數(shù)據(jù)中心邊界安全解決方案

來(lái)源：廣東坤通科技有限公司日期：2020-06-10 點(diǎn)擊：2460 屬于：解決方案

坤通科技數(shù)據(jù)中心邊界安全解決方案

方案背景

隨著企業(yè)信息化建設(shè)的逐步深入,，網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用和網(wǎng)絡(luò)系統(tǒng)日益復(fù)雜,，企業(yè)的帶寬大規(guī)模升級(jí),，網(wǎng)絡(luò)結(jié)構(gòu)不斷優(yōu)化,，數(shù)據(jù)中心流量劇增,，而原有安全設(shè)備往往老化嚴(yán)重,，吞吐,、并發(fā)能力有限,，網(wǎng)絡(luò)抗風(fēng)險(xiǎn)性差，數(shù)據(jù)中心安全設(shè)備往往成為性能瓶頸,，有單點(diǎn)故障風(fēng)險(xiǎn),，更無(wú)法滿足未來(lái)的帶寬擴(kuò)展需求。
由于企業(yè)數(shù)據(jù)中心往往面臨著黑客的攻擊,，這些攻擊輕者引起訪問(wèn)業(yè)務(wù)中斷,，嚴(yán)重的將造成重要信息的泄露，并且數(shù)據(jù)中心集中了企業(yè)最重要的信息資產(chǎn),，一旦發(fā)生安全事件將對(duì)企業(yè)的正常業(yè)務(wù)造成極大的損失,，因此需要采取必要的安全防護(hù)手段進(jìn)行保護(hù)。
企業(yè)數(shù)據(jù)中心常見的安全需求：

邊界隔離,、身份識(shí)別與訪問(wèn)控制,；
有效對(duì)抗攻擊、防范網(wǎng)絡(luò)入侵和惡意代碼,、檢測(cè)與防護(hù)未知威脅,；
流量管理、帶寬控制,，保障健康的互聯(lián)網(wǎng)訪問(wèn),；
高性能、高可靠性要求,；
數(shù)據(jù)中心虛擬化攻擊防護(hù),；
有效防護(hù)網(wǎng)站被攻擊和篡改；
滿足等級(jí)保護(hù)合規(guī)性需求,；
企業(yè)多出口運(yùn)營(yíng)商線路智能選路,；
深度應(yīng)用識(shí)別與管控，實(shí)現(xiàn)應(yīng)用層安全防護(hù),；
IPv4 和 IPv6 網(wǎng)絡(luò)的共存,。

方案介紹

通過(guò)在企業(yè)數(shù)據(jù)中心部署坤通科技下一代防火墻、IPS,、WAF等設(shè)備,，滿足大流量、高并發(fā)環(huán)境的部署要求,，同時(shí)還提供了鏈路負(fù)載,、NAT、應(yīng)用識(shí)別,、流量管理,、訪問(wèn)控制和攻擊防護(hù)等安全功能，全面保障了企業(yè)數(shù)據(jù)中心網(wǎng)絡(luò)的安全：

在數(shù)據(jù)中心邊界區(qū)域部署兩臺(tái)下一代防火墻設(shè)備,，防火墻設(shè)備采用HA的主備方式部署,，開啟防火墻基本功能,、訪問(wèn)控制策略等功能，實(shí)現(xiàn)數(shù)據(jù)中心區(qū)域的訪問(wèn)控制,、安全防護(hù)的功能；
下一代防火墻下聯(lián)兩臺(tái)入侵防御設(shè)備,，實(shí)現(xiàn)對(duì)出入數(shù)據(jù)中心的 2-7 層網(wǎng)絡(luò)攻擊流量的安全防護(hù),，保證數(shù)據(jù)中心區(qū)域服務(wù)器的安全；
在數(shù)據(jù)中心區(qū)域核心交換機(jī)處,，采用旁掛的方式部署兩臺(tái)WEB應(yīng)用防火墻設(shè)備,，通過(guò)在數(shù)據(jù)中心核心交換機(jī)上，將 WEB 流量采用流量牽引方式引流到 WEB 應(yīng)用防火墻上,，進(jìn)行 WEB 流量的過(guò)濾,，開啟相應(yīng)的防護(hù)策略，保障數(shù)據(jù)中心 WEB 服務(wù)器的安全,。

方案優(yōu)勢(shì)

企業(yè)數(shù)據(jù)中心的網(wǎng)絡(luò)邊界安全防護(hù),，主要是通過(guò)有效的隔離與控制手段，對(duì)遠(yuǎn)程的訪問(wèn)加以約束,，防范非法訪問(wèn),、惡意攻擊，同時(shí)保障帶寬資源的合理分配,，并對(duì)遠(yuǎn)程訪問(wèn)數(shù)據(jù)包的傳輸安全性加以保護(hù),，防范其在互聯(lián)網(wǎng)平臺(tái)上傳遞過(guò)程中被竊取和篡改。
綜合起來(lái),，對(duì)照企業(yè)數(shù)據(jù)中心的特點(diǎn)和安全需求,，數(shù)據(jù)中心邊界安全方案有以下優(yōu)勢(shì)和價(jià)值：

提升企業(yè)數(shù)據(jù)中心基礎(chǔ)平臺(tái)的安全防護(hù)能力
- 通過(guò)下一代防火墻的深度訪問(wèn)控制能力（基于地址、協(xié)議,、端口,、應(yīng)用、用戶身份）,，對(duì)外部的訪問(wèn)進(jìn)行控制,，結(jié)合訪問(wèn)來(lái)源、訪問(wèn)目標(biāo),、訪問(wèn)行為等要素,，對(duì)訪問(wèn)的合法性進(jìn)行判斷，并阻斷非法的訪問(wèn),；
- 通過(guò)高性能病毒掃描過(guò)濾功能,，查殺并過(guò)濾外部傳播的惡意代碼；
- 通過(guò)虛擬防火墻功能,，將辦公網(wǎng)和DMZ區(qū)網(wǎng)絡(luò)等進(jìn)行邏輯隔離,，針對(duì)不同網(wǎng)絡(luò)單獨(dú)管理,；
- 通過(guò) HA 雙機(jī)熱備保障系統(tǒng)的高可靠性，避免單臺(tái)設(shè)備發(fā)生故障導(dǎo)致的網(wǎng)絡(luò)業(yè)務(wù)中斷,；
- 通過(guò)多種 IPv6 過(guò)渡技術(shù),，例如 DNS64/NAT64 等，可完成網(wǎng)絡(luò)從 IPv4 到 IPv6 網(wǎng)絡(luò)的平滑過(guò)渡,，并且支持雙棧技術(shù),，在 IPv6 網(wǎng)絡(luò)建設(shè)后期，也可以完全滿足 IPv4 和 IPv6 網(wǎng)絡(luò)同時(shí)運(yùn)行的情況,；
- 通過(guò)IPS基于應(yīng)用的入侵防御技術(shù),，深度檢測(cè)訪問(wèn)數(shù)據(jù)包并對(duì)惡意滲透行為進(jìn)行鑒別和阻斷；
- 通過(guò)WAF網(wǎng)關(guān)對(duì)外網(wǎng)訪問(wèn)數(shù)據(jù)中心的網(wǎng)站流量進(jìn)行全面深度分析過(guò)濾,，實(shí)時(shí)阻擋針對(duì)網(wǎng)站的攻擊或篡改,。
保障企業(yè)數(shù)據(jù)中心基礎(chǔ)平臺(tái)的工作效率
- 下一代防火墻采用多核架構(gòu)，支持板卡擴(kuò)展帶來(lái)的性能線性提升,，能夠在對(duì)企業(yè)數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)平臺(tái)進(jìn)行保護(hù)的同時(shí),，盡可能維持企業(yè)數(shù)據(jù)中心原有的工作效率；
- 通過(guò)下一代防火墻智能帶寬管理功能,，結(jié)合企業(yè)業(yè)務(wù)應(yīng)用優(yōu)先級(jí),，對(duì)企業(yè)上網(wǎng)流量進(jìn)行兩層八級(jí)的細(xì)粒度劃分控制，同時(shí)配合會(huì)話限制,、策略路由,、鏈路負(fù)載均衡等功能，為企業(yè)提供了更為靈活的流量管理與運(yùn)營(yíng)商線路自動(dòng)切換的解決方案,；
- 下一代防火墻支持設(shè)備部件的冗余,，以及設(shè)備整機(jī)冗余，還支持硬件Bypass,，部署在企業(yè)數(shù)據(jù)中心網(wǎng)絡(luò)邊界,，能夠提供高可靠的安全防護(hù)，不會(huì)成為單點(diǎn)故障,。

應(yīng)用場(chǎng)景

應(yīng)用行業(yè)：
- 政府,、金融、企業(yè),、醫(yī)療,、交通、能源,、互聯(lián)網(wǎng),、企業(yè)等
應(yīng)用場(chǎng)景
- 數(shù)據(jù)中心與企業(yè)內(nèi)網(wǎng)的邊界防護(hù)
- 數(shù)據(jù)中心互聯(lián)網(wǎng)出口邊界防護(hù)

上一方案：安全運(yùn)營(yíng)服務(wù)解決方案

下一方案：國(guó)產(chǎn)化產(chǎn)品解決方案