IDC网络安全增值业务的实现与部署.pdf

电佑技求网实现与部署李洪许文秀广东省电信有限公司广帅I 510081 接|:对目前正在开展的安全特区、安全评估、流量清洗和安全代维等|Dc网络安全增值业务的部署和实现原理进行7介绍。关键诲:lDc网络安全增值业务安全特区业务 1前言目前,IDc主要提供主机托管、带宽, 服务器/IP地址出租、电力资源等资源消耗型业务,网络安全由用户自行解决,用户普遍因成本问题而没有配备完善的安全设备,同时没有专人对设备进行必要的安全配置,导致安全问题时有发生。 IDc用户在抗DDos攻击、防入侵等方面有较大的安全需求。针对IDc用户对安全方面的需求,电信运营商有必要探索开展高增值IDc网络安全业务,以推动IDc业务的不断发展。电信运营商提供IDc安全增值业务的优势在于:通过资源共享,可以让单个用户以较少的费用享用到高级别的安全防范服务。 2安全特区业务安全特区业务就是以vLAN为安全特区单位,基于防火墙和用户自服务系统为IDc用户构建安全防范区域,并提供一系列安全增值业务,包括防火墙访问控制、入侵防护、网络蠕虫防范等服务。自服务系统提供防火墙策略提交表单和防火墙日志报表,用户可以通过自服务系统提交防火墙策略,管理员验证策略的正确性后,再到防火墙进行相应配置,同时可以把与该用户相关的日志报表推送到自服务系统。使用自服务系统,一方面避免了用户直接配置防火墙可能导致的各种错误; 另一方面可以实现防火墙的多用户共享, 使每个用户都拥有自己的策略表单和日志报表,提高用户对业务的认可度,同时降低运营商开展业务所需的成本。 。①整个网络可以划分为一个外网区和多个用户服务器区,各用户服务器区之间通过vLAN隔离,仅在服务器区和外网区之间开启允许通过的安全策略。②在安全网关的网管系统和用户管理门户基础上构建业务管理系统,为用户提供简洁、方便的安全策略自管理方 31 万方数据式;③在安全网关的日志系统和用户管理门户基础上构建业务报表系统,为用户提供安全防范历史记录的报表功能和当前安全状况的查询功能。 ①安全网关采用负载均衡备份方式; ②业务节点部署在IDc的汇接层之后,开辟一个专门的物理空问,将安全特区业务的用户托管主机迁移到该物理空间统一放置; ③开发支持用户自管理的业务管理系统; ④开发用户报表系统。 3安全评估业务用户将服务器放置在IDc中, 对其安全状况并不了解,或者没有专业的评估手段。如果用户购买安全评估服务,运营商可在用户服务器正式部署到IDc机房之前先对其进行安全评估,在设备进入IDc机房后,可以定期对其进行安全评估,并给出相应的安全加固措施建议,对可能存在的安全隐患进行预警。 , 人工审核为辅。漏洞扫描软件不可避免会存在误报和漏报,维护人员应能剔除评估报告中存在的不实信息。同时维护人员应掌握简单的人工安全审核技术,能根据用户主机的具体情况对安全加固建议进行必要的修正。 3。2业务部署①购买远程漏洞扫描软件。该软件选型的要求是:尽量支持图1安全特区业务网络示意 Dc内常见的操作系统和应用系统;能够及时更新安全漏洞数据库; 能对扫描结果进行综合分析,产生基于不同角色的漏洞扫描报告。②对维护人员进行必要的安全培讨¨o 4流量清洗业务不少企业用户在IDc中架设了网站,网站一旦遭受DDo