阿姆瑞特IDC数据中心解决方案

阿姆瑞特IDC网络安全解决方案阿姆瑞特（亚洲）网络有限公司2009年3月1高校IDC网络现状网络基础平台的建设已经完成，然而对于IT来说，其实才真正开始起步。业务的融合，数据网络、数据存储、数据处理的统一，信息化对企业规划的支撑，这样成熟的IT建设理念正在逐步深入人心，而数据中心正是这一IT建设理念的体现和承载。随着高校信息应用系统不断增加，对资源和信息整合的需求极为迫切，高校数据中心软硬资源整合逐渐成为关注的重点。高校数据中心的发展普遍经历了两个阶段。第一阶段：数据中心信息系统处于计算与存储一体化模式，计算资源与存储资源紧密结合在一起。信息系统要解决如何进行业务连续性保障的问题；当空间不够用时，如何进行空间扩展；如何实现多系统间的统一数据管理共享等。第二阶段：存储和计算已经分离为两个独立的部分，独立进行扩展和维护。在计算和存储分离之后，早期系统在容量、共享等方面的问题得到一定程度的解决，并能提供一定的数据安全保护。目前高校数据中心的建设主要处于这两个不同阶段。从数据中心的发展可以看到，第二阶段数据中心是以分离为核心，主要为解决第一阶段的共享、保障、扩展等问题，而未来的数据中心将以虚拟化为核心，在应用整合的大前提下，利用虚拟化技术将数据资源化，并进行应用整合。在数据中心建设发展中也面临一些网络安全问题。2高校IDC网络面临的问题.2.1网络安全的问题随着高校网络数字化应用平台的搭建，各种系统都承载在校园网上，IDC也不断发展，形成相当大的规模，逐渐脱离传统DMZ，在校园网中占有独立区域。但随之而来的便是网络安全的问题，IDC面临来自内网及外网的安全威胁。随着网络攻击手段的丰富，非常令人担心的是:传统的防火墙和防病毒系统并不能满足需要！•变种的威胁、应用层攻击和老练的黑客经常可以穿透传统的防线。•防火墙并不是为了防止应用程序自身脆弱性被暴露而设计的。•当今最主要的安全威胁来自于针对应用程序自身脆弱性的攻击，而不是网络层的攻击。•网络层的攻击仍然存在，但一个安全的网络更需要多层安全解决方案。2.1.1防止来自校园网网络层的攻击及非法访问IDC架设在内网，只是通过三层交换机与校园网连接，很有可能遭受到来自内网的网络层攻击，如学生使用网络扫描，密码破解等多种方式对IDC中的服务器进行渗透，以便获取，篡改重要的学籍、学分等数据。存在的合法用户的非授权访问是指合法用户在没有得到许可的情况下访问了他本不该访问的资源。一般来说，每个成员的主机系统中，有一部份信息对外开放，而有些信息是要求保密的，它的公开范围是有限的。例如：子校园的某一合法用户被允许正常访问的一定的信息，如他同时通过一些手段越权访问了网络上不允许他访问的信息，因此而造成他人的信息泄漏。所以，必须加强访问控制的机制，对服务及访问权限需要进行严格控制。此时IDC前端没有安全设备进行有效的防护和安全过滤，服务器面临很大的安全威胁及信息泄露的风险。对于网络管理者来说，首先IDC需要具备网络层安全防护功能的网络安全设备对非法访问进行屏蔽。2.1.2防止来自内网和互联网的应用层攻击由于防火墙并不是为了防止应用程序自身脆弱性被暴露而设计的。也就是说防火墙是不能防御应用层攻击的，恶意程序和应用层攻击比较容易穿越出口防火墙，通过内网三层交换机攻击没有防护的IDC服务器群。由于某些IDC服务器存在安全漏洞，或开有后门程序，这样很容易被攻击者入侵。网上充斥着各类针对服务器数据的应用层攻击，包括:黑客入侵，木马程序，漏洞扫描，恶意程序等对IDC造成非常大的安全威胁。看来IDC还需要具备应用层安全防护功能的网络安全设备对黑客入侵，木马程序，恶意软件等应用层攻击进行阻断。2.1.3防止虚拟机之间的非法访问及攻击我们谈到高校IDC的应用趋势是利用虚拟化技术将数据资源化，那么对于IDC数据中心，面临着几十台甚至上百台服务器的托管，在传统安全产品部署模式下，如何能对每一台服务器准确配置相应的安全规则是安全管理员非常头疼的问题；托管在IDC数据中心的服务器经常添加或者减少；提供的服务也不断变化，因此无法进行统一的安全策略部署；传统安全产品部署模式下，即使安全管理员能及时、准确的对每台服务器设置安全规则，抵御来自于Internet的攻击，但此时服务器之间的相互访问是不经过传统模式部署的安全设备，因此传统模式部署是无法防御服务器之间的攻击。如果此时有一台服务器中了病毒，这台中毒的服务器可以轻易的访问其他服务器，从而使得病毒迅速扩散到其他服务器；如果黑客攻击了某台服务器，可以从这台服务器为起点轻易的攻击其他虚拟服务器。随虚拟化的推广，IDC必须还要考虑虚拟机之间的网络安全。2.2防止用户过量访问对服务器造成的宕机在某些时段，比如学生选课期间校内用户需要大量访问IDC中的教务等服务器，在校庆或学校发生重大事件时，外网用户会对主页服务器造成海量的访问，使服务器不堪重负而宕机，严重影响正常的教学工作。此时需要相关设备对服务器实施负载均衡，分担访问量，保证正常的教务信息传递。2.3.服务器访问安全审计在高校IDC中，有各种不同系统的服务器运行着重要的教学、教务等业务，同时也在输送各种运行信息，其中最重要的便是日志信息。服务器在什么时段被什么用户合法访问，什么用户有试图扫描服务器都需要网络安全设备产生相应的日志。有了服务器访问日志，同时应该具备日志分析功能。还应该有事件监控台，观察安全事件的发生，以便当出现安全事件的时候，及时阻止减少损失。当没有及时捕捉到攻击事件的时候，必须要有详细的日志记录，并能够通过日志分析系统快速查找出攻击源，配合相关部门搜索出攻击痕迹作为法律依据。总之，为了保障服务器的正常运行，需要从主机到网络全方位的日志记录和分析。提供网络安全事件管理和分析系统评估报告系统，及时发现网络安全事件，配合公安机关取证，协助管理员掌握网络运行情况对安全事件及时处理。3阿姆瑞特高校IDC解决方案.面对如此多的挑战，阿姆瑞特作为高校网络安全方案提供商，根据多年的高校网络安全规划设计、安装实施经验，深入分析高校网络IDC问题，结合成熟的优秀产品定制高校出口安全网络解决方案。3.1阿姆瑞特IPS保障IDC安全阿姆瑞特IPS是集成了防火墙、入侵检测(IDS)、入侵防御(IPS)的三合一立体安全网关设备。其中:3.1.1强悍的防火墙功能面对内外网的各种威胁，阿姆瑞特防火墙模块采用基于状态检测安全防护技术，能够有效防止各类网络层攻击，包括Dos/DDoS攻击，TCP/UDP端口扫描，Synfragments、SynandFinbitset攻击、IP欺骗(IPspoofing)攻击等等攻击手段。a)文件类型过滤功能。阿姆瑞特安全网关对SMTP、HTTP、FTP协议传输的文件类型进行控制，从而提供根据严格的访问控制手段，通过严格的控制可以更加有效保证用户网络安全和有效防止病毒的扩散。b)强悍的抵御攻击功能。为了更有效抵御SYN-flood攻击，在防范该攻击时候，不采用设置阈值的方法；而采用类似代理技术进行攻击防范，攻击者必须首先与安全网关建立起标准的TCP连接，安全网关才会再与服务器进行连接，确保服务器的安全。c)攻击后“自愈”能力。在任何情况下，安全网关的CPU利用率不能到达100％，不死机，确保攻击停止后，网络正常运行。d)智能黑名单功能。阿姆瑞特防火墙模块支持智能黑名单功能，当发现攻击的时候，可以动态将攻击的源地址加入到黑名单里面，将攻击源地址彻底丢弃掉，彻底阻断该地址对网络的攻击。3.1.2IPS功能防范应用层攻击IPS功能与防火墙功能的结合可以有效防止应用层攻击和网络层攻击。支持保护操作系统支持操作系统漏洞的攻击Windows、Unix、Linux、FreeBSD等。防火墙与IPS有效的统一具有防火墙模块，对数据包可以从网络层进行过滤，继而再从应用层进行分析、阻断。IPS与IDS有效的统一IPS与IDS对应不同的特征库，当数据包进入入侵防御IPS设备，首先经过IPS检查，可以确定100％的攻击，入侵防御IPS可以对该攻击进行阻断；如果数据包疑是攻击，进行IDS检查，入侵防御IPS对该数据进行审计，从而达到IPS和IDS的统一入侵检测/防御特征库能够检测/阻断攻击类型≥17000种(每日更新)。防护规则细粒度的控制可以根据源IP、目的IP、源接口、目的接口、服务等参数来决定是否将数据包送入IPS引擎。因此可以只对感兴趣的数据流有选择性地进行IPS检测，保证了z基于ASIC技术的千兆IPS对于串联在网络中的IPS,产品的性能上非常关键，用户不希望加载IPS后，上网速度变慢。阿姆瑞特IPS采用ASIC技术，从而保证数据包在千兆环境的线速通过，保证不会因为加载应用层的IPS规则导致产品的性能下降。z高可靠性阿姆瑞特IPS设备支持热插拔的冗余双电源，避免电源硬件故障时设备宕机，提高设备可用性；而内置的硬件BYPASS更提供在设备出现软件、硬件及电源故障时快速、自动切换到直通状态的功能，保障网络可用性。同时，系统提供HA功能，通过双机备份保证网络的高可靠性。z动态IPS/IDS配置界面系统的整体性能。对协议攻击的保护网络攻击防护。探测、端口扫描、主机扫描。DoS与DDoS攻击防护，支持对DNS、FTP、ICMP、IMAP、POP3、SNMP等协议弱点的攻击对应用程序的保护支持网络上的主机进行端口探测、漏洞扫描以及其它攻击活动，发现扫描或者攻击后，动态添加攻击黑名单。支持应用程序攻击，WEB页面中嵌入数据库进行的SQL注入攻击、针对操作系统、某种应用软件漏洞的攻击等。对应用层程序的控制支持阻断社会工程学攻击相关的一些即时消息软件、聊天和P2P应用程序。对内网用户通过P2P工具下载而耗费网络大量带宽进行阻断，如迅雷、BT、电驴、MSN、SKYPE等。支持动态黑名单发现扫描或者攻击后，动态添加攻击黑名单，可以自定义黑名单详细时间，动作规则等策略。支持时间控制策略不同的时间可以选用不同的安全策略。支持日志审计和实时监控在设备中实时显示攻击事件、日志纪录到设备的日志服务器、日志纪录到Syslog日志服务器。结合Insight产生详细的安全报表。用户在进行IPS/IDS设备管理时候，面对复杂、专业的配置可能无从下手；同时因为IPS/IDS特征库是不断升级的，而配置界面无法实现时时升级，导致动态的特征库与静态的配置界面无法对应起来。阿姆瑞特IPS的配置界面来源于IDP特征库的索引，当IDP特征库升级后，由IPS设备内核PUSH(下推)到管理器中，从而实现时时更新的IPS/IDS的专业分组配置界面，将用户需要做的IPS/IDS分组工作转化为由专业的厂商来做。将IPS/IDS配置上最大的难题彻底解决，最大程度的减少管理员的工作压力，使得配置界面更加人性化、专业化、合理化。z零日攻击防御为了能最快速度的发现互联网上的最新威胁，阿姆瑞特在全球部署可以捕获最新威胁的传感器，通过遍布全球的传感器网络不断地检测Internet上新的威胁，并将这些威胁加入到特征库中，阿姆瑞特IPS通过遍布于全球的升级服务器在这些威胁爆发或攻击发生之前向用户提供这些威胁的特征，进行实时IPS征库的升级，从而保证用户网络免受新的攻击、现有攻击的变种和未知攻击的侵扰，提供对于最新攻击零日(zero-day)防御功能。z虚拟补丁功能当一个新的漏洞出现时候，由于IPS的特征库升级速度远远快于服务器补丁的升级速度，此时可以对服务器提供最有效的零日(zero-day)防御功能，对服务器提供虚拟的补丁，在没有得到最新补丁升级时候对服务器进行提前的保护，阻止黑客针对于服务器漏洞的攻击。z“流量净化”功能目前校园IDC网络的带宽资源经常被严重占用，造成服务器资源比较空闲也难以正常访问的情况。主要是在正常流量中夹杂了大量的非正常流量，如蠕虫病毒、DOS攻击等恶意流量，以及P2P下载、在线视频等垃圾流量，造成网络堵塞。IPS可以过滤正常流量中的恶意流量，同时对垃圾流量进行控制，为网络加速，还IDC一个干净、可用的网络环境。z提供网络监控和报告为了方便用户对网络的了解，阿姆瑞特公司提供网络日志监