互联网数据中心安全管理方案

1、互联网数据中心安全管理方案2012 年 08 月 12 日 09:56 来源：中兴通讯技术 作者：译名 我要评论(0)本文介绍互联网数据中心网络架构主要特征和多层设计原则要安全威胁，对其安全规划和部署实施提出方案建议。互联网数据中心网络多层设计原则IT 系统按照关互联网数据中心网络可同时从个方面划分层次和区域：(1)根据内外部分流原则分层。(2)根据业务模块隔离原则分区。(3) 根据应用分层次访问原则来分级。图 1 数据中心网络分层分层根据内外部分流原则，数据中心网络可分为4 层：互联网接入层、汇聚层、业务接入层和运维管理层。最常见的数据中心网络分层如图 1 所示。互联网接入层配置核心路由器实

2、现与互联网的互联息进行转换和维护，并连接汇聚层的各汇聚交换机，形成数据中心的网络核心。汇聚层配置汇聚交换机实现向下汇聚业务接入层各业务区的接入交换机机。业务接入层通过接入交换机接入各业务区内部的各种服务器设备、网络设备等。管理子系统各种设备。分区访问控制策略。互联网域包括实施自助管理的管理用户和访问应用的最终用户。接入域为用户接入数据中心提供统一的界面和借口，又称为非军事化隔离区。服务IP以根据安全需求再划分安全子域。管理域提供安全管理、运营管理、业务管理等。相对来说，计算域和管理域的安全级别最高，服务域和接入域次之，用户域最低。分级都驻留在单一服务器时带来的安全隐患，增强了扩展性和可用性。服

3、务器层直接与接入设备相连，提供面向客户的应用，如IIS、服务器等等。应用层用来粘合面向用户的应用程序、后端的数据库服务器或存储服务器，如WebLogic、J2EE 等中间件技术。MS SQL ServerOracle 、等。3 种的分层分区域的设计下，不同网络区域之间的安全关系明确，可对每个区域进互联网数据中心安全威胁侵入攻击、拒绝服务攻击（DoS）和分布式拒绝服务攻击（DDoS）、蠕虫病毒是互联网数据中心面临的最主要的 3 类安全威胁。性，对某一个网络设备的侵入可能影响到整个数据中心安全防卫体系。DoS 和 DDoS他主机进行攻击。攻击者获取存在漏洞的主机的控制权后对病毒进行复制和转播互联网

4、数据中心安全防护措施安全技术，形成一个完善的安全防预体系。虚拟专用网为了在不安全的互联网中实现企业应用的安全访问和数据的安全传输（VPN）技 VPN 通过互联网建立一个临时的、安全的连接，形成一个穿越公网的安全稳定的虚拟私有广域网。网络的VPN 应用有两种：除了提供防火墙到防火墙的VPN 应用，支持应用在企业分支机构之间互通信息外，还提供移动用户到VPN 防火墙网关设备的VPNIP 地址不固定的企业员工从互联网上宽下实现VPN，并提供业务质量 技术结合，提供更灵活的访问控制和安全隔离服务。虚拟局域网 和 IPVLAN防火墙DoS 攻击和DDoS 攻击的手段繁多、攻击时流量突然增大，因此防DoS

5、 攻击对防火墙的功能要求和性能要求比较大。目前互联 网数据中心对防火墙的重点需求是基于状态的包检测功能和虚拟防火墙ACL 技术上，动态的决定哪些数据包可以通过防火墙，而基于流的状态实施虚拟防火墙，将物理防火墙逻辑划分出多个相互无干扰的虚拟防火墙，并依据业务需求实施虚拟防火墙，将物理防火墙逻辑划分出多个相互无干扰的虚拟防火墙，并依据业务需求QoS 机制的防火墙能够提供流量控制功能，针对不同的应用做出合理的带宽分配和流量控制，防止某个应用如FTP、Telnet 在某个的时间内独占带宽资源而导致关键业务流量丢失和实时性业务流量中断。目前大多数据中心实施双机部署、或者部署异构防火墙，以满足高可用性的要求。3.4 流量清洗为监控、告警、防护对应用服务器发起的DOS/DDOS 攻击，可在互联网数据中心出口处部署流量清洗设备，监测异常流量，当发现攻击时，开启防御，将异常流量牵引出来进行清洗， 将正常的流量回注到服务器进行业务处理。入侵防御心出口和内部各安全区的网络汇聚层采用旁挂或者与网络设备融合的部署方式进行部署安全管理安全事件的高度关联，从安全管理上提升数据中心的整体安全防御能力。强系统安全运维管理，定期进行设备检查、安全监察、漏洞扫描管理节点的安全信息与事件进行管理，进行安全日志管理，针对操作日志的访问权限。用户访问等级权限应区分管理员用