H3C数据中心安全解决方案

H3C数据中心安全解决方案日期：2010年1月密级：机密杭州华三通信技术有限公司数据中心安全的需求与挑战H3C数据中心安全解决方案H3C数据中心安全成功案例目录新一代数据中心的安全要求传统－可靠性保障机制不足►数据中心缺乏安全防护措施，特别是应用层防护►缺少DDoS有效防御设备，数据中心可用性难以保障H3C－设备可靠、动态备份►具备完善的2~7层安全防护解决方案►具备专业流量清洗设备，保障数据中心的可用性新一代数据中心的可靠性要求传统－可靠性保障机制不足H3C－设备可靠、动态备份►采用多重高可靠的安全备份技术►安全设备和网络设备相互配合，采用先进的故障检测及逃生机制►安全设备杂乱，可靠性无保证►仅关注数据中心连通性，缺少备份–性能优化，全面加速传统–设备叠加，性能低下新一代数据中心的高效率要求►安全设备性能低，不适合数据中心部署►服务器利用率低►缺少应用流量管控和动态调整能力►安全设备性能高，构建高端数据中心►网络设备实现负载均衡，充分利用服务器效能►具备一体化全网流量精细管理解决方案防火墙新一代数据中心的更灵活要求传统－设备的无限叠加H3C－虚拟化融入网络安全►安全设备类型多，品牌多，维护难►网络架构复杂，层次多►访问控制分散，难管理►单台设备虚拟化，一体化解决安全问题►网络结构简单，扁平化►策略集中部署，安全按需引流，灵活管理新一代数据中心的智能要求传统－粗放式管理H3C－一体化安全管理►安全设备类型多，品牌多，维护难►流量复杂,日志格式差异，监控难►管理缺乏层次，安全策略混杂，管理难►以业务流程为基础，实现多设备分级分域管理►全网流量监控设备部署，实现可视化管理►多设备一体化配置部署，实现全网安全智能管理数据中心安全的需求与挑战H3C数据中心安全解决方案方案设计方案特点H3C数据中心安全成功案例目录数据中心服务器区安全设计分区间访问控制F5000防火墙单臂部署在汇聚交换机旁，满足超万兆分区间流量访问控制需求分区内访问控制服务器网关设置为F5000防火墙，满足超万兆分区内流量访问控制需求入侵防护汇聚交换机部署IPS，选择关键流量进行4-7层安全防护服务器负载均衡汇聚交换机部署LB，优化服务器访问流量网流分析分区内流量统计分析WEBAPPDB核心层汇聚层接入层FWIPSLB安全服务区FWIPSLB安全服务区数据中心外联网区安全设计外联网区双层防火墙外层：外网访问控制内层：分区间访问控制入侵防护病毒、漏洞、木马等应用层攻击综合防护防拒绝服务攻击异常流量清洗网流分析分区内流量统计分析VPN安全接入合作伙伴接入客户接入SSL移动办公业务Internet外联区DMZ区Internet服务区外联区DMZ区Extranet服务区外联Extranet外联区DMZ区Internet服务区办公Internet流量清洗流量清洗VPN网关VPN网关VPN网关核心层汇聚层AFCAFC网流分析FWFWFWFWFWFWIPSIPSIPS数据中心安全的需求与挑战H3C数据中心安全解决方案方案设计方案特点H3C数据中心安全成功案例目录(动态流量分发协议)实现动态负载分担让数据中心更可靠—防火墙动态备份超万兆防火墙单臂部署链路聚合业务流动态分担让数据中心更可靠—防火墙动态备份状态数据同步普通业务流量安全业务流量L3InterfaceInsideVLANOutsideVLAN防火墙带外状态同步线安全业务流量安全业务路径数据中心业务流DFDP下动态业务负载分担通过DFDP动态流量分发保证业务流负载分担确保同一条业务流量始终分布在同一台防火墙DFDP下防火墙主备倒换交换机与防火墙实时交互控制报文感知防火墙工作状态防火墙状态同步保证单台设备故障后业务不中断防火墙状态同步数据智能模型学习学习模式综合策略分析监控模式主要优势：精度高：支持逐包检测，精确性更高高可靠：旁挂部署，减少故障节点高性能：可按需扩展，性能最高可达20GAFC流量清洗中心策略下发策略下发流量日志上报攻击告警业务联动服务器区服务器区让数据中心更可靠—异常流量清洗数据中心出口部署万兆流量清洗设备AFC，防止针对数据中心发起DDoS攻击，确保数据中心的高可靠、不间断服务！让数据中心更可靠－多重可靠的安全设备关键部件均冗余（引擎、电源）接口模块热插拔机箱温度检测经过严格HALT、HASA检测高达35万小时的(MTBF)分布式硬件转发Bypass掉电保护成熟软件平台（在线运行百万台以上）控制与转发平面分离安全插卡故障逃生热补丁技术NQA（链路故障探测）硬件软件部署丰富路由协议，网络安全融合多模式双机部署（状态同步）让数据中心更高效—超万兆安全设备超万兆负载均衡设备FW、IPS、AFC、LB等数据中心关键安全设备均支持万兆以上性能，保障大型数据中心高效运转倍！让数据中心更高效—ACL加速配置简单一般数据中心都需要在核心设备上部署超过1万条的ACL，H3C核心防火墙F5000独特的ACL加速功能有效降低ACL匹配延时，全面提升数据中心效率让数据中心更高效—LB提升服务器效率健康检测：实时检测服务器状态负载均衡：超过10种负载均衡算法，将数据流动态分发到不同服务器上会话保持：通过会话保持，确保关联数据发送到同一台服务器，提高效率应用优化：集成多种应用优化技术，提高数据中心服务器效率协议支持：完善的网络协议支持能力，满足数据中心复杂组网需求强大的数据中心应用优化功能：没有部署LB之前部署LB之后2,000不成功不稳定2秒159,000稳固，成功快速，一致1秒5请求数/秒（TPS）请求数响应响应时间服务器虚拟化：基于IRF2技术，实现将多台交换机上的安全插卡虚拟为一台交换机上的插卡方案优势：简化网络及安全组网多块插卡配置同步，大大减少管理工作量让数据中心更灵活—虚拟化让数据中心更灵活—虚拟化L3L2VLAN1FWVLAN2IPS1:N虚拟化：基于虚拟化技术，一台安全设备可以虚拟化成多台逻辑上独立的安全设备方案优势：通过安全虚拟化，实现不同区域不同的安全策略，实现数据中心端到端虚拟化让数据中心更灵活—按需防护IPSLB分区间访问控制对于需要防护的流量，引流到安全服务区处理分区内访问控制对于VLAN间需要防护的流量，可以引流到安全服务区处理VLAN1VLAN2VLAN3核心层汇聚层接入层按需防护优势简化整网安全策略按需引流，降低安全服务区负载对于不需安全处理的业务，降低传输时延及被阻断的风险FWIPSLB安全服务区FWIPSLB安全服务区让数据中心更灵活—按需部署Intranet边缘FWIPSSLBFWIPSSLB生产1区生产2区非成产区插卡部署模式互联网边缘WEBAPPDB通用服务器LLBLLBFWIPSSLBSLBIPSFW异常流量清洗系统异常流量清洗系统ACGACGSSLVPNSSLVPNFW、LLB全交差冗余部署IPS、ACG口字型冗余部署SLB、SSLVPN旁路部署盒式部署模式防火墙板卡入侵防御板卡流量均衡板卡SSLVPN板卡随功能需求而扩展SecBladeFWSecBladeFWSecBladeFWSecBladeFW随性能需求而扩展随需而安：根据您的需要，可选用不同部署方式、不同扩容方式！让数据中心更智能—智能水表iTAS智能流量分析系统NetStream插卡EmailorSNMP检测异常发生告警通知点击异常流量列表，查询详细信息，通过应用、源、目的等分析，快速定位异常原因Netstream能够实时监控网络中的流量状况，及时发现网络异常，实现网络资源优化故障排除更快利用深入的网络可视化在每主机和每应用检测和排除网络事故，减少解决问题所需时间；降低成本准确了解网络使用情况，作出投资决定；优化性能确保掌握业务关键性应用服务级别的准确信息；保护网络根据流量信息和分析结果控制网络资源认证H3CIPS与微软、卡巴斯基、Commtouch等合作，40多人专业攻防团队支撑，提前提供“漏洞补丁”，避免“零日攻击”；避免补丁升级带来的服务中断，保障业务连续性；让数据中心更智能—补丁代理传统攻击过程H3CIPS保护下的攻击过程让数据中心更智能—管理一体化iMC客户端HIDSAV漏洞扫描个人防火墙应用服务器安全威胁的实时监控网络流量的实时监控网络拓扑与网元可视化定位攻击源和攻击路径自动化报表输出IPS交换机路由器防火墙SecCenter安全事件统一收集业务状态统一收集设备状态统一收集设备管理，统一配置下发自动识别策略调整与服务器扩容H3CSecCenter提供的一体化管理，可解决数据中心设备之间相互孤立、网络安全状况不直观、安全事件响应慢、网络故障定位难等问题。数据中心安全的需求与挑战H3C数据中心安全解决方案H3C数据中心安全成功案例目录典型案例：江苏广电数据中心方案部署：通过在F5000-A10高端防火墙上部署7块SecBladeFW插卡，实现网络安全防护和流量控制实施效果：通过部署高端FW，实现了非法访问控制、DDoS等网络层攻击的防护，满足了大流量情况下的安全保障方案亮点：高性能：单台设备提供高达70Gbps吞吐量及2100会话数的处理能力；易扩展：采用插卡式硬件架构，满足后续扩容需求P2P缓存内容平台绿色资源认证DNS江苏广电IDCInternetF5000-A10业务管理平台流量清洗中心方案部署：在IDC出口路由器侧旁挂AFC流量检测和清洗设备。实施效果：通过对出口DDoS攻击的实时检测和清洗，帮助用户实现了7*24小时向全球提供网上贸易实时服务的需要。方案亮点：旁挂部署，高可靠且不影响正常业务流，数据延时更小支持平滑升级攻击报表丰富，策略配置灵活典型案例