数据中心安全域隔离解决方案.PDFVIP

数据中心安全域隔离解决方案 数据中心安全建设的基本原则：按照不同安全等级进行区域划分，进 行层次化、有重点的保护，通过传统防火墙分级分域的进行有针对性的访 问控制、安全防护。 数据中心安全域隔离存在的问题 防火墙基于五元组部署访问控制策略，但仍在上线部署、业务新增和日常管理中存在策略管理复杂可 视性差的问题： 传统防火墙仍面临新的安全挑战 70%的攻击来自应用层 ，防火墙防护存在短板 1 / 4 APT、0day、欺诈等威胁出现 ，使边界防御失陷 深信服数据中心安全域隔离解决方案 本方案采用技术上先进的下一代防 火墙作为数据中心安全域隔离的主要载 体。既可以解决传统安全域隔离可视性 和管理便利性上的问题，同时还能够通 过开启应用层防护的模块和失陷主机检 测的模块加固数据中心的安全。有效的 弥 补数据中心存在的安全短板，提升数据 中心安全防护与检测的能力。  数据中心安全域设计建议 将数据中心以不同安全级别及功能需求划分为四大安全区域:接入区、办公区、业务区、运维管理区。 对数据中心网络及应用系统实施网络分级分区防护，有效地增加了重要应用系统的安全防护纵深，使得外 部的侵入需要穿过多层防护机制，不仅增加恶意攻击的难度，还为主动防御提供了时间上的保证。 2 / 4 接入区:安全等级中，包含三个子区，互联网接入区、分支机构接入区和第三方接入区； 办公区:安全等级低，包含两个子区，内网办公区和无线办公区； 业务区:安全等级高，包含三个子区，对外业务区、核心业务区、内部应用区。 方案特点  精细到应用的访问控制粒度 不仅具备五元组访问控制策略，还可以通过 结合应用识别与用户识别技术制定的L3-L7一体 化应用控制策略,提高了策略控制的准确度，提 升数据中心管理的效率。 如访问数据中心的常见应用OA、ERP、Web、 邮箱等；或外部运维人员访问数据库等场景，通过应用层访问控制策略，解决传统ACL 的无法对端口逃逸、 端口跳跃等 （如使用Oracle建立连接1521，连接后为随机端口）技术的应用进行控制的问题。  向导式可视化的策略管理 上线部署：简单易懂的IT 向 导配置，无需管理员掌握复杂的安 全知识，也可以完成策略的快速部 署上线，轻松掌握对数据中心安全 策略的部署。 新增业务：数据中心新增业务 时，能主动发现新增资产，防止安全策略疏漏。管理员无需手动查找新增资产，只需要对新增资产进行一 键策略的关联部署就可以快速添加策略。 策略管理：可视化的策略管理，提升了 访问控制策略管理的可视性，使管理员可以 更容易的看清楚策略部署的情况；同时提供 策略命中数量，便于管理员清除无效策略。  支持更强防护和检测能力的扩展 L2-7层防护功能扩展：本方案采用深信 3 / 4 服下一代防火墙，可以通过开启多种防护模块对数据中心应用层防护进行安全加固。既实现了数据中心L2-7 层完整的安全防御体系的建设，满足高性能、高可靠要求，同时解决了数据中心部署多台安全设备带来的 单点故障、性能消耗、难以管理的问题。 双向检测能力扩展：本方案还可以开启失陷主机检测的模