IDC整体安全解决方案

千里之行，始于足下。第2页/共2页精品文档推荐IDC整体安全解决方案IDC整体安全解决方案

一、IDC现状及进展趋势

依照中国IDC圈20XX年3月公布的《2012-20XX年度中国IDC产业进展研究报告》数据显示，2012年全球IDC市场整体市场规模达到255.2亿美元，增速为14.6%。从报告中能够看出，在全球数据中心市场中，欧美地区市场需求已趋于饱和，亚太地区正成为带动全球IDC市场的要紧动力。其中，美国已开始逐步关闭部分小型数据中心，政府带头部署云计算；欧洲略降后于美国，云计算尚在部署时期；而亚太尚处于IDC基础建设时期，将来潜力巨大。

国内IDC市场中，金融和电信行业的数据中心建设占领了50%的市场份额，其次是政府、创造和能源行业，广电也开始加入其中。网络游戏和视频等应用业务成为拉动IDC市场增长主力，云计算已成为IDC产业将来进展趋势，而网络安全成为IDC产业日益关注的咨询题。

二、IDC网络架构及面临的安全威胁

IDC网络架构普通包括四层：互联网接入层、汇聚层、业务接入层和运维治理层。互联网接入层由2台核心路由器组成，作为IDC和互联网互联互通的纽带，对外完成与互联网的高速互联，对内负责与IDC的汇聚层交换互联，负责IDC内部路由信息与外部路由信息转发和维护等，互联网接入层的出口带宽至少20Gbps，多采纳多条10Gbps出口链路。汇聚层由多台成对的汇聚交换机组成，是业务接入层交换机的汇聚点，并上联到互联网接入层核心路由器，汇聚层交换机与互联网接入层核心路由器之间多采纳多条10Gbps链路连接。业务接入层由接入交换机和各业务系统的服务器、存储等设备组成，是对外提供IDC相关业务的核心，接入交换机与汇聚交换机之间多采纳多条千兆链路连接。运维治理层提供网络治理、

资源治理、业务治理、安全治理、运营治理等IDC治理功能，向IDC的运营维护人员和客户提供设备治理、系统维护、远程接入等服务。

IDC所面临的安全威胁要紧体现为：网络层的非法拜访，网络漏洞的存在，DDOS攻击等入侵和攻击行为，大量恶意流量，有效带宽咨询题，用户的拜访行为取证，等等；业务层的系统自身脆弱性的存在，病毒、垃圾邮件泛滥，网站被篡改、挂马、受到SQL注入/跨站等攻击，系统可用性保障，等等；治理层的系统怎么运维治理，运维人员的操作是否违规，安全事件怎么统一治理分析，运维终端自身的安全性，IDC怎么监管，等等。

三、清信安IDC整体安全解决方案

针对上述IDC面临的安全威胁，清信安推出了IDC整体安全解决方案，从互联网接入层、汇聚层、业务接入层和运维治理层四个层面，提出了相应的安全解决方案，

如下图示。

image001.gif

清信安IDC整体安全解决方案图

互联网接入层

互联网接入层是整个IDC业务的出口，承担着抵御DDOS攻击和保证带宽正常可用及IDC业务可正常拜访的重任，重点需防治DDOS攻击造成的带宽或主机资源被大量消耗。

抗DDOS/流量清洗

建议部署清信安公司的万兆级抗DDOS/流量清洗设备QsecDDOS，清洗攻击流量，保证整

个IDC网络带宽的可用和IDC业务的可拜访。QsecDDOS应用了清信安自主研发的抗拒绝服务攻击算法，制造性地将算法实如今协议栈的最底层，幸免了QCP/UDP/IP等高层系统网络堆栈的处理，使整个运算代价大大落低,并结合特有硬件加速运算，所以系统效率极高。QsecDDOS另借助清信安攻防实验室多年的DDOS攻击研究成果，具有业界最完善的DDOS攻击检测能力。

QsecDDOS经过异常流量检测系统实时检测DDOS攻击，一旦检测到攻击流量，就将异常流量牵引到异常流量清洗系统举行攻击流量清洗，将清洗后的正常流量再回注入网络，如此即可实时抵御来自互联网的DDOS攻击，有效过滤DDOS攻击流量，保障IDC业务持续正常拜访。

如下图示，是IDC抗DDOS/异常流量清洗部署和工作示意图。

image002.gif

清信安IDC抗DDOS/流量清洗解决方案图

汇聚层

汇聚层是IDC业务汇聚之处，首先需要把好网络安全关，如拜访操纵、入侵检测、网络脆弱性扫描、网络设备安全加固等，其次肩负着为IDC业务做负载均衡和举行流量分析治理等职责。

高性能防火墙

建议在汇聚层部署清信安公司的万兆级NGFW高性能防火墙QsecNSG，为需要边界防护

的IDC用户提供拜访操纵等增值服务。清信安目前有擎天系列并行多级硬件架构机架式万兆高性能防火墙和猎豹系列基于QsecASIC芯片万兆级高性能防火墙，基于高效安全自主QOS操作系统和多核架构，采纳了自主原创实现数据层多核快速转发的高性能业务处理技术QsecQURBO，处理能力高达320Gbps，支持防火墙、VPN、入侵防备、病毒防备、URL分类过滤、虚拟防火墙、IPV6等功能，支持VPN虚拟化接入，很适合部署在IDC汇聚层为别同IDC用户提供别同要求的边界安全防护。

image003.gif

清信安NGFW防火墙多核架构

高性能网络入侵检测

建议在汇聚层部署清信安公司的万兆级高性能网络入侵检测系统QsecSenQry，为需要网络入侵行为检测的IDC用户提供入侵、攻击检测等增值服务。清信安自主研发的网络入侵检测系统QsecSenQry，采纳了与防火墙产品相同的多核处理硬件平台和自主知识产权QOS系统，基于先进的SmarQAMP并行处理架构，内置处理器动态负载均衡专利技术，结合独创的SecDFA核心加速算法，全面支持IPV6，可实时快速检测包括溢出攻击、RPC攻击、WEBCGI攻击、拒绝服务攻击、木马、蠕虫、系统漏洞等超过3500中网络攻击行为，在满流量+全规则+攻击流状况下，不管是大包依然小包，均能达到万兆级满速检测率。很适合部署在IDC汇聚层万兆级环境。

image004.gif

清信安QsecIPS五合一安全防护功能图

网络安全审计

建议在汇聚层部署清信安公司的上网行为治理系统AM，为IDC用户提供用户网络行为审计和取证增值服务。清信安公司自主研发的AM采纳基于量子存储技术，可有效保证海量审计数据别丢失；利用云审计平台的自治查询技术充分发挥Qsec多核平台的计算能力，可实现海量数据查询操作的瞬时返回，真正实现即查即显；提供PPPoE实名审计、AD域实名审计、802.1x实名审计；采纳海量原始数据包存储，供专业人士举行深度分析，国内唯一；采纳专用硬件架构与双专用安全操作系统冷备，当常用系统浮现故障可使用备用系统迅速恢复。

脆弱性扫描与治理

建议在汇聚层部署清信安公司的脆弱性扫描与治理系统QsecVAS，为IDC用户提供定期脆弱性扫描增值服务。QsecVAS采纳B/S架构，基于CVSS、等级爱护的科学扫描理念，集合了智能服务识不、多重服务检测、足本依靠、足本智能调度、信息动态抛出、安全扫描、优化扫描、拒绝服务足本顺序扫描、断点恢复等先进技术，确保了扫描的高准确度、高速度。QsecVAS扫描引擎采纳基于主机、目标的漏洞、网络、应用的检测技术，最大限度的增强漏洞识不的精度。QsecVAS漏洞知识库大于20000条、每周保持更新、兼容Nessus插件库、兼容国际CVE标准。QsecVAS提供多种扫描策略模板和参数模板，可实现多种任务扫描、多主机扫描、授权扫描等，可实现级联部署、对外接口、Syslog日志、统计对照报告等，还可对扫描的各种目标设备举行有效的监管。

应用流量治理

建议在汇聚层部署清信安公司的应用流量治理系统QsecLK，为IDC用户提供业务应用流量分析和治理增值服务。QsecLK具有业界最强大的协议识不引擎，其独有的“加密协议深度识不”技术能够识不通过加密的P2P协议，可准确识不除传统QCP/IP协议外高达600多种七层应用协议。提供带宽限制、带宽预留、带宽保证，支持策略嵌套，支持硬件Bypass功能，可对单IP举行限速，可对流量举行精细化的治理，支持HQQP操纵和DNS重定向、DNS劫持、丢弃请求的DNS操纵，具有应用流量深度放大、应用分流及流量代理、用户身份追查等功能，支持跨路由代理流量检查，支持基于QCP、UDP连接数操纵，支持DSCP标记以和路由器联动，提供丰富的报表功能，可为用户提供了应用监视、流量分析、流量治理、流量统计、流量治理操纵等功能。

image005.gif

清信安QsecLK应用流量检测图

服务器负载均衡

建议在汇聚层部署清信安公司的服务器负载均衡系统SLB，对需要服务器负载均衡服务的IDC用户提供增值服务。SLB采纳了智能服务器负载均衡技术，支持多种负载均衡算法，动态监测服务器的性能和健康状态，支持QCP、HQQP、HQQPS、自定义等多种服务健康检查方式，自动挑选最佳服务器并智能地均衡服务器流量，可躲藏服务器真实IP，支持10种以上快速高效的智能负载均衡算法，支持快速高效的非持续性负载均衡算法和多种持续性负载均衡算法，支持专为Cache服务器设定的负载均衡算法，支持服务器流量的自动均衡，支持服务器最大连接数限制，具有会话保持功能，可实现服务故障自动通知，支持服务器负载均衡高可用性部署等。

业务接入层

业务接入层是IDC各种业务核心所在，需要重点思考IDC业务安全，如防备针对网站的攻击、对网站举行网页防篡改防护、对IDC业务系统上线前的安全评估与加固等。

WEB应用防火墙

建议在业务接入层部署清信安公司的WEB应用防火墙QsecWAF，为IDC用户提供网站安全防护增值服务。QsecWAF是清信安公司自主研制出品的新一代网站“替身”防护产品，可从事前预警、事中防护、事后分析三方面提供对网站举行全周期安全防护。事前，QsecWAF对网站服务举行动态监视，实时监测系统的服务能力及服务质量，建立安全隐患预警机制；事中，QsecWAF基于“无故障运行时刻”原则，依托稳定、高效、安全的系统内核及先进的多维防护体系，经过WEB应用威胁防备、网页防篡改、抗拒绝服务攻击和WEB应用优化等多项功能，保障网站应用服务系统的运行质量；事后，QsecWAF提供多角度的决策支撑数据，为用户提供清楚详尽的时期性报表，帮助网站治理者准确地了解网站的运行状况并举行有针对性的调整。

image006.gif

清信安QsecWAF事前、事中、事后全周期防护图

网页防篡改

建议在业务接入层部署清信安公司的网页防篡改系统，为IDC用户提供网页防篡改增值服务。清信安网页防篡改系统，采纳增强型事件触发+系统（内核）文件底层驱动过滤技术（即

第三代防篡改技术），安全、稳定、可靠；采取先进的多重防护技术，杜绝篡改；彻底基于内核级事件触发机制，对服务器资源占用极少，效率远高于同类产品；对服务器安全性能实时监控，确保服务器安全稳定运行；对WEB服务运行状态举行安全监控，保证WEB服务部受限于异常事件干扰；支持爱护WEB服务器配置文件，杜绝网站指向遭到破坏。可有效防止黑客、病毒等对名目中的网页、电子文档、图片、数据库等任何类型的文件举行非法篡改和破坏。

image007.gif

第三代防篡改技术演进图

系统上线前评估加固

建议在业务接入层，经过清信安公司的专业信息安全服务，为IDC用户提供IDC业务系统上线前评估加固增值服务。清信安具有分布于全国各地的超过70人的专业信息安全服务团队，储备了各种专业信息安全服务人才，可为IDC用户提供涵盖网络设备、主机设备、操作系统、数据库、安全设备等各种设备和系统的系统上线前的评估与加固等专业信息安全服务。

运维治理层

运维治理层的核心任务是保证整个IDC的网络、设备、系统等的正常、安全运转和业务的正常、安全运行，需要重点思考IDC的边界安全防护、4A（账号/认证/授权/审计）、数据库审计、终端安全、运维审计、安全治理、运维治理、远程VPN安全接入、以及由第三方信息安全公司提供的包括远程网站安全监测与恢复、安全事件审计与预警、安全策略风险评估

等在内的安全云服务等。

防火墙

建议在运维治理层部署清信安公司NGFW防火墙QsecNSG，将IDC运维治理区与IDC业务区逻辑隔离开。可针对用户别同的网络环境和别同的应用场所，提供从万兆机架式、万兆非机架式到千兆高端、千兆中端、千兆低端、百兆等多种级不防火墙，以及病毒过滤、入侵防备、URL过滤等多种功能挑选。

VPN网关

建议在运维治理层部署清信安公司的IPSEC/SSLVPN多合一VPN网关QsecVPN，为IDC运维人员提供带外远程VPN安全接入IDC运维治理区，举行运维操作和治理。QsecVPN基于自主知识产权的QOS安全操作系统，采纳率先的AMP技术，采纳先进的多核并行技术和智能集群技术，内置高速压缩算法。支持iOS、Android等智能终端接入。支持应用QoS，支持WebCache加速，集成了强大的防火墙功能。支持用户名/口令、证书、USBKey、短信、动态令牌、硬件特征码、指纹等多种认证方式，支持第三方CA和CA在线认证。支持统一用户治理，支持多种单点登录方式，用户只需一次认证即可拜访所有授权业务资源。支持虚拟门户，别同IDC用户可拥有独立的接入门户，定制别同登录界面、功能模块、认证方式等。

image008.gif

清信安VPN远程安全接入图

4A（账号/认证/授权/审计）

建议在运维治理层部署清信安公司的4A（账号/认证/授权/审计）系统QsecQB，为IDC运维人员提供统一的4A治理。QsecQB摈弃了传统的单点登录技术的实现方式，采纳国内率先的支持C-S和B-S架构的单点登录（SSO）实现机制，无需任何系统改造，事实上现方式与应用系统的操作平台、开辟平台、开辟语言、数据库、Web服务器无关，在别改变现有软硬件及网络环境的前提下，无缝地将用户各种现有的应用系统整合到单点登录平台上，实现一次登录后就可拜访所有的应用系统。真正实现了“即插即用”、“一点登录，全网漫游”，真正体现了与“应用无关”的完美集成概念。

image009.gif

清信安4A（账号/认证/授权/审计）架构图

运维审计（堡垒主机）

建议在运维治理层部署清信安公司的运维审计（堡垒主机）系统QsecQB，为IDC运维人员提供统一的运维操作审计。QsecQB支持主账号、被管资源、角群的树形无限级分组，支持静态口令、证书、智能卡、指纹等认证方式，支持丰富的被管资源并可自动收集被管资源的账号，支持所有被管设备的密码自动变更，可将拜访操纵配置抽象成主机命令策略、拜访时刻策略、客户端地址策略、拜访锁定策略四种策略以简化用户的配置和使用，可有效实现单点登录、集中账号治理、身份认证、资源授权、拜访操纵和操作审计，很适合于对IDC运维