数据中心安全加固方案Word格式文档下载.docx
- 文档编号:20378445
- 上传时间:2023-01-22
- 格式:DOCX
- 页数:10
- 大小:688.26KB
数据中心安全加固方案Word格式文档下载.docx
《数据中心安全加固方案Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《数据中心安全加固方案Word格式文档下载.docx(10页珍藏版)》请在冰豆网上搜索。
终端安全也是互联网出口安全建设关注的重点,终端用户是网络资产中的一个重要组成部分,同对外发布业务服务器一样,终端也面临着系统软件层面存在的漏洞被利用风险。
当今互联网上充斥着各种恶意网页,钓鱼网站,而每个终端用户的安全意识不尽相同,容易被一些虚假信息所蒙蔽,点击了包含恶意软件下载地址的链接导致终端被种植了远控木马,蠕虫病毒等恶意软件。
病毒、木马、蠕虫对终端的危害可能导致终端系统瘫痪、终端被控制、终端存储的信息被窃取、甚至于终端被控制之后形成跳板攻击危害到内部其他更有价值的服务器。
因此针对终端的安全防护主要考虑几个方面:
1)终端自身系统或者应用软件存在的漏洞防护;
2)已知远控木马,蠕虫病毒等恶意软件被种植到终端,形成僵尸主机后的检测识别;
3)未知变种恶意软件威胁的检测与防护
业务系统安全问题
业务系统的架构是B/S架构,大量的web应用可能存在被攻击的风险。
业务系统的篡改是指攻击者利用Web应用程序漏洞将正常的网页替换为攻击者提供的网页/文字/图片等内容。
一般来说篡改的问题对计算机系统本身不会产生直接的影响,但对于业务系统,需要与用户通过业务系统进行沟通的应用而言,就意味着业务系统的服务将被迫停止服务,对单位形象及信誉会造成严重的损害。
业务系统网页被挂马也是利用Web攻击造成的一种网页篡改的安全问题,相对而言这种问题会比较隐蔽,但本质上这种方式也破坏了业务系统的完整性。
挂马会导致Web业务的最终用户成为受害者,成为攻击者的帮凶或者造成自身的损失。
这种问题出现在业务系统中也严重影响业务的正常运作并影响到单位的公信度。
这类安全问题主要web攻击、系统漏洞攻击等攻击手段操作后台数据库,导致数据库中储存的用户资料、身份证信息、账户信息、信用卡信息、联系方式等敏感信息被攻击者获取。
这对于业务系统而言是致命的打击,可产生巨大的不良影响。
业务稳定的需求
为了提升韶关市国土局不动产登记系统的稳定性和可靠性,韶关市国土局可能会采取部署多条互联网链路以保证在不动产登记系统网络服务质量的方式,消除单点故障,减少停机时间:
互联网络的外部用户如何在外部访问内部的网站和应用系统时也能够动态的在多条链路上平衡分配,并在一条链路中断的时候能够智能地自动切换到另外一条链路到达服务器和应用系统,这也被称作为入站流量的负载均衡。
用户访问高体验感的需求
随着访问用户数量的增加,不动产登记系统后台服务器承载的压力也将越来越大,如何有效的保证客户访问的速度和保障系统高稳定性。
可通过服务器负载均衡机制,保证用户访问流量能在各服务器上均衡分配,提高服务器资源的利用率。
1、通过负载均衡设备将用户访问请求分配到多台之上,提升应用系统的处理能力。
2、当某台服务器发生故障时能被及时检测到,并且故障服务器将会被自动隔离,直到其恢复正常后自动加入服务器群,实现透明的容错,保证服务器整体性能得到大幅提高;
3、希望能够通过相应优化机制来节省服务器的性能消耗,减少硬件投资成本,提升服务器相应能力。
第3章总体方案设计
方案设计原则
本次的方案设计,将充分依据系统安全的详细技术需求,并参照国内外的相关规范、标准及经验,按照兼容性、安全性、开放性、可扩充性及易用性、先进性、合规性、成熟性以及统一性等原则,保障设计方案先进可靠、可实施性强,能够完全满足项目的实际安全需求,作为实现项目目标。
●兼容性原则:
方案设计具有较强的兼容性,充分考虑了现有的应用系统、运行环境、以及服务器和网络设备等,体现了与现有系统的无缝链接。
●安全性原则:
在充分考虑现有网络情况和实际需求的情况下,结合相关技术要求,提供系统化的整体解决方案。
●开放性原则:
考虑到本项目中将要建立统一的系统运行状态集中监控平台,对各个硬件设备功能、性能和应用软件、系统软件的运行状态、网络设备、安全防护设备、系统运行参数、用户等进行统一的监管,必须要进行本地化的二次开发,因此在本方案的设计中提供了标准化的软硬件技术、资源、接口等的开放性解决方案。
●可扩充性原则:
充分考虑了系统未来一段时间内网络、业务规模和网络安全需求的变化,能够在相当长的一段时间内保障系统的整体安全,具有较强的可扩展性,有效保护了用户的投资。
●综合防范原则:
信息安全是一个庞大的系统工程,信息系统任何一个环节的疏漏都有可能导致安全事件的发生。
因此,本方案的设计坚持综合防范原则,以保证未来各类安全措施的全面和完整。
●适度保护原则:
在信息安全方面没有必要也不可能追求绝对的安全。
一方面过度的追求安全不但将大大提高信息安全的成本,还往往会影响业务的正常开展,大大降低业务活动的灵活性;
另一方面信息安全工作过于薄弱又会给业务开展留下很大的隐患。
因此方案设计依据适度保护原则,目标是将信息安全风险控制在合理的、可接受的范围内。
●成熟性原则:
本方案的设计充分借鉴国际信息安全最佳实践,采用成熟的技术和产品,规避风险,防止由于单纯追求技术领先而成为先进技术的试验品。
总体网络拓扑图
本次方案建议采用深信服下一代防火墙AF#台数2#以及应用交付AD#台数2#,分别部署在如下位置:
互联网出口高可用:
部署两台AD做于外网区域互联网出口,实现外网用户流量入站负载均衡以及内网服务器集群负载均衡,实现链路和服务器高可用。
互联网出口安全防护:
部署两台AF于互联网出口,针对用户的上网终端提供安全威胁过滤、木马恶意流量检测、DMZ服务器保护、NAT、路由等安全防护功能。
第4章详细方案设计
应用安全防护
在边界防护保障中,网络出口部署的防火墙主要工作在网络层和传输层,防范大部分基础的网络攻击,而对于整个互联网中的攻击分布,70%以上都来自应用层,这些攻击都是防火墙所无法防御的。
因此,在互联网出口处启用深信服下一代防火墙的入侵防御和web防护模块,提供主动的、实时的防护,具备对网络的线速、深度检测能力,具有网络检测、防范网络攻击、防范拒绝服务攻击、异常报警和阻断等功能。
特别是web防护模块针对应用层的安全防护能力,与防火墙系统相互配合,实现2到7层立体的防护效果。
深信服下一代防火墙可以在互联网出口为对外发布服务器的底层漏洞提供入侵防护功能,所发布的漏洞特征库数量超过4000条,通过CVECompatible认证,并且深信服做为微软MAPP合作计划伙伴,能够在第一时间获取到业界最新的漏洞信息,保证漏洞特征库的时效性和先进性。
终端安全防护
深信服下一代防火墙独有的僵尸网络检测隔离功能,能够实时对终端主动发起的外发流量进行检测,协助用户定位内网被黑客控制的服务器或终端。
该功能利用业界领先的僵尸网络识别检测技术对黑客的攻击行为进行有效识别,针对以反弹式木马为代表的恶意软件进行深度防护。
僵尸网络识别库数量超过50万条,并由深信服攻防团队实时更新。
除了建立恶意软件样本库外,为了能够应对恶意软件的新型变种以及其他未知威胁,深信服下一代防火墙搭建了云安全平台,通过云平台的沙箱检测技术来识别未知的安全威胁。
深信服下一代防火墙能够将检测到的异常流量放到沙箱虚拟化环境中运行,通过监控注册表修改、进程创建、文件系统修改来发现未知威胁。
同时针对新发现的威胁样本生成特征规则库,并通过云安全平台推送到所有接入互联网的深信服下一代防火墙设备上。
业务系统安全设计
应用层面的安全加固主要针对本次业务系统应用安全建设中web应用程序基于ASP、PHP、JSP等开发的B/S业务,本身不可避免的存在软件开发本身的漏洞、造成黑客的SQL注入,致使业务系统数据库和网页文件被篡改或者被窃取的问题进行有针对性的应用安全加固。
通过Web安全子系统部署于web服务器区核心交换前实现双向内容的检测,针对HTTP协议的深入解析,精确识别出协议中的各种要素,如cookie、Get参数、Post表单等,并对这些数据进行快速的解析,以还原其原始通信的信息,根据这些解析后的原始信息,精确的检测其是否包含威胁内容。
Web安全子系统作为web客户端与服务器请求与响应的中间人,能够有效的避免web服务器直接暴露在互联网之上,采用双向内容检测技术可检测过滤HTTP双向交互的数据流包括response报文,对恶意流量,以及服务器外发的有风险信息进行实时的清洗与过滤,防止web安全风险。
Web安全子系统有效结合了web攻击的静态规则及基于黑客攻击过程的动态防御机制,实现双向的内容检测,提供OWASP定义的十大安全威胁的攻击防护能力,有效防止常见的web攻击。
(如,SQL注入、XSS跨站脚本、CSRF跨站请求伪造)从而保护网站免受网站篡改、网页挂马、隐私侵犯、身份窃取、经济损失、名誉损失等问题。
数据层面的安全加固主要为了应对攻击手段越来越先进的黑客攻击和目的性和持续性很强的高级持续性威胁(APT)等类似的高级攻击。
因为安全防御体系并不能达到100%的防御效果,通常采用这种攻击方式的攻击带有明确的攻击意图和不达目的不休止的特点,黑客往往应用先进的攻击手段绕过防御体系,从而给业务系统造成不可挽回的损失。
有针对性的对数据、内容进行保护,采取事后的防御技术手段可以有效的降低系统被破坏、窃取、篡改的风险,将安全损失降到最低。
信息泄漏防护子系统提供可定义的敏感信息防泄漏功能,根据储存的数据内容可根据其特征清晰定义,通过短信、邮件报警及连接请求阻断的方式防止大量的敏感信息被窃取。
深信服敏感信息防泄漏解决方案可以自定义多种敏感信息内容进行有效识别、报警并阻断,防止大量敏感信息被非法泄露。
通过深度内容检测技术的应用,信息泄漏防护子系统具备深度内容检测的能力。
能够检测出通过文件、数据流、标准协议等通过网关的内容。
因此具备针对敏感信息,如186、139等有特征的11位的手机号码、18位身份证号,有标准特征的@邮箱等有特征数据进行识别。
并通过分离平面设计的软件构架,实现控制平面与内容平面检测联动,通过控制平面向底层数据转发平面发送操作指令来阻断敏感信息的泄漏。
有防护了业务系统的敏感泄漏的风险。
业务稳定详细设计
本方案设计充分考虑了后续数据中心扩展性,采用深信服AD设备实现链路负载均衡及服务器负载均衡,深信服AD设备包含了链路负载均衡、全局负载均衡和服务器负载均衡三大功能对后续网络和应用系统的扩建、稳定性保障以及优化建设都有很好的扩展性。
(1)当外部用户访问内部资源时,深信服AD通过智能DNS技术将一个域名绑定多个运营商的公网地址,负责解析来自不同运营商用户的域名解析请求;
深信服AD根据不同负载均衡策略为不同运营商的用户返回最佳的访问地址,实现用户入站流量的负载均衡。
入站流量(外部用户访问内部资源的流量)
通过在域名注册提供商处修改域名NS记录,深信服AD设备获得域名解析权,深信服实现一个域名绑定多个运营商的公网地址,负责解析来自多个运营商用户的域名解析请求。
根据实现设定负载策略可以实现,如电信的用户通过电信的线路访问内部资源,联通的用户通过联通的线路访问内部资源;
深信服AD还可以通过两条链路做反向查询,根据RTT时间判断链路的好坏,并且综合以上两个参数返回相应的IP地址。
(2)支持多重负载均衡算法将所有流量均衡的分配到各个服务器,不仅充分利用所有的服务器资源,而且各个服务器均衡的承担流量处理任务,从而有效地避免服务器处理任务“不平衡”现象的发生,并通过多种优化技术实现系统的高可用性。
1、当用户请求到SANGFORAD设备的时候,根据预先设定好负载策略能够合理的将每个连接快速的分配到相应的服务器。
2、通过对服务器健康状况的实时监控,能够实时的发现故障服务器,及时将用户的访问请求切换到其他正常服务器之上。
3、配合深信服独特的单边加速技术,能够是现在用户端不安装任何插件和客户端的情况下提升用户的访问速度。
4、通过深信服AD设备具备的缓存、压缩、ssl卸载、连接复用等功能进一步降低服务器性能消耗。
第5章方案优势与价值
立体化的安全防护体系
整个网络的安全体系采用“事前、事中、事后”进行建设,以达到L2-L7的整体安全防护效果:
事前:
利用下一代防火墙设备中的实时安全自检系统,能够实时的通过用户访问服务器资源的流量中发现及时发现服务器的漏洞,对业务服务器的安全状况进行实时的安全体检,及时告知管理员服务器的漏洞风险情况,防止真空期出现的同时结合风险评估报表、异常应用分布、异常流量分布等报表,让管理员充分了解网络安全短板,从而制定针对性的安全防护策略。
事中:
不同于工作在L2-L4层的传统防火墙,下一代防火墙可以对全网流量进行双向深入数据内容层面的全面透析。
在安全策略制定方面,区域别于传统防火墙五元组安全策略,第二代防火墙可对L2-L7层更多的元素(如,用户、应用类型、URL、数据内容等)制定双向的安全访问策略,使安全策略更精细、更有效,且满足业务的合规性;
在安全防护能力方面,提升了传统的抗攻击的能力不仅能防护网络层的攻击,还能针对来源更广泛、攻击更容易、危害更大的应用层攻击进行防护,实现L2-L7层的安全防护。
利用下一代防火墙产品提供的病毒、木马、终端漏洞、Web入侵等各种L2-L7威胁的检测、防护,只需要一台设备就可以实现互联网的安全风险防范,减少了整体方案成本,减少单点故障。
事后:
下一代防火墙具备的L2-7层的攻击防护技术,使防护技术不存在短板。
不仅仅需要防护外部攻击,并能检查服务器/终端外发流量是否有风险,弥补了传统安全设备只防外不防内的漏洞,可检测服务器外发数据是否有泄密或篡改,也可检测互联网终端电脑是否被黑客控制。
为终端+对外发布服务器的统一互联网出口提供更完整的安全保障
良好的风险感知体验
深信服的实时漏洞分析系统,通过漏洞特征+攻击特征的方式,能够帮助用户发现针对业务系统的有效攻击。
对于未知威胁和0day漏洞防护,通过云安全中心和威胁情报预警与处置中心,能够帮助用户在第一时间了解和应对未知风险,并通过综合安全风险报表,汇总业务端与用户端所遭受到的安全威胁,便于进行下一步的网络安全整改工作。
高可靠性与稳定性
合理地调度来自不同用户的入站访问,提升线上业务的应用系统稳定性和用户访问体验;
多重优化加速技术提升应用系统资源利用率,提升Web业务经由互联网交付的效率;
从服务器端卸除SSL处理的负荷,释放计算资源,解决业务系统性能问题;
多个数据中心之间形成站点冗余,保障业务的高可用性,并提升各站点的资源利用率。
全文完
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 数据中心 安全 加固 方案