如何正確合理的發(fā)展新一代數(shù)據(jù)中心，成為了IT管理員們時下必須要解決的問題。對于傳統(tǒng)數(shù)據(jù)中心來說，已經(jīng)不能再適應如今成指數(shù)及增長的數(shù)據(jù)所帶來的壓力，這種壓力造成了其安全性的下降。

傳統(tǒng)數(shù)據(jù)中心的改造之苦

今天，WEB2.0大潮開始涌現(xiàn)，如Flickr、YouTuBe、BLOG、WIKI、PODCAST，互聯(lián)網(wǎng)在第一次泡沫迸裂后又重現(xiàn)生機。這些新應用的背后英雄就是WEB技術(shù)，如果講WEB1.0解決的是“人機交互界面的標準化”問題，WEB2.0則更進一步解決了“應用數(shù)據(jù)交互的標準化”問題，而WEB2.0的技術(shù)基礎(chǔ)是XML協(xié)議和一系列相關(guān)WEB技術(shù)。

Web 2.0時代的最大特點是每個人可成為數(shù)據(jù)的提供者。在今后的幾年內(nèi)，WEB應用的普及必將帶來另外一個新的標準化，那就是基于WEB技術(shù)的應用標準化，如果用OSI的模型來描述的話，則是會話層和表示層的標準化。“一旦標準化，即可網(wǎng)絡(luò)化”意味著這些標準化的應用處理功能將集成到網(wǎng)絡(luò)設(shè)備中，新的業(yè)務呼喚新的應用智能網(wǎng)絡(luò)。

企業(yè)業(yè)務和數(shù)據(jù)從分散部署走向大集中，數(shù)據(jù)中心的數(shù)據(jù)量急劇膨脹，數(shù)據(jù)中心的重要性受到空前的重視，應用優(yōu)化、網(wǎng)絡(luò)安全、應用安全設(shè)備大規(guī)模部署，融合了應用安全、應用優(yōu)化能力的應用智能數(shù)據(jù)中心越來越受到用戶的歡迎。所以可以肯定的說，目前用戶對于網(wǎng)絡(luò)服務的要求已經(jīng)大大提高了，不但要求滿足大流量的數(shù)據(jù)傳輸，還要求網(wǎng)絡(luò)不能出現(xiàn)中斷或故障。要想把安全技術(shù)融于網(wǎng)絡(luò)，安全技術(shù)必須和高速的網(wǎng)絡(luò)設(shè)施相匹配；同時，還要簡化網(wǎng)絡(luò)拓撲，簡化對網(wǎng)絡(luò)的管理，方便網(wǎng)絡(luò)用戶的使用，以確保應用和互聯(lián)的網(wǎng)絡(luò)安全。

通過近幾年對網(wǎng)絡(luò)安全的研究，我們不難發(fā)現(xiàn)，網(wǎng)絡(luò)的安全風險問題，歸結(jié)起來主要在四個環(huán)節(jié)上：

• 內(nèi)部網(wǎng)絡(luò)與外界的接口，如通過Internet的互聯(lián)，在接入口處從外面引入的安全網(wǎng)絡(luò)風險問題；

• 在內(nèi)網(wǎng)各節(jié)點之間的互聯(lián)，容易造成區(qū)域的安全風 險問題；

• 通過Wlan、VPN等多種非傳統(tǒng)接入手段接入到內(nèi)部網(wǎng)絡(luò)中所帶來的安全風險問題；

• 關(guān)鍵的數(shù)據(jù)中心或服務器區(qū)，容易遭受的有目的的攻擊。

當然，網(wǎng)絡(luò)中的安全風險問題不止這些，還有像安全接入、安全隔離、安全過濾和安全管理等方面的問題。對于進入萬兆時代的網(wǎng)絡(luò)應用而言，如何規(guī)避這些來自安全的風險，無疑是一種挑戰(zhàn)。

在傳統(tǒng)的數(shù)據(jù)中心建設(shè)中，為了應對以上我們講到的種種安全威脅和信息泄漏，更多采用的方法是在原有數(shù)據(jù)中心的網(wǎng)絡(luò)上進行修修補補，遇到什么問題就部署對應的安全設(shè)備進行防護，這雖然可以解決出現(xiàn)的安全問題，可是隨之而來的卻是維護、可靠性、性能等更加棘手的問題。隨著網(wǎng)絡(luò)威脅的不斷增加，不同功能的安全設(shè)備逐一部署到數(shù)據(jù)中心中，到最后我們看到的網(wǎng)絡(luò)更像是一個“糖葫蘆串”，這種串行網(wǎng)絡(luò)給數(shù)據(jù)中心帶來了巨大
的“麻煩”：

• 新安全設(shè)備的加入需要足夠的空間，然而在已經(jīng)規(guī)劃有序的數(shù) 據(jù)中心中，空間已經(jīng)非常緊湊，所以維護人員不得不在本來就狹小的空間內(nèi)再“擠”出一定空間去容納新增的設(shè)備；

• 新設(shè)備的加入，必然需要與原有網(wǎng)絡(luò)設(shè)備進行連接，對一個事先沒有充分規(guī)劃和對未來沒有充分考慮的數(shù)據(jù)中心，不可能有多余的線纜資源來銜接新的網(wǎng)絡(luò)資源，那么就需要重新部署線纜，使得數(shù)據(jù)中心的“復雜度”進一步惡化；

• 串行結(jié)構(gòu)的部署雖然可以解決所有的安全問題，但是卻帶來了更大的可靠性威脅，在這種網(wǎng)絡(luò)結(jié)構(gòu)中，任何一點都可能成為數(shù)據(jù)中心的性能瓶頸，任何一點的故障都可能引起業(yè)務的中斷，數(shù)據(jù)中心的可靠性正面臨著更大的威脅。

針對傳統(tǒng)數(shù)據(jù)中心面臨的問題，為了建設(shè)一個智能的數(shù)據(jù)中心，H3C通過一體化的融合網(wǎng)絡(luò)來幫助企業(yè)完成數(shù)據(jù)中心發(fā)展過程中的平滑蛻變。H3C基于多年來在網(wǎng)絡(luò)產(chǎn)品和安全產(chǎn)品研發(fā)方面的深厚積累和先進技術(shù)，創(chuàng)新性的在高性能的萬兆核心交換機中實現(xiàn)了包括FW（防火墻）模塊、IPS（入侵防御）模塊、LB（負載均衡）模塊等7種業(yè)務模塊，在網(wǎng)絡(luò)基礎(chǔ)平臺上實現(xiàn)高性能的安全保障和應用優(yōu)化。徹底解決了傳統(tǒng)數(shù)據(jù)中心在部署安全策略和應用優(yōu)化時的各種問題。

 
一體化的融合網(wǎng)絡(luò)

一體化的融合網(wǎng)絡(luò)涵蓋：

應用安全：

應用層認證、授權(quán)和審計

應用層加密（SSL)和集中PKI部署

應用層防火墻（HTTP/XML防火墻，SAML安全斷言標記語言）

應用層內(nèi)容安全：病毒、入侵等等

應用優(yōu)化：

應用負載均衡

基于硬件的應用緩存、壓縮和交換

應用協(xié)議優(yōu)化（HTTP/TCP協(xié)議優(yōu)化）

#p#

一體化之應用安全

數(shù)據(jù)中心承載著用戶的核心業(yè)務和機密數(shù)據(jù)，同時為內(nèi)部、外部、合作伙伴等客戶提供業(yè)務交互和數(shù)據(jù)交換，因此數(shù)據(jù)中心的安全必須與業(yè)務系統(tǒng)實現(xiàn)融合，并且能夠平滑的部署在網(wǎng)絡(luò)中。

在高性能的萬兆核心交換機中直接嵌入安全模塊的做法，這對于H3C來說，不僅是一種安全理念，更是從核心交換去實施安全措施的一種創(chuàng)新。創(chuàng)新之處在于：要想把安全技術(shù)融于網(wǎng)絡(luò)，安全技術(shù)必須和高速的網(wǎng)絡(luò)設(shè)備相匹配；同時，還要簡化網(wǎng)絡(luò)拓撲，簡化對網(wǎng)絡(luò)的管理，方便網(wǎng)絡(luò)用戶的使用，以確保應用和互聯(lián)的網(wǎng)絡(luò)安全。

 
高性能的萬兆核心交換機

在H3C的一體化融合網(wǎng)絡(luò)中，所有的安全業(yè)務模塊都采用了業(yè)界最領(lǐng)先的多核CPU+ASIC+FPGA的高性能硬件架構(gòu)。這種分布式的硬件架構(gòu)保證了所有的業(yè)務能在第一時間進行并行處理。

對于現(xiàn)在大量的應用層安全攻擊，由于需要進行深入的報文分析，只有這種多核CPU的硬件架構(gòu)才能真正實現(xiàn)對數(shù)據(jù)報文的實時處理，不會造成傳輸延遲。除此之外，由于交換機對數(shù)據(jù)報文采用分布式轉(zhuǎn)發(fā)的模式，這樣安全模塊就能巧妙地利用H3C高端交換機的背板總線技術(shù)，確保安全插卡也能實現(xiàn)與萬兆網(wǎng)絡(luò)設(shè)備的無縫對接。

基于交換機的無阻塞技術(shù)，各種插卡通過背板總線進行數(shù)據(jù)交換。任何一個模塊出現(xiàn)故障，通過H3C專利的ACFP技術(shù)，能夠確保流量都會自動避開它，通過Bypass方式保證業(yè)務正常運行。真正在實現(xiàn)了數(shù)據(jù)中心安全的同時，又保證了業(yè)務連續(xù)性。

一體化安全在數(shù)據(jù)中心的部署實施，可以靈活的進行數(shù)據(jù)中心的模塊化設(shè)計。用戶可以根據(jù)需求任意選擇所需的業(yè)務模塊，實現(xiàn)安全功能的平滑升級。

 
一體化安全在數(shù)據(jù)中心的部署實施

相對一般獨立式安全設(shè)備而言，一體化的部署方式可以充分利用交換機的接口資源。同時，通過安全模塊的虛擬化技術(shù)，可以將同一塊物理業(yè)務板卡在邏輯上劃分為相互獨立的多個板卡，每個邏輯板卡擁有完全獨立的資源和策略，可以更充分的利用現(xiàn)有的IT資源，提供更加精確的實施控制策略。

目前H3C的一體化安全模塊包括萬兆防火墻模塊、IPS入侵防御模塊、ACG應用控制網(wǎng)關(guān)、AFC流量清洗模塊等。已經(jīng)具備了專業(yè)DDoS攻擊防御、2~7層深度安全防護，覆蓋了整個主流的網(wǎng)絡(luò)安全需求，能為數(shù)據(jù)中心提供最全面的安全保護。

通過一體化安全的部署方式，能夠使得數(shù)據(jù)中心的網(wǎng)絡(luò)真正成為一個健壯的網(wǎng)絡(luò)，滿足客戶對于網(wǎng)絡(luò)應用最苛刻的要求。

#p#

一體化之應用優(yōu)化

作為業(yè)務網(wǎng)絡(luò)的心臟，數(shù)據(jù)中心面臨著眾多的挑戰(zhàn)。擴展性、靈活性、高性能、可靠性和安全性，無一不是對數(shù)據(jù)中心的要求。尤其重要的一點是：在訪問請求急劇增長的時候，服務器仍要保證快速、穩(wěn)定的傳送應用到客戶端，而其中最重要的一個技術(shù)保障就是負載均衡。

如果不在數(shù)據(jù)中心配置負載均衡，將會導致服務器負載不均，部分負載很重的機器仍然不斷的處理新來的業(yè)務請求，出現(xiàn)性能下降、響應時間變慢，甚至出現(xiàn)宕機。而其它的服務器可能長期處于輕載或空閑狀態(tài)，導致數(shù)據(jù)中心整體性能不高、資源利用率不高、整體投資得不到保證。

配置負載均衡后，將解決服務器任務調(diào)度和資源占用不均衡的狀態(tài)，提高性能的同時提高業(yè)務系統(tǒng)的健壯性。

一體化應用優(yōu)化模塊是一款高性能負載均衡產(chǎn)品，該業(yè)務模塊創(chuàng)新性地實現(xiàn)了應用優(yōu)化與網(wǎng)絡(luò)交換設(shè)備的完美融合。具有即插即用、擴展性強的特點，降低了用戶管理難度，減少了維護成本。

 
一體化應用優(yōu)化模塊

通過對各種應用進行識別和區(qū)分，并對服務器、防火墻進行健康檢測和性能檢測，采用自適應智能算法將各種應用訪問請求均衡分發(fā)至不同設(shè)備上。極大地提高了應用訪問速度，為數(shù)據(jù)中心提供了一個高性能、經(jīng)濟高效的負載均衡解決方案。

【編輯推薦】

1. 交換機安全設(shè)置技巧 六條建議助你升級
2. 交換機密碼修改技巧 通向高手的康莊道
3. 使用交換機安全措施：構(gòu)建嚴密的體系結(jié)構(gòu)
4. cisco交換機安全大講堂：破解沖擊波病毒和紅色代碼
5. 使用三層交換安全策略防止病毒襲擊的技巧