随着企业的高速发展和经营对数据依赖性的增长,数据中心向着更大容量、更高能力、超大规模、多种业务模式和运营模式共存的方向发展。与此同时,DDoS攻击、黑客入侵等为数据中心网络安全带来了严峻的挑战。而华为认为:在数据中心安全防护解决方案中融入分区设计理念,能够有效保障数据中心的网络安全防护。
数据中心严峻的安全挑战
目前,DDoS攻击已经成为数据中心面临的最大威胁。随着攻击流量越来越大,攻击手段越来越复杂攻击越来越智能,传统的网络安全设备已难以防范。
而数据中心所存储的企业的关键信息资产,成为黑客攻击的重点。尤其是黑客攻击、蠕虫病毒、木马后门、间谍软件等混合威胁所带来的风险不断加剧。
同时,由于数据中心业务复杂,各区域的安全需求和保护等级各不相同。数据中心需要对自身的网络资源进行有效的安全区域、等级划分。而且,数据中心的特性决定了无论是边界网络还是内部网络都面临着性能瓶颈问题。
分区防护 全面应对数据中心安全挑战
针对以上安全挑战,华为认为:数据中心信息安全产品需要有更高的处理能力、防护产品的快速反应和高性能的处理能力,以满足防护种类繁多的攻击行为要求;同时数据中心的网络安全产品能够感知不同的应用类型,在网络需要时可以对不同的应用给予不同的带宽保障,保障高价值业务的用户体验;以缓和数据中心出口带宽的压力,提升用户体验。
对此,华为推出了高性能安全防护的数据中心网络边界防护解决方案。该方案遵循模块分区的设计理念,即根据企业自身特点,依据业务系统的相关性、数据流的访问要求和系统安全控制的要求等,把数据中心分成外联区、核心区。
在外联区,华为通过部署了高端防火墙、USG设备、Anti-DDoS设备IPS入侵防御系统等,实现了安全域隔离,将数据中心划分为外链区和核心区,对各个域之间的流量进行安全防护,有效保障网络安全。并可以对DDoS攻击进行有效识别,减少恶意流量的冲击,实现对DDoS的攻击防护。
核心区网络安全解决方案主要是通过在核心交换机上部署各种安全业务,如防火墙、IPS/IDS等为数据中心的业务提供内部网络安全解决方案。
在核心区,通过部署高性能USG设备,将核心区按照业务模式划分不同的区域,如测试区、托管区、运行管理区等,对不同的区域实现不同的安全策略,为不同的区域提供不同的安全防护能力。在核心区部署高性能的IPS设备、以旁路IDS方式部署NIP产品,从而可以做到监控内部攻击行为,检测异常的数据流量,同时在业务服务器群前,防御DDoS攻击、黑客攻击行为和蠕虫等,以保护高安全业务区的业务安全。
结语
面对当下数据中心网络安全的种种挑战,华为数据中心解决方案可谓具备了多种专业防护能力,对业务做到了应用层可视化管控。依托电信级的硬件平台,该方案针对数据中心大数据、大流量的特点,能够提供高性能、高可靠的安全防护。同时还具备高可靠性、易扩展和虚拟化能力强等特点。
华为完整的解决方案和强大的咨询服务能力,为数据中心在未来的快速的业务增长打下坚实的安全基础。
