背景介绍:随着政府行业电子政务的发展,数据中心业务大集中已经成为一种趋势。当大量的业务都集中在数据中心中,那么数据中心的业务安全性以及可靠性将至关重要,那么除了在主干线路加强安全建设外,如何将安全和可靠性后移,保证关键业务的安全和高可靠性。面临的问题:1、数据中心的业务安全防护业务数据大集中,同时也意味着安全要求的大集中,数据中心的安全性要求也随之提高。那么数据中心的业务安全面临哪些安全风险呢?(1)利用业务开发时期没有对代码的安全进行评估,使得系统可轻易通过web攻击实现对web服务器、数据库的攻击造成数据库信息被窃取的问题;(2)利用服务器操作系统漏洞、应用软件漏洞通过缓冲区溢出、恶意蠕虫、病毒等应用层攻击,获取服务器权限、使服务器瘫痪导致服务器、存储等资源被攻击的问题;(3)来自其他安全域的病毒、木马、蠕虫的交叉感染,使得数据中心成为“养马场”;(4)由于访问控制权限不当、系统误配置导致的敏感信息跨区域传播的问题;(5)利用协议漏洞对服务器发起的拒绝服务攻击使得服务器无法提供正常服务,导致业务中断等问题;(6)不同业务域如何有效进行安全隔离,防止安全风险扩散。2、数据中心的业务可靠性业务大集中会导致数据中心非常庞大,如何使众多业务系统发挥更大效能是我们面临的挑战,我们可能会遇到:(1)众多业务系统采用多台服务器,如何有效实现业务平稳切换,保障业务连续性,实现动态自动负载;(2)对于过载的服务器如何有效分担服务器性能,进一步提高服务器处理效率;(3)已经采用服务器虚拟化技术后如何跟虚拟化进行有效结合,进一步降低运维成本。深信服解决方案:1、数据中心的安全防护方案部署深信服下一代防火墙,实现2-7层的全面防护
深信服下一代防火墙(NGAF),一台设备就能实现所有安全防护要求,增强网络安全区域之间的安全防护。通过NGAF的部署可以实现以下效果:
■安全域边界进行访问控制,实现网络层和应用层的数据流向控制;
■双向内容防护,实现由内到外以及由外到内的双向数据检测,针对攻击事件发生前的预防以及攻击事件发生后的检测补救措施,通过对服务器发起的请求以及服务器的回复包进行双向内容检测,使得敏感数据信息不被外发,黑客达不到攻击的最终目的;
■通过防病毒子系统可实现各个安全域的流量清洗功能,清洗来自其他安全域的病毒、木马、蠕虫,防止各区域进行交叉感染;
■利用入侵防御子系统可实现对服务器集群操作系统漏洞(如:winserver2003、linux、unix等)、应用程序漏洞(IIS服务器、Apache服务器、中间件weblogic、数据库oracle、MSSQL、MySQL等)的防护,防止黑客利用该类漏洞通过缓冲区溢出、恶意蠕虫、病毒等应用层攻击获取服务器权限、使服务器瘫痪导致服务器、存储等资源被攻击的问题;
■通过web安全子系统可实现对各个区域(尤其是DMZ区)的web服务器、数据库服务器、FTP服务器等服务器的安全防护。防止黑客利用业务代码开发安全保障不利,使得系统可轻易通过web攻击实现对web服务器、数据库的攻击造成数据库信息被窃取的问题;
■通过信息泄漏防护子系统可自定义业务系统的敏感信息防止黑客绕过防御体系窃取业务系统的敏感信息;
■通过防篡改子系统可防止黑客利用各层面安全漏洞非法篡改业务系统合法界面,防止被篡改界面发布于众;
■通过风险评估子系统对服务器集群进行安全体检,通过一键策略部署的功能开启入侵防御子系统模块、web安全子系统模块的对应策略,可帮助管理员的实现针对性的策略配置;
■通过智能联动模块的应用,可形成防火墙子系统功能模块、入侵防御子系统功能模块、web安全子系统功能模块的智能联动,有效的防止工具型、自动化的黑客攻击,提高攻击成本,可抑制APT攻击的发生。
2、数据中心的优化和运维管理方案部署应用交付系统AD,实现链路和服务器负载
通过部署应用交付系统AD,实现链路和服务器的负载均衡,另外还有其他功能保障数据中心的可靠性。
■支持链路负载和服务器负载;
■结合健康检查和业务特点,提供十几种负载均衡算法组合,满足多种生产环境下的业务需求;
■支持轮询、加权轮询、加权更少连接、更快响应、劢态反馈、优先级等多种灵活的调度机制;
■健全的链路健康检查;
■内置丰富的节点监视手段,可以定义四层和七层的健康检查机制,深度检测服务器的健康状态;
■支持基于服务器硬件运行状况的实时监控,并可根据丌同应用类型交互机制设定相应的健康检查机制;
■支持自定义内容检查机制,通过模拟访问请求来判断服务器应用能否正常响应,业务适应能力强;
■TCP 连接优化不 SSL 卸载技术,减轻源数据节点的服务器计算资源消耗;
■HTTP 压缩和单边加速技术,降低服务器压力,提升传输效率;
■限制服务器至大连接不并发,以避免过载,并丏支持服务器温暖上线和平滑退出,便于维护管理;
■在网络或者业务出现故障时,实时地以短信或者邮件告警的形式通知相关管理人员迚行维护 。深信服部署方案图:
部署说明:在数据中心各安全域出口边界部署AF,实现2-7层安全防护,数据中心服务器群前面部署AD做服务器负载均衡。案例分享某省环保厅,数据中心建设在省会城市,各市的环保采集点数据通过专线传输到数据中心。在广域网组网时,选用了深信服的加速VPN设备,实现通信加密和链路优化;选用深信服AF设备,部署在关键网络节点处,实现2到7的层的全面的安全防护;部署AD,实现链路和服务器的负载均衡;部署APM实现对数据中心全网的可视化监控。
关于领信
陕西领信未来信息科技有限公司是一家主要面向铁路、科研院所、大型企业等行业的网络安全集成和网络安全技术支持服务及相关应用的专业化信息技术企业。成立于2003年。多年来为用户提供从方案设计、工程实施到售后技术服务的全面技术支持,具有健全的运营体制和现代企业理念 , 公司成立以来,业绩显著,成功完成了多项网络安全建设项目,建立了完善的客户服务系统,赢得了广大客户的赞誉和信赖。在信息安全、网络应急服务实施过程中,领信未来已发展成为陕西省内信息安全技术领域颇具实力的企业之一
业务范围
安全服务、应急响应、渗透测试、系统集成
联系方式
电话:029-88235366
邮箱:liujj@linktrust.net