山石网科数据中心边界安全解决方案

---

方案背景

随着企业信息化建设的逐步深入，网络业务应用和网络系统日益复杂，企业的带宽大规模升级，网络结构不断优化，数据中心流量剧增，而原有安全设备往往老化严重，吞吐、并发能力有限，网络抗风险性差，数据中心安全设备往往成为性能瓶颈，有单点故障风险，更无法满足未来的带宽扩展需求。

由于企业数据中心往往面临着黑客的攻击，这些攻击轻者引起访问业务中断，严重的将造成重要信息的泄露，并且数据中心集中了企业最重要的信息资产，一旦发生安全事件将对企业的正常业务造成极大的损失，因此需要采取必要的安全防护手段进行保护。

企业数据中心常见的安全需求：

• 边界隔离、身份识别与访问控制；
• 有效对抗攻击、防范网络入侵和恶意代码、检测与防护未知威胁；
• 流量管理、带宽控制，保障健康的互联网访问；
• 高性能、高可靠性要求；
• 数据中心虚拟化攻击防护；
• 有效防护网站被攻击和篡改；
• 满足等级保护合规性需求；
• 企业多出口运营商线路智能选路；
• 深度应用识别与管控，实现应用层安全防护；
• IPv4 和 IPv6 网络的共存。

方案介绍

 

通过在企业数据中心部署山石网科下一代防火墙、IPS、WAF等设备，满足大流量、高并发环境的部署要求，同时还提供了链路负载、NAT、应用识别、流量管理、访问控制和攻击防护等安全功能，全面保障了企业数据中心网络的安全：

• 在数据中心边界区域部署两台下一代防火墙设备，防火墙设备采用HA的主备方式部署，开启防火墙基本功能、访问控制策略等功能，实现数据中心区域的访问控制、安全防护的功能；
• 下一代防火墙下联两台入侵防御设备，实现对出入数据中心的 2-7 层网络攻击流量的安全防护，保证数据中心区域服务器的安全；
• 在数据中心区域核心交换机处，采用旁挂的方式部署两台WEB应用防火墙设备， 通过在数据中心核心交换机上，将 WEB 流量采用流量牵引方式引流到 WEB 应用防火墙上，进行 WEB 流量的过滤，开启相应的防护策略，保障数据中心 WEB 服务器的安全。

方案优势

企业数据中心的网络边界安全防护，主要是通过有效的隔离与控制手段，对远程的访问加以约束，防范非法访问、恶意攻击，同时保障带宽资源的合理分配，并对远程访问数据包的传输安全性加以保护，防范其在互联网平台上传递过程中被窃取和篡改。

综合起来，对照企业数据中心的特点和安全需求，数据中心边界安全方案有以下优势和价值：

• 提升企业数据中心基础平台的安全防护能力
  • 通过下一代防火墙的深度访问控制能力（基于地址、协议、端口、应用、 用户身份），对外部的访问进行控制，结合访问来源、访问目标、访问行为等要素，对访问的合法性进行判断，并阻断非法的访问；
  • 通过高性能病毒扫描过滤功能，查杀并过滤外部传播的恶意代码；
  • 通过虚拟防火墙功能，将办公网和DMZ区网络等进行逻辑隔离，针对不同网络单独管理；
  • 通过 HA 双机热备保障系统的高可靠性，避免单台设备发生故障导致的网络业务中断；
  • 通过多种 IPv6 过渡技术，例如 DNS64/NAT64 等，可完成网络从 IPv4 到 IPv6 网络的平滑过渡，并且支持双栈技术，在 IPv6 网络建设后期，也可以完全满足 IPv4 和 IPv6 网络同时运行的情况；
  • 通过IPS基于应用的入侵防御技术，深度检测访问数据包并对恶意渗透行为进行鉴别和阻断；
  • 通过WAF网关对外网访问数据中心的网站流量进行全面深度分析过滤， 实时阻挡针对网站的攻击或篡改。
• 保障企业数据中心基础平台的工作效率
  • 下一代防火墙采用多核架构，支持板卡扩展带来的性能线性提升，能够在对企业数据中心基础网络平台进行保护的同时，尽可能维持企业数据中心原有的工作效率；
  • 通过下一代防火墙智能带宽管理功能，结合企业业务应用优先级，对企业上网流量进行两层八级的细粒度划分控制，同时配合会话限制、策略路由、链路负载均衡等功能，为企业提供了更为灵活的流量管理与运营商线路自动切换的解决方案；
  • 下一代防火墙支持设备部件的冗余，以及设备整机冗余，还支持硬件Bypass，部署在企业数据中心网络边界，能够提供高可靠的安全防护，不会成为单点故障。