絕網絡中非法的訪問及網絡攻擊行為。
數據中心安全防護解決方案拓撲圖如下:
除防火墻以外,我們還應在數據中心前端盡可能的采取一些其它的安全措施,這些措施包括:防DoS、DDoS攻擊系統的部署、IPS系統部署等,對出入數據中心的數據進行訪問控制和深層的安全分析、檢測,從而在安全威脅到達數據中心之前進行有效的攔截和告警。
5.1訪問控制、應用隔離
企業網絡一般按照不同的功能、部門等劃分為不同的網絡區域,并對不同的區域設置不同的訪問權限,使不同的網絡區域具有不同的安全級別,從而達到網絡整體結構的分工化、安全化。
數據中心因其重要地位,必須與其他網絡區域進行隔離,對于進出數據中心的數據流進行嚴格的訪問控制。防火墻是最成熟、最經濟、最有效的安全措施之一。對于數據中心來說,可在與其它網絡區域連接邊界部署防火墻,進行訪問控制,攔截網絡攻擊行為。
防火墻能增強數據中心內部網絡的安全性。防火墻系統可以控制哪些內部服務可以被外界訪問;外界的哪些人可以訪問內部的服務以及哪些外部服務可以被內部人員訪問。通過設置,防火墻只允許授權的數據通過,還可以很方便地監視網絡的安全性,并針對網絡中異常行為進行報警。利用防火墻地址轉換(NAT)技術,將內部的IP地址隱藏起來,有效的減少服務器的安全威脅。
5.2入侵防御
通過對防火墻進行嚴格配置,可以阻止各種非法訪問進出數據中心,從而降低安全風險。但是,數據中心的安全不可能完全依靠防火墻來實現,因為防火墻無法阻止應用層攻擊行為,網絡安全是整體的,必須部署相應的網絡安全產品,作為防火墻的必要補充。數據中心還需要有入侵檢測和防御(IPS)的功能,IPS可根據已有的、最新的攻擊行為代碼對進出網絡的所有訪問行為進行實時監控、記錄,從而防止針對數據中心的攻擊行為。
對于數據中心來說,可在防火墻和路由器/交換機之間部署IPS設備,采用流量異常檢測、后門檢測、協議異常檢測、狀態簽名檢測、多重方法攻擊檢測等方式進行防護。
5.3攻擊防護
隨著Internet用戶上網帶寬的增加和互聯網上多種Dos和DDoS黑客工具的不斷發布,Dos和DDoS攻擊的實施越來越容易,Dos和DDoS攻擊事件正在呈上升趨勢。由于商業競爭、打擊報復和網絡敲詐等多種因素,很多企業的數據中心長期以來一直為Dos和DDoS攻擊所困擾。隨之而來的是客戶投訴、法律糾紛、客戶流失等一系列問題。因此,解決Dos和DDoS攻擊問題成為數據中心必須考慮的非常重要的大事。
為了防范攻擊,數據中心已經配備了防火墻和入侵檢測等設備,但靠防火墻和入侵防御系統是無法對所有攻擊行為進行防護,DoS和DDoS防護技術可以彌補防火墻和入侵防御系統存在的弊端:
Ø 攻擊特征碼只有在攻擊發生以后才能被分析出來,防火墻及入侵防御系統防御手段雖然有效,但是缺少足夠的主動性;
Ø 新型的攻擊層出不窮,基于特征和基于閥值的防范方式都只能從網絡的行為的局部來降低攻擊帶來的負面影響。
因此,在網絡安全形勢日益嚴峻的今天,網絡更需要多層次的、有效的主動防范機制,即專業的DoS和DDoS防護技術。
DoS和DDoS防護設備可以實時地隔離、攔截和阻止各種應用攻擊,從而為所有網絡化應用、資源互訪提供了直接保護。同時具備入侵檢測技術、DoS和DDoS防護、基于網絡行為模式BDOS攻擊、具備帶寬管理功能,并能有效地在出口限制P2P應用帶寬及非法流量。