版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、IDC整体安全解决方案一、IDC现状及发展趋势根据中国IDC圈2013年3月发布的2012-2013年度中国IDC产业发展研究报告数据 显示,2012年全球IDC市场整体市场规模达到 255.2亿美元,增速为14.6%。从报告中可 以看出,在全球数据中心市场中,欧美地区市场需求已趋于饱和,亚太地区正成为带动全球IDC市场的主要动力。其中,美国已开始逐步关闭部分小型数据中心,政府带头部署云计算;欧洲略落后于美国,云计算尚在部署阶段;而亚太尚处于IDC基础建设阶段,未来潜力巨大。国内IDC市场中,金融和电信行业的数据中心建设占据了50%的市场份额,其次是政府、制造和能源行业,广电也开始加入其中。网
2、络游戏和视频等应用业务成为拉动IDC市场增长主力,云计算已成为IDC产业未来发展趋势,而网络安全成为IDC产业日益关注的问题。二、IDC网络架构及面临的安全威胁IDC网络架构一般包括四层:互联网接入层、汇聚层、业务接入层和运维管理层。互联网接入层由2台核心路由器组成,作为 IDC和互联网互联互通的纽带,对外完成与互联网的高 速互联,对内负责与IDC的汇聚层交换互联,负责 IDC内部路由信息与外部路由信息转发 和维护等,互联网接入层的出口带宽至少20Gbps ,多采用多条10 Gbps出口链路。汇聚层由多台成对的汇聚交换机组成,是业务接入层交换机的汇聚点,并上联到互联网接入层核心路由器,汇聚层交
3、换机与互联网接入层核心路由器之间多采用多条10Gbps链路连接。业务接入层由接入交换机和各业务系统的服务器、存储等设备组成,是对外提供IDC相关业务运维管理层提供网络管理、的核心,接入交换机与汇聚交换机之间多采用多条千兆链路连接。资源管理、业务管理、安全管理、运营管理等IDC管理功能,向IDC的运营维护人员和客户提供设备管理、系统维护、远程接入等服务。IDC所面临的安全威胁主要体现为:网络层的非法访问,网络漏洞的存在,DDOS攻击等入侵和攻击行为,大量恶意流量,有效带宽问题,用户的访问行为取证,等等;业务层的系统自身脆弱性的存在,病毒、垃圾邮件泛滥,网站被篡改、挂马、受到 SQL注入/跨站等攻
4、击,系统可用性保障,等等;管理层的系统如何运维管理,运维人员的操作是否违规,安全事件如何统一管理分析,运维终端自身的安全性,IDC如何监管,等等。三、清信安IDC整体安全解决方案针对上述IDC面临的安全威胁,清信安推出了IDC整体安全解决方案,从互联网接入层、汇聚层、业务接入层和运维管理层四个层面,提出了相应的安全解决方案,如下图示。image001.gif清信安IDC整体安全解决方案图互联网接入层互联网接入层是整个 IDC业务的出口,承担着抵御DDOS攻击和保证带宽正常可用及IDC业务可正常访问的重任,重点需防治DDOS攻击造成的带宽或主机资源被大量消耗。抗DDOS/流量清洗建议部署清信安公
5、司的万兆级抗DDOS/流量清洗设备 QsecDDOS ,清洗攻击流量,保证整 个IDC网络带宽的可用和IDC业务的可访问。QsecDDOS应用了清信安自主研发的抗拒绝 服务攻击算法,创造性地将算法实现在协议栈的最底层,避免了 QCP/UDP/IP 等高层系统 网络堆栈的处理,使整个运算代彳大大降低,并结合特有硬件加速运算, 因此系统效率极高。QsecDDOS另借助清信安攻防实验室多年的DDOS攻击研究成果,具有业界最完善的DDOS攻击检测能力。QsecDDOS通过异常流量检测系统实时检测 DDOS攻击,一旦检测到攻击流量,就将异常 流量牵引到异常流量清洗系统进行攻击流量清洗,将清洗后的正常流量
6、再回注入网络, 这样即可实时抵御来自互联网的 DDOS攻击,有效过滤DDOS攻击流量,保PIDC业务持续正 常访问。如下图示,是IDC抗DDOS/异常流量清洗部署和工作示意图。image002.gif清信安IDC抗DDOS/流量清洗解决方案图汇聚层汇聚层是IDC业务汇聚之处,首先需要把好网络安全关,如访问控制、入侵检测、网络脆 弱性扫描、网络设备安全加固等,其次肩负着为IDC业务做负载均衡和进行流量分析管理等职责。高性能防火墙建议在汇聚层部署清信安公司的万兆级NGFW高性能防火墙 QsecNSG ,为需要边界防护的IDC用户提供访问控制等增值服务。清信安目前有擎天系列并行多级硬件架构机架式万
7、兆高性能防火墙和猎豹系列基于QsecASIC 芯片万兆级高性能防火墙,基于高效安全自主QOS操作系统和多核架构,采用了自主原创实现数据层多核快速转发的高性能业务处理技术QsecQURBO ,处理能力高达 320Gbps ,支持防火墙、VPN、入侵防御、病毒防御、URL 分类过滤、虚拟防火墙、IPV6等功能,支持 VPN虚拟化接入,非常适合部署在 IDC汇聚 层为不同IDC用户提供不同要求的边界安全防护。image003.gif清信安NGFW防火墙多核架构高性能网络入侵检测建议在汇聚层部署清信安公司的万兆级高性能网络入侵检测系统QsecSenQry ,为需要网络入侵行为本测的IDC用户提供入侵、
8、攻击检测等增值服务。清信安自主研发的网络入侵检测系统QsecSenQry ,采用了与防火墙产品相同的多核处理硬件平台和自主知识产权QOS系统,基于先进的SmarQAMP并行处理架构,内置处理器动态负载均衡专利技术,结合独创的SecDFA核心加速算法,全面支持 IPV6 ,可实时快速检测包括溢出攻击、RPC攻击、WEBCGI攻击、拒绝服务攻击、木马、蠕虫、系统漏洞等超过3500中网络攻击行为,在满流量+全规则+攻击流状况下,无论是大包还是小包,均能达到万兆级满速检测率。非常适 合部署在IDC汇聚层万兆级环境。image004.gif清信安QsecIPS五合一安全防护功能图网络安全审计建议在汇聚层
9、部署清信安公司的上网行为管理系统AM ,为IDC用户提供用户网络行为审计和取证增值服务。清信安公司自主研发的 AM采用基于量子存储技术,可有效保证海量审计数据不丢失;利用云审计平台的自治查询技术充分发挥Qsec多核平台的计算能力, 可实现海量数据查询操作的瞬时返回,真正实现即查即显;提供 PPPoE实名审计、AD域实名审计、802.1x实名审计;采用海量原始数据包存储,供专业人士进行深度分析,国内唯一;采用专用硬件架构与双专用安全操作系统冷备,当常用系统出现故障可使用备用系统迅速恢复。脆弱性扫描与管理建议在汇聚层部署清信安公司的脆弱性扫描与管理系统QsecVAS ,为IDC用户提供定期脆弱性扫
10、描增值服务。QsecVAS采用B/S架构,基于CVSS、等级保护的科学扫描理念,集合了智能服务识别、多重服务检测、脚本依赖、脚本智能调度、信息动态抛出、安全扫描、优化扫描、拒绝服务脚本顺序扫描、断点恢复等先进技术,确保了扫描的高准确度、高速度。QsecVAS扫描引擎采用基于主机、目标的漏洞、网络、应用的检测技术,最大限度的增强漏洞识别的精度。QsecVAS漏洞知识库大于 20000条、每周保持更新、兼容 Nessus插件 库、兼容国际 CVE标准。QsecVAS提供多种扫描策略模板和参数模板,可实现多种任务扫描、多主机扫描、授权扫描等,可实现级联部署、对外接口、Syslog日志、统计对比报告等
11、,还可对扫描的各种目标设备进行有效的监管。应用流量管理建议在汇聚层部署清信安公司的应用流量管理系统QsecLK,为IDC用户提供业务应用流量分析和管理增值服务。QsecLK具有业界最强大的协议识别引擎,其独有的“加密协议深度识别”技术可以识别经过加密的 P2P协议,可准确识别除传统 QCP/IP协议外高达600多种七层应用协议。提供带宽限制、带宽预留、带宽保证,支持策略嵌套,支持硬件Bypass功能,可对单IP进行限速,可对流量进行精细化的管理,支持 HQQP控制和DNS重定向、 DNS劫持、丢弃请求的 DNS控制,具有应用流量深度放大、应用分流及流量代理、用户身份追查等功能,支持跨路由代理流
12、量检查,支持基于QCP、UDP连接数控制,支持 DSCP标记以和路由器联动,提供丰富的报表功能,可为用户提供了应用监视、流量分析、流量管理、流量统计、流量管理控制等功能。image005.gif清信安QsecLK应用流量检测图服务器负载均衡建议在汇聚层部署清信安公司白服务器负载均衡系统SLB ,对需要服务器负载均衡服务的IDC用户提供增值服务。SLB采用了智能服务器负载均衡技术,支持多种负载均衡算法,动态监测服务器的性能和健康状态,支持QCP、HQQP、HQQPS、自定义等多种服务健康检查方式,自动选择最佳服务器并智能地均衡服务器流量,可隐藏服务器真实IP,支持10种以上快速高效的智能负载均衡
13、算法,支持快速高效的非持续性负载均衡算法和多种持续性负载均衡算法,支持专为Cache服务器设定的负载均衡算法, 支持服务器流量的自动均衡,支持服务器最大连接数限制,具有会话保持功能, 可实现服务故障自动通知,支持服务器负载均衡高可用性部署等。业务接入层业务接入层是IDC各种业务核心所在,需要重点考虑IDC业务安全,如防御针对网站的攻击、对网站进行网页防篡改防护、对IDC业务系统上线前的安全评估与加固等。WEB应用防火墙建议在业务接入层部署清信安公司的WEB应用防火墙QsecWAF ,为IDC用户提供网站安全防护增彳1服务。QsecWAF是清信安公司自主研制出品的新一代网站“替身”防护产品,可
14、从事前预警、事中防护、事后分析三方面提供对网站进行全周期安全防护。事前,QsecWAF对网站服务进行动态监视,实时监测系统的服务能力及服务质量,建立安全隐患预警机制; 事中,QsecWAF基于“无故障运行时间”原则,依托稳定、高效、安全的系统内核及先进的 多维防护体系,通过 WEB应用威胁防御、网页防篡改、抗拒绝服务攻击和WEB应用优化等多项功能,保障网站应用服务系统的运行质量;事后, QsecWAF提供多角度的决策支撑 数据,为用户提供清晰详尽的阶段性报表,帮助网站管理者准确地了解网站的运行状况并进行有针对性的调整。image006.gif清信安QsecWAF事前、事中、事后全周期防护图网页
15、防篡改建议在业务接入层部署清信安公司的网页防篡改系统,为IDC用户提供网页防篡改增值服务。清信安网页防篡改系统,采用增强型事件触发+系统(内核)文件底层驱动过滤技术 (即第三代防篡改技术),安全、稳定、可靠;采取先进的多重防护技术,杜绝篡改;完全基于内核级事件触发机制, 对服务器资源占用极少,效率远高于同类产品; 对服务器安全性能实时监控,确保服务器安全稳定运行;对 WEB服务运行状态进行安全监控,保证WEB服务部受限于异常事件干扰;支持保护WEB服务器配置文件,杜绝网站指向遭到破坏。可有效防止黑客、病毒等对目录中的网页、电子文档、图片、数据库等任何类型的文件进行非法篡改和破坏。image00
16、7.gif第三代防篡改技术演进图系统上线前评估加固建议在业务接入层,通过清信安公司的专业信息安全服务,为 IDC用户提供IDC业务系统 上线前评估加固增值服务。清信安具有分布于全国各地的超过70人的专业信息安全服务团队,储备了各种专业信息安全服务人才,可为 IDC用户提供涵盖网络设备、主机设备、操 作系统、数据库、安全设备等各种设备和系统的系统上线前的评估与加固等专业信息安全服 务。运维管理层运维管理层的核心任务是保证整个IDC的网络、设备、系统等的正常、安全运转和业务的正常、安全运行,需要重点考虑IDC的边界安全防护、4A (账号/认证/授权/审计)、数据库审计、终端安全、运维审计、安全管理
17、、运维管理、远程 VPN安全接入、以及由第三方信息安全公司提供的包括远程网站安全监测与恢复、安全事件审计与预警、安全策略风险评估等在内的安全云服务等。防火墙建议在运维管理层部署清信安公司NGFW防火墙QsecNSG ,将IDC运维管理区与IDC业务区逻辑隔离开。 可针对用户不同的网络环境和不同的应用场所,提供从万兆机架式、 万兆非机架式到千兆高端、千兆中端、千兆低端、百兆等多种级别防火墙,以及病毒过滤、入侵防御、URL过滤等多种功能选择。VPN网关建议在运维管理层部署清信安公司的IPSEC/SSL VPN 多合一 VPN网关QsecVPN ,为IDC运维人员提供带外远程 VPN安全接入IDC运
18、维管理区,进行运维操彳和管理。QsecVPN 基 于自主知识产权的 QOS安全操作系统,采用领先的AMP技术,采用先进的多核并行技术和智能集群技术,内置高速压缩算法。支持iOS、Android等智能终端接入。支持应用QoS, 支持WebCache加速,集成了强大的防火墙功能。支持用户名/口令、证书、USB Key、短信、动态令牌、硬件特征码、指纹等多种认证方式,支持第三方CA和CA在线认证。支持统一用户管理,支持多种单点登录方式,用户只需一次认证即可访问所有授权业务资源。支持虚拟门户,不同IDC用户可拥有独立的接入门户,定制不同登录界面、功能模块、认证 方式等。image008.gif清信安V
19、PN远程安全接入图4A (账号/认证/授权/审计)建议在运维管理层部署清信安公司的4A (账号/认证/授权/审计)系统 QsecQB,为IDC运维人员提供统一的4A管理。QsecQB接弃了传统的单点登录技术的实现方式,采用国内领 先的支持C-S和B-S架构的单点登录(SSO)实现机制,无需任何系统改造,其实现方式 与应用系统的操作平台、开发平台、开发语言、数据库、 Web服务器无关,在不改变现有 软硬件及网络环境的前提下,无缝地将用户各种现有的应用系统整合到单点登录平台上,实现一次登录后就可访问所有的应用系统。真正实现了 “即插即用”、“一点登录,全网漫游”,真正体现了与“应用无关”的完美集成
20、概念。image009.gif清信安4A (账号/认证/授权/审计)架构图运维审计(堡垒主机)建议在运维管理层部署清信安公司的运维审计(堡垒主机)系统 QsecQB,为IDC运维人 员提供统一的运维操作审计。 QsecQB支持主账号、被管资源、角色的树形无限级分组,支持静态口令、证书、智能卡、指纹等认证方式,支持丰富的被管资源并可自动收集被管资源的账号,支持所有被管设备的密码自动变更, 可将访问控制配置抽象成主机命令策略、 访问 时间策略、客户端地址策略、 访问锁定策略四种策略以简化用户的配置和使用,可有效实现单点登录、集中账号管理、身份认证、资源授权、访问控制和操作审计,非常适合于对IDC运维人员的管理
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
评论
0/150
提交评论