天融信_IDC整体安全解决方案.docx

  1. 1、本文档共11页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
一、IDC现状及发展趋势 根据中国IDC圈2013年3月发布的《2012-2013年度中国IDC产业发展研究报告》数据显示,2012年全球IDC市场整体市场规模达到255.2亿美元,增速为14.6%。从报告中可以看出,在全球数据中心市场中,欧美地区市场需求已趋于饱和,亚太地区正成为带动全球IDC市场的主要动力。其中,美国已开始逐步关闭部分小型数据中心,政府带头部署云计算;欧洲略落后于美国,云计算尚在部署阶段;而亚太尚处于IDC基础建设阶段,未来潜力巨大。 国内IDC市场中,金融和电信行业的数据中心建设占据了50%的市场份额,其次是政府、制造和能源行业,广电也开始加入其中。网络游戏和视频等应用业务成为拉动IDC市场增长主力,云计算已成为IDC产业未来发展趋势,而网络安全成为IDC产业日益关注的问题。 二、IDC网络架构及面临的安全威胁 IDC网络架构一般包括四层:互联网接入层、汇聚层、业务接入层和运维管理层。互联网接入层由2台核心路由器组成,作为IDC和互联网互联互通的纽带,对外完成与互联网的高速互联,对内负责与IDC的汇聚层交换互联,负责IDC内部路由信息与外部路由信息转发和维护等,互联网接入层的出口带宽至少20Gbps,多采用多条10 Gbps出口链路。汇聚层由多台成对的汇聚交换机组成,是业务接入层交换机的汇聚点,并上联到互联网接入层核心路由器,汇聚层交换机与互联网接入层核心路由器之间多采用多条10Gbps链路连接。业务接入层由接入交换机和各业务系统的服务器、存储等设备组成,是对外提供IDC相关业务的核心,接入交换机与汇聚交换机之间多采用多条千兆链路连接。运维管理层提供网络管理、资源管理、业务管理、安全管理、运营管理等IDC管理功能,向IDC的运营维护人员和客户提供设备管理、系统维护、远程接入等服务。 IDC所面临的安全威胁主要体现为:网络层的非法访问,网络漏洞的存在,DDOS攻击等入侵和攻击行为,大量恶意流量,有效带宽问题,用户的访问行为取证,等等;业务层的系统自身脆弱性的存在,病毒、垃圾邮件泛滥,网站被篡改、挂马、受到SQL注入/跨站等攻击,系统可用性保障,等等;管理层的系统如何运维管理,运维人员的操作是否违规,安全事件如何统一管理分析,运维终端自身的安全性,IDC如何监管,等等。 三、天融信IDC整体安全解决方案 针对上述IDC面临的安全威胁,天融信推出了IDC整体安全解决方案,从互联网接入层、汇聚层、业务接入层和运维管理层四个层面,提出了相应的安全解决方案,如下图示。 图1、天融信IDC整体安全解决方案图 互联网接入层 互联网接入层是整个IDC业务的出口,承担着抵御DDOS攻击和保证带宽正常可用及IDC业务可正常访问的重任,重点需防治DDOS攻击造成的带宽或主机资源被大量消耗。 抗DDOS/流量清洗 建议部署天融信公司的万兆级抗DDOS/流量清洗设备TopDDOS,清洗攻击流量,保证整个IDC网络带宽的可用和IDC业务的可访问。TopDDOS应用了天融信自主研发的抗拒绝服务攻击算法,创造性地将算法实现在协议栈的最底层,避免了TCP/UDP/IP等高层系统网络堆栈的处理,使整个运算代价大大降低, 并结合特有硬件加速运算,因此系统效率极高。TopDDOS另借助天融信攻防实验室多年的DDOS攻击研究成果,具有业界最完善的DDOS攻击检测能力。 TopDDOS通过异常流量检测系统实时检测DDOS攻击,一旦检测到攻击流量,就将异常流量牵引到异常流量清洗系统进行攻击流量清洗,将清洗后的正常流量再回注入网络,这样即可实时抵御来自互联网的DDOS攻击,有效过滤DDOS攻击流量,保障IDC业务持续正常访问。 如下图示,是IDC抗DDOS/异常流量清洗部署和工作示意图。 ?图2、天融信IDC抗DDOS/流量清洗解决方案图 汇聚层 汇聚层是IDC业务汇聚之处,首先需要把好网络安全关,如访问控制、入侵检测、网络脆弱性扫描、网络设备安全加固等,其次肩负着为IDC业务做负载均衡和进行流量分析管理等职责。 高性能防火墙 建议在汇聚层部署天融信公司的万兆级NGFW高性能防火墙TopGuard,为需要边界防护的IDC用户提供访问控制等增值服务。天融信目前有擎天系列并行多级硬件架构机架式万兆高性能防火墙和猎豹系列基于TopASIC芯片万兆级高性能防火墙,基于高效安全自主TOS操作系统和多核架构,采用了自主原创实现数据层多核快速转发的高性能业务处理技术TopTURBO,处理能力高达320Gbps,支持防火墙、VPN、入侵防御、病毒防御、URL分类过滤、虚拟防火墙、IPV6等功能,支持VPN虚拟化接入,非常适合部署在IDC汇聚层为不同IDC用户提供不同要求的边界安全防护。 ? 图3、天融信NGFW防火墙多核架构 高性能网络入侵检测 建议在汇

您可能关注的文档

文档评论(0)

wekadoc + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档