20080108_298978_数据中心安全与应用优化解决方.docx

数据中心安全与应用优化解决方案1 概述数据中心（英文拼写 Data Center，简写 DC）是数据大集中而形成的集成 IT 应用环境， 它是各种 IT 应用服务的提供中心，是数据计算、网络、存储的中心。数据中心实现了安全 策略的统一部署，IT 基础设施、业务应用和数据的统一运维管理。数据中心是当前运营商和各大企业的 IT 建设重点。运营商、金融、电力、政府、能源、 交通、教育、制造业、大型企业、网站和电子商务公司等正在进行或已经完成数据中心建设， 通过数据中心的建设，实现对 IT 系统的整合和集中管理，提升内部的运营和管理效率以及 对外的服务水平，同时降低 IT 建设的整体 TCO。今天，WEB2.0 大潮开始涌现。我们使用着各种各样的 WEB2.0 网站，如 Flickr、Youtube、Google 等；享受着各式各样的 WEB2.0 应用，如 BLOG、WIKI、PODCAST，互联网在第一次泡沫迸裂后又重现生机。人们通过 WEB2.0 网站社交、学习、娱乐，工作，WEB 技术从来没有这么深刻的影响着我们个人。这些新应用的背后英雄就是 WEB 技术，如果讲 WEB1.0解决的是“人机交互界面的标准化”问题，WEB2.0 则更进一步解决了“应用数据交互的标准化”问题，而 WEB2.0 的技术基础是 XML 协议和一系列相关 WEB 技术。可以预见，在今后的几年内，WEB 应用的普及必将带来另外一个新的标准化，那就是基于 WEB 技术的 应用标准化，如果用 OSI 的模型来描述的话，则是会话层和表示层的标准化。“一旦标准化， 即可网络化”意味着这些标准化的应用处理功能将集成到网络设备中，新的业务呼唤新的应用智能网络。企业业务和数据从分散部署走向大集中，数据中心的数据量急剧膨胀，数据中心的重要 性受到空前的重视，应用优化、网络安全、应用安全设备大规模部署，融合了应用安全、应用优化能力的应用智能数据中心越来越受到企业用户的欢迎。应用安全涵盖：?应用层认证、授权和审计?应用层加密（SSL)和集中 PKI 部署?应用层防火墙（HTTP/XML 防火墙,SAML 安全断言标记语言）?应用层内容安全：病毒、入侵等等应用优化涵盖：应用负载均衡基于硬件的应用缓存、压缩和交换应用协议优化（HTTP/TCP 协议优化）融合应用安全、应用优化的应用智能数据中心模型：DC CoreDC aggregationFWFWLB LBSSLSSLNAMNAMaggregation2aggregation3aggregation4DC accessNIC Teaming接入mainframe三层接入NIC Teaming集群刀片服务器Pass through刀片集成switch数据中心安全设计在深入分析 IT 安全形势的基础上，H3C 提出基于状态演进的安全模型，把 IT 的安全 分成：单机安全：单机安全强调权限管理、病毒防护、数据备份 局部安全：局部安全强调远程接入、入侵检测、安全融合、安全协作 深度安全：深度安全强调容灾备份、深度抵御、安全审计、流量分析 统一安全：统一安全强调风险管理、企业内控、统一规划、统一管理 随着安全状态的演进，安全向着应用智能的安全方向发展。在任何情况下，信息只存在于三种状态之一： 计算：计算是信息被创建、修改、删除、查询以及深度处理的过程。通讯：通讯是信息在不同的环境之间以及环境内部传递的过程。存储：信息被以某种形式临时或者永久性保存的过程。安全的目标就是在保证数据在这三种状态下的安全。信息的安全状态决定安全的策略，对于数据中心来讲，信息的安全策略包括访问控制策略、补丁管理策略、攻击抵御策略、渗透抵御策略、病毒控制策略、流量控制策略、风险管理策略。安全策略的基础是基于业务的安全分区，数据中心业务安全分区的优势：增加新功能区更容易不同区域可实施不同的安全策略每个分区按照需求可独立的扩展发生故障易定位易恢复等优点。 因此，按照分区的思想，数据中心按照业务类型分为不同的逻辑区域，每个分区制定不同的安全策略和信任模型。从实际部署上看，又分成：边界访问控制深度智能防御智能安全管理1）边界访问控制H3C 系列防火墙是 H3C 公司面向企业用户开发的新一代专业防火墙设备。支持外部攻击 防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能，能够有效的保证网 络的安全；采用 ASPF（Application Specific Packet Filter）应用状态检测技术，可对 连接状态过程和异常命令进行检测；提供多种智能分析和管理手段，支持邮件告警，支持多 种日志，提供网络管理监控，协助网络管理员完成网络的安全管理；支持多种 VPN 业务，如 L2TP VPN、GRE VPN 、IPSec VPN、动态 VPN 等，