隨著越來(lái)越多的企業(yè)業(yè)務(wù)和數(shù)據(jù)正從分散部署走向大集中，作為這種集中模式的代表，數(shù)據(jù)中心的出現(xiàn)極大地促進(jìn)了企業(yè)業(yè)務(wù)的發(fā)展。但與此同時(shí)，受制于數(shù)據(jù)中心對(duì)開(kāi)放Internet的依賴，在帶來(lái)應(yīng)用便利和自由度的同時(shí)，也對(duì)安全提出了更高的要求。

數(shù)據(jù)中心的特點(diǎn)及安全需求

通過(guò)互聯(lián)網(wǎng)提供服務(wù)的數(shù)據(jù)中心的特點(diǎn)是：業(yè)務(wù)集中化處理，數(shù)據(jù)集中化存儲(chǔ)，外部集中訪問(wèn)。此類的數(shù)據(jù)中心對(duì)互聯(lián)網(wǎng)開(kāi)放，因此數(shù)據(jù)中心往往面臨著較多的安全威脅。作為集中了用戶最重要信息的資產(chǎn)，其重要性不言而喻，因此加強(qiáng)邊界的安全防護(hù)顯得至關(guān)重要。

眾所周知，數(shù)據(jù)中心實(shí)現(xiàn)了業(yè)務(wù)和數(shù)據(jù)的大集中，對(duì)于用戶而言，其所有的業(yè)務(wù)都要通過(guò)遠(yuǎn)程訪問(wèn)數(shù)據(jù)中心的資源，這就使得數(shù)據(jù)中心往往面對(duì)眾多的遠(yuǎn)程訪問(wèn)請(qǐng)求，數(shù)據(jù)中心承受著大并發(fā)訪問(wèn)量、高開(kāi)放性、多業(yè)務(wù)并存以及不確定的訪問(wèn)來(lái)源等多種情況，因此給數(shù)據(jù)中心帶來(lái)了眾多的安全威脅，所以安全需求也因此而生。

數(shù)據(jù)中心對(duì)網(wǎng)絡(luò)邊界層面的防護(hù)具有如下的安全需求：其一是有效的邊界隔離，可以實(shí)現(xiàn)對(duì)非法訪問(wèn)的阻斷；其二是有效的身份識(shí)別與訪問(wèn)控制功能，可以實(shí)現(xiàn)對(duì)源地址的定位、識(shí)別和控制；其三是建立有效的對(duì)抗攻擊能力，實(shí)現(xiàn)對(duì)異常流量、惡意代碼、有目標(biāo)的滲透等情況的鑒別和防護(hù)；其四是建立深度應(yīng)用識(shí)別與攻擊檢測(cè)，對(duì)應(yīng)用數(shù)據(jù)包進(jìn)行深度檢測(cè)，防范欺騙；其五是可以實(shí)現(xiàn)業(yè)務(wù)間隔離與帶寬資源控制，保障重要業(yè)務(wù)訪問(wèn)；其六是保護(hù)數(shù)據(jù)傳輸安全，防止數(shù)據(jù)被竊聽(tīng)和篡改。

同時(shí)，還必須具有高可靠性的安全設(shè)備來(lái)防止由于高并發(fā)訪問(wèn)量、系統(tǒng)故障等突發(fā)情況而帶來(lái)的訪問(wèn)不便。此外，由于邊界是數(shù)據(jù)中心正常運(yùn)行的重要節(jié)點(diǎn)，部署安全產(chǎn)品必須具有便于管理的特點(diǎn)，這就要求設(shè)備能夠適應(yīng)不同的網(wǎng)絡(luò)環(huán)境，配置盡量簡(jiǎn)單方便，特征庫(kù)能夠自動(dòng)升級(jí)，可以提供豐富的訪問(wèn)審計(jì)功能，能夠?qū)α髁窟M(jìn)行有效監(jiān)控，能夠提供豐富的攻擊統(tǒng)計(jì)，使數(shù)據(jù)中心系統(tǒng)管理員能夠充分掌握數(shù)據(jù)中心的安全態(tài)勢(shì)，為不斷地優(yōu)化安全策略提供依據(jù)。

Hillstone山石網(wǎng)科對(duì)數(shù)據(jù)中心網(wǎng)絡(luò)邊界安全設(shè)計(jì)

根據(jù)數(shù)據(jù)中心對(duì)邊界安全防護(hù)的建設(shè)需求，不難看出，通過(guò)安全網(wǎng)關(guān)實(shí)現(xiàn)邊界隔離與防護(hù)是一種非常有效的手段，同時(shí)針對(duì)數(shù)據(jù)中心的特點(diǎn)，在選擇并實(shí)施安全防護(hù)技術(shù)時(shí)，應(yīng)進(jìn)行有針對(duì)性的選擇，確保實(shí)施后的系統(tǒng)能夠真正發(fā)揮作用，對(duì)抗攻擊行為，保障數(shù)據(jù)中心安全可靠地運(yùn)行。

對(duì)此，Hillstone山石網(wǎng)科認(rèn)為在數(shù)據(jù)中心的互聯(lián)網(wǎng)出口，通過(guò)配置高性能安全網(wǎng)關(guān)設(shè)備，綜合運(yùn)用訪問(wèn)控制、入侵防護(hù)、病毒過(guò)濾、QOS、VPN、行為審計(jì)等措施，有效隔離互聯(lián)網(wǎng)，并對(duì)來(lái)自互聯(lián)網(wǎng)的訪問(wèn)進(jìn)行有效控制，可以滿足數(shù)據(jù)中心在抗攻擊、防止非授權(quán)訪問(wèn)、資源控制、加密傳輸、高可靠及管理維護(hù)層面的建設(shè)需求。

對(duì)應(yīng)上述分析的數(shù)據(jù)中心特點(diǎn)，Hillstone山石網(wǎng)科數(shù)據(jù)認(rèn)為必須從以下四個(gè)方面考慮：一是采用可提供多種安全技術(shù)的高性能安全網(wǎng)關(guān)，形成綜合防護(hù)體系，來(lái)防范各類安全風(fēng)險(xiǎn)；二是采用具有便于管理的集中監(jiān)控，從全局視角掌握數(shù)據(jù)中心的安全態(tài)勢(shì)，為發(fā)生安全事件后的快速響應(yīng)提供有力依據(jù)；三是確保安全網(wǎng)關(guān)的高性能可以處理并發(fā)訪問(wèn)量高，對(duì)鏈路質(zhì)量有較高的要求，保證數(shù)據(jù)中心的整體運(yùn)行效率；四是保障設(shè)備的高可靠性，一是設(shè)備自身的穩(wěn)定運(yùn)行能力；二是設(shè)備故障后的冗余能力。#p#

Hillstone山石網(wǎng)科數(shù)據(jù)中心網(wǎng)絡(luò)邊界安全防護(hù)解決方案

針對(duì)數(shù)據(jù)中心邊界安全的問(wèn)題，Hillstone山石網(wǎng)科提出了采用自制研發(fā)的高性能多核安全網(wǎng)關(guān)來(lái)解決這一難題，該系列設(shè)備綜合實(shí)現(xiàn)了防火墻、抗攻擊、防病毒、VPN、QoS、日志審計(jì)等功能，能夠?yàn)閿?shù)據(jù)中心提供多種綜合性的安全防護(hù)手段，使數(shù)據(jù)中心能夠應(yīng)對(duì)多種攻擊和非法訪問(wèn)行為；同時(shí)設(shè)備采用多核技術(shù)，在吞吐量和并發(fā)能力上均有很好的表現(xiàn)，符合數(shù)據(jù)中心高吞吐量、高并發(fā)的特點(diǎn)；此外，Hillstone山石網(wǎng)科高性能多核安全網(wǎng)關(guān)還可提供多種高可靠方案，包括設(shè)備內(nèi)部故障后的冗余措施，和設(shè)備整機(jī)故障后的冗余措施。這些都能夠符合數(shù)據(jù)中心對(duì)邊界安全防護(hù)技術(shù)的要求。

Hillstone山石網(wǎng)科全線產(chǎn)品采用了創(chuàng)新的新一代網(wǎng)絡(luò)安全架構(gòu)，硬件平臺(tái)采用64位高性能的新一代多核處理器Multi-Core CPU，內(nèi)部傳輸采用高達(dá)960Gbps高速交換總線，其網(wǎng)絡(luò)安全的處理能力最高可以達(dá)到百G級(jí)別。對(duì)于數(shù)據(jù)中心而言，通過(guò)Hillstone山石網(wǎng)科高性能多核安全網(wǎng)關(guān)，可以為數(shù)據(jù)中心提供高效的安全防護(hù)，在保障安全的同時(shí)，不會(huì)降低數(shù)據(jù)中心原有的安全運(yùn)行效率。

值得一提的是，Hillstone山石網(wǎng)科高性能多核安全網(wǎng)關(guān)還具有基于角色管理的用戶可視化、應(yīng)用可視化和網(wǎng)絡(luò)行為可視化功能，可以有效方便管理和保障數(shù)據(jù)中心安全；專用操作系統(tǒng)StoneOS，具有64位實(shí)時(shí)并行處理能力，其核心針對(duì)Hillstone山石網(wǎng)科硬件產(chǎn)品進(jìn)行了全面優(yōu)化，使得系統(tǒng)具有更高的處理效率和穩(wěn)定性；設(shè)備還具有高度可擴(kuò)展的能力、靈活高效的帶寬管理功能和強(qiáng)大的應(yīng)用層檢測(cè)能力；簡(jiǎn)捷方便的統(tǒng)一管理操作界面使工作人員可以便于管控。

方案的部署是將Hillstone山石網(wǎng)科高性能多核安全網(wǎng)關(guān)作用在數(shù)據(jù)中心的出口節(jié)點(diǎn)上，為數(shù)據(jù)中心提供網(wǎng)絡(luò)邊界層面的基礎(chǔ)防護(hù)，并對(duì)外部的訪問(wèn)進(jìn)行嚴(yán)格的控制和深度的檢測(cè)，對(duì)異常行為進(jìn)行阻斷，在保障數(shù)據(jù)中心安全性的同時(shí)，也保證了數(shù)據(jù)中心快速處理各類外部訪問(wèn)請(qǐng)求。