數(shù)據(jù)中心邊界安全解決方案

來源：廣東坤通科技有限公司日期：2020-06-10 點(diǎn)擊：3473 屬于：解決方案

坤通科技數(shù)據(jù)中心邊界安全解決方案

方案背景

隨著企業(yè)信息化建設(shè)的逐步深入,，網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用和網(wǎng)絡(luò)系統(tǒng)日益復(fù)雜,，企業(yè)的帶寬大規(guī)模升級，網(wǎng)絡(luò)結(jié)構(gòu)不斷優(yōu)化,，數(shù)據(jù)中心流量劇增,，而原有安全設(shè)備往往老化嚴(yán)重,，吞吐、并發(fā)能力有限,，網(wǎng)絡(luò)抗風(fēng)險(xiǎn)性差,，數(shù)據(jù)中心安全設(shè)備往往成為性能瓶頸,，有單點(diǎn)故障風(fēng)險(xiǎn)，更無法滿足未來的帶寬擴(kuò)展需求,。
由于企業(yè)數(shù)據(jù)中心往往面臨著黑客的攻擊,，這些攻擊輕者引起訪問業(yè)務(wù)中斷，嚴(yán)重的將造成重要信息的泄露,，并且數(shù)據(jù)中心集中了企業(yè)最重要的信息資產(chǎn),，一旦發(fā)生安全事件將對企業(yè)的正常業(yè)務(wù)造成極大的損失，因此需要采取必要的安全防護(hù)手段進(jìn)行保護(hù),。
企業(yè)數(shù)據(jù)中心常見的安全需求：

邊界隔離,、身份識(shí)別與訪問控制；
有效對抗攻擊,、防范網(wǎng)絡(luò)入侵和惡意代碼,、檢測與防護(hù)未知威脅；
流量管理,、帶寬控制,，保障健康的互聯(lián)網(wǎng)訪問；
高性能,、高可靠性要求,；
數(shù)據(jù)中心虛擬化攻擊防護(hù)；
有效防護(hù)網(wǎng)站被攻擊和篡改,；
滿足等級保護(hù)合規(guī)性需求,；
企業(yè)多出口運(yùn)營商線路智能選路；
深度應(yīng)用識(shí)別與管控,，實(shí)現(xiàn)應(yīng)用層安全防護(hù),；
IPv4 和 IPv6 網(wǎng)絡(luò)的共存。

方案介紹

通過在企業(yè)數(shù)據(jù)中心部署坤通科技下一代防火墻,、IPS,、WAF等設(shè)備，滿足大流量,、高并發(fā)環(huán)境的部署要求,，同時(shí)還提供了鏈路負(fù)載、NAT,、應(yīng)用識(shí)別,、流量管理、訪問控制和攻擊防護(hù)等安全功能,，全面保障了企業(yè)數(shù)據(jù)中心網(wǎng)絡(luò)的安全：

在數(shù)據(jù)中心邊界區(qū)域部署兩臺(tái)下一代防火墻設(shè)備,，防火墻設(shè)備采用HA的主備方式部署，開啟防火墻基本功能,、訪問控制策略等功能,，實(shí)現(xiàn)數(shù)據(jù)中心區(qū)域的訪問控制,、安全防護(hù)的功能；
下一代防火墻下聯(lián)兩臺(tái)入侵防御設(shè)備,，實(shí)現(xiàn)對出入數(shù)據(jù)中心的 2-7 層網(wǎng)絡(luò)攻擊流量的安全防護(hù),，保證數(shù)據(jù)中心區(qū)域服務(wù)器的安全；
在數(shù)據(jù)中心區(qū)域核心交換機(jī)處,，采用旁掛的方式部署兩臺(tái)WEB應(yīng)用防火墻設(shè)備,，通過在數(shù)據(jù)中心核心交換機(jī)上，將 WEB 流量采用流量牽引方式引流到 WEB 應(yīng)用防火墻上,，進(jìn)行 WEB 流量的過濾,，開啟相應(yīng)的防護(hù)策略，保障數(shù)據(jù)中心 WEB 服務(wù)器的安全,。

方案優(yōu)勢

企業(yè)數(shù)據(jù)中心的網(wǎng)絡(luò)邊界安全防護(hù),，主要是通過有效的隔離與控制手段，對遠(yuǎn)程的訪問加以約束,，防范非法訪問,、惡意攻擊，同時(shí)保障帶寬資源的合理分配,，并對遠(yuǎn)程訪問數(shù)據(jù)包的傳輸安全性加以保護(hù),，防范其在互聯(lián)網(wǎng)平臺(tái)上傳遞過程中被竊取和篡改。
綜合起來,，對照企業(yè)數(shù)據(jù)中心的特點(diǎn)和安全需求，數(shù)據(jù)中心邊界安全方案有以下優(yōu)勢和價(jià)值：

提升企業(yè)數(shù)據(jù)中心基礎(chǔ)平臺(tái)的安全防護(hù)能力
- 通過下一代防火墻的深度訪問控制能力（基于地址,、協(xié)議,、端口、應(yīng)用,、用戶身份）,，對外部的訪問進(jìn)行控制，結(jié)合訪問來源,、訪問目標(biāo),、訪問行為等要素，對訪問的合法性進(jìn)行判斷,，并阻斷非法的訪問,；
- 通過高性能病毒掃描過濾功能，查殺并過濾外部傳播的惡意代碼,；
- 通過虛擬防火墻功能,，將辦公網(wǎng)和DMZ區(qū)網(wǎng)絡(luò)等進(jìn)行邏輯隔離，針對不同網(wǎng)絡(luò)單獨(dú)管理,；
- 通過 HA 雙機(jī)熱備保障系統(tǒng)的高可靠性,，避免單臺(tái)設(shè)備發(fā)生故障導(dǎo)致的網(wǎng)絡(luò)業(yè)務(wù)中斷,；
- 通過多種 IPv6 過渡技術(shù)，例如 DNS64/NAT64 等,，可完成網(wǎng)絡(luò)從 IPv4 到 IPv6 網(wǎng)絡(luò)的平滑過渡,，并且支持雙棧技術(shù)，在 IPv6 網(wǎng)絡(luò)建設(shè)后期,，也可以完全滿足 IPv4 和 IPv6 網(wǎng)絡(luò)同時(shí)運(yùn)行的情況,；
- 通過IPS基于應(yīng)用的入侵防御技術(shù)，深度檢測訪問數(shù)據(jù)包并對惡意滲透行為進(jìn)行鑒別和阻斷,；
- 通過WAF網(wǎng)關(guān)對外網(wǎng)訪問數(shù)據(jù)中心的網(wǎng)站流量進(jìn)行全面深度分析過濾,，實(shí)時(shí)阻擋針對網(wǎng)站的攻擊或篡改。
保障企業(yè)數(shù)據(jù)中心基礎(chǔ)平臺(tái)的工作效率
- 下一代防火墻采用多核架構(gòu),，支持板卡擴(kuò)展帶來的性能線性提升,，能夠在對企業(yè)數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)平臺(tái)進(jìn)行保護(hù)的同時(shí)，盡可能維持企業(yè)數(shù)據(jù)中心原有的工作效率,；
- 通過下一代防火墻智能帶寬管理功能,，結(jié)合企業(yè)業(yè)務(wù)應(yīng)用優(yōu)先級，對企業(yè)上網(wǎng)流量進(jìn)行兩層八級的細(xì)粒度劃分控制,，同時(shí)配合會(huì)話限制,、策略路由、鏈路負(fù)載均衡等功能,，為企業(yè)提供了更為靈活的流量管理與運(yùn)營商線路自動(dòng)切換的解決方案,；
- 下一代防火墻支持設(shè)備部件的冗余，以及設(shè)備整機(jī)冗余,，還支持硬件Bypass,，部署在企業(yè)數(shù)據(jù)中心網(wǎng)絡(luò)邊界，能夠提供高可靠的安全防護(hù),，不會(huì)成為單點(diǎn)故障,。

應(yīng)用場景

應(yīng)用行業(yè)：
- 政府、金融,、企業(yè),、醫(yī)療、交通,、能源,、互聯(lián)網(wǎng)、企業(yè)等
應(yīng)用場景
- 數(shù)據(jù)中心與企業(yè)內(nèi)網(wǎng)的邊界防護(hù)
- 數(shù)據(jù)中心互聯(lián)網(wǎng)出口邊界防護(hù)

上一方案：安全運(yùn)營服務(wù)解決方案

下一方案：國產(chǎn)化產(chǎn)品解決方案