微波EDA网,见证研发工程师的成长!
首页 > 通信和网络 > 通信网络技术文库 > 互联网数据中心安全管理

互联网数据中心安全管理

时间:07-09 来源:3721RD 点击:

分布式拒绝服务攻击(DDoS)、蠕虫病毒是互联网数据中心面临的最主要的3 类安全威胁。

数据中心网络安全防护部件众多,各网络层次上不同的安全设备相互合作,形成整个安全防护体系。对数据中心网络基础设备的非法侵入和危害使侵入攻击具有强大的破坏能力和隐蔽性,对某一个网络设备的侵入可能影响到整个数据中心安全防卫体系。

在DoS 和DDoS 中,攻击者通过恶意抢占网络资源,使数据中心无法正常运营。此类攻击是互联网数据中心最常预见的攻击,同时也需要防范利用数据中心内部僵尸主机对互联网上其他主机进行攻击。

利用软件系统设计的漏洞对应用的攻击包括恶意蠕虫、病毒、缓冲溢出代码、后门木马等,攻击者获取存在漏洞的主机的控制权后对病毒进行复制和转播,在已感染的主机中设置后门或者执行恶意代码,导致用户带宽资源被占用,或者数据中心增值业务受到威胁。因其传播都基于现有的业务端口,传统的防火墙对此类攻击缺乏足够的检测能力。更为严峻的是数据中心抵抗飞速增长的应用的"零日攻击"问题。

3 互联网数据中心安全防护措施

为保障互联网数据中心的安全,抵御各种威胁和攻击,需要联合使用安全体系中各个层次的安全技术,形成一个完善的安全防预体系。

3.1 虚拟专用网

为了在不安全的互联网中实现企业应用的安全访问和数据的安全传输,虚拟专用网(VPN) 技术无疑是互联网数据中心必不可少的安全技术。VPN 通过互联网建立一个临时的、安全的连接,形成一个穿越公网的安全稳定的虚拟私有广域网。网络的VPN 应用有两种:除了提供防火墙到防火墙的VPN 应用,支持应用在企业分支机构之间互通信息外,还提供移动用户到VPN 防火墙/网关设备的VPN 应用,支持移动办公的IP 地址不固定的企业员工从互联网上对企业内部资源的访问。随着互联网数据中心业务的不断扩大,还需要保障在有限的网络带宽下实现VPN,并提供业务质量(QoS) 保证。目前的趋势是采用网络控制和应用控制,即和身份和访问管理(IAM) 技术结合,提供更灵活的访问控制和安全隔离服务。

3.2 虚拟局域网

数据中心多业务运营的需求,使得数据中心网络中服务器和客户端之间的纵向流量大于服务器之间的横向流量,需要使用虚拟局域网将不同客户的不同业务从第二层隔离开,分配一个VLAN 和IP 子网。专用VLAN 可以有不同安全级别的端口:专用端口与服务器连接,只能与混杂端口通信;混杂端口与路由器或交换机接口相连,也可以和共有端口通信;共有端口之间也可以相互通信,主要用于需要相互通信的客户之间。

3.3 防火墙

防火墙是数据中心网络最基本的安全设备,可以对不同的信任级别的安全区域进行隔离,保护数据中心边界安全,同时提供灵活的部署和扩展能力。DoS 攻击和DDoS 攻击的手段繁多、攻击时流量突然增大,因此防DoS 攻击对防火墙的功能要求和性能要求比较大。目前互联网数据中心对防火墙的重点需求是基于状态的包检测功能和虚拟防火墙。状态防火墙设备将状态检测技术应用在ACL 技术上,动态的决定哪些数据包可以通过防火墙,而基于流的状态检测技术可以提供更高的转发性能。在物理防火墙无法满足实际网络环境的情况下,可以实施虚拟防火墙,将物理防火墙逻辑划分出多个相互无干扰的虚拟防火墙,并依据业务需求设置合理的细粒度的访问控制措施。另外,具有QoS 机制的防火墙能够提供流量控制功能,针对不同的应用做出合理的带宽分配和流量控制,防止某个应用如FTP、Telnet 在某个的时间内独占带宽资源而导致关键业务流量丢失和实时性业务流量中断。

目前大多数据中心实施双机部署、或者部署异构防火墙,以满足高可用性的要求。

3.4 流量清洗

为监控、告警、防护对应用服务器发起的DOS/DDOS 攻击,可在互联网数据中心出口处部署流量清洗设备,监测异常流量,当发现攻击时,开启防御,将异常流量牵引出来进行清洗,将正常的流量回注到服务器进行业务处理。

3.5 入侵防御

入侵防御系统检测蠕虫、网络钓鱼、后门木马、间谍软件等应用层攻击,可在互联网数据中心出口和内部各安全区的网络汇聚层采用旁挂或者与网络设备融合的部署方式进行部署,主动提供防护,预先对入侵流量进行拦截,配合防火墙和安全网关设备形成从链路层到应用层的全面防护。互联网数据中心的应用流量对入侵防御系统的性能提出了挑战,需要具备高精度、高效率的入侵检测引擎和全面及时的攻击特征库。

3.6 安全管理

为达到互联网数据中心的运营要求,除了部署健全的网络安全基础设施外,还需建设的系统的、多层次的、可运营的安全管理系统,

Copyright © 2017-2020 微波EDA网 版权所有

网站地图

Top