数据中心安全与应用优化解决方案
数据中心(英文拼写Data Center,简写DC)是数据大集中而形成的集成IT应用环境,它是各种IT应用服务的提供中心,是数据计算、网络、存储的中心。数据中心实现了安全策略的统一部署,IT基础设施、业务应用和数据的统一运维管理。
数据中心是当前运营商和各大企业的IT建设重点。运营商、金融、电力、政府、能源、交通、教育、制造业、大型企业、网站和电子商务公司等正在进行或已经完成数据中心建设,通过数据中心的建设,实现对IT系统的整合和集中管理,提升内部的运营和管理效率以及对外的服务水平,同时降低IT建设的整体TCO。
今天,WEB2.0大潮开始涌现。我们使用着各种各样的WEB2.0网站,如Flickr、Youtube、Google等;享受着各式各样的WEB2.0应用,如BLOG、WIKI、PODCAST,互联网在第一次泡沫迸裂后又重现生机。人们通过WEB2.0网站社交、学习、娱乐,工作,WEB技术从来没有这么深刻的影响着我们个人。这些新应用的背后英雄就是WEB技术,如果讲WEB1.0解决的是“人机交互界面的标准化”问题,WEB2.0则更进一步解决了“应用数据交互的标准化”问题,而WEB2.0的技术基础是XML协议和一系列相关WEB技术。可以预见,在今后的几年内,WEB应用的普及必将带来另外一个新的标准化,那就是基于WEB技术的应用标准化,如果用OSI的模型来描述的话,则是会话层和表示层的标准化。“一旦标准化,即可网络化”意味着这些标准化的应用处理功能将集成到网络设备中,新的业务呼唤新的应用智能网络。
企业业务和数据从分散部署走向大集中,数据中心的数据量急剧膨胀,数据中心的重要性受到空前的重视,应用优化、网络安全、应用安全设备大规模部署,融合了应用安全、应用优化能力的应用智能数据中心越来越受到企业用户的欢迎。
应用安全涵盖:
- 应用层认证、授权和审计
- 应用层加密(SSL)和集中PKI部署
- 应用层防火墙(HTTP/XML防火墙,SAML 安全断言标记语言)
- 应用层内容安全:病毒、入侵等等
应用优化涵盖:
- 应用负载均衡
- 基于硬件的应用缓存、压缩和交换
- 应用协议优化(HTTP/TCP协议优化)
融合应用安全、应用优化的应用智能数据中心模型:
数据中心安全设计
在深入分析IT安全形势的基础上,H3C提出基于状态演进的安全模型,把IT的安全分成:
单机安全:单机安全强调权限管理、病毒防护、数据备份
局部安全:局部安全强调远程接入、入侵检测、安全融合、安全协作
深度安全:深度安全强调容灾备份、深度抵御、安全审计、流量分析
统一安全:统一安全强调风险管理、企业内控、统一规划、统一管理
随着安全状态的演进,安全向着应用智能的安全方向发展。
在任何情况下,信息只存在于三种状态之一:
计算:计算是信息被创建、修改、删除、查询以及深度处理的过程。
通讯:通讯是信息在不同的环境之间以及环境内部传递的过程。
存储:信息被以某种形式临时或者永久性保存的过程。
安全的目标就是在保证数据在这三种状态下的安全。
信息的安全状态决定安全的策略,对于数据中心来讲,信息的安全策略包括访问控制策略、补丁管理策略、攻击抵御策略、渗透抵御策略、病毒控制策略、流量控制策略、风险管理策略。
安全策略的基础是基于业务的安全分区,数据中心业务安全分区的优势:
- 增加新功能区更容易
- 不同区域可实施不同的安全策略
- 每个分区按照需求可独立的扩展
- 发生故障易定位易恢复等优点
因此,按照分区的思想,数据中心按照业务类型分为不同的逻辑区域,每个分区制定不
同的安全策略和信任模型。
从实际部署上看,又分成:
1)边界访问控制
H3C系列防火墙是H3C公司面向企业用户开发的新一代专业防火墙设备。支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能,能够有效的保证网络的安全;采用ASPF(Application Specific Packet Filter)应用状态检测技术,可对连接状态过程和异常命令进行检测;提供多种智能分析和管理手段,支持邮件告警,支持多种日志,提供网络管理监控,协助网络管理员完成网络的安全管理;支持多种VPN业务,如L2TP VPN、GRE VPN 、IPSec VPN、动态VPN等,可以构建多种形式的VPN;提供基本的路由能力,支持RIP/OSPF/BGP/路由策略及策略路由;支持丰富的QoS特性,提供流量监管、流量整形及多种队列调度策略。从形态上看:
防火墙可以是一台独立的盒式设备,如SECPATH F1800/ F1000/ F100。
也可以是一块网络插卡,内置在网络设备中,如H3C SecBlade I/II。
2)深度智能防御
H3C IPS系列产品是业界领先的IPS产品。产品以在线或者旁路的方式部署在客户网络的关键路径上(可以实现在线防御,也可以配置Layer2-back,即二层回退),通过对流经该关键路径上的网络数据流进行2到7层的深度分析,能精确、实时地识别并阻断或限制黑客、蠕虫、病毒、木马、DoS/DDoS、扫描、间谍软件、协议异常、网络钓鱼、P2P、IM、网游等网络攻击或网络滥用,从而可为客户网络提供三大保护功能:保护网络应用、保护网络基础设施、保护网络性能。同时,H3C IPS系列产品还具有强大、实用的带宽管理和URL过滤功能,可为客户带来IPS之外的更高附加价值。
3)智能安全管理
H3C安全管理中心SecCenter可以即时收集安全事件、网络事件、系统事件、应用事件,并把原始数据转换为智能安全&有效信息,是数据中心安全管理的有效工具。SecCenter可管理近100家主流厂家的安全与网络产品、1000+种报表的自动或手工生成、流量与攻击的实时监控、海量事件关联和威胁分析、安全审计分析与追踪溯源。
总之,H3C通讯安全目标是提供面向业务的端到端的安全保障,覆盖客户端、网络和数据中心的服务器和存储系统。
数据中心应用优化设计
随着用户业务的快速发展,数据中心的性能瓶颈日趋凸现,为了解决诸如此类的性能问题,出现了流量管理产品,比如能够深度识别和管理的P2P流量的路由器,产品工作在网络层解决数据传输中的应用优化问题;负载均衡设备,产品的目标是解决服务器访问的瓶颈问题,但是这些产品不足以解决数据中心应用层的性能问题,因此H3C应用优化设备应运而生,它采用先进的连接管理技术进行TCP 卸载和传输层端到端优化,考虑到SSL、压缩、加密等更多并发处理,极大的提高了数据中心的数据访问性能。
SecPath ASE系列是H3C公司推出的一款面向Web 应用和数据中心的高性能应用加速硬件产品,它将web加速、SSL卸载和加速、压缩、TCP优化、负载均衡、防DDos攻击等技术集成在一个硬件平台上,并且每个功能模块都是由专有的硬件芯片运行。利用全硬件加速处理技术来帮助企业提高应用性能,最大可使Web服务器的性能提升10倍。同时,SecPath ASE还可以提供高可用性负载均衡、快速与超智能的第4-7层交换、精细的互动控制以及其它诸多特性,为数据中心网络提供最好的保护。
产品主要功能:
TCP连接优化
ASE采用TCP连接终结技术,将所有客户端的TCP连接转移至ASE,实现硬件加速;ASE与服务器之间仅需要建立少量的、持续的TCP连接。ASE使服务器从处理大量的并发TCP请求和TCP连接建立/卸载的负担中解脱出来,服务器的大量CPU资源被释放;同时,ASE与服务器之间以局域网的速度通讯,大大提高了传输效率。
负载均衡
ASE提供了完全的第4~7层服务器负载均衡功能,可在单一设备上支持多个应用和服务器集群的部署。ASE可以根据各种算法和要求分配用户请求,大大提高整个系统的运行效率和可靠性,降低维护成本。
SSL 卸载与加速
所有SSL连接被ASE终结,ASE处理所有的SSL连接建立、握手、加密和解密工作,以高于明文的速度提供安全内容。SSL事务处理和管理的卸载,可以为服务器释放昂贵的 CPU 周期,极大降低系统开销,把服务器处理需求减少多达 40%,从而实现应用资源的整合,提供立竿见影的投资回报。
内容压缩
ASE根据需要压缩返回用户的数据,可以将带宽占用降低60%,用户得到更快的响应,同时消除服务器处理压缩的开销。压缩功能由专门的硬件模块来完成,不占用系统资源,不影响其它功能。同时,与传统的软件压缩相比,ASE数据压缩的吞吐量和压缩速度大大提高。
安全防护
ASE集成的DDoS防护功能,能够抵御SYN,Land,Teardrop,ICMP等多种DDoS攻击。其独特的设计和结构仅允许合法的用户请求传送到服务器,并在识别攻击的同时继续向合法用户提供服务,从而为用户应用提供一道安全层。
高峰负荷保护
ASE 连接和请求处理机制及其强大的处理能力能够保护服务器免于超载,使得服务器可以充分发挥其潜力,而由 ASE 处理高峰负荷。
SecPath ASE的单臂部署方案
采用单臂模式,可以将ASE旁路部署在网络内部,不需要改变网络原有部署。访问Web服务器资源的用户首先要被牵引到应用加速设备ASE上,连接终结后,ASE再与后台服务器进行服务请求。
SecPath ASE系列单臂应用部署图
由于单臂模式无需改变网络环境,因此在大大提高应用运行速度的同时,也保证了应用的可靠性。减少网络维护工作量和日常运营成本。
SecPath ASE的在线部署方案
将ASE部署在服务器群前端,串行接入网络,为用户提供应用加速和负载均衡功能,实现对网络应用的性能提升。
SecPath ASE系列在线应用部署图
在线部署ASE可以为用户提供一个应用加速通路,ASE对远程用户的连接进行终结,实现应用加速与负载均衡。
使用在线部署模式时,SecPath ASE实现对非HTTP协议的透明转发,确保服务器上其他服务的正常应用。同时访问Web服务器资源的用户访问的是应用加速设备,终端用户并没有与Web服务器直接连接,避免了后端服务器遭受DDOS攻击。
附件:数据中心基础网络相关产品
H3C数据中心解决方案基础网络平台通过千兆或万兆以太网连接办公区用户、计算资源和存储资源。网络通过架构级可靠(业务网络与管理网络分离,模块化设计)、网络级可靠(网元、链路、拓扑冗余设计)、设备级可靠(电信级可靠性设备、双主控、关键部件冗余)保障了网络平台的高可靠。同时产品本身的高扩展能力、模块化设计充分满足了数据中心架构高可扩展性要求。
交换机基于设备本身的BPDU Guard、PVLAN、五元组绑定、802.1X集成安全特性,实现数据的二层保护;防火墙实现数据的网络层的安全保护;入侵防御系统IPS实现基于应用层的深度安全保护
CAMS综合访问管理服务器多业务安全接入管理平台,可以与H3C交换机、路由器、VPN网关等网络设备共同组网,实现对用户宽带接入、VPN接入、无线接入以及IP电话接入的管理、认证、授权和计费。
SecCenter A1000智能安全管理中心,它能够自动对全网海量的安全事件和日志集中收集与统一分析,兼容异构网络中多厂商的各种设备,对收集数据高度聚合存储及归一化处理,实时监控全网安全状况,同时能够根据不同用户需求自动提供具有说服力的网络安全状况与政策符合性审计报告。
通过广域网优化设备增加广域网容量;同时改善应用响应时间,减少协议交互;区分优先级和控制应用,确保对关键应用的最低/最高带宽,控制/阻止非关键(无赖)应用。
通过应用优化设备实现WEB加速、SSL卸载和加速、压缩、TCP优化、负载均衡、防DDoS攻击,同时还可以提供高可用性负载均衡、快速与超智能的第4-7层交换、精细的应用控制以及其它诸多特性。 |
