新版数据中心解决方案安全技术白皮书模板.docx

新版数据中心解决方案安全技术白皮书模板.docx

《新版数据中心解决方案安全技术白皮书模板.docx》由会员分享，可在线阅读，更多相关《新版数据中心解决方案安全技术白皮书模板.docx（27页珍藏版）》请在冰豆网上搜索。

新版数据中心解决方案安全技术白皮书模板

数据中心处理方案安全技术白皮书

1序言

数据集中是管理集约化、精细化肯定要求，是企业优化业务步骤、管理步骤必需手段。

现在，数据集中已经成为中国电子政务、企业信息化建设发展趋势。

数据中心建设已成为数据大集中趋势下肯定要求。

做为网络中数据交换最频繁、资源最密集地方，数据中心无疑是个充满着巨大诱惑数字城堡，任何防护上疏漏必将会造成不可估量损失，所以构筑一道安全地防御体系将是这座数字城堡首先面正确问题。

2数据中心面正确安全挑战

伴随Internet应用日益深化，数据中心运行环境正从传统用户机/服务器向网络连接中央服务器转型，受其影响，基础设施框架下多层应用程序和硬件、网络、操作系统关系变得愈加复杂。

这种复杂性也为数据中心安全体系引入很多不确定原因，部分未实施正确安全策略数据中心，黑客和蠕虫将顺势而入。

尽管大多数系统管理员已经认识到来自网络恶意行为对数据中心造成严重损害，而且很多数据中心已经布署了依靠访问控制防御来取得安全性设备，但对于日趋成熟和危险各类攻击手段，这些传统防御方法仍然显现力不从心。

以下是目前数据中心面正确部分关键安全挑战。

2.1面向应用层攻击

常见应用攻击包含恶意蠕虫、病毒、缓冲溢出代码、后门木马等，最经典应用攻击莫过于“蠕虫”。

蠕虫是指"经过计算机网络进行自我复制恶意程序，泛滥时能够造成网络阻塞和瘫痪"。

从本质上讲，蠕虫和病毒最大区分在于蠕虫是经过网络进行主动传输，而病毒需要人手工干预（如多种外部存放介质读写）。

蠕虫有多个形式，包含系统漏洞型蠕虫、群发邮件型蠕虫、共享型蠕虫、寄生型蠕虫和混和型蠕虫。

其中最常见，变种最多蠕虫是群发邮件型蠕虫，它是经过EMAIL进行传输，著名例子包含"求职信"、"网络天空NetSky"、"雏鹰BBeagle"等，11月爆发"Sober"蠕虫，是一个很经典群发邮件型蠕虫。

而传输最快，范围最广、危害最大是系统漏洞型蠕虫，比如利用TCP445端口进行传输windowsPnP服务漏洞到第一季度还在肆虐它余威。

图1应用协议攻击穿透防火墙

应用攻击共同特点是利用了软件系统在设计上缺点，而且她们传输全部基于现有业务端口，所以应用攻击能够毫不费力躲过那些传统或含有少许深度检测功效防火墙。

国际计算机安全协会ICSA试验室调查结果显示，病毒攻击范围提升了39%，重度被感染者提升了18%，造成经济损失提升了31%，尤为引人注意是，跨防火墙应用层（ISO7层）攻击提升了278%，即使在，这一数字也高达249%。

摆在我们面前大量证据表明，针对系统缺点应用攻击已成为数据中心面临关键威胁。

造成应用攻击根本原因在于软件开发人员编写程序时没有充足考虑异常情况处理过程，当系统处理处理一些特定输入时引发内存溢出或步骤异常，所以形成了系统漏洞。

黑客利用系统漏洞能够取得对系统非授权资源访问。

来自CERT（计算机紧急事件对应组）汇报指出，从1995年开到已经有超出12，000个漏洞被汇报，而且自1999年以来，每十二个月数量全部翻翻，增加如此迅猛，以下图所表示：

图21995－CERT/CC统计发觉漏洞

如此多漏洞，对数据中心意味着什么？

系统安全小组必需立即采取行动取得补丁程序、测试、最终将其布署在服务器上，为何不直接给服务器打补丁呢？

因为不能确保补丁对应用系统没有影响，为了以防万一，必需对补丁程序进行测试和验证，然后才许可将其投入生产系统。

从补丁程序取得、测试和验证，再到最终布署，完成这一系列任务需要多长时间？

答案是，可能需要多个小时到几天，而在此期间攻击可能已经发生，损失已无法挽回。

这也就是所谓“零时差攻击”。

以下表所表示，从系统漏洞被发觉到产生针对性应用攻击时间已从以年计算降至以天，以小时计算。

表1系统漏洞和应用攻击爆发速度关系:

应用攻击

系统漏洞和应用攻击爆发周期

MS05-039

24小时

Witty

48小时 （2天）

Blast

1个月（26天）

Slammer

6个月 （185天）

Nimida

11个月 （336天）

试想一下，这是一个何等恐怖情况，数据中心庞大服务器群还未来得及做出任何反应即遭到黑客发动“闪击战”，大量敏感数据被盗用、网络险入瘫痪…|…。

所以，数据中心面临另一个严峻问题是怎样应对由应用攻击造成“零时差”效应。

2.2面向网络层攻击

除了因为系统漏洞造成应用攻击外，数据中心还要面对拒绝服务攻击（DoS）和分布式拒绝服务攻击（DDoS）挑战。

DOS/DDOS是一个传统网络攻击方法，然而其破坏力却十分强劲。

据美国CSI/FBI计算机犯罪和安全调研分析，DOS和DDOS攻击已成为对企业损害最大犯罪行为，超出其它多种犯罪类型两倍。

常见DDOS攻击方法有SYNFlood、EstablishedConnectionFlood和ConnectionPerSecondFlood。

已发觉DOS攻击程序有ICMPSmurf、UDP反弹，而经典DDOS攻击程序有Zombie、TFN2K、Trinoo和Stacheldraht等。

DOS/DDoS攻击大行其道原因关键是利用了TCP/IP开放性标准，从任意源地址向任意目标地址全部能够发送数据包。

DOS/DDOS利用看似合理海量服务请求来耗尽网络和系统资源，从而使正当用户无法得到服务响应。

早期DOS攻击由单机提议，在攻击目标CPU速度不高、内存有限、网络带宽窄情况下效果是显著。

伴随网络和系统性能大幅提升，CPU主频已达数G，服务器内存通常在2G以上，另外网络吞吐能力已达万兆，单机提议DoS攻击好比孤狼斗猛虎，没有什么威胁。

狼习性是群居，一只当然势单力薄，但假如群起而攻之，恐怕猛虎也难抵挡，这就是分布式拒绝服务攻击原理。

用一台攻击机来攻击不再起作用话，攻击者使用10台攻击机、100台呢共同提议攻击呢？

DDoS就是利用大量傀儡机来提议攻击，积少成多超出网络和系统能力极限，最终击溃高性能网络和系统。

数据中心绝不许可DOS/DDOS垃圾报文肆虐于网络之中，所以怎样实施边界安全策略，怎样“拒敌于国门之外”将是数据中心面临又一个挑战。

2.3对网络基础设施攻击

数据中心象一座拥有巨大财富城堡，然而坚固堡垒最轻易从内部被攻破，来自数据中心内部攻击也更具破坏性。

隐藏在企业内部黑客不仅能够经过应用攻击技术绕过防火墙，对数据中心网络造成损害，还能够凭借其网络构架充足了解，经过违规访问、嗅探网络系统、攻击路由器/交换机设备等手段，访问非授权资源，这些行将对企业造成更大损失。

“木桶装水量取决于最短木板”，包含内网安全防护部件产品很多，从接入层设备到汇聚层设备再到关键层设备，从服务器到交换机到路由器、防火墙，几乎每台网络设备全部将参与到系统安全建设中，任何布署点安全策略疏漏全部将成为整个安全体系短木板。

“木桶装水量还取决于木板间紧密程度”，一个网络安全不仅依靠于单个部件产品安全特征，也依靠于各安全部件之间紧密协作。

一个融合不一样工作模式安全部件产品无缝安全体系必需能够进行全方面、集中安全监管和维护。

所以，数据中心安全防护体系不能仅依靠单独某个安全产品，还要依靠整个网络中各部件安全特征。

3技术特色

在这种咄咄逼人安全形势下，数据中心需要一个全方位一体化安全布署方法。

H3C数据中心安全处理方案秉承了H3C一贯提倡“安全渗透理念”，将安全布署渗透到整个数据中心设计、布署、运维中，为数据中心搭建起一个立体、无缝安全平台，真正做到了使安全贯穿数据链路层到网络应用层目标，使安全保护无处不在。

H3C数据中心安全处理方案技术特色可用十二个字概括：

三重保护、多层防御；分区计划，分层布署。

3.1三重保护，多层防御

图3数据中心三重安全保护

以数据中心服务器资源为关键向外延伸有三重保护功效。

依拖含有丰富安全特征交换机组成数据中心网络第一重保护；以ASIC、FPGA和NP技术组成含有高性能正确检测引擎IPS提供对网络报文深度检测，组成对数据中心网络第二重保护；第三重保护是凭借高性能硬件防火墙组成数据中心网络边界。

用一个形象比方来说明数据三重保护。

数据中心就像一个欣欣向荣国家，来往商客就像访问数据中心报文；防火墙是驻守在国境线上军队，首先担负着守卫国土防御外族攻击（DDOS）重担，其次负责检验来往商客身份（访问控制）；IPS是国家警察，随时准备捉拿即使拥有正当身份，但仍在从事违法乱纪活动商客（蠕虫病毒），以保卫社会秩序；含有多种安全特征交换机就像商铺雇佣保安，提供最基础安全监管，时刻提防由内部人员造成破坏（STP攻击）。

图4数据中心多层安全防御

三重保护同时为数据中心网络提供了从链路层到应用层多层防御体系，图。

交换机提供安全特征组成安全数据中心网络基础，提供数据链路层攻击防御。

数据中心网络边界安全定位在传输层和网络层安全上，经过状态防火墙能够把安全信任网络和非安全网络进行隔离，并提供对DDOS和多个畸形报文攻击防御。

IPS能够针对应用流量做深度分析和检测能力，同时配合以精心研究攻击特征知识库和用户规则，即能够有效检测并实时阻断隐藏在海量网络流量中病毒、攻击和滥用行为，也能够对分布在网络中多种流量进行有效管理，从而达成对网络应用层保护。

3.2分区计划，分层布署

在网络中存在不一样价值和易受攻击程度不一样设备，根据这些设备情况制订不一样安全策略和信任模型，将网络划分为不一样区域，这就是所谓分区思想。

数据中心网络依据不一样信任等级能够划分为：

远程接入区、园区网、Internet服务器区、Extranet服务器区、Intranet服务器区、管理区、关键区，图。

图5数据中心分区计划思想

所谓多层思想（n-Tier）不仅表现在传统网络三层布署（接入－汇聚－关键）上，更应该关注数据中心服务器区（ServerFarm）设计布署上。

服务器资源是数据中心关键，多层架构把应用服务器分解成可管理、安全层次。

“多层”指数据中心能够有任意数据层次，但通常是3层。

根据功效分层打破了将全部功效全部驻留在单一服务器时带来安全隐患，增强了扩展性和高可用性。

图，第一层，Web服务器层，直接和接入设备相连，提供面向用户应用；第二层，即应用层，用来粘合面向用户应用程序、后端数据库服务器或存放服务器；第三层，即数据库层，包含了全部数据库、存放和被不一样应用程序共享原始数据。

图6数据中心分层布署思想

4关键技术说明

本节将根据“三重保护、多层防御”思想，具体说明每种安全技术应用模式。

本节最终还将介绍另一个不容忽略问题－“数据中心网络管理安全技术”。

4.1数据中心网络架构安全技术

网络基础架构安全特征是数据中心中各部件产品基础安全特征通称。

架构安全特征包含服务器、接入交换机、负载均衡器、汇聚交换机、关键交换机等设备，布署点多、覆盖面大，是组成整个安全数据中心基石。

H3C凭借基于COMWARE含有丰富安全特征全系列智能交换机为数据中心打造坚实基础构架。

COMWARE是由H3C推出支持多个网络设备网络操作系统，它以强大IP转发引擎为关键，经过完善体系结构设计，把实时操作系统和网络管理、网络应用、网络安全等技术完美结合在一起。

作为一个不停发展、可连续升级平台，它含有开放接口，可灵活支持大量网络协议和安全特征。

COMWARE可应用在分布式或集中式网络设备构架之上，也就是说，不仅能够运行在高端交换机/路由器上，而且也能够运行在中低端交换机/路由器上，不向其它厂商，不一样软件运行在不一样设备上。

COMWARE这一特征可使网络中各节点设备得到同一安全特征，根本避免了因为部件产品安全特征不一致、不统一造成安全“短木板效应”。

图7数据中心基础架构安全相关架构

4.2基于VLAN端口隔离

交换机能够由硬件实现相同VLAN中两个端口相互隔离。

隔离后这两个端口在本设备内不能实现二、三层互通。

当相同VLAN中服务器之间完全没有互访要求时，能够设置各自连接端口为隔离端