蘇州華蘇信息科技有限公司

邊界防護方案您當前的位置：首頁 » 解決方案

IDC整體安全解決方案

一、IDC現狀及發展趨勢
根據中國IDC圈2013年3月發布的《2012-2013年度中國IDC產業發展研究報告》數據顯示，2012年全球IDC市場整體市場規模達到255.2億美元，增速為14.6%。從報告中可以看出，在全球數據中心市場中，歐美地區市場需求已趨于飽和，亞太地區正成為帶動全球IDC市場的主要動力。其中，美國已開始逐步關閉部分小型數據中心，政府帶頭部署云計算；歐洲略落后于美國，云計算尚在部署階段；而亞太尚處于IDC基礎建設階段，未來潛力巨大。

國內IDC市場中，金融和電信行業的數據中心建設占據了50%的市場份額，其次是政府、制造和能源行業，廣電也開始加入其中。網絡游戲和視頻等應用業務成為拉動IDC市場增長主力，云計算已成為IDC產業未來發展趨勢，而網絡安全成為IDC產業日益關注的問題。

二、IDC網絡架構及面臨的安全威脅
IDC網絡架構一般包括四層：互聯網接入層、匯聚層、業務接入層和運維管理層�；ヂ摼W接入層由2臺核心路由器組成，作為IDC和互聯網互聯互通的紐帶，對外完成與互聯網的高速互聯，對內負責與IDC的匯聚層交換互聯，負責IDC內部路由信息與外部路由信息轉發和維護等，互聯網接入層的出口帶寬至少20Gbps，多采用多條10 Gbps出口鏈路。匯聚層由多臺成對的匯聚交換機組成，是業務接入層交換機的匯聚點，并上聯到互聯網接入層核心路由器，匯聚層交換機與互聯網接入層核心路由器之間多采用多條10Gbps鏈路連接。業務接入層由接入交換機和各業務系統的服務器、存儲等設備組成，是對外提供IDC相關業務的核心，接入交換機與匯聚交換機之間多采用多條千兆鏈路連接。運維管理層提供網絡管理、資源管理、業務管理、安全管理、運營管理等IDC管理功能，向IDC的運營維護人員和客戶提供設備管理、系統維護、遠程接入等服務。

IDC所面臨的安全威脅主要體現為：網絡層的非法訪問，網絡漏洞的存在，DDOS攻擊等入侵和攻擊行為，大量惡意流量，有效帶寬問題，用戶的訪問行為取證，等等；業務層的系統自身脆弱性的存在，病毒、垃圾郵件泛濫，網站被篡改、掛馬、受到SQL注入/跨站等攻擊，系統可用性保障，等等；管理層的系統如何運維管理，運維人員的操作是否違規，安全事件如何統一管理分析，運維終端自身的安全性，IDC如何監管，等等。

三、IDC整體安全解決方案

針對上述IDC面臨的安全威脅，推出了IDC整體安全解決方案，從互聯網接入層、匯聚層、業務接入層和運維管理層四個層面，提出了相應的安全解決方案，如下圖示。

圖1、IDC整體安全解決方案圖

互聯網接入層
互聯網接入層是整個IDC業務的出口，承擔著抵御DDOS攻擊和保證帶寬正�？捎眉癐DC業務可正常訪問的重任，重點需防治DDOS攻擊造成的帶寬或主機資源被大量消耗。

抗DDOS/流量清洗
建議部署公司的萬兆級抗DDOS/流量清洗設備DDOS，清洗攻擊流量，保證整個IDC網絡帶寬的可用和IDC業務的可訪問。DDOS應用了自主研發的抗拒絕服務攻擊算法，創造性地將算法實現在協議棧的最底層，避免了TCP/UDP/IP等高層系統網絡堆棧的處理，使整個運算代價大大降低, 并結合特有硬件加速運算，因此系統效率極高。DDOS另借助攻防實驗室多年的DDOS攻擊研究成果，具有業界最完善的DDOS攻擊檢測能力。
DDOS通過異常流量檢測系統實時檢測DDOS攻擊，一旦檢測到攻擊流量，就將異常流量牽引到異常流量清洗系統進行攻擊流量清洗，將清洗后的正常流量再回注入網絡，這樣即可實時抵御來自互聯網的DDOS攻擊，有效過濾DDOS攻擊流量，保障IDC業務持續正常訪問。

如下圖示，是IDC抗DDOS/異常流量清洗部署和工作示意圖。

圖2、IDC抗DDOS/流量清洗解決方案圖

匯聚層
匯聚層是IDC業務匯聚之處，首先需要把好網絡安全關，如訪問控制、入侵檢測、網絡脆弱性掃描、網絡設備安全加固等，其次肩負著為IDC業務做負載均衡和進行流量分析管理等職責。

高性能防火墻
建議在匯聚層部署公司的萬兆級NGFW高性能防火墻Guard，為需要邊界防護的IDC用戶提供訪問控制等增值服務。目前有擎天系列并行多級硬件架構機架式萬兆高性能防火墻和獵豹系列基于ASIC芯片萬兆級高性能防火墻，基于高效安全自主TOS操作系統和多核架構，采用了自主原創實現數據層多核快速轉發的高性能業務處理技術TURBO，處理能力高達320Gbps，支持防火墻、VPN、入侵防御、病毒防御、URL分類過濾、虛擬防火墻、IPV6等功能，支持VPN虛擬化接入，非常適合部署在IDC匯聚層為不同IDC用戶提供不同要求的邊界安全防護。

圖3、NGFW防火墻多核架構

高性能網絡入侵檢測
建議在匯聚層部署公司的萬兆級高性能網絡入侵檢測系統Sentry，為需要網絡入侵行為檢測的IDC用戶提供入侵、攻擊檢測等增值服務。自主研發的網絡入侵檢測系統Sentry，采用了與防火墻產品相同的多核處理硬件平臺和自主知識產權TOS系統，基于先進的SmartAMP并行處理架構，內置處理器動態負載均衡專利技術，結合獨創的SecDFA核心加速算法，全面支持IPV6，可實時快速檢測包括溢出攻擊、RPC攻擊、WEBCGI攻擊、拒絕服務攻擊、木馬、蠕蟲、系統漏洞等超過3500中網絡攻擊行為，在滿流量+全規則+攻擊流狀況下，無論是大包還是小包，均能達到萬兆級滿速檢測率。非常適合部署在IDC匯聚層萬兆級環境。

Sentry五合一安全防護功能圖

網絡安全審計
建議在匯聚層部署公司的網絡安全審計系統Audit-NET，為IDC用戶提供用戶網絡行為審計和取證增值服務。公司自主研發的Audit-NET采用基于量子存儲技術，可有效保證海量審計數據不丟失；利用云審計平臺的自治查詢技術充分發揮Sec多核平臺的計算能力，可實現海量數據查詢操作的瞬時返回，真正實現即查即顯；提供PPPoE實名審計、AD域實名審計、802.1x實名審計；采用海量原始數據包存儲，供專業人士進行深度分析，國內唯一；采用專用硬件架構與雙專用安全操作系統冷備，當常用系統出現故障可使用備用系統迅速恢復。

脆弱性掃描與管理
建議在匯聚層部署公司的脆弱性掃描與管理系統Scanner，為IDC用戶提供定期脆弱性掃描增值服務。Scanner采用B/S架構，基于CVSS、等級保護的科學掃描理念，集合了智能服務識別、多重服務檢測、腳本依賴、腳本智能調度、信息動態拋出、安全掃描、優化掃描、拒絕服務腳本順序掃描、斷點恢復等先進技術，確保了掃描的高準確度、高速度。Scanner掃描引擎采用基于主機、目標的漏洞、網絡、應用的檢測技術，最大限度的增強漏洞識別的精度。Scanner漏洞知識庫大于20000條、每周保持更新、兼容Nessus插件庫、兼容國際CVE標準。Scanner提供多種掃描策略模板和參數模板，可實現多種任務掃描、多主機掃描、授權掃描等，可實現級聯部署、對外接口、Syslog日志、統計對比報告等，還可對掃描的各種目標設備進行有效的監管。

應用流量管理
建議在匯聚層部署公司的應用流量管理系統Flow，為IDC用戶提供業務應用流量分析和管理增值服務。Flow具有業界最強大的協議識別引擎，其獨有的“加密協議深度識別”技術可以識別經過加密的P2P協議，可準確識別除傳統TCP/IP協議外高達600多種七層應用協議。提供帶寬限制、帶寬預留、帶寬保證，支持策略嵌套，支持硬件Bypass功能，可對單IP進行限速，可對流量進行精細化的管理，支持HTTP控制和DNS重定向、DNS劫持、丟棄請求的DNS控制，具有應用流量深度放大、應用分流及流量代理、用戶身份追查等功能，支持跨路由代理流量檢查，支持基于TCP、UDP連接數控制，支持DSCP標記以和路由器聯動，提供豐富的報表功能，可為用戶提供了應用監視、流量分析、流量管理、流量統計、流量管理控制等功能。

圖4、Flow應用流量檢測圖

服務器負載均衡
建議在匯聚層部署公司的服務器負載均衡系統App-LB，對需要服務器負載均衡服務的IDC用戶提供增值服務。App-LB采用了智能服務器負載均衡技術，支持多種負載均衡算法，動態監測服務器的性能和健康狀態，支持TCP、HTTP、HTTPS、自定義等多種服務健康檢查方式，自動選擇最佳服務器并智能地均衡服務器流量，可隱藏服務器真實IP，支持10種以上快速高效的智能負載均衡算法，支持快速高效的非持續性負載均衡算法和多種持續性負載均衡算法，支持專為Cache服務器設定的負載均衡算法，支持服務器流量的自動均衡，支持服務器最大連接數限制，具有會話保持功能，可實現服務故障自動通知，支持服務器負載均衡高可用性部署等。

業務接入層
業務接入層是IDC各種業務核心所在，需要重點考慮IDC業務安全，如防御針對網站的攻擊、對網站進行網頁防篡改防護、對IDC業務系統上線前的安全評估與加固等。

WEB應用防火墻
建議在業務接入層部署公司的WEB應用防火墻WAF，為IDC用戶提供網站安全防護增值服務。WAF是公司自主研制出品的新一代網站“替身”防護產品，可從事前預警、事中防護、事后分析三方面提供對網站進行全周期安全防護。事前，WAF對網站服務進行動態監視，實時監測系統的服務能力及服務質量，建立安全隱患預警機制；事中，WAF基于“無故障運行時間”原則，依托穩定、高效、安全的系統內核及先進的多維防護體系，通過WEB應用威脅防御、網頁防篡改、抗拒絕服務攻擊和WEB應用優化等多項功能，保障網站應用服務系統的運行質量；事后，WAF提供多角度的決策支撐數據，為用戶提供清晰詳盡的階段性報表，幫助網站管理者準確地了解網站的運行狀況并進行有針對性的調整。

圖5、WAF事前、事中、事后全周期防護圖

網頁防篡改
建議在業務接入層部署公司的網頁防篡改系統，為IDC用戶提供網頁防篡改增值服務。網頁防篡改系統，采用增強型事件觸發+系統（內核）文件底層驅動過濾技術（即第三代防篡改技術），安全、穩定、可靠；采取先進的多重防護技術，杜絕篡改；完全基于內核級事件觸發機制，對服務器資源占用極少，效率遠高于同類產品；對服務器安全性能實時監控，確保服務器安全穩定運行；對WEB服務運行狀態進行安全監控，保證WEB服務部受限于異常事件干擾；支持保護WEB服務器配置文件，杜絕網站指向遭到破壞�？捎行Х乐购诳�、病毒等對目錄中的網頁、電子文檔、圖片、數據庫等任何類型的文件進行非法篡改和破壞。

圖6、第三代防篡改技術演進圖

系統上線前評估加固
建議在業務接入層，通過公司的專業信息安全服務，為IDC用戶提供IDC業務系統上線前評估加固增值服務。具有分布于全國各地的超過70人的專業信息安全服務團隊，儲備了各種專業信息安全服務人才，可為IDC用戶提供涵蓋網絡設備、主機設備、操作系統、數據庫、安全設備等各種設備和系統的系統上線前的評估與加固等專業信息安全服務。

運維管理層
運維管理層的核心任務是保證整個IDC的網絡、設備、系統等的正常、安全運轉和業務的正常、安全運行，需要重點考慮IDC的邊界安全防護、4A（賬號/認證/授權/審計）、數據庫審計、終端安全、運維審計、安全管理、運維管理、遠程VPN安全接入、以及由第三方信息安全公司提供的包括遠程網站安全監測與恢復、安全事件審計與預警、安全策略風險評估等在內的安全云服務等。

防火墻
建議在運維管理層部署公司NGFW防火墻Guard，將IDC運維管理區與IDC業務區邏輯隔離開。具有擎天、獵豹、通用三大系列防火墻，可針對用戶不同的網絡環境和不同的應用場所，提供從萬兆機架式、萬兆非機架式到千兆高端、千兆中端、千兆低端、百兆等多種級別防火墻，以及病毒過濾、入侵防御、URL過濾等多種功能選擇。

VPN網關
建議在運維管理層部署公司的IPSEC/SSL VPN多合一VPN網關VPN VONE，為IDC運維人員提供帶外遠程VPN安全接入IDC運維管理區，進行運維操作和管理。VPN VONE基于自主知識產權的TOS安全操作系統，采用領先的AMP技術，采用先進的多核并行技術和智能集群技術，內置高速壓縮算法。支持iOS、Android等智能終端接入。支持應用QoS，支持WebCache加速，集成了強大的防火墻功能。支持用戶名/口令、證書、USB Key、短信、動態令牌、硬件特征碼、指紋等多種認證方式，支持第三方CA和CA在線認證。支持統一用戶管理，支持多種單點登錄方式，用戶只需一次認證即可訪問所有授權業務資源。支持虛擬門戶，不同IDC用戶可擁有獨立的接入門戶，定制不同登錄界面、功能模塊、認證方式等。

VPN遠程安全接入圖

4A（賬號/認證/授權/審計）
建議在運維管理層部署公司的4A（賬號/認證/授權/審計）系統UTS，為IDC運維人員提供統一的4A管理。UTS擯棄了傳統的單點登錄技術的實現方式，采用國內領先的支持C-S 和B-S 架構的單點登錄（SSO）實現機制，無需任何系統改造，其實現方式與應用系統的操作平臺、開發平臺、開發語言、數據庫、Web 服務器無關，在不改變現有軟硬件及網絡環境的前提下，無縫地將用戶各種現有的應用系統整合到單點登錄平臺上，實現一次登錄后就可訪問所有的應用系統。真正實現了“即插即用”、 “一點登錄，全網漫游”，真正體現了與“應用無關”的完美集成概念。

圖7、4A（賬號/認證/授權/審計）架構圖

運維審計（堡壘主機）
建議在運維管理層部署公司的運維審計（堡壘主機）系統Audit-SAG，為IDC運維人員提供統一的運維操作審計。Audit-SAG支持主賬號、被管資源、角色的樹形無限級分組，支持靜態口令、證書、智能卡、指紋等認證方式，支持豐富的被管資源并可自動收集被管資源的賬號，支持所有被管設備的密碼自動變更，可將訪問控制配置抽象成主機命令策略、訪問時間策略、客戶端地址策略、訪問鎖定策略四種策略以簡化用戶的配置和使用，可有效實現單點登錄、集中賬號管理、身份認證、資源授權、訪問控制和操作審計，非常適合于對IDC運維人員的管理和操作行為的審計。

圖8、運維審計（堡壘主機）功能示意圖

數據庫審計
建議在運維管理層部署公司的數據庫審計系統Audit-DB，為IDC運維人員提供數據庫操作審計，及時發現數據庫違規操作，保護IDC業務數據庫的安全。Audit-DB作為高性能專業數據庫審計硬件產品，廣泛支持Sybase、DN2、SQL Server、Oracle、MYSQL、Informix、PostgreSQL、達夢、南大通用Gbase、人大金倉等多種數據庫審計分析；基于量子存儲技術，可有效保證海量審計數據不丟失；利用云審計平臺的自治查詢技術充分發揮sec多核平臺的計算能力，實現海量數據查詢操作的瞬時返回，真正實現即查即顯；采用面向數據應用的壓力分析技術，實時、準確的審計分析所有SQL語句，明確判斷SQL語句的操作類型、操作對象；支持自定義的SQL語句分析功能，國內唯一；具有實時分析統計報表功能，有效解決了統計報表查詢長時間等待問題，實現統計報表即查即顯；國內唯一真正實現三層關聯審計分析，關聯分析準確度高達90%以上；實時告警分析，支持用戶自定義告警規則，支持郵件、短信、命令行、防火墻聯動等多種告警方式。

終端安全管理
建議在運維管理層部署公司的終端安全管理系統DESK，為IDC運維人員提供終端安全準入等，防止運維人員終端自身的安全問題影響IDC業務系統。DESK是第三代終端管理系統，在具備補丁管理、802.1x準入控制、存儲介質（U盤等）管理、非法外聯管理、終端安全性檢查、終端狀態監控、終端行為監控、安全報警等功能基礎上，增加風險管理和主動防范機制，具備完善的違規監測和風險分析，實現有效防護和控制，降低風險，并指導持續改進和完善防護策略，并具備終端敏感信息檢查功能，支持終端流量監控，非常適合于對IDC運維終端的安全管理。

安全管理平臺（SOC）
建議在運維管理層部署公司的安全管理平臺（SOC）Analyzer，對IDC所有的安全設備、非安全設備進行統一的安全事件、安全態勢等分析和管理等。Analyzer是面向全網IT資源整合的安全管理平臺，它通過對全網安全域中IT資源事件的采集、處理和分析，構建可度量的業務信息系統風險模型，實現集中監控、分析和管理的信息系統，展示整體信息安全態勢，并為整個信息系統的安全運營提供決策服務和運維流程管理。Analyzer具有首頁動態配置功能，不同的角色可以配置不同的首頁來展示不同的主題；具有安全對象管理、脆弱性管理、風險管理、事件管理、安全預警、告警功能、安全策略管理、工單管理、知識庫管理、專家輔助決策管理、報表管理等功能。Analyzer基于業務驅動，采用面向服務的體系架構、可擴展的事件收集專利技術、先進的事件歸并技術、標準SWL92語法過濾技術、基于狀態的實時關聯檢測技術、基于輔助決策的智能防護、多視角展示技術等，可提供持續改進的風險管理保障。

圖9、安全管理平臺（SOC）圖

IT運維管理
建議在運維管理層部署公司的IT運維管理系統，實現對整個IDC的IT運維管理。IT運維管理系統基于ISO 20000和ITIL 3.0，圍繞著人、流程、技術、信息四個方面，維護并管理組織機構相關信息，維護并管理供應商、廠商、服務商相關信息，維護并管理合同信息，維護并管理各類文檔，維護并管理服務信息，掃描并導入現網主機以及設備（目標設備開啟SNMP）信息進入資產庫，維護并管理資產信息。同時，將當前全網配置狀態設置為基線（BaseLine），查看現網設備的配置變動與基線對比。這樣，達到對整個IDC相關組織、供應商、廠商、服務商、機房、網絡、設備、系統、資產等全方位的事件管理、問題管理、運維評價、變更管理等目的。

圖10、IT運維管理系統功能示意圖

信息安全管理系統（ISMS）
建議在運維管理層部署公司針對IDC/ISP監管開發的信息安全管理系統（ISMS），實現對IDC的信息安全監管。ISMS可對IDC/ISP經營單位的單位信息、機房數據、用戶數據等基礎數據進行管理和監測；可對上行流量數據進行監測，并記錄和統計訪問信息，形成訪問日志；可對網絡中傳輸的公共信息數據進行監測，發現網絡中的違法違規網站、違法信息等，保存有關記錄，對違法信息進行過濾處理；同時，可將相關信息主動上報給電信管理部門的安全監管系統（SMMS），或由安全監管系統查詢相關記錄和日志，通過對IDC/ISP進行信息安全監管，達到保證互聯網安全的目的。

圖11、IDC/ISP ISMS系統功能示意圖

安全云服務
建議選擇公司的安全云服務，為IDC用戶提供遠程網站安全監測與恢復、安全事件審計與預警等服務，解除IDC用戶安全管理難的后顧之憂。公司基于其安全管理平臺（SOC）等安全產品，已在多地建成安全云服務中心，可基于先進的技術平臺、經驗豐富的安全運營團隊、成熟的服務管理體系，依托來自國家監管機構的權威分析數據，為政府和企業用戶提供的包括網站安全監測與恢復、安全事件審計與預警、安全巡檢、安全策略風險評估等在內的專業安全云服務，可幫助政企用戶及時發現網絡中存在的安全問題、分析安全事件產生的原因和影響、提供安全事件的預警和解決方案、幫助用戶處理和解決安全問題。

圖12、安全云服務示意圖

IDC網絡是最具代表性的大型機房業務提供網絡，IDC整體安全解決方案，一方面體現了對IDC面臨的安全問題的深刻理解，另一方面也體現了強大的安全產品、安全服務和安全解決方案能力。
作為國內最具實力和最值得信賴的安全產品/安全服務/安全解決方案提供商，愿為用戶提供更多、更好的整體安全解決方案

【返回】