{安全生产管理}数据中心解决方案安全技术白皮书.pdf

: .
{}数据中安全生产管理

起，在攻击目标的 CPU 速度不高、内存有限、网络带宽窄的情况下效果是明显的。
随着网络和系统性能的大幅提高，CPU 的主频已达数 G，服务器的内存通常在 2G
以上，此外网络的吞吐能力已达万兆，单机发起的 DoS 攻击好比孤狼斗猛虎，没
有什么威胁。狼的习性是群居，一只固然势单力薄，但如果群起而攻之，恐怕猛
虎也难抵挡，这就是分布式拒绝服务攻击的原理。用一台攻击机来攻击不再起作
用的话，攻击者使用 10 台攻击机、100 台呢共同发起攻击呢？DDoS 就是利用大
量的傀儡机来发起攻击，积少成多超过网络和系统的能力的极限，最终击溃高性
能的网络和系统。
数据中心绝不允许 DOS/DDOS 垃圾报文肆虐于网络之中，因此如何实施边界安全
策略，如何“拒敌于国门之外”将是数据中心面临的又一个挑战。
对网络基础设施的攻击
数据中心象一座拥有巨大财富的城堡，然而坚固的堡垒最容易从内部被攻破，来自数据中心内部的攻击也更具破坏性。隐藏在企业内部的黑客不仅可以通过应用
攻击技术绕过防火墙，对数据中心的网络造成损害，还可以凭借其网络构架的充
分了解，通过违规访问、嗅探网络系统、攻击路由器/交换机设备等手段，访问
非授权资源，这些行将对企业造成更大的损失。
“木桶的装水量取决于最短的木板”，涉及内网安全防护的部件产品非常多，从
接入层设备到汇聚层设备再到核心层设备，从服务器到交换机到路由器、防火墙，
几乎每台网络设备都将参与到系统安全的建设中，任何部署点安全策略的疏漏都
将成为整个安全体系的短木板。
“木桶的装水量还取决于木板间的紧密程度”，一个网络的安全不仅依赖于单个
部件产品的安全特性，也依赖于各安全部件之间的紧密协作。一个融合不同工作
模式的安全部件产品的无缝安全体系必须可以进行全面、集中的安全监管与维护。
因此，数据中心的安全防护体系不能仅依靠单独的某个安全产品，还要依托整个
网络中各部件的安全特性。
2 技术特色
在这种咄咄逼人的安全形势下，数据中心需要一个全方位一体化的安全部署方式。
H3C 数据中心安全解决方案秉承了 H3C 一贯倡导的“安全渗透理念”，将安全部署
渗透到整个数据中心的设计、部署、运维中，为数据中心搭建起一个立体的、无
缝的安全平台，真正做到了使安全贯穿数据链路层到网络应用层的目标，使安全
保护无处不在。
H3C 数据中心安全解决方案的技术特色可用十二个字概括： 三重保护、多层防御；
分区规划，分层部署。，多层防御
图 3 数据中心三重安全保护
以数据中心服务器资源为核心向外延伸有三重保护功能。依拖具有丰富安全特性
的交换机构成数据中心网络的第一重保护；以 ASIC、FPGA 和 NP 技术组成的具有
高性能精确检测引擎的 IPS 提供对网络报文深度检测，构成对数据中心网络的第
二重保护；第三重保护是凭借高性能硬件防火墙构成的数据中心网络边界。
用一个形象的比喻来说明数据的三重保护。数据中心就像一个欣欣向荣的国家，
来往的商客就像访问数据中心的报文；防火墙是驻守在国境线上的军队，一方面
担负着守卫国土防御外族攻击（DDOS）的重任，另一方面负责检查来往商客的身
份（访问控制）；IPS 是国家的警察，随时准备捉拿虽然拥有合法身份，但仍在从
事违法乱纪活动的商客（蠕虫病毒），以保卫社会秩序；具有各种安全特性的交
换机就像商铺雇佣的保安，提供最基本的安全监管，时刻提防由内部人员造成的
破坏（STP 攻击）。
图 4 数据中心多层安全防御
三重保护的同时为数据中心网络提供了从链路层到应用层的多层防御体系，如图。
交换机提供的安全特性构成安全数据中心的网络基础，提供数据链路层的攻击防
御。数据中心网络边界安全定位在传输层与网络层的安全上，通过状态防火墙可
以把安全信任网络和非安全网络进行隔离，并提供对 DDOS 和多种畸形报文攻击
的防御。IPS 可以针对应用流量做深度分析与检测能力，同时配合以精心研究的
攻击特征知识库和用户规则，即可以有效检测并实时阻断隐藏在海量网络流量中
的病毒、攻击与滥用行为，也可以对分布在网络