企业数据中心安全解决方案
客户需求分析

企业数据中心承载着公司核心业务系统,如:OA系统、HR系统、生产系统、财务系统等多项关键应用系统。数据中心网络作为企 业内部网的重要组成部分,为各项应用系统提供数据交换和共享平台,为核心业务系统服务器和存储设备提供安全可靠的网络接入平台。 企业数据中心安全建设所需要达到的安全性、高可用性、扩展性和灵活性等需求可以简单概括如下:

◆ 高可用性。企业关键业务应用的可用性与性能要求比任何时候都更为重要,如果客户与员工不能访问关键性应用,业务将遭受无法 挽回的利润损失。安全作为数据中心的重要组成部分,充分考虑系统的应变能力、容错能力和纠错能力,确保整个基础平台运行稳 定、可靠。

◆ 高安全性。涉及到企业的核心数据安全,应按照业务端到端安全交付、网络L2-L7层安全两个维度对安全体系进行设计规划,将安 全理念渗透到整个数据中心平台中。

◆ 可扩展性和灵活性。数据中心作为承载业务数据核心平台,必须能够随着应用系统的变化而进行自由缩放,所以平台必须具备良好 的灵活性及可扩展性,能够满足不断变化的应用需求。

解决方案

齐杉科技企业数据中心安全解决方案:

◆ 在企业内部局域网与数据中心间部署齐杉Cedar NGFW产品,对访问数据中心的数据进行深度安全检测,安全控制,安全过滤等。

◆ 在数据中心部署齐杉Cedar ADC产品,对关键服务器流量进行高可用调度、应用优化与加速,保障业务可持续服务的同时,提升用 户的访问体验。

◆ 在数据中心部署齐杉Cedar WAF产品,负责处理访问流量中携带的基于Web层的攻击威胁。

■虚拟化技术

业务系统是数据中心的核心命脉,为保证部署的Cedar系列安全设备稳定性、可靠性、高性能,在方案中,齐杉科技Cedar系列安全 产品通过虚拟化进行部署, 可根据用户的需要灵活地将多台物理Cedar系列安全设备虚拟成一台逻辑设备,也可以将一台物理Cedar系列 安全设备虚拟成多台虚拟安全设备,当其中任意一台物理或虚拟安全设备出现故障时,能够实现业务系统无缝切换,同时可实现与业务 系统的虚拟化进行无缝对接,有效提供运维效率,也方便了用户业务的灵活扩展。

■全面安全防御技术

通过Cedar NGFW把数据中心与内部网络进行隔离,通过基于状态的包过滤技术,根据设定的安全策略,过滤位于TCP/IP协议栈数据 链路层、网络层、应用层中隐藏的安全威胁。Cedar NGFW可以根据每个数据包的源MAC地址、目的MAC地址、源IP地址、目的IP地址、 协议、源端口、目的端口、时间、安全特征库等为过滤依据,决定是否对这个数据包给予放行或阻断。

■Web应用深度检测

通过Cedar WAF的完整TCP协议栈解析引擎,可以准确的对TCP/IP栈数据包进行重组还原,能完整识别HTTP协议框架, 实现HTTP/ HTTPS协议完整解析和还原,从根源上避免绕过及穿透攻击。通过指纹识别及行为分析引擎,能对TCP协议扫描、UDP协议扫描、Ping扫 描和异常探测行为及时发现并进行及时阻断。通过特有的并行流过滤处理引擎,满足在灵活定制各种复杂WEB防护策略、开启各种WEB 行为攻击检测的同时,实现万兆高并发低延迟处理。通过敏感信息检测引擎,对服务器返回信息的HTTP头域、URI字段、Cookie、服务 器信息等进行有效识别,完成对敏感信息泄露过滤。

Cedar WAF针对SQL注入攻击、跨站攻击、脚本木马、缓冲区溢出、信息泄露、CC攻击等攻击全面防御,让对门户网站系统的信息 泄露、伪造和破坏风险降到最低,IT人员针对Web系统的安全忧虑迎刃而解。

■丰富的调度算法

Cedar ADC通过多种静态和动态调度算法,确保访问数据中心服务器的流量智能的分发给最佳服务成员。

◆ 轮询:把来自用户的请求轮流分配给内部的服务器:从服务器1开始,直到服务器N,然后重新开始循环。

◆ 加权轮询:根据服务器的不同处理能力,给每个服务器分配不同的权值,使其能够接受相应权值数的服务请求。

◆ 最小连接:根据当前各服务器或链路的连接数来估计服务器或链路的负载情况,把新的连接分配给连接数最小的服务器或链路。

◆ 加权最小连接:调度新连接时尽可能使服务器或链路的已建立活动连接数和服务器或链路权值成比例,权值表明了服务器处理性能 或链路实际带宽。

◆ 动态反馈:设备根据不同链路的实际剩余带宽及权值,将新连接分发到剩余带宽最大的链路上。

◆ 源IP哈希:通过一个散列(Hash)函数将来自同一个源IP的请求映射到一台服务器或链路上。

◆ 源和端口IP哈希:通过一个散列函数将来自同一个源IP和源端口号的请求映射到一台服务器或链路上。

◆ 基于目的IP哈希:通过一个散列函数将去往同一个目的IP的请求映射到一台服务器或链路上

◆ 最快响应时间:设备根据不同链路或服务器的实际响应时间,将新连接分发到响应时间最短的链路或服务器上。

■完善的会话保持策略

基于源IP地址的会话保持功能

◆ 基于源IP地址的持续性功能常用于应用调度中,用以确保同一个客户端的业务能分配到同一个服务器中。

Cedar ADC接收到某一客户端的某一业务的首次请求时,建立持续性表项,记录为该客户分配的服务器情况,在会话表项生存周期 内,后续相同源IP地址的业务报文都将发往该服务器处理。

◆ 基于目的IP地址的会话保持功能

基于目的IP地址的持续性功能常用于链路调度应用中,用以确保去往同一个目的地址的业务能分配到同一条链路上。Cedar ADC接 收到某一客户端的某一业务的首次请求时,建立持续性表项,记录为该客户分配的链路情况,在会话表项生存周期内,后续相同目 的IP地址的业务报文都将分发到该链路转发。

◆ 基于Cookie、头域、Session的会话保持功能常用于web服务器需要用户携带私有信息或某些特定信息的应用调度中,用来确保同一 个用户能够去往同一个目的地址。Cookie支持4种持续性方式,包括插入模式,重写模式,被动模式,HASH模式。

■多种健康检查方法

所谓健康检测,就是Cedar ADC定期对真实服务器服务状态进行探测,收集相应信息,及时隔离工作异常的服务器成员。Cedar ADC 设备通过17种健康检测的结果标识服务器健康情况,统计出服务器的响应时间,作为选择服务器的依据。

■多种应用优化技术

通过Cedar ADC的连接复用、SSL卸载、缓存、内容压缩等优化技术,为数据中心业务访问提速。连接复用就是将多个连接合并为 一个连接来与服务器进行通信,减少与服务器三次握手的次数,提交数据交换的效率,达到提升用户访问的效果。SSL卸载是通过高性 能硬件加速芯片,对SSL协议进行加解密处理,从而减轻服务器的压力,提升服务器对请求的响应速度。缓存是通过缓存空间将一些常 被访问的静态文件,如图片、文档、视频等进行本地缓存,客户请求时,直接由Cedar ADC设备进行响应,提升请求响应效能。压缩是 通过HTTP压缩算法,提升带宽利用率,缩短下载时间,从而提升用户体验。

客户价值

◆ 安全性:实现L2~7层的立体安全防护,让数据中心固若金汤。

◆ 高可靠:关键业务7*24的可持续性提升服务,并同时升级用户的访问体验。

◆ 虚拟化:业务级虚拟化,提升数据中心安全的同时,让业务扩展、性能提升更灵活性。

◆ 高可用:提升用户安全体验的同时,提升了故障的自愈能力,大大提升用户的满意度。